Le fondateur de la cybernétique, Norbert Wiener, croyait que l'information a des caractéristiques uniques et ne peut être attribuée ni à l'énergie ni à la matière. Le statut particulier de l'information en tant que phénomène a donné lieu à de nombreuses définitions.

Dans le dictionnaire de la norme ISO/IEC 2382 : 2015 « Technologies de l'information », l'interprétation suivante est donnée :

Information (dans le domaine du traitement de l'information)- toutes données présentées sous forme électronique, écrites sur papier, exprimées lors d'une réunion ou sur tout autre support, utilisées par une institution financière pour prendre des décisions, déplacer des fonds, fixer des taux, accorder des prêts, traiter des transactions, etc., y compris le système de traitement des composants Logiciel.

Pour développer le concept de sécurité de l'information (SI), l'information est comprise comme une information disponible pour la collecte, le stockage, le traitement (édition, transformation), l'utilisation et la transmission de diverses manières, y compris dans les réseaux informatiques et autres systèmes d'information.

Ces informations sont d'une grande valeur et peuvent devenir des objets d'empiètement de la part de tiers. Le désir de protéger l'information contre les menaces sous-tend la création de systèmes de sécurité de l'information.

Base légale

En décembre 2017, la Russie a adopté la doctrine de la sécurité de l'information. Dans le document, IB est défini comme l'état de protection des intérêts nationaux dans le domaine de l'information. Dans ce cas, les intérêts nationaux sont compris comme la totalité des intérêts de la société, de l'individu et de l'État, chaque groupe d'intérêts est nécessaire au fonctionnement stable de la société.

La doctrine est un document conceptuel. Les relations juridiques liées à la garantie de la sécurité de l'information sont régies par les lois fédérales « Sur les secrets d'État », « Sur l'information », « Sur la protection des données personnelles » et autres. Sur la base des actes normatifs fondamentaux, des décrets gouvernementaux et des actes normatifs départementaux sont élaborés sur des questions privées de protection de l'information.

Définition de la sécurité de l'information

Avant d'élaborer une stratégie de sécurité de l'information, il est nécessaire d'adopter une définition de base du concept lui-même, qui permettra l'utilisation d'un certain ensemble de méthodes et de méthodes de protection.

Les praticiens de l'industrie suggèrent que la sécurité de l'information soit comprise comme un état stable de sécurité de l'information, de ses supports et de son infrastructure, qui garantit l'intégrité et la stabilité des processus liés à l'information contre les impacts intentionnels ou non intentionnels de nature naturelle et artificielle. Les impacts sont classés comme des menaces SI pouvant nuire aux sujets des relations informationnelles.

Ainsi, la protection de l'information sera comprise comme un ensemble de mesures juridiques, administratives, organisationnelles et techniques visant à prévenir les menaces réelles ou perçues à la sécurité de l'information, ainsi qu'à éliminer les conséquences des incidents. La continuité du processus de protection de l'information doit garantir la lutte contre les menaces à toutes les étapes du cycle de l'information : dans le processus de collecte, de stockage, de traitement, d'utilisation et de transmission de l'information.

La sécurité de l'information dans cette compréhension devient l'une des caractéristiques de la performance du système. À chaque instant, le système doit avoir un niveau de sécurité mesurable, et assurer la sécurité du système doit être un processus continu qui est effectué à tous les intervalles de temps pendant la durée de vie du système.

L'infographie utilise des données de notre propreRechercherInformer.

Dans la théorie de la sécurité de l'information, les sujets de la sécurité de l'information sont compris comme les propriétaires et les utilisateurs de l'information, et non seulement les utilisateurs sur une base continue (employés), mais aussi les utilisateurs qui accèdent aux bases de données dans des cas isolés, par exemple, les agences gouvernementales demandant des informations. Dans un certain nombre de cas, par exemple, dans les normes de sécurité de l'information bancaire, les actionnaires sont classés comme propriétaires de l'information - des entités juridiques qui possèdent certaines données.

L'infrastructure de soutien, du point de vue des principes fondamentaux de la sécurité de l'information, comprend les ordinateurs, les réseaux, les équipements de télécommunications, les locaux, les systèmes de survie et le personnel. Lors de l'analyse de la sécurité, il est nécessaire d'étudier tous les éléments des systèmes, en accordant une attention particulière au personnel en tant que porteur de la plupart des menaces internes.

Pour la gestion de la sécurité de l'information et l'évaluation des dommages, la caractéristique d'acceptabilité est utilisée, de sorte que les dommages sont déterminés comme acceptables ou inacceptables. Il est utile pour chaque entreprise d'établir ses propres critères d'admissibilité d'un dommage sous forme monétaire ou, par exemple, sous forme d'atteinte acceptable à la réputation. Dans les institutions publiques, d'autres caractéristiques peuvent être adoptées, par exemple, une influence sur le processus de gestion ou reflétant le degré de dommage à la vie et à la santé des citoyens. Les critères de matérialité, d'importance et de valeur des informations peuvent changer au cours du cycle de vie de la matrice d'informations, par conséquent, ils doivent être révisés en temps opportun.

Une menace informationnelle au sens étroit est une opportunité objective d'influencer l'objet de la protection, ce qui peut conduire à une fuite, un vol, une divulgation ou une diffusion d'informations. Dans un sens plus large, les menaces à la sécurité de l'information comprendront des impacts dirigés de nature informationnelle, dont le but est de nuire à l'État, à l'organisation et à l'individu. Ces menaces incluent, par exemple, la diffamation, les fausses déclarations délibérées et la publicité inappropriée.

Trois questions principales du concept de sécurité de l'information pour toute organisation

Que protéger ?

Quels types de menaces prévalent : externes ou internes ?

Comment protéger, par quelles méthodes et par quels moyens ?

Système SI

Le système de sécurité de l'information pour une entreprise - une personne morale comprend trois groupes de concepts de base : l'intégrité, la disponibilité et la confidentialité. Sous chacun se trouvent des concepts avec de nombreuses caractéristiques.

En dessous de intégrité signifie la stabilité des bases de données, d'autres tableaux d'informations à la destruction accidentelle ou intentionnelle, des modifications non autorisées. L'intégrité peut être considérée comme :

• statique, exprimé dans l'immuabilité, l'authenticité des objets d'information à ces objets qui ont été créés selon une tâche technique spécifique et contiennent la quantité d'informations requises par les utilisateurs pour leur activité principale, dans la configuration et l'ordre requis ;
• dynamique, impliquant la bonne exécution d'actions ou de transactions complexes, sans nuire à la sécurité des informations.

Pour contrôler l'intégrité dynamique, des moyens techniques spéciaux sont utilisés pour analyser les flux d'informations, par exemple financières, et identifier les cas de vol, de duplication, de redirection et de réorganisation des messages. L'intégrité en tant que caractéristique clé est requise lorsque des décisions sont prises pour prendre des mesures sur la base d'informations entrantes ou disponibles. La violation de l'ordre des commandes ou de la séquence d'actions peut causer de gros dommages dans le cas de descriptions de processus technologiques, de codes de programme et dans d'autres situations similaires.

Disponibilité est une propriété qui permet aux sujets autorisés d'accéder ou d'échanger des données qui les intéressent. L'exigence clé de légitimation ou d'autorisation des sujets permet de créer différents niveaux d'accès. Le refus du système de fournir des informations devient un problème pour toute organisation ou groupe d'utilisateurs. Un exemple est l'inaccessibilité des sites de service public en cas de défaillance du système, qui prive de nombreux utilisateurs de la possibilité de recevoir les services ou informations nécessaires.

Confidentialité désigne la propriété de l'information d'être disponible pour ces utilisateurs : sujets et processus auxquels l'accès est initialement autorisé. La plupart des entreprises et organisations perçoivent la confidentialité comme un élément clé de la sécurité de l'information, mais dans la pratique, il est difficile de la mettre pleinement en œuvre. Toutes les données sur les canaux existants de fuite d'informations ne sont pas disponibles pour les auteurs de concepts de sécurité de l'information, et de nombreux moyens techniques de protection, y compris cryptographiques, ne peuvent pas être achetés librement, dans certains cas le chiffre d'affaires est limité.

Des propriétés égales de la sécurité de l'information ont des valeurs différentes pour les utilisateurs, d'où les deux catégories extrêmes dans le développement des concepts de protection des données. Pour les entreprises ou organisations liées aux secrets d'État, la confidentialité deviendra un paramètre clé, pour les services publics ou les établissements d'enseignement, le paramètre le plus important est l'accessibilité.

Résumé de la sécurité de l'information

Objets protégés dans les concepts de sécurité de l'information

La différence des sujets donne lieu à des différences dans les objets de protection. Les principaux groupes d'objets protégés :

• ressources informationnelles de tous types (une ressource est entendue comme un objet matériel : un disque dur, un autre support, un document avec des données et des détails qui permettent de l'identifier et de l'attribuer à un certain groupe de sujets) ;
• les droits des citoyens, des organisations et de l'État à accéder à l'information, la possibilité de l'obtenir dans le cadre de la loi ; l'accès ne peut être limité que par des actes juridiques réglementaires, l'organisation de barrières qui violent les droits de l'homme est inadmissible ;
• un système de création, d'utilisation et de diffusion des données (systèmes et technologies, archives, bibliothèques, documents réglementaires) ;
• le système de formation de la conscience publique (médias, ressources Internet, institutions sociales, établissements d'enseignement).

Chaque objet suppose un système spécial de mesures de protection contre les menaces à la sécurité de l'information et à l'ordre public. Assurer la sécurité de l'information dans chaque cas devrait reposer sur une approche systématique qui prend en compte les spécificités de l'installation.

Catégories et supports de stockage

Le système juridique russe, les pratiques d'application de la loi et les relations sociales établies classent les informations selon des critères d'accessibilité. Cela vous permet de clarifier les paramètres essentiels nécessaires pour assurer la sécurité de l'information :

• informations dont l'accès est limité sur la base d'exigences légales (secrets d'Etat, secrets commerciaux, données personnelles) ;
• informations du domaine public;
• des informations accessibles au public qui sont fournies sous certaines conditions : des informations payantes ou des données pour lesquelles vous devez émettre une admission, par exemple une carte de bibliothèque ;
• informations dangereuses, nuisibles, fausses et autres, dont la circulation et la diffusion sont limitées soit par les exigences des lois, soit par les normes de l'entreprise.

Les informations du premier groupe ont deux modes de protection. Secret d'État, selon la loi, il s'agit d'informations protégées par l'État, dont la diffusion gratuite peut nuire à la sécurité du pays. Il s'agit de données dans le domaine de l'armée, de la politique étrangère, du renseignement, du contre-espionnage et des activités économiques de l'État. Le propriétaire de ce groupe de données est l'État lui-même. Les organismes autorisés à prendre des mesures pour protéger les secrets d'État sont le ministère de la Défense, le Service fédéral de sécurité (FSB), le Service de renseignement extérieur et le Service fédéral de contrôle technique et des exportations (FSTEC).

Information confidentielle- un objet de régulation plus multiforme. La liste des informations pouvant constituer des informations confidentielles est contenue dans le décret présidentiel n° 188 « Sur l'approbation de la liste des informations confidentielles ». Il s'agit de données personnelles ; secret de l'enquête et des poursuites judiciaires ; secret officiel; secret professionnel (médical, notarial, d'avocat) ; secret de commerce; informations sur les inventions et les modèles d'utilité; informations contenues dans les dossiers personnels des condamnés, ainsi que des informations sur l'exécution forcée des actes judiciaires.

Les données personnelles existent dans un mode ouvert et confidentiel. Une partie des données personnelles ouvertes et accessibles à tous les utilisateurs comprend le nom, le prénom, le patronyme. Selon FZ-152 « Sur les données personnelles », les personnes concernées ont le droit de :

• autodétermination informationnelle;
• accéder aux données personnelles personnelles et y apporter des modifications ;
• bloquer les données personnelles et leur accès ;
• faire appel contre les actions illégales de tiers commises en relation avec les données personnelles ;
• pour réparer les dommages causés.

Le droit à cela est inscrit dans les réglementations sur les organes de l'État, les lois fédérales, les licences pour travailler avec des données personnelles délivrées par Roskomnadzor ou FSTEC. Les entreprises qui travaillent professionnellement avec les données personnelles d'un large éventail de personnes, par exemple les opérateurs de télécommunications, doivent s'inscrire au registre, qui est tenu par Roskomnadzor.

Un objet distinct dans la théorie et la pratique de la sécurité de l'information sont les supports d'information, dont l'accès est ouvert et fermé. Lors de l'élaboration d'un concept de sécurité de l'information, les méthodes de protection sont sélectionnées en fonction du type de média. Support de stockage principal :

• médias imprimés et électroniques, réseaux sociaux, autres ressources sur Internet;
• les employés de l'organisation qui ont accès à l'information sur la base de leurs liens amicaux, familiaux, professionnels ;
• moyens de communication qui transmettent ou stockent des informations : téléphones, centraux téléphoniques automatiques, autres équipements de télécommunication ;
• documents de tous types : personnels, officiels, gouvernementaux ;
• le logiciel en tant qu'objet d'information indépendant, surtout si sa version a été modifiée spécifiquement pour une entreprise spécifique ;
• supports de stockage électroniques qui traitent les données de manière automatique.

Dans le but de développer des concepts de sécurité de l'information, les moyens de sécurité de l'information sont généralement divisés en normatifs (informels) et techniques (formels).

Les moyens de protection informels sont des documents, des règles, des événements, les moyens formels sont des moyens techniques spéciaux et des logiciels. La délimitation permet de répartir les domaines de responsabilité lors de la création des systèmes de sécurité de l'information : avec la direction générale de la protection, les personnels administratifs mettent en œuvre les méthodes normatives, et les informaticiens, respectivement, les techniques.

Les bases de la sécurité de l'information présupposent la délimitation des pouvoirs non seulement en termes d'utilisation de l'information, mais aussi en termes de travail sur sa protection. Cette délimitation des pouvoirs nécessite également plusieurs niveaux de contrôle.

Recours formels

Un large éventail de moyens techniques de sécurité de l'information comprend :

Équipement de protection physique. Ce sont des mécanismes mécaniques, électriques, électroniques qui fonctionnent indépendamment des systèmes d'information et créent des barrières pour y accéder. Les serrures, y compris électroniques, les écrans, les stores sont conçus pour créer des obstacles au contact des facteurs de déstabilisation avec les systèmes. Le groupe est complété par des systèmes de sécurité, par exemple des caméras vidéo, des enregistreurs vidéo, des capteurs qui détectent les mouvements ou l'excès du degré de rayonnement électromagnétique dans le domaine de l'emplacement des moyens techniques de récupération d'informations, des appareils embarqués.

Protection matérielle. Il s'agit de dispositifs électriques, électroniques, optiques, laser et autres intégrés aux systèmes d'information et de télécommunication. Avant d'introduire du matériel dans les systèmes d'information, il est nécessaire de s'assurer de la compatibilité.

Logiciel sont des programmes simples et systémiques, complexes conçus pour résoudre des problèmes spécifiques et complexes liés à la sécurité de l'information. Exemples de solutions intégrées : les premières servent à empêcher les fuites, reformatent les informations et redirigent les flux d'informations, les secondes assurent une protection contre les incidents dans le domaine de la sécurité de l'information. Le logiciel est exigeant sur la puissance des périphériques matériels, et des réserves supplémentaires doivent être fournies lors de l'installation.

peut être testé gratuitement pendant 30 jours. Avant d'installer le système, les ingénieurs de SearchInform effectueront un audit technique dans l'entreprise du client.

À des moyens spécifiques la sécurité de l'information comprend divers algorithmes cryptographiques qui cryptent les informations sur le disque et redirigées via des canaux de communication externes. La transformation de l'information peut se produire à l'aide de méthodes logicielles et matérielles fonctionnant dans les systèmes d'information d'entreprise.

Tous les moyens qui garantissent la sécurité de l'information doivent être utilisés en combinaison, après une évaluation préalable de la valeur de l'information et en la comparant au coût des ressources consacrées à la sécurité. Par conséquent, les propositions d'utilisation des fonds devraient être formulées dès le stade du développement des systèmes, et l'approbation devrait être faite au niveau de la direction qui est responsable de l'approbation des budgets.

Afin d'assurer la sécurité, il est nécessaire de surveiller tous les développements modernes, les outils de protection logiciels et matériels, les menaces et d'apporter rapidement des modifications à nos propres systèmes de protection contre les accès non autorisés. Seules l'adéquation et la rapidité de réponse aux menaces permettront d'atteindre un haut niveau de confidentialité dans le travail de l'entreprise.

La première version est sortie en 2018. Ce programme unique crée des portraits psychologiques des employés et les affecte à des groupes à risque. Cette démarche de sécurisation de l'information permet d'anticiper les éventuels incidents et d'agir en amont.

Recours informels

Les recours informels sont regroupés en types normatifs, administratifs et moraux et éthiques. Au premier niveau de protection se trouvent les moyens réglementaires qui régulent la sécurité de l'information en tant que processus dans les activités de l'organisation.

• Moyens réglementaires

Dans la pratique mondiale, lors de l'élaboration d'outils réglementaires, ils sont guidés par des normes de protection des SI, la principale est ISO / IEC 27000. La norme a été créée par deux organisations :

• ISO - la Commission internationale de normalisation, qui développe et approuve la plupart des méthodologies internationalement reconnues pour la certification de la qualité des processus de production et de gestion ;
• CEI - Commission internationale de l'énergie, qui a introduit dans la norme sa compréhension des systèmes de sécurité de l'information, les moyens et les méthodes de sa fourniture

La version actuelle de l'ISO / IEC 27000-2016 propose des normes prêtes à l'emploi et des méthodes éprouvées nécessaires à la mise en œuvre de la sécurité de l'information. Selon les auteurs des méthodes, la base de la sécurité de l'information réside dans la cohérence et la mise en œuvre cohérente de toutes les étapes, du développement au post-contrôle.

Pour obtenir un certificat confirmant le respect des normes de sécurité de l'information, il est nécessaire de mettre en œuvre intégralement toutes les techniques recommandées. S'il n'est pas nécessaire d'obtenir un certificat, il est permis d'accepter l'une des versions antérieures de la norme, à commencer par ISO / IEC 27000-2002, ou les GOST russes, qui sont de nature consultative, comme base pour le développement de leurs propres systèmes de sécurité de l'information.

Sur la base des résultats de l'étude de la norme, deux documents sont en cours d'élaboration concernant la sécurité de l'information. Le principal, mais moins formel, est le concept de sécurité de l'information d'une entreprise, qui définit les mesures et les méthodes de mise en œuvre d'un système de sécurité de l'information pour les systèmes d'information d'une organisation. Le deuxième document auquel tous les employés de l'entreprise doivent se conformer est le règlement sur la sécurité de l'information approuvé au niveau du conseil d'administration ou de l'organe exécutif.

En plus de la position au niveau de l'entreprise, des listes d'informations constituant un secret commercial, des annexes aux contrats de travail, garantissant la responsabilité de la divulgation de données confidentielles, d'autres normes et méthodes devraient être développées. Les règles et règlements internes devraient contenir des mécanismes de mise en œuvre et des mesures de responsabilité. Le plus souvent, les mesures sont de nature disciplinaire et le contrevenant doit être préparé au fait que la violation du régime du secret commercial sera suivie de sanctions importantes, pouvant aller jusqu'au licenciement.

• Mesures organisationnelles et administratives

Dans le cadre des activités administratives de protection de la sécurité de l'information pour le personnel de sécurité, il y a place à la créativité. Il s'agit de solutions d'architecture et de planification qui permettent de protéger les salles de réunion et les bureaux de direction des écoutes, et la mise en place de différents niveaux d'accès à l'information. Les mesures organisationnelles importantes seront la certification des activités de l'entreprise conformément aux normes ISO / IEC 27000, la certification des complexes matériels et logiciels individuels, la certification des sujets et des objets pour la conformité aux exigences de sécurité nécessaires, l'obtention des licences nécessaires pour travailler avec des matrices de données protégées.

Du point de vue de la régulation des activités du personnel, il sera important de formuler un système de demandes d'accès à Internet, aux courriers électroniques externes et à d'autres ressources. Un élément distinct sera la réception d'une signature numérique électronique pour renforcer la sécurité des informations financières et autres qui sont transmises aux agences gouvernementales par courrier électronique.

• Mesures morales et éthiques

Des mesures morales et éthiques déterminent l'attitude personnelle d'une personne vis-à-vis des informations confidentielles ou des informations dont la circulation est limitée. L'augmentation du niveau de connaissance des employés concernant l'impact des menaces sur les activités de l'entreprise affecte le degré de conscience et de responsabilité des employés. Pour lutter contre les violations du régime d'information, y compris, par exemple, le transfert de mots de passe, la manipulation imprudente des médias, la diffusion de données confidentielles dans des conversations privées, il est nécessaire de se concentrer sur la conscience personnelle de l'employé. Il sera utile d'établir des indicateurs de performance du personnel, qui dépendront de l'attitude envers le système de sécurité de l'information de l'entreprise.

Annotation: Le cours aborde les concepts de base de la sécurité de l'information. Familiarisation avec la loi fédérale "sur l'information, les technologies de l'information et la protection de l'information".

GOST " Protection des informations... Termes et définitions de base "présente le concept sécurité de l'information comme un état de sécurité de l'information, dans lequel il est fourni confidentialité, disponibilité et intégrité.

• Confidentialité- l'état de l'information, dans laquelle l'accès n'est effectué que par les sujets qui y ont droit.
• Intégrité- l'état de l'information, dans lequel il n'y a aucun changement, ou le changement n'est effectué qu'intentionnellement par les sujets qui y ont droit ;
• Disponibilité- l'état de l'information, dans laquelle les sujets ayant le droit d'accès peuvent l'exercer sans entrave.

Menaces à la sécurité de l'information- un ensemble de conditions et de facteurs qui créent un danger potentiel ou réel d'atteinte à la sécurité de l'information [,]. Par attaque s'appelle une tentative de mise en œuvre d'une menace, et celui qui fait une telle tentative - intrus... Les intrus potentiels sont appelés sources de menace.

La menace est une conséquence de la présence vulnérabilités ou vulnérabilités dans le système d'information. Les vulnérabilités peuvent survenir pour diverses raisons, par exemple à la suite d'erreurs involontaires de programmeurs lors de l'écriture de programmes.

Les menaces peuvent être classées selon plusieurs critères :

• par propriétés des informations(disponibilité, intégrité, confidentialité) contre lesquelles les menaces sont dirigées en premier lieu ;
• par les composants des systèmes d'information, qui sont ciblés par les menaces (données, programmes, matériels, infrastructures de soutien);
• par la méthode de mise en œuvre (actions accidentelles / délibérées, naturelles / artificielles) ;
• par la localisation de la source des menaces (à l'intérieur / à l'extérieur du SI considéré).

Assurer la sécurité de l'information est une tâche complexe qui nécessite Une approche complexe... Les niveaux de protection des informations suivants sont distingués :

1. législatif - lois, règlements et autres documents de la Fédération de Russie et de la communauté internationale;
2. administratif - un ensemble de mesures prises localement par la direction de l'organisation ;
3. niveau procédural - mesures de sécurité mises en œuvre par les personnes;
4. niveau logiciel et matériel- directement des moyens de protection de l'information.

Le niveau législatif est la base de la construction d'un système de protection de l'information, car il donne des concepts de base Domaine et détermine la pénalité pour les intrus potentiels. Ce niveau joue un rôle de coordination et d'orientation et aide à maintenir une attitude négative (et punitive) dans la société envers les personnes qui violent la sécurité de l'information.

1.2. Loi fédérale "sur l'information, les technologies de l'information et la protection de l'information"

Dans la législation russe, la loi fondamentale dans le domaine de la protection de l'information est la loi fédérale "sur l'information, les technologies de l'information et la protection de l'information" du 27 juillet 2006, n° 149-FZ. Par conséquent, les concepts et solutions de base consacrés par la loi nécessitent un examen attentif.

La loi réglemente les relations résultant :

• exercice du droit de rechercher, de recevoir, de transférer, de produire et de diffuser des informations ;
• application des technologies de l'information;
• assurer la protection des informations.

La loi fournit des définitions de base dans le domaine de la protection de l'information. En voici quelques uns:

• informations- les informations (messages, données) quelle que soit la forme de leur présentation ;
• Informatique- les processus, méthodes de recherche, de collecte, de stockage, de traitement, de fourniture, de diffusion d'informations et les modalités de mise en œuvre de ces processus et méthodes ;
• Système d'Information- un ensemble d'informations contenues dans des bases de données et des technologies de l'information et des moyens techniques assurant leur traitement ;
• détenteur d'informations- une personne qui a créé des informations de manière indépendante ou a reçu, sur la base d'une loi ou d'un accord, le droit d'autoriser ou de restreindre l'accès à l'information déterminé par tout critère ;
• opérateur de système d'information- un citoyen ou une personne morale exploitant le système d'information, y compris le traitement des informations contenues dans ses bases de données.
• confidentialité des informations- une obligation pour une personne qui a accès à certaines informations de ne pas transférer ces informations à des tiers sans le consentement de son propriétaire.

L'article 4 de la loi énonce les principes de régulation juridique des relations dans le domaine de l'information, des technologies de l'information et de la protection de l'information :

1. la liberté de rechercher, de recevoir, de transférer, de produire et de diffuser des informations de quelque manière que ce soit ;
2. établissement de restrictions sur l'accès à l'information uniquement par les lois fédérales;
3. l'ouverture des informations sur les activités des organes de l'État et des organes d'autonomie locale et le libre accès à ces informations, sauf dans les cas prévus par les lois fédérales ;
4. égalité des langues des peuples de la Fédération de Russie dans la création des systèmes d'information et leur fonctionnement;
5. assurer la sécurité de la Fédération de Russie lors de la création des systèmes d'information, de leur fonctionnement et de la protection des informations qu'ils contiennent ;
6. fiabilité de l'information et opportunité de sa fourniture;
7. inviolabilité de la vie privée, inadmissibilité de la collecte, du stockage, de l'utilisation et de la diffusion d'informations sur la vie privée d'une personne sans son consentement ;
8. l'inadmissibilité d'établir par des actes juridiques réglementaires les avantages de l'utilisation de certaines technologies de l'information par rapport à d'autres, à moins que l'utilisation obligatoire de certaines technologies de l'information pour la création et le fonctionnement des systèmes d'information de l'État ne soit établie par des lois fédérales.

Toutes les informations sont divisées en Disponible publiquement et limité accès... Les informations accessibles au public comprennent les informations généralement connues et d'autres informations, dont l'accès n'est pas limité. La loi définit les informations qui ne peuvent pas être restreintes, telles que les informations sur l'environnement ou les activités des agences gouvernementales. Il est également stipulé que Limitation d'accèsà l'information est établi par les lois fédérales afin de protéger les fondements de l'ordre constitutionnel, la moralité, la santé, les droits et les intérêts légitimes d'autrui, d'assurer la défense du pays et la sécurité de l'État. Il est obligatoire de respecter la confidentialité des informations, dont l'accès est limité par les lois fédérales.

Il est interdit d'exiger d'un citoyen (individu) qu'il fournisse des informations sur sa vie privée, y compris des informations constituant un secret personnel ou familial, et de recevoir de telles informations contre la volonté du citoyen (individu), sauf disposition contraire des lois fédérales.

1. informations librement diffusées;
2. les informations fournies avec l'accord des personnes participant à la relation concernée ;
3. les informations qui, conformément aux lois fédérales, sont soumises à la fourniture ou à la distribution ;
4. informations dont la diffusion en Fédération de Russie est restreinte ou interdite.

La loi établit l'équivalence d'un message électronique signé avec une signature numérique électronique ou autre analogue d'une signature manuscrite et d'un document signé avec une signature manuscrite.

La définition suivante de la protection de l'information est donnée - il s'agit de l'adoption de mesures juridiques, organisationnelles et techniques visant à :

1. assurer la protection des informations contre l'accès non autorisé, la destruction, la modification, le blocage, la copie, la fourniture, la distribution, ainsi que contre d'autres actions illégales en relation avec ces informations ;
2. le respect de la confidentialité des informations restreintes ;
3. réalisation du droit d'accès à l'information.

Le propriétaire de l'information, l'exploitant du système d'information dans les cas établis par la législation de la Fédération de Russie, est tenu de garantir :

1. la prévention de l'accès non autorisé à l'information et (ou) son transfert à des personnes qui n'ont pas le droit d'accéder à l'information ;
2. détection rapide des faits d'accès non autorisé à l'information ;
3. prévention de la possibilité de conséquences négatives de la violation de la procédure d'accès à l'information;
4. prévention de l'impact sur les moyens techniques de traitement de l'information, entraînant une perturbation de leur fonctionnement ;
5. la possibilité de récupération immédiate des informations modifiées ou détruites en raison d'un accès non autorisé à celles-ci ;
6. contrôle constant pour assurer le niveau de sécurité de l'information.

Ainsi, la loi fédérale "sur l'information, les technologies de l'information et la protection de l'information" crée une base juridique pour l'échange d'informations dans la Fédération de Russie et définit les droits et obligations de ses sujets.

Politique de sécurité de l'information.

1. Dispositions générales

Cette politique de sécurité de l'information ( Plus loin - Politique ) définit un système de vues sur le problème de la garantie de la sécurité de l'information et constitue un énoncé systématique des buts et objectifs, ainsi que des aspects organisationnels, technologiques et procéduraux de la garantie de la sécurité de l'information des objets de l'infrastructure de l'information, y compris un ensemble d'informations centres, banques de données et systèmes de communication de l'organisation. Cette politique a été élaborée en tenant compte des exigences de la législation actuelle de la Fédération de Russie et des perspectives à court terme de développement des infrastructures d'information, ainsi que des caractéristiques et des capacités des méthodes organisationnelles et techniques modernes et du matériel et des logiciels pour protection des informations.

Les principales dispositions et exigences de la Politique s'appliquent à toutes les divisions structurelles de l'organisation.

La politique est une base méthodologique pour la formation et la mise en œuvre d'une politique unifiée dans le domaine de la garantie de la sécurité de l'information des objets de l'infrastructure de l'information, de la prise de décisions de gestion coordonnées et de l'élaboration de mesures pratiques visant à assurer la sécurité de l'information, de la coordination des activités des divisions structurelles de l'organisation lors de la réalisation de travaux sur la création, le développement et l'exploitation d'infrastructures d'objets d'information conformément aux exigences de sécurité de l'information.

La politique ne règle pas les questions d'organisation de la protection des locaux et d'assurance de la sécurité et de l'intégrité physique des composants de l'infrastructure informatique, de la protection contre les catastrophes naturelles et les pannes du système d'alimentation électrique, cependant, elle implique la construction d'un système de sécurité de l'information. sur les mêmes fondements conceptuels que le système de sécurité de l'organisation dans son ensemble.

La mise en œuvre de la politique est assurée par des lignes directrices, des règlements, des procédures, des instructions, des lignes directrices et un système appropriés d'évaluation de la sécurité de l'information dans l'organisation.

La Politique utilise les termes et définitions suivants :

Système automatisé ( COMME) — un système composé de personnel et d'un ensemble de moyens pour automatiser leurs activités, qui met en œuvre la technologie de l'information pour exécuter les fonctions établies.

Infrastructures d'informations- un système de structures organisationnelles qui assurent le fonctionnement et le développement de l'espace informationnel et des moyens d'interaction informationnelle. L'infrastructure d'information comprend un ensemble de centres d'information, de banques de données et de connaissances, de systèmes de communication et fournit aux consommateurs un accès aux ressources d'information.

Ressources d'information ( IR) - ce sont des documents séparés et des tableaux séparés de documents, des documents et des tableaux de documents dans les systèmes d'information ( bibliothèques, archives, fonds, bases de données et autres systèmes d'information).

Système d'Information (IP) - système informatique et moyens organisationnels associés ( humain, technique, financier, etc.) qui fournissent et diffusent des informations.

Sécurité - l'état de protection des intérêts ( buts) des organisations face aux menaces.

Sécurité de l'information ( IB) — sécurité liée aux menaces dans la sphère de l'information. La sécurité est obtenue en garantissant un ensemble de propriétés du SI - disponibilité, intégrité, confidentialité des actifs informationnels. La priorité des propriétés IS est déterminée par la valeur de ces actifs pour les intérêts ( buts) organisation.

Disponibilité des actifs informationnels - propriété du SI d'une organisation, qui consiste dans le fait que les actifs informationnels sont fournis à un utilisateur autorisé, et dans la forme et le lieu requis par l'utilisateur, et au moment où il en a besoin.

Intégrité des actifs informationnels - la propriété de la sécurité de l'information d'une organisation de maintenir inchangés ou de corriger les changements détectés dans ses actifs informationnels.

Confidentialité des actifs informationnels - propriété de la sécurité de l'information d'une organisation, qui consiste dans le fait que le traitement, le stockage et le transfert des actifs informationnels sont effectués de manière à ce que les actifs informationnels ne soient accessibles qu'aux utilisateurs, objets système ou processus autorisés.

Système de sécurité de l'information ( PLUME) — un ensemble de mesures de protection, d'équipements de protection et de processus de leur fonctionnement, y compris les ressources et administratives ( organisationnel) Sécurité.

L'accès non autorisé- accès à des informations en violation des pouvoirs officiels d'un employé, accès à des informations fermées au public par des personnes qui n'ont pas la permission d'accéder à ces informations ou d'accéder à des informations par une personne qui a le droit d'accéder à ces informations d'un montant supérieur au montant nécessaire à l'accomplissement des fonctions officielles.

2. Exigences générales pour la sécurité de l'information

Exigences de sécurité de l'information ( Plus loin -IB ) déterminer le contenu et les objectifs des activités de l'organisation dans le cadre des processus de gestion du SI.

Ces exigences sont formulées pour les domaines suivants :

• attribution et répartition des rôles et confiance dans le personnel;
• étapes du cycle de vie des objets de l'infrastructure de l'information ;
• protection contre les accès non autorisés ( Plus loin - NSD ), le contrôle d'accès et l'enregistrement dans les systèmes automatisés, les équipements de télécommunications et les centraux téléphoniques automatiques, etc. ;
• protection antivirus;
• utilisation des ressources Internet;
• utilisation de moyens de protection des informations cryptographiques ;
• protection des données personnelles.

3. Objets à protéger

Les principaux objets à protéger sont :

• ressources d'information présentés sous forme de documents et de tableaux d'informations, quels que soient la forme et le type de leur présentation, y compris les informations confidentielles et ouvertes ;
• système pour la formation, la distribution et l'utilisation des ressources d'information, bibliothèques, archives, bases de données et banques de données, technologies de l'information, réglementations et procédures pour la collecte, le traitement, le stockage et la transmission d'informations, personnel technique et de service ;
• infrastructures d'informations, y compris les systèmes de traitement et d'analyse de l'information, les outils techniques et logiciels pour son traitement, sa transmission et son affichage, y compris les canaux d'échange d'informations et de télécommunication, les systèmes et systèmes de sécurité de l'information, les installations et les locaux dans lesquels se trouvent les composants de l'infrastructure d'information.

3.1. Caractéristiques du système automatisé

Des informations de différentes catégories circulent dans l'UA. Les informations protégées peuvent être partagées par différents utilisateurs à partir de différents sous-réseaux d'un même réseau d'entreprise.

Un certain nombre de sous-systèmes AS assurent l'interaction avec des ( étatique et commercial, russe et étranger) organisations sur des canaux de communication commutés et dédiés utilisant des moyens spéciaux de transmission d'informations.

L'ensemble des moyens techniques de l'UA comprend des moyens de traitement des données ( postes de travail, serveurs de bases de données, serveurs de messagerie, etc.), moyens d'échange de données dans les réseaux locaux avec la possibilité d'accéder aux réseaux mondiaux ( câblage, ponts, passerelles, modems, etc.), ainsi que des installations de stockage ( incl. archivage) Les données.

Les principales caractéristiques du fonctionnement de l'UA sont les suivantes :

• la nécessité de combiner un grand nombre de moyens techniques divers de traitement et de transmission de l'information en un seul système ;
• une grande variété de tâches à résoudre et de types de données traitées ;
• combiner des informations à diverses fins, niveaux d'appartenance et de confidentialité dans une seule base de données ;
• disponibilité des canaux de connexion aux réseaux externes ;
• continuité de fonctionnement;
• la présence de sous-systèmes avec des exigences différentes en termes de niveaux de sécurité, physiquement réunis en un seul réseau ;
• variété de catégories d'utilisateurs et de personnel de service.

D'une manière générale, un seul AS est un ensemble de réseaux locaux de subdivisions, interconnectés au moyen de télécommunications. Chaque réseau local réunit un certain nombre de sous-systèmes automatisés interconnectés et interactifs ( sites technologiques), assurant la solution des problèmes par les divisions structurelles individuelles de l'organisation.

Les objets d'informatisation comprennent :

• équipement technologique ( installations informatiques, équipements de réseau et de câble);
• ressources d'information;
• Logiciel ( systèmes d'exploitation, systèmes de gestion de bases de données, systèmes généraux et logiciels d'application);
• systèmes automatisés de communication et de transmission de données (télécommunications);
• canaux de connexion;
• espace bureau.

3.2. Types d'actifs informationnels de l'organisation à protéger

Des informations de différents niveaux de confidentialité circulent dans les sous-systèmes AS de l'organisation, contenant des informations de diffusion limitée ( service, commercial, données personnelles) et ouvrir l'information.

Dans le flux de documents de l'UA, il y a :

• ordres de paiement et documents financiers ;
• rapports ( financier, analytique, etc.);
• des informations sur les comptes personnels ;
• Renseignements personnels;
• d'autres informations à diffusion limitée.

Toutes les informations circulant dans l'UA et contenues dans les types d'actifs d'information suivants sont soumises à la protection :

• informations constituant un secret commercial et officiel, dont l'accès est limité par l'organisation, en tant que propriétaire de l'information, conformément à la loi fédérale " À propos de l'information, de l'informatisation et de la protection de l'information "Droits et droit fédéral" À propos des secrets commerciaux »;
• données personnelles, dont l'accès est limité conformément à la loi fédérale " À propos des données personnelles »;
• l'information ouverte, en termes de garantie de l'intégrité et de la disponibilité de l'information.

3.3. Catégories d'utilisateurs du système automatisé

L'organisation compte un grand nombre de catégories d'utilisateurs et de personnels de service, qui doivent avoir des pouvoirs différents pour accéder aux ressources d'information de l'UA :

• utilisateurs ordinaires ( utilisateurs finaux, employés des unités organisationnelles);
• administrateurs de serveur ( serveurs de fichiers, serveurs d'applications, serveurs de bases de données), les réseaux locaux et les systèmes d'application ;
• programmeurs système ( responsable de la maintenance du logiciel général) sur les serveurs et postes de travail des utilisateurs ;
• développeurs de logiciels d'application;
• spécialistes de la maintenance des moyens techniques de la technologie informatique;
• administrateurs de la sécurité de l'information, etc.

3.4. Vulnérabilité des principaux composants du Système Automatisé

Les composants les plus vulnérables de l'UA sont les postes de travail en réseau - postes de travail automatisés ( Plus loin - AWP ) travailleurs. Des tentatives d'accès non autorisé aux informations ou des tentatives d'actions non autorisées peuvent être effectuées à partir du poste de travail des travailleurs ( involontaire et volontaire) sur un réseau informatique. Les violations de la configuration du matériel et des logiciels des postes de travail et les ingérences illégales dans les processus de leur fonctionnement peuvent entraîner le blocage des informations, l'incapacité de résoudre en temps voulu des tâches importantes et la défaillance de postes de travail et de sous-systèmes individuels.

Les éléments du réseau tels que les serveurs de fichiers dédiés, les serveurs de bases de données et les serveurs d'applications nécessitent une protection spéciale. Les inconvénients des protocoles d'échange et des moyens de différentiation d'accès aux ressources du serveur peuvent permettre des accès non autorisés à des informations protégées et influencer le fonctionnement de divers sous-systèmes. Dans ce cas, des tentatives peuvent être effectuées à distance ( des stations du réseau) et directe ( depuis la console du serveur) impact sur le fonctionnement des serveurs et leur protection.

Les ponts, passerelles, concentrateurs, routeurs, commutateurs et autres périphériques réseau, liaisons et communications doivent également être protégés. Ils peuvent être utilisés par des intrus pour restructurer et désorganiser les opérations du réseau, intercepter les informations transmises, analyser le trafic et mettre en œuvre d'autres méthodes pour interférer avec les processus d'échange de données.

4. Principes de base de la sécurité de l'information

4.1. Principes généraux d'une exploitation sûre

• Rapidité de détection des problèmes. L'organisation doit détecter en temps opportun les problèmes susceptibles d'affecter ses objectifs commerciaux.
• Prévisibilité de l'évolution des problèmes. L'organisation doit identifier la relation causale des problèmes possibles et construire sur cette base une prévision précise de leur développement.
• Évaluer l'impact des problèmes sur les objectifs de l'entreprise. L'organisme doit évaluer de manière adéquate l'impact des problèmes identifiés.
• Adéquation des mesures de protection. L'organisation doit sélectionner des mesures de protection adaptées aux modèles de menace et de contrevenant, en tenant compte des coûts de mise en œuvre de ces mesures et du montant des pertes possibles résultant de la mise en œuvre des menaces.
• Efficacité des mesures de protection. L'organisme doit effectivement mettre en œuvre les mesures de protection prises.
• Utiliser l'expérience dans la prise et la mise en œuvre des décisions. L'organisation doit accumuler, généraliser et utiliser à la fois sa propre expérience et l'expérience d'autres organisations à tous les niveaux de prise de décision et de leur mise en œuvre.
• Continuité des principes de fonctionnement sûr. L'organisme doit assurer la continuité de la mise en œuvre des principes d'exploitation sûre.
• Contrôle des mesures de protection. L'organisme devrait appliquer uniquement les sauvegardes dont il peut être vérifié qu'elles fonctionnent correctement, et l'organisme devrait évaluer régulièrement l'adéquation des sauvegardes et l'efficacité de leur mise en œuvre, en tenant compte de l'impact des sauvegardes sur les objectifs commerciaux de l'organisation.

4.2. Principes particuliers pour assurer la sécurité de l'information

• La mise en œuvre de principes particuliers de sécurité de l'information vise à augmenter le niveau de maturité des processus de gestion de la sécurité de l'information dans une organisation.
• Définition des objectifs. Les objectifs fonctionnels et de sécurité de l'information de l'organisation doivent être explicitement définis dans un document interne. L'incertitude conduit à " imprécision« Structure organisationnelle, rôles du personnel, politiques de sécurité de l'information et impossibilité d'évaluer l'adéquation des mesures de protection prises.
• Connaître ses clients et ses employés. L'organisation doit disposer d'informations sur ses clients, sélectionner soigneusement le personnel ( travailleurs), développer et maintenir une éthique d'entreprise, qui crée un environnement de confiance favorable aux activités de l'organisation de gestion d'actifs.
• Personnification et répartition adéquate des rôles et des responsabilités. La responsabilité des responsables de l'organisation pour les décisions relatives à ses actifs devrait être personnifiée et exercée principalement sous la forme d'un cautionnement. Il doit être adapté au degré d'influence sur les objectifs de l'organisation, être fixé dans les politiques, contrôlé et amélioré.
• Adéquation des rôles aux fonctions et procédures et leur comparabilité avec les critères et le système d'évaluation. Les rôles doivent refléter de manière adéquate les fonctions à exécuter et les procédures de l'organisation pour leur mise en œuvre. Lors de l'attribution de rôles interdépendants, la séquence nécessaire de leur exécution doit être prise en compte. Le rôle doit être cohérent avec les critères d'évaluation de l'efficacité de sa mise en œuvre. Le contenu principal et la qualité du rôle joué sont en effet déterminés par le système d'évaluation qui lui est appliqué.
• Disponibilité des services et des services. L'organisme doit assurer à ses clients et sous-traitants la disponibilité des services et des services dans les délais établis déterminés par les accords pertinents ( les accords) et/ou d'autres documents.
• Observabilité et évaluabilité de la sécurité de l'information. Toutes les mesures de protection proposées doivent être conçues de manière à ce que le résultat de leur application soit évident, observe-t-on ( transparent) et pourrait être évalué par une division de l'organisation dotée de l'autorité appropriée.

5. Buts et objectifs de la sécurité de l'information

5.1. Sujets des relations d'information dans le système automatisé

Les sujets des relations juridiques lors de l'utilisation de l'UA et de la sécurisation de l'information sont :

• L'organisation en tant que propriétaire des ressources d'information ;
• les subdivisions de l'organisation assurant le fonctionnement de la centrale nucléaire ;
• les employés des divisions structurelles de l'organisation, en tant qu'utilisateurs et fournisseurs d'informations au sein de l'UA conformément aux fonctions qui leur sont assignées ;
• personnes morales et personnes physiques, dont les informations sont accumulées, stockées et traitées dans le SE ;
• autres entités juridiques et personnes physiques impliquées dans la création et le fonctionnement de l'UA ( développeurs de composants de systèmes, organisations impliquées dans la fourniture de divers services dans le domaine des technologies de l'information, etc.).

Les sujets énumérés des relations d'information sont intéressés à assurer :

• confidentialité d'une certaine information;
• fiabilité ( exhaustivité, exactitude, adéquation, intégrité) informations;
• protection contre l'imposition de faux ( peu fiable, déformé) informations;
• accès en temps opportun aux informations nécessaires;
• différenciation de la responsabilité pour les violations des droits légaux ( intérêts) les autres sujets des relations d'information et les règles établies pour le traitement de l'information;
• la possibilité d'un suivi et d'une gestion en continu des processus de traitement et de transmission de l'information ;
• protéger une partie de l'information de sa réplication illégale ( protection des droits d'auteur, droits du propriétaire de l'information, etc.).

5.2. Objectif de sécurité de l'information

L'objectif principal d'assurer la sécurité de l'information est de protéger les sujets des relations d'information contre d'éventuels dommages matériels, moraux ou autres causés par une ingérence accidentelle ou délibérée non autorisée dans le processus de fonctionnement de l'UA ou un accès non autorisé aux informations qui y circulent et à son utiliser.

Cet objectif est atteint en assurant et en maintenant constamment les propriétés suivantes de l'information et un système automatisé pour son traitement :

• disponibilité des informations traitées pour les utilisateurs enregistrés ;
• confidentialité d'une certaine partie des informations stockées, traitées et transmises par les canaux de communication ;
• l'intégrité et l'authenticité des informations stockées, traitées et transmises par les canaux de communication.

5.3. Objectifs de sécurité de l'information

Pour atteindre l'objectif principal d'assurer la sécurité de l'information, le système de sécurité de l'information de la centrale nucléaire doit fournir une solution efficace aux tâches suivantes :

• la protection contre l'ingérence dans le processus de fonctionnement de l'UA par des personnes non autorisées ;
• différenciation de l'accès des utilisateurs enregistrés aux ressources matérielles, logicielles et informationnelles de l'UA, c'est-à-dire protection contre les accès non autorisés ;
• enregistrement des actions des utilisateurs lors de l'utilisation de ressources AS protégées dans les journaux du système et contrôle périodique de l'exactitude des actions des utilisateurs du système en analysant le contenu de ces journaux par des spécialistes des services de sécurité ;
• protection contre les modifications non autorisées et contrôle d'intégrité ( assurer l'immuabilité) l'environnement d'exécution des programmes et sa restauration en cas de violation ;
• la protection contre les modifications non autorisées et le contrôle de l'intégrité du logiciel utilisé dans l'UA, ainsi que la protection du système contre l'introduction de programmes non autorisés, y compris les virus informatiques ;
• protection des informations contre les fuites par les canaux techniques pendant leur traitement, leur stockage et leur transmission par les canaux de communication ;
• protection des informations stockées, traitées et transmises par les canaux de communication contre toute divulgation ou distorsion non autorisée ;
• fourniture d'authentification d'utilisateurs participant à un échange d'informations;
• assurer la pérennité des outils de protection des informations cryptographiques lorsqu'une partie du système de clés est compromise ;
• identification en temps opportun des sources de menaces à la sécurité de l'information, des causes et des conditions contribuant aux dommages causés aux sujets intéressés des relations d'information, création d'un mécanisme de réponse rapide aux menaces à la sécurité de l'information et aux tendances négatives ;
• créer les conditions pour minimiser et localiser les dommages causés par les actions illégales des personnes physiques et morales, en affaiblissant l'impact négatif et en éliminant les conséquences de la violation de la sécurité de l'information.

5.4. Façons de résoudre les problèmes de sécurité de l'information

La solution des problèmes de sécurité de l'information est obtenue :

• comptabilisation stricte de toutes les ressources système soumises à protection ( informations, tâches, canaux de communication, serveurs, AWP);
• réglementation des processus de traitement de l'information et des actions des employés des divisions structurelles de l'organisation, ainsi que des actions du personnel effectuant la maintenance et la modification des logiciels et du matériel de la centrale nucléaire, sur la base de documents organisationnels et administratifs sur la sécurité de l'information ;
• exhaustivité, faisabilité réelle et cohérence des exigences des documents organisationnels et administratifs sur la sécurité de l'information ;
• nomination et formation des employés chargés de l'organisation et de la mise en œuvre des mesures pratiques pour assurer la sécurité de l'information ;
• conférer à chaque salarié le minimum nécessaire à l'exercice de ses fonctions fonctionnelles avec le pouvoir d'accéder aux ressources de la centrale nucléaire ;
• une connaissance claire et un strict respect par tous les employés utilisant et entretenant le matériel et les logiciels de la centrale nucléaire, les exigences des documents organisationnels et administratifs sur la sécurité de l'information ;
• responsabilité personnelle de ses actes de chaque salarié participant, dans le cadre de ses fonctions fonctionnelles, aux processus de traitement automatisé de l'information et ayant accès aux ressources de l'UA ;
• mise en œuvre de processus technologiques de traitement de l'information utilisant des complexes de mesures organisationnelles et techniques pour protéger les logiciels, le matériel et les données ;
• l'adoption de mesures efficaces pour assurer l'intégrité physique des équipements techniques et le maintien continu du niveau requis de protection des composants de la centrale nucléaire ;
• application de techniques ( logiciel et matériel) des moyens de protéger les ressources du système et un soutien administratif continu pour leur utilisation ;
• la délimitation des flux d'informations et l'interdiction de la transmission d'informations à diffusion limitée par des canaux de communication non protégés ;
• contrôle efficace de la conformité des employés aux exigences de sécurité de l'information ;
• surveillance constante des ressources du réseau, identification des vulnérabilités, détection et neutralisation en temps opportun des menaces externes et internes à la sécurité d'un réseau informatique ;
• protection juridique des intérêts de l'organisation contre les actions illégales dans le domaine de la sécurité de l'information.
• effectuer une analyse continue de l'efficacité et de la suffisance des mesures prises et des moyens de protection de l'information utilisés, l'élaboration et la mise en œuvre de propositions pour améliorer le système de protection de l'information dans la centrale nucléaire.

6 menaces à la sécurité de l'information

6.1. Menaces de sécurité de l'information et leurs sources

Les menaces les plus dangereuses pour la sécurité des informations traitées dans une centrale nucléaire sont :

• violation de la confidentialité ( divulgation, fuite) les informations constituant un secret officiel ou commercial, y compris les données personnelles ;
• dysfonctionnement ( désorganisation du travail) AU, blocage des informations, violation des processus technologiques, perturbation de la résolution rapide des problèmes ;
• violation d'intégrité ( distorsion, substitution, destruction) informations, logiciels et autres ressources de l'UA.

Les principales sources de menaces pour la sécurité de l'information des centrales nucléaires sont :

• événements indésirables de nature naturelle et humaine ;
• terroristes, criminels;
• les cybercriminels exécutant des actions destructrices ciblées, y compris l'utilisation de virus informatiques et d'autres types de codes malveillants et d'attaques ;
• fournisseurs d'outils logiciels et matériels, de consommables, de services, etc. ;
• entrepreneurs effectuant l'installation, la mise en service et la réparation d'équipements;
• non-respect des exigences des organismes de surveillance et de réglementation, de la législation en vigueur ;
• pannes, pannes, destruction/endommagement des logiciels et du matériel ;
• les employés qui sont des participants légaux aux processus de l'UA et agissent en dehors du cadre des pouvoirs accordés ;
• les employés qui sont des participants légaux aux processus de l'UA et agissent dans le cadre des pouvoirs accordés.

6.2. Actions non intentionnelles entraînant une violation de la sécurité des informations et mesures pour les prévenir

Les employés de l'organisation qui ont un accès direct aux processus de traitement de l'information au sein de l'UA sont une source potentielle d'actions accidentelles non intentionnelles pouvant entraîner une violation de la sécurité de l'information.

Actions non intentionnelles majeures entraînant une violation de la sécurité de l'information (actions effectuées par des personnes accidentellement, par ignorance, inattention ou négligence, par curiosité, mais sans intention malveillante) et les mesures pour empêcher de telles actions et minimiser les dommages qu'elles causent sont indiquées dans Tableau 1.

Tableau 1

6.3. Actions intentionnelles pour violer la sécurité de l'information et mesures pour les empêcher

Actions intentionnelles de base ( à des fins égoïstes, sous la contrainte, par désir de vengeance, etc.), conduisant à une violation de la sécurité de l'information de l'installation, et des mesures pour les prévenir et réduire les dommages éventuels causés sont indiquées dans Tableau 2.

Tableau 2

6.4. Fuites d'informations par les canaux techniques

Pendant le fonctionnement des moyens techniques de la centrale, les canaux suivants de fuite ou de violation de l'intégrité de l'information, la perturbation de la performance des moyens techniques sont possibles :

• rayonnement électromagnétique latéral d'un signal informatif provenant de moyens techniques et de lignes de transmission d'informations ;
• captation d'un signal informatif, traité au moyen d'ordinateurs électroniques, vers des fils et des lignes qui dépassent la zone contrôlée des bureaux, incl. sur les circuits de mise à la terre et d'alimentation;
• divers appareils électroniques pour intercepter des informations ( incl. "Signets") connectés à des canaux de communication ou à des moyens techniques de traitement de l'information ;
• visualiser des informations à partir d'écrans d'affichage et d'autres moyens de les afficher à l'aide de moyens optiques;
• impact sur le matériel ou le logiciel afin de violer l'intégrité ( destruction, distorsion) l'information, l'opérabilité des moyens techniques, les moyens de sécurité de l'information et la rapidité de l'échange d'informations, y compris électromagnétique, grâce à des outils électroniques et logiciels spécialement mis en œuvre ( "Signets").

Compte tenu des spécificités du traitement et garantissant la sécurité des informations, la menace de fuite d'informations confidentielles ( y compris les données personnelles) via des canaux techniques ne sont pas pertinents pour l'organisation.

6.5. Modèle informel d'un intrus probable

Un contrevenant est une personne qui a tenté d'effectuer des opérations interdites ( action) par erreur, par ignorance ou délibérément avec malveillance ( par intérêt personnel) ou sans ( pour le jeu ou le plaisir, dans le but de s'affirmer, etc.) et en utilisant diverses possibilités, méthodes et moyens pour cela.

Le système de protection des centrales nucléaires devrait être fondé sur des hypothèses concernant les types possibles de délinquants suivants dans le système ( en tenant compte de la catégorie des personnes, de la motivation, des qualifications, de la disponibilité de moyens spéciaux, etc.):

• « Utilisateur inexpérimenté (inattentif)»- un employé qui pourrait tenter d'effectuer des opérations interdites, accéder aux ressources protégées de l'UA au-delà de son autorité, saisir des données incorrectes, etc. actions par erreur, incompétence ou négligence sans intention malveillante et en utilisant uniquement la norme ( à sa disposition) matériel et logiciel.
• « Amant"- un employé essayant de surmonter le système de défense sans buts égoïstes et intention malveillante, pour l'affirmation de soi ou de" intérêt sportif". Pour contourner le système de protection et commettre des actions interdites, il peut utiliser diverses méthodes pour obtenir une autorité supplémentaire pour accéder aux ressources ( noms, mots de passe, etc. autres utilisateurs), des lacunes dans la construction du système de protection et du personnel disponible ( installé sur le poste de travail) programmes ( actions non autorisées en outrepassant leur pouvoir d'utiliser des moyens autorisés). En outre, il peut essayer d'utiliser des logiciels instrumentaux et technologiques supplémentaires non standard ( débogueurs, utilitaires), des programmes développés indépendamment ou des moyens techniques supplémentaires standard.
• « Escroc"- un employé qui peut tenter d'effectuer des opérations technologiques illégales, saisir de fausses données et des actions similaires à des fins égoïstes, sous la contrainte ou par intention malveillante, mais en utilisant uniquement des ( installé sur le poste de travail et à sa disposition) matériel et logiciel pour son propre compte ou pour le compte d'un autre employé ( connaître son nom et son mot de passe, profiter de son absence de courte durée du lieu de travail, etc.).
• « Intrus externe (intrus)»- un étranger ou un ancien employé agissant délibérément par intérêt égoïste, par vengeance ou par curiosité, éventuellement en collusion avec d'autres. Il peut utiliser l'ensemble des méthodes de violation de la sécurité de l'information, méthodes et moyens de rupture des systèmes de sécurité typiques des réseaux publics ( en particulier les réseaux IP), y compris la mise en œuvre à distance de signets logiciels et l'utilisation de programmes instrumentaux et technologiques spéciaux, en utilisant les faiblesses existantes des protocoles d'échange et du système de protection des nœuds de réseau de l'AS de l'organisation.
• « Agresseur interne»- un employé enregistré en tant qu'utilisateur du système, agissant délibérément par intérêt égoïste ou par vengeance, éventuellement en collusion avec des personnes qui ne sont pas des employés de l'organisation. Il peut utiliser l'ensemble des méthodes et moyens de piratage du système de sécurité, y compris les méthodes secrètes d'obtention des détails d'accès, les moyens passifs (moyens techniques d'interception sans modifier les composants du système), les méthodes et moyens d'influence active ( modification des moyens techniques, connexion aux canaux de transmission de données, introduction de signets logiciels et utilisation de programmes instrumentaux et technologiques spéciaux), ainsi qu'une combinaison d'influences tant internes que publiques.

Un initié peut être une personne appartenant aux catégories de personnel suivantes :

• utilisateurs finaux enregistrés de l'UA ( employés des divisions et succursales);
• les travailleurs ne sont pas autorisés à travailler avec l'UA ;
• personnel assurant l'entretien des moyens techniques de la centrale nucléaire ( ingénieurs, techniciens);
• employés des services de développement et de maintenance de logiciels ( programmeurs d'applications et de systèmes);
• personnel technique desservant les bâtiments et locaux de l'organisation ( nettoyeurs, électriciens, plombiers et autres travailleurs qui ont accès aux bâtiments et aux locaux où se trouvent les composants des haut-parleurs);
• dirigeants de divers niveaux.

• travailleurs licenciés;
• représentants d'organisations interagissant sur les questions d'assurer la vie de l'organisation ( énergie, eau, chauffage, etc.);
• des représentants d'entreprises fournissant des équipements, des logiciels, des services, etc. ;
• les membres d'organisations criminelles et de structures commerciales concurrentes ou les personnes agissant en leur nom ;
• les personnes qui ont accidentellement ou délibérément pénétré le réseau à partir de réseaux externes ( "Hackers").

Les utilisateurs et le personnel de service parmi les employés ont les plus grandes possibilités d'effectuer des actions non autorisées, en raison de leur certaine autorité pour accéder aux ressources et d'une bonne connaissance des technologies de l'information. Les actions de ce groupe de contrevenants sont directement liées à la violation des règles et réglementations existantes. Ce groupe de contrevenants est particulièrement dangereux lorsqu'il interagit avec des structures criminelles.

Les travailleurs licenciés peuvent utiliser leurs connaissances de la technologie du travail, des mesures de protection et des droits d'accès pour atteindre leurs objectifs.

Les structures criminelles représentent la source la plus agressive de menaces externes. Pour mettre en œuvre leurs projets, ces structures peuvent violer ouvertement la loi et impliquer les salariés de l'organisation dans leurs activités par toutes les forces et tous les moyens à leur disposition.

Les pirates informatiques ont les qualifications techniques les plus élevées et une connaissance des faiblesses des logiciels utilisés dans l'UA. Ils constituent la plus grande menace lorsqu'ils interagissent avec des travailleurs en activité ou licenciés et des structures criminelles.

Les organisations engagées dans le développement, la fourniture et la réparation d'équipements et de systèmes d'information constituent une menace externe en raison du fait qu'elles ont parfois un accès direct aux ressources d'information. Les structures pénales peuvent utiliser ces organisations pour l'emploi temporaire de leurs membres afin d'accéder à des informations protégées.

7. Politique technique dans le domaine de la sécurité de l'information

7.1. Les principales dispositions de la politique technique

La mise en œuvre de la politique technique dans le domaine de la sécurité de l'information doit partir du principe qu'il est impossible d'assurer le niveau requis de sécurité de l'information non seulement à l'aide d'un seul moyen ( Événements), mais aussi à l'aide de leur combinaison simple. Leur coordination systémique entre eux est nécessaire ( demande complexe), et les éléments individuels développés de l'UA doivent être considérés comme faisant partie d'un système d'information unifié dans une conception protégée avec un rapport optimal de techniques ( matériel, logiciel) fonds et mesures organisationnelles.

Les principales orientations de la mise en œuvre de la politique technique visant à garantir la sécurité des informations sur les centrales nucléaires sont d'assurer la protection des ressources d'information contre le vol, la perte, la fuite, la destruction, la distorsion ou la contrefaçon en raison d'un accès non autorisé et d'influences spéciales.

Dans le cadre des domaines indiqués de la politique technique pour assurer la sécurité de l'information, les actions suivantes sont réalisées :

• mise en place d'un système d'autorisation pour l'admission des artistes interprètes ou exécutants utilisateurs, personnel de service) aux ouvrages, documents et informations à caractère confidentiel ;
• restreindre l'accès des artistes interprètes ou exécutants et des personnes non autorisées aux bâtiments et locaux où sont effectués des travaux à caractère confidentiel et aux moyens d'informatisation et de communication sur lesquels ( stocké, transmis) les informations à caractère confidentiel, directement jusqu'aux moyens mêmes d'informatisation et de communication ;
• différenciation de l'accès des utilisateurs et du personnel de service aux ressources d'information, aux outils logiciels pour le traitement et la protection des informations dans les sous-systèmes de divers niveaux et objectifs inclus dans l'UA ;
• enregistrement de documents, tableaux d'informations, enregistrement des actions des utilisateurs et du personnel de service, contrôle des accès et actions non autorisés des utilisateurs, du personnel de service et des personnes non autorisées ;
• empêcher l'introduction de programmes antivirus, de signets logiciels dans des sous-systèmes automatisés ;
• protection cryptographique des informations traitées et transmises par la technologie informatique et les communications;
• stockage fiable des supports de stockage de la machine, clés cryptographiques ( information clé) et leur circulation, à l'exclusion du vol, de la substitution et de la destruction ;
• réservation nécessaire des moyens techniques et duplication des matrices et supports d'information ;
• réduction du niveau et du contenu informatif des émissions parasites et des captations créées par divers éléments des sous-systèmes automatisés ;
• isolation électrique des circuits d'alimentation, mise à la terre et autres circuits d'objets d'informatisation qui dépassent la zone contrôlée ;
• contre les moyens d'observation optiques et laser.

7.2. Formation du régime de sécurité de l'information

Compte tenu des menaces identifiées pour la sûreté de la centrale nucléaire, le régime de sécurité de l'information devrait être formé comme un ensemble de méthodes et de mesures visant à protéger les informations circulant dans la centrale nucléaire et son infrastructure de soutien contre les influences accidentelles ou délibérées de nature naturelle ou artificielle, impliquant dommages aux propriétaires ou aux utilisateurs de l'information.

L'ensemble des mesures pour la formation d'un régime de sécurité de l'information comprend:

• mise en place d'un régime organisationnel et juridique de sécurité de l'information dans le système automatisé ( documents réglementaires, travail avec le personnel, travail de bureau);
• mise en œuvre de mesures organisationnelles et techniques pour protéger les informations à diffusion limitée contre les fuites par les canaux techniques ;
• mesures organisationnelles et techniques logicielles pour empêcher les actions non autorisées ( accès) aux ressources d'information de l'UA ;
• un ensemble de mesures pour contrôler le fonctionnement des moyens et des systèmes de protection des ressources informationnelles à diffusion limitée après des impacts accidentels ou délibérés.

8. Mesures, méthodes et moyens de sécurité de l'information

8.1. Mesures organisationnelles

Mesures organisationnelles- ce sont des mesures organisationnelles qui réglementent les processus de fonctionnement des centrales nucléaires, l'utilisation de leurs ressources, les activités du personnel de maintenance, ainsi que la procédure d'interaction des utilisateurs avec le système de manière à compliquer au maximum ou à exclure la possibilité de mettre en œuvre des menaces de sécurité et réduire le montant des dommages en cas de leur mise en œuvre.

8.1.1. Formation de la politique de sécurité

L'objectif principal des mesures organisationnelles est de former une politique dans le domaine de la sécurité de l'information, reflétant les approches de la protection de l'information, et d'assurer sa mise en œuvre en allouant les ressources nécessaires et en contrôlant l'état des lieux.

D'un point de vue pratique, la politique de sûreté des centrales nucléaires devrait être divisée en deux niveaux. Le niveau supérieur comprend les décisions qui affectent les activités de l'organisation dans son ensemble. Un exemple de telles solutions pourrait être :

• formation ou révision d'un programme complet de sécurité de l'information, détermination des responsables de sa mise en œuvre ;
• formulation d'objectifs, fixation d'objectifs, définition de domaines d'activité dans le domaine de la sécurité de l'information;
• prendre des décisions sur la mise en œuvre du programme de sécurité, qui sont considérées au niveau de l'organisation dans son ensemble ;
• disposition réglementaire ( légal) une base de données de questions de sécurité, etc.

La politique de niveau inférieur définit les procédures et les règles pour atteindre les objectifs et résoudre les problèmes de sécurité de l'information et détaille (réglemente) ces règles :

• quelle est la portée de la politique de sécurité de l'information ;
• quels sont les rôles et les responsabilités des fonctionnaires chargés de la mise en œuvre de la politique de sécurité de l'information ;
• qui a le droit d'accéder aux informations restreintes ;
• qui et dans quelles conditions peut lire et modifier les informations, etc.

La politique de niveau inférieur devrait :

• prévoir la réglementation des relations d'information, excluant la possibilité d'actions arbitraires, monopolistiques ou non autorisées en ce qui concerne les ressources d'information confidentielles ;
• définir des principes et des méthodes coalitionnels et hiérarchiques pour partager des secrets et délimiter l'accès à l'information à diffusion limitée ;
• choisir des moyens logiciels et matériels de protection cryptographique, de lutte contre la falsification, d'authentification, d'autorisation, d'identification et d'autres mécanismes de protection qui offrent des garanties pour la mise en œuvre des droits et responsabilités des sujets des relations d'information.

8.1.2. Réglementation de l'accès aux moyens techniques

L'exploitation des postes de travail automatisés sécurisés et des serveurs de la Banque doit être effectuée dans des salles équipées de serrures automatiques fiables, d'alarmes et constamment gardées ou surveillées, excluant la possibilité d'entrée incontrôlée dans les locaux de personnes non autorisées et assurant la sécurité physique des ressources protégées situé dans les locaux ( AWP, documents, détails d'accès, etc.). Le placement et l'installation de moyens techniques de ces AWP devraient exclure la possibilité de visualisation visuelle de l'entrée ( retiré) des informations par des personnes qui ne lui sont pas liées. Le nettoyage des locaux dans lesquels sont installés des équipements doit être effectué en présence du responsable auquel ces moyens techniques sont affectés, ou de la personne de service dans l'unité, conformément aux mesures qui excluent l'accès non autorisé aux ressources protégées.

Lors du traitement des informations à diffusion restreinte, seul le personnel autorisé à travailler avec ces informations doit être présent dans les locaux.

A la fin de la journée de travail, les locaux avec les AWP protégés installés doivent être placés sous sécurité.

Pour le stockage des documents bureautiques et des supports machine avec des informations protégées, les employés disposent d'armoires métalliques, ainsi que de moyens de destruction de documents.

Les moyens techniques utilisés pour traiter ou stocker des informations confidentielles doivent être scellés.

8.1.3. Réglementation de l'admission des employés à l'utilisation des ressources d'information

Dans le cadre du système permissif d'admission, il est établi : qui, à qui, quelles informations et pour quel type d'accès peut être fourni et dans quelles conditions ; un système de contrôle d'accès, qui implique la définition pour tous les utilisateurs des ressources informatiques et logicielles de l'UA à leur disposition pour des opérations spécifiques ( lire, écrire, modifier, supprimer, exécuter) à l'aide des outils d'accès logiciels et matériels spécifiés.

L'admission des travailleurs à travailler avec l'UA et l'accès à leurs ressources doivent être strictement réglementés. Toute modification de la composition et des pouvoirs des utilisateurs des sous-systèmes de l'UA doit être effectuée de la manière prescrite.

Les principaux utilisateurs de l'information au sein de l'UA sont les employés des divisions structurelles de l'organisation. Le niveau d'autorité de chaque utilisateur est déterminé individuellement, en respectant les exigences suivantes :

• les informations ouvertes et confidentielles sont placées, dans la mesure du possible, sur des serveurs différents ;
• chaque employé utilise uniquement les droits qui lui sont prescrits en ce qui concerne les informations avec lesquelles il a besoin de travailler conformément à ses responsabilités professionnelles ;
• le patron a le droit de consulter les informations de ses subordonnés ;
• les opérations technologiques les plus critiques doivent être effectuées selon la règle "A deux mains"- l'exactitude des informations saisies est confirmée par un autre fonctionnaire qui n'a pas le droit de saisir des informations.

Tous les employés admis à travailler dans la centrale nucléaire et le personnel de maintenance de la centrale nucléaire doivent être personnellement responsables des violations de la procédure établie pour le traitement automatisé de l'information, des règles de stockage, d'utilisation et de transfert des ressources système protégées à leur disposition. Lors de l'embauche, chaque employé doit signer un engagement sur le respect des exigences de conservation des informations confidentielles et la responsabilité de leur violation, ainsi que sur le respect des règles de travail avec les informations protégées au sein de l'UA.

Le traitement des informations protégées dans les sous-systèmes de l'UA doit être effectué conformément aux instructions technologiques approuvées ( ordres) pour ces sous-systèmes.

Pour les utilisateurs, les postes de travail protégés, les instructions technologiques nécessaires devraient être élaborées, y compris les exigences pour assurer la sécurité des informations.

8.1.4. Régulation des processus de maintenance des bases de données et de modification des ressources informationnelles

Toutes les opérations de maintenance des bases de données dans l'UA et l'admission des travailleurs à travailler avec ces bases de données doivent être strictement réglementées. Tout changement dans la composition et l'autorité des utilisateurs des bases de données de l'UA doit être effectué conformément à la procédure établie.

La diffusion des noms, la génération des mots de passe, la maintenance des règles de différenciation d'accès aux bases de données sont confiées aux collaborateurs de la Direction Informatique. Dans ce cas, des moyens standard et supplémentaires de protection du SGBD et des systèmes d'exploitation peuvent être utilisés.

8.1.5. Régulation des processus de maintenance et modification des ressources matérielles et logicielles

Ressources système à protéger ( tâches, programmes, AWP) sont soumis à une comptabilité stricte ( sur la base de l'utilisation de formulaires appropriés ou de bases de données spécialisées).

La configuration matérielle et logicielle des postes de travail automatisés, où sont traitées les informations protégées ou à partir desquelles l'accès aux ressources protégées est possible, doit correspondre à l'éventail des tâches fonctionnelles assignées aux utilisateurs de ce PTA. Tous les périphériques d'entrée-sortie inutilisés (inutiles) ( COM, USB, ports LPT, lecteurs de disquettes, CD et autres supports de stockage) sur ces AWP doivent être désactivés (supprimés), les logiciels et données inutiles des disques AWS doivent également être supprimés.

Pour simplifier la maintenance, la maintenance et l'organisation de la protection, les postes de travail doivent être équipés de logiciels et configurés de manière unifiée ( conformément aux règles établies).

La mise en service de nouveaux AWP et tous les changements dans la configuration du matériel et des logiciels, les AWP existants dans l'AS de l'organisation doivent être effectués uniquement conformément à la procédure établie.

Tous les logiciels ( développé par les spécialistes de l'organisation, obtenu ou acquis auprès des fabricants) doivent être testés conformément à la procédure établie et transférés au dépositaire des programmes de l'organisation. Dans les sous-systèmes de l'UA, seuls les logiciels reçus du dépositaire conformément à la procédure établie doivent être installés et utilisés. L'utilisation de logiciels dans l'AS qui ne sont pas inclus dans le dépôt de logiciels doit être interdite.

Le développement de logiciels, les tests de logiciels développés et achetés, le transfert de logiciels à l'exploitation doivent être effectués conformément à la procédure établie.

8.1.6. Formation et éducation des utilisateurs

Avant de donner accès à l'UA, ses utilisateurs, ainsi que le personnel de gestion et de maintenance, doivent se familiariser avec la liste des informations confidentielles et leur niveau d'autorité, ainsi que la documentation organisationnelle et administrative, réglementaire, technique et opérationnelle qui définit les exigences et la procédure de traitement de ces informations.

La protection des informations dans tous les domaines ci-dessus n'est possible qu'après que les utilisateurs ont développé une certaine discipline, c'est-à-dire des normes contraignantes pour tous ceux qui travaillent au sein de l'UA. Ces normes incluent l'interdiction de toute action intentionnelle ou non intentionnelle qui perturbe le fonctionnement normal de l'UA, entraîne des coûts de ressources supplémentaires, viole l'intégrité des informations stockées et traitées, viole les intérêts des utilisateurs légitimes.

Tous les employés qui utilisent des sous-systèmes spécifiques des centrales nucléaires au cours de leur travail doivent connaître les documents organisationnels et administratifs pour la protection de la centrale nucléaire dans la partie les concernant, ils doivent connaître et suivre strictement les instructions technologiques et les devoirs généraux pour assurer la sécurité des informations. La communication des exigences de ces documents aux personnes admises au traitement des informations protégées doit être effectuée par les chefs de services contre leur signature.

8.1.7. Responsabilité en cas de violation des exigences de sécurité de l'information

Pour chaque violation grave des exigences de sécurité de l'information par les employés de l'organisation, une enquête officielle doit être menée. Des mesures adéquates doivent être prises contre les auteurs. Le degré de responsabilité du personnel pour des actions commises en violation des règles établies pour assurer le traitement automatisé et sécurisé des informations doit être déterminé par les dommages causés, la présence d'intentions malveillantes et d'autres facteurs.

Pour mettre en œuvre le principe de responsabilité personnelle des utilisateurs pour leurs actes, il faut :

• identification individuelle des utilisateurs et des processus initiés par ceux-ci, c'est-à-dire établir un identifiant pour eux, sur la base duquel l'accès sera différencié conformément au principe de validité de l'accès ;
• Authentification d'utilisateur ( authentification) basé sur des mots de passe, des clés sur une base physique différente, etc. ;
• enregistrement ( enregistrement) fonctionnement des mécanismes de contrôle d'accès aux ressources du système d'information, indiquant la date et l'heure, les identifiants des ressources requérantes et sollicitées, le type d'interaction et son résultat ;
• réaction aux tentatives d'accès non autorisé ( alarme, blocage, etc.).

8.2. Moyens techniques de protection

Technique ( matériel et logiciel) moyens de protection - divers appareils électroniques et programmes spéciaux faisant partie de l'UA et remplissant (indépendamment ou en combinaison avec d'autres moyens) des fonctions de protection ( identification et authentification des utilisateurs, différenciation des accès aux ressources, enregistrement des événements, protection cryptographique des informations, etc.).

Compte tenu de toutes les exigences et principes permettant d'assurer la sécurité des informations dans la centrale nucléaire dans tous les domaines de protection, les moyens suivants devraient être inclus dans le système de protection :

• moyens d'authentification des utilisateurs et des éléments locuteurs ( terminaux, tâches, éléments de base de données, etc.) correspondant au degré de confidentialité des informations et des données traitées ;
• moyens de délimiter l'accès aux données ;
• moyens de protection cryptographique des informations dans les lignes de transmission de données et dans les bases de données;
• moyens d'enregistrement de la circulation et de contrôle de l'utilisation des informations protégées ;
• des moyens de répondre aux tentatives de falsification ou de falsification détectées ;
• des moyens pour réduire le niveau et le contenu informatif des émissions parasites et des captations ;
• moyens de protection contre les moyens optiques d'observation;
• protection contre les virus et les logiciels malveillants ;
• des moyens de découplage électrique à la fois des éléments AC et des éléments structurels des locaux dans lesquels se trouve l'équipement.

Les moyens techniques de protection contre les attaques non autorisées sont responsables de la résolution des tâches principales suivantes :

• identification et authentification des utilisateurs à l'aide de noms et/ou de matériel spécial ( Touchez Mémoire, Carte à puce, etc.);
• régulation de l'accès des utilisateurs aux dispositifs physiques des postes de travail ( disques, ports d'entrée-sortie);
• contrôle sélectif (discrétionnaire) de l'accès aux disques logiques, répertoires et fichiers ;
• différenciation autoritaire (obligatoire) des accès aux données protégées sur un poste de travail et sur un serveur de fichiers ;
• création d'un environnement logiciel fermé de programmes autorisés à s'exécuter situés à la fois sur des lecteurs locaux et réseau ;
• protection contre la pénétration de virus informatiques et de logiciels malveillants ;
• contrôle de l'intégrité des modules du système de protection, des zones du système de disque et des listes de fichiers arbitraires en mode automatique et par des commandes d'administrateur ;
• l'enregistrement des actions des utilisateurs dans un journal sécurisé, la présence de plusieurs niveaux d'enregistrement ;
• protection du système de protection des données sur le serveur de fichiers contre l'accès de tous les utilisateurs, y compris l'administrateur du réseau ;
• gestion centralisée des paramétrages des moyens de différenciation d'accès sur les postes de travail du réseau ;
• l'enregistrement de tous les événements de falsification survenant aux postes de travail ;
• contrôle opérationnel du travail des utilisateurs du réseau, modification des modes de fonctionnement des postes de travail et possibilité de blocage ( si nécessaire) n'importe quelle station du réseau.

L'application réussie des moyens techniques de protection présuppose que le respect des exigences énumérées ci-dessous soit assuré par des mesures organisationnelles et les moyens physiques de protection utilisés :

• l'intégrité physique de toutes les composantes de l'UA est assurée ;
• chaque employé ( utilisateur du système) dispose d'un nom de système unique et de l'autorité minimale pour accéder aux ressources système nécessaires à l'exercice de ses fonctions;
• utilisation de programmes instrumentaux et technologiques aux postes de travail ( utilitaires de test, débogueurs, etc.), permettant des tentatives de piratage ou de contournement des mesures de sécurité, est limitée et strictement réglementée ;
• il n'y a pas d'utilisateurs de programmation dans le système protégé et le développement et le débogage des programmes sont effectués en dehors du système protégé ;
• tous les changements dans la configuration du matériel et des logiciels sont effectués de manière strictement établie ;
• matériel réseau ( concentrateurs, commutateurs, routeurs, etc.) est situé dans des endroits inaccessibles aux étrangers ( pièces spéciales, placards, etc.);
• le service de sécurité de l'information assure une gestion continue et un soutien administratif au fonctionnement des outils de sécurité de l'information.

8.2.1. Outils d'identification et d'authentification des utilisateurs

Afin d'empêcher des personnes non autorisées d'accéder à l'UA, il est nécessaire de s'assurer que le système peut reconnaître chaque utilisateur légitime (ou des groupes limités d'utilisateurs). Pour ce faire, dans le système ( dans un endroit abrité) doit stocker un certain nombre d'attributs de chaque utilisateur, par lesquels cet utilisateur peut être identifié. À l'avenir, lors de l'entrée dans le système et, si nécessaire, lors de l'exécution de certaines actions dans le système, l'utilisateur est obligé de s'identifier, c'est-à-dire indiquer l'identifiant qui lui est attribué dans le système. De plus, divers types de dispositifs peuvent être utilisés pour l'identification : cartes magnétiques, inserts de clés, disquettes, etc.

Authentification ( confirmation d'authenticité) des utilisateurs doit être effectuée sur la base de l'utilisation de mots de passe (mots secrets) ou de moyens spéciaux d'authentification, vérifiant les caractéristiques uniques (paramètres) des utilisateurs.

8.2.2. Moyens de délimiter l'accès aux ressources du système automatisé

Après avoir reconnu l'utilisateur, le système doit autoriser l'utilisateur, c'est-à-dire déterminer quels droits lui sont accordés, c'est-à-dire quelles données et comment il peut utiliser, quels programmes il peut exécuter, quand, pendant combien de temps et à partir de quels terminaux il peut travailler, quelles ressources système il peut utiliser, etc. L'autorisation de l'utilisateur doit être effectuée à l'aide des mécanismes de contrôle d'accès suivants :

• mécanismes de contrôle d'accès sélectifs basés sur l'utilisation de schémas d'attributs, de listes d'autorisations, etc. ;
• des mécanismes de contrôle d'accès faisant autorité basés sur l'utilisation d'étiquettes de confidentialité des ressources et des niveaux d'accès des utilisateurs ;
• mécanismes pour fournir un environnement fermé de logiciels de confiance ( individuel pour chaque utilisateur listes de programmes autorisés à exécuter) pris en charge par des mécanismes d'identification et d'authentification des utilisateurs lorsqu'ils se connectent au système.

Les domaines de responsabilité et les tâches des moyens techniques spécifiques de protection sont établis sur la base de leurs capacités et caractéristiques de performance décrites dans la documentation de ces moyens.

Les moyens techniques de contrôle d'accès devraient faire partie intégrante d'un système de contrôle d'accès unifié :

• à la zone contrôlée ;
• dans des pièces séparées;
• aux éléments de l'UA et aux éléments du système de sécurité de l'information ( accès physique);
• aux ressources de l'UA ( accès mathématique);
• aux stockages d'informations ( supports de stockage, volumes, fichiers, ensembles de données, archives, références, enregistrements, etc.);
• aux ressources actives ( programmes d'application, tâches, formulaires de demande, etc.);
• au système d'exploitation, aux programmes système et aux programmes de protection, etc.

8.2.3. Moyens d'assurer et de surveiller l'intégrité des ressources logicielles et informationnelles

Le contrôle de l'intégrité des programmes, des informations traitées et des moyens de protection, afin d'assurer l'invariabilité de l'environnement logiciel, déterminé par la technologie de traitement fournie, et une protection contre la correction non autorisée des informations devraient être fournis :

• moyens de calcul des sommes de contrôle ;
• au moyen d'une signature électronique ;
• moyen de comparer les ressources critiques avec leurs copies maîtres ( et récupération en cas de violation de l'intégrité);
• moyens de contrôle d'accès ( refus d'accès avec droits de modification ou de suppression).

Afin de protéger les informations et les programmes contre la destruction ou la déformation non autorisée, il est nécessaire de garantir :

• duplication de tables et de données système ;
• duplexage et mise en miroir des données sur des disques ;
• suivi des transactions ;
• contrôle périodique de l'intégrité du système d'exploitation et des programmes utilisateurs, ainsi que des fichiers utilisateurs ;
• protection et contrôle antivirus;
• sauvegarde des données selon un schéma préétabli.

8.2.4. Contrôles des événements de sécurité

Les contrôles doivent garantir que tous les événements ( actions de l'utilisateur, tentatives de personnes non autorisées, etc.), ce qui peut entraîner une violation de la politique de sécurité et conduire à l'émergence de situations de crise. Les contrôles devraient permettre de :

• surveillance constante des nœuds clés du réseau et des équipements de communication formant le réseau, ainsi que de l'activité du réseau dans les segments clés du réseau ;
• le contrôle de l'utilisation des services des réseaux d'entreprise et publics par les utilisateurs ;
• maintenir et analyser les journaux d'événements de sécurité ;
• détection rapide des menaces externes et internes à la sécurité de l'information.

Lors de l'enregistrement d'événements de sécurité, les informations suivantes doivent être enregistrées dans le journal système :

• la date et l'heure de l'événement ;
• identifiant de sujet ( utilisateur, programme) effectuer l'action enregistrée ;
• action ( si une demande d'accès est enregistrée, alors l'objet et le type d'accès sont marqués).

Les contrôles doivent être capables de détecter et d'enregistrer les événements suivants :

• connexion de l'utilisateur au système ;
• connexion de l'utilisateur au réseau ;
• échec de connexion ou de tentative de réseau ( Mot de passe incorrect);
• connexion à un serveur de fichiers ;
• démarrer le programme;
• l'achèvement du programme;
• une tentative de démarrage d'un programme qui n'est pas disponible pour le lancement ;
• une tentative d'accès à un répertoire inaccessible ;
• une tentative de lecture/écriture d'informations depuis un disque inaccessible à l'utilisateur ;
• une tentative de démarrage d'un programme à partir d'un disque qui n'est pas accessible à l'utilisateur ;
• violation de l'intégrité des programmes et des données du système de protection, etc.

Les principaux moyens suivants de répondre aux faits détectés de personnes non autorisées doivent être pris en charge ( éventuellement avec la participation d'un administrateur de sécurité):

• notification du propriétaire des informations sur le NSD à ses données ;
• suppression du programme ( Tâches) avec exécution ultérieure ;
• notification de l'administrateur de la base de données et de l'administrateur de la sécurité ;
• déconnecter la borne ( poste de travail), à partir desquels le NSD a tenté d'obtenir des informations ou des actions illégales sur le réseau ;
• exclusion du contrevenant de la liste des utilisateurs enregistrés ;
• signalisation d'alarme, etc.

8.2.5. Sécurité des informations cryptographiques

L'un des éléments les plus importants du système de sécurité de l'information des centrales nucléaires devrait être l'utilisation de méthodes cryptographiques et de moyens de protection des informations contre tout accès non autorisé pendant leur transmission par les canaux de communication et leur stockage sur support informatique.

Tous les moyens de protection cryptographique de l'information dans l'UA devraient être construits sur la base d'un noyau cryptographique de base. Une organisation doit avoir des licences établies par la loi pour le droit d'utiliser des supports cryptographiques.

Le système de clé des moyens de protection cryptographique utilisé dans l'UA devrait offrir une capacité de survie cryptographique et une protection à plusieurs niveaux contre la compromission des informations clés, la séparation des utilisateurs par niveaux de protection et les zones de leur interaction les uns avec les autres et les utilisateurs d'autres niveaux.

La confidentialité et la protection contre l'imitation des informations lors de leur transmission par les canaux de communication devraient être assurées par l'utilisation de moyens de cryptage d'abonné et de canal dans le système. La combinaison du cryptage de l'abonné et du canal de l'information doit assurer sa protection de bout en bout tout au long du chemin de passage, protéger l'information en cas de redirection erronée due à des pannes et des dysfonctionnements du matériel et des logiciels des centres de commutation.

L'UA, qui est un système avec des ressources d'information réparties, devrait également utiliser des moyens de génération et de vérification des signatures électroniques pour assurer l'intégrité et la confirmation juridiquement probante de l'authenticité des messages, ainsi que l'authentification des utilisateurs, des stations d'abonnés et la confirmation de l'heure d'envoyer des messages. Dans ce cas, des algorithmes de signature électronique normalisés devraient être utilisés.

8.3. Gestion de la sécurité de l'information

La gestion du système de sécurité de l'information dans une centrale nucléaire est un impact ciblé sur les composants du système de sécurité ( organisationnelle, technique, logicielle et cryptographique) afin d'atteindre les indicateurs et les normes requis pour la sécurité des informations circulant dans la centrale nucléaire dans le cadre de la mise en œuvre des principales menaces pour la sécurité.

L'organisation de la gestion du système de sécurité de l'information a pour objectif principal de fiabiliser la protection de l'information lors de son traitement, de son stockage et de sa transmission.

La gestion du système de sécurité de l'information est mise en œuvre par un sous-système de contrôle spécialisé, qui est un ensemble d'organes de contrôle, de moyens techniques, logiciels et cryptographiques, ainsi que des mesures organisationnelles et des points de contrôle interactifs de différents niveaux.

Les fonctions du sous-système de contrôle sont : information, contrôle et auxiliaire.

La fonction d'information consiste à surveiller en continu l'état du système de protection, à vérifier la conformité des indicateurs de sécurité aux valeurs admissibles et à informer immédiatement les opérateurs de sécurité des situations qui surviennent dans la centrale nucléaire et qui peuvent entraîner une violation de la sécurité de l'information. . Il y a deux exigences pour surveiller l'état du système de protection : l'exhaustivité et la fiabilité. L'exhaustivité caractérise le degré de couverture de tous les moyens de protection et les paramètres de leur fonctionnement. La fiabilité du contrôle caractérise le degré d'adéquation des valeurs des paramètres contrôlés à leur vraie valeur. À la suite du traitement des données de contrôle, des informations sur l'état du système de protection sont générées, qui sont généralisées et transmises aux points de contrôle supérieurs.

La fonction de contrôle est de formuler des plans pour la mise en œuvre des opérations technologiques des centrales nucléaires, en tenant compte des exigences de sécurité de l'information dans les conditions prévalant à un moment donné, ainsi que de déterminer la localisation de la situation de vulnérabilité de l'information et d'empêcher sa fuite en bloquer rapidement les sections des centrales nucléaires où des menaces pour la sécurité de l'information surviennent. ... Les fonctions de contrôle comprennent la comptabilité, le stockage et l'émission de documents et de supports d'informations, de mots de passe et de clés. Parallèlement, la génération de mots de passe, de clés, la maintenance des moyens de contrôle d'accès, l'acceptation de nouveaux outils logiciels inclus dans l'environnement logiciel AS, le contrôle de la conformité de l'environnement logiciel à la norme, ainsi que la maîtrise du processus technologique du traitement des informations confidentielles est confiée aux employés du Département des technologies de l'information et du Département de la sécurité économique.

Les fonctions auxiliaires du sous-système de contrôle comprennent la comptabilisation de toutes les opérations effectuées dans le système automatisé avec les informations protégées, la formation de documents de déclaration et la collecte de données statistiques afin d'analyser et d'identifier les canaux potentiels de fuite d'informations.

8.4. Suivi de l'efficacité du système de protection

La surveillance de l'efficacité du système de protection de l'information est effectuée afin d'identifier et de prévenir en temps voulu les fuites d'informations dues à un accès non autorisé à celui-ci, ainsi que d'empêcher d'éventuelles actions spéciales visant à détruire les informations, à détruire les technologies de l'information.

L'évaluation de l'efficacité des mesures de protection de l'information est effectuée à l'aide de contrôles organisationnels, matériels et logiciels de conformité aux exigences établies.

Le contrôle peut être effectué à la fois à l'aide de moyens standards du système de protection de l'information, et à l'aide de moyens spéciaux de contrôle et de veille technologique.

8.5. Caractéristiques de la garantie de la sécurité de l'information des données personnelles

La classification des données personnelles est effectuée en fonction de la gravité des conséquences de la perte des propriétés de sécurité des données personnelles pour le sujet des données personnelles.

• À propos des données personnelles « À des catégories spéciales de données personnelles ;
• données personnelles classées conformément à la loi fédérale " À propos des données personnelles « Aux données personnelles biométriques ;
• les données personnelles qui ne peuvent être attribuées à des catégories particulières de données personnelles, les données personnelles biométriques, les données personnelles accessibles au public ou anonymisées ;
• données personnelles classées conformément à la loi fédérale " À propos des données personnelles « Aux données personnelles accessibles au public ou anonymisées.

Le transfert de données personnelles à un tiers doit être effectué sur la base de la loi fédérale ou du consentement du sujet des données personnelles. Dans le cas où une organisation confie le traitement de données personnelles à un tiers sur la base d'un accord, une condition essentielle d'un tel accord est l'obligation du tiers d'assurer la confidentialité des données personnelles et la sécurité des données personnelles. lors de leur traitement.

L'organisation doit cesser de traiter les données personnelles et détruire les données personnelles collectées, sauf disposition contraire de la législation de la Fédération de Russie, dans les délais fixés par la législation de la Fédération de Russie dans les cas suivants :

• lors de la réalisation des objectifs de traitement ou s'il n'est pas nécessaire de les atteindre ;
• à la demande du sujet des données personnelles ou de l'organisme agréé pour la protection des droits des sujets des données personnelles - si les données personnelles sont incomplètes, obsolètes, peu fiables, obtenues illégalement ou ne sont pas nécessaires aux fins déclarées du traitement ;
• lorsque la personne concernée révoque son consentement au traitement de ses données personnelles, si ce consentement est requis conformément à la législation de la Fédération de Russie ;
• s'il est impossible pour l'opérateur d'éliminer les violations commises dans le traitement des données personnelles.

L'organisation doit définir et documenter :

• procédure de destruction des données personnelles ( y compris les supports matériels de données personnelles);
• la procédure de traitement des demandes des sujets de données personnelles ( ou leurs représentants légaux) sur le traitement de leurs données personnelles ;
• la procédure d'action en cas de demande de l'organisme agréé pour la protection des droits des personnes concernées ou d'autres organes de surveillance exerçant un contrôle et une surveillance dans le domaine des données personnelles ;
• approche pour classer l'UA en tant que systèmes d'information sur les données personnelles ( Plus loin - ISPDN );
• Liste ISPD. La liste des ISPD devrait inclure les AS, dont le but de la création et de l'utilisation est le traitement des données personnelles.

Pour chaque PDIS, les éléments suivants doivent être identifiés et documentés :

• la finalité du traitement des données personnelles ;
• le volume et le contenu des données personnelles traitées ;
• une liste d'actions avec les données personnelles et les modalités de leur traitement.

Le volume et le contenu des données personnelles, ainsi qu'une liste d'actions et de méthodes de traitement des données personnelles doivent correspondre aux finalités du traitement. Dans le cas où pour la mise en œuvre du processus informatique, dont la mise en œuvre est prise en charge par ISPD, il n'est pas nécessaire de traiter certaines données personnelles, ces données personnelles doivent être supprimées.

Les exigences visant à assurer la sécurité des données personnelles dans le RNIS sont généralement mises en œuvre par un ensemble de mesures, de moyens et de mécanismes organisationnels, technologiques, techniques et logiciels de protection des informations.

Organisation de la mise en œuvre et ( ou alors) la mise en œuvre des exigences visant à garantir la sécurité des données à caractère personnel devrait être effectuée par une unité structurelle ou un fonctionnaire (employé) de l'organisation chargée d'assurer la sécurité des données à caractère personnel, ou sur une base contractuelle par une organisation - une contrepartie d'une organisation autorisée à assurer la protection technique des informations confidentielles.

La création d'un ISPD d'une organisation devrait inclure le développement et l'approbation de ( déclaration) la documentation organisationnelle, administrative, de conception et opérationnelle du système en cours de création prévue par les termes de référence. La documentation doit refléter les questions d'assurer la sécurité des données personnelles traitées.

Le développement des concepts, les spécifications techniques, la conception, la création et les tests, l'acceptation et la mise en service de l'ISPD doivent être effectués par accord et sous le contrôle d'une unité structurelle ou d'un fonctionnaire (employé) chargé d'assurer la sécurité des données personnelles.

Tous les actifs d'information appartenant à l'ISPD de l'organisation doivent être protégés contre les effets du code malveillant. L'organisation doit déterminer et documenter les exigences pour assurer la sécurité des données personnelles au moyen d'une protection antivirus et la procédure de contrôle de la mise en œuvre de ces exigences.

L'organisation doit définir un système de contrôle d'accès qui permet de contrôler l'accès aux ports de communication, aux périphériques d'entrée/sortie, aux supports de stockage amovibles et aux périphériques de stockage de données externes ISPDN.

Les responsables des divisions d'exploitation et de service ISPD de l'organisation assurent la sécurité des données personnelles lors de leur traitement dans l'ISPDN.

Les employés qui traitent des données personnelles dans ISPDN doivent agir conformément aux instructions ( directives, règlements, etc.), qui fait partie de la documentation opérationnelle sur l'ISPD, et sont conformes aux exigences des documents de maintenance du SI.

Les responsabilités pour l'administration des moyens de protection et des mécanismes de protection qui mettent en œuvre les exigences pour garantir l'ISPD de l'organisation sont attribuées par des arrêtés ( ordres) sur les spécialistes du Département des technologies de l'information.

La procédure pour les spécialistes du Département des technologies de l'information et le personnel impliqué dans le traitement des données à caractère personnel doit être déterminée par des instructions ( des lignes directrices), qui sont préparés par le développeur ISPD dans le cadre de la documentation opérationnelle de l'ISPD.

Les instructions spécifiées ( guides):

• établir des exigences pour les qualifications du personnel dans le domaine de la sécurité de l'information, ainsi qu'une liste à jour des objets protégés et les règles de sa mise à jour ;
• contenir pleinement pertinent ( par heure) les données sur les droits des utilisateurs ;
• contenir des données sur les technologies de l'information dans la quantité nécessaire pour un spécialiste de la sécurité de l'information ;
• établir l'ordre et la fréquence d'analyse des journaux d'événements ( archives de journal);
• réglementer d'autres actions.

Les paramètres de configuration des moyens de protection et des mécanismes de protection des informations contre la falsification utilisés dans le domaine de responsabilité des spécialistes du Département des technologies de l'information sont déterminés dans la documentation opérationnelle sur l'ISPD. La procédure et la fréquence des contrôles des paramètres de configuration installés sont établies dans la documentation opérationnelle ou réglementées par un document interne, tandis que des contrôles doivent être effectués au moins une fois par an.

L'organisation doit déterminer et documenter la procédure d'accès aux locaux dans lesquels se trouvent les moyens techniques du RNIS et les supports de données personnelles, qui prévoit le contrôle de l'accès aux locaux des personnes non autorisées et la présence d'obstacles à l'entrée non autorisée dans les locaux. La procédure spécifiée doit être élaborée par une unité structurelle ou un fonctionnaire ( un employé), chargé d'assurer le régime de sécurité physique et agréé par l'unité structurelle ou le fonctionnaire ( un employé), chargé d'assurer la sécurité des données personnelles, et le Département de la sécurité économique.

Les utilisateurs et le personnel de service de l'ISPD ne doivent pas effectuer d'opérations non autorisées et ( ou alors) non enregistré ( incontrôlé) copie de données personnelles. À cette fin, des mesures organisationnelles et techniques devraient interdire ( ou alors) non enregistré ( incontrôlé) la copie de données personnelles, y compris l'utilisation aliénée ( remplaçable) supports de stockage, appareils mobiles pour copier et transférer des informations, ports de communication et appareils d'entrée/sortie qui implémentent diverses interfaces ( y compris sans fil), dispositifs de stockage d'appareils mobiles ( par exemple ordinateurs portables, PDA, smartphones, téléphones portables), ainsi que des appareils photo et vidéo.

Le contrôle de la sécurité des personnes est effectué par un spécialiste de la sécurité de l'information, à la fois à l'aide des moyens standards du système de protection de l'information, et à l'aide d'outils de contrôle et de veille technologique spécifiques.

Télécharger le fichier ZIP (65475)

Les documents se sont avérés utiles - mettez "j'aime" ou :

L'information joue un rôle particulier dans le développement de la civilisation. La possession de ressources informationnelles et leur utilisation rationnelle créent les conditions d'une gestion optimale de la société. Et au contraire, la déformation de l'information, le blocage de sa réception, l'utilisation de données inexactes conduisent à des décisions erronées.

L'un des principaux facteurs d'efficacité dans la gestion des différentes sphères de la vie publique est l'utilisation correcte d'informations de nature différente. Le rythme des progrès aujourd'hui, et plus encore demain, dépend largement de l'état des lieux dans le domaine de l'information et des services informatiques dans les domaines d'activité les plus importants - science, technologie, production et gestion.

Le problème de l'utilisation de l'information économique dans le domaine de la gestion de la production matérielle est particulièrement urgent, là où la croissance des flux d'information est dans une dépendance quadratique du potentiel industriel du pays. À son tour, le développement rapide des processus d'automatisation, l'utilisation d'ordinateurs dans toutes les sphères de la vie moderne, en plus des avantages incontestables, ont conduit à l'émergence d'un certain nombre de problèmes spécifiques. L'un d'eux est la nécessité d'assurer une protection efficace des informations. Partant de là, la création de normes juridiques garantissant les droits et obligations des citoyens, des collectivités et de l'État à l'information, ainsi que la protection de cette information, deviennent l'aspect le plus important de la politique d'information de l'État. La protection de l'information, en particulier dans le domaine économique, est une activité très spécifique et importante. Qu'il suffise de dire que dans le monde, le montant moyen des dommages causés par un vol de banque par voie électronique est estimé à 9 000 dollars.Les pertes annuelles dues aux crimes informatiques aux États-Unis et en Europe occidentale atteignent 140 milliards de dollars.Selon des experts américains, le la suppression des systèmes de sécurité de l'information des réseaux informatiques va ruiner 20 % des moyennes entreprises en quelques heures, 40 % des moyennes et 16 % des grandes entreprises feront faillite en quelques jours, 33 % des banques s'effondreront en 2 5 heures, 50% des banques en 2-3 jours.

Les informations sur les problèmes de protection des données qui ont entraîné des pertes matérielles dans les entreprises américaines sont intéressantes :

pannes de réseau (24 %) ;

erreurs logicielles (14 %) ;

virus informatiques (12 %) ;

dysfonctionnements des ordinateurs (11 %) ;

vol de données (7 %) ;

sabotage (5 %) ;

introduction non autorisée dans le réseau (4 %) ;

autres (23%).

Le développement et la généralisation rapides des systèmes informatiques et des réseaux d'information au service des banques et des bourses s'accompagnent d'une augmentation des infractions liées au vol et à l'accès non autorisé aux données stockées dans la mémoire des ordinateurs et transmises sur les lignes de communication.

Les délits informatiques se produisent aujourd'hui dans tous les pays du monde et sont courants dans de nombreux domaines de l'activité humaine. Ils se caractérisent par un grand secret, la complexité de la collecte de preuves sur les faits établis de leur commission et la complexité de prouver de tels cas devant les tribunaux. Les infractions dans le domaine de l'information informatique peuvent être commises sous la forme de :

fraude par manipulation informatique du système de traitement des données en vue d'obtenir des avantages financiers ;

espionnage informatique et vol de logiciels;

sabotage informatique;

vol de services (temps), mauvaise utilisation des systèmes de traitement de données ;

l'accès illégal aux systèmes de traitement des données et leur "piratage" ;

délits traditionnels dans le domaine des affaires (économie), commis à l'aide de systèmes informatiques.

Les délits informatiques, en règle générale, sont commis par des programmeurs système et bancaires hautement qualifiés, spécialistes dans le domaine des systèmes de télécommunication. Une menace sérieuse pour les ressources d'information est présentée par pirates informatiques et craquelins, pénétrant les systèmes informatiques et les réseaux en cassant les logiciels de sécurité. Les crackers peuvent également effacer ou modifier les données de la banque d'informations en fonction de leurs intérêts. Au cours des dernières décennies, une puissante génération de hackers potentiels hautement qualifiés a émergé dans les pays de l'ex-URSS qui ont travaillé dans des organisations et des départements impliqués dans le piratage de l'information au niveau de l'État pour utiliser les informations reçues de l'Occident à des fins militaires et économiques.

Que volent les pirates ? Un objet potentiel peut être toute information embarquée dans un ordinateur, transitant par les réseaux informatiques ou localisée sur des supports informatiques et susceptible d'apporter un profit à un pirate ou à son employeur. Ces informations regroupent la quasi-totalité des informations constituant un secret commercial des entreprises, des évolutions et savoir-faire aux fiches de paie, par lesquelles il est aisé de "calculer" le chiffre d'affaires de l'entreprise, le nombre d'employés, etc.

Les informations sur les transactions bancaires et les prêts effectués par e-mail, ainsi que sur les transactions en bourse, sont particulièrement précieuses. Les produits logiciels qui sont estimés sur le marché moderne à des milliers, voire à des millions de dollars, présentent un grand intérêt pour les pirates.

Les crackers - "terroristes informatiques" - sont impliqués dans la destruction de programmes ou d'informations à l'aide de virus - des programmes spéciaux qui assurent la destruction des informations ou des dysfonctionnements du système. La création de programmes "virus" est une activité très lucrative, car certains fabricants utilisent des virus pour protéger leurs produits logiciels contre la copie non autorisée.

Pour de nombreuses entreprises, obtenir des informations via la présentation d'un hacker-programmeur à des concurrents est l'activité la plus simple et la plus rentable. Présenter des équipements spéciaux à des concurrents, surveiller constamment leur bureau pour détecter les radiations à l'aide d'équipements spéciaux est une entreprise coûteuse et dangereuse. De plus, une entreprise concurrente, en découvrant des moyens techniques, peut lancer un jeu en réponse, donnant de fausses informations. Par conséquent, un hacker-programmeur dans le "camp de l'ennemi" est le moyen le plus fiable de combattre les concurrents.

Ainsi, le danger toujours croissant de la criminalité informatique, principalement dans la sphère financière et du crédit, détermine l'importance d'assurer la sécurité des systèmes d'information automatisés.

En dessous de la sécurité d'un système d'information automatisé d'une organisation (institution) s'entend comme sa protection contre les interférences accidentelles ou délibérées dans le processus normal de fonctionnement, ainsi que contre les tentatives de vol, de modification ou de destruction de ses composants. La sécurité du système est assurée en garantissant la confidentialité des informations qu'il traite, ainsi que l'intégrité et la disponibilité des composants et des ressources du système.

Confidentialité des informations informatiques - c'est la propriété de l'information de n'être connue que des sujets admis et vérifiés (autorisés) du système (utilisateurs, programmes, processus, etc.).

Intégrité composant (ressource) du système - la propriété d'un composant (ressource) d'être inchangé (au sens sémantique) pendant le fonctionnement du système.

Disponibilité composant (ressource) du système - la propriété d'un composant (ressource) d'être disponible pour une utilisation par les sujets autorisés du système à tout moment.

La sécurité du système est assurée par un ensemble de mesures technologiques et administratives appliquées au matériel, aux logiciels, aux données et aux services afin d'assurer la disponibilité, l'intégrité et la confidentialité des ressources informatiques ; cela comprend également des procédures pour vérifier que le système exécute certaines fonctions en stricte conformité avec leur ordre de travail prévu.

Le système de sécurité du système peut être divisé en les sous-systèmes suivants :

sécurité informatique;

sécurité des données;

logiciels sécurisés;

sécurité des communications.

Sécurité informatique est assurée par un ensemble de mesures technologiques et administratives appliquées au matériel informatique afin d'assurer la disponibilité, l'intégrité et la confidentialité des ressources associées.

Sécurité des données est réalisé en protégeant les données contre les modifications, destructions ou divulgations non autorisées, accidentelles, intentionnelles ou négligentes.

Logiciel sûr est un programme et des outils à usage général et applicatif qui effectuent un traitement sécurisé des données dans le système et utilisent en toute sécurité les ressources du système.

Sécurité des communications fourni par l'authentification des télécommunications en prenant des mesures pour empêcher la fourniture d'informations critiques à des personnes non autorisées, qui peuvent être émises par le système en réponse à une demande de télécommunications.

À installations de sécurité de l'information dans l'entreprise (firme) comprennent :

ressources d'information contenant des informations classées comme secret commercial et des informations confidentielles présentées sous la forme de tableaux d'informations et de bases de données documentés;

moyens et systèmes d'informatisation - moyens de technologie informatique et organisationnelle, réseaux et systèmes, système général et logiciels appliqués, systèmes de contrôle automatisés d'entreprises (bureaux), systèmes de communication et de transmission de données, moyens techniques de collecte, d'enregistrement, de transfert, de traitement et d'affichage informations, ainsi que leurs champs physiques informatifs.

Dans le monde moderne, les ressources informationnelles sont devenues l'un des puissants leviers de développement économique des entreprises (firmes), qui jouent un rôle important dans l'activité entrepreneuriale. De plus, le manque d'ordinateurs efficaces et de technologies de l'information modernes dans le domaine des affaires domestiques, qui sont à la base du fonctionnement des économies « rapides », entrave considérablement la transition vers de nouvelles formes de gestion.

Dans les systèmes d'information et de gestion automatisés d'entreprise (firme), le premier plan est la fourniture d'une solution efficace aux tâches de gestion du marketing, c'est-à-dire les tâches de comptabilité et d'analyse des contrats et des contacts d'une entreprise (firme), la recherche de partenaires commerciaux, l'organisation campagnes publicitaires pour la promotion de biens, la fourniture de services intermédiaires, l'élaboration d'une stratégie de pénétration du marché, etc.

Faute du soutien des diverses structures de pouvoir politiques, commerciales et officielles, il n'est généralement possible de mener à bien toute opération sérieuse de haute qualité qu'en cachant leurs véritables activités (« business illégal ») et leur vrai visage (« personnalité illégale »).

Cela s'applique à la fois à un individu indépendant et à un groupe informel spécialement créé pour résoudre certaines tâches délicates, pas universellement approuvées.

Le même problème se pose lorsque, pour une raison quelconque, une personne a besoin de se cacher de divers services de nature commerciale, étatique, criminelle, politique.

Vous pouvez devenir un immigrant illégal typique à la fois intentionnellement et involontairement. Dans tous les cas, cependant, il est nécessaire de connaître au moins un minimum de tactiques de sécurité standard afin de traverser avec succès cette période sans perdre la liberté physique ou mentale, et parfois la vie elle-même, par pure bêtise.

Le niveau des mesures d'assurance utilisées dépend fortement à la fois du degré de secret souhaité de la personne (ou du groupe), et de la situation, de l'environnement et, bien sûr, des capacités des assurés eux-mêmes.

Certaines techniques de sécurité personnelle devraient devenir une habitude naturelle et devraient être exécutées quels que soient les besoins de la situation momentanée.

Ce qui est présenté ici n'épuise pas les moyens possibles de l'assurance courante, dont le critère d'application est toujours la haute opinion de l'ennemi et, bien sûr, le bon sens des assurés eux-mêmes.

Les types de sécurité suivants sont typiques :

Externe (au cours de la communication avec des étrangers);

Interne (lors de la prise de contact dans votre environnement et groupe) ;

Local (dans diverses situations et actions).

Considérons tout cela un peu plus en détail.

Sécurité externe

Divers problèmes peuvent survenir lors de la communication avec les gens ordinaires et les agences gouvernementales, mais beaucoup de choses ici peuvent être prévues et évitées en utilisant le principe banal des trois "non": ne pas irriter, ne pas déranger, ne pas se démarquer.

Il est nécessaire:

N'attirez pas indûment l'attention sur vous (la tactique « dissoudre dans l'environnement ») :

- ne vous démarquez pas en apparence (coupe de cheveux ordinaire, vêtements décents, absence de quoi que ce soit de "bruyant"; si toutefois votre environnement est extravagant, alors - soyez comme eux ...);

- ne vous impliquez pas dans des querelles et des scandales (ceci, d'une part, vous attire inutilement l'attention et, d'autre part, il peut s'agir simplement d'une provocation visant à la détention ou à la « punition »);

- établir avec précision toutes les factures de services publics et autres frais d'État ; toujours payer les frais de transport ;

- essayer de suivre fidèlement l'image du rôle social choisi et de ne pas se plaindre du travail (et de ne pas se démarquer dans le contexte collectif général...) ;

- ne pas attiser la curiosité obsessionnelle des voisins pour le mode de vie inhabituel ou les visites de personnes différentes ;

- ne montrez pas une conscience excessive de quoi que ce soit, à moins bien sûr que votre rôle l'exige (n'oubliez pas les anciens : « Le vigilant doit avoir une loi de trois non : « Je ne sais pas », « Je n'ai pas entendu ”,“ je ne comprends pas ”") ...

Ne suscitez aucune hostilité chez les voisins, collègues et connaissances, mais suscitez chez eux de la sympathie :

- ne pas être un "mouton noir" (les gens sont toujours attirés par celui qui se révèle du côté qu'ils comprennent...) ;

- développer un comportement qui ne provoque pas chez les autres d'alerte (curiosité excessive, "intelligence" ou obsession...) ou d'hostilité (manque de tact, ennui, orgueil, impolitesse...) ;

- être égal et gentil avec tout le monde et, si possible, leur fournir des services mineurs (mais pas serviles !) ;

- ne rien faire qui puisse provoquer le mécontentement et la curiosité des voisins (claquement de la porte la nuit, excès de visiteurs, retour à la maison en taxi, visites de femmes, appels téléphoniques tardifs dans un appartement partagé...).

Surveillez attentivement toutes vos connexions et contacts (rappelez-vous que "le plus dangereux de tous est l'ennemi dont vous ne vous doutez pas") :

- de garder des secrets vis-à-vis de leurs voisins (épouses, amis, parents, maîtresses...) ;

- avec la vigilance habituelle (« pourquoi et pourquoi ? ») Percevoir toujours les tentatives de rapprochement (connaissance occasionnelle, recommandations de quelqu'un...) ;

- d'être attentif à tous les employés des services de réparation, de publicité et de service, de parcourir leurs documents et de vérifier poliment, mais raisonnablement, l'identité par téléphone, puis - avec les « collègues » ;

- faire attention à tous ceux qui offrent, pour ainsi dire, des services "désintéressés" (prête de l'argent, aide activement à quelque chose, fournit quelque chose dont vous avez besoin à bon marché...).

Découvrez vos propres vulnérabilités et sachez comment vous protéger ici :

- analyser toute votre vie et mettre en évidence ces moments douteux qui peuvent être utilisés pour le chantage ou le discrédit ;

- évaluer avec réalisme les conséquences possibles de la divulgation de tels faits à tous ceux à qui ils peuvent être communiqués ;

- estimer qui et pour quelle raison est en mesure de connaître des preuves compromettantes et comment il est possible de neutraliser une telle connaissance ;

- identifier les objets de votre vulnérabilité (femme, enfants, principes moraux...), car à travers eux des pressions peuvent s'exercer sur vous ;

- de révéler vos faiblesses (loisirs, vin, sexe, argent, traits de caractère...) et de vous rappeler qu'elles peuvent toujours être utilisées contre vous.

- Ne vous impliquez pas dans des escroqueries douteuses qui ne sont pas liées à une cause commune. Dans les aventures risquées liées à l'affaire, ne vous impliquez qu'avec la permission d'en haut.

Les contacts dans leur propre environnement ne peuvent pas être considérés comme sûrs garantis. N'oubliez pas que "le plus grand mal vient généralement de deux conditions : de divulguer des secrets et de faire confiance aux traîtres".

Garder le secret de la personne :

- au lieu de vrais noms, des pseudonymes sont toujours utilisés (généralement nominaux, mais aussi numériques, alphabétiques ou "surnom"); dans chaque sens, les « joueurs » passent sous un pseudonyme distinct, bien qu'il soit possible de travailler sous plusieurs options, ainsi que d'agir sous un pseudonyme commun de plusieurs personnes différentes ;

- les membres de l'équipe, si possible, ne se connaissent que sous des pseudonymes ; seules les personnes autorisées doivent connaître les vrais noms de famille, adresses de domicile et numéros de téléphone ;

- avec la possibilité imminente d'échec et de déchiffrement, tous les alias utilisés, en règle générale, changent;

- vous ne devez donner à personne d'informations intimes ou autres sur votre propre personne ;

- essayez de créer (en utilisant des indices ou des rumeurs) une "légende" fictive, mais apparemment plausible sur vous-même ;

- personne dans le groupe ne doit manifester un intérêt excessif pour les activités, les habitudes et la vie intime de ses camarades ;

- personne ne doit divulguer à d'autres des données sur les partenaires, à moins que cela ne soit requis d'urgence ;

- dans certains cas, il est judicieux de changer visuellement le look (coiffure, barbe, maquillage, perruques, tatouages, couleur de peau, lunettes à lunettes simples ou smoky et montures différentes, inserts qui changent la voix et la démarche...) ;

- vous devez prendre l'habitude de ne laisser aucune trace matérielle indiquant que vous étiez ici (mégots de cigarettes, bouts de papier abandonnés, traces de chaussures, odeurs contrastées, changements notables de l'environnement...).

Maintien du secret de l'affaire :

- des contacts de travail actifs sont maintenus avec un ensemble strictement limité de personnes (le système des triples ou des cinq, selon les tâches à résoudre...), alors que les camarades ne doivent pas savoir ce que font spécifiquement les partenaires ;

- tout le monde ne se spécialise que dans deux ou trois domaines, après qu'il soit devenu trop dangereux pour lui de s'engager dans des activités dans l'un d'eux - un répit est possible, ainsi qu'une transition vers une autre direction ;

- il faut bien distinguer travail opérationnel et travail informationnel : que chacun ne fasse que ses affaires ;

- Mieux encore, la préparation d'une action spécifique est masquée par des mesures pour en mettre en œuvre une autre ;

- vous ne pouvez parler de vos activités à d'autres que si cela leur est nécessaire pour le cas ; rappelez-vous que le secret est gardé par un maximum de cinq personnes ;

- il est nécessaire de ne transférer l'information reçue qu'à ceux qui en ont manifestement besoin (se montrer trop conscient de quelque chose peut révéler la source de l'information, ce qui peut conduire à sa neutralisation) ;

- soyez prudent lorsque vous utilisez des moyens de communication qui offrent des possibilités claires d'interception d'informations (messages électroniques, conversations radio - et téléphoniques...) ;

- en aucun cas n'écrivez en clair en lettres d'adresses, de noms et d'attitudes réels, ne les mentionnez pas dans les conversations menées dans la rue ou au téléphone ;

- utiliser des codes et des pseudonymes même lors de la communication intra-groupe, en les changeant de temps à autre ;

- le groupe doit avoir 2-3 codes distincts connus de différentes personnes ;

- s'appuyer davantage sur la mémoire que sur l'enregistrement ; dans ce dernier cas, vous devez utiliser votre code personnel et votre code ;

- essayez de ne pas avoir d'articles compromettants écrits de votre propre main ou imprimés sur votre propre équipement de bureau ;

- lorsqu'il s'agit de personnes « exposées », s'abstenir de tout contact direct, en utilisant, si nécessaire, des personnes auxiliaires ou d'autres moyens de communication ;

- tenez toujours compte et rappelez-vous qu'il existe une possibilité de fuite d'informations ou de trahison, et soyez prêt à des contre-actions appropriées.

La meilleure garantie de succès est généralement un filet de sécurité, et il est donc conseillé d'effectuer toutes les actions en tenant compte de tous les problèmes possibles du côté de l'ennemi ou des passants qui se sont accidentellement présentés.

Règles générales pour la communication directe.

essayez de ne pas avoir de conversations informatives en texte clair dans une rue bondée ou dans les transports en commun ;

il ne faut pas mentionner dans une conversation ouverte de vrais noms de famille, noms, surnoms et adresses bien connus, et ne pas utiliser non plus une terminologie "alarmante" ;

utiliser des noms de code pour désigner des actions individuelles ;

les aspects les plus secrets de la conversation (vraies adresses, mots de passe, dates) sont écrits sur papier, qui est ensuite détruit ;

il est nécessaire de s'y retrouver dans les capacités techniques des systèmes d'écoute et de connaître les contre-mesures élémentaires (voir la section sur l'obtention d'informations...) ;

si l'un des interlocuteurs remarque quelque chose d'alarmant au cours d'une conversation, le partenaire est prévenu par un mot spécial ("atas"...) ou un geste (doigt aux lèvres...), et toute la conversation est transférée sur un canal neutre ;

si vous savez que vous êtes écouté, il vaut mieux ne pas mener de négociations informatives ou les utiliser à des fins de désinformation ;

quand on est censé être "écouté", mais qu'on a quand même besoin de communiquer, alors ils utilisent un langage conventionnel, où les phrases inoffensives ont un tout autre sens ; des phrases qui ne doivent pas être prises en compte sont également utilisées (elles sont généralement signalées par une sorte de geste convenu, par exemple, croiser les doigts...), et souvent des techniques standard (toux, insertions dans la bouche...) qui font il est difficile d'identifier le locuteur ;

lorsqu'il est nécessaire d'assurer le secret complet de la communication dans un lieu surpeuplé, des méthodes de communication conditionnelle (non verbale) sont utilisées, telles que le langage des gestes, les mouvements du corps et les gestes des doigts, ainsi que des codes basés sur les attributs de vêtements (différentes positions de la coiffe, pince à cravate, mouchoir...) ou pour manipuler des objets improvisés (montres, cigarettes, clés...).

A. SÉCURITÉ PERSONNELLE :

- essayez de négocier l'heure des appels des autres et des vôtres et limitez la fréquence des contacts ;

- n'abusez pas des conversations sur votre propre téléphone (étant donné qu'il peut être mis sur écoute) et ne donnez pas inutilement votre numéro aux autres (sachant qu'il est facile de joindre votre adresse en l'utilisant) ;

- tenir compte du fait qu'ils peuvent écouter à la fois l'intégralité de la conversation téléphonique (lorsqu'ils sont connectés à la ligne...), et uniquement ce dont vous parlez (un "bug" ou un voisin à l'extérieur de la porte...) ;

- il est utile d'intégrer dans l'appareil le "contrôle" le plus simple (fixation de la chute de tension...) pour connecter l'équipement de quelqu'un d'autre à la ligne ;

- utiliser l'identification de l'appelant (identification automatique de l'appelant), mais il vaudrait mieux "anti-identification de l'appelant", afin de ne pas annoncer votre numéro lorsque vous appelez d'autres personnes ;

- ne pas se fier à la fiabilité d'un quelconque radiotéléphone ;

- il est préférable d'établir des contacts longue distance et autres contacts fixes à partir du "numéro" de quelqu'un d'autre via un "jumeau" cellulaire ou une extension radio (voir la section sur le chantage...) contacts dans le tableau de distribution ;

- pour un plus grand secret des négociations, vous pouvez utiliser des brouilleurs (au moins de simples onduleurs et brouilleurs improvisés), bien que leur utilisation puisse fortement stimuler l'attention des autres;

- il ne faut pas particulièrement se fier à la protection par "bruit" ou "hausse de tension dans la ligne" ;

- si vous ne voulez pas "décrypter" l'interlocuteur, alors vous pouvez essayer de changer de voix (au moyen d'astuces mécaniques et électroniques, ou par simple toux, étirement et écartement des lèvres, pincement du nez...) et stylistique dessin de la conversation (en utilisant le jargon...) ;

- n'oubliez pas qu'il y a aussi parfois des écoutes téléphoniques dont la localisation se calcule facilement, comme tous les autres téléphones ;

- si vous avez besoin de l'appel de quelqu'un d'autre, mais qu'il n'y a aucune envie de donner vos coordonnées, un intermédiaire est utilisé - avec un répondeur ou un "répartiteur" en direct qui peut savoir ou ne pas savoir (option aller simple...) votre numéro privé - téléphone ;

- dans certains cas, il est possible d'utiliser le téléphone sans mot dire, lorsqu'un, et le plus souvent plusieurs appels "vides" à un certain rythme affichent un code ;

- un signal spécifique peut parfois être simplement le fait d'un appel d'une certaine personne lors de la conversation la plus insignifiante, ainsi que la mention codée de noms conventionnels en cas d'« erreur de numéro ».

B. ASSURER LA SÉCURITÉ VERBALE :

- ne menez pas de conversations professionnelles en clair ;

- ne pas citer les vraies dates, noms, adresses ;

- utiliser les noms de code des actions individuelles ;

- utiliser un langage conventionnel, dans lequel les phrases inoffensives ont un sens complètement différent ;

- de n'appeler qu'en cas de nécessité, bien qu'il soit également possible d'avoir des conversations fréquentes « hors affaires » avec la même personne (la tactique de « dissoudre l'information »).

C. CONVERSATION AVEC DES EXTÉRIEURS :

- tout le dialogue est mené par le partenaire, et vous dites simplement « oui » ou « non » pour que ceux qui se tiennent à côté de vous ne comprennent pas et n'apprennent pas ;

- qu'il y ait des étrangers à proximité est signalé en texte clair ou en code verbal ; la conversation qui suit doit être menée par un partenaire qui n'est pas apte à poser des questions nécessitant des réponses détaillées ;

- lorsqu'il y a contrôle direct d'une personne pas très sympathique, le partenaire en est averti par une phrase-code négociée (mieux dans une salutation...), après quoi toute la conversation se déroule dans un style vide ou de désinformation ;

- si l'un des interlocuteurs pense que son téléphone est sur écoute, il essaie immédiatement d'en avertir les appelants au moyen d'une phrase bien connue de tous (« mal aux dents »...), puis la conversation tourne dans un canal neutre.

D. UTILISATION D'UN TÉLÉPHONE PARTAGÉ (EN APPARTEMENT, AU TRAVAIL...) :

- utiliser le moins possible un tel téléphone (notamment « pour l'accueil »), si cela n'est pas lié au rôle joué (répartiteur, agent de publicité…) ;

- la même personne doit appeler ce téléphone ;

- essayez de ne pas appeler trop tard et trop tôt ;

- lorsque des personnes extérieures tentent d'identifier la voix de l'appelant ("Qui demande ?"...), répondez poliment et de manière neutre ("collègue"...) et, si l'appelé n'est pas présent, arrêtez immédiatement la conversation ;

- en fait, il n'est pas difficile de faire un téléphone séparé, en utilisant, par exemple, un répartiteur de code, de sorte qu'en même temps une numérotation spécifique d'un numéro commun fournira de manière fiable un appel uniquement à votre appareil, sans affecter le voisin un du tout.

Le niveau de mesures de sécurité requis dans des cas spécifiques dépend du degré de secret souhaité du contact, du degré de légalité de ses participants et du contrôle éventuel de celui-ci par des étrangers.

A. SÉLECTIONNER UN LIEU DE RÉUNION :

- à la recherche de lieux de contact adaptés, ils s'appuient généralement sur les principes de naturel, de validité et d'aléatoire ;

- les réunions fréquentes sont plus faciles à réaliser sur le lieu d'une fête ludique (insertion dans son dessin...), dans la salle de gym de la section sportive, dans la salle de travail... ;

- des réunions particulièrement sérieuses peuvent être réalisées dans des terrains de chasse, des datchas spécialement louées, dans des bains, des sanatoriums de villégiature, dans toutes sortes de centres sportifs, sur des plages à l'étranger ;

- Des rencontres en binôme sont prévues dans le métro et les places, dans les toilettes et dans les voitures, dans les rues peu peuplées, dans les zoos, musées et expositions ; les intersections dans de tels endroits sont peu probables et, par conséquent, elles sont moins dangereuses ;

- il convient de s'abstenir de réunions complotistes dans un restaurant réputé, un café à la mode et dans une gare, étant donné que ces points sont généralement contrôlés ;

- il est possible d'organiser des réunions "au hasard" dans des appartements privés de tiers à une occasion raisonnable (enterrement, anniversaire, "lavage" d'un certain événement ...);

- il ne faut pas faire de réunions (à l'exception des habituelles) dans des appartements collectifs stéréotypés ;

- utiliser vos propres appartements pour le contact dans la mesure la plus limitée possible ;

- dans certains cas, il est judicieux de louer un appartement sécurisé spécial, si possible dans la maison où il y a une sortie en double ;

- lors de l'examen du lieu de rendez-vous, assurez-vous qu'il est possible d'y entrer sans être remarqué et comment vous pouvez vous en échapper en toute sécurité ; rappelez-vous la vieille vérité : « Si vous ne savez pas comment sortir, n'essayez pas d'entrer !

B. INFORMATIONS SUR LA RÉUNION :

- les lieux d'une éventuelle réunion sont généralement discutés à l'avance, et tous reçoivent un code - alphabétique, numérique ou "faux" - nom, avec plusieurs options pour chacun ;

- le contact envisagé est communiqué à d'autres par téléphone, téléavertisseur, courrier, ainsi que par messagerie ;

- en acceptant de se rencontrer sur les lignes de communication « ouvertes », utiliser le nom de code du lieu, la date cryptée (par exemple, la veille de celle indiquée) et l'heure décalée (par un nombre constant ou glissant) ;

- avant la date prévue, il est nécessaire d'émettre une confirmation de la prise de contact soit en clair, soit par signalisation ;

- s'il est permis d'attendre lors d'un rendez-vous (à un arrêt de transport en commun, dans une file d'attente à une station-service...), il est conseillé d'indiquer un délai précis au-delà duquel il n'est pas nécessaire d'attendre.

B. CONDUIRE LA RÉUNION :

- aux réunions bondées, il ne faut pas arriver en foule, mais dispersé et ne pas laisser toutes les voitures personnelles au même endroit ;

- essayer d'éviter la présence d'étrangers et de personnes inutiles au camp d'entraînement ;

- se rendre compte que ceux qui n'ont pas besoin d'être informés des réunions secrètes bondées, ne doivent pas emporter avec eux des objets manifestement compromettants (armes, faux documents...) et se rappeler qu'ils peuvent parfois être glissés ;

- il est hautement souhaitable de contrôler le lieu de communication par des personnes privilégiées avant, pendant et après la réunion, afin qu'elles puissent, si nécessaire, avertir du danger émergent en utilisant tous les signaux convenus (en tenant compte de leur capture) ;

- avec toutes sortes de contacts, il faut savoir comment on peut être espionné ou entendu, en s'obstinant à se poser de courtes questions : « Où ? Comment? Qui?";

- en particulier les conversations secrètes doivent être menées dans des points isolés locaux, vérifiés et assurés pour toutes les possibilités d'écoute, de voyance et de sape ;

- il est souhaitable de disposer au moins d'indicateurs simples qui renseignent sur le rayonnement des micros radio ou si l'interlocuteur dispose d'un dictaphone enregistreur ;

- il est utile d'utiliser des silencieux d'allumage même "maladroits", ainsi que des générateurs d'effacement d'enregistrement magnétique;

- les rencontres de paires illégales classiques sont toujours calculées à la minute près et se déroulent de manière "aléatoire" ;

- pour arriver au point de rendez-vous exactement à l'heure convenue, il est nécessaire d'effectuer le chronométrage du mouvement à l'avance et de laisser une certaine marge de temps pour toutes sortes de surprises (blocage de l'itinéraire, ligature d'un étranger, accident de la circulation ...);

- si le rendez-vous est prévu dans la rue, cela ne fait pas de mal de s'y promener une heure avant le rendez-vous, en regardant attentivement chaque passant et toutes les voitures en stationnement ; si quelque chose vous inquiète, le contact doit être reporté, en informant votre partenaire à l'aide d'une communication par signal camouflé ;

- lors de rencontres avec des personnes inconnues, ces dernières se reconnaissent par une description de leur apparence, une posture ou un geste précis, une mention des choses tenues dans leurs mains, et mieux encore - à partir d'une photographie, avec une confirmation supplémentaire de l'identité avec un mot de passe verbal (et autre);

- il est nécessaire d'être situé dans un hôpital de manière à ce qu'il soit à tout moment possible de contrôler les endroits évidents de la menace (par exemple, dans un café - face à l'entrée, tout en regardant ce qui se passe par la fenêtre et étant situé non loin d'un passage de service ouvert...) ;

- mémoriser et suivre toutes les règles de communication verbale mentionnées précédemment.

D. ORGANISATION DE LA CONDUITE DES RÉUNIONS À HUIS CLOS (NÉGOCIATIONS).

L'organisation de tout événement, y compris les réunions et les négociations, est associée à sa préparation. Il n'y a pas de règles uniques et infaillibles dans ce sens. Cependant, la variante suivante du schéma d'une telle préparation est recommandée: planification, collecte et traitement du matériel, analyse du matériel collecté et édition.

Au stade initial de la planification, le sujet ou les problèmes qu'il est souhaitable de discuter et les participants potentiels à la conversation d'affaires sont déterminés. De plus, le moment le plus réussi est choisi et ce n'est qu'alors qu'ils conviennent du lieu, de l'heure de la réunion et de l'organisation de la sécurité de l'entreprise (en règle générale, ces conversations sont menées en tête-à-tête, de manière confidentielle, sans la participation d'étrangers ).

Lorsque la réunion est déjà programmée, un plan est établi. Tout d'abord, vous devez déterminer les objectifs auxquels l'entrepreneur est confronté, puis développer une stratégie pour les atteindre et des tactiques pour mener une conversation.

Un tel plan est un programme clair d'actions pour préparer et mener une conversation spécifique. La planification vous permet d'atténuer, de neutraliser l'influence de nouveaux faits inattendus ou de circonstances imprévues sur le cours de la conversation.

Le plan comprend les responsables de la mise en œuvre de chaque élément du plan et les mesures suivantes pour organiser la sécurité de la réunion (négociations) :

1. Rencontrer les invités arrivant pour la rencontre avec le client.

2. Coordination des actions de la garde principale et des gardes du corps des personnes invitées.

3. Sécurité des vêtements, des effets personnels des invités et de leurs voitures sur le territoire adjacent.

4. Prévention des incidents entre invités lors d'une réunion.

5. Surveiller l'état des boissons, collations et autres friandises (des chiens dressés sont utilisés à ces fins).

6. Identification des personnes suspectes lors de l'événement ou dans des locaux adjacents.

7. Nettoyage des locaux (salle de réunion et salles attenantes) avant les négociations pour l'extraction des écoutes et des engins explosifs.

8. Établissement de postes de fixation et d'observation des personnes :

a) venir à une réception d'affaires ou à une réunion avec des forfaits, des portefeuilles, etc. ;

b) apporter du matériel audio ou vidéo à l'événement ;

c) qui viennent à une réception d'affaires ou à une réunion pour une courte période ou qui quittent l'événement de façon inattendue.

9. Prévention de l'écoute des conversations des organisateurs de l'événement et des invités dans les locaux et au téléphone.

10. Développement d'options de sauvegarde pour mener des négociations (dans un appartement privé, dans un hôtel, dans une voiture, sur un bateau, dans un bain public (sauna), etc.).

Cette liste d'activités n'est pas exhaustive. Elle peut être considérablement élargie et précisée en fonction des conditions de l'objet de la protection, de la nature de l'événement et d'autres conditions convenues avec le client.

Les tâches courantes qui sont résolues lors d'une réunion (négociations) ou d'autres événements publics comprennent :

1) les locaux pour les négociations sont choisis de telle sorte qu'ils soient situés au premier ou au dernier étage et soient situés entre les locaux contrôlés par le service de sécurité ;

2) familiarisation avec l'objet de la protection, établissement de l'état de la situation criminogène qui l'entoure ;

3) établir une interaction avec la police pendant la période des événements ;

4) établissement d'un contrôle d'accès afin d'empêcher le transfert d'armes, de substances explosives, inflammables et vénéneuses, de drogues, d'objets lourds et de pierres vers l'objet gardé ;

5) l'interdiction du passage vers la zone protégée ou vers les locaux protégés des personnes avec des chiens ;

6) contrôle et maintien de l'ordre sur le territoire adjacent et dans les locaux adjacents ;

7) répartition des rôles entre les gardes du groupe de renfort (soutien) ;

8) détermination de l'équipement des gardes, y compris leurs armes et communications ;

9) mise en place de postes de contrôle et d'observation ouverts et « cryptés » ;

10) préparation du transport en cas de circonstances extrêmes et évacuation des participants à l'événement ;

11) vérifier la stabilité de la communication sur le territoire de l'objet afin d'identifier les zones dites « mortes » ;

12) vérifier la possibilité d'utiliser des armes à gaz et des bombes lacrymogènes afin d'identifier la direction du mouvement de l'air, les courants d'air et les tourbillons, afin que les gardes eux-mêmes ne souffrent pas de l'utilisation de moyens spéciaux ;

13) vérifier la cohérence des gardes en pratiquant diverses tâches introductives.

Pendant la phase de travail de protection, les agents de sécurité (entreprise de sécurité) doivent remplir avec précision leurs tâches spécifiées au stade de la préparation.

Parallèlement, une attention particulière est portée aux questions suivantes :

1) l'arrivée tardive de participants à l'événement, qui comptent sur un régime d'accès faible après le début de la réunion (négociations) ;

2) l'inspection obligatoire du contenu des portefeuilles et des big bags ou l'utilisation de détecteurs de métaux portatifs, de détecteurs de vapeurs d'explosifs utilisés pour détecter les mines, grenades, bombes lourdes et autres explosifs ;

3) les véhicules entrant et sortant de la zone protégée devraient faire l'objet d'une inspection spéciale, au moins visuelle. Ceci est particulièrement important afin d'empêcher l'entrée d'étrangers dans l'objet gardé et d'exclure l'exploitation des véhicules des participants à la réunion (négociations) ;

4) le contrôle de l'intérieur et des porte-bagages des voitures sortantes peut empêcher l'enlèvement des personnes arrivées à l'événement, dans le but d'extorquer les organisateurs de la réunion (négociations) ;

5) protection des vêtements d'extérieur et des effets personnels des participants à l'événement afin d'en exclure le vol et d'établir des onglets radio ;

6) malgré le désir des dirigeants de l'événement d'avoir une belle vue depuis la fenêtre, il faut garder à l'esprit que la zone doit être pratique pour le contrôle par le service de sécurité (société de sécurité);

7) sous les fenêtres des locaux des négociations, ne devraient pas être garées des voitures dans lesquelles il pourrait y avoir des équipements pour récupérer des informations à partir de signets radio;

8) création de zones de sécurité pour les locaux destinés aux négociations et l'équiper d'équipements spéciaux, écrans, générateurs de bruit, etc.;

9) lors de la négociation afin de préserver un secret commercial, toutes les informations "secrètes" sont soumises par écrit, et sa discussion est en langue ésopienne.

Au stade final de l'événement, il est nécessaire de maintenir la vigilance du personnel de sécurité (entreprise de sécurité), malgré l'apparente insignifiance des événements qui se déroulent dans l'établissement, ce qui peut être très trompeur.

Vérifier l'installation après la fin de l'événement peut être associé à un risque pour la vie tout aussi important que de travailler dans les étapes précédentes. Pendant cette période, le nettoyage final de l'objet est effectué selon la même technique que lors des mesures préparatoires. Dans le même temps, une recherche est effectuée pour les personnes qui peuvent se cacher dans l'établissement ou les victimes de criminels qui ont besoin d'une assistance médicale. Une attention particulière est portée aux objets et choses oubliés.

Les souvenirs et cadeaux présentés au responsable de l'organisation (cabinet) et aux autres participants de l'événement font l'objet d'un examen de contrôle.

Tout ce qui est découvert par les gardiens de l'établissement qui n'appartient pas aux employés de l'organisation (entreprise) fait l'objet d'un transfert au client ou à l'administration des lieux protégés avec une copie de l'inventaire. Le deuxième exemplaire de l'inventaire avec la signature de la personne qui a pris les choses pour le stockage est conservé au service de sécurité (société de sécurité).

Un appartement, une voiture, une rue, un restaurant ne peuvent pas être des "défenseurs" fiables des secrets commerciaux. Par conséquent, vous devriez tenir compte des conseils des professionnels.

Lors de la tenue de réunions d'affaires, il est impératif de fermer les fenêtres et les portes. Il est souhaitable qu'une pièce isolée, telle qu'un hall, serve de salle de réunion.

Les concurrents, s'ils le souhaitent, peuvent facilement écouter les conversations, assis dans des pièces voisines, par exemple, dans un appartement à l'étage supérieur ou inférieur. L'époque où les agents de renseignement de tous les pays et peuples perçaient des trous dans les plafonds et les murs est révolue depuis longtemps - les microphones particulièrement sensibles permettent de recevoir les informations nécessaires presque sans entrave.

Pour les négociations, il est nécessaire de choisir des locaux avec des murs isolés, de se familiariser avec les voisins vivant à l'étage supérieur et inférieur; savoir s'ils louent leur appartement (chambre) à des étrangers. Cela vaut la peine de transformer les voisins en alliés, mais en même temps, tenez compte du fait qu'ils peuvent jouer un double jeu ou se transformer discrètement de sympathisants en maîtres chanteurs.

L'activité des concurrents dépend avant tout du sérieux de leurs intentions. Si nécessaire, des dispositifs d'écoute ("bugs") peuvent être installés directement dans l'appartement de l'entrepreneur - et ici, ni les portes en fer, ni les serrures importées, ni la sécurité bien formée n'aideront.

Un homme d'affaires devrait demander à ses proches de n'inviter chez lui que des personnes connues, si possible, pour contrôler leur comportement. Lors de l'accueil des invités, les portes du bureau à domicile doivent être fermées à clé, et afin de ne pas séduire les enfants, le magnétoscope et l'ordinateur doivent être dans un endroit accessible pour eux. L'ordinateur, bien sûr, devrait être dépourvu de programmes de travail et d'informations confidentielles.

En cas de soupçon que votre voiture est "équipée", avant de négocier dans celle-ci, il est nécessaire d'effectuer l'opération "voiture propre".

La veille d'un rendez-vous d'affaires, l'un des salariés de l'entreprise ou un ami de l'entrepreneur, en qui il a toute confiance, doit laisser la voiture à l'endroit convenu. Quelques minutes plus tard, un homme d'affaires passe de sa voiture à une voiture abandonnée et, sans s'arrêter nulle part, se lance dans les négociations. Dans ce cas, n'oubliez pas de prendre une procuration pour le droit de conduire la voiture de quelqu'un d'autre !

Pendant les négociations, la voiture doit être en mouvement et ses vitres doivent être bien fermées. Aux arrêts de bus (par exemple, à un feu de circulation), il est préférable de ne pas discuter de questions confidentielles.

Analysons où d'autre un homme d'affaires peut tenir une réunion d'affaires importante ?

Dans la rue. Pour écouter les conversations, deux types de microphones peuvent être utilisés - hautement directionnels et intégrés. Les premiers vous permettent de filmer des informations à une distance allant jusqu'à un kilomètre dans la ligne de mire. Les microphones intégrés fonctionnent de la même manière que les signets radio.

Pour lutter efficacement contre les microphones très directionnels, il est nécessaire de se déplacer tout le temps, en changeant brusquement la direction du mouvement, en utilisant les transports en commun, en organisant une contre-surveillance - avec l'aide du service de sécurité ou d'agents embauchés de sociétés de détectives privés.

Au restaurant. La position statique vous permet de contrôler les conversations dans les salles de restaurant communes. Par conséquent, un maître d'hôtel fiable est requis pour de telles réunions d'affaires. À un moment opportun pour l'entrepreneur et de manière inattendue pour les concurrents, une table ou un bureau séparé est réservé, qui, à son tour, doit être sous le contrôle fiable du service de sécurité de l'entreprise. Les tentatives pour étouffer la conversation avec les sons d'un orchestre de restaurant, ainsi que le bruit de l'eau, sont inefficaces.

Dans une chambre d'hôtel. La réservation d'une chambre d'hôtel pour les négociations doit se faire en toute discrétion. Après le début d'une réunion d'affaires, le personnel de sécurité doit contrôler non seulement les voisins, mais également toutes les personnes vivant à l'étage supérieur et inférieur.

Toutes les méthodes et contre-mesures ci-dessus sont efficaces à condition que la désinformation des autres sur l'heure et la nature des réunions prévues (négociations) soit bien organisée. Lorsque le cercle d'employés dédié à la liste complète des événements planifiés est aussi restreint que possible et que chacun de ceux qui y participent sait exactement ce qui est nécessaire en termes de responsabilités, alors vous pouvez compter sur le succès dans n'importe quelle entreprise.

La classification générale des menaces sur le système d'information automatisé d'un objet est la suivante :

Menaces à la confidentialité des données et des programmes. Ils sont mis en œuvre en cas d'accès non autorisé à des données (par exemple, à des informations sur l'état des comptes des clients bancaires), des programmes ou des canaux de communication.

Les informations traitées sur des ordinateurs ou transmises sur des réseaux de données locaux peuvent être supprimées via des canaux de fuite techniques. Dans ce cas, un équipement est utilisé qui analyse le rayonnement électromagnétique résultant du fonctionnement de l'ordinateur.

Une telle recherche d'informations est un problème technique complexe et nécessite l'intervention de spécialistes qualifiés. A l'aide d'un récepteur, fabriqué sur la base d'un téléviseur standard, il est possible d'intercepter des informations affichées sur des écrans d'ordinateur à une distance de mille mètres ou plus. Certaines informations sur le fonctionnement du système informatique sont récupérées même lorsque le processus d'échange de messages est surveillé sans accès à leur contenu.

Menaces sur l'intégrité des données, des programmes, du matériel. L'intégrité des données et des programmes est violée par la destruction non autorisée, l'ajout d'éléments inutiles et la modification des enregistrements sur l'état des comptes, la modification de l'ordre des données, la génération de documents de paiement falsifiés en réponse à des demandes légitimes, avec un relais actif des messages avec leur retard.

La modification non autorisée des informations de sécurité du système peut entraîner des actions non autorisées (routage incorrect ou perte des données transmises) ou une distorsion de la signification des messages transmis. L'intégrité de l'équipement est violée lorsqu'il est endommagé, volé ou modifié illégalement les algorithmes de travail.

Menaces sur la disponibilité des données. Ils surviennent lorsqu'un objet (utilisateur ou processus) n'accède pas aux services ou aux ressources qui lui sont légalement alloués. Cette menace est réalisée par la saisie de toutes les ressources, le blocage des lignes de communication par un objet non autorisé à la suite de la transmission de ses informations à travers elles, ou en excluant les informations système nécessaires.

Cette menace peut entraîner un manque de fiabilité ou une mauvaise qualité de service dans le système et, par conséquent, affectera potentiellement l'exactitude et la rapidité de livraison des documents de paiement.

– Menaces de refus d'exécuter des transactions. Ils surviennent lorsqu'un utilisateur légal transfère ou accepte des documents de paiement, puis les refuse afin de se dégager de sa responsabilité.

Évaluer la vulnérabilité d'un système d'information automatisé et construire un modèle d'impacts implique d'étudier toutes les options de mise en œuvre des menaces ci-dessus et d'identifier les conséquences auxquelles elles conduisent.

Les menaces peuvent être causées par :

- facteurs naturels (catastrophes naturelles - incendie, inondation, ouragan, foudre et autres raisons);

- les facteurs humains, eux-mêmes subdivisés en :

menaces passives(menaces causées par des activités accidentelles et non intentionnelles). Il s'agit des menaces liées aux erreurs de préparation, de traitement et de transmission des informations (documentation scientifique et technique, commerciale, monétaire et financière) ; avec une « fuite des cerveaux » non ciblée, des connaissances, des informations (par exemple, en lien avec les migrations de population, les départs vers d'autres pays pour le regroupement familial, etc.) ;

menaces actives(menaces causées par des actions délibérées et délibérées de personnes). Il s'agit de menaces associées au transfert, à la déformation et à la destruction de découvertes scientifiques, d'inventions, de secrets de production, de nouvelles technologies à des fins mercenaires et autres raisons antisociales (documentation, dessins, descriptions de découvertes et inventions et autres matériels) ; visualisation et transfert de divers documents, visualisation des "poubelles"; l'écoute clandestine et la transmission de conversations officielles et autres conversations scientifiques, techniques et commerciales ; avec une "fuite des cerveaux", des connaissances, des informations (par exemple, dans le cadre de l'obtention d'une autre citoyenneté pour des raisons égoïstes);

- facteurs homme-machine et machine, subdivisé en :

menaces passives. Il s'agit de menaces associées à des erreurs dans la conception, le développement et la fabrication des systèmes et de leurs composants (bâtiments, structures, locaux, ordinateurs, moyens de communication, systèmes d'exploitation, programmes d'application, etc.) ; avec des erreurs dans le fonctionnement de l'équipement en raison de sa fabrication de mauvaise qualité ; avec des erreurs dans la préparation et le traitement des informations (erreurs des programmeurs et des utilisateurs dues à des qualifications insuffisantes et à un service de mauvaise qualité, erreurs des opérateurs dans la préparation, la saisie et la sortie des données, la correction et le traitement des informations);

menaces actives. Il s'agit de menaces liées à l'accès non autorisé aux ressources d'un système d'information automatisé (apporter des modifications techniques à la technologie informatique et aux installations de communication, se connecter aux installations informatiques et aux canaux de communication, voler divers types de supports : disquettes, descriptions, impressions et autres documents, visualisation des données d'entrée, des impressions, visualisation des "poubelles"); menaces réalisées par une méthode sans contact (collecte de rayonnement électromagnétique, interception de signaux induits dans des circuits (communications conductrices), méthodes visio-optiques d'extraction d'informations, écoute de conversations officielles, scientifiques et techniques, etc.).

Les principaux modes de fuite d'informations et d'accès non autorisé aux systèmes d'information automatisés, y compris via les canaux de télécommunication, sont les suivants :

interception d'émissions électroniques;

l'utilisation de dispositifs d'écoute (signets) ;

photographie à distance;

interception d'émissions acoustiques et restauration de texte d'impression ;

vol de supports d'information et de déchets industriels ;

lecture de données dans des tableaux d'autres utilisateurs ;

lire des informations résiduelles dans la mémoire système après avoir exécuté des requêtes autorisées ;

copie de supports d'information avec dépassement des mesures de protection ;

se déguiser en utilisateur enregistré ;

canular (déguisé en requêtes système) ;

connexion illégale à des équipements et des lignes de communication ;

la désactivation malveillante des mécanismes de protection ;

l'utilisation de « pièges logiciels ».

Les canaux possibles d'accès non autorisé délibéré à l'information en l'absence de protection dans un système d'information automatisé peuvent être :

canaux standards d'accès aux informations (terminaux utilisateurs, moyens d'affichage et de documentation des informations, supports de stockage, moyens de téléchargement de logiciels, canaux de communication externes) lors de leur utilisation illégale ;

consoles et commandes technologiques;

installation interne d'équipements;

lignes de communication entre le matériel ;

rayonnement électromagnétique collatéral porteur d'informations;

captage latéral sur les circuits d'alimentation, la mise à la terre des équipements, les communications auxiliaires et étrangères situées à proximité du système informatique.

Les méthodes d'impact des menaces sur les objets de sécurité de l'information sont subdivisées en informations, mathématiques, physiques, électroniques, organisationnelles et juridiques.

Les méthodes d'information comprennent :

violation du ciblage et de l'opportunité de l'échange d'informations, collecte et utilisation illégales d'informations ;

accès non autorisé aux ressources d'information;

manipulation d'informations (désinformation, dissimulation ou déformation d'informations) ;

copie illégale de données dans les systèmes d'information;

violation de la technologie de traitement de l'information.

Les méthodes mathématiques comprennent :

l'introduction de virus informatiques ;

installation de périphériques logiciels et matériels embarqués;

destruction ou modification des données dans les systèmes d'information automatisés.

Les méthodes physiques comprennent :

destruction ou destruction des moyens de traitement de l'information et de communication ;

destruction, destruction ou vol de la machine ou d'autres supports de stockage d'origine ;

vol de clés logicielles ou matérielles et de moyens de protection des informations cryptographiques ;

impact sur le personnel;

livraison de composants « infectés » de systèmes d'information automatisés.

Les méthodes électroniques sont :

interception d'informations dans les canaux techniques de sa fuite possible;

introduction de dispositifs électroniques d'interception d'informations dans des moyens et locaux techniques;

interception, décryptage et imposition de fausses informations dans les réseaux de transmission de données et les lignes de communication ;

impact sur les systèmes de mot de passe ;

brouillage électronique des lignes de communication et des systèmes de contrôle.

Les méthodes organisationnelles et juridiques comprennent :

non-respect des exigences légales et retards dans l'adoption des dispositions réglementaires et légales nécessaires dans le domaine de l'information ;

restriction illégale de l'accès aux documents contenant des informations importantes pour les citoyens et les organisations.

Menaces de sécurité logicielle. Assurer la sécurité des systèmes d'information automatisés dépend de la sécurité des logiciels qui y sont utilisés et, en particulier, des types de programmes suivants :

programmes d'utilisateurs réguliers ;

programmes spéciaux conçus pour violer la sécurité du système ;

divers utilitaires système et programmes d'application commerciaux qui se distinguent par un niveau de développement professionnel élevé et, néanmoins, peuvent contenir des failles individuelles qui permettent aux envahisseurs d'attaquer les systèmes.

Les programmes peuvent causer des problèmes de deux types : d'une part, ils peuvent intercepter et modifier des données à la suite d'actions d'un utilisateur qui n'a pas accès à ces données, et, d'autre part, en utilisant des omissions dans la protection des systèmes informatiques, ils peuvent ou fournir utilisateurs ayant accès au système, n'ayant pas le droit de le faire, ou bloquer l'accès au système des utilisateurs légitimes.

Plus le niveau de formation du programmeur est élevé, plus les erreurs qu'il commet deviennent implicites (même pour lui) et plus il est capable de cacher de manière complète et fiable les mécanismes intentionnels conçus pour violer la sécurité du système.

La cible de l'attaque peut être les programmes eux-mêmes pour les raisons suivantes :

Dans le monde moderne, le logiciel peut être une marchandise rentable, en particulier pour celui qui est le premier à reproduire le logiciel à des fins commerciales et à le protéger.

Des programmes peuvent également faire l'objet d'une attaque visant à modifier ces programmes d'une manière ou d'une autre, ce qui permettrait à l'avenir de mener une attaque sur d'autres objets du système. Ce type d'attaque est particulièrement souvent ciblé sur des programmes mettant en œuvre des fonctions de protection du système.

Examinons plusieurs types de programmes et de techniques les plus couramment utilisés pour attaquer des programmes et des données. Ces techniques sont désignées par un seul terme - « pièges logiciels ». Ceux-ci incluent les trappes logicielles, les chevaux de Troie, les bombes logiques, les attaques salami, les canaux secrets, les déni de service et les virus informatiques.

Des hachures dans les programmes. L'utilisation de trappes pour entrer dans le programme est l'une des méthodes simples et fréquemment utilisées pour violer la sécurité des systèmes d'information automatisés.

Luc est la capacité de travailler avec ce produit logiciel, qui n'est pas décrite dans la documentation du produit logiciel. L'essence de l'utilisation des hachures est que lorsque l'utilisateur effectue certaines actions non décrites dans la documentation, il accède à des opportunités et des données qui lui sont normalement fermées (en particulier, l'accès au mode privilégié).

Les écoutilles sont le plus souvent le résultat de l'oubli des développeurs. Un mécanisme temporaire d'accès direct aux parties du produit, créé pour faciliter le processus de débogage et non supprimé une fois son achèvement, peut être utilisé comme une trappe. Des hachures peuvent également être formées en raison de la technologie fréquemment pratiquée de développement de logiciels "de haut en bas": leur rôle sera laissé pour une raison quelconque dans les "stubs" du produit fini - des groupes de commandes qui imitent ou désignent simplement le lieu de connexion des futurs sous-programmes.

Enfin, une autre source commune de hachures est la soi-disant "entrée non définie" - l'entrée d'informations "insignifiantes", charabia en réponse aux demandes du système. La réaction d'un programme insuffisamment bien écrit à une entrée non définie peut être, au mieux, imprévisible (lorsque le programme réagit différemment à chaque fois que vous entrez la même mauvaise commande) ; c'est bien pire si le programme, à la suite de la même entrée "non définie", effectue des actions répétitives - cela permet à l'intrus potentiel de planifier ses actions pour violer la sécurité.

L'entrée non définie est une implémentation privée d'une interruption. C'est-à-dire que, dans le cas général, un envahisseur peut délibérément créer une situation non standard dans le système qui lui permettrait d'effectuer les actions nécessaires. Par exemple, il peut provoquer artificiellement le plantage d'un programme exécuté en mode privilégié afin de prendre le contrôle tout en restant en mode privilégié.

La lutte contre la possibilité d'interruption, en dernière analyse, se traduit par la nécessité d'envisager, lors de l'élaboration des programmes, un ensemble de mécanismes qui constituent les mécanismes dits « infaillibles ». Le sens de cette protection est de couper à coup sûr toute possibilité de traitement d'entrées indéfinies et toutes sortes de situations non standard (en particulier les erreurs) et d'éviter ainsi une atteinte à la sécurité du système informatique même en cas de mauvais le programme.

Ainsi, une hachure (ou des hachures) peut être présente dans le programme du fait que le programmeur :

oublié de l'enlever ;

l'a laissé délibérément dans le programme à des fins de test ou pour le reste du débogage ;

l'a délibérément laissé dans le programme dans le but de faciliter l'assemblage final du produit logiciel final ;

l'a délibérément laissé dans le programme afin d'avoir un moyen d'accès caché au programme après son inclusion dans le produit final.

Luke est la première étape pour attaquer le système, la capacité de pénétrer dans le système informatique en contournant les mécanismes de sécurité.

Chevaux de Troie.

Il existe des programmes qui implémentent, en plus des fonctions décrites dans la documentation, et d'autres fonctions qui ne sont pas décrites dans la documentation. De tels programmes sont appelés chevaux de Troie.

Plus la probabilité de détecter un cheval de Troie est élevée, plus les résultats de ses actions sont évidents (par exemple, la suppression de fichiers ou la modification de leur protection). Des chevaux de Troie plus sophistiqués peuvent masquer les traces de leur activité (par exemple, restaurer la protection des fichiers à son état d'origine).

"Bombes logiques".

Une "bombe logique" est généralement appelée un programme ou même un morceau de code dans un programme qui implémente une certaine fonction lorsqu'une certaine condition est remplie. Cette condition peut être, par exemple, l'occurrence d'une certaine date ou la découverte d'un fichier avec un certain nom.

En explosant, une bombe logique met en œuvre une fonction inattendue et, en règle générale, indésirable pour l'utilisateur (par exemple, elle supprime certaines données ou détruit certaines structures du système). La « bombe logique » est l'un des moyens préférés de se venger des programmeurs contre les entreprises qui les ont licenciés ou offensés d'une manière ou d'une autre.

Attaque de salami.

L'attaque du salami est devenue un fléau des systèmes informatiques bancaires. Dans les systèmes bancaires, des milliers de transactions sont effectuées chaque jour liées à des paiements autres qu'en espèces, des transferts de montants, des déductions, etc.

Lors du traitement des factures, des unités entières (roubles, cents) sont utilisées et lors du calcul des intérêts, des montants fractionnaires sont souvent obtenus. Habituellement, les valeurs dépassant un demi-rouble (cent) sont arrondies au rouble (cent) le plus proche et les valeurs inférieures à un demi-rouble (cent) sont simplement ignorées. Lors de l'attaque de "salami", ces valeurs insignifiantes ne sont pas supprimées, mais s'accumulent progressivement sur un compte spécial.

Comme le montre la pratique, le montant constitué littéralement à partir de rien, sur quelques années d'exploitation d'un programme "rusé", sur une taille de banque moyenne, peut s'élever à des milliers de dollars. Les attaques de salami sont difficiles à détecter à moins que l'attaquant commence à accumuler de grosses sommes d'argent sur un seul compte.

Canaux cachés.

Les canaux secrets sont des programmes qui transmettent des informations à des individus qui, dans des conditions normales, ne devraient pas recevoir ces informations.

Dans les systèmes où des informations critiques sont en cours de traitement, le programmeur ne devrait pas avoir accès aux données traitées par le programme une fois que le programme a commencé à fonctionner.

Il est possible de tirer un avantage considérable du fait de posséder certaines informations propriétaires, au moins élémentaires, en vendant ces informations (par exemple, une liste de clients) à une firme concurrente. Un programmeur suffisamment qualifié peut toujours trouver un moyen de transmettre des informations de manière cachée ; cependant, le programme conçu pour créer les rapports les plus anodins peut être un peu plus compliqué que la tâche ne l'exige.

Pour le transfert caché d'informations, vous pouvez utiliser avec succès divers éléments du format de rapport "inoffensif", par exemple, différentes longueurs de ligne, des écarts entre les lignes, la présence ou l'absence d'en-têtes de service, la sortie contrôlée de chiffres insignifiants dans les valeurs de sortie, le nombre d'espaces ou d'autres caractères à certains endroits du rapport, etc. .d.

Si l'intrus a la possibilité d'accéder à l'ordinateur pendant que le programme d'intérêt est en cours d'exécution, la transmission d'informations critiques à une matrice de données spécialement créée dans la RAM de l'ordinateur peut devenir un canal caché.

Les canaux secrets sont plus applicables dans les situations où l'intrus ne s'intéresse même pas au contenu de l'information, mais, par exemple, au fait de sa disponibilité (par exemple, la présence d'un compte bancaire avec un certain numéro).

Déni de service.

La plupart des failles de sécurité visent à accéder à des données que le système ne permettrait normalement pas. Cependant, non moins intéressant pour les envahisseurs est l'accès au contrôle du système informatique lui-même ou la modification de ses caractéristiques qualitatives, par exemple, l'utilisation exclusive d'une ressource (processeur, périphérique d'entrée-sortie) ou la provocation d'une situation de rupture pour plusieurs processus.

Cela peut être nécessaire pour utiliser explicitement le système informatique à leurs propres fins (au moins pour résoudre gratuitement leurs problèmes), ou simplement bloquer le système, le rendant inaccessible aux autres utilisateurs. Ce type d'atteinte à la sécurité du système est appelé « déni de service » ou « déni d'avantage ». Le déni de service est extrêmement dangereux pour les systèmes en temps réel - les systèmes qui contrôlent certains processus technologiques, effectuent divers types de synchronisation, etc.

Virus informatiques.

Les virus informatiques sont la quintessence de toutes sortes d'atteintes à la sécurité. L'un des moyens les plus fréquents et préférés de propagation des virus est la méthode du cheval de Troie. Les virus ne diffèrent de la « bombe logique » que par leur capacité à se multiplier et à assurer leur lancement, de sorte que de nombreux virus peuvent être considérés comme une forme particulière de « bombes logiques ».

Pour attaquer le système, les virus utilisent activement divers types de « trappes ». Les virus peuvent mettre en œuvre une grande variété de sales tours, y compris l'attaque « salami ». De plus, le succès d'un type d'attaque contribue souvent à une diminution de "l'immunité" du système, crée un environnement favorable au succès d'autres types d'attaques. Les envahisseurs le savent et utilisent activement cette circonstance.

Bien entendu, les techniques décrites ci-dessus sont assez rares dans leur forme pure. Le plus souvent, une attaque utilise des éléments individuels de différentes techniques.

Menaces sur l'information dans les réseaux informatiques. Les réseaux informatiques présentent de nombreux avantages par rapport à un ensemble d'ordinateurs fonctionnant séparément, parmi lesquels on peut noter: la division des ressources système, une augmentation de la fiabilité du fonctionnement du système, la répartition de la charge entre les nœuds du réseau et l'extensibilité par l'ajout de nouveaux nœuds.

Dans le même temps, lors de l'utilisation de réseaux informatiques, de sérieux problèmes de sécurité des informations se posent. On peut noter les suivantes.

Partage de ressources partagées.

Le partage d'un grand nombre de ressources par différents utilisateurs du réseau, éventuellement situés à une grande distance les uns des autres, augmente fortement le risque d'accès non autorisé, puisqu'il peut se faire plus facilement et de manière invisible sur le réseau.

Extension de la zone de contrôle.

L'administrateur ou l'opérateur d'un système ou d'un sous-réseau particulier doit surveiller les activités des utilisateurs qui sont hors de sa portée.

Une combinaison de différents logiciels et matériels.

La connexion de plusieurs systèmes dans un réseau augmente la vulnérabilité de l'ensemble du système dans son ensemble, puisque chaque système d'information est configuré pour répondre à ses propres exigences de sécurité spécifiques, qui peuvent être incompatibles avec les exigences des autres systèmes.

Paramètre inconnu.

L'évolutivité aisée des réseaux rend parfois difficile la définition des limites d'un réseau, puisqu'un même nœud peut être accessible aux utilisateurs de différents réseaux. De plus, pour beaucoup d'entre eux, il n'est pas toujours possible de déterminer avec précision combien d'utilisateurs ont accès à un nœud de réseau particulier et qui ils sont.

De nombreux points d'attaque.

Dans les réseaux, un même ensemble de données ou un même message peut être transmis à travers plusieurs nœuds intermédiaires, dont chacun est une source potentielle de menace. De plus, de nombreux réseaux modernes sont accessibles à l'aide de lignes commutées et d'un modem, ce qui augmente considérablement le nombre de points d'attaque possibles.

Complexité de la gestion et du contrôle des accès au système.

De nombreuses attaques sur un réseau peuvent être menées sans accéder physiquement à un hôte spécifique, en utilisant un réseau à partir d'emplacements distants.

Dans ce cas, l'identification de l'intrus peut être très difficile. De plus, le temps d'attaque peut être trop court pour que des mesures adéquates soient prises.

D'une part, un réseau est un système unifié avec des règles uniformes pour le traitement de l'information, et d'autre part, un ensemble de systèmes distincts, dont chacun a ses propres règles pour le traitement de l'information. Par conséquent, compte tenu de la dualité de la nature du réseau, une attaque sur le réseau peut être menée à partir de deux niveaux : supérieur et inférieur (leur combinaison est également possible).

Dans une attaque de haut niveau sur un réseau, un attaquant utilise les propriétés du réseau pour infiltrer un autre hôte et effectuer certaines actions non autorisées. Lors d'une attaque de bas niveau sur un réseau, un attaquant utilise les propriétés des protocoles réseau pour compromettre la confidentialité ou l'intégrité de messages individuels ou du flux dans son ensemble.

La perturbation du flux de messages peut entraîner des fuites d'informations et même une perte de contrôle sur le réseau.

Distinguer les menaces passives et actives de bas niveau, spécifiques aux réseaux.

Menaces passives

(violation de la confidentialité des données circulant dans le réseau) est la visualisation et/ou l'enregistrement des données transmises sur les lignes de communication. Ceux-ci inclus:

afficher un message ;

analyse du planning - un attaquant peut visualiser les en-têtes des paquets circulant dans le réseau et, sur la base des informations de service qu'ils contiennent, tirer des conclusions sur les expéditeurs et destinataires du paquet et les conditions de transmission (heure de départ, classe de message, catégorie de sécurité, longueur du message, volume de trafic, etc.) .).

Menaces actives

(violation de l'intégrité ou de la disponibilité des ressources et des composants du réseau) - utilisation non autorisée d'appareils ayant accès au réseau pour modifier des messages individuels ou le flux de messages. Ceux-ci inclus:

défaillance des services de messagerie - un attaquant peut détruire ou retarder des messages individuels ou l'intégralité du flux de messages ;

"Mascarade" - un attaquant peut attribuer l'identifiant de quelqu'un d'autre à son nœud ou relais et recevoir ou envoyer des messages au nom de quelqu'un d'autre ;

introduction de virus de réseau - transmission d'un corps de virus sur un réseau avec son activation ultérieure par un utilisateur d'un nœud distant ou local ;

Modification du flux de messages - Un attaquant peut détruire, modifier, retarder, réorganiser et dupliquer les messages de manière sélective, ainsi qu'insérer de faux messages.

Menaces sur les informations commerciales.

En termes d'informatisation, les méthodes d'accès non autorisé à des informations confidentielles telles que la copie, la falsification, la destruction sont également particulièrement dangereuses.

Copier.

En cas d'accès non autorisé à des informations confidentielles, sont copiés : les documents contenant des informations présentant un intérêt pour l'attaquant ; médias techniques; informations traitées dans les systèmes d'information automatisés. Les méthodes de copie suivantes sont utilisées : photocopie, photocopie, copie thermique, photocopie et copie électronique.

Faux.

La contrefaçon, la modification et l'imitation sont à grande échelle dans un environnement concurrentiel. Les attaquants falsifient des documents de confiance qui leur permettent d'obtenir certaines informations, courriers, factures, documents comptables et financiers ; contrefaçon de clés, laissez-passer, mots de passe, chiffrements, etc. Dans les systèmes d'information automatisés, la contrefaçon comprend notamment des actions malveillantes telles que la falsification (l'abonné destinataire falsifie le message reçu en le faisant passer pour valable dans son propre intérêt), le déguisement (le abonné - l'expéditeur se fait passer pour un autre abonné afin de recevoir des informations protégées).

Destruction.

La destruction des informations dans les bases de données automatisées et les bases de connaissances représente un danger particulier. Les informations sur les supports magnétiques sont détruites à l'aide d'aimants compacts et de logiciels (« bombes logiques »). Une place importante dans les délits contre les systèmes d'information automatisés est occupée par le sabotage, les explosions, la destruction, la désactivation des câbles de connexion, les systèmes de climatisation.

Les moyens d'assurer la protection des informations sont les suivants : obstruction, contrôle d'accès, déguisement, réglementation, coercition et incitation.

Obstacle - une méthode de blocage physique du chemin d'un intrus vers les informations protégées (vers l'équipement, les supports de stockage, etc.).

Contrôle d'accès- une méthode de protection de l'information en régulant l'utilisation de toutes les ressources du système d'information automatisé d'une organisation (entreprise). Le contrôle d'accès comprend les fonctionnalités de sécurité suivantes :

identification des utilisateurs, du personnel et des ressources du système d'information (attribution d'un identifiant personnel à chaque objet) ;

authentification (authentification) d'un objet ou d'un sujet selon l'identifiant qu'il présente ;

contrôle des autorisations (vérification de la conformité du jour de la semaine, de l'heure, des ressources et procédures demandées avec la réglementation en vigueur) ;

autorisation et création de conditions de travail dans le cadre des réglementations établies;

enregistrement (journalisation) des appels vers des ressources protégées ;

réponse (alarme, arrêt, retard dans le travail, refus de demander) lors de tentatives d'actions non autorisées.

Déguisement - une méthode de protection des informations dans un système d'information automatisé au moyen de sa fermeture cryptographique.

Régulation- une méthode de protection des informations, créant de telles conditions pour le traitement, le stockage et la transmission automatisés des informations, dans lesquelles la possibilité d'un accès non autorisé à celles-ci serait minimisée.

Contrainte - une telle méthode de protection des informations, dans laquelle les utilisateurs et le personnel du système sont contraints de se conformer aux règles de traitement, de transfert et d'utilisation des informations protégées sous peine de responsabilité matérielle, administrative ou pénale.

Motivation - une méthode de protection des informations qui encourage les utilisateurs et le personnel du système à ne pas enfreindre les règles établies en se conformant aux normes morales et éthiques établies.

Les méthodes ci-dessus pour assurer la sécurité de l'information d'une organisation (entreprise) sont mises en œuvre dans la pratique en utilisant divers mécanismes de protection, pour la création desquels les moyens de base suivants sont utilisés : physique, matériel, logiciel, matériel et logiciel, cryptographique, organisationnel, législatif et moral et éthique.

Protection physique sont destinés à la protection externe du territoire des objets, à la protection des composants du système d'information automatisé de l'entreprise et sont mis en œuvre sous la forme de dispositifs et de systèmes autonomes

A côté des systèmes mécaniques traditionnels, avec une participation prépondérante de l'homme, se développent et se mettent en place des systèmes universels automatisés de protection physique électronique destinés à la protection des territoires, au gardiennage des locaux, à l'organisation du contrôle d'accès, à l'organisation de la surveillance ; systèmes d'alarme incendie; systèmes de prévention contre le vol des médias.

La base d'éléments de tels systèmes est constituée de divers capteurs, dont les signaux sont traités par des microprocesseurs, des clés électroniques à puce, des dispositifs de détermination des caractéristiques biométriques d'une personne, etc.

Pour organiser la protection des équipements faisant partie du système d'information automatisé de l'entreprise, et des supports mobiles (disquettes, bandes magnétiques, impressions), sont utilisés :

serrures diverses (mécaniques, avec jeu de codes, contrôlées par microprocesseur, radiocommandées), qui sont installées sur les portes d'entrée, les volets, les coffres-forts, les armoires, les appareils et les blocs système ;

micro-interrupteurs fixant l'ouverture ou la fermeture des portes et fenêtres;

capteurs inertiels, pour la connexion desquels vous pouvez utiliser le réseau d'éclairage, les fils téléphoniques et le câblage des antennes de télévision;

autocollants spéciaux en feuille qui sont collés sur tous les documents, appareils, unités et blocs du système pour éviter qu'ils ne soient sortis de la pièce. A toute tentative de déplacer un objet avec un autocollant à l'extérieur de la pièce, une installation spéciale (analogique d'un détecteur de métaux) située près de la sortie donne une alarme ;

coffres-forts spéciaux et armoires métalliques pour l'installation d'éléments individuels d'un système d'information automatisé (serveur de fichiers, imprimante, etc.) et de supports mobiles.

Pour neutraliser les fuites d'informations par les canaux électromagnétiques, des matériaux et produits de protection et d'absorption sont utilisés. Où:

le blindage des salles de travail où sont installés les composants du système d'information automatisé est réalisé en recouvrant les murs, le sol et le plafond de papier peint métallisé, d'émail et de plâtre conducteurs, de treillis métallique ou de feuille, en installant des clôtures en briques conductrices, en acier multicouche, en aluminium ou des feuilles de plastique spéciales ;

des rideaux métallisés et du verre avec une couche conductrice sont utilisés pour protéger les fenêtres;

toutes les ouvertures sont recouvertes d'un treillis métallique relié à un bus de terre ou à un écran mural ;

Des pièges magnétiques limit sont montés sur les conduits de ventilation pour empêcher la propagation des ondes radio.

Pour se protéger des micros sur les circuits électriques des nœuds et des blocs du système d'information automatisé, utilisez :

câble blindé pour installation en rack, en unité, entre unités et en extérieur ;

connecteurs élastiques blindés (connecteurs), filtres de suppression de surtension;

fils, cosses, bobines d'arrêt, condensateurs et autres produits de brouillage radio et électriques ;

des inserts diélectriques de séparation sont placés sur l'eau, le chauffage, le gaz et d'autres tuyaux métalliques, qui coupent le circuit électromagnétique.

Pour contrôler l'alimentation électrique, des trackers électroniques sont utilisés - des dispositifs installés aux points d'entrée du réseau de tension alternative. Si le cordon d'alimentation est coupé, coupé ou brûlé, le message codé déclenche une alarme ou active une caméra de télévision pour enregistrer les événements.

Un examen aux rayons X est considéré comme le plus efficace pour détecter les "bugs" incrustés. Cependant, la mise en œuvre de cette méthode est associée à de grandes difficultés organisationnelles et techniques.

L'utilisation de générateurs de bruit spéciaux pour se protéger contre le vol d'informations sur les ordinateurs en captant son rayonnement sur les écrans d'affichage a un effet néfaste sur le corps humain, ce qui entraîne une calvitie rapide, une perte d'appétit, des maux de tête et des nausées. C'est pourquoi ils sont rarement utilisés dans la pratique.

Protection matérielle - il s'agit de divers dispositifs électroniques, électromécaniques et autres, directement intégrés dans les blocs d'un système d'information automatisé ou conçus comme des dispositifs indépendants et interfacés avec ces blocs.

Ils sont destinés à la protection interne des éléments structurels des installations et systèmes informatiques : terminaux, processeurs, équipements périphériques, lignes de communication, etc.

Fonctions principales de la protection matérielle :

interdiction d'accès interne non autorisé aux fichiers individuels ou aux bases de données du système d'information, possible à la suite d'actions accidentelles ou délibérées du personnel de service ;

protection des fichiers et bases de données (archives) actifs et passifs associés à la non-maintenance ou à l'arrêt d'un système d'information automatisé ;

protection de l'intégrité du logiciel.

Ces tâches sont mises en œuvre par des moyens matériels de sécurité de l'information utilisant la méthode de contrôle d'accès (identification, authentification et vérification de l'autorité des sujets du système, enregistrement et réponse).

Pour travailler avec des informations particulièrement précieuses d'une organisation (entreprise), les fabricants d'ordinateurs peuvent produire des disques individuels avec des caractéristiques physiques uniques qui ne permettent pas de lire les informations. Dans ce cas, le coût d'un ordinateur peut augmenter plusieurs fois.

Protection du logiciel sont conçus pour remplir des fonctions logiques et intellectuelles de protection et sont inclus soit dans le logiciel du système d'information automatisé, soit dans les moyens, complexes et systèmes des équipements de contrôle.

Le logiciel de sécurité de l'information est le type de protection le plus courant, ayant les propriétés positives suivantes : polyvalence, flexibilité, facilité de mise en œuvre, capacité de changement et de développement. Cette circonstance en fait à la fois les éléments de protection les plus vulnérables du système d'information de l'entreprise.

Actuellement, un grand nombre de systèmes d'exploitation, de systèmes de gestion de bases de données, de progiciels de réseau et de progiciels d'application ont été créés, y compris une variété d'outils de sécurité de l'information.

À l'aide d'outils de protection logicielle, les tâches de sécurité des informations suivantes sont résolues :

contrôle du chargement et de la connexion au système à l'aide d'identifiants personnels (nom, code, mot de passe, etc.) ;

délimitation et contrôle d'accès des sujets aux ressources et composants du système, ressources externes ;

isolement des programmes du processus réalisé dans l'intérêt d'un sujet particulier des autres sujets (assurer le travail de chaque utilisateur dans un environnement individuel);

contrôle des flux d'informations confidentielles afin d'éviter l'enregistrement d'un niveau de secret inapproprié (timbre) sur les supports de données ;

protection d'informations contre les virus informatiques;

effacer les informations confidentielles résiduelles dans les champs de la RAM de l'ordinateur qui sont déverrouillés après que les demandes aient été faites;

effacer les informations confidentielles résiduelles sur les disques magnétiques, émettre des protocoles sur les résultats de l'effacement ;

assurer l'intégrité des informations en introduisant la redondance des données ;

contrôle automatique du travail des utilisateurs du système sur la base des résultats de la journalisation et de la préparation de rapports sur les données des enregistrements dans le journal de bord du système.

Actuellement, un certain nombre de systèmes d'exploitation contiennent nativement un blocage de "réutilisation" intégré. Pour d'autres types de systèmes d'exploitation, il existe de nombreux programmes commerciaux, sans parler des packages de sécurité spéciaux qui implémentent des fonctions similaires.

L'utilisation de données redondantes vise à éviter les erreurs aléatoires dans les données et à identifier les modifications non autorisées. Cela peut être l'utilisation de sommes de contrôle, le contrôle des données pour le codage pair-impair, la correction d'erreurs, etc.

Il est souvent d'usage de stocker les signatures d'objets système importants dans un endroit protégé du système. Par exemple, pour un fichier, une combinaison de l'octet de sécurité du fichier avec son nom, sa longueur et sa date de dernière modification peut être utilisée comme signature. A chaque accès au fichier ou en cas de suspicion, les caractéristiques actuelles du fichier sont comparées à la référence.

La propriété auditable d'un système de contrôle d'accès signifie que des événements ou des procédures peuvent être reconstruits. Les moyens d'audit doivent comprendre ce qui s'est réellement passé. Il s'agit de documenter les procédures à exécuter, de tenir des registres et d'appliquer des méthodes d'identification et de vérification claires et sans ambiguïté.

Il est à noter que le problème du contrôle d'accès tout en garantissant l'intégrité des ressources n'est résolu de manière fiable que par le cryptage des informations.

Les progrès scientifiques et technologiques ont transformé l'information en un produit qui peut être acheté, vendu et échangé. Souvent, le coût des données est plusieurs fois supérieur au prix de l'ensemble du système technique qui stocke et traite les informations.

La qualité des informations commerciales fournit l'effet économique nécessaire pour l'entreprise, il est donc important de protéger les données critiques contre les actions illégales. Cela permettra à l'entreprise de rivaliser avec succès sur le marché.

Définition de la sécurité de l'information

Sécurité de l'information (SI)- c'est l'état du système d'information, dans lequel il est le moins sensible aux interférences et dommages de tiers. La sécurité des données implique également la gestion des risques liés à la divulgation d'informations ou à l'impact sur les modules de protection matériels et logiciels.

La sécurité des informations traitées dans une organisation est un ensemble d'actions visant à résoudre le problème de la protection de l'environnement de l'information au sein de l'entreprise. Dans le même temps, les informations ne doivent pas être limitées dans leur utilisation et leur développement dynamique pour les personnes autorisées.

Exigences pour le système de protection du SI

La protection des ressources informationnelles doit être :

1. Constant. Un attaquant peut à tout moment tenter de contourner les modules de protection des données qui l'intéressent.

2. Cible. Les informations doivent être protégées dans un but précis fixé par l'organisation ou le propriétaire des données.

3. Prévu. Toutes les méthodes de protection doivent être conformes aux normes, lois et réglementations gouvernementales qui régissent la protection des données confidentielles.

4. Actif. Des activités visant à soutenir l'exploitation et à améliorer le système de protection doivent être menées régulièrement.

5. Intégré. L'utilisation de modules de protection individuels ou de moyens techniques uniquement n'est pas autorisée. Il est nécessaire d'appliquer pleinement tous les types de protection, sinon le système développé sera dépourvu de sens et de fondement économique.

6. Universel. L'équipement de protection doit être sélectionné en fonction des voies de fuite existantes de l'entreprise.

7. Fiable. Toutes les méthodes de protection doivent bloquer de manière fiable les chemins possibles vers les informations protégées de la part de l'attaquant, quelle que soit la forme de présentation des données.

Le système DLP doit également répondre aux exigences énumérées. Et il est préférable d'évaluer ses capacités dans la pratique, pas en théorie. Vous pouvez tester SearchInform KIB gratuitement pendant 30 jours.

Modèle de système de sécurité

L'information est considérée comme protégée si trois propriétés principales sont observées.

Le premier est intégrité- implique d'assurer la fiabilité et l'affichage correct des données protégées, quels que soient les systèmes de sécurité et les techniques de protection utilisés dans l'entreprise. Le traitement des données ne doit pas être violé et les utilisateurs du système qui travaillent avec des fichiers protégés ne doivent pas être confrontés à une modification ou à une destruction non autorisée de ressources, à des dysfonctionnements logiciels.

Deuxième - confidentialité - signifie que l'accès aux données de visualisation et de modification est fourni exclusivement aux utilisateurs autorisés du système de sécurité.

La troisième - disponibilité - implique que tous les utilisateurs autorisés doivent avoir accès aux informations confidentielles.

Il suffit de violer l'une des propriétés des informations protégées pour rendre l'utilisation du système dénuée de sens.

Étapes de création et de maintenance d'un système de sécurité de l'information

En pratique, la création d'un système de protection de l'information se fait en trois étapes.

Au premier stade un modèle de base du système est en cours d'élaboration, qui fonctionnera dans l'entreprise. Pour ce faire, il est nécessaire d'analyser tous les types de données qui circulent dans l'entreprise et qui doivent être protégées des empiétements de tiers. Le plan de travail initial est composé de quatre questions :

1. Quelles sources d'information faut-il protéger ?
2. Quel est le but d'accéder à des informations protégées?

Le but peut être la connaissance, l'altération, la modification ou la destruction des données. Chaque action est illégale si elle est effectuée par un attaquant. La familiarisation n'entraîne pas la destruction de la structure des données, et la modification et la destruction entraînent une perte partielle ou totale d'informations.

1. Quelle est la source des informations confidentielles ?

Les sources dans ce cas sont les personnes et les ressources d'information : documents, supports flash, publications, produits, systèmes informatiques, soutien à la main-d'œuvre.

1. Comment y accéder et comment se protéger contre les tentatives non autorisées d'influencer le système ?

Il existe les moyens suivants pour y accéder :

• L'accès non autorisé- utilisation illégale des données ;
• Une fuite- diffusion incontrôlée d'informations en dehors du réseau de l'entreprise. La fuite se produit en raison de lacunes, de faiblesses du canal technique du système de sécurité ;
• Divulgation- une conséquence de l'impact du facteur humain. Les utilisateurs autorisés peuvent divulguer des informations pour les transmettre à des concurrents ou par négligence.

Seconde phase comprend le développement d'un système de sécurité. Cela signifie mettre en œuvre toutes les méthodes, moyens et orientations sélectionnés de protection des données.

Le système est construit en plusieurs zones de protection à la fois, à plusieurs niveaux qui interagissent les uns avec les autres pour assurer un contrôle fiable des informations.

Niveau légal assure la conformité aux normes gouvernementales de protection des données et inclut le droit d'auteur, les ordonnances, les brevets et les descriptions de poste. Un système de sécurité bien construit ne viole pas les droits des utilisateurs et les normes de traitement des données.

Niveau organisationnel vous permet de créer des réglementations pour le travail des utilisateurs avec des informations confidentielles, de sélectionner du personnel, d'organiser le travail avec de la documentation et des supports de données physiques.

Les règles pour le travail des utilisateurs avec des informations confidentielles sont appelées règles de contrôle d'accès. Les règles sont établies par la direction de l'entreprise en collaboration avec le service de sécurité et le fournisseur qui met en œuvre le système de sécurité. L'objectif est de créer des conditions d'accès aux ressources informationnelles pour chaque utilisateur, par exemple, le droit de lire, de modifier, de transférer un document confidentiel. Les règles de contrôle d'accès sont élaborées au niveau organisationnel et mises en œuvre au stade du travail avec la composante technique du système.

Niveau technique classiquement divisé en sous-niveaux physique, matériel, logiciel et mathématique.

• physique- création de barrières autour de l'objet protégé : dispositifs de sécurité, nuisances sonores, renforcement des structures architecturales ;
• Matériel- installation de moyens techniques : ordinateurs spéciaux, systèmes de contrôle des employés, protection des serveurs et des réseaux d'entreprise ;
• programme- installation du shell logiciel du système de protection, mise en place des règles de contrôle d'accès et test des travaux ;
• mathématique- l'introduction de méthodes cryptographiques et textuelles de protection des données pour une transmission sécurisée sur un réseau d'entreprise ou mondial.

Troisième, dernière étape- il s'agit du maintien des performances du système, d'un suivi régulier et de la gestion des risques. Il est important que le module de protection soit flexible et permette à l'administrateur de sécurité d'améliorer rapidement le système lorsque de nouvelles menaces potentielles sont détectées.

Types de données confidentielles

Données confidentielles- il s'agit d'informations dont l'accès est limité conformément aux lois de l'État et aux normes que l'entreprise établit de manière indépendante.

• Personnel données confidentielles : données personnelles des citoyens, droit à la vie privée, correspondance, dissimulation d'identité. La seule exception concerne les informations diffusées dans les médias.
• Un service données confidentielles : informations dont l'accès ne peut être restreint que par l'État (autorités publiques).
• Judiciaire données confidentielles : secret d'enquête et de poursuites judiciaires.
• Commercial données confidentielles : tous types d'informations liées au commerce (profit) et dont l'accès est limité par la loi ou une entreprise (développements secrets, technologies de production, etc.).
• Professionnel données confidentielles : données relatives aux activités des citoyens, par exemple, secrets médicaux, notariaux ou d'avocat, dont la divulgation est punie par la loi.

Menaces à la confidentialité des ressources d'information

Une menace- il s'agit de tentatives possibles ou effectives d'appropriation des ressources informationnelles protégées.

Sources de menace la sécurité des données confidentielles sont des entreprises concurrentes, des intrus, des organismes de contrôle. Le but de toute menace est d'affecter l'intégrité, l'exhaustivité et la disponibilité des données.

Les menaces peuvent être internes ou externes. Menaces externes sont des tentatives d'accès aux données de l'extérieur et s'accompagnent de piratage de serveurs, de réseaux, de comptes d'employés et de lecture d'informations à partir de canaux de fuite techniques (lecture acoustique à l'aide de bugs, caméras, pointage vers du matériel, réception d'informations vibroacoustiques depuis des fenêtres et des structures architecturales) .

Menaces internes impliquent des actions illégales du personnel, du département de travail ou de la direction de l'entreprise. En conséquence, l'utilisateur du système, qui travaille avec des informations confidentielles, peut donner des informations à des étrangers. En pratique, cette menace est plus courante que d'autres. Un employé peut « divulguer » des informations classifiées à des concurrents pendant des années. Ceci est facile à mettre en œuvre, car les actions d'un utilisateur autorisé ne sont pas classées par l'administrateur de sécurité comme une menace.

Les menaces internes à la cybersécurité étant associées à un facteur humain, il est plus difficile de les suivre et de les gérer. Vous pouvez éviter les incidents en divisant les employés en groupes à risque. Le module automatisé de compilation de profils psychologiques s'occupera de cette tâche.

Une tentative d'accès non autorisé peut se produire de plusieurs manières :

• par les employés qui peut transférer des données confidentielles à des tiers, emporter des supports physiques ou accéder à des informations protégées par le biais de documents imprimés ;
• par logiciel les attaquants mènent des attaques visant à voler des paires de connexion-mot de passe, à intercepter des clés cryptographiques pour déchiffrer des données et à copier des informations sans autorisation.
• à l'aide de composants matériels des systèmes automatisés, par exemple, l'introduction de dispositifs d'écoute ou l'utilisation de technologies matérielles pour la lecture d'informations à distance (en dehors de la zone contrôlée).

Sécurité des informations matérielles et logicielles

Tous les systèmes d'exploitation modernes sont équipés de modules de protection des données intégrés au niveau logiciel. MAC OS, Windows, Linux, iOS font un excellent travail de cryptage des données sur le disque et en cours de transfert vers d'autres appareils. Cependant, pour créer un travail efficace avec des informations confidentielles, il est important d'utiliser des modules de protection supplémentaires.

Les systèmes d'exploitation des utilisateurs ne protègent pas les données au moment de leur transmission sur le réseau, et les systèmes de protection vous permettent de contrôler les flux d'informations qui circulent dans le réseau de l'entreprise et le stockage des données dans le nord.

Le module de protection matériel-logiciel est généralement divisé en groupes, chacun remplissant la fonction de protection des informations sensibles :

• Niveau d'identité est un système complet de reconnaissance d'utilisateurs qui peut utiliser une authentification standard ou à plusieurs niveaux, la biométrie (reconnaissance faciale, numérisation d'empreintes digitales, enregistrement vocal et autres techniques).
• Niveau de cryptage assure l'échange de clés entre l'expéditeur et le destinataire et crypte/décrypte toutes les données du système.

Protection juridique des informations

L'État fournit la base juridique de la sécurité de l'information. La protection des informations est régie par les conventions internationales, la Constitution, les lois et règlements fédéraux.

L'État déterminera également la mesure de la responsabilité en cas de violation des dispositions de la législation dans le domaine de la sécurité de l'information. Par exemple, le chapitre 28 « Crimes dans le domaine de l'information informatique » du Code pénal de la Fédération de Russie comprend trois articles :

• Article 272 « Accès illégal aux informations informatiques » ;
• Article 273 « Création, utilisation et distribution de programmes informatiques malveillants » ;
• Article 274 « Violation des règles d'exploitation du stockage, du traitement ou de la transmission des informations informatiques et des réseaux d'information et de télécommunication.