Kibernetika asoschisi Norbert Viner ma'lumot o'ziga xos xususiyatlarga ega va uni energiyaga ham, materiyaga ham bog'lab bo'lmaydi, deb hisoblagan. Axborotning hodisa sifatidagi alohida maqomi ko'plab ta'riflarni keltirib chiqardi.

ISO / IEC 2382: 2015 "Axborot texnologiyalari" standartining lug'atida quyidagi izoh berilgan:

Axborot (axborotni qayta ishlash sohasida)- elektron shaklda taqdim etilgan, qog'ozda yozilgan, yig'ilishda yoki boshqa vositada ifodalangan, moliya instituti tomonidan qarorlar qabul qilish, pul mablag'larini ko'chirish, stavkalarni belgilash, kreditlar berish, operatsiyalarni qayta ishlash va hokazolar uchun foydalaniladigan har qanday ma'lumotlar, shu jumladan komponentlarni qayta ishlash tizimi dasturiy ta'minot.

Axborot xavfsizligi (Axborot xavfsizligi) kontseptsiyasini ishlab chiqish uchun axborot deganda turli usullarda, shu jumladan kompyuter tarmoqlarida va boshqa axborot tizimlarida to'plash, saqlash, qayta ishlash (tahrirlash, o'zgartirish), foydalanish va uzatish uchun mavjud bo'lgan axborot tushuniladi.

Bunday ma'lumotlar yuqori qiymatga ega va uchinchi shaxslar tomonidan tajovuz ob'ektiga aylanishi mumkin. Axborot xavfsizligi tizimlarini yaratish zamirida axborotni tahdidlardan himoya qilish istagi yotadi.

Huquqiy asos

2017 yil dekabr oyida Rossiyada Axborot xavfsizligi doktrinasi qabul qilindi. Hujjatda IS axborot sohasidagi milliy manfaatlarni himoya qilish holati sifatida belgilangan. Bunda milliy manfaatlar deganda jamiyat, shaxs va davlat manfaatlarining yig’indisi tushuniladi, har bir manfaatlar guruhi jamiyatning barqaror faoliyat yuritishi uchun zarurdir.

Doktrina kontseptsiya hujjatidir. Axborot xavfsizligi bilan bog'liq huquqiy munosabatlar tomonidan tartibga solinadi federal qonunlar"Davlat sirlari to'g'risida", "Axborot to'g'risida", "Shaxsiy ma'lumotlarni himoya qilish to'g'risida" va boshqalar. Asosiy me'yoriy hujjatlar asosida axborotni muhofaza qilishning xususiy masalalari bo'yicha hukumat qarorlari va idoraviy normativ hujjatlar ishlab chiqiladi.

Axborot xavfsizligi ta'rifi

Axborot xavfsizligi strategiyasini ishlab chiqishdan oldin kontseptsiyaning o'ziga xos asosiy ta'rifini qabul qilish kerak, bu esa ma'lum usullar va himoya usullaridan foydalanishga imkon beradi.

Sanoat mutaxassislari axborot xavfsizligi deganda axborot, uning tashuvchilari va infratuzilmasi xavfsizligining barqaror holati tushuniladi, bu axborot bilan bog'liq jarayonlarning tabiiy va sun'iy xarakterdagi qasddan yoki qasddan bo'lmagan ta'sirlardan yaxlitligi va barqarorligini ta'minlaydi. Ta'sirlar axborot munosabatlari sub'ektlariga zarar etkazishi mumkin bo'lgan IS tahdidlari sifatida tasniflanadi.

Shunday qilib, axborotni muhofaza qilish deganda axborot xavfsizligiga real yoki sezilayotgan tahdidlarning oldini olishga, shuningdek hodisalar oqibatlarini bartaraf etishga qaratilgan huquqiy, ma’muriy, tashkiliy va texnik chora-tadbirlar majmui tushuniladi. Axborotni himoya qilish jarayonining uzluksizligi axborot aylanishining barcha bosqichlarida: axborotni yig'ish, saqlash, qayta ishlash, foydalanish va uzatish jarayonida tahdidlarga qarshi kurashni kafolatlashi kerak.

Ushbu tushunchada axborot xavfsizligi tizim faoliyatining xususiyatlaridan biriga aylanadi. Vaqtning har bir daqiqasida tizim o'lchanadigan darajadagi xavfsizlikka ega bo'lishi kerak va tizim xavfsizligini ta'minlash tizimning ishlash muddati davomida barcha vaqt oralig'ida amalga oshiriladigan uzluksiz jarayon bo'lishi kerak.

Infografikada oʻzimizning maʼlumotlarimizdan foydalaniladiSearchInform.

Axborot xavfsizligi nazariyasida axborot xavfsizligi sub'ektlari deganda axborotning egalari va foydalanuvchilari tushuniladi va nafaqat doimiy foydalanuvchilar (xodimlar), balki alohida hollarda ma'lumotlar bazasiga kirish huquqiga ega bo'lgan foydalanuvchilar, masalan, ma'lumot so'ragan davlat organlari. Bir qator hollarda, masalan, bank axborot xavfsizligi standartlarida, ma'lumotlar egalariga ma'lum ma'lumotlarga ega bo'lgan aktsiyadorlar - yuridik shaxslar kiradi.

Qo'llab-quvvatlovchi infratuzilma, axborot xavfsizligi asoslari nuqtai nazaridan, kompyuterlar, tarmoqlar, telekommunikatsiya uskunalari, binolar, hayotni ta'minlash tizimlari va xodimlarni o'z ichiga oladi. Xavfsizlikni tahlil qilishda tizimning barcha elementlarini o'rganish, ko'pchilik ichki tahdidlarning tashuvchisi sifatida xodimlarga alohida e'tibor berish kerak.

Axborot xavfsizligini boshqarish va zararni baholash uchun maqbullik tavsifi qo'llaniladi, shuning uchun zarar maqbul yoki qabul qilinishi mumkin emas deb aniqlanadi. Har bir kompaniya uchun pul shaklida yoki, masalan, obro'ga yo'l qo'yiladigan zarar ko'rinishida etkazilgan zararning maqbulligi uchun o'z mezonlarini belgilash foydalidir. Davlat muassasalarida boshqa xususiyatlar, masalan, boshqaruv jarayoniga ta'sir qilish yoki fuqarolarning hayoti va sog'lig'iga etkazilgan zarar darajasini aks ettirish mumkin. Axborotning muhimligi, ahamiyati va qiymatining mezonlari axborot majmuasining hayot aylanishi davomida o'zgarishi mumkin, shuning uchun ularni o'z vaqtida qayta ko'rib chiqish kerak.

Tor ma'noda axborot tahdidi - bu axborotning chiqib ketishi, o'g'irlanishi, oshkor etilishi yoki tarqalishiga olib kelishi mumkin bo'lgan himoya ob'ektiga ta'sir qilishning ob'ektiv imkoniyati. Kengroq maʼnoda axborot xavfsizligiga tahdidlarga yoʻnaltirilgan axborot taʼsiri kiradi, ularning maqsadi davlatga, tashkilotga va shaxsga zarar yetkazishdir. Bunday tahdidlarga, masalan, tuhmat, qasddan noto'g'ri ma'lumot berish va nomaqbul reklama kiradi.

Har qanday tashkilot uchun axborot xavfsizligi kontseptsiyasining uchta asosiy savoli

Nimani himoya qilish kerak?

Qanday turdagi tahdidlar ustunlik qiladi: tashqi yoki ichki?

Qanday himoya qilish kerak, qanday usullar va vositalar bilan?

IS tizimi

Kompaniya - yuridik shaxs uchun axborot xavfsizligi tizimi uchta asosiy tushunchalar guruhini o'z ichiga oladi: yaxlitlik, mavjudlik va maxfiylik. Har birining ostida juda ko'p xususiyatlarga ega tushunchalar mavjud.

ostida yaxlitlik ma'lumotlar bazalarining, boshqa ma'lumotlar massivlarining tasodifiy yoki qasddan yo'q qilinishiga, ruxsat etilmagan o'zgarishlarga chidamliligini anglatadi. Butunlikni quyidagicha ko'rish mumkin:

• statik, ma'lum bir texnik topshiriq bo'yicha yaratilgan va foydalanuvchilarning asosiy faoliyati uchun zarur bo'lgan ma'lumotlar miqdorini, kerakli konfiguratsiya va ketma-ketlikda o'z ichiga olgan ma'lumotlar ob'ektlarining o'zgarmasligi, haqiqiyligida ifodalanadi;
• dinamik, axborot xavfsizligiga zarar etkazmasdan, murakkab harakatlar yoki operatsiyalarni to'g'ri bajarishni nazarda tutadi.

Dinamik yaxlitlikni nazorat qilish uchun ma'lumotlar oqimini tahlil qiluvchi, masalan, moliyaviy, va xabarlarni o'g'irlash, takrorlash, qayta yo'naltirish va tartibni o'zgartirish holatlarini aniqlaydigan maxsus texnik vositalar qo'llaniladi. Harakatlarni amalga oshirish uchun kiruvchi yoki mavjud ma'lumotlar asosida qarorlar qabul qilinganda halollik asosiy xususiyat sifatida talab qilinadi. Buyruqlar tartibini yoki harakatlar ketma-ketligini buzish texnologik jarayonlarni, dastur kodlarini tavsiflashda va shunga o'xshash boshqa holatlarda katta zarar etkazishi mumkin.

Mavjudligi vakolatli sub'ektlarga ularni qiziqtirgan ma'lumotlarga kirish yoki almashish imkonini beruvchi mulkdir. Qonuniylashtirish yoki sub'ektlarni avtorizatsiya qilishning asosiy talabi kirishning turli darajalarini yaratishga imkon beradi. Tizimning ma'lumot berishdan bosh tortishi har qanday tashkilot yoki foydalanuvchilar guruhi uchun muammoga aylanadi. Bunga misol qilib, tizimdagi nosozliklar yuzaga kelganda davlat xizmatlari saytlariga kirish imkoni yo‘qligi ko‘pchilik foydalanuvchilarni zarur xizmatlar yoki ma’lumotlarni olish imkoniyatidan mahrum qiladi.

Maxfiylik ushbu foydalanuvchilar uchun mavjud bo'lgan ma'lumotlarning mulki: dastlab kirishga ruxsat berilgan sub'ektlar va jarayonlar. Aksariyat kompaniya va tashkilotlar konfidensiallikni axborot xavfsizligining asosiy elementi sifatida qabul qiladi, lekin amalda uni to'liq amalga oshirish qiyin. Axborot xavfsizligi kontseptsiyalari mualliflari uchun mavjud bo'lgan ma'lumotlarning chiqib ketish kanallari to'g'risidagi barcha ma'lumotlar mavjud emas va ko'plab texnik himoya vositalarini, shu jumladan kriptografik vositalarni erkin sotib olish mumkin emas, ayrim hollarda aylanma cheklangan.

Axborot xavfsizligining teng xususiyatlari foydalanuvchilar uchun har xil qiymatlarga ega, shuning uchun ma'lumotlarni himoya qilish kontseptsiyalarini ishlab chiqishda ikkita ekstremal toifa. Davlat sirlari bilan bog'liq bo'lgan kompaniya yoki tashkilotlar uchun maxfiylik asosiy parametrga aylanadi, davlat xizmatlari yoki ta'lim muassasalari uchun eng muhim parametr - foydalanish imkoniyati.

Axborot xavfsizligi to'plami

Axborot xavfsizligi tushunchalarida himoyalangan obyektlar

Subyektlarning farqi himoya qilish ob'ektlarining farqlarini keltirib chiqaradi. Himoya qilinadigan ob'ektlarning asosiy guruhlari:

• barcha turdagi axborot resurslari (resurs deganda moddiy obyekt tushuniladi: qattiq disk, boshqa vosita, uni aniqlash va sub'ektlarning ma'lum bir guruhiga belgilashga yordam beradigan ma'lumotlar va tafsilotlarga ega hujjat);
• fuqarolarning, tashkilotlarning va davlatning axborotdan foydalanish huquqlari, uni qonun doirasida olish imkoniyati; kirish faqat me'yoriy-huquqiy hujjatlar bilan cheklanishi mumkin, inson huquqlarini buzadigan har qanday to'siqlarni tashkil etishga yo'l qo'yilmaydi;
• ma'lumotlarni yaratish, ulardan foydalanish va tarqatish tizimi (tizimlar va texnologiyalar, arxivlar, kutubxonalar, me'yoriy hujjatlar);
• jamoatchilik ongini shakllantirish tizimi (ommaviy axborot vositalari, internet resurslari, ijtimoiy institutlar, ta'lim muassasalari).

Har bir ob'ekt axborot xavfsizligi va jamoat tartibiga tahdidlardan himoya qilish uchun maxsus chora-tadbirlar tizimini o'z ichiga oladi. Har bir holatda axborot xavfsizligini ta'minlash ob'ektning o'ziga xos xususiyatlarini hisobga olgan holda tizimli yondashuvga asoslanishi kerak.

Kategoriyalar va saqlash vositalari

Rossiya huquq tizimi, huquqni qo'llash amaliyoti va o'rnatilgan ijtimoiy munosabatlar ma'lumotni kirish mezonlari bo'yicha tasniflaydi. Bu sizga axborot xavfsizligini ta'minlash uchun zarur bo'lgan asosiy parametrlarni aniqlash imkonini beradi:

• qonun talablari asosida foydalanish imkoniyati cheklangan ma'lumotlar (davlat siri, tijorat siri, shaxsiy ma'lumotlar);
• jamoat mulki bo'lgan ma'lumotlar;
• ma'lum shartlar ostida taqdim etiladigan umumiy foydalanish mumkin bo'lgan ma'lumotlar: pullik ma'lumotlar yoki kirish uchun ruxsat berishingiz kerak bo'lgan ma'lumotlar, masalan, kutubxona kartasi;
• muomalasi va tarqatilishi qonunlar yoki korporativ standartlar talablari bilan cheklangan xavfli, zararli, yolg‘on va boshqa turdagi ma’lumotlar.

Birinchi guruh ma'lumotlari ikkita himoya usuliga ega. Davlat siri, qonunga ko'ra, bu davlat tomonidan himoyalangan ma'lumotlar bo'lib, ularning erkin tarqatilishi mamlakat xavfsizligiga zarar etkazishi mumkin. Bular harbiy, tashqi siyosat, razvedka, kontrrazvedka va davlatning iqtisodiy faoliyati sohasidagi ma'lumotlardir. Ushbu ma'lumotlar guruhining egasi davlatning o'zi. Davlat sirlarini himoya qilish choralarini ko'rishga vakolatli organlar Mudofaa vazirligi, Federal xavfsizlik xizmati (FSB), Tashqi razvedka xizmati va Texnik va eksport nazorati federal xizmati (FSTEC).

Maxfiy ma'lumotlar- tartibga solishning yanada ko'p qirrali ob'ekti. Maxfiy axborotni tashkil etishi mumkin boʻlgan maʼlumotlar roʻyxati Prezidentning “Maxfiy maʼlumotlar roʻyxatini tasdiqlash toʻgʻrisida”gi 188-son qarorida keltirilgan. Bu shaxsiy ma'lumotlar; tergov va sud jarayonining siri; rasmiy sir; kasb siri (tibbiy, notarial, advokat); tijorat siri; ixtirolar va foydali modellar to'g'risidagi ma'lumotlar; mahkumlarning shaxsiy ishlarida mavjud bo'lgan ma'lumotlar, shuningdek sud hujjatlarini majburiy ijro etish to'g'risidagi ma'lumotlar.

Shaxsiy ma'lumotlar ochiq va maxfiy rejimda mavjud. Barcha foydalanuvchilar uchun ochiq va ochiq bo'lgan shaxsiy ma'lumotlarning bir qismi ism, familiya, otasining ismini o'z ichiga oladi. 152-FZ "Shaxsiy ma'lumotlar to'g'risida" ga muvofiq shaxsiy ma'lumotlar sub'ektlari quyidagilarga haqli:

• axborot o'zini o'zi belgilash;
• shaxsiy ma'lumotlarga kirish va ularga o'zgartirishlar kiritish;
• shaxsiy ma'lumotlarni va ularga kirishni bloklash;
• shaxsiy ma'lumotlarga nisbatan uchinchi shaxslarning noqonuniy xatti-harakatlari ustidan shikoyat qilish;
• etkazilgan zararni qoplash uchun.

Bunga huquq davlat organlari to'g'risidagi nizomda, federal qonunlarda, Roskomnadzor yoki FSTEC tomonidan berilgan shaxsiy ma'lumotlar bilan ishlash litsenziyalarida mustahkamlangan. Keng toifadagi odamlarning shaxsiy ma'lumotlari bilan professional ravishda ishlaydigan kompaniyalar, masalan, aloqa operatorlari, Roskomnadzor tomonidan yuritiladigan reestrga kirishlari kerak.

Axborot xavfsizligi nazariyasi va amaliyotining alohida ob'ekti kirish ochiq va yopiq bo'lgan axborot tashuvchilardir. Axborot xavfsizligi kontseptsiyasini ishlab chiqishda ommaviy axborot vositalarining turiga qarab himoya usullari tanlanadi. Asosiy saqlash vositalari:

• bosma va elektron ommaviy axborot vositalari, ijtimoiy tarmoqlar, Internetdagi boshqa resurslar;
• do'stlik, oilaviy, kasbiy aloqalar asosida ma'lumotlarga ega bo'lgan tashkilot xodimlari;
• axborotni uzatuvchi yoki saqlaydigan aloqa vositalari: telefonlar, ATSlar, boshqa telekommunikatsiya uskunalari;
• barcha turdagi hujjatlar: shaxsiy, rasmiy, davlat;
• mustaqil axborot ob'ekti sifatida dasturiy ta'minot, ayniqsa uning versiyasi ma'lum bir kompaniya uchun maxsus o'zgartirilgan bo'lsa;
• ma'lumotlarni avtomatik ravishda qayta ishlaydigan elektron saqlash vositalari.

Axborot xavfsizligi kontseptsiyalarini ishlab chiqish maqsadida axborot xavfsizligi vositalari odatda normativ (norasmiy) va texnik (rasmiy)ga bo'linadi.

Norasmiy himoya vositalari hujjatlar, qoidalar, hodisalar, rasmiy vositalar maxsus texnik vositalar va dasturiy ta'minotdir. Belgilash axborot xavfsizligi tizimlarini yaratishda mas'uliyat sohalarini taqsimlashga yordam beradi: himoya qilishning umumiy boshqaruvi bilan ma'muriy xodimlar me'yoriy usullarni, IT mutaxassislari esa mos ravishda texnik usullarni qo'llaydilar.

Axborot xavfsizligi asoslari nafaqat axborotdan foydalanish nuqtai nazaridan, balki uni himoya qilish bilan ishlash nuqtai nazaridan ham vakolatlarni chegaralashni nazarda tutadi. Vakolatlarning bunday chegaralanishi ham bir necha darajadagi nazoratni talab qiladi.

Rasmiy himoya vositalari

Axborot xavfsizligining texnik vositalarining keng doirasi quyidagilarni o'z ichiga oladi:

Jismoniy himoya vositalari. Bu mexanik, elektr, elektron mexanizmlar bo'lib, ular axborot tizimlaridan mustaqil ravishda ishlaydi va ularga kirish uchun to'siqlar yaratadi. Qulflar, shu jumladan elektronlar, ekranlar, panjurlar tizimlar bilan beqarorlashtiruvchi omillarning aloqasi uchun to'siqlar yaratish uchun mo'ljallangan. Guruh xavfsizlik tizimlari bilan to'ldiriladi, masalan, videokameralar, videoregistratorlar, ma'lumot olishning texnik vositalari joylashgan hududda harakat yoki elektromagnit nurlanish darajasining oshib ketishini aniqlaydigan sensorlar, o'rnatilgan qurilmalar.

Uskuna himoyasi. Bular axborot va telekommunikatsiya tizimlariga kiritilgan elektr, elektron, optik, lazer va boshqa qurilmalardir. Axborot tizimlariga texnik vositalarni kiritishdan oldin muvofiqlikni ta'minlash kerak.

Dasturiy ta'minot axborot xavfsizligi bilan bog'liq aniq va murakkab muammolarni hal qilish uchun mo'ljallangan oddiy va tizimli, murakkab dasturlardir. Kompleks yechimlarga ham misol qilib keltirish mumkin: birinchisi sizib chiqishining oldini olish, axborotni qayta formatlash va axborot oqimlarini qayta yo‘naltirish uchun xizmat qiladi, ikkinchisi axborot xavfsizligi sohasidagi hodisalardan himoya qiladi. Dasturiy ta'minot apparat qurilmalarining quvvatini talab qiladi va o'rnatish vaqtida qo'shimcha zaxiralarni ta'minlash kerak.

30 kun davomida bepul sinovdan o'tishi mumkin. Tizimni o'rnatishdan oldin SearchInform muhandislari mijozning kompaniyasida texnik audit o'tkazadilar.

TO maxsus vositalar axborot xavfsizligi diskdagi ma'lumotlarni shifrlaydigan va tashqi aloqa kanallari orqali qayta yo'naltiriladigan turli kriptografik algoritmlarni o'z ichiga oladi. Axborotni o'zgartirish korporativ axborot tizimlarida ishlaydigan dasturiy va apparat usullari yordamida amalga oshirilishi mumkin.

Axborot xavfsizligini kafolatlaydigan barcha vositalar ma'lumotlarning qiymatini dastlabki baholash va uni xavfsizlikni ta'minlash uchun sarflangan resurslar qiymati bilan solishtirgandan so'ng, birgalikda qo'llanilishi kerak. Shu sababli, mablag'lardan foydalanish bo'yicha takliflar tizimlarni ishlab chiqish bosqichida shakllantirilishi kerak va tasdiqlash byudjetlarni tasdiqlash uchun mas'ul bo'lgan boshqaruv darajasida amalga oshirilishi kerak.

Xavfsizlikni ta'minlash uchun barcha zamonaviy ishlanmalarni, dasturiy ta'minot va apparat vositalarini himoya qilish vositalarini, tahdidlarni kuzatib borish va o'zimizning ruxsatsiz kirishdan himoya qilish tizimlariga o'z vaqtida o'zgartirishlar kiritish zarur. Faqat tahdidlarga javob berishning adekvatligi va tezkorligi kompaniya ishida yuqori darajadagi maxfiylikka erishishga yordam beradi.

Birinchi nashr 2018 yilda chiqarilgan. Ushbu noyob dastur xodimlarning psixologik portretlarini yaratadi va ularni xavf guruhlariga ajratadi. Axborot xavfsizligini ta'minlashning bunday yondashuvi yuzaga kelishi mumkin bo'lgan hodisalarni oldindan bilish va oldindan chora ko'rish imkonini beradi.

Norasmiy himoya vositalari

Norasmiy himoya vositalari me’yoriy, ma’muriy va axloqiy-axloqiy guruhlarga bo‘linadi. Himoyaning birinchi darajasida tashkilot faoliyatidagi jarayon sifatida axborot xavfsizligini tartibga soluvchi tartibga soluvchi vositalar kiradi.

• Normativ vositalar

Jahon amaliyotida tartibga solish vositalarini ishlab chiqishda ular ISni himoya qilish standartlariga amal qiladi, asosiysi ISO / IEC 27000. Standart ikkita tashkilot tomonidan yaratilgan:

• ISO - standartlashtirish bo'yicha xalqaro komissiya, ishlab chiqarish va boshqaruv jarayonlari sifatini sertifikatlash bo'yicha xalqaro miqyosda tan olingan aksariyat metodologiyalarni ishlab chiqadi va tasdiqlaydi;
• IEC - Xalqaro energetika komissiyasi, u standartga axborot xavfsizligi tizimlari, uni ta'minlash vositalari va usullari haqidagi tushunchasini kiritdi.

ISO / IEC 27000-2016 ning joriy versiyasi axborot xavfsizligini ta'minlash uchun zarur bo'lgan tayyor standartlar va tasdiqlangan usullarni taklif etadi. Usullar mualliflarining fikricha, axborot xavfsizligining asosi ishlab chiqishdan keyingi nazoratgacha bo‘lgan barcha bosqichlarni izchil va izchil amalga oshirishda yotadi.

Axborot xavfsizligi standartlariga muvofiqligini tasdiqlovchi sertifikat olish uchun barcha tavsiya etilgan texnikani to'liq amalga oshirish kerak. Sertifikat olishning hojati bo'lmasa, standartning har qanday oldingi versiyalarini ISO / IEC 27000-2002 dan boshlab yoki maslahat xarakteriga ega bo'lgan Rossiya GOSTlarini ishlab chiqish uchun asos sifatida qabul qilishga ruxsat beriladi. o'zlarining axborot xavfsizligi tizimlari.

Standartni o'rganish natijalariga ko'ra, axborot xavfsizligiga taalluqli ikkita hujjat ishlab chiqilmoqda. Asosiy, ammo kamroq rasmiy - bu korxonaning axborot xavfsizligi tushunchasi bo'lib, u tashkilotning axborot tizimlari uchun axborot xavfsizligi tizimini joriy etish choralari va usullarini belgilaydi. Kompaniyaning barcha xodimlari rioya qilishi kerak bo'lgan ikkinchi hujjat - bu direktorlar kengashi yoki ijroiya organi darajasida tasdiqlangan axborot xavfsizligi to'g'risidagi nizom.

Kompaniya darajasidagi lavozimga qo'shimcha ravishda, tijorat sirini tashkil etuvchi ma'lumotlar ro'yxati, mehnat shartnomalariga ilovalar, maxfiy ma'lumotlarni oshkor qilish uchun javobgarlikni ta'minlaydigan boshqa standartlar va usullar ishlab chiqilishi kerak. Ichki qoidalar va qoidalar amalga oshirish mexanizmlari va javobgarlik choralarini o'z ichiga olishi kerak. Ko'pincha, choralar intizomiy xarakterga ega va qoidabuzar tijorat siri rejimining buzilishidan keyin ishdan bo'shatishgacha bo'lgan jiddiy sanktsiyalar bilan ta'minlanishiga tayyor bo'lishi kerak.

• Tashkiliy va ma'muriy chora-tadbirlar

Xavfsizlik xodimlari uchun axborot xavfsizligini himoya qilish bo'yicha ma'muriy faoliyat doirasida ijodkorlik uchun imkoniyatlar mavjud. Bular arxitektura va rejalashtirish yechimlari bo‘lib, yig‘ilish xonalari va boshqaruv idoralarini tinglashdan va ma’lumotlarga kirishning turli darajalarini o‘rnatishdan himoya qilishga yordam beradi. Muhim tashkiliy chora-tadbirlar kompaniya faoliyatini ISO / IEC 27000 standartlariga muvofiq sertifikatlash, individual apparat va dasturiy ta'minot tizimlarini sertifikatlash, ob'ektlar va ob'ektlarni zarur xavfsizlik talablariga muvofiqligini sertifikatlash va himoyalangan massivlar bilan ishlash uchun zarur bo'lgan litsenziyalarni olish bo'ladi. ma `lumot.

Xodimlar faoliyatini tartibga solish nuqtai nazaridan, Internetga kirish uchun so'rovlar tizimini shakllantirish muhim bo'ladi, tashqi elektron pochta, boshqa manbalar. Elektron pochta orqali davlat organlariga uzatiladigan moliyaviy va boshqa ma’lumotlar xavfsizligini oshirish uchun elektron raqamli imzo olish alohida element bo‘ladi.

• Axloqiy va axloqiy choralar

Axloqiy va axloqiy choralar shaxsning maxfiy ma'lumotlarga yoki muomalasi cheklangan ma'lumotlarga shaxsiy munosabatini belgilaydi. Korxona faoliyatiga tahdidlarning ta'siri bo'yicha xodimlarning bilim darajasini oshirish xodimlarning ongi va mas'uliyat darajasiga ta'sir qiladi. Axborot rejimini buzish, jumladan, parollarni uzatish, ommaviy axborot vositalari bilan ehtiyotsizlik bilan ishlash, shaxsiy suhbatlarda maxfiy ma'lumotlarni tarqatish kabi holatlarga qarshi kurashish uchun xodimning shaxsiy vijdoniga e'tibor qaratish talab etiladi. Korporativ axborot xavfsizligi tizimiga bo'lgan munosabatga bog'liq bo'lgan xodimlarning samaradorligi ko'rsatkichlarini belgilash foydali bo'ladi.

Izoh: Ma'ruzada axborot xavfsizligining asosiy tushunchalari muhokama qilinadi. "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonuni bilan tanishish.

GOST " Axborotni himoya qilish... Asosiy atamalar va ta'riflar "kontseptsiyani kiritadi axborot xavfsizligi axborot xavfsizligi holati sifatida, u taqdim etiladi maxfiylik, mavjudligi va yaxlitligi.

• Maxfiylik- axborotning holati, unga kirish huquqi faqat unga ega bo'lgan sub'ektlar tomonidan amalga oshiriladi.
• Butunlik- axborotning holati, unda hech qanday o'zgarish bo'lmasa yoki o'zgartirish faqat unga huquqqa ega bo'lgan sub'ektlar tomonidan ataylab amalga oshirilgan bo'lsa;
• Mavjudligi-foydalanish huquqiga ega boʻlgan subʼyektlar axborotdan toʻsqinliksiz foydalanishi mumkin boʻlgan axborot holati.

Axborot xavfsizligiga tahdidlar- axborot xavfsizligini buzishning potentsial yoki real xavfini yaratuvchi shartlar va omillar majmui [,]. Hujum orqali tahdidni amalga oshirishga urinish deyiladi va bunday urinishni qilgan kishi - bosqinchi... Potentsial buzg'unchilar chaqiriladi tahdid manbalari.

Tahdid mavjudlikning natijasidir zaifliklar yoki zaifliklar axborot tizimida. Zaifliklar turli sabablarga ko'ra paydo bo'lishi mumkin, masalan, dasturchilarning dasturlarni yozishda beixtiyor xatolari natijasida.

Tahdidlarni bir necha mezonlarga ko'ra tasniflash mumkin:

• yoqilgan axborotning xossalari(mavjudlik, yaxlitlik, maxfiylik) unga qarshi tahdidlar birinchi navbatda;
• tahdidlarga yo'naltirilgan axborot tizimlarining tarkibiy qismlari (ma'lumotlar, dasturlar, apparat, qo'llab-quvvatlovchi infratuzilma);
• amalga oshirish usuli bo'yicha (tasodifiy / qasddan, tabiiy / texnogen xarakterdagi harakatlar);
• tahdidlar manbasining joylashuvi bo'yicha (ko'rib chiqilayotgan IS ichida / tashqarisida).

Axborot xavfsizligini ta'minlash murakkab vazifa bo'lib, uni talab qiladi Kompleks yondashuv... Axborotni himoya qilishning quyidagi darajalari ajratiladi:

1. qonunchilik - Rossiya Federatsiyasi va xalqaro hamjamiyatning qonunlari, qoidalari va boshqa hujjatlari;
2. ma'muriy - tashkilot rahbariyati tomonidan mahalliy darajada amalga oshiriladigan chora-tadbirlar majmui;
3. protsessual daraja - odamlar tomonidan amalga oshiriladigan xavfsizlik choralari;
4. dasturiy ta'minot va apparat darajasi- bevosita axborotni himoya qilish vositalari.

Qonunchilik darajasi axborotni himoya qilish tizimini qurish uchun asos bo'lib xizmat qiladi, chunki u asosiy tushunchalarni beradi mavzu maydoni va potentsial bosqinchilar uchun jazoni belgilaydi. Bu daraja muvofiqlashtiruvchi va yo'naltiruvchi rol o'ynaydi va jamiyatda axborot xavfsizligini buzgan odamlarga nisbatan salbiy (va jazolovchi) munosabatni saqlashga yordam beradi.

1.2. "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonuni

Rossiya qonunchiligida axborotni himoya qilish sohasidagi asosiy qonun 2006 yil 27 iyuldagi 149-FZ-sonli "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonunidir. Shu bois qonunda mustahkamlangan asosiy tushuncha va yechimlar puxta o‘ylab ko‘rishni taqozo etadi.

Qonun quyidagilardan kelib chiqadigan munosabatlarni tartibga soladi:

• axborotni qidirish, olish, uzatish, ishlab chiqarish va tarqatish huquqini amalga oshirish;
• axborot texnologiyalarini qo'llash;
• axborotni himoya qilishni ta'minlash.

Qonunda axborotni muhofaza qilish sohasidagi asosiy ta’riflar berilgan. Mana ulardan ba'zilari:

• ma `lumot- ma'lumotlar (xabarlar, ma'lumotlar), ularni taqdim etish shaklidan qat'i nazar;
• axborot texnologiyalari- jarayonlar, axborotni qidirish, to'plash, saqlash, qayta ishlash, taqdim etish, tarqatish usullari va bunday jarayonlar va usullarni amalga oshirish usullari;
• Axborot tizimi- ma'lumotlar bazalari va axborot texnologiyalari va ularni qayta ishlashni ta'minlaydigan texnik vositalardagi ma'lumotlar to'plami;
• ma'lumot egasi- mustaqil ravishda axborot yaratgan yoki qonun yoki shartnoma asosida har qanday mezonlar bilan belgilanadigan ma'lumotlardan foydalanishga ruxsat berish yoki cheklash huquqini olgan shaxs;
• operator axborot tizimi - axborot tizimidan foydalanuvchi, shu jumladan uning ma'lumotlar bazalaridagi ma'lumotlarni qayta ishlashni amalga oshiruvchi fuqaro yoki yuridik shaxs.
• ma'lumotlarning maxfiyligi- ma'lum ma'lumotlarga kirish huquqiga ega bo'lgan shaxsning bunday ma'lumotni egasining roziligisiz uchinchi shaxslarga bermaslik haqidagi majburiy talabi.

Qonunning 4-moddasida axborot, axborot texnologiyalari va axborotni muhofaza qilish sohasidagi munosabatlarni huquqiy tartibga solish tamoyillari:

1. har qanday qonuniy yo'l bilan ma'lumotlarni qidirish, olish, uzatish, ishlab chiqarish va tarqatish erkinligi;
2. faqat federal qonunlar bilan ma'lumotlarga kirishni cheklash;
3. davlat organlari va mahalliy o'zini o'zi boshqarish organlari faoliyati to'g'risidagi ma'lumotlarning ochiqligi va bunday ma'lumotlardan erkin foydalanish, federal qonunlarda belgilangan hollar bundan mustasno;
4. axborot tizimlarini yaratish va ulardan foydalanishda Rossiya Federatsiyasi xalqlari tillarining tengligi;
5. axborot tizimlarini yaratish, ularning ishlashi va ulardagi ma'lumotlarni himoya qilish jarayonida Rossiya Federatsiyasining xavfsizligini ta'minlash;
6. axborotning ishonchliligi va uni taqdim etishning o'z vaqtidaligi;
7. shaxsiy hayotining daxlsizligi, shaxsning shaxsiy hayoti to'g'risidagi ma'lumotlarni uning roziligisiz to'plash, saqlash, foydalanish va tarqatishga yo'l qo'yilmasligi;
8. Davlat axborot tizimlarini yaratish va ulardan foydalanish uchun ma'lum axborot texnologiyalaridan majburiy foydalanish federal qonunlarda belgilanmagan hollar bundan mustasno, normativ-huquqiy hujjatlar bilan ba'zi axborot texnologiyalaridan foydalanishning boshqalarga nisbatan afzalliklarini belgilashga yo'l qo'yilmasligi.

Barcha ma'lumotlar bo'linadi ommaga ochiq va cheklangan kirish... Umumiy foydalanish mumkin bo'lgan ma'lumotlarga umumiy ma'lum bo'lgan ma'lumotlar va kirish cheklanmagan boshqa ma'lumotlar kiradi. Qonunda cheklanishi mumkin bo‘lmagan ma’lumotlar, masalan, atrof-muhit yoki davlat organlari faoliyati to‘g‘risidagi ma’lumotlar belgilangan. Bu ham belgilangan Kirish cheklovi Konstitutsiyaviy tuzum asoslarini, boshqa shaxslarning axloqi, sog'lig'i, huquqlari va qonuniy manfaatlarini himoya qilish, mamlakat mudofaasi va davlat xavfsizligini ta'minlash uchun ma'lumot olish federal qonunlar bilan belgilanadi. Kirish federal qonunlar bilan cheklangan ma'lumotlarning maxfiyligini hurmat qilish majburiydir.

Agar federal qonunlarda boshqacha tartib nazarda tutilgan bo'lmasa, fuqarodan (shaxsdan) shaxsiy hayoti to'g'risidagi ma'lumotlarni, shu jumladan shaxsiy yoki oilaviy sirni tashkil etuvchi ma'lumotlarni taqdim etishni talab qilish va bunday ma'lumotni fuqaroning (shaxsning) irodasiga qarshi olishni talab qilish taqiqlanadi.

1. ma'lumotlarning erkin tarqatilishi;
2. tegishli munosabatlarda ishtirok etuvchi shaxslarning kelishuvi bilan taqdim etilgan ma'lumotlar;
3. federal qonunlarga muvofiq taqdim etilishi yoki tarqatilishi kerak bo'lgan ma'lumotlar;
4. Rossiya Federatsiyasida tarqatilishi cheklangan yoki taqiqlangan ma'lumotlar.

Qonun elektron imzolangan elektron xabarning ekvivalentligini belgilaydi raqamli imzolangan yoki qo'lda yozilgan imzoning boshqa analogi va o'z qo'lingiz bilan imzolangan hujjat.

Axborotni muhofaza qilishning quyidagi ta'rifi berilgan - bu quyidagilarga qaratilgan huquqiy, tashkiliy va texnik choralarni ko'rish:

1. axborotni ruxsatsiz kirish, yo'q qilish, o'zgartirish, blokirovka qilish, nusxalash, taqdim etish, tarqatish, shuningdek bunday ma'lumotlarga nisbatan boshqa noqonuniy harakatlardan himoya qilishni ta'minlash;
2. ma'lumotlarning maxfiyligiga rioya qilish cheklangan kirish;
3. axborotga kirish huquqini amalga oshirish.

Axborot egasi, axborot tizimining operatori Rossiya Federatsiyasi qonunlarida belgilangan hollarda quyidagilarni ta'minlashi shart:

1. axborotga ruxsatsiz kirishning va (yoki) axborotdan foydalanish huquqiga ega bo'lmagan shaxslarga berilishining oldini olish;
2. ma'lumotlarga ruxsatsiz kirish faktlarini o'z vaqtida aniqlash;
3. axborotdan foydalanish tartibini buzishning salbiy oqibatlari ehtimolining oldini olish;
4. axborotni qayta ishlashning texnik vositalariga ta'sir qilishning oldini olish, buning natijasida ularning ishlashi buziladi;
5. ruxsatsiz kirish natijasida o'zgartirilgan yoki yo'q qilingan ma'lumotlarni darhol qayta tiklash imkoniyati;
6. axborot xavfsizligi darajasini ta'minlash ustidan doimiy nazoratni amalga oshirish.

Shunday qilib, "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" Federal qonuni Rossiya Federatsiyasida axborot almashinuvi uchun huquqiy asos yaratadi va uning sub'ektlarining huquq va majburiyatlarini belgilaydi.

Axborot xavfsizligi siyosati.

1. Umumiy holat

Ushbu axborot xavfsizligi siyosati ( Keyinchalik - Siyosat ) axborot xavfsizligini ta'minlash muammosi bo'yicha qarashlar tizimini belgilaydi va maqsad va vazifalarni, shuningdek, axborot infratuzilmasi ob'ektlarining axborot xavfsizligini ta'minlashning tashkiliy, texnologik va protsessual jihatlarini, shu jumladan ma'lumotlar to'plamini tizimli bayon qiladi. markazlar, ma'lumotlar banklari va tashkilotning aloqa tizimlari. Ushbu Siyosat Rossiya Federatsiyasining amaldagi qonunchiligi talablarini va axborot infratuzilmasi ob'ektlarini rivojlantirishning yaqin istiqbollarini, shuningdek zamonaviy tashkiliy-texnik usullarning xususiyatlari va imkoniyatlarini hisobga olgan holda ishlab chiqilgan. axborotni himoya qilish.

Siyosatning asosiy qoidalari va talablari tashkilotning barcha tarkibiy bo'linmalariga nisbatan qo'llaniladi.

Siyosat axborot infratuzilmasi obʼyektlarining axborot xavfsizligini taʼminlash sohasida yagona siyosatni shakllantirish va amalga oshirish, muvofiqlashtirilgan boshqaruv qarorlarini qabul qilish va axborot xavfsizligini taʼminlashga qaratilgan amaliy chora-tadbirlarni ishlab chiqish, davlat boshqaruvi organlarining tarkibiy boʻlinmalari faoliyatini muvofiqlashtirish uchun uslubiy asos hisoblanadi. axborot xavfsizligi talablariga rioya qilgan holda axborot obyektlarini, infratuzilmasini yaratish, rivojlantirish va ulardan foydalanish bo‘yicha ishlarni amalga oshirishda tashkilot.

Siyosat binolarni muhofaza qilishni tashkil etish va axborot infratuzilmasi tarkibiy qismlarining xavfsizligi va jismoniy yaxlitligini, tabiiy ofatlardan va elektr ta'minoti tizimidagi nosozliklardan himoya qilishni ta'minlash masalalarini tartibga solmaydi, biroq u axborot xavfsizligi tizimini yaratishni o'z ichiga oladi. butun tashkilotning xavfsizlik tizimi bilan bir xil kontseptual asoslarda.

Siyosatni amalga oshirish tegishli ko'rsatmalar, qoidalar, protseduralar, ko'rsatmalar, ko'rsatmalar va tashkilotda axborot xavfsizligini baholash tizimi bilan ta'minlanadi.

Siyosat quyidagi atamalar va ta'riflardan foydalanadi:

Avtomatlashtirilgan tizim ( AS) — belgilangan funktsiyalarni bajarish uchun axborot texnologiyalarini amalga oshiradigan xodimlar va ularning faoliyatini avtomatlashtirish vositalari majmuasidan iborat tizim.

Axborot infratuzilmasi- axborot makonining ishlashi va rivojlanishini ta'minlaydigan tashkiliy tuzilmalar tizimi va axborotning o'zaro ta'siri. Axborot infratuzilmasi axborot markazlari, ma'lumotlar va bilimlar banklari, aloqa tizimlari majmuasini o'z ichiga oladi va iste'molchilarga axborot resurslaridan foydalanishni ta'minlaydi.

Axborot resurslari ( IR) - bu alohida hujjatlar va hujjatlarning alohida massivlari, hujjatlar va axborot tizimlaridagi hujjatlar massivlari ( kutubxonalar, arxivlar, fondlar, ma’lumotlar bazalari va boshqa axborot tizimlari).

Axborot tizimi (IP) - axborotni qayta ishlash tizimi va tegishli tashkiliy resurslar ( insoniy, texnik, moliyaviy va boshqalar.) axborotni taqdim etuvchi va tarqatuvchi.

Xavfsizlik - manfaatlarni himoya qilish holati ( maqsadlar) tahdidlar qarshisida tashkilotlar.

Axborot xavfsizligi ( IB) — axborot sohasidagi tahdidlar bilan bog'liq xavfsizlik. Xavfsizlikka AT xossalari majmuini - axborot aktivlarining mavjudligi, yaxlitligi, maxfiyligini ta'minlash orqali erishiladi. IS mulklarining ustuvorligi ushbu aktivlarning manfaatlar uchun qiymati bilan belgilanadi ( maqsadlar) tashkilot.

Axborot aktivlarining mavjudligi - axborot aktivlari vakolatli foydalanuvchiga, foydalanuvchi talab qilgan shaklda va joyda hamda unga kerak boʻlgan vaqtda taqdim etilishidan iborat boʻlgan tashkilot AT mulki.

Axborot aktivlarining yaxlitligi - tashkilotning axborot aktivlarida aniqlangan o'zgarishlarni o'zgarmas yoki to'g'ri saqlash uchun uning axborot xavfsizligi mulki.

Axborot aktivlarining maxfiyligi - tashkilotning axborot xavfsizligining mulki bo'lib, u axborot aktivlarini qayta ishlash, saqlash va uzatish axborot aktivlari faqat vakolatli foydalanuvchilar, tizim ob'ektlari yoki jarayonlari uchun mavjud bo'ladigan tarzda amalga oshirilishidan iborat.

Axborot xavfsizligi tizimi ( NIB) — himoya choralari, himoya vositalari va ularni ishlatish jarayonlari, shu jumladan resurs va ma'muriy ( tashkiliy) ta'minlash.

Ruxsatsiz kirish- xodimning rasmiy vakolatlarini buzgan holda ma'lumotlarga kirish, kirish uchun yopiq ommaviy kirish ushbu ma'lumotlarga kirish huquqiga ega bo'lmagan shaxslarning ma'lumotlari yoki ushbu ma'lumotlarga kirish huquqiga ega bo'lgan shaxs tomonidan rasmiy vazifalarni bajarish uchun zarur bo'lgan miqdordan ortiq bo'lgan ma'lumotlar.

2. Axborot xavfsizligiga qo'yiladigan umumiy talablar

Axborot xavfsizligi talablari ( Keyinchalik -IB ) AT boshqaruv jarayonlari doirasida tashkilot faoliyatining mazmuni va maqsadlarini aniqlash.

Ushbu talablar quyidagi sohalar uchun tuzilgan:

• rollarni taqsimlash va taqsimlash va xodimlarga ishonch;
• axborot infratuzilmasi ob'ektlarining hayot aylanish bosqichlari;
• ruxsatsiz kirishdan himoya qilish ( Keyinchalik - NSD ), avtomatlashtirilgan tizimlarda, telekommunikatsiya uskunalarida va avtomatik tizimlarda kirishni boshqarish va ro'yxatga olish telefon stansiyalari va hokazo.;
• antivirus himoyasi;
• internet resurslaridan foydalanish;
• kriptografik axborotni himoya qilish vositalaridan foydalanish;
• shaxsiy ma'lumotlarni himoya qilish.

3. Himoya qilinadigan ob'ektlar

Himoya qilinishi kerak bo'lgan asosiy ob'ektlar:

• axborot resurslari taqdim etish shakli va turidan qat'i nazar, hujjatlar va ma'lumotlar massivlari ko'rinishida taqdim etilgan, shu jumladan maxfiy va ochiq ma'lumotlar;
• axborot resurslarini shakllantirish, tarqatish va ulardan foydalanish tizimi, kutubxonalar, arxivlar, ma’lumotlar bazalari va ma’lumotlar banklari, axborot texnologiyalari, axborotni to‘plash, qayta ishlash, saqlash va uzatish qoidalari va tartiblari, texnik va xizmat ko‘rsatuvchi xodimlar;
• axborot infratuzilmasi, shu jumladan, axborotni qayta ishlash va tahlil qilish tizimlari, ularni qayta ishlash, uzatish va namoyish qilish uchun texnik va dasturiy ta'minot, shu jumladan axborot almashinuvi va telekommunikatsiya kanallari, tizimlar va axborot xavfsizligi tizimlari, axborot infratuzilmasi tarkibiy qismlari joylashgan ob'ektlar va binolar.

3.1. Avtomatlashtirilgan tizimning xususiyatlari

Turli toifadagi ma'lumotlar AUda tarqaladi. Himoyalangan ma'lumotlar bitta korporativ tarmoqning turli pastki tarmoqlaridan turli foydalanuvchilar tomonidan almashishi mumkin.

Bir qator AS quyi tizimlari tashqi ( davlat va tijorat, rus va xorijiy) axborot uzatishning maxsus vositalaridan foydalangan holda kommutatsiyalangan va ajratilgan aloqa kanallari bo'yicha tashkilotlar.

AU texnik vositalari majmuasiga ma'lumotlarni qayta ishlash vositalari kiradi ( ish stantsiyalari, ma'lumotlar bazasi serverlari, pochta serverlari va boshqalar.), global tarmoqlarga kirish imkoniyati bilan mahalliy tarmoqlarda ma'lumotlar almashinuvi vositalari ( kabellar, ko'priklar, shlyuzlar, modemlar va boshqalar.), shuningdek saqlash joylari ( shu jumladan arxivlash) ma'lumotlar.

AU faoliyatining asosiy xususiyatlari quyidagilardan iborat:

• axborotni qayta ishlash va uzatish uchun ko'p sonli turli xil texnik vositalarni yagona tizimga birlashtirish zarurati;
• hal qilinishi kerak bo'lgan turli xil vazifalar va qayta ishlangan ma'lumotlar turlari;
• umumiy ma'lumotlar bazalarida turli maqsadlar, tegishlilik va maxfiylik darajalari uchun ma'lumotlarni birlashtirish;
• tashqi tarmoqlarga ulanish kanallarining mavjudligi;
• faoliyatning uzluksizligi;
• jismonan yagona tarmoqqa birlashtirilgan xavfsizlik darajalari bo'yicha turli talablarga ega quyi tizimlarning mavjudligi;
• foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning turli toifalari.

Umuman olganda, yagona AS telekommunikatsiya vositalari bilan o'zaro bog'langan bo'linmalarning lokal tarmoqlari yig'indisidir. Har bir mahalliy tarmoq o'zaro bog'langan va o'zaro ta'sir qiluvchi bir qator avtomatlashtirilgan quyi tizimlarni birlashtiradi ( texnologik saytlar), tashkilotning alohida tarkibiy bo'linmalari tomonidan muammolarni hal qilishni ta'minlash.

Axborotlashtirish ob'ektlariga quyidagilar kiradi:

• texnologik uskunalar ( mablag'lar hisoblash texnologiyasi, tarmoq va kabel uskunalari);
• axborot resurslari;
• dasturiy ta'minot ( operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari, umumiy tizim va amaliy dasturlar);
• avtomatlashtirilgan aloqa va ma'lumotlarni uzatish tizimlari (telekommunikatsiyalar);
• ulanish kanallari;
• ofis maydoni.

3.2. Himoya qilinishi kerak bo'lgan tashkilot axborot aktivlarining turlari

Turli darajadagi maxfiylik ma'lumotlari cheklangan tarqatish ma'lumotlarini o'z ichiga olgan tashkilotning AS quyi tizimlarida tarqaladi ( xizmat, tijorat, shaxsiy ma'lumotlar) va ochiq ma'lumot.

AU hujjat aylanishi quyidagilarni o'z ichiga oladi:

• to'lov topshiriqnomalari va moliyaviy hujjatlar;
• hisobotlar ( moliyaviy, tahliliy va boshqalar.);
• shaxsiy hisoblar to'g'risidagi ma'lumotlar;
• Shaxsiy ma'lumotlar;
• cheklangan tarqatiladigan boshqa ma'lumotlar.

AUda aylanib yuruvchi va quyidagi turdagi axborot aktivlarida mavjud bo'lgan barcha ma'lumotlar himoya qilinishi kerak:

• tijorat va rasmiy sirni tashkil etuvchi ma'lumotlar, ularga kirish Federal qonunga muvofiq ma'lumotlar egasi sifatida tashkilot tomonidan cheklangan. Axborot, axborotlashtirish va axborotni muhofaza qilish haqida "Huquqlar va federal qonun" Tijorat sirlari haqida »;
• shaxsiy ma'lumotlarga kirish Federal qonunga muvofiq cheklangan " Shaxsiy ma'lumotlar haqida »;
• axborotning yaxlitligi va mavjudligini ta'minlash nuqtai nazaridan ochiq axborot.

3.3. Avtomatlashtirilgan tizim foydalanuvchilari toifalari

Tashkilot bor katta raqam AU axborot resurslariga kirish uchun turli vakolatlarga ega bo'lishi kerak bo'lgan foydalanuvchilar va texnik xodimlar toifalari:

• oddiy foydalanuvchilar ( oxirgi foydalanuvchilar, tashkiliy bo'linmalar xodimlari);
• server ma'murlari ( fayl serverlari, dastur serverlari, ma'lumotlar bazasi serverlari), mahalliy tarmoqlar va amaliy tizimlar;
• tizim dasturchilari ( umumiy dasturiy ta'minotni saqlash uchun javobgardir) foydalanuvchilarning serverlari va ish stansiyalarida;
• amaliy dasturlarni ishlab chiquvchilar;
• kompyuter texnikasining texnik vositalariga xizmat ko'rsatish bo'yicha mutaxassislar;
• axborot xavfsizligi ma'murlari va boshqalar.

3.4. Avtomatlashtirilgan tizimning asosiy komponentlarining zaifligi

AU ning eng zaif komponentlari tarmoq ish stantsiyalari - avtomatlashtirilgan ish stantsiyalari ( Keyinchalik - AWP ) ishchilar. Axborotga ruxsatsiz kirishga urinishlar yoki ruxsatsiz harakatlarga urinishlar ( qasddan va qasddan) kompyuter tarmog'ida. Ish stantsiyalarining apparat va dasturiy ta'minoti konfiguratsiyasini buzish va ularning ishlash jarayonlariga noqonuniy aralashuv ma'lumotlarning bloklanishiga, muhim vazifalarni o'z vaqtida hal qilishning iloji yo'qligiga va alohida ish stantsiyalari va quyi tizimlarning ishlamay qolishiga olib kelishi mumkin.

Ajratilgan fayl serverlari, ma'lumotlar bazasi serverlari va dastur serverlari kabi tarmoq elementlari maxsus himoyaga muhtoj. Ayirboshlash protokollari va server resurslariga kirishni farqlash vositalarining kamchiliklari himoyalangan ma'lumotlarga ruxsatsiz kirish imkonini beradi va turli quyi tizimlarning ishlashiga ta'sir qiladi. Bunday holda, urinishlar masofadan turib amalga oshirilishi mumkin ( tarmoq stantsiyalaridan) va to'g'ridan-to'g'ri ( server konsolidan) serverlarning ishlashiga ta'siri va ularni himoya qilish.

Ko'priklar, shlyuzlar, markazlar, marshrutizatorlar, kalitlar va boshqa tarmoq qurilmalari, havolalar va aloqalar ham himoyaga muhtoj. Ulardan tajovuzkorlar tarmoq operatsiyalarini qayta tashkil etish va tartibsizlantirish, uzatiladigan ma'lumotlarni ushlab qolish, trafikni tahlil qilish va ma'lumotlar almashinuvi jarayonlariga aralashishning boshqa usullarini amalga oshirish uchun ishlatilishi mumkin.

4. Axborot xavfsizligining asosiy tamoyillari

4.1. Xavfsiz ishlashning umumiy tamoyillari

• Muammoni o'z vaqtida aniqlash. Tashkilot o'z biznes maqsadlariga ta'sir qilishi mumkin bo'lgan muammolarni o'z vaqtida aniqlashi kerak.
• Muammolarning rivojlanishini bashorat qilish. Tashkilot sababni aniqlashi kerak mumkin bo'lgan muammolar va shu asosda ularning rivojlanishining aniq prognozini qurish.
• Muammolarning biznes maqsadlariga ta'sirini baholash. Tashkilot aniqlangan muammolarning ta'sirini etarli darajada baholashi kerak.
• Himoya choralarining etarliligi. Tashkilot bunday chora-tadbirlarni amalga oshirish xarajatlarini va tahdidlarni amalga oshirishdan mumkin bo'lgan yo'qotishlarni hisobga olgan holda, tahdidlar va huquqbuzarlarning modellariga mos keladigan himoya choralarini tanlashi kerak.
• Himoya choralarining samaradorligi. Tashkilot qabul qilingan himoya choralarini samarali amalga oshirishi kerak.
• Qarorlarni qabul qilish va amalga oshirishda tajribadan foydalanish. Tashkilot qarorlarni qabul qilish va ularni amalga oshirishning barcha darajalarida o'z tajribasi va boshqa tashkilotlarning tajribasini to'plashi, umumlashtirishi va foydalanishi kerak.
• Xavfsiz ishlash tamoyillarining uzluksizligi. Tashkilot xavfsiz ishlash tamoyillarini amalga oshirishning uzluksizligini ta'minlashi kerak.
• Himoya choralarining nazorat qilinishi. Tashkilot faqat to'g'ri ishlashi tekshirilishi mumkin bo'lgan himoya choralarini qo'llashi kerak va tashkilot xavfsizlik choralarining tashkilotning biznes maqsadlariga ta'sirini hisobga olgan holda himoya choralarining muvofiqligi va ularni amalga oshirish samaradorligini muntazam ravishda baholashi kerak.

4.2. Axborot xavfsizligini ta'minlashning maxsus tamoyillari

• Axborot xavfsizligining maxsus tamoyillarini amalga oshirish tashkilotda axborot xavfsizligini boshqarish jarayonlarining etuklik darajasini oshirishga qaratilgan.
• Maqsadlarni aniqlash. Tashkilotning funktsional va axborot xavfsizligi maqsadlari ichki hujjatda aniq belgilanishi kerak. Noaniqlik " noaniqlik"Tashkiliy tuzilma, xodimlarning roli, axborot xavfsizligi siyosati va qabul qilingan himoya choralarining etarliligini baholashning mumkin emasligi.
• Mijozlaringiz va xodimlaringizni bilish. Tashkilot o'z mijozlari haqida ma'lumotga ega bo'lishi kerak, xodimlarni ehtiyotkorlik bilan tanlash ( ishchilar), aktivlarni boshqarish tashkiloti faoliyati uchun qulay ishonch muhitini yaratadigan korporativ etikani ishlab chiqish va saqlash.
• Shaxslashtirish va rol va mas'uliyatni adekvat taqsimlash. Tashkilot mansabdor shaxslarining uning aktivlari bilan bog'liq qarorlar uchun javobgarligi shaxsiylashtirilishi va asosan kafillik shaklida amalga oshirilishi kerak. U tashkilot maqsadlariga ta'sir qilish darajasiga mos kelishi, siyosatda mustahkamlanishi, nazorat qilinishi va takomillashtirilishi kerak.
• Rollarning funksiyalar va protseduralarga muvofiqligi va ularning mezonlar va baholash tizimi bilan taqqoslanishi. Rollar bajarilgan funktsiyalarni va tashkilotda qabul qilingan ularni amalga oshirish tartiblarini etarli darajada aks ettirishi kerak. O'zaro bog'liq rollarni belgilashda ularni amalga oshirishning zarur ketma-ketligini hisobga olish kerak. Rol uni amalga oshirish samaradorligini baholash mezonlariga mos kelishi kerak. O'ynagan rolning asosiy mazmuni va sifati aslida unga qo'llaniladigan baholash tizimi bilan belgilanadi.
• Xizmatlar va xizmatlarning mavjudligi. Tashkilot o'z mijozlari va pudratchilari uchun tegishli shartnomalarda belgilangan muddatlarda xizmatlar va xizmatlar mavjudligini ta'minlashi kerak ( shartnomalar) va/yoki boshqa hujjatlar.
• Axborot xavfsizligining kuzatuvchanligi va baholanishi. Har qanday tavsiya etilgan himoya choralari ularni qo'llash ta'siri aniq ko'rinadigan, kuzatilishi mumkin bo'lgan tarzda ishlab chiqilishi kerak ( shaffof) va tegishli vakolatga ega bo'lgan tashkilot bo'limi tomonidan baholanishi mumkin.

5. Axborot xavfsizligining maqsad va vazifalari

5.1. Avtomatlashtirilgan tizimda axborot munosabatlarining sub'ektlari

AU dan foydalanish va axborot xavfsizligini ta'minlashda huquqiy munosabatlarning sub'ektlari quyidagilardir:

• Tashkilot axborot resurslarining egasi sifatida;
• AES ishini ta'minlovchi tashkilotning bo'linmalari;
• tashkilotning tarkibiy bo'linmalari xodimlari, ularga yuklangan funktsiyalarga muvofiq AUda ma'lumotlardan foydalanuvchilar va provayderlar sifatida;
• ASda to'plangan, saqlanadigan va qayta ishlanadigan yuridik va jismoniy shaxslar;
• AUni tashkil etish va faoliyatida ishtirok etgan boshqa yuridik va jismoniy shaxslar ( tizim komponentlarini ishlab chiquvchilar, axborot texnologiyalari sohasida turli xizmatlarni ko'rsatish bilan shug'ullanadigan tashkilotlar va boshqalar.).

Axborot munosabatlarining sanab o'tilgan sub'ektlari quyidagilarni ta'minlashdan manfaatdor:

• ma'lum bir ma'lumotning maxfiyligi;
• ishonchlilik ( to‘liqlik, aniqlik, adekvatlik, yaxlitlik) ma `lumot;
• noto'g'ri so'zlardan himoya qilish ( ishonchsiz, buzilgan) ma `lumot;
• zarur ma'lumotlarga o'z vaqtida kirish;
• qonuniy huquqlarni buzganlik uchun javobgarlikni farqlash ( manfaatlar) axborot munosabatlarining boshqa sub'ektlari va axborot bilan ishlashning belgilangan qoidalari;
• axborotni qayta ishlash va uzatish jarayonlarini doimiy monitoring qilish va boshqarish imkoniyati;
• axborotning bir qismini uning noqonuniy takrorlanishidan himoya qilish ( mualliflik huquqlarini, axborot egasining huquqlarini himoya qilish va boshqalar.).

5.2. Axborot xavfsizligi maqsadi

Axborot xavfsizligini ta'minlashning asosiy maqsadi axborot munosabatlari sub'ektlarini AU faoliyati jarayoniga tasodifiy yoki qasddan ruxsatsiz aralashuv yoki unda aylanib yuruvchi ma'lumotlarga ruxsatsiz kirish orqali ularga mumkin bo'lgan moddiy, ma'naviy yoki boshqa zararlardan himoya qilishdir. uning noqonuniy ishlatilishi.

Ushbu maqsadga axborotning quyidagi xususiyatlarini va uni qayta ishlashning avtomatlashtirilgan tizimini doimiy ravishda ta'minlash va saqlash orqali erishiladi:

• ro'yxatdan o'tgan foydalanuvchilar uchun qayta ishlangan ma'lumotlarning mavjudligi;
• aloqa kanallari orqali saqlanadigan, qayta ishlanadigan va uzatiladigan ma'lumotlarning ma'lum bir qismining maxfiyligi;
• aloqa kanallari orqali saqlanadigan, qayta ishlanadigan va uzatiladigan axborotning yaxlitligi va haqiqiyligi.

5.3. Axborot xavfsizligi maqsadlari

Axborot xavfsizligini ta'minlashning asosiy maqsadiga erishish uchun AES axborot xavfsizligi tizimi quyidagi vazifalarni samarali hal qilishni ta'minlashi kerak:

• ruxsatsiz shaxslar tomonidan AUning ishlash jarayoniga aralashuvidan himoya qilish;
• ro'yxatdan o'tgan foydalanuvchilarning AU apparat, dasturiy va axborot resurslariga kirishini farqlash, ya'ni ruxsatsiz kirishdan himoya qilish;
• tizim jurnallarida himoyalangan AS resurslaridan foydalanishda foydalanuvchi harakatlarini ro'yxatga olish va xavfsizlik bo'limlari mutaxassislari tomonidan ushbu jurnallar tarkibini tahlil qilish orqali tizim foydalanuvchilari harakatlarining to'g'riligini davriy nazorat qilish;
• ruxsatsiz o'zgartirishdan himoya qilish va butunlikni nazorat qilish ( o'zgarmasligini ta'minlash) dasturlarning ishlash muhiti va buzilgan taqdirda uni qayta tiklash;
• AUda qo'llaniladigan dasturiy ta'minotning yaxlitligini ruxsatsiz o'zgartirish va nazorat qilishdan himoya qilish, shuningdek tizimni ruxsatsiz dasturlarni, shu jumladan kompyuter viruslarini kiritishdan himoya qilish;
• axborotni qayta ishlash, saqlash va aloqa kanallari orqali uzatish jarayonida texnik kanallar orqali chiqib ketishdan himoya qilish;
• saqlanadigan, qayta ishlanadigan va aloqa kanallari orqali uzatiladigan axborotni ruxsatsiz oshkor qilish yoki buzishdan himoya qilish;
• axborot almashinuvida ishtirok etuvchi foydalanuvchilarning autentifikatsiyasini ta'minlash;
• kalit tizimining bir qismi buzilganda kriptografik axborotni himoya qilish vositalarining saqlanishini ta'minlash;
• axborot xavfsizligiga tahdid manbalarini, axborot munosabatlarining manfaatdor subyektlariga zarar yetkazilishiga sabab bo‘ladigan sabablar va shart-sharoitlarni o‘z vaqtida aniqlash, axborot xavfsizligiga tahdidlar va salbiy tendentsiyalarga tezkor javob berish mexanizmini yaratish;
• jismoniy va yuridik shaxslarning noqonuniy xatti-harakatlari natijasida etkazilgan zararni minimallashtirish va mahalliylashtirish uchun shart-sharoitlar yaratish, salbiy ta'sirni zaiflashtirish va axborot xavfsizligini buzish oqibatlarini bartaraf etish.

5.4. Axborot xavfsizligi muammolarini hal qilish yo'llari

Axborot xavfsizligi muammolarini hal qilishda quyidagilarga erishiladi:

• himoya qilinishi kerak bo'lgan barcha tizim resurslarini qat'iy hisobga olish ( ma'lumotlar, vazifalar, aloqa kanallari, serverlar, AWP);
• axborotni qayta ishlash jarayonlarini va tashkilotning tarkibiy bo'linmalari xodimlarining harakatlarini, shuningdek, atom elektr stansiyasining dasturiy va texnik vositalariga texnik xizmat ko'rsatish va o'zgartirishni amalga oshiruvchi xodimlarning harakatlarini axborot xavfsizligi bo'yicha tashkiliy-ma'muriy hujjatlar asosida tartibga solish;
• axborot xavfsizligi bo'yicha tashkiliy-ma'muriy hujjatlar talablarining to'liqligi, real maqsadga muvofiqligi va izchilligi;
• axborot xavfsizligini ta'minlash bo'yicha amaliy chora-tadbirlarni tashkil etish va amalga oshirish uchun mas'ul xodimlarni tayinlash va o'qitish;
• har bir xodimga atom elektr stantsiyasining resurslaridan foydalanish huquqi bilan o'z funktsional vazifalarini bajarishi uchun zarur bo'lgan minimal imkoniyatlarni berish;
• atom elektr stansiyasining texnik va dasturiy ta’minotidan foydalanuvchi va ularga xizmat ko‘rsatuvchi barcha xodimlar tomonidan axborot xavfsizligi bo‘yicha tashkiliy-ma’muriy hujjatlar talablariga aniq bilim va qat’iy rioya qilish;
• Avtomatlashtirilgan ma'lumotlarni qayta ishlash jarayonlarida ishtirok etadigan va AU resurslariga kirish huquqiga ega bo'lgan har bir xodimning o'z funktsional majburiyatlari doirasidagi harakatlari uchun shaxsiy javobgarligi;
• dasturiy ta'minot, texnik vositalar va ma'lumotlarni himoya qilish bo'yicha tashkiliy-texnik chora-tadbirlar komplekslaridan foydalangan holda axborotni qayta ishlashning texnologik jarayonlarini amalga oshirish;
• texnik jihozlarning jismoniy yaxlitligini ta'minlash va AES komponentlarini himoya qilishning zarur darajasini doimiy ravishda ta'minlash bo'yicha samarali choralar ko'rish;
• texnik qo'llash ( dasturiy ta'minot va apparat) tizim resurslarini himoya qilish va ulardan foydalanishni doimiy ma'muriy qo'llab-quvvatlash vositalari;
• axborot oqimlarini chegaralash va cheklangan tarqatiladigan axborotni himoyalanmagan aloqa kanallari orqali uzatishni taqiqlash;
• xodimlar tomonidan axborot xavfsizligi talablariga rioya etilishi ustidan samarali nazorat;
• tarmoq resurslarini doimiy monitoring qilish, zaifliklarni aniqlash, kompyuter tarmog'i xavfsizligiga tashqi va ichki tahdidlarni o'z vaqtida aniqlash va zararsizlantirish;
• tashkilot manfaatlarini axborot xavfsizligi sohasidagi noqonuniy harakatlardan huquqiy himoya qilish.
• ko‘rilayotgan chora-tadbirlar va foydalanilayotgan axborotni muhofaza qilish vositalarining samaradorligi va yetarliligini doimiy tahlil qilish, atom elektr stansiyasida axborotni muhofaza qilish tizimini takomillashtirish bo‘yicha takliflar ishlab chiqish va amalga oshirish.

6 ta axborot xavfsizligi tahdidlari

6.1. Axborot xavfsizligi tahdidlari va ularning manbalari

Ko'pchilik xavfli tahdidlar AUda qayta ishlangan axborot xavfsizligi quyidagilardan iborat:

• maxfiylikni buzish ( oshkor qilish, oqish) rasmiy yoki tijorat sirini tashkil etuvchi ma'lumotlar, shu jumladan shaxsiy ma'lumotlar;
• noto'g'ri ishlash ( ishning tartibsizligi) AU, axborotni blokirovka qilish, texnologik jarayonlarni buzish, muammolarni o'z vaqtida hal qilishni buzish;
• yaxlitlikni buzish ( buzish, almashtirish, buzish) axborot, dasturiy ta'minot va AUning boshqa resurslari.

AESning axborot xavfsizligiga tahdidlarning asosiy manbalari:

• tabiiy va texnogen xarakterdagi noxush hodisalar;
• terrorchilar, jinoyatchilar;
• maqsadli buzg'unchi harakatlarni amalga oshiradigan, shu jumladan kompyuter viruslari va boshqa turdagi zararli kodlar va hujumlardan foydalangan holda kompyuterga bosqinchilar;
• dasturiy ta'minot va apparat ta'minotchilari, Materiallar, xizmatlar va boshqalar;
• uskunani o'rnatish, ishga tushirish va uni ta'mirlashni amalga oshiruvchi pudratchilar;
• nazorat qiluvchi va nazorat qiluvchi organlarning talablariga, amaldagi qonun hujjatlariga rioya qilmaslik;
• nosozliklar, nosozliklar, dasturiy ta'minot va apparatlarning yo'q qilinishi / shikastlanishi;
• AUdagi jarayonlarning qonuniy ishtirokchisi bo'lgan va berilgan vakolatlar doirasidan tashqarida harakat qiladigan xodimlar;
• AUdagi jarayonlarning qonuniy ishtirokchisi bo'lgan va berilgan vakolatlar doirasida harakat qiladigan xodimlar.

6.2. Axborot xavfsizligining buzilishiga olib keladigan beixtiyor harakatlar va ularning oldini olish choralari

AUdagi ma'lumotlarni qayta ishlash jarayonlariga bevosita kirish huquqiga ega bo'lgan tashkilot xodimlari axborot xavfsizligini buzishga olib kelishi mumkin bo'lgan tasodifiy xatti-harakatlarning potentsial manbai hisoblanadi.

Axborot xavfsizligini buzishga olib keladigan asosiy kutilmagan harakatlar (odamlar tomonidan tasodifan, johillik, e'tiborsizlik yoki beparvolik tufayli, qiziquvchanlik tufayli, lekin yomon niyatsiz qilingan harakatlar) va bunday harakatlarning oldini olish va ular keltiradigan zararni minimallashtirish choralari ko'rsatilgan 1-jadval.

1-jadval

6.3. Axborot xavfsizligini buzishga qaratilgan qasddan harakatlar va ularning oldini olish choralari

Asosiy qasddan harakatlar ( g'arazli maqsadlarda, tazyiq ostida, qasos olish istagida va hokazo.), atom elektr stansiyasining axborot xavfsizligi buzilishiga olib keladigan va ularning oldini olish va etkazilishi mumkin bo'lgan zararni kamaytirish choralari ko'rsatilgan. 2-jadval.

jadval 2

6.4. Ma'lumotlar texnik kanallar orqali chiqib ketadi

AESning texnik jihozlarini ishlatish jarayonida ma'lumotlarning oqishi yoki yaxlitligini buzish, texnik jihozlarning ishlashini buzishning quyidagi kanallari bo'lishi mumkin:

• texnik vositalardan va axborot uzatish liniyalaridan axborot signalining yon elektromagnit nurlanishi;
• elektron kompyuterlar yordamida qayta ishlangan axborot signalini idoralarning nazorat qilinadigan hududidan tashqariga chiqadigan simlar va liniyalarga tutib olish, shu jumladan. topraklama va elektr ta'minoti davrlarida;
• ma'lumotni ushlab turish uchun turli xil elektron qurilmalar ( shu jumladan "Xatcho'plar") aloqa kanallari yoki axborotni qayta ishlashning texnik vositalariga ulangan;
• displey ekranlari va boshqa optik vositalar yordamida ma'lumotlarni ko'rish;
• yaxlitligini buzish uchun apparat yoki dasturiy ta'minotga ta'sir qilish ( halokat, buzilish) ma'lumotlar, texnik vositalarning, axborotni himoya qilish vositalarining ishlashi va maxsus joriy etilgan elektron va dasturiy vositalar orqali ma'lumotlar almashinuvining o'z vaqtida, shu jumladan elektromagnit "Xatcho'plar").

Axborotni qayta ishlash va xavfsizligini ta'minlashning o'ziga xos xususiyatlarini, maxfiy ma'lumotlarning chiqib ketish xavfini hisobga olgan holda ( shaxsiy ma'lumotlar, shu jumladan) texnik kanallar orqali tashkilot uchun ahamiyatsiz.

6.5. Ehtimoliy bosqinchining norasmiy modeli

Huquqbuzar - taqiqlangan operatsiyalarni amalga oshirishga uringan shaxs ( harakat) xato, johillik yoki qasddan g'araz bilan ( shaxsiy manfaatlardan tashqari) yoki usiz ( o'yin yoki zavq uchun, o'zini o'zi tasdiqlash maqsadida va hokazo.) va buning uchun turli imkoniyatlar, usul va vositalardan foydalanish.

AESni himoya qilish tizimi tizimdagi huquqbuzarlarning quyidagi mumkin bo'lgan turlari haqidagi taxminlarga asoslanishi kerak ( shaxslar toifasini, motivatsiyasini, malakasini, maxsus vositalar mavjudligini va boshqalarni hisobga olgan holda.):

• « Tajribasiz (e'tiborsiz) foydalanuvchi»- taqiqlangan operatsiyalarni bajarishga urinishi mumkin bo'lgan, AUning himoyalangan resurslariga o'z vakolatlaridan ortiqcha kirishi, noto'g'ri ma'lumotlarni kiritishi va hokazo. noto'g'ri, layoqatsizlik yoki beparvolik bilan yomon niyatsiz va faqat standartdan foydalangan holda harakatlar ( unga mavjud) apparat va dasturiy ta'minot.
• « Oshiq"- o'zini-o'zi tasdiqlash uchun yoki g'arazli niyatlarsiz mudofaa tizimini engib o'tishga harakat qilayotgan xodim" sportga qiziqish". Himoya tizimini engib o'tish va taqiqlangan harakatlarni amalga oshirish uchun u resurslarga kirish uchun qo'shimcha vakolatlarni olishning turli usullaridan foydalanishi mumkin ( ismlar, parollar va boshqalar. boshqa foydalanuvchilar), himoya tizimini qurishdagi kamchiliklar va mavjud xodimlar ( ish stantsiyasiga o'rnatilgan) dasturlar ( ruxsat etilgan vositalardan foydalanish bo'yicha o'z vakolatlarini oshirib, ruxsatsiz harakatlar). Bundan tashqari, u qo'shimcha nostandart instrumental va texnologik dasturlardan foydalanishga harakat qilishi mumkin ( tuzatuvchilar, yordamchi dasturlar), mustaqil ravishda ishlab chiqilgan dasturlar yoki standart qo'shimcha texnik vositalar.
• « Firibgar"- noqonuniy texnologik operatsiyalarni amalga oshirishga, soxta ma'lumotlarni kiritishga va shunga o'xshash harakatlarni g'arazli maqsadlarda, majburlash yoki g'arazli niyatda amalga oshirishga urinishi mumkin bo'lgan, lekin faqat muntazam ( ish stantsiyasida o'rnatilgan va u uchun mavjud) o'z nomidan yoki boshqa xodim nomidan apparat va dasturiy ta'minot ( uning ismi va parolini bilish, ish joyida qisqa muddat bo'lmaganidan foydalanish va h.k.).
• « Tashqi buzg'unchi (buzg'unchi)"- begona yoki sobiq xodim xudbin manfaatlar, qasos yoki qiziquvchanlik, ehtimol boshqalar bilan til biriktirib, maqsadli ravishda harakat qilish. U axborot xavfsizligini buzishning barcha usullaridan, umumiy tarmoqlar uchun xos bo'lgan xavfsizlik tizimlarini buzish usullari va vositalaridan foydalanishi mumkin ( ayniqsa IP-ga asoslangan tarmoqlar), shu jumladan dasturiy ta'minot xatcho'plarini masofadan amalga oshirish va maxsus instrumental va texnologik dasturlardan foydalanish, almashinuv protokollarining mavjud zaif tomonlari va tashkilotning AS tarmog'i tugunlarini himoya qilish tizimidan foydalangan holda.
• « Ichki hujumchi» - tizim foydalanuvchisi sifatida ro'yxatdan o'tgan, g'arazli manfaatlar yoki qasos olish maqsadida, ehtimol tashkilot xodimlari bo'lmagan shaxslar bilan til biriktirib, maqsadli harakat qilgan xodim. U xavfsizlik tizimini buzishning barcha usullari va vositalaridan, shu jumladan kirish ma'lumotlarini olishning yashirin usullaridan, passiv vositalardan (tizim komponentlarini o'zgartirmasdan ushlab turishning texnik vositalari), faol ta'sir qilish usullari va vositalaridan foydalanishi mumkin. texnik vositalarni o'zgartirish, ma'lumotlarni uzatish kanallariga ulanish, dasturiy xatcho'plarni joriy etish va maxsus instrumental va texnologik dasturlardan foydalanish), shuningdek, ichkaridan va jamoat tarmoqlaridan ta'sirlarning kombinatsiyasi.

Insayder quyidagi toifadagi xodimlar bo'lishi mumkin:

• AU ning ro'yxatdan o'tgan oxirgi foydalanuvchilari ( bo'limlar va filiallar xodimlari);
• ishchilarga AU bilan ishlashga ruxsat berilmagan;
• atom elektr stantsiyasining texnik vositalariga xizmat ko'rsatuvchi xodimlar ( muhandislar, texniklar);
• dasturiy ta'minotni ishlab chiqish va texnik xizmat ko'rsatish bo'limlari xodimlari ( amaliy va tizim dasturchilari);
• tashkilotning binolari va binolariga xizmat ko'rsatadigan texnik xodimlar ( farroshlar, elektrchilar, santexniklar va karnay qismlari joylashgan binolar va binolarga kirish imkoni bo'lgan boshqa ishchilar);
• turli darajadagi rahbarlar.

• ishdan bo'shatilgan ishchilar;
• tashkilot hayotini ta'minlash masalalari bo'yicha o'zaro hamkorlik qiluvchi tashkilotlar vakillari ( energiya, suv, issiqlik ta'minoti va boshqalar.);
• uskunalar, dasturiy ta'minot, xizmatlar va boshqalarni etkazib beruvchi firmalar vakillari;
• jinoiy tashkilotlar va raqobatchi tijorat tuzilmalari a'zolari yoki ularning nomidan ish yurituvchi shaxslar;
• tashqi tarmoqlardan tasodifan yoki ataylab tarmoqqa kirgan shaxslar ( "Hackerlar").

Ishchilar orasidan foydalanuvchilar va xizmat ko'rsatuvchi xodimlar resurslardan foydalanish bo'yicha ma'lum vakolatlari va axborotni qayta ishlash texnologiyasini yaxshi bilishlari tufayli ruxsatsiz harakatlarni amalga oshirish uchun eng katta imkoniyatlarga ega. Ushbu guruh buzuvchilarning xatti-harakatlari amaldagi qoidalar va qoidalarni buzish bilan bevosita bog'liq. Ushbu qoidabuzarlar guruhi jinoiy tuzilmalar bilan aloqa qilishda ayniqsa xavflidir.

Ishdan bo'shatilgan ishchilar o'z maqsadlariga erishish uchun ish texnologiyasi, himoya choralari va kirish huquqlaridan foydalanishlari mumkin.

Jinoiy tuzilmalar tashqi tahdidlarning eng agressiv manbai hisoblanadi. Ushbu tuzilmalar o'z rejalarini amalga oshirish uchun qonunni ochiqdan-ochiq buzishi va tashkilot xodimlarini o'z faoliyatiga barcha kuch va vositalar bilan jalb qilishlari mumkin.

Hackerlar eng yuqori texnik malakaga ega va AUda qo'llaniladigan dasturiy ta'minotning zaif tomonlarini bilishadi. Ular ishlaydigan yoki ishdan bo'shatilgan ishchilar va jinoiy tuzilmalar bilan muloqot qilishda eng katta xavf tug'diradi.

Uskunalar va axborot tizimlarini ishlab chiqish, etkazib berish va ta'mirlash bilan shug'ullanadigan tashkilotlar vaqti-vaqti bilan axborot resurslariga bevosita kirish imkoniga ega bo'lganligi sababli tashqi xavf tug'diradi. Jinoiy tuzilmalar himoyalangan ma'lumotlarga kirish uchun ushbu tashkilotlardan o'z a'zolarini vaqtinchalik ish bilan ta'minlash uchun foydalanishi mumkin.

7. Axborot xavfsizligi sohasidagi texnik siyosat

7.1. Texnik siyosatning asosiy qoidalari

Axborot xavfsizligi sohasida texnik siyosatni amalga oshirish faqat bitta alohida vosita yordamida emas, balki axborot xavfsizligining zarur darajasini ta'minlash mumkin emasligidan kelib chiqishi kerak. faoliyat), balki ularning oddiy kombinatsiyasi yordamida ham. Ularni bir-biri bilan tizimli muvofiqlashtirish zarur ( murakkab dastur) va AU ning individual ishlab chiqilgan elementlari texnik (texnik) ning optimal nisbati bilan xavfsiz dizayndagi yagona axborot tizimining bir qismi sifatida ko'rib chiqilishi kerak. apparat, dasturiy ta'minot) mablag'lar va tashkiliy chora-tadbirlar.

AES ma'lumotlari xavfsizligini ta'minlash bo'yicha texnik siyosatni amalga oshirishning asosiy yo'nalishlari ruxsatsiz kirish va maxsus harakatlar natijasida axborot resurslarini o'g'irlash, yo'qotish, sizib chiqish, yo'q qilish, buzish yoki qalbakilashtirishdan himoya qilishni ta'minlashdan iborat.

Axborot xavfsizligini ta'minlash bo'yicha texnik siyosatning ko'rsatilgan yo'nalishlari doirasida quyidagilar amalga oshiriladi:

• ijrochilarni qabul qilish uchun ruxsat berish tizimini joriy etish ( foydalanuvchilar, xizmat ko'rsatish xodimlari) maxfiy xarakterdagi ishlar, hujjatlar va ma'lumotlarga;
• ijrochilar va ruxsat etilmagan shaxslarning maxfiy xarakterdagi ishlar olib boriladigan hamda axborotlashtirish va aloqa vositalari joylashgan binolar va binolarga kirishini cheklash ( saqlanadi, uzatiladi) to'g'ridan-to'g'ri axborotlashtirish va aloqa vositalariga tegishli bo'lgan maxfiy ma'lumotlar;
• foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning axborot resurslariga, AU tarkibiga kiradigan turli darajadagi va maqsadlardagi quyi tizimlardagi ma'lumotlarni qayta ishlash va himoya qilish uchun dasturiy ta'minotga kirishini farqlash;
• hujjatlarni, ma'lumotlar massivlarini ro'yxatga olish, foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning harakatlarini ro'yxatga olish, ruxsatsiz kirish va foydalanuvchilarning, xizmat ko'rsatuvchi xodimlarning va ruxsatsiz shaxslarning harakatlarini nazorat qilish;
• avtomatlashtirilgan quyi tizimlarga virus dasturlari, dasturiy xatcho'plar kiritilishining oldini olish;
• kompyuter texnikasi va aloqa vositalari orqali qayta ishlangan va uzatiladigan axborotni kriptografik himoya qilish;
• mashina saqlash vositalarini ishonchli saqlash, kriptografik kalitlar ( asosiy ma'lumotlar ) va ularning aylanishi, o'g'irlik, almashtirish va yo'q qilish bundan mustasno;
• texnik vositalarni zarur zaxiralash va massivlar va axborot tashuvchilarni takrorlash;
• avtomatlashtirilgan quyi tizimlarning turli elementlari tomonidan yaratilgan soxta emissiyalar va pikaplar darajasi va axborot mazmunini kamaytirish;
• nazorat qilinadigan hududdan tashqariga chiqadigan axborotlashtirish ob'ektlarining elektr ta'minoti sxemalarini, topraklama va boshqa sxemalarini elektr izolyatsiyasi;
• optik va lazerli kuzatish vositalariga qarshi turish.

7.2. Axborot xavfsizligi rejimini shakllantirish

AES xavfsizligiga aniqlangan tahdidlarni hisobga olgan holda, axborot xavfsizligi rejimi AESda va uni qo'llab-quvvatlovchi infratuzilmada aylanib yuruvchi ma'lumotlarni tabiiy yoki sun'iy xarakterdagi tasodifiy yoki qasddan ta'sirlardan himoya qilish bo'yicha usullar va chora-tadbirlar majmui sifatida shakllantirilishi kerak. axborot egalariga yoki foydalanuvchilariga zarar yetkazish.

Axborot xavfsizligi rejimini shakllantirish bo'yicha chora-tadbirlar majmui quyidagilarni o'z ichiga oladi:

• avtomatlashtirilgan tizimda axborot xavfsizligining tashkiliy-huquqiy rejimini o'rnatish ( me'yoriy hujjatlar, xodimlar bilan ishlash, ish yuritish);
• cheklangan tarqatiladigan ma'lumotlarni texnik kanallar orqali sizib chiqishidan himoya qilish bo'yicha tashkiliy-texnik tadbirlarni amalga oshirish;
• ruxsat etilmagan harakatlarning oldini olishga qaratilgan tashkiliy va dasturiy-texnik chora-tadbirlar ( kirish) AU axborot resurslariga;
• tasodifiy yoki qasddan ta'sirlardan keyin cheklangan tarqatiladigan axborot resurslarini himoya qilish vositalari va tizimlarining ishlashini nazorat qilish bo'yicha chora-tadbirlar majmui.

8. Axborot xavfsizligini ta'minlash chora-tadbirlari, usullari va vositalari

8.1. Tashkiliy chora-tadbirlar

Tashkiliy chora-tadbirlar- bu AESning ishlash jarayonlarini, ularning resurslaridan foydalanishni, texnik xizmat ko'rsatuvchi xodimlarning faoliyatini, shuningdek foydalanuvchilarning tizim bilan o'zaro munosabati tartibini tartibga soluvchi tashkiliy chora-tadbirlardir xavfsizlik tahdidlarini amalga oshirish va ular amalga oshirilgan taqdirda zarar miqdorini kamaytirish.

8.1.1. Xavfsizlik siyosatini shakllantirish

Tashkiliy chora-tadbirlarning asosiy maqsadi axborotni muhofaza qilish sohasidagi yondashuvlarni aks ettiruvchi axborot xavfsizligi sohasida siyosatni shakllantirish va zarur resurslarni ajratish va ishlarning holatini monitoring qilish orqali uning amalga oshirilishini ta'minlashdan iborat.

Amaliy nuqtai nazardan, AES xavfsizligi siyosatini ikki darajaga bo'lish kerak. Yuqori darajaga butun tashkilot faoliyatiga ta'sir ko'rsatadigan qarorlar kiradi. Bunday echimlarga misol bo'lishi mumkin:

• axborot xavfsizligini ta’minlash bo‘yicha kompleks dasturni shakllantirish yoki qayta ko‘rib chiqish, uni amalga oshirish uchun mas’ul shaxslarni aniqlash;
• maqsadlarni shakllantirish, maqsadlarni belgilash, axborot xavfsizligi sohasidagi faoliyat sohalarini belgilash;
• xavfsizlik dasturini amalga oshirish bo'yicha qarorlar qabul qilish, ular butun tashkilot darajasida ko'rib chiqiladi;
• tartibga solish ( qonuniy) xavfsizlik savollari ma'lumotlar bazasi va boshqalar.

Quyi darajadagi siyosat maqsadlarga erishish va axborot xavfsizligi muammolarini hal qilish tartibi va qoidalarini belgilaydi va ushbu qoidalarning tafsilotlarini (tartibga soladi):

• axborot xavfsizligi siyosati doirasi qanday;
• axborot xavfsizligi siyosatini amalga oshirish uchun mas'ul mansabdor shaxslarning roli va mas'uliyati qanday;
• cheklangan ma'lumotlardan foydalanish huquqiga kim ega;
• kim va qanday sharoitda ma'lumotni o'qishi va o'zgartirishi mumkin va hokazo.

Pastki darajadagi siyosat:

• maxfiy axborot resurslariga nisbatan o‘zboshimchalik, monopoliya yoki ruxsat etilmagan harakatlar qilish imkoniyatini istisno qilgan holda, axborot munosabatlarini tartibga solishni ta’minlash;
• koalitsiyani aniqlash va ierarxik tamoyillar sirlarni ajratish va cheklangan tarqatiladigan ma'lumotlarga kirishni chegaralash usullari;
• kriptografik himoya qilishning dasturiy-texnik vositalarini, buzg‘unchilikka qarshi kurashish, autentifikatsiya qilish, avtorizatsiya qilish, identifikatsiya qilish va axborot munosabatlari subyektlarining huquq va majburiyatlarini amalga oshirish kafolatlarini ta’minlovchi boshqa himoya mexanizmlarini tanlash.

8.1.2. Texnik vositalardan foydalanishni tartibga solish

Xavfsiz avtomatlashtirilgan ish stantsiyalari va Bank serverlarining ishlashi ishonchli avtomatik qulflar, signalizatsiya qurilmalari bilan jihozlangan va doimiy qo'riqlanadigan yoki nazorat qilinadigan xonalarda amalga oshirilishi kerak, ruxsat etilmagan shaxslarning binolarga nazoratsiz kirishi va himoyalangan resurslarning jismoniy xavfsizligini ta'minlamaydi. binolarda joylashgan ( AWP, hujjatlar, kirish tafsilotlari va boshqalar.). Bunday AWPlarning texnik vositalarini joylashtirish va o'rnatish kirishni vizual ko'rish imkoniyatini istisno qilishi kerak ( qaytarib olingan) unga aloqador bo'lmagan shaxslarning ma'lumotlari. Ularda o'rnatilgan asbob-uskunalar bilan binolarni tozalash ushbu texnik vositalar tayinlangan mas'ul shaxs yoki bo'linma navbatchisi ishtirokida ruxsat etilmagan shaxslarning kirishiga yo'l qo'ymaydigan choralarni ko'rgan holda amalga oshirilishi kerak. himoyalangan resurslar.

Cheklangan ma'lumotlarni qayta ishlash jarayonida binolarda faqat ushbu ma'lumotlar bilan ishlashga ruxsat berilgan xodimlar bo'lishi kerak.

Ish kunining oxirida himoyalangan AWPlar o'rnatilgan binolar himoya ostida topshirilishi kerak.

Ofis hujjatlarini va himoyalangan ma'lumotlarga ega mashina vositalarini saqlash uchun xodimlarga metall shkaflar, shuningdek hujjatlarni yo'q qilish vositalari taqdim etiladi.

Maxfiy ma'lumotlarni qayta ishlash yoki saqlash uchun foydalaniladigan texnik vositalar muhrlangan bo'lishi kerak.

8.1.3. Xodimlarni axborot resurslaridan foydalanishga qabul qilishni tartibga solish

Ruxsat etilgan qabul qilish tizimi doirasida quyidagilar belgilanadi: kimga, kimga, qanday ma'lumot va qanday turdagi kirish uchun va qanday sharoitlarda taqdim etilishi mumkin; AU ma'lumotlarining barcha foydalanuvchilari uchun ta'rifni o'z zimmasiga oladigan kirishni boshqarish tizimi va dasturiy ta'minot resurslari muayyan operatsiyalar uchun ular uchun mavjud ( o'qish, yozish, o'zgartirish, o'chirish, bajarish) belgilangan dasturiy va apparat vositalaridan foydalanish.

Ishchilarni AU bilan ishlashga qabul qilish va ularning resurslaridan foydalanish qat'iy tartibga solinishi kerak. AU quyi tizimlari foydalanuvchilarining tarkibi va vakolatlaridagi har qanday o'zgarishlar belgilangan tartibda amalga oshirilishi kerak.

AUdagi ma'lumotlarning asosiy foydalanuvchilari tashkilotning tarkibiy bo'linmalari xodimlaridir. Har bir foydalanuvchi uchun vakolat darajasi quyidagi talablarga rioya qilgan holda individual ravishda belgilanadi:

• ochiq va maxfiy ma'lumotlar iloji boricha turli serverlarda joylashtiriladi;
• har bir xodim o'z mehnat majburiyatlariga muvofiq ishlashi kerak bo'lgan ma'lumotlarga nisbatan faqat unga belgilangan huquqlardan foydalanadi;
• boshliq o'z qo'l ostidagilarning ma'lumotlarini ko'rish huquqiga ega;
• eng muhim texnologik operatsiyalar qoidaga muvofiq amalga oshirilishi kerak "Ikki qo'lda"- kiritilgan ma'lumotlarning to'g'riligi ma'lumotlarni kiritish huquqiga ega bo'lmagan boshqa mansabdor shaxs tomonidan tasdiqlanadi.

AESda va AESda ishlashga qabul qilingan barcha xodimlar ma'lumotlarni avtomatlashtirilgan qayta ishlashning belgilangan tartibini, tizimning himoyalangan resurslarini saqlash, ulardan foydalanish va o'z ixtiyoriga o'tkazish qoidalarini buzganliklari uchun shaxsan javobgar bo'lishi kerak. Ishga qabul qilishda har bir xodim maxfiy ma'lumotlarni saqlash talablariga rioya qilish va ularni buzganlik uchun javobgarlik, shuningdek AUda himoyalangan ma'lumotlar bilan ishlash qoidalariga rioya qilish bo'yicha majburiyatni imzolashi kerak.

AU quyi tizimlarida himoyalangan ma'lumotlarni qayta ishlash tasdiqlangan texnologik ko'rsatmalarga muvofiq amalga oshirilishi kerak ( buyurtmalar) ushbu quyi tizimlar uchun.

Foydalanuvchilar, himoyalangan ish stantsiyalari uchun zarur texnologik ko'rsatmalar, shu jumladan axborot xavfsizligini ta'minlash talablari ishlab chiqilishi kerak.

8.1.4. Ma'lumotlar bazalarini saqlash va axborot resurslarini o'zgartirish jarayonlarini tartibga solish

AUda ma'lumotlar bazalarini saqlash bo'yicha barcha operatsiyalar va ishchilarni ushbu ma'lumotlar bazalari bilan ishlashga qabul qilish qat'iy tartibga solinishi kerak. AU ma'lumotlar bazasi foydalanuvchilarining tarkibi va vakolatlaridagi har qanday o'zgarishlar belgilangan tartibda amalga oshirilishi kerak.

Ismlarni tarqatish, parollarni yaratish, ma'lumotlar bazalariga kirishni farqlash qoidalarini saqlash Axborot texnologiyalari boshqarmasi xodimlari zimmasiga yuklangan. Bunday holda, ma'lumotlar bazasi va operatsion tizimlarni himoya qilishning standart va qo'shimcha vositalaridan foydalanish mumkin.

8.1.5. Texnik xizmat ko'rsatish jarayonlarini tartibga solish va apparat va dasturiy ta'minot resurslarini o'zgartirish

Himoya qilinadigan tizim resurslari ( vazifalar, dasturlar, AWP) qat'iy hisobga olinadi ( tegishli shakllar yoki maxsus ma'lumotlar bazalaridan foydalanishga asoslangan).

Himoyalangan ma'lumotlar qayta ishlanadigan yoki himoyalangan resurslarga kirish mumkin bo'lgan avtomatlashtirilgan ish stantsiyalarining apparat va dasturiy ta'minot konfiguratsiyasi ushbu AWP foydalanuvchilariga yuklangan funktsional vazifalar doirasiga mos kelishi kerak. Barcha foydalanilmagan (keraksiz) ma'lumotlarni kiritish-chiqarish qurilmalari ( COM, USB, LPT portlari, floppi disklar, CD va boshqa saqlash vositalari) bunday AWP-larda o'chirilishi (o'chirilishi), keraksiz dasturiy ta'minot va AWS disklaridagi ma'lumotlar ham o'chirilishi kerak.

Texnik xizmat ko'rsatish, texnik xizmat ko'rsatish va himoya qilishni tashkil etishni soddalashtirish uchun ish stantsiyalari dasturiy ta'minot bilan jihozlangan bo'lishi va birlashtirilgan tarzda sozlanishi kerak ( belgilangan qoidalarga muvofiq).

Yangi AWPlarni ishga tushirish va apparat va dasturiy ta'minot konfiguratsiyasidagi barcha o'zgarishlar, tashkilot AS dagi mavjud AWPlar faqat belgilangan tartibda amalga oshirilishi kerak.

Barcha dasturiy ta'minot ( tashkilot mutaxassislari tomonidan ishlab chiqilgan, ishlab chiqaruvchilardan olingan yoki sotib olingan) belgilangan tartibda sinovdan o'tkazilishi va tashkilot dasturlari depozitariga o'tkazilishi kerak. AU quyi tizimlarida faqat belgilangan tartibda depozitariydan olingan dasturiy ta'minot o'rnatilishi va ishlatilishi kerak. ASda dasturiy ta'minot depozitariysiga kiritilmagan dasturiy ta'minotdan foydalanishni taqiqlash kerak.

Dasturiy ta'minotni ishlab chiqish, ishlab chiqilgan va sotib olingan dasturiy ta'minotni sinovdan o'tkazish, dasturiy ta'minotni ishga tushirish belgilangan tartibda amalga oshirilishi kerak.

8.1.6. Foydalanuvchilarni o'qitish va o'qitish

AUga kirishni ta'minlashdan oldin uning foydalanuvchilari, shuningdek, boshqaruv va texnik xizmat ko'rsatuvchi xodimlar maxfiy ma'lumotlar ro'yxati va ularning vakolatlari darajasi, shuningdek, talablarni belgilaydigan tashkiliy-ma'muriy, me'yoriy, texnik va ekspluatatsion hujjatlar bilan tanishishlari kerak. va bunday ma'lumotlarni qayta ishlash tartibi.

Yuqoridagi barcha sohalarda ma'lumotni himoya qilish faqat foydalanuvchilar ma'lum bir intizomni ishlab chiqqandan keyin mumkin, ya'ni. AUda ishlaydigan har bir kishi uchun majburiy bo'lgan normalar. Ushbu normalar AU ning normal ishlashini buzadigan, qo'shimcha resurs xarajatlarini keltirib chiqaradigan, saqlangan va qayta ishlangan ma'lumotlarning yaxlitligini buzadigan, qonuniy foydalanuvchilarning manfaatlarini buzadigan har qanday qasddan yoki qasddan bo'lmagan harakatlarni taqiqlashni o'z ichiga oladi.

Ish paytida AESning ma'lum quyi tizimlaridan foydalanadigan barcha xodimlar o'zlariga tegishli bo'lgan atom elektr stantsiyasini muhofaza qilish bo'yicha tashkiliy va ma'muriy hujjatlarni bilishlari, texnologik ko'rsatmalar va axborot xavfsizligini ta'minlash bo'yicha umumiy majburiyatlarni bilishlari va ularga qat'iy rioya qilishlari kerak. . Himoyalangan ma'lumotlarni qayta ishlashga ruxsat etilgan shaxslarga ushbu hujjatlarning talablarini etkazish bo'lim boshliqlari tomonidan ularning imzosi bilan amalga oshirilishi kerak.

8.1.7. Axborot xavfsizligi talablarini buzganlik uchun javobgarlik

Tashkilot xodimlari tomonidan axborot xavfsizligi talablarining har bir jiddiy buzilishi uchun xizmat tekshiruvi o'tkazilishi kerak. Jinoyatchilarga nisbatan tegishli choralar ko‘rilishi kerak. Axborotni xavfsiz avtomatlashtirilgan qayta ishlashni ta'minlash bo'yicha belgilangan qoidalarni buzgan holda sodir etilgan harakatlar uchun xodimlarning javobgarlik darajasi etkazilgan zarar, g'arazli niyatning mavjudligi va boshqa omillar bilan belgilanishi kerak.

Foydalanuvchilarning o'z harakatlari uchun shaxsiy javobgarlik tamoyilini amalga oshirish uchun quyidagilar zarur:

• foydalanuvchilarning individual identifikatsiyasi va ular tomonidan boshlangan jarayonlar, ya'ni. ular uchun identifikatorni o'rnatish, uning asosida kirishni farqlash kirishning haqiqiyligi printsipiga muvofiq amalga oshiriladi;
• foydalanuvchi autentifikatsiyasi ( autentifikatsiya) parollar, boshqa jismoniy asosdagi kalitlar va boshqalar asosida;
• ro'yxatdan o'tish ( ro'yxatga olish) sana va vaqtni, so'ralayotgan va so'ralayotgan resurslarning identifikatorlarini, o'zaro aloqa turini va uning natijasini ko'rsatgan holda axborot tizimi resurslariga kirishni nazorat qilish mexanizmlarining ishlashi;
• ruxsatsiz kirish urinishlariga munosabat ( signalizatsiya, blokirovka va boshqalar.).

8.2. Texnik himoya vositalari

Texnik ( apparat va dasturiy ta'minot) himoya vositalari - AU tarkibiga kiruvchi va (mustaqil ravishda yoki boshqa vositalar bilan birgalikda) himoya funktsiyalarini bajaradigan turli xil elektron qurilmalar va maxsus dasturlar ( foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish, resurslarga kirishni farqlash, hodisalarni ro'yxatga olish, axborotni kriptografik himoya qilish va boshqalar.).

Himoya qilishning barcha sohalarida atom elektr stantsiyasida axborot xavfsizligini ta'minlashning barcha talablari va tamoyillarini hisobga olgan holda, himoya qilish tizimiga quyidagi vositalar kiritilishi kerak:

• foydalanuvchilar va ma'ruzachi elementlarini autentifikatsiya qilish vositalari ( terminallar, vazifalar, ma'lumotlar bazasi elementlari va boshqalar.) axborot va qayta ishlangan ma'lumotlarning maxfiylik darajasiga mos keladigan;
• ma'lumotlarga kirishni cheklash vositalari;
• ma'lumotlarni uzatish liniyalari va ma'lumotlar bazalaridagi axborotni kriptografik himoya qilish vositalari;
• muomalani ro'yxatga olish va himoyalangan axborotdan foydalanishni nazorat qilish vositalari;
• aniqlangan buzish yoki buzish urinishlariga javob berish vositalari;
• soxta emissiyalar va pikaplar darajasi va axborot mazmunini kamaytirish vositalari;
• optik kuzatish vositalaridan himoya qilish vositalari;
• viruslar va zararli dasturlardan himoya qilish;
• AU elementlarini ham, jihozlar joylashgan binolarning strukturaviy elementlarini ham elektrdan ajratish vositalari.

Ruxsatsiz hujumlardan himoya qilishning texnik vositalariga quyidagi asosiy vazifalarni hal qilish yuklangan:

• ismlar va/yoki maxsus jihozlardan foydalangan holda foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish ( Xotira, Smart karta va boshqalarni bosing.);
• foydalanuvchining ish stantsiyalarining jismoniy qurilmalariga kirishini tartibga solish ( disklar, kirish-chiqish portlari);
• kirishni tanlab (ixtiyoriy) boshqarish mantiqiy drayverlar, kataloglar va fayllar;
• ish stantsiyasida va fayl serverida himoyalangan ma'lumotlarga kirishni vakolatli (majburiy) farqlash;
• mahalliy va tarmoq disklarida joylashgan ishlashga ruxsat berilgan dasturlarning yopiq dasturiy muhitini yaratish;
• kompyuter viruslari va zararli dasturlarning kirib kelishidan himoya qilish;
• avtomatik rejimda va administrator buyruqlari orqali himoya tizimining modullari, disk tizimi hududlari va ixtiyoriy fayllar ro'yxatlarining yaxlitligini nazorat qilish;
• himoyalangan jurnalda foydalanuvchi harakatlarini ro'yxatga olish, ro'yxatga olishning bir necha darajalari mavjudligi;
• fayl serveridagi ma'lumotlarni himoya qilish tizimini barcha foydalanuvchilarning, shu jumladan tarmoq ma'murining kirishidan himoya qilish;
• tarmoqning ish stansiyalarida kirishni farqlash vositalarini sozlashni markazlashtirilgan holda boshqarish;
• ish stantsiyalarida sodir bo'lgan barcha buzish hodisalarini ro'yxatga olish;
• tarmoq foydalanuvchilarining ishini operativ nazorat qilish, ish stantsiyalarining ishlash rejimlarini o'zgartirish va blokirovka qilish imkoniyati ( zarur bo'lsa) tarmoqdagi istalgan stansiya.

Texnik himoya vositalarini muvaffaqiyatli qo'llash quyidagi talablarning bajarilishi tashkiliy chora-tadbirlar va foydalaniladigan jismoniy himoya vositalari bilan ta'minlanishini nazarda tutadi:

• AU ning barcha tarkibiy qismlarining jismoniy yaxlitligi ta'minlanadi;
• har bir xodim ( tizim foydalanuvchisi) yagona tizim nomiga va o'zining funktsional vazifalarini bajarish uchun zarur bo'lgan tizim resurslariga kirish uchun minimal vakolatga ega;
• ish stantsiyalarida instrumental va texnologik dasturlardan foydalanish ( test yordamchi dasturlari, tuzatuvchilar va boshqalar.), xavfsizlik choralarini buzish yoki chetlab o'tishga urinishlarga ruxsat berish cheklangan va qat'iy tartibga solinadi;
• himoyalangan tizimda dasturlash foydalanuvchilari mavjud emas, dasturlarni ishlab chiqish va disk raskadrovka qilish esa himoyalangan tizimdan tashqarida amalga oshiriladi;
• apparat va dasturiy ta'minot konfiguratsiyasidagi barcha o'zgarishlar qat'iy belgilangan tartibda amalga oshiriladi;
• tarmoq uskunasi ( markazlar, kalitlar, marshrutizatorlar va boshqalar.) begonalar yeta olmaydigan joylarda joylashgan ( maxsus xonalar, shkaflar va boshqalar.);
• axborot xavfsizligi xizmati axborot xavfsizligi vositalarining ishlashini uzluksiz boshqarish va ma’muriy yordamni amalga oshiradi.

8.2.1. Foydalanuvchini identifikatsiya qilish va autentifikatsiya qilish vositalari

Ruxsatsiz shaxslarning AUga kirishiga yo'l qo'ymaslik uchun tizim har bir qonuniy foydalanuvchini (yoki cheklangan foydalanuvchilar guruhlarini) tanib olishini ta'minlash kerak. Buning uchun tizimda ( himoyalangan joyda) har bir foydalanuvchining bir qancha atributlarini saqlashi kerak, ular orqali ushbu foydalanuvchini aniqlash mumkin. Kelajakda tizimga kirishda va agar kerak bo'lsa, tizimda muayyan harakatlarni amalga oshirishda foydalanuvchi o'zini identifikatsiyalashi shart, ya'ni. tizimda unga tayinlangan identifikatorni ko'rsating. Bundan tashqari, identifikatsiyalash uchun turli xil qurilmalardan foydalanish mumkin: magnit kartalar, kalit qo'shimchalar, floppi disklar va boshqalar.

autentifikatsiya ( haqiqiyligini tasdiqlash) foydalanuvchilarning o'ziga xos xususiyatlarini (parametrlarini) tekshirish, parollar (maxfiy so'zlar) yoki autentifikatsiyaning maxsus vositalaridan foydalanish asosida amalga oshirilishi kerak.

8.2.2. Avtomatlashtirilgan tizim resurslariga kirishni chegaralash vositalari

Foydalanuvchini tan olgandan so'ng, tizim foydalanuvchini avtorizatsiya qilishi kerak, ya'ni foydalanuvchiga qanday huquqlar berilganligini aniqlaydi, ya'ni. qanday ma'lumotlardan va qanday foydalanishi, qanday dasturlarni bajarishi, qachon, qancha vaqt va qaysi terminallardan ishlashi, qanday tizim resurslaridan foydalanishi mumkinligi va hokazo. Foydalanuvchini avtorizatsiya qilish quyidagi kirishni boshqarish mexanizmlari yordamida amalga oshirilishi kerak:

• atributlar sxemalari, ruxsatnomalar ro'yxati va boshqalardan foydalanishga asoslangan kirishni tanlab boshqarish mexanizmlari;
• resurs konfidensialligi belgilari va foydalanuvchilarning kirish darajasidan foydalanishga asoslangan vakolatli kirishni boshqarish mexanizmlari;
• ishonchli dasturiy ta'minotning yopiq muhitini ta'minlash mexanizmlari ( Har bir foydalanuvchi uchun ruxsat etilgan dasturlarning ro'yxati) tizimga kirgan foydalanuvchilarni aniqlash va autentifikatsiya qilish mexanizmlari tomonidan qo'llab-quvvatlanadi.

Muayyan texnik himoya vositalarining javobgarlik sohalari va vazifalari ushbu vositalar uchun hujjatlarda tasvirlangan ularning imkoniyatlari va ishlash xususiyatlaridan kelib chiqqan holda belgilanadi.

Kirishni boshqarishning texnik vositalari kirishni boshqarishning yagona tizimining ajralmas qismi bo'lishi kerak:

• nazorat qilinadigan hududga;
• alohida xonalarda;
• AU elementlariga va axborot xavfsizligi tizimining elementlariga ( jismoniy kirish);
• AU resurslariga ( matematik kirish);
• axborot omborlariga ( saqlash vositalari, hajmlar, fayllar, ma'lumotlar to'plami, arxivlar, ma'lumotnomalar, yozuvlar va boshqalar.);
• faol manbalarga ( amaliy dasturlar, vazifalar, so'rov shakllari va boshqalar.);
• operatsion tizimga, tizim dasturlari va himoya dasturlariga va hokazo.

8.2.3. Dasturiy ta'minot va axborot resurslarining yaxlitligini ta'minlash va monitoring qilish vositalari

Taqdim etilgan qayta ishlash texnologiyasi bilan belgilanadigan dasturiy ta'minot muhitining o'zgarmasligini ta'minlash va ma'lumotlarni ruxsatsiz tuzatishdan himoya qilish uchun dasturlar, qayta ishlangan ma'lumotlar va himoya vositalarining yaxlitligini nazorat qilish:

• nazorat summalarini hisoblash vositalari;
• elektron imzo yordamida;
• muhim manbalarni ularning asosiy nusxalari bilan solishtirish vositalari ( va yaxlitligi buzilgan taqdirda tiklash);
• kirishni boshqarish vositalari ( o'zgartirish yoki o'chirish huquqi bilan kirishni rad etish).

Axborot va dasturlarni ruxsatsiz yo'q qilish yoki buzishdan himoya qilish uchun quyidagilarni ta'minlash kerak:

• tizim jadvallari va ma'lumotlarini takrorlash;
• disklardagi ma'lumotlarni duplekslash va aks ettirish;
• operatsiyalarni kuzatish;
• operatsion tizim va foydalanuvchi dasturlari, shuningdek foydalanuvchi fayllari yaxlitligini davriy nazorat qilish;
• virusga qarshi himoya va nazorat;
• oldindan tuzilgan sxema bo'yicha ma'lumotlarni zaxiralash.

8.2.4. Xavfsizlik hodisalarini boshqarish

Boshqaruv barcha hodisalarni ta'minlashi kerak ( foydalanuvchi harakatlari, ruxsatsiz shaxslarning urinishlari va boshqalar.), bu xavfsizlik siyosatining buzilishiga olib kelishi va inqirozli vaziyatlarning paydo bo'lishiga olib kelishi mumkin. Nazorat quyidagi imkoniyatlarni ta'minlashi kerak:

• tarmoqning asosiy tugunlari va tarmoqni tashkil etuvchi aloqa uskunalarini, shuningdek tarmoqning asosiy segmentlarida tarmoq faoliyatini doimiy monitoring qilish;
• foydalanuvchilarning korporativ va umumiy tarmoq xizmatlaridan foydalanishini nazorat qilish;
• xavfsizlik hodisalari jurnallarini yuritish va tahlil qilish;
• axborot xavfsizligiga tashqi va ichki tahdidlarni o‘z vaqtida aniqlash.

Tizim jurnalida xavfsizlik hodisalarini ro'yxatdan o'tkazishda quyidagi ma'lumotlar yozilishi kerak:

• tadbirning sanasi va vaqti;
• mavzu identifikatori ( foydalanuvchi, dastur) ro'yxatga olingan harakatni bajarish;
• harakat ( agar kirish so'rovi ro'yxatga olingan bo'lsa, u holda kirish ob'ekti va turi belgilanadi).

Boshqaruv xodimlari quyidagi hodisalar aniqlanishi va qayd etilishini ta'minlashi kerak:

• foydalanuvchi tizimga kirish;
• foydalanuvchining tarmoqqa kirishi;
• muvaffaqiyatsiz kirish yoki tarmoq urinishlari ( noto'g'ri parol);
• fayl serveriga ulanish;
• dasturni ishga tushirish;
• dasturni yakunlash;
• ishga tushirish uchun mavjud bo'lmagan dasturni ishga tushirishga urinish;
• kirish imkoni bo'lmagan katalogga kirishga urinish;
• foydalanuvchiga kirish imkoni bo'lmagan diskdan ma'lumotlarni o'qish / yozishga urinish;
• foydalanuvchi kirish imkoni bo'lmagan diskdan dasturni ishga tushirishga urinish;
• himoya tizimining dasturlari va ma'lumotlarining yaxlitligini buzish va boshqalar.

Ruxsatsiz shaxslarning aniqlangan faktlariga javob berishning quyidagi asosiy usullari qo'llab-quvvatlanishi kerak ( ehtimol xavfsizlik administratori ishtirokida):

• uning ma'lumotlariga NSD to'g'risidagi ma'lumotlar egasiga xabar berish;
• dasturni bekor qilish ( vazifalar) keyingi ijro bilan;
• ma'lumotlar bazasi ma'muri va xavfsizlik ma'murini xabardor qilish;
• terminalni uzish ( ish stantsiyasi) NSD tomonidan tarmoqdagi axborot yoki noqonuniy harakatlarga urinishlar qilingan;
• huquqbuzarni ro'yxatdan o'tgan foydalanuvchilar ro'yxatidan chiqarib tashlash;
• signalizatsiya signalizatsiyasi va boshqalar.

8.2.5. Kriptografik axborot xavfsizligi

Atom elektr stansiyasi axborot xavfsizligi tizimining eng muhim elementlaridan biri axborotni aloqa kanallari orqali uzatish va kompyuter tashuvchilarda saqlash jarayonida ruxsatsiz kirishdan himoya qilishning kriptografik usullari va vositalaridan foydalanish bo‘lishi kerak.

AUdagi axborotni kriptografik himoya qilishning barcha vositalari asosiy kriptografik yadroga asoslanishi kerak. Tashkilot kriptografik vositalardan foydalanish huquqi uchun qonun bilan belgilangan litsenziyalarga ega bo'lishi kerak.

AUda qo'llaniladigan kriptografik himoya vositalarining kalit tizimi kriptografik omon qolish va kalit ma'lumotlarning buzilishidan ko'p darajali himoyani ta'minlashi kerak, foydalanuvchilarni himoya darajalari va ularning bir-biri bilan va boshqa darajadagi foydalanuvchilar bilan o'zaro ta'siri zonalari bo'yicha ajratish.

Aloqa kanallari orqali ma'lumotlarni uzatishda maxfiylik va taqlid muhofazasi tizimda abonent va kanallarni shifrlash vositalaridan foydalanish orqali ta'minlanishi kerak. Abonent va kanal ma'lumotlarini shifrlashning kombinatsiyasi uning butun yo'l bo'ylab oxirigacha himoyasini ta'minlashi, kommutatsiya markazlarining apparat va dasturiy ta'minotidagi nosozliklar va nosozliklar tufayli uni noto'g'ri yo'naltirish holatlarida himoya qilishi kerak.

Tarqalgan axborot resurslariga ega tizim bo'lgan AU, shuningdek, xabarlarning yaxlitligini va haqiqiyligini qonuniy tasdiqlovchi tasdiqlashni, shuningdek, foydalanuvchilarning, abonent stantsiyalarining autentifikatsiyasini va vaqtni tasdiqlashni ta'minlash uchun elektron imzolarni yaratish va tekshirish vositalaridan foydalanishi kerak. xabarlarni yuborish. Bunday holda standartlashtirilgan elektron imzo algoritmlaridan foydalanish kerak.

8.3. Axborot xavfsizligini boshqarish

AESda axborot xavfsizligi tizimini boshqarish xavfsizlik tizimining tarkibiy qismlariga maqsadli ta'sir ko'rsatadi ( tashkiliy, texnik, dasturiy va kriptografik) asosiy xavfsizlik tahdidlarini amalga oshirish kontekstida AESda aylanayotgan axborot xavfsizligi uchun talab qilinadigan ko'rsatkichlar va standartlarga erishish uchun.

Axborot xavfsizligi tizimini boshqarishni tashkil etishdan asosiy maqsad axborotni qayta ishlash, saqlash va uzatishda himoya qilish ishonchliligini oshirishdan iborat.

Axborot xavfsizligi tizimini boshqarish boshqaruv organlari, texnik, dasturiy va kriptografik vositalar, shuningdek tashkiliy chora-tadbirlar va turli darajadagi o'zaro ta'sir qiluvchi boshqaruv punktlari yig'indisi bo'lgan ixtisoslashtirilgan boshqaruv quyi tizimi tomonidan amalga oshiriladi.

Boshqaruv quyi tizimining funktsiyalari: axborot, boshqaruv va yordamchi.

Axborot funktsiyasi himoya tizimining holatini doimiy ravishda kuzatib borish, xavfsizlik ko'rsatkichlarining ruxsat etilgan qiymatlarga muvofiqligini tekshirish va xavfsizlik operatorlarini atom elektr stantsiyasida yuzaga keladigan, axborot xavfsizligi buzilishiga olib kelishi mumkin bo'lgan vaziyatlar to'g'risida darhol xabardor qilishdan iborat. . Himoya tizimining holatini kuzatish uchun ikkita talab mavjud: to'liqlik va ishonchlilik. To'liqlik barcha himoya vositalarini va ularning ishlash parametrlarini qamrab olish darajasini tavsiflaydi. Boshqarishning ishonchliligi boshqariladigan parametrlar qiymatlarining ularning haqiqiy qiymatiga muvofiqlik darajasini tavsiflaydi. Nazorat ma'lumotlarini qayta ishlash natijasida himoya tizimining holati to'g'risidagi ma'lumotlar ishlab chiqariladi, ular umumlashtiriladi va yuqori nazorat punktlariga uzatiladi.

Nazorat funktsiyasi ma'lum bir vaqtda mavjud bo'lgan sharoitlarda axborot xavfsizligi talablarini hisobga olgan holda, shuningdek, axborot zaifligi holatining joylashishini aniqlash va uning chiqib ketishining oldini olishda AESning texnologik operatsiyalarini amalga oshirish rejalarini shakllantirishdan iborat. axborot xavfsizligi tahdidlari yuzaga keladigan AES bo'limlarini zudlik bilan blokirovka qilish ... Nazorat funktsiyalariga hujjatlar va axborot tashuvchilar, parollar va kalitlarni hisobga olish, saqlash va berish kiradi. Shu bilan birga, parollar, kalitlarni yaratish, kirishni boshqarish vositalariga texnik xizmat ko'rsatish, AS dasturiy muhitiga kiritilgan yangi dasturiy vositalarni qabul qilish, dasturiy ta'minot muhitining standartga muvofiqligini nazorat qilish, shuningdek, texnologik jarayonlarni nazorat qilish. maxfiy axborotni qayta ishlash jarayoni Axborot texnologiyalari boshqarmasi va Iqtisodiy xavfsizlik boshqarmasi xodimlariga yuklatiladi.

Boshqaruv quyi tizimining yordamchi funktsiyalari himoyalangan ma'lumotlar bilan avtomatlashtirilgan tizimda bajarilgan barcha operatsiyalarni hisobga olishni, axborotning chiqib ketishining mumkin bo'lgan kanallarini tahlil qilish va aniqlash uchun hisobot hujjatlarini shakllantirish va statistik ma'lumotlarni to'plashni o'z ichiga oladi.

8.4. Himoya tizimining samaradorligini nazorat qilish

Axborotni himoya qilish tizimining samaradorligini monitoring qilish unga ruxsat etilmagan kirish natijasida axborot sizib chiqishini o‘z vaqtida aniqlash va oldini olish, shuningdek axborotni yo‘q qilishga, axborot texnologiyalarini yo‘q qilishga qaratilgan mumkin bo‘lgan maxsus harakatlarning oldini olish maqsadida amalga oshiriladi.

Axborotni muhofaza qilish chora-tadbirlari samaradorligini baholash belgilangan talablarga muvofiqligini tashkiliy, apparat va dasturiy nazorat vositalaridan foydalangan holda amalga oshiriladi.

Nazorat axborotni himoya qilish tizimining standart vositalari yordamida ham, nazorat va texnologik monitoringning maxsus vositalari yordamida ham amalga oshirilishi mumkin.

8.5. Shaxsiy ma'lumotlarning axborot xavfsizligini ta'minlash xususiyatlari

Shaxsiy ma'lumotlarni tasniflash shaxsiy ma'lumotlar sub'ekti uchun shaxsiy ma'lumotlarning xavfsizlik xususiyatlarini yo'qotish oqibatlarining og'irligiga muvofiq amalga oshiriladi.

• Shaxsiy ma'lumotlar haqida "Shaxsiy ma'lumotlarning maxsus toifalariga;
• Federal qonunga muvofiq tasniflangan shaxsiy ma'lumotlar " Shaxsiy ma'lumotlar haqida “Biometrik shaxsiy ma’lumotlarga;
• shaxsiy ma'lumotlarning maxsus toifalariga tegishli bo'lmagan shaxsiy ma'lumotlar, biometrik shaxsiy ma'lumotlar, ommaviy yoki anonim shaxsiy ma'lumotlar;
• Federal qonunga muvofiq tasniflangan shaxsiy ma'lumotlar " Shaxsiy ma'lumotlar haqida "Ommaga ochiq yoki anonim shaxsiy ma'lumotlarga.

Shaxsiy ma'lumotlarni uchinchi shaxsga o'tkazish Federal qonun yoki shaxsiy ma'lumotlar sub'ektining roziligi asosida amalga oshirilishi kerak. Agar tashkilot shaxsiy ma'lumotlarni qayta ishlashni shartnoma asosida uchinchi shaxsga topshirgan bo'lsa, bunday shartnomaning muhim sharti uchinchi tomonning shaxsiy ma'lumotlarning maxfiyligini va shaxsiy ma'lumotlarning xavfsizligini ta'minlash majburiyatidir. ularni qayta ishlash jarayonida.

Tashkilot, agar Rossiya Federatsiyasi qonunlarida boshqacha qoida nazarda tutilgan bo'lmasa, quyidagi hollarda Rossiya Federatsiyasi qonunlarida belgilangan muddatlarda shaxsiy ma'lumotlarni qayta ishlashni to'xtatishi va to'plangan shaxsiy ma'lumotlarni yo'q qilishi kerak:

• qayta ishlash maqsadlariga erishilganda yoki ularga erishish zarurati bo'lmasa;
• shaxsiy ma'lumotlar sub'ektining yoki shaxsiy ma'lumotlar sub'ektlarining huquqlarini himoya qilish bo'yicha vakolatli organning iltimosiga binoan - agar shaxsiy ma'lumotlar to'liq bo'lmagan, eskirgan, ishonchsiz, noqonuniy ravishda olingan yoki qayta ishlashning belgilangan maqsadlari uchun zarur bo'lmasa;
• shaxsiy ma'lumotlar sub'ekti o'zining shaxsiy ma'lumotlarini qayta ishlashga roziligini bekor qilganda, agar Rossiya Federatsiyasi qonunchiligiga muvofiq bunday rozilik zarur bo'lsa;
• agar operator tomonidan shaxsiy ma'lumotlarni qayta ishlashda yo'l qo'yilgan qoidabuzarliklarni bartaraf etishning iloji bo'lmasa.

Tashkilot quyidagilarni belgilashi va hujjatlashtirishi kerak:

• shaxsiy ma'lumotlarni yo'q qilish tartibi ( shu jumladan moddiy tashuvchilar Shaxsiy malumot);
• shaxsiy ma'lumotlar sub'ektlarining so'rovlarini ko'rib chiqish tartibi ( yoki ularning qonuniy vakillari) shaxsiy ma'lumotlarini qayta ishlash to'g'risida;
• shaxsiy ma'lumotlar sub'ektlarining huquqlarini himoya qilish bo'yicha vakolatli organ yoki shaxsiy ma'lumotlar sohasida nazorat va nazoratni amalga oshiruvchi boshqa nazorat qiluvchi organlarning so'rovlari bo'yicha harakatlar tartibi;
• AUni shaxsiy ma'lumotlar axborot tizimlari sifatida tasniflashga yondashuv ( Keyinchalik - ISPDN );
• ISPD ro'yxati. ISPD ro'yxati ASni o'z ichiga olishi kerak, uni yaratish va ishlatish maqsadi shaxsiy ma'lumotlarni qayta ishlashdir.

Har bir PDIS uchun quyidagilar aniqlanishi va hujjatlashtirilishi kerak:

• shaxsiy ma'lumotlarni qayta ishlash maqsadi;
• qayta ishlangan shaxsiy ma'lumotlarning hajmi va mazmuni;
• shaxsiy ma'lumotlarga ega bo'lgan harakatlar ro'yxati va ularni qayta ishlash usullari.

Shaxsiy ma'lumotlarning hajmi va mazmuni, shuningdek, shaxsiy ma'lumotlarni qayta ishlash harakatlari va usullari ro'yxati qayta ishlash maqsadlariga mos kelishi kerak. Agar amalga oshirilishi ISPD tomonidan qo'llab-quvvatlanadigan axborot texnologik jarayonini amalga oshirish uchun ma'lum shaxsiy ma'lumotlarni qayta ishlashga hojat qolmasa, ushbu shaxsiy ma'lumotlar o'chirilishi kerak.

ISPDN-da shaxsiy ma'lumotlar xavfsizligini ta'minlashga qo'yiladigan talablar, odatda, tashkiliy, texnologik, texnik va dasturiy ta'minot chora-tadbirlari, axborotni himoya qilish vositalari va mexanizmlari majmuasi bilan amalga oshiriladi.

Amalga oshirishni tashkil etish va ( yoki) shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha talablarni amalga oshirish shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tashkilotning tarkibiy bo'linmasi yoki mansabdor shaxsi (xodimi) tomonidan yoki shartnoma asosida kontragent - tashkilot tomonidan amalga oshirilishi kerak. maxfiy ma'lumotlarning texnik muhofazasini ta'minlash uchun litsenziyaga ega bo'lgan tashkilot.

Tashkilotning ISPD yaratilishi (ISPD) ishlab chiqish va tasdiqlashni o'z ichiga olishi kerak. bayonot) texnik topshiriqda nazarda tutilgan yaratilayotgan tizim uchun tashkiliy, ma'muriy, loyihalash va ekspluatatsion hujjatlar. Hujjatlar qayta ishlangan shaxsiy ma'lumotlarning xavfsizligini ta'minlash masalalarini aks ettirishi kerak.

Kontseptsiyalarni, texnik shartlarni ishlab chiqish, ISPDni loyihalash, yaratish va sinovdan o'tkazish, qabul qilish va ishga tushirish shaxsiy ma'lumotlarning xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linma yoki mansabdor shaxs (xodim) bilan kelishilgan holda va nazorati ostida amalga oshirilishi kerak.

Tashkilotning ISPD ga tegishli barcha axborot aktivlari zararli kod ta'siridan himoyalangan bo'lishi kerak. Tashkilot shaxsiy ma'lumotlarning xavfsizligini virusdan himoya qilish orqali ta'minlash talablarini va ushbu talablarning bajarilishini nazorat qilish tartibini aniqlashi va hujjatlashtirishi kerak.

Tashkilot aloqa portlariga, kirish / chiqish qurilmalariga, olinadigan saqlash vositalariga va ISPDN tashqi ma'lumotlarni saqlash qurilmalariga kirishni boshqarish imkonini beruvchi kirishni boshqarish tizimini belgilashi kerak.

Tashkilotning ISPD operatsion va xizmat ko'rsatish bo'linmalari rahbarlari shaxsiy ma'lumotlarning ISPDNda qayta ishlash jarayonida xavfsizligini ta'minlaydi.

ISPDN-da shaxsiy ma'lumotlarni qayta ishlaydigan xodimlar ko'rsatmalarga muvofiq harakat qilishlari kerak ( ko'rsatmalar, qoidalar va boshqalar.), ISPD bo'yicha operatsion hujjatlarning bir qismi bo'lgan va ISni ta'minlash uchun hujjatlar talablariga javob beradi.

Tashkilotning ISPD IS ni ta'minlash talablarini amalga oshiradigan himoya vositalari va himoya mexanizmlarini boshqarish bo'yicha vazifalar buyruqlar bilan belgilanadi ( buyurtmalar) Axborot texnologiyalari bo'limi mutaxassislari bo'yicha.

Axborot texnologiyalari bo'limi mutaxassislari va shaxsiy ma'lumotlarni qayta ishlash bilan shug'ullanadigan xodimlarning ishlash tartibi ko'rsatmalar bilan belgilanishi kerak ( ko'rsatmalar), ISPD ishlab chiqaruvchisi tomonidan ISPD uchun operatsion hujjatlarning bir qismi sifatida tayyorlangan.

Belgilangan ko'rsatmalar ( etakchilik):

• axborot xavfsizligi sohasidagi xodimlarning malakasiga qoʻyiladigan talablarni, shuningdek muhofaza qilinadigan obʼyektlarning dolzarb roʻyxatini va uni yangilash qoidalarini belgilash;
• to'liq tegishli ( vaqt bo'yicha) foydalanuvchi huquqlari to'g'risidagi ma'lumotlar;
• axborot xavfsizligi bo'yicha mutaxassis uchun zarur bo'lgan hajmda axborotni qayta ishlash texnologiyasi to'g'risidagi ma'lumotlarni o'z ichiga olishi;
• hodisalar jurnallarini tahlil qilish tartibi va chastotasini belgilash ( log arxivlari);
• boshqa harakatlarni tartibga solish.

Axborot texnologiyalari bo'limi mutaxassislarining mas'uliyati sohasida qo'llaniladigan himoya vositalari va ma'lumotlarni buzishdan himoya qilish mexanizmlarining konfiguratsiya parametrlari ISPD bo'yicha operatsion hujjatlarda belgilanadi. O'rnatilgan konfiguratsiya parametrlarini tekshirish tartibi va chastotasi operatsion hujjatlarda belgilanadi yoki ichki hujjat bilan tartibga solinadi, tekshirishlar yiliga kamida bir marta o'tkazilishi kerak.

Tashkilot ISPDN texnik vositalari joylashgan va shaxsiy ma'lumotlar tashuvchilari saqlanadigan binolarga ruxsatsiz shaxslarning kirishini nazorat qilishni va ruxsatsiz kirish uchun to'siqlar mavjudligini ta'minlaydigan binolarga kirish tartibini aniqlashi va hujjatlashtirishi kerak. binoga kirish. Belgilangan tartib tarkibiy bo'linma yoki mansabdor shaxs tomonidan ishlab chiqilishi kerak ( xodim), jismoniy xavfsizlik rejimini ta'minlash uchun mas'ul va tarkibiy bo'linma yoki mansabdor shaxs tomonidan kelishilgan ( xodim), shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul va Iqtisodiy xavfsizlik boshqarmasi.

ISPD foydalanuvchilari va xizmat ko'rsatish xodimlari ruxsatsiz va ( yoki) ro'yxatdan o'tmagan ( nazoratsiz) shaxsiy ma'lumotlarni nusxalash. Shu maqsadda tashkiliy va texnik chora-tadbirlar ruxsat etilmagan va ( yoki) ro'yxatdan o'tmagan ( nazoratsiz) shaxsiy ma'lumotlardan nusxa ko'chirish, shu jumladan begonalashtirilgan ( almashtirilishi mumkin) saqlash vositalari, ma'lumotlarni nusxalash va uzatish uchun mobil qurilmalar, aloqa portlari va turli interfeyslarni amalga oshiradigan kirish / chiqish qurilmalari ( shu jumladan simsiz), mobil qurilmalarni saqlash qurilmalari ( masalan, noutbuklar, cho'ntak shaxsiy kompyuterlar, smartfonlar, mobil telefonlar ), shuningdek, foto va video qurilmalar.

Shaxsiy xavfsizlikni nazorat qilish axborot xavfsizligi bo'yicha mutaxassis tomonidan axborotni himoya qilish tizimining standart vositalari yordamida ham, maxsus nazorat vositalari va texnologik monitoring yordamida ham amalga oshiriladi.

ZIP faylni yuklab oling (65475)

Hujjatlar foydali bo'ldi - "like" qo'ying yoki:

Sivilizatsiya taraqqiyotida axborot alohida o‘rin tutadi. Axborot resurslariga egalik qilish va ulardan oqilona foydalanish jamiyat faoliyatini optimal boshqarish uchun sharoit yaratadi. Aksincha, axborotni buzib ko'rsatish, uni olishni bloklash, noto'g'ri ma'lumotlardan foydalanish noto'g'ri qarorlar qabul qilishga olib keladi.

Jamiyat hayotining turli sohalarini boshqarishda samaradorlikni ta'minlovchi asosiy omillardan biri boshqa xarakterdagi axborotdan to'g'ri foydalanish hisoblanadi. Bugungi va ertangi kundagi taraqqiyot sur'ati ko'p jihatdan faoliyatning eng muhim sohalari - fan, texnologiya, ishlab chiqarish va boshqaruv sohasidagi axborot va hisoblash xizmatlari sohasidagi ishlarning holatiga bog'liq.

Foydalanish muammosi iqtisodiy ma'lumotlar axborot oqimining o'sishi mamlakatning sanoat salohiyatiga kvadratik bog'liq bo'lgan moddiy ishlab chiqarishni boshqarish sohasida. O'z navbatida, avtomatlashtirish jarayonlarining jadal rivojlanishi, kompyuterlarning zamonaviy hayotning barcha jabhalarida qo'llanilishi shubhasiz afzalliklardan tashqari, bir qator aniq muammolarning paydo bo'lishiga olib keldi. Ulardan biri axborotni samarali himoya qilishni ta’minlash zaruriyatidir. Bundan kelib chiqqan holda, fuqarolar, jamoalar va davlatning axborotga bo'lgan huquq va majburiyatlarini mustahkamlovchi huquqiy normalarni yaratish, shuningdek, ushbu axborotni himoya qilish eng muhim jihatga aylanadi. axborot siyosati davlat. Axborotni himoya qilish, ayniqsa, iqtisodiy sohada, juda o'ziga xos va muhim faoliyatdir. Dunyoda elektron vositalardan foydalangan holda bitta bank o‘g‘irlanishidan ko‘rilgan o‘rtacha ziyon miqdori 9 ming dollarga baholanayotganini aytish kifoya.AQSh va G‘arbiy Yevropada kompyuter jinoyatlaridan yiliga ko‘rilgan zarar 140 milliard dollarga yetadi.Amerikalik ekspertlarning fikricha, kompyuter tarmoqlari bir necha soat ichida o'rta kompaniyalarning 20 foizini, o'rta kompaniyalarning 40 foizini va 16 foizini yo'q qiladi. yirik kompaniyalar bir necha kun ichida muvaffaqiyatsiz bo'ladi, banklarning 33% 2-5 soat ichida, 50% banklar 2-3 kun ichida.

AQSh kompaniyalarida moddiy yo'qotishlarga olib kelgan ma'lumotlarni himoya qilish muammolari haqidagi ma'lumotlar qiziqish uyg'otadi:

tarmoqdagi nosozliklar (24%);

dasturiy ta'minotdagi xatolar (14%);

kompyuter viruslari (12%);

kompyuterlarda nosozliklar (11%);

ma'lumotlarni o'g'irlash (7%);

sabotaj (5%);

tarmoqqa ruxsatsiz kiritish (4%);

boshqalar (23%).

Banklar va fond birjalariga xizmat ko‘rsatuvchi kompyuter tizimlari va axborot tarmoqlarining jadal rivojlanishi va kengayishi kompyuterlar xotirasida saqlanayotgan va aloqa liniyalari orqali uzatiladigan ma’lumotlarni o‘g‘irlash va ularga ruxsatsiz kirish bilan bog‘liq huquqbuzarliklarning ko‘payishi bilan kuzatilmoqda.

Kompyuter jinoyatlari bugungi kunda dunyoning barcha mamlakatlarida uchraydi va inson faoliyatining ko'plab sohalarida keng tarqalgan. Ular yuqori maxfiylik, ularni sodir etishning aniqlangan faktlari bo'yicha dalillar to'plashning murakkabligi va bunday ishlarni sudda isbotlashning murakkabligi bilan ajralib turadi. Kompyuter axboroti sohasidagi huquqbuzarliklar quyidagi shakllarda sodir etilishi mumkin:

moliyaviy foyda olish maqsadida ma'lumotlarni qayta ishlash tizimini kompyuter manipulyatsiyasi orqali firibgarlik;

kompyuter josusligi va dasturiy ta'minotni o'g'irlash;

kompyuter sabotaji;

xizmatlarni o'g'irlash (vaqt), ma'lumotlarni qayta ishlash tizimlaridan noto'g'ri foydalanish;

ma'lumotlarni qayta ishlash tizimlariga noqonuniy kirish va ularni "xakerlik qilish";

ma'lumotlarni qayta ishlash tizimlaridan foydalangan holda sodir etilgan biznes (iqtisodiyot) sohasidagi an'anaviy jinoyatlar.

Kompyuter jinoyatlari, qoida tariqasida, yuqori malakali tizim va bank dasturchilari, telekommunikatsiya tizimlari sohasidagi mutaxassislar tomonidan sodir etiladi. Axborot resurslariga jiddiy tahdid solmoqda xakerlar va krakerlar, xavfsizlik dasturlarini buzish orqali kompyuter tizimlari va tarmoqlariga kirib borish. Krakerlar, shuningdek, ma'lumotlar bankidagi ma'lumotlarni o'z manfaatlariga muvofiq o'chirishi yoki o'zgartirishi mumkin. So‘nggi o‘n yilliklarda sobiq SSSR mamlakatlarida G‘arbdan olingan ma’lumotlardan harbiy va iqtisodiy manfaatlar yo‘lida foydalanish uchun davlat darajasida axborot qaroqchiligi bilan shug‘ullanuvchi tashkilot va idoralarda ishlagan yuqori malakali potentsial xakerlarning kuchli avlodi paydo bo‘ldi.

Xakerlar nimani o'g'irlashadi? Potentsial ob'ekt kompyuterga o'rnatilgan, kompyuter tarmoqlari orqali o'tadigan yoki kompyuter tashuvchisida joylashgan va xaker yoki uning ish beruvchisiga foyda keltirishi mumkin bo'lgan har qanday ma'lumot bo'lishi mumkin. Ushbu ma'lumotlar kompaniyalarning tijorat sirini tashkil etuvchi deyarli barcha ma'lumotlarni o'z ichiga oladi, ishlanmalar va nou-xaulardan tortib, kompaniyaning aylanmasini, xodimlar sonini va hokazolarni "hisoblash" oson bo'lgan ish haqi jadvallarigacha.

Elektron pochta orqali amalga oshirilgan bank operatsiyalari va kreditlari, shuningdek, fond birjasidagi operatsiyalar to'g'risidagi ma'lumotlar ayniqsa qimmatlidir. Zamonaviy bozorda minglab yoki hatto millionlab dollarlarga baholangan dasturiy mahsulotlar xakerlar uchun katta qiziqish uyg'otadi.

Krakerlar - "kompyuter terroristlari" - viruslar - ma'lumotlarni yo'q qilishni yoki tizimdagi nosozliklarni ta'minlaydigan maxsus dasturlar yordamida dasturlar yoki ma'lumotlarga zarar etkazishda ishtirok etadilar. "Virus" dasturlarini yaratish juda foydali biznesdir, chunki ba'zi ishlab chiqaruvchilar o'zlarining dasturiy mahsulotlarini ruxsatsiz nusxa ko'chirishdan himoya qilish uchun viruslardan foydalanadilar.

Ko'pgina firmalar uchun xaker-dasturchini raqobatchilarga tanishtirish orqali ma'lumot olish eng oddiy va foydali biznesdir. Raqiblarni maxsus jihozlar bilan tanishtirish, maxsus jihozlar yordamida ularning idorasini radiatsiya borligini doimiy ravishda kuzatib borish qimmat va xavfli ishdir. Bundan tashqari, raqobatchi firma texnik vositalarni topgach, noto'g'ri ma'lumot berib, javoban o'yinni boshlashi mumkin. Shuning uchun, "dushman lageridagi" xaker-dasturchi raqobatchilarga qarshi kurashishning eng ishonchli usuli hisoblanadi.

Shunday qilib, kompyuter jinoyati xavfining tobora ortib borayotgani, birinchi navbatda, moliya-kredit sohasida avtomatlashtirilgan axborot tizimlari xavfsizligini ta'minlash muhimligini belgilaydi.

ostida Tashkilot (muassasa) ning avtomatlashtirilgan axborot tizimining xavfsizligi deganda uning normal faoliyat yuritish jarayoniga tasodifiy yoki qasddan aralashuvlardan, shuningdek uning tarkibiy qismlarini o‘g‘irlash, o‘zgartirish yoki yo‘q qilishga urinishlardan himoyalanishi tushuniladi. Tizimning xavfsizligiga u qayta ishlaydigan ma'lumotlarning maxfiyligini, shuningdek, tizim komponentlari va resurslarining yaxlitligi va mavjudligini ta'minlash orqali erishiladi.

Kompyuter ma'lumotlarining maxfiyligi - bu faqat tizimning qabul qilingan va tasdiqlangan (ruxsat etilgan) sub'ektlari (foydalanuvchilar, dasturlar, jarayonlar va boshqalar) uchun ma'lum bo'lgan ma'lumotlarning mulkidir.

Butunlik tizim komponenti (resurs) - komponentning (resursning) tizim faoliyati davomida o'zgarmas (semantik ma'noda) xususiyati.

Mavjudligi tizim komponenti (resurs) - tizimning vakolatli sub'ektlari tomonidan istalgan vaqtda foydalanish uchun mavjud bo'lgan komponent (resurs) mulki.

Tizim xavfsizligi kompyuter bilan bogʻliq resurslarning mavjudligi, yaxlitligi va maxfiyligini taʼminlash maqsadida apparat, dasturiy taʼminot, maʼlumotlar va xizmatlarga nisbatan qoʻllaniladigan texnologik va maʼmuriy chora-tadbirlar majmui bilan taʼminlanadi; Bu, shuningdek, tizimning muayyan funktsiyalarni rejalashtirilgan ish tartibiga qat'iy muvofiq bajarishini tekshirish tartib-qoidalarini o'z ichiga oladi.

Tizimning xavfsizlik tizimini quyidagi quyi tizimlarga bo'lish mumkin:

kompyuter xavfsizligi;

ma'lumotlar xavfsizligi;

xavfsiz dasturiy ta'minot;

aloqa xavfsizligi.

Kompyuter xavfsizligi bog'langan resurslarning mavjudligi, yaxlitligi va maxfiyligini ta'minlash maqsadida kompyuter texnikasiga qo'llaniladigan texnologik va ma'muriy chora-tadbirlar majmui bilan ta'minlanadi.

Ma'lumotlar xavfsizligi ma'lumotlarni ruxsatsiz, tasodifiy, qasddan yoki beparvolik bilan o'zgartirishlar, yo'q qilish yoki oshkor qilishdan himoya qilish orqali erishiladi.

Xavfsiz dasturiy ta'minot tizimda xavfsiz ma'lumotlarni qayta ishlashni amalga oshiradigan va tizim resurslaridan xavfsiz foydalanadigan umumiy maqsad va amaliy dasturlar va vositalar.

Aloqa xavfsizligi telekommunikatsiya so'roviga javoban tizim tomonidan berilishi mumkin bo'lgan muhim ma'lumotlarning ruxsatsiz shaxslarga berilishini oldini olish choralarini ko'rish orqali telekommunikatsiya autentifikatsiyasi orqali taqdim etiladi.

TO axborot xavfsizligi vositalari korxonada (firmada) quyidagilar kiradi:

tijorat siri sifatida tasniflangan ma'lumotlarni va hujjatlashtirilgan ma'lumotlar massivlari va ma'lumotlar bazalari shaklida taqdim etilgan maxfiy ma'lumotlarni o'z ichiga olgan axborot resurslari;

axborotlashtirish vositalari va tizimlari - hisoblash va tashkiliy texnologiyalar vositalari, tarmoqlar va tizimlar, umumiy tizim va amaliy dasturiy ta'minot, korxonalar (idoralar) boshqaruvining avtomatlashtirilgan tizimlari, aloqa va ma'lumotlarni uzatish tizimlari, yig'ish, ro'yxatga olish, uzatish, qayta ishlash va ko'rsatishning texnik vositalari. axborot, shuningdek, ularning informatsion jismoniy maydonlari.

Zamonaviy dunyoda axborot resurslari biznesda muhim o'rin tutadigan korxonalar (firmalar) iqtisodiy rivojlanishining kuchli tayoqlaridan biriga aylandi. Bundan tashqari, mahalliy biznes sohasida “tezkor” iqtisodiyotlar faoliyati uchun asos bo‘lgan samarali kompyuter va zamonaviy axborot texnologiyalarining yo‘qligi boshqaruvning yangi shakllariga o‘tishga jiddiy to‘sqinlik qilmoqda.

Axborot va avtomatlashtirilgan korxona (firma) boshqaruv tizimlarida birinchi o'rinda marketingni boshqarish vazifalarini samarali hal etishni ta'minlash, ya'ni korxona (firma) shartnomalari va aloqalarini hisobga olish va tahlil qilish, biznes sheriklarini izlash, biznesni tashkil etish vazifalari hisoblanadi. reklama kampaniyalari, tovarlarni ilgari surish, vositachilik xizmatlarini ko'rsatish, bozorga kirish strategiyasini ishlab chiqish va boshqalar.

Turli siyosiy, tijorat va rasmiy hokimiyat tuzilmalarining ko‘magisiz, odatda, ularning haqiqiy faoliyatini (“noqonuniy tadbirkorlik”) va haqiqiy yuzini (“noqonuniy shaxs”) yashirish orqaligina har qanday jiddiy operatsiyani yuqori sifatda amalga oshirish mumkin.

Bu mustaqil shaxsga ham, hamma tomonidan tasdiqlanmagan ba'zi nozik vazifalarni hal qilish uchun maxsus yaratilgan norasmiy guruhga ham tegishli.

Xuddi shu muammo, har qanday sababga ko'ra, odam tijorat, davlat, jinoiy, siyosiy turdagi turli xizmatlardan yashirinishi kerak bo'lganda paydo bo'ladi.

Siz ataylab va beixtiyor odatiy noqonuniy immigrant bo'lishingiz mumkin. Qanday bo'lmasin, bu davrni ahmoqlik, jismoniy yoki ruhiy erkinlik va ba'zan hayotning o'zi orqali yo'qotmasdan muvaffaqiyatli o'tish uchun kamida minimal standart xavfsizlik taktikasini bilish kerak.

Qo'llaniladigan sug'urta choralarining darajasi shaxsning (yoki guruhning) istalgan maxfiylik darajasiga, shuningdek, vaziyatga, atrof-muhitga va, albatta, sug'urtalanganlarning o'zlarining imkoniyatlariga bog'liq.

Shaxsiy xavfsizlikning ba'zi usullari tabiiy odat bo'lib qolishi va vaqtinchalik vaziyatning ehtiyojlaridan qat'iy nazar bajarilishi kerak.

Bu erda keltirilgan narsalar kundalik sug'urta qilishning mumkin bo'lgan vositalarini tugatmaydi, uni qo'llash mezoni har doim dushmanning yuqori fikri va, albatta, sug'urtalanganlarning o'zlarining sog'lom fikridir.

Quyidagi xavfsizlik turlari odatiy hisoblanadi:

Tashqi (begona odamlar bilan muloqot paytida);

Ichki (atrof-muhit va guruh bilan aloqa qilishda);

Mahalliy (turli vaziyatlarda va harakatlarda).

Keling, bularning barchasini biroz batafsilroq ko'rib chiqaylik.

Tashqi xavfsizlik

Oddiy odamlar va davlat idoralari bilan muloqot qilishda turli xil muammolar paydo bo'lishi mumkin, ammo bu erda uchta "yo'q" tamoyilidan foydalangan holda ko'p narsalarni oldindan bilish va oldini olish mumkin: g'azablanmang, aralashmang, ajralib turmang.

Kerakli:

O'zingizga ortiqcha e'tiborni jalb qilmang ("atrof-muhitda erish" taktikasi):

- tashqi ko'rinishda ajralib turmang (oddiy soch turmagi, odobli kiyim, "baland ovozli" narsaning yo'qligi; agar sizning muhitingiz g'ayrioddiy bo'lsa, unda - ular kabi bo'ling ...);

- janjal va janjallarga aralashmang (bu, birinchidan, sizga keraksiz e'tiborni tortadi, ikkinchidan, bu shunchaki hibsga olish yoki "jazo" qilishga qaratilgan provokatsiya bo'lishi mumkin);

- barcha kommunal to'lovlarni va boshqa davlat to'lovlarini aniq amalga oshirish; har doim transport to'lovlarini to'lash;

- tanlangan rasmga aniq rioya qilishga harakat qiling ijtimoiy roli va ish haqida shikoyatlar yo'q (va umumiy jamoaviy fonda u erda turmaslik ...);

- g'ayrioddiy turmush tarzi yoki turli odamlarning tashrifi bilan qo'shnilarning obsesif qiziqishini qo'zg'atmang;

- hech narsadan haddan tashqari xabardor bo'lmang, agar sizning rolingiz buni talab qilmasa (qadimgilarni unutmang: "Hushyorning uchta qonuni bo'lishi kerak:" Bilmayman "," eshitmaganman ”,“ Men tushunmadim ””) ...

Qo'shnilar, hamkasblar va tanishlar orasida hech qanday dushmanlik tug'dirmang, balki ularda hamdardlikni uyg'oting:

- "qora qo'y" bo'lmaslik (odamlar har doim o'zini o'zi tushunadigan tomondan ko'rsatadigan odamga jalb qilinadi ...);

- boshqalarning hushyor bo'lishiga (ortiqcha qiziquvchanlik, "aql-zakovat" yoki obsessiya ...) yoki dushmanlik (taktiklik, zerikish, mag'rurlik, qo'pollik ...) sabab bo'lmaydigan xulq-atvorni rivojlantirish;

- atrofdagilar bilan teng va do'stona munosabatda bo'lish va iloji bo'lsa, ularga kichik (lekin xizmatkor emas!) xizmatlar ko'rsatish;

- qo'shnilar o'rtasida norozilik va qiziqish uyg'otadigan hech narsa qilmang (kechasi eshikni taqillatish, tashrif buyuruvchilarning ko'pligi, taksida uyga qaytish, ayollarning tashrifi, umumiy kvartirada kech qo'ng'iroq qilish ...).

Barcha ulanishlaringizni va kontaktlaringizni diqqat bilan kuzatib boring (esda tutingki, "eng xavflisi siz shubha qilmaydigan dushman"):

- qo'shnilaridan (xotinlari, do'stlari, qarindoshlari, bekasi ...) sirlarini saqlash;

- odatiy hushyorlik bilan ("nima uchun va nima uchun?") Doimo sizga yaqinlashishga urinishlarni sezing (tasodifiy tanishish, kimningdir tavsiyalari ...);

- ta'mirlash xizmatlari, reklama va xizmat ko'rsatishning barcha xodimlariga e'tiborli bo'lish, ularning hujjatlarini ko'rib chiqish va muloyimlik bilan, lekin telefon orqali, keyin esa "hamkasblar" bilan shaxsini tekshirish;

- go'yo "befarq" xizmatlarni taklif qiladigan har bir kishi bilan ehtiyot bo'ling (pul qarz beradi, biror narsada faol yordam beradi, sizga kerakli narsani arzonga beradi ...).

O'zingizning zaif tomonlaringizni bilib oling va bu erda o'zingizni qanday himoya qilishingiz mumkinligini bilib oling:

- butun hayotingizni tahlil qiling va shantaj yoki obro'sizlantirish uchun ishlatilishi mumkin bo'lgan shubhali daqiqalarni ta'kidlang;

- bunday faktlarni e'lon qilinishi mumkin bo'lgan barcha shaxslarga oshkor qilishning mumkin bo'lgan oqibatlarini real baholash;

- kim va nima sababdan murosasiz dalillarni bilishi mumkinligini va bunday xabardorlikni qanday zararsizlantirish mumkinligini taxmin qilish;

- zaifligingiz ob'ektlarini aniqlang (ayol, bolalar, axloqiy tamoyillar ...), chunki ular orqali sizga bosim o'tkazilishi mumkin;

- zaif tomonlaringizni oshkor qilish (sevimli mashg'ulotlar, sharob, jinsiy aloqa, pul, xarakter xususiyatlari ...) va ular har doim sizga qarshi ishlatilishi mumkinligini unutmang.

- Umumiy sabab bilan bog'liq bo'lmagan shubhali firibgarliklarga aralashmang. Ish bilan bog'liq xavfli sarguzashtlarda faqat yuqoridan ruxsat olgan holda qatnashing.

O'z muhitidagi kontaktlarni kafolatlangan xavfsiz deb hisoblash mumkin emas. Esingizda bo'lsin, "eng katta zarar odatda ikkita holatdan keladi: sirni oshkor qilish va xiyonatkorlarga ishonishdan".

Shaxsiyat sirini saqlash:

- haqiqiy ismlar o'rniga har doim taxalluslar qo'llaniladi (odatda nominal, lekin raqamli, alifbo yoki "laqab"); har bir yo'nalishda "o'yinchilar" alohida taxallus ostida o'tadilar, garchi bir nechta variantlar ostida ishlash, shuningdek, bir nechta turli shaxslarning umumiy taxallusi ostida harakat qilish mumkin;

- jamoa a'zolari, iloji bo'lsa, bir-birlarini faqat taxalluslar ostida bilishlari; haqiqiy familiyalar, uy manzillari va telefon raqamlari faqat vakolatli shaxslarga ma'lum bo'lishi kerak;

- yaqinlashib kelayotgan muvaffaqiyatsizlik va shifrni ochish ehtimoli bilan barcha ishlatilgan taxalluslar, qoida tariqasida, o'zgaradi;

- o'zingizning shaxsingiz haqida hech kimga intim yoki boshqa ma'lumotlarni bermasligingiz kerak;

- o'zingiz haqingizda xayoliy, ammo tashqi ko'rinishda ishonchli "afsona" yaratishga harakat qiling (maslahatlar yoki mish-mishlar);

- guruhdagi hech kim o'z safdoshlarining faoliyati, odatlari va intim hayotiga haddan tashqari qiziqish bildirmasligi kerak;

- hech kim sheriklar to'g'risidagi ma'lumotlarni, agar shoshilinch talab qilinmasa, boshqalarga oshkor qilmasligi kerak;

- ba'zi hollarda tashqi ko'rinishni vizual ravishda o'zgartirish mantiqiy (soch turmagi, soqol, bo'yanish, pariklar, tatuirovkalar, terining rangi, oddiy yoki tutunli ko'zoynakli ko'zoynaklar va turli ramkalar, ovoz va yurishni o'zgartiruvchi qo'shimchalar ...) ;

- bu erda bo'lganingizni ko'rsatadigan hech qanday moddiy izlarni (sigaret qoldiqlari, tashlab ketilgan qog'ozlar, poyabzal izlari, qarama-qarshi hidlar, atrof-muhitdagi sezilarli o'zgarishlar ...) qoldirmaslikka odatlanishingiz kerak.

Ishning sirini saqlash:

- faol ishchi aloqalar qat'iy cheklangan odamlar to'plami bilan saqlanadi (hal qilinadigan vazifalarga qarab uch yoki beshlik tizimi ...), o'rtoqlar esa sheriklar nima qilayotganini bilmasliklari kerak;

- har bir kishi faqat ikki yoki uchta sohaga ixtisoslashgan, ulardan birida faoliyat bilan shug'ullanish u uchun juda xavfli bo'lganidan keyin - dam olish, shuningdek, boshqa yo'nalishga o'tish mumkin;

- operativ va axborot ishlarini qat'iy farqlash kerak: har kim faqat o'z biznesi bilan shug'ullansin;

- eng yaxshisi, muayyan harakatga tayyorgarlik boshqasini amalga oshirish choralari bilan maskalanadi;

- o'z faoliyatingiz haqida boshqalarga faqat ish uchun kerak bo'lganda gapirishingiz mumkin; sirni maksimal besh kishi saqlashini unutmang;

- olingan ma'lumotni faqat unga aniq muhtoj bo'lganlarga o'tkazish kerak (biror narsadan haddan tashqari xabardorlikni ko'rsatish axborot manbasini ochishi mumkin va bu uning neytrallanishiga olib kelishi mumkin);

- ma'lumotlarni (pochta xabarlari, radio va telefon suhbatlari ...) ushlash uchun aniq imkoniyatlarni ta'minlaydigan aloqa vositalaridan foydalanganda ehtiyot bo'ling;

- hech qachon oddiy matnda haqiqiy manzillar, ismlar va munosabatlarning harflarida yozmang, ko'chada yoki telefonda suhbatlarda ularni eslatmang;

- hatto guruh ichidagi muloqot paytida ham kodlar va taxalluslardan foydalanish, ularni vaqti-vaqti bilan o'zgartirish;

- guruhda turli odamlarga ma'lum bo'lgan 2-3 ta alohida kod bo'lishi kerak;

- yozib olishdan ko'ra xotiraga ko'proq tayanish; ikkinchi holatda, siz shaxsiy kodingiz va kodingizdan foydalanishingiz kerak;

- o'z qo'l yozuvingiz bilan yozilgan yoki shaxsiy ofis jihozlarida chop etilgan murosa qog'ozlarga ega bo'lmaslikka harakat qiling;

- "ta'sir qilingan" shaxslar bilan munosabatda bo'lish, to'g'ridan-to'g'ri aloqa qilishdan tiyilish, kerak bo'lganda, yon shaxslar yoki boshqa aloqa vositalaridan foydalanish;

- har doim ma'lumotlarning sizib chiqishi yoki xiyonat qilish ehtimoli borligini hisobga oling va yodda tuting va tegishli qarshi harakatlarga tayyor bo'ling.

Muvaffaqiyatning eng yaxshi kafolati odatda xavfsizlik tarmog'idir, shuning uchun dushman yoki tasodifan paydo bo'lgan kuzatuvchilar tomonidan barcha mumkin bo'lgan muammolarni hisobga olgan holda har qanday harakatni amalga oshirish tavsiya etiladi.

To'g'ridan-to'g'ri muloqot qilishning umumiy qoidalari.

gavjum ko'chada yoki jamoat transportida aniq matnda ma'lumot beruvchi suhbatlar o'tkazmaslikka harakat qiling;

ochiq suhbatda haqiqiy familiyalar, ismlar, taniqli taxalluslar va manzillarni eslatib o'tmaslik, shuningdek, "tashvish" atamalarini ishlatmaslik kerak;

individual harakatlarni belgilash uchun kod nomlaridan foydalaning;

suhbatning eng maxfiy tomonlari (haqiqiy manzillar, parollar, sanalar) qog'ozga yoziladi, keyin esa yo'q qilinadi;

tinglash tizimlarining texnik imkoniyatlarini o'rganish va elementar qarshi choralarni bilish kerak (ma'lumot olish bo'limiga qarang ...);

agar suhbatdoshlardan biri suhbat davomida tashvishli narsani sezsa, sherigiga maxsus so'z ("atas" ...) yoki imo-ishora (barmoqni lablariga ...) bilan ogohlantiriladi va butun suhbat neytral kanalga o'tkaziladi. ;

agar sizni tinglayotganingizni bilsangiz, ma'lumot beruvchi muzokaralar olib bormaslik yoki ularni dezinformatsiya qilish uchun ishlatmaslik yaxshiroqdir;

sizni go'yoki "tinglash" qilganingizda, lekin siz hali ham muloqot qilishingiz kerak bo'lsa, ular odatiy tildan foydalanadilar, bu erda zararsiz jumlalar butunlay boshqacha ma'noga ega; e'tiborga olinmasligi kerak bo'lgan iboralar ham qo'llaniladi (ular odatda kelishilgan imo-ishoralar bilan bildiriladi, masalan, barmoqlarni kesish ...) va ko'pincha standart usullar (yo'tal, og'izga kiritish ...) ma'ruzachini aniqlash qiyin;

Odamlar gavjum joyda muloqot qilishning to'liq maxfiyligini ta'minlash zarur bo'lganda, shartli (og'zaki bo'lmagan) aloqa usullari, masalan, imo-ishoralar tili, tana harakatlari va barmoqlar imo-ishoralari, shuningdek atributlarga asoslangan kodlar qo'llaniladi. kiyim (bosh kiyimning turli pozitsiyalari, galstuk qisqichi, ro'molcha ...) yoki improvizatsiya qilingan narsalarni (soatlar, sigaretalar, kalitlar ...) manipulyatsiya qilish uchun.

A. SHAXSIY XAVFSIZLIK:

- boshqa odamlar va o'zingizning qo'ng'iroqlaringiz vaqtini muzokara qilishga harakat qiling va aloqalar chastotasini cheklang;

- o'z telefoningizdagi suhbatlarni suiiste'mol qilmaslik (uni tinglash mumkinligini hisobga olgan holda) va o'z raqamingizni boshqalarga keraksiz ravishda bermaslik (uning yordamida manzilingizga erishish osonligini bilib);

- ular butun telefon suhbatini (liniyaga ulanganda ...) va faqat siz aytayotgan narsalarni ("xato" yoki eshik tashqarisidagi qo'shni ...) tinglashlari mumkinligini hisobga oling;

- qurilmada boshqa birovning uskunasining liniyasiga ulanish uchun eng oddiy "boshqaruv" (kuchlanishning pasayishini aniqlash ...) qurish foydalidir;

- qo'ng'iroq qiluvchining identifikatoridan (avtomatik qo'ng'iroq qiluvchining identifikatori) foydalaning va boshqalarga qo'ng'iroq qilganda raqamingizni reklama qilmaslik uchun "anti-qo'ng'iroq qiluvchi ID" dan foydalaning;

- har qanday radiotelefonlarning ishonchliligiga tayanmaslik;

- boshqa birovning "raqami" dan uyali "egizak" yoki radio kengaytmasi (shantaj bo'limiga qarang ...) orqali, shuningdek, har qanday juftlikka to'g'ridan-to'g'ri ulanish orqali shaharlararo va boshqa doimiy aloqalarni amalga oshirish yaxshiroqdir. kommutatordagi kontaktlar;

- muzokaralarning ko'proq maxfiyligi uchun siz skramblerlardan (hech bo'lmaganda oddiy improvizatsiya qilingan invertorlar va skramblerlardan) foydalanishingiz mumkin, garchi ulardan foydalanish boshqalarning e'tiborini keskin rag'batlantirishi mumkin;

- "shovqin" yoki "liniyadagi kuchlanishning ko'tarilishi" orqali himoyaga ayniqsa ishonmaslik kerak;

- agar siz suhbatdoshning "shifrini ochishni" xohlamasangiz, ovozingizni o'zgartirishga harakat qilishingiz mumkin (mexanik va elektron nayranglar yordamida yoki oddiy yo'talish, lablarni cho'zish va ajratish, burunni chimchilash ...) va suhbatning stilistik chizmasi (jargon yordamida ...);

- ba'zida boshqa barcha telefonlar kabi joylashuvi osongina hisoblab chiqiladigan taksofonlar ham eshitilishini unutmang;

- agar sizga boshqa birovning qo'ng'irog'i kerak bo'lsa, lekin sizning koordinatalaringizni berish istagi bo'lmasa, oraliq qo'llaniladi - javob berish mashinasi yoki biladigan yoki bilmaydigan jonli "dispetcher" bilan (bir tomonlama variant ...) shaxsiy raqamingiz - telefon;

- ba'zi hollarda telefondan so'zsiz foydalanish mumkin, ma'lum bir ritmda bir va ko'pincha bir nechta "bo'sh" qo'ng'iroqlar qandaydir kodni ko'rsatsa;

- ba'zida ma'lum bir signal shunchaki arzimas suhbat paytida ma'lum bir shaxs tomonidan qo'ng'iroq qilish haqiqati, shuningdek, "raqam xatosi" bo'lgan taqdirda an'anaviy ismlarning kodlangan zikri bo'lishi mumkin.

B. OG'ZIQ XAVFSIZLIGINI TA'MINLASH:

- oddiy matnda ish suhbatlarini o'tkazmang;

- haqiqiy sanalarni, ismlarni, manzillarni aytmaslik;

- individual harakatlarning kod nomlaridan foydalanish;

- zararsiz iboralar butunlay boshqacha ma'noga ega bo'lgan odatiy tildan foydalaning;

- faqat kerak bo'lganda qo'ng'iroq qilish, garchi bir odam bilan tez-tez "ish bo'yicha emas" suhbatlashish mumkin ("ma'lumotni tarqatish" taktikasi).

C. ASOSIYLAR BILAN SUHBAT:

- butun suhbatni sherik olib boradi va siz shunchaki "ha" yoki "yo'q" deysiz, shunda yoningizdagilar tushunmaydi va o'rganmaydi;

- yaqin atrofda notanish odamlar borligi aniq matn yoki og'zaki kodda xabar qilinadi; bundan keyin suhbatni batafsil javob talab qiladigan savollarni berishga loyiq bo'lmagan sherik olib borishi kerak;

- juda do'stona bo'lmagan odamning bevosita nazorati mavjud bo'lganda, sherik bu haqda kelishilgan iboralar bilan ogohlantiriladi (salomlashishda yaxshiroq ...), shundan so'ng butun suhbat bo'sh yoki dezinformatsion uslubda olib boriladi;

- agar suhbatdoshlardan biri uning telefoni tinglanmoqda deb o'ylasa, u darhol qo'ng'iroq qiluvchilarni hammasiga yaxshi ma'lum bo'lgan ("tishlari og'riyapti" ...) iborasi orqali ogohlantirishga harakat qiladi va keyin suhbat o'zgaradi. neytral kanalga.

D. UMUMIY TELEFONDAN FOYDALANISH (Kvartirada, ish joyida ...):

- bunday telefondan imkon qadar kamroq foydalaning (ayniqsa, "uchun tayinlash uchun"), agar bu o'ynaladigan rol bilan bog'liq bo'lmasa (dispetcher, reklama agenti ...);

- xuddi shu shaxs ushbu telefonga qo'ng'iroq qilishi kerak;

- juda kech va erta qo'ng'iroq qilmaslikka harakat qiling;

- begonalar qo'ng'iroq qiluvchining ovozini aniqlashga harakat qilganda ("Kim so'rayapti?" ...), muloyim va betaraf javob bering ("hamkasb" ...) va agar qo'ng'iroq qiluvchi hozir bo'lmasa, darhol keyingi suhbatni to'xtating;

- aslida, masalan, kod ajratgichdan foydalangan holda alohida telefon qilish qiyin emas, shuning uchun umumiy raqamni aniq terish qo'shnisiga umuman ta'sir qilmasdan faqat sizning qurilmangizga qo'ng'iroqni ishonchli ta'minlaydi.

Muayyan holatlarda talab qilinadigan xavfsizlik choralari darajasi aloqaning istalgan maxfiylik darajasiga, uning ishtirokchilarining qonuniylik darajasiga va uni begona shaxslar tomonidan nazorat qilinishiga bog'liq.

A. YIG'ILISH JOYINI TANLASH:

- aloqa uchun mos joylarni izlashda ular odatda tabiiylik, asoslilik va tasodifiylik tamoyillariga tayanadilar;

- tez-tez yig'ilishlarni quvnoq ziyofat joyida (uning chizilgan rasmiga mos ...), sport zalining sport zalida, ish xonasida o'tkazish osonroq;

- ayniqsa jiddiy uchrashuvlar ov joylarida, maxsus ijaraga olingan dachalarda, vannalarda, kurort sanatoriylarida, barcha turdagi sport markazlarida, chet eldagi plyajlarda o'tkazilishi mumkin;

- metro va maydonlarda, hojatxonalar va avtomashinalarda, aholi siyrak ko'chalarda, hayvonot bog'lari, muzeylar va ko'rgazmalarda juftlik uchrashuvlari o'tkaziladi; bunday joylarda kesishmalar dargumon va shuning uchun ular kamroq xavflidir;

- taniqli restoranda, moda kafesida va vokzalda yashirin uchrashuvlardan voz kechish kerak, chunki bunday nuqtalar odatda nazorat qilinadi;

- uchinchi shaxslarning shaxsiy kvartiralarida tegishli sabablarga ko'ra "tasodifiy" uchrashuvlar o'tkazish mumkin (dafn marosimi, yubiley, ma'lum bir voqeani "yuvish" ...);

- stereotipik kommunal kvartiralarda hech qanday yig'ilish (odatdagilardan tashqari) o'tkazilmasligi kerak;

- cheklangan doirada aloqa qilish uchun shaxsiy kvartirangizdan foydalaning;

- ba'zi hollarda, agar iloji bo'lsa, dublikat chiqish joyi bo'lgan uyda maxsus xavfsiz kvartirani ijaraga olish mantiqan to'g'ri keladi;

- uchrashuv joyini ko'zdan kechirayotganda, u erga e'tiborsiz kirish mumkinmi yoki yo'qmi va u erdan qanday qilib xavfsiz qochishingiz mumkinligiga ishonch hosil qiling; eski haqiqatni eslang: "Agar siz qanday ketishni bilmasangiz, kirishga urinmang!"

B. Yig'ilish HAQIDA MA'LUMOT:

- mumkin bo'lgan uchrashuv joylari odatda oldindan muhokama qilinadi va ularning barchasiga kod beriladi - alifbo, raqamli yoki "noto'g'ri" - nom, har biri uchun bir nechta variant;

- rejalashtirilgan aloqa telefon, peyjer, xat, shuningdek, messenjer orqali boshqalarga yetkaziladi;

- "ochiq" aloqa liniyalarida uchrashishga rozi bo'lganingizda, joyning kod nomidan, shifrlangan sanadan (masalan, belgilangan kundan bir kun oldin) va o'zgartirilgan vaqtdan (doimiy yoki siljish raqami bo'yicha) foydalaning;

- belgilangan sanadan oldin oddiy matn yoki signalizatsiya orqali aloqani tasdiqlash kerak;

- agar yig'ilishda kutish joiz bo'lsa (jamoat transporti bekatida, yoqilg'i quyish shoxobchasida navbatda ...), kutishning hojati yo'q bo'lgan aniq vaqtni ko'rsatish tavsiya etiladi.

B. Yig'ilishni o'tkazish:

- olomon yig'ilishlarga olomon bilan kelmaslik kerak, balki tarqalib, barcha shaxsiy avtomobillarni bir joyda qoldirmaslik kerak;

- o'quv-mashg'ulot yig'inida begona va keraksiz shaxslar bo'lmasligiga harakat qiling;

- olomon yashirin yig'ilishlar haqida bilishga hojat bo'lmaganlar o'zlari bilan ochiq-oydin murosasiz narsalarni (qurollar, soxta hujjatlar ...) olib ketmasliklari kerakligini tushunib, ba'zan ularni sirg'alib qolishi mumkinligini yodda tutishlari kerak;

- uchrashuv oldidan, yig'ilish paytida va undan keyin maxsus odamlar tomonidan aloqa joyini nazorat qilish juda ma'qul, shunda ular zarurat tug'ilganda ular kelishilgan (ularni qo'lga kiritishni hisobga olgan holda) signallar yordamida yuzaga keladigan xavf haqida ogohlantirishi mumkin;

- har qanday aloqada, qanday qilib sizni josuslik qilish yoki eshitish mumkinligini aniqlashingiz kerak, o'jarlik bilan o'zingizga qisqa savollar bering: “Qaerda? Qanaqasiga? JSSV?";

- ayniqsa, yashirin suhbatlar mahalliy ajratilgan punktlarda olib borilishi, tinglash, ko'zdan kechirish va buzishning barcha imkoniyatlarini tekshirish va sug'urta qilish;

- radiomikrofonlarning nurlanishi yoki suhbatdoshda yozuvchi diktofon bor-yo'qligi haqida ma'lumot beruvchi kamida oddiy ko'rsatkichlarga ega bo'lish maqsadga muvofiqdir;

- hatto "qo'pol" uchqun o'chirgichlardan, shuningdek magnit yozuvni o'chirish generatorlaridan foydalanish foydalidir;

- klassik noqonuniy juftlik uchrashuvlari har doim daqiqagacha hisoblab chiqiladi va "tasodifiy" sifatida o'tkaziladi;

- aniq belgilangan vaqtda yig'ilish nuqtasiga kelish uchun harakat vaqtini oldindan o'tkazish va har qanday kutilmagan hodisalar (marshrut yo'nalishini to'sib qo'yish, begona odamni bog'lash, yo'l-transport hodisasi) uchun biroz vaqt ajratish kerak. ...);

- agar uchrashuv ko'chada rejalashtirilgan bo'lsa, u holda yig'ilishdan bir soat oldin u erda sayr qilishga xalaqit bermaydi, har bir o'tkinchiga va barcha to'xtash joylariga diqqat bilan qaraydi; agar biror narsa sizni tashvishga solsa, u holda kamuflyajli signal aloqasi yordamida sherigingizga bu haqda xabar berib, aloqani kechiktirish kerak;

- notanish odamlar bilan uchrashganda, ikkinchisi ularning tavsifi bilan tan olinadi ko'rinish, ma'lum bir holat yoki imo-ishora, qo'lda ushlab turadigan narsalarni eslatib o'tish va eng muhimi - fotosuratdan, shaxsni og'zaki (va boshqa) parol bilan qo'shimcha tasdiqlash bilan;

- kasalxonada shunday bo'lishi kerakki, har doim xavf paydo bo'ladigan aniq joylarni nazorat qilish mumkin bo'ladi (masalan, kafeda - kirish eshigiga qaragan holda, derazadan tashqarida nima bo'layotganini tomosha qilish va ochiq xizmat ko'rsatish o'tish joyidan uzoqda joylashganligi ...);

- og'zaki muloqotning avval aytib o'tilgan barcha qoidalarini eslab qolish va ularga rioya qilish.

D. YOPIQ MAJLASLAR (MUZUZOLAR) O'TKAZISHNI TASHKIL ETISHI.

Har qanday tadbirni, jumladan, uchrashuv va muzokaralarni tashkil etish uni tayyorlash bilan bog'liq. Bu yo'nalishda yagona, xato bo'lmagan qoidalar yo'q. Shu bilan birga, bunday tayyorgarlik sxemasining quyidagi varianti tavsiya etiladi: rejalashtirish, material to'plash va uni qayta ishlash, to'plangan materialni tahlil qilish va uni tahrirlash.

Rejalashtirishning dastlabki bosqichida muhokama qilinishi kerak bo'lgan mavzu yoki masalalar va biznes suhbatining mumkin bo'lgan ishtirokchilari aniqlanadi. Bundan tashqari, eng muvaffaqiyatli vaqt tanlanadi va shundan keyingina ular korxona xavfsizligini ta'minlash joyi, vaqti va tashkil etilishi to'g'risida kelishib olishadi (qoida tariqasida, bunday suhbatlar begonalar ishtirokisiz yakkama-yakka, maxfiy ravishda amalga oshiriladi. ).

Uchrashuv tayinlangach, uchrashuv rejasi tuziladi. Birinchidan, siz tadbirkor oldida turgan maqsadlarni aniqlab olishingiz kerak, so'ngra ularga erishish strategiyasini va suhbatni o'tkazish taktikasini ishlab chiqishingiz kerak.

Bunday reja muayyan suhbatni tayyorlash va o'tkazish uchun aniq harakatlar dasturidir. Rejalashtirish sizga kutilmagan yangi faktlar yoki kutilmagan vaziyatlarning suhbat jarayoniga ta'sirini yumshatish, neytrallash imkonini beradi.

Reja rejaning har bir bandini bajarish uchun mas'ul shaxslarni va yig'ilish (muzokaralar) xavfsizligini tashkil etish bo'yicha quyidagi chora-tadbirlarni o'z ichiga oladi:

1. Mijoz bilan uchrashuvga kelgan mehmonlarni kutib olish.

2. Taklif etilgan shaxslarning asosiy qo'riqchisi va tansoqchilarining harakatlarini muvofiqlashtirish.

3. Qo'shni hududda mehmonlarning kiyim-kechaklari, buyumlari va ularning mashinalari xavfsizligi.

4. Uchrashuvda mehmonlar o'rtasidagi noxush hodisalarning oldini olish.

5. Ichimliklar, gazaklar va boshqa taomlar holatini kuzatish (bu maqsadlar uchun o'rgatilgan itlar ishlatiladi).

6. Tadbirda yoki unga tutash binolarda shubhali shaxslarni aniqlash.

7. Tinglash va portlovchi qurilmalarni olish uchun muzokaralar oldidan binolarni (majlis xonasi va qo'shni xonalar) tozalash.

8. Shaxslarni aniqlash va kuzatish uchun postlar tashkil etish:

a) paketlar, portfellar va boshqalar bilan biznes qabuliga yoki uchrashuvga kelish;

b) tadbirga audio yoki video jihozlarni olib kelish;

v) ishbilarmonlik qabuliga yoki uchrashuvga qisqa muddatga kelgan yoki kutilmaganda tadbirni tark etganlar.

9. Tadbir tashkilotchilari va mehmonlarning binolarda va telefonda suhbatlarini tinglashning oldini olish.

10. Muzokaralar uchun zaxira variantlarini ishlab chiqish (xususiy kvartirada, mehmonxonada, mashinada, qayiqda, hammomda (saunada) va hokazo).

Ushbu tadbirlar ro'yxati to'liq emas. Himoya ob'ektining shartlariga, hodisaning xarakteriga va mijoz bilan kelishilgan boshqa shartlarga qarab sezilarli darajada kengaytirilishi va aniqlanishi mumkin.

Uchrashuv (muzokaralar) yoki boshqa ommaviy tadbirlar davomida hal qilinadigan umumiy vazifalarga quyidagilar kiradi:

1) muzokaralar o'tkazish uchun binolar birinchi yoki oxirgi qavatlarda joylashgan va xavfsizlik xizmati tomonidan nazorat qilinadigan binolar orasida joylashgan tarzda tanlangan;

2) qo'riqlash ob'ekti bilan tanishish, uning atrofidagi jinoyatchilik holatini aniqlash;

3) voqealar davrida politsiya bilan o'zaro hamkorlikni o'rnatish;

4) qo'riqlanadigan ob'ektga qurollar, portlovchi, tez yonuvchi va zaharli moddalar, giyohvand moddalar, og'ir narsalar va toshlar o'tkazilishining oldini olish maqsadida kirish nazoratini o'rnatish;

5) qo'riqlanadigan hududga yoki itlari bo'lgan odamlarning qo'riqlanadigan binolarga o'tishini oldini olish;

6) qo'shni hududda va unga tutash binolarda tartibni nazorat qilish va saqlash;

7) mustahkamlash (qo'llab-quvvatlash) guruhining qo'riqchilari o'rtasida rollarni taqsimlash;

8) qo'riqchilarning jihozlarini, shu jumladan ularning qurollari va aloqalarini aniqlash;

9) ochiq va “shifrlangan” nazorat va kuzatuv postlarini tashkil etish;

10) ekstremal vaziyatlarda transportni tayyorlash va tadbir ishtirokchilarini evakuatsiya qilish;

11) "o'lik zonalar" deb ataladigan narsalarni aniqlash uchun ob'ekt hududida aloqa barqarorligini tekshirish;

12) maxsus vositalardan foydalanish natijasida soqchilarning o'zlari zarar ko'rmasliklari uchun havo harakati yo'nalishini, qoralama va burmalarni aniqlash uchun gaz qurollari va ko'zdan yosh oqizuvchi gaz qutilarini qo'llash imkoniyatini tekshirish;

13) turli xil kirish vazifalarini mashq qilish orqali soqchilarning uyg'unligini tekshirish.

Xavfsizlikning ish bosqichida xavfsizlik xodimlari (xavfsizlik kompaniyasi) tayyorgarlik bosqichida belgilangan o'z vazifalarini aniq bajarishlari kerak.

Shu bilan birga, quyidagi masalalarga alohida e'tibor qaratilmoqda:

1) yig'ilish (muzokaralar) boshlanganidan keyin zaif kirish rejimiga ishonadigan tadbirga kech qatnashuvchilarning kelishi;

2) portfellar va quyma sumkalar tarkibini majburiy tekshirish yoki minalar, granatalar, og'ir bombalar va boshqa portlovchi moddalarni aniqlash uchun ishlatiladigan qo'lda tutiladigan metall detektorlar, portlovchi moddalar bug'lari detektorlaridan foydalanish;

3) muhofaza qilinadigan hududga kiruvchi va undan chiqadigan transport vositalari maxsus ko'rikdan o'tkazilishi kerak, hech bo'lmaganda ingl. Bu, ayniqsa, qo'riqlanadigan ob'ektga begona shaxslarning kirib kelishiga yo'l qo'ymaslik va yig'ilish (muzokaralar) ishtirokchilarining transport vositalarini qazib olishni istisno qilish uchun muhim;

4) ketayotgan avtomashinalarning salonlari va bagaj javonlarini nazorat qilish yig'ilish (muzokaralar) tashkilotchilaridan tovlamachilik qilish maqsadida tadbirga kelgan shaxslarni o'g'irlab ketishning oldini olishi mumkin;

5) tadbir ishtirokchilarining ustki kiyimlari va shaxsiy buyumlarini o'g'irlash va radiobuzarliklarni aniqlash uchun himoya qilish;

6) tadbir rahbarlarining derazadan chiroyli ko'rinishga ega bo'lish istagiga qaramasdan, hudud xavfsizlik xizmati (qo'riqlash kompaniyasi) tomonidan nazorat qilish uchun qulay bo'lishi kerakligini hisobga olish kerak;

7) muzokaralar o'tkaziladigan binolarning derazalari ostida radio xatcho'plaridan ma'lumot olish uchun uskunalar bo'lishi mumkin bo'lgan avtomobillarni to'xtatmaslik kerak;

8) muzokaralar uchun mo'ljallangan xona uchun xavfsizlik zonalarini yaratish va uni maxsus jihozlar, ekranlar, shovqin generatorlari va boshqalar bilan jihozlash;

9) tijorat sirlarini saqlash maqsadida muzokaralar olib borilganda, barcha "maxfiy" ma'lumotlar yozma ravishda taqdim etiladi va uni muhokama qilish ezop tilida olib boriladi.

Tadbirning yakuniy bosqichida, ob'ektda sodir bo'layotgan voqealar juda aldamchi bo'lishi mumkin bo'lgan ahamiyatsiz bo'lib tuyulishiga qaramay, xavfsizlik xodimlari (xavfsizlik kompaniyasi) tomonidan hushyor bo'lishlari talab qilinadi.

Hodisa tugagandan so'ng ob'ektni tekshirish oldingi bosqichlarda ishlashdan ko'ra hayot uchun kamroq xavf bilan bog'liq bo'lishi mumkin. Ushbu davrda ob'ektni yakuniy tozalash tayyorgarlik tadbirlari paytida bo'lgani kabi bir xil texnika yordamida amalga oshiriladi. Shu bilan birga, muassasada yashirinishi mumkin bo'lgan shaxslar yoki tibbiy yordamga muhtoj bo'lgan jinoyatchilar qurbonlari qidirilmoqda. Unutilgan narsalar va narsalarga katta e'tibor beriladi.

Tashkilot (firma) rahbariga va tadbirning boshqa ishtirokchilariga taqdim etilgan esdalik sovg‘alari va sovg‘alar nazorat ekspertizasidan o‘tkaziladi.

Tashkilot (kompaniya) xodimlariga tegishli bo'lmagan ob'ektda qo'riqchilar tomonidan aniqlangan barcha narsalar inventarning bir nusxasi bilan birga mijozga yoki qo'riqlanadigan binolar ma'muriyatiga topshirilishi kerak. Saqlash uchun narsalarni olgan shaxsning imzosi bilan inventarizatsiyaning ikkinchi nusxasi xavfsizlik xizmatida (qo'riqlash kompaniyasida) saqlanadi.

Kvartira, mashina, ko'cha, restoran tijorat sirlarining ishonchli "himoyachisi" bo'la olmaydi. Shuning uchun siz mutaxassislarning tavsiyalariga amal qilishingiz kerak.

Ish uchrashuvlarini o'tkazishda deraza va eshiklarni yopish majburiydir. Zal kabi izolyatsiya qilingan xona yig'ilish xonasi sifatida xizmat qilishi ma'qul.

Raqobatchilar, agar xohlasalar, qo'shni xonalarda, masalan, yuqorida yoki pastda joylashgan kvartirada o'tirib, suhbatlarni osongina tinglashlari mumkin. Barcha mamlakatlar va xalqlarning razvedkachilari shift va devorlarda teshik ochgan vaqtlar allaqachon o'tib ketgan - ayniqsa sezgir mikrofonlar kerakli ma'lumotlarni deyarli hech qanday to'siqsiz olish imkonini beradi.

Muzokaralar uchun devorlari izolyatsiyalangan binolarni tanlash, yuqorida va pastda qavatda yashovchi qo'shnilar bilan tanishish kerak; ular o'z kvartirasini (xonani) begonalarga ijaraga berishlarini bilib oling. Qo'shnilarni ittifoqchilarga aylantirishga arziydi, lekin shu bilan birga ular ikki tomonlama o'yin o'ynashi yoki jimgina xayrixohlardan shantajchilarga aylanishi mumkinligini hisobga oling.

Raqobatchilarning faolligi, birinchi navbatda, ularning niyatlarining jiddiyligiga bog'liq. Agar kerak bo'lsa, tinglash moslamalari ("buglar") bevosita tadbirkorning kvartirasiga o'rnatilishi mumkin - va bu erda na temir eshiklar, na import qilingan qulflar, na yaxshi o'qitilgan xavfsizlik yordam beradi.

Ishbilarmon odam o'z qarindoshlaridan uyiga faqat taniqli odamlarni taklif qilishni so'rashi kerak, agar iloji bo'lsa, ularning xatti-harakatlarini nazorat qilish. Mehmonlarni qabul qilish vaqtida uy ofisining eshiklari kalit bilan yopilishi, bolalarni vasvasaga solmaslik uchun videomagnitofon va kompyuter ular uchun qulay joyda bo'lishi kerak. Kompyuter, albatta, ishlaydigan dasturlarsiz va maxfiy ma'lumotlarsiz bo'lishi kerak.

Agar sizning mashinangiz "jihozlangan" degan shubha tug'ilsa, unda muzokaralar oldidan "toza mashina" operatsiyasini bajarish kerak.

Ish uchrashuvi arafasida kompaniya xodimlaridan biri yoki tadbirkorning o‘zi to‘liq ishongan do‘sti mashinani kelishilgan joyda qoldirishi kerak. Shundan bir necha daqiqa o'tgach, tadbirkor o'z mashinasini tashlab ketilgan mashinaga o'zgartiradi va hech qayerda to'xtamasdan, muzokaralarga ketadi. Bunday holda, siz boshqa birovning mashinasini boshqarish huquqiga ishonchnoma olishni unutmasligingiz kerak!

Muzokaralar paytida mashina harakatda bo'lishi kerak va uning oynalari mahkam yopiq bo'lishi kerak. Avtobus bekatlarida (masalan, svetoforda) maxfiy masalalarni muhokama qilmaslik yaxshiroqdir.

Keling, tahlil qilaylik, ishbilarmon odam muhim ish uchrashuvini yana qayerda o'tkazishi mumkin?

Ko'chada. Suhbatlarni tinglash uchun ikkita turdagi mikrofondan foydalanish mumkin - yuqori yo'nalishli va o'rnatilgan. Birinchisi ko'rish chizig'i ichida bir kilometrgacha bo'lgan masofada ma'lumotni suratga olish imkonini beradi. O'rnatilgan mikrofonlar radio xatcho'plari bilan bir xil ishlaydi.

Yuqori yo'nalishli mikrofonlarga qarshi samarali kurashish uchun har doim harakat qilish, harakat yo'nalishini keskin o'zgartirish, jamoat transportidan foydalanish, qarshi nazoratni tashkil qilish - xavfsizlik xizmati yoki xususiy detektiv firmalarning yollangan agentlari yordamida.

Restoranda. Statik pozitsiya umumiy restoran xonalarida suhbatlarni boshqarish imkonini beradi. Shuning uchun bunday ish uchrashuvlari uchun ishonchli bosh ofitsiant talab qilinadi. Tadbirkor uchun qulay vaqtda va kutilmaganda raqobatchilar uchun stol yoki alohida ofis ajratiladi, bu esa, o'z navbatida, kompaniya xavfsizlik xizmatining ishonchli nazorati ostida bo'lishi kerak. Suhbatni restoran orkestrining tovushlari, shuningdek, suv tovushi bilan bostirishga urinishlar samarasiz.

Mehmonxona xonasida. Muzokaralar uchun mehmonxona xonasini bron qilish ehtiyotkorlik bilan amalga oshirilishi kerak. Ish uchrashuvi boshlangandan so'ng, xavfsizlik xodimlari nafaqat qo'shnilarni, balki yuqorida va pastda joylashgan qavatda yashovchi barcha odamlarni ham nazorat qilishlari kerak.

Rejalashtirilgan uchrashuvlar (muzokaralar)ning vaqti va xarakteri to‘g‘risida boshqalarga noto‘g‘ri ma’lumot berish yaxshi tashkil etilgan taqdirda yuqoridagi barcha usullar va qarshi choralar samarali hisoblanadi. Rejalashtirilgan tadbirlarning to'liq ro'yxatiga bag'ishlangan xodimlar doirasi imkon qadar tor bo'lsa va ularda ishtirok etayotganlarning har biri o'z majburiyatlari bo'yicha zarur bo'lgan narsani aniq bilsa, siz har qanday biznesda muvaffaqiyatga ishonishingiz mumkin.

Ob'ektning avtomatlashtirilgan axborot tizimiga tahdidlarning umumiy tasnifi quyidagicha:

Ma'lumotlar va dasturlarning maxfiyligiga tahdidlar. Ular ma'lumotlarga (masalan, bank mijozlarining hisobvaraqlari holati to'g'risidagi ma'lumotlarga), dasturlarga yoki aloqa kanallariga ruxsatsiz kirish holatlarida amalga oshiriladi.

Kompyuterlarda qayta ishlangan yoki mahalliy ma'lumotlar tarmoqlari orqali uzatiladigan ma'lumotlar texnik qochqin kanallari orqali olib tashlanishi mumkin. Bunday holda, kompyuterning ishlashidan kelib chiqadigan elektromagnit nurlanishni tahlil qiladigan uskunalar qo'llaniladi.

Bunday ma'lumotni qidirish murakkab texnik muammo bo'lib, malakali mutaxassislarni jalb qilishni talab qiladi. Standart televizor asosida ishlab chiqarilgan qabul qilgich yordamida kompyuter ekranlarida ko'rsatilgan ma'lumotlarni ming va undan ortiq metr masofadan ushlab turish mumkin. Kompyuter tizimining ishlashi to'g'risidagi ma'lum ma'lumotlar, hatto xabar almashish jarayoni ularning mazmuniga kirishsiz kuzatilganda ham olinadi.

Ma'lumotlar, dasturiy ta'minot, apparat vositalarining yaxlitligiga tahdidlar. Ma'lumotlar va dasturlarning yaxlitligi ruxsatsiz yo'q qilish, keraksiz elementlarni qo'shish va hisobvaraqlar holati to'g'risidagi yozuvlarni o'zgartirish, ma'lumotlar tartibini o'zgartirish, qonuniy so'rovlarga javoban qalbakilashtirilgan to'lov hujjatlarini yaratish, ularni kechiktirish bilan xabarlarni faol uzatish bilan buziladi.

Tizim xavfsizligi ma'lumotlarini ruxsatsiz o'zgartirish ruxsatsiz harakatlarga (noto'g'ri yo'naltirish yoki uzatilgan ma'lumotlarni yo'qotish) yoki uzatilgan xabarlar ma'nosini buzishga olib kelishi mumkin. Uskunaning yaxlitligi shikastlanganda, o'g'irlanganda yoki ish algoritmlarini noqonuniy ravishda o'zgartirganda buziladi.

Ma'lumotlar mavjudligiga tahdidlar. Ular ob'ekt (foydalanuvchi yoki jarayon) unga qonuniy ravishda ajratilgan xizmatlar yoki resurslardan foydalana olmaganida paydo bo'ladi. Ushbu tahdid barcha resurslarni tortib olish, ruxsat etilmagan ob'ekt tomonidan uning ma'lumotlarini uzatish natijasida aloqa liniyalarini to'sib qo'yish yoki tizimning zarur ma'lumotlarini yo'q qilish orqali amalga oshiriladi.

Ushbu tahdid tizimda xizmat ko'rsatishning ishonchsizligi yoki sifatsizligiga olib kelishi mumkin va shuning uchun to'lov hujjatlarining to'g'riligi va o'z vaqtida yetkazib berilishiga ta'sir qilishi mumkin.

– Tranzaktsiyalarni amalga oshirishni rad etish tahdidlari. Ular qonuniy foydalanuvchi to'lov hujjatlarini o'tkazganda yoki qabul qilganda paydo bo'ladi va keyin o'zini javobgarlikdan ozod qilish uchun uni rad etadi.

Avtomatlashtirilgan axborot tizimining zaifligini baholash va ta'sirlar modelini yaratish yuqoridagi tahdidlarni amalga oshirishning barcha variantlarini o'rganish va ular olib keladigan oqibatlarni aniqlashni o'z ichiga oladi.

Tahdidlar sabab bo'lishi mumkin:

- tabiiy omillar (tabiiy ofatlar - yong'in, suv toshqini, bo'ron, chaqmoq va boshqa sabablar);

- inson omillari, ular o'z navbatida quyidagilarga bo'linadi:

passiv tahdidlar(tasodifiy, qasddan bo'lmagan harakatlar natijasida yuzaga kelgan tahdidlar). Bu axborotni tayyorlash, qayta ishlash va uzatishdagi xatolar (ilmiy-texnik, tijorat, pul va moliyaviy hujjatlar) bilan bog'liq tahdidlar; maqsadli bo'lmagan "miya ketishi", bilim, ma'lumot bilan (masalan, aholi migratsiyasi, oilani birlashtirish uchun boshqa mamlakatlarga ketish va boshqalar);

faol tahdidlar(odamlarning qasddan, qasddan harakatlaridan kelib chiqadigan tahdidlar). Bular ilmiy kashfiyotlar, ixtirolar, ishlab chiqarish sirlari, yangi texnologiyalarni yollanma va boshqa gʻayriijtimoiy sabablarga koʻra (hujjatlar, chizmalar, kashfiyotlar va ixtirolar tavsiflari va boshqa materiallar) oʻtkazish, buzish va yoʻq qilish bilan bogʻliq tahdidlar; turli hujjatlarni ko'rish va uzatish, "axlat" ni ko'rish; rasmiy va boshqa ilmiy-texnikaviy va tijorat suhbatlarini tinglash va uzatish; maqsadli "miya ketishi", bilim, ma'lumot bilan (masalan, xudbin sabablarga ko'ra boshqa fuqarolikni olish munosabati bilan);

- inson-mashina va mashina omillari; bo'linadi:

passiv tahdidlar. Bu tizimlar va ularning tarkibiy qismlarini (binolar, inshootlar, binolar, kompyuterlar, aloqa, operatsion tizimlar, amaliy dasturlar va boshqalar) loyihalash, ishlab chiqish va ishlab chiqarishdagi xatolar bilan bog'liq tahdidlar; sifatsiz ishlab chiqarish tufayli uskunaning ishlashidagi xatolar bilan; ma'lumotlarni tayyorlash va qayta ishlashdagi xatolar bilan (etarli malaka va sifatsiz xizmat tufayli dasturchilar va foydalanuvchilarning xatolari, operatorlarning ma'lumotlarni tayyorlash, kiritish va chiqarish, ma'lumotlarni tuzatish va qayta ishlashdagi xatolari);

faol tahdidlar. Bular avtomatlashtirilgan axborot tizimining resurslariga ruxsatsiz kirish bilan bog'liq tahdidlar (kompyuter texnologiyalari va aloqa vositalariga texnik o'zgartirishlar kiritish, kompyuter vositalari va aloqa kanallariga ulanish, turli xil ommaviy axborot vositalarini o'g'irlash: floppi disklar, tavsiflar, bosma nashrlar va boshqa materiallar); kirish ma'lumotlarini ko'rish, chop etish, "axlat" ni ko'rish); kontaktsiz usul bilan amalga oshiriladigan tahdidlar (elektromagnit nurlanishni to'plash, kontaktlarning zanglashiga olib keladigan signallarni ushlab turish (o'tkazuvchi aloqalar), axborotni olishning vizual-optik usullari, rasmiy va ilmiy-texnikaviy suhbatlarni tinglash va boshqalar).

Avtomatlashtirilgan axborot tizimlariga, shu jumladan telekommunikatsiya kanallari orqali ruxsatsiz kirishning asosiy tipik usullari quyidagilardan iborat:

elektron emissiyalarni ushlab turish;

tinglash moslamalaridan foydalanish (xatcho'plar);

masofaviy suratga olish;

akustik emissiyalarni ushlab turish va printer matnini tiklash;

axborot tashuvchilarni va sanoat chiqindilarini o'g'irlash;

boshqa foydalanuvchilarning massivlarida ma'lumotlarni o'qish;

avtorizatsiya qilingan so'rovlarni bajargandan so'ng tizim xotirasidagi qoldiq ma'lumotlarni o'qish;

himoya choralarini yengib o'tgan holda axborot tashuvchilarni nusxalash;

ro'yxatdan o'tgan foydalanuvchi sifatida niqoblash;

yolg'on (tizim so'rovlari sifatida yashirish);

uskunalar va aloqa liniyalariga noqonuniy ulanish;

himoya mexanizmlarini zararli o'chirib qo'yish;

"dasturiy tuzoqlardan" foydalanish.

Avtomatlashtirilgan axborot tizimida himoya bo'lmaganda ma'lumotlarga qasddan ruxsatsiz kirishning mumkin bo'lgan kanallari quyidagilar bo'lishi mumkin:

ma'lumotlarga kirishning standart kanallari (foydalanuvchi terminallari, ma'lumotlarni ko'rsatish va hujjatlashtirish vositalari, saqlash vositalari, dasturiy ta'minotni yuklab olish vositalari, tashqi aloqa kanallari) ulardan noqonuniy foydalanishda;

texnologik konsollar va boshqaruv elementlari;

uskunani ichki o'rnatish;

apparat o'rtasidagi aloqa liniyalari;

ma'lumotni tashuvchi elektromagnit nurlanishning garovi;

elektr ta'minoti davrlarida yon pikaplar, uskunalarni topraklama, kompyuter tizimi yaqinida joylashgan yordamchi va tashqi aloqalar.

Axborot xavfsizligi ob'ektlariga tahdidlarning ta'sir qilish usullari axborot, matematik, fizik, radioelektron va tashkiliy-huquqiy usullarga bo'linadi.

Axborot usullariga quyidagilar kiradi:

axborot almashinuvining maqsadliligi va o‘z vaqtidaligini buzish, axborotni noqonuniy yig‘ish va undan foydalanish;

axborot resurslariga ruxsatsiz kirish;

axborotni manipulyatsiya qilish (dezinformatsiya, ma'lumotni yashirish yoki buzish);

axborot tizimlarida ma'lumotlarni noqonuniy nusxalash;

axborotni qayta ishlash texnologiyasini buzish.

Matematik usullarga quyidagilar kiradi:

kompyuter viruslarini joriy etish;

dasturiy va apparatli o'rnatilgan qurilmalarni o'rnatish;

avtomatlashtirilgan axborot tizimlarida ma'lumotlarni yo'q qilish yoki o'zgartirish.

Jismoniy usullarga quyidagilar kiradi:

axborotni qayta ishlash va aloqa vositalarini yo'q qilish yoki yo'q qilish;

mashina yoki boshqa asl saqlash vositalarini yo'q qilish, yo'q qilish yoki o'g'irlash;

dasturiy yoki apparat kalitlari hamda axborotni kriptografik himoya qilish vositalarini o‘g‘irlash;

xodimlarga ta'sir qilish;

avtomatlashtirilgan axborot tizimlarining "infektsiyalangan" komponentlarini yetkazib berish.

Elektron usullar:

texnik kanallarda axborotni ushlash, uning chiqib ketishi mumkinligi;

texnik vositalar va binolarda axborotni ushlash uchun elektron qurilmalarni joriy etish;

ma'lumotlar uzatish tarmoqlari va aloqa liniyalarida noto'g'ri ma'lumotlarni ushlab turish, parolini ochish va kiritish;

parol-kalit tizimlariga ta'siri;

aloqa liniyalari va boshqaruv tizimlarining elektron tiqilib qolishi.

Tashkiliy-huquqiy usullarga quyidagilar kiradi:

qonun talablariga rioya qilmaslik va axborot sohasida zarur normativ-huquqiy hujjatlarni qabul qilishda kechikishlar;

fuqarolar va tashkilotlar uchun muhim bo'lgan ma'lumotlarni o'z ichiga olgan hujjatlardan foydalanishni qonunga xilof ravishda cheklash.

Dasturiy ta'minot xavfsizligiga tahdidlar. Avtomatlashtirilgan axborot tizimlarining xavfsizligini ta'minlash ularda qo'llaniladigan dasturiy ta'minot va xususan, quyidagi turdagi dasturlarning xavfsizligiga bog'liq:

muntazam foydalanuvchi dasturlari;

tizim xavfsizligini buzish uchun mo'ljallangan maxsus dasturlar;

xilma-xil tizim yordamchi dasturlari va tijorat amaliy dasturlar, ular yuqori professional rivojlanish darajasi bilan ajralib turadi va shunga qaramay, bosqinchilarning tizimlarga hujum qilishiga imkon beruvchi individual kamchiliklarni o'z ichiga olishi mumkin.

Dasturlar ikki turdagi muammolarni keltirib chiqarishi mumkin: birinchidan, ular ushbu ma'lumotlarga kirish huquqiga ega bo'lmagan foydalanuvchining harakatlari natijasida ma'lumotlarni ushlab turishi va o'zgartirishi mumkin, ikkinchidan, kompyuter tizimlarini himoya qilishda kamchiliklardan foydalangan holda, ular yoki foydalanuvchilarga tizimga kirish huquqiga ega bo'lmagan holda ta'minlash yoki qonuniy foydalanuvchilar tizimiga kirishni bloklash.

Dasturchining tayyorgarlik darajasi qanchalik yuqori bo'lsa, u tomonidan yo'l qo'yilgan xatolar shunchalik aniq (hatto u uchun) bo'ladi va u tizim xavfsizligini buzish uchun mo'ljallangan qasddan mexanizmlarni qanchalik puxta va ishonchli yashira oladi.

Hujumning maqsadi quyidagi sabablarga ko'ra dasturlarning o'zi bo'lishi mumkin:

Zamonaviy dunyoda dasturiy ta'minot foydali tovar bo'lishi mumkin, ayniqsa dasturiy ta'minotni tijorat maqsadlarida birinchi bo'lib ko'paytirgan va mualliflik huquqini himoya qilgan kishi uchun.

Dasturlar, shuningdek, ushbu dasturlarni qandaydir tarzda o'zgartirishga qaratilgan hujum ob'ektiga aylanishi mumkin, bu kelajakda tizimning boshqa ob'ektlariga hujum qilish imkonini beradi. Ushbu turdagi hujum, ayniqsa, tizimni himoya qilish funktsiyalarini amalga oshiradigan dasturlarga qaratilgan.

Keling, dasturlar va ma'lumotlarga hujum qilish uchun eng ko'p qo'llaniladigan bir nechta dastur va usullarni ko'rib chiqaylik. Ushbu texnikalar bitta atama bilan belgilanadi - "dastur tuzoqlari". Bularga dasturiy ta'minot lyuklari, troyan otlari, mantiqiy bombalar, salam hujumlari, yashirin kanallar, xizmat ko'rsatishni rad etish va kompyuter viruslari kiradi.

Dasturlardagi lyuklar. Dasturga kirish uchun lyuklardan foydalanish avtomatlashtirilgan axborot tizimlari xavfsizligini buzishning oddiy va tez-tez ishlatiladigan usullaridan biridir.

Luqo dasturiy mahsulot uchun hujjatlarda tavsiflanmagan ushbu dasturiy mahsulot bilan ishlash qobiliyatidir. Lyuklardan foydalanishning mohiyati shundaki, foydalanuvchi hujjatlarda tavsiflanmagan ba'zi harakatlarni amalga oshirganda, u odatda o'zi uchun yopiq bo'lgan imkoniyatlar va ma'lumotlarga kirish huquqiga ega bo'ladi (xususan, imtiyozli rejimga kirish).

Hatchways ko'pincha ishlab chiqaruvchilarning unutuvchanligi natijasidir. Nosozliklarni tuzatish jarayonini osonlashtirish uchun yaratilgan va uni tugatgandan keyin olib tashlanmaydigan mahsulot qismlariga to'g'ridan-to'g'ri kirish uchun vaqtinchalik mexanizm lyuk sifatida ishlatilishi mumkin. Lyuklar, shuningdek, "yuqoridan pastga" dasturiy ta'minotni ishlab chiqishning tez-tez qo'llaniladigan texnologiyasi natijasida ham shakllanishi mumkin: ularning roli negadir tayyor mahsulot "stublari" da qoladi - taqlid qiluvchi yoki oddiygina ulanish joyini belgilaydigan buyruqlar guruhlari. kelajakdagi subprogrammalar.

Va nihoyat, lyuklarning yana bir keng tarqalgan manbai "aniqlanmagan kirish" deb ataladigan narsa - tizim so'rovlariga javoban "ma'nosiz" ma'lumotlarning kiritilishi. Etarli darajada yaxshi yozilmagan dasturning aniqlanmagan kiritishga reaktsiyasi, eng yaxshi holatda, oldindan aytib bo'lmaydigan bo'lishi mumkin (dastur har safar bir xil noto'g'ri buyruqni kiritganingizda boshqacha munosabatda bo'lganda); Agar dastur bir xil "aniqlanmagan" kiritish natijasida ba'zi takrorlanuvchi harakatlarni amalga oshirsa, bundan ham yomoni - bu potentsial bosqinchiga xavfsizlikni buzish uchun o'z harakatlarini rejalashtirish imkonini beradi.

Aniqlanmagan kiritish - bu uzilishning shaxsiy amalga oshirilishi. Ya'ni, umumiy holatda, bosqinchi ataylab tizimda kerakli harakatlarni amalga oshirishga imkon beradigan nostandart vaziyatni yaratishi mumkin. Misol uchun, imtiyozli rejimda qolgan holda boshqaruvni o'z qo'liga olish uchun u sun'iy ravishda imtiyozli rejimda ishlaydigan dasturning ishdan chiqishiga olib kelishi mumkin.

To'xtash ehtimoliga qarshi kurash oxir-oqibatda "noto'g'ri" deb ataladigan dasturlarni ishlab chiqishda mexanizmlar to'plamini ta'minlash zarurati bilan yakunlanadi. Ushbu himoyaning ma'nosi aniqlanmagan ma'lumotlarni va har qanday nostandart vaziyatlarni (xususan, xatolar) qayta ishlashning har qanday ehtimolini kafolatli ravishda yo'q qilish va shu bilan noto'g'ri ishlagan taqdirda ham kompyuter tizimining xavfsizligini buzilishining oldini olishdir. dastur.

Shunday qilib, lyuk (yoki lyuklar) dasturda mavjud bo'lishi mumkin, chunki dasturchi:

uni olib tashlashni unutgan;

sinash maqsadida yoki nosozliklarni tuzatishning qolgan qismi uchun uni ataylab dasturda qoldirgan;

yakuniy dasturiy mahsulotning yakuniy yig‘ilishiga ko‘maklashish manfaatlarini ko‘zlab, uni ataylab dasturda qoldirgan;

yakuniy mahsulotga kiritilgandan so'ng dasturga kirishning yashirin vositalariga ega bo'lish uchun uni ataylab dasturda qoldirgan.

Luqo - tizimga hujum qilish uchun birinchi qadam, xavfsizlik mexanizmlarini chetlab o'tib, kompyuter tizimiga kirish qobiliyati.

Troyan otlari.

Hujjatlarda tavsiflangan funktsiyalardan tashqari, hujjatlarda tavsiflanmagan boshqa funktsiyalarni amalga oshiradigan dasturlar mavjud. Bunday dasturlar troyan otlari deb ataladi.

Uning harakatlarining natijalari (masalan, fayllarni o'chirish yoki ularning himoyasini o'zgartirish) qanchalik aniq bo'lsa, troyan otini aniqlash ehtimoli shunchalik yuqori bo'ladi. Murakkab troyan otlari o'z faoliyatining izlarini yashirishi mumkin (masalan, fayl himoyasini asl holatiga qaytarish).

"Mantiqiy bombalar".

"Mantiqiy bomba" odatda ma'lum bir shart bajarilganda funktsiyani amalga oshiradigan dastur yoki hatto kod qismi deb ataladi. Bu holat, masalan, ma'lum bir sananing paydo bo'lishi yoki ma'lum bir nomga ega faylning topilishi bo'lishi mumkin.

Portlash orqali mantiqiy bomba kutilmagan va qoida tariqasida foydalanuvchi uchun nomaqbul funktsiyani amalga oshiradi (masalan, ba'zi ma'lumotlarni o'chiradi yoki ba'zi tizim tuzilmalarini yo'q qiladi). "Mantiqiy bomba" dasturchilarni qandaydir tarzda ishdan bo'shatgan yoki xafa qilgan kompaniyalardan qasos olishning sevimli usullaridan biridir.

Salami hujumi.

Salami hujumi bank kompyuter tizimlarining balosiga aylandi. Bank tizimlarida har kuni naqd pulsiz hisob-kitoblar, summalarni o'tkazish, chegirmalar va boshqalar bilan bog'liq minglab operatsiyalar amalga oshiriladi.

Hisob-fakturalarni qayta ishlashda butun birliklar (rubl, sent) ishlatiladi va foizlarni hisoblashda ko'pincha kasr miqdorlari olinadi. Odatda, yarim rubl (tsent) dan oshadigan qiymatlar eng yaqin rubl (tsent) ga yaxlitlanadi va yarim rubldan (tsent) kamroq qiymatlar shunchaki o'chiriladi. "Salom" ga hujum qilganda, bu ahamiyatsiz qiymatlar o'chirilmaydi, lekin asta-sekin maxsus hisobda to'planadi.

Amaliyot shuni ko'rsatadiki, o'rtacha bank hajmi bo'yicha bir necha yil davomida "ayyor" dasturni amalga oshirish uchun tom ma'noda yo'qdan tashkil topgan miqdor minglab dollarlarni tashkil qilishi mumkin. Salomi hujumlarini aniqlash qiyin, agar hujumchi bitta hisobda katta miqdorda pul to'plashni boshlamasa.

Yashirin kanallar.

Yashirin kanallar - bu ma'lumotni oddiy sharoitlarda olmasligi kerak bo'lgan shaxslarga uzatadigan dasturlar.

Muhim ma'lumotlar qayta ishlanayotgan tizimlarda dasturchi ushbu dasturning ishlashi boshlanganidan keyin dastur tomonidan qayta ishlanadigan ma'lumotlarga kirish huquqiga ega bo'lmasligi kerak.

Raqobatchi firmaga ushbu ma'lumotni (masalan, mijozlar ro'yxatini) sotish orqali hech bo'lmaganda elementar mulkiy ma'lumotlarga ega bo'lish faktidan katta foyda olish mumkin. Etarli malakali dasturchi har doim ma'lumotni yashirin tarzda uzatish yo'lini topa oladi; biroq, eng zararsiz hisobotlarni yaratish uchun mo'ljallangan dastur vazifa talab qilganidan biroz murakkabroq bo'lishi mumkin.

Axborotni yashirin uzatish uchun siz "zararsiz" hisobot formatining turli elementlaridan muvaffaqiyatli foydalanishingiz mumkin, masalan, turli xil uzunliklar, qatorlar orasidagi bo'shliqlar, xizmat sarlavhalarining mavjudligi yoki yo'qligi, chiqish qiymatlarida ahamiyatsiz raqamlarning boshqariladigan chiqishi, raqam hisobotning ma'lum joylarida bo'shliqlar yoki boshqa belgilar va boshqalar. .d.

Agar buzg'unchi qiziqtirgan dastur ishlayotgan vaqtda kompyuterga kirish imkoniyatiga ega bo'lsa, kompyuterning operativ xotirasida maxsus yaratilgan ma'lumotlar massiviga muhim ma'lumotlarni uzatish yashirin kanalga aylanishi mumkin.

Yashirin kanallar tajovuzkorni hatto ma'lumotlarning mazmuni bilan ham qiziqtirmaydigan, lekin, masalan, uning mavjudligi fakti (masalan, ma'lum bir raqamga ega bo'lgan bank hisobining mavjudligi) vaziyatlarda qo'llaniladi.

Xizmatni rad etish.

Aksariyat xavfsizlik buzilishlari tizim odatda ruxsat bermaydigan ma'lumotlarga kirishga qaratilgan. Biroq, bosqinchilar uchun kompyuter tizimining o'zini boshqarishga kirish yoki uning sifat xususiyatlarini o'zgartirish, masalan, ba'zi bir resursni (protsessor, kirish-chiqarish qurilmasi) eksklyuziv foydalanishga olish yoki bir nechta jarayonlar uchun siqilish holatini keltirib chiqarish qiziq emas.

Bu kompyuter tizimidan o'z maqsadlari uchun (hech bo'lmaganda o'z muammolarini bepul hal qilish uchun) aniq foydalanish yoki tizimni boshqa foydalanuvchilar uchun mavjud bo'lmagan holda blokirovka qilish uchun talab qilinishi mumkin. Tizim xavfsizligini buzishning bunday turi "xizmat ko'rsatishni rad etish" yoki "foydani rad etish" deb ataladi. Xizmat ko'rsatishni rad etish real vaqt rejimida ishlaydigan tizimlar uchun juda xavflidir - ba'zi texnologik jarayonlarni boshqaradigan, turli xil sinxronizatsiyani amalga oshiradigan va hokazo.

Kompyuter viruslari.

Kompyuter viruslari barcha turdagi xavfsizlik buzilishining kvintessensiyasidir. Viruslarni tarqatishning eng keng tarqalgan va sevimli usullaridan biri bu troyan oti usulidir. Viruslar "mantiqiy bomba" dan faqat ko'payish va ishga tushishini ta'minlash qobiliyati bilan farq qiladi, shuning uchun ko'plab viruslarni "mantiqiy bomba" ning maxsus shakli deb hisoblash mumkin.

Tizimga hujum qilish uchun viruslar har xil turdagi "lyuklar" dan faol foydalanmoqda. Viruslar turli xil iflos nayranglarni, jumladan "salom" hujumini amalga oshirishi mumkin. Bundan tashqari, bir turdagi hujumning muvaffaqiyati ko'pincha tizimning "immuniteti" ning pasayishiga yordam beradi, boshqa turdagi hujumlarning muvaffaqiyati uchun qulay sharoit yaratadi. Bosqinchilar buni bilishadi va bu vaziyatdan faol foydalanishadi.

Albatta, yuqorida tavsiflangan usullar sof shaklda juda kam uchraydi. Ko'pincha hujumda turli xil texnikaning alohida elementlari qo'llaniladi.

Kompyuter tarmoqlarida axborotga tahdidlar. Kompyuter tarmoqlari alohida ishlaydigan kompyuterlar to'plamiga nisbatan juda ko'p afzalliklarga ega, ular orasida quyidagilarni ta'kidlash mumkin: tizim resurslarining bo'linishi, tizimning ishonchliligini oshirish, tarmoq tugunlari o'rtasida yuk taqsimoti va yangi tugunlarni qo'shish orqali kengaytirilishi.

Shu bilan birga, kompyuter tarmoqlaridan foydalanishda axborot xavfsizligini ta'minlashning jiddiy muammolari paydo bo'ladi. Ulardan quyidagilarni ta'kidlash mumkin.

Umumiy resurs almashish.

Turli xil tarmoq foydalanuvchilari tomonidan, ehtimol, bir-biridan juda uzoq masofada joylashgan katta miqdordagi resurslarni almashish, ruxsatsiz kirish xavfini sezilarli darajada oshiradi, chunki bu tarmoqda osonroq va ko'rinmas tarzda amalga oshirilishi mumkin.

Nazorat zonasini kengaytirish.

Muayyan tizim yoki kichik tarmoqning ma'muri yoki operatori uning qo'lidan tashqarida bo'lgan foydalanuvchilarning faoliyatini kuzatishi kerak.

Turli xil dasturiy ta'minot va apparat vositalarining kombinatsiyasi.

Bir nechta tizimlarning tarmoqqa ulanishi butun tizimning zaifligini oshiradi, chunki har bir axborot tizimi boshqa tizimlar talablari bilan mos kelmasligi mumkin bo'lgan o'ziga xos xavfsizlik talablarini bajarish uchun tuzilgan.

Noma'lum parametr.

Tarmoqlarning oson kengaytirilishi ba'zan tarmoq chegaralarini aniqlashni qiyinlashtiradi, chunki bir xil tugun turli tarmoqlar foydalanuvchilari uchun ochiq bo'lishi mumkin. Bundan tashqari, ularning ko'pchiligi uchun ma'lum bir tarmoq tuguniga qancha foydalanuvchi kirishi va ular kimligini aniq aniqlash har doim ham mumkin emas.

Ko'p hujum nuqtalari.

Tarmoqlarda bir xil ma'lumotlar to'plami yoki xabar bir nechta oraliq tugunlar orqali uzatilishi mumkin, ularning har biri potentsial tahdid manbai hisoblanadi. Bundan tashqari, ko'plab zamonaviy tarmoqlarga dial-up liniyalari va modem yordamida kirish mumkin, bu esa mumkin bo'lgan hujum nuqtalari sonini sezilarli darajada oshiradi.

Tizimga kirishni boshqarish va nazorat qilishning murakkabligi.

Tarmoqqa ko'plab hujumlar ma'lum bir xostga jismoniy kirish huquqiga ega bo'lmasdan amalga oshirilishi mumkin - uzoq joylardan tarmoq yordamida.

Bunday holda, tajovuzkorni aniqlash juda qiyin bo'lishi mumkin. Bundan tashqari, hujum vaqti adekvat choralar ko'rish uchun juda qisqa bo'lishi mumkin.

Bir tomondan, tarmoq - bu axborotni qayta ishlashning yagona qoidalariga ega bo'lgan yagona tizim bo'lsa, ikkinchidan, har biri axborotni qayta ishlashning o'ziga xos qoidalariga ega bo'lgan alohida tizimlar to'plami. Shu sababli, tarmoq tabiatining ikki tomonlamaligini hisobga olgan holda, tarmoqqa hujum ikki darajadan amalga oshirilishi mumkin: yuqori va pastki (ularning kombinatsiyasi ham mumkin).

Tarmoqqa yuqori darajadagi hujumda tajovuzkor boshqa xostga kirish va ruxsat etilmagan ma'lum harakatlarni amalga oshirish uchun tarmoq xususiyatlaridan foydalanadi. Tarmoqqa past darajadagi hujumda tajovuzkor alohida xabarlarning yoki umuman oqimning maxfiyligi yoki yaxlitligini buzish uchun tarmoq protokollarining xususiyatlaridan foydalanadi.

Xabarlar oqimining buzilishi axborotning sizib chiqishiga va hatto tarmoq ustidan nazoratni yo'qotishiga olib kelishi mumkin.

Tarmoqlarga xos passiv va faol past darajadagi tahdidlarni farqlang.

Passiv tahdidlar

(tarmoqda aylanayotgan ma'lumotlarning maxfiyligini buzish) - aloqa liniyalari orqali uzatiladigan ma'lumotlarni ko'rish va / yoki yozib olish. Bularga quyidagilar kiradi:

xabarni ko'rish;

jadvalni tahlil qilish - tajovuzkor tarmoqda aylanayotgan paketlarning sarlavhalarini ko'rishi va ulardagi xizmat ma'lumotlariga asoslanib, paketni jo'natuvchilar va qabul qiluvchilar va uzatish shartlari (yuborish vaqti, xabar sinfi, xavfsizlik toifasi, xabar uzunligi, trafik hajmi va boshqalar).

Faol tahdidlar

(resurslar va tarmoq komponentlarining yaxlitligi yoki mavjudligini buzish) - alohida xabarlarni yoki xabarlar oqimini o'zgartirish uchun tarmoqqa kirish huquqiga ega bo'lgan qurilmalardan ruxsatsiz foydalanish. Bularga quyidagilar kiradi:

xabar almashish xizmatlarining ishlamay qolishi - buzg'unchi alohida xabarlarni yoki butun xabar oqimini yo'q qilishi yoki kechiktirishi mumkin;

"Maskarad" - tajovuzkor o'z tuguniga yoki relayiga boshqa birovning identifikatorini belgilashi va boshqa birovning nomidan xabarlarni qabul qilishi yoki yuborishi mumkin;

tarmoq viruslarini joriy etish - virus tanasini tarmoq orqali uzatish, keyinchalik uni masofaviy yoki mahalliy xost foydalanuvchisi tomonidan faollashtirish;

Xabarlar oqimini o'zgartirish - tajovuzkor xabarlarni tanlab yo'q qilishi, o'zgartirishi, kechiktirishi, tartibini o'zgartirishi va takrorlashi, shuningdek, soxta xabarlarni kiritishi mumkin.

Tijorat ma'lumotlariga tahdidlar.

Axborotlashtirish nuqtai nazaridan, maxfiy ma'lumotlarga ruxsatsiz kirishning nusxa ko'chirish, qalbakilashtirish, yo'q qilish kabi usullari ham ayniqsa xavflidir.

Nusxalash.

Maxfiy ma'lumotlarga ruxsatsiz kirishda quyidagilar ko'chiriladi: tajovuzkorni qiziqtirgan ma'lumotlarni o'z ichiga olgan hujjatlar; texnik vositalar; avtomatlashtirilgan axborot tizimlarida qayta ishlangan axborot. Nusxa olishning quyidagi usullari qo'llaniladi: nusxa ko'chirish, nusxa ko'chirish, termik nusxalash, nusxa ko'chirish va elektron nusxalash.

Soxta.

Raqobat muhitida qalbakilashtirish, o'zgartirish va taqlid qilish keng miqyosda. Hujumchilar ma'lum ma'lumotlar, xatlar, hisob-fakturalar, buxgalteriya va moliyaviy hujjatlarni olish imkonini beruvchi ishonchli hujjatlarni qalbakilashtiradi; qalbaki kalitlar, ruxsatnomalar, parollar, shifrlar va boshqalar. Avtomatlashtirilgan axborot tizimlarida qalbakilashtirish, xususan, qalbakilashtirish (qabul qiluvchi abonent olingan xabarni qalbakilashtirish, uni o‘z manfaatlari yo‘lida haqiqiy deb o‘tkazib yuborish), niqoblash (o‘z manfaati yo‘lida soxtalashtirish) kabi zararli harakatlarni o‘z ichiga oladi. abonent - jo'natuvchi himoyalangan ma'lumotni olish uchun boshqa abonent sifatida niqoblanadi).

Vayronagarchilik.

Avtomatlashtirilgan ma'lumotlar bazalari va bilimlar bazalaridagi ma'lumotlarni yo'q qilish alohida xavf tug'diradi. Magnit muhitlar haqidagi ma'lumotlar ixcham magnitlar va dasturiy ta'minot ("mantiqiy bombalar") yordamida yo'q qilinadi. Avtomatlashtirilgan axborot tizimlariga qarshi jinoyatlar orasida sabotaj, portlashlar, vayron qilish, ulash kabellari, konditsioner tizimlarini ishdan chiqarish muhim o'rinni egallaydi.

Axborotni himoya qilishni ta'minlash usullari quyidagilardan iborat: to'siq, kirishni nazorat qilish, niqoblash, tartibga solish, majburlash va majburlash.

To'siq - tajovuzkorning himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismoniy blokirovka qilish usuli.

Kirish nazorati- tashkilot (firma) avtomatlashtirilgan axborot tizimining barcha resurslaridan foydalanishni tartibga solish orqali axborotni himoya qilish usuli. Kirish nazorati quyidagi xavfsizlik xususiyatlarini o'z ichiga oladi:

axborot tizimining foydalanuvchilari, xodimlari va resurslarini identifikatsiya qilish (har bir ob'ektga shaxsiy identifikatorni belgilash);

u taqdim etgan identifikator bo'yicha ob'ekt yoki sub'ektning autentifikatsiyasi (autentifikatsiyasi);

avtorizatsiya tekshiruvi (hafta kuni, kun vaqti, so'ralgan resurslar va tartiblarning belgilangan qoidalarga muvofiqligini tekshirish);

ruxsat berish va belgilangan me'yoriy hujjatlar doirasida mehnat sharoitlarini yaratish;

himoyalangan resurslarga qo'ng'iroqlarni ro'yxatga olish (ro'yxatga olish);

ruxsatsiz harakatlarga urinishda javob (signal, o'chirish, ishda kechikish, so'rovni rad etish).

Niqob - avtomatlashtirilgan axborot tizimidagi axborotni kriptografik tarzda yopish orqali himoya qilish usuli.

Reglament- axborotni avtomatlashtirilgan qayta ishlash, saqlash va uzatish uchun shunday shart-sharoitlarni yaratuvchi axborotni himoya qilish usuli, bunda unga ruxsatsiz kirish ehtimoli minimallashtiriladi.

Majburlash - foydalanuvchilar va tizim xodimlari himoyalangan ma'lumotlarni qayta ishlash, uzatish va ulardan foydalanish qoidalariga moddiy, ma'muriy yoki jinoiy javobgarlik tahdidi ostida rioya qilishga majbur bo'lgan axborotni himoya qilishning bunday usuli.

Motivatsiya - foydalanuvchilar va tizim xodimlarini amaldagi axloqiy va axloqiy me'yorlarga rioya qilish orqali belgilangan qoidalarni buzmaslikka undaydigan axborotni himoya qilish usuli.

Tashkilotning (firmaning) axborot xavfsizligini ta'minlashning yuqoridagi usullari amalda turli xil himoya mexanizmlarini qo'llash orqali amalga oshiriladi, ularni yaratish uchun quyidagi asosiy vositalar qo'llaniladi: jismoniy, apparat, dasturiy ta'minot, apparat va dasturiy ta'minot, kriptografik, tashkiliy, qonunchilik va axloqiy va axloqiy.

Jismoniy himoya ob'ektlar hududini tashqi muhofaza qilish, korxonaning avtomatlashtirilgan axborot tizimining tarkibiy qismlarini himoya qilish uchun mo'ljallangan va avtonom qurilmalar va tizimlar shaklida amalga oshiriladi.

Odamlarning asosiy ishtirokidagi an'anaviy mexanik tizimlar bilan bir qatorda hududlarni muhofaza qilish, binolarni qo'riqlash, kirishni nazorat qilishni tashkil etish, kuzatuvni tashkil etish uchun mo'ljallangan universal avtomatlashtirilgan elektron jismoniy himoya tizimlari ishlab chiqilmoqda va joriy etilmoqda; yong'in signalizatsiya tizimlari; ommaviy axborot vositalarini o'g'irlashning oldini olish tizimlari.

Bunday tizimlarning element bazasi turli xil sensorlardan iborat bo'lib, ularning signallari mikroprotsessorlar, elektron smart-kalitlar, insonning biometrik xususiyatlarini aniqlash qurilmalari va boshqalar tomonidan qayta ishlanadi.

Korxonaning avtomatlashtirilgan axborot tizimining bir qismi bo'lgan asbob-uskunalarni va ko'chma tashuvchilarni (floppi disklar, magnit lentalar, bosma nashrlar) himoya qilishni tashkil qilish uchun quyidagilar qo'llaniladi:

kirish eshiklari, panjurlar, seyflar, shkaflar, qurilmalar va tizim bloklariga o'rnatiladigan turli xil qulflar (mexanik, kodli, mikroprotsessor tomonidan boshqariladigan, radio orqali boshqariladigan);

eshiklar va derazalarning ochilishi yoki yopilishini o'rnatadigan mikrokalitlar;

inertial sensorlar, ularni ulash uchun siz yoritish tarmog'idan, telefon simlaridan va televizor antennalarining simlaridan foydalanishingiz mumkin;

xonadan olib tashlashning oldini olish uchun barcha hujjatlar, qurilmalar, birliklar va tizim bloklariga yopishtiriladigan maxsus folga stikerlari. Stikerli ob'ektni xonadan tashqariga ko'chirishga urinishda, chiqish joyi yaqinida joylashgan maxsus o'rnatish (metall ob'ekt detektorining analogi) signal beradi;

avtomatlashtirilgan axborot tizimining alohida elementlarini (fayl serveri, printer va boshqalar) va harakatlanuvchi vositalarni o'rnatish uchun maxsus seyflar va metall shkaflar.

Elektromagnit kanallar orqali ma'lumotlarning tarqalishini zararsizlantirish uchun himoya qiluvchi va yutuvchi materiallar va mahsulotlar qo'llaniladi. Bunda:

avtomatlashtirilgan axborot tizimining tarkibiy qismlari o'rnatiladigan ish xonalarini ekranlash devor, pol va shipni metalllashtirilgan devor qog'ozi, o'tkazuvchan emal va gips, sim to'r yoki plyonka bilan qoplash, o'tkazuvchan g'isht, ko'p qatlamli po'lat, alyuminiydan yasalgan to'siqlarni o'rnatish orqali amalga oshiriladi. yoki maxsus plastmassa plitalar;

derazalarni himoya qilish uchun metalllashtirilgan pardalar va o'tkazuvchan qatlamli shisha ishlatiladi;

barcha teshiklar topraklama avtobusi yoki devor qalqoni bilan bog'langan metall to'r bilan qoplangan;

radioto'lqinlarning tarqalishini oldini olish uchun ventilyatsiya kanallariga chegara magnit tuzoqlari o'rnatiladi.

Avtomatlashtirilgan axborot tizimining tugunlari va bloklarining elektr zanjirlarida pikaplardan himoya qilish uchun quyidagilardan foydalaning:

stendda, birlikda, birlik ichida va tashqi o'rnatish uchun ekranlangan kabel;

ekranlangan elastik konnektorlar (ulagichlar), kuchlanishni bostirish filtrlari;

simlar, quloqlar, choklar, kondansatörler va boshqa tiqilib qolgan radio va elektr mahsulotlari;

ajratuvchi dielektrik qo'shimchalar elektromagnit zanjirni buzadigan suv, isitish, gaz va boshqa metall quvurlarga joylashtiriladi.

Elektr ta'minotini boshqarish uchun elektron trekerlar qo'llaniladi - o'zgaruvchan kuchlanish tarmog'ining kirish nuqtalariga o'rnatiladigan qurilmalar. Elektr shnuri uzilgan, kesilgan yoki yonib ketgan bo'lsa, kodlangan xabar signalni ishga tushiradi yoki faollashadi. televizor kamerasi voqealarni keyingi yozib olish uchun.

O'rnatilgan "xatolarni" aniqlash uchun rentgen tekshiruvi eng samarali hisoblanadi. Biroq, bu usulni amalga oshirish katta tashkiliy va texnik qiyinchiliklar bilan bog'liq.

Displey ekranlaridan uning nurlanishini olib, kompyuterdan axborotni o'g'irlashdan himoya qilish uchun maxsus shovqin generatorlaridan foydalanish inson tanasiga salbiy ta'sir ko'rsatadi, bu esa tez kallik, ishtahani yo'qotish, bosh og'rig'i va ko'ngil aynishiga olib keladi. Shuning uchun ular amalda kamdan-kam qo'llaniladi.

Uskuna himoyasi - bu avtomatlashtirilgan axborot tizimining bloklariga bevosita o'rnatilgan yoki mustaqil qurilmalar sifatida ishlab chiqilgan va ushbu bloklar bilan interfeysga ega bo'lgan turli xil elektron, elektromexanik va boshqa qurilmalar.

Ular kompyuter qurilmalari va tizimlarining strukturaviy elementlarini ichki himoya qilish uchun mo'ljallangan: terminallar, protsessorlar, periferik uskunalar, aloqa liniyalari va boshqalar.

Uskunani himoya qilishning asosiy funktsiyalari:

ruxsatsiz ichki kirishni taqiqlash alohida fayllar yoki xizmat ko'rsatuvchi xodimlarning tasodifiy yoki qasddan harakatlari natijasida yuzaga kelishi mumkin bo'lgan axborot tizimining ma'lumotlar bazalari;

avtomatlashtirilgan axborot tizimiga texnik xizmat ko'rsatmaslik yoki o'chirish bilan bog'liq faol va passiv (arxiv) fayllar va ma'lumotlar bazalarini himoya qilish;

dasturiy ta'minotning yaxlitligini himoya qilish.

Ushbu vazifalar kirishni boshqarish usuli (tizim sub'ektlarining vakolatlarini identifikatsiya qilish, autentifikatsiya qilish va tekshirish, ro'yxatga olish va javob berish) yordamida axborot xavfsizligini ta'minlashning apparat vositalari bilan amalga oshiriladi.

Tashkilotning (firmaning) ayniqsa qimmatli ma'lumotlari bilan ishlash uchun kompyuter ishlab chiqaruvchilari ma'lumotni o'qishga imkon bermaydigan noyob jismoniy xususiyatlarga ega individual disklarni ishlab chiqarishi mumkin. Bunday holda, kompyuterning narxi bir necha marta oshishi mumkin.

Dasturiy ta'minotni himoya qilish mantiqiy va intellektual himoya funktsiyalarini bajarish uchun mo'ljallangan va avtomatlashtirilgan axborot tizimining dasturiy ta'minotiga yoki boshqaruv uskunalari vositalari, komplekslari va tizimlariga kiritilgan.

Axborot xavfsizligini ta'minlash uchun dasturiy ta'minot himoya qilishning eng keng tarqalgan turi bo'lib, quyidagi ijobiy xususiyatlarga ega: ko'p qirralilik, moslashuvchanlik, amalga oshirish qulayligi, o'zgartirish va rivojlanish qobiliyati. Bu holat ularni bir vaqtning o'zida korxona axborot tizimini himoya qilishning eng zaif elementlariga aylantiradi.

Hozirgi vaqtda juda ko'p sonli operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari, tarmoq paketlari va amaliy dasturlar paketlari, jumladan, turli xil axborot xavfsizligi vositalari yaratilgan.

Dasturiy ta'minotni himoya qilish vositalari yordamida axborotni himoya qilishning quyidagi vazifalari hal qilinadi:

shaxsiy identifikatorlar (ism, kod, parol va boshqalar) yordamida tizimga yuklanish va tizimga kirishni nazorat qilish;

sub'ektlarning tizim resurslari va tarkibiy qismlariga, tashqi resurslarga kirishini chegaralash va nazorat qilish;

muayyan sub'ekt manfaatlarini ko'zlab amalga oshirilayotgan jarayon dasturlarini boshqa sub'ektlardan ajratish (har bir foydalanuvchining individual muhitda ishlashini ta'minlash);

ma'lumotlar tashuvchilarda maxfiylikning noto'g'ri darajasi (shtampi) qayd etilishiga yo'l qo'ymaslik uchun maxfiy ma'lumotlar oqimini nazorat qilish;

axborotni kompyuter viruslaridan himoya qilish;

so'rovlar bajarilgandan so'ng qulfdan chiqarilgan kompyuterning operativ xotirasi maydonlarida qolgan maxfiy ma'lumotlarni o'chirish;

magnit disklardagi qoldiq maxfiy ma'lumotlarni o'chirish, o'chirish natijalari bo'yicha protokollar berish;

ma'lumotlarning ortiqchaligini joriy etish orqali axborotning yaxlitligini ta'minlash;

tizim jurnalidagi yozuvlar ma'lumotlarini jurnalga kiritish va hisobotlarni tayyorlash natijalari bo'yicha tizim foydalanuvchilarining ishini avtomatik nazorat qilish.

Hozirgi vaqtda bir qator operatsion tizimlar o'rnatilgan "qayta foydalanish" blokirovkasini o'z ichiga oladi. Boshqa turdagi operatsion tizimlar uchun shunga o'xshash funktsiyalarni amalga oshiradigan maxsus xavfsizlik paketlari haqida gapirmasa ham, ko'plab tijorat dasturlari mavjud.

Ortiqcha ma'lumotlardan foydalanish ma'lumotlardagi tasodifiy xatolarning oldini olishga va ruxsat etilmagan o'zgartirishlarni aniqlashga qaratilgan. Bu nazorat summalaridan foydalanish, juft-toq uchun ma'lumotlarni boshqarish, xatolarni tuzatish kodlash va boshqalar bo'lishi mumkin.

Ko'pincha muhim tizim ob'ektlarining imzolarini tizimning himoyalangan joyida saqlash amaliyoti mavjud. Masalan, fayl uchun faylning xavfsizlik bayti bilan uning nomi, uzunligi va oxirgi o'zgartirish sanasi birikmasi imzo sifatida ishlatilishi mumkin. Har safar faylga kirishda yoki shubha tug'ilganda faylning joriy xarakteristikalari havola bilan solishtiriladi.

Kirishni boshqarish tizimining tekshiriladigan xususiyati hodisalar yoki protseduralarni qayta qurish mumkinligini anglatadi. Tekshiruvlar aslida nima bo'lganini aniqlashi kerak. Bu amalga oshiriladigan protseduralarni hujjatlashtirish, jurnallarni yuritish, identifikatsiya va tekshirishning aniq va aniq usullarini qo'llash bilan bog'liq.

Shuni ta'kidlash kerakki, resurslarning yaxlitligini ta'minlashda foydalanishni boshqarish muammosi faqat axborotni shifrlash orqali ishonchli hal qilinadi.

Ilmiy-texnika taraqqiyoti axborotni sotib olinadigan, sotiladigan va almashinadigan mahsulotga aylantirdi. Ko'pincha ma'lumotlarning narxi ma'lumotni saqlaydigan va qayta ishlaydigan butun texnik tizimning narxidan bir necha baravar yuqori.

Biznes ma'lumotlarining sifati kompaniya uchun zarur iqtisodiy samarani beradi, shuning uchun muhim ma'lumotlarni noqonuniy harakatlardan himoya qilish muhimdir. Bu kompaniyaga bozorda muvaffaqiyatli raqobatlashish imkonini beradi.

Axborot xavfsizligi ta'rifi

Axborot xavfsizligi (IS)- bu axborot tizimining holati bo'lib, u uchinchi shaxslarning aralashuvi va zarariga eng kam ta'sir qiladi. Ma'lumotlar xavfsizligi, shuningdek, axborotni oshkor qilish yoki apparat va dasturiy ta'minotni himoya qilish modullariga ta'sir qilish bilan bog'liq xavflarni boshqarishni ham nazarda tutadi.

Tashkilotda qayta ishlanadigan ma'lumotlarning xavfsizligi - bu kompaniya ichidagi axborot muhitini himoya qilish muammosini hal qilishga qaratilgan harakatlar majmui. Shu bilan birga, ma'lumotlar vakolatli shaxslar uchun foydalanishda va dinamik rivojlanishda cheklanmasligi kerak.

ISni himoya qilish tizimiga qo'yiladigan talablar

Axborot resurslarini himoya qilish quyidagilar bo'lishi kerak:

1. Doimiy. Buzg'unchi istalgan vaqtda uni qiziqtirgan ma'lumotlarni himoya qilish modullarini chetlab o'tishga harakat qilishi mumkin.

2. Maqsad. Axborot tashkilot yoki ma'lumotlar egasi tomonidan belgilangan aniq maqsad uchun himoyalangan bo'lishi kerak.

3. Rejalashtirilgan. Barcha himoya usullari maxfiy ma'lumotlarni himoya qilishni tartibga soluvchi davlat standartlari, qonunlar va qoidalarga muvofiq bo'lishi kerak.

4. Faol. Operatsiyani qo'llab-quvvatlash va himoya tizimini yaxshilash bo'yicha tadbirlar muntazam ravishda amalga oshirilishi kerak.

5. Integratsiyalashgan. Faqat individual himoya modullari yoki texnik vositalardan foydalanishga yo'l qo'yilmaydi. Himoyaning barcha turlarini to'liq qo'llash kerak, aks holda ishlab chiqilgan tizim ma'no va iqtisodiy asosdan mahrum bo'ladi.

6. Universal. Himoya uskunalari kompaniyaning mavjud oqish yo'llariga muvofiq tanlanishi kerak.

7. Ishonchli. Himoya qilishning barcha usullari, ma'lumotlarni taqdim etish shaklidan qat'i nazar, tajovuzkor tomonidan himoyalangan ma'lumotlarning mumkin bo'lgan yo'llarini ishonchli tarzda blokirovka qilishi kerak.

DLP tizimi ham sanab o'tilgan talablarga javob berishi kerak. Va uning imkoniyatlarini nazariy jihatdan emas, balki amalda baholash yaxshidir. Siz SearchInform KIB-ni 30 kun davomida bepul sinab ko'rishingiz mumkin.

Xavfsizlik tizimi modeli

Agar uchta asosiy xususiyat kuzatilsa, ma'lumotlar himoyalangan hisoblanadi.

Birinchi - yaxlitlik- kompaniyada qanday xavfsizlik tizimlari va himoya usullari qo'llanilishidan qat'i nazar, himoyalangan ma'lumotlarning ishonchliligi va to'g'ri ko'rsatilishini ta'minlashni o'z ichiga oladi. Ma'lumotlarni qayta ishlashni buzmaslik kerak va himoyalangan fayllar bilan ishlaydigan tizim foydalanuvchilari resurslarni ruxsatsiz o'zgartirish yoki yo'q qilish, dasturiy ta'minotning noto'g'ri ishlashiga duch kelmasliklari kerak.

Ikkinchi - maxfiylik - ma'lumotlarni ko'rish va tahrir qilish huquqi faqat xavfsizlik tizimining vakolatli foydalanuvchilariga taqdim etilishini anglatadi.

Uchinchi - mavjudligi - barcha vakolatli foydalanuvchilar maxfiy ma'lumotlarga kirish huquqiga ega bo'lishi kerakligini anglatadi.

Tizimdan foydalanishni ma'nosiz qilish uchun himoyalangan ma'lumotlarning xususiyatlaridan birini buzish kifoya.

Axborot xavfsizligi tizimini yaratish va saqlash bosqichlari

Amalda axborotni himoya qilish tizimini yaratish uch bosqichda amalga oshiriladi.

Birinchi bosqichda kompaniyada faoliyat yuritadigan tizimning asosiy modeli ishlab chiqilmoqda. Buning uchun kompaniyada aylanib yuradigan va uchinchi shaxslarning tajovuzlaridan himoyalanishi kerak bo'lgan barcha turdagi ma'lumotlarni tahlil qilish kerak. Dastlabki ish rejasi to'rtta savoldan iborat:

1. Qanday ma'lumot manbalari himoyalangan bo'lishi kerak?
2. Himoyalangan ma'lumotlarga kirishdan maqsad nima?

Maqsad ma'lumotlar bilan tanishish, o'zgartirish, o'zgartirish yoki yo'q qilish bo'lishi mumkin. Har bir harakat tajovuzkor tomonidan amalga oshirilsa, noqonuniy hisoblanadi. Tanishuv ma'lumotlar strukturasini yo'q qilishga olib kelmaydi, o'zgartirish va yo'q qilish esa ma'lumotlarning qisman yoki to'liq yo'qolishiga olib keladi.

1. Maxfiy ma'lumotlarning manbai nima?

Bu holda manbalar odamlar va axborot resurslari: hujjatlar, flesh-tashuvchilar, nashrlar, mahsulotlar, kompyuter tizimlari, mehnatni qo'llab-quvvatlash.

1. Kirish yo'llari va tizimga ruxsatsiz ta'sir qilish urinishlaridan qanday himoyalanish kerak?

Kirishning quyidagi usullari ajralib turadi:

• Ruxsatsiz kirish- ma'lumotlardan noqonuniy foydalanish;
• Oqish- korporativ tarmoqdan tashqarida axborotning nazoratsiz tarqalishi. Oqish xavfsizlik tizimining texnik kanalining kamchiliklari, zaif tomonlari tufayli yuzaga keladi;
• Oshkora qilish- inson omili ta'sirining oqibati. Vakolatli foydalanuvchilar ma'lumotni raqobatchilarga etkazish uchun yoki beparvolik tufayli oshkor qilishlari mumkin.

Ikkinchi bosqich xavfsizlik tizimini ishlab chiqishni o'z ichiga oladi. Bu ma'lumotlarni himoya qilishning barcha tanlangan usullari, vositalari va yo'nalishlarini amalga oshirishni anglatadi.

Tizim bir vaqtning o'zida bir nechta himoya sohalarida, axborotni ishonchli boshqarishni ta'minlash uchun bir-biri bilan o'zaro ta'sir qiluvchi bir necha darajalarda qurilgan.

Huquqiy daraja maʼlumotlarni himoya qilish boʻyicha davlat standartlariga rioya etilishini taʼminlaydi va mualliflik huquqi, farmoyishlar, patentlar va lavozim tavsiflarini oʻz ichiga oladi. Yaxshi qurilgan xavfsizlik tizimi foydalanuvchi huquqlari va ma'lumotlarni qayta ishlash standartlarini buzmaydi.

Tashkiliy daraja maxfiy ma'lumotlar bilan foydalanuvchilarning ishlashi uchun qoidalarni yaratish, xodimlarni tanlash, hujjatlar va jismoniy ma'lumotlar tashuvchilar bilan ishlashni tashkil qilish imkonini beradi.

Foydalanuvchilarning maxfiy ma'lumotlar bilan ishlash qoidalari kirishni boshqarish qoidalari deb ataladi. Qoidalar kompaniya rahbariyati tomonidan xavfsizlik xizmati va xavfsizlik tizimini joriy qiluvchi yetkazib beruvchi bilan birgalikda belgilanadi. Maqsad - har bir foydalanuvchi uchun axborot resurslaridan foydalanish uchun sharoit yaratish, masalan, maxfiy hujjatni o'qish, tahrirlash, uzatish huquqi. Kirishni boshqarish qoidalari tashkiliy darajada ishlab chiqiladi va tizimning texnik komponenti bilan ishlash bosqichida amalga oshiriladi.

Texnik daraja shartli ravishda fizik, apparat, dasturiy va matematik kichik darajalarga boʻlinadi.

• jismoniy- qo'riqlanadigan ob'ekt atrofida to'siqlar yaratish: xavfsizlik tizimlari, shovqinlarni ifloslantirish, arxitektura inshootlarini mustahkamlash;
• apparat- texnik vositalarni o'rnatish: maxsus kompyuterlar, xodimlarni boshqarish tizimlari, serverlar va korporativ tarmoqlarni himoya qilish;
• dastur- himoya qilish tizimi uchun dasturiy ta'minot qobig'ini o'rnatish, kirishni boshqarish qoidalarini amalga oshirish va ishlarni sinovdan o'tkazish;
• matematik- korporativ yoki global tarmoq orqali xavfsiz uzatish uchun kriptografik va so'zma-so'z ma'lumotlarni himoya qilish usullarini amalga oshirish.

Uchinchi, yakuniy bosqich- bu tizim ish faoliyatini ta'minlash, muntazam monitoring va risklarni boshqarish. Himoya moduli moslashuvchan bo'lishi va yangi potentsial tahdidlar aniqlanganda xavfsizlik administratoriga tizimni tezda yaxshilash imkonini berishi muhim.

Maxfiy ma'lumotlar turlari

Maxfiy ma'lumotlar- bu davlat qonunlariga va kompaniya mustaqil ravishda o'rnatadigan me'yorlarga muvofiq kirish cheklangan ma'lumotlar.

• Shaxsiy maxfiy ma'lumotlar: fuqarolarning shaxsiy ma'lumotlari, shaxsiy daxlsizlik huquqi, yozishmalar, shaxsni yashirish. Faqatgina ommaviy axborot vositalarida tarqatiladigan ma'lumotlar bundan mustasno.
• Xizmat maxfiy ma'lumotlar: kirish faqat davlat (davlat organlari) tomonidan cheklanishi mumkin bo'lgan ma'lumotlar.
• Sud maxfiy ma'lumotlar: tergov va sud jarayonining siri.
• Tijorat maxfiy ma'lumotlar: tijorat (foyda) bilan bog'liq bo'lgan va foydalanish qonun yoki korxona tomonidan cheklangan barcha turdagi ma'lumotlar (maxfiy ishlanmalar, ishlab chiqarish texnologiyalari va boshqalar).
• Professional maxfiy ma'lumotlar: fuqarolarning faoliyati bilan bog'liq ma'lumotlar, masalan, oshkor etilishi qonun bilan jazolanadigan tibbiy, notarial yoki advokat sirlari.

Axborot resurslarining maxfiyligiga tahdidlar

Bir tahdid- bular himoyalangan axborot resurslariga egalik qilishning mumkin bo'lgan yoki real urinishlari.

Xavf manbalari maxfiy ma'lumotlarning xavfsizligi - raqobatdosh kompaniyalar, buzg'unchilar, nazorat organlari. Har qanday tahdidning maqsadi ma'lumotlarning yaxlitligi, to'liqligi va mavjudligiga ta'sir qilishdir.

Tahdidlar ichki yoki tashqi bo'lishi mumkin. Tashqi tahdidlar Bu tashqi ma'lumotlarga kirishga urinishlar bo'lib, serverlar, tarmoqlar, xodimlarning hisoblarini buzish va texnik qochqin kanallaridan ma'lumotlarni o'qish (xatolar, kameralar yordamida akustik o'qish, apparatga ishora qilish, derazalar va me'moriy tuzilmalardan vibroakustik ma'lumotlarni olish) bilan birga keladi. .

Ichki tahdidlar xodimlar, ish bo'limi yoki kompaniya rahbariyatining noqonuniy xatti-harakatlarini nazarda tutadi. Natijada, maxfiy ma'lumotlar bilan ishlaydigan tizim foydalanuvchisi begonalarga ma'lumot berishi mumkin. Amalda, bu tahdid boshqalarga qaraganda tez-tez uchraydi. Xodim ko'p yillar davomida maxfiy ma'lumotlarni raqobatchilarga "sizib yuborishi" mumkin. Buni amalga oshirish oson, chunki avtorizatsiya qilingan foydalanuvchining harakatlari xavfsizlik administratori tomonidan tahdid sifatida tasniflanmaydi.

Ichki axborot xavfsizligi tahdidlari inson omili bilan bog'liq bo'lganligi sababli ularni kuzatish va boshqarish qiyinroq. Xodimlarni xavf guruhlariga bo'lish orqali hodisalarning oldini olishingiz mumkin. Bu vazifa psixologik profillarni tuzish uchun avtomatlashtirilgan modul tomonidan hal qilinadi.

Ruxsatsiz kirishga urinish bir necha usul bilan sodir bo'lishi mumkin:

• xodimlar orqali maxfiy ma'lumotlarni begonalarga o'tkazishi, jismoniy ommaviy axborot vositalarini olib qo'yishi yoki bosma hujjatlar orqali himoyalangan ma'lumotlarga kirishi mumkin bo'lgan;
• dasturiy ta'minot orqali tajovuzkorlar login-parol juftlarini o'g'irlash, ma'lumotlar shifrini ochish uchun kriptografik kalitlarni ushlab qolish va ma'lumotlarni ruxsatsiz nusxalashga qaratilgan hujumlarni amalga oshiradilar.
• apparat komponentlaridan foydalanish avtomatlashtirilgan tizim, masalan, tinglash moslamalarini joriy qilish yoki ma'lumotni masofadan (boshqariladigan hududdan tashqarida) o'qish uchun apparat texnologiyalaridan foydalanish.

Uskuna va dasturiy ta'minot axborot xavfsizligi

Barcha zamonaviy operatsion tizimlar dasturiy ta'minot darajasida o'rnatilgan ma'lumotlarni himoya qilish modullari bilan jihozlangan. MAC OS, Windows, Linux, iOS diskdagi ma'lumotlarni shifrlash va boshqa qurilmalarga o'tkazish jarayonida juda yaxshi ish qiladi. Biroq, maxfiy ma'lumotlar bilan samarali ishlashni yaratish uchun qo'shimcha himoya modullaridan foydalanish muhimdir.

Foydalanuvchining operatsion tizimlari tarmoq orqali uzatish vaqtida ma'lumotlarni himoya qilmaydi va himoya tizimlari shimolda korporativ tarmoq va ma'lumotlarni saqlash orqali aylanadigan axborot oqimlarini boshqarishga imkon beradi.

Uskuna-dasturiy ta'minotni himoya qilish moduli odatda guruhlarga bo'linadi, ularning har biri nozik ma'lumotlarni himoya qilish funktsiyasini bajaradi:

• Identifikatsiya darajasi standart yoki ko‘p darajali autentifikatsiya, biometrika (yuzni tanib olish, barmoq izini skanerlash, ovoz yozish va boshqa texnikalar)dan foydalanishi mumkin bo‘lgan keng qamrovli foydalanuvchini tanib olish tizimidir.
• Shifrlash darajasi jo'natuvchi va qabul qiluvchi o'rtasida kalitlar almashinuvini ta'minlaydi va barcha tizim ma'lumotlarini shifrlaydi / parolini hal qiladi.

Axborotni huquqiy himoya qilish

Davlat axborot xavfsizligini ta’minlashning huquqiy asoslarini ta’minlaydi. Axborotni himoya qilish xalqaro konventsiyalar, Konstitutsiya, federal qonunlar va qoidalar bilan tartibga solinadi.

Davlat axborot xavfsizligi sohasidagi qonun hujjatlari qoidalarini buzganlik uchun javobgarlik chorasini ham belgilaydi. Masalan, Rossiya Federatsiyasi Jinoyat kodeksining "Kompyuter axboroti sohasidagi jinoyatlar" 28-bobi uchta moddani o'z ichiga oladi:

• 272-modda "Kompyuter ma'lumotlariga noqonuniy kirish";
• 273-modda “Zararli kompyuter dasturlarini yaratish, ulardan foydalanish va tarqatish”;
• 274-modda “Kompyuter axboroti va axborot-telekommunikatsiya tarmoqlarini saqlash, qayta ishlash yoki uzatishdan foydalanish qoidalarini buzish”.