¿Qué es la protección de la información de seguridad de la información. Métodos de organización de la protección de la información. Formación de la política de seguridad.

Garantizar la seguridad de la información de la Federación Rusa es un sector prometedor y en desarrollo que juega un papel muy importante en el almacenamiento y la transmisión de datos.

Sistema de seguridad de la información de la Federación Rusa

En los últimos tiempos cualquier organización o individuo tiene una cantidad muy grande de información generalizada que se encuentra almacenada en Internet o en computadoras, tal cantidad de información ha provocado que se filtre muy a menudo, pero nadie querría información clasificada y confidencial. sobre algo llegó a extraños, de hecho, para esto, es necesario aplicar precauciones para garantizar la seguridad de la información.

Las estadísticas en este ámbito muestran que en varios países ya se han comenzado a aplicar ciertas medidas de seguridad de la información que han pasado a ser generalmente aceptadas, pero existen otras estadísticas que nos muestran que no solo los estafadores no han dejado de intentar acceder a información clasificada, por el contrario, con la mejora, los atacantes están encontrando nuevas formas de evitarlo o piratearlo, por lo que en este momento podemos ver un aumento en las actividades fraudulentas, no una disminución. Me gustaría agregar que ahora el soporte de información de la Federación Rusa se está desarrollando bastante rápido y tiene una tendencia de crecimiento positiva; nunca antes ha habido un nivel tan alto de provisión de información en la Federación Rusa.

Absolutamente cualquier organización o empresa es muy consciente de que la amenaza de perder información clasificada es bastante alta, por lo que hacen todo lo posible para evitar fugas y asegurarse de que la información clasificada permanezca como tal, pero el esquema no es profesional, protege una gran cantidad de información y cierra muchos pasajes para los estafadores, pero aún quedan lagunas en ella, por lo que sucede que los programadores competentes eluden los sistemas de seguridad y obtienen información secreta, que luego utilizan con fines ilegales.

Funciones y condiciones del Sistema de Mantenimiento SI

Las funciones principales del sistema de seguridad de la información de la Federación Rusa, que deben estar presentes en cualquier sistema de protección:

1. Detección instantánea de amenazas de intrusión. Eliminar esta amenaza y cerrar el canal de acceso a la información a través del cual los atacantes pueden dañar a la empresa y al individuo en términos materiales y morales;
2. Creación de un mecanismo para la detección temprana de violaciones en la operación de la empresa y respuesta a situaciones en las que la seguridad de la información se encuentra en un estado debilitado o bajo amenaza de piratería;
3. Se crean las condiciones para compensar lo antes posible los posibles daños causados ​​a la empresa por una persona natural o jurídica, y las condiciones para la pronta restauración de la empresa, de modo que la información perdida no pueda afectar su trabajo y el cumplimiento de las tareas asignadas. la empresa.

Video sobre monitoreo de medios:

Base de información y principios del Sistema de Mantenimiento SI

Las tareas anteriores ya brindan una base de información suficiente para que una persona entienda por qué es necesario proporcionar sistemas de seguridad de la información y cómo funciona en condiciones reales.

Los principios de la construcción de un sistema de seguridad de la información que las organizaciones y empresas deben seguir al proteger la información confidencial de los intrusos.

Hace tiempo que se sabe que para garantizar un alto nivel de su propia información, debe guiarse por ciertos principios, ya que sin ellos el esquema de soporte de información se eludirá fácilmente, por lo que no puede estar constantemente seguro de que la información es realmente clasificado.

1. Entonces, el primer y más importante principio del sistema de seguridad de la información de la Federación Rusa es el trabajo continuo para mejorar y mejorar el sistema, ya que las tecnologías de desarrollo no se detienen, al igual que el desarrollo de actividades fraudulentas destinadas a piratear y obtener datos secretos. , por lo tanto, dicho esquema debe mejorarse constantemente. Es necesario verificar y probar el sistema de seguridad actual con la mayor frecuencia posible: este aspecto está incluido en el primer principio de la construcción de un sistema de seguridad de la información, debe analizar el sistema y, si es posible, identificar sus brechas de defensa y debilidades que los atacantes realmente usar. Si encuentra brechas o vías de fuga de información, debe actualizar inmediatamente el mecanismo del sistema de seguridad y refinarlo para que las brechas encontradas se cierren de inmediato y sean inaccesibles para los estafadores. Basado en este principio, vale la pena aprender que no puede simplemente instalar un sistema de seguridad y estar tranquilo acerca de su información secreta, ya que este sistema necesita ser analizado, mejorado y mejorado constantemente;
2. El segundo principio es utilizar todo el potencial de la seguridad del sistema, todas las funciones para cada archivo individual que es responsable de uno u otro aspecto de la empresa, es decir, el sistema de seguridad debe ser utilizado en su totalidad y en forma compleja, por lo que que todo el arsenal de este sistema debe estar en servicio;
3. El tercer y último principio es el uso holístico del sistema de seguridad, no lo divida en partes separadas, considere funciones separadas, proporcionando así un nivel diferente de seguridad a los archivos importantes y menos importantes. Funciona como un gran mecanismo, que tiene una gran cantidad de engranajes que realizan diferentes funciones, pero forman un solo sistema.

Video pr seguridad de sistemas industriales:

Legislación y Sistema de Mantenimiento SI

Un aspecto muy importante del sistema de seguridad de la información es la cooperación con las fuerzas del orden estatales y la legalidad de este sistema. El alto nivel de profesionalismo de los empleados de la empresa que le brinda seguridad de la información juega un papel importante, no olvide que se debe celebrar un acuerdo de confidencialidad con esta empresa y sus empleados, ya que todos los empleados que aseguran la operación completa del sistema de seguridad tendrán acceso a la información de las empresas, por lo que debe tener garantías de que los empleados no transferirán esta información a terceros interesados ​​en obtenerla para su beneficio personal o para menoscabar el trabajo de su empresa.

Si descuida estos principios y condiciones, su seguridad no podrá brindarle el alto nivel de protección adecuado, por lo que no habrá garantías de que los datos estén constantemente fuera del alcance de los intrusos, y esto puede tener un muy mal efecto sobre el funcionamiento de la empresa.

Requisitos para garantizar la seguridad de la información de cualquier objeto.

Es necesario no solo conocer los principios, sino también ser capaz de ponerlos en práctica, para ello existen una serie de requisitos para el sistema de protección de la seguridad de la información que son obligatorios, como los propios principios.

El esquema de seguridad ideal debería ser:

1. centralizado. Siempre es necesario administrar el sistema de seguridad de forma centralizada, por lo tanto, el sistema de seguridad de la información de una empresa debe ser similar a la estructura de la empresa misma, a la que se adjunta este método de seguridad de la información (Sistema de mantenimiento de SI);
2. Planificado. Con base en los objetivos generales de la seguridad de la información, cada persona responsable de un aspecto particular del sistema siempre debe tener un plan detallado para mejorar el sistema de seguridad y utilizar el actual. Esto es necesario para que la protección de la información funcione como un esquema integral, que brindará el más alto nivel de protección de la información confidencial del objeto protegido;
3. Especificado. Cada esquema de seguridad debe tener criterios de protección específicos, ya que diferentes empresas tienen diferentes preferencias, algunas necesitan proteger ciertos archivos que pueden ser utilizados por los competidores de la empresa para socavar el proceso de producción. Otras empresas necesitan una protección integral de cada archivo, independientemente de su grado de importancia, por lo tanto, antes de configurar la protección de la información, debe decidir para qué la necesita exactamente;
4. Activo. Garantizar la protección de la información debe ser siempre muy activo y decidido. ¿Qué significa? Esto significa que la empresa que proporciona la base de seguridad debe contar necesariamente con un departamento compuesto por expertos y analistas. Porque su principio de seguridad no solo debe eliminar las amenazas existentes y encontrar brechas en la base de datos, sino también conocer de antemano un posible escenario para prevenir posibles amenazas incluso antes de que aparezcan, por lo que el departamento analítico es una parte muy importante en la estructura de seguridad de la información. , no te olvides de ello y trata de prestar especial atención a este aspecto. "Prevenido vale por dos";
5. Universal. Su esquema debe poder adaptarse absolutamente a cualquier condición, es decir, no importa en qué medio esté almacenada su base de datos, y no debe importar en qué idioma se presenta y en qué formato está contenida. Si desea transferirlo a otro formato o a otro medio, esto no debería causar una fuga de información;
6. Inusual. Su plan de seguridad de la información debe ser único, es decir, debe ser diferente de esquemas similares utilizados por otras empresas o firmas. Por ejemplo, si otra empresa que tiene un esquema de protección de datos similar al suyo fue atacada y los atacantes pudieron encontrar una brecha en ella, entonces la probabilidad de que el recurso sea pirateado aumenta significativamente, por lo que, en este sentido, debe mostrar individualidad. e instale para su empresa, un esquema de seguridad que no se haya presentado ni utilizado antes, aumentando así el nivel de protección de los datos confidenciales de su empresa;
7. abierto. Debe estar abierto en cuanto a cambios, ajustes y mejoras, es decir, si encuentra un hueco en la defensa de su propio sistema de seguridad o quiere mejorarlo, no debería tener problemas de acceso, ya que puede llevar algún tiempo acceda al sistema, durante el cual se puede piratear la base de datos, así que déjelo abierto a su propia empresa y a la empresa que proporciona seguridad de la información a la Federación Rusa, de la que depende la preservación de sus sistemas de información;
8. Económico. La rentabilidad es el último requisito para cualquier sistema de seguridad, debe calcular todo y asegurarse de que los costos de soporte de información para los sistemas de seguridad de la información de la Federación Rusa en ningún caso excedan el valor de su información. Por ejemplo, no importa cuán costoso y perfecto sea un diseño de seguridad, aún existe la posibilidad de que pueda ser pirateado o eludido, ya que se puede encontrar una brecha en cualquier protección si se desea, y si gasta mucho dinero en tal esquema de seguridad, pero al mismo tiempo, los datos en sí no valen esa cantidad de dinero, es solo una pérdida de dinero que puede afectar negativamente el presupuesto de la empresa.

Video sobre soluciones IDM:

Requisitos del sistema de mantenimiento de SI secundario

Los principales requisitos necesarios para el pleno funcionamiento del sistema de seguridad fueron enumerados anteriormente, además, se darán los requisitos que no son obligatorios para el sistema:

• El esquema de seguridad debe ser bastante fácil de usar, es decir, cualquier empleado que tenga acceso a información protegida no debe pasar mucho tiempo viéndola si es necesario, ya que esto interferirá con el trabajo principal, el esquema debe ser conveniente y "transparente". ”, pero solo dentro de su empresa;
• Cada empleado o persona de confianza debe tener algún tipo de privilegio de acceso para recibir información protegida. Nuevamente, daré un ejemplo: usted es el director de una empresa y varios empleados trabajan en sus instalaciones en quienes confía y a los que puede proporcionar acceso, pero usted no hace esto, y solo usted y los empleados de la empresa brindan el sistema de seguridad de la información tiene acceso, resulta que su contador y otros empleados, al tener que mirar informes u otros archivos protegidos, tendrán que tomar un descanso del trabajo, llevarlo a usted o a los empleados de la empresa que brinda protección del trabajo para para obtener acceso a un archivo, se socavará el trabajo de la empresa y se reducirá su eficacia. Por lo tanto, otorgue privilegios a sus empleados para que sea más fácil para ellos y para usted;
• La capacidad de deshabilitar fácil y rápidamente la protección, ya que hay situaciones en las que la protección de la información complicará enormemente el trabajo de la empresa, en este caso debería poder deshabilitar fácilmente y, cuando sea necesario, habilitar el sistema de protección de la información;
• El esquema de seguridad de la información debe funcionar por separado de cada sujeto de protección, es decir, no deben estar interconectados;
• La empresa que le proporciona un sistema de seguridad de la información debe intentar descifrarlo periódicamente, puede pedirles a sus programadores que trabajan en otros proyectos que lo hagan, si tienen éxito, entonces debe averiguar de inmediato cómo sucedió exactamente y dónde hay una debilidad en el sistema de seguridad, para neutralizarla lo antes posible;
• Su empresa no debe tener informes detallados y una descripción detallada de los mecanismos para proteger su información, solo el propietario de la empresa y la empresa que brinda protección de la información deben tener dicha información.

Sistema de soporte de información - fase

Un elemento importante es la fase de acciones en el desarrollo e instalación del sistema de seguridad de la información de la Federación Rusa.

Inicialmente, al crear un sistema de protección, debe determinar qué es exactamente la propiedad intelectual para usted. Por ejemplo, para una empresa, la propiedad intelectual es el conocimiento y la información precisa sobre cada producto, sus mejoras, la fabricación y desarrollo de nuevos productos e ideas para mejorar la empresa, en general, todo lo que finalmente le genera ganancias. Si no puede determinar qué es la propiedad intelectual para usted, no importa qué tan bueno sea el esquema para proporcionar sistemas de información, no podrá brindarle un alto nivel de protección, y también corre el riesgo de perder información no protegida, que posteriormente será acarrear pérdidas morales y materiales, por lo que se debe prestar especial atención a este punto desde el principio.

Después de determinar qué es propiedad intelectual para usted, debe continuar con los siguientes pasos, generalmente aceptados para absolutamente cualquier organización, independientemente de su tamaño y especificación:

1. Establecer ciertos límites dentro de los cuales la planificación de la provisión de sistemas de información tiene su poder;
2. Estudio constante e identificación de debilidades en el sistema de protección;
3. Establezca una política de seguridad específica y tome rápidamente contramedidas efectivas cuando se identifique una amenaza;
4. Comprobación continua del sistema de seguridad de la información;
5. Elaborar un plan detallado del sistema de protección;
6. Implementación precisa de un plan previamente elaborado.

Norbert Wiener, el creador de la cibernética, creía que la información tiene características únicas y no puede atribuirse ni a la energía ni a la materia. El estatus especial de la información como fenómeno ha dado lugar a muchas definiciones.

El glosario de ISO/IEC 2382:2015 "Tecnología de la información" ofrece la siguiente interpretación:

Información (en el campo del procesamiento de la información)- cualquier dato presentado en formato electrónico, escrito en papel, hablado en una reunión o en cualquier otro medio utilizado por una institución financiera para la toma de decisiones, la transferencia de fondos, la fijación de tasas, la concesión de préstamos, el procesamiento de transacciones, etc., incluido el procesamiento de componentes software del sistema.

Para desarrollar el concepto de seguridad de la información (SI), se entiende por información aquella que está disponible para su recolección, almacenamiento, procesamiento (edición, transformación), uso y transmisión de diversas formas, incluso en redes informáticas y otros sistemas de información.

Dicha información es de alto valor y puede convertirse en objeto de infracción por parte de terceros. El deseo de proteger la información de las amenazas subyace a la creación de sistemas de seguridad de la información.

Base legal

En diciembre de 2017, se adoptó la Doctrina de Seguridad de la Información en Rusia. En el documento, la seguridad de la información se define como el estado de protección de los intereses nacionales en el ámbito de la información. En este caso, los intereses nacionales se entienden como la totalidad de los intereses de la sociedad, el individuo y el estado, cada grupo de intereses es necesario para el funcionamiento estable de la sociedad.

La doctrina es un documento conceptual. Las relaciones jurídicas relacionadas con la garantía de la seguridad de la información están reguladas por las leyes federales "Sobre los secretos de Estado", "Sobre la información", "Sobre la protección de datos personales" y otras. Sobre la base de los actos normativos fundamentales, se desarrollan decretos gubernamentales y actos normativos departamentales sobre temas particulares de protección de la información.

Definición de seguridad de la información.

Antes de desarrollar una estrategia de seguridad de la información, es necesario aceptar una definición básica del propio concepto, que permitirá el uso de un determinado conjunto de métodos y métodos de protección.

Los profesionales de la industria proponen entender la seguridad de la información como un estado estable de protección de la información, sus portadores e infraestructura, que garantiza la integridad y estabilidad de los procesos relacionados con la información contra impactos intencionales o no intencionales de naturaleza natural y artificial. Los impactos se clasifican como amenazas SI que pueden causar daños a los sujetos de las relaciones de información.

Así, la protección de la información se entenderá como un conjunto de medidas legales, administrativas, organizativas y técnicas encaminadas a prevenir amenazas reales o percibidas a la seguridad de la información, así como a eliminar las consecuencias de los incidentes. La continuidad del proceso de protección de la información debe garantizar la lucha contra las amenazas en todas las etapas del ciclo de la información: en el proceso de recolección, almacenamiento, procesamiento, uso y transmisión de la información.

La seguridad de la información en este sentido se convierte en una de las características del desempeño del sistema. En cada momento en el tiempo, el sistema debe tener un nivel de seguridad medible, y garantizar la seguridad del sistema debe ser un proceso continuo que se lleva a cabo en todos los intervalos de tiempo durante la vida del sistema.

La infografía utiliza datos de nuestra propiaInforme de búsqueda.

En la teoría de la seguridad de la información, los sujetos de SI son entendidos como propietarios y usuarios de la información, y usuarios no solo de forma permanente (empleados), sino también usuarios que acceden a bases de datos en casos aislados, por ejemplo, organismos gubernamentales que solicitan información. En varios casos, por ejemplo, en los estándares de seguridad de la información bancaria, los propietarios de la información incluyen accionistas, entidades legales que poseen ciertos datos.

La infraestructura de soporte, desde el punto de vista de los fundamentos de la seguridad de la información, incluye computadoras, redes, equipos de telecomunicaciones, locales, sistemas de soporte vital y personal. Al analizar la seguridad, es necesario estudiar todos los elementos de los sistemas, prestando especial atención al personal como portador de la mayoría de las amenazas internas.

Para gestionar la seguridad de la información y evaluar el daño, se utiliza una característica de aceptabilidad, por lo que el daño se determina como aceptable o inaceptable. Es útil que cada empresa apruebe sus propios criterios para aceptar el daño en términos monetarios o, por ejemplo, en forma de daño reputacional aceptable. En las instituciones públicas se pueden adoptar otras características, por ejemplo, el impacto en el proceso de gestión o un reflejo del grado de afectación a la vida y salud de los ciudadanos. Los criterios de materialidad, importancia y valor de la información pueden cambiar durante el ciclo de vida del conjunto de información, por lo que deben revisarse oportunamente.

Una amenaza de información en sentido estricto es una posibilidad objetiva de influir en el objeto de protección, lo que puede conducir a la fuga, robo, divulgación o difusión de información. En un sentido más amplio, las amenazas a la seguridad de la información incluirán impactos informativos dirigidos, cuyo propósito es causar daño al estado, la organización o el individuo. Tales amenazas incluyen, por ejemplo, difamación, tergiversación deliberada, publicidad incorrecta.

Tres preguntas principales del concepto de seguridad de la información para cualquier organización

¿Qué proteger?

¿Qué tipos de amenazas prevalecen: externas o internas?

¿Cómo proteger, con qué métodos y medios?

sistema de seguridad de la información

El sistema de seguridad de la información para una empresa - una persona jurídica incluye tres grupos de conceptos básicos: integridad, disponibilidad y confidencialidad. Debajo de cada uno hay conceptos con muchas características.

Por debajo integridad se refiere a la resistencia de las bases de datos, otras matrices de información a la destrucción accidental o intencional, cambios no autorizados. El concepto de integridad puede verse como:

• estático, expresada en la inmutabilidad, autenticidad de los objetos de información a aquellos objetos que fueron creados de acuerdo con una asignación técnica específica y contienen la cantidad de información necesaria para los usuarios para sus actividades principales, en la configuración y secuencia requerida;
• dinámica, lo que implica la correcta ejecución de acciones o transacciones complejas que no perjudiquen la seguridad de la información.

Para controlar la integridad dinámica, se utilizan herramientas técnicas especiales que analizan el flujo de información, por ejemplo, información financiera, e identifican casos de robo, duplicación, redirección y reordenación de mensajes. La integridad como característica principal se requiere cuando las decisiones se toman con base en la información entrante o disponible para tomar acciones. La violación del orden de los comandos o la secuencia de acciones puede causar un gran daño en el caso de describir procesos tecnológicos, códigos de programas y en otras situaciones similares.

Disponibilidad es una propiedad que permite a los sujetos autorizados acceder o intercambiar datos de su interés. El requisito clave de legitimación o autorización de los sujetos permite crear diferentes niveles de acceso. La falla del sistema para proporcionar información se convierte en un problema para cualquier organización o grupo de usuarios. Un ejemplo es la falta de disponibilidad de sitios web de servicio público en caso de falla del sistema, lo que priva a muchos usuarios de la oportunidad de recibir los servicios o la información necesarios.

Confidencialidad significa la propiedad de la información de estar disponible para aquellos usuarios: sujetos y procesos para los cuales inicialmente se permite el acceso. La mayoría de las empresas y organizaciones perciben la confidencialidad como un elemento clave de la seguridad de la información, pero en la práctica es difícil implementarlo por completo. No todos los datos sobre los canales de fuga de información existentes están disponibles para los autores de los conceptos de seguridad de la información, y muchos medios técnicos de protección, incluidos los criptográficos, no se pueden comprar libremente, en algunos casos el volumen de negocios es limitado.

Las propiedades iguales de la seguridad de la información tienen valores diferentes para los usuarios, de ahí las dos categorías extremas en el desarrollo de los conceptos de protección de datos. Para empresas u organizaciones involucradas en secretos de estado, la confidencialidad será un parámetro clave, para servicios públicos o instituciones educativas, la accesibilidad será el parámetro más importante.

Compendio de seguridad de la información

Objetos de protección en los conceptos SI

La diferencia de sujetos genera diferencias en los objetos de protección. Principales grupos de objetos protegidos:

• recursos de información de todo tipo (un recurso es un objeto material: un disco duro, otros soportes, un documento con datos y detalles que ayudan a identificarlo y atribuirlo a un determinado grupo de sujetos);
• los derechos de los ciudadanos, las organizaciones y el Estado al acceso a la información, la oportunidad de obtenerla en el marco de la ley; el acceso puede limitarse solo mediante actos legales reglamentarios, la organización de cualquier barrera que viole los derechos humanos es inaceptable;
• un sistema de creación, uso y distribución de datos (sistemas y tecnologías, archivos, bibliotecas, documentos reglamentarios);
• un sistema para la formación de la conciencia pública (medios, recursos de Internet, instituciones sociales, instituciones educativas).

Cada objeto implica un sistema especial de medidas para proteger contra amenazas a la seguridad de la información y el orden público. Garantizar la seguridad de la información en cada caso debe basarse en un enfoque sistemático que tenga en cuenta las características específicas del objeto.

Categorías y medios

El sistema legal ruso, la práctica de aplicación de la ley y las relaciones sociales establecidas clasifican la información de acuerdo con criterios de accesibilidad. Esto le permite aclarar los parámetros esenciales necesarios para garantizar la seguridad de la información:

• información, cuyo acceso está restringido sobre la base de requisitos legales (secreto de estado, secreto comercial, datos personales);
• información de dominio público;
• información disponible públicamente que se proporciona bajo ciertas condiciones: información paga o datos para los que se requiere acceso, por ejemplo, un boleto de biblioteca;
• información peligrosa, dañina, falsa y de otro tipo, cuya circulación y difusión está limitada por los requisitos de las leyes o las normas corporativas.

La información del primer grupo tiene dos modos de protección. secreto de estado, según la ley, se trata de información protegida por el Estado, cuya libre circulación puede atentar contra la seguridad del país. Se trata de datos en el campo de las actividades militares, de política exterior, de inteligencia, de contrainteligencia y económicas del Estado. El propietario de este grupo de datos es directamente el estado. Los organismos autorizados para tomar medidas para proteger los secretos de Estado son el Ministerio de Defensa, el Servicio Federal de Seguridad (FSB), el Servicio de Inteligencia Exterior, el Servicio Federal de Control Técnico y de Exportaciones (FSTEC).

Información confidencial- un objeto de regulación más multifacético. La lista de información que puede constituir información confidencial está contenida en el Decreto Presidencial No. 188 "Sobre la Aprobación de la Lista de Información Confidencial". Estos son datos personales; secreto de la investigación y de los procedimientos judiciales; secreto oficial; secreto profesional (médico, notarial, abogado); Secreto comercial; información sobre invenciones y modelos de utilidad; la información contenida en los expedientes personales de los condenados, así como la información sobre la ejecución de los actos judiciales.

Los datos personales existen en modo abierto y confidencial. La parte de los datos personales que está abierta y accesible a todos los usuarios incluye el nombre, apellido, patronímico. De acuerdo con la Ley Federal-152 "Sobre Datos Personales", los interesados ​​tienen derecho a:

• sobre la autodeterminación informativa;
• para acceder a los datos personales personales y realizar cambios en los mismos;
• bloquear los datos personales y el acceso a los mismos;
• para recurrir contra actuaciones ilícitas de terceros cometidas en relación con los datos personales;
• por la indemnización de daños y perjuicios.

El derecho a está consagrado en las regulaciones sobre organismos estatales, leyes federales, licencias para trabajar con datos personales emitidas por Roskomnadzor o FSTEC. Las empresas que trabajan profesionalmente con datos personales de una amplia gama de personas, por ejemplo, operadores de telecomunicaciones, deben ingresar al registro que mantiene Roskomnadzor.

Un objeto separado en la teoría y práctica de la seguridad de la información son los portadores de información, cuyo acceso es abierto y cerrado. Al desarrollar el concepto IS, los métodos de protección se seleccionan según el tipo de medio. Principales portadores de información:

• medios impresos y electrónicos, redes sociales, otros recursos en Internet;
• empleados de la organización que tienen acceso a la información en base a sus vínculos de amistad, familiares, profesionales;
• medios de comunicación que transmiten o almacenan información: teléfonos, centrales telefónicas automáticas, otros equipos de telecomunicaciones;
• documentos de todo tipo: personales, oficiales, estatales;
• software como objeto de información independiente, especialmente si su versión fue desarrollada específicamente para una empresa en particular;
• medios de almacenamiento electrónico que procesan datos automáticamente.

A los efectos de desarrollar conceptos de seguridad de la información, las herramientas de seguridad de la información generalmente se dividen en reglamentarias (informales) y técnicas (formales).

Los medios informales de protección son documentos, reglas, eventos, los formales son medios técnicos especiales y software. La distinción ayuda a distribuir las áreas de responsabilidad al crear sistemas de seguridad de la información: con la gestión general de protección, el personal administrativo implementa métodos regulatorios y los especialistas en TI, respectivamente, los técnicos.

Los fundamentos de la seguridad de la información implican la división de poderes no solo en cuanto al uso de la información, sino también en cuanto a trabajar con su protección. Esta separación de poderes requiere varios niveles de control.

Remedios formales

Una amplia gama de medios técnicos de protección de la seguridad de la información incluye:

Medios físicos de protección. Son mecanismos mecánicos, eléctricos, electrónicos que operan independientemente de los sistemas de información y crean barreras de acceso a los mismos. Las cerraduras, incluidas las electrónicas, pantallas, persianas están diseñadas para crear obstáculos para el contacto de factores desestabilizadores con los sistemas. El conjunto se complementa mediante sistemas de seguridad, por ejemplo, videocámaras, videograbadores, sensores que detectan movimiento o exceso del grado de radiación electromagnética en la zona donde se encuentran los medios técnicos de obtención de información, dispositivos embebidos.

Protección de equipos. Estos son dispositivos eléctricos, electrónicos, ópticos, láser y otros que están integrados en los sistemas de información y telecomunicaciones. Antes de introducir hardware en los sistemas de información, se debe verificar la compatibilidad.

Software- estos son programas simples y sistémicos, complejos diseñados para resolver tareas particulares y complejas relacionadas con la provisión de seguridad de la información. Un ejemplo de soluciones complejas son y: el primero sirve para prevenir fugas, reformatear información y redirigir los flujos de información, el segundo: brinda protección contra incidentes en el campo de la seguridad de la información. Las herramientas de software exigen la potencia de los dispositivos de hardware y se deben proporcionar reservas adicionales durante la instalación.

se puede probar gratis durante 30 días. Antes de instalar el sistema, los ingenieros de SearchInform realizarán una auditoría técnica en la empresa del cliente.

A medios específicos La seguridad de la información incluye varios algoritmos criptográficos que le permiten cifrar la información en el disco y redirigirla a través de canales de comunicación externos. La transformación de la información puede ocurrir con la ayuda de métodos de software y hardware que funcionan en los sistemas de información corporativos.

Todos los medios que garanticen la seguridad de la información deben utilizarse en conjunto, luego de una evaluación preliminar del valor de la información y comparándolo con el costo de los recursos gastados en protección. Por lo tanto, las propuestas para el uso de los fondos deben formularse ya en la etapa de diseño de los sistemas, y la aprobación debe realizarse al nivel de gestión responsable de aprobar los presupuestos.

Para garantizar la seguridad, es necesario monitorear todos los desarrollos modernos, las herramientas de protección de software y hardware, las amenazas y realizar cambios oportunos en sus propios sistemas de protección contra el acceso no autorizado. Sólo la adecuación y pronta respuesta a las amenazas ayudará a lograr un alto nivel de confidencialidad en el trabajo de la empresa.

El primer lanzamiento se lanzó en 2018. Este programa único recopila retratos psicológicos de los empleados y los distribuye en grupos de riesgo. Este enfoque para garantizar la seguridad de la información le permite anticiparse a posibles incidentes y tomar medidas con anticipación.

Remedios informales

Los recursos informales se agrupan en normativos, administrativos y morales y éticos. En el primer nivel de protección, existen herramientas normativas que regulan la seguridad de la información como un proceso en las actividades de la organización.

• Medios regulatorios

En la práctica mundial, al desarrollar herramientas regulatorias, se guían por estándares de seguridad de la información, el principal es ISO / IEC 27000. El estándar fue creado por dos organizaciones:

• ISO - Comisión Internacional de Normalización, que desarrolla y aprueba la mayoría de los métodos reconocidos internacionalmente para la certificación de la calidad de los procesos de producción y gestión;
• IEC: la Comisión Internacional de Energía, que introdujo su comprensión de los sistemas de seguridad de la información, los medios y los métodos de su provisión en el estándar.

La versión actual de ISO/IEC 27000-2016 ofrece estándares listos para usar y metodologías probadas necesarias para la implementación de la seguridad de la información. Según los autores de los métodos, la base de la seguridad de la información radica en la implementación sistemática y consistente de todas las etapas, desde el desarrollo hasta el control posterior.

Para obtener un certificado que confirme el cumplimiento de los estándares de seguridad de la información, es necesario implementar todas las prácticas recomendadas en su totalidad. Si no hay necesidad de obtener un certificado, cualquiera de las versiones anteriores del estándar, comenzando con ISO / IEC 27000-2002, o GOST rusos, que son de carácter consultivo, se puede tomar como base para desarrollar su propia seguridad de la información. sistemas

Sobre la base de los resultados del estudio de la norma, se están desarrollando dos documentos relacionados con la seguridad de la información. El principal, pero menos formal, es el concepto de seguridad de la información empresarial, que determina las medidas y métodos para implementar un sistema de seguridad de la información para los sistemas de información de una organización. El segundo documento que todos los empleados de la empresa están obligados a cumplir es el reglamento sobre seguridad de la información, aprobado a nivel del directorio o del órgano ejecutivo.

Además de la posición a nivel de empresa, se deben desarrollar listas de información que constituya un secreto comercial, anexos a contratos de trabajo, fijación de responsabilidad por la divulgación de datos confidenciales, otros estándares y métodos. Las normas y reglamentos internos deben contener mecanismos de implementación y responsabilidades. La mayoría de las veces, las medidas son de naturaleza disciplinaria, y el infractor debe estar preparado para el hecho de que la violación del régimen de secreto comercial será seguida por sanciones significativas, que pueden llegar hasta el despido.

• Medidas organizativas y administrativas

Como parte de las actividades administrativas para proteger la seguridad de la información, hay espacio para la creatividad de los oficiales de seguridad. Se trata de soluciones arquitectónicas y de planificación que permiten proteger salas de reuniones y oficinas ejecutivas de escuchas ilegales y establecer varios niveles de acceso a la información. Medidas organizativas importantes serán la certificación de las actividades de la empresa de acuerdo con las normas ISO/IEC 27000, la certificación de los sistemas de hardware y software individuales, la certificación de sujetos y objetos para el cumplimiento de los requisitos de seguridad necesarios y la obtención de las licencias necesarias para trabajar con matrices de información protegida. .

Desde el punto de vista de regular las actividades del personal, será importante diseñar un sistema de solicitudes de acceso a Internet, correo electrónico externo y otros recursos. Un elemento separado será la recepción de una firma digital electrónica para mejorar la seguridad de la información financiera y de otro tipo que se transmite a las agencias gubernamentales a través de canales de correo electrónico.

• Medidas morales y éticas

Las medidas morales y éticas determinan la actitud personal de una persona hacia la información confidencial o de circulación limitada. Aumentar el nivel de conocimiento de los empleados sobre el impacto de las amenazas en las actividades de la empresa afecta el grado de conciencia y responsabilidad de los empleados. Para combatir las violaciones del régimen de información, incluyendo, por ejemplo, la transmisión de contraseñas, el manejo descuidado de los medios, la difusión de datos confidenciales en conversaciones privadas, se requiere enfatizar la conciencia personal del empleado. Sería útil establecer indicadores de desempeño del personal, que dependerán de la actitud hacia el sistema de seguridad de la información corporativo.

Enviar su buen trabajo en la base de conocimiento es simple. Utilice el siguiente formulario

Los estudiantes, estudiantes de posgrado, jóvenes científicos que utilizan la base de conocimientos en sus estudios y trabajos le estarán muy agradecidos.

Alojado en http://www.allbest.ru/

• Introducción
• 1. Clasificación de la información
• 2. Seguridad de la información
• 2.1 Amenazas de la información
• 2.2 Amenazas a la información confidencial.
• 2.3 Instrucciones de protección de la información
• 2.4 Sistema de seguridad de la información
• Conclusión
• Lista de fuentes utilizadas
• Introducción
• Cada recurso de información, ya sea la computadora de un usuario, el servidor de una organización o el equipo de red, debe estar protegido de todo tipo de amenazas. Los sistemas de archivos, la red, etc. deben estar protegidos. En este artículo, no consideraremos los métodos para implementar la protección debido a su gran variedad.
• Sin embargo, debe entenderse que es imposible proporcionar una protección al cien por cien. Al mismo tiempo, debe recordarse: cuanto mayor es el nivel de seguridad, más costoso es el sistema, más inconveniente es usarlo para el usuario, lo que en consecuencia conduce a un deterioro en la protección del factor humano. A modo de ejemplo, recordemos que la excesiva complejidad de la contraseña hace que el usuario se vea obligado a escribirla en un papel, que pega en el monitor, teclado, etc.
• Existe una amplia gama de software destinado a resolver problemas de seguridad de la información. Estos son programas antivirus, firewalls, herramientas integradas de sistemas operativos y mucho más. Sin embargo, vale la pena recordar que el eslabón más vulnerable en la protección es siempre una persona. Después de todo, el rendimiento de cualquier software depende de la calidad de su escritura y la alfabetización del administrador que configura una herramienta de protección en particular.
• Muchas organizaciones, en este sentido, crean servicios de protección de la información (departamentos) o establecen tareas apropiadas para sus departamentos de TI. Al mismo tiempo, debe comprender que es imposible cargar el servicio de TI con funciones que son inusuales para él. Esto se ha dicho y escrito muchas veces. Entonces, supongamos que su organización tiene un departamento de seguridad de la información. ¿Qué hacer a continuación? ¿Dónde empezar?
• ¡Comience con la capacitación de los empleados! Y en el futuro para hacer este proceso regular. La capacitación del personal en los conceptos básicos de seguridad de la información debe ser una tarea permanente del departamento de seguridad de la información. Y necesitas hacer esto al menos dos veces al año.
• 1. Clasificación de la información
• Históricamente, tan pronto como se plantea el tema de clasificar la información (principalmente esto se aplica a la información de propiedad del estado), inmediatamente comienza a clasificarse según el nivel de secreto (confidencialidad). Los requisitos para garantizar la disponibilidad, la integridad, la observabilidad, si recuerdan, de paso, en una serie de requisitos generales para los sistemas de procesamiento de información.
• Si tal punto de vista todavía puede justificarse de alguna manera por la necesidad de garantizar los secretos de estado, entonces transferirlo a otra área temática parece simplemente ridículo. Por ejemplo, de acuerdo con los requisitos de la legislación ucraniana, el propietario de la información determina el nivel de su confidencialidad (en caso de que esta información no pertenezca al estado).
• En muchas áreas, la proporción de información confidencial es relativamente pequeña. Para la información abierta, cuyo daño por divulgación es pequeño, las propiedades más importantes pueden ser propiedades como la accesibilidad, la integridad o la protección contra la copia ilegal. Tomemos como ejemplo el sitio web de una publicación en línea. En primer lugar, a mi juicio, estará la disponibilidad e integridad de la información, y no su confidencialidad. Evaluar y clasificar la información solo en términos de posición y secreto es, al menos, improductivo.
• Y esto solo puede explicarse por la estrechez del enfoque tradicional de protección de la información, la falta de experiencia en términos de garantizar la disponibilidad, integridad y observabilidad de la información que no es secreta (confidencial).
• Esquema para clasificar la información por significado
• INFORMACIÓN

A. Importancia especial (OS)

B. Alto secreto (SS)

C. secreto(s)

D. para uso oficial

F. Y carácter abierto (O)

Desde el punto de vista de la protección, la “Información” tiene una serie de propiedades importantes:

1. La confidencialidad es una propiedad de la información, cuyo valor lo fija el titular de la información, reflejando la restricción de acceso a la misma, de conformidad con la legislación vigente.

2. Disponibilidad - una propiedad de información que determina el grado de posibilidad de obtener información.

3. Confiabilidad: una propiedad de la información que determina el grado de confianza en ella.

4. Integridad: una propiedad de la información que determina la idoneidad estructural de la información para su uso.

Categorías de confidencialidad de la información protegida

Completamente confidencial - información reconocida como confidencial de conformidad con los requisitos de la ley, o información cuya divulgación fue introducida por decisión de la dirección debido a que su divulgación puede tener graves consecuencias financieras y económicas para la organización hasta la quiebra;

confidencial - esta categoría incluye información que no está clasificada como "completamente confidencial", las restricciones a la distribución de las cuales son introducidas por decisión de la gerencia de acuerdo con los derechos que le otorga como propietario de la información la legislación vigente debido a el hecho de que su divulgación puede conducir a pérdidas significativas y pérdida de competitividad de la organización (causando un daño significativo a los intereses de sus clientes, socios o empleados);

· abierto: esta categoría incluye información cuya confidencialidad no es obligatoria.

Categorías de integridad de la información protegida

alto: información, modificación no autorizada o falsificación que puede provocar un daño significativo a la organización;

bajo: esta categoría incluye información cuya modificación no autorizada puede provocar daños menores a la organización, sus clientes, socios o empleados;

· sin requisitos - esta categoría incluye información, para asegurar la integridad y autenticidad de la cual no hay requisitos.

2. Seguridad de la información

Si bien la seguridad de la información es un estado de seguridad del entorno de la información, la protección de la información es una actividad para evitar la fuga de información protegida, impactos no autorizados e involuntarios en la información protegida, es decir, un proceso destinado a lograr este estado.

La seguridad de la información de la organización es el estado de seguridad del entorno de información de la organización, asegurando su formación, uso y desarrollo.

En la sociedad moderna, la esfera de la información tiene dos componentes: la tecnología de la información (el mundo de la tecnología, las tecnologías, etc., creado artificialmente por el hombre) y la información y la psicología (el mundo natural de la vida silvestre, incluida la persona misma). En consecuencia, en el caso general, la seguridad de la información de una sociedad (estado) puede estar representada por dos componentes: seguridad de la información y técnica y seguridad de la información y psicológica (psicofísica).

La seguridad de la información (datos) es el estado de seguridad de la información (datos), en el que se garantiza su (su) confidencialidad, disponibilidad e integridad.

Seguridad de la información: protección de la confidencialidad, integridad y disponibilidad de la información.

Seguridad de la información - todos los aspectos relacionados con la definición, logro y mantenimiento de la confidencialidad, integridad, disponibilidad, no repudio, responsabilidad, autenticidad y confiabilidad de la información o sus medios de procesamiento.

2.1 Información Amenazas

Bajo las amenazas de la información, entenderemos acciones potenciales o realmente posibles en relación con la esfera de la información, que conducen a cambios no autorizados en las propiedades de la información (confidencialidad, disponibilidad, confiabilidad, integridad).

Según la manifestación final, se pueden distinguir las siguientes amenazas de información:

1. Conocido.

2. Modificación.

3. Destrucción.

4. Bloqueo.

Las implementaciones específicas de las amenazas de información se denominan escenarios de amenazas de información.

La familiarización con la información confidencial puede darse de varias formas y formas, siendo lo esencial la ausencia de cambios en la información misma.

La violación de la confidencialidad o secreto de la información está asociada a la familiarización con ella por parte de aquellos a quienes no estaba destinada. Qué información es confidencial o secreta lo decide el dueño o dueña de esta información. También determinan el círculo de personas que tienen acceso a él. La violación de la confidencialidad de la información puede ocurrir a través de la familiarización con ella por parte de personas que no tienen derecho a hacerlo y la modificación no autorizada del sello de secreto (significado).

La modificación de la información tiene como objetivo cambiar propiedades como la confidencialidad, la confiabilidad, la integridad, lo que implica un cambio en la composición y el contenido de la información. La modificación de la información no implica su destrucción total.

La destrucción de información está dirigida, por regla general, a la integridad de la información y conduce a su destrucción completa. La violación de la integridad de la información es la pérdida de información. Si la información se pierde, desaparece para siempre y no se puede restaurar por ningún medio. La pérdida puede ocurrir por destrucción o destrucción del medio de almacenamiento o pérdida de este, por borrado de información en medios con grabación múltiple, por corte de energía en dispositivos con memoria volátil. Cuando se destruye la información, también se viola la propiedad de disponibilidad de la información.

El bloqueo de información conduce a la pérdida de acceso a ella, es decir, a la falta de información. La disponibilidad de la información radica en que el sujeto que tiene derecho a utilizarla debe poder recibirla oportunamente en la forma que le resulte conveniente. Si pierde el acceso a la información, aún existe, pero no puede usarla. Aquellos. el sujeto no puede leerlo, copiarlo, transferirlo a otro sujeto o presentarlo en una forma conveniente para su uso. La pérdida de acceso puede deberse a la ausencia o mal funcionamiento de algunos equipos de sistemas automatizados (SA), la ausencia de algún especialista o su calificación insuficiente, la ausencia o inoperatividad de algún software, el uso de recursos de los SA para procesar información ajena, la falla de los sistemas de soporte de AS, etc. Dado que la información no se pierde, se puede acceder a ella después de eliminar las causas de la pérdida de acceso.

Las amenazas a la información enumeradas pueden manifestarse en forma de un complejo de implementaciones secuenciales y paralelas. La realización de amenazas a la información asociadas con la violación de las propiedades de la información conduce a una violación del régimen de control y, en última instancia, a pérdidas morales y (o) materiales.

Las amenazas de información enumeradas anteriormente se pueden clasificar en las siguientes áreas:

por objetos:

personal,

valores materiales y financieros,

Información

por daño:

· Último,

importante,

· Insignificante;

por razones de apariencia

· Natural,

· intencional;

en relación con el objeto:

· Interno,

· Externo;

Según la naturaleza de la acción:

activo,

· Pasivo.

Las fuentes de información pueden ser tanto internas como externas. En la mayoría de los casos, dicha división se produce sobre una base territorial y sobre la base de la pertenencia al objeto de protección de la información.

Fuentes de información amenazas

La proporción de amenazas externas e internas en el nivel promedio se puede caracterizar de la siguiente manera:

· El 82% de las amenazas son cometidas por los propios trabajadores de la empresa o con su participación directa o indirecta;

· 17% de las amenazas provienen del exterior - amenazas externas;

· 1% de las amenazas son hechas por personas al azar.

Las amenazas de información son de naturaleza vectorial, es decir, persiguen siempre unos objetivos determinados y van dirigidos a objetos concretos.

Las fuentes de información confidencial son personas, documentos, publicaciones, medios técnicos, medios técnicos para garantizar actividades productivas y laborales, productos y desechos de producción.

Los objetos más importantes para garantizar la seguridad de la información en las áreas judiciales y de aplicación de la ley incluyen:

· recursos de información de los órganos ejecutivos federales que ejerzan funciones de aplicación de la ley, órganos judiciales, sus centros de información y computación, instituciones de investigación científica e instituciones educativas, que contengan información especial y datos operativos de carácter oficial;

· centros de información y cómputo, su soporte de información, técnico, software y normativo;

· infraestructura de la información (redes de información y computación, puntos de control, nodos y líneas de comunicación).

2.2 Amenazas a la información confidencial.

Para los sistemas de comunicación de la información, existe una disposición general que es muy importante para comprender la seguridad de la información en general. La información siempre está dirigida y siempre tiene un propietario. Además, la focalización no es arbitraria, sino determinada por el propietario de la información. Si este derecho se enfatiza en el mensaje (se indica la clasificación), entonces la información se vuelve confidencial. Al recibir esta información, el usuario no puede disponer de ella arbitrariamente, no le pertenece (si no hubo transferencia de propiedad).

La propiedad está determinada por la legislación vigente en el país. Según el tipo de propiedad, la información confidencial se puede clasificar en información estatal, comercial o personal. Tal correlación se realiza de forma subordinada, con una jerarquía descendente.

La lista de información que constituye un secreto de estado está formada por el estado en la persona de sus instituciones e instituciones. Esta información es de secreto obligatorio para las personas individuales, de menor rango, jurídicas y naturales del país.

La lista de información que define un secreto comercial está formada por una empresa comercial. También garantiza su seguridad y protección.

Un secreto personal es determinado por un individuo. Naturalmente, la seguridad y protección de esta información es su preocupación, aunque la protección legal pertenece al estado.

La posesión ilícita de información confidencial es posible debido a su divulgación por parte de las fuentes de información, debido a la fuga de información a través de medios técnicos y debido al acceso no autorizado a la información protegida.

Acciones conducentes a la posesión ilegal de información confidencial:

· divulgación,

· Una fuga,

· Acceso no autorizado.

1. La divulgación son acciones intencionales o negligentes con información confidencial que llevaron a que personas a las que no se les permitió acceder a ella se familiarizaran con ella.

La divulgación se expresa en la comunicación, transmisión, provisión, reenvío, publicación, pérdida y otras formas de intercambio y acciones con información confidencial. La divulgación se realiza a través de canales formales e informales de difusión de información.

Las comunicaciones formales incluyen reuniones de negocios, reuniones, negociaciones y formas similares de comunicación: el intercambio de documentos comerciales y científicos oficiales mediante la transmisión de información oficial (correo, teléfono, telégrafo, etc.).

Las comunicaciones informales incluyen la comunicación personal, exposiciones, seminarios, conferencias y otros eventos públicos, así como los medios de comunicación (prensa, periódicos, entrevistas, radio, televisión, etc.).

Como regla general, el motivo de la divulgación de información confidencial es el conocimiento insuficiente de las reglas para proteger los secretos y la incomprensión (o incomprensión) de la necesidad de su cuidadosa observancia por parte de los empleados. Es importante señalar aquí que el sujeto en este proceso es la fuente (propietario) de los secretos protegidos.

Cabe señalar las características informativas de esta acción. La información es significativa, significativa, ordenada, razonada, voluminosa y, a menudo, se entrega en tiempo real. A menudo hay una oportunidad para el diálogo. La información se centra en un área temática específica y está documentada. Para obtener la información de interés para el atacante, éste realiza un esfuerzo casi mínimo y utiliza medios técnicos legales simples.

2. Una fuga es una liberación incontrolada de información confidencial fuera de la organización o círculo de personas a quienes se le encomienda a través de canales técnicos de fuga de información.

La fuga de información se lleva a cabo a través de diversos canales técnicos. Se sabe que la información generalmente se transfiere o transmite ya sea por energía o por materia. Esto es ya sea acústica (sonido), o radiación electromagnética, o una hoja de papel, etc.

Con esto en mente, se puede argumentar que, por naturaleza física, son posibles las siguientes formas de transferir información: rayos de luz, ondas de sonido, ondas electromagnéticas, materiales y sustancias.

En consecuencia, los canales de fuga de información se clasifican en visual-ópticos, acústicos, electromagnéticos y tangibles. Un canal de fuga de información se entiende comúnmente como una ruta física desde una fuente de información confidencial hasta un atacante, a través de la cual este último puede acceder a información protegida.

Para la formación de un canal de fuga de información se requieren ciertas condiciones espaciales, energéticas y temporales, así como la presencia por parte del atacante de los equipos apropiados para recibir, procesar y fijar la información.

3. El acceso no autorizado es una posesión ilícita deliberada de información confidencial por parte de una persona que no tiene derecho a acceder a los secretos protegidos.

Para implementar estas acciones, un atacante debe penetrar el objeto protegido utilizando varios medios técnicos. Con el desarrollo de la tecnología informática, se hizo posible el acceso remoto no autorizado a la información protegida o, en otras palabras, la piratería informática.

En vista de lo anterior, queda por considerar qué condiciones contribuyen a la apropiación indebida de información confidencial:

ü Divulgación (habla excesiva de los empleados) - 32%;

ь Acceso no autorizado a través de soborno e inducción a cooperar por parte de competidores y bandas criminales - 24%;

ü Falta de control adecuado y condiciones estrictas para garantizar la seguridad de la información en la empresa - 14%;

ü Intercambio tradicional de experiencia industrial - 12%;

ü Uso descontrolado de los sistemas de información - 10%;

ь La presencia de requisitos previos para la aparición de conflictos entre los empleados - 8%.

2.3 Instrucciones de protección de la información

La literatura sugiere la siguiente clasificación de las herramientas de seguridad de la información.

Medios de protección contra el acceso no autorizado (NSD):

· Control de acceso obligatorio;

· Control de acceso selectivo;

control de acceso basado en roles;

· Diario (también llamado Auditoría).

· Sistemas de análisis y modelado de flujos de información (CASE-systems).

Sistemas de monitoreo de red:

· Sistemas de detección y prevención de intrusos (IDS/IPS).

analizadores de protocolos

· Herramientas antivirus.

· Cortafuegos.

· Herramientas criptográficas:

· Cifrado;

· Firma digital.

· Sistemas de respaldo.

Sistemas de alimentación ininterrumpida:

· Fuente de poder ininterrumpida;

· Redundancia de carga;

· Generadores de tensión.

· Sistemas de autenticación:

· Clave;

· Certificado;

· Biometría.

· el Medio de la profiláctica de la rotura de los armarios y los robos de la maquinaria.

· Medios de control de acceso a los locales.

· Herramientas de análisis de sistemas de protección:

· Producto de software de seguimiento.

Teniendo en cuenta la práctica establecida de garantizar la seguridad de la información, se distinguen las siguientes áreas de protección de la información:

1. Protección legal: son leyes especiales, otras reglamentaciones, reglas, procedimientos y medidas que garantizan la protección de la información sobre una base legal;

2. La protección organizativa es la regulación de las actividades y relaciones de los artistas intérpretes o ejecutantes sobre una base jurídica que excluya o dificulte significativamente la posesión ilícita de información confidencial y la manifestación de amenazas internas y externas.

3. La ingeniería y protección técnica es un conjunto de órganos, medios técnicos y medidas especiales para su utilización en aras de la protección de la información confidencial.

Para implementar la protección de la información, se crea un sistema de seguridad.

Por Sistema de Seguridad entenderemos el conjunto organizativo de órganos especiales, servicios, medios, métodos y medidas que aseguren la protección de los intereses vitales de las personas, las empresas y el Estado frente a amenazas internas y externas.

Como parte del sistema de seguridad, existe un sistema de protección de la información.

Soporte organizacional y de ingeniería de seguridad de la información.

La protección organizacional es la regulación de las actividades de producción y la relación de los artistas sobre una base legal que excluye o dificulta significativamente la posesión ilícita de información confidencial y la manifestación de amenazas internas y externas.

La protección organizacional proporciona:

organización de seguridad, régimen, trabajo con personal, con documentos;

· el uso de equipos técnicos de seguridad y actividades de información y análisis para identificar amenazas de seguridad internas y externas.

Las medidas organizativas juegan un papel esencial en la creación de un mecanismo confiable de protección de la información, ya que la posibilidad de uso no autorizado de información confidencial está determinada en gran medida no por aspectos técnicos, sino por acciones malintencionadas, negligencia, negligencia y negligencia de los usuarios o personal de seguridad. La influencia de estos aspectos es casi imposible de evitar con la ayuda de medios técnicos. Esto requiere un conjunto de medidas organizativas, legales y organizativas y técnicas que excluyan (o al menos minimicen) la posibilidad del peligro de la información confidencial.

Las medidas organizativas son medidas de carácter restrictivo, que se reducen principalmente a la regulación del acceso y uso de medios técnicos de tratamiento de la información. Por regla general, los lleva a cabo la propia organización utilizando las medidas organizativas más simples.

Las principales actividades organizativas incluyen:

organización del régimen y protección. Su objetivo es excluir la posibilidad de entrada secreta en el territorio y en los locales de personas no autorizadas; asegurar la conveniencia de controlar el paso y movimiento de empleados y visitantes;

· Creación de zonas industriales separadas según el tipo de trabajo confidencial con sistemas de acceso independientes;

control y cumplimiento del régimen temporal de trabajo y permanencia en el territorio del personal de la empresa;

organización y mantenimiento de un control de acceso fiable y control de empleados y visitantes, etc.;

organización del trabajo con empleados, que prevé la selección y colocación de personal, incluida la familiarización con los empleados, su estudio, capacitación en las reglas para trabajar con información confidencial, familiarización con las medidas de responsabilidad por violación de las reglas de protección de información, etc.;

organización del trabajo con documentos e información documentada, incluida la organización del desarrollo y uso de documentos y soportes de información confidencial, su contabilidad, ejecución, devolución, almacenamiento y destrucción;

organización del uso de medios técnicos para recopilar, procesar, acumular y almacenar información confidencial;

organización del trabajo sobre el análisis de amenazas internas y externas a la información confidencial y el desarrollo de medidas para garantizar su protección;

organización del trabajo sobre la realización de un control sistemático sobre el trabajo del personal con información confidencial, el procedimiento para registrar, almacenar y destruir documentos y medios técnicos.

En cada caso, las medidas organizativas tienen una forma y un contenido específico para esta organización, encaminadas a garantizar la seguridad de la información en unas condiciones concretas.

Determinación de los límites de la zona protegida (territorio);

Definición de medios técnicos utilizados para procesar información confidencial dentro del territorio controlado;

Definición de "peligroso", desde el punto de vista de la posibilidad de formación de canales de fuga de información, medios técnicos y características de diseño de edificios y estructuras;

Identificación de posibles vías de penetración a fuentes de información confidencial por parte de malhechores;

· Implantación de medidas para detectar, identificar y controlar la prestación de protección de datos por todos los medios disponibles.

Las medidas organizativas se expresan en determinadas medidas restrictivas. Es posible señalar medidas restrictivas como territoriales, espaciales y temporales.

Las restricciones territoriales se reducen a la hábil ubicación de fuentes en el suelo o en edificios y locales, excluyendo la escucha de las comunicaciones o la interceptación de señales por medios electrónicos.

Las restricciones espaciales se expresan en la elección de direcciones para la emisión de ciertas señales en la dirección de la menor posibilidad de su interceptación por intrusos.

Las restricciones temporales se manifiestan en la reducción al mínimo del tiempo de funcionamiento de los medios técnicos, el uso de medios de comunicación ocultos, el cifrado y otras medidas de protección.

Una de las tareas más importantes de la actividad organizativa es determinar el estado de seguridad técnica de la instalación, sus instalaciones, la preparación e implementación de medidas organizativas que excluyan la posibilidad de posesión ilegal de información confidencial, la prohibición de su divulgación, fuga y acceso no autorizado a los secretos protegidos.

Un área específica de medidas organizativas es la organización de la protección de computadoras personales, sistemas de información y redes.

La ingeniería y la protección técnica es un conjunto de órganos especiales, medios técnicos y medidas para su uso en aras de la protección de la información confidencial.

Los medios de ingeniería y protección técnica según su finalidad funcional, los medios de ingeniería y protección técnica se clasifican en los siguientes grupos:

- medios físicos, incluidos diversos medios y estructuras que impiden la penetración física (o el acceso) de intrusos a los objetos de protección y a los portadores materiales de información confidencial y protegen al personal, los recursos materiales, las finanzas y la información de influencias ilegales;

ferretería. Dispositivos, dispositivos, accesorios y otras soluciones técnicas utilizadas en aras de la seguridad de la información;

- software, que abarca programas especiales, sistemas de software y sistemas de seguridad de la información en sistemas de información para diversos fines y medios de procesamiento (recopilación, acumulación, almacenamiento, procesamiento y transmisión) de datos;

- medios criptográficos, medios matemáticos y algorítmicos especiales para proteger la información transmitida a través de sistemas y redes de comunicación, almacenada y procesada en una computadora utilizando varios métodos de encriptación.

Obviamente, tal división de herramientas de seguridad de la información es bastante arbitraria, ya que en la práctica muy a menudo interactúan y se implementan en combinación en forma de módulos de software y hardware con un uso extensivo de algoritmos de cierre de información.

Los medios físicos son una variedad de dispositivos, accesorios, estructuras, dispositivos, productos diseñados para crear obstáculos al movimiento de intrusos.

Los medios físicos incluyen la ingeniería mecánica, electromecánica, electrónica, electroóptica, de radio y otros dispositivos para evitar el acceso no autorizado (entrada, salida), el transporte (realización) de medios y materiales y otros posibles tipos de actos delictivos.

Estas herramientas se utilizan para resolver las siguientes tareas:

Proteger el territorio de la empresa y monitorearlo;

Protección de edificios, locales internos y control sobre los mismos;

Protección de equipos, productos, finanzas e información;

Implantación de accesos controlados a edificios y locales.

Todos los medios físicos para proteger objetos se pueden dividir en tres categorías: herramientas de advertencia, herramientas de detección y sistemas de eliminación de amenazas. Las alarmas de seguridad y CCTV, por ejemplo, son herramientas de detección de amenazas. Las vallas alrededor de los objetos son un medio para evitar la entrada no autorizada en el territorio, y las puertas, paredes, techos, rejas de ventanas y otras medidas reforzadas sirven como protección contra la penetración y otros actos delictivos (escuchas, bombardeos, lanzamiento de granadas y explosivos, etc.) . Los extintores de incendios se clasifican como sistemas de eliminación de amenazas.

En términos generales, de acuerdo con la naturaleza física y el propósito funcional, todos los medios de esta categoría se pueden dividir en los siguientes grupos:

Sistemas de seguridad y seguridad contra incendios;

Televisión de seguridad;

iluminación de seguridad;

Medios de protección física.

El hardware de protección de la información incluye las estructuras técnicas más diversas en términos de principio de funcionamiento, dispositivo y capacidades, que garantizan la supresión de la divulgación, la protección contra fugas y la contrarrestación del acceso no autorizado a las fuentes de información confidencial.

Las herramientas de protección de información de hardware se utilizan para resolver las siguientes tareas:

Realización de estudios especiales de medios técnicos de aseguramiento de las actividades productivas por la presencia de posibles canales de fuga de información;

Identificación de canales de fuga de información en diferentes objetos y locales;

Localización de canales de fuga de información;

Búsqueda y detección de medios de espionaje industrial;

Contrarrestar el acceso no autorizado a fuentes de información confidencial y otras acciones.

Un grupo especial incluye la protección de hardware de computadoras y sistemas de comunicación basados ​​​​en ellos.

Las herramientas de protección de hardware se utilizan tanto en PC individuales como en varios niveles y secciones de la red: en las unidades centrales de procesamiento de las computadoras, en su memoria operativa (RAM), controladores de entrada-salida, memoria externa, terminales, etc.

Para proteger las unidades centrales de procesamiento (CPU), se utiliza la redundancia de código: la creación de bits adicionales en los formatos de instrucciones de máquina (bits de seguridad) y registros de reserva (en dispositivos de CPU). Al mismo tiempo, se proporcionan dos posibles modos de operación del procesador, que separan las operaciones auxiliares de las operaciones de solución directa de los problemas del usuario. Para ello, se utiliza un sistema de interrupción especial implementado por hardware.

Una de las medidas de protección del hardware de las computadoras y redes de información es la restricción del acceso a la memoria RAM mediante el establecimiento de límites o campos. Para ello se crean registros de control y registros de protección de datos. También se utilizan bits de paridad adicionales, una variación del método de reserva de código.

Para indicar el grado de confidencialidad de los programas y datos, se utilizan categorías de usuarios, bits, llamados bits de confidencialidad (son dos o tres bits adicionales que codifican las categorías de privacidad de usuarios, programas y datos).

Se utiliza un esquema de borrado especial para evitar que los datos restantes se lean en la RAM después del procesamiento. En este caso, se genera un comando para borrar la memoria RAM y se indica la dirección del bloque de memoria, el cual debe ser liberado de información. Este esquema escribe ceros o alguna otra secuencia de caracteres en todas las celdas de un bloque de memoria determinado, lo que garantiza que los datos cargados previamente se borren de manera confiable.

Las protecciones de hardware también se utilizan en los terminales de usuario. Para evitar la fuga de información cuando se conecta un terminal no registrado, es necesario identificar (determinar automáticamente el código o número) del terminal desde el cual se recibió la solicitud antes de emitir los datos solicitados. En el modo multiusuario, esta identificación del terminal no es suficiente. Es necesario autenticar al usuario, es decir, establecer su identidad y autoridad. Esto también es necesario porque los diferentes usuarios registrados en el sistema solo pueden tener acceso a archivos individuales y permisos estrictamente limitados para usarlos.

Para la identificación del terminal se utiliza con mayor frecuencia el generador de códigos incluido en el hardware del terminal, y para la autenticación del usuario, hardware como llaves, tarjetas de códigos personales, identificadores personales, dispositivos de reconocimiento de la voz del usuario o la forma de sus dedos. Pero los medios de autenticación más comunes son las contraseñas que no se verifican mediante hardware, sino mediante herramientas de identificación de software.

Herramientas de protección de software.

Los medios para proteger una computadora de la intrusión de otra persona son muy diversos y se pueden clasificar en grupos como:

l Autoprotección proporcionada por software común. Elementos de seguridad inherentes al propio software o que acompañan a su venta.

l Medios de protección como parte de un sistema informático. Protección de equipos, discos y dispositivos estándar. La ejecución de los programas depende de ciertas acciones, precauciones especiales.

b Protecciones con solicitud de información. Requerir que se ingrese información adicional para identificar la autoridad del usuario.

b Medios de protección activa. Se inicia cuando surgen circunstancias especiales (entrada de contraseña incorrecta, etc.).

b Medios de protección pasiva. Dirigidas a la alerta, control, búsqueda de pruebas, etc.

Se pueden distinguir las siguientes áreas de uso de los programas para garantizar la seguridad de la información confidencial:

Protección de la información contra el acceso no autorizado;

Protección de la información y los programas contra la copia;

Protección de información y programas contra virus;

Software de protección de los canales de comunicación.

Para cada una de estas áreas, hay una cantidad suficiente de productos de software de alta calidad desarrollados por organizaciones profesionales y distribuidos en los mercados.

El software de protección tiene los siguientes tipos de programas especiales:

Identificación de medios técnicos, archivos y autenticación de usuarios;

Registro y control del funcionamiento de medios técnicos y usuarios;

Mantenimiento de modos restringidos de procesamiento de información;

Protección de medios operativos de ordenadores y programas de aplicación de usuarios;

Destrucción de información en la memoria después de su uso;

Control de uso de recursos;

Programas auxiliares de protección para diversos fines.

Protecciones criptográficas

Transformación por métodos matemáticos de un mensaje secreto, conversación telefónica o datos informáticos transmitidos a través de canales de comunicación de forma que resulten completamente incomprensibles para personas no autorizadas.

Las medidas organizativas y técnicas aseguran el bloqueo de la divulgación y fuga de información confidencial a través de los medios técnicos para garantizar la producción y las actividades laborales, así como contrarrestar los medios técnicos del espionaje industrial con la ayuda de medios técnicos especiales instalados en los elementos estructurales de los locales del edificio. y medios técnicos que potencialmente forman canales de fuga de información.

Para estos fines es posible utilizar:

Medios técnicos de protección pasiva, por ejemplo, filtros limitadores y medios similares de desacoplamiento de sistemas de protección acústica eléctrica y electromagnética para redes telefónicas, de alimentación, radio, etc.

Medios técnicos de protección activa: ruido acústico y sensores de interferencias electromagnéticas.

Las medidas organizativas y técnicas para proteger la información se pueden dividir en espaciales, de régimen y energéticas.

Las medidas espaciales se expresan en la reducción del ancho del patrón de radiación, debilitando los lóbulos laterales y posteriores del patrón de radiación de los equipos radioelectrónicos (RES).

Las medidas del régimen se reducen al uso de métodos ocultos de transmisión de información por medios de comunicación: encriptación, frecuencias de transmisión cuasi-variable, etc.

La energía es una disminución en la intensidad de la radiación y el funcionamiento de RES a potencias reducidas.

Las medidas técnicas son medidas que aseguran la adquisición, instalación y uso en el proceso de actividades de producción de medios o medios técnicos especiales, protegidos de la radiación lateral (seguros), cuyo PEMI no excede el límite del área protegida.

Las medidas técnicas para proteger la información confidencial se pueden dividir en ocultamiento, supresión y desinformación.

El ocultamiento se expresa en el uso del silencio de radio y la creación de interferencia pasiva a los medios de recepción de los intrusos.

La supresión es la creación de una interferencia activa con los medios de los intrusos.

La desinformación es la organización de trabajos falsos de medios técnicos de comunicación y procesamiento de información; cambios en los modos de uso de frecuencias y regulaciones de comunicación; mostrando falsas señales de desenmascaramiento de actividad e identificación.

Las medidas de protección de carácter técnico pueden estar dirigidas a un dispositivo técnico específico o un equipo específico y se expresan en medidas tales como apagar el equipo durante las negociaciones confidenciales o usar ciertos dispositivos de protección como limitadores, filtros amortiguadores y dispositivos de ruido.

2.4 sistema de seguridad de la información

integridad de la seguridad de la información

Bajo el Sistema de Seguridad entenderemos el conjunto organizativo de órganos especiales, servicios, medios, métodos y medidas que aseguren la protección de los intereses vitales de las personas, empresas, el estado de amenazas internas y externas.

Sistema de seguridad

l Desarrollo de planes y medidas para proteger la información;

ü Formación, dotación y desarrollo de cuerpos, fuerzas y medios para garantizar la seguridad;

ü Restauración de objetos protegidos

l Identificación de la amenaza;

l Prevención de amenazas;

ü Neutralización de amenazas;

l Supresión de amenazas;

l localización de la amenaza;

b Reflejo de amenaza;

ü Destruyendo la amenaza

Un sistema de seguridad de la información (SPI) es un conjunto organizado de cuerpos especiales de medios, métodos y actividades que aseguran la protección de la información de amenazas internas y externas.

Desde el punto de vista de un enfoque sistemático de la seguridad de la información, se imponen ciertos requisitos. La seguridad de la información debe ser:

1. Continuo.

2. Planeado. Cada servicio desarrolla un plan de seguridad de la información en el ámbito de su competencia.

3. Enfocado. Lo que se defiende es lo que debe ser defendido en interés de un objetivo particular.

4. Específico. Se protegen los datos específicos que son objetivamente objeto de protección.

5. Activo.

6. Confiable.

7. Universales. Se aplica a cualquier canal de fuga de información.

8. Integral. Se aplican todos los tipos y formas de protección necesarios.

Para implementar estos requisitos, la instalación de seguridad de la información podrá contar con el siguiente apoyo:

1. Legales.

2. Organizacional. Varios tipos de servicios.

3. Ferretería. Medios técnicos de protección de la información.

4. Información. Información, datos, indicadores.

5. Software. Programas.

6. Matemática. Métodos matemáticos.

7. Lingüística. Idioma medio de comunicación.

8. Normativa y metodológica. Reglamento de las actividades de los servicios, métodos prácticos.

Las vías son el procedimiento y las técnicas para utilizar las fuerzas y los medios para lograr el objetivo de proteger la información confidencial.

Las formas de proteger la información es un conjunto de técnicas, fuerzas y medios que aseguran la confidencialidad, integridad, completitud y disponibilidad de la información, y contrarrestan las amenazas internas y externas.

Garantizar la seguridad de la información se logra mediante un sistema de medidas destinadas a:

prevención de amenazas. La prevención de amenazas es una medida preventiva para garantizar la seguridad de la información con el fin de prevenir la posibilidad de que ocurran;

Identificación de amenazas. La identificación de amenazas se expresa en el análisis y control sistemático de la posibilidad de aparición de amenazas reales o potenciales y de las medidas oportunas para prevenirlas;

detección de amenazas. La detección tiene como objetivo identificar amenazas reales y actos delictivos específicos;

Localización de actos delictivos y adopción de medidas para eliminar la amenaza o actos delictivos específicos;

· eliminación de las consecuencias de las amenazas y actos delictivos y restauración del statu quo.

La prevención de posibles amenazas y acciones ilegales puede garantizarse mediante una variedad de medidas y medios, que van desde la creación de un clima de actitud profundamente consciente de los empleados hacia el problema de la seguridad y la protección de la información hasta la creación de un sistema de protección profundo y en capas por medio de dispositivos físicos y de hardware. , software y medios criptográficos.

La prevención de amenazas también es posible obteniendo (y, si lo desea, obteniendo) información sobre actos ilegales inminentes, robo planeado, acciones preparatorias y otros elementos de actos delictivos. Para estos efectos, es necesario que los agentes de seguridad trabajen con informantes para observar y evaluar objetivamente la situación tanto dentro del equipo de empleados, especialmente en las secciones principales de su empresa, como fuera, entre competidores y grupos criminales.

En la prevención de amenazas, la información y las actividades analíticas del servicio de seguridad juegan un papel muy importante a partir de un análisis profundo de la situación criminogénica y de las actividades de los competidores e intrusos.

La finalidad de la detección es realizar actividades de recolección, acumulación y procesamiento analítico de información sobre la posible preparación de hechos delictivos por parte de estructuras criminales o competidores en el mercado de producción y venta de bienes y productos.

La detección de amenazas es una acción para identificar amenazas específicas y sus fuentes que traen uno u otro tipo de daño. Tales acciones incluyen la detección de hechos de robo o fraude, así como hechos de divulgación de información confidencial o casos de acceso no autorizado a fuentes de secretos comerciales.

La prevención o localización de amenazas son acciones encaminadas a eliminar la amenaza actual y acciones delictivas específicas. Por ejemplo, la supresión de las escuchas de comunicaciones confidenciales por el canal acústico de fuga de información a través de los sistemas de ventilación.

La eliminación de las consecuencias tiene como objetivo restaurar el estado de la amenaza que precedió al inicio.

Es natural suponer que cada tipo de amenaza tiene sus métodos, fuerzas y medios específicos.

Conclusión

Dado que el factor humano es clave para garantizar un nivel adecuado de seguridad, todos los empleados deben ser conscientes de las posibles amenazas y problemas y deben implementar la política de seguridad de la información de la empresa en su trabajo. Para lograr esto, se debe brindar capacitación a los empleados que tienen acceso a información crítica.

El servicio de seguridad de la empresa debe velar por la seguridad física y el control de acceso a los recursos:

· Los lugares de trabajo de los empleados, los laboratorios y las salas de servidores deben ubicarse en salas separadas;

· El acceso a los recursos, así como la seguridad dentro del centro de desarrollo de la empresa deben ser controlados de manera efectiva para garantizar la continuidad de los procesos productivos;

· El acceso a locales con sistemas costosos y portadores de información confidencial debe ser monitoreado las 24 horas del día.

La empresa también debe desarrollar e implementar un plan de continuidad del negocio. Este plan debe identificar los principales riesgos y amenazas a la seguridad, los métodos para prevenir la parada de los procesos productivos clave y su recuperación después de situaciones de emergencia. El plan debe incluir auditorías internas regulares, ejercicios de recuperación de desastres y respuesta de emergencia.

Las medidas técnicas para evitar la fuga de información incluyen la introducción de sistemas de información de la clase ILDP (Detección y prevención de fugas de información) en la empresa. Son herramientas diseñadas para implementar políticas de seguridad de la información. Los medios técnicos deben analizar la información transmitida a través de los posibles canales y, en caso de detección de información confidencial, evitar su fuga de acuerdo con las normas y políticas de seguridad de la información de la empresa.

Es importante recordar que la protección universal al 100% contra la fuga de información no existe en ninguna parte y nunca existirá. Por lo tanto, el grado de protección de la información contra fugas se puede definir como la relación entre los costos de protección y el costo de la información más protegida.

Lista yusamosoh literatura

1. Barman Scott. Desarrollo de reglas de seguridad de la información. M.: Williams, 2002. - 208 p. -- ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Bastrikov, M. V. Tecnologías de la información de gestión: libro de texto /M.V.Bastrikov, O.P.Ponomarev; Instituto "KVSHU". - Kaliningrado: Editorial del Instituto "KVSHU", 2005

3. Domarev VV Seguridad de las tecnologías de la información. Enfoque sistémico - K.: OOO TID Dia Soft, 2004. - 992 p.

4. Zapechnikov S. V., Miloslavskaya N. G., Tolstoy A. I., Ushakov D. V. Seguridad de la información de sistemas abiertos. En 2 vols.

5. Seguridad de la información y protección de la información: Libro de texto. - Rostov-on-Don: Instituto de Derecho de Rostov del Ministerio del Interior de Rusia, 2004. - 82 p.

6. Shangin VF Protección de la información informática. Métodos y medios efectivos. M.: DMK Press, 2008. - 544 p. -- ISBN 5-94074-383-8.

7. Shcherbakov A. Yu. Seguridad informática moderna. Bases teóricas. Aspectos prácticos. - M .: Knizhny Mir, 2009. - 352 p. -- ISBN 978-5-8041-0378-2.

8. "Servicio de seguridad de la información: primeros pasos" //ComputerPress 9 "2008 (http://www.compress.ru/Index.aspx)

Alojado en Allbest.ru

...

Documentos similares

El estado de protección de la información y el entorno de información de influencias accidentales o intencionales. Objetivos de la seguridad de la información, clasificación de amenazas. Garantizar la confidencialidad, integridad, disponibilidad de la información; protección jurídica de una persona.

presentación, añadido el 11/04/2016


Clasificación de la información por significado. Categorías de confidencialidad e integridad de la información protegida. El concepto de seguridad de la información, fuentes de amenazas de información. Instrucciones de protección de la información. Métodos criptográficos de protección del software.

documento final, agregado el 21/04/2015


La influencia del tipo de actividad empresarial en la organización de un sistema integrado de seguridad de la información. Contenido de la información protegida. Canales potenciales de acceso no autorizado a la información de la organización. La eficacia del sistema de seguridad de la información.

informe de práctica, añadido el 31/10/2013


El concepto, significado y direcciones de la seguridad de la información. Un enfoque sistemático para organizar la seguridad de la información, protegiendo la información del acceso no autorizado. Medios de protección de la información. Métodos y sistemas de seguridad de la información.

resumen, añadido el 15/11/2011


El concepto y principios básicos para garantizar la seguridad de la información. El concepto de seguridad en los sistemas automatizados. Fundamentos de la legislación de la Federación Rusa en el campo de la seguridad de la información y los procesos de certificación, licencia y protección de la información.

curso de conferencias, añadido el 17/04/2012


Los principales aspectos de garantizar la seguridad de la información, la confidencialidad y la integridad de la información. Ejemplos de amenazas que constituyen una violación a la integridad y disponibilidad de la información. Sujetos, objetos y operaciones en los sistemas de información, derechos de acceso.

prueba, añadido el 30/12/2010


Análisis de la seguridad de la información de una organización que presta servicios de impresión de imágenes (prints), logos, slogans. Medios de archivo de la información. Clasificación de virus informáticos, programas antivirus. Prevención de infecciones informáticas.

informe de práctica, añadido el 19/12/2014


Modelos estructurales y espaciales del banco. Precios unitarios condicionales de la información. Modelado de amenazas a la seguridad. El sistema de rangos de los canales técnicos más peligrosos de fuga de información. Requisitos para la organización de la seguridad de la información en la empresa.

prueba, añadido el 24/04/2014


Bajo la seguridad de la información de los sistemas se entiende el mantenimiento de la seguridad física, la confidencialidad, la confiabilidad, la oportunidad de la información, la operatividad garantizada de los medios utilizados para el ingreso, almacenamiento, procesamiento y transmisión de los datos.

documento final, agregado el 29/11/2008


Requisitos de información: disponibilidad, integridad y confidencialidad. El modelo CIA como seguridad de la información, basado en la protección de la disponibilidad, integridad y confidencialidad de la información. Amenazas directas e indirectas, medios de protección de la información.

Anotación: La conferencia trata sobre los conceptos básicos de la seguridad de la información. Familiarización con la Ley Federal "De la Información, Tecnologías de la Información y Protección de la Información".

GOST " Protección de Datos. Términos y definiciones básicos" introduce el concepto seguridad de información como un estado de seguridad de la información, en el que se proporciona confidencialidad, disponibilidad e integridad .

• Confidencialidad- el estado de la información en el que el acceso a ella se realiza únicamente por los sujetos que tienen derecho a ella.
• Integridad- el estado de la información en el que no hay alteración en la misma o la alteración se realiza sólo de forma intencionada por los sujetos que tienen derecho a ella;
• Disponibilidad- el estado de la información, en el que los sujetos con derecho de acceso puedan ejercerlo sin trabas.

Amenazas a la seguridad de la información- un conjunto de condiciones y factores que crean un peligro potencial o real de violación de la seguridad de la información [ , ]. Ataque se llama un intento de implementar una amenaza, y el que hace tal intento - intruso. Los atacantes potenciales se llaman fuentes de amenaza.

La amenaza es el resultado de vulnerabilidades o vulnerabilidades en el sistema de información. Las vulnerabilidades pueden surgir por varias razones, por ejemplo, como resultado de errores no intencionales de los programadores al escribir programas.

Las amenazas se pueden clasificar según varios criterios:

• en propiedades de la información(disponibilidad, integridad, confidencialidad), contra los cuales se dirigen las amenazas en primer lugar;
• por los componentes de los sistemas de información a los que se dirigen las amenazas (datos, programas, hardware, infraestructura de apoyo);
• según el método de implementación (acciones accidentales / intencionales, naturales / provocadas por el hombre);
• por la ubicación de la fuente de amenazas (dentro/fuera del SI considerado).

Garantizar la seguridad de la información es una tarea compleja que requiere Un enfoque complejo. Existen los siguientes niveles de protección de la información:

1. legislativo: leyes, reglamentos y otros documentos de la Federación Rusa y la comunidad internacional;
2. administrativo - un conjunto de medidas tomadas localmente por la dirección de la organización;
3. nivel procesal - medidas de seguridad implementadas por personas;
4. nivel de software y hardware- medios directos de protección de la información.

El nivel legislativo es la base para la construcción de un sistema de seguridad de la información, ya que brinda conceptos básicos área temática y determina el castigo para los posibles intrusos. Este nivel cumple una función de coordinación y orientación y ayuda a mantener una actitud negativa (y punitiva) de la sociedad hacia las personas que vulneran la seguridad de la información.

1.2. Ley Federal "Sobre la información, las tecnologías de la información y la protección de la información"

En la legislación rusa, la ley básica en el campo de la protección de la información es la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información" del 27 de julio de 2006, No. 149-FZ. Por lo tanto, los conceptos y decisiones básicos consagrados en la ley requieren una cuidadosa consideración.

La ley regula las relaciones derivadas de:

• ejercer el derecho a buscar, recibir, transferir, producir y difundir información;
• aplicación de tecnologías de la información;
• garantizar la protección de la información.

La ley proporciona definiciones básicas en el campo de la protección de la información. Éstos son algunos de ellos:

• información- información (mensajes, datos) independientemente de la forma de su presentación;
• Tecnologías de la información- procesos, métodos para buscar, recopilar, almacenar, procesar, proporcionar, difundir información y métodos para implementar dichos procesos y métodos;
• Sistema de informacion- un conjunto de información contenida en bases de datos y tecnologías de la información y medios técnicos que aseguren su procesamiento;
• dueño de la información- una persona que haya creado información de forma independiente o que haya recibido, sobre la base de una ley o un acuerdo, el derecho de permitir o restringir el acceso a la información determinado por cualquier signo;
• operador del sistema de información- un ciudadano o una persona jurídica dedicada a la operación de un sistema de información, incluido el procesamiento de la información contenida en sus bases de datos.
• confidencialidad de la información- un requisito obligatorio para una persona que ha obtenido acceso a cierta información de no transferir dicha información a terceros sin el consentimiento de su titular.

El artículo 4 de la Ley formula los principios de regulación jurídica de las relaciones en el campo de la información, la tecnología de la información y la protección de la información:

1. libertad de buscar, recibir, transmitir, producir y distribuir información en cualquier forma legal;
2. establecimiento de restricciones al acceso a la información únicamente por leyes federales;
3. apertura de la información sobre las actividades de los órganos estatales y de los órganos de autogobierno local y libre acceso a dicha información, salvo en los casos establecidos por las leyes federales;
4. igualdad de idiomas de los pueblos de la Federación Rusa en la creación de sistemas de información y su operación;
5. garantizar la seguridad de la Federación Rusa en la creación de sistemas de información, su operación y protección de la información contenida en ellos;
6. confiabilidad de la información y oportunidad de su provisión;
7. privacidad, la inadmisibilidad de recolectar, almacenar, usar y difundir información sobre la vida privada de una persona sin su consentimiento;
8. la inadmisibilidad de establecer mediante actos jurídicos reglamentarios las ventajas del uso de unas tecnologías de la información sobre otras, a menos que las leyes federales establezcan la obligatoriedad del uso de ciertas tecnologías de la información para la creación y operación de los sistemas de información estatales.

Toda la información se divide en público y limitado acceso. La información disponible públicamente incluye información generalmente conocida y otra información, cuyo acceso no está limitado. La ley define la información a la que no se puede restringir el acceso, como la información sobre el medio ambiente o las actividades de las agencias gubernamentales. También se estipula que Limitación de acceso a la información se establece por las leyes federales con el fin de proteger los fundamentos del orden constitucional, la moral, la salud, los derechos y los intereses legítimos de otras personas, para garantizar la defensa de la patria y la seguridad del estado. Es obligatorio mantener la confidencialidad de la información, cuyo acceso está limitado por las leyes federales.

Está prohibido exigir a un ciudadano (individuo) que proporcione información sobre su vida privada, incluida la información que constituya un secreto personal o familiar, y recibir dicha información contra la voluntad del ciudadano (individuo), a menos que las leyes federales dispongan lo contrario.

1. información distribuida libremente;
2. información proporcionada por acuerdo de las personas que participan en la relación relevante;
3. información que, de conformidad con las leyes federales, esté sujeta a suministro o difusión;
4. información cuya difusión en la Federación de Rusia está restringida o prohibida.

La ley establece la equivalencia de un mensaje electrónico firmado con firma digital electrónica u otra análoga a la firma manuscrita, y un documento firmado de puño y letra.

Se da la siguiente definición de seguridad de la información - es la adopción de medidas legales, organizativas y técnicas dirigidas a:

1. garantizar la protección de la información contra el acceso no autorizado, la destrucción, la modificación, el bloqueo, la copia, el suministro, la distribución, así como de otras acciones ilegales en relación con dicha información;
2. observancia de la confidencialidad de la información de acceso limitado;
3. ejercicio del derecho de acceso a la información.

El propietario de la información, el operador del sistema de información, en los casos establecidos por la legislación de la Federación Rusa, están obligados a garantizar:

1. prevención del acceso no autorizado a la información y (o) su transferencia a personas que no tienen derecho a acceder a la información;
2. detección oportuna de hechos de acceso no autorizado a la información;
3. prevención de la posibilidad de consecuencias adversas de la violación del orden de acceso a la información;
4. prevención del impacto en los medios técnicos de procesamiento de información, como resultado de lo cual se interrumpe su funcionamiento;
5. la posibilidad de recuperación inmediata de la información modificada o destruida debido al acceso no autorizado a la misma;
6. control constante para garantizar el nivel de seguridad de la información.

Por lo tanto, la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información" crea la base legal para el intercambio de información en la Federación Rusa y determina los derechos y obligaciones de sus sujetos.

Seguridad de información, así como la protección de la información, la tarea es compleja, encaminada a garantizar la seguridad, implementado por la introducción de un sistema de seguridad. El problema de la seguridad de la información es multifacético y complejo y abarca una serie de tareas importantes. Los problemas de seguridad de la información se ven constantemente agravados por los procesos de penetración en todos los ámbitos de la sociedad de los medios técnicos de tratamiento y transmisión de datos y, sobre todo, de los sistemas informáticos.

A la fecha se han formulado tres principios básicos que deben garantizar la seguridad de la información:

integridad de datos: protección contra fallas que conducen a la pérdida de información, así como protección contra la creación o destrucción no autorizada de datos;

confidencialidad de la información;

A la hora de desarrollar sistemas informáticos, el fallo o los errores en los que pueden acarrear graves consecuencias, hacen que las cuestiones de seguridad informática se conviertan en una prioridad. Son muchas las medidas conocidas encaminadas a garantizar la seguridad informática, siendo las principales de carácter técnico, organizativo y legal.

Garantizar la seguridad de la información es costoso, no solo por el costo de comprar o instalar seguridad, sino también porque es difícil determinar de manera experta los límites de seguridad razonable y garantizar que el sistema se mantenga adecuadamente en un estado saludable.

Las herramientas de seguridad no deben diseñarse, comprarse o instalarse hasta que se haya realizado un análisis adecuado.

El sitio analiza la seguridad de la información y su lugar en el sistema de seguridad nacional, identifica intereses vitales en la esfera de la información y amenazas para ellos. Se consideran los temas de guerra de información, armas de información, principios, tareas y funciones principales para garantizar la seguridad de la información, funciones del sistema estatal para garantizar la seguridad de la información, estándares nacionales y extranjeros en el campo de la seguridad de la información. También se presta una atención considerable a los aspectos legales de la seguridad de la información.

También se consideran los temas generales de seguridad de la información en los sistemas de tratamiento automatizado de datos (ASOD), el sujeto y objetos de la protección de la información, y las tareas de protección de la información en la ANPC. Se consideran los tipos de amenazas de seguridad intencionales y los métodos de protección de la información en ASOD. Se consideran métodos y medios para autenticar a los usuarios y delimitar su acceso a los recursos informáticos, controlar el acceso a los equipos, usar contraseñas simples y dinámicamente cambiantes, modificar esquemas de contraseñas simples y métodos funcionales.

Principios básicos para construir un sistema de seguridad de la información.

Al construir un sistema de seguridad de la información para un objeto, uno debe guiarse por los siguientes principios:

La continuidad del proceso de mejora y desarrollo del sistema de seguridad de la información, que consiste en fundamentar e implementar los métodos, métodos y formas más racionales de proteger la información, monitorear continuamente, identificar cuellos de botella y debilidades y posibles canales de fuga de información y acceso no autorizado.

Uso integral de todo el arsenal de medios de protección disponibles en todas las etapas de producción y procesamiento de la información. Al mismo tiempo, todos los medios, métodos y medidas utilizados se combinan en un mecanismo único e integral: un sistema de seguridad de la información.

Supervisar el funcionamiento, actualizar y complementar los mecanismos de protección en función de la evolución de posibles amenazas internas y externas.

Formación adecuada de los usuarios y cumplimiento de todas las prácticas de privacidad establecidas. Sin este requisito, ningún sistema de seguridad de la información puede proporcionar el nivel de protección requerido.

La condición más importante para garantizar la seguridad es la legalidad, la suficiencia, el equilibrio de intereses del individuo y de la empresa, la responsabilidad mutua del personal y la dirección, la interacción con los organismos estatales encargados de hacer cumplir la ley.

10) Etapas de la construcción de la seguridad de la información

Etapas de la construcción.

1. Análisis integral del sistema de información

empresas en varios niveles. Análisis de riesgo.

2. Desarrollo de sistemas organizativos y administrativos y

documentos reglamentarios.

3. Formación, desarrollo profesional y

reentrenamiento de especialistas.

4. Reevaluación anual del estado de la información

seguridad empresarial

11) cortafuegos

Firewalls y paquetes antivirus.

Un firewall (a veces llamado firewall) ayuda a mejorar la seguridad de su computadora. Limita la información que llega a su computadora desde otras computadoras, brindándole más control sobre los datos en su computadora y brindándole a su computadora una línea de defensa contra personas o programas (incluidos virus y gusanos) que intentan conectarse a su computadora en una manera no autorizada. Puede pensar en un firewall como un puesto fronterizo que verifica la información (a menudo denominada tráfico) proveniente de Internet o de una red local. Durante esta verificación, el cortafuegos rechaza o permite la entrada de información a la computadora según la configuración que haya configurado.

¿Contra qué protege el cortafuegos?

Un cortafuegos PUEDE:

1. Bloquee el acceso de virus y gusanos informáticos a su computadora.

2. Pida al usuario que elija bloquear o permitir ciertas solicitudes de conexión.

3. Mantener registros (registro de seguridad) - a solicitud del usuario - registro de intentos permitidos y bloqueados de conexión a la computadora.

¿Contra qué no protege el cortafuegos?

No puede:

1. Detectar o neutralizar virus y gusanos informáticos si ya han entrado en el ordenador.

3. Bloquee el spam o el correo no solicitado para que no entre en su bandeja de entrada.

FIREWALLS DE HARDWARE Y SOFTWARE

Cortafuegos de hardware- dispositivos individuales que son muy rápidos, confiables, pero muy costosos, por lo que generalmente se usan solo para proteger grandes redes informáticas. Para los usuarios domésticos, los cortafuegos integrados en los enrutadores, conmutadores, puntos de acceso inalámbrico, etc., son óptimos.Los enrutadores-cortafuegos combinados brindan una doble protección contra los ataques.

Cortafuegos de software es un programa de seguridad. En principio, es similar a un firewall de hardware, pero más "amigable" para el usuario: tiene más configuraciones preparadas y, a menudo, tiene asistentes que ayudan con la configuración. Con él, puede permitir o denegar el acceso a Internet a otros programas.

Programa antivirus (antivirus)- cualquier programa para detectar virus informáticos, así como programas no deseados (considerados maliciosos) en general y restaurar archivos infectados (modificados) por dichos programas, así como para prevenir - prevenir la infección (modificación) de archivos o el sistema operativo con código malicioso .

12) Clasificación de los sistemas informáticos

Según la ubicación territorial de los sistemas de suscriptores

Las redes informáticas se pueden dividir en tres clases principales:

redes globales (WAN - Red de Área Amplia);

redes regionales (MAN - Red de Área Metropolitana);

Redes locales (LAN - Red de área local).

Topologías básicas de LAN

La topología de una LAN es un diagrama geométrico de las conexiones de los nodos de la red.

Las topologías de las redes informáticas pueden ser muy diferentes, pero

solo tres son típicos de las redes de área local:

Anillo,

en forma de estrella

Cualquier red informática se puede ver como una colección

Nudo- cualquier dispositivo conectado directamente a

medio de transmisión de la red.

Topología en anillo prevé la conexión de nodos de red de una curva cerrada: un cable del medio de transmisión. La salida de un nodo de red está conectada a la entrada de otro. La información se pasa alrededor del anillo de nodo a nodo. Cada nodo intermedio entre el transmisor y el receptor retransmite el mensaje enviado. El nodo receptor reconoce y recibe solo mensajes dirigidos a él.

La topología en anillo es ideal para redes que ocupan relativamente poco espacio. No tiene un nodo central, lo que aumenta la confiabilidad de la red. La retransmisión de información permite utilizar cualquier tipo de cable como medio de transmisión.

La disciplina constante de dar servicio a los nodos de dicha red reduce su rendimiento, y la falla de uno de los nodos viola la integridad del anillo y requiere la adopción de medidas especiales para preservar la ruta de transmisión de información.

Topología del bus- Uno de los más simples. Está asociado al uso de un cable coaxial como medio de transmisión. Los datos del nodo de la red de transmisión se distribuyen por el bus en ambas direcciones. Los nodos intermedios no traducen los mensajes entrantes. La información llega a todos los nodos, pero sólo recibe el mensaje aquel al que va dirigida. La disciplina del servicio es paralela.

Esto proporciona una LAN de alto rendimiento con una topología de bus. La red es fácil de expandir y configurar, así como adaptarse a diferentes sistemas.La red de topología de bus es resistente a posibles fallas de nodos individuales.

Las redes de topología de bus son las más comunes en la actualidad. Cabe señalar que son cortos y no permiten el uso de diferentes tipos de cable dentro de la misma red.

Topología de las estrellas se basa en el concepto de un nodo central al que se conectan los nodos periféricos. Cada nodo periférico tiene su propia línea de comunicación separada con el nodo central. Toda la información se transmite a través del nodo central, que retransmite, conmuta y enruta los flujos de información en la red.

La topología en estrella simplifica enormemente la interacción de los nodos LAN entre sí y permite el uso de adaptadores de red más simples. Al mismo tiempo, el rendimiento de una LAN con topología en estrella depende completamente del nodo central.

En redes informáticas reales se pueden utilizar topologías más desarrolladas, que en algunos casos representan combinaciones de las consideradas.

La elección de una topología particular está determinada por el alcance de la LAN, la ubicación geográfica de sus nodos y la dimensión de la red como un todo.

Internet- una red informática mundial de información, que es una asociación de muchas redes informáticas regionales y computadoras que intercambian información entre sí a través de canales públicos de telecomunicaciones (líneas telefónicas analógicas y digitales arrendadas, canales de comunicación óptica y canales de radio, incluidas las líneas de comunicación por satélite).

Proveedor- proveedor de servicios de red - una persona u organización que proporciona servicios para conectarse a redes informáticas.

Host (del inglés host - "el anfitrión que recibe invitados")- cualquier dispositivo que proporcione servicios en el formato "cliente-servidor" en modo servidor en cualquier interfaz y esté identificado de manera única en estas interfaces. En un caso más particular, un host puede entenderse como cualquier computadora, servidor conectado a una red local o global.

protocolo de red- un conjunto de reglas y acciones (secuencia de acciones) que le permite conectarse e intercambiar datos entre dos o más dispositivos incluidos en la red.

Dirección IP (dirección IP, abreviatura de dirección de protocolo de Internet)- una dirección de red única de un nodo en una red informática construida utilizando el protocolo IP. Internet requiere unicidad de dirección global; en el caso de trabajar en una red local, se requiere la unicidad de la dirección dentro de la red. En la versión IPv4 del protocolo, una dirección IP tiene una longitud de 4 bytes.

Nombre de dominio- un nombre simbólico que ayuda a encontrar las direcciones de los servidores de Internet.

13) Tareas entre pares