Kurumsal bilgi güvenliği sisteminin analizi. Bilgi güvenliği sisteminin analizi ve modernizasyonu için bir yöntem seçimi
GİRİŞ
İnsanların herhangi bir faaliyeti her zaman bilgi edinme ile ilişkilendirilmiştir. Bugün dünya toplumunun bilimsel, teknik ve sosyo-ekonomik gelişimi için ana kaynak haline geliyor. Herhangi bir iş ve devlet faaliyetiçeşitli bilgi akışlarının alınması ve kullanılmasıyla yakından ilgilidir. Bu nedenle, bilgi akışının hafif bir şekilde askıya alınması bile bir organizasyonun ve hatta muhtemelen birkaç organizasyonun çalışmasında ciddi bir krize yol açarak çıkar çatışmalarına yol açabilir. Bu nedenle günümüz rekabetçi piyasa koşullarında, bir fikri mülkiyet türü olarak ticari bilgilerin güvenliğinin sağlanması kadar, fiziksel ve tüzel kişiler, onların mülkiyeti ve kişisel güvenliği. Bu nedenle, bilgi bir meta olarak kabul edilir.
Bilgi güvenliği nispeten genç, hızla gelişen bir alandır Bilişim Teknolojileri. Bilgi güvenliği sorunlarına doğru yaklaşım, bilgi ilişkileri konularının ve bu konuların bilgi sistemlerinin kullanımıyla ilgili çıkarlarının belirlenmesi ile başlar. Bilgi güvenliği tehditleri, madalyonun diğer yüzü bilgi teknolojilerinin kullanımı.
Bilgi koruması modern koşullar bir dizi nedenden dolayı giderek daha karmaşık bir sorun haline geliyor, bunların başlıcaları: elektronik bilgi işlem ekipmanının toplu dağılımı; şifreleme teknolojilerinin karmaşıklığı; sadece devlet ve askeri sırların değil, sınai, ticari ve mali sırların da korunması ihtiyacı; bilgi üzerinde yetkisiz eylemler için fırsatları genişletmek.
Güvenlik sistemi, kullanıcıların bu bilgilere erişim yetkilerini belirlemek, kaynakların anormal kullanımını tespit etmek, acil durumları sonuçlarını ortadan kaldırarak tahmin etmek için kullanıcıların bilgi kaynaklarına erişimini sınırlamamalıdır.
Şu anda, yetkisiz bilgi edinme yöntemleri yaygın olarak kullanılmaktadır. Amaçları öncelikle ticari çıkardır. Bilgi çeşitlidir ve farklı değerlere sahiptir ve gizliliğinin derecesi ona kimin sahip olduğuna bağlıdır.
Bilgisayar teknolojisinin gelişmesine paralel olarak, bilgi güvenliğini ihlal etmenin yeni yolları ortaya çıkarken, eski saldırı türleri hiçbir yerde kaybolmaz, sadece durumu daha da kötüleştirir.
sorunlu konular Pek çok bilgi koruma sorunu vardır, bunların çözümü amaç ve subjektif faktörler fırsatların olmaması dahil.
Bu nedenle, yukarıdaki gerçekler, günümüzün etkili bir bilgi güvenliği sistemi tasarlama sorununu gündeme getirmektedir.
analitik kısım
1.1 İşletmenin yapısı ve bilgi teknolojisinin özellikleri
Alfaproekt işletmesi Kursk'ta bulunuyor ve bölgede iki şubesi var: Pryamitsino köyü ve Ushakovo.
Alfaproekt organizasyonunun faaliyeti, endüstriyel ve sivil tesisler için tasarım belgelerinin geliştirilmesine yönelik bir dizi hizmettir. sermaye inşaatı, yeniden yapılanma ve teknik yeniden teçhizatın yanı sıra standardizasyon ve metroloji alanındaki hizmetler. Makine ve teçhizatın yerleştirilmesi de dahil olmak üzere endüstriyel binaların tasarımı, endüstriyel tasarım, şirketin ana odak noktasıdır.
Şekil 1.1, Alfaproekt OJSC'nin organizasyon yapısını göstermektedir.
İşletmenin amaçlarına göre belirli görevleri yerine getiren departmanlara ayrıldığı yapıdan görülebilir. Merkez ofis yönetimi, her departmanın çalışmalarını doğrudan yönetir ve kontrol eder. Bölümler, önde gelen uzmanlar, yani bölüm başkanları tarafından yönetilir. Her departmanın kendi personeli vardır.
İşletmenin yapısı, işin kısa sürede net bir şekilde yönetilmesine ve yürütülmesine izin veren hiyerarşik bir türe sahiptir. Ancak işin zamanında yürütülmesi aynı zamanda teknolojik sürece de bağlıdır.
Şekil 1.2, Alfaproekt OJSC'nin üretim iş akışının bir blok şemasını göstermektedir.
Üretim iş akışı şemasına göre, müşteri, sağlanan hizmetin maliyeti için bir makbuzun düzenlendiği, belgelerin alınması / verilmesi için departmana proje için gerekli belgelerin bir listesini veya başka herhangi bir sipariş türünü sunar, muhasebe departmanında raporlama için gereklidir. Ön ödemeden sonra, daha sonra arşive gönderilen nesne için teknik belgelerin hazırlanması için bir başvuru yapılır. Ayrıca, ekonomi bölümünde, arşive de gönderilen gelecekteki nesnenin maliyetinin bir değerlendirmesi yapılır. Tüm süreç kontrolü halen ana ofis tarafından yürütülmektedir.
Şekil 1.1 - "Alfaproekt" JSC'nin organizasyon yapısı
Şekil 1.2 - Üretim iş akışının blok şeması
Üretim iş akışının tüm aşamaları ve sonuç olarak işletmenin kendisine yüksek teknoloji ürünü ekipmanlarla hizmet verilmektedir. Tüm belgeler bir bilgisayar versiyonunda saklanır, büyük nesneler için çizimler, ana bölüm ve şubelerle donatılmış özel çiziciler kullanılarak yapılır. JSC "Alfaproekt" kullanır modern teknolojiler verilerin iletimi ve depolanması.
Kullanılan tüm bilgisayarlar, verilerin güvenliğini sağlamak için VLAN teknolojisi kullanılarak bağımsız bölümlere (üretim departmanları) ayrılan bir yerel alan ağında (LAN) birleştirilir. Yerel ağdan, çalışanlar arama yapmak için İnternet'e erişebilir gerekli malzemeler ve e-posta alışverişi. Tüm bölümlerin kullanıcılarının tek bir bilgi veritabanında çalışması, teknik envanter üzerindeki çalışmaların performansının otomatik kayıtlarını tutmanıza olanak tanır. Program, veritabanındaki mülkiyet ve telif hakkı sahipleri hakkındaki bilgilerin kullanılabilirliğini, nesnelerin adreslerinin girilmesinin doğruluğunu otomatik olarak kontrol eder. Bu, bilgi tekrarını ortadan kaldırmanıza ve veritabanının kontrolsüz büyümesinden kurtulmanıza olanak tanır.
Kullanıcı iş istasyonları, terminal modunda kurumsal sunuculara bağlanır. yüksek performans uzak terminallerdeki uygulamaların performansı.
Ayrıca, terminal erişiminin kullanılmasıyla birlikte "1C Muhasebe" programında çalışma gerçekleştirilmiştir. Bu çözüm, verilerin güvenliğini garanti eden ve operasyonel kontrol sağlayan ve departmanların finansal ve ekonomik faaliyetleri hakkında bilgi edinen işletmenin merkezi sunucusunda bilgi depolamanıza olanak tanır.
JSC Alfaproekt'in işletmesi, başvuruların alınmasından vakaların elektronik arşive gönderilmesine kadar işletmenin eksiksiz bir iş akışını sağlayan InterBase SQL sunucu yazılım paketini kullanır.
Kompleks, kuruluşun belge yönetimi gereksinimleri dikkate alınarak sürekli olarak değiştirilir. Yazılım paketi, VPN teknolojisi kullanılarak çalışmak üzere tasarlanmıştır ve çalışması sırasında minimum ağ kaynağı gerektirir.
Kuruluşun şubeleri, bölgesel bir sağlayıcının kanalları aracılığıyla VPN (sanal özel ağ) teknolojisi kullanılarak ana ofis ağına bağlanır. VPN teknolojisi, güvenilir bir veri aktarım sistemi ve dışarıdan yetkisiz erişime karşı yüksek düzeyde bilgi koruması sağladığı için bu amaçlar için seçilmiştir. VPN teknolojisinin kullanımı şunları uygular:
- Kurumsal ağın birleşik alanı;
− Çalışanlar için eksiksiz ağ şeffaflığı;
- Bilgilerin üçüncü şahıslar tarafından yetkisiz erişime karşı korunması;
− Şirketin ağlarının mevcut yapılarına birleşik bir otomatik kontrol sisteminin uygulanması ve mevcut üretim iş akışına tam entegrasyon;
− İşletmenin mevcut ağını ölçeklendirmek ve şirketin ek ofislerini işletmenin tek bir ağına bağlamak;
VPN, dört Windows 7 sunucusu ve Cisco telekomünikasyon ekipmanı tarafından desteklenir ve korunur. Kurumsal LAN, veri iletiminin güvenilirliğini artıran küresel İnternet ağına iki bağlantı noktasına sahiptir.
Kurumsal LAN'ın üzerine, kullanıcıların ve grupların bilgi kaynaklarına erişimini tam olarak yönetmenize olanak tanıyan ActiveDirectory dizin hizmeti dağıtılır. Şekil 1.3, Alfaproekt OJSC'nin LAN'ının blok şemasını göstermektedir.
Şekil 1.3 - JSC Alfaproekt'in LAN'ının yapısal şeması
Alfaproekt OJSC'nin LAN'ında çalışmanın istikrarını ve güvenliğini sağlayan ana ağ bilgi teknolojileri dikkate alınır.
VLAN (Sanal Yerel Alan Ağı) - farklı ağ anahtarlarına fiziksel olarak bağlanabilmelerine rağmen, birbirleriyle doğrudan bağlantı düzeyinde iletişim kurabilen bir cihaz grubu. Tersine, farklı VLAN'larda bulunan cihazlar, aynı switch'e bağlı olsalar bile, link seviyesinde birbirlerine görünmezler ve bu cihazlar arasındaki iletişim sadece ağ ve daha yüksek seviyelerde mümkündür.
Modern ağlarda, VLAN'lar, fiziksel topolojisinden bağımsız bir mantıksal ağ topolojisi oluşturmak için ana mekanizmadır. VLAN'lar, bir ağdaki yayın trafiğini azaltmak için kullanılır. Güvenlik açısından, özellikle ARP sahtekarlığıyla mücadele aracı olarak büyük önem taşırlar.
VPN (Sanal Özel Ağ - sanal özel ağ) - başka bir ağ (İnternet) üzerinden bir veya daha fazla ağ bağlantısı (mantıksal ağ) sağlamanıza izin veren bir teknoloji. Oluşturulan mantıksal ağdaki güven düzeyi, şifreleme araçlarının (şifreleme, kimlik doğrulama, ortak anahtar altyapısı) kullanımı sayesinde, temel alınan ağlardaki güven düzeyine bağlı değildir. Kullanılan protokollere ve hedefe bağlı olarak, bir VPN bağlantı sağlayabilir. üç tip: düğümden düğüme, düğümden ağa ve ağdan ağa.
Active Directory, Microsoft'un Windows NT işletim sistemleri ailesi için dizin hizmeti uygulamasıdır. Active Directory, yöneticilerin tek tip kullanıcı çalışma ortamı ayarları sağlamak, uygulama ve sunucu yazılımını ağdaki tüm bilgisayarlarda dağıtmak ve güncellemek için grup ilkelerini kullanmasına olanak tanır. Active Directory, verileri ve ortam ayarlarını merkezi bir veritabanında saklar. Active Directory ağlarının boyutu birkaç yüz ila birkaç milyon nesne arasında değişebilir. Dizin hizmeti hem bir yönetici aracı hem de bir son kullanıcı aracıdır. Ağdaki nesnelerin sayısı arttıkça dizin hizmetinin değeri de artar.
DNS (Alan Adı Sistemi), etki alanları hakkında bilgi almak için dağıtılmış bir bilgisayar sistemidir. En yaygın olarak bir ana bilgisayar adından (bilgisayar veya cihaz) bir IP adresi almak, posta yönlendirme bilgilerini almak, bir etki alanındaki protokoller için ana bilgisayarlara hizmet etmek için kullanılır.
DNS'nin temeli, bir alan adı ve bölgelerin hiyerarşik bir yapısı fikridir. Adından sorumlu olan her sunucu, etki alanının başka bir bölümünün sorumluluğunu başka bir sunucuya devredebilir; bu da, bilgilerin alaka düzeyine ilişkin sorumluluğu, etki alanının yalnızca "kendi" bölümünden sorumlu olan çeşitli kuruluşların sunucularına atamayı mümkün kılar. isim.
DNS, İnternet'in çalışması için gereklidir, çünkü bir ana bilgisayara bağlanmak için, onun IP adresi hakkında bilgiye ihtiyacınız vardır ve insanların gerçek (genellikle anlamlı) adresleri hatırlamaları, bir IP adresindeki sayı dizisinden daha kolaydır. Bazı durumlarda bu, HTTP sunucuları gibi sanal sunucuların istek adıyla ayırt edilerek kullanılmasına izin verir.
1.2 JSC "Alfaproekt" şirketinin bilgi güvenliğine yönelik tehditler ve bunların uygulanmasından kaynaklanan olası zararların açıklaması
Bilgi güvenliği, bilgi ve destekleyici altyapının, bilgi ve destekleyici altyapı sahiplerine veya kullanıcılarına zarar verebilecek, doğal veya yapay nitelikteki tesadüfi veya kasıtlı etkilerden korunmasıdır.
Bilgi kaynakları - bilgi sistemlerindeki (kütüphaneler, arşivler, fonlar, veri bankaları, diğer bilgi sistemleri) bireysel belgeler ve bireysel belge dizileri, belgeler ve belge dizileri. Bilgi kaynaklarının mülkiyetine ilişkin ilişkiler ilgili medeni mevzuatla düzenlenir.
Modern bilgisayar teknolojisinin ve biriktirdiği bilgilerin çok sayıda faktörün rastgele etkilerine maruz kalması nedeniyle, otomatik veri işleme sistemlerinin (ASOD) bilgi güvenliğine yönelik tehditlerin sınıflandırılması gereklidir. Bu nedenle, tehditlerin tamamını tanımlamaya gerek yoktur. Sonuç olarak, korunan sistem için; tam liste tehditler ve yalnızca tehdit sınıflarını dikkate alın.
ASOD'un bilgi güvenliğine yönelik olası tüm tehditlerin sınıflandırılması, bir dizi temel özelliğe göre gerçekleştirilebilir. ASOD tehdit sınıfları Şekil 1.4'te gösterilmiştir.
Her bilgi güvenliği tehdidi sınıfında, otomatikleştirilmiş veri işleme sistemini etkileyen çeşitli tehdit türleri ayırt edilebilir. Buna dayanarak, belirli tehdit sınıfları ve özellikleri için bir IS tehdidi türleri tablosu oluşturulmuştur (Tablo 1.1).
Şekil 1.4 – ASOD Tehdit Sınıfları
Tablo 1.1 - İlgili sınıflar için ASOD bilgi güvenliğine yönelik tehdit türlerinin özellikleri
| Tehdit türü | tehdit sınıfı |
| 1. Oluşumun doğası gereği | Doğal tehditler, ASOD ve insan kontrolü dışındaki nesnel fiziksel süreçlerin veya doğal afetlerin bileşenleri üzerindeki etkinin neden olduğu tehditlerdir. |
| Yapay tehditler - insan faaliyetlerinden kaynaklanan AU'nun bilgi güvenliğine yönelik tehditler. | |
| 2. Kasıtlı tezahürün derecesine göre | İnsan hatası veya ihmalinden kaynaklanan kazara eylem tehditleri ve/veya tehditler. |
| Bir saldırganın bilgi çalmaya yönelik eylemlerinin tehditleri gibi kasıtlı eylem tehditleri. | |
| 3. Doğrudan tehdit kaynağı ile | Doğrudan kaynağı doğal çevre olan tehditler ( doğal afetler, manyetik fırtınalar, radyoaktif radyasyon). |
| Doğrudan kaynağı bir kişi olan tehditler. | |
| Doğrudan kaynağı yetkili yazılım ve donanım olan tehditler. | |
| Doğrudan kaynağı yetkisiz yazılım ve donanım olan tehditler. | |
| 4. Tehdit kaynağının konumuna göre | Kaynağı ASOD'un bulunduğu bölgenin (tesislerin) kontrollü bölgesinin dışında bulunan tehditler. |
| Kaynağı ASOD'un bulunduğu bölgenin (tesislerin) kontrollü bölgesinde bulunan tehditler. | |
| Kaynağının ASOD çevre birimlerine erişimi olan tehditler. | |
| ASOD kaynaklı tehditler. | |
| 5. ASOD aktivitesine bağımlılık derecesine göre | ASOD etkinliğinden bağımsız olarak kendini gösterebilen tehditler: bilgilerin kriptografik olarak korunması için şifrelerin açılması; bilgi taşıyıcılarının çalınması (manyetik diskler, bantlar, bellek yongaları, depolama aygıtları ve bilgisayar sistemleri). |
| Yalnızca otomatikleştirilmiş veri işleme sırasında ortaya çıkabilecek tehditler (örneğin, yazılım virüslerinin yürütülmesi ve dağıtılması tehditleri). |
| Tablo 1.1'in sonu | |
| 6. ASOD üzerindeki etki derecesine göre | Uygulandığında ASOD'un yapısında ve içeriğinde hiçbir şeyi değiştirmeyen pasif tehditler (örneğin, gizli verilerin kopyalanması tehdidi). |
| Maruz kaldıklarında ASOD'un yapısını ve içeriğini değiştiren aktif tehditler. | |
| 7. Kullanıcıların veya programların ASOD kaynaklarına erişim aşamalarına göre | ASOD kaynaklarına erişim aşamasında ortaya çıkabilecek tehditler (örneğin, ASOD'a yetkisiz erişim tehditleri). |
| ANOD kaynaklarına erişime izin verildikten sonra oluşabilecek tehditler (örneğin, ANOD kaynaklarının yetkisiz veya yanlış kullanımı tehditleri). | |
| 8. ASOD kaynaklarına erişim yoluyla | ASOD kaynaklarına doğrudan bir standart erişim yolu kullanmayı amaçlayan tehditler. |
| AS kaynaklarına erişmek için standart olmayan gizli bir yol kullanmayı amaçlayan tehditler. | |
| 9. Bilginin mevcut konumuna göre | Harici depolama aygıtlarındaki bilgilere erişim tehditleri |
| RAM'deki bilgilere erişim tehditleri. | |
| İletişim hatlarında dolaşan bilgilere erişim tehditleri. | |
| Bir terminalde görüntülenen veya bir yazıcıda yazdırılan bilgilere erişim tehditleri. |
Dikkate alınan tüm sınıflar ve tehdit türleri, bir dereceye kadar Alfaproekt OJSC'deki ASOD'da mevcuttur.
Tehditleri Rusya Federasyonu Ceza Kanunu'na göre sınıflandırmak ve bilgi güvenliğine yönelik aşağıdaki tehditleri vurgulamak da mümkündür:
- Bilgi hırsızlığı (kopyalanması).
- Bilginin yok edilmesi.
- Bilginin değiştirilmesi (bozulması).
− Bilginin erişilebilirliğinin ihlali (engellenmesi).
- Bilginin gerçekliğinin inkar edilmesi.
- Yanlış bilgilerin dayatılması.
Zimmete para geçirme - mülkün sahibine veya sahibine zarar veren, paralı amaçlarla işlenen, başka birinin mülkünün suçlu veya diğer kişiler lehine yasadışı karşılıksız olarak ele geçirilmesi ve (veya) dönüştürülmesi.
Bilgisayar bilgilerinin kopyalanması - bilgilerin bir makinede veya başka bir ortamda tekrarlanması ve istikrarlı bir şekilde basılması.
İmha - fiziksel olarak varlığının sona ermesi veya amaçlanan amacı için kullanım için tamamen uygunsuz hale gelmesi sonucunda mülk üzerinde harici bir etki.
Hasar - durumunun önemli ölçüde bozulduğu mülkün özelliklerinde bir değişiklik, faydalı özelliklerinin önemli bir kısmı kaybolur ve amaçlanan kullanımı için tamamen veya kısmen uygun olmaz.
Bilgisayar bilgilerinin değiştirilmesi - bir bilgisayar programının veya veritabanlarının uyarlanmasıyla ilgili olanlar dışında herhangi bir değişiklik yapılması.
Bilgisayar bilgilerinin engellenmesi, kullanıcıların, yok edilmesiyle ilişkili olmayan bilgilere erişiminin yapay bir şekilde engellenmesidir.
Dolandırıcılık (gerçekliğin reddi, yanlış bilgilerin dayatılması) - mülkten sorumlu kişiyi yanıltmak ve böylece ondan mülkün gönüllü transferini ve ayrıca bilerek yanlış bilgilerin iletilmesini sağlamak için gerçeğin kasıtlı olarak çarpıtılması veya gizlenmesi bu amaç için.
Tehditleri kaynaklarıyla birlikte ele alırsak, tehditlerin sınıflandırılması en görsel olarak görünecektir. Bu yaklaşıma uygun olarak, Alfaproekt OJSC'de IS tehditlerinin sınıflandırılması şu şekilde olacaktır (Şekil 1.5).
Sunulan tüm tehditler kasıtlı veya kasıtsız olabilir.
Alfaproekt OJSC'deki belirli ASOD tesislerine yönelik tehditleri de dikkate almak gerekir. Şekil 1.3'te gösterilen LAN'ın yapısal şemasına göre, aşağıdaki nesneler ayırt edilebilir: otomatik sistem: çalışan iş istasyonu, veritabanı sunucusu, dosya sunucusu, yönetim sunucusu. Tablo 1.2'deki nesnelerin her biri için belirli IS tehditleri sunulmaktadır.
Ekonomik yaklaşım açısından, bir işletmenin bilgi güvenliğine verilen toplam zarar, doğrudan ve dolaylı zarar olmak üzere iki bileşenden oluşur.
İşletmenin bilgi güvenliğine doğrudan zarar, gizli bilgilerin sızdırılmasından kaynaklanmaktadır. Dolaylı hasar - yerleşik prosedüre uygun olarak, gizli olarak sınıflandırılan bilgilerin yayılmasına ilişkin kısıtlamalarla bağlantılı olarak işletmenin maruz kaldığı kayıplar.
Şekil 1.5 - JSC "Alfaproekt" içindeki IS tehditlerinin sınıflandırılması
Tablo 1.2. – ASOD nesnelerinin her biri için IS tehditleri
| ASOD nesnesi | Bilgi güvenliği tehditleri |
| çalışan iş istasyonu | Medyaya bilgi kopyalama |
| "Sol" yazılımı yükleme ve kullanma | |
| Bilgisayar virüsü enfeksiyonu | |
| SVT'nin çalışması sırasında operatör hataları | |
| Yazılımın çalışmasında operatör hataları | |
| AS kaynaklarına yetkisiz erişim ve daha sonraki kullanımları (kopyalama, değiştirme, silme) | |
| veritabanı sunucusu | Bilgi kopyalama |
| İşleyişin bozulması yoluyla bilgiye erişim | |
| Yazılımın çalışmasında kullanıcı hataları | |
| Dosya sunucusu | Bilgileri değiştir |
| Bilgi kopyalama | |
| Bilgileri kaldırma | |
| Bilgi taşıyıcılarını erişim haklarına sahip olmayan kişilere devrederek korunan bilgilerin ifşa edilmesi | |
| Yönetim sunucusu | Parolaların ve diğer erişim denetimi ayrıntılarının yasa dışı elde edilmesi. |
| Kayıtlı kullanıcılar için erişimi engelleme |
Bir bilgi güvenliği sisteminin geliştirilmesi veya analizinin bir parçası olarak, en uygun olanı, bir bilgi kaynağının değerinin mal sahibi tarafından niteliksel bir değerlendirmesidir. Kuruluşun ihtiyaçlarına, büyüklüğüne veya diğer faktörlere bağlı olarak, nitel bir derecelendirme ölçeği, belirli bir aralık anlamına gelen "önemsiz", "düşük", "orta", "yüksek", "kritik" gibi tanımlamaları kullanabilir. nicel derecelendirme ölçeği.
Bir tehdit listesi derlendikten sonra, tehditlerin gerçekleşme olasılığı (CVR) derlenir. Risk değerlendirmesi, sonuçların ciddiyetine ilişkin değerlendirmeler ile IS tehditlerinin SVR'sinin değerlendirilmesi karşılaştırılarak gerçekleştirilir (Tablo 1.4).
Risk değerlendirme aşamasında, her bir kaynak veya kaynak grubu için bilgi güvenliği tehditlerinden kaynaklanan potansiyel zararlar belirlenir. Bir kaynak tarafından bilgi güvenliği özelliklerinin kaybından kaynaklanan sonuçların ciddiyetinin belirlenmesi, “basit” bir sistemin, onu geri yüklemek için gereken süre boyunca ne kadara mal olacağını ve bu bilgi rakipler tarafından bilinirse ne kadar zarar göreceğini belirlemek için gereklidir. .
Tablo 1.4 - Sonuçların ciddiyetine ilişkin değerlendirmelerin IS tehditlerinin SVR'sinin değerlendirmesiyle karşılaştırılması
| IS tehdidinin uygulanma olasılığının derecesi | IS ihlalinin sonuçlarının ciddiyeti | |||
| en az | ortalama | yüksek | kritik | |
| gerçekleştirilemez | kabul edilebilir | kabul edilebilir | kabul edilebilir | kabul edilebilir |
| en az | kabul edilebilir | kabul edilebilir | kabul edilebilir | geçersiz |
| ortalama | kabul edilebilir | kabul edilebilir | geçersiz | geçersiz |
| yüksek | kabul edilebilir | geçersiz | geçersiz | geçersiz |
| kritik | geçersiz | geçersiz | geçersiz | geçersiz |
Olası zararları değerlendirirken işletmenin kullandığı kaynakları da göz önünde bulundurmak gerekir. Bilgi kaynaklarının sınıflandırılması Şekil 1.7'de gösterilmektedir.
Şekil 1.7 - Kurumsal kaynak türleri
Korunacak kaynaklar bilgi ve teknik kaynakları içerir.
Alfaproekt OJSC'de teknik kaynaklar şunları içerir:
- yönetim sunucusu;
- veritabanı sunucusu;
- dosya sunucusu;
- Yazıcılar ve çiziciler;
− Ağ ekipmanı (anahtarlar, yönlendiriciler).
Bu işletmenin elektronik biçimde ve kağıt üzerinde bilgi kaynakları şunları içerir:
- Müşterinin kimlik belgelerinin kopyaları;
- Gayrimenkul nesneleri için teknik pasaportlar;
- Teknik envanter dönemi için kalan defter değerini gösteren defter değeri belgeleri;
- Tasarım, yerleşik belgeler;
- Muhasebe raporları.
Bu nedenle, Alfaproekt OJSC girişiminin elektronik kaynakları sınırlı erişime sahiptir ve gizli olarak sınıflandırılır. Bu nedenle tahsis edilen kaynaklar IS tehditlerine tabidir ve tehditlerin gerçekleşmesi durumunda işletme çeşitli zararlara uğrayabilir. Şekil 1.8, üç tür hasarı göstermektedir.
Şekil 1.8 - Olası hasar türleri
Olası hasarın tezahürleri farklı olabilir ve karışık bir karaktere sahip olabilir:
- Kuruluşun ticari itibarına yönelik maddi ve manevi zarar
- bireylerin kişisel verilerinin ifşa edilmesiyle bağlantılı olarak manevi, fiziksel veya maddi zarar;
- hasarlı korunan bilgi kaynaklarının yenilenmesi ihtiyacından kaynaklanan maddi hasar;
- üçüncü bir şahsa üstlenilen yükümlülüklerin yerine getirilememesinden kaynaklanan maddi zararlar;
- organizasyonun faaliyetlerinin düzensizliğinden kaynaklanan maddi ve manevi zarar;
- Uluslararası ilişkilerin ihlalinden kaynaklanan maddi ve manevi zarar.
Ayrıca, hasar, IŞİD tehditlerinin sonuçlarının ciddiyetine göre değerlendirilebilir. Şekil 1.9, hasarın önem derecesine göre sınıflandırmasını göstermektedir.
Şekil 1.9 - IS tehditlerinden kaynaklanan sonuçların ciddiyeti
Yukarıdakilere dayanarak, Alfaproekt JSC, IS tehditlerinin uygulanmasından kaynaklanan bir dizi olası sonucu belirleyebilir. Öncelikle şunu belirtmek gerekir ki, zarar büyük ölçüde maddi olacaktır. Bu tür kaynaklar, dijital bilgi kaynaklarının kullanımını ve depolanmasını içerdiğinden, asıl hasar teknik kaynaklara düşecektir. Ancak, çoğunun dijital kopyaları olmasına rağmen, işletmenin dijital olmayan bilgi kaynaklarını da kullandığı gerçeği göz ardı edilemez, ancak bu kaynaklar daha az değerli değildir.
Sonuçların ciddiyetine göre, üretim iş akışı askıya alınacağından ve sonuçların önemli bir ciddiyeti olan dijital bilgi kaynakları kaybolabileceğinden, Alfaproekt OJSC'nin teknik kaynaklarının arızalanması durumunda en büyük kayıplar meydana gelecektir. . IS tehditlerinin uygulanması yalnızca dijital bilgi kaynaklarını etkiliyorsa, sonuçların ciddiyeti orta olarak nitelendirilebilir, örneğin doğal afetler gibi aşırı durumlarda, ciddiyet sonuçların önemli veya hatta yüksek olduğu kategoriye taşınabilir. Tüm bu sonuçların ciddiyeti öncelikle belirli tehditlere bağlıdır. Bu ilkeye dayalı olarak, Alfaproekt OJSC'deki belirli IS tehditlerinden kaynaklanan sonuçların ciddiyeti Tablo 1.5 derlenmiştir.
Tablo 1.5 - Alfaproekt JSC'de IS tehditlerinden kaynaklanan sonuçların ciddiyeti
| IS tehdidi | Sonuçların şiddeti (hasar) |
| Kullanıcıların ve sistem yöneticilerinin hataları | orta - düşük |
| Bilgilerin toplanması, işlenmesi, aktarılması ve imhası için yerleşik düzenlemelerin şirket çalışanları tarafından ihlal edilmesi | ortalama |
| iş yerindeki hatalar yazılım | düşük |
| Bilgisayar ekipmanının çalışmasındaki arızalar ve arızalar | ortalama |
| Bilgisayarlara virüs veya kötü amaçlı yazılım bulaşması | ortalama |
| Kurumsal bilgilere yetkisiz erişim (UAS) | orta - önemli |
| Rakip yapılar, istihbarat ve özel hizmetler tarafından bilgi izleme | ortalama |
| Bilgilerin toplanması, değiştirilmesi, geri çekilmesi ve imha edilmesiyle birlikte devlet yapılarının ve hizmetlerinin eylemleri | orta - önemli |
| Kazalar, yangınlar, insan kaynaklı afetler | önemli - yüksek |
ASOD'un bilgi güvenliği, sistemdeki herhangi bir bilgi kaynağı için belirli bir seviyede tutulduğu takdirde sağlanır:
- gizlilik (herhangi bir bilginin yetkisiz olarak alınmasının imkansızlığı);
- bütünlük (yetkisiz veya kazara değiştirilmesinin imkansızlığı);
- erişilebilirlik (gerekli bilgiyi makul bir süre içinde elde etme yeteneği).
IS tehditleri yalnızca bilginin özelliklerini değil, aynı zamanda işletmenin teknik kaynaklarını da etkiler, bu nedenle güvenlik bilgi koruma sistemi aşağıdaki gereksinimleri karşılamalıdır:
- bilgi özelliklerinin bozulmaması gereksinimleri;
- ASOD güvenlik sınıfının gereksinimleri;
- SVT güvenlik sınıfının gereksinimleri;
- Bilginin yetkisiz erişime karşı korunması için gereklilikler.
Ayrıca, bilgi güvenliği sistemi şunları yapmalıdır:
- bilgi güvenliği tehditlerinin görünümü hakkında uyarı;
- Tehditlerin etkisinin tespiti, etkisiz hale getirilmesi ve yerelleştirilmesi;
- korunan bilgilere erişimin kontrolü;
- bilgi güvenliği sisteminin restorasyonu;
- olayların kaydı ve yetkisiz erişim girişimleri;
- koruma sisteminin işleyişi üzerinde kontrolün sağlanması.
BİLGİ GÜVENLİĞİ SİSTEMİ ANALİZİ VE MODERNİZASYON YÖNTEMİNİN SEÇİMİ
2.1 Ağlardaki bilgileri koruma yöntemleri ve araçları
Veri güvenliği konseptlerinin geliştirilmesinin ilk aşamasında yazılım koruma araçlarına öncelik verildi. Ancak uygulama bunun veri güvenliğini sağlamak için yeterli olmadığını ve her türlü cihaz ve sistemin yoğun bir şekilde geliştirildiğini göstermiştir. Yavaş yavaş, veri güvenliğini sağlama sorununa sistematik bir yaklaşım şekillendi, koruma yöntemlerinin entegre uygulanmasına ve bunlara dayalı olarak oluşturulan koruma araç ve mekanizmalarına ihtiyaç duyuldu. Tipik olarak, işletmelerde, saklanan, iletilen ve işlenen gizli verilerin hacmine bağlı olarak, bilgi güvenliğinden bireysel uzmanlar veya tüm departmanlar sorumludur. Şekil 2.1 modeli gösterir kapsamlı koruma bilgi.
Şekil 2.1 kapsamlı bilgi güvenliği modeli
Bilgi korumasında iki alan açıkça ayırt edilir: gizlilik koruması ve performans koruması. Bu görevleri gerçekleştirmek için, özel yöntemler ve Şekil 2.2'de ayrıntıları verilen veri koruma araçları.
Şekil 2.2 - Veri koruma yöntemlerinin ve araçlarının sınıflandırılması
IS'de bilgi güvenliğini sağlama yöntemleri şu şekilde ayrılır: engel, erişim kontrolü, şifreleme mekanizmaları (maskeleme), düzenleme, zorlama, teşvik, kötü amaçlı yazılım saldırılarına karşı koyma.
Engel - bir saldırganın korunan bilgilere (ekipmana, depolama ortamına vb.) giden yolunu fiziksel olarak engelleme yöntemi.
Erişim kontrolü - tüm IP kaynaklarının kullanımını düzenleyerek bilgileri koruma yöntemleri. Bu yöntemler, bilgiye yetkisiz erişimin tüm olası yollarına direnmelidir.
Erişim kontrolü şunları içerir:
- sistem kullanıcılarının, personelinin ve kaynaklarının tanımlanması;
- konunun kendisi tarafından sunulan tanımlayıcı tarafından tanımlanması;
- kimlik bilgilerinin doğrulanması;
- yerleşik düzenlemeler dahilinde çalışma koşullarının yaratılması;
- Korunan kaynaklara yapılan çağrıların kaydı;
- yetkisiz eylemlere girişildiğinde.
Şifreleme mekanizmaları - bilgilerin kriptografik olarak kapatılması.
Düzenleme, koruma normlarının ve standartlarının en büyük ölçüde karşılandığı, korunan bilgilerin otomatik olarak işlenmesi, depolanması ve iletilmesi için bu tür koşulların yaratılmasıdır.
Zorlama, İD kullanıcılarının ve personelinin maddi, idari veya cezai sorumluluk tehdidi altında korunan bilgileri işleme, aktarma ve kullanma kurallarına uymaya zorlandığı bir koruma yöntemidir.
Motivasyon, kullanıcıları ve IS personelini yerleşik ahlaki ve etik standartlara uyarak yerleşik prosedürleri ihlal etmemeye teşvik eden bir koruma yöntemidir.
Kötü amaçlı yazılım saldırılarına karşı koymak, bir dizi çeşitli kurumsal önlemi ve virüsten koruma programlarının kullanımını içerir. Alınan önlemlerin amaçları, IP enfeksiyonu olasılığını azaltmak, sistemin enfeksiyon gerçeklerini belirlemek; bilgi enfeksiyonlarının sonuçlarının azaltılması, virüslerin yerelleştirilmesi veya yok edilmesi; IS'de bilgi kurtarma.
Tüm teknik araçlar, donanım ve fiziksel olarak ayrılmıştır.
Donanım - doğrudan bilgisayar teknolojisine yerleştirilmiş cihazlar veya standart bir arayüz aracılığıyla onunla arayüz oluşturan cihazlar.
Fiziksel anlamlar izinsiz giriş yapanların korunan nesnelere fiziksel olarak girmesini önleyen ve personeli (kişisel güvenlik ekipmanı), maddi varlıkları ve finansmanı ve bilgileri yasa dışı eylemlerden koruyan çeşitli mühendislik cihazlarını ve yapılarını içerir.
yazılım özel programlar ve IS'deki bilgileri korumak için tasarlanmış yazılım sistemleri.
Koruma sisteminin yazılım araçlarından, şifreleme mekanizmalarını (kriptografi) uygulayan yazılım araçlarını da seçeceğiz. Kriptografi, iletilen mesajların gizliliğini ve/veya gerçekliğini (özgünlüğünü) sağlama bilimidir.
Örgütsel araçlar, karmaşıklıklarıyla, IS'deki üretim faaliyetlerinin düzenlenmesini ve icracıların ilişkilerini yasal bir temelde, ifşa, sızıntı ve gizli bilgilere yetkisiz erişimin örgütsel önlemler tarafından imkansız hale gelmesi veya önemli ölçüde engellenmesi şeklinde gerçekleştirir.
Kanuni çareler belirlendi yasama işlemleri Sınırlı erişim bilgilerinin kullanımı, işlenmesi ve iletimi ile ilgili kuralları düzenleyen ve bu kuralların ihlali için sorumluluk oluşturan ülkeler.
Ahlaki ve etik koruma araçları, fikri mülkiyetin ülkede ve dünyada yayılmasıyla oluşan (geleneksel olarak daha önce geliştirilmiş olan) her türlü davranış normunu içerir. Ahlaki ve etik standartlar, yazılı olmayabilir veya belirli bir dizi kural veya düzenlemeyle oluşturulabilir. Bu normlar, kural olarak, yasal olarak onaylanmamıştır, ancak uygunsuzlukları kuruluşun prestijinde bir azalmaya yol açtığı için zorunlu olarak kabul edilir.
2.2 Güvenlik sınıflarının tanımı
2.2.1 "Alfaproekt" JSC'sinde gerekli ASOD güvenlik sınıfının belirlenmesi
Gerekli güvenlik sınıfını belirlemek için Rusya Federasyonu Rusya Federasyonu Başkanı "Otomatik sistemlerin sınıflandırılması ve bilgi koruma gereksinimleri" altındaki Devlet Teknik Komisyonunun kılavuz belgesinde uygulanan özel bir yaklaşım vardır. 1. Bu belge, yetkisiz erişime karşı otomatik sistemlerin 9 güvenlik sınıfını tanımlar. bilgi ve her sınıf için gerekli koruma mekanizmalarının ve içerik gereksinimlerinin minimum bileşimi koruyucu fonksiyonlar sistem sınıflarının her birindeki mekanizmaların her biri (Şekil 2.3).
Makale, kurumsal karmaşık hiyerarşik yapıların işletim sistemlerinin ve veritabanı yönetim sistemlerinin bilgi güvenliğini sağlama deneyimini açıklamaktadır. Modelleme için hiyerarşik bir yaklaşıma dayalı entegre bir bilgi güvenliği sistemi projesi sunulmaktadır. karmaşık sistemler yönetmek.
Şu anda, bilgi teknolojisi (BT) alanında, yaratma ve geliştirme konuları düzenleyici yapı bilgi güvenliği alanında, bilgi güvenliği (IS) alanında standardizasyon ve sertifikasyon geliştirmeye yönelik bir takım çalışmalara duyulan ihtiyaç.
Bilgi güvenliği gereksinimlerini tanımlayan ve temelini oluşturan standartlar düzenleyici yapı, bu alandaki tüm ilişkiler için, öncelikle bilgi kaynaklarını korumakla ilgilenen kuruluşlar ve işletmeler için önemlidir. İşletmelerin yönetim ve güvenlik hizmetleri, çalışma koşullarına bağlı olarak bilgi sistemlerinin (IS) hangi gereksinimleri karşılaması gerektiğini açıkça anlamalıdır. Bilgi teknolojisi ve bilgi sistemleri geliştiricileri, geliştirmelerinin güvenliğini sağlamak için standartlar tarafından yönlendirilmelidir.
BT'de çalışan herkes, işletim sistemlerini (OS) güvenli tutma ihtiyacını anlar. Bu düzeyde yerleşik korumaya duyulan ihtiyaç şüphesizdir. İşletim sistemi, uygulama katmanı mekanizmalarını yanlış kullanımdan, hilelerden veya yanlış bilgilerin dayatılmasından korur. Bu gereksinimleri karşılayamazsa, sistem genelinde güvenlik açıkları ortaya çıkacaktır.
IS'nin görevlerinden biri, verilerin depolanması ve işlenmesidir. Bunu çözmek için, özel yazılımların - veritabanı yönetim sistemlerinin (veritabanı yönetim sistemleri, DBMS) ortaya çıkmasına neden olan çabalar sarf edildi. DBMS, bilgisayar depolama ve işleme için verileri yapılandırmanıza, sistematize etmenize ve düzenlemenize olanak tanır. Profesyonel veritabanı yönetim sistemleri kullanmadan modern bir işletmenin veya kurumun faaliyetini hayal etmek imkansızdır. Kuşkusuz, üretimden finansa ve telekomünikasyona kadar her alanda bilgi faaliyetlerinin temelini oluştururlar. Bu anlamda OS ve DBMS birbirine benzer.
Gizli bilgilerin işlendiği işletim sistemleri ve veri tabanı yönetim sistemlerinin bilgi güvenliği alanındaki yasal düzenlemenin temeli, kabul edilen yasalar ve Rusya Federasyonu'nun normatif eylemleri. Bu belgelerden biri, Rusya Federasyonu'nun bilgi güvenliğini sağlamaya yönelik amaçlar, hedefler, ilkeler ve ana yönergeler hakkında bir dizi resmi görüş olan "Rusya Federasyonu Bilgi Güvenliği Doktrini" dir. Doktrin, oluşumun temeli olarak hizmet eder. kamu politikası Rusya Federasyonu'nun bilgi güvenliğini sağlama alanında ve bilgi alanı ile ilgili olarak Rusya Federasyonu Ulusal Güvenlik Konseptini geliştirir. Bireyin bilgi alanındaki çıkarları, bir kişinin ve bir vatandaşın bilgiye erişme, bilgileri yasalarca yasaklanmayan faaliyetleri yürütmek için kullanma, fiziksel, ruhsal ve entelektüel gelişim, hem de kişisel güvenliği sağlayan bilgilerin korunmasında. Toplumun bilgi alanındaki çıkarları, bireyin bu alandaki çıkarlarını, demokrasinin güçlendirilmesini, yasal bir sosyal devletin yaratılmasını, kamu uyumunun sağlanması ve sürdürülmesini ve Rusya'nın manevi yenilenmesini sağlamaktır.
Genel yönelimlerine göre, Rusya Federasyonu'nun IŞİD'ine yönelik tehditler yasal olanlara ayrılmıştır; teknolojik; örgütsel ve ekonomik (Tablo 1). RF IS sağlamanın genel yöntemleri, organizasyonel ve teknik, yasal, organizasyonel ve ekonomik, yazılım ve donanım ve ekonomiktir (Tablo 2).
T a b l e 1. RF IS tehdit türleri
| Yasal | | Teknolojik | Organizasyonel ve ekonomik | |
T a b l e 2. RF IS bakım yöntemleri
| Organizasyonel ve teknik | | Yasal | Organizasyonel ve ekonomik | Yazılım ve donanım | Ekonomik Yöntemler | |
RF IS bakımının bilim ve teknoloji alanındaki en önemli nesneleri şunlardır:
- temel, arama ve uygulamalı sonuçları bilimsel araştırma Kaybı Rusya Federasyonu'nun ulusal çıkarlarına ve prestijine zarar verebilecek bilgiler de dahil olmak üzere ülkenin bilimsel, teknik, teknolojik ve sosyo-ekonomik gelişimi için potansiyel olarak önemli;
- keşifler, patentsiz teknolojiler, endüstriyel tasarımlar, faydalı modeller ve deneysel ekipman;
- bilimsel ve teknik personel ve bunların eğitim sistemi.
Bilim ve teknoloji alanında RF IS'ye yönelik başlıca dış tehditler arasında, gelişmiş yabancı devletlerin Rus bilim adamlarının elde ettiği sonuçları kendi çıkarları doğrultusunda kullanmak için Rusya'nın bilimsel ve teknik kaynaklarına yasadışı erişim sağlama arzusu yer alıyor.
Bilim ve teknoloji alanında RF IS'ye yönelik ana iç tehditler şunları içerir:
- Rusya'da devam eden zor ekonomik durum, keskin düşüş bilimsel ve teknik faaliyetlerin finansmanı, bilimsel ve teknik alanın prestijinde geçici bir düşüş, fikirlerin sızması ve yurtdışındaki ileri gelişmeler;
- Rus bilim adamlarının bilimsel ve teknik faaliyetlerinin sonuçlarının patent koruması alanında ciddi sorunlar;
- özellikle anonim şirketlerde, bilimsel ve teknik kurum ve kuruluşlarda bilgileri korumaya yönelik önlemlerin uygulanmasının karmaşıklığı.
Bilim ve teknoloji alanında RF IS'ye yönelik tehditlere karşı koymanın gerçek yolu, Rusya Federasyonu'nun bu alandaki ilişkileri düzenleyen mevzuatını ve uygulama mekanizmalarını iyileştirmektir. Bu amaçlar için devlet, Rusya Federasyonu'nun bilim ve teknoloji alanında bilgi güvenliğini sağlamanın en önemli nesnelerine yönelik tehditlerin uygulanmasından kaynaklanan olası zararları değerlendirmek için bir sistemin oluşturulmasına katkıda bulunmalıdır.
Edebiyat
- ISO/IEC 17799 Bilgi güvenliği yönetimi. Pratik kurallar.
- Bilgi Teknolojisi Güvenliği - İşletim Sistemleri - Temel Koruma Profili (taslak). Bilgi Güvenliği Merkezi. 2003.
- GOST R 50739-95. «Bilgisayar teknolojisi araçları. Bilgiye yetkisiz erişime karşı koruma. Genel teknik gereksinimler".
- ESPD GOST 19102-77. "Planlama için gereklilikler tasarım çalışması yazılım geliştirme için".
- Kovalev SV Karmaşık sistem geliştirme projelerinin ekonomik güvenliğinin risk yönetiminin hesaplanması ve matematiksel modeli // Karmaşık sistem güvenlik yönetiminin sorunları: XVII Uluslararası Konferansı Bildirileri. Moskova: RGGU. 2009.
- Kovalev S. V. Risk kontrolü ilkelerine dayalı kurumsal bilgilerin korunmasını sağlamak için bir model // Bilgi Ekonomisi: Kurumsal Sorunlar. Dokuzuncu Drucker Okumalarının Materyalleri. M: Güzel söz. 2009.
- Kovalev S. V. Endüstriyel risk yönetimine dayalı karmaşık sistemlerin bilgi güvenliği metodolojisi // Karmaşık sistemlerin güvenlik yönetimi sorunları: XVII Uluslararası Konferansı Bildirileri. Moskova: RGGU. 2009.
- Bilgi teknolojisi desteğinin geliştirilmesi ve uygulanması için Kovalev S. V. Metodolojisi yaşam döngüsü bilim yoğun üretim // Modelleme ve yönetim bilgi teknolojileri. 2009. Sayı 5(57).
Modern bir işletmenin başarılı çalışmasının temel bileşenlerinden biri, bilgi güvenliğini ve bilgi korumasını sağlamak için bir sistemin geliştirilmesidir. Bu alandaki faaliyetlerin yapılmasının gerekliliği, öğrencilere ait kişisel verilerin gizli bilgi olan bilgi sisteminde saklanması ile açıklanmaktadır. Vicdansız rakipler, başkalarının bilgilerine sahip olmak için yasa dışı eylemlerde bulunmaya hazırdır ve bu bilgilere sahip olduktan sonra, rakiplerin zararına kullanmak için. Bilgi güvenliğini sağlamanın bir diğer önemli yönü, hem kurumun operasyonel çalışması hem de analitik raporlama için önemli olan bilgilerin kaybolmasına neden olacak verilerin kasıtlı veya kazara yok edilmesine karşı korumadır.
5 No'lu Çocuk ve Gençlik Spor Okulu'nda kağıt muhasebeyi sürdürürken, bilgi güvenliği ve bilgi korumanın sağlanması ile ilgili durum çok vasattır. Öğrenciler ve sağlıkları, öğretmenleri ve öğrenim ücretleri ile ilgili veriler, çalışanların dolaplarında kağıt belgeler şeklinde saklanmakta ve işlenen belgeler arşivlenmektedir. Aynı zamanda, dışarıdan çalışanların bu belgeleri okumasını veya kopyalamasını ve bir saldırganın bunları çalmasını hiçbir şey engelleyemez. Belgeleri saklama prosedürüne uyma ihtiyacına ilişkin iş tanımlarının, kendisine bunları ele geçirme hedefini koyan bir saldırganı durdurması pek olası değildir. İş yapmanın kağıt versiyonunda, belgelerin kasıtlı veya kazara imha edilmesinin yanı sıra yüksek bir belge kaybı olasılığı da vardır.
Çalışmanın bilgisayarlı bir versiyonunu kullanırken, bilgi güvenliği seviyesi bir büyüklük sırasına göre artar. Otomatik belge yönetim sisteminin kendisi, kullanıcıyı bu konuda daha sorumlu olmaya zorlar.
Teknik olarak bilgi güvenliği ve bilgi koruması, çeşitli seviyelerde bilgi sistemi kaynaklarına erişim için bir şifre sistemi kullanılarak gerçekleştirilir. Her şeyden önce, kullanıcının iş yerinin işletim sistemine giriş şifresidir. Bu parolanın girilmesi, kullanıcının bu bilgisayarın kaynaklarına ve onda depolanan belgelere erişmesini sağlar. Aynı zamanda, güvenlik politikası, kullanıcının işyerinin tam bir "ustası" olmayacak ve örneğin bilgi kopyalamak için kötü amaçlı yazılımlar veya programlar yükleyemeyecek şekilde yapılandırılmalıdır. Hakların kısıtlanması, kullanıcıların işini biraz zorlaştırır, ancak aynı zamanda veri güvenliğini garanti eder. Kullanıcının işinin rahatlığı ve rahatlığı ile kurumsal veya müşteri bilgilerini saklamanın güvenliği arasında her zaman bir denge bulmak gerekir.
Bir kullanıcı işletim sistemine girmek için şifresini girdiğinde, sadece bu bilgisayarın kaynaklarına değil, aynı zamanda işletmenin bilgisayar ağının kaynaklarına da erişim sağlar. Bu, kullanıcı bilgisayarda bir etki alanı veya ağ kullanıcısı olarak oturum açarsa mümkündür. Bu durumda, ağ üzerindeki kullanıcı haklarının farklılaşmasına daha da dikkatli yaklaşmak gerekir. Bir ağ kullanıcısının haklarını, ona belgeleriyle özgürce çalışma fırsatı verecek, ancak aynı zamanda üzerinde çalışma hakkına sahip olmadığı belgelere erişimi kısıtlayacak şekilde yapılandırmanız gerekir veya bunlar yalnızca görüntüleme hakları. Bu durumda, verileri yetkisiz erişimden ve kazara hasarlardan koruma görevi aynı anda çözülür.
Kuruluştaki sistem yöneticisi, kullanıcı haklarını atama ayrıcalığına sahiptir. Kullanıcıların hem ağdaki hem de yerel bilgisayarlardaki belgelere ve uygulamalara erişim haklarını sınırlaması gereken kişidir.
İkinci bilgi koruma seviyesi, 1C: Enterprise 8.1 sisteminde uygulanan 5 No'lu Çocuk ve Gençlik Spor Okulu'nun otomatik çalışma sistemine doğrudan erişimin şifre korumasıdır. 1C:Enterprise sistemi, kullanıcıların bir listesini tutmak ve verilere erişim haklarını sınırlamak için bir mekanizma içerir. Sonuç olarak, bilgi sistemindeki yalnızca gerekli verilere kullanıcı erişimini, yetkisiz erişimden ve kullanıcının erişimi olmayan verilere kazara zarar verme olasılığından gizlenerek esnek bir şekilde yapılandırabilirsiniz.
Bilgilerin üçüncü parola koruması düzeyi, 1C:Enterprise 8.1 sisteminin mimarisinin bir istemci-sunucu sürümünü oluştururken SQL Server veritabanına erişim parolasıdır. Bu işlem türünde, veritabanında depolanan veriler yalnızca 1C:Enterprise sisteminin kullanıcılarının erişim haklarını sınırlandıran sistem tarafından değil, aynı zamanda bir siparişle güvenlik seviyesini artıran SQL Server sistemi tarafından da korunur. büyüklükte.
1C:Enterprise 8.1 bilgi sisteminde saklanan verilere kullanıcı erişim haklarını dağıtma sorumluluğu sistem yöneticisine aittir. Her kullanıcının haklarını, işinde kendisi için zorluk yaratmadan, erişimi olmayan verilere erişimini kısıtlamak zorunda kalacak şekilde yapılandırmalıdır. Sistem yöneticisi ile birlikte SQL Server veritabanına erişimi de yapılandırırlar.
Elektronik satış muhasebesi sistemini uygularken bilgi güvenliği ve bilgi koruma seviyesini artıran tartışılmaz bir faktör, örneğin doğal afetler durumunda, gerekirse herhangi bir elektronik ortamdaki tüm belge veritabanını “kurtarma” yeteneğidir. . Gelecekte, veritabanının bu kopyası yeni bir konuma konuşlandırılabilir ve belgelerle çalışmaya kesintiye uğradığı yerden devam edilebilir.
Bilgilerin şifre korumasının organizasyonuna ek olarak, bilgilerin fiziksel olarak korunmasını da ihmal etmemelisiniz. Bir bilgisayar ağ sunucusunu, bir 1C: Enterprise sistemini ve bir SQL Server veritabanı sunucusunu (istemci-sunucu işletim versiyonuyla) ayrı bir odaya (sunucu odası) yerleştirmeniz tavsiye edilir, burada gerekli özel koşullara ek olarak sunucuların çalışması (klima, havalandırma, ...), yetkisiz kişilerin girişi hariç özel koşullar yaratır. Bu bir erişim kontrol sistemi veya diğer kurumsal önlemler olabilir.
5 No'lu Çocuk ve Gençlik Spor Okulu'nda planlanan otomatik bir sistemin tanıtılmasına rağmen, kağıt belgelerle çalışmalar devam edecektir. Bu nedenle, örneğin, müşterilerle yapılan sözleşmelerin yalnızca kağıt üzerinde yasal gücü vardır. Yetkisiz kişilerin veya erişimi olmayan çalışanların bunlara erişme olasılığı dışında, bu tür belgelerin saklanmasının organizasyonu, genel bilgi güvenliği sisteminin sağlanmasında önemli bir noktadır. Bu tür belgelerin saklanacağı bir arşiv düzenlenmesi ve çalışanların buna erişiminin düzenlenmesi tavsiye edilir. Fiziksel yöntemleri (demir kapı, pencerelerdeki parmaklıklar) hariç tutmak için yetkisiz kişilerin nüfuz etme olasılığı.
mezuniyet çalışması
1.2.4 Bilgi güvenliği ve bilgi koruma sisteminin analizi
Bilgi ve telekomünikasyon komplekslerinin küreselleşme süreci, esas olarak kendi üretiminin donanım ve yazılımında uygulanan Devlet Üniter Teşebbüsü OTs Moskova Kitap Evi'nde bilgi teknolojilerinin tanıtılması, bilgi kalitesinin bağımlılığı sorununu önemli ölçüde şiddetlendirdi. Davetsiz misafirin iletilen kullanıcı verileri üzerindeki olası kasıtlı ve kasıtsız etkilerine ilişkin taşıma süreçleri, yönetim bilgileri ve bu süreçleri sağlayan donanım ve yazılımlar.
Depolanan ve iletilen bilgilerin hacmindeki bir artış, ihlal edenin Devlet Üniter Teşebbüsü OT'lerin "Moskova Kitap Evi" bilgi alanına yetkisiz erişim potansiyelinde ve işleyişinin süreçleri üzerindeki etkisinde bir artışa yol açar.
Devlet Üniter Teşebbüsü OTs Moskova Kitap Evi'nin kullanılan teknolojilerin ve işleyiş süreçlerinin karmaşıklığı, Devlet Üniter Teşebbüsü OT'ler Moskova Kitap Evi'nde kullanılan donanım ve yazılımın nesnel olarak bir takım hatalar ve bildirilmemiş özellikler içerebileceği gerçeğine yol açmaktadır. ihlal edenler tarafından kullanılabilir.
SUE OC Moskova Kitap Evi'nde bilgi çatışması karşısında gerekli koruma araçlarının bulunmaması, şirketi bir bütün olarak olası düşmanca eylemlere, haksız rekabete ve ayrıca suç ve diğer yasadışı eylemlere karşı savunmasız hale getirir. SUE OC Moscow House Books'un bilgi güvenliği sistemi" aşağıdaki seviyelerin bir kombinasyonu olarak gösterilebilir:
Seviye 1 - Organizasyonun yönetimi;
Seviye 2 - ISS Birimi;
Seviye 3 - Personel ve ek fonlar koruma;
Seviye 4 - Alt bölümlerde (teknolojik sitelerde) IS'den sorumlu;
Seviye 5 - Son kullanıcılar ve servis personeli.
Yazılım geliştirirken, Devlet Üniter Teşebbüsü OT'leri "Moskova Kitap Evi" aşağıdakileri yöneten ana standartları takip eder:
Yazılım kalite göstergeleri;
yaşam döngüsü ve teknolojik süreç katkıda bulunan kritik program setlerinin oluşturulması yüksek kalite ve kasıtsız kusurların önlenmesi;
Program ve veri kusurlarını tespit etmek ve ortadan kaldırmak için yazılım testi;
Operasyonlarının elde edilen kalite ve güvenliğini belgelemek için programların test edilmesi ve sertifikalandırılması.
Tablo 1.3. Proses güvenliğini sağlamaya yönelik uluslararası standartlar
|
ISO 09126:1991. O. |
Yazılım ürünü değerlendirmesi. Kalite özellikleri ve kullanımları için yönergeler. |
|
|
ISO 09000-3:1991. |
Genel kalite yönetimi ve kalite güvence standartları. Bölüm 3: Yazılımın geliştirilmesi, teslimi ve bakımında ISO 09001'in uygulanması için yönergeler. |
|
|
Yazılım yaşam döngüsü süreçleri. |
||
|
ANSI/IEEE 829 - 1983. |
Programları test ederken belgeler. |
|
|
ANSI/IEEE 1008 - 1986. |
Yazılım modüllerinin ve yazılım bileşenlerinin test edilmesi. |
|
|
ANSI/IEEE 1012 - 1986. |
Yazılımın planlama doğrulama (değerlendirme) (doğrulama) ve doğrulama (onaylama). |
Bilgileri harici tehditlerden korumak için, SUE OTs Moscow Book House, bir güvenlik duvarı kullanır - bir güvenlik duvarı ile birleştirilmiş bir yazılım veya donanım yönlendiricisi Bu sistem, veri paketlerini filtrelemenize olanak tanır.
Şirketin ayrıca aşağıdakiler gibi yasal ve organizasyonel ve idari belgeleri vardır:
1. Bilgi güvenliği yönetmeliği:
çalışanların ticari sır teşkil eden resmi bilgilere erişimi;
· "GUP OTs "Moscow House of Books" altında kişisel olarak yapılandırılmış yazılımın kullanımına erişim.
2. İnternet kullanımına ilişkin düzenlemeler, e-posta "GUP OTs "Moskova Kitap Evi".
Yatılı evin üst düzey yöneticisinin çalışmalarının otomasyonu FSUE "OK" Rublevo-Uspensky "UDP RF
Kurumsal bilgi güvenliği sistemi, bu projede açıklanan bilgi altyapısının tüm bileşenlerini kapsar ve bilgilerin bütünlüğünü, gizliliğini ve kullanılabilirliğini sağlar...
JSC "Uraltransnefteprodukt" şirketinin bilgi sisteminin analizi
Artan terör saldırıları, petrol hırsızlığı vakalarıyla bağlantılı olarak, bu konu yaygınlaştı, çünkü bu tür tehditlere ek olarak, petrolle ilgili hizmetler için piyasada rekabet var...
1C Bit LLC örneğinde otomasyon için bir bilgi sisteminin edinilmesi için seçim ve gerekçe
Bilgilerin güvenliğini ve korunmasını sağlamak için şirket yönetimi Kaspersky Lab'ın yardımına başvurmaya karar verdi...
Bilgi ve telekomünikasyon komplekslerinin küreselleşme süreci, bilgi teknolojilerinin Devlet Üniter Teşebbüsü OTs Moskova Kitap Evi'nde tanıtılması, esas olarak kendi üretiminin donanım ve yazılımı üzerinde uygulanmaktadır ...
Devlet Üniter Teşebbüsü OT'lerinde bilgi güvenliği "Moskova Kitap Evi"
Uygulama yöntemlerine göre, tüm bilgi koruma önlemleri ...
Devlet Üniter Teşebbüsü OT'lerinde bilgi güvenliği "Moskova Kitap Evi"
Devlet Üniter Teşebbüsü OT'lerinde bilgi güvenliği "Moskova Kitap Evi"
Rusya Federasyonu'nda bilgi güvenliği alanındaki düzenleyici yasal düzenlemeler şunları içerir: 1 ...
Devlet Üniter Teşebbüsü OT'lerinde bilgi güvenliği "Moskova Kitap Evi"
Örgütsel (idari) koruma önlemleri, ASOEI'nin işleyiş süreçlerini, kaynaklarının kullanımını, personelin faaliyetlerini ve ayrıca sistem kullanıcıları arasındaki etkileşim prosedürünü bu şekilde düzenleyen önlemlerdir ...
LLC "Computer World", Samara'nın ofis ekipmanlarının onarım çalışmaları ve bakımı için muhasebe için bir bilgi sisteminin tasarımı ve geliştirilmesi
IS'de bilgi güvenliği sistemlerinin oluşturulması aşağıdaki ilkelere dayanmaktadır: sistematik bir yaklaşım, sistemin sürekli gelişimi ilkesi, yetkilerin ayrılması ve en aza indirilmesi, kontrolün eksiksizliği ve girişimlerin kaydedilmesi ...
Temel 1C modelinin konfigürasyonuna dayalı olarak müşteri hizmetleri departmanı ve deponun bir iş süreci modülünün geliştirilmesi
1C temel modelinin konfigürasyonuna dayalı olarak müşteri hizmetleri departmanının ve ZhilRemStroy LLC deposunun iş süreçlerini otomatikleştirmek için bir modülün geliştirilmesi
Şirketin yasal ve örgütsel ve idari belgeleri bulunmaktadır: 1. Bilgi güvenliği düzenlemeleri: çalışanların resmi bilgilere erişimi...
Bir raporlama dokümantasyonu dışa aktarma modülünün geliştirilmesi
Nympha Trade House çalışanlarının tüm kişisel bilgisayarlarında kurulu olan işletim sistemi (Windows XP SP3), dış tehditlere karşı korunmak için lisanslı yazılım ürünü Kaspersky Antivirus 6.0 ve Kaspersky Internet Security 6.0 ile korunmaktadır...
Alfa Bank OJSC'nin kişisel veri koruma sisteminin iyileştirilmesi
JSC "Raschet" tesislerinde bilgi güvenliği sisteminin iyileştirilmesi
İşletmede, Tablo 9'da gördüğümüz gibi, güvenlik açıklarının çoğu, tesislerin yetersiz denetimi ile ilgilidir. OJSC "Raschet" şirketi, bir geçiş sistemi sağlayan başka bir şirketten mülk kiraladığından ...
CJSC "Consultant Plus" bir güvenlik politikasına sahiptir.
Şirket, bilgi koruma ve bilgi güvenliği (IS) alanında aşağıdaki yasal belgelere sahiptir:
- - Gizli bilgiler yönetmeliği
- - Yazılımın kullanımına ilişkin açıklama
- - E-posta kullanımına ilişkin açıklama
- - İnternet kullanımına ilişkin düzenlemeler
- - Mobil cihazların ve depolama ortamlarının kullanımına ilişkin düzenleme
- - Dahili işgücü düzenlemeleri
- - Bilgi güvenliği politikasının tanıtımına ilişkin sipariş
- - İç Çalışma Yönetmeliği'nin çıkarılmasına ilişkin talimat
- - Nesne içi erişim kontrolünün tanıtımı için sipariş
Bu düzenlemelerin uygulanmasından Güvenlik Baş Sorumlusu ve Sistem Yönetimi Başkanı sorumludur.
AT iş sözleşmeleri işletmenin çalışanları, sözleşme süresi boyunca ve sözleşmenin feshinden sonraki üç yıl boyunca gizli bilgilerin ifşa edilmemesine yönelik bir maddeye sahiptir. Çalışanlar, İşverene ait ticari sırların ve diğer gizli bilgilerin güvenliğinin sağlanması, nesne içi uyum ve erişim kontrolü ile ilgili tüm emir, talimat ve yönetmeliklerin gerekliliklerine uymakla yükümlüdür.
Çalışanlar e-posta kullandığında aşağıdakiler yasaktır:
- 1) E-postayı kişisel amaçlar için kullanın.
- 2) Aşağıdakileri içeren elektronik mesajlar gönderin:
a. kesin bilgi
b. gönderenin resmi görevlerinin bir parçası olmadıkça, ticari sır teşkil eden bilgiler.
d. Bir şirket ağındaki yazılım ve donanımın işlevselliğini bozabilecek veya sınırlayabilecek bilgiler, dosyalar veya yazılımlar.
- 3) Bilinmeyen göndericilerden alınan gelen e-posta mesajlarının bağlantılarını takip edin ve eklerini açın.
- 4) Kendi inisiyatifiyle (kitle dahil) elektronik mesajlar gönderin (dağıtım resmi görevlerin yerine getirilmesiyle ilgili değilse).
- 5) E-posta adresinizi veya Kuruluşun diğer çalışanlarının e-posta adreslerini halka açık İnternet kaynaklarında (forumlar, konferanslar, vb.) yayınlayın.
- 6) Kuruluşun çalışanlarına (IP yöneticileri hariç) ve üçüncü şahıslara elektronik posta kutularına erişim sağlayın.
- 7) Elektronik mesajları IS yöneticilerinden önceden onay almadan şifreleyin.
İnterneti kullanırken aşağıdakiler yasaktır:
- 1) Kuruluş tarafından sağlanan İnternet erişimini kişisel amaçlarla kullanmak.
- 2) İnternete yetkisiz erişim elde etmenizi sağlayan özel donanım ve yazılım kullanın.
- 3) Kuruluşun IP öğelerinin normal işleyişini bozmaya yönelik her türlü eylemi gerçekleştirin.
- 4) Aşağıdakileri içeren materyalleri yayınlayın, yükleyin ve dağıtın:
a) Gizli Bilgiler,
b) Resmi görevlerin bir parçası olmadıkça, ticari sır teşkil eden bilgiler.
- 5) Sahibinin izni olmadan tamamen veya kısmen telif hakkı veya diğer haklar ile korunan bilgiler.
- 6) Donanım ve yazılımın işlevselliğini bozmak, yok etmek veya sınırlamak için tasarlanmış kötü amaçlı yazılımlar, ticari yazılımlar ve bunları oluşturmak için yazılımlar için seri numaraları, şifreler ve ücretli İnternet kaynaklarına yetkisiz erişim elde etmek için diğer araçlar ve ayrıca şunlara bağlantılar yukarıdaki bilgiler.
- 7) IP adresinizi ve diğer özel bilgileri tahrif etmek.
CJSC "Consultant Plus"ın sınırlı bir ticari yazılım listesi (izin verilen yazılım Kayıtlarına göre) ve ücretsiz yazılım (üretim görevlerini gerçekleştirmek için gerekli) kullanmasına izin verilir. Kullanıcıların bilgisayarlarına başka yazılım yüklemeleri yasaktır.
IS CJSC "Consultant Plus" da yalnızca Kuruluşun mülkiyetinde olan ve düzenli denetim ve kontrole tabi olan kayıtlı mobil cihazları ve depolama ortamlarını kullanmasına izin verilir. Kuruluş tarafından sağlanan mobil cihazlarda, Kullanıma İzin Verilen Yazılımlar Kaydı'nda yer alan ticari yazılımların kullanılmasına izin verilir.
Program düzeyinde, Microsoft Active Directory dizin hizmetinde ve DBMS'ye erişilirken rol tabanlı erişim denetimi üstlenilir. Aynı hizmet kullanıcı parolalarını da yönetir: her parolanın bir son kullanma tarihi vardır ve bunun ardından kullanıcı başka bir parola belirlemeye zorlanır; sistem çok kısa veya çok basit bir parola girmenize izin vermez. Böylece sisteme yetkisiz erişime karşı koruma sağlanır.
LAN'ı ve bilgisayarları harici tehditlerden korumak için aşağıdaki işlevleri yerine getiren Kaspersky Enterprise Space Security paketi kullanılır:
- 1) Hacker saldırılarına karşı koruma. Modern bilgisayar korsanları, saldırılar için keylogger'lar (keylogger'lar) ve rootkit'ler kullanır - verilere yetkisiz erişime izin veren ve aynı zamanda algılamayı önleyen programlar. Anti-virüs motoru, bu tehditleri etkin bir şekilde etkisiz hale getirerek şirket ağındaki bilgisayarlara yetkisiz erişimi engeller.
- 2) Kimlik avı koruması. Kimlik avı sitesi URL veritabanı sürekli büyüyor; LAN güvenlik düzeyini artırarak şüpheli bağlantıları tanır ve engeller ve kimlik avı e-postalarını filtreler.