10-Amaliy ish Mavzu: Axborot xavfsizligi xavfini sifatli baholash

Agar 4, 5-bandlarning har biri uchun 20 (G4 > 20, G5 > 20) ga teng yoki undan ko'p bo'lsa, bu axborotni himoya qilish tartibi va tashkiliy usullari yoki texnik vositalar yordamida himoya qilish zarurligini ko'rsatadi. 1-3 elementlaridan biri uchun maxsus baholash 20 (G1 < 20, G2 < 20, G3 < 20) dan kam bo'lsa, axborotni himoya qilish mumkin emas.

Shunday qilib, o'tkazilgan baholar asosida tashkilot rahbari axborotni himoya qilishni tashkil etish bo'yicha ishlarni amalga oshirish zarurligi to'g'risida qaror qabul qiladi. Tabiiyki, tashkilot rahbari axborotni himoya qilishni tashkil etish uchun kelgusi xarajatlar haqida yana bir muhim savol tug'iladi. Bu masala maxfiy axborotni himoya qilish bilan bog'liq kutilgan xarajatlarni taxminiy baholashni aniqlash uchun mo'ljallangan texnikaning ikkinchi qismi yordamida hal etiladi. Umuman olganda, axborotni himoya qilish xarajatlari tashkiliy-rejimli va texnik chora-tadbirlar xarajatlaridan iborat. O'z navbatida, texnik himoya qilish xarajatlari nutq ma'lumotlarini himoya qilish va boshqa turdagi axborotni, xususan, kompyuterda, telegraf, faks va tashkilot faoliyatida ishlatiladigan boshqa turdagi ma'lumotlarni himoya qilish xarajatlaridan iborat.

Axborotni muhofaza qilishning tartibli va tashkiliy choralariga sarflanadigan xarajatlar, asosan, axborot xavfsizligini oshiruvchi rejimli chora-tadbirlarni tashkil etish va nazorat qilishni ta'minlaydigan rejimli bo'linmalar (guruhlar) xodimlarining ish haqi bilan belgilanadi. Ushbu xarajatlarni hisoblash tashkilot boshlig'i tomonidan boshqariladi va qiyinchiliklarga olib kelmaydi. Axborotni texnik himoya qilish xarajatlari axborotni oqizish kanallarini aniqlash, uni himoya qilish usullarini aniqlash va texnik himoya echimlarini amalga oshirish uchun kutilgan xarajatlarni aniqlash imkonini beruvchi tadqiqotlar xarajatlaridan iborat.

Ishdan Kirishni farqlash usullarini o'rganing. Korxona ishchilarining mehnat majburiyatlariga qarab kirish huquqlarini taqsimlashni o'rganish.

Nazariy qism

Himoyalangan axborot elementlariga kirishni cheklash har bir ro'yxatdan o'tgan foydalanuvchiga o'z vakolatlari doirasida ma'lumotlarga to'siqsiz kirish imkoniyatini berish va o'z vakolatidan oshib ketish ehtimolini istisno qilishdan iborat. Bu maqsadlar uchun kompyuter qurilmalari, axborotni qayta ishlash dasturlari, maydonlar va ma'lumotlar massivlari (ma'lumotlar bazalari) ga kirishni cheklash usullari va vositalari ishlab chiqilgan va amalda joriy qilingan. Ajratishning o'zi bir necha usul bilan amalga oshirilishi mumkin, xususan:

1)kirishni boshqarish ro'yxatlari (ACL – Access Control Lists);

2) tanlangan yoki diskratsion kirishni boshqarish (DAC – Discretionary Access Control), uning sxemasi 1-rasmda keltirilgan;

3) vakolatli (mandat) kirishni boshqarish (MAC – Mandatory Access Control) – sxemasi 2-rasmda ko'rsatilgan.

Kirishni nazorat qilish ro'yxatlariga kirishni cheklash, himoyalangan ma'lumotlarning (fayl, ma'lumotlar bazasi, dastur) har bir elementi uchun tegishli elementga kirish huquqi berilgan barcha foydalanuvchilar ro'yxati tuziladi yoki aksincha, har bir ro'yxatdan o'tgan foydalanuvchi uchun unga kirish huquqi berilgan himoyalangan ma'lumotlarning elementlari ro'yxati tuziladi. Vakolatlarni taqsimlashning eng to'liq modeli-sub'ektlar ro'yxati satrlari, ustunlardagi ob'ektlar-kirish matritsasi; qatorlar va ustunlar kesishmasida joylashgan hujayralarda qo'shimcha shartlar (masalan, harakat vaqti va joyi, boshqa sub'ektlarning joriy huquqlari) va ruxsat etilgan kirish turlari qayd etilgan. 1-jadval universitet tuzilmasida kirishni ajratishning misolini ko'rsatadi, foydalanuvchi huquqlari quyidagi qisqartmalarga mos keladi:

Tanlov yoki diskratsion kirishni boshqarish (avtorizatsiya matritsasi orqali kirishni farqlash) ikki o'lchovli matritsaning shakllanishini o'z ichiga oladi, uning satrlarida ro'yxatdan o'tgan foydalanuvchilar identifikatorlari va ustunlar - himoyalangan ma'lumotlar elementlarining identifikatorlari mavjud. Matritsa elementlari tegishli foydalanuvchining tegishli elementga nisbatan avtorizatsiya darajasi to'g'risidagi ma'lumotlarni o'z ichiga oladi. Avtorizatsiya matritsasiga asoslangan kirishni boshqarish usulining kamchiliklari shundan iboratki, miqyosi oshishi bilan bu matritsa juda og'ir bo'lib qolishi mumkin. Vaziyatni belgilash matritsasini qisqartirish bo'yicha quyidagi tavsiyalarni qo'llash orqali bu kamchilikni bartaraf etish mumkin.

- guruhlarga bir xil vakolatlarga ega foydalanuvchilar;

- kirish huquqlari bir xil bo'lgan resurslarni birlashtirish.

1 -jadval - kirishni boshqarish ro'yxatiga muvofiq kirishni boshqarish jadvaliga misol

Subyekt	Obyekt
	Shaxsiy ma’lumot	Moliyaviy hisobot	O’quv-uslubiy majmualar	Buyruqlar
Rahbariyat	R	R	R	R,W,C,D
Buhgalteriya	R	W,C,E	R	R
O’qituvchilar	X	X	W,R,C,E,D	R
Talabalar	X	X	R	R

1 -rasm - Diskratsion kirishni boshqarishni sxemasi

Vakolatli (mandat) kirishni boshqarish-himoyalangan ma'lumotlar elementiga kirish uchun bir martalik ruxsat berish usuli. Har bir himoyalangan elementga shaxsiy noyob yorliq beriladi, undan so'ng ushbu elementga kirish faqat uning so'rovida himoya boshqaruvchisi yoki element egasi tomonidan berilishi mumkin bo'lgan element (mandat) belgisini ko'rsatadigan foydalanuvchiga ruxsat etiladi.

2-rasm. Mandatli foydalanishni boshqarish sxemasi

Vakolatli (mandat) kirishni boshqarish - bu himoyalangan ma'lumotlar massivlar (bazalar) bo'yicha taqsimlanadi, shuning uchun har bir qator (har bir ma'lumotlar bazasi) maxfiylik darajasining ma'lumotlarini o'z ichiga oladi (masalan, faqat "konfidentsial" yoki "maxfiy" yoki faqat "o’ta maxfiy" yoki “ochiq"). Har bir ro'yxatdan o'tgan foydalanuvchi aniq qabul qilish darajasiga ega (masalan, "maxfiy", "o’ta maxfiy" va boshqalar). Keyin foydalanuvchi o'z darajasining qatoriga (bazasiga) va past darajadagi massivlarga (bazalarga) kirishga ruxsat beradi va yuqori darajadagi massivlarga (bazalarga) kirish taqiqlanadi.

Ishni bajarish tartibi

11- amaliy ishdan korxona va tashkilotlardagi axborot tizimining barcha foydalanuvchilari uchun kirishni nazorat qilish ro'yxatlari bo'yicha kirishni belgilang. 2-jadvalda barcha foydalanuvchilarni kamida 5 guruhga bo'ling. 3-jadvalda quyidagi qisqartmalardan foydalanish huquqlarini bildirish uchun guruhlar va aktivlar uchun ruxsat etilgan harakatlarni ro'yxatdan o'tkazing: X - huquqlar yo'q; R - o'qish; W - yozish; C - yaratish; E - tahrirlash; D - o'chirish.

2-jadval - foydalanuvchilarning guruhlarga bo'linishi

Ishning maqsadi: Xavfsizlik siyosati hujjatining tuzilishini o'rganish. Axborot ob'ekti uchun xavfsizlik siyosatini tuzishni o'rganish.

Raqobatbardosh tuzilmalar faoliyati to'g'risidagi maxfiy ma'lumotlarning yuqori qiymati axborotni texnik vositalar va raqobatchilarning agentlari tomonidan ushlashdan himoya qilish muammosi ham davlat, ham nodavlat sektor uchun juda dolzarb ekanligini ko'rsatadi. Ayniqsa, bugungi kunda nodavlat sektorning maxfiy ma'lumotlarini himoya qilish zarurligi haqida savol tug'iladi. Buning sababi shundaki, davlat sektori uzoq vaqtdan beri axborotni himoya qilish bilan shug'ullangan va hozirgi kunda ushbu muammolarni hal qilish uchun mustahkam ilmiy-texnik salohiyatga, kuch va texnik vositalarga ega; mamlakatimizda axborotni himoya qilish masalasida nodavlat sektor bu masalaga katta e'tibor qaratilayotgan xorijiy mamlakatlarning davlat va xususiy firmalaridan farqli o'laroq, dastlabki qadamlarni qo'ymoqda. Malakali mutaxassislar, ilmiy ishlanmalar, tajriba, bilimlar, zarur hujjatlar va ushbu sohadagi firmalarning texnik imkoniyatlari raqobat sharoitida mavjud emasligi ularni davlat sektori korxonalari bilan teng bo'lmagan, qiyin ahvolga soladi.

Xavfsizlik siyosati - bu xavfsizlikka tahdidlar to'plamidan himoya qilish vositalarining ishlashini tartibga soluvchi normalar, qoidalar, tavsiyalar majmui.

Xavfsizlik siyosati doirasini aniqlash uchun tahdid va tavakkalchilikni tahlil qilish, mavjud aktivlarni tasniflash va zarar yetkazilgan taqdirda zararlanish darajasini aniqlash zarur. Ushbu tahlil asosida tizimga tahdidlarning kirib kelishi ehtimolini kamaytirish maqsadida xavfsizlik siyosati tuziladi.

Xavfsizlik siyosati tizimlarning konfiguratsiyasini, tashkilot xodimlarining normal sharoitda va kutilmagan holatlardagi harakatlarini tartibga soluvchi qoidalarni belgilaydi. U odamlarni xohlamagan narsalarni qilishga majburlaydi. Biroq, bu tashkilot uchun juda katta ahamiyatga ega va axborot xavfsizligi bo'limining eng muhim ishidir.

Xavfsizlik tizimini qanday joylashtirishni aniqlash, axborot va tizimlarni himoya qilishning tegishli mexanizmlari, jismoniy xavfsizlik talablariga muvofiq kompyuter tizimlari va tarmoqlarining to'g'ri konfiguratsiyasi xavfsizlik siyosatining vazifalaridir.

Siyosat xodimlarning xavfsizlik masalalari bilan bog'liq vazifalarini bajarishi tartibini belgilaydi, tashkilotda joylashgan kompyuter tizimlaridan foydalanishda foydalanuvchilarning xatti -harakatlarini belgilaydi. Va, eng muhimi, kutilmagan holatlar yuz berganda javob berish tartibini belgilaydi. Xavfsizlik yoki tizim ishlamay qolganda, siyosat va protseduralar hodisaning oqibatlarini bartaraf etish uchun bajariladigan harakatlar va vazifalar tartibini belgilaydi.

ISO 17799 xalqaro standarti qoidalariga asoslanib, biz odatda tashkilotning xavfsizlik siyosati uchun quyidagi tuzilmani taklif qilishimiz mumkin:

1. Umumiy qoidalar.

1.1 Hujjatning maqsadi.

1.2 Xavfsizlik siyosatining maqsad va vazifalari.

1.3 Normativ -huquqiy baza.

1.4 Asosiy ta'riflar.

2 Axborot tizimini aniqlash.

2.1 Strukturaviy birliklarning tavsifi

2.2 Aktivlarni aniqlash.

2.3 Ma'lumotlarning maxfiylik darajalari bo'yicha tasnifi.

2.4 IP zaifliklarini aniqlash.

2.5 IP tahdidlarini aniqlash.

2.6 Xatarlarni baholash.

3. Axborot xavfsizligi choralari.

3.1 Jismoniy xavfsizlik va hududni nazorat qilish vositalari.

3.2 Axborotni dasturiy va apparat himoyasi vositalari.

3.3 Axborotning yaxlitligini ta'minlash vositalari.

3.4 Xodimlarning axborot resurslariga kirishini chegaralash qoidalari.

3.5 Umumiy tarmoqqa ulanishda xavfsizlikni ta'minlash.

4. Axborot xavfsizligini boshqarish.

4.1 Audit.

4.2 Professionallarni xabardor qilish va o'qitish.

4.3 Axborot xavfsizligi hodisalari to'g'risida xabar berish, javob berish va xabar berish.

4.4 Vazifalar va majburiyatlar.

"Hujjatning maqsadi" kichik bo'limi tashkilotning tavsifini beradi (tashkilotning tarkibiy bo'linmasi) va ma'lumotlarni himoya qilish va xavfsizlik siyosatini tuzish zarurligini asoslaydi. Har bir siyosat va protseduraning aniq maqsadi bor, u aniq siyosat yoki protseduraning nima uchun yaratilganligi va tashkilot undan qanday foyda olishni umid qiladi.

Rasmiy korxona axborot xavfsizligi siyosatini ishlab chiqishdan maqsad - hisoblash va aloqa resurslaridan foydalanishning to'g'ri (tashkilot nuqtai nazaridan) usulini aniqlash, shuningdek, xavfsizlik buzilishining oldini olish yoki unga javob berish tartibini ishlab chiqish. Ushbu maqsadga erishish uchun siz ma'lum bir tashkilotning o'ziga xos xususiyatlarini hisobga olishingiz kerak.

Birinchidan, tashkilot faoliyatining maqsadlari va asosiy yo'nalishlarini hisobga olish kerak. Masalan, harbiy bazada va universitetda maxfiylik talablari ancha farq qiladi.

Ikkinchidan, ishlab chiqilayotgan siyosat tashkilot uchun amaldagi qonun va qoidalarga muvofiq bo'lishi kerak. Demak, bu qonunlar va qoidalar siyosatni ishlab chiqishda aniqlanishi va hisobga olinishi kerak.

Uchinchidan, agar tashkilotning lokal tarmog'i ajratilmagan bo'lsa, xavfsizlik masalalari kengroq kontekstda ko'rib chiqilishi kerak. Siyosat masofaviy tomonning harakatlari tufayli mahalliy kompyuterda paydo bo'ladigan muammolarni, shuningdek, mahalliy xost yoki foydalanuvchidan kelib chiqadigan masofaviy muammolarni qamrab olishi kerak.

Axborotni muhofaza qilishning umumiy maqsadlari - bu ma'lumotlarning tarqalishi, o'g'irlanishi, yo'qolishi, buzilishi, soxtalashtirilishining oldini olish; axborotni yo'q qilish, o'zgartirish, buzish, nusxalash, blokirovka qilish bo'yicha ruxsatsiz harakatlarning oldini olish; axborot resurslari va axborot tizimlariga noqonuniy aralashishning boshqa shakllarining oldini olish.

Normativ -huquqiy tizimning kichik bo'limi xavfsizlik siyosatini yozish va siyosatning mahalliy va xalqaro qonunlarga muvofiqligini aniqlash uchun ishlatiladigan qoidalar va qonunlar ro'yxatini o'z ichiga oladi.

Agar xavfsizlik siyosatida "Asosiy ta'riflar" bo'limida yangi kiritilgan atamalar bo'lsa, terminologiya berilgan.

"Axborot tizimini identifikatsiya qilish" bo'limida moddiy va axborot resurslari ularning turiga va himoya darajasiga ko'ra tasniflanadi. Shuningdek, moddiy va axborot resurslari bilan ishlaydigan, himoyalanadigan va axborot xavfsizligi sohasidagi ishlarga mas'ul bo'lgan bo'limlar va lavozimlar ro'yxati ham mavjud. Bu bo'limda zaiflik, tahdidlarni aniqlash va xavflarni baholash natijalari keltirilgan.

"Axborot xavfsizligi choralari" bo'limida axborot va moddiy boyliklarning yaxlitligini saqlash va ruxsatsiz kirishni oldini olish maqsadida ulardan foydalanishning asosiy qoidalari belgilangan.

"Hududni jismoniy xavfsizlik va nazorat qilish vositalari" bo'limida xodimlarni binolarga qabul qilishni tartibga solish, texnik xizmat ko'rsatish jarayonlarini tartibga solish va apparat va dasturiy resurslar modifikatsiyasini amalga oshirish mumkin. Masalan, ma'lumotlarni saqlash va uzatish tizimlari ishonchli avtomatik qulflar, signalizatorlar bilan jihozlangan maxsus xonalarda joylashtirilishi va doimiy ravishda qo'riqlanishi yoki kuzatilishi kerak, bunda ruxsatsiz shaxslarning xonaga nazoratsiz kirib kelish ehtimoli va himoyalangan resurslarning jismoniy xavfsizligini ta'minlash. xonada. Xavfsizlik siyosatida identifikatsiya va autentifikatsiya vositalariga qo'yiladigan talablarni belgilash tavsiya etiladi: foydalanuvchilarni aniqlash uchun qaysi tizimlardan foydalanish kerak, foydalanuvchilar qaysi parollarni tanlashi kerak va hokazo.

"Dasturiy ta'minot va texnik xavfsizlik vositalari" bo'limida axborot xavfsizligini ta'minlash uchun dasturiy mahsulotlar ro'yxati, ularga qo'yiladigan talablar va ularni majburiy o'rnatish joylari (fayl serverlari, ish stantsiyalari va elektron pochta serverlari) belgilanishi kerak.

"Dasturiy ta'minot va texnik xavfsizlik vositalari" bo'limida axborot xavfsizligini ta'minlash uchun dasturiy mahsulotlar ro'yxati, ularga qo'yiladigan talablar va ularni majburiy o'rnatish joylari (fayl serverlari, ish stantsiyalari va elektron pochta serverlari) belgilanishi kerak.

Xavfsizlik siyosati elektron fayllarga kirishni nazorat qilish uchun standart talablarni belgilaydi, bu tizimdagi har bir fayl uchun foydalanuvchiga kirishni boshqarishning standart shakllarini ta'minlaydi. "Xodimlarning axborot resurslariga kirishini cheklash qoidalari" bo'limi fayl egalariga va tizimning boshqa foydalanuvchilariga berilgan o'qish, yozish va bajarishga ruxsat beradi.

Xavfsizlik siyosati tarmoq ulanishlarini o'rnatish qoidalarini va ishlatilgan himoya mexanizmlarini ham tavsiflaydi. Ulanishlar uchun har bir ulanish turi uchun autentifikatsiya va autentifikatsiyaning texnik qoidalari o'rnatiladi (ruxsat berilgan kirish nuqtalari ustidan qattiq nazorat). Xavfsizlik devorlari ajratilgan chiziqlarni himoya qilish vositasi sifatida ishlatiladi.

Xavfsizlik siyosati xodimlarning ichki tizimlarga masofadan kirishni amalga oshirish mexanizmlarini belgilashi kerak. Bunday holda, xavfsizlik siyosati bunday kirish uchun ruxsat olish tartibini belgilashi kerak. Va masofadan kirishni amalga oshirishda eng muhimi, barcha ulanishlar shifrlash bilan himoyalangan. Simsiz ulanishni ishlatishga ruxsat berilgan shartlarni (agar mavjud bo'lsa) va bunday tarmoqda avtorizatsiya qanday amalga oshirilishini aniq aniqlash kerak (autentifikatsiya yoki shifrlash uchun qo'shimcha talablar).

Xavfsizlik siyosati elektron pochta tizimi bilan ishlash qoidalarini tasvirlab berishi kerak. Shunday qilib, elektron pochta orqali sheriklar bilan hujjatlar almashishda elektron pochta xabarlarining mazmuni korporativ standartlarga mos kelishi kerak.

Audit - himoyalangan tizim resurslariga kirish bilan bog'liq hodisalarni tizim jurnalida qayd etish.

Zamonaviy operatsion tizimlarning audit quyi tizimi qulay grafik interfeysi yordamida ma'murni qiziqtirgan hodisalar ro'yxatini farqlashga imkon beradi.

Buxgalteriya hisobi va monitoring vositalari muhim xavfsizlik hodisalarini yoki tizim resurslarini yaratish, ulardan foydalanish yoki o'chirish urinishlarini aniqlash va yozib olish imkoniyatini beradi.

Xodimlarga nisbatan qo'llaniladigan xavfsizlik choralarini tavsiflovchi "Mutaxassislarni xabardor qilish va o'qitish" bo'limi axborot xavfsizligi nuqtai nazaridan lavozim tavsiflarini, xodimlarni o'qitish va qayta tayyorlashni tashkil qilishni, xavfsizlik qoidabuzarliklariga javob berish tartibini va boshqalarni o'z ichiga oladi. Axborot tizimidan foydalanuvchilar, shuningdek boshqaruv va texnik xodimlar o'z vakolatlari darajasi, shuningdek, axborotni qayta ishlash talablari va tartibini belgilaydigan tashkiliy, ma'muriy, me'yoriy, texnik va operatsion hujjatlar bilan tanish bo'lishi kerak.

Siyosatning asosiy elementi - har kimga xavfsizlik rejimini saqlash bo'yicha o'z majburiyatlarini etkazish. Siyosat hamma narsani oldindan ko'ra olmaydi, lekin har bir muammo uchun har bir bo'limda har qanday hodisaga o'z vaqtida va to'g'ri javob beradigan mas'ul shaxs borligini ta'minlashi kerak. Buning uchun "Axborot xavfsizligi hodisalari to'g'risida xabar berish, javob berish va xabar berish" bo'limida xodimlar axborot xavfsizligi buzilgan taqdirda harakat qilish tartibi tasvirlangan.

"Ish majburiyatlari va majburiyatlari" bo'limida xavfsizlik siyosatiga rioya qilish va xodimlarga axborot xavfsizligi majburiyatlarini etkazish uchun mas'ul bo'lganlar aniqlanadi. Menejerlarning lavozim tavsifiga qo'shimchalar - bo'linma ichidagi axborot xavfsizligini ta'minlash uchun javobgarlik, shu jumladan hodisalar to'g'risida xabar berish uchun javobgarlik.

Axborot xavfsizligini ta'minlashda bir necha darajadagi javobgarlik mavjud. Birinchi bosqichda har bir kompyuter resursidan foydalanuvchi axborot xavfsizligi haqida g'amxo'rlik qilishi shart. O'zaro kelishuvga erishgan foydalanuvchi boshqa manbalarga zarar etkazish ehtimolini oshiradi.

Tizim ma'murlari yoki bo'lim boshliqlari javobgarlikning boshqa darajasini tashkil qiladi. Ular kompyuter tizimlarini himoya qilishni ta'minlashi kerak. Tarmoq ma'murlarini yanada yuqori darajaga ko'tarish mumkin.