Xavfsizlik va axborotni himoya qilish tizimini tahlil qilish. Davlat tahlili va boshqaruv jarayonlarida axborot xavfsizligini ta'minlash metodologiyasi

Kirish

Korxonaning axborot xavfsizligi - bu korxona ega bo'lgan (ishlab chiqaradigan, uzatadigan yoki oladigan) ma'lumotlarni ruxsatsiz kirish, yo'q qilish, o'zgartirish, oshkor qilish va olishda kechikishlardan himoya qilish. Axborot xavfsizligi ma'lumotlarni yaratish, kiritish, qayta ishlash va chiqarish jarayonlarini himoya qilish choralarini o'z ichiga oladi. Axborot xavfsizligini kompleks ta’minlashdan maqsad korxona axborot tizimini yaxlit saqlash, u ishlab chiqarayotgan axborotning to‘liqligi va to‘g‘riligini himoya qilish va kafolatlash, agar mavjud bo‘lsa, axborotni yo‘q qilish va o‘zgartirishni minimallashtirishdan iborat.

Kompyuterlashtirish va telekommunikatsiyaning rivojlanishi bugungi kunda jamiyatdagi (uning fuqarolari, tashkilotlari va boshqalar) turli xil maxfiy, shaxsiy va boshqa muhim, muhim, muhim ma’lumotlarga avtomatlashtirilgan holda kirish uchun keng imkoniyatlar yaratmoqda.

Zamonaviy tashkilotning muayyan qoidalari va xavfsizlik siyosatini amalga oshiradigan xavfsiz axborot almashinuvi muhitini yaratish va qo'llab-quvvatlash muammosi juda dolzarbdir. Axborot uzoq vaqtdan beri vaqtinchalik, sof yordamchi rol o'ynashni to'xtatdi, undan (axborotdan) foydalanishdan olinadigan real foyda bilan belgilanadigan o'ziga xos xarajat xususiyatlariga ega bo'lgan juda muhim va muhim, deyarli moddiy omilga aylandi. Shu bilan birga, bugungi kunda axborot tuzilmasiga ruxsatsiz kirib borish va uning tarkibiy qismlariga ta'sir qilish natijasida axborot (korxona) egasiga zarar yetkazilishi ham mumkin.

Tadqiqot ob'ekti: axborot xavfsizligi.

Tadqiqot mavzusi: axborotni himoya qilish.

Shunday qilib, ushbu ishning maqsadi axborot xavfsizligini o'rganishdir.

Ushbu maqsadga erishish uchun quyidagi vazifalarni bajarish zarur: axborot tizimlari, turlari, axborotni muhofaza qilish usullari va vositalari xavfsizligini baholashni ko‘rib chiqish; axborot xavfsizligi tizimining tuzilishini tahlil qilish.

1. Axborot tizimlari xavfsizligini baholash

Avtomatlashtirilgan axborot texnologiyalaridan (AIT) foydalanish kontekstida xavfsizlik deganda axborot tizimlarining (bundan buyon matnda AT deb yuritiladi) ichki va tashqi tahdidlardan himoyalanish holati tushuniladi.

IP xavfsizlik ko'rsatkichi xavfsizlikka ta'sir qiluvchi tizim ob'ektlarining xarakteristikasi bo'lib, xavfsizlik sinfiga qarab daraja va chuqurlikda o'zgarib turadigan ma'lum bir talablar guruhi bilan tavsiflanadi.

IS xavfsizligining haqiqiy holatini baholash uchun turli mezonlar qo'llanilishi mumkin. Mahalliy va xorijiy tajribani tahlil qilish turli mamlakatlarda IP xavfsizligi holatini aniqlashga yondashuvning ma'lum bir umumiyligini ko'rsatdi. Foydalanuvchiga baholash imkoniyatini berish uchun ma'lum bir ko'rsatkichlar tizimi joriy etiladi va xavfsizlik sinflarining ierarxiyasi belgilanadi. Har bir sinf ma'lum bir talab qilinadigan funktsiyalar to'plamiga mos keladi. Tanlangan mezonlarni amalga oshirish darajasi xavfsizlikning hozirgi holatini ko'rsatadi. Keyingi harakatlar haqiqiy tahdidlarni xavfsizlikning haqiqiy holati bilan solishtirishga to'g'ri keladi.

Haqiqiy davlat tahdidlarni to'liq qamrab olsa, xavfsizlik tizimi ishonchli hisoblanadi va qo'shimcha choralarni talab qilmaydi. Bunday tizimni tahdidlar va axborot chiqib ketish kanallarini to'liq qamrab oladigan tizim sifatida tasniflash mumkin. Aks holda, xavfsizlik tizimi qo'shimcha himoya choralarini talab qiladi.

Xavfsizlik siyosati - bu qonunlar, qoidalar va amaliy tajribalar yig'indisi bo'lib, ular asosida maxfiy ma'lumotlarni boshqarish, himoya qilish va tarqatish quriladi.

Xavfsizlik sinflari tahlili shuni ko'rsatadiki, u qanchalik baland bo'lsa, tizimga qo'yiladigan talablar shunchalik qattiqroq bo'ladi.

Axborot xavfsizligi sohasidagi yo'l-yo'riqli hujjatlar Rossiya Federatsiyasi Prezidenti huzuridagi Davlat texnik komissiyasi tomonidan ishlab chiqilgan. Ushbu hujjatlarning talablari faqat davlat sektori tashkilotlari yoki davlat sirlarini o'z ichiga olgan ma'lumotlarni qayta ishlovchi tijorat tashkilotlari tomonidan bajarilishi majburiydir. Boshqa tijorat tuzilmalari uchun hujjatlar maslahat xarakteriga ega.

2. Axborot xavfsizligi tizimlarini (ISS) qurish usullari va vositalari.

AT va AT da axborot xavfsizligi tizimlarini yaratish quyidagi tamoyillarga asoslanadi: tizimli yondashuv, tizimni uzluksiz rivojlantirish tamoyili, vakolatlarni ajratish va minimallashtirish, urinishlarni to‘liq nazorat qilish va qayd etish, himoya tizimining ishonchliligini ta’minlash. , himoya tizimining ishlashi ustidan nazoratni ta'minlash, zararli dasturlarga qarshi kurashishning barcha mumkin bo'lgan vositalarini ta'minlash, iqtisodiy maqsadga muvofiqligini ta'minlash.

Axborot xavfsizligi muammolarini hal qilish natijasida zamonaviy axborot tizimlari va AT quyidagi asosiy xususiyatlarga ega bo'lishi kerak:

Turli darajadagi maxfiylik ma'lumotlarining mavjudligi;

Ma'lumotlarni uzatishda turli darajadagi maxfiylikdagi ma'lumotlarni kriptografik himoya qilishni ta'minlash;

AT va AT dasturlari va komponentlariga (fayl serverlariga, aloqa kanallariga va boshqalarga) kirish sub'ektlari vakolatlari ierarxiyasi;

Mahalliy tarmoqlarda ham, aloqa kanallari orqali uzoq masofalarga uzatilganda ham axborot oqimlarini majburiy nazorat qilish;

Ruxsatsiz kirishga urinishlar, axborot tizimidagi hodisalar va chop etilgan hujjatlarni ro'yxatga olish va hisobga olish mexanizmining mavjudligi;

ATda dasturiy ta'minot va ma'lumotlarning majburiy yaxlitligi;

Axborot xavfsizligi tizimini tiklash vositalarining mavjudligi;

Magnit vositalarni majburiy hisobga olish;

Kompyuter texnikasi va magnit tashuvchilarning jismoniy xavfsizligining mavjudligi;

Maxsus tizim axborot xavfsizligi xizmatining mavjudligi.

3. Axborot xavfsizligi tizimining tuzilishi

Axborot xavfsizligi tizimining (ISS) tuzilishini ko'rib chiqishda an'anaviy yondashuv - qo'llab-quvvatlovchi quyi tizimlarni aniqlash mumkin. Axborot xavfsizligi tizimi, har qanday axborot tizimi kabi, o'z qo'llab-quvvatlashining ma'lum turlariga ega bo'lishi kerak, unga tayanib, u o'zining maqsadli vazifasini bajara oladi. Buni hisobga olgan holda, ISS quyidagi ta'minot turlariga (elementlariga) ega bo'lishi kerak: huquqiy, tashkiliy, normativ-uslubiy, axborot, texnik (apparat), dasturiy, matematik, lingvistik.

Huquqiy yordam ISS axborot huquqi me'yorlariga asoslanadi va kompaniya va davlat o'rtasidagi axborot xavfsizligi tizimidan foydalanishning qonuniyligi, kompaniya va xodimlarning xodimlarning cheklovchi va texnologik himoya qoidalariga rioya qilish majburiyatlari bo'yicha munosabatlarini huquqiy mustahkamlashni o'z ichiga oladi. axborot egasi tomonidan belgilangan choralar, shuningdek axborotni muhofaza qilish tartibini buzganlik uchun xodimlarning javobgarligi. Ushbu turdagi xavfsizlik quyidagilarni o'z ichiga oladi:

Kompaniyaning tashkiliy hujjatlarida, ichki mehnat qoidalarida, xodimlar bilan tuzilgan shartnomalarda, lavozim yo'riqnomalarida va ish yo'riqnomalarida maxfiy ma'lumotlarni himoya qilish qoidalari va majburiyatlarining mavjudligi;

Maxfiy ma'lumotlarni oshkor qilish, hujjatlarni ruxsatsiz yo'q qilish yoki qalbakilashtirish uchun yuridik javobgarlik to'g'risidagi qoidalarni shakllantirish va kompaniyaning barcha xodimlari (shu jumladan maxfiy ma'lumotlar bilan bog'liq bo'lmaganlar) e'tiboriga etkazish;

Ishga qabul qilingan shaxslarga axborotni himoya qilish bo'yicha majburiyatlarni bajarish bilan bog'liq cheklovlarning ixtiyoriyligi to'g'risidagi qoidalarni tushuntirish.

Shuni ta'kidlash kerakki, barcha himoya choralari orasida hozirda etakchi rol o'ynaydi tashkiliy tadbirlar . Shuning uchun xavfsizlik xizmatini tashkil etish masalasini alohida ta'kidlash kerak. Xavfsizlik siyosatini amalga oshirish uchun xavfsizlik vositalarini o'rnatish, xavfsizlik tizimini boshqarish va AT ishlashini kuzatish kerak. Qoida tariqasida, boshqaruv va nazorat vazifalari ma'muriy guruh tomonidan amalga oshiriladi, ularning tarkibi va hajmi muayyan shartlarga bog'liq. Ko'pincha bu guruhga xavfsizlik ma'muri, xavfsizlik menejeri va operatorlar kiradi.

Xavfsizlikni ta'minlash va nazorat qilish texnik va ma'muriy choralarning kombinatsiyasi hisoblanadi. Xorijiy manbalarga ko'ra, ma'muriy guruh xodimlari odatda o'z vaqtining 1/3 qismini texnik ishlarga va taxminan 2/3 qismini ma'muriy ishlarga (IP himoyasi bilan bog'liq hujjatlarni ishlab chiqish, xavfsizlik tizimini tekshirish tartiblari va boshqalar) sarflaydi. Ushbu choralarning oqilona kombinatsiyasi xavfsizlik siyosatining buzilishi ehtimolini kamaytirishga yordam beradi.

Ma'muriy guruh ba'zan axborot xavfsizligi guruhi deb ataladi. Mumkin bo'lgan manfaatlar to'qnashuvining oldini olish uchun u ISning o'zini boshqarish, dasturlash va tizim bilan bog'liq boshqa vazifalarni bajarish bilan shug'ullanadigan barcha bo'limlar yoki guruhlardan alohida.

Tashkiliy yordam quyidagilarni o'z ichiga oladi:

Xavfsizlik xizmati va maxfiy hujjatlar xizmati (yoki xavfsizlik boshlig'i yoki birinchi rahbarning yordamchisi) faoliyatini shakllantirish va tashkil etish, ushbu xizmatlarning (xodimlarning) faoliyatini tashkil etish va texnologiyasi bo'yicha me'yoriy va uslubiy hujjatlar bilan ta'minlash. axborot xavfsizligi;

Jamiyatning himoyalangan ma’lumotlari tarkibini (ro‘yxati, ro‘yxati, matritsasini) shakllantirish va muntazam yangilab borish, kompaniyaning himoyalangan qog‘ozlari, mashina o‘qishi mumkin bo‘lgan va elektron hujjatlari ro‘yxatini (inventarlarini) tuzish va yuritish;

Xodimlarning himoyalangan ma'lumotlarga kirishini cheklash uchun ruxsat berish tizimi (ierarxik sxema);

Himoyalangan ma'lumotlar bilan ishlash uchun xodimlarni tanlash usullari, xodimlarni o'qitish va ko'rsatmalar berish usullari;

Xodimlar bilan tarbiyaviy ishning yo'nalishlari va usullari, xodimlarning axborotni himoya qilish tartib-qoidalariga rioya qilishlarini nazorat qilish;

Kompaniyaning qog'oz, mashinada o'qiladigan va elektron hujjatlarini himoya qilish, qayta ishlash va saqlash texnologiyalari (ish yuritish, avtomatlashtirilgan va aralash texnologiyalar); elektron hujjatlarni himoya qilish uchun mashinadan tashqari texnologiya;

Kompaniyaning qimmatli ma'lumotlarini xodimlarning tasodifiy yoki qasddan ruxsatsiz harakatlaridan himoya qilish tartibi;

Barcha turdagi tahliliy ishlarni olib borish;

Uchrashuvlar, sessiyalar, muzokaralar, tashrif buyuruvchilarni qabul qilish, reklama agentliklari va ommaviy axborot vositalari vakillari bilan ishlashda axborotni himoya qilish tartibi;

Maxfiy ma'lumotlar bilan ishlash uchun ajratilgan binolar va ish joylarini jihozlash va sertifikatlash, texnik tizimlar va axborotni himoya qilish va himoya qilish vositalarini litsenziyalash, himoyalangan ma'lumotlarni qayta ishlash uchun mo'ljallangan axborot tizimlarini sertifikatlash;

Kompaniya hududi, binosi va binolariga kirishni nazorat qilish, xodimlar va tashrif buyuruvchilarni aniqlash;

Kompaniya hududi, binosi, binolari, jihozlari, transporti va xodimlari uchun xavfsizlik tizimlari;

Ekstremal vaziyatlarda xodimlarning harakatlari;

axborot xavfsizligi va xavfsizligini ta'minlashning texnik vositalarini sotib olish, o'rnatish va ulardan foydalanishning tashkiliy masalalari;

Shaxsiy kompyuterlarni, axborot tizimlarini, mahalliy tarmoqlarni himoya qilishning tashkiliy masalalari;

Axborot xavfsizligi tizimini boshqarish ustida ishlash;

Axborot xavfsizligi tizimining samaradorlik darajasini aniqlash bo'yicha baholash tadbirlarini o'tkazish mezonlari va tartiblari.

Axborotni muhofaza qilishning tashkiliy elementi xavfsizlik tizimi elementlarining kompleks tizimining yadrosi, asosiy qismi - "tashkiliy-huquqiy axborotni himoya qilish elementi".

Normativ va uslubiy qoida axborot xavfsizligi funktsiyalarini amalga oshiradigan organlar, xizmatlar va vositalar faoliyatiga oid normalar va qoidalarni o'z ichiga olgan huquqiy norma bilan birlashtirilishi mumkin; foydalanuvchilarning qat'iy maxfiylik talablari sharoitida o'z ishlarini bajarishda faolligini ta'minlaydigan turli xil texnikalar.

Axborotni muhofaza qilish qoidalari va standartlari an'anaviy ravishda axborot tizimlarining qo'llab-quvvatlovchi quyi tizimlariga kiritilgan bir qator komponentlarni qurish bo'yicha talablarni qo'yadi, ya'ni. axborot tizimlari va axborot xavfsizligini qo'llab-quvvatlovchi quyi tizimlarini birlashtirish tendentsiyasi mavjudligi haqida gapirish mumkin.

Masalan, operatsion tizimlardan (OT) foydalanish. Turli mamlakatlarda IP himoyasi kamchiliklarini tahlil qiluvchi va tasniflaydigan ko'plab tadqiqotlar o'tkazildi. IP himoyasidagi asosiy kamchiliklar OTda jamlanganligi aniqlandi. Xavfsiz operatsion tizimlardan foydalanish zamonaviy axborot tizimlarini qurishning eng muhim shartlaridan biridir. Mahalliy va global tarmoqlar bilan ishlashga yo'naltirilgan operatsion tizimlarga qo'yiladigan talablar ayniqsa muhimdir. Internetning rivojlanishi xavfsiz operatsion tizimlarning rivojlanishiga ayniqsa kuchli ta'sir ko'rsatdi. Tarmoq texnologiyalarining rivojlanishi ko'p sonli tarmoq komponentlarining (NC) paydo bo'lishiga olib keldi. Tarmoq dasturiy ta'minoti talablarisiz sertifikatlangan tizimlar endi ko'pincha tarmoq muhitlarida va hatto Internetga ulangan holda qo'llaniladi. Bu xavfsiz hisoblash tizimlarini sertifikatlash paytida aniqlanmagan kamchiliklarning paydo bo'lishiga olib keladi, bu esa OTni doimiy ravishda takomillashtirishni talab qiladi.

Muhandislik yordami Axborot xavfsizligi tizimlari texnik razvedka vositalariga passiv va faol qarshi turish va texnik vositalar majmuasidan foydalangan holda hududlar, binolar, binolar va jihozlar uchun xavfsizlik liniyalarini shakllantirish uchun mo'ljallangan. Axborot tizimlarini himoya qilishda ushbu element muhim ahamiyatga ega, garchi texnik himoya va xavfsizlik uskunalari narxi yuqori bo'lsa ham. Element o'z ichiga oladi:

Hududga, bino va binolarga ruxsat etilmagan shaxslarning kirib kelishidan jismoniy (muhandislik) himoya qilish inshootlari (to'siqlar, panjaralar, temir eshiklar, kombinatsiyalangan qulflar, identifikatorlar, seyflar va boshqalar);

Kompyuterlar, aloqa vositalari, nusxa ko'chirish mashinalari, printerlar, fakslar va boshqa qurilmalar va orgtexnika vositalaridan foydalanish paytida, yig'ilishlar, yig'ilishlar, tashrif buyuruvchilar va xodimlar bilan suhbatlar, hujjatlarni yozish va hk.

Binolarni texnik razvedkaning vizual usullaridan himoya qilish vositalari;

Hududni, binolarni va binolarni muhofaza qilishni ta'minlash vositalari (kuzatish, ogohlantirish, signalizatsiya, ma'lumot va aniqlash vositalari);

yong'inga qarshi vositalar;

Texnik razvedka asboblari va asboblarini aniqlash vositalari (tinglash va uzatish moslamalari, yashirin o'rnatilgan miniatyura ovoz yozish va televizion uskunalar va boshqalar);

Xodimlarning maxsus belgilangan narsalarni, hujjatlarni, disketlarni, kitoblarni va hokazolarni binolardan olib tashlashiga to'sqinlik qiluvchi texnik nazorat vositalari.

Dasturiy ta'minot va apparat himoya qilish tizimlari kompyuterlarda, serverlarda va mahalliy tarmoqlarning ish stantsiyalarida va turli xil axborot tizimlarida qayta ishlangan va saqlanadigan qimmatli ma'lumotlarni himoya qilish uchun mo'ljallangan. Biroq, ushbu himoyaning bo'laklari muhandislik, texnik va tashkiliy muhofazada qo'shimcha vosita sifatida ishlatilishi mumkin. Element o'z ichiga oladi:

Axborotni himoya qilish va uning xavfsizligi darajasini nazorat qilishni ta'minlaydigan avtonom dasturlar;

Axborotni qayta ishlash dasturlari bilan birgalikda ishlaydigan axborot xavfsizligi dasturlari;

Axborotni muhofaza qilishning texnik (apparat) qurilmalari bilan birgalikda ishlaydigan axborot xavfsizligi dasturlari (kirish tizimi buzilganda kompyuterning ishini to'xtatish, ma'lumotlar bazasiga ruxsatsiz kirishda ma'lumotlarni o'chirish va boshqalar).

4. Axborot xavfsizligini ta'minlash usullari va vositalari

AISda axborot xavfsizligini ta'minlash usullari va vositalari quyidagi rasmdagi diagrammada umumlashtirilgan va soddalashtirilgan.

Axborot xavfsizligini ta'minlash usullari va vositalari

Axborot xavfsizligining norasmiy usullarini ko'rib chiqaylik.

To'siq - bu tajovuzkorning himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismonan to'sib qo'yish usuli.

Kirish nazorati - barcha AT va IT resurslaridan foydalanishni tartibga solish orqali ma'lumotlarni himoya qilish usullari. Ushbu usullar ma'lumotlarga ruxsatsiz kirishning barcha mumkin bo'lgan usullariga qarshi turishi kerak. Bundan tashqari, kirishni boshqarish quyidagi xavfsizlik xususiyatlarini o'z ichiga oladi:

Foydalanuvchilarni, xodimlarni va tizim resurslarini identifikatsiya qilish (har bir ob'ektga shaxsiy identifikatorni belgilash);

Foydalanuvchi tomonidan taqdim etilgan identifikator yordamida uning haqiqiyligini aniqlash va aniqlash uchun autentifikatsiya;

Vakolatni tekshirish (hafta kuni, kun vaqti, so'ralgan resurslar va tartiblarning belgilangan qoidalarga muvofiqligini tekshirish);

Belgilangan qoidalar doirasida ruxsat berish va mehnat sharoitlarini yaratish;

Himoyalangan resurslarga qo'ng'iroqlarni ro'yxatga olish (ro'yxatga olish);

Ruxsatsiz harakatlarga urinishda javob berish (signalizatsiya, o'chirish, ishning kechikishi, so'rovni rad etish va boshqalar).

Hozirgi vaqtda kompyuter tarmog'iga ruxsatsiz kirishning oldini olish uchun birlashtirilgan yondashuv qo'llanilmoqda: parol va shaxsiy kalit yordamida foydalanuvchi identifikatsiyasi. Kalit bu plastik karta (magnit yoki o'rnatilgan mikrosxema - smart-karta) yoki biometrik ma'lumotlardan foydalangan holda shaxsni aniqlash uchun turli xil qurilmalar - iris, barmoq izlari, qo'l o'lchami va boshqalar. Smart-kartani o'qish moslamalari va maxsus dasturiy ta'minot bilan jihozlangan serverlar va tarmoq ish stantsiyalari ruxsatsiz kirishdan himoya darajasini sezilarli darajada oshiradi.

Shifrlash - axborotni kriptografik tarzda yopish. Ushbu himoya usullari magnit muhitda ma'lumotlarni qayta ishlash va saqlashda tobora ko'proq foydalanilmoqda. Shaharlararo aloqa kanallari orqali ma'lumot uzatishda bu usul yagona ishonchli hisoblanadi.

Zararli dastur hujumlariga qarshi kurash turli tashkiliy chora-tadbirlar va virusga qarshi dasturlardan foydalanishdir. Amalga oshirilgan chora-tadbirlarning maqsadlari: AIS infektsiyasi ehtimolini kamaytirish; tizim infektsiyasi faktlarini aniqlash; axborot infektsiyalari oqibatlarini kamaytirish; viruslarni lokalizatsiya qilish yoki yo'q qilish; ISda ma'lumotlarni qayta tiklash.

Tartibga solish - himoyalangan ma'lumotlarni avtomatlashtirilgan qayta ishlash, saqlash va uzatish uchun bunday shart-sharoitlarni yaratish, bunda himoya qilish normalari va standartlari eng yuqori darajada bajariladi.

Majburlash - bu foydalanuvchilar va axborot tizimi xodimlarini moddiy, ma'muriy yoki jinoiy javobgarlik tahdidi ostida himoyalangan ma'lumotlarni qayta ishlash, uzatish va ulardan foydalanish qoidalariga rioya qilishga majburlanadigan himoya usuli.

Rag'batlantirish - foydalanuvchilar va IS xodimlarini belgilangan axloqiy va axloqiy me'yorlarga rioya qilish orqali belgilangan tartiblarni buzmaslikka undaydigan himoya usuli.

Texnik vositalarning butun majmuasi apparat va jismoniy bo'linadi.

Uskuna - to'g'ridan-to'g'ri kompyuter uskunasiga o'rnatilgan qurilmalar yoki standart interfeys yordamida u bilan bog'langan qurilmalar.

Jismoniy vositalarga tajovuzkorlarning himoyalangan ob'ektlarga jismoniy kirib kelishiga to'sqinlik qiluvchi va xodimlarni (shaxsiy xavfsizlik uskunalari), moddiy resurslar va mablag'larni, ma'lumotlarni noqonuniy harakatlardan himoya qiladigan turli muhandislik qurilmalari va inshootlari kiradi. Jismoniy boshqaruv vositalariga misollar: eshik qulflari, deraza panjaralari, elektron o'g'ri signallari va boshqalar.

Dasturiy vositalar - bu ATda ma'lumotlarni himoya qilish uchun mo'ljallangan maxsus dasturlar va dasturiy paketlar.

Xavfsizlik tizimining dasturiy ta'minoti orasida biz shifrlash (kriptografiya) mexanizmlarini amalga oshiradigan dasturiy ta'minotni ham ajratib ko'rsatamiz. Kriptografiya - uzatilayotgan xabarlarning maxfiyligi va/yoki haqiqiyligini ta'minlash haqidagi fan.

Tashkiliy vositalar axborot tizimidagi ishlab chiqarish faoliyatini va ijrochilarning munosabatlarini huquqiy asosda shunday kompleks tartibga solishni amalga oshiradiki, maxfiy ma'lumotlarni oshkor qilish, sizib chiqish va ruxsatsiz foydalanish tashkiliy chora-tadbirlar tufayli imkonsiz bo'lib qoladigan yoki sezilarli darajada to'sqinlik qiladigan tarzda. Ushbu chora-tadbirlar majmui axborot xavfsizligi guruhi tomonidan amalga oshiriladi, lekin tashkilot rahbarining nazorati ostida bo'lishi kerak.

Qonuniy himoya vositalari kirish cheklangan ma'lumotlardan foydalanish, qayta ishlash va uzatish qoidalarini tartibga soluvchi va ushbu qoidalarni buzganlik uchun jazo choralarini belgilaydigan mamlakatning qonun hujjatlari bilan belgilanadi.

Axloqiy va axloqiy himoya vositalariga ilgari an'anaviy tarzda shakllangan, mamlakatda va dunyoda IP va IT tarqalishi sifatida paydo bo'ladigan yoki maxsus ishlab chiqilgan xatti-harakatlarning barcha turlari kiradi. Axloqiy va axloqiy me'yorlar yozilmagan bo'lishi mumkin (masalan, halollik) yoki muayyan qoidalar yoki qoidalar to'plamida (nizomida) rasmiylashtirilishi mumkin. Ushbu me'yorlar, qoida tariqasida, qonuniy ravishda tasdiqlanmagan, ammo ularga rioya qilmaslik tashkilot nufuzining pasayishiga olib kelganligi sababli, ular majburiy hisoblanadi. Bunday reglamentlarning odatiy namunasi AQSh Kompyuter foydalanuvchilari assotsiatsiyasi a'zolari uchun kasbiy xulq-atvor kodeksidir.

5. Axborotni himoya qilishning kriptografik usullari

Kriptologiya – ikki yo‘nalishdan iborat fan: kriptografiya va kriptoanaliz. Kriptanaliz shifrlarni buzish usullari va usullari haqidagi fan (va uni qo'llash amaliyoti). Kriptografiya va kriptoanaliz o'rtasidagi munosabat aniq: kriptografiya himoya, ya'ni. shifrlarni ishlab chiqish va kriptoanaliz hujumdir, ya'ni. shifrlarni buzish.

Kriptografik usullarning mohiyati quyidagicha. Uzatish uchun tayyor bo'lgan, dastlab ochiq va himoyalanmagan axborot xabari shifrlanadi va shu bilan shifrlangan, ya'ni. hujjatning yopiq matni yoki grafik tasviriga. Ushbu shaklda xabar, hatto himoyalanmagan bo'lsa ham, aloqa kanali orqali uzatiladi. Vakolatli foydalanuvchi xabarni olgandan so'ng, kriptogrammani teskari o'zgartirib, uni parolini hal qiladi (ya'ni, uni ochadi), natijada xabarning asl, aniq shakli avtorizatsiya qilingan foydalanuvchilar uchun ochiq bo'ladi. Shunday qilib, xat tajovuzkor tomonidan ushlangan taqdirda ham, xabar matni unga kirish imkoni bo'lmaydi.

Kriptografik tizimda konvertatsiya qilish usuli maxsus algoritmdan foydalanishga mos keladi. Bunday algoritmning ishlashi odatda shifrlash kaliti deb ataladigan noyob raqam (bitlar ketma-ketligi) tomonidan ishga tushiriladi.

Amaldagi har bir kalit faqat shu kalit tomonidan aniqlangan turli xil shifrlangan xabarlarni ishlab chiqishi mumkin. Ko'pgina yopish tizimlari uchun kalit generator sxemasi ko'rsatmalar va buyruqlar to'plami yoki apparat qismi yoki kompyuter dasturi yoki barchasi birgalikda bo'lishi mumkin, ammo har qanday holatda ham shifrlash (shifrni ochish) jarayoni faqat ushbu maxsus dastur tomonidan belgilanadi. kalit. Shifrlangan ma'lumotlar almashinuvi muvaffaqiyatli bo'lishi uchun jo'natuvchi ham, qabul qiluvchi ham kalit sozlamalarini to'g'ri bilishi va uni sir saqlashi kerak.

Har qanday yopiq aloqa tizimining mustahkamligi unda ishlatiladigan kalitning maxfiylik darajasi bilan belgilanadi. Biroq, bu kalit boshqa tarmoq foydalanuvchilariga ma'lum bo'lishi kerak, shunda ular shifrlangan xabarlarni erkin almashishlari mumkin. Shu ma'noda kriptografik tizimlar qabul qilingan ma'lumotlarni autentifikatsiya qilish muammosini hal qilishga ham yordam beradi. Xabar ushlangan taqdirda, kraker faqat shifrlangan matn bilan shug'ullanadi va faqat unga va jo'natuvchiga ma'lum bo'lgan kalit bilan shaxsiy bo'lgan xabarlarni qabul qiluvchi haqiqiy qabul qiluvchi mumkin bo'lgan noto'g'ri ma'lumotlardan ishonchli himoyalangan bo'ladi.

Zamonaviy kriptografiya kriptografik algoritmlarning ikki turini biladi: xususiy, maxfiy kalitlardan foydalanishga asoslangan klassik algoritmlar va bitta ochiq va bitta maxfiy kalitdan foydalanadigan yangi ochiq kalit algoritmlari (bu algoritmlar assimetrik deb ham ataladi). Bundan tashqari, ma'lumotni oddiyroq usulda - psevdo-tasodifiy raqamlar generatori yordamida shifrlash mumkin.

Ochiq kalit bilan kriptografik himoya qilish usulini amalga oshirish juda oson va shifrlashning ancha yuqori tezligini ta'minlaydi, ammo u shifrni ochishga etarlicha chidamli emas va shuning uchun bunday jiddiy axborot tizimlari, masalan, bank tizimlari uchun qo'llanilmaydi.

Bugungi kunda eng istiqbolli kriptografik ma'lumotlarni himoya qilish tizimlari assimetrik kriptotizimlar bo'lib, ular ochiq kalit tizimlari deb ham ataladi. Ularning mohiyati shundan iboratki, shifrlash uchun ishlatiladigan kalit shifrni ochish kalitidan farq qiladi. Bunday holda, shifrlash kaliti sir emas va tizimning barcha foydalanuvchilariga ma'lum bo'lishi mumkin. Biroq, ma'lum shifrlash kaliti yordamida shifrni ochish mumkin emas. Shifrni ochish uchun maxsus maxfiy kalit ishlatiladi. Biroq, ochiq kalitni bilish maxfiy kalitni aniqlashga imkon bermaydi. Shunday qilib, faqat ushbu maxfiy kalitga ega bo'lgan qabul qiluvchi xabarning shifrini ochishi mumkin.

Mutaxassislarning fikricha, ochiq kalitli tizimlar saqlash vositalarida saqlangan ma'lumotlarni himoya qilishdan ko'ra uzatilgan ma'lumotlarni shifrlash uchun ko'proq mos keladi. Ushbu algoritmni qo'llashning yana bir sohasi mavjud - uzatilgan hujjatlar va xabarlarning haqiqiyligini tasdiqlovchi raqamli imzolar. Asimmetrik kriptotizimlar eng istiqbolli hisoblanadi, chunki ular kalitlarni boshqa foydalanuvchilarga o'tkazishni o'z ichiga olmaydi va ular ham apparat, ham dasturiy ta'minotda osonlik bilan amalga oshiriladi.

Axborotni uzatish va qayta ishlash tizimlarida hujjatning haqiqiyligini tasdiqlovchi qo'lda yozilgan imzoni uning elektron analogi - elektron raqamli imzo (ERI) bilan almashtirish masalasi tobora ko'proq paydo bo'lmoqda. Raqamli imzoning uchta xususiyatini shakllantiramiz:

1. Hujjatni faqat imzoning "qonuniy" egasi imzolashi mumkin.

3. Nizo yuzaga kelgan taqdirda, imzoning haqiqiyligini aniqlash uchun uchinchi shaxslarning (masalan, sudning) ishtiroki zarur bo'lishi mumkin.

U turli xil xabarlardan tortib shartnomalargacha bo'lgan barcha turdagi elektron hujjatlarni muhrlash uchun ishlatilishi mumkin. ERI alohida muhim ma'lumotlarga kirishni nazorat qilish uchun ham ishlatilishi mumkin. Elektron raqamli imzolar uchun ikkita asosiy talab mavjud: qalbakilashtirishning yuqori murakkabligi va tekshirishning qulayligi.

Elektron imzoni amalga oshirish uchun siz klassik kriptografik algoritmlardan ham, assimetrik algoritmlardan ham foydalanishingiz mumkin va bu elektron imzo uchun zarur bo'lgan barcha xususiyatlarga ega.

EDS ma'lum sharoitlarda faollashtirilgan, ataylab o'rnatilgan potentsial xavfli oqibatlarga ega bo'lgan "Troyan" dasturlarining umumiy sinfining ta'siriga juda sezgir. Masalan, imzolash uchun tayyorlangan hujjatni o'z ichiga olgan faylni o'qish vaqtida ushbu dasturlar imzolovchining nomini, sanani, har qanday ma'lumotlarni (masalan, to'lov hujjatlaridagi summani) va hokazolarni o'zgartirishi mumkin.

Moliyaviy hujjatlarni boshqarishning avtomatlashtirilgan tizimlaridan foydalanish amaliyoti shuni ko'rsatdiki, raqamli imzolarni dasturiy ta'minot bilan ta'minlash qasddan yolg'on moliyaviy hujjatlarni joylashtirishga imkon beradigan "Troyan" dasturlari ta'siriga ko'proq moyil bo'ladi, shuningdek ularni hal qilish tartibiga xalaqit beradi. raqamli imzolardan foydalanish bo'yicha nizolar. Shu sababli, elektron imzo tizimini tanlashda, albatta, ma'lumotlarni ruxsatsiz kirishdan ishonchli himoya qilishni, kriptografik kalitlarni va raqamli imzolarni yaratishni ta'minlaydigan uning apparat ta'minotiga ustunlik berish kerak. Shunday qilib, ishonchli kriptografik tizim quyidagi talablarga javob berishi kerak:

Shifrlash va shifrni ochish protseduralari foydalanuvchi uchun shaffof bo'lishi kerak;

Maxfiy ma'lumotlarning shifrini ochishni iloji boricha qiyinlashtirish kerak;

Kriptografik himoyaning ishonchliligi shifrlash algoritmining maxfiyligiga bog'liq bo'lmasligi kerak.

Axborotni himoya qilish, shifrlash va shifrni ochish jarayonlari kodlangan ob'ektlar va jarayonlar, ularning xususiyatlari va harakat xususiyatlari bilan bog'liq. Bunday ob'ektlar va jarayonlar moddiy ob'ektlar, resurslar, tovarlar, xabarlar, axborot bloklari, tranzaktsiyalar (tarmoq orqali ma'lumotlar bazasi bilan minimal o'zaro ta'sirlar) bo'lishi mumkin. Kodlash, himoya qilish maqsadlaridan tashqari, ma'lumotlarga kirish tezligini oshiradi, har qanday turdagi tovarlar va mahsulotlarni, ishlab chiqarilgan mamlakatni va hokazolarni tezda aniqlash va ularga kirish imkonini beradi. Shunday qilib, bitta tranzaksiya bilan bog'liq operatsiyalar, lekin geografik jihatdan butun tarmoq bo'ylab tarqalgan, bitta mantiqiy zanjirga bog'langan.

Misol uchun, shtrix kodlash tovarlar kabi moddiy oqimlarning elementlarini avtomatik identifikatsiyalash turi sifatida ishlatiladi va ularning harakatini real vaqt rejimida boshqarish uchun ishlatiladi. Shu bilan birga, materiallar va mahsulotlar oqimini boshqarish samaradorligiga erishiladi va korxona boshqaruvining samaradorligi oshadi. Shtrixli kodlash nafaqat ma'lumotni himoya qilish imkonini beradi, balki yuqori tezlikda o'qish va kod yozishni ham ta'minlaydi. Shtrixli kodlar bilan bir qatorda ma'lumotni himoya qilish uchun golografik usullar qo'llaniladi.

Golografiya yordamida axborot xavfsizligini ta'minlash usullari hozirgi va rivojlanayotgan sohadir. Golografiya fan va texnikaning turli tabiatdagi toʻlqinlarni qayd etish va qayta ishlash usullari va qurilmalarini oʻrganish va yaratish bilan shugʻullanuvchi sohasidir. Optik golografiya to'lqin interferensiyasi hodisasiga asoslanadi. To'lqinlarning interferentsiyasi to'lqinlar kosmosda tarqalganda va hosil bo'lgan to'lqin fazoda asta-sekin taqsimlanganda kuzatiladi. To'lqinlarning aralashuvi paytida paydo bo'ladigan naqsh ob'ekt haqida ma'lumotni o'z ichiga oladi. Agar bu rasm fotosensitiv yuzada yozilsa, gologramma hosil bo'ladi. Gologramma yoki uning kesimi mos yozuvlar to'lqini bilan nurlantirilganda, ob'ektning uch o'lchovli uch o'lchovli tasvirini ko'rish mumkin. Golografiya har qanday tabiatdagi to'lqinlar uchun qo'llaniladi va hozirda turli maqsadlar uchun mahsulotlarni aniqlash uchun tobora ko'proq amaliy qo'llanilishini topmoqda.

Birgalikda kodlash, shifrlash va ma'lumotlarni himoya qilish real ishlab chiqarish va iqtisodiy jarayonlar, moddiy, moliyaviy va boshqa oqimlar harakatining ma'lumotlarini buzishning oldini oladi va shu bilan boshqaruv qarorlarini shakllantirish va qabul qilish asosliligini oshirishga yordam beradi.

Xulosa

Hozirda axborot xavfsizligi rejimini tashkil etish tanqidiy holga keladi strategik omil har qanday mahalliy kompaniyaning rivojlanishi. Bunday holda, qoida tariqasida, asosiy e'tibor axborot xavfsizligi sohasidagi tegishli Rossiya me'yoriy-uslubiy bazasining talablari va tavsiyalariga qaratiladi.

Asosiy talablar Axborot xavfsizligi tizimining samarali ishlashini tashkil etishga quyidagilar kiradi: OAV xavfsizligi va ma'lumotlarning maxfiyligi uchun rahbarlar va xodimlarning shaxsiy javobgarligi, maxfiy ma'lumotlar va himoya qilinadigan hujjatlar tarkibini tartibga solish, xodimlar bilan ishlash tartibini tartibga solish. maxfiy ma'lumotlar va hujjatlardan foydalanish, tizimni himoya qilishni amaliy amalga oshirishni va ushbu xizmat faoliyatini normativ-metodik ta'minlashni ta'minlaydigan ixtisoslashtirilgan xavfsizlik xizmatining mavjudligi.

Axborot xavfsizligini ta'minlash tashkiliy, tashkiliy, texnik va texnik tadbirlar orqali amalga oshiriladi, ularning har biri tegishli xususiyatlarga ega bo'lgan aniq kuchlar, vositalar va choralar bilan ta'minlanadi.

Tashkilotning axborot xavfsizligi kontseptsiyasini amaliy amalga oshirish texnologik axborot xavfsizligi tizimidir. Axborotni muhofaza qilish - bu qimmatli axborot resurslarining mavjudligi, yaxlitligi, ishonchliligi va maxfiyligi buzilishining oldini oladigan va pirovardida kompaniyaning boshqaruv va ishlab chiqarish faoliyati jarayonida etarli darajada ishonchli axborot xavfsizligini ta'minlaydigan qat'iy tartibga solinadigan va dinamik texnologik jarayon.

1.Belov E.B., Los V.P., Meshcheryakov R.V. Axborot xavfsizligi asoslari: Darslik. M.: Nashriyotning ishonch telefoni - Telekom, 2006. 544 b.

2. Iqtisodiyotda axborot tizimlari: Darslik. / Ed. Titorenko G.A. 2-nashr. qayta ishlangan va qo'shimcha M.: UNITI-DANA nashriyoti, 2008. 463 b.

3.Malyuk A.A. Axborot xavfsizligi: axborotni himoya qilishning kontseptual va uslubiy asoslari: Darslik. M.: Nashriyotning ishonch telefoni - Telekom, 2004. 280 b.

4. Petrenko S.A., Simonov S.V. Axborot risklarini boshqarish. Iqtisodiy asoslangan xavfsizlik. M.: DMK Press nashriyoti, 2004. 384 b.

5. Ryabko B.Ya., Fionov A.N. Axborotni himoya qilishning kriptografik usullari: Darslik. M.: “Ishonch telefoni” nashriyoti – Telekom, 2005. 229 b.

6. Saderdinov A.A., Trainev V.A., Fedulov A.A. Korxonaning axborot xavfsizligi: Darslik. 2-nashr. M.: Nashriyot va savdo korporatsiyasi Dashkov va Ko., 2005. 336 b.

7. Stepanov E.A., Korneev I.K. Axborot xavfsizligi va axborotni muhofaza qilish: Darslik. M.: INFRA-M nashriyoti, 2001. 304 b.

8. Xoroshko V.A., Chekatkov A.A. Axborot xavfsizligini ta'minlash usullari va vositalari. Ukraina: Junior nashriyot uyi, 2003. 504 b.

Saderdinov A. A., Trainev V. A., Fedulov A. A. Korxonaning axborot xavfsizligi: Darslik. 2-nashr. M.: Nashriyot va savdo korporatsiyasi Dashkov va Ko., 2005 yil.

Iqtisodiyotda axborot tizimlari: Darslik. / Ed. Titorenko G.A. 2-nashr, qo'shing. va qayta ishlangan M.: UNITI-DANA nashriyoti, 2008. 463 b.

Iqtisodiyotda axborot tizimlari: Darslik. / Ed. Titorenko G.A. 2-nashr. qayta ishlangan va qo'shimcha M.: UNITI-DANA nashriyoti, 2008. 218-bet.

Malyuk A.A. Axborot xavfsizligi: axborotni himoya qilishning kontseptual va uslubiy asoslari: Darslik. M.: Nashriyotning ishonch telefoni - Telekom, 2004. s. 202.

Stepanov E.A., Korneev I.K. Axborot xavfsizligi va axborotni muhofaza qilish: Darslik. M.: INFRA-M nashriyoti, 2001. 23-24-betlar

Iqtisodiyotda axborot tizimlari: Darslik. / Ed. Titorenko G.A. 2-nashr M.: UNITI-DANA nashriyoti, 2008. 219-bet.

Stepanov E.A., Korneev I.K. Axborot xavfsizligi va axborotni muhofaza qilish: Darslik. M.: INFRA-M nashriyoti, 2001. 304 b.

Belov E. B., Los V. P., Meshcheryakov R. V. Axborot xavfsizligi asoslari: Darslik. M.: Nashriyotning ishonch telefoni - Telekom, 2006. 248-bet

Xoroshko V.A., Chekatkov A.A. Axborot xavfsizligini ta'minlash usullari va vositalari. Ukraina: Junior nashriyot uyi, 2003. p. 338.

Ryabko B.Ya., Fionov A.N. Axborotni himoya qilishning kriptografik usullari: Darslik. M.: Nashriyotning ishonch telefoni - Telekom, 2005. s. 52.

Petrenko S. A., Simonov S. V. Axborot risklarini boshqarish. Iqtisodiy asoslangan xavfsizlik. M.: DMK Press nashriyoti, 2004. 7-bet.

KIRISH

Har qanday inson faoliyati doimo ma'lumot olish bilan bog'liq. Bugungi kunda u jahon hamjamiyatining ilmiy-texnikaviy va ijtimoiy-iqtisodiy rivojlanishining asosiy resursiga aylanib bormoqda. Har qanday tadbirkorlik va davlat faoliyati turli axborot oqimlarini olish va ulardan foydalanish bilan chambarchas bog'liq. Shu bois, axborot oqimini biroz to‘xtatib qo‘yish ham u yoki bu tashkilot va balki bir qator tashkilotlar ishida jiddiy inqirozga olib kelishi va shu orqali manfaatlar to‘qnashuviga olib kelishi mumkin. Aynan shuning uchun ham zamonaviy bozor-raqobat sharoitida nafaqat intellektual mulk turi sifatida tijorat ma'lumotlarining, balki jismoniy va yuridik shaxslarning, ularning mulkiy va shaxsiy xavfsizligini ta'minlash bilan bog'liq ko'plab muammolar paydo bo'ladi. Shunday qilib, axborotga tovar sifatida qaraladi.

Axborot xavfsizligi - axborot texnologiyalarining nisbatan yosh, jadal rivojlanayotgan sohasi. Axborot xavfsizligi muammolariga to'g'ri yondashish axborot munosabatlari sub'ektlarini va axborot tizimlaridan foydalanish bilan bog'liq bo'lgan ushbu sub'ektlarning manfaatlarini aniqlashdan boshlanadi. Axborot xavfsizligiga tahdidlar axborot texnologiyalaridan foydalanishning salbiy tomoni hisoblanadi.

Zamonaviy sharoitda axborotni himoya qilish tobora murakkab muammoga aylanib bormoqda, bu bir qator sabablarga bog'liq bo'lib, ularning asosiylari: elektron hisoblash texnikasining ommaviy tarqalishi; shifrlash texnologiyalarining murakkabligini oshirish; nafaqat davlat va harbiy sirlarni, balki ishlab chiqarish, tijorat va moliyaviy sirlarni ham himoya qilish zarurati; ma'lumotlarga nisbatan ruxsatsiz harakatlar imkoniyatlarini kengaytirish.

Xavfsizlik tizimi foydalanuvchilarning axborot resurslariga kirishini cheklamasdan, balki ularning ushbu ma'lumotlarga kirish huquqini belgilashi, resurslardan noodatiy foydalanishni aniqlashi, favqulodda vaziyatlarni bashorat qilish va ularning oqibatlarini bartaraf etishi kerak.

Hozirgi vaqtda axborotni ruxsatsiz olish usullari keng tarqaldi. Ularning maqsadi, birinchi navbatda, tijorat manfaati. Axborot xilma-xil va har xil qiymatlarga ega va uning maxfiylik darajasi kimga tegishli ekanligiga bog'liq.

Kompyuter texnologiyalarining rivojlanishi bilan parallel ravishda, axborot xavfsizligini buzishning yangi usullari paydo bo'ladi, eski turdagi hujumlar esa yo'qolmaydi, balki vaziyatni yanada yomonlashtiradi.

Axborotni himoya qilish bo'yicha ko'plab muammoli muammolar mavjud, ularning echimi ob'ektiv va sub'ektiv omillarga, jumladan, imkoniyatlarning etishmasligiga bog'liq;

Shunday qilib, yuqoridagi faktlar samarali axborot xavfsizligi tizimini loyihalash muammosini bugungi kunning dolzarbligini taqozo etadi.

Analitik qism

1.1 Korxonaning tuzilishi va uning axborot texnologiyalarining xususiyatlari

Alfaproekt korxonasi Kursk shahrida joylashgan va mintaqada joylashgan ikkita filialga ega: Pryamitsino va Ushakovo qishloqlari.

"Alfaproekt" tashkilotining faoliyati sanoat va fuqarolik kapitali qurilishi, rekonstruksiya qilish va texnik qayta jihozlash loyihalari uchun loyiha hujjatlarini ishlab chiqish bo'yicha xizmatlar, shuningdek standartlashtirish va metrologiya sohasidagi xizmatlardir. Ishlab chiqarish ob'ektlarini loyihalash, jumladan, mashina va uskunalarni joylashtirish, sanoat dizayni kompaniyaning asosiy yo'nalishidir.

1.1-rasmda “Alfaproekt” OAJning tashkiliy tuzilmasi keltirilgan.

Tuzilmasidan ko'rinib turibdiki, korxona o'z maqsadiga qarab ma'lum vazifalarni bajaradigan bo'limlarga bo'lingan. Bosh ofis har bir bo‘lim ishini bevosita boshqaradi va nazorat qiladi. Bo‘limlarni yetakchi mutaxassislar, ya’ni bo‘lim boshliqlari boshqaradi. Har bir bo'lim, o'z navbatida, o'z xodimlariga ega.

Korxonaning tuzilishi ierarxik bo'lib, qisqa vaqt ichida ishni aniq boshqarish va bajarish imkonini beradi. Ammo ishning o'z vaqtida bajarilishi texnologik jarayonga ham bog'liq.

1.2-rasmda "Alfaproekt" OAJ ishlab chiqarish hujjatlari aylanishining blok-sxemasi ko'rsatilgan.

Ishlab chiqarish jarayonining sxemasiga ko'ra, buyurtmachi loyiha uchun zarur bo'lgan hujjatlar ro'yxatini yoki boshqa turdagi buyurtmani rasmiylashtirish uchun hujjatlarni qabul qilish / berish bo'limiga taqdim etadi, bu erda ko'rsatilgan xizmatning narxi to'g'risida kvitansiya taqdim etiladi. buxgalteriya bo'limi tuziladi. Oldindan to'lov amalga oshirilgandan so'ng, ob'ektning texnik hujjatlarini tayyorlash uchun ariza topshiriladi, keyinchalik u arxivga yuboriladi. Keyinchalik, iqtisodiy bo'lim kelajakdagi ob'ektning narxini baholaydi, u ham arxivga yuboriladi. Barcha jarayonlarni boshqarish hali ham bosh ofis tomonidan amalga oshiriladi.

1.1-rasm – “Alfaproekt” OAJning tashkiliy tuzilmasi

Shakl 1.2 - Ishlab chiqarish hujjatlari oqimining blok diagrammasi

Ishlab chiqarish hujjatlari aylanishining barcha bosqichlari va, demak, korxonaning o'ziga yuqori texnologiyali uskunalar xizmat ko'rsatadi. Barcha hujjatlar kompyuter formatida saqlanadi, katta ob'ektlar uchun chizmalar asosiy bo'lim va filiallarda jihozlangan maxsus plotterlar yordamida amalga oshiriladi; "Alfaproekt" OAJ ma'lumotlarni uzatish va saqlash uchun zamonaviy texnologiyalardan foydalanadi.

Barcha foydalanilgan kompyuterlar mahalliy tarmoqqa (LAN) birlashtirilgan bo'lib, u o'z navbatida ma'lumotlar xavfsizligini ta'minlash uchun VLAN texnologiyasidan foydalangan holda mustaqil segmentlarga (ishlab chiqarish bo'limlariga) bo'linadi. Mahalliy tarmoqdan ishchilar kerakli materiallarni qidirish va elektron pochta almashish uchun Internetga kirishlari mumkin. Barcha bo'limlar foydalanuvchilarining yagona ma'lumotlar bazasida ishlashi texnik inventarizatsiya ishlarini bajarishning avtomatlashtirilgan hisobini yuritish imkonini beradi. Dastur maʼlumotlar bazasida mulk va mualliflik huquqi egalari toʻgʻrisidagi maʼlumotlarning mavjudligini, obʼyektlar manzillarining toʻgʻri kiritilishini avtomatik tarzda tekshiradi. Bu sizga ma'lumotlarning takrorlanishini bartaraf etish va ma'lumotlar bazasining nazoratsiz o'sishidan xalos bo'lish imkonini beradi.

Foydalanuvchi ish stantsiyalari terminal rejimida korporativ serverlarga ulangan, bu esa masofaviy terminallarda ilovalarning yuqori tezlikda ishlashini ta'minlaydi.

Shuningdek, terminalga kirishdan foydalanib, 1C Buxgalteriya dasturida ishlash amalga oshirildi. Ushbu yechim ma'lumotlarni korxonaning markaziy serverida saqlash imkonini beradi, bu ma'lumotlar xavfsizligini kafolatlaydi va tezkor nazoratni ta'minlaydi va bo'limlarning moliyaviy-xo'jalik faoliyati to'g'risida ma'lumot oladi.

“Alfaproekt” OAJ korxonasi arizalarni qabul qilishdan tortib elektron arxivga topshirishgacha bo‘lgan korxonaning to‘liq ish jarayonini ta’minlaydigan Inter Base SQL server dasturiy majmuasidan foydalanadi.

Kompleks doimiy ravishda tashkilotning hujjat aylanishiga bo'lgan talablarini hisobga olgan holda o'zgartiriladi. Dasturiy ta'minot to'plami VPN texnologiyasidan foydalangan holda ishlash uchun mo'ljallangan va uning ishlashi davomida minimal tarmoq resurslarini talab qiladi.

Tashkilot filiallari mintaqaviy provayder kanallari orqali VPN (virtual xususiy tarmoq) texnologiyasidan foydalangan holda asosiy ofis tarmog‘iga ulangan. Ushbu maqsadlar uchun VPN texnologiyasi tanlangan, chunki u ishonchli ma'lumotlarni uzatish tizimi va axborotni tashqi tomondan ruxsatsiz kirishdan yuqori darajada himoya qiladi. VPN texnologiyasidan foydalanish quyidagilarni amalga oshiradi:

− korxona tarmog‘ining yagona maydoni;

− xodimlar uchun tarmoqning to‘liq shaffofligi;

− axborotni uchinchi shaxslar tomonidan ruxsatsiz kirishdan himoya qilish;

− kompaniyaning mavjud tarmoq tuzilmalariga yagona avtomatlashtirilgan boshqaruv tizimini joriy etish va mavjud ishlab chiqarish hujjatlari aylanishiga to‘liq integratsiya qilish;

− mavjud korxonalar tarmog‘ini kengaytirish va kompaniyaning qo‘shimcha ofislarini yagona korxona tarmog‘iga ulash;

VPN to'rtta Windows 7-ga asoslangan serverlar va Cisco telekommunikatsiya uskunalari tomonidan qo'llab-quvvatlanadi va xizmat ko'rsatadi. Korxona LAN global Internetga ikkita ulanish nuqtasiga ega, bu esa ma'lumotlarni uzatish ishonchliligini oshirish imkonini beradi.

ActiveDirectory katalog xizmati korporativ LAN tepasida o'rnatilgan bo'lib, foydalanuvchilar va guruhlar uchun axborot resurslariga kirishni to'liq boshqarish imkonini beradi. 1.3-rasmda “Alfaproekt” OAJ LANning blok-sxemasi keltirilgan.

1.3-rasm – “Alfaproekt” OAJ LAN blok-sxema

"Alfaproekt" OAJning LAN tarmog'ida ishlarning barqarorligi va xavfsizligini ta'minlaydigan asosiy tarmoq axborot texnologiyalari ko'rib chiqiladi.

VLAN (Virtual Local Area Network) - bu turli xil tarmoq kalitlariga jismonan ulangan bo'lsa-da, bir-biri bilan to'g'ridan-to'g'ri ma'lumotlar havolasi darajasida muloqot qilish qobiliyatiga ega qurilmalar guruhi. Aksincha, turli VLAN-larda joylashgan qurilmalar bir xil kommutatorga ulangan bo'lsa ham, ma'lumotlar uzatish darajasida bir-biriga ko'rinmaydi va bu qurilmalar o'rtasidagi aloqa faqat tarmoq va undan yuqori darajalarda mumkin.

Zamonaviy tarmoqlarda VLAN uning jismoniy topologiyasidan mustaqil bo'lgan mantiqiy tarmoq topologiyasini yaratishning asosiy mexanizmi hisoblanadi. VLAN-lar tarmoqdagi translyatsiya trafigini kamaytirish uchun ishlatiladi. Ular xavfsizlik nuqtai nazaridan, xususan, ARP spoofingiga qarshi kurash vositasi sifatida katta ahamiyatga ega.

VPN (Virtual Private Network) - bu boshqa tarmoq (Internet) orqali bir yoki bir nechta tarmoq ulanishlarini (mantiqiy tarmoq) taqdim etish imkonini beruvchi texnologiya. Tuzilgan mantiqiy tarmoqqa ishonch darajasi kriptografiya vositalaridan (shifrlash, autentifikatsiya, ochiq kalitlar infratuzilmasi) foydalanish tufayli asosiy tarmoqlarga bo'lgan ishonch darajasiga bog'liq emas. Amaldagi protokollar va maqsadga qarab, VPN uch turdagi ulanishlarni taqdim etishi mumkin: xostdan xostga, xostdan tarmoqqa va tarmoqdan tarmoqqa.

Active Directory - bu Windows NT oilasi operatsion tizimlari uchun Microsoft-ning katalog xizmatining amalga oshirilishi. Active Directory ma'murlarga foydalanuvchi ish muhitining yagona konfiguratsiyasini ta'minlash, tarmoqdagi barcha kompyuterlarda dastur va server dasturlarini joylashtirish va yangilash uchun guruh siyosatlaridan foydalanish imkonini beradi. Active Directory ma'lumotlar va atrof-muhit sozlamalarini markazlashtirilgan ma'lumotlar bazasida saqlaydi. Active Directory tarmoqlari hajmi bo'yicha bir necha yuzdan bir necha million ob'ektgacha bo'lishi mumkin. Katalog xizmati ham administrator, ham oxirgi foydalanuvchi vositasidir. Tarmoqdagi ob'ektlar soni ortib borishi bilan katalog xizmatlarining ahamiyati oshadi.

DNS (Domain Name System) - domenlar haqida ma'lumot olish uchun taqsimlangan kompyuter tizimi. Ko'pincha xost nomi (kompyuter yoki qurilma) bo'yicha IP-manzilni olish, pochta marshruti haqida ma'lumot olish, domendagi protokollar uchun xostlarga xizmat ko'rsatish uchun foydalaniladi.

DNS asosi domen nomining ierarxik tuzilishi va zonalari g'oyasidir. Nom uchun mas'ul bo'lgan har bir server domenning keyingi qismi uchun mas'uliyatni boshqa serverga topshirishi mumkin, bu sizga ma'lumotlarning tegishliligi uchun mas'uliyatni domen nomining faqat "o'z" qismi uchun mas'ul bo'lgan turli tashkilotlar serverlariga yuklash imkonini beradi. .

DNS Internetning ishlashi uchun muhim, chunki... Xostga ulanish uchun sizga uning IP-manzili haqida ma'lumot kerak bo'ladi va odamlar uchun IP-manzil raqamlari ketma-ketligidan ko'ra alifbo (odatda mazmunli) manzillarni eslab qolish osonroq. Ba'zi hollarda, bu HTTP serverlari kabi virtual serverlardan foydalanishga imkon beradi, ularni so'rov nomi bilan ajratadi.

1.2 "Alfaproekt" OAJ korxonasining axborot xavfsizligiga tahdidlar va ularni amalga oshirishdan mumkin bo'lgan zarar tavsifi

Axborot xavfsizligi - axborot va yordamchi infratuzilmani axborot va yordamchi infratuzilmaning egalari yoki foydalanuvchilariga zarar etkazishi mumkin bo'lgan tasodifiy yoki qasddan tabiiy yoki sun'iy ta'sirlardan himoya qilish.

Axborot resurslari - axborot tizimlaridagi (kutubxonalar, arxivlar, fondlar, ma'lumotlar banklari, boshqa axborot tizimlari) alohida hujjatlar va hujjatlarning alohida massivlari, hujjatlar va hujjatlar massivlari. Axborot resurslariga egalik qilish bilan bog'liq munosabatlar tegishli fuqarolik qonunchiligi bilan tartibga solinadi.

Ma'lumotlarni qayta ishlashning avtomatlashtirilgan tizimlari (ADPS) axborot xavfsizligiga tahdidlarni tasniflash zamonaviy kompyuter texnologiyalari va ular to'playdigan ma'lumotlar juda ko'p sonli omillarning tasodifiy ta'siriga duchor bo'lganligi sababli zarur. Shunday qilib, tahdidlarning to'liq to'plamini tasvirlashning hojati yo'q. Natijada, himoya qilinayotgan tizim uchun tahdidlarning to'liq ro'yxatini aniqlash kerak emas, balki faqat tahdidlar sinflarini ko'rib chiqish kerak.

ASOD axborot xavfsizligiga barcha mumkin bo'lgan tahdidlarni tasniflash bir qator asosiy xususiyatlarga ko'ra amalga oshirilishi mumkin. ASOD tahdid sinflari 1.4-rasmda ko'rsatilgan

Axborot xavfsizligi tahdidlarining har bir sinfida ma'lumotlarni qayta ishlashning avtomatlashtirilgan tizimiga ta'sir qiluvchi bir necha turdagi tahdidlarni ajratish mumkin. Shundan kelib chiqqan holda, tahdidlarning muayyan sinflari va ularning xususiyatlari uchun axborot xavfsizligi tahdidlarining turlari jadvali tuzildi (1.1-jadval).

1.4-rasm – ASOD tahdid sinflari

1.1-jadval – Tegishli sinflar uchun ASOD axborot xavfsizligi tahdidlari turlarining xususiyatlari

Tahdidlar turi	Tahdid klassi

1. Voqea tabiatiga ko'ra	Tabiiy tahdidlar - bu ASOD va uning tarkibiy qismlariga ob'ektiv jismoniy jarayonlar yoki odamlardan mustaqil tabiiy hodisalarga ta'sir qilish natijasida yuzaga keladigan tahdidlar.
Texnogen tahdidlar - atom elektr stantsiyalarining axborot xavfsizligiga inson faoliyati natijasida kelib chiqadigan tahdidlar.
2. Namoyishning niyatlilik darajasiga ko'ra	Tasodifiy tahdidlar va/yoki xodimlarning xatolari yoki beparvoligi tufayli yuzaga kelgan tahdidlar.
Qasddan harakat qilish tahdidlari, masalan, tajovuzkorning ma'lumotni o'g'irlash bilan tahdidlari.
3.Tahdidlarning bevosita manbasiga ko'ra	To'g'ridan-to'g'ri manbasi tabiiy muhit bo'lgan tahdidlar (tabiiy ofatlar, magnit bo'ronlari, radioaktiv nurlanish).
To'g'ridan-to'g'ri manbai shaxs bo'lgan tahdidlar.
To'g'ridan-to'g'ri manbasi ruxsat etilgan dasturiy ta'minot va apparat vositalari bo'lgan tahdidlar.
To'g'ridan-to'g'ri manba ruxsatsiz dasturiy ta'minot va apparat vositalari bo'lgan tahdidlar.
4. Tahdid manbasining pozitsiyasiga ko'ra	Manbasi ASOD joylashgan hududning (binoning) nazorat qilinadigan zonasidan tashqarida joylashgan tahdidlar.
Manba ASOD joylashgan hududning (binoning) nazorat qilinadigan zonasida joylashgan tahdidlar.
Manbasi ASOD periferik qurilmalariga kirish imkoniga ega bo'lgan tahdidlar.
Manbai ASODda joylashgan tahdidlar.
5. ASOD faoliyatiga bog'liqlik darajasiga ko'ra	ASOD faoliyatidan qat'iy nazar yuzaga kelishi mumkin bo'lgan tahdidlar: axborotni kriptografik himoya qilish shifrlarini buzish; saqlash vositalarini o'g'irlash (magnit disklar, lentalar, xotira chiplari, saqlash qurilmalari va kompyuter tizimlari).
Faqat avtomatlashtirilgan ma'lumotlarni qayta ishlash jarayonida paydo bo'lishi mumkin bo'lgan tahdidlar (masalan, dasturiy ta'minot viruslarining bajarilishi va tarqalishi tahdidlari).

1.1-jadvalning oxiri

6. ASODga ta'sir qilish darajasiga ko'ra	Amalga oshirilganda ASOD tuzilishi va mazmunida hech narsani o'zgartirmaydigan passiv tahdidlar (masalan, maxfiy ma'lumotlarni nusxalash tahdidi).
Faol tahdidlar, ular paydo bo'lganda, ASOD tuzilishi va tarkibiga o'zgartirishlar kiritadi.
7. ASOD resurslariga foydalanuvchi yoki dastur kirish bosqichlari bo'yicha	ASOD resurslariga kirish bosqichida paydo bo'lishi mumkin bo'lgan tahdidlar (masalan, ASODga ruxsatsiz kirish tahdidlari).
ASOD resurslariga kirish ruxsatidan keyin paydo bo'lishi mumkin bo'lgan tahdidlar (masalan, ASOD resurslaridan ruxsatsiz yoki noto'g'ri foydalanish tahdidlari).
8. ASOD resurslariga kirish usuli bilan	ASOD resurslariga kirish uchun to'g'ridan-to'g'ri standart yo'ldan foydalanishga qaratilgan tahdidlar.
AS resurslariga kirish uchun yashirin, nostandart yo'ldan foydalanishga qaratilgan tahdidlar.
9. Axborotning hozirgi joylashuviga ko'ra	Tashqi xotira qurilmalaridagi ma'lumotlarga kirish tahdidlari
RAMdagi ma'lumotlarga kirish uchun tahdidlar.
Aloqa liniyalarida aylanayotgan ma'lumotlarga kirish tahdidlari.
Terminalda ko'rsatilgan yoki printerda chop etilgan ma'lumotlarga kirish tahdidlari.

Barcha ko'rib chiqilgan tahdidlar sinflari va turlari u yoki bu darajada "Alfaproekt" OAJdagi ASODga xosdir.

Shuningdek, siz tahdidlarni Rossiya Federatsiyasi Jinoyat kodeksiga muvofiq tasniflashingiz va axborot xavfsizligiga quyidagi tahdidlarni ajratib ko'rsatishingiz mumkin:

− axborotni o‘g‘irlash (nusxa olish).

- Axborotni yo'q qilish.

− axborotni o‘zgartirish (buzib ko‘rsatish).

− Axborot mavjudligining buzilishi (bloklanishi).

- ma'lumotlarning haqiqiyligini inkor etish.

- noto'g'ri ma'lumotlarni kiritish.

O‘g‘irlik – o‘zganing mol-mulkini huquqbuzarning yoki boshqa shaxslarning manfaati uchun qonunga xilof ravishda tekin egallab olish va (yoki) ayirboshlash, mulk egasiga yoki egasiga zarar yetkazilishidir.

Kompyuter ma'lumotlarini nusxalash - bu ma'lumotni kompyuter yoki boshqa vositada takrorlash va doimiy ravishda bosib chiqarishdir.

Yo'q qilish - bu mulkka tashqi ta'sir qilish, buning natijasida u jismoniy mavjud bo'lishni to'xtatadi yoki o'z maqsadi bo'yicha foydalanish uchun butunlay yaroqsiz holga keladi.

Zarar - mulkning holati sezilarli darajada yomonlashadigan, foydali xususiyatlarining muhim qismi yo'qolgan va maqsadli foydalanish uchun to'liq yoki qisman yaroqsiz holga keladigan mulk xususiyatlarining o'zgarishi.

Kompyuter ma'lumotlarini o'zgartirish - kompyuter dasturi yoki ma'lumotlar bazasini moslashtirish bilan bog'liq bo'lganlardan tashqari har qanday o'zgarishlarni kiritish.

Kompyuter ma'lumotlarini blokirovka qilish - foydalanuvchining ma'lumotlarga kirishiga sun'iy to'siq bo'lib, uni yo'q qilish bilan bog'liq bo'lmagan.

Aldash (haqiqiyligini rad etish, yolg‘on ma’lumotni o‘rnatish) – mulkka mas’ul shaxsni chalg‘itish va shu tariqa undan mulkni ixtiyoriy ravishda berish, shuningdek, bila turib yolg‘on ma’lumot berish maqsadida haqiqatni qasddan buzib ko‘rsatish yoki yashirish. shu maqsadda.

Agar tahdidlarni ularning manbalari bilan birgalikda ko'rib chiqsak, tahdidlarning tasnifi eng aniq ko'rinadi. Ushbu yondashuvga muvofiq, "Alfaproekt" OAJda axborot xavfsizligi tahdidlarining tasnifi quyidagicha ko'rinadi (1.5-rasm).

Taqdim etilgan barcha tahdidlar qasddan yoki qasddan bo'lishi mumkin.

Shuningdek, "Alfaproekt" OAJdagi ASODning aniq ob'ektlariga yo'naltirilgan tahdidlarni ham hisobga olish kerak. 1.3-rasmda ko'rsatilgan LAN blok-sxemasiga ko'ra, avtomatlashtirilgan tizimning quyidagi ob'ektlarini ajratib ko'rsatish mumkin: xodimlarning ish stantsiyasi, ma'lumotlar bazasi serveri, fayl serveri, boshqaruv serveri. Ob'ektlarning har biri uchun 1.2-jadvalda ma'lum bir axborot xavfsizligi tahdidlari keltirilgan.

Iqtisodiy yondashuv nuqtai nazaridan korxonaning axborot xavfsizligiga umumiy zarar ikki komponentdan iborat: bevosita va bilvosita zarar.

Korxonaning axborot xavfsizligiga to'g'ridan-to'g'ri zarar maxfiy ma'lumotlarning sizib chiqishi tufayli yuzaga keladi. Bilvosita zarar - bu maxfiy ma'lumotlar deb tasniflangan, belgilangan tartibda ma'lumotlarni tarqatish bo'yicha cheklovlar tufayli korxona ko'rgan zarar.

1.5-rasm – “Alfaproekt” OAJda axborot xavfsizligi tahdidlarining tasnifi

1.2-jadval. - ASOD ob'ektlarining har biriga axborot xavfsizligi tahdidlari

ASOD ob'ekti	Axborot xavfsizligiga tahdidlar
Xodimning ish joyi	Ma'lumotni ommaviy axborot vositalariga nusxalash
"Chap" dasturiy ta'minotini o'rnatish va ishlatish
Kompyuteringizni viruslar bilan yuqtirish
SVT bilan ishlashda operator xatolari
Dasturiy ta'minotni ishlatishda operator xatolari
AS resurslariga ruxsatsiz kirish va undan keyingi foydalanish (nusxa olish, o'zgartirish, o'chirish)
JB serveri	Ma'lumotni nusxalash
Buzilish orqali ma'lumotlarga kirish
Dasturiy ta'minotdan foydalanishda foydalanuvchi xatolari
Fayl serveri	Ma'lumotni o'zgartirish
Ma'lumotni nusxalash
Ma'lumot o'chirilmoqda
Saqlash vositalarini kirish huquqiga ega bo'lmagan shaxslarga o'tkazish orqali himoyalangan ma'lumotlarni oshkor qilish
Boshqaruv serveri	Parollar va kirishni boshqarishning boshqa tafsilotlarini noqonuniy olish.
Ro'yxatdan o'tgan foydalanuvchilarning kirishini bloklash

Axborot xavfsizligi tizimini ishlab chiqish yoki tahlil qilish doirasida egasi tomonidan axborot resursi qiymatini sifatli baholash eng maqbul hisoblanadi. Tashkilot ehtiyojlariga, uning hajmiga yoki boshqa omillarga qarab, sifat reytingi shkalasi "ahamiyatsiz", "past", "o'rta", "yuqori", "tanqidiy" kabi belgilardan foydalanishi mumkin, bu esa ma'lum bir intervalni nazarda tutadi. miqdoriy baholash shkalasi.

Tahdidlar ro'yxati tuzilgandan so'ng, tahdidlarni amalga oshirish ehtimoli darajasi (SVR) tuziladi. Xatarlarni baholash oqibatlarning jiddiyligini baholashni axborot xavfsizligi tahdidlarini SVR baholash bilan solishtirish orqali amalga oshiriladi (1.4-jadval).

Xavfni baholash bosqichida har bir resurs yoki resurslar guruhi uchun axborot xavfsizligi tahdidlaridan mumkin bo'lgan zarar aniqlanadi. Resurs tomonidan axborot xavfsizligi xususiyatlarining yo'qolishi oqibatlarining jiddiyligini aniqlash: tizimni qayta tiklash uchun zarur bo'lgan vaqt davomida "to'xtab qolish" qancha turadi va bu ma'lumotlar ma'lum bo'lsa, qanday zarar bo'lishini aniqlash uchun zarur. raqobatchilarga.

1.4-jadval – Axborot xavfsizligi tahdidlarini SVR baholash bilan oqibatlarning jiddiyligini baholashni taqqoslash

Axborot xavfsizligiga tahdidning ro'yobga chiqish ehtimoli darajasi	Axborot xavfsizligini buzish oqibatlarining jiddiyligi
eng kam	o'rtacha	yuqori	tanqidiy
amalga oshirib bo'lmaydigan	qabul qilinadi	qabul qilinadi	qabul qilinadi	qabul qilinadi
eng kam	qabul qilinadi	qabul qilinadi	qabul qilinadi	qabul qilib bo'lmaydigan
o'rtacha	qabul qilinadi	qabul qilinadi	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan
yuqori	qabul qilinadi	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan
tanqidiy	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan	qabul qilib bo'lmaydigan

Mumkin bo'lgan zararni ko'rib chiqishda korxona tomonidan foydalaniladigan resurslarni ham hisobga olish kerak. Axborot resurslarining tasnifi 1.7-rasmda keltirilgan.

1.7-rasm – Korxona resurslarining turlari

Himoya qilinadigan resurslarga axborot va texnik resurslar kiradi.

"Alfaproekt" OAJ texnik resurslariga quyidagilar kiradi:

− boshqaruv serveri;

− ma’lumotlar bazasi serveri;

− fayl serveri;

− Printerlar va plotterlar;

− Tarmoq uskunalari (kalitlar, marshrutizatorlar).

Ushbu korxonaning elektron shaklda va qog'ozda joylashgan axborot resurslariga quyidagilar kiradi:

− mijozning shaxsini tasdiqlovchi hujjatlarning nusxalari;

− koʻchmas mulk obʼyektlarining texnik pasportlari;

− texnik inventarizatsiya davridagi qoldiq balans qiymatini ko‘rsatuvchi balans qiymati sertifikatlari;

− loyihaviy va ijro hujjatlari;

- Buxgalteriya hisobi bo'yicha hisobotlar.

Shunday qilib, "Alfaproekt" OAJ korxonasining elektron resurslariga kirish cheklangan va maxfiy deb tasniflanadi. Shuning uchun ajratilgan resurslar axborot xavfsizligi tahdidlariga duchor bo'ladi va agar tahdidlar amalga oshirilsa, korxona har xil turdagi zararlarga duch kelishi mumkin. 1.8-rasmda uch turdagi zarar ko'rsatilgan.

1.8-rasm - mumkin bo'lgan zarar turlari

Mumkin bo'lgan zararning namoyon bo'lishi har xil va aralash bo'lishi mumkin:

- tashkilotning ishbilarmonlik obro'siga ma'naviy va moddiy zarar etkazish

- jismoniy shaxslarning shaxsiy ma'lumotlarini oshkor qilish bilan bog'liq ma'naviy, jismoniy yoki moddiy zarar;

− shikastlangan himoyalangan axborot resurslarini tiklash zaruratidan kelib chiqqan moddiy zarar;

- uchinchi shaxs oldidagi majburiyatlarni bajara olmaslikdan kelib chiqqan moddiy zarar;

- tashkilot faoliyatining buzilishidan kelib chiqqan ma'naviy va moddiy zarar;

− xalqaro munosabatlarning buzilishidan kelib chiqadigan moddiy va ma’naviy zarar.

Zarar, shuningdek, axborot xavfsizligi tahdidlari oqibatlarining og'irligiga qarab ham ko'rib chiqilishi mumkin. 1.9-rasmda zararning og'irlik darajasi bo'yicha tasnifi ko'rsatilgan.

1.9-rasm – Axborot xavfsizligi tahdidlari oqibatlarining jiddiyligi

Yuqoridagilardan kelib chiqib, “Alfaproekt” OAJda axborot xavfsizligiga tahdidlarni amalga oshirishning bir qator mumkin bo'lgan oqibatlarini aniqlash mumkin. Avvalo shuni ta'kidlash kerakki, zarar asosan moddiy bo'ladi. Asosiy zarar texnik resurslarga tushadi, chunki bu turdagi manba raqamli axborot resurslaridan foydalanish va saqlashni o'z ichiga oladi. Ammo biz korxonada raqamli bo'lmagan axborot resurslaridan ham foydalanishini e'tibordan chetda qoldira olmaymiz, garchi ularning ko'pchiligi raqamli nusxalarga ega bo'lsa-da, lekin bu resurslar kam emas.

Oqibatlarning jiddiyligi nuqtai nazaridan, eng katta yo'qotishlar "Alfaproekt" OAJning texnik resurslari ishlamay qolganda sodir bo'ladi, chunki ishlab chiqarish hujjatlari aylanishi to'xtatiladi va raqamli axborot resurslarining yo'qolishi mumkin bo'ladi, bu sezilarli oqibatlarining jiddiyligi. Axborot xavfsizligiga tahdidlarni amalga oshirish faqat raqamli axborot resurslariga ta'sir qilsa, oqibatlarning og'irligi o'rtacha deb tavsiflanishi mumkin, masalan, tabiiy ofatlar, jiddiylik oqibatlarning jiddiyligi yoki hatto yuqori darajasiga o'tishi mumkin; Bu barcha oqibatlarning jiddiyligi, birinchi navbatda, o'ziga xos tahdidlarga bog'liq. Ushbu tamoyilga asoslanib, “Alfaproekt” OAJda axborot xavfsizligiga aniq tahdidlar oqibatlarining jiddiyligi bo‘yicha 1.5-jadval tuzildi.

1.5-jadval – “Alfaproekt” OAJda axborot xavfsizligiga tahdidlar oqibatlarining jiddiyligi

Axborot xavfsizligiga tahdid	Oqibatlarning jiddiyligi (zarar)
Foydalanuvchilar va tizim ma'murlari xatolari	o'rta - past
Kompaniya xodimlari tomonidan ma'lumotlarni yig'ish, qayta ishlash, uzatish va yo'q qilish bo'yicha belgilangan qoidalarni buzish	o'rtacha
Dasturiy ta'minot xatolari	past
Kompyuter jihozlarining nosozliklari va nosozliklari	o'rtacha
Kompyuterlarni viruslar yoki zararli dasturlar bilan yuqtirish	o'rtacha
Korporativ ma'lumotlarga ruxsatsiz kirish (UA).	o'rtacha - muhim
Raqobat tuzilmalari, razvedka va maxsus xizmatlar tomonidan axborot monitoringi	o'rtacha
Davlat organlari va xizmatlarining axborotni to'plash, o'zgartirish, olib qo'yish va yo'q qilish bilan bog'liq harakatlari	o'rtacha - muhim
Baxtsiz hodisalar, yong'inlar, texnogen falokatlar	muhim - yuqori

ASOD axborot xavfsizligi, agar tizimdagi har qanday axborot resurslari uchun ma'lum bir daraja saqlansa, ta'minlanadi:

− maxfiylik (har qanday ma'lumotni ruxsatsiz olishning mumkin emasligi);

− yaxlitlik (ruxsatsiz yoki tasodifiy o'zgartirishning mumkin emasligi);

− mavjudlik (kerakli ma'lumotlarni oqilona vaqt ichida olish imkoniyati).

Axborot xavfsizligiga tahdidlar nafaqat axborotning xususiyatlariga, balki korxonaning texnik resurslariga ham ta'sir qiladi, shuning uchun axborotni himoya qilish tizimi quyidagi talablarga javob berishi kerak:

− axborot xususiyatlarini buzmaslik talablari;

− ASOD xavfsizlik sinfining talablari;

− SVT xavfsizlik sinfining talablari;

- axborotni ruxsatsiz kirishdan himoya qilish talablari.

Shuningdek, axborot xavfsizligi tizimi quyidagilarni bajarishi kerak:

− axborot xavfsizligiga tahdidlar paydo bo‘lishi to‘g‘risida ogohlantirish;

− tahdidlar ta'sirini aniqlash, zararsizlantirish va mahalliylashtirish;

− himoyalangan axborotga kirishni boshqarish;

− axborot xavfsizligi tizimini tiklash;

− hodisalarni va ruxsatsiz kirishga urinishlarni qayd etish;

- himoya tizimining ishlashi ustidan nazoratni ta'minlash.

AXBOROT XAVFSIZLIGI TIZIMINI TAHLILI VA UNING MODERNIZASYoTASI Usulini TANLASH.

2.1 Tarmoqdagi axborotni himoya qilish usullari va vositalari

Ma'lumotlar xavfsizligi kontseptsiyalarini ishlab chiqishning birinchi bosqichida dasturiy ta'minot xavfsizligi vositalariga ustunlik berildi. Ammo amaliyot shuni ko'rsatdiki, bu ma'lumotlar xavfsizligini ta'minlash uchun etarli emas va barcha turdagi qurilmalar va tizimlar jadal rivojlanishni oldi. Asta-sekin, ma'lumotlar xavfsizligini ta'minlash muammosiga tizimli yondashuv shakllanganligi sababli, himoya qilish usullarini va ular asosida yaratilgan vositalar va himoya mexanizmlarini kompleks qo'llash zarurati paydo bo'ldi. Odatda, korxonalarda saqlanadigan, uzatiladigan va qayta ishlangan maxfiy ma'lumotlar hajmiga qarab, alohida mutaxassislar yoki butun bo'limlar axborot xavfsizligi uchun javobgardir. 2.1-rasmda keng qamrovli axborot xavfsizligi modeli ko'rsatilgan.

2.1-rasmda keng qamrovli axborot xavfsizligi modeli

Axborotni himoya qilishda ikkita yo'nalish aniq ajratilgan: maxfiylikni himoya qilish va ishlashni himoya qilish. Ushbu vazifalarni bajarish uchun ma'lumotlarni himoya qilishning maxsus usullari va vositalari mavjud bo'lib, ular 2.2-rasmda batafsil ko'rsatilgan.

Shakl 2.2 - Ma'lumotlarni himoya qilish usullari va vositalarining tasnifi

Axborot tizimlarida axborot xavfsizligini ta'minlash usullari quyidagilarga bo'linadi: to'siqlar, kirishni boshqarish, shifrlash mexanizmlari (niqoblash), tartibga solish, majburlash, rag'batlantirish va zararli dasturlarga qarshi hujumlar.

To'siq - bu tajovuzkorning himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismonan to'sib qo'yish usuli.

Kirish nazorati - barcha IP resurslaridan foydalanishni tartibga solish orqali ma'lumotlarni himoya qilish usullari. Ushbu usullar ma'lumotlarga ruxsatsiz kirishning barcha mumkin bo'lgan usullariga qarshi turishi kerak.

Kirish nazorati quyidagilarni o'z ichiga oladi:

− foydalanuvchilar, xodimlar va tizim resurslarini aniqlash;

− sub'ektni u ko'rsatgan identifikator orqali aniqlash;

− ishonch ma’lumotlarini tekshirish;

− belgilangan me’yorlar doirasida mehnat sharoitlarini yaratish;

− himoyalangan resurslarga so‘rovlarni ro‘yxatga olish;

- ruxsatsiz harakatlarga urinishda.

Shifrlash mexanizmlari - axborotni kriptografik tarzda yopish.

Rag'batlantirish - foydalanuvchilar va IS xodimlarini belgilangan axloqiy va axloqiy me'yorlarga rioya qilish orqali belgilangan tartiblarni buzmaslikka undaydigan himoya usuli.

Zararli dastur hujumlariga qarshi kurashish turli tashkiliy chora-tadbirlar va virusga qarshi dasturlardan foydalanishni o'z ichiga oladi. Amalga oshirilgan chora-tadbirlarning maqsadlari IPni yuqtirish ehtimolini kamaytirish, tizimni yuqtirish faktlarini aniqlash; axborot infektsiyalari oqibatlarini kamaytirish, viruslarni lokalizatsiya qilish yoki yo'q qilish; ISda ma'lumotlarni qayta tiklash.

Texnik vositalarning butun majmuasi apparat va jismoniy bo'linadi.

Uskuna - to'g'ridan-to'g'ri kompyuter uskunasiga o'rnatilgan qurilmalar yoki standart interfeys yordamida u bilan bog'langan qurilmalar.

Dasturiy vositalar - bu ATda ma'lumotlarni himoya qilish uchun mo'ljallangan maxsus dasturlar va dasturiy paketlar.

Qonunchilikni himoya qilish vositalari mamlakatning qonun hujjatlari bilan belgilanadi, ular cheklangan axborotdan foydalanish, qayta ishlash va uzatish qoidalarini tartibga soladi va ushbu qoidalarni buzganlik uchun jazo choralarini belgilaydi.

Himoya qilishning axloqiy va axloqiy vositalariga mamlakatda va dunyoda IP tarqalishi bilan shakllanayotgan barcha turdagi xulq-atvor normalari (an'anaviy ravishda ilgari ishlab chiqilgan) kiradi. Axloqiy va axloqiy me'yorlar yozilmagan yoki ma'lum qoidalar yoki qoidalar to'plamida rasmiylashtirilishi mumkin. Ushbu me'yorlar, qoida tariqasida, qonuniy ravishda tasdiqlanmagan, ammo ularga rioya qilmaslik tashkilot nufuzining pasayishiga olib kelganligi sababli, ular majburiy hisoblanadi.

2.2 Xavfsizlik sinflarining ta'rifi

2.2.1 "Alfaproekt" OAJda ASODning talab qilinadigan xavfsizlik sinfini aniqlash

Rossiya Federatsiyasida talab qilinadigan xavfsizlik sinfini aniqlash uchun Rossiya Federatsiyasi Prezidenti huzuridagi Davlat texnik komissiyasining "Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari" ning 1-qismi "Axborotni muhofaza qilish talablari" ning rahbar hujjatida amalga oshirilgan o'ziga xos yondashuv mavjud. Avtomatlashtirilgan tizimlarning ma'lumotlarga ruxsatsiz kirishdan xavfsizligining 9 klassi va har bir sinf uchun zarur himoya mexanizmlarining minimal tarkibi va tizimlarning har bir sinfidagi mexanizmlarning har birining himoya funktsiyalari mazmuniga qo'yiladigan talablar aniqlanadi. (2.3-rasm).

Sivilizatsiya taraqqiyotida axborot alohida o‘rin tutadi. Axborot resurslariga egalik qilish va ulardan oqilona foydalanish jamiyat faoliyatini optimal boshqarish uchun sharoit yaratadi. Aksincha, axborotni buzib ko'rsatish, uni olishni bloklash va ishonchsiz ma'lumotlardan foydalanish noto'g'ri qarorlar qabul qilishga olib keladi.

Jamiyat hayotining turli sohalarini boshqarish samaradorligini ta'minlaydigan asosiy omillardan biri bu har xil turdagi ma'lumotlardan to'g'ri foydalanishdir. Bugungi va ertangi kundagi taraqqiyot sur'ati ko'p jihatdan faoliyatning eng muhim sohalari - fan, texnologiya, ishlab chiqarish va boshqaruv sohasidagi axborot va hisoblash xizmatlari sohasidagi ishlarning holatiga bog'liq.

Moddiy ishlab chiqarishni boshqarish sohasida iqtisodiy axborotdan foydalanish muammosi ayniqsa dolzarb bo'lib, axborot oqimining o'sishi mamlakatning sanoat salohiyatiga kvadratik bog'liqdir. O'z navbatida, avtomatlashtirish jarayonlarining jadal rivojlanishi va kompyuterlarning zamonaviy hayotning barcha jabhalarida qo'llanilishi, shubhasiz afzalliklardan tashqari, bir qator o'ziga xos muammolarning paydo bo'lishiga olib keldi. Ulardan biri axborotni samarali himoya qilishni ta'minlash zarurati. Shundan kelib chiqib, fuqarolar, guruhlar va davlatning axborotga bo‘lgan huquq va majburiyatlarini belgilovchi huquqiy normalarni yaratish hamda ushbu axborotni himoya qilish davlat axborot siyosatining eng muhim yo‘nalishiga aylanadi. Axborotni muhofaza qilish, ayniqsa, iqtisodiy sohada, juda o'ziga xos va muhim faoliyat turidir. AQSh va G'arbiy Evropada elektron vositalar yordamida bitta bank o'g'irlashdan ko'rilgan o'rtacha zarar 140 milliard dollarga yetganini aytish kifoya Axborot xavfsizligi tizimlarining kompyuter tarmoqlaridan chiqarilishi bir necha soat ichida o'rta kompaniyalarning 20 foizini, o'rta kompaniyalarning 40 foizini va yirik kompaniyalarning 16 foizining bir necha kun ichida barbod bo'lishiga olib keladi, banklarning 33 foizi qulab tushadi. 2-5 soat ichida, banklarning 50% - 2-3 kun ichida.

AQSh kompaniyalarida moddiy yo'qotishlarga olib kelgan ma'lumotlarni himoya qilish muammolari haqidagi ma'lumotlar qiziqish uyg'otadi:

tarmoqdagi nosozliklar (24%);

dasturiy ta'minotdagi xatolar (14%);

kompyuter viruslari (12%);

kompyuterning noto'g'ri ishlashi (11%);

ma'lumotlarni o'g'irlash (7%);

sabotaj (5%);

tarmoqqa ruxsatsiz kirish (4%);

boshqalar (23%).

Banklar va fond birjalariga xizmat ko‘rsatuvchi kompyuter tizimlari va axborot tarmoqlarining jadal rivojlanishi va keng tarqalishi kompyuter xotirasida saqlanadigan va aloqa liniyalari orqali uzatiladigan ma’lumotlarni o‘g‘irlash va ruxsatsiz foydalanish bilan bog‘liq huquqbuzarliklar sonining ko‘payishi bilan kuzatilmoqda.

Kompyuter jinoyatlari bugungi kunda dunyoning barcha mamlakatlarida uchraydi va inson faoliyatining ko'plab sohalarida keng tarqalgan. Ular yuqori maxfiylik, ular sodir etilganligining aniqlangan faktlari bo‘yicha dalillarni to‘plashning qiyinligi va bunday ishlarni sudda isbotlashning qiyinligi bilan ajralib turadi. Kompyuter axboroti sohasidagi huquqbuzarliklar quyidagi shakllarda sodir etilishi mumkin:

moliyaviy foyda olish maqsadida ma'lumotlarni qayta ishlash tizimini kompyuter manipulyatsiyasi orqali firibgarlik;

kompyuter josusligi va dasturiy ta'minotni o'g'irlash;

kompyuter sabotaji;

xizmatlarni o'g'irlash (vaqt), ma'lumotlarni qayta ishlash tizimlaridan noto'g'ri foydalanish;

ma'lumotlarni qayta ishlash tizimlariga ruxsatsiz kirish va ularni "buzish";

ma'lumotlarni qayta ishlash tizimlari yordamida sodir etilgan biznesda (iqtisodiyotda) an'anaviy jinoyatlar.

Kompyuter jinoyatlari odatda yuqori malakali tizim va bank dasturchilari va telekommunikatsiya tizimlari sohasidagi mutaxassislar tomonidan sodir etiladi. Axborot resurslariga jiddiy tahdid solmoqda xakerlar Va krakerlar, xavfsizlik dasturlarini buzish orqali kompyuter tizimlari va tarmoqlariga kirib borish. Krakerlar, shuningdek, ma'lumotlar bankidagi ma'lumotlarni o'z manfaatlariga muvofiq o'chirishi yoki o'zgartirishi mumkin. So'nggi o'n yilliklar davomida sobiq SSSR mamlakatlarida G'arbdan olingan ma'lumotlardan harbiy va iqtisodiy manfaatlar uchun foydalanish uchun davlat darajasida axborot qaroqchiligi bilan shug'ullanadigan tashkilot va idoralarda ishlaydigan yuqori malakali potentsial xakerlarning kuchli avlodi paydo bo'ldi.

Xakerlar nimani o'g'irlashadi? Potentsial ob'ekt kompyuterda saqlanadigan, kompyuter tarmoqlari orqali o'tadigan yoki kompyuter tashuvchisida joylashgan va xakerga yoki uning ish beruvchisiga foyda keltirishi mumkin bo'lgan har qanday ma'lumot bo'lishi mumkin. Ushbu ma'lumotlar kompaniyalarning tijorat sirini tashkil etuvchi deyarli barcha ma'lumotlarni o'z ichiga oladi, ishlanmalar va nou-xaulardan tortib, kompaniyaning aylanmasini, xodimlar sonini va hokazolarni "hisoblash" oson bo'lgan ish haqi jadvallarigacha.

Elektron pochta orqali amalga oshiriladigan bank operatsiyalari va kreditlari, shuningdek, fond birjasidagi operatsiyalar to'g'risidagi ma'lumotlar ayniqsa qimmatlidir. Zamonaviy bozorda minglab, hatto millionlab dollarlarga baholanadigan dasturiy mahsulotlar xakerlar uchun katta qiziqish uyg'otadi.

Krakerlar - "kompyuter terroristlari" - viruslar - ma'lumot yoki tizimning nosozliklarini yo'q qilishni ta'minlaydigan maxsus dasturlardan foydalangan holda dasturlar yoki ma'lumotlarga zarar etkazish bilan shug'ullanadilar. "Virus" dasturlarini yaratish juda foydali biznesdir, chunki ba'zi ishlab chiqaruvchilar o'zlarining dasturiy mahsulotlarini ruxsatsiz nusxa ko'chirishdan himoya qilish uchun viruslardan foydalanadilar.

Ko'pgina kompaniyalar uchun xaker-dasturchini raqobatchilarga tanishtirish orqali ma'lumot olish eng oddiy va eng foydali narsadir. Raqiblaringizni maxsus jihozlar bilan tanishtirish va maxsus jihozlardan foydalangan holda ularning idorasini doimiy ravishda radiatsiya borligini nazorat qilish qimmat va xavfli ishdir. Bundan tashqari, raqobatchi kompaniya texnik vositalarni aniqlaganida, noto'g'ri ma'lumot berish orqali o'yinni boshlash orqali javob berishi mumkin. Shuning uchun, "dushmanlar lagerida" o'z xaker-dasturchiga ega bo'lish raqobatchilarga qarshi kurashishning eng ishonchli usuli hisoblanadi.

Shunday qilib, kompyuter jinoyati xavfining tobora ortib borayotgani, birinchi navbatda, moliya-kredit sohasida avtomatlashtirilgan axborot tizimlari xavfsizligini ta'minlash muhimligini belgilaydi.

Tashkilot (muassasa) axborot xavfsizligi

ostida Tashkilotning (muassasaning) avtomatlashtirilgan axborot tizimining xavfsizligi uning normal ishlash jarayoniga tasodifiy yoki qasddan aralashuvlardan, shuningdek uning tarkibiy qismlarini o'g'irlash, o'zgartirish yoki yo'q qilishga urinishlardan himoya qilishni anglatadi. Tizim xavfsizligiga u qayta ishlaydigan ma'lumotlarning maxfiyligini, shuningdek, tizim komponentlari va resurslarining yaxlitligi va mavjudligini ta'minlash orqali erishiladi.

Kompyuter maxfiyligi - bu faqat tizimning qabul qilingan va tasdiqlangan (ruxsat etilgan) sub'ektlari (foydalanuvchilar, dasturlar, jarayonlar va boshqalar) uchun ma'lum bo'lgan ma'lumotlarning mulkidir.

Butunlik Tizim komponenti (resurs) - tizimning ishlashi davomida o'zgarmas (semantik ma'noda) komponentning (resursning) xususiyati.

Mavjudligi Tizim komponenti (resurs) - tizimning vakolatli sub'ektlari tomonidan istalgan vaqtda foydalanish uchun mavjud bo'lgan komponent (resurs) mulki.

Tizim xavfsizligi kompyuter bilan bog'liq resurslarning mavjudligi, yaxlitligi va maxfiyligini ta'minlash uchun texnik vositalar, dasturlar, ma'lumotlar va xizmatlarga qo'llaniladigan texnologik va ma'muriy choralar majmui bilan ta'minlanadi; Bu, shuningdek, tizimning ma'lum funktsiyalarni ularning rejalashtirilgan ishlash tartibiga qat'iy muvofiq bajarishini tekshirish protseduralarini o'z ichiga oladi.

Tizimning xavfsizlik tizimini quyidagi quyi tizimlarga bo'lish mumkin:

kompyuter xavfsizligi;

ma'lumotlar xavfsizligi;

xavfsiz dasturiy ta'minot;

aloqa xavfsizligi.

Kompyuter xavfsizligi u bilan bog‘liq resurslarning mavjudligi, yaxlitligi va maxfiyligini ta’minlash maqsadida kompyuter texnikasiga nisbatan qo‘llaniladigan texnologik va ma’muriy chora-tadbirlar majmui bilan ta’minlanadi.

Ma'lumotlar xavfsizligi ma'lumotlarni ruxsatsiz, tasodifiy, qasddan yoki beparvolik bilan o'zgartirishlar, yo'q qilish yoki oshkor qilishdan himoya qilish orqali erishiladi.

Xavfsiz dasturiy ta'minot tizimdagi ma'lumotlarni xavfsiz qayta ishlaydigan va tizim resurslaridan xavfsiz foydalanadigan umumiy maqsadli va amaliy dasturlar va vositalarni ifodalaydi.

Aloqa xavfsizligi ruxsatsiz shaxslar tomonidan telekommunikatsiya so'roviga javoban tizim tomonidan berilishi mumkin bo'lgan maxfiy ma'lumotlarni taqdim etishining oldini olish choralarini ko'rish orqali telekommunikatsiya autentifikatsiyasi orqali ta'minlanadi.

TO axborot xavfsizligi ob'ektlari korxonada (firmada) quyidagilar kiradi:

tijorat siri sifatida tasniflangan ma'lumotlarni va hujjatlashtirilgan ma'lumotlar massivlari va ma'lumotlar bazalari shaklida taqdim etilgan maxfiy ma'lumotlarni o'z ichiga olgan axborot resurslari;

axborot texnologiyalari vositalari va tizimlari - kompyuter va tashkiliy uskunalar, tarmoqlar va tizimlar, umumiy tizim va amaliy dasturlar, korxonalarni (ofislarni) boshqarishning avtomatlashtirilgan tizimlari, aloqa va ma'lumotlarni uzatish tizimlari, ma'lumotlarni yig'ish, qayd etish, uzatish, qayta ishlash va ko'rsatishning texnik vositalari; shuningdek, ularning informatsion jismoniy maydonlari.

Zamonaviy dunyoda axborot resurslari tadbirkorlik faoliyatida muhim o‘rin tutadigan korxonalar (firmalar)ning iqtisodiy rivojlanishining kuchli dastaklaridan biriga aylandi. Bundan tashqari, mahalliy tadbirkorlik sohasida “tezkor” iqtisodiyotlar faoliyati uchun asos bo‘lgan samarali kompyuter va zamonaviy axborot texnologiyalarining yo‘qligi iqtisodiyotni boshqarishning yangi shakllariga o‘tishga sezilarli darajada to‘sqinlik qilmoqda.

Axborot va avtomatlashtirilgan korxona (kompaniya) boshqaruv tizimlarida birinchi o'rin marketingni boshqarish vazifalarini, ya'ni korxona (kompaniya) shartnomalari va aloqalarini hisobga olish va tahlil qilish, biznes sheriklarini izlash, reklama kampaniyalarini tashkil etish vazifalarini samarali hal qilishdir. tovarlarni ilgari surish, vositachilik xizmatlarini ko'rsatish, bozorga kirish strategiyasini ishlab chiqish va boshqalar.

Turli siyosiy, tijorat va rasmiy xavfsizlik agentliklarining yordamisiz, odatda, har qanday jiddiy operatsiyani faqat haqiqiy faoliyatingizni (“noqonuniy harakatlar”) va haqiqiy shaxsingizni (“noqonuniy shaxslar”) yashirish orqali samarali amalga oshirish mumkin.

Bu havaskor shaxsga ham, umumjahon ma'qullamaydigan ba'zi nozik muammolarni hal qilish uchun maxsus yaratilgan norasmiy guruhga ham tegishli.

Xuddi shu muammo, ba'zi sabablarga ko'ra, odam tijorat, davlat, jinoiy yoki siyosiy xarakterdagi turli xizmatlardan yashirinishi kerak bo'lganda paydo bo'ladi.

Siz ataylab yoki majburiy ravishda odatiy noqonuniy immigrant bo'lishingiz mumkin. Qanday bo'lmasin, bu davrni ahmoqlik, jismoniy yoki ruhiy erkinlik, ba'zan esa hayotning o'zi orqali yo'qotmasdan muvaffaqiyatli o'tish uchun kamida minimal standart xavfsizlik taktikasini bilish kerak.

Xavfsizlik tizimining elementlari

Qo'llaniladigan sug'urta choralarining darajasi shaxsning (yoki guruhning) istalgan sir saqlanish darajasiga, shuningdek, vaziyatga, atrof-muhitga va, albatta, sug'urtalanganlarning o'zlarining imkoniyatlariga bog'liq.

Shaxsiy xavfsizlikning ba'zi usullari tabiiy odat bo'lib qolishi va favqulodda vaziyatning ehtiyojlaridan qat'iy nazar bajarilishi kerak.

Bu erda taqdim etilgan narsalar oddiy sug'urtaning mumkin bo'lgan vositalarini tugatmaydi, ulardan foydalanish mezoni har doim dushmanning yuqori fikri va, albatta, sug'urtalanganlarning o'zlarining sog'lom fikridir.

Quyidagi xavfsizlik turlari odatiy hisoblanadi:

Tashqi (begona odamlar bilan muloqot paytida);

Ichki (atrof-muhit va guruh ichida aloqa qilishda);

Mahalliy (turli vaziyatlarda va harakatlarda).

Keling, bularning barchasini biroz batafsilroq ko'rib chiqaylik.

Tashqi xavfsizlik

Oddiy odamlar va davlat idoralari bilan muloqot qilishda turli muammolar paydo bo'lishi mumkin, ammo buning ko'p qismini uchta "qilmaslik" tamoyilidan foydalangan holda oldindan bilish va oldini olish mumkin: g'azablanmang, aralashmang, turmang. tashqariga.

Kerakli:

O'zingizga ortiqcha e'tiborni jalb qilmang ("atrof-muhitda erish" taktikasi):

- tashqi ko'rinishda ajralib turmang (oddiy soch turmagi, odobli kiyim, hech qanday "baland ovoz" yo'qligi; ammo, agar sizning atrofingiz g'ayrioddiy bo'lsa, unda ular kabi bo'ling ...);

- janjal va janjallarga aralashmang (bu, birinchidan, sizga keraksiz e'tiborni jalb qiladi, ikkinchidan, bu shunchaki hibsga olish yoki "jazolash" ga qaratilgan provokatsiya bo'lishi mumkin);

- barcha kommunal to'lovlarni va boshqa davlat to'lovlarini ehtiyotkorlik bilan to'lash; har doim transport yo'l haqini to'lash;

- tanlangan ijtimoiy rolning namunasiga qat'iy rioya qilishga harakat qiling va ish haqida hech qanday shikoyat qilmaslik (va umumiy jamoaviy fonda ajralib turmaslik ...);

- g'ayrioddiy turmush tarzi yoki turli odamlarning tashrifi bilan qo'shnilarning obsesif qiziqishini qo'zg'atmang;

- hech narsada ortiqcha bilim ko'rsatmang, agar sizning rolingiz buni talab qilmasa (qadimgilarni unutmang: "Hushyorning uchta qonuni bo'lishi kerak: "Bilmayman", "Eshitmaganman" ," "Men tushunmayapman").

Qo'shnilar, hamkasblar va tanishlar orasida hech qanday dushmanlik tug'dirmang, balki ularga hamdardlik uyg'oting:

- "qora qo'y" bo'lmang (odamlar har doim o'zini o'zi tushunadigan tomondan ochib beradiganlarga jalb qilinadi ...);

- boshqalarda mumkin bo'lgan ehtiyotkorlikni (haddan tashqari qiziquvchanlik, "zakovat" yoki obsesyon ...) yoki dushmanlik (xarakatsizlik, zerikarlilik, mag'rurlik, qo'pollik...) keltirib chiqarmaydigan xatti-harakatlarni rivojlantirish;

– atrofingizdagi hamma bilan teng va xushmuomala bo‘ling va iloji bo‘lsa, ularga kichik (lekin latif emas!) xizmatlar ko‘rsating;

- qo'shnilarning noroziligi va qiziqishini keltirib chiqaradigan hech narsa qilmang (kechasi eshiklarni taqillatish, juda ko'p mehmonlar, taksida uyga qaytish, ayollarning tashrifi, umumiy kvartirada kech qo'ng'iroqlar ...).

Barcha ulanishlaringizni va kontaktlaringizni diqqat bilan boshqaring (esda tutingki, "eng xavfli dushman - bu siz shubha qilmaydigan dushman"):

– yaqinlaringizdan (xotin, do‘stlar, qarindoshlar, sevishganlar...) sir saqlash;

- odatiy ehtiyotkorlik bilan ("nima uchun va nima uchun?") har doim siz bilan yaqinroq bo'lishga urinishlarni (tasodifiy tanishish, kimningdir tavsiyalari...);

– taʼmirlash, reklama va xizmat koʻrsatish boʻyicha barcha xodimlarga ehtiyotkorlik bilan munosabatda boʻlish, hujjatlarini koʻrib chiqish va telefon orqali, keyin esa “hamkasblari” bilan muloyim, ammo asosli ravishda shaxsini tekshirish;

- "befarq" bo'lib tuyuladigan xizmatlarni taklif qiladigan har bir kishi bilan ehtiyot bo'ling (pul qarz beradi, biror narsada faol yordam beradi, arzonga kerakli narsani beradi ...).

O'zingizning zaif tomonlaringizni bilib oling va bu erda o'zingizni qanday himoya qilishingiz mumkinligini bilib oling:

- butun hayotingizni tahlil qiling va shantaj yoki obro'sizlantirish uchun ishlatilishi mumkin bo'lgan shubhali daqiqalarni ta'kidlang;

- bunday faktlarni ular etkazilishi mumkin bo'lgan barcha shaxslarga oshkor qilishning mumkin bo'lgan oqibatlarini real baholash;

- kim va nima sababdan ayblovchi dalillarni bilishga qodirligini va bunday bilimlarni qanday zararsizlantirish mumkinligini taxmin qilish;

- zaifligingiz ob'ektlarini (ayol, bolalar, axloqiy tamoyillar ...) aniqlang, chunki ular orqali sizga bosim o'tkazilishi mumkin;

- zaif tomonlaringizni aniqlang (sevimli mashg'ulotlar, sharob, jinsiy aloqa, pul, xarakter xususiyatlari...) va ular har doim sizga qarshi ishlatilishi mumkinligini unutmang.

- Umumiy sabab bilan bog'liq bo'lmagan shubhali firibgarliklarga aralashmang. Siz faqat yuqoridan ruxsat olgan holda biznesingizga tegishli bo'lgan xavfli sarguzashtlarda qatnashishingiz kerak.

Vatan xavfsizligi

O'zingizning muhitingizdagi kontaktlarni xavfsiz deb hisoblash mumkin emas. Esingizda bo'lsin, "eng katta zarar odatda ikkita shartdan kelib chiqadi: sirlarni oshkor qilish va xiyonatkorlarga ishonish".

Shaxsiyat sirlarini saqlash:

- haqiqiy ismlar o'rniga har doim taxalluslar qo'llaniladi (odatda nominal, lekin ayni paytda raqamli, alifbo yoki "laqab"); har bir yo'nalishda "o'yinchilar" alohida taxallus ostida o'tadilar, garchi bir nechta variantlar ostida ishlash mumkin, shuningdek, bir nechta turli shaxslarning umumiy taxallusi ostida harakat qilish mumkin;

- jamoa a'zolari, iloji bo'lsa, bir-birlarini faqat taxalluslar ostida bilishlari; Haqiqiy ismlar, uy manzillari va telefon raqamlari haqida faqat ishonchli shaxslar bilishi kerak;

- muvaffaqiyatsizlik va shifrni ochish ehtimoli yaqinlashib qolganda, barcha ishlatilgan taxalluslar, qoida tariqasida, o'zgaradi;

- o'zingizning shaxsingiz haqida hech kimga intim yoki boshqa ma'lumotlarni bermasligingiz kerak;

- o'zingiz haqingizda xayoliy, ammo tashqi ko'rinishda ishonchli "afsona" yaratishga harakat qiling (maslahatlar yoki mish-mishlar);

- guruhdagi hech kim o'z safdoshlarining faoliyati, odatlari va intim hayotiga haddan tashqari qiziqish bildirmasligi kerak;

- o'ta zarurat bo'lmasa, hech kim sheriklar haqidagi ma'lumotlarni boshqalarga oshkor qilmasligi kerak;

– baʼzi hollarda tashqi koʻrinishingizni vizual ravishda oʻzgartirish mantiqan toʻgʻri keladi (soch turmagi, soqol, boʻyanish, pariklar, tatuirovkalar, teri rangi, oddiy yoki dudlangan linzalar va turli ramkali koʻzoynaklar, ovozingiz va yurishingizni oʻzgartiruvchi qoʻshimchalar...);

- bu yerda bo'lganingizni ko'rsatadigan hech qanday moddiy iz qoldirmaslikni odat qilishingiz kerak (sigaret qoldiqlari, tashlangan qog'ozlar, poyabzal izlari, qarama-qarshi hidlar, atrof-muhitdagi sezilarli o'zgarishlar...).

Ishni maxfiy saqlash:

- faol ishchi aloqalar qat'iy cheklangan odamlar to'plami bilan (hal qilinayotgan vazifalarga qarab uchlik yoki beshlik tizim ...) bilan ta'minlanadi, sheriklar esa sheriklar nima qilishlarini bilmasligi kerak;

- har bir kishi faqat ikki yoki uchta sohaga ixtisoslashgan, ulardan birida faoliyat bilan shug'ullanish u uchun juda xavfli bo'lganidan keyin - dam olish, shuningdek, boshqa yo'nalishga o'tish mumkin;

- operativ va axborot ishlarini qat'iy farqlash kerak: har kim faqat o'z ishini qilsin;

- muayyan harakatga tayyorgarlikni yashirishning eng yaxshi usuli boshqasini amalga oshirishdir;

– o‘z faoliyatingiz haqida boshqalarga faqat o‘z biznesi uchun kerak bo‘lsagina aytishingiz mumkin; sirni ko'pi bilan besh kishi saqlashini unutmang;

- olingan ma'lumot faqat unga aniq muhtoj bo'lganlarga etkazilishi kerak (biror narsa haqida haddan tashqari bilim ko'rsatish axborot manbasini ochishi mumkin va bu uning neytrallanishiga olib kelishi mumkin);

– axborotni (pochta xabarlari, radio va telefon suhbatlari...) ushlashning aniq imkoniyatlarini ta’minlovchi aloqa vositalaridan foydalanishda ehtiyot bo‘lish;

– hech qachon oddiy matnda haqiqiy manzillar, ismlar va sozlamalarni harflar bilan yozmang, ko‘chada yoki telefonda suhbatlarda ularni eslatmang;

– hatto guruh ichidagi muloqot paytida ham kodlar va taxalluslardan foydalaning, ularni vaqti-vaqti bilan o'zgartiring;

- guruhda turli odamlarga ma'lum bo'lgan 2-3 ta alohida shifr bo'lishi kerak;

- yozib olishdan ko'ra xotiraga ko'proq tayanish; ikkinchi holda, siz shaxsiy kodingiz va shifringizdan foydalanishingiz kerak;

- o'z qo'lingiz bilan yozilgan yoki shaxsiy ofis jihozingizda bosilgan ayblovchi qog'ozlarga ega bo'lmaslikka harakat qiling;

- "ta'sir qilingan" shaxslar bilan muloqot qilishda, to'g'ridan-to'g'ri aloqa qilishdan saqlaning, kerak bo'lganda uchinchi shaxslar yoki boshqa aloqa vositalaridan foydalaning;

- har doim ma'lumotlarning tarqalishi yoki xiyonat qilish ehtimoli borligini hisobga oling va unutmang va tegishli qarshi choralarga tayyor bo'ling.

Mahalliy xavfsizlik

Muvaffaqiyatning eng yaxshi kafolati odatda xavfsizlik tarmog'idir va shuning uchun dushman yoki tasodifiy guvohlar tomonidan yuzaga kelishi mumkin bo'lgan barcha muammolarni hisobga olgan holda har qanday harakatni amalga oshirish tavsiya etiladi.

To'g'ridan-to'g'ri muloqot qilishning umumiy qoidalari.

gavjum ko'chada yoki jamoat transportida ochiq matnda ma'lumot beruvchi suhbatlar o'tkazmaslikka harakat qiling;

Ochiq suhbatda haqiqiy familiyalar, ismlar, taniqli taxalluslar va manzillarni eslatmaslik kerak, shuningdek, "tashvishli" atamalardan foydalanmaslik kerak;

individual harakatlarni belgilash uchun kod nomlaridan foydalaning;

suhbatning eng maxfiy jihatlari (haqiqiy manzillar, parollar, sanalar) qog'ozga yoziladi, keyin esa yo'q qilinadi;

tinglash tizimlarining texnik imkoniyatlarini o'rganish va ularga qarshi kurashishning asosiy choralarini bilish kerak (ma'lumot olish bo'limiga qarang...);

suhbat chog‘ida suhbatdoshlardan biri xavotirli narsani sezsa, sherik maxsus so‘z (“ATAS”...) yoki imo-ishora (barmog‘idan labga...) bilan ogohlantiriladi va butun suhbat neytral holatga o‘tkaziladi. yo'nalish;

agar sizni eshitayotganingizni bilsangiz, informatsion muzokaralar olib bormaslik yoki ularni noto'g'ri ma'lumot uchun ishlatmaslik yaxshiroqdir;

ular sizni go'yoki "tinglashayotganda", lekin siz hali ham muloqot qilishingiz kerak bo'lsa, ular odatiy tildan foydalanadilar, bu erda zararsiz jumlalar butunlay boshqacha ma'noga ega; Shuningdek, e'tiborga olinmasligi kerak bo'lgan iboralar (ular odatda kelishilgan imo-ishoralar bilan bildiriladi, masalan, barmoqlarni kesib o'tish ...) va ko'pincha standart usullar (yo'tal, og'izga kiritish ...) qo'llaniladi. ma'ruzachini aniqlash qiyin;

Odamlar gavjum joyda muloqot qilishning to'liq maxfiyligini ta'minlash zarur bo'lganda, ular shartli (og'zaki bo'lmagan) muloqot usullaridan, masalan, tana tili, tana harakatlari va barmoq imo-ishoralari, shuningdek, kiyim atributlariga asoslangan kodlardan foydalanadilar (turli pozitsiyalar). bosh kiyimi, galstuk qisqichi, ro'molcha...) yoki improvizatsiya qilingan narsalarni (soatlar, sigaretalar, kalitlar ...) manipulyatsiya qilish uchun.

Telefoningizdan foydalanish

A. SHAXSIY XAVFSIZLIKNI TA'MINLASH:

- boshqa odamlar va o'zingizning qo'ng'iroqlaringiz vaqtini kelishib olishga harakat qiling va aloqalar chastotasini cheklang;

– oʻz telefoningizdagi suhbatlarni suiisteʼmol qilmang (uni tinglash mumkinligini hisobga olib) va aniq zarurat boʻlmasa (uni manzilingizga yetib borish uchun foydalanish qiyin emasligini bilgan holda) boshqalarga raqamingizni bermang;

– ular ham butun telefon suhbatini (liniyaga ulanganda...) ham, faqat siz aytayotgan narsani (xato yoki eshik tashqarisidagi qo‘shni...) tinglashlarini hisobga oling;

- qurilmaga boshqa birovning uskunasini liniyaga ulash uchun oddiy "nazorat" (kuchlanishning pasayishini aniqlash ...) qurish foydalidir;

– boshqalarga qoʻngʻiroq qilayotganda raqamingizni reklama qilmaslik uchun qoʻngʻiroq qiluvchining identifikatoridan (raqamni avtomatik identifikatsiyalash) yoki yaxshiroq, “anti-qoʻngʻiroq qiluvchi ID” dan foydalaning;

– har qanday radiotelefonlarning ishonchliligiga tayanmang;

– shaharlararo va boshqa statsionar kontaktlar uyali “double” yoki radio uzatgich (shantaj boʻlimiga qarang...) orqali boshqa birovning “raqami” orqali, shuningdek, har qanday aloqa juftiga toʻgʻridan-toʻgʻri ulanish orqali amalga oshiriladi. kommutator;

- muzokaralarning ko'proq maxfiyligi uchun siz shifrlovchilardan (hech bo'lmaganda oddiy improvizatsiya qilingan invertorlar va skramblerlardan) foydalanishingiz mumkin, garchi ulardan foydalanish boshqalarning e'tiborini keskin rag'batlantirishi mumkin;

- "shovqin" yoki "tarmoq kuchlanishining oshishi" orqali himoyaga ayniqsa ishonmaslik kerak;

– agar siz suhbatdoshingizni “deshifr qilishni” istamasangiz, u holda ovozingizni o‘zgartirishga urinib ko‘rishingiz mumkin (mexanik va elektron gadjetlar orqali yoki oddiygina yo‘talish, lablaringizni cho‘zish va yoyish, burunni chimchilash...) va stilistik suhbat namunasi (jargon yordamida...);

– shuni unutmangki, ba'zida boshqa barcha telefonlar kabi joylashuvi osongina hisoblab chiqiladigan taksofonlar ham eshitiladi;

– agar sizga boshqa birovning qo‘ng‘irog‘i kerak bo‘lsa-yu, lekin koordinatalaringizni berishni istamasangiz, oraliq qo‘ng‘iroqdan foydalaniladi – javob berish mashinasi yoki jonli “dispetcher” bilan, u sizning shaxsiy qo‘ng‘iroqlaringizni bilishi yoki bilmasligi mumkin (bir tomonlama variant...) raqam - telefon;

- ba'zi hollarda, ma'lum bir ritmda bir yoki bir nechta "bo'sh" qo'ng'iroqlar ma'lum bir kodni ochganda, telefondan so'zsiz foydalanish mumkin;

- ba'zida ma'lum bir signal shunchaki ma'lum bir odamning eng ahamiyatsiz suhbat paytida qo'ng'iroq qilishi, shuningdek, "xato raqam" bo'lgan taqdirda kod nomlarining kodlangan eslatmasi bo'lishi mumkin.

B. OG'ZIQ XAVFSIZLIGINI TA'MINLASH:

– ochiq matnda ish suhbatlarini o‘tkazmang;

– haqiqiy sanalar, ismlar, manzillarni ko‘rsatmang;

– individual harakatlar uchun kod nomlaridan foydalanish;

- zararsiz iboralar butunlay boshqacha ma'noga ega bo'lgan an'anaviy tildan foydalaning;

- faqat kerak bo'lganda qo'ng'iroq qiling, garchi bir kishi bilan tez-tez "ahamiyatsiz" suhbatlar o'tkazish ham mumkin ("ma'lumotni tarqatish" taktikasi).

B. Begona odamlar bilan suhbat:

- butun suhbatni sherigingiz olib boradi va yoningizda turganlar hech narsani tushunmasliklari yoki tanimasliklari uchun faqat "ha" yoki "yo'q" deb aytasiz;

- yaqin atrofda notanish odamlar borligi to'g'risida oddiy matn yoki og'zaki kod bilan xabar qilinadi; bundan keyin suhbatni sherik o'tkazishi kerak, u batafsil javoblarni talab qiladigan savollarni bermasligi kerak;

- juda do'stona bo'lmagan odamning bevosita nazorati mavjud bo'lganda, sherik bu haqda muhokama qilingan kod iborasi bilan ogohlantiriladi (afzal salomlashishda ...), shundan so'ng butun suhbat bo'sh yoki noto'g'ri ma'lumot uslubida o'tkaziladi;

- agar suhbatdoshlardan biri uning telefoni tinglanayotganiga ishonsa, u darhol unga qo'ng'iroq qilayotganlarni hammaga yaxshi ma'lum bo'lgan ibora bilan ogohlantirmoqchi bo'ladi ("tishlari og'riyapti"...) va suhbat o'z-o'zidan o'tib ketadi. neytral yo'nalish.

D. UMUMIY TELEFONDAN FOYDALANISH (Kvartirada, ish joyida...):

- bunday telefondan imkon qadar kamroq foydalaning (ayniqsa, "uchun uchrashuvlar uchun"), agar bu o'ynagan rolga aloqador bo'lmasa (dispetcher, reklama agenti ...);

– o‘sha shaxs ushbu telefon raqamiga qo‘ng‘iroq qilishi kerak;

- juda kech yoki erta qo'ng'iroq qilmaslikka harakat qiling;

– begonalar qo‘ng‘iroq qilayotganning ovozini aniqlashga harakat qilganda (“Kim so‘rayapti?”...), muloyim va betaraf javob bering (“hamkasb”...) va agar qo‘ng‘iroq qilinayotgan odam u yerda bo‘lmasa, darhol to‘xtating. suhbat;

- aslida, masalan, kod ajratgichdan foydalangan holda alohida telefon qilish qiyin emas, shuning uchun umumiy raqamni aniq terish qo'shnisiga umuman ta'sir qilmasdan faqat sizning qurilmangiz qo'ng'iroq qilinishini ishonchli ta'minlaydi.

Uchrashuvlar tashkil etish

Muayyan holatlarda talab qilinadigan xavfsizlik choralari darajasi aloqaning istalgan maxfiylik darajasiga, uning ishtirokchilarining qonuniylik darajasiga va uni begonalar tomonidan nazorat qilinishiga bog'liq.

A. UCHRASH JOYI TANLASH:

- aloqa uchun mos joylarni qidirganda, ular odatda tabiiylik, haqiqiylik va tasodifiylik tamoyillariga tayanadilar;

– tez-tez o'tkaziladigan uchrashuvlarni muxlislar kechasi o'tkaziladigan joyda (uning namunasiga mos...), sport bo'limi zalida, ish xonasida o'tkazish osonroq;

– ayniqsa jiddiy uchrashuvlar ov yerlarida, maxsus ijaraga olingan dachalarda, hammomlarda, kurort sanatoriylarida, barcha turdagi sport markazlarida, chet eldagi plyajlarda o‘tkazilishi mumkin;

– metro va maydonlarda, hojatxonalar va avtomobillarda, gavjum ko‘chalarda, hayvonot bog‘lari, muzeylar va ko‘rgazmalarda juftlik uchrashuvlari rejalashtirilgan; bunday joylarda chorrahalar ehtimoli yo'q va shuning uchun kamroq xavfli;

- mashhur restoranda, moda kafesida va temir yo'l vokzalida yashirin uchrashuvlardan voz kechishingiz kerak, chunki bunday joylar odatda nazorat qilinadi;

- uchinchi shaxslarning shaxsiy kvartiralarida uzrli sabablarga ko'ra "tasodifiy" uchrashuvlar o'tkazish mumkin (dafn marosimi, yubiley, ma'lum bir voqeani "yuvish" ...);

- stereotipik kommunal kvartiralarda (kundalik yig'ilishlardan tashqari) hech qanday uchrashuv o'tkazmaslik kerak;

- o'z kvartirangizdan juda cheklangan tarzda aloqa qilish uchun foydalaning;

– baʼzi hollarda, agar iloji boʻlsa, dublikat chiqish joyi boʻlgan binoda maxsus xavfsiz uyni ijaraga olish mantiqan toʻgʻri keladi;

- uchrashuv joyini ko'zdan kechirayotganda, u erga e'tiborsiz etib borish mumkinmi yoki yo'qmi va u erdan qanday qilib xavfsiz qochishingiz mumkinligiga ishonch hosil qiling; eski haqiqatni eslang: "Agar siz qanday ketishni bilmasangiz, kirishga urinmang!"

B. Yig'ilish HAQIDA MA'LUMOT:

- mumkin bo'lgan uchrashuv joylari odatda oldindan muhokama qilinadi va ularning barchasiga kod beriladi - alifbo, raqamli yoki "noto'g'ri" - nom, har biri uchun bir nechta variant;

– boshqa shaxslarga telefon, peyjer, xat, shuningdek, messenjer orqali rejalashtirilgan aloqa haqida xabar beriladi;

– “ochiq” aloqa liniyalari orqali uchrashuv to‘g‘risida kelishishda ular joyning kod nomidan, shifrlangan sanadan (masalan, belgilangan kundan bir kun oldin) va o‘zgargan vaqtdan (doimiy yoki to‘g‘ridan-to‘g‘ri raqam bilan) foydalanadilar;

- belgilangan sanadan oldin, aniq matn yoki signalli aloqa orqali aloqani tasdiqlash kerak;

- agar uchrashuv vaqtida kutish maqbul bo'lsa (jamoat transporti to'xtash joyida, yoqilg'i quyish shoxobchasida navbatda ...), ma'lum bir vaqtni ko'rsatish tavsiya etiladi, undan keyin kutishning hojati yo'q.

B. Yig'ilishni o'tkazish:

- olomon yig'ilishlariga olomon ichida emas, balki tarqalib, barcha shaxsiy avtomobillaringizni bir joyda qoldirmasdan kelishingiz kerak;

- o'quv-mashg'ulot yig'inida ruxsatsiz yoki keraksiz shaxslarning bo'lishiga yo'l qo'ymaslikka harakat qiling;

- olomon yashirin yig'ilishlar haqida bilishga hojat bo'lmaganlar, ehtimol, bilishini tushunib, siz o'zingiz bilan ochiq-oydin ayblovchi narsalarni (qurol, soxta hujjatlar ...) olib ketmasligingiz kerak va ular ba'zan sirpanib ketishi mumkinligini yodda tuting;

- uchrashuvdan oldin, yig'ilish paytida va undan keyin maxsus odamlar tomonidan aloqa joyini nazorat qilish juda ma'qul, toki kerak bo'lsa, ular kelishilgan har qanday (ularni qo'lga kiritishni hisobga olgan holda) signallar yordamida yuzaga keladigan xavf haqida ogohlantirishi mumkin;

- har qanday aloqa paytida siz qanday qilib sizni josuslik qilishlari yoki eshitishlari mumkinligini aniqlab olishingiz kerak, o'jarlik bilan o'zingizga qisqa savollar berishingiz kerak: "Qaerda? Qanaqasiga? JSSV?";

- ayniqsa, yashirin suhbatlar mahalliy ajratilgan punktlarda o'tkazilishi, tekshirilishi va tinglash, josuslik va buzishning barcha imkoniyatlaridan sug'urtalanishi kerak;

- radiomikrofonlarning nurlanishi yoki suhbatdoshning ovoz yozish moslamasi mavjudligi haqida xabar beruvchi kamida oddiy ko'rsatkichlarga ega bo'lish maqsadga muvofiqdir;

- hatto "qo'pol" uchqun o'chirgichlardan, shuningdek magnit yozuvlarni o'chirish generatorlaridan foydalanish foydalidir;

- klassik noqonuniy juftlik o'yinlari har doim daqiqagacha hisoblanadi va "tasodifiy" sifatida o'tkaziladi;

Uchrashuv nuqtasiga aniq belgilangan vaqtda kelish uchun harakatni oldindan belgilash va har xil kutilmagan hodisalar (marshrut yo'nalishini to'sib qo'yish, notanish odamni bog'lash, transport hodisasi) uchun vaqt zaxirasini berish kerak. ..);

- agar ko'chada uchrashuv rejalashtirilgan bo'lsa, uchrashuvdan bir soat oldin u erda sayr qilish zarar qilmaydi, har bir o'tkinchiga va barcha to'xtash joylariga diqqat bilan qarab; agar biror narsa sizni tashvishga solsa, aloqani kechiktirish kerak, bu haqda sherikingizga kamuflyajli signalizatsiya usullaridan foydalangan holda xabar bering;

- notanish odamlar bilan uchrashganda, ular tashqi ko'rinishining tavsifi, o'ziga xos pozasi yoki imo-ishorasi, qo'llaridagi narsalarni eslatishi va eng muhimi, fotosurat orqali shaxsini og'zaki tasdiqlash bilan tan olinadi ( va boshqa) parol;

- kasalxonada xavf paydo bo'ladigan aniq joylarni doimiy ravishda kuzatib boradigan tarzda joylashtirilishi kerak (masalan, kafeda - kirish eshigiga qaragan holda, derazadan tashqarida nima bo'layotganini tomosha qilish va undan unchalik uzoq bo'lmagan joyda joylashgan). ochiq xizmat ko'rsatish yo'li...);

- og'zaki muloqotning ilgari belgilangan barcha qoidalarini eslang va ularga rioya qiling.

D. YOPIQ YAPISHLARNI TASHKIL QILISh (MUZUZOLAR).

Har qanday tadbirni, jumladan, uchrashuv va muzokaralarni tashkil etish uni tayyorlash bilan bog'liq. Bu yo'nalishda yagona xato bo'lmagan qoidalar yo'q. Biroq, bunday tayyorgarlik uchun sxemaning quyidagi versiyasi tavsiya etiladi: rejalashtirish, material to'plash va uni qayta ishlash, to'plangan materialni tahlil qilish va uni tahrirlash.

Rejalashtirishning dastlabki bosqichida muhokama qilinishi kerak bo'lgan mavzu yoki masalalar va biznes suhbatining mumkin bo'lgan ishtirokchilari aniqlanadi. Bundan tashqari, eng qulay vaqt tanlanadi va shundan keyingina yig'ilish joyi, vaqti va korxona xavfsizligini tashkil etish kelishib olinadi (qoida tariqasida, bunday suhbatlar yakkama-yakka, konfidensial tarzda o'tkaziladi. begonalarning ishtiroki).

Uchrashuv rejalashtirilgan bo'lsa, uni o'tkazish rejasi tuziladi. Birinchidan, siz tadbirkor oldida turgan maqsadlarni aniqlab olishingiz, so'ngra ularga erishish strategiyasini va suhbatlar o'tkazish taktikasini ishlab chiqishingiz kerak.

Bunday reja muayyan suhbatni tayyorlash va o'tkazish uchun aniq harakatlar dasturidir. Rejalashtirish sizga kutilmaganda paydo bo'ladigan yangi faktlar yoki kutilmagan holatlarning suhbat jarayonida ta'sirini yumshatish va zararsizlantirish imkonini beradi.

Reja rejaning har bir bandini bajarish uchun mas'ul shaxslarni va yig'ilish (muzokaralar) xavfsizligini tashkil etish bo'yicha quyidagi chora-tadbirlarni o'z ichiga oladi:

1. Mijoz bilan uchrashuvga kelgan mehmonlarni kutib olish.

2. Taklif etilgan shaxslarning asosiy qo'riqlash va tansoqchilarining harakatlarini muvofiqlashtirish.

3. Atrofdagi kiyim-kechak, mehmonlarning buyumlari va ularning mashinalari xavfsizligi.

4. Uchrashuvda mehmonlar o'rtasidagi voqealarning oldini olish.

5. Ichimliklar, gazaklar va boshqa taomlar holatini kuzatish (bu maqsadlar uchun o'rgatilgan itlar ishlatiladi).

6. Tadbirda yoki qo'shni binolarda bo'lgan shubhali shaxslarni aniqlash.

7. Tinglash moslamalari va portlovchi qurilmalarni olib tashlash bo'yicha muzokaralar oldidan binolarni (majlis xonasi va qo'shni xonalar) tozalash.

8. Shaxslarni hisobga olish va nazorat qilish uchun postlar tashkil etish:

a) paketlar, portfellar va boshqalar bilan ishbilarmonlik qabuliga yoki uchrashuvga kelish;

b) tadbirga audio yoki video jihozlarni olib kelish;

v) ishbilarmonlik qabuliga yoki uchrashuviga qisqa muddatga kelgan yoki kutilmaganda tadbirni tark etganlar.

9. Tadbir tashkilotchilari va mehmonlarning binolarda va telefonda suhbatlarini tinglashning oldini olish.

10. Muzokaralar olib borishning muqobil variantlarini ishlab chiqish (shaxsiy kvartirada, mehmonxonada, avtomobilda, qayiqda, hammomda (sauna) va hokazo.

Ushbu tadbirlar ro'yxati to'liq emas. Himoya ob'ektining shartlariga, hodisaning xarakteriga va mijoz bilan kelishilgan boshqa shartlarga qarab sezilarli darajada kengaytirilishi va aniqlanishi mumkin.

Uchrashuvlar (muzokaralar) yoki boshqa ommaviy tadbirlar davomida hal qilinadigan umumiy vazifalarga quyidagilar kiradi:

1) yig'ilish xonalari birinchi yoki oxirgi qavatlarda joylashgan va xavfsizlik xizmati tomonidan boshqariladigan xonalar o'rtasida joylashgan tarzda tanlangan;

2) qo'riqlash ob'ekti bilan tanishish, uning atrofidagi jinoyatchilik holatini aniqlash;

3) tadbirlar paytida politsiya bilan o'zaro hamkorlikni o'rnatish;

4) qo'riqlanadigan ob'ektga qurollar, portlovchi moddalar, tez yonuvchi va zaharli moddalar, giyohvandlik vositalari, og'ir buyumlar va toshlar olib kirilishining oldini olish uchun kirish nazoratini o'rnatish;

5) qo'riqlanadigan hududga yoki qo'riqlanadigan binolarga itlari bo'lgan shaxslarning kirishiga yo'l qo'ymaslik;

6) qo'shni hududda va unga tutash binolarda tartibni nazorat qilish va saqlash;

7) mustahkamlash (qo'llab-quvvatlash) guruhining qo'riqchilari o'rtasida rollarni taqsimlash;

8) qo'riqchilarning jihozlarini, shu jumladan ularning qurollari va aloqalarini aniqlash;

9) ochiq va “shifrlangan” nazorat va kuzatuv postlarini tashkil etish;

10) ekstremal vaziyatlarda transportni tayyorlash va tadbir ishtirokchilarini evakuatsiya qilish;

11) "o'lik zonalar" deb ataladigan narsalarni aniqlash uchun ob'ekt hududida aloqa barqarorligini tekshirish;

12) maxsus vositalardan foydalanish natijasida soqchilarning o'zlari zarar ko'rmasliklari uchun havo harakati yo'nalishini, shashka va turbulentlikni aniqlash uchun gaz qurollari va ko'zdan yosh oqizuvchi gaz qutilarini qo'llash imkoniyatini tekshirish;

13) turli xil kirish vazifalarini mashq qilish orqali soqchilarning uyg'unligini tekshirish.

Xavfsizlikning ish bosqichida xavfsizlik xizmati xodimlari (qo'riqlash kompaniyasi) tayyorgarlik bosqichida kelishilgan o'z vazifalarini aniq bajarishlari kerak.

Bunday holda, quyidagi masalalarga alohida e'tibor beriladi:

1) yig'ilish (muzokaralar) boshlanganidan keyin kirishni nazorat qilish zaif deb hisoblaydigan tadbirning kech ishtirokchilarining kelishi;

2) portfellar va katta hajmdagi sumkalar tarkibini majburiy tekshirish yoki minalar, granatalar, bombalar va boshqa portlovchi moddalarni aniqlash uchun ishlatiladigan qo'lda metall detektorlar, portlovchi bug 'detektorlaridan foydalanish;

3) muhofaza qilinadigan hududga kiruvchi va undan chiqadigan transport vositalari maxsus ko'rikdan o'tkazilishi kerak, hech bo'lmaganda vizual tarzda. Bu, ayniqsa, ruxsat etilmagan shaxslarning qo'riqlanadigan ob'ektga kirishiga yo'l qo'ymaslik va yig'ilish (kelishuv) ishtirokchilarining transport vositalarini qazib olishning oldini olish uchun muhimdir;

4) jo‘nab ketayotgan avtomashinalarning saloni va yukxonasini nazorat qilish yig‘ilish (muzokaralar) tashkilotchilaridan tovlamachilik qilish maqsadida tadbirga kelgan shaxslarni o‘g‘irlab ketishning oldini olishi mumkin;

5) tadbir ishtirokchilarining tashqi kiyimlari va shaxsiy buyumlarini o'g'irlanishining oldini olish va radio xatcho'plarini o'rnatish uchun himoya qilish;

6) tadbir menejerlarining derazadan chiroyli ko'rinishga ega bo'lish istagiga qaramasdan, hudud xavfsizlik xizmati (qo'riqlash kompaniyasi) tomonidan nazorat qilish uchun qulay bo'lishi kerakligini hisobga olish kerak;

7) radio teglardan ma'lumot olish uchun uskunalar bo'lishi mumkin bo'lgan avtomobillar yig'ilish xonalari derazalari ostida to'xtatilmasligi kerak;

8) muzokaralar uchun mo'ljallangan xonada xavfsizlik zonalarini yaratish va uni maxsus jihozlar, ekranlar, shovqin generatorlari va boshqalar bilan jihozlash;

9) tijorat sirlarini saqlash maqsadida muzokaralar olib borilayotganda barcha “maxfiy” ma’lumotlar yozma ravishda taqdim etiladi va uning muhokamasi ezopik tilida olib boriladi.

Tadbirning yakuniy bosqichida xavfsizlik xizmati (xavfsizlik kompaniyasi) juda aldamchi bo'lishi mumkin bo'lgan joyda sodir bo'layotgan ahamiyatsiz ko'rinadigan hodisalarga qaramay, hushyor bo'lishi kerak.

Tadbir tugagandan so'ng ob'ektni tekshirish avvalgi bosqichlardagi ishlardan ko'ra hayot uchun kamroq xavf tug'dirishi mumkin. Ushbu davrda saytni yakuniy tozalash tayyorgarlik tadbirlari paytida bo'lgani kabi bir xil metodologiya yordamida amalga oshiriladi. Bunday holda, voqea joyida yashirinishi mumkin bo'lgan shaxslarni yoki tibbiy yordamga muhtoj bo'lgan jinoyatchilar qurbonlarini qidirish kerak. Unutilgan narsalar va narsalarga katta e'tibor beriladi.

Tashkilot (korxona) rahbari va tadbirning boshqa ishtirokchilariga berilgan esdalik sovg‘alari va sovg‘alar nazorat tekshiruvidan o‘tkaziladi.

Tashkilot (kompaniya) xodimlariga tegishli bo'lmagan ob'ektda xavfsizlik tomonidan aniqlangan barcha narsalar inventarizatsiyaning bir nusxasi bilan birga mijozga yoki qo'riqlanadigan binolar ma'muriyatiga topshirilishi kerak. Ob'ektlarni saqlashga qabul qilgan shaxsning imzosi bilan inventarizatsiyaning ikkinchi nusxasi xavfsizlik xizmatida (qo'riqlash kompaniyasi) joylashgan.

Kvartira, mashina, ko'cha, restoran tijorat sirlarining ishonchli "himoyachisi" bo'la olmaydi. Shuning uchun mutaxassislarning maslahatlarini tinglashga arziydi.

Ish uchrashuvlarini o'tkazishda deraza va eshiklarni yopish kerak. Yig'ilish xonasi alohida xona, masalan, zal bo'lishi tavsiya etiladi.

Raqobatchilar, agar xohlasalar, qo'shni xonalarda, masalan, yuqorida yoki pastda joylashgan kvartirada o'tirib, suhbatlarni osongina tinglashlari mumkin. Barcha mamlakatlar va xalqlarning razvedkachilari shift va devorlarda teshik ochgan vaqtlar allaqachon o'tib ketgan - ayniqsa sezgir mikrofonlar sizga kerakli ma'lumotlarni deyarli to'siqsiz olish imkonini beradi.

Muzokaralar uchun siz izolyatsiyalangan devorlari bo'lgan xonalarni tanlashingiz, yuqorida va pastda qavatda yashovchi qo'shnilar bilan tanishishingiz kerak; ularning kvartirasini (xonani) begonalarga ijaraga berishlarini bilib oling. Qo'shnilaringizni ittifoqchilarga aylantirishga arziydi, lekin shu bilan birga ular ikki tomonlama o'yin o'ynashi yoki jimgina xayrixohlardan shantajchilarga aylanishi mumkinligini hisobga oling.

Raqobatchilarning faolligi, birinchi navbatda, ularning niyatlarining jiddiyligiga bog'liq. Agar kerak bo'lsa, tinglash moslamalari ("xatolar") to'g'ridan-to'g'ri tadbirkorning kvartirasiga o'rnatilishi mumkin - bu erda na temir eshiklar, na import qilingan qulflar, na yaxshi o'qitilgan xavfsizlik yordam beradi.

Ishbilarmon odam o'z qarindoshlaridan faqat o'zlari yaxshi biladigan odamlarni uyga taklif qilishni so'rashi va iloji bo'lsa, ularning xatti-harakatlarini nazorat qilishi kerak. Mehmonlarni qabul qilishda ofis eshiklari qulflangan bo'lishi kerak va bolalarni vasvasaga solmaslik uchun videomagnitofon va kompyuter ular uchun qulay joyda bo'lishi kerak. Kompyuter, albatta, ishlaydigan dasturlarsiz va maxfiy ma'lumotlarsiz bo'lishi kerak.

Agar sizning avtomobilingiz "jihozlangan" deb gumon qilinsa, muzokaralar oldidan unga "toza mashina" operatsiyasi o'tkazilishi kerak.

Ish uchrashuvi arafasida kompaniya xodimlaridan biri yoki u butunlay ishonadigan tadbirkorning do'sti mashinani belgilangan joyda qoldirishi kerak. Shundan bir necha daqiqa o'tgach, tadbirkor o'z mashinasidan tashlandiq mashinaga o'tadi va hech qayerda to'xtamasdan, muzokaralarga ketadi. Shu bilan birga, siz boshqa birovning mashinasini boshqarish huquqiga ishonchnoma olishni unutmasligingiz kerak!

Muzokaralar paytida mashina harakatda bo'lishi kerak va uning oynalari mahkam yopiq bo'lishi kerak. To'xtash joylarida (masalan, svetoforda) maxfiy masalalarni muhokama qilmaslik yaxshiroqdir.

Keling, tahlil qilaylik, tadbirkor muhim biznes uchrashuvini yana qayerda o'tkazishi mumkin?

Ko'chada. Suhbatlarni tinglash uchun ishlatilishi mumkin bo'lgan ikki turdagi mikrofon mavjud: yuqori yo'nalishli va o'rnatilgan. Birinchisi ko'rish chizig'i ichida bir kilometrgacha bo'lgan masofada ma'lumot olish imkonini beradi. O'rnatilgan mikrofonlar radio quloqchinlari bilan bir xil ishlaydi.

Yuqori yo'nalishli mikrofonlarga qarshi samarali kurashish uchun doimo harakat qilish, harakat yo'nalishini keskin o'zgartirish, jamoat transportidan foydalanish, qarshi nazoratni tashkil qilish - xavfsizlik xizmati yoki xususiy detektiv firmalarning yollangan agentlari yordamida.

Restoranda. Statik pozitsiya umumiy restoran joylarida suhbatlarni boshqarish imkonini beradi. Shuning uchun bunday ish uchrashuvlarini o'tkazish uchun ishonchli bosh ofitsiant kerak. Tadbirkor uchun qulay vaqtda va kutilmaganda raqobatchilar uchun stol yoki alohida ofis ajratiladi, bu esa, o'z navbatida, kompaniya xavfsizlik xizmatining ishonchli nazorati ostida bo'lishi kerak. Aytgancha, restoran orkestrining tovushlari, shuningdek, suv tovushi bilan suhbatni bostirishga urinishlar samarasiz.

Mehmonxona xonasida. Muzokaralar uchun mehmonxona xonasini bron qilish ehtiyotkorlik bilan amalga oshirilishi kerak. Ish uchrashuvi boshlangandan so'ng, xavfsizlik xodimlari nafaqat qo'shnilarni, balki yuqorida va pastda yashovchi barcha odamlarni ham nazorat qilishlari kerak.

Rejalashtirilgan uchrashuvlar (muzokaralar) vaqti va tabiati haqida boshqalarga noto'g'ri ma'lumot berish yaxshi tashkil etilgan taqdirda yuqoridagi barcha usullar va qarshi choralar samarali hisoblanadi. Agar rejalashtirilgan tadbirlarning to'liq ro'yxatiga ega bo'lgan xodimlar doirasi imkon qadar tor bo'lsa va ularda ishtirok etayotganlarning har biri o'z majburiyatlari doirasida zarur bo'lgan narsani aniq bilsa, siz har qanday biznesda muvaffaqiyatga ishonishingiz mumkin.

Axborot ob'ektlarini himoya qilish

Axborot obyektlariga tahdid turlari

Ob'ektning avtomatlashtirilgan axborot tizimiga tahdidlarning umumiy tasnifi quyidagicha:

Ma'lumotlar va dasturlarning maxfiyligiga tahdidlar. Ma'lumotlarga (masalan, bank mijozlarining hisobvaraqlari holati to'g'risidagi ma'lumotlarga), dasturlarga yoki aloqa kanallariga ruxsatsiz kirish orqali amalga oshiriladi.

Kompyuterlarda qayta ishlangan yoki mahalliy ma'lumotlar tarmoqlari orqali uzatiladigan ma'lumotlar texnik qochqin kanallari orqali olinishi mumkin. Bunday holda, kompyuterning ishlashi paytida hosil bo'lgan elektromagnit nurlanishni tahlil qiladigan uskunalar ishlatiladi.

Bunday ma'lumotlarni qidirish murakkab texnik vazifa bo'lib, malakali mutaxassislarni jalb qilishni talab qiladi. Standart televizorga asoslangan qabul qiluvchi qurilmadan foydalanib, siz kompyuter ekranlarida ko'rsatilgan ma'lumotlarni ming metr yoki undan ortiq masofadan ushlab olishingiz mumkin. Kompyuter tizimining ishlashi to'g'risidagi ma'lum ma'lumotlar, hatto xabar almashish jarayoni ularning mazmuniga kirishsiz kuzatilganda ham chiqariladi.

Ma'lumotlar, dasturlar va uskunalarning yaxlitligiga tahdidlar. Ma'lumotlar va dasturlarning yaxlitligi ruxsatsiz yo'q qilish, keraksiz elementlarni qo'shish va hisob qaydnomalarini o'zgartirish, ma'lumotlar tartibini o'zgartirish, qonuniy so'rovlarga javoban qalbakilashtirilgan to'lov hujjatlarini shakllantirish va ularni kechiktirish bilan xabarlarni faol yuborish orqali buziladi.

Tizim xavfsizligi ma'lumotlarini ruxsatsiz o'zgartirish ruxsatsiz harakatlarga (noto'g'ri yo'naltirish yoki uzatilgan ma'lumotlarni yo'qotish) yoki uzatilgan xabarlar ma'nosining buzilishiga olib kelishi mumkin. Uskuna shikastlangan, o'g'irlangan yoki ish algoritmlari noqonuniy ravishda o'zgartirilgan bo'lsa, uning yaxlitligi buziladi.

Ma'lumotlar mavjudligiga tahdidlar. Ob'ekt (foydalanuvchi yoki jarayon) unga qonuniy ravishda ajratilgan xizmatlar yoki resurslardan foydalana olmaganida yuzaga keladi. Ushbu tahdid barcha resurslarni tortib olish, ruxsatsiz shaxs tomonidan o'z ma'lumotlarini uzatish natijasida aloqa liniyalarini blokirovka qilish yoki zarur tizim ma'lumotlarini chiqarib tashlash orqali amalga oshiriladi.

Ushbu tahdid tizimda xizmat ko'rsatishning ishonchsizligi yoki sifatsizligiga olib kelishi mumkin va shuning uchun to'lov hujjatlarini etkazib berishning aniqligi va o'z vaqtida bajarilishiga ta'sir qilishi mumkin.

– Tranzaktsiyalarni amalga oshirishdan bosh tortish tahdidlari. Ular qonuniy foydalanuvchi to'lov hujjatlarini uzatganda yoki qabul qilganda, keyin esa o'zini javobgarlikdan ozod qilish uchun uni rad etganda paydo bo'ladi.

Avtomatlashtirilgan axborot tizimining zaifligini baholash va ta'sir qilish modelini yaratish yuqorida sanab o'tilgan tahdidlarni amalga oshirishning barcha variantlarini o'rganish va ular olib keladigan oqibatlarni aniqlashni o'z ichiga oladi.

Tahdidlar sabab bo'lishi mumkin:

– tabiiy omillar (tabiiy ofatlar – yong‘in, suv toshqini, bo‘ron, chaqmoq va boshqa sabablar);

- inson omillari, ular o'z navbatida quyidagilarga bo'linadi:

passiv tahdidlar(tasodifiy, beixtiyor xarakterdagi faoliyat natijasida yuzaga kelgan tahdidlar). Bular axborotni (ilmiy, texnik, tijorat, pul va moliyaviy hujjatlar) tayyorlash, qayta ishlash va uzatish jarayonida xatolar bilan bog'liq tahdidlar; maqsadsiz "miya ketishi", bilim, ma'lumot bilan (masalan, aholi migratsiyasi, oila bilan birlashish uchun boshqa mamlakatlarga sayohat va boshqalar);

faol tahdidlar(odamlarning qasddan, qasddan harakatlaridan kelib chiqadigan tahdidlar). Bular ilmiy kashfiyotlar, ixtirolar, ishlab chiqarish sirlari, yangi texnologiyalarni g'arazli va boshqa g'ayriijtimoiy sabablarga ko'ra (hujjatlar, chizmalar, kashfiyotlar va ixtirolarning tavsiflari va boshqa materiallar) o'tkazish, buzish va yo'q qilish bilan bog'liq tahdidlar; turli hujjatlarni ko'rish va uzatish, "axlat" ni ko'rish; rasmiy va boshqa ilmiy, texnik va tijorat suhbatlarini tinglash va uzatish; maqsadli "miya ketishi", bilim, ma'lumot (masalan, xudbin sabablarga ko'ra boshqa fuqarolikni olish munosabati bilan);

- inson-mashina va mashina omillari; bo'linadi:

passiv tahdidlar. Bu tizimlar va ularning tarkibiy qismlarini (binolar, inshootlar, binolar, kompyuterlar, aloqa vositalari, operatsion tizimlar, amaliy dasturlar va boshqalar) loyihalash, ishlab chiqish va ishlab chiqarish jarayonidagi xatolar bilan bog'liq tahdidlar; sifatsiz ishlab chiqarish tufayli uskunaning ishlashidagi xatolar bilan; axborotni tayyorlash va qayta ishlash jarayonidagi xatolar bilan (yetarli malaka va sifatsiz xizmat tufayli dasturchilar va foydalanuvchilarning xatolari, ma'lumotlarni tayyorlash, kiritish va chiqarish, axborotni tuzatish va qayta ishlashdagi operator xatolari);

faol tahdidlar. Bular avtomatlashtirilgan axborot tizimining resurslariga ruxsatsiz kirish bilan bog'liq tahdidlar (kompyuter uskunalari va aloqa vositalariga texnik o'zgartirishlar kiritish, kompyuter uskunalari va aloqa kanallariga ulanish, har xil turdagi saqlash vositalarini o'g'irlash: floppi disklar, tavsiflar, bosma nashrlar va boshqa materiallar). , kirish ma'lumotlarini ko'rish, chop etish, "axlat" ni ko'rish); kontaktsiz tarzda amalga oshiriladigan tahdidlar (elektromagnit nurlanishni to'plash, kontaktlarning zanglashiga olib keladigan signallarni ushlab turish (o'tkazuvchi aloqalar), ma'lumot olishning vizual-optik usullari, rasmiy va ilmiy-texnikaviy suhbatlarni tinglash va boshqalar).

Avtomatlashtirilgan axborot tizimlariga, shu jumladan telekommunikatsiya kanallari orqali ruxsatsiz kirishning asosiy tipik usullari quyidagilardan iborat:

elektron nurlanishni ushlab turish;

tinglash moslamalaridan foydalanish (xatcho'plar);

masofaviy suratga olish;

akustik nurlanishni ushlab turish va printer matnini tiklash;

saqlash vositalarini va sanoat chiqindilarini o'g'irlash;

boshqa foydalanuvchilarning massivlarida ma'lumotlarni o'qish;

avtorizatsiya qilingan so'rovlarni bajargandan so'ng tizim xotirasidagi qoldiq ma'lumotlarni o'qish;

xavfsizlik choralarini engib o'tish orqali saqlash vositalarini nusxalash;

ro'yxatdan o'tgan foydalanuvchi sifatida niqoblash;

yolg'on (tizim so'rovlari sifatida yashirish);

uskunalar va aloqa liniyalariga noqonuniy ulanish;

himoya mexanizmlarini zararli o'chirib qo'yish;

dasturiy tuzoqlardan foydalanish.

Avtomatlashtirilgan axborot tizimida himoya bo'lmaganda ma'lumotlarga qasddan ruxsatsiz kirishning mumkin bo'lgan kanallari quyidagilar bo'lishi mumkin:

noqonuniy foydalanilganda ma'lumotlarga kirishning standart kanallari (foydalanuvchi terminallari, ma'lumotlarni ko'rsatish va hujjatlashtirish vositalari, saqlash vositalari, dasturiy ta'minotni yuklab olish vositalari, tashqi aloqa kanallari);

texnologik konsollar va boshqaruv elementlari;

jihozlarni ichki o'rnatish;

apparat vositalari orasidagi aloqa liniyalari;

ma'lumotni tashuvchi yon elektromagnit nurlanish;

kompyuter tizimi yaqinida joylashgan elektr ta'minoti sxemalari, asbob-uskunalarni yerga ulash, yordamchi va begona kommunikatsiyalarga garov aralashuvi.

Axborot xavfsizligi ob'ektlariga tahdidlarga ta'sir qilish usullari axborot, dasturiy-matematik, fizik, radioelektron va tashkiliy-huquqiy usullarga bo'linadi.

Axborot usullariga quyidagilar kiradi:

axborot almashinuvining maqsadliligi va o‘z vaqtida bajarilishini buzish, axborotni qonunga xilof ravishda yig‘ish va ulardan foydalanish;

axborot resurslariga ruxsatsiz kirish;

axborotni manipulyatsiya qilish (dezinformatsiya, ma'lumotni yashirish yoki buzish);

axborot tizimlarida ma'lumotlarni noqonuniy nusxalash;

axborotni qayta ishlash texnologiyasini buzish.

Dasturiy ta'minot va matematik usullarga quyidagilar kiradi:

kompyuter viruslarini joriy etish;

dasturiy va apparatli o'rnatilgan qurilmalarni o'rnatish;

avtomatlashtirilgan axborot tizimlarida ma'lumotlarni yo'q qilish yoki o'zgartirish.

Jismoniy usullarga quyidagilar kiradi:

axborotni qayta ishlash va aloqa vositalarini yo'q qilish yoki yo'q qilish;

mashina yoki boshqa asl saqlash vositalarini yo'q qilish, yo'q qilish yoki o'g'irlash;

dasturiy yoki apparat kalitlari hamda kriptografik axborotni himoya qilish vositalarini o‘g‘irlash;

xodimlarga ta'sir qilish;

avtomatlashtirilgan axborot tizimlarining "infektsiyalangan" komponentlarini etkazib berish.

Radioelektron usullar quyidagilardan iborat:

texnik kanallarda axborotni ushlash, uning chiqib ketishi mumkinligi;

texnik vositalar va binolarga elektron axborotni ushlash qurilmalarini joriy etish;

ma'lumotlar tarmoqlari va aloqa liniyalarida noto'g'ri ma'lumotlarni ushlab turish, parolini ochish va joylashtirish;

parol-kalit tizimlariga ta'siri;

aloqa liniyalari va boshqaruv tizimlarini radioelektron bostirish.

Tashkiliy-huquqiy usullarga quyidagilar kiradi:

qonun talablariga rioya qilmaslik va axborot sohasidagi zaruriy me'yoriy-huquqiy hujjatlarni qabul qilishda kechikishlar;

fuqarolar va tashkilotlar uchun muhim bo'lgan ma'lumotlarni o'z ichiga olgan hujjatlardan foydalanishni qonunga xilof ravishda cheklash.

Dasturiy ta'minot xavfsizligiga tahdidlar. Avtomatlashtirilgan axborot tizimlarining xavfsizligini ta'minlash ularda qo'llaniladigan dasturiy ta'minot va xususan, quyidagi turdagi dasturlarning xavfsizligiga bog'liq:

muntazam foydalanuvchi dasturlari;

tizim xavfsizligini buzish uchun mo'ljallangan maxsus dasturlar;

yuqori professional darajada ishlab chiqilgan va shu bilan birga tajovuzkorlarga tizimlarga hujum qilish imkonini beruvchi individual kamchiliklarni o'z ichiga olishi mumkin bo'lgan turli xil tizim yordamchi dasturlari va tijorat dastur dasturlari.

Dasturlar ikki turdagi muammolarni yaratishi mumkin: birinchidan, ular ushbu ma'lumotlarga kirish huquqiga ega bo'lmagan foydalanuvchining harakatlari natijasida ma'lumotlarni ushlab turishi va o'zgartirishi mumkin, ikkinchidan, kompyuter tizimlarini himoya qilishdagi bo'shliqlardan foydalanib, ular yoki huquqiga ega bo'lmagan foydalanuvchilarga tizimga kirish yoki qonuniy foydalanuvchilar uchun tizimga kirishni bloklash.

Dasturchining tayyorgarlik darajasi qanchalik yuqori bo'lsa, u yo'l qo'ygan xatolar shunchalik aniq (hatto uning uchun) bo'ladi va u tizim xavfsizligini buzish uchun mo'ljallangan qasddan qilingan mexanizmlarni shunchalik ehtiyotkorlik bilan va ishonchli yashira oladi.

Hujumning maqsadi quyidagi sabablarga ko'ra dasturlarning o'zi bo'lishi mumkin:

Zamonaviy dunyoda dasturlar katta foyda keltiradigan mahsulot bo'lishi mumkin, ayniqsa dasturni tijorat maqsadlarida birinchi bo'lib takrorlashni boshlagan va unga mualliflik huquqini qo'lga kiritganlar uchun.

Dasturlar, shuningdek, ushbu dasturlarni qandaydir tarzda o'zgartirishga qaratilgan hujumning nishoniga aylanishi mumkin, bu kelajakda boshqa tizim ob'ektlariga hujum qilishga imkon beradi. Tizimni himoya qilish funktsiyalarini amalga oshiradigan dasturlar, ayniqsa, ko'pincha bunday turdagi hujumlarning nishoniga aylanadi.

Keling, dasturlar va ma'lumotlarga hujum qilish uchun eng ko'p qo'llaniladigan bir nechta dastur va usullarni ko'rib chiqaylik. Ushbu texnikalar bitta atama - "dastur tuzoqlari" deb ataladi. Bularga trapdoorlar, troyan otlari, mantiqiy bombalar, salam hujumlari, yashirin kanallar, xizmat ko'rsatishni rad etish va kompyuter viruslari kiradi.

Dasturlardagi lyuklar. Dasturga kirish uchun lyuklardan foydalanish avtomatlashtirilgan axborot tizimlari xavfsizligini buzishning eng oddiy va tez-tez ishlatiladigan usullaridan biridir.

Luqo dasturiy mahsulot uchun hujjatlarda tavsiflanmagan ushbu dasturiy mahsulot bilan ishlash qobiliyatini anglatadi. Lyuklardan foydalanishning mohiyati shundan iboratki, foydalanuvchi hujjatlarda tavsiflanmagan muayyan harakatlarni amalga oshirganda, u odatda o'zi uchun yopiq bo'lgan imkoniyatlar va ma'lumotlarga kirish huquqiga ega bo'ladi (xususan, imtiyozli rejimga kirish).

Lyuklar ko'pincha ishlab chiquvchining unutuvchanligi natijasidir. Nosozliklarni tuzatish jarayonini osonlashtirish uchun yaratilgan va tugallangandan keyin olib tashlanmaydigan mahsulot qismlariga bevosita kirish uchun vaqtinchalik mexanizm lyuk sifatida ishlatilishi mumkin. Lyuklar, shuningdek, tez-tez qo'llaniladigan "yuqoridan pastga" dasturiy ta'minotni ishlab chiqish texnologiyasi natijasida hosil bo'lishi mumkin: ularning rolini tayyor mahsulotda biron bir sababga ko'ra qoldirilgan "stublar" - taqlid qiluvchi yoki oddiygina joyni ko'rsatadigan buyruqlar guruhlari o'ynaydi. kelajakdagi subprogrammalar ulanadi.

Va nihoyat, trapdoorlarning yana bir keng tarqalgan manbai "aniqlanmagan kirish" deb ataladi - tizim so'rovlariga javoban "ma'nosiz" ma'lumotlarni kiritish, gobbledygook. Noto'g'ri yozilgan dasturning aniqlanmagan kiritishga javobi, eng yaxshi holatda, oldindan aytib bo'lmaydigan bo'lishi mumkin (bu erda dastur har safar bir xil noto'g'ri buyruq qayta kiritilganda boshqacha munosabatda bo'ladi); Agar dastur bir xil "aniqlanmagan" kiritish natijasida takroriy harakatlar qilsa, bundan ham yomoni - bu potentsial tajovuzkorga xavfsizlikni buzish uchun o'z harakatlarini rejalashtirish imkoniyatini beradi.

Aniqlanmagan kiritish - bu shaxsiy uzilishni amalga oshirish. Ya'ni, umumiy holatda, bosqinchi ataylab tizimda kerakli harakatlarni amalga oshirishga imkon beradigan nostandart vaziyatni yaratishi mumkin. Misol uchun, u imtiyozli rejimda qolgan holda boshqaruvni qo'lga olish uchun imtiyozli rejimda ishlaydigan dasturni sun'iy ravishda buzishi mumkin.

To'xtash ehtimoliga qarshi kurash, oxir-oqibat, dasturlarni ishlab chiqishda "noto'g'ri" deb ataladigan mexanizmlar to'plamini ta'minlash zarurligiga olib keladi. Ushbu himoyaning ma'nosi aniqlanmagan ma'lumotlarni va har xil turdagi nostandart vaziyatlarni (xususan, xatolar) qayta ishlash imkoniyati yo'qligini ta'minlash va shu bilan kompyuter tizimining noto'g'ri ishlagan taqdirda ham xavfsizligini buzilishining oldini olishdir. dasturning.

Shunday qilib, dasturda lyuk (yoki lyuklar) mavjud bo'lishi mumkin, chunki dasturchi:

uni o'chirishni unutgan;

sinovdan o'tkazish yoki nosozliklarni tuzatishning qolgan qismini bajarish uchun uni ataylab dasturda qoldirgan;

yakuniy dasturiy mahsulotning yakuniy yig‘ilishiga ko‘maklashish manfaatlarini ko‘zlab, uni ataylab dasturda qoldirgan;

Yakuniy mahsulotga kiritilgandan so'ng dasturga kirishning yashirin vositalariga ega bo'lish uchun uni ataylab dasturda qoldirgan.

Lyuk - bu tizimga hujum qilishning birinchi qadami, xavfsizlik mexanizmlarini chetlab o'tib, kompyuter tizimiga kirish qobiliyati.

"Troyan otlari".

Hujjatlarda tavsiflangan funktsiyalarga qo'shimcha ravishda, hujjatlarda tavsiflanmagan boshqa funktsiyalarni amalga oshiradigan dasturlar mavjud. Bunday dasturlar "Troyan otlari" deb ataladi.

Uning harakatlarining natijalari (masalan, fayllarni o'chirish yoki ularning himoyasini o'zgartirish) qanchalik aniq bo'lsa, troyan otini aniqlash ehtimoli shunchalik yuqori bo'ladi. Murakkabroq troyan otlari o'z faoliyatining izlarini yashirishi mumkin (masalan, fayl himoyasini asl holatiga qaytarish).

"Mantiqiy bombalar"

"Mantiqiy bomba" odatda ma'lum bir shart bajarilganda ma'lum bir funktsiyani amalga oshiradigan dastur yoki hatto kod bo'limi deb ataladi. Bu holat, masalan, ma'lum bir sananing paydo bo'lishi yoki ma'lum bir nomga ega faylning topilishi bo'lishi mumkin.

"Portlash" paytida "mantiqiy bomba" foydalanuvchi uchun kutilmagan va qoida tariqasida istalmagan funktsiyani amalga oshiradi (masalan, ba'zi ma'lumotlarni o'chiradi yoki ba'zi tizim tuzilmalarini yo'q qiladi). "Mantiqiy bomba" dasturchilarning ularni ishdan bo'shatgan yoki qandaydir tarzda xafa qilgan kompaniyalardan qasos olishning sevimli usullaridan biridir.

Salami hujumi.

Salami hujumi bank kompyuter tizimlarining haqiqiy balosiga aylandi. Bank tizimlarida har kuni naqd pulsiz hisob-kitoblar, summalarni o'tkazish, chegirmalar va boshqalar bilan bog'liq minglab operatsiyalar amalga oshiriladi.

Hisob-fakturalarni qayta ishlashda butun birliklar (rubl, sent) ishlatiladi va foizlarni hisoblashda ko'pincha kasr miqdorlari olinadi. Odatda, yarim rubl (tsent) dan oshadigan qiymatlar eng yaqin butun rublga (tsent) yaxlitlanadi va yarim rubldan (tsent) kamroq qiymatlar bekor qilinadi. Salam hujumi paytida bu ahamiyatsiz qiymatlar o'chirilmaydi, lekin asta-sekin maxsus hisobda to'planadi.

Amaliyot shuni ko'rsatadiki, o'rtacha o'lchamdagi bankda "ayyor" dastur bir necha yil davomida ishlaganda, tom ma'noda yo'qdan tuzilgan summa minglab dollarlarni tashkil qilishi mumkin. Salomi hujumlarini aniqlash juda qiyin, agar tajovuzkor bitta hisobda katta miqdorda pul to'plashni boshlamasa.

Yashirin kanallar.

Yashirin kanallar - bu ma'lumotni odatda qabul qilmaydigan odamlarga uzatadigan dasturlar.

Muhim ma'lumotlar qayta ishlanadigan tizimlarda dasturchi ushbu dastur ishga tushirilgandan so'ng dastur tomonidan qayta ishlangan ma'lumotlarga kirish huquqiga ega bo'lmasligi kerak.

Siz hech bo'lmaganda ushbu ma'lumotni (masalan, mijozlar ro'yxatini) raqobatchi kompaniyaga sotish orqali ba'zi mulkiy ma'lumotlarga ega bo'lish haqiqatidan katta foyda olishingiz mumkin. Etarli malakali dasturchi har doim ma'lumotni yashirin tarzda uzatish yo'lini topa oladi; Biroq, eng zararsiz hisobotlarni yaratish uchun mo'ljallangan dastur vazifa talab qilganidan biroz murakkabroq bo'lishi mumkin.

Ma'lumotni yashirin ravishda uzatish uchun siz "zararsiz" hisobot formatining turli elementlaridan muvaffaqiyatli foydalanishingiz mumkin, masalan, turli qator uzunliklari, qatorlar orasidagi bo'shliqlar, xizmat sarlavhalarining mavjudligi yoki yo'qligi, chiqish qiymatlaridagi ahamiyatsiz raqamlarning boshqariladigan chiqishi, raqam. hisobotning ma'lum joylaridagi bo'shliqlar yoki boshqa belgilar va boshqalar. .d.

Agar tajovuzkor o'zini qiziqtirgan dastur ishlayotgan vaqtda kompyuterga kirish imkoniga ega bo'lsa, yashirin kanal muhim ma'lumotlarni kompyuterning operativ xotirasida maxsus yaratilgan ma'lumotlar massiviga yuborishi mumkin.

Yashirin kanallar ko'proq bosqinchini ma'lumotlarning mazmuni bilan qiziqtirmaydigan, lekin, masalan, uning mavjudligi (masalan, ma'lum bir raqamga ega bank hisobining mavjudligi) bilan qiziqadigan holatlarda qo'llaniladi.

Xizmatni rad etish.

Ko'pgina xavfsizlikni buzish usullari tizim odatda ruxsat bermaydigan ma'lumotlarga kirishga qaratilgan. Biroq, bosqinchilar uchun kompyuter tizimining o'zini boshqarishga kirish yoki uning sifat xususiyatlarini o'zgartirish, masalan, eksklyuziv foydalanish uchun ma'lum bir resurs (protsessor, kirish / chiqish moslamasi) olish yoki bir nechta jarayonlar uchun siqilish holatini keltirib chiqarish qiziq emas.

Bu kompyuter tizimidan o'z maqsadlaringiz uchun aniq foydalanish (hech bo'lmaganda muammolaringizni bepul hal qilish uchun) yoki tizimni blokirovka qilish, uni boshqa foydalanuvchilar uchun imkonsiz qilish uchun talab qilinishi mumkin. Tizim xavfsizligi buzilishining bunday turi "xizmat ko'rsatishni rad etish" yoki "foydani rad etish" deb ataladi. "Xizmat ko'rsatishni rad etish" real vaqt rejimida ishlaydigan tizimlar uchun juda xavflidir - ma'lum texnologik jarayonlarni boshqaradigan, turli xil sinxronizatsiya turlarini amalga oshiradigan tizimlar va boshqalar.

Kompyuter viruslari.

Kompyuter viruslari barcha turdagi xavfsizlikni buzish usullarining kvintessensiyasidir. Viruslarni tarqatishning eng keng tarqalgan va sevimli usullaridan biri bu troyan oti usulidir. Viruslar "mantiqiy bomba" dan faqat ko'payish va ishga tushirishni ta'minlash qobiliyati bilan farq qiladi, shuning uchun ko'plab viruslarni "mantiqiy bomba" ning maxsus shakli deb hisoblash mumkin.

Tizimga hujum qilish uchun viruslar turli xil "tuzoqlar" dan faol foydalanadilar. Viruslar turli xil iflos fokuslarni, shu jumladan "salom" hujumini amalga oshirishi mumkin. Bundan tashqari, bir turdagi hujumning muvaffaqiyati ko'pincha tizimning "immunitetini" kamaytirishga yordam beradi, boshqa turdagi hujumlarning muvaffaqiyati uchun qulay muhit yaratadi. Bosqinchilar buni bilishadi va bu vaziyatdan faol foydalanishadi.

Albatta, yuqorida tavsiflangan usullar sof shaklda juda kam uchraydi. Ko'pincha, hujum paytida turli xil texnikaning individual elementlari qo'llaniladi.

Kompyuter tarmoqlaridagi axborotga tahdidlar. Kompyuterlar tarmoqlari alohida ishlaydigan kompyuterlar to'plamiga nisbatan juda ko'p afzalliklarga ega, jumladan: tizim resurslarini almashish, tizim ishlashining ishonchliligini oshirish, tarmoq tugunlari o'rtasida yuklarni taqsimlash va yangi tugunlarni qo'shish orqali kengaytirish.

Shu bilan birga, kompyuter tarmoqlaridan foydalanishda axborot xavfsizligini ta'minlashda jiddiy muammolar yuzaga keladi. Quyidagilarni qayd etish mumkin.

Umumiy resurslarni almashish.

Turli xil tarmoq foydalanuvchilari tomonidan, ehtimol, bir-biridan juda uzoq masofada joylashgan katta miqdordagi resurslarni almashish tufayli, ruxsatsiz kirish xavfi sezilarli darajada oshadi, chunki uni tarmoqda osonroq va ehtiyotkorlik bilan amalga oshirish mumkin.

Nazorat zonasini kengaytirish.

Muayyan tizim yoki kichik tarmoqning ma'muri yoki operatori uning qo'lidan tashqarida bo'lgan foydalanuvchilarning faoliyatini kuzatishi kerak.

Har xil dasturiy ta'minot va apparat vositalarining kombinatsiyasi.

Bir nechta tizimlarni tarmoqqa ulash butun tizimning zaifligini oshiradi, chunki har bir axborot tizimi o'ziga xos xavfsizlik talablarini bajarish uchun tuzilgan, bu boshqa tizimlar talablari bilan mos kelmasligi mumkin.

Noma'lum parametr.

Tarmoqlarning oson kengaytirilishi tarmoq chegaralarini aniqlashning ba'zan qiyin bo'lishiga olib keladi, chunki bir xil tugun turli tarmoqlar foydalanuvchilari uchun ochiq bo'lishi mumkin. Bundan tashqari, ularning ko'pchiligi uchun ma'lum bir tarmoq tuguniga qancha foydalanuvchi kirishi va ular kimligini aniq aniqlash har doim ham mumkin emas.

Bir nechta hujum nuqtalari.

Tarmoqlarda bir xil ma'lumotlar yoki xabarlar to'plami bir nechta oraliq tugunlar orqali uzatilishi mumkin, ularning har biri potentsial tahdid manbai hisoblanadi. Bundan tashqari, ko'plab zamonaviy tarmoqlarga dial-up liniyalari va modem yordamida kirish mumkin, bu esa mumkin bo'lgan hujum nuqtalari sonini sezilarli darajada oshiradi.

Tizimga kirishni boshqarish va nazorat qilishda qiyinchilik.

Tarmoqqa ko'plab hujumlar ma'lum bir tugunga jismoniy kirish huquqiga ega bo'lmasdan amalga oshirilishi mumkin - tarmoqdan uzoq nuqtalardan foydalangan holda.

Bunday holda, jinoyatchini aniqlash juda qiyin bo'lishi mumkin. Bundan tashqari, hujum vaqti etarli choralar ko'rish uchun juda qisqa bo'lishi mumkin.

Bir tomondan, tarmoq axborotni qayta ishlashning yagona qoidalariga ega bo'lgan yagona tizim bo'lsa, ikkinchi tomondan, bu alohida tizimlar yig'indisi bo'lib, ularning har biri axborotni qayta ishlashning o'ziga xos qoidalariga ega. Shu sababli, tarmoqning ikki tomonlama xususiyatini hisobga olgan holda, tarmoqqa hujum ikki darajadan amalga oshirilishi mumkin: yuqori va pastki (ikkalaning kombinatsiyasi mumkin).

Tarmoqqa hujumning eng yuqori darajasida tajovuzkor tarmoq xususiyatlaridan boshqa tugunga kirib borish va ma'lum ruxsatsiz harakatlarni amalga oshirish uchun foydalanadi. Tarmoq hujumining eng past darajasida tajovuzkor alohida xabarlarning yoki umuman oqimning maxfiyligi yoki yaxlitligini buzish uchun tarmoq protokollarining xususiyatlaridan foydalanadi.

Xabarlar oqimining buzilishi axborotning chiqib ketishiga va hatto tarmoq ustidan nazoratni yo'qotishiga olib kelishi mumkin.

Tarmoqlarga xos passiv va faol past darajadagi tahdidlar mavjud.

Passiv tahdidlar

(tarmoqda aylanayotgan ma'lumotlarning maxfiyligini buzish) - aloqa liniyalari orqali uzatiladigan ma'lumotlarni ko'rish va/yoki yozib olish. Bularga quyidagilar kiradi:

xabarni ko'rish;

grafik tahlili - buzg'unchi tarmoqda aylanayotgan paketlarning sarlavhalarini ko'rishi va ulardagi xizmat ma'lumotlariga asoslanib, paketning jo'natuvchilari va qabul qiluvchilari va uzatish shartlari (ketish vaqti, xabar sinfi, xavfsizlik toifasi, xabar) haqida xulosa chiqarishi mumkin. uzunligi, trafik hajmi va boshqalar).

Faol tahdidlar

(resurslar va tarmoq komponentlarining yaxlitligi yoki mavjudligini buzish) - alohida xabarlarni yoki xabarlar oqimini o'zgartirish uchun tarmoqqa kirish huquqiga ega qurilmalardan ruxsatsiz foydalanish. Bularga quyidagilar kiradi:

xabar almashish xizmatlarining ishlamay qolishi - buzg'unchi alohida xabarlarni yoki butun xabarlar oqimini yo'q qilishi yoki kechiktirishi mumkin;

"maskarad" - tajovuzkor o'z tuguniga yoki uzatishga boshqa birovning identifikatorini belgilashi va boshqa birovning nomidan xabarlarni qabul qilishi yoki yuborishi mumkin;

tarmoq viruslarini joriy etish - virus tanasini tarmoq orqali uzatish, keyinchalik uni uzoq yoki mahalliy tugun foydalanuvchisi tomonidan faollashtirish;

xabar oqimini o'zgartirish - tajovuzkor xabarlarni tanlab yo'q qilishi, o'zgartirishi, kechiktirishi, tartibini o'zgartirishi va takrorlashi, shuningdek, soxta xabarlarni kiritishi mumkin.

Tijorat ma'lumotlariga tahdidlar.

Axborotlashtirish sharoitida maxfiy ma'lumotlarga ruxsatsiz kirishning nusxa ko'chirish, qalbakilashtirish va yo'q qilish kabi usullari ham alohida xavf tug'diradi.

Nusxalash.

Maxfiy ma'lumotlarga ruxsatsiz kirish holatlarida ular quyidagilardan nusxa oladilar: tajovuzkorni qiziqtirgan ma'lumotlarni o'z ichiga olgan hujjatlar; texnik vositalar; avtomatlashtirilgan axborot tizimlarida qayta ishlangan axborot. Nusxa olishning quyidagi usullari qo'llaniladi: chizma, fotokopiya, termik nusxalash, fotokopiya va elektron nusxa ko'chirish.

Soxta.

Raqobat sharoitida qalbakilashtirish, modifikatsiyalash va taqlid qilish tobora keng tarqalmoqda. Hujumchilar ma'lum ma'lumotlar, xatlar, hisob-fakturalar, buxgalteriya va moliyaviy hujjatlarni olish imkonini beruvchi ishonchli hujjatlarni qalbakilashtiradi; kalitlarni, ruxsatnomalarni, parollarni, shifrlarni va boshqalarni soxtalashtirish. Avtomatlashtirilgan axborot tizimlarida qalbakilashtirish, xususan, qalbakilashtirish (qabul qiluvchi abonent qabul qilingan xabarni qalbakilashtirish, uni o'z manfaatlarini ko'zlab haqiqiy deb o'tkazish), niqoblash (o'z manfaati yo'lida soxtalashtirish) kabi zararli harakatlarni o'z ichiga oladi. abonent - jo'natuvchi himoyalangan ma'lumotni olish uchun o'zini boshqa abonent sifatida yashiradi).

Vayronagarchilik.

Avtomatlashtirilgan ma'lumotlar bazalari va bilim bazalaridagi ma'lumotlarning yo'q qilinishi alohida xavf hisoblanadi. Magnit muhitlar haqidagi ma'lumotlar ixcham magnitlar va dasturiy ta'minot ("mantiqiy bombalar") yordamida yo'q qilinadi. Avtomatlashtirilgan axborot tizimlariga qarshi jinoyatlar orasida sabotaj, portlashlar, vayronagarchiliklar, ulanish kabellari va konditsioner tizimlarining ishdan chiqishi muhim o'rinni egallaydi.

Tashkilotning (kompaniyaning) axborot xavfsizligini ta'minlash usullari va vositalari

Axborot xavfsizligini ta'minlash usullari quyidagilardan iborat: to'siq, kirishni nazorat qilish, kamuflyaj, tartibga solish, majburlash va induktsiya.

To'siq - tajovuzkorning himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismoniy blokirovka qilish usuli.

Kirish nazorati- tashkilotning (kompaniyaning) avtomatlashtirilgan axborot tizimining barcha resurslaridan foydalanishni tartibga solish orqali axborotni himoya qilish usuli. Kirish nazorati quyidagi xavfsizlik xususiyatlarini o'z ichiga oladi:

axborot tizimining foydalanuvchilari, xodimlari va resurslarini identifikatsiya qilish (har bir ob'ektga shaxsiy identifikatorni belgilash);

ularga taqdim etilgan identifikator yordamida ob'ekt yoki sub'ektning autentifikatsiyasi (haqiqiyligini aniqlash);

vakolatni tekshirish (hafta kuni, kun vaqti, so'ralgan resurslar va tartiblarning belgilangan qoidalarga muvofiqligini tekshirish);

ruxsat berish va belgilangan qoidalar doirasida mehnat sharoitlarini yaratish;

himoyalangan resurslarga so'rovlarni ro'yxatga olish (ro'yxatga olish);

ruxsatsiz harakatlarga urinish holatlarida javob berish (signalizatsiya, o'chirish, ishni kechiktirish, so'rovni rad etish).

Kamuflyaj - avtomatlashtirilgan axborot tizimidagi axborotni kriptografik tarzda yopish orqali himoya qilish usuli.

Reglament- axborotni avtomatlashtirilgan qayta ishlash, saqlash va uzatish uchun sharoit yaratadigan axborotni himoya qilish usuli, bunda unga ruxsatsiz kirish ehtimoli minimallashtiriladi.

Majburlash - foydalanuvchilar va tizim xodimlari himoyalangan ma'lumotlarni qayta ishlash, uzatish va ulardan foydalanish qoidalariga moddiy, ma'muriy yoki jinoiy javobgarlik tahdidi ostida rioya qilishga majbur bo'lgan axborotni himoya qilishning bunday usuli.

Induktsiya - foydalanuvchilar va tizim xodimlarini belgilangan axloqiy va axloqiy me'yorlarga rioya qilish orqali belgilangan qoidalarni buzmaslikka undaydigan ma'lumotlarni himoya qilishning bunday usuli.

Tashkilotning (firmaning) axborot xavfsizligini ta'minlashning yuqoridagi usullari amalda turli xil himoya mexanizmlarini qo'llash orqali amalga oshiriladi, ularni yaratish uchun quyidagi asosiy vositalar qo'llaniladi: jismoniy, apparat, dasturiy, apparat-dasturiy, kriptografik, tashkiliy, qonunchilik va axloqiy-axloqiy.

Jismoniy himoya ob'ektlar hududini tashqi muhofaza qilish, korxonaning avtomatlashtirilgan axborot tizimining tarkibiy qismlarini himoya qilish uchun mo'ljallangan va avtonom qurilmalar va tizimlar shaklida amalga oshiriladi.

An'anaviy mexanik tizimlar bilan bir qatorda, odamlarning ustun ishtirokida, hududlarni himoya qilish, binolarni himoya qilish, kirishni nazorat qilishni tashkil etish va kuzatuvni tashkil etish uchun mo'ljallangan universal avtomatlashtirilgan elektron jismoniy himoya tizimlari ishlab chiqilmoqda va joriy etilmoqda; yong'in signalizatsiya tizimlari; ommaviy axborot vositalarini o'g'irlashning oldini olish tizimlari.

Bunday tizimlarning elementar bazasi turli xil sensorlardan iborat bo'lib, ularning signallari mikroprotsessorlar, elektron aqlli kalitlar, inson biometrik xususiyatlarini aniqlash uchun qurilmalar va boshqalar tomonidan qayta ishlanadi.

Korxonaning avtomatlashtirilgan axborot tizimining bir qismi bo'lgan uskunalarni va tashiladigan saqlash vositalarini (floppi disklar, magnit lentalar, bosma nashrlar) himoya qilishni tashkil qilish uchun quyidagilar qo'llaniladi:

kirish eshiklari, panjurlar, seyflar, shkaflar, qurilmalar va tizim bloklariga o'rnatiladigan turli xil qulflar (mexanik, kodli, mikroprotsessor bilan boshqariladigan, radio boshqariladigan);

eshik va derazalarning ochilishi yoki yopilishini aniqlaydigan mikroswitchlar;

ulash uchun yoritish tarmog'i, telefon simlari va televizion antenna simlaridan foydalanishingiz mumkin bo'lgan inertial sensorlar;

tizimning barcha hujjatlari, qurilmalari, komponentlari va bloklariga ularni binolardan olib tashlashning oldini olish uchun yopishtiriladigan maxsus folga stikerlari. Binodan tashqarida stikerli ob'ektni olishga urinish bo'lganda, chiqish joyi yaqinida joylashgan maxsus o'rnatish (metall ob'ektlar detektoriga o'xshash) signal beradi;

avtomatlashtirilgan axborot tizimining alohida elementlarini (fayl serveri, printer va boshqalar) va portativ saqlash vositalarini o'rnatish uchun maxsus seyflar va metall shkaflar.

Elektromagnit kanallar orqali ma'lumotlarning tarqalishini zararsizlantirish uchun ekranlash va yutuvchi materiallar va mahsulotlar qo'llaniladi. Bunda:

avtomatlashtirilgan axborot tizimining tarkibiy qismlari o'rnatilgan ish joylarini ekranlash devor, pol va shiftni metalllashtirilgan devor qog'ozi, o'tkazuvchan emal va gips, sim to'r yoki plyonka bilan qoplash, o'tkazuvchan g'ishtdan, ko'p qatlamli po'latdan yasalgan to'siqlarni o'rnatish; alyuminiy yoki maxsus plastmassa plitalar;

derazalarni himoya qilish uchun metalllashtirilgan pardalar va o'tkazuvchan qatlamli shisha ishlatiladi;

barcha teshiklar topraklama avtobusiga yoki devor ekraniga ulangan metall to'r bilan qoplangan;

Radio to'lqinlarining tarqalishini oldini olish uchun ventilyatsiya kanallarida chegara magnit tuzoqlari o'rnatiladi.

Avtomatlashtirilgan axborot tizimining tarkibiy qismlari va bloklarining elektr zanjirlariga shovqinlardan himoya qilish uchun quyidagilardan foydalaning:

intra-rack, intra-blok, bloklararo va tashqi o'rnatish uchun ekranlangan kabel;

ekranlangan elastik konnektorlar (ulagichlar), elektromagnit nurlanish uchun kuchlanishni bostirish filtrlari;

simlar, quloqlar, choklar, kondensatorlar va boshqa shovqinlarni bostiruvchi radio va elektr mahsulotlari;

Ajratuvchi dielektrik qo'shimchalar elektromagnit zanjirni buzadigan suv ta'minoti, isitish, gaz va boshqa metall quvurlarga joylashtiriladi.

Elektr ta'minotini boshqarish uchun elektron trekerlar qo'llaniladi - o'zgaruvchan kuchlanish tarmog'ining kirish nuqtalariga o'rnatiladigan qurilmalar. Elektr kabeli uzilgan, singan yoki yonib ketgan bo'lsa, kodlangan xabar signalni o'chiradi yoki voqeani yozib olish uchun televizor kamerasini faollashtiradi.

O'rnatilgan "xatolarni" aniqlash uchun rentgen tekshiruvi eng samarali hisoblanadi. Biroq, bu usulni amalga oshirish katta tashkiliy va texnik qiyinchiliklar bilan bog'liq.

Displey ekranlaridan uning nurlanishini olib, kompyuterdan axborotni o'g'irlashdan himoya qilish uchun maxsus shovqin generatorlaridan foydalanish inson tanasiga salbiy ta'sir ko'rsatadi, bu esa tez kallik, ishtahani yo'qotish, bosh og'rig'i va ko'ngil aynishiga olib keladi. Shuning uchun ular amalda kamdan-kam qo'llaniladi.

Uskuna himoyasi - Bular to'g'ridan-to'g'ri avtomatlashtirilgan axborot tizimining bloklariga o'rnatilgan yoki mustaqil qurilmalar sifatida ishlab chiqilgan va ushbu bloklar bilan bog'langan turli xil elektron, elektromexanik va boshqa qurilmalar.

Ular kompyuter uskunalari va tizimlarining strukturaviy elementlarini ichki himoya qilish uchun mo'ljallangan: terminallar, protsessorlar, periferik uskunalar, aloqa liniyalari va boshqalar.

Uskunani himoya qilishning asosiy funktsiyalari:

xizmat ko'rsatuvchi xodimlarning tasodifiy yoki qasddan harakatlari natijasida mumkin bo'lgan axborot tizimining alohida fayllari yoki ma'lumotlar bazalariga ruxsatsiz ichki kirishni taqiqlash;

avtomatlashtirilgan axborot tizimiga texnik xizmat ko'rsatmaslik yoki o'chirish bilan bog'liq faol va passiv (arxiv) fayllar va ma'lumotlar bazalarini himoya qilish;

dasturiy ta'minotning yaxlitligini himoya qilish.

Ushbu vazifalar kirishni boshqarish usuli (tizim sub'ektlari vakolatlarini identifikatsiya qilish, autentifikatsiya qilish va tekshirish, ro'yxatga olish va javob berish) yordamida axborot xavfsizligini ta'minlash apparati tomonidan amalga oshiriladi.

Tashkilotning (firmaning) ayniqsa qimmatli ma'lumotlari bilan ishlash uchun kompyuter ishlab chiqaruvchilari ma'lumotni o'qishga imkon bermaydigan noyob jismoniy xususiyatlarga ega individual disklarni ishlab chiqarishi mumkin. Shu bilan birga, kompyuterning narxi bir necha marta oshishi mumkin.

Xavfsizlik dasturi mantiqiy va intellektual himoya funktsiyalarini bajarish uchun mo'ljallangan va avtomatlashtirilgan axborot tizimining dasturiy ta'minotiga yoki vositalar, komplekslar va boshqaruv uskunalari tizimlari tarkibiga kiritilgan.

Axborot xavfsizligini ta'minlash uchun dasturiy ta'minot himoya qilishning eng keng tarqalgan turi bo'lib, quyidagi ijobiy xususiyatlarga ega: ko'p qirralilik, moslashuvchanlik, amalga oshirish qulayligi, o'zgartirish va rivojlanish imkoniyati. Bu holat ularni bir vaqtning o'zida korxona axborot tizimini himoya qilishning eng zaif elementlariga aylantiradi.

Hozirgi vaqtda juda ko'p sonli operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari, tarmoq paketlari va amaliy dasturlar paketlari, jumladan, turli xil axborot xavfsizligi vositalari yaratilgan.

Xavfsizlik dasturlari yordamida quyidagi axborot xavfsizligi vazifalari hal qilinadi:

shaxsiy identifikatorlar (ism, kod, parol va boshqalar) yordamida yuklash va loginni nazorat qilish;

sub'ektlarning resurslar va tizim komponentlariga, tashqi resurslarga kirishini chegaralash va nazorat qilish;

muayyan sub'ekt manfaatlarini ko'zlab bajariladigan jarayon dasturlarini boshqa sub'ektlardan ajratish (har bir foydalanuvchining individual muhitda ishlashini ta'minlash);

ma'lumotlar tashuvchilarda maxfiylikning noto'g'ri darajasi (tasnifi) qayd etilishining oldini olish maqsadida maxfiy axborot oqimlarini boshqarish;

axborotni kompyuter viruslaridan himoya qilish;

so'rovlar bajarilgandan so'ng qulfdan chiqarilgan kompyuterning RAM maydonlaridagi qoldiq maxfiy ma'lumotlarni o'chirish;

magnit disklardagi qoldiq maxfiy ma'lumotlarni o'chirish, o'chirish natijalari bo'yicha protokollar berish;

ma'lumotlarning ortiqchaligini joriy etish orqali axborotning yaxlitligini ta'minlash;

ro'yxatga olish natijalari bo'yicha tizim foydalanuvchilarining ishini avtomatik nazorat qilish va tizim jurnalidagi yozuvlar ma'lumotlari asosida hisobotlarni tayyorlash.

Hozirgi vaqtda bir qator operatsion tizimlar o'rnatilgan "qayta foydalanish" blokirovkalash imkoniyatlarini o'z ichiga oladi. Boshqa turdagi operatsion tizimlar uchun juda ko'p tijorat dasturlari mavjud, shunga o'xshash funktsiyalarni amalga oshiradigan maxsus xavfsizlik paketlari haqida gapirmasa ham bo'ladi.

Ortiqcha ma'lumotlardan foydalanish ma'lumotlardagi tasodifiy xatolarning oldini olishga va ruxsat etilmagan o'zgartirishlarni aniqlashga qaratilgan. Bu nazorat summalaridan foydalanish, juft-toq, xatolarga chidamli kodlash uchun ma'lumotlarni boshqarish va hokazo bo'lishi mumkin.

Ko'pincha muhim tizim ob'ektlarining imzolarini tizimning himoyalangan joyida saqlash amaliyoti qo'llaniladi. Masalan, fayl uchun faylning himoya baytining uning nomi, uzunligi va oxirgi o'zgartirish sanasi bilan birikmasi imzo sifatida ishlatilishi mumkin. Har safar faylga kirishda yoki shubha tug'ilganda faylning joriy xususiyatlari standart bilan solishtiriladi.

Kirishni boshqarish tizimining auditorlik xususiyati hodisalar yoki protseduralarni qayta qurish qobiliyatini anglatadi. Audit vositalari aslida nima sodir bo'lganligini aniqlashi kerak. Bu protseduralarni hujjatlashtirish, jurnallarni yuritish va aniq va aniq identifikatsiyalash va tekshirish usullaridan foydalanishni o'z ichiga oladi.

Shuni ta'kidlash kerakki, bir vaqtning o'zida resurslarning yaxlitligini ta'minlash bilan birga kirishni boshqarish vazifasi faqat axborotni shifrlash orqali ishonchli hal qilinadi.

Axborot infratuzilmasi xavfsizligini qanday to'g'ri ta'minlash kerak? .

"Astra-com" MChJ faoliyatining axborot xavfsizligini ta'minlash tahlili

Keling, “Astra-com” MChJning axborot xavfsizligini axborot-huquqiy ta’minotini tahlil qilaylik.

Korxonada ma'lumotlar bilan ishlash quyidagicha amalga oshiriladi. Kompaniyaning rasmiy veb-saytining texnik qo'llab-quvvatlash xizmati uchun so'rov shaklini Rasmiy veb-saytida "Xaridorlar va yetkazib beruvchilar uchun savollar" bo'limining "Texnik qo'llab-quvvatlash" bo'limida, yuqoridagi birinchi havolada olish mumkin.

Operator Astra-com MChJ tomonidan qo'llaniladigan asosiy dasturiy ta'minot: CryptoPro CSP, Internet Explorer, raqamli imzo vositalari.

CryptoPro- kriptografik yordam dasturlari (yordamchi dasturlar) - kripto provayderlari deb ataladigan qator. Ular rus ishlab chiqaruvchilarining ko'plab dasturlarida raqamli imzolarni yaratish, sertifikatlar bilan ishlash, PKI tuzilmasini tashkil qilish va hokazolarda qo'llaniladi.

Xususan, CryptoPro CSP soliq hisobotlari dasturlarida, shuningdek, turli mijozlar banklarida (masalan, Sberbankning mijoz banklarida) qo'llaniladi.

CryptoPro CSP FAPSI tomonidan sertifikatlangan.

CryptoPro CSP kriptografik himoya vositasi Microsoft kriptografik interfeysi - Cryptographic Service Provider (CSP) ga muvofiq FAPSI bilan kelishilgan texnik spetsifikatsiyalarga muvofiq ishlab chiqilgan. CryptoPro CSP FAPSI muvofiqlik sertifikatlariga ega va undan shifrlash kalitlari va elektron raqamli imzo kalitlarini yaratish, maʼlumotlarni himoya qilishni shifrlash va taqlid qilish, davlat sirini tashkil etuvchi maʼlumotlarni oʻz ichiga olmagan maʼlumotlarning yaxlitligi va haqiqiyligini taʼminlash uchun foydalanish mumkin.

CryptoPro CSP, CryptoPro TLS, CryptoPro Winlogon, CryptoPro EAP-TLS, CryptoPro IPSec, xavfsiz Pack Rus yordamida ruxsatsiz kirishdan himoya qilish.

Bundan tashqari, ularning ma'lumotlariga ko'ra, ushbu modul muhim qo'shimcha emas va sukut bo'yicha o'rnatilmagan. U foydalanuvchilarning iltimosiga binoan alohida o'rnatilishi mumkin.

Agar foydalanuvchi CryptoPro-ning boshqa versiyasiga ega bo'lsa, foydalanuvchi texnik yordam xizmatiga to'ldirilgan so'rov shaklini yuborishi kerak.

Astra-com MChJ shuningdek quyidagi himoya usullaridan foydalanadi:

Ko'rib chiqilayotgan shifrlash algoritmlarining eng oddiy misoli RSA algoritmidir. Ushbu sinfning barcha boshqa algoritmlari undan tubdan farq qilmaydi. Umuman olganda, RSA yagona ochiq kalit algoritmi ekanligini aytish mumkin.

RSA algoritmi

RSA (uning mualliflari - Rivest, Shamir va Alderman nomi bilan atalgan) shifrlash va autentifikatsiya (raqamli imzo) uchun mo'ljallangan ochiq kalit algoritmidir. 1977 yilda ishlab chiqilgan. U juda katta butun sonlarni tub omillarga ajratish (faktorizatsiya) qiyinligiga asoslanadi.

RSA juda sekin algoritmdir. Taqqoslash uchun, dasturiy ta'minot darajasida DES RSA dan kamida 100 marta tezroq; apparatda - bajarilishiga qarab 1000-10 000 marta.

RSA algoritmi AQShda patentlangan. Boshqalar tomonidan foydalanishga ruxsat berilmaydi (kalit uzunligi 56 bitdan ortiq). Bunday muassasaning adolatliligiga shubha qilish mumkin: oddiy eksponentsiyani qanday patentlash mumkin? Biroq, RSA mualliflik huquqi qonunlari bilan himoyalangan.

DES algoritmi

DES (Ma'lumotlarni shifrlash standarti) - simmetrik kalit algoritmi. IBM tomonidan ishlab chiqilgan va 1977 yilda AQSh hukumati tomonidan davlat siri bo'lmagan ma'lumotlarni himoya qilishning rasmiy standarti sifatida tasdiqlangan.

DES 64 bitli bloklarga ega, ma'lumotlarning 16 marta almashtirilishiga asoslangan va shifrlash uchun 56 bitli kalitdan foydalanadi. Elektron kod kitobi (ECB) va Cipher Block Chaining (CBC) kabi bir nechta DES rejimlari mavjud.

56 bit - 8 yetti bitli ASCII belgilari, ya'ni. Parol 8 harfdan oshmasligi kerak. Agar siz faqat harflar va raqamlardan foydalansangiz, unda mumkin bo'lgan variantlar soni maksimal mumkin bo'lganidan sezilarli darajada kamroq bo'ladi 256. Rossiyada DES algoritmining analogi mavjud bo'lib, u maxfiy kalitning bir xil printsipi asosida ishlaydi. GOST 28147 DESdan 12 yil keyin ishlab chiqilgan va yuqori darajadagi himoyaga ega.

PGP - Pretty Good Privacy - bu mavjud eng kuchli kriptografik algoritmlardan foydalanadigan dasturiy mahsulotlar oilasi. Ular RSA algoritmiga asoslangan. PGP "ochiq kalit kriptografiyasi" deb nomlanuvchi texnologiyani amalga oshiradi. U kalit almashinuvi uchun xavfsiz kanalga ega bo‘lmasdan ochiq aloqa kanallari orqali shifrlangan xabarlar va fayllarni almashish, xabarlar va fayllarga raqamli imzo qo‘llash imkonini beradi.

PGP amerikalik dasturchi va fuqarolik faoli Filipp Zimmermann tomonidan ishlab chiqilgan bo'lib, axborot asrida shaxsiy huquq va erkinliklarning emirilishidan xavotirda. 1991 yilda Qo'shma Shtatlarda "orqa eshik" bo'lmagan kuchli kriptografik vositalardan foydalanishni taqiqlovchi qonunni qabul qilishning haqiqiy tahdidi mavjud edi, buning yordamida razvedka idoralari shifrlangan xabarlarni bemalol o'qiydi. Keyin Zimmermann PGPni Internetga bepul tarqatdi. Natijada, PGP dunyodagi eng mashhur kriptografik paketga aylandi (ishlatilayotgan 2 million nusxadan ortiq) va Zimmermann "noqonuniy qurol eksporti"da gumon qilinib, rasmiylar tomonidan uch yillik ta'qibga uchradi.

Professional bo'lmagan axborot xavfsizligi dasturi

Bunday dasturiy ta'minot barcha foydalanuvchilar uchun mavjud bo'lgan (bepul yoki kichik narxda) dasturiy ta'minotni o'z ichiga oladi, foydalanish uchun maxsus litsenziyani talab qilmaydi va uning mustahkamligi (sertifikatlari) haqida ishonchli dalillarga ega emas. Bularga quyidagilar kiradi: bepul PGP dasturi; kirishni boshqarishga ega fayl tizimlari: WinNT, Unix, NetWare; parol bilan arxivlash; MS Office-da parolni himoya qilish.

Word va Excelda shifrlash

Microsoft o'z mahsulotlariga kriptografik himoyaning ba'zi o'xshashlarini kiritdi. Shu bilan birga, shifrlash algoritmi tavsiflanmagan, bu ishonchsizlik ko'rsatkichidir. Bundan tashqari, Microsoft foydalanadigan kripto algoritmlarida "orqa eshik" qoldirishi haqida dalillar mavjud. Agar parol yo'qolgan faylning shifrini ochishingiz kerak bo'lsa, kompaniyaga murojaat qilishingiz mumkin. Rasmiy so'rov bo'yicha, agar etarli asoslar mavjud bo'lsa, Word va Excel fayllari shifrdan chiqariladi.

Shifrlangan drayvlar (kataloglar)

Shifrlash - bu qattiq diskdagi ma'lumotlarni himoya qilishning juda ishonchli usuli. Biroq, agar yopilgan ma'lumotlarning miqdori ikki yoki uchta fayldan ko'p bo'lsa, u bilan ishlash biroz qiyin bo'ladi: har safar fayllarni shifrlash va tahrirlashdan keyin shifrlash kerak bo'ladi. Bunday holda, ko'plab muharrirlar yaratgan fayllarning xavfsiz nusxalari diskda qolishi mumkin.

Shuning uchun, barcha ma'lumotlarni diskka yozish va diskdan o'qishda avtomatik ravishda shifrlash va shifrlash uchun maxsus dasturlar (drayverlar) yaratilgan.

Shifrlangan arxivlar

Arxiv dasturlarida odatda shifrlash opsiyasi mavjud. U juda muhim bo'lmagan ma'lumotlar uchun ishlatilishi mumkin. Birinchidan, u erda ishlatiladigan shifrlash usullari unchalik ishonchli emas (rasmiy eksport cheklovlari ostida), ikkinchidan, ular batafsil tavsiflanmagan. Bularning barchasi bizga bunday himoyaga jiddiy ishonishimizga imkon bermaydi.

Elektromagnit himoya

Har qanday elektron qurilma elektromagnit tebranishlarni chiqaradi va elektromagnit maydonlarni tashqi tomondan idrok eta oladi. Bunday maydonlar yordamida kompyuterlardan ma'lumotlarni masofadan turib olish va ularni nishonga olish mumkin. Elektromagnit maydonlar har qanday Supero'tkazuvchilar material bilan himoyalangan bo'lishi mumkin. Metall korpus, metall to'r yoki folga o'rami elektromagnit to'lqinlardan himoya qilishi mumkin. Keling, xulosa qilaylik. Elektron hujjatni himoya qilishning uch turi mavjud: dasturiy, apparat va aralash. GI dasturiy ta'minoti - bu kompyuter qurilmalarining ishlashi uchun mo'ljallangan ma'lumotlar va buyruqlar to'plamini ifodalash shakli. Apparat - bu ma'lumotlarni qayta ishlash uchun ishlatiladigan texnik vositalar. Uskuna himoyasi turli elektron, elektron-mexanik va elektro-optik qurilmalarni o'z ichiga oladi. Aralash apparat va dasturiy ta'minot apparat va dasturiy ta'minot kabi funktsiyalarni alohida amalga oshiradi va oraliq xususiyatlarga ega.

Kompaniyaning kompyuter tizimlari foydalanuvchilarining tashkilotning axborot xavfsizligi holatiga munosabatiga kelsak, "Siz tashkilotingizdagi kompyuter xavfsizligi darajasini qanday baholaysiz" degan savol respondentlarning o'z tashkilotining xavfsizlik tizimiga sub'ektiv bahosini aks ettiradi. Natijalar: a) yetarli, lekin axborotning chiqib ketish xavfi mavjud - 29%; juda yuqori (bunday qattiq cheklovlarga ehtiyoj yo'q) - 8%; v) yetarli emas - 27%; d) qanday himoya bo'lishidan qat'i nazar, kim xohlasa, uni buzish yo'lini topadi - 36%. Ko'rib turganimizdek, respondentlarning aksariyati himoyani buzish mumkinligiga haqli ravishda ishonishadi.

10 ta holatdan 8 tasida xavfsizlik tizimidagi teshiklar foydalanuvchilarning axborot xavfsizligining asosiy tamoyillarini, ya'ni tizim ustidan nazoratning meta-darajasini e'tiborsiz qoldirishi bilan bog'liq. Ular buni e'tiborsiz qoldiradilar, chunki ular printsiplarni oddiy, aniq va shuning uchun e'tiborga loyiq emas deb hisoblashadi. Oddiy foydalanuvchi noto'g'ri ishonadi: "agar bu oddiy bo'lsa, bu samarasizligini anglatadi". Bu bilim va ko'nikmalarning har qanday sohasida yangi boshlanuvchilarga xos bo'lgan standart xulosa. Ular har qanday tizimning ishlashi "banal" tamoyillarga asoslanganligini hisobga olmaydilar. Shuningdek, respondentlarning o‘z tashkiloti xodimlariga bo‘lgan ishonchi ham baholandi. Respondentlarning fikriga ko'ra, xodimlar tomonidan hujumlar ehtimoli 49%, tashqi hujumlar ehtimoli 51% edi. So'rov shuni ko'rsatdiki, xodimlar biroz, ammo baribir ko'proq tashqi hujumlardan qo'rqishadi.

1-rasm - Hujumlarning eng katta xavfi nima - tashqi yoki ichki

Tadqiqot natijalariga ko'ra, respondentlarning 4 foizi spamdan, 14 foizi ma'lumotlarning sizib chiqishidan, 14 foizi ma'lumotlarning buzilishidan, 10 foizi jihoz o'g'irlanishidan, 1 foizi sabotajdan, 15 foizi axborot tizimidagi nosozliklardan, 14 foizi zararli dasturlardan qo'rqishadi. (viruslar, qurtlar), xakerlik hujumlari xavfi uchun 10% ovoz berilgan. Server hujumlari va ISQ xakerlik xavfi, shuningdek, past darajadagi DDOS hujumlari xavfi, ya'ni. tizimning ishlashini buzadigan hujumlar.

2-rasm - Ichki axborot xavfsizligiga eng xavfli tahdidlar

Spam (inglizcha - Spam) - qabul qiluvchining roziligisiz elektron pochta orqali istalgan xarakterdagi xabarlarni yuborish. Vaqti-vaqti bilan takroriy spam yuborish elektron pochta serverining haddan tashqari yuklanishi tufayli foydalanuvchilarning ishini buzishi, pochta qutilarining to'lib ketishiga olib kelishi mumkin, bu esa oddiy xabarlarni qabul qilish va jo'natishning iloji yo'qligiga olib keladi, qabul qiluvchining "onlayn" bo'lish vaqtini oshiradi va bu qo'shimcha vaqt va trafikni yo'qotish.

Hack - bu operatsion tizimlar, ilovalar yoki protokollarni keyinchalik zaifliklar mavjudligini tahlil qilish uchun foydalaniladigan hujumlar sinfidir, masalan, portlarni skanerlash, bu ham samarasiz DOS hujumi sifatida tasniflanishi mumkin. Aniqlangan zaifliklar xaker tomonidan tizimga ruxsatsiz kirish yoki eng samarali DOS hujumini tanlash uchun ishlatilishi mumkin.

Shuni esda tutish kerakki, antivirus dasturlari, boshqa har qanday dasturiy ta'minot kabi, xatolar, troyan otlari va boshqalardan himoyalanmagan. Shuningdek, antivirus dasturlari yordamida himoyalanishning ishonchliligini oshirib yubormaslik kerak.

Himoyani tashkil etishning ko'pgina boshqa holatlarida bo'lgani kabi, kompyuter viruslaridan himoya qilishning optimal strategiyasi ko'p darajali hisoblanadi. Bunday himoya zamonaviy professional antivirus dasturlari paketlari bilan ta'minlanadi. Bunday paketlar tizim auditori vazifasini bajaradigan rezident qo'riqchi dasturini va virusni to'liq tozalash uchun asosiy antibiotik dasturini o'z ichiga oladi. Ushbu paketlarning xarakterli xususiyati mahalliy yoki global kompyuter tarmog'idan foydalangan holda antivirus ma'lumotlar bazalarini tezkor yangilash dasturining mavjudligidir. Ushbu antivirus to'plami mahalliy tarmoqdagi har bir kompyuterga o'rnatilishi kerak. Server kompyuteri serverlar uchun maxsus antivirus paketi bilan jihozlangan. Ushbu dasturiy ta'minot to'plami yaxshilangan keng qamrovli himoyani ta'minlaydigan dasturiy xavfsizlik devori bilan to'ldiriladi.

Tarmoqdan ajratilgan kompyuter uchun ma'lum viruslardan eng ishonchli himoya terapiya sifatida ko'rib chiqilishi kerak - ma'lum bir kompyuterdagi barcha fayllarni, shu jumladan arxivlarni, tizim va matn fayllarini to'liq virusli skanerlash. Antibiotik dasturlari barcha ma'lum viruslar bilan zararlangan fayllarni tekshiradi, davolaydi va davolash imkoni bo'lmasa, o'chiradi. tijorat maxfiy josuslik xavfsizligi

Tez-tez va muntazam ravishda, shuningdek har bir zaxira va arxivlashdan oldin umumiy tekshirish va davolashni amalga oshirish kerak.

Respondentlarning axborot tarqalishiga eng moyil bo'lgan tashkilot haqidagi fikriga, shubhasiz, tashkilotning o'ziga xos xususiyatlari ta'sir ko'rsatdi. Masalan, nashriyotlar va ilmiy tashkilotlar intellektual mulkni ko‘proq qadrlashi shubhasiz. Va raqobat darajasi ancha yuqori bo'lgan hudud uchun - aniq bitimlar tafsilotlari. "Tijorat sirlari to'g'risida" Federal qonuniga muvofiq moliyaviy hisobotlar 2004 yil 29 iyuldagi 98-FZ-sonli "Tijorat sirlari to'g'risida" Federal qonuni emas. Davlat Dumasi tomonidan 2004 yil 9 iyulda qabul qilingan (2007 yil 24 iyuldagi tahrirda) bu erda respondentlar mijozlar va etkazib beruvchilar haqidagi ma'lumotlarni qo'shimcha ravishda ta'kidladilar: a) shaxsiy ma'lumotlar - 29%; b) moliyaviy hisobotlar - 16%; v) aniq operatsiyalar rekvizitlari - 26%; d) intellektual mulk - 16%; e) biznes-rejalar - 10%.

3-rasm - Oqish ehtimoli eng yuqori bo'lgan ma'lumotlar

Tadqiqot shuni ko'rsatadiki, respondentlar muntazam zaxira nusxalarini va tashkiliy xavfsizlik choralarini axborotni himoya qilishning eng samarali vositasi sifatida alohida ta'kidladilar. Respondentlarning 22,9 foizi antivirusga ovoz bergan.

Respondentlar past darajadagi DDOS hujumlari xavfini alohida qayd etishdi.

Tadqiqot natijalariga ko‘ra, kompaniya tashkilotlarining yaqin uch yil ichida axborot xavfsizligi tizimini yaratish bo‘yicha rejalari quyidagicha. Ba'zi respondentlar hech qanday rejalari yo'qligini, ba'zilari esa hech qanday maxfiy ma'lumot kutilmasligini va "u erda bo'lgan narsalarga maxsus qo'shimchalar kerak emasligini" aytishdi: a) oqishdan himoya qilish tizimi - 11%; b) saqlash vaqtida ma'lumotlarni shifrlash - 14%; v) identifikatsiya va kirishni boshqarish tizimlari - 19%; d) AT jismoniy xavfsizlik tizimlari - 9%; e) tashqi hujumlardan himoya qilish (IDS/IPS) - 19%; f) zaxira tizimi - 19%. Buxgalterni almashtirish taklifi qiziq tuyuldi.

4-rasm - Tashkilotlarning axborot xavfsizligi tizimini yaratish rejalari

Hujjatlarni boshqarish va axborot xavfsizligi tizimlarini qurish uchun talablarni qo'yadigan Rossiya va xalqaro GOSTlar elektron tizimlarning xavflarini quyidagicha tasniflash imkonini beradi: ruxsatsiz kirishdan himoya qilish, ma'lumotlarning sizib chiqishi, jismoniy shikastlanishdan himoya qilish, yo'qotish, o'zgarishlardan himoya qilish, noto'g'ri foydalanishdan himoya qilish, foydalanishning mumkin emasligidan himoya qilish. Ushbu xavflarning har biri o'z narxiga ega. Umuman olganda, ular har qanday tashkilotni buzishi mumkin bo'lgan raqamni tashkil qilishi mumkin GOST R ISO 15489-1-2007 Hujjatlarni boshqarish. Umumiy talablar; ISO/IEC 27001 Axborot texnologiyalari. Himoya usullari. Axborot xavfsizligini boshqarish tizimlari. Talablar; Skiba O. Elektron hujjat aylanish tizimida hujjatlarni himoya qilish / O. Skiba // Kotibiyat ishlari. 2007. - No 12. - B. 24..

Ish joyidan elektron pochtadan foydalanish imkoniyati tashkiliy axborot xavfsizligi choralarini nazarda tutadi: a) faqat korporativ pochta (tashkilot ichida) - 19%; b) faqat korporativ pochta orqali (shu jumladan tashqi abonentlar bilan yozishmalar) - 31%; c) har qanday saytlarning pochta qutilari - 44%; d) ichki korporativ pochta qutisi va tashqi pochta ajratilgan, tashqi pochtaga alohida ish joyidan kirish - 6%.

Perlusration - pochta orqali yuborilgan yozishmalarni yashirin ochish va ko'rish. Aslida, bu turli jinoiy xatti-harakatlarning oldini olishdir. O'rganilgan tashkilotlarda tsenzura: a) oddiy amaliyot - 19%; b) inson huquqlarining buzilishi - 60%; v) foydasiz faoliyat - 21%.

Axborotni himoya qilish tamoyillarini o'rganishda foydalanuvchi huquqlari ham ko'rib chiqildi. Shunday qilib, tashkilotlarda Internetga kirish: a) resurs cheklovlarisiz hamma uchun bepul - 29%; b) ba'zi saytlardan tashqari bepul - 29%; v) faqat rahbarlar va ayrim mutaxassislarga ruxsat berilgan - 42%. Gap shundaki, Internetda sayohat qilish kompyuteringizga zararli dasturlarni yuqtirishga olib kelishi mumkin. Foydalanuvchi huquqlarini cheklash infektsiya xavfini cheklashi mumkin.

5-rasm - Tashkilot xodimlarining Internetga kirish huquqlari

Ishdagi shaxsiy masalalar bo'yicha telefon suhbatlari. Ularni cheklash tijorat ma'lumotlarining sizib chiqishini kamaytiradi. Natija: telefon suhbatlari a) taqiqlanadi va nazorat qilinadi - 8%; b) taqiqlangan va nazorat qilinmagan - 58%; v) cheklanmagan - 34%.

Ishni uyga olib borish (amalda himoyalangan ma'lumotni tashkilotdan tashqariga olib chiqishni anglatadi, bu, albatta, xavfsizlik darajasini oshirishga yordam bermaydi: a) imkonsiz - 29%; b) odatiy amaliyot - 47%; v) rasman taqiqlangan - 34%.

Axborot xavfsizligini ta'minlash bilan bog'liq cheklovlarga shaxsiy munosabat - yana, axborotni himoya qilishga bo'lgan munosabatni ko'rsatadigan sub'ektiv baholash - belgilangan choralarni qabul qilish yoki qabul qilmaslik, odat. Cheklovlarga shaxsiy munosabat: a) ahamiyatsiz - 36%; b) yoqimsiz, lekin toqat qilish mumkin - 20%; v) sezilarli noqulaylik tug'diradi va ko'pincha ma'nosiz - 0%; d) sezilarli noqulaylik tug'diradi, lekin undan qochish mumkin emas - 18%; e) Menda hech qanday cheklovlar yo'q - 26%.

6-rasm - Axborot xavfsizligi bilan bog'liq cheklovlarga shaxsiy munosabat

Axborot xavfsizligi tizimini shakllantirishda har bir alohida tashkilotning o'ziga xos xususiyatlarini hisobga olish kerak. Har bir holat uchun qalbakilashtirishdan himoya qilish uchun o'zingizning chora-tadbirlar kompleksingizni shakllantirishingiz kerak. Hujjatni ishlab chiqarish xarajatlari hodisaning iqtisodiy samarasini oqlashi kerak. Xuddi soxta mahsulot ishlab chiqarishdan olingan daromad uni ishlab chiqarish xarajatlaridan oshib ketishi kerak. Hujjatlar muomala muddati bilan cheklanishi kerak: blankalarning yangi dizayni, yangi logotiplar va boshqa rotatsion o'zgarishlar ba'zi soxta narsalarning oldini oladi. Amaldagi xavfsizlik texnologiyalariga qarab, tanlangan hujjat nusxasining haqiqiyligini diagnostika qilishni ta'minlaydigan apparat va dasturiy ta'minot xavfsizligi tizimidan foydalanish maqsadga muvofiqligini aniqlash kerak. Tasvirlarni solishtirishning yangi algoritmlari, dasturiy komponentlar birikmasidan tashqari, hujjatning haqiqiyligini aniqlashi mumkin.

Avvalo, xodimlarning himoya qilinishi kerak bo'lgan hujjatlar bilan ishlash tartibini belgilaydigan tashkiliy hujjatlarni ishlab chiqish va tasdiqlash kerak. Masalan, xavfsizlik siyosati. Buning uchun himoya qilinadigan hujjatlar ro'yxatini tuzish, xavfsizlikka tahdidlarni aniqlash, xavflarni baholash, ya'ni. axborot xavfsizligi auditini o'tkazish.

Xavfsizlik auditi jarayonida to'plangan ma'lumotlarga asoslanib, xavfsizlik siyosati loyihasi ishlab chiqiladi. Shu maqsadda, uni tashkilotning o'ziga xos xususiyatlariga moslashtiradigan standart loyihasidan foydalanish mumkin.

Hujjat tasdiqlangandan keyin uni tashkilotda amalga oshirish kerak va bu odatda tashkilot xodimlarining qarshiligiga duch keladi, chunki bu ularga qo'shimcha mas'uliyat yuklaydi va ularning ishini murakkablashtiradi. Shuning uchun hujjatlarni himoya qilish tizimi puxta o'ylangan va amaliy bo'lishi kerak va ishda sezilarli qiyinchiliklarni keltirib chiqarmasligi kerak.

Tadqiqot natijalariga ko'ra quyidagi xulosalar chiqarish mumkin:

Axborot xavfsizligiga eng xavfli tahdidlar: axborot tizimining ishdan chiqishi, axborotning sizib chiqishi, ma'lumotlarning buzilishi.

Buzg'unchilar uchun eng katta qiziqish uyg'otadigan hujjatlar shartnomalar, shaxsiy ma'lumotlarni o'z ichiga olgan hujjatlardir.

Elektron hujjatlarni himoya qilishning eng samarali vositasi zaxira va tashkiliy xavfsizlik choralari hisoblanadi.

“Astra-com” MChJ hujjatlarning axborot xavfsizligini ta’minlash sohasida yuqori darajadagi ongliligi bilan ajralib turadi, lekin aslida uni takomillashtirish bo‘yicha ko‘rilayotgan chora-tadbirlar yetarli emas.

Shunday qilib, Astra-com MChJ kompyuterdagi ma'lumotlarni himoya qilish tamoyillarini hisobga olishi aniq.

Tijorat ma'lumotlarining himoya qilinishini ta'minlash uchun "Astra-com" MChJ ma'muriy, huquqiy, tashkiliy, muhandislik, texnik, moliyaviy, ijtimoiy-psixologik va boshqa chora-tadbirlar majmuini o'z ichiga olgan axborot bilan ishlash va unga kirishning ma'lum tartibini joriy etdi. huquqiy normalar respublika yoki korxona (kompaniya) rahbarining tashkiliy-ma'muriy lavozimlarida. Agar bir qator shartlar bajarilsa, tijorat sirlarini samarali himoya qilish mumkin:

ishlab chiqarish, tijorat, moliyaviy va rejim masalalarini hal qilishda birlik;

korxonaning barcha manfaatdor bo'linmalari o'rtasida xavfsizlik choralarini muvofiqlashtirish;

tasniflanishi (himoyalanishi) lozim bo‘lgan axborot va obyektlarni ilmiy baholash. Rejim ishlari boshlanishidan oldin rejim chora-tadbirlarini ishlab chiqish;

barcha darajadagi rahbarlarning, maxfiy ishlarda ishtirok etuvchi ijrochilarning sirlarning saqlanishini ta'minlash va bajarilayotgan ishlar uchun xavfsizlik rejimini saqlash uchun shaxsiy javobgarligi (shu jumladan moliyaviy).

Jamoa shartnomasi, shartnoma, mehnat shartnomasi, mehnat qoidalariga rejimning aniq talablariga rioya qilish bo'yicha ishchilar, mutaxassislar va ma'muriyatning asosiy majburiyatlarini kiritish.

Tahlil qilinayotgan “Astra-com” MChJ korxonasida xavfsizlik xizmati tashkil etildi. Korxona xizmatiga quyidagilar kiradi: axborotni muhofaza qilish bo'limi, texnik aloqa vositalari va razvedkaning texnik vositalariga qarshi kurashish bo'limi, xavfsizlik bo'limi.

Tijorat sirlarini himoya qilishni tashkil etishda “Astra-com” MChJ xavfsizlik xizmati quyidagi ma’lumotlarni to‘plashning mumkin bo‘lgan usullari va vositalarini hisobga olishi shart: shaxsiy yig‘ilishda o‘rganilayotgan kompaniya xodimlaridan so‘rov o‘tkazish; qiziqtirgan masalalar bo'yicha munozaralar o'tkazish; korxonalar va alohida xodimlarga so'rovnomalar va so'rovnomalar yuborish; ilmiy markazlar va olimlar o‘rtasida mutaxassislar bilan shaxsiy yozishmalar olib borish.

Ma'lumot to'plash uchun, ba'zi hollarda, raqobatchilarning vakillari hamkorlik istiqbollarini aniqlash va qo'shma korxonalar yaratish uchun muzokaralardan foydalanishlari mumkin.

Hujjatlar bilan ishlashda, ish joylariga tashrif buyurishda boshqa tashkilotlar vakillarining bevosita ishtirokini taʼminlovchi qoʻshma dasturlarni amalga oshirish kabi hamkorlik shaklining mavjudligi hujjatlar nusxalarini yaratish, materiallarning turli namunalari, namunalarini toʻplash imkoniyatlarini kengaytiradi. va boshqalar. Shu bilan birga, rivojlangan mamlakatlar amaliyotini hisobga olgan holda, iqtisodiy raqiblar noqonuniy harakatlarga va sanoat josusligiga murojaat qilishlari mumkin.

Ko'proq ma'lumot olishning quyidagi usullari qo'llaniladi: vizual kuzatish; tinglash; texnik nazorat; to'g'ridan-to'g'ri so'roq qilish, tekshirish; materiallar, hujjatlar, mahsulotlar va boshqalar bilan tanishish; ommaviy hujjatlar va boshqa ma'lumot manbalarini to'plash; hujjatlar va boshqa ma'lumot manbalarini o'g'irlash; qismlarga kerakli ma'lumotlarni o'z ichiga olgan bir nechta ma'lumot manbalarini o'rganish.

Tahliliy tadqiqotlar va ehtimoliy tahdidlarni modellashtirish, agar kerak bo'lsa, qo'shimcha himoya choralarini belgilashga imkon beradi. Shu bilan birga, ularni amalga oshirish ehtimoli, uslubiy materiallar, moddiy ta'minot mavjudligi, Xavfsizlik xizmati va shaxsiy tarkibning ularni amalga oshirishga tayyorligini baholash kerak. Rejalashtirishda KT xavfsizligini ta'minlashda korxonada yuzaga kelgan kamchiliklar hisobga olinadi.

Rejalashtirilgan tadbirlar: muayyan maqsadlarga erishishga hissa qo'shishi, umumiy rejaga muvofiqligi; optimal bo'ling.

Xodimlar bilan ishlash amaliyotida “Astra-com” MChJ xavfsizlik xizmati xodimlariga nafaqat xodimlarning tijorat sirlarini saqlashini, balki ularning xizmat vazifalariga munosabatini, hujjatlar bilan ishlashdagi toʻgʻriligini va haddan tashqari “qiziqish”ni tekshirish tavsiya etilishi mumkin. ” boshqa bo'limlarda. Bundan tashqari, maxfiy ma'lumotlarni oshkor qiladigan, pul o'g'irlagan yoki kompaniyaning iqtisodiy ahvoliga tahdid soluvchi boshqa noqonuniy xatti-harakatlarni sodir etgan aniq xodimlarni aniqlash uchun quyidagilarga e'tibor qaratish lozim: maxfiy ma'lumotlarga to'satdan faol qiziqish, faoliyat. boshqa bo'limlar; hamkasblar bilan muloqot qilishda, suhbatlarda xodimning xatti-harakatlaridagi o'zgarishlar, noaniqlik, qo'rquv paydo bo'lishi; xodimlar xarajatlarining keskin o'sishi, qimmatbaho tovarlar, ko'chmas mulk sotib olish.

Kompaniyaning iqtisodiy manfaatlarini yuqori darajada himoya qilish uchun xavfsizlik xizmati tomonidan o'z mansab mavqeidan foydalanib, xavfsizlikka tahdid solishi mumkin bo'lgan shaxslarni tekshirish tavsiya etiladi.

Bundan tashqari, “Astra-com” MChJ direktori norozi xodimlar sonini (ish maqomi, ish haqi va h.k. bilan) minimallashtirish maqsadida ichki siyosat yuritishi va ayniqsa, ishdan bo‘shatilgan xodimlar bilan yaxshi munosabatda bo‘lishga harakat qilishi kerak. Bunday holda, ma'lumotlarning chiqib ketish ehtimoli kamayadi.

Samarali iqtisodiy xavfsizlik tizimining zaruriy sharti - bu ishonchlilik darajasi bo'yicha bo'lingan shaxsiy mijoz fayllarini shakllantirish, shuningdek sub'ektlararo mintaqaviy va butun Rossiya ma'lumotlar banklarini shakllantirishda ishtirok etish va ulardan foydalanish. kontragentlar haqida ma'lumot.

Xavfsizlik tizimini tashkil etish kompaniyadagi vaziyatga mos keladi. Shu munosabat bilan unda sodir bo'layotgan tub o'zgarishlar va kutilayotgan o'zgarishlarni hisobga olish nihoyatda muhimdir.

Shunday qilib, "Astra-com" MChJning tijorat sirlarini himoya qilishni tashkil etish tizimi ma'lum bir vaqt uchun oldindan ishlab chiqilgan, ma'lumotlar xavfsizligini oshirishga qaratilgan barcha turdagi faoliyat turlarini hisobga olgan holda ishlab chiqilgan chora-tadbirlar majmuini o'z ichiga oladi. tashqi va ichki sharoitlarning o'zgarishi va muayyan shaxslar yoki bo'limlarga ma'lum tartibni belgilash.

Yaxshi ishingizni bilimlar bazasiga yuborish oddiy. Quyidagi shakldan foydalaning

Bilimlar bazasidan o‘z o‘qishida va faoliyatida foydalanayotgan talabalar, aspirantlar, yosh olimlar sizdan juda minnatdor bo‘ladi.

E'lon qilingan http://www.allbest.ru/

Kirish

1. Analitik qism

1.1.1 Fan sohasining umumiy tavsifi

1.1.2 Korxonaning tashkiliy-funksional tuzilishi

1.2 Axborot xavfsizligi xavfini tahlil qilish

1.2.2 Aktivlarning zaifligini baholash

1.2.3 Aktivlarga tahdidlarni baholash

2. Dizayn qismi

2.1 Axborot xavfsizligini ta'minlash va korxona ma'lumotlarini himoya qilish bo'yicha tashkiliy chora-tadbirlar majmui

2.1.1 Axborot xavfsizligini ta'minlash va korxona ma'lumotlarini himoya qilish tizimini yaratish uchun mahalliy va xalqaro me'yoriy baza.

Kirish

Axborot xavfsizligi bizning ko'z o'ngimizda bir necha yillardan buyon IT bozoriga xos bo'lgan sohadan universal va hatto tsivilizatsiyaviy sohaga muammosiz o'tayotgan muammolarning butun qatlami bilan bog'liq. Oddiy qilib aytganda, axborot xavfsizligi uchta asosiy vazifani bajaradi: ma'lumotlarning yaxlitligini (o'zgartirilmasligini), uning maxfiyligini (oshkor qilmaslik) va mavjudligini ta'minlash. Agar ushbu uchta vazifa bajarilsa, barcha axborot xavfsizligi muammolari hal qilinadimi? Afsuski yo `q. Foydalanish qulayligi va xavfsizlik o'rtasidagi kelishuvni topishning azaliy muammosi mavjud. Muayyan himoya vositalaridan foydalanish zarurati va qonuniyligi bilan bog'liq qonunchilik masalalari mavjud. O'rta va yirik korxonalarda axborot xavfsizligini nazorat qilish masalalari mavjud bo'lib, zamonaviy xavfsizlik vositalaridan "oddiy" foydalanish axborot xavfsizligi siyosati ishlab chiqilmaguncha va kompleks boshqaruv tizimi qurilmaguncha sifat o'zgarishlariga olib kelmaydi. Oxir oqibat, barcha muammolarning asosiy sababi bor - odamlar, ularning ma'lumot bilan o'zaro munosabatlarining muayyan qoidalariga rioya qilish zarurligini anglash.

Ushbu diplom oldi amaliyotining maqsadi FACILICOM MChJ korxonasida axborot xavfsizligini ta'minlash jihatlarini o'rganishdir.

Belgilangan maqsad bir qator o'zaro bog'liq vazifalarni shakllantirish va hal qilishni oldindan belgilab berdi:

· FACILICOM MChJ tashkiloti misolida mavzu sohasini o'rganish va mavjud axborot xavfsizligi va axborotni himoya qilishni ta'minlash tizimidagi kamchiliklarni aniqlash

· FACILICOM MChJ korxonasida shaxsiy ma'lumotlar va tijorat ma'lumotlarini himoya qilishni avtomatlashtirish, shuningdek, xavflarni tahlil qilish bo'yicha topshiriqlar bayonnomasini ishlab chiqish.

· asosiy dizayn echimlarini tanlashni asoslash;

· ma'lumotlarni himoya qilish va shifrlashning yordamchi quyi tizimlarini avtomatlashtirishni rivojlantirish;

· loyihaning iqtisodiy samaradorligini asoslash.

Ushbu tezis uch qismdan iborat.

Birinchi qism loyihaning tahliliy qismini aks ettiradi, unda FACILICOM MChJning texnik-iqtisodiy tavsiflari va kompaniyaning mavjud risklarni tahlil qilish va shaxsiy ma'lumotlar va tijorat ma'lumotlarini himoya qilish jarayoni taqdim etiladi; hal qilishni talab qiladigan muammolar majmuasini tavsiflash va FACILICOM MChJda tavsiflangan jarayonni avtomatlashtirish zarurligini asoslash; mavjud ishlanmalarni tahlil qilish, dizayn qarorlarini asoslash va FACILICOM MChJ risklarini tahlil qilish strategiyasini tanlash va axborotni himoya qilish.

Ishning ikkinchi qismida to'g'ridan-to'g'ri loyiha qismi mavjud bo'lib, u "Fasilikom" MChJning axborot xavfsizligi va xavf tahlilini avtomatlashtirish loyihasini ishlab chiqish, tavsiflangan jarayonni avtomatlashtirish uchun ma'lumot va dasturiy ta'minot, shuningdek, sinov namunasi tavsifini o'z ichiga oladi. loyihani amalga oshirish.

Va nihoyat, tezisning uchinchi qismi loyihaning iqtisodiy samaradorligini asoslash bo'lib, unda hisoblash usullarini tanlash tavsiflanadi, shuningdek, FACILICOM MChJning axborotni himoya qilish va xavflarni tahlil qilishning iqtisodiy samaradorligi ko'rsatkichlarining matematik hisobi taqdim etiladi.

1. Analitik qism

1.1 Ob'ekt va korxonaning texnik-iqtisodiy xususiyatlari (ko'rib chiqish chegaralarini belgilash)

1.1.1 Fan sohasining umumiy tavsifi

FACILICOM kompaniyalar guruhi Rossiya bozorida 1994 yildan beri faoliyat yuritib kelmoqda. 20 yildan ortiq faoliyat davomida biz turli xil ko'chmas mulk ob'ektlarini boshqarish va texnik xizmat ko'rsatish bo'yicha professional xizmatlar ko'rsatishda etakchi o'rinni egalladik. Boshqaruv ostida 30 million m2 dan ortiq maydon mavjud. Xizmat ko'rsatilayotgan ob'ektlar Rossiyaning turli mintaqalaridagi 300 dan ortiq aholi punktlarida, shuningdek, Belarus va Ukrainaning yirik shaharlarida joylashgan. Keng geografik qamrov, katta tajriba, zamonaviy texnik va resurs bazasi va ko'plab o'z ishlanmalari bilan birgalikda FACILICOMga har qanday joylashuv va miqyosdagi ob'ektlarni boshqarish imkonini beradi.

Bizning ishimizning asosi xizmat ko'rsatish yondashuvidir: mijoz bilan uzoq muddatli hamkorlik aloqalarini o'rnatish, hamkorlikning butun hayotiy tsiklida yuzaga keladigan barcha muammolarni qo'llab-quvvatlash va hal qilish. Bu mijozlar bugungi kunda bozor yetakchilaridan kutayotgan yondashuv va biz bu umidlarni qondirish uchun yaxshi holatdamiz.

"Bizning mijozlarimizga taqdim etadigan qadriyat - bu yordamchi jarayonlarga resurslarni sarflamasdan, asosiy biznes vazifasiga e'tibor qaratish qobiliyatidir"

Kompaniyaning keng ko'lamli xizmatlari bizga har qanday hajmdagi kompaniyalarga zarur xizmatlarni taqdim etish imkonini beradi: startaplar, o'rta va kichik biznesdan federal miqyosdagi tuzilmalargacha. FACILICOM mijozlari iqtisodiyotning turli sohalari va tarmoqlari kompaniyalari, jumladan:

· Davlat sektori

Telekommunikatsiya kompaniyalari

· Moliya sektori

· Ishlab chiqarish

· Transport va logistika

Shuningdek, kompaniyaga 75 dan ortiq mintaqalarda joylashgan federal tarmog'ining ko'chmas mulkini ishonib topshirgan Alfa-Bank.

Korxonada 350 dan ortiq muhandis, 300 maslahatchi, 200 tahlilchi ishlaydi. Mutaxassislarning yuqori malakasi 1400 dan ortiq sertifikatlar, shu jumladan Rossiyaga xos sertifikatlar bilan tasdiqlangan. Biz har qanday hajmdagi ko'chmas mulk loyihalarini amalga oshiramiz.

FACILICOM kompaniyasi ob'ektlarga xizmat ko'rsatishning turli sxemalarini taklif etadi, bu esa har bir mijozga o'zining hozirgi ehtiyojlari va imkoniyatlariga mos keladigan hamkorlikning optimal variantini tanlash imkonini beradi. Barcha ishlar, birinchi navbatda, Kompaniyamizning bo'linmalari tomonidan amalga oshiriladi, bu esa ularning joylashgan joyidan qat'i nazar, barcha ob'ektlarda xizmatlarning yuqori sifati va yagona standartlarga muvofiqligini ta'minlaydi.

Avtomatlashtirilgan boshqaruv tizimi va innovatsion yechimlarning doimiy tatbiq etilishi FACILICOM kompaniyasiga xalqaro standartlarga javob beradigan yaxshi natijalarga erishish imkonini beradi. O'zimizda yaratilgan FACILICOM-24 dasturiy ta'minoti Mijoz va kompaniya xizmatlari o'rtasidagi o'zaro aloqaning shaffofligi va qulayligini kafolatlaydi.

Shuningdek, mijozga xizmatlarning yuqori sifatini, xizmatlarning keng tanlovini va turli masalalarni hal qilishda individual yondashuvni saqlab, xarajatlarni nazorat qilish va xarajatlarni optimallashtirish uchun ajoyib imkoniyatlar taqdim etiladi.

1.1.2 Korxonaning tashkiliy-funksional tuzilishi

FACILICOM MChJning tashkiliy boshqaruv tuzilmasi shaklda keltirilgan. 1.

Korxonaning tashkiliy tuzilishi deganda vakolatlarni amalga oshirish, buyruqlar va ma'lumotlar oqimi bo'yicha ma'lum munosabatlar o'rnatiladigan bo'limlar va boshqaruv organlari o'rtasida ishning tarkibi, bo'ysunishi, o'zaro ta'siri va taqsimlanishi tushuniladi.

Tashkiliy tuzilmalarning bir necha turlari mavjud: chiziqli, funktsional, chiziqli-funktsional, bo'linish, moslashish.

Kompaniyaning tashkiliy tuzilmasi chiziqli turga mos keladi.

Chiziqli tuzilma har bir bo'linmaning boshida barcha boshqaruv funktsiyalarini o'z qo'lida jamlagan va o'ziga bo'ysunadigan xodimlarni yagona boshqaruvini amalga oshiradigan menejer mavjudligi bilan tavsiflanadi. Uning "yuqoridan pastga" zanjir bo'ylab uzatiladigan qarorlari quyi darajalar tomonidan amalga oshirilishi uchun majburiydir. U, o'z navbatida, yuqori boshqaruvchiga bo'ysunadi.

E'lon qilingan http://www.allbest.ru/

Guruch. 1 FACILICOM MChJning tashkiliy boshqaruv tuzilmasi

Ushbu tamoyillarga muvofiq qurilgan tashkiliy tuzilma ierarxik yoki byurokratik tuzilma deb ataladi.

Buxgalteriya bo'limi: ish haqi, turli to'lovlarni hisoblash, balans, faoliyatning tasdiqlangan normalar, standartlar va smetalarga muvofiqligini nazorat qilish.

Tijorat bo'limi: mijozlarni qidirish va ular bilan ishlash, tenderlarda ishtirok etish, shartnomalar, texnik shartlarni tuzish va imzolash, etkazib beruvchilar bilan uchrashuvlar, uskunalar sotib olish;

Axborot texnologiyalari bo'limi: kompaniyaning IT infratuzilmasini qo'llab-quvvatlash, dasturiy ta'minotga texnik xizmat ko'rsatish, shaxsiy kompyuterlar va tashqi qurilmalarni kichik ta'mirlash, ofis va masofaviy saytlar uchun uskunalar sotib olish.

Axborot texnologiyalari va dasturiy ta’minot bo‘limining vazifalari:

· Serverlarda operatsion tizimlarni sozlash, shuningdek, server dasturiy ta'minotining ish holatini saqlash.

· Serverlar va ish stantsiyalarida dasturiy ta'minot o'rnatilishini nazorat qilish.

· Fayl serverlarida, ma'lumotlar bazasini boshqarish tizimi serverlarida va ish stantsiyalarida dasturiy ta'minot integratsiyasini ta'minlash.

· Axborot resurslarini rejalashtirish va tarmoq resurslaridan foydalanishni nazorat qilish.

· Telekommunikatsiya kanallari orqali tashqi tashkilotlar bilan mahalliy tarmoqda axborot almashinuvini nazorat qilish. Tizim foydalanuvchilari uchun mahalliy (INTRANET) va global (INTERNET) tarmoqlarga kirishni ta'minlash.

· Tizimning uzluksiz ishlashini ta'minlash va ish jarayonida yuzaga keladigan qoidabuzarliklarni bartaraf etish bo'yicha tezkor choralar ko'rish. Xizmat ko'rsatishdagi uzilishlarni bartaraf etish.

· Foydalanuvchini ro'yxatdan o'tkazish, identifikatorlar va parollarni belgilash.

· Foydalanuvchilar uchun cheklovlarni o'rnatish:

o a) ish stantsiyasidan yoki serverdan foydalanish;

o b) vaqt;

o c) resurslardan foydalanish darajasi.

· Foydalanuvchi va tarmoq dasturiy xatolarini aniqlash va tizim funksiyalarini tiklash.

· Foydalanuvchilarni korxona axborot tizimida ishlashga o‘rgatish.

· Tizimda ish xavfsizligini ta'minlash:

· Tarmoq xavfsizligi (ma'lumotlarga ruxsatsiz kirishdan himoya qilish, tizim fayllari va ma'lumotlarini ko'rish yoki o'zgartirish), shuningdek, Internet tarmog'idagi aloqa xavfsizligi choralarini ko'rish.

· Ma'lumotlardan o'z vaqtida nusxa ko'chiring va zaxiralang.

· Tizimda kompyuter viruslarini muntazam tekshirib turing.

· Tarmoq uskunasidagi nosozliklarni aniqlashda texnik xizmat ko‘rsatish bilan bog‘liq muammolarni hal qilishda, shuningdek, tarmoq uskunasidagi nosozliklar va nosozliklar yuz berganda tizim funksionalligini tiklashda ishtirok etish.

· Tarmoq uskunalarini uchinchi tomon tashkilotlari mutaxassislari tomonidan o'rnatilishini nazorat qilish.

· Kompyuter tarmog‘ini monitoring qilish, tarmoq infratuzilmasini rivojlantirish bo‘yicha takliflar ishlab chiqish.

· Axborot tarmog‘ida ishlash tartibi va axborot texnologiyalari sohasidagi standartlarga rioya etilishini nazorat qilish.

· Yangi ish stantsiyalarini tashkil qilish va o'rnatish yoki foydalanuvchining optimallashtirish.

Shunday qilib, hozirgi vaqtda korxonaning axborot xavfsizligini ta'minlash IT bo'limining vazifasi hisoblanadi.

1.2 Axborot xavfsizligi xavfini tahlil qilish

Xavfni tahlil qilish jarayoni nimani himoya qilish kerakligini, nimadan himoya qilishni va buni qanday qilishni o'z ichiga oladi. Barcha mumkin bo'lgan xavflarni hisobga olish va ularni mumkin bo'lgan zarar miqdoriga qarab tartiblash kerak. Bu jarayon ko'plab iqtisodiy qarorlardan iborat. Himoya qilish qiymati himoyalangan ob'ekt narxidan oshmasligi kerakligi uzoq vaqtdan beri qayd etilgan.

Axborot xavfsizligi sohasidagi risklarni tahlil qilish sifat va miqdoriy bo'lishi mumkin. Miqdoriy tahlil aniqroq, bu sizga ma'lum xavf qiymatlarini olish imkonini beradi, lekin bu sezilarli darajada ko'proq vaqtni oladi, bu har doim ham oqlanmaydi. Ko'pincha tezkor sifatli tahlil qilish kifoya qiladi, uning vazifasi xavf omillarini guruhlarga taqsimlashdir. Sifatli tahlil ko'lami baholash usullari orasida farq qilishi mumkin, ammo barchasi eng jiddiy tahdidlarni aniqlashga to'g'ri keladi.

Axborot xavfsizligi bo'limi xodimlarining vazifalari korxona rahbariyatini mavjud va potentsial tahdidlar haqida ogohlantirishni o'z ichiga oladi. Hisobotlar faktlar, raqamlar va analitik hisoblar bilan birga bo'lishi kerak. Bu tashkilot rahbarlariga ma'lumotlarni etkazishning eng samarali usulidir.

Sifatli tahlil

Sifatli tahlilning bir qancha modellari mavjud. Ularning barchasi juda oddiy. Variantlar faqat xavf darajalari sonida farqlanadi. Eng keng tarqalgan modellardan biri uch bosqichli. Har bir omil "past - o'rta - yuqori" shkala bo'yicha baholanadi.

Ushbu usulning muxoliflari xavflarni aniq ajratish uchun uchta bosqich etarli emas deb hisoblaydilar va besh darajali modelni taklif qilishadi. Biroq, bu muhim emas, chunki umuman olganda, har qanday tahlil modeli tahdidlarni tanqidiy va ikkilamchi bo'lishning eng oddiy bo'linishiga to'g'ri keladi. Aniqlik uchun uch, besh darajali va boshqa modellar qo'llaniladi.

Ko'p sonli darajali modellar bilan ishlashda, masalan, beshta, tahlilchilar beshinchi yoki to'rtinchi guruhga xavf belgilashda qiyinchiliklarga duch kelishlari mumkin. Sifatli tahlil bunday "xatolar" ga imkon beradi, chunki u o'z-o'zini tartibga soladi. Agar dastlab xavf asossiz ravishda beshinchi emas, to'rtinchi toifaga berilgan bo'lsa, bu muhim emas. Sifatli usul tahlilni bir necha daqiqada amalga oshirish imkonini beradi. Bunday xavflarni baholash muntazam ravishda amalga oshirilishi kutilmoqda. Va keyingi bosqichda toifalar qayta tayinlanadi, omil beshinchi guruhga o'tadi. Shuning uchun sifat tahlili iterativ usul deb ham ataladi.

Miqdoriy tahlil

Miqdoriy usul sezilarli darajada ko'proq vaqt talab qiladi, chunki har bir xavf omiliga ma'lum bir qiymat beriladi. Miqdoriy tahlil natijalari biznesni rejalashtirish uchun foydaliroq bo'lishi mumkin. Biroq, ko'p hollarda, qo'shimcha aniqlik kerak emas yoki shunchaki qo'shimcha harakatlarga arzimaydi. Misol uchun, agar xavf omilini baholash uchun to'rt oy kerak bo'lsa, lekin muammoni hal qilish uchun faqat ikki oy kerak bo'lsa, resurslardan samarali foydalanilmayapti.

Shuni ham hisobga olish kerakki, ko'plab tashkilotlar doimo rivojlanib, o'zgarib turadi. Va tahlil o'tkazilgan vaqt davomida haqiqiy xavf qiymatlari boshqacha bo'ladi.

Ro'yxatda keltirilgan omillar sifatli tahlil foydasiga gapiradi. Bundan tashqari, ekspertlarning fikricha, barcha soddaligiga qaramay, sifatli usul juda samarali tahlil vositasidir.

Axborot xavfsizligi faoliyatining asosiy maqsadi har bir axborot aktivining mavjudligi, yaxlitligi va maxfiyligini ta'minlashdan iborat. Tahdidlarni tahlil qilishda ularning ushbu uchta yo'nalishdagi aktivlarga ta'sirini hisobga olish kerak. Xatarlarni tahlil qilishning zaruriy va muhim bosqichi bu tezisda amalga oshirilgan aktivlarning zaifliklarini baholashdir. Zaiflikni baholashni o'tkazish to'g'risidagi qaror Facilicom MChJning axborot xavfsizligi uchun mas'ul bo'lgan axborot texnologiyalari va dasturiy ta'minot bo'limi boshlig'i tomonidan qabul qilinadi.

Kompaniyadagi aktivlarning zaif tomonlarini baholash odatda axborot xavfsizligi xavflarini tahlil qilish bilan birgalikda amalga oshiriladi, ya'ni. yiliga 2 marta chastota bilan. Zaiflikni alohida baholash yo'q. Axborot texnologiyalari va dasturiy ta'minot bo'limi boshlig'ining buyrug'i bilan belgilangan xodimlar tomonidan amalga oshiriladi. axborot xavfsizligi aktivlari fondi

Aktivlarning zaif tomonlarini baholash elektron hujjat shaklida taqdim etiladi. Hujjat tahlil qilish vaqtini ko'rsatgan holda "2005 yildagi Facilicom" MChJ axborot aktivlarining zaifligini baholash" deb nomlanadi.

1.2.1 Axborot aktivlarini aniqlash va baholash

Xatarlarni tahlil qilish bosqichlaridan biri himoyaga muhtoj bo'lgan barcha ob'ektlarni aniqlashdir. Ba'zi aktivlar (masalan, aloqa uskunalari) aniq belgilangan. Boshqalar (masalan, axborot tizimlaridan foydalanadigan odamlar) ko'pincha unutiladi. Xavfsizlik buzilishi ta'sir qilishi mumkin bo'lgan har qanday narsani hisobga olish kerak.

Quyidagi aktivlar tasnifidan foydalanish mumkin:

· Texnika vositalari: protsessorlar, modullar, klaviaturalar, terminallar, ish stantsiyalari, shaxsiy kompyuterlar, printerlar, disk yurituvchilar, aloqa liniyalari, terminal serverlari, ko'priklar, marshrutizatorlar;

· Dasturiy ta'minot: manba kodlari, ob'ekt modullari, yordamchi dasturlar, diagnostika dasturlari, operatsion tizimlar, aloqa dasturlari;

· Ma'lumotlar: qayta ishlangan, to'g'ridan-to'g'ri kirish, arxivlangan, zaxiralangan, jurnallar, ma'lumotlar bazalari, aloqa liniyalari orqali uzatiladigan ma'lumotlar;

· Odamlar: foydalanuvchilar, xizmat ko'rsatuvchi xodimlar.

Axborot aktivlarini baholash natijalari 2-jadvalda jamlangan.

Jadval Facilicom MChJ korxonasining axborot aktivlarini baholash

Faoliyat turi	Obyekt nomi	Taqdimot shakli	Obyekt egasi	Xarajatlarni aniqlash mezonlari	Baholash hajmi
					Yuqori sifatli
Axborot aktivlari
1. Tijorat faoliyati		Elektron	Tijorat direktori	Tijorat ma'lumotlarini yo'qotishdan zarar	juda yuqori
2. Faoliyatning barcha turlari	Elektron pochta ma'lumotlar bazasi serveri	Elektron	IT bo'limi		juda yuqori
3. Asosiy faoliyat			Kotib	Dastlabki xarajat	juda yuqori
4. Xodimlar bilan ishlash	Shartnomalar, shartnomalar	Qog'oz va elektron hujjat	Kadrlar bo'limi	Dastlabki xarajat
5. Korxona boshqaruvi va operativ-xo'jalik faoliyatiga umumiy rahbarlik	Buyurtmalar, ko'rsatmalar	Qog'oz va elektron hujjat	Bosh direktor	Dastlabki xarajat	juda yuqori
6. Buxgalteriya hisobi	Buxgalteriya ma'lumotlar bazasi	1C korxona	Buxgalteriya hisobi va narxlar bo'limi	Dastlabki xarajat	Juda baland
Jismoniy aktivlar
1.Faoliyatning barcha turlari		Elektron	IT bo'limi	Elektron pochtadagi ma'lumotlarning yo'qolishidan kelib chiqadigan zarar	juda yuqori
2. Asosiy faoliyat	Binolar, inshootlar, materiallar	Binolar, inshootlar, transport vositalari, materiallar	Rivojlanish bo'limi	Asosiy vositalar
3.Xizmat ko'rsatish bo'yicha shartnomalar tuzish	Shartnomalar, shartnomalar	Qog'oz va elektron hujjat	Bosh direktor	Yakuniy xarajat

3-jadvalda “Facilicom” MChJ axborot aktivlari reytingi natijalari keltirilgan

Jadval Facilicom MChJ aktivlari reytingi natijalari

Obyekt nomi	Aktiv qiymati (darajali)
Mijozlar haqidagi ma'lumotlarga ega ma'lumotlar bazasi serveri
Elektron pochta ma'lumotlar bazasiga ega server;
DO ma'lumotlar bazasi
Bosh direktorning buyruqlari, ko'rsatmalari
Buxgalteriya ma'lumotlar bazasi
Bo'limlar faoliyati to'g'risidagi hisobotlar
Shartnomalar, shartnomalar
Xodimlar bilan ishlash
Binolar, inshootlar, materiallar

Shunday qilib, eng katta qiymatga ega va himoya qilinishi kerak bo'lgan aktivlar quyidagilardir:

1. Mijozlar va harflar haqidagi ma'lumotlarga ega ma'lumotlar bazasi serveri;

2. Qo'shimcha ma'lumotlar bazasi;

3. Bosh direktorning buyruqlari, ko'rsatmalari;

4. Buxgalteriya hisobi ma'lumotlar bazasi.

Keyinchalik, ushbu aktivlar uchun zaifliklar, tahdidlar va axborot xavfsizligi xavflarini baholash amalga oshirildi.

1.2.2 Aktivlarning zaifligini baholash

Zaiflikni baholash faqat kompyuter tizimlari/tarmoqlarida emas, balki ko'plab ob'ektlarda ham amalga oshirilishi mumkin. Misol uchun, binoning qaysi qismlari etishmayotganligini aniqlash uchun jismoniy binolarni baholash mumkin. Agar o'g'ri old eshikdagi qo'riqchini chetlab o'tib, binoga orqa eshikdan kira olsa, bu, albatta, zaiflikdir. Agar u buni haqiqatan ham qilsa, bu ekspluatatsiya. Jismoniy xavfsizlik - e'tibor berish kerak bo'lgan eng muhim jihatlardan biridir. Chunki agar server o'g'irlangan bo'lsa, tajovuzkor IDS (Intrusion Detection System) ni chetlab o'tishi shart emas, IPS (Intrusion Prevention System) ni chetlab o'tishi shart emas, 10 TB o'tkazish yo'lini o'ylamasligi kerak. ma'lumotlar - u allaqachon serverda mavjud. To'liq disk shifrlash yordam berishi mumkin, lekin odatda serverlarda ishlatilmaydi.

Korxona axborot resurslarining quyidagi turlari himoya obyektlari hisoblanadi:

· aloqa kanallari orqali uzatiladigan ma'lumotlar (ma'lumotlar, telefon suhbatlari va fakslar);

· ma'lumotlar bazalarida, fayl serverlarida va ish stantsiyalarida, katalog serverlarida, korporativ tarmoq foydalanuvchilarining pochta qutilarida va boshqalarda saqlanadigan ma'lumotlar;

· tarmoq qurilmalari, dasturiy tizimlar va komplekslarning ishlashi uchun konfiguratsiya ma'lumotlari va protokollari.

E'lon qilingan http://www.allbest.ru/

4-jadvalda jismoniy tahdidlar va aktivlarning zaifliklari taqqoslanishi keltirilgan.

Facilicom MChJ avtomatlashtirilgan tizimining jismoniy tahdidlari va zaifliklarini taqqoslash jadvali

QO'L TAHDILAR	QO'LLARNING ZO'FSIZLIKLARI
1). Buzg'unchining ish stantsiyasiga jismoniy kirishi	1). Xodimlarning boshqa odamlarning ish stantsiyalariga kirishini nazorat qilish tizimining yo'qligi


2). Tashkilot xodimining ish joyida saqlanadigan maxfiy ma'lumotlarni oshkor qilish	1). Xodim va ish beruvchi o'rtasida oshkor qilmaslik to'g'risidagi shartnomaning yo'qligi

2. SERVER TAHDILAR	2. SERVERNING ZO'FSIZLIKLARI

	2). Server xonasida video kuzatuv yo'qligi
	3). O'g'ri signali yo'q
2). Maxfiy ma'lumotlarni oshkor qilish	1). Maxfiy ma'lumotlarni tarqatmaslik to'g'risida kelishuvning yo'qligi
	2). Tashkilot xodimlarining javobgarligini noaniq tartibga solish
3. MAXFIY MA'LUMOTLARGA XAVF	3. MAXFIY MA'LUMOTLARNING XOJIZLIKLARI
1). Qoidabuzarning maxfiy ma'lumotlarni o'z ichiga olgan ommaviy axborot vositalariga jismoniy kirishi	1). Tekshirish punktining tartibsizligi
	2). Tashkilotda videokuzatuv tizimining yo'qligi
	3). Xavfsizlik signalizatsiya tizimining yo'qligi
2). Hujjatlardagi maxfiy ma'lumotlarni oshkor qilish, ommaviy axborot vositalarini nazorat qilinadigan hududdan tashqariga chiqarish	1). Ma'lumotni oshkor qilmaslik to'g'risida kelishuv yo'q
	2). Tashkilot xodimlari o'rtasida hujjatlar (maxfiy axborot vositalari) uchun javobgarlikning aniq taqsimlanmaganligi
3).Maxfiy axborot vositalarini ruxsatsiz nusxalash, chop etish va ko'paytirish	1).Tashkilotda maxfiy hujjat aylanishining noaniq tashkil etilishi
	2). Xodimlarning nusxa ko'chirish va ko'paytirish uskunalariga nazoratsiz kirishi
4. Tarmoq qurilmalari va kommutatsiya uskunalariga tahdidlar	4. Tarmoq qurilmalari va kommutatsiya uskunalarining zaif tomonlari
1). Tarmoq qurilmasiga jismoniy kirish	1). Tashkilotda kirishni nazorat qilishning tashkillashtirilmagan rejimi
	2). Tashkilotda videokuzatuv tizimining yo'qligi
	3). Perimetr xavfsizlik tizimidagi nomuvofiqlik
	4). Korxona xodimlarining javobgarligini noaniq tartibga solish
2). Tarmoq qurilmalari va kommutatsiya uskunalarini yo'q qilish (buzilish, yo'qotish).	1). Tarmoq qurilmalari va kommutatsiya uskunalariga, ichki korxona tarmog'iga kirishni cheklash yo'q
	2). Korxona xodimlarining javobgarligini noaniq tartibga solish

5-jadvalda aktivlarning zaifligini baholash natijalari keltirilgan.

Jadval Facilicom MChJ axborot aktivlarining zaifligini baholash natijalari

Zaifliklar guruhi	Bo'limlar faoliyati to'g'risidagi hisobotlar	Elektron pochta ma'lumotlar bazasi bilan server	Buxgalteriya ma'lumotlar bazasi	Mijozlar haqidagi ma'lumotlarga ega ma'lumotlar bazasi serveri
1. Atrof-muhit va infratuzilma
Xodimlarning boshqa odamlarning ish stantsiyalariga kirishini nazorat qilish tizimining yo'qligi.


Xodim va ish beruvchi o'rtasida oshkor qilmaslik to'g'risidagi shartnomaning yo'qligi.

2. Uskuna

Server xonasida video kuzatuv yo'qligi.
Xavfsizlik signalining yo'qligi.
Maxfiy ma'lumotlarni tarqatmaslik to'g'risida kelishuvning yo'qligi.
Tashkilot xodimlarining javobgarligini noaniq tartibga solish.
3. Dasturiy ta'minot
Tekshirish punkti tartibsiz. Tashkilotda videokuzatuv tizimining yo'qligi.

Xavfsizlik signalizatsiya tizimining yo'qligi.
Maxfiy ma'lumotlarni oshkor qilmaslik to'g'risida kelishuv yo'q.
Mas'uliyatning noaniq taqsimlanishi tashkilot xodimlari o'rtasidagi hujjatlar (maxfiy ma'lumotlarning ommaviy axborot vositalari).
Tashkilotda maxfiy hujjat aylanishining noaniq tashkil etilishi.
Xodimlarning nusxa ko'chirish va ko'paytirish uskunalariga nazoratsiz kirishi
4. Aloqa
Tashkilotda kirishni nazorat qilishning tashkillashtirilmagan rejimi. Tashkilotda videokuzatuv tizimining yo'qligi.

Perimetr xavfsizlik tizimidagi nomuvofiqlik.
Korxona xodimlarining javobgarligini noaniq tartibga solish.
Tarmoq qurilmalari va kommutatsiya uskunalariga, korxonaning ichki tarmog'iga kirishni cheklash yo'q.

1.2.3 Aktivlar tahdidini baholash

Axborot va aktivlarga mumkin bo'lgan tahdidlar ro'yxatini ko'rib chiqaylik:

Tahdid guruhi	Bo'limlar faoliyati to'g'risidagi hisobotlar	Elektron pochta ma'lumotlar bazasi bilan server	Buxgalteriya ma'lumotlar bazasi	Mijozlar haqidagi ma'lumotlarga ega ma'lumotlar bazasi serveri
1. Qasddan qilingan harakatlar natijasida yuzaga keladigan tahdidlar
Qasddan zarar

Saqlash vositalaridan ruxsatsiz foydalanish
Ruxsatsiz kirishdan foydalanish
Zararli dasturiy ta'minot
Chiziqning shikastlanishi
2. Tasodifiy harakatlar tufayli tahdidlar

Suv toshqini
Elektr ta'minotida nosozlik bor.
Suv ta'minotidagi muammo.
Konditsioner tizimida nosozlik bor.
Voltaj tebranishlari.
Uskunadagi nosozliklar.
Haddan tashqari harorat va namlik
Changga ta'sir qilish
Xodimlarning texnik xizmat ko'rsatishdagi xatolari
Dasturiy ta'minotdagi nosozliklar
3. Tabiiy sabablar (tabiiy, texnogen omillar) tufayli yuzaga keladigan tahdidlar.
Zilzila

Chaqmoq urishi

2. Dizayn qismi

2.1 Axborot xavfsizligini ta'minlash bo'yicha tashkiliy chora-tadbirlar majmui

2.1.1 Axborot xavfsizligi tizimini yaratishning ichki va xalqaro huquqiy asoslari va korxona ma'lumotlarini himoya qilish

Axborot xavfsizligi tizimining ishlashi davomida yuzaga keladigan har bir tahdid turi uchun bir yoki bir nechta qarshi choralar bo'lishi mumkin. Qarshi choralarni tanlashning noaniqligi sababli, ma'lumotlar xavfsizligini ta'minlashning ishonchliligi va himoyani amalga oshirish xarajatlari sifatida ishlatilishi mumkin bo'lgan ba'zi mezonlarni izlash kerak. Qabul qilingan qarshi chora, agar uning yordami bilan mumkin bo'lgan iqtisodiy zararni kamaytirish orqali ifodalangan himoya samaradorligi uni amalga oshirish xarajatlaridan oshsa, iqtisodiy nuqtai nazardan maqbul bo'ladi. Bunday holda, axborot xavfsizligini ta'minlashda xavfning maksimal maqbul darajalarini aniqlash va shu asosda umumiy xavfni uning qiymati maksimal darajadan past bo'ladigan darajada kamaytirish uchun bir yoki bir nechta iqtisodiy jihatdan mumkin bo'lgan qarshi choralarni tanlash mumkin. qabul qilinadigan daraja. Bundan kelib chiqadiki, potentsial huquqbuzar o'ziga berilgan imkoniyatlardan oqilona foydalanishga intilib, tahdidni amalga oshirish uchun g'alaba qozonishini kutganidan ko'proq pul sarflamaydi. Shu sababli, axborot xavfsizligini buzish xarajatlarini potentsial huquqbuzarning kutilgan daromadidan yuqori darajada ushlab turish kerak. Keling, ushbu yondashuvlarni ko'rib chiqaylik.

Ko'pgina kompyuter uskunalarini ishlab chiquvchilari har qanday apparatni himoya qilish mexanizmini o'z hisobidan umumiy xarajatlarni kamaytirish istagi bilan qo'shimcha xarajatlar sifatida ko'rishlari ta'kidlanadi. Loyiha menejeri darajasida apparat xavfsizligi vositalarini ishlab chiqish masalasini hal qilishda protsedurani amalga oshirish xarajatlari nisbati va ma'lumotlar xavfsizligini ta'minlashning erishilgan darajasini hisobga olish kerak. Shu sababli, ishlab chiquvchiga himoya darajasi va uni amalga oshirish xarajatlarini bog'laydigan ba'zi formulalar kerak bo'ladi, bu esa oldindan belgilangan himoya darajasini yaratish uchun zarur bo'lgan zarur uskunani ishlab chiqish xarajatlarini aniqlashga imkon beradi. Umuman olganda, bunday qaramlikni quyidagi fikrlarga asoslanib belgilash mumkin. Agar biz xavfsizlik qo'shimcha xarajatlarini kirishni boshqarish mexanizmi tomonidan resursdan foydalanish miqdorining ushbu resursdan foydalanishning umumiy miqdoriga nisbati sifatida belgilasak, u holda kirishni boshqarish iqtisodiyotini qo'llash qo'shimcha xarajatlarning nolga yaqinlashishiga olib keladi.

Allbest.ru saytida e'lon qilingan

Shunga o'xshash hujjatlar

Korxonada axborot xavfsizligi tizimini tahlil qilish. Axborotni himoya qilish xizmati. Korxonaga xos axborot xavfsizligi tahdidlari. Axborot xavfsizligini ta'minlash usullari va vositalari. Xavfsizlik nuqtai nazaridan axborot tizimining modeli.

kurs ishi, 02/03/2011 qo'shilgan

Korxonada axborot xavfsizligiga tahdidlar. Axborot xavfsizligi tizimidagi kamchiliklarni aniqlash. Axborot xavfsizligi tizimini shakllantirishning maqsad va vazifalari. Tashkilotning axborot xavfsizligi tizimini takomillashtirish bo'yicha taklif qilingan chora-tadbirlar.

kurs ishi, 02/03/2011 qo'shilgan

Xodimlarning ierarxik diagrammasi. Axborot xavfsizligi vositalari. Xavfsizlik holati haqida savollar. Korxonaning axborot oqimlari sxemasi. Axborot tizimining yaxlitligini nazorat qilish usullari. Xizmat ma'lumotlariga kirishni boshqarishni modellashtirish.

kurs ishi, 30.12.2011 qo'shilgan

Axborotning mohiyati va uning tasnifi. Tijorat siri sifatida tasniflangan ma'lumotlarni tahlil qilish. Mumkin bo'lgan tahdidlar va axborot tarqalishining kanallarini o'rganish. Himoya choralarini tahlil qilish. “Tism-Yugnefteprodukt” MChJda axborot ishonchliligi va himoyasini ta’minlash tahlili.

dissertatsiya, 23.10.2013 qo'shilgan

Psixologik shaxs turlarini va inson xarakterini aniqlash. Xodimlarni rag'batlantirish profillari. Korxonaning ishlashi uchun zarur bo'lgan asosiy biznes jarayonlarini tahlil qilish. Axborot xavfsizligiga tahdidlar. Insoniy xavflarni baholash va davolash.

referat, 03/11/2015 qo'shilgan

"Aysberg" MChJ korxonasining xususiyatlari, korxonaning hujjat aylanishi va logistika tuzilishini tahlil qilish. Faoliyatni rejalashtirish, boshqarish va nazorat qilish uchun yangi avtomatlashtirilgan axborot texnologiyalarini ishlab chiqish va tavsiflash.

kurs ishi, 03/04/2010 qo'shilgan

Axborot siyosatining maqsadi, uni shakllantirish va amalga oshirish asoslari, qo'llab-quvvatlash turlari. Bank Center-Invest axborot siyosatini tahlil qilish. Axborotni o'z vaqtida va ishonchli oshkor qilish korporativ boshqaruvning asosiy tamoyillaridan biri sifatida.

kurs ishi, 04/10/2011 qo'shilgan

Biznes risklarini aniqlash muammolari. Xavfni aniqlash: xavf "imkoniyat", "xavf" va "noaniqlik" sifatida. Mutaxassislarning axborot va tahliliy ishlariga asoslangan xavflarni baholash. Vaziyatlarni modellashtirish, moliyaviy tahlil.

test, 2010-06-16 qo'shilgan

Ural Security Systems korxonasining axborot tuzilmasini rivojlantirish strategiyasini belgilash va rejalashtirish ishlari. Axborot texnologiyalarini qo'llash sohasidagi ishlarni takomillashtirish bo'yicha tavsiyalar ishlab chiqish, ularni hujjatlashtirish.

amaliyot hisoboti, qo'shilgan 04/14/2014

Korxona xavfsizlik xizmati faoliyatining mohiyati, vazifalari va shakllarining xususiyatlari. Xavfsizlik xizmatining tashkiliy tuzilmasini qurish xususiyatlari. Faoliyat sohalarini tahlil qilish: huquqiy, jismoniy, axborot va tijorat xavfsizligi.