Интернеттегі ақпараттық қауіпсіздік туралы не билеміз?

Интернеттегі ақпараттық қауіпсіздік туралы не билеміз?

Комментарии Нет комментариев

Бұл мәліметтің маңыздылығы — интернеттегі кез келген ақпарат — қауіпсіздікті қажет етеді. Интернет үшін қызмет етеді коммуникация серіктестермен және тапсырыс берушілермен (соның ішінде корпоративтік веб-сайт), қамтамасыз ету қашықтан қатынау корпоративтік ресурстарға және икемді жұмыс кеңістігін кеңейту, іздеу пайдалы ақпарат және жүзеге асыру электрондық коммерциялық транзакциялар. Сонымен қатар интернет қоры ие бірқатар қасиеттерін, қиындататын ақпараттық қауіпсіздікті қамтамасыз ету:

— интернет – бұл көпшілік ашық желі нецентрализованными топологиясы бар және бағыттаушы;

— зиянды белсенділік туындауы мүмкін бір бөлігін интернет және содан кейін тез таралуы бүкіл Дүниежүзілік желі;

— интернетте бақыланады негізінен, кіріс трафик, бірақ шығыс;

— Бүкіләлемдік желіде іс жүзінде жоқ пайдаланушыларын сәйкестендіру

— юрисдикция елдің қылмыс, көбінесе қолданылмайды киберпреступника.

Интернет – бұл орта ақпараттық қауіпсіздік кәсіпорындардың ұшырайды ең үлкен қауіп-қатерге, және сонымен қатар, бұл маңызды құралы бизнес-процестерді.

Өзекті қауіп-қатерлер ақпараттық қауіпсіздік, интернетте — бұл:

— бағытталған белгілі бір кәсіпорын немесе сала (таргетированные) хакерлік және вирустық шабуылдар;

— ұрлық корпоративтік деректер нәтижесінде шабуылдар мобильдік құрылғылар;

— жұқтыру, зиянды бағдарламалар және құпия ақпаратты әлеуметтік желілерде;

— незаметное жұқтыру компьютерлер мен басқа да құрылғылардың бару кезінде қауіпсіз бірінші көзқарас, веб-сайт (шабуыл Drive-by);

— пайдалану жеткіліксіз қорғалған бұлтты веб-сервистер және технологиялар SaaS (Software as a Service, «сервис ретінде»).

Қарапайым қолданушыларды қандай қауіп қатерден сақтау қажет? Ең алдымен мынадай бөлуге болады: Хакерлік-сайттар, олардың балалар туралы ақпарат алады «тәсілдері» өмірімен қош айтысуға; Сайттар-форумдар әлеуетті самоубийц; Наркосайты. Интернет те жаңалықтармен туралы «пайдасы» қолдану марихуана, рецептілері мен кеңестер дайындау «зелья»; Сайттар, разжигающие национальную рознь және расовое қабылдамауын: экстремизм, ұлтшылдық, облысы ақтоғай; Сайттар порнографической бағыты; Танысу сайттары. Виртуалды «өлтіреді» коммуникативтік дағдылар жасөспірім; секталар. Тіпті қауіпсіздік тұрғысынан және сақталуын сіздің мүлікті, қарым-қатынас желілеріндегі керек бақылауға! Бұл емес, толық тізім қауіп-Интернет желісі. Кез-келген оқушы мұмкін осындай сайттар кездейсоқ: шертіп всплывшему баннеру немесе сілтемені басу арқылы. Балалар бар, іздеген осындай ақпаратты арнайы, және, әрине, табады. Сонымен қатар, пайда психологиялық ауытқу сияқты компьютерлік және Интернет — тәуелділік, игромания (тәуелділік-компьютерлік ойындар).

Қамтамасыз ету мемлекеттің ақпараттық қауіпсіздігін қорғау, дене, ақыл-ой және адамгершілік даму кәмелетке толмағандар, сондай-ақ адами қадір-қасиетін, барлық дыбыс-бейне медиа-қызметтері және электрондық БАҚ – талабы. Халықаралық стандарттары ақпараттық қауіпсіздік саласында балалардың көрініс тапты және ресей заңнамасы. Федералдық Ресей Федерациясының заңы № 436-ФЗ 29 желтоқсандағы «2010 жылғы балалар Туралы ақпараттан және дамыту» ережелерін белгілейді медиа-балалардың қауіпсіздігін айналымы кезінде Ресей аумағында өнімнің БАҚ, баспа, дыбыс-бейне жазу өнімдерін берілімдерінің кез келген түрлерінде, бағдарламалар үшін компьютерлер мен деректер базасын, сондай-ақ орналастырылатын ақпараттық-телекоммуникациялық тораптары мен желілеріндегі, жылжымалы радиотелефондық байланыс. Заң ақпараттық қауіпсіздік балаларды қорғалуының жай-күйін, жоқ байланысты тәуекел келтіріп, ақпаратпен (соның ішінде таратылатын Интернет желісінде) олардың денсаулығына, дене, психикалық, рухани және адамгершілік дамыту.

Сайт, портал және виртуалды деректер орталығы қажет-ақ сенімді қауіпсіздік жүйесі. Аталған компания жылжиды бағытында үлестірілген деректерді өңдеу және жеңілдету ақпаратқа қол жеткізу, қауіпсіздігіне ие болуда неғұрлым ауқымды сипат. Осы факторлардың үйлесуі ықпал етеді күшейту тәуекел. Жүйесі қажет кешенді қауіпсіздікті басқару (КУБ). Шешу керек қандай рөл бөлінуге басқарылатын қауіпсіздік қызметіне және совладать өспелі ағымын деректер түсетін қаражат. Прибавьте мұнда тұрақты жаңарту, бағдарламалық қамтамасыз ету мен байланысты проблемалар сымсыз жүйелерімен.

Хакерам оңай қызметшілермен аттары қоғамдастықтар құқықтарымен оқулары: бір бағдарлама-анализатор (Ethereal сияқты) жеткілікті оқу үшін сұраныстарын менеджерлер желіні басқару. Жүйесін, қорғау үшін, қол жеткізу қолданылады тізімі бақылау қол жеткізу оңай құрбаны хакерлердің. Бірақ мен қорғау арқылы тізімдер қол жеткізу жиі аз тиімді, epon және іске асыру. Нечистые қолдарын қызметкерлері алады айналып тізімі.

Іріктеу атындағы қоғамдастық/әдісі «дөрекі күш». Елеулі тәуекел факторы болып табылады емес, алыстағы аттары қоғамдастықтар әдепкі. Internet табуға болады өте толық тізімі, олардың негізінде оңай таңдауға аттары әдепкі жүйелеріне іс жүзінде кез келген өндіруші. Жиі әкімшілері қалдырады бұл есімдер кейін инсталляции айтарлықтай жеңілдетеді теңгеден аспауы басып алу жүйелері. Жүйесі сканерлеу қорғау ұсынады оңай сатылатын шабуылды жүйесі SNMP, оның шеңберінде процесінде іріктеу атындағы қоғамдастықтың, сонымен қатар, тізімде сөздердің перебираются барлық қол жетімді белгілердің реттілігі. Егер хакерлердің уақыты бар (бірнеше апта), ол өткізу осындай шабуыл «әдісімен өрескел күш» және елеулі ұлғаю жүктеме желісі. Алайда, мұндай әрекеттер распознаваться, кез келген жақсы сконфигурированной жүйесіне рұқсатсыз қол жеткізу.

Ұстау жүйесі арқылы қашықтан мониторинг. Қашықтан мониторинг мақсатында әзірленеді және қашықтан талдау желі болған ақауларды және жағдайда, ақылға қонымды пайдалану, айтарлықтай жеңілдетеді қызмет көрсету компьютерлік желілер. Бұл ретте туралы анықтама беріледі компьютерлер желісі (hosts), отправителях және алушылар ең үлкен деректер көлемін (hostTopN, әдетте, серверлер және т. б. Жиі «перевербованные» коммутаторлар немесе маршрутизаторлар бірнеше ай бойы ретінде пайдаланылады бастапқы базасын хакерлердің. Бұл, әрине, жиі әкімшісі тексереді конфигурациясын коммутатор, егер ол дамылсыз жұмыс істеуде?

Басқа шабуылдар. Құралдар басқару немесе басқа өндірушінің болады әрқашан әлсіз жерін табуға, epon және іске асыру. Бұл ретте туындайды бірқатар қауіпсіздік проблемалары, соның негізінде мүмкін болып отыр қолжетімділік конфигурационным деректері бар аттар пайдаланушылардың парольдері мен аттарын қоғамдастықтар. Излюбленный прием взломщика — переконфигурация маршрутизаторов. Ол бақылау деректер алмасу мақсатында оларды өзгерту немесе тек оқу және құру үшін осылайша, шарттары үшін техникалық жағынан күрделі шабуылдардың аралық буын (Man in the Middle), онда ол көрсетеді өз маршрутизатор ретінде тағы бір-тармағының жүру пакеттерді жолдары сервері арасындағы және құрбаны.

Коммутаторлар жүзеге асыруға мүмкіндік береді талдау арқылы айналы порттары. Мұндай жағдайда теңгеден аспауы мүмкін емес қол жеткізуге болады іс жүзінде барлық берілетін коммутатором. Жалғыз шарты — жеткілікті өткізу қабілеті айналы порт.

Айта кеткен жөн, қолда бар кез келген бағдарламалық қамтамасыз етудегі осалдықтар салдарынан толып кеткен буфер. Хакерлер қолданады, бағдарламалау қателер енгізу арқылы сверхдлинных тізбектер белгілерін әкелетін не сбою тиісті процесінің/немесе орындауға жол берілмейтін қадам бағдарламаны атакованной жүйесі. Әсіресе көп табылады осындай осал орындарының сконфигурированных арқылы сервер Web маршрутизаторов.

Көздері «ақпараттық» апаттар болып табылады: дұрыс емес, толық емес, бесполезная ақпарат, ақпараттық тиеу.

Технология дамуда, құрал-саймандар, ол үшін пайдаланылуы мүмкін шабуылдардың жүйесі өзінің мүмкіндіктеріне әрқашан озық ойлы арналған өнімдер және оларды қорғау. Және есіңізде болсын: тек жақсы оқытылған, білікті пайдаланушылар, осознающие осы мәселенің маңыздылығы алады қолдап, тұтастық және ақпараттың қорғалуын және ресурстар алдында үнемі өсіп келе жатқан қауіп.

Талдау осалдығын кейде екі түрлі болады: пассив және актив. Кезінде пассивном жақындаған сканерлеу жүргізіледі жүйесін жасай отырып, болжам жүргізу мүмкіндігі туралы баса-көктеп. Ал актив тәсіл көздейді әрекеттерін жүргізу болды.

Әзірлеу кезінде кез келген қорғау стратегиясы, ең алдымен, қажет дәл анықтау, бұл қорғайтын. Бастаңыз анықтау нақты шектеулер жүйесін, олардың қауіпсіздігі сіз қамтамасыз етуге ниетті. ИТ-жүйесін білдіреді кешендері жеке компоненттерін, бағдарламалық қамтамасыз ету, деректер қызметтерінің байланыс және бизнес-процесс. Атап өту маңызды, бұл жүйе міндетті емес тұрады компьютерлер, байланысты бір-бірімен немесе бір нәрсе. Мысалы, әрқайсысының қызметтік жүріп-тұруға арналған агенттері бар мобильді компьютер барлық компьютерлер үшін қызмет етеді орындау бір және бақылайтын уәкілетті маман. Барлық мобильді компьютерлер да қорғау керек.

Кейін сіз қалай анықтадық, бұл білдіреді жүйесі, сіз күтіп, қорғауға, сіз жақсы түсінуге, кім және оған қауіп төндіреді. Енді анықтау керек, қаншалықты маңызды әрбір құрамдас үшін шешу үшін шеңбер алдында тұрған міндеттерді осы бөлімшесі. Ақпарат сақталатын жүйесі, физикалық инфрақұрылым, бағдарламалық қамтамасыз ету және жұмыс істейтін мамандар осы жүйемен бағалануы тиіс тұрғысынан негізгі үш типі әлеуетті қауіп — сол, бұл әкеледі азайту әзірлігі, сенімділігі мен ашуға құпия немесе құпия ақпарат.

Бағалау кезінде тәуекелдің жеткілікті алуға объективті жауаптар мынадай үш мәселені. Қаншалықты маңызды нақты АТ-ресурсы? Қандай зиян келтірілсе ұйымдастыру, егер аталған ресурс болып шықса зақымданған немесе жойылып кетті ме? Қандай ықтималдығы, бұл зиянкестер алады және болады бұл осал жері үшін өз шабуылдардың?

Тәуекел — бұл шығындардың пайда болу мүмкіндігі, ол пайда нәтижесі ретінде өзара іс-қимыл жұп «қауіп» және «әлсіздігі». Әрбір қауіп талап етіледі бағалау шығындар, олар орын алған кезде, оны іске асыру. Осылайша, талап етіледі білуге ауыстыру құны, ықтимал шығындар қалпына келтіру зияткерлік меншік құны, бір сағат машиналық уақыттың басқа да шарттары (қаншаға жоғалту құпиялылығын, тұтастығын және т. б.).

Айта кету керек, бағалау процесін, тәуекелдерді қамтиды үш бейнетті жұмыс: сәйкестендіру ресурстар және анықтау олардың құнын анықтау; қауіп-қатерлерді айқындау; қарсы шараларды белгілеуге. Орындау мерзімдері олардың әрқайсысы болуы мүмкін жеткілікті үлкен. Ұсынылмайды тырысып төмендетуге талап етілетін еңбек шығындары, бағалау тәуекелдер және, осылайша, мерзімдерін қысқарту: бұл әкелуі мүмкін еместігі тізбесін қалыптастыру кезінде ресурстар және тиісті қауіп.

— Макрообъектам қолданылады негізінен макроугрозы, атап айтқанда, табиғи апаттар. Әдетте, мұндай тәуекелдер беріледі және сақтандыру компанияларына.

Желілік сүзгілер мүмкін салдарынан шамадан тыс зиян жабдықтар. Ағып толтырғыш өрт сөндіргіштерді және аккумуляторлар жаман әсер етеді электроника; жиі жабдықтар тәуелді ілеспе жүйелерді баптау. Сонымен қатар, қарауға мүмкіндік ұрланған жабдықтың немесе оны пайдалану рұқсат етілмеген.

Бағдарламалық өнімдер болуы мүмкін кездейсоқ немесе әдейі өзгертілген немесе жойылған өздері бағдарламашы, мұғалім немесе пайдаланушылар. Бір қызығы, бірақ процесс резервтік көшірмелерін жасау, сондай-ақ өзімен бірге қауіп-қатерлер бұзу бағдарламалық қамтамасыз. Әдетте, бұл неотлаженной рәсіміне қалпына келтіру ақпаратының резервтік көшірмелерін. Бар және белгілі бір тәуекел, орнатылатын бағдарламалық қамтамасыз ету бастапқыда болып табылады зақымдалған және неработоспособным болса, алдыңғы жұмыс нұсқасы қазірдің өзінде затерта.

Зерделеу керек сияқты қауіпсіздігі қамтамасыз етіледі тасығыштарды сақтау, олар болуы мүмкін зақымдалған немесе жоғалған. Жоғалған тасығыштың назарға сондай-ақ, құнды ақпарат сақтаулы осы болып табылады.

Қолданылатын деректер ескеріледі қауіп құрылатын зиянкестермен. Ақпарат дискідегі мүмкін скопирована, оқылуы немесе тіпті затерта арқылы желілік қосылыстар. Тасымалдаушылар (сыртқы көшірмелері, басып шығару, сондай-ақ өздері компьютерлер) болуы мүмкін бүлінген, жоғалған немесе украдены.

Көп пайдаланылады ресурстар ақпараттық жүйесін, неғұрлым осал ол. Жүйесінде туындауы мүмкін поддельная электрондық хаттар, құпия ақпарат жариялануы мүмкін БАҚ, бәсекелестер анықтау туралы ақпарат ноу-хау — ұйымның тізімі қауіп-шексіздікке дейін жалғастыруға болады.

Қауіп байланысты персоналдың мүмкін сәйкестендірілген сақтандыру компаниясы. Айталық, жұмыстан шығуға машинаға (жазатайым жағдайдан сақтандыруды), орын алуы мүмкін производственная травма (сақтандыру өндірістегі жазатайым оқиға) немесе бәсекелестер шешеді переманить оның жоғары жалақысы бар.

Бұл объект болып табылады тәуекел? Әрбір объектінің (ресурсын) ақпараттық жүйесінің бар құны. Жүйелеу үшін құнын бағалау ресурстар бөлуге болады: мынадай санаттарға ресурстар:
Макрообъекты. Ғимараттың объектілері орналасқан ақпараттық жүйесін, сондай-ақ кондиционерлеу жүйесін, басқа демеуші құрал-жабдықтар. Макробъекты бейім, негізінен, тәуекелдер форс-мажорлық мән-жайлар секілді өрт немесе су тасқыны, жер сілкінісі немесе химиялық жұғады. Құны осындай ресурстарды анықталады шығындарды іске қосу объектілерінің ақпараттық жүйесінің «нөлден» немесе шығындардың оларды қайта орнату немесе қалпына келтіру.

Құрал-жабдықтар. Аппараттық қамтамасыз ету ақпараттық жүйесі орналасқан, қарастырылып отырған аймақта, мүмкін істен шығуы. Мұнда енгізілмейді объектілері сияқты канальное жабдық немесе АТС тыс орналасқан макрообъектов. Құны осы ресурстардың құны ретінде айқындалады жабдықтарды сатып алу ескере отырып амортизация құны плюс шығыстар қолдауға шарттарға сәйкес техникалық қолдау көрсету.

Бағдарламалық қамтамасыз ету. Барлық бағдарламалық өнімдер және құжаттама мүмкін жоғалған бүлінген жағдайда ақпараттық жүйе. Бұл санатқа кіреді, коммерциялық (олардың құны ретінде анықталады сатып алу бағасы лицензия), сондай-ақ бағдарламаның өз әзірлеу (олардың құны ретінде бағаланады шығындар қалпына келтіру бағдарламалық өнімді ескере отырып, сонымен қатар, бастапқы коды және құжаттама толығымен жоғалған).

Ақпарат тасымалдаушылар. Тасымалдаушылар, олар жоғалған толығымен қираған кезде ақпараттық жүйесі. Олардың құны тең деп қабылданады шығындар сатып алуға жаңа тасығыштарды.

Деректер. Үлгілік әдістемесін сандық бағалау құнын ақпарат іс жүзінде жоқ. Бөліп көрсету ұсынылады ақпаратты өмірлік қажеттілік болып табылады жұмыс істеу үшін қажетті ұйымдастыру (стратегиялық жоспарлары немесе операциялық регламенттер, бизнес-процестер, корпоративтік деректер базасын, ақпарат ұйымның қызметкерлері туралы және т. д) бұл тізімге сондай-ақ енгізілуі мүмкін зияткерлік меншік ұйымының, егер қаралады тәуекел әшкереленген тиісті деректер (шын мәнінде, кейбір ақпарат түрлерін, мысалы, ноу-хау, өз құнын жоғалтады қарай кеңейту шеңбер тұлғалардың ознакомленных олармен). Құны деректер тұрады өндірісінің құнын өлшеу, деректер жинау және құнын енгізу деректерді тасушы.

Материалдар. Құны заттай активтер, бақыланатын немесе есепке алынатын компьютер, бұл мүмкін араласу ақпараттық жүйесіне мақсатында ақпаратты бұрмалау.

Операциялар. Құны операциялық бюджеттің барлық іс-әрекеттер, олар үшін қажет компьютерді пайдалану.

Персонал. Қызметкерлерінің айлық жалақысы қызмет көрсетуге қатысатын ақпараттық жүйелер, сондай-ақ операциялық қызмет.

Беделі фирмалар. Қарамастан, өз неочевидность, ең ірі және қымбат тұратын ақпараттық ресурстар. Мысалы, тырысып алуға ірі несие ағуы тиісті ақпаратты мүмкін.

Қарастырайық нақты қауіп-қатер қауіпсіздік жүйесі:

Адами фактор. Жүйесі жобаланады және адамдармен құрылады. Оларды дамыту және толықтыру, сондай-ақ жүзеге асырады адамдар. Адам бейімді қателіктер жасауға, оның күрделілік деңгейі қателерді тікелей байланысты артықшылықтар жүйесі. Жиілігі (ықтималдығы) жасалған қателіктерді кері пропорционал біліктілік деңгейіне, персоналдың, алайда өсуімен, персоналдың кәсіби сөзсіз өсуде фактор шаралар осалдығын ресурсын қаупі. Басқа сөздермен айтқанда, кәсіби қызметкері жүзеге асыруға үлкен шеңбер қауіп, ол қолданушы жұмыс істеуге үйретілген жүйесімен қатаң орындау шеңберінде оған қойылған тапсырмалардың.

Алаяқтық және ұрлық. Ақпараттық технологиялар барлық кеңінен пайдаланылады жасау үшін түрлі алаяқтық әрекеттер. Компьютерлік жүйелер өте осал үшін дәстүрлі және жаңа әдістерін алаяқтық. Қаржы жүйесі болып табылады айрықша объектісі алаяқтар үшін. Алаяқтыққа мкін, сондай-ақ бақылау жүйесін және жұмыс уақытын есепке алу, түгендеу жүйесін, бағалау жүйесін, еңбек, биллингтік жүйесі. Бұрынғы қызметкерлері ұйымдар, сондай-ақ көзі болып табылады қауіп-қатерлер, әсіресе, егер олардың қол жеткізу мүмкін емес тиісті түрде шектелген после увольнения.

Хакерлер. Объектісі шабуылдар тарапынан хакерлер ғана емес, сонымен қатар есептеуіш кешендерді, деректер базалары, қоймалар мен деректерді өңдеу орталықтары және белсенді желілік құрал-жабдықтар, араласу, оның көбінесе бар одан да қорқынышты салдары. Осылайша, ақпарат, циркулирующая маршрутизатор арқылы мүмкін перенаправлена бойынша жалған мекен-жайы. Мысалы, кезінде әшкереленген есепке алу деректерін әкімшісінің мүмкіндіктері мен қашықтан кіру қаскүнем өзгерте конфигурациясын белсенді желілік жабдықты. Бұл бұзу анықтауға болады жағдайда ғана бақылау орнату тұтастығын маршрутизатор конфигурациясы, бұл іс жүзінде орын өте сирек. Жиі қаупі хакерлердің бөлінеді әлдеқайда көбірек көңіл, ол барлық басқа да қауіп-қатерлер. Шын мәнінде, әсер хакерлердің арналған ақпараттық жүйелер — өте кең тараған құбылыс. Сонымен қатар, мүмкіндігі бар әсер ететін ішкі тәртіп бұзушыға әкімшілік шаралармен, алайда мұндай мүмкіндігі жоқ адамға қатысты құқық бұзушының сыртқы — бұл жағдайда, тікелей бұзу қылмыстық немесе әкімшілік заңнама. Сонымен қатар хакерлер мәжбүрлейді пайдаланушылар өздерін осал, өйткені іс жүзінде қаскүнем анықталған жоқ. Ақырында, ұйымдарға белгісіз шынайы мақсаттары батыр; жүйені бұзу жүргізілуі мүмкін ұйымдастыру мақсатында ағуы мүмкін, және спорт қызығушылық. Барлық осы жорамалдар әкеледі барлық ықтимал модельдерін батыр үлгісі таңдалады, қабілетті жүзеге асыру ең нашар қауіп ақпараттық жүйесін және көп залал келтіруі мүмкін.

Өнеркәсіптік тыңшылық. Ақпарат жинау, ұйымдастыру және жүзеге асырылуы мүмкін мақсатында және оны басқа ұйымның, ол жай-күйі үйренген ол үшін пайда. Ақпарат, оның таралуы келтірсе көп залал жатады туралы құжаттама әзірлеуге, инженерлік құжаттама туралы деректер, сату, клиенттердің тізімдері туралы мәліметтер әзірлеуге және жоспарлауға және т. б.

Зиянды код. Көбінесе қызметі зиянды кодты (вирустар, «троян» аттар, құрттар, «логикалық бомбалар», басқа да рұқсат етілмеген бағдарламаны) шектейді ғана саласымен жұмыс станциялары, бірақ ол жиі қолданылады әлдеқайда күрделі. Айқын ақшалай залал бағалауға болады, просуммировав потери от простоя жүйесін және шығындар жою үшін зиянды кодты.

Қауіп дербес деректері. Жинақтауға үлкен санын дербес деректердің ақпараттық жүйелерінде үкімет, қаржы және өзге де ұйымдар жүргізеді арттыруға қызығушылықты осындай жүйелерге тарапынан алаяқтық. Байланысты агрегациясының, қайта жазу, мониторинг, өңдеу және ұқсас деректер туындайды әбден нақты қаупі дербес деректері. Рұқсат етілмеген барлау » дербес деректер және оларды қайта сату мүдделі тұлғаларға немесе ұйымдарға көптеген елдерде заңсыз деп танылды. Мұндай деректер болуы мүмкін, мысалы, ақпарат туралы жылдық табыс, несие тарихы, туыстық байланыс, жай-күйі және банктік шоттарының нөмірлері, несие карталары.

Бар және басқа да факторлар, ол қиын бағалауға, бірақ, дегенмен, талап етіледі назарға: ішкі ұйымдастыру мәселелері (мысалы, еңбек заңнамасын бұзушылық фактілері); құны жоғалту ақпараттың құпиялылығын; шығындар ықтимал сот талқылауларына; құны жоғалту ақпараттың қолжетімділігі.

Сандық және сапалық талдау. Тәжірибе көрсеткендей, ең үлкен проблема тәуекелдерді бағалау болып табылады бағалау мүмкіндігін жүзеге асыру сол немесе басқа қауіп-қатерлер бар. Жиі іске асыру ықтималдығы қауіп қабылданады негізге ала отырып, наихудшего сценарий оқиғалардың дамуы. Басқа сөзбен айтқанда, егер қатер бар болса, онда ол іске асырылатын болады ықтималдылығы 100%. Осылайша, параметр іске асу ықтималдығы қауіп іс жүзінде алынып тасталады талдау және тәуекелдерді бағалау. Бұл әдіс қиын деп атауға дәл, өйткені оның жүзеге асыру іс жүзінде мүмкін, артық шығыстар ақпаратты қорғау құралдары және соның салдары ретінде бұзылуына әкеп соғуы ақылға қонымды жеткіліктілік принципін шығындар, оған сәйкес құн қорғау құралдарын аспауы тиіс құны көрсетілген. Дәл бағалау мүмкіндігін жүзеге асыру қаупін қарастыру үш шамалар:

ең төменгі ықтималдығы (мысалы, орнату кезінде етеді ықтималдығы жабдықтардың зақымдануы нәтижесінде найзағайдың түсуінен құрайды 0,0001%) — «оптимистік»болжам»);
ең ықтимал бағалау;
ең жоғары ықтималдығы (мысалы, болмауы етеді ықтималдығы жабдықтардың зақымдануы нәтижесінде найзағайдың түсуінен 80% құрайды) —»пессимистік болжау»).
Қабылдау «оптимистичного» және «пессимистичного» болжамдар нөлге тең және бірлікте тиісінше әкеп соқтырады » тәуекелдерді бағалауды қаланады ең ықтимал бағасы сату қауіп, ол, алайда, емес, тең талап етілетін орта мүмкіндігін бағалау іске асыру қатер.

Көру есептеу мүмкіндігін бағалауды, алайда разумнее барлығы жай ғана жүгінуге статистикалық деректері туралы прецедентах осындай жүйелерімен және шынайы құны туралы ақпаратты ресурсты, сондай-ақ статистикалық деректер мен қауіп-қатерлерді іске асыруға қатысты осы ресурсқа. Атап айтқанда, осындай жолмен түседі сақтандыру компаниялары ескере отырып, тәуекелдер бірі прецедентных оқиға орнына қайтадан есептеу.

Осылайша 70% — ға дейінгі ұйымдардан орын алған инциденттер бұза отырып, қауіпсіздік. Жартысынан көбі ұйымдардың (56%), төлеби операциялық шығындар 25% туралы мәлімдеген қаржы, ал 12% — басқа да шығындардың түрлері. Орта есеппен әрбір ұйымға тура келді шамамен 136 саласындағы қылмыстарды АТ, 30% кем емес ұйымдардың хабарлауынша, олардың ұйымдарында осындай жағдай болған емес, ал 32% — ы ғана подсчитывали шеккен шығындар.

Бағыттары ақпаратты қорғау
Тәуекелдерді басқару қажет қамтамасыз ету үшін пайдалану мүмкіндігін ішкі қосымшалардың барынша азайту қауіп баса-көктеп зиянкес ашу және құпия деректерді. Кейін сәйкестендіру қатерлер мен тәуекелдерді бағытталған жүйесін қарауды талап етеді контрмеры. Таңдау қарсы шараларды белгілеуге тиіс негізге ала отырып, ақылға қонымды жеткіліктілік принципін, яғни сату құны контрмеры аспауы тиіс сандық шамасын шығындар. Осылайша, кейін сәйкестендіру қарсы шараларды белгілеуге қажет туралы шешім қабылдауға іс-әрекет үстінде тәуекелі бар: алдын алу, шектеу немесе қабылдау (яғни жасамауы үшін ешқандай шаралар көлемін азайту тәуекел). Қорғау жүйесі қамтамасыз етуі тиіс келесі сипаттамалары:

құпиялылық – кепілдеме-бұл нақты ақпарат ғана қол жетімді сол адамдар тобы, ол кімдерге арналған бұзылуы; осы санаттағы деп аталады ұрлау немесе ақпаратты ашумен;
тұтастық – кепілдік қатар, бұл ақпарат қазір оның бастапқы түрінде, яғни, сақтау немесе беру жүргізілген жоқ рұқсат етілмеген өзгерістер бұзылуы; осы санаттағы деп аталады бұрмалауға хабарлама;
дәлме-дәлдігіне кепілдік қатар, ол ақпарат көзі болып табылады дәл тұлға ретінде мәлімделген, оның авторы бұзылуы; осы санаттағы деп аталады бұрмалауға автордың хабарлар;
апеллируемость – кепілдік беруші, қажет болған жағдайда дәлелдеуге болады, бұл автордың хабарлар болып табылады мәлімделген адам емес, болуы мүмкін басқа ешкім; қарағанда осы санаттағы алдыңғы деп подмене автордың үшінші тұлға мәлімдеуге тырысады, ол — автор қатынасының бұзылуы кезінде апеллируемости – өзі автор тырысады бас тартуға, өзінің авторлығын.
Негізгі принциптері жүйесін құру қорғау болып табылады:

қолдану аралас аппараттық-бағдарламалық құралдарын;
пайдалану криптографиялық құралдары бар, тиісті сертификаттар алған.
Кезінде қорғауды ұйымдастырудың кез-келген жүйе болуы тиіс есте келесі маңызды сәттерді.

Не қымбат: алдын алуға мүмкін залалды шектейтін, немесе ештеңе қабылдауға? Бұл тежейді құру кешенді ақпараттық қауіпсіздік жүйелерін? Үшін бұл сұраққа жауап беру бағалау керек объектілеріне қауіп-онымен байланысты тәуекелдер, сондай-ақ дәрежесі орындылығы қорғау әр түрлі нысандарын сіздің ұйымдастыру.

Жасау кешенді қауіпсіздік жүйелерін міндетті ілеспелі фактор іске асыру кезінде ақпараттық жүйелерінің кез-келген қиындықтағы. Дегенмен құру кезінде ақпараттық қауіпсіздік жүйесі әрдайым сұрақ туындайды орындылығы туралы шығындарының ұсынылатын контрмеры. Болмауына байланысты нақты әдістемелерін негіздеу шығындарды қалыптастыру процесі ақпараттық қауіпсіздік жүйелері тежеледі қабылданғанға дейін ұйым басшылығы туралы шешім орындылығы (орынсыздығы) осындай шығындарды.

Әрбір қаупі бар ықтималдығы оның көріністері қаралатын болады. Әрбір қаупі болуы мүмкін белгілі бір шығындар, оны жүзеге асыру кезең үшін-бір жыл. Бұл ретте назарға бірқатар сәттерді. Кездейсоқ реализациях қауіптерді (мысалы, операциялық қателер немесе қателіктер бағдарламалау) шығындар тәуелді уақыты. Кезінде қауіп-қатерлерді іске асыруға, табиғи сипаттағы шығындар негізге алына отырып есептеледі келтірілген мүліктік залал мен уақыты. Кезінде қауіп-қатерлерді іске асыруға, өнеркәсіптік сипаттағы (мысалы, құрал-жабдықтардың істен шығуы) шығындар негізделеді шамаланған құны жүйесін іске қосу құны және уақыты.

Ретінде тәуекелдерді азайтуға болады? Азайту тәуекелдер көлемін ақпараттық жүйесін нөлге мүмкін емес. Сондықтан, іс-әрекеттер қауіп-қатерін азайту жөнінде болуға тиіс бірінші кезекте бағытталған толық жою тәуекел, тиімді әдісін таңдау басқару осы тәуекелді төмендету және тәуекелді қолайлы деңгейге дейін. Қарастырайық кейбір типтік контрмеры.
Макрообъекты — ең көп таралған объект тәуекелдерді басқару сақтандыру компанияларында. Бұл жағдайда өз күш-жігерін бағыттау керек болдырмау, пайда болу салдарын, дүлей зілзала кезінде және табиғи құбылыстар, мысалы, қамтамасыз ету грозозащиту орнату, жайтартқыштар, үздіксіз қоректендіру көздерін, жүйесін ұйымдастыру өрт сөндіру және сақтандыруды жүзеге асыруға міндетті, қажетті көлемде.

Болдырмау үшін проблемаларды іркіліспен » электрмен қоректендіру жұмысының есебін жасауға қолдану қажет үздіксіз қоректендіру көздері. Сондай-ақ, контрмеры қатысты жабдықты қамтуы мүмкін және ауаны баптау жүйелерін қолдану (соның ішінде резервтік жүйесі кондиционерлеу), резервтік серверлері, тораптар ыстық ауыстыру, қосалқы бөлшектер, құрал-саймандар жүргізу үшін жедел жөндеу, тосқауылдар үшін жабдықтарды жағдайда ену ылғал үй-жай. Нақты стандарт болып табылады құру резервтік деректерді өңдеу орталықтары. Мәселен, құжаттарда бірі-разрядты сипаттамасы «үздік тәжірибелерді» мәлімделсе, онда негізгі және резервтік орталықтары бөлінуі керек қашықтығы кемінде 80 км, осының есебінен қол жеткізіледі катастрофоустойчивость.

Бағдарламалық қамтамасыз етуге қатысты негізгі контрмера — бұл, әрине, резервтік көшірмелерін құру. Көздеу қажет сақтау бірегей дистрибутивов арналған отчуждаемом болып табылады. На случай утраты (істен шығу) түпнұсқалық тасығыштың қажет жасасуға өндіруші коммерциялық бағдарламалық қамтамасыз етуді ауыстыру туралы келісім тасығыштың. Өздері тасымалдаушылар орынды сақтауға жанбайтын шкафтарда бөлек макрообъекте.

Істен шыққан жағдайда ақпараттық жүйесінің мүмкіндігі қарастырылуы тиіс жалғастыру материалдармен жұмыс істеу кезінде ақпараттық жүйесін қалпына келтіру. Осылайша, болмайды толығымен бас тартуға пайдалану «қағаз» құжат айналымы қажеттілігі кенеттен шыққан ақпараттық жүйесінің істен мүмкіндігі жұмысты жалғастыру авариялық режимде пайдалана отырып, қарапайым құралдарды құжат айналымы.

Тұлғаның тәуелді ақпараттық жүйенің жұмыс істеуі болуы тиіс мүмкіндік беретін қолайлы уақытта келуге объектісіне ақпараттық жүйесінің алдын алу мақсатында одан әрі дамыту, оқиғадан тыс сипатына байланысты оқиға. Осылайша, шартта күзет агенттігі көрсетілуге тиіс, соның ішінде оның қызметкерлері алған кезде дабыл белгісін келулері тиіс нысан. Сонымен қатар, талап етіледі осылайша регламенттеу қолданылу жағдайда, штаттан тыс жағдайларды алу үшін, кімнің тікелей құзыретіне кірмейді қалпына келтіру бойынша операциялар жүйесінің жұмыс қабілеттілігі, алар басшылыққа ала отырып, регламентте тоқтата дамыту инцидент немесе оны ауыздықтау мүмкін. Деректер регламенттер болып табылады жататын құжаттарға негізгі құжаттың сипаттайтын саясатын тосын жағдайлардағы іс-қимыл. Мұндай құжат (Жоспар төтенше жағдайлардағы іс-қимылдардың) құрамында жауапты тұлғалардың тізбесі мен олардың координаттары және тізбесі тиісті регламенттер.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *