Vă mulțumim pentru vizităhttp :// Ndki . oameni . ru

Egoryshev A.S. Problema securității informațiilor în activitățile organelor de afaceri interne. / Reforma socială în Federația Rusă și Republica Bashkortostan și problemele economiei subterane și ale securității naționale (Proceedings of the Russian Scientific Conference) - Moscova-Ufa, 1997. - P. 102 - 106.

Egoryshev A.S.– student al Institutului de Drept Ufa al Ministerului Afacerilor Interne al Federației Ruse

Problema securității informațiilor în activitățile organelor de afaceri interne.

Crima rusă modernă devine din ce în ce mai profesionistă. Ca un indicator al profesionalismului lumii criminale, se poate numi apariția unei forme de criminalitate care nu era anterior atât de răspândită în Rusia ca criminalitatea informatică. Amploarea sa modernă este de așa natură încât necesită cea mai activă muncă pentru a proteja informațiile de pirații electronici.

Costurile de conversie au provocat o ieșire de creiere din multe sfere de elită ale științei și producției. De exemplu, inginerii electronici ruși sunt considerați cei mai experimentați în domeniul criminalității informatice. Aproximativ 100 de mii de oameni lucrează constant pentru criminalitatea informatică în republicile fostei URSS și alte 3 milioane de oameni lucrează din când în când. Moscova, Sankt Petersburg, Ucraina și Uralii sunt considerate centre ale criminalității informatice. Criminalitatea informatică din Rusia este o preocupare tot mai mare în străinătate, deoarece, ca urmare a fraudei informatice iscusite efectuate de pirații electronici ruși, băncile străine pierd sume mari de bani care dispar într-o direcție necunoscută.

Criminalitatea informatică a devenit un adevărat flagel al economiilor țărilor dezvoltate. De exemplu, 90% dintre firmele și organizațiile din Marea Britanie au devenit în diferite momente ținte ale pirateriei electronice sau au fost găsite

Sub amenințarea sa, în Țările de Jos 20% din diferitele tipuri de întreprinderi au devenit victime ale criminalității informatice. În Germania, 4 miliarde de mărci sunt furate anual folosind computere, iar în Franța - 1 miliard de franci. Experții notează un nivel ridicat de latență pentru acest tip de infracțiune, deoarece în 85% din cazuri, faptele de piraterie software nu sunt dezvăluite.

Situația este agravată de faptul că organele de drept înseși devin obiectul atenției infractorilor înarmați cu tehnologie informatică modernă. Prin urmare, astăzi sarcina de a-și proteja propriile informații a devenit foarte relevantă pentru organele de afaceri interne.

Securitatea informațiilor este protecția informațiilor și a infrastructurii suport împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială care ar putea cauza daune proprietarilor sau utilizatorilor de informații și infrastructurii de sprijin.

Problema securității informațiilor, în special pentru agențiile de afaceri interne, este de cel mai mare interes astăzi. Lupta împotriva criminalității informatice este una dintre cele mai importante sarcini ale agențiilor de aplicare a legii pe fondul dezvoltării enorme a sistemelor informaționale, a rețelelor locale și globale.

Problema asigurării securității informațiilor este de natură complexă, a cărei soluție necesită o combinație de măsuri legislative, organizatorice și software și tehnice.

Îmbunătățirea în timp util și eficientă a legislației este necesară, deoarece Cadrul legislativ actual în acest domeniu este semnificativ în urma nevoilor practice.

Există un deficit uriaș de personal înalt calificat în departamentul de poliție. Această problemă, în opinia noastră, poate fi rezolvată în următoarele moduri:

în legătură cu o reducere semnificativă a personalului forțelor armate ale Federației Ruse, printre care se numără mulți specialiști buni în domeniul muncii pe calculator, este posibil ca aceștia să fie implicați în munca în agențiile de aplicare a legii;

introducerea unor cursuri speciale de pregătire inițială și profesională pentru lucrul cu calculatoare personale, introducerea în programa de studii a cursului „Securitatea informației și utilizarea tehnologiilor informaționale în lupta împotriva criminalității”, aprobat de Direcția Principală de Personal a Ministerului Afacerile Interne ale Rusiei la 1 iunie 1997 în instituțiile de învățământ de învățământ profesional superior ale Ministerului Afacerilor Interne al Rusiei în specialitățile: Jurisprudență (specializarea „Securitatea Informației”);

este necesară îmbunătățirea finanțării organizațiilor și instituțiilor care fac parte din Ministerul rus al Afacerilor Interne pentru achiziționarea de echipamente bune și software modern, deoarece baza materială a Ministerului Afacerilor Interne al Federației Ruse în domeniul securității informațiilor este în prezent la un nivel insuficient;

Pare posibil să se ridice problema îmbunătățirii procesului de pregătire a polițiștilor specializați în muncă în domeniul securității informaționale.

În acest scop, în opinia noastră, este necesar un sistem diferenţial de pregătire, deoarece pregătirea solidă în domeniul informaticii nu poate fi obținută în cadrul unei instituții tradiționale de învățământ superior a Ministerului Afacerilor Interne al Federației Ruse;

creați condiții favorabile pentru angajarea de specialiști cu înaltă calificare care lucrează în domeniul de interes pentru noi. Asigurați salarii adecvate, întrucât astăzi, din punct de vedere financiar, este mult mai profitabil să lucrați în această specialitate în structuri bancare și firme private.

Pentru menținerea regimului de securitate a informațiilor, măsurile software și hardware sunt cele mai importante, deoarece se știe că principala amenințare la adresa sistemelor informatice vine de la sine, ceea ce se poate exprima în erori de software, defecțiuni hardware, munca nesatisfăcătoare a angajaților, precum și a șefilor. a organizaţiilor şi instituţiilor legate de sistemul ATS.

V.A. Galatenko identifică următoarele mecanisme cheie de securitate: identificarea și autentificarea, controlul accesului, înregistrarea și auditarea, criptografia și ecranarea, a căror utilizare eficientă necesită o analiză avansată a posibilelor amenințări.

Securitatea informației nu poate fi asigurată fără o distribuție strictă a funcțiilor pentru utilizatori, administratorii de rețele și servere locale, precum și șefii agențiilor de afaceri interne.

Mai mult decât atât, responsabilitățile și funcțiile grupurilor de polițiști enumerate trebuie să fie dezvoltate și aprobate în prealabil, în funcție de obiectivele pe care acestea vor fi vizate. Există mai multe funcții tipice inerente angajaților oricărui departament sau departament de afaceri interne: Șefii de departamente sunt responsabili pentru comunicarea prevederilor și principiilor aprobate ale politicii de securitate utilizatorilor și administratorilor rețelelor și serverelor locale, precum și pentru contactele cu aceștia.

informarea cu privire la schimbările în statutul fiecărui subordonat (demiterea din organele de afaceri interne, numirea într-o altă funcție etc.)

Această funcție este cea mai importantă datorită faptului că un angajat concediat din orice motiv poate reprezenta cea mai semnificativă

Problema unui angajat „ofensat” a existat dintotdeauna și va continua să existe. Cunoscând principiile de bază ale funcționării sistemului, el poate, ghidat de motive negative, să încerce să șterge, să modifice sau să corecteze orice date. Prin urmare, este necesar să se asigure că, la concedierea unui angajat, drepturile sale de acces la resursele informaționale sunt revocate. Exemple ale acestei probleme includ filmele străine, a căror intriga se bazează pe evenimente reale din zilele noastre;

De asemenea, este imposibil să punem în plan secund problema toleranței, adică. problema relaţiei dintre scopuri şi mijloace. Într-adevăr, costul dobândirii unor măsuri cuprinzătoare de protecție nu ar trebui să depășească costul posibilelor daune.

Administratorii rețelei locale trebuie să asigure buna funcționare a rețelei, responsabil de implementarea măsurilor tehnice, utilizarea eficientă a măsurilor de securitate, asigurând astfel politica de securitate.

Administratorii de server sunt responsabili pentru serverele care le sunt alocate și se asigură că mecanismele utilizate pentru asigurarea confidențialității informațiilor respectă principiile generale ale politicii de securitate.

Utilizatorii sunt obligați să lucreze cu rețeaua locală, ghidați de politica de securitate, să urmeze ordinele și instrucțiunile angajaților responsabili cu anumite aspecte ale securității informațiilor și să raporteze imediat conducerii despre toate situațiile suspecte.

De un interes deosebit, în opinia noastră, din punct de vedere al respectării securității informațiilor, este statutul utilizatorilor computerelor personale. Cert este că o parte semnificativă a pierderilor de informații se produce din cauza erorilor accidentale și intenționate ale angajaților care lucrează în tehnologia informației. Datorită posibilei lor neglijențe și neglijențe, aceștia pot introduce date incorecte în mod deliberat, pot pierde erori în software, creând astfel un gol în sistemul de securitate. Toate acestea ne fac să credem că amenințarea internă emană direct de la utilizatorii de personal

computerele sunt mai semnificative și mai periculoase decât influențele externe.

În concluzie, este necesar să reamintim că menținerea securității informațiilor este sarcina nu a unei țări individuale, ci a întregii umanități, întrucât criminalitatea informatică foarte dezvoltată din zilele noastre a atins de mult timp la nivel global. Prin urmare, o luptă eficientă împotriva acesteia este posibilă numai cu o strânsă cooperare între agențiile de aplicare a legii din întreaga lume. Este necesar să se construiască un set comun de măsuri și mijloace, să se recruteze și să formeze personal cu înaltă calificare și să se dezvolte în detaliu principiile de bază ale politicii de securitate, fără de care dezvoltarea normală este imposibilă.

comunicaţii informaţionale.

Literatură:

4. Selivanov N. Probleme de combatere a criminalității informatice // Legalitatea, 1993. – Nr. 8. – P. 36.

5. Galatenko V. Securitatea informaţiei. // Open Systems, 1996. – Nr. 1. – P 38.

6. Legea federală „Cu privire la informații, informatizare și protecția informațiilor”. // Ziar rusesc, 1995. 22 februarie.

7. Președintele Federației Ruse. Decretul din 3 aprilie 1995 nr. 334 „Cu privire la măsurile de respectare a legii în domeniul dezvoltării, producerii, vânzării și exploatării instrumentelor de criptare, precum și prestării de servicii în domeniul criptării materialelor informaționale”. prevederi cuprinse... Asigurând securitateîn perioada electorală în Rusia: sat. articolele „Actual probleme modern...

BBK73

Lapin, V.V.

Fundamentele securității informațiilor în secțiile de poliție: un curs de prelegeri / V. V. Lapin. - M.: Universitatea din Moscova a Ministerului Afacerilor Interne al Rusiei, 2009. - 164 p. - ISBN 978-5-9694-0267-6.

Cursul de prelegeri la disciplina „Fundamentele securității informațiilor” conține definiții și concepte de bază, clasificarea și descrierea canalelor tehnice de scurgere de informații și metode de prevenire a scurgerilor, metode de combatere a accesului neautorizat, metode de protecție a informațiilor de amenințările rețelei și altele. probleme pe tema enunţată.

Proiectat pentru cadeți, studenți și studenți ai Universității din Moscova a Ministerului Afacerilor Interne al Rusiei.

BBK 73ISBN 978-5-9694-0267-6

© Universitatea din Moscova a Ministerului Afacerilor Interne al Rusiei, 2009 V. V. Lapin, 2009

INTRODUCERE

Cursul de prelegeri „Fundamentele securității informaționale a organelor afacerilor interne” a fost pregătit la Universitatea din Moscova a Ministerului Afacerilor Interne al Rusiei pentru desfășurarea cursurilor la disciplina academică cu același nume în specialitățile: 030501.65 - „Jurisprudență”, 030502.65 - „Expertiză criminalistică” și 030505.65 - „Aplicarea legii”. Cursul de prelegeri este scris în conformitate cu eșantionul și programa de lucru.

Lecția 1 este dedicată conceptelor de bază ale securității informațiilor, clasificării amenințărilor și surselor de amenințări la adresa securității informațiilor. Sunt luate în considerare fundamentele politicii de stat în domeniul securității informațiilor. Sunt formulate interesele naționale ale Rusiei în sfera informațională și se arată structura acesteia. O atenție deosebită este acordată clasificării problemelor de asigurare a securității informațiilor în sistemele naționale de informații și telecomunicații (inclusiv în departamentul afaceri interne). Sunt luate în considerare cele mai importante componente ale intereselor în sfera informațională și principalele amenințări la adresa securității informaționale a organelor de afaceri interne.

Cursul 2 oferă prevederi generale de securitate a informațiilor. Informațiile supuse protecției speciale sunt clasificate. Se are în vedere o abordare integrată a protecției informațiilor. Sunt analizate articolele din Codul penal al Federației Ruse și din Codul Federației Ruse privind infracțiunile administrative, care prevăd pedepse pentru infracțiunile informatice și informatice. O atenție deosebită este acordată problemelor de asigurare a securității informațiilor în contextul activităților operaționale de investigare a polițiștilor.

Lectura 3 este dedicată problemelor scurgerii de informații și studiului canalelor tehnice ale scurgerii de informații, care discută conceptele de bază, clasificarea canalelor tehnice și metodele de prevenire a scurgerii de informații prin canale electromagnetice, acustice, vizual-optice, electrice și materiale. Se oferă o descriere generală a mijloacelor tehnice de achiziție neautorizată de informații și tehnologii pentru aplicarea acestora. Sunt prezentate principalele direcții de protecție tehnică și tehnică a informațiilor împotriva scurgerilor.

Lectura 4 este dedicată protecției proceselor informaționale în sistemele informatice, care explică conceptele și prevederile de bază ale protecției informațiilor în sistemele informatice (CS). Sunt prezentate principalele amenințări la adresa securității informațiilor din CS, sunt luate în considerare principalele metode și mijloace de acces neautorizat la informații. Sunt discutate metode pentru protejarea informațiilor într-un CS. Sunt analizate metode de protecție criptografică. Programele rău intenționate și metodele de combatere a acestora sunt clasificate.

Securitatea informației în sistemele de telecomunicații este descrisă în Lectura 5. Se discută amenințările de securitate la adresa rețelelor moderne de calculatoare. Sunt analizate conceptele, definițiile și problemele managementului riscului. Sunt furnizate materiale de cercetare despre hackeri. Sunt rezumate rezultatele a cinci prelegeri privind asigurarea securității informațiilor. Sunt luate în considerare firewall-urile și sistemele de detectare a intruziunilor.

D.V. Peregudov,

ATC pentru regiunea Lipetsk

ASPECTE JURIDICE ALE PROTECȚIA INFORMAȚIILOR ÎN ACTIVITĂȚILE DIVIZIȚILOR DE SECURITATE ECONOMICĂ ALE ORGANILOR DE AFACERI INTERNE

Asigurarea securității informațiilor în cadrul sistemului organelor de afaceri interne reprezintă o unificare organizatorică a forțelor și mijloacelor, mecanismelor, metodelor și metodelor, care funcționează sub controlul respectării stricte a reglementărilor în vigoare în domeniul securității informațiilor. Totodată, problema asigurării securității informației este strâns legată nu numai de soluționarea problemelor științifice și tehnice, ci și de problemele de reglementare juridică a relațiilor de informatizare și de dezvoltare a cadrului legislativ. În acest sens, putem concluziona că protecția informațiilor este un ansamblu de măsuri (măsuri) legale, organizatorice și inginerești menite să prevină scurgerea informațiilor protejate și accesul neautorizat la acestea. La rândul lor, aspectele juridice ale protecției informațiilor capătă o importanță primordială în blocul măsurilor de protecție. Acest lucru se datorează faptului că reglementarea legală a relațiilor în domeniul securității economice predetermina existența tuturor celorlalte măsuri ca bază fundamentală de împărțire a comportamentului subiecților (utilizatori, proprietari și alte persoane) ai relațiilor informaționale în „posibile (permise) )” și „interzis” în raport cu obiectul - informație. Măsurile organizatorice și tehnice sunt raționalizate și legitimate doar de cadrul legal.

În organismele de afaceri interne, sprijinul juridic pentru securitatea informațiilor se bazează pe legislația federală a Federației Ruse. Cadrul de reglementare la nivel departamental este succesorul Legii Federației Ruse „Cu privire la secretele de stat”, Legii Federației Ruse „Cu privire la informațiile, tehnologiile informaționale și protecția informațiilor”, Decretul președintelui Federației Ruse din aprilie 3, 1995 nr. 334 „Cu privire la măsurile de respectare a statului de drept în domeniul dezvoltării, producerii, vânzării și exploatării instrumentelor informaționale, precum și prestării de servicii în domeniul criptării informațiilor”, Hotărâri ale Guvernului. al Federației Ruse din 15 aprilie 1995 nr. 333 „Cu privire la autorizarea activităților întreprinderilor și organizațiilor pentru a desfășura activități legate de utilizarea informațiilor care constituie secrete de stat, crearea mijloacelor de securitate a informațiilor, precum și punerea în aplicare a măsurilor și (sau) furnizarea de servicii pentru protejarea secretelor de stat,” din

26.06.1995 nr. 608 „Cu privire la certificarea mijloacelor de securitate a informațiilor”, din 15.09.1993 nr. 912-51 „Cu privire la sistemul de stat de protecție a informațiilor din Federația Rusă de serviciile de informații străine și de scurgerea acestuia prin mijloace tehnice canale”, din 01/05/2004 Nr. 3-1 „Cu privire la aprobarea Instrucțiunilor pentru asigurarea regimului de secretizare în Federația Rusă”, precum și pe baza „Cerințe și recomandări speciale pentru protecția informațiilor constitutive de stat”. secrete de la scurgeri prin canale tehnice”, aprobată prin Decizia Comisiei Tehnice de Stat a Rusiei din 23 mai 1997. Nr. 55, Decizia Comisiei Tehnice de Stat a Rusiei din 3 octombrie 1995 Nr. 42 „Cu privire la cerințele standard pentru conținutul și procedura de elaborare a ghidurilor pentru protejarea informațiilor de informații tehnice și de scurgerea acesteia prin canalele tehnice la instalație”, din 16 iulie 1996 nr. 49 „Model de informații tehnice străine pentru perioada până în 2010” („Model ITR -2010”) și altele

și alte acte legislative și alte acte juridice de reglementare în domeniul securității informațiilor care reglementează procedura și regulile pentru protecția tehnică a informațiilor în Federația Rusă.

Particularitatea suportului informațional în organele de afaceri interne, în special în unitățile de securitate economică, este că angajații acestor unități își desfășoară activitățile în cadrul lucrului și manipulării informațiilor care constituie secret de stat.

Secretul de stat este informații protejate de stat în domeniul activităților sale militare, politice externe, economice, de informații, contrainformații și investigații operaționale, a căror difuzare ar putea dăuna securității Federației Ruse. Unitățile de securitate economică ale organelor de afaceri interne lucrează cu informații în domeniul activităților operaționale-investigative, adică în baza Legii Federației Ruse din 12 august 1995 nr. 144-FZ „Cu privire la activitățile operaționale-investigative”. Clasificarea informațiilor care constituie secret de stat se face în conformitate cu Lista informațiilor clasificate ca secrete de stat, aprobată prin Decretul președintelui Federației Ruse din data de

30/11/1995 nr. 1203, și în conformitate cu regulile de clasificare a informațiilor care constituie secret de stat la diferite grade de secretizare, aprobate prin Decretul Guvernului Federației Ruse din 04.09.1995 nr. 870, precum și pe baza listei de informații care fac obiectul clasificării în sistemul Ministerului Afacerilor Interne al Rusiei, determinată de Ministrul Afacerilor Interne al Federației Ruse. În același timp, accesul persoanelor la informațiile care constituie secret de stat se realizează în conformitate cu instrucțiunile privind procedura de accesare a oficialilor și cetățenilor Federației Ruse la secretele de stat, aprobate prin Decretul Guvernului Federației Ruse din octombrie. 28, 1995 nr. 1050. În organele de afaceri interne prin ordin al Ministerului Afacerilor Interne al Rusiei din 03/02/2002 nr. 200 DSP prevede o listă detaliată a informațiilor care fac obiectul clasificării.

La rândul lor, unitățile BEP lucrează și cu informații care constituie un secret oficial. Acestea includ informații cu distribuție limitată, accesul la care este limitat de autoritățile guvernamentale pentru a evita cauzarea de daune atât organismelor de afaceri interne, cât și securității autorităților guvernamentale ale Federației Ruse. Clasificarea informațiilor ca informații oficiale de distribuție limitată se realizează pe baza unui exemplu de listă de informații oficiale de distribuție limitată și a documentelor care le conțin, generate în cursul activităților organelor de afaceri interne, stabilite de ministrul afacerilor interne din Federația Rusă. În conformitate cu Decretul președintelui Federației Ruse din 6 martie 1997 nr. 188 „Cu privire la aprobarea listei de informații confidențiale”, informațiile oficiale cu distribuție limitată care circulă în diviziile BEP sunt clasificate drept informații de natură confidențială (confidențial). informaţii).

Reglementările departamentale fundamentale în activitățile unităților de combatere a infracțiunilor economice în domeniul asigurării securității informațiilor sunt ordinul Ministerului Afacerilor Interne al Rusiei din 5 iulie 2001 nr. 029 „Cu privire la aprobarea Manualului temporar privind protecția tehnică a informații în organele de afaceri interne ale Federației Ruse și trupele interne ale Ministerului Afacerilor Interne Federația Rusă” și ordinul Ministerului Afacerilor Interne al Rusiei din 15 martie 2005 nr. 015 „Cu privire la aprobarea Instrucțiunilor pentru asigurarea secretului în organele de afaceri interne”. Primul document de reglementare caracterizează cerințele planului organizatoric și tehnic de protecție a informațiilor protejate de lege în activitățile unităților BEP, în special, definește măsuri uniforme de protecție tehnică și matematică.

informații în toate compartimentele organelor de afaceri interne care își desfășoară activitatea cu informații clasificate secrete de stat și oficiale. Ordinul Ministerului Afacerilor Interne al Rusiei nr. 029:

Identifică obiectele de protecție a informațiilor tehnice, posibilele amenințări la adresa acestor obiecte;

Stabilește o procedură unificată și integrală (obligatorie) pentru implementarea măsurilor de protecție a informațiilor tehnice;

Stabilește o formă uniformă a documentelor întocmite pentru un obiect de protecție a informațiilor, în baza căreia se stabilește un regim de protecție tehnică pe parcursul prelucrării acestora;

Stabilește procedura de monitorizare a protecției tehnice și a licențierii în acest domeniu.

În ciuda faptului că acest document de reglementare a fost elaborat încă din 2001, în prezent, în unitățile de securitate economică ale Direcției Afaceri Interne pentru Regiunea Lipetsk la nivel de district, condițiile pentru activitățile de informare nu respectă pe deplin cerințele prezentului ordin. . În primul rând, aceasta se referă la asigurarea materială a unor facilități în care se prelucrează informațiile (calculatoare electronice, mijloace tehnice de primire, transmitere și prelucrare a informațiilor: înregistrarea sunetului, reproducerea sunetului, dispozitive de interfon și televiziune, mijloace de reproducere a documentelor și altele), în conformitate cu cu reglementări stabilite . Chiar dacă astfel de facilități sunt disponibile în unitățile BEP, acestea sunt în exemplare unice și, moral și tehnic, rămân în urmă cu mijloacele și tehnologiile moderne și avansate în acest domeniu. La rândul său, ca un neajuns, mai trebuie remarcat faptul că angajații unităților BEP care operează instalații tehnice de securitate a informațiilor au o cunoaștere deficitară a legislației de reglementare privind securitatea tehnică a informațiilor la intrarea în funcție și pe toată perioada de îndeplinire a sarcinilor lor funcționale oficiale. În același timp, afectează și fluctuația constantă a personalului din aceste departamente.

Ordinul Ministerului Afacerilor Interne al Rusiei nr. 029-2001 este în mare parte legat de suportul tehnic al instalațiilor de securitate a informațiilor, care include:

Stabilirea conformității acestora cu cerințele de protecție tehnică și documentarea măsurilor tehnice luate pentru protejarea informațiilor, clasificarea obiectelor;

Întocmirea pașapoartelor tehnice pentru aceste obiecte;

Elaborarea instrucțiunilor pentru asigurarea (regimul) organizatorică și

măsuri tehnice de protecție a informațiilor;

Efectuarea de studii speciale, verificări speciale și sondaje ale acestor obiecte;

Intocmirea unui ordin de functionare a instalatiei;

Efectuarea certificării instalației și a măsurilor de control tehnic

protectia informatiilor.

După cum arată practica, în direcțiile regionale de afaceri interne, din cauza numărului mic de obiecte de protecție a informațiilor, lucrările privind protecția tehnică a informațiilor protejate se desfășoară în mod formal și se reduc doar la executarea de documente monotone, al căror sens semantic nu este înțeles de către angajații care operează obiectele pentru care trebuie să se aplice cerințele tehnice de protecție a informațiilor în conformitate cu Ordinul Ministerului Afacerilor Interne al Rusiei nr. 029-2001.

Un pas mai substanțial și mai responsabil în domeniul juridic a fost elaborarea Ordinului nr. 015-2005, care a cuprins măsuri de natură organizatorică și tehnică de protecție a informațiilor. Cerințele prevăzute în acest ordin

răspund de protecția informațiilor care constituie secrete de stat și a informațiilor oficiale secrete referitoare la activitățile curente ale departamentelor organului de afaceri interne. Acest act departamental stabilește o procedură clară și strictă de manipulare și utilizare a obiectelor de protecție a informațiilor - regim obligatoriu pentru executarea de către toți subiecții relațiilor informaționale sub amenințarea răspunderii prevăzute de legislația în vigoare. Ordinul Ministerului Afacerilor Interne al Rusiei nr. 015-2005 reglementează relațiile legate de primirea, prelucrarea, stocarea, utilizarea, transferul de informații semnificative și protejate legal în unitățile BEP, monitorizarea respectării standardelor prescrise, stabilirea sancțiunilor pentru încălcarea acestora, stabilirea unei proceduri uniforme în relaţiile cu subiecţii altor organe de afaceri interne - subiecţii externi. Astfel, protecția juridică a obiectelor de protecție a informațiilor stă la baza elaborării și stabilirii măsurilor organizatorice și tehnice de protecție a informațiilor în diviziile BEP.

Un domeniu important al legislației privind problemele de securitate a informațiilor în organele de afaceri interne este stabilirea răspunderii juridice pentru săvârșirea unei fapte ilicite în legătură cu obiectul protecției.

În știința juridică și în legislația actuală, răspunderea juridică poate apărea în patru variante:

Civil;

Administrativ;

Disciplinar;

Penal.

Având în vedere că angajații BEP care lucrează cu informații care constituie secrete de stat sunt funcționari ai unei autorități executive, aceștia poartă povara răspunderii stricte pentru dezvăluirea acestor informații sau pierderea acestora. În astfel de cazuri pot exista doar două tipuri de răspundere:

1) disciplinar;

2) penal.

Diferențierea lor depinde doar de natura infracțiunii săvârșite, iar diferența constă în pedepsele specifice și procedura specială de aplicare a acestora.

Răspunderea disciplinară constă în impunerea unei sancțiuni disciplinare unui angajat BEP cu autoritatea șefului agenției de afaceri interne. Măsurile disciplinare sunt: ​​avertismentul, mustrarea, mustrarea severă, eliberarea din organele de afaceri interne. Cu toate acestea, organele de afaceri interne pentru încălcarea ordinului Ministerului Afacerilor Interne al Rusiei nr. 015-2005 prevăd răspunderea disciplinară strictă, exprimată prin impunerea salariatului a ultimelor trei dintre tipurile de sancțiuni de mai sus.

Răspunderea disciplinară poate fi aplicată unui angajat al securității economice în cazul unei atitudini neglijente față de îndeplinirea atribuțiilor sale oficiale, exprimată cu încălcarea regimului de secretizare, a regulilor de manipulare a informațiilor legate de secretele oficiale - informații confidențiale, fără nicio intenție ilegală. .

Cele mai severe măsuri de influență se caracterizează prin răspunderea penală, care se aplică în instanță persoanei vinovate de săvârșirea unei infracțiuni, adică. fapt vinovat, periculos din punct de vedere social, prevăzut de Codul penal al Federației Ruse. Principalele tipuri de infracțiuni din domeniul securității informațiilor sunt prezentate în tabel.

Tipuri de infracțiuni în domeniul securității informațiilor

Articolul din Codul Penal al Federației Ruse

Dispoziția articolului din Codul penal al Federației Ruse

Pedeapsă (sancțiune)

Articolul 272. Accesul ilicit la informații informatice 1. Accesul ilicit la informații informatice protejate de lege, adică informații de pe suport informatic, într-un calculator electronic (calculator), într-un sistem informatic sau în rețeaua acestora, dacă această faptă a presupus distrugerea, blocarea , modificarea sau copierea informațiilor, întreruperea funcționării unui computer, a unui sistem informatic sau a rețelei acestora; Se pedepsește cu amendă în valoare de până la două sute de mii de ruble, sau în cuantumul salariului sau al altor venituri ale persoanei condamnate pe o perioadă de până la optsprezece luni, sau cu muncă corecțională pe un termen de la șase luni la una. an, sau cu închisoare de până la doi ani;

aceeași faptă săvârșită de un grup de persoane prin conspirație prealabilă sau de un grup organizat ori de o persoană care își folosește funcția oficială, precum și de către cei care au acces la un computer, un sistem informatic sau la rețeaua acestora, se pedepsește cu amendă. în valoare de o sută de mii până la trei sute de mii de ruble sau în valoare de salariu sau alte venituri ale persoanei condamnate pentru o perioadă de unu până la doi ani, sau muncă corecțională pentru un termen de unu până la doi ani sau arestare pentru o termen de la trei până la șase luni sau închisoare de până la cinci ani

Articolul 273. Crearea, utilizarea și distribuirea de programe informatice rău intenționate 1. Crearea de programe informatice sau efectuarea de modificări la programele existente, conducând cu bună știință la distrugerea, blocarea, modificarea sau copierea neautorizată a informațiilor, întreruperea funcționării unui calculator, a unui sistem informatic sau rețeaua lor, precum și utilizarea sau distribuirea unor astfel de programe sau medii informatice cu astfel de programe; Se pedepsește cu închisoare pe un termen de până la trei ani cu amendă în valoare de până la două sute de mii de ruble sau în cuantumul salariului sau al altor venituri ale persoanei condamnate pe o perioadă de până la optsprezece luni;

aceleași fapte care au consecințe grave din neglijență se pedepsesc cu închisoare de la trei la șapte ani.

Articolul 274. Încălcarea regulilor de funcționare a unui calculator, a unui sistem informatic sau a rețelei acestora 1. Încălcarea regulilor de funcționare a unui calculator, a unui sistem informatic sau a rețelei acestora de către o persoană care are acces la un calculator, un sistemul informatic sau rețeaua acestora, având ca rezultat distrugerea, blocarea sau modificarea informațiilor informatice protejate legal, dacă fapta a cauzat un prejudiciu semnificativ; Se pedepsește cu privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la cinci ani, sau cu muncă obligatorie pe un termen de la o sută optzeci până la două sute patruzeci de ore sau cu restrângerea libertății pe o perioadă. de până la doi ani;

aceeași faptă care are consecințe grave din neglijență se pedepsește cu închisoare de până la patru ani

Articolul 275. Înalta trădare Înalta trădare, adică spionajul, divulgarea secretelor de stat sau acordarea de asistență unui stat străin, unei organizații străine sau reprezentanților acestora în desfășurarea de activități ostile în detrimentul securității externe a Federației Ruse, săvârșită de un cetățean al Federației Ruse Se pedepsește cu închisoare de la doisprezece sau mai mult până la douăzeci de ani cu o amendă în valoare de până la cinci sute de mii de ruble sau în valoare de salariu sau alte venituri ale persoanei condamnate pentru o perioadă de până la trei ani, sau fără.

Articolul 276. Spionaj Transferul, precum și colectarea, furtul sau păstrarea în scopul transferului către un stat străin, organizație străină sau reprezentanții acestora a informațiilor care constituie secret de stat, precum și transferul sau colectarea, pe baza instrucțiunilor de la serviciile de informații străine, a altor informații. pentru utilizare în detrimentul securității externe a Federației Ruse, dacă aceste acte au fost săvârșite de un cetățean străin sau de un apatrid, se pedepsește cu închisoare de la zece la douăzeci de ani

Articolul 283. Dezvăluirea secretelor de stat 1. Dezvăluirea unor informații care constituie secret de stat de către o persoană căreia i-au fost încredințate sau căreia i-au fost încredințate sau au devenit cunoscute prin serviciu sau muncă, dacă aceste informații au ajuns la dispoziția altor persoane, în lipsa semnelor de trădare; Se pedepsește cu arest de la patru la șase luni sau închisoare pe o perioadă de până la patru ani, cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la trei ani;

aceeași faptă, rezultată din neglijență în consecințe grave, se pedepsește cu închisoare de la trei la șapte ani cu privarea de dreptul de a ocupa anumite funcții sau de a exercita anumite activități pe un termen de până la trei ani.

Articolul 284. Pierderea documentelor care conțin secrete de stat Încălcarea de către o persoană care are acces la secretele de stat a regulilor stabilite pentru manipularea documentelor care conțin secrete de stat, precum și a obiectelor despre care se pedepsește cu restrângerea libertății pe termen de până la trei ani, sau prin arest pe o perioadă de până la trei ani, pe un termen de la patru până la șase luni, sau cu închisoare de până la trei ani

secrete de stat, dacă aceasta a avut ca rezultat pierderea lor prin neglijență și declanșarea unor consecințe grave

dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe o perioadă de până la trei ani sau fără acesta

Din analiza tabelului reiese că faptele legate de încălcarea procedurii de utilizare a informațiilor care constituie secrete de stat pot fi recunoscute drept infracțiune. În organele de afaceri interne, astfel de fapte pot apărea numai dacă se încalcă regimul secretului. Și pentru fiecare fapt de astfel de abatere se efectuează o investigație internă.

Încălcarea regimului de secretizare în organele de afaceri interne este considerată a fi dezvăluirea unor informații care constituie secret de stat, adică punerea lor în public de către un angajat căruia i-au fost încredințate aceste informații prin serviciul său, drept care a devenit proprietatea persoanelor neautorizate; sau pierderea purtătorilor de informații care constituie secret de stat, adică eliberarea (inclusiv temporară) a purtătorilor de informații din posesia salariatului căruia i-au fost încredințați în serviciu, în urma căreia au devenit sau ar putea deveni proprietatea persoanelor neautorizate.

În cazul în care aceste fapte sunt relevate, șeful departamentului afaceri interne este obligat să informeze conducerea superioară, agenția de securitate (unitatea FSB) și să organizeze un audit intern și căutarea purtătorilor de informații care constituie secrete de stat, precum și să ia toate măsurile de localizare. posibile daune. Pentru a efectua un audit intern, managerul trebuie să creeze o comisie, care în termen de o lună trebuie:

1) stabilesc circumstanțele dezvăluirii informațiilor care constituie secret de stat sau pierderii mijloacelor de informare care conțin astfel de informații;

2) căutarea media pierdută;

3) să identifice persoanele responsabile pentru dezvăluirea acestor informații sau pierderea mass-media;

4) să stabilească motivele și condițiile care au contribuit la divulgarea informațiilor care constituie secrete de stat, la scurgerea mass-media care conțin astfel de informații și să elaboreze recomandări pentru eliminarea acestora.

Pe baza rezultatelor lucrărilor acestei comisii se întocmește o încheiere de audit intern cu adoptarea unor măsuri specifice împotriva persoanelor vinovate de încălcarea regimului de secretizare.

După cum arată experiența practică, cazurile de ofițeri operaționali care comit infracțiuni legate de divulgarea secretelor de stat sunt extrem de rare. Cel mai adesea, sunt cazuri de abateri disciplinare săvârșite de salariați în îndeplinirea neglijentă și necorespunzătoare a atribuțiilor lor oficiale cu respectarea cerințelor regimului de secretizare.

Astfel, analizând cadrul legal menit să asigure protecția juridică a intereselor protejate de drept ale statului, societății, persoanelor juridice și persoanelor fizice în domeniul relațiilor informaționale, putem concluziona că acesta este extrem de slab în organele de afaceri interne. În prezentarea sa semantică nu există o abordare de fond a problemei acute și grave a protejării secretelor de stat și oficiale, deși există cerințe pentru respectarea obligatorie a măsurilor de securitate de protecție a informațiilor, totuși, în termeni practici, în special în diviziile raionale, controlul asupra punerea în aplicare a reglementărilor obligatorii ale reglementărilor departamentale ale Ministerului Afacerilor Interne al Rusiei , practic nu există organisme teritoriale de afaceri interne, lucrările privind securitatea tehnică a obiectelor de securitate a informațiilor se desfășoară în mod formal fără a ține cont de caracteristicile specifice ale obiectului, materialului asigurarea cu mijloace tehnice de protectie

informația nu satisface nevoile și condițiile de activitate ale unităților operaționale ale BEP. 95% din toate încălcările legate de nerespectarea reglementărilor privind asigurarea securității informațiilor în organele de afaceri interne sunt depistate în timpul controalelor efectuate de autoritățile superioare.

Cele de mai sus ne permit să concluzionam că este necesară îmbunătățirea suportului juridic pentru protecția informațiilor în activitățile atât ale organelor de afaceri interne în general, cât și ale unităților de securitate economică ale acestora, în special.

Ministerul Afacerilor Interne al Federației Ruse

Universitatea din Sankt Petersburg

Departamentul de Tehnologii Informaţionale Speciale

AM APROBAT

şeful departamentului SIT

colonel de politie

A.I. Primakin

Prelegerea de lucru la disciplina Fundamentele securității informațiilor în secțiile de poliție

pe tema 1/2 „Fundamentele securității informațiilor în departamentele de poliție”

Sankt Petersburg

2013

introducere

intrebari educative:

1. Termeni și definiții de bază ale securității informațiilor.

2. Principii și condiții de bază pentru asigurarea securității informațiilor.

Concluzie

Întrebări de securitate

Literatură

Introducere

În prelegerea anterioară am examinat principalele direcții ale politicii de stat în domeniul informatizării societății. Principala problemă a societății informaționale de astăzi este problema protejării informațiilor împotriva scurgerilor, distorsiunii, blocării sistemelor și mijloacelor de transmitere a informațiilor, precum și protecția informațiilor confidențiale și a secretelor de stat. Odată cu introducerea tehnologiilor informaționale în viața oamenilor obișnuiți, lumea se confruntă cu problema noilor relații informaționale legate de securitatea informației și a proceselor informaționale.

1. Termeni și definiții de bază ale securității informațiilor 1

Protecția informațiilor - activități menite să prevină scurgerea de informații protejate, impactul neautorizat și neintenționat asupra informațiilor protejate.

Sistem de securitate a informațiilor.Un ansamblu de organisme și (sau) executanți, tehnologia de securitate a informațiilor pe care o utilizează, precum și obiectele de securitate a informațiilor, organizate și funcționale în conformitate cu regulile și reglementările stabilite prin documentele relevante în domeniul securității informațiilor.

Politica de securitate (informații din organizație).Un set de reguli, proceduri, practici sau linii directoare documentate de securitate a informațiilor care ghidează activitățile unei organizații.

Securitatea informațiilor [date].Starea de securitate a informațiilor [date], în care sunt asigurate confidențialitatea, disponibilitatea și integritatea [lor] acestora.

Tipurile de protecție a informațiilor includ:

1. Protecția fizică a informațiilor.Protecția informațiilor prin utilizarea unor măsuri organizatorice și a unui set de mijloace care creează obstacole în calea pătrunderii sau accesului persoanelor neautorizate la obiectul protecției.

2. Protecția juridică a informațiilor.Protecția informațiilor prin metode legale, inclusiv elaborarea de documente (acte) legislative și de reglementare care reglementează relațiile subiecților privind protecția informațiilor, aplicarea acestor documente (acte), precum și supravegherea și controlul asupra punerii în aplicare a acestora.

3. Protecția tehnică a informațiilor.TZI: Protecția informațiilor, care constă în asigurarea, prin metode necriptografice, a securității informațiilor (datelor) supuse protecției în conformitate cu legislația în vigoare, folosind mijloace tehnice, software și software-hardware.

4. Protecția informațiilor criptografice.Protejarea informațiilor folosind transformarea sa criptografică.

Note

1 Măsurile organizatorice pentru asigurarea protecției fizice a informațiilor prevăd stabilirea unor restricții de regim, temporare, teritoriale, spațiale privind condițiile de utilizare și programul de lucru al obiectului protejat.

2 Obiectele de protecție a informațiilor pot include: teritoriu protejat, clădire (structură), spații dedicate, informații și (sau) resurse de informații ale unui obiect de informatizare.

Metodele de protecție a informațiilor vor include:

CU metoda de protectie a informatiilor.Procedura și regulile de aplicare a anumitor principii și mijloace de protecție a informațiilor.

1. Protejarea informațiilor împotriva scurgerilor.Protecția informațiilor are ca scop prevenirea difuzării necontrolate a informațiilor protejate ca urmare a dezvăluirii și accesului neautorizat la acestea, precum și excluderea (dificultății) obținerii de informații protejate de către serviciile de informații [străine] și alte entități interesate.

Notă - Părțile interesate pot fi: un stat, o entitate juridică, un grup de persoane fizice, o persoană fizică.

2. Z Protecția informațiilor împotriva influenței neautorizate.ZI de la NSV: Protecția informațiilor care vizează prevenirea accesului neautorizat și a impactului asupra informațiilor protejate cu încălcarea drepturilor și (sau) stabilite pentru modificarea informațiilor, ducând la distrugerea, distrugerea, denaturarea, funcționarea defectuoasă, interceptarea și copierea ilegală, blocarea accesului la informații, precum și la pierderea, distrugerea sau funcționarea defectuoasă a purtătorului de informații.

3. Protejarea informațiilor împotriva impactului neintenționat.Protecția informațiilor are ca scop prevenirea impactului asupra informațiilor protejate a erorilor utilizatorului său, a defecțiunilor hardware și software ale sistemelor informatice, a fenomenelor naturale sau a altor evenimente care nu sunt destinate modificării informațiilor, care conduc la denaturarea, distrugerea, copierea, blocarea accesului la informații, precum și pierderea, distrugerea sau funcționarea defectuoasă a suportului de stocare.

4. Protecția informațiilor împotriva dezvăluirii.Protecția informațiilor are ca scop prevenirea livrării neautorizate a informațiilor protejate către părțile interesate (consumatorii) care nu au dreptul de a accesa aceste informații.

5. Protecția informațiilor împotriva accesului neautorizat.ZI din NSD: Protecția informațiilor care vizează prevenirea primirii de informații protejate de către subiecții interesați cu încălcarea drepturilor sau regulilor de limitare a accesului la informații protejate stabilite prin acte normative și legale (acte) sau de către deținătorii de informații.

Nota.

Entitățile interesate care exercită acces neautorizat la informații protejate pot fi: statul, o entitate juridică, un grup de persoane fizice, inclusiv o organizație publică, sau o persoană fizică.

6. Protejarea informațiilor împotriva influenței intenționate.SI de la PDV: Protecția informațiilor care vizează prevenirea influenței intenționate, inclusiv electromagnetice și (sau) influențe de altă natură fizică, efectuate în scopuri teroriste sau criminale.

7. Protecția informațiilor împotriva informațiilor [străine].Securitatea informațiilor care vizează împiedicarea informațiilor [străine] să obțină informații protejate.

Obiectul protecției informațiilor include

Obiectul de protecție a informațiilor.Informații sau purtător de informații sau proces de informații care trebuie protejate în conformitate cu scopul securității informațiilor.

1. Informații protejate.Informații care sunt proprietare și supuse protecției în conformitate cu cerințele documentelor legale sau cerințele stabilite de proprietarul informațiilor.

Nota

Deținătorii de informații pot fi: un stat, o entitate juridică, un grup de persoane fizice sau o persoană fizică.

2. Purtător de informații protejat. Un individ sau obiect material, inclusiv un câmp fizic în care informațiile sunt reflectate sub formă de simboluri, imagini, semnale, soluții și procese tehnice, caracteristici cantitative ale cantităților fizice.

3. Obiect protejat de informatizare.Un obiect de informatizare conceput pentru a procesa informații protejate cu nivelul necesar de securitate.

4. Sistem informatic protejat. Un sistem informatic conceput pentru a procesa informații protejate cu nivelul necesar de securitate.

La amenințările la securitatea informațiilor

Amenințare (securitatea informațiilor).Un set de condiții și factori care creează un pericol potențial sau real de încălcare a securității informațiilor.

Factorul care afectează informațiile protejate.Un fenomen, o acțiune sau un proces care poate duce la scurgeri, denaturare, distrugere a informațiilor protejate sau blocarea accesului la acestea.

Sursa de amenințare la adresa securității informațiilor.O entitate (un individ, un obiect material sau un fenomen fizic) care este cauza directă a unei amenințări la adresa securității informațiilor.

Vulnerabilitatea (a sistemului informatic); decalaj O proprietate a unui sistem informatic care face posibilă implementarea amenințărilor de securitate la adresa informațiilor procesate în acesta.

Note

1. Condiția pentru implementarea unei amenințări la adresa securității informațiilor prelucrate în sistem poate fi o deficiență sau o slăbiciune a sistemului informațional.

2. Dacă vulnerabilitatea se potrivește cu amenințarea, atunci aceasta există risc .

1. Program rău intenționat.Un program conceput pentru a oferi acces neautorizat la informații și (sau) influența informațiile sau resursele unui sistem informațional.

2. Influență neautorizată asupra informațiilor: Impactul asupra informațiilor protejate cu încălcarea drepturilor stabilite și (sau) regulilor de acces, conducând la scurgeri, denaturare, falsificare, distrugere, blocare a accesului la informații, precum și pierderea, distrugerea sau eșecul funcționării purtătorului de informații.

3. Influența electromagnetică a forței intenționate asupra informațiilor: Influența neautorizată asupra informațiilor efectuată prin utilizarea unei surse de câmp electromagnetic pentru a dirija (genera) energie electromagnetică în sistemele informatice automate la un nivel care provoacă perturbarea funcționării normale (eșecul de funcționare) a hardware-ului și software-ului acestor sisteme.

4. Modelul de amenințare (securitatea informațiilor).O reprezentare fizică, matematică, descriptivă a proprietăților sau caracteristicilor amenințărilor la securitatea informațiilor.

Nota

Un tip de reprezentare descriptivă a proprietăților sau caracteristicilor amenințărilor la adresa securității informațiilor poate fi un document de reglementare special.

Metodele de evaluare a conformității cu cerințele de securitate a informațiilor includ:

Evaluarea conformității cu cerințele de securitate a informațiilor. Determinarea directă sau indirectă a gradului de conformitate cu cerințele de protecție a informațiilor impuse obiectului de protecție a informațiilor.

Licentiere in domeniul securitatii informatiilor. O activitate constând în verificarea (examinarea) capacităților unei persoane juridice de a efectua lucrări în domeniul securității informațiilor în conformitate cu cerințele stabilite și eliberarea permisului de a efectua această activitate.

Certificare pentru conformitatea cu cerințele de securitate a informațiilor.Forma de confirmare de către organismul de certificare a conformității obiectelor de evaluare cu cerințele de securitate a informațiilor stabilite prin reglementări tehnice, standarde sau clauze contractuale.

Nota

Obiectele evaluării pot include: un mijloc de protecție a informațiilor, un mijloc de monitorizare a eficacității protecției informațiilor.

Monitorizarea securității informațiilor. Monitorizarea constantă a procesului de asigurare a securității informațiilor în sistemul informațional în vederea stabilirii conformității acestuia cu cerințele de securitate a informațiilor.

Analiza riscului informațional. Utilizarea sistematică a informațiilor pentru a identifica amenințările la adresa securității informațiilor, vulnerabilitățile sistemului informațional și cuantificarea probabilității amenințărilor care utilizează vulnerabilități și consecințele amenințărilor pentru informații și sistemul informațional conceput pentru a procesa aceste informații.

Eficiența protecției informațiilor. Gradul de conformitate a rezultatelor protecției informațiilor cu scopul protecției informațiilor.

Cerința de protecție a informațiilor.O regulă sau normă stabilită care trebuie îndeplinită la organizarea și implementarea protecției informațiilor, sau o valoare acceptabilă pentru un indicator al eficacității protecției informațiilor.

Indicator de performanță în securitatea informațiilor. O măsură sau caracteristică pentru evaluarea eficienței securității informațiilor.

Standard de eficiență a securității informațiilor. Valoarea indicatorului de eficacitate a securității informațiilor stabilite prin acte normative și legale.

2. Principii și condiții de bază pentru asigurarea securității informațiilor.

În sensul cel mai general, securitatea informațiilor este o stare a informațiilor și a mediului care previne vătămarea proprietarului sau posesorului acestor informații. În funcție de cine este proprietarul, există, de exemplu, următoarele definiții:

Analiza de ce și în ce moduriexprima vătămarea proprietaruluiinformații, pistela modelul standard de securitate, care include trei categorii:

• confidențialitatea;
• integritate;
• disponibilitate.

Confidențialitateaceasta este disponibilitatea informațiilor doar pentru un anumit cerc de oameni.

Integritate proprietatea de a stoca informații într-o anumită formă cerută.

Disponibilitate capacitatea de a utiliza informații de către proprietar dacă este necesar.

Securitatea informațiilordeterminat de capacitatea statului, societății, individului:

• asigură, cu o anumită probabilitate, resurse și fluxuri informaționale suficiente și protejate pentru a-și menține activitatea de viață și viabilitatea, funcționarea și dezvoltarea durabilă;
• să reziste pericolelor și amenințărilor informaționale, impacturilor negative ale informațiilor asupra conștiinței individuale și sociale și asupra psihicului oamenilor, precum și asupra rețelelor de calculatoare și a altor surse tehnice de informare;
• dezvoltarea abilităților personale și de grup și abilități de comportament sigur;
• menține pregătirea constantă pentru măsuri adecvate în războiul informațional, indiferent cine îl impune.

Scopurile și obiectivele sistemului de securitate a informațiilor

Scop protecția informațiilor este de a minimiza pierderile cauzate de încălcarea integrității datelor, a confidențialității sau a inaccesibilității informațiilor pentru consumatori.

Sarcinile principale sistemele de securitate a informațiilor (IS) sunt:

• identificarea și eliminarea în timp util a amenințărilor la adresa securității resurselor, cauzelor și condițiilor care contribuie la daune financiare, materiale și morale;
• crearea unui mecanism și a condițiilor de răspuns prompt la amenințările de securitate;
• suprimarea eficientă a atacurilor asupra resurselor și a amenințărilor la adresa personalului pe baza măsurilor legale, organizatorice și inginerești și a măsurilor de securitate;
• crearea condițiilor pentru minimizarea și localizarea posibilelor daune, atenuând impactul negativ al consecințelor.

Pentru a forma o imagine mai detaliată, trebuie să cunoașteți elementele de bază principii organizarea unui sistem de securitate a informațiilor.

Primul și cel mai important esteprincipiul îmbunătățirii continue a sistemului de securitate a informațiilor. Esența acestui principiu este de a identifica în mod constant punctele slabe ale sistemului care decurg din schimbările naturii amenințărilor interne și externe.

Al doilea este principiul utilizarea cuprinzătoare a tuturor mijloacelor de protecție disponibileîn toate elementele structurale ale organizaţiei şi pe toate etapele lucrul cu informația. Natura complexă a protecției informațiilor provine, în primul rând, din faptul că atacatorii caută mereu cea mai slabă verigă din sistemul de securitate.

Termeni importanți prevederile de securitate sunt:

• legalitate,
• adecvarea,
• menținerea unui echilibru între interesele individului și ale organizației,
• profesionalismul reprezentanților serviciilor de securitate,
• instruirea utilizatorilor și respectarea acestora cu toate regulile de confidențialitate stabilite,
• responsabilitatea reciprocă a personalului și a conducerii,
• interacțiunea cu agențiile guvernamentale de aplicare a legii.

Cerințe de protecție a informațiilor

Din perspectiva unei abordări sistemicePentru a implementa principiile de mai sus, procesul și sistemul de securitate a informațiilor în sine, trebuie să îndeplinească un anumit set de cerințe

Protecția informațiilor ar trebui să fie:

- centralizat;

trebuie avut în vedere că procesul de control este întotdeauna centralizat, în timp ce structura sistemului care implementează acest proces trebuie să corespundă structurii obiectului protejat;

Planificat;

planificarea se realizează pentru a organiza interacțiunea tuturor departamentelor unității în interesul implementării politicii de securitate adoptate; fiecare serviciu, departament, direcție elaborează planuri detaliate pentru protejarea informațiilor din domeniul său de competență, ținând cont de scopul general al organizației;

- specifice și vizate;

Resursele de informații absolut specifice care pot fi de interes pentru concurenți sunt supuse protecției;

Activ;

Este necesar să se protejeze informațiile cu un grad suficient de perseverență și determinare. Această cerință presupune prezența în sistemul de securitate a informațiilor a instrumentelor de prognoză, a sistemelor expert și a altor instrumente care fac posibilă implementarea, alături de principiul „detecta și elimină”, a principiului „anticipării și prevenirii”;

- fiabil și versatil, acoperă întreg complexul tehnologic al activităților informaționale ale obiectului;

metodele și mijloacele de protecție trebuie să blocheze în mod fiabil toate canalele posibile de scurgere de informații și să contracareze metodele de acces neautorizat, indiferent de forma de prezentare a informațiilor, limbajul de exprimare a acesteia și tipul de suport pe care este fixată;

Non-standard (față de alte organizații), diverse în mijloacele folosite;

Deschide să modifice și să completeze măsurile de securitate a informațiilor;

- rentabil;

costurile sistemului de protecție nu trebuie să depășească valoarea posibilelor daune.

3. Conceptul de politică de securitate.

Politica de securitate organizațională(în engleză despre politicile de securitate organizațională ) Setul de linii directoare, reguli, proceduri și practici de securitate care guvernează gestionarea, protecția și distribuirea informațiilor valoroase.

În general, un astfel de set de reguli reprezintă o anumită funcționalitate a unui produs software care este necesară pentru utilizarea sa într-o anumită organizație. Dacă abordam politica de securitate mai formal, atunci este vorba despre un set de anumite cerințe pentru funcționalitatea sistemului de securitate, consacrate în documentele departamentale.

O politică de securitate poate fi numită atât reguli simple de utilizare a resurselor (nivel managerial), cât și descrieri ale tuturor conexiunilor și caracteristicilor acestora (nivel de personal inginer). Acest manual acoperă doarzona de responsabilitate a manageruluiîn formarea politicii de securitate, în primul rând, planificarea protecției sistemului informațional. Este participarea managerului, și nu doar a specialiștilor tehnici, la elaborarea unei politici de securitate care face posibilă luarea în considerare a distribuirii informațiilor adecvate și verificate, din punctul de vedere al responsabilităților funcționale specifice.

Trebuie planificate acțiunile de gestionare a sistemelor organizatorice și tehnice complexe. Planificarea securității informațiilor începe după efectuarea unei analize de risc și selectarea instrumentelor de securitate a informațiilor în conformitate cu clasamentul acestora. Planificarea este procesul de dezvoltare a unui pachet de documente de orientare pentru implementarea politicii de securitate a informațiilor selectate.

În mod fundamental, planul de protecție cuprinde două grupe de măsuri: pentru construirea (formarea) unui sistem de protecție și pentru utilizarea sistemului format pentru protejarea informațiilor.

Scopul planificarii:

• coordonarea activităților departamentelor relevante pentru asigurarea securității informațiilor;
• cea mai bună utilizare a tuturor resurselor alocate;
• prevenirea acțiunilor eronate care ar putea duce la scăderea posibilității de realizare a scopului.

Distinge două tipuri de planificare: strategic sau pe termen lung și tactic sau actual.

Planificare strategicăconstă în determinarea (fără o elaborare detaliată) a mijloacelor și metodelor de realizare a scopurilor finale, inclusiv a resurselor necesare, a succesiunii și a procedurii de utilizare a acestora.

Planificare tacticăeste de a determina obiective intermediare pe calea atingerii celor principale. În același timp, sunt elaborate în detaliu mijloacele și metodele de rezolvare a problemelor, folosind resurse, proceduri și tehnologii necesare.

Este dificil de trasat o linie exactă între planificarea strategică și cea tactică. De obicei, planificarea strategică acoperă o perioadă de timp de câteva ori mai lungă decât planificarea tactică; are consecințe mult mai îndepărtate; are un impact mai larg asupra funcționării sistemului gestionat în ansamblu.

Conceptul de management operațional este asociat cu planificarea tactică.Management operaționalasigură funcționarea sistemului în conformitate cu planul preconizat și constă în compararea periodică sau continuă a rezultatelor efective obținute cu planurile planificate și ajustarea ulterioară a acestora.

Abaterile sistemului de la planurile planificate se pot dovedi a fi astfel încât, pentru a atinge obiectivul în mod eficient, este recomandabil să se replanifice sau un astfel de rezultat ar trebui prevăzut în etapa de planificare.

Planificarea presupune identificarea, dezvoltarea sau selectarea:

• obiectivele finale și intermediare și justificarea sarcinilor, a căror rezolvare este necesară pentru realizarea acestora;
• cerințe pentru sistemul de securitate a informațiilor;
• mijloace și metode ale schemei funcționale de protecție a informațiilor, ținând cont de costul și atragerea altor resurse;
• un set de măsuri de protecție efectuate pe diferite perioade de timp;
• procedura de punere în aplicare a echipamentului de protecție;
• responsabilitatea personalului;
• procedura de revizuire a planului și modernizare a sistemului de protecție;
• un set de documente care reglementează activitățile de protecție a informațiilor.

Politica de securitate a informațiilor determină apariția sistemului de protecție a informațiilor un set de norme legale, măsuri organizaționale (legale), un set de instrumente software și hardware și soluții procedurale pentru utilizarea rațională a resurselor de calcul și comunicații care vizează contracararea amenințărilor în vederea excludeți (preveniți) sau minimizați posibilele consecințe ale influențelor informaționale.

Politica de securitatetrebuie să garantezecă pentru fiecare tip de problemă existăexecutiv responsabil. În acest sens, un element cheie al politicii de securitate este acela de a comunica fiecărui angajat responsabilitățile sale pentru menținerea regimului de securitate.

Cerința de a lua în considerare constrângerile de cost este reflectată în specificațiile mijloacelor de implementare a planului de securitate a informațiilor. Ele determină costurile totale de asigurare a securității informaționale a unui obiect în conformitate cu cerințele de securitate.

Trebuie să fiți capabil să răspundeți clar la următoarele întrebări:

• Câte calculatoare (echipamente suport) sunt instalate în organizație? Câți sunt la serviciu, câți sunt în reparație, câți sunt în rezervă.
• Este posibil să recunoaștem fiecare computer după vedere?
• Este posibil să se detecteze o „mascaradă” de echipamente atunci când un computer sau o parte a acestuia, sau un software, a fost înlocuit?
• Ce sarcini și în ce scop sunt rezolvate pe fiecare computer?
• Există încredere în necesitatea fiecărei piese de echipament controlat și că nu este nimic de prisos între ele, instalat, să zicem, pentru frumusețe? La urma urmei, dacă echipamentul nu este de nici un folos, din punct de vedere al siguranței, se poate aștepta doar un rău de la acesta.
• Care este procedura pentru repararea calculatorului și întreținerea tehnică?
• Cum se verifică echipamentul returnat de la reparații înainte de instalare la locul de muncă?
• Cum sunt confiscate computerele și transferate către departamente și care este procedura de punere în funcțiune a echipamentelor noi?

Lista de întrebări poate fi continuată. Întrebări similare pot fi adresate cu privire la software și personal.

Cu alte cuvinte, securitatea informațiilor începe cuformularea si rezolvarea problemelor organizationale. Cei care s-au ocupat deja în practică de probleme de asigurare a securității informațiilor în sistemele automatizate remarcă următoarea caracteristică: se înlocuiește interesul real pentru problema securității informațiilor manifestat de managerii de nivel superior la nivelul departamentelor responsabile cu funcționarea sistemului automatizat. prin respingere ascuțită.

De obicei, următoarele argumente sunt date împotrivaefectuarea de lucrări și luarea de măsurisecuritatea informatiilor:

• apariția unor restricții suplimentare pentru utilizatori, ceea ce face dificilă utilizarea și operarea sistemului automatizat al organizației;
• necesitatea unor costuri materiale suplimentare atât pentru realizarea unor astfel de lucrări, cât şi pentru extinderea personalului de specialişti care se ocupă de problema securităţii informaţiei.
• Economiile privind securitatea informațiilor pot fi exprimate sub diferite forme, extreme dintre acestea fiind:
• luarea de măsuri doar organizatorice pentru asigurarea securității informațiilor;
• utilizați numai mijloace tehnice suplimentare de securitate a informațiilor.

În primul caz, de regulă, sunt elaborate numeroase instrucțiuni, ordine și reglementări, concepute într-un moment critic pentru a transfera responsabilitatea de la persoanele care emit aceste documente către executori specifici. Desigur, cerințele unor astfel de documente (în absența suportului tehnic adecvat) complică activitățile zilnice ale angajaților organizației și, de regulă, nu sunt îndeplinite.

În al doilea caz, se achiziționează și se instalează echipamente tehnice suplimentare. Folosirea lor fără suport organizațional adecvat nu face decât să mărească tulburarea existentă.

Un set de măsuri necesare pentru implementarea securității informațiilor în unitate în funcție de momentul implementării

Să luăm în considerare set de măsuri organizatoricenecesare implementării securității informațiilor în rețelele de calculatoare. Pe de o parte, aceste măsuri ar trebui să vizeze asigurarea funcționării corecte a mecanismelor de securitate și să fie efectuate de administratorul de securitate a sistemului. Pe de altă parte, conducerea unei organizații care operează instrumente de automatizare trebuie să reglementeze regulile de prelucrare automată a informațiilor, inclusiv regulile de protecție a acestora, precum și să stabilească o măsură a răspunderii pentru încălcarea acestor reguli.

După timp:

• evenimente unice (o dată realizate și repetate doar cu o revizuire completă a deciziilor luate);
• evenimente desfășurate periodic (după un anumit timp);
• măsurile luate atunci când apar anumite condiții sau modificări în sistemul sau mediul protejat însuși (dacă este necesar);
• permanent (continuu sau discret în momente aleatorii) evenimente.

Evenimente unice:

• măsuri la nivel de sistem pentru a crea fundamente științifice, tehnice și metodologice (concepte și alte documente directoare) pentru apărare;
• măsurile luate la proiectarea, construcția și echiparea centrelor de calcul și a altor facilități (excluzând intrarea secretă în spații, instalarea echipamentelor etc.);
• activități desfășurate în timpul proiectării, dezvoltării și punerii în funcțiune hardware și software (verificarea și certificarea hardware-ului și software-ului utilizat, documentație etc.);
• dezvoltarea și aprobarea responsabilităților funcționale ale funcționarilor serviciului de securitate informatică;
• efectuarea modificărilor și completărilor necesare la documentele organizatorice și administrative (reglementări privind compartimentele, responsabilități funcționale ale funcționarilor, instrucțiuni pentru utilizatorii sistemului etc.) pe probleme de asigurare a securității software-ului și a resurselor informaționale și a acțiunilor în caz de situații de criză;
• înregistrarea documentelor legale (sub formă de contracte, ordine și instrucțiuni din partea conducerii organizației) privind reglementarea relațiilor cu utilizatorii (clienții) care lucrează în sistemul automatizat, între participanții la schimbul de informații și un terț (arbitraj, arbitraj). instanță) privind regulile de soluționare a litigiilor legate de utilizarea semnăturii electronice;
• stabilirea procedurii de atribuire, schimbare, aprobare și acordare anumitor funcționari a competențelor necesare pentru accesarea resurselor sistemului;
• elaborarea regulilor de gestionare a accesului la resursele sistemului (definirea unei liste de sarcini rezolvate de diviziile structurale ale organizației folosind instrumente informatice, precum și a modurilor de acces la date utilizate în rezolvarea acestora; o listă de fișiere și baze de date care conțin informații care constituie secrete comerciale și oficiale; identificarea celor mai probabile amenințări la adresa acestui sistem, identificarea vulnerabilităților în procesarea informațiilor și evaluarea posibilelor daune cauzate de o încălcare a securității informațiilor;
• organizarea controlului accesului;
• stabilirea procedurii de contabilizare, emitere, utilizare și stocare a mediilor de stocare amovibile care conțin copii de referință și copii de rezervă ale programelor, date arhivate etc.;
• organizarea contabilității, stocarea, utilizarea și distrugerea documentelor și mediilor cu informații clasificate;
• stabilirea procedurii de proiectare, dezvoltare, depanare, modificare, achiziție, cercetare, punere în funcțiune, stocare și monitorizare a integrității produselor software, precum și procedura de actualizare a versiunilor de sisteme utilizate și de instalare a programelor noi și aplicațiilor la stațiile de lucru ale unui sistem protejat (cine are dreptul de a autoriza astfel de acțiuni, cine implementează, cine controlează și ce ar trebui să facă);
• crearea compartimentelor (serviciilor) de securitate informatică sau, în cazul organizațiilor și diviziilor mici, numirea unor funcționari din afara personalului care efectuează unificarea conducerii, organizării și controlului conformității de către toate categoriile de funcționari a cerințelor de asigurare a securității; a software-ului și a resurselor informaționale ale sistemului automatizat;
• stabilirea unei liste a activităților desfășurate în mod regulat și a acțiunilor operaționale ale personalului pentru a asigura funcționarea și restabilirea continuă a procesului de calcul în situații critice rezultate din acces neautorizat, defecțiuni și defecțiuni ale echipamentelor, erori în programe și acțiuni ale personalului și dezastre naturale.

Evenimente organizate periodic:

• Distribuirea și modificarea detaliilor de control al accesului (parole, chei de criptare etc.).
• Analiza jurnalelor de sistem și luarea de măsuri cu privire la încălcările detectate ale regulilor de operare.
• Măsuri de revizuire a regulilor de limitare a accesului utilizatorilor la informații din organizație.
• Efectuarea unei analize de stare și evaluare a eficacității măsurilor și a echipamentelor de protecție aplicate (periodic cu implicarea unor specialiști terți). Pe baza informațiilor obținute în urma analizei, luați măsuri pentru îmbunătățirea sistemului de protecție.
• Măsuri de revizuire a compoziției și construcției sistemului de protecție.

Activități desfășurate după caz:

• activități desfășurate în timpul modificărilor de personal în componența personalului de sistem;
• activități desfășurate în timpul reparațiilor și modificărilor echipamentelor și software-ului;
• activități de selecție și plasare a personalului (verificarea celor angajați, instruire în regulile de lucru cu informații, familiarizarea cu măsurile de responsabilitate pentru încălcarea regulilor de securitate, instruire, crearea condițiilor în care ar fi neprofitabil ca personalul să-și încalce atribuțiile etc. .).

Evenimente regulate:

• apărarea împotriva incendiilor, paza spațiilor, controlul accesului, asigurarea securității și integrității fizice a echipamentelor și a suporturilor de stocare etc.;
• control explicit și ascuns asupra activității personalului de sistem;
• controlul asupra aplicării măsurilor de protecţie.

Revizuirea „Planului de protecție” se recomanda producerea o dată pe an. În plus, există o serie de cazuri care necesită o revizuire extraordinară. Acestea includ modificări ale următoarelor componente ale obiectului:

Oameni. Revizuirea poate fi cauzată de schimbări de personal asociate cu reorganizarea structurii organizatorice a unității, concedierea angajaților care au avut acces la informații confidențiale.țiuni, etc.

Tehnică. Revizuirea „Planului de protecție” poate fi cauzată de conectarea altor rețele, modificări sau modificări ale echipamentelor informatice sau software-ului utilizat.

Sediul . O revizuire a „Planului de protecție” poate fi cauzată de o schimbare a amplasării teritoriale a componentelor instalației.

Documente reglementarea activităților de protecție a informațiilor se întocmesc sub forma diverselor planuri, regulamente, instrucțiuni, manuale și alte documente similare.

Concluzie

Așadar, am trecut în revistă principiile și condițiile de bază pentru asigurarea securității informațiilor la unitate și politica de securitate asociată. Experiența străină arată că protecția eficientă a unei organizații împotriva infracțiunilor informatice este introducerea unui post de specialist în securitate informatică (administrator în securitatea informațiilor) sau crearea unor servicii speciale de securitate. Prezența unui astfel de serviciu într-o organizație reduce probabilitatea de a comite infracțiuni informatice la jumătate. În plus, se recomandă cu fermitate următoarele măsuri organizatorice:

pentru toate persoanele care au drept de acces la echipamente informatice (CTF) trebuie determinate categorii de acces;

este determinată responsabilitatea pentru siguranța resurselor informaționale;

a fost stabilită monitorizarea periodică a calității securității informațiilor;

s-a efectuat clasificarea informațiilor în funcție de importanța acesteia, diferențierea măsurilor de protecție pe baza acesteia;

organizarea protecției fizice a SKT.

Pe lângă măsurile organizatorice, măsurile de natură tehnică (hardware, software și complexe) pot juca un rol semnificativ în lupta împotriva infracțiunilor informatice. Metodele hardware sunt concepute pentru a proteja echipamentele informatice împotriva impacturilor fizice accidentale nedorite și a acțiunilor intenționate cu informații protejate. Acestea includ surse de alimentare neîntreruptibile, dispozitive de ecranare a echipamentelor și dispozitive de identificare personală.

Întrebări de testare.

1. Enumerați tipurile de protecție a informațiilor.
2. Numiți obiectele de protecție a informațiilor și dați definițiile acestora.
3. Numiți modalități de a proteja informațiile.
4. Numiți proprietățile informațiilor care compun modelul de securitate a informațiilor.
5. Numiți principiile de bază ale securității informațiilor.
6. Enumerați condițiile și cerințele pentru protecția informațiilor.
7. Definiți politica de securitate a site-ului și formulați cerințele pentru planul de securitate a informațiilor.

Literatură

Principal:

1. Apollonsky A.V., Dombrovskaya L.A., Primakin A.I., Smirnova O.G., Fundamentele securității informațiilor în departamentele de poliție: manual pentru universități. Sankt Petersburg: Universitatea Ministerului Afacerilor Interne al Federației Ruse, 2010.
2. Lopatin V.N. Securitatea informațiilor din Rusia: Man. Societate. Stat. Fundația Universitară. Sankt Petersburg 2000.

Adiţional:

1. Vasiliev A.I., Salnikov V.P., Stepashin S.V. Securitatea națională a Rusiei: sprijin constituțional. Fundația Universitară. Sankt Petersburg 1999.
2. Ismagilov R.F., Salnikov V.P., Stepashin S.V. Securitatea economică a Rusiei: conceptul de bază legală politică. Fundația Universitară. Sankt Petersburg 2001.
3. Dotsenko S.M., Primakin A.I. Securitatea informației și utilizarea tehnologiilor informaționale în lupta împotriva criminalității: un manual pentru universități. Sankt Petersburg: Universitatea Ministerului Afacerilor Interne al Federației Ruse, 2004.

Prelegerea a fost elaborată de un profesor asociat al Departamentului de Tehnologii Informaționale Speciale

Colonelul de poliție O.G. Smirnova

1 GOST R 50922-2006 Standard național al Federației Ruse „Protecția informațiilor. Termeni și definiții de bază"

Departamentul de Informatică și Matematică

Test

„Fundamentele securității informațiilor în organele de afaceri interne”

Finalizat:

Bychkova Elena Nikolaevna

Student anul 2, grupa a 2-a

Moscova – 2009

Plan

1. Conceptul și scopurile efectuării inspecțiilor speciale ale obiectelor de informatizare; principalele etape ale auditului

2. Vulnerabilitatea sistemelor informatice. Conceptul de acces neautorizat (UNA). Clase și tipuri de NSD

2.1 Vulnerabilitatea principalelor elemente structurale și funcționale ale SA distribuite

2.2 Amenințări la adresa securității informațiilor, a AS și a subiectelor relațiilor informaționale

2.3 Principalele tipuri de amenințări la adresa securității subiecților relațiilor informaționale

Lista literaturii folosite

1. Conceptul și scopurile efectuării inspecțiilor speciale ale obiectelor de informatizare; principalele etape ale auditului

Obiect de informatizare - ansamblu de instrumente de informatizare împreună cu sediul în care sunt instalate, destinate procesării și transmiterii de informații protejate, precum și spații dedicate.

Tehnologia informației înseamnă tehnologie informatică și comunicații, echipamente de birou destinate colectării, acumulării, stocării, căutării, procesării datelor și distribuirii informațiilor către consumator.

Echipamente informatice - calculatoare și complexe electronice, calculatoare electronice personale, inclusiv software, echipamente periferice, dispozitive de teleprocesare.

Un obiect computer (CT) este un obiect staționar sau mobil, care este un complex de echipamente informatice concepute pentru a îndeplini anumite funcții de procesare a informațiilor. Facilitățile informatice includ sisteme automate (AS), stații de lucru automatizate (AWS), centre de informare și de calcul (ICC) și alte complexe de echipamente informatice.

Facilitățile computerizate pot include, de asemenea, facilități computerizate individuale care îndeplinesc funcții independente de procesare a informațiilor.

Sediu dedicat (VP)- o sală specială destinată desfășurării de ședințe, conferințe, conversații și alte evenimente cu caracter de discurs pe teme secrete sau confidențiale.

Activitățile de natură vorbire pot fi desfășurate în spații dedicate, cu sau fără utilizarea mijloacelor tehnice de procesare a informațiilor vorbirii (TSIP).

Instrument de procesare a informațiilor tehnice (ITI)- un dispozitiv tehnic conceput pentru a primi, stoca, căuta, transforma, afișa și/sau transmite informații prin canale de comunicare.

TIC includ echipamente informatice, echipamente și sisteme de comunicații, mijloace de înregistrare, amplificare și reproducere a sunetului, dispozitive de interfon și de televiziune, mijloace de producere și reproducere a documentelor, echipamente de proiecție a filmelor și alte mijloace tehnice asociate cu recepția, acumularea, stocarea, căutarea, transformarea, afișarea și/sau transmiterea de informații prin canale de comunicare.

Sistem automatizat (AC)- un set de software și hardware conceput pentru a automatiza diverse procese legate de activitatea umană. În același timp, o persoană este o legătură în sistem.

Verificare specială Aceasta este o verificare a unui mijloc tehnic de prelucrare a informațiilor efectuată în scopul căutării și confiscării dispozitivelor electronice încorporate speciale (hardware embedded).

Certificatul obiectului de protecție- un document emis de un organism de certificare sau alt organism special autorizat care confirmă prezența la instalația de protecție a condițiilor necesare și suficiente pentru îndeplinirea cerințelor și standardelor stabilite pentru eficacitatea protecției informațiilor.

Certificat de locație alocată- un document eliberat de organismul de certificare (de certificare) sau alt organism special autorizat, care confirmă prezența condițiilor necesare care asigură o protecție acustică fiabilă a spațiilor alocate în conformitate cu normele și regulile stabilite.

Instructiuni de utilizare- un document care conține cerințe pentru asigurarea securității unui mijloc tehnic de prelucrare a informațiilor în timpul funcționării acestuia.

Program de testare de certificare- un document organizatoric si metodologic obligatoriu prin care se stabileste obiectul si scopurile testului, tipurile, succesiunea si volumul experimentelor efectuate, procedura, conditiile, locul si momentul efectuarii testelor, furnizarea si raportarea acestora, precum si responsabilitatea pentru furnizarea și efectuarea testelor.

Metodologia testelor de certificare- un document organizatoric și metodologic obligatoriu, cuprinzând metoda de testare, mijloacele și condițiile de testare, prelevarea de probe, algoritmul de efectuare a operațiunilor. Prin determinarea uneia sau mai multor caracteristici interdependente ale securității unui obiect, o formă pentru prezentarea datelor și evaluarea acurateței și fiabilității rezultatelor.

Raport de testare de certificare- un document care contine informatiile necesare despre obiectul testat, metodele folosite, mijloacele si conditiile de incercare, precum si o concluzie asupra rezultatelor incercarii, intocmita in modul prescris.

Principalele mijloace și sisteme tehnice (OTSS)- mijloace și sisteme tehnice, precum și comunicațiile acestora, utilizate pentru prelucrarea, stocarea și transmiterea informațiilor confidențiale (secrete).

OTSS poate include instrumente și sisteme de tehnologie a informației (tehnologia informatică, sisteme automate de diferite niveluri și scopuri bazate pe tehnologia informatică, inclusiv complexe informatice și de calcul, rețele și sisteme, instrumente și sisteme de comunicații și transmitere a datelor), mijloace tehnice de recepție, transmisie și prelucrarea informațiilor (telefonie, înregistrare a sunetului, amplificare a sunetului, reproducere sunet, dispozitive de interfon și televiziune, mijloace de producție, reproducere documente și alte mijloace tehnice de prelucrare a vorbirii, video grafic, informații semantice și alfanumerice) utilizate pentru prelucrarea confidențială (secretă) informaţii.

Mijloace și sisteme tehnice auxiliare (ATSS)- mijloace și sisteme tehnice nedestinate transmiterii, procesării și stocării informațiilor confidențiale, instalate împreună cu OTSS sau în incinte dedicate.

Acestea includ:

Diverse tipuri de instalații și sisteme telefonice;

Mijloace și sisteme pentru transmisia de date în sistemul de comunicații radio;

Sisteme și echipamente de securitate și alarmă de incendiu;

Mijloace si sisteme de avertizare si alarmare;

Echipamente de control și măsurare;

Produse și sisteme de aer condiționat;

Instrumente și sisteme pentru rețelele de difuzare radio cu fir și recepția de programe de radio și televiziune (difuzoare pentru abonați, sisteme de difuzare radio, televizoare și radiouri etc.);

Echipamente electronice de birou.

Întocmirea documentelor pe baza rezultatelor testelor de certificare:

Pe baza rezultatelor testelor de certificare în diverse domenii și componente, se întocmesc rapoarte de testare. Pe baza protocoalelor, se adoptă o Concluzie pe baza rezultatelor certificării cu o scurtă evaluare a conformității obiectului de informatizare cu cerințele de securitate a informațiilor, o concluzie despre posibilitatea eliberării unui „Certificat de conformitate” și recomandările necesare. Dacă obiectul informațional îndeplinește cerințele stabilite pentru securitatea informațiilor, se eliberează un Certificat de conformitate pentru acesta.

Recertificarea unui obiect de informatizare se efectuează în cazul în care s-au făcut modificări la un obiect recent certificat. Astfel de modificări pot include:

Schimbarea locației OTSS sau VTSS;

Înlocuirea OTSS sau VTSS cu altele;

Înlocuirea mijloacelor tehnice de securitate a informațiilor;

Modificări în instalarea și așezarea liniilor de cablu de curent scăzut și solo;

Deschiderea neautorizată a carcasei sigilate OTSS sau VTSS;

Efectuarea lucrărilor de reparații și construcție în spațiile desemnate etc.

Daca este necesara recertificarea unui obiect de informatizare, recertificarea se realizeaza conform unui program simplificat Simplificarile constau in faptul ca sunt testate doar elementele care au suferit modificari.

2. Vulnerabilitatea sistemelor informatice. Conceptul de acces neautorizat (UNA). Clase și tipuri de NSD

După cum arată analiza, cele mai moderne sisteme automate de procesare a informațiilor (AS) în cazul general sunt sisteme distribuite geografic de rețele locale de calculatoare (LAN) și computere individuale care interacționează intens (sincronizează) între ele folosind date (resurse) și gestionând (evenimente).

În sistemele distribuite, sunt posibile toate metodele „tradiționale” pentru sistemele de calcul localizate local (centralizate) de interferență neautorizată în funcționarea și accesul lor la informații. În plus, acestea se caracterizează prin noi canale specifice pentru pătrunderea în sistem și accesul neautorizat la informații.

Să enumerăm principalele caracteristici ale difuzoarelor distribuite:

· separarea teritorială a componentelor sistemului și prezența unui schimb intens de informații între acestea;

· o gamă largă de metode utilizate pentru prezentarea, stocarea și transmiterea informațiilor;

· integrarea datelor în diverse scopuri aparținând diverșilor subiecți în cadrul unor baze de date unificate și, dimpotrivă, plasarea datelor solicitate de unii subiecți în diverse noduri ale rețelei la distanță;