La protection logicielle et matérielle contre les accès non autorisés comprend des mesures d'identification, d'authentification et de contrôle d'accès au système d'information.

Identification – attribution d’identifiants uniques aux sujets d’accès.

Cela inclut les étiquettes radiofréquence, les technologies biométriques, les cartes magnétiques, les clés magnétiques universelles, les connexions système, etc.

Authentification – vérifier que le sujet de l'accès appartient à l'identifiant présenté et confirmer son authenticité.

Les procédures d'authentification incluent les mots de passe, les codes PIN, les cartes à puce, les clés USB, les signatures numériques, les clés de session, etc. La partie procédurale des outils d'identification et d'authentification est interconnectée et représente en fait la base de base de tous les outils logiciels et matériels de sécurité de l'information, puisque tous les autres services sont conçus pour servir des sujets spécifiques correctement reconnus par le système d'information. De manière générale, l'identification permet à un sujet de s'identifier auprès d'un système d'information, et grâce à l'authentification, le système d'information confirme que le sujet est bien celui qu'il prétend être. A l'issue de cette opération, une opération est réalisée pour donner accès au système d'information. Les procédures de contrôle d'accès permettent aux sujets autorisés d'effectuer des actions autorisées par la réglementation, et le système d'information surveille ces actions pour vérifier l'exactitude et l'exactitude du résultat obtenu. Le contrôle d'accès permet au système de bloquer les données des utilisateurs pour lesquelles ils ne sont pas autorisés.

Le prochain moyen de protection des logiciels et du matériel est la journalisation et l’audit des informations.

La journalisation comprend la collecte, l'accumulation et le stockage d'informations sur les événements, les actions, les résultats qui ont eu lieu pendant le fonctionnement du système d'information, les utilisateurs individuels, les processus et tous les logiciels et matériels qui font partie du système d'information de l'entreprise.

Étant donné que chaque composant du système d'information dispose d'un ensemble prédéterminé d'événements possibles conformément aux classificateurs programmés, les événements, les actions et les résultats sont divisés en :

• externe, causé par les actions d'autres composants,
• interne, provoqué par les actions du composant lui-même,
• côté client, provoqué par les actions des utilisateurs et des administrateurs.

L'audit de l'information consiste à réaliser une analyse opérationnelle en temps réel ou dans un délai donné.

Sur la base des résultats de l'analyse, soit un rapport est généré sur les événements survenus, soit une réponse automatique à une situation d'urgence est déclenchée.

La mise en œuvre de la journalisation et de l'audit résout les problèmes suivants :

• responsabiliser les utilisateurs et les administrateurs ;
• assurer la possibilité de reconstituer la séquence des événements ;
• détection de tentatives de violations de la sécurité de l'information ;
• fournir des informations pour identifier et analyser les problèmes.

Souvent, la protection des informations est impossible sans l’utilisation de moyens cryptographiques. Ils sont utilisés pour fournir des services de chiffrement, d'intégrité et d'authentification lorsque les moyens d'authentification sont stockés sous forme cryptée pour l'utilisateur. Il existe deux méthodes principales de cryptage : symétrique et asymétrique.

Le contrôle d'intégrité vous permet d'établir l'authenticité et l'identité d'un objet, qui est un tableau de données, des éléments de données individuels, une source de données, et également de garantir qu'il est impossible de marquer une action effectuée dans le système avec un tableau d'informations. La base de la mise en œuvre du contrôle d'intégrité repose sur les technologies de conversion de données utilisant le cryptage et les certificats numériques.

Un autre aspect important est l'utilisation du blindage, une technologie qui permet, en délimitant l'accès des sujets aux ressources informationnelles, de contrôler tous les flux d'informations entre le système d'information de l'entreprise et les objets externes, tableaux de données, sujets et contre-sujets. Le contrôle des flux consiste à les filtrer et, si nécessaire, à convertir les informations transmises.

Le but du blindage est de protéger les informations internes contre des facteurs et entités externes potentiellement hostiles. La principale forme de mise en œuvre du blindage consiste en des pare-feu ou des pare-feu de différents types et architectures.

Étant donné que l'un des signes de la sécurité de l'information est la disponibilité des ressources d'information, assurer un niveau élevé de disponibilité est une orientation importante dans la mise en œuvre de mesures logicielles et matérielles. En particulier, deux directions se divisent : assurer la tolérance aux pannes, c'est-à-dire neutraliser les pannes du système, la capacité de fonctionner lorsque des erreurs se produisent et assurer une récupération sûre et rapide après les pannes, c'est-à-dire l'état de fonctionnement du système.

La principale exigence des systèmes d’information est qu’ils fonctionnent toujours avec une efficacité, un temps d’indisponibilité minimum et une rapidité de réponse donnés.

Conformément à cela, la disponibilité des ressources informationnelles est assurée par :

• l'utilisation d'une architecture structurelle, qui permet de désactiver ou de remplacer rapidement des modules individuels, si nécessaire, sans endommager d'autres éléments du système d'information ;
• assurer la tolérance aux pannes grâce à : l'utilisation d'éléments autonomes de l'infrastructure de support, l'introduction de capacités excédentaires dans la configuration matérielle et logicielle, la redondance matérielle, la réplication des ressources d'information au sein du système, la sauvegarde des données, etc.
• assurer la facilité d'entretien en réduisant le temps nécessaire pour diagnostiquer et éliminer les pannes et leurs conséquences.

Un autre type de moyens de sécurité de l'information sont les canaux de communication sécurisés.

Le fonctionnement des systèmes d'information est inévitablement associé au transfert de données, il est donc également nécessaire pour les entreprises d'assurer la protection des ressources d'informations transmises à l'aide de canaux de communication sécurisés. La possibilité d'un accès non autorisé aux données lors de la transmission du trafic via des canaux de communication ouverts est due à leur disponibilité générale. Puisqu’« il est impossible de protéger physiquement les communications sur toute leur longueur, il est donc préférable de partir dans un premier temps de l’hypothèse de leur vulnérabilité et d’assurer une protection en conséquence ». Pour cela, des technologies de tunneling sont utilisées, dont l'essence est d'encapsuler les données, c'est-à-dire emballer ou envelopper les paquets de données transmis, y compris tous les attributs de service, dans leurs propres enveloppes. En conséquence, un tunnel est une connexion sécurisée via des canaux de communication ouverts à travers lesquels sont transmis des paquets de données protégés par cryptographie. Le tunneling est utilisé pour garantir la confidentialité du trafic en masquant les informations de service et en garantissant la confidentialité et l'intégrité des données transmises lorsqu'elles sont utilisées conjointement avec des éléments cryptographiques d'un système d'information. La combinaison du tunneling et du chiffrement permet de mettre en œuvre un réseau privé virtuel. Dans ce cas, les points finaux des tunnels qui mettent en œuvre les réseaux privés virtuels sont des pare-feu qui servent à connecter les organisations aux réseaux externes.

Les pare-feu comme points de mise en œuvre des services de réseaux privés virtuels

Ainsi, le tunneling et le chiffrement sont des transformations supplémentaires effectuées dans le processus de filtrage du trafic réseau ainsi que la traduction d'adresses. Les extrémités des tunnels, en plus des pare-feu d'entreprise, peuvent être les ordinateurs personnels et mobiles des employés, plus précisément leurs pare-feu et pare-feu personnels. Cette approche garantit le fonctionnement de canaux de communication sécurisés.

Procédures de sécurité des informations

Les procédures de sécurité de l'information sont généralement divisées en niveaux administratifs et organisationnels.

• Les procédures administratives comprennent les actions générales prises par la direction de l'organisation pour réglementer tous les travaux, actions, opérations dans le domaine de la garantie et du maintien de la sécurité de l'information, mises en œuvre en allouant les ressources nécessaires et en surveillant l'efficacité des mesures prises.
• Le niveau organisationnel représente les procédures visant à garantir la sécurité des informations, y compris la gestion du personnel, la protection physique, le maintien de la fonctionnalité de l'infrastructure logicielle et matérielle, l'élimination rapide des violations de sécurité et la planification des travaux de récupération.

D'un autre côté, la distinction entre les procédures administratives et organisationnelles n'a aucun sens, puisque les procédures à un niveau ne peuvent pas exister séparément d'un autre niveau, violant ainsi la relation entre la protection au niveau physique, la protection personnelle et organisationnelle dans le concept de sécurité de l'information. Dans la pratique, pour assurer la sécurité des informations d'une organisation, les procédures administratives ou organisationnelles ne sont pas négligées, il est donc plus logique de les considérer comme une approche intégrée, puisque les deux niveaux affectent les niveaux physiques, organisationnels et personnels de protection des informations.

La base des procédures globales pour assurer la sécurité des informations est la politique de sécurité.

Politique de sécurité des informations

Politique de sécurité des informations dans une organisation, il s’agit d’un ensemble de décisions documentées prises par la direction de l’organisation et visant à protéger les informations et les ressources associées.

Sur le plan organisationnel et managérial, la politique de sécurité de l'information peut être un document unique ou rédigée sous la forme de plusieurs documents ou arrêtés indépendants, mais dans tous les cas elle doit couvrir les aspects suivants de la protection du système d'information de l'organisation :

• protection des objets du système d'information, des ressources d'information et des opérations directes avec eux ;
• protection de toutes les opérations liées au traitement de l'information dans le système, y compris les outils de traitement logiciel ;
• protection des canaux de communication, notamment filaires, radio, infrarouges, matériels, etc. ;
• protection du complexe matériel contre les rayonnements électromagnétiques indésirables ;
• gestion du système de sécurité, y compris la maintenance, les mises à niveau et les activités administratives.

Chaque aspect doit être décrit en détail et documenté dans les documents internes de l'organisation. Les documents internes couvrent trois niveaux du processus de sécurité : haut, milieu et bas.

Les documents de politique de sécurité des informations de haut niveau reflètent l'approche de base de l'organisation en matière de protection de ses propres informations et de conformité aux normes nationales et/ou internationales. En pratique, une organisation ne dispose que d'un seul document de niveau supérieur, intitulé « Concept de sécurité de l'information », « Règlement sur la sécurité de l'information », etc. Formellement, ces documents ne représentent pas de valeur confidentielle, leur distribution n'est pas limitée, mais ils peuvent être communiqués aux éditeurs pour un usage interne et une publication ouverte.

Les documents de niveau intermédiaire sont strictement confidentiels et concernent des aspects spécifiques de la sécurité de l’information de l’organisation : outils de sécurité de l’information utilisés, sécurité des bases de données, communications, outils cryptographiques et autres processus informationnels et économiques de l’organisation. La documentation est mise en œuvre sous la forme de normes techniques et organisationnelles internes.

Les documents de niveau inférieur sont divisés en deux types : les règlements de travail et les instructions d'utilisation. Le règlement de travail est strictement confidentiel et s'adresse uniquement aux personnes qui, dans le cadre de leurs fonctions, effectuent des travaux d'administration de services individuels de sécurité de l'information. Les instructions d'utilisation peuvent être confidentielles ou publiques ; ils sont destinés au personnel de l’organisation et décrivent la procédure de travail avec les éléments individuels du système d’information de l’organisation.

L'expérience mondiale montre que la politique de sécurité de l'information n'est toujours documentée que dans les grandes entreprises qui disposent d'un système d'information développé et ont des exigences accrues en matière de sécurité de l'information ; les entreprises de taille moyenne n'ont le plus souvent qu'une politique de sécurité de l'information partiellement documentée ; l'écrasante majorité des petites organisations ne vous souciez pas de la documentation de la politique de sécurité. Quel que soit le format du document, holistique ou distribué, l'aspect fondamental est le régime de sécurité.

Il existe deux approches différentes qui constituent la base politiques de sécurité de l'information:

1. "Tout ce qui n'est pas interdit est permis."
2. "Tout ce qui n'est pas permis est interdit."

Le défaut fondamental de la première approche est qu’en pratique il est impossible de prévoir tous les cas dangereux et de les interdire. Sans aucun doute, seule la deuxième approche devrait être utilisée.

Niveau organisationnel de sécurité de l’information

Du point de vue de la protection de l'information, les procédures organisationnelles visant à assurer la sécurité de l'information sont présentées comme « la réglementation des activités de production et des relations entre les artistes interprètes ou exécutants sur une base juridique qui exclut ou complique considérablement l'acquisition illégale d'informations confidentielles et la manifestation de troubles internes et menaces extérieures. »

Les mesures de gestion du personnel visant à organiser le travail avec le personnel pour assurer la sécurité de l'information comprennent la séparation des tâches et la minimisation des privilèges. La séparation des tâches prescrit une telle répartition des compétences et des domaines de responsabilité dans laquelle une seule personne n'est pas en mesure de perturber un processus critique pour l'organisation. Cela réduit le risque d’erreurs et d’abus. Le moindre privilège exige que les utilisateurs reçoivent uniquement le niveau d'accès nécessaire pour s'acquitter de leurs responsabilités professionnelles. Cela réduit les dommages causés par des actions incorrectes accidentelles ou intentionnelles.

La protection physique signifie l'élaboration et l'adoption de mesures pour la protection directe des bâtiments qui abritent les ressources d'information de l'organisation, les zones adjacentes, les éléments d'infrastructure, les équipements informatiques, les supports de stockage de données et les canaux de communication matériels. Il s'agit notamment du contrôle d'accès physique, de la protection contre les incendies, de la protection des infrastructures de support, de la protection contre l'interception des données et de la protection des systèmes mobiles.

Le maintien de la fonctionnalité de l'infrastructure matérielle et logicielle implique d'éviter les erreurs stochastiques qui menacent d'endommager le système matériel, de perturber les programmes et de perdre des données. Les principales orientations dans cet aspect sont de fournir un support utilisateur et logiciel, une gestion de la configuration, une sauvegarde, une gestion des supports, une documentation et une maintenance.

L’élimination rapide des violations de sécurité poursuit trois objectifs principaux :

1. Localisation de l'incident et réduction des dommages causés ;
2. Identification du contrevenant ;
3. Prévention des violations répétées.

Enfin, la planification du rétablissement vous permet de vous préparer aux accidents, de réduire les dommages qui en découlent et de maintenir la capacité de fonctionner au moins dans une mesure minimale.

L'utilisation de logiciels, de matériel informatique et de canaux de communication sécurisés doit être mise en œuvre dans l'organisation sur la base d'une approche intégrée de l'élaboration et de l'approbation de toutes les procédures réglementaires administratives et organisationnelles visant à assurer la sécurité de l'information. Dans le cas contraire, l’adoption de mesures individuelles ne garantit pas la protection des informations et provoque souvent, au contraire, des fuites d’informations confidentielles, des pertes de données critiques, des dommages à l’infrastructure matérielle et une perturbation des composants logiciels du système d’information de l’organisation.

Méthodes de sécurité de l'information

Les entreprises modernes se caractérisent par un système d'information distribué, qui leur permet de prendre en compte les bureaux et entrepôts distribués de l'entreprise, la comptabilité financière et le contrôle de gestion, les informations de la clientèle, la prise en compte de l'échantillonnage par indicateurs, etc. Ainsi, l’éventail de données est très important et la grande majorité est une information d’importance prioritaire pour l’entreprise sur le plan commercial et économique. En effet, assurer la confidentialité des données ayant une valeur commerciale est l’un des principaux objectifs de la sécurité de l’information dans une entreprise.

Assurer la sécurité des informations dans l'entreprise doit être réglementé par les documents suivants :

1. Règlement sur la sécurité de l'information. Comprend un énoncé des buts et objectifs pour assurer la sécurité de l'information, une liste de réglementations internes sur les outils de sécurité de l'information et des réglementations sur l'administration du système d'information distribué de l'entreprise. L'accès au règlement est limité à la direction de l'organisation et au chef du service d'automatisation.
2. Règlement sur le support technique pour la sécurité de l'information. Les documents sont confidentiels, l'accès est limité aux employés du service d'automatisation et à la haute direction.
3. Règlement pour l'administration d'un système de sécurité de l'information distribué. L'accès au règlement est réservé aux salariés du service automatisme chargés de l'administration du système d'information et à la direction générale.

Dans le même temps, vous ne devez pas vous limiter à ces documents, mais également travailler aux niveaux inférieurs. Sinon, si l'entreprise ne dispose pas d'autres documents liés à la garantie de la sécurité de l'information, cela indiquera un degré insuffisant de soutien administratif à la sécurité de l'information, puisqu'il n'existe pas de documents de niveau inférieur, notamment des instructions pour le fonctionnement des éléments individuels du système d'information.

Les procédures organisationnelles obligatoires comprennent :

• principales mesures de différenciation du personnel selon le niveau d'accès aux ressources informationnelles,
• protection physique des bureaux de l'entreprise contre la pénétration directe et les menaces de destruction, de perte ou d'interception de données,
• le maintien des fonctionnalités de l'infrastructure matérielle et logicielle est organisé sous forme de sauvegardes automatisées, une vérification à distance des supports de stockage, un support utilisateur et logiciel est fourni sur demande.

Cela devrait également inclure des mesures réglementées pour répondre et éliminer les cas de violations de la sécurité de l'information.

Dans la pratique, on constate souvent que les entreprises n’accordent pas suffisamment d’attention à cette question. Toutes les actions dans ce sens sont effectuées exclusivement de manière routinière, ce qui augmente le temps nécessaire pour éliminer les cas de violations et ne garantit pas la prévention de violations répétées de la sécurité de l'information. De plus, il existe un manque total de pratique dans la planification d'actions visant à éliminer les conséquences d'accidents, de fuites d'informations, de pertes de données et de situations critiques. Tout cela aggrave considérablement la sécurité des informations de l'entreprise.

Au niveau logiciel et matériel, un système de sécurité de l'information à trois niveaux doit être mis en œuvre.

Critères minimaux de sécurité des informations :

1. Module de contrôle d'accès :

• Une entrée fermée au système d'information a été mise en place, il est impossible de se connecter au système en dehors des lieux de travail vérifiés ;
• Un accès aux fonctionnalités limitées depuis les ordinateurs personnels mobiles a été mis en place pour les employés ;
• l'autorisation s'effectue à l'aide des identifiants et des mots de passe générés par les administrateurs.

2. Module de contrôle de cryptage et d’intégrité :

• une méthode asymétrique de cryptage des données transmises est utilisée ;
• des ensembles de données critiques sont stockées dans des bases de données sous forme cryptée, ce qui ne permet pas d’y accéder même en cas de piratage du système d’information de l’entreprise ;
• le contrôle d’intégrité est assuré par une simple signature numérique de toutes les ressources informationnelles stockées, traitées ou transmises au sein du système d’information.

3. Module de blindage :

• un système de filtrage a été mis en place dans les pare-feu qui permet de contrôler tous les flux d'informations via les canaux de communication ;
• les connexions externes aux ressources d'information mondiales et aux canaux de communication publics ne peuvent être établies que via un ensemble limité de postes de travail vérifiés disposant d'une connexion limitée au système d'information de l'entreprise ;
• L'accès sécurisé depuis les postes de travail des employés pour exercer leurs fonctions officielles est mis en œuvre via un système de serveur proxy à deux niveaux.

Enfin, à l'aide des technologies de tunneling, une entreprise doit mettre en œuvre un réseau privé virtuel conformément à un modèle de conception typique pour fournir des canaux de communication sécurisés entre les différents services de l'entreprise, les partenaires et les clients de l'entreprise.

Malgré le fait que les communications s'effectuent directement sur des réseaux avec un niveau de confiance potentiellement faible, les technologies de tunneling, grâce à l'utilisation de la cryptographie, permettent d'assurer une protection fiable de toutes les données transmises.

conclusions

L'objectif principal de toutes les mesures prises dans le domaine de la sécurité de l'information est de protéger les intérêts de l'entreprise, d'une manière ou d'une autre, liés aux ressources d'information dont elle dispose. Bien que les intérêts des entreprises ne se limitent pas à un domaine spécifique, ils sont tous centrés sur la disponibilité, l’intégrité et la confidentialité des informations.

Le problème de la garantie de la sécurité de l'information s'explique par deux raisons principales.

1. Les ressources informationnelles accumulées par l'entreprise sont précieuses.
2. La dépendance critique à l’égard des technologies de l’information détermine leur utilisation généralisée.

Compte tenu de la grande variété de menaces existantes pour la sécurité de l'information, telles que la destruction d'informations importantes, l'utilisation non autorisée de données confidentielles, les interruptions de fonctionnement d'une entreprise dues à des perturbations dans le fonctionnement du système d'information, nous pouvons conclure que tout cela est objectivement entraîne d'importantes pertes matérielles.

Pour assurer la sécurité de l'information, un rôle important est joué par les logiciels et le matériel visant à contrôler les entités informatiques, c'est-à-dire équipements, éléments logiciels, données, formant la dernière et la plus haute ligne prioritaire de sécurité de l'information. La transmission des données doit également être sécurisée en termes de maintien de leur confidentialité, de leur intégrité et de leur disponibilité. Par conséquent, dans les conditions modernes, les technologies de tunneling associées à des outils cryptographiques sont utilisées pour fournir des canaux de communication sécurisés.

Littérature

1. Galatenko V.A. Normes de sécurité de l'information. – M. : Université Internet des Technologies de l’Information, 2006.
2. Partyka T.L., Popov I.I. Sécurité des informations. – M. : Forum, 2012.

L'essence du concept de « sécurité de l'information »

Alors que Sécurité des informations- Ce État la sécurité de l'environnement informationnel, protection des données représente activité pour empêcher les fuites d'informations protégées, les impacts non autorisés et involontaires sur les informations protégées, c'est-à-dire processus visant à atteindre cet état.

Sécurité de l'information de l'organisation- les activités ciblées de ses organes et fonctionnaires utilisant les forces et moyens autorisés pour atteindre un état de sécurité de l'environnement informationnel de l'organisation, garantissant son fonctionnement normal et son développement dynamique.

Tuple de sécurité des informations- est une séquence d'actions pour atteindre un objectif spécifique.

Sécurité de l'information de l'État- l'état de conservation des ressources informationnelles de l'État et la protection des droits légaux de l'individu et de la société dans le domaine de l'information.

Définitions standardisées

L'état de sécurité des informations (données), dans lequel leur (leur) confidentialité, disponibilité et intégrité sont assurées.

Sécurité des informations- protection de la confidentialité, de l'intégrité et de la disponibilité des informations.

1. Confidentialité : propriété des ressources informationnelles, y compris les informations, liée au fait qu'elles ne deviendront pas accessibles et ne seront pas divulguées à des personnes non autorisées.
2. Intégrité : l'immuabilité de l'information lors de sa transmission ou de son stockage.
3. Disponibilité : propriété des ressources informationnelles, y compris les informations, qui détermine la possibilité de leur réception et de leur utilisation à la demande des personnes autorisées.

Sécurité des informations(Anglais) sécurité des informations) - tous les aspects liés à la détermination, à la réalisation et au maintien de la confidentialité, de l'intégrité, de la disponibilité, de la non-répudiation, de la responsabilité, de l'authenticité et de la fiabilité des informations ou des moyens de les traiter.

Sécurité des informations (données)(Anglais) sécurité des informations (données)) - l'état de sécurité des informations (données), qui garantit leur (leur) confidentialité, disponibilité et intégrité.

La sécurité des informations (données) est déterminée par l'absence de risque inacceptable associé à une fuite d'informations via des canaux techniques, à des impacts non autorisés et involontaires sur les données et (ou) d'autres ressources du système d'information automatisé utilisé dans le système automatisé.

Sécurité de l'information (lors de l'utilisation des technologies de l'information)(Anglais) sécurité informatique) - l'état de la sécurité des informations (données), garantissant la sécurité des informations pour lesquelles elles sont utilisées pour le traitement, et la sécurité des informations du système d'information automatisé dans lequel elles sont mises en œuvre.

Sécurité du système d'information automatisé- l'état de sécurité d'un système automatisé, qui assure la confidentialité, la disponibilité, l'intégrité, la responsabilité et l'authenticité de ses ressources.

La sécurité de l'information est la sécurité de l'information et des infrastructures de support contre les impacts accidentels ou intentionnels de nature naturelle ou artificielle qui peuvent causer des dommages inacceptables aux sujets des relations d'information. Infrastructure de soutien - systèmes d'approvisionnement en électricité, chauffage, eau, gaz, systèmes de climatisation, etc., ainsi que personnel de maintenance. Un dommage inacceptable est un dommage qui ne peut être ignoré.

Caractéristiques essentielles du concept

Un modèle de trois catégories est souvent cité comme modèle de sécurité standard :

Il existe d'autres catégories pas toujours obligatoires du modèle de sécurité :

La norme d'État de la Fédération de Russie fournit la recommandation suivante pour l'utilisation des termes « sécurité » et « sécurité » :

Les mots « sécurité » et « sûr » ne doivent être utilisés que pour exprimer la confiance et garantir le risque.

Les mots « sécurité » et « sécurité » ne doivent pas être utilisés comme adjectifs descriptifs car ils ne véhiculent aucune information utile. Il est recommandé, dans la mesure du possible, de remplacer ces mots par des signes du sujet, par exemple :

• « casque de sécurité » au lieu de « casque de sécurité » ;
• « revêtement de sol antidérapant » au lieu de « revêtement de sol sûr ».

Pour le terme « sécurité de l’information », les mêmes recommandations doivent être suivies. Il est conseillé d'utiliser des caractéristiques plus précises des objets, répartis en signes du concept de « sécurité de l'information ». Par exemple, il serait plus juste d’utiliser l’argument « pour prévenir les menaces pesant sur la disponibilité d’un objet » (ou « pour maintenir l’intégrité des données ») au lieu de l’argument « fondé sur des exigences de sécurité de l’information ».

Portée (mise en œuvre) du concept de « sécurité de l'information »

Une approche systématique pour décrire la sécurité de l'information suggère de mettre en évidence les éléments suivants de la sécurité de l'information :

1. Cadre législatif, réglementaire et scientifique.
2. Structure et missions des organismes (divisions) assurant la sécurité informatique.
3. Mesures et méthodes organisationnelles, techniques et de sécurité (Politique de sécurité de l'information).
4. Méthodes et moyens logiciels et matériels pour assurer la sécurité des informations.

Ci-dessous, dans cette section, chacun des composants de la sécurité de l'information sera discuté en détail.

L'objectif de la mise en œuvre de la sécurité de l'information de tout objet est de construire un système de sécurité de l'information pour cet objet (ISIS). Pour construire et exploiter efficacement un SMSI, il est nécessaire :

• identifier les exigences de sécurité de l'information spécifiques à un objet de protection donné ;
• prendre en compte les exigences de la législation nationale et internationale ;
• utiliser les pratiques établies (normes, méthodologies) pour construire un tel SMSI ;
• identifier les unités responsables de la mise en œuvre et du soutien du SMSI ;
• répartir les domaines de responsabilité entre les départements dans la mise en œuvre des exigences du SMSI ;
• sur la base de la gestion des risques liés à la sécurité de l'information, déterminer les dispositions générales, les exigences techniques et organisationnelles qui composent la politique de sécurité de l'information de l'objet protégé ;
• mettre en œuvre les exigences de la politique de sécurité de l'information en introduisant des méthodes logicielles et matérielles appropriées et des moyens de protection des informations ;
• mettre en œuvre un système de gestion de la sécurité de l'information (ISMS) ;
• À l'aide du SMSI, organiser un suivi régulier de l'efficacité du SMSI et, si nécessaire, une révision et un ajustement du SMSI et du SMSI.

Comme le montre la dernière étape des travaux, le processus de mise en œuvre du SMSI est continu et revient cycliquement (après chaque révision) à la première étape, répétant séquentiellement toutes les autres. C'est ainsi que le système de sécurité de l'information s'adapte pour remplir efficacement ses tâches de protection de l'information et répondre aux nouvelles exigences d'un système d'information constamment mis à jour.

Documents réglementaires dans le domaine de la sécurité de l'information

Dans la Fédération de Russie, les actes juridiques réglementaires dans le domaine de la sécurité de l'information comprennent :

Actes de la législation fédérale :

• Traités internationaux de la Fédération de Russie ;
  • Constitution de la Fédération de Russie ;
  • Lois au niveau fédéral (y compris les lois constitutionnelles fédérales et les codes) ;
  • Décrets du Président de la Fédération de Russie ;
  • Décrets du gouvernement de la Fédération de Russie ;
  • Actes juridiques réglementaires des ministères et départements fédéraux ;
  • Actes juridiques réglementaires des entités constitutives de la Fédération de Russie, des organes d'autonomie locale, etc.

Les listes et le contenu de ces documents réglementaires dans le domaine de la sécurité de l'information sont abordés plus en détail dans la section Loi sur l'information.

Les documents réglementaires et méthodologiques comprennent

• Documents méthodologiques des organismes gouvernementaux russes :
  • Doctrine de la sécurité de l'information de la Fédération de Russie ;
  • Documents directeurs du FSTEC (Commission technique d'État de Russie) ;
  • Ordonnances du FSB ;

• Normes de sécurité de l'information, parmi lesquelles on distingue :
  • Normes internationales;
  • Normes d'État (nationales) de la Fédération de Russie ;
  • Recommandations pour la normalisation ;
  • Consignes méthodiques.

Organes (divisions) assurant la sécurité de l'information

Selon l'application de l'activité dans le domaine de la sécurité de l'information (au sein d'organismes gouvernementaux ou d'organisations commerciales), l'activité elle-même est organisée par des organismes gouvernementaux (divisions) ou des départements (services) spéciaux de l'entreprise.

Organismes d'État de la Fédération de Russie qui contrôlent les activités dans le domaine de la sécurité de l'information :

• Service fédéral de contrôle technique et des exportations (FSTEC de Russie) ;
• Service fédéral de sécurité de la Fédération de Russie (FSB de Russie) ;
• Service fédéral de sécurité de la Fédération de Russie (OFS de Russie) ;
• Service de renseignement étranger de la Fédération de Russie (SVR de Russie) ;
• Ministère de la Défense de la Fédération de Russie (Ministère de la Défense de la Russie) ;
• Ministère de l'Intérieur de la Fédération de Russie (MVD de Russie) ;
• Service fédéral de surveillance des communications, des technologies de l'information et des communications de masse (Roskomnadzor).

Services qui organisent la sécurité des informations au niveau de l'entreprise

• Service de sécurité du personnel (Département de la sécurité) ;
• Département des Ressources Humaines;

Mesures et méthodes organisationnelles, techniques et de régime

Pour décrire la technologie de protection de l'information d'un système d'information spécifique, ce qu'on appelle Politique de sécurité des informations ou Politique de Sécurité du système d’information concerné.

Politique de sécurité(informations dans l'organisation) (eng. Politique de sécurité organisationnelle ) - un ensemble de règles, procédures, pratiques ou lignes directrices documentées dans le domaine de la sécurité de l'information qui guident une organisation dans ses activités.

Politique de sécurité des technologies de l'information et des télécommunications(Anglais) Politique de sécurité des TIC) - règles, directives, pratiques établies qui déterminent comment, au sein d'une organisation et de ses technologies de l'information et des télécommunications, gérer, protéger et distribuer les actifs, y compris les informations critiques.

Pour construire une politique de sécurité de l'information, il est recommandé de considérer séparément les domaines suivants de la protection du système d'information :

• Protection des objets du système d'information ;
• Protection des processus, procédures et programmes de traitement de l'information ;
• Protection des canaux de communication (canaux acoustiques, infrarouges, filaires, radio, etc.) ;
• Suppression du rayonnement électromagnétique collatéral ;
• Gestion du système de sécurité.

Dans le même temps, pour chacun des domaines ci-dessus, la politique de sécurité de l'information doit décrire les étapes suivantes de création d'outils de sécurité de l'information :

1. Identification des informations et des ressources techniques à protéger ;
2. Identification de l’ensemble des menaces potentielles et des canaux de fuite d’informations ;
3. Réaliser une évaluation de la vulnérabilité et des risques de l’information compte tenu de la multitude de menaces et de canaux de fuite ;
4. Détermination des exigences pour le système de protection ;
5. Sélection des outils de sécurité de l'information et de leurs caractéristiques ;
6. Introduction et organisation de l'utilisation de mesures, méthodes et moyens de protection sélectionnés ;
7. Mise en place de la surveillance de l'intégrité et de la gestion du système de sécurité.

La politique de sécurité de l'information est formalisée sous la forme d'exigences documentées pour le système d'information. Les documents sont généralement divisés par niveaux de description (détail) du processus de protection.

Documentation haut niveau Les politiques de sécurité de l'information reflètent la position de l'organisation sur les activités dans le domaine de la sécurité de l'information, sa volonté de se conformer aux exigences et normes nationales et internationales dans ce domaine. De tels documents peuvent être appelés « Concept SI », « Règlement de gestion SI », « Politique SI », « Norme technique SI », etc. La portée de la distribution des documents de niveau supérieur n'est généralement pas limitée, cependant, ces documents peuvent être publiés en deux éditions - pour usage externe et interne.

Selon GOST R ISO/IEC 17799-2005, les documents suivants doivent être établis au niveau supérieur de la politique de sécurité de l'information : « Concept de sécurité de l'information », « Règles d'utilisation acceptable des ressources du système d'information », « Plan de continuité des activités ». .

À niveau moyen inclure des documents relatifs à certains aspects de la sécurité de l’information. Il s'agit d'exigences relatives à la création et au fonctionnement d'outils de sécurité de l'information, à l'organisation de l'information et aux processus métier d'une organisation dans un domaine spécifique de la sécurité de l'information. Par exemple : sécurité des données, sécurité des communications, utilisation d'outils de protection cryptographique, filtrage de contenu, etc. Ces documents sont généralement publiés sous la forme de politiques techniques et organisationnelles internes (normes) de l'organisation. Tous les documents de politique de sécurité des informations de niveau intermédiaire sont confidentiels.

Vers la politique de sécurité de l'information niveau inférieur comprend des règlements de travail, des manuels d'administration, des instructions d'utilisation pour les services individuels de sécurité de l'information.

Méthodes et moyens logiciels et matériels pour assurer la sécurité des informations

La littérature propose la classification suivante des outils de sécurité de l'information.

Protection organisationnelle des objets d'informatisation

Défense organisationnelle- il s'agit de la réglementation des activités de production et des relations entre artistes interprètes sur une base juridique qui exclut ou complique considérablement l'acquisition illégale d'informations confidentielles et la manifestation de menaces internes et externes. La protection organisationnelle fournit :

• organisation de la sécurité, régime, travail avec le personnel, avec documents ;
• l'utilisation de moyens techniques de sécurité et d'activités d'information et d'analyse pour identifier les menaces internes et externes à l'activité commerciale.

Les principales activités organisationnelles comprennent :

• organisation du régime et de la sécurité. Leur objectif est d'exclure la possibilité d'entrée secrète sur le territoire et dans les locaux de personnes non autorisées ;
• organisation du travail avec les salariés, qui comprend la sélection et le placement du personnel, y compris la familiarisation avec les salariés, leur étude, la formation aux règles de travail avec des informations confidentielles, la familiarisation avec les sanctions en cas de violation des règles de sécurité de l'information, etc.
• organiser le travail avec des documents et des informations documentées, y compris organiser l'élaboration et l'utilisation de documents et de supports d'informations confidentielles, leur enregistrement, leur exécution, leur restitution, leur stockage et leur destruction ;
• organiser l'utilisation de moyens techniques de collecte, de traitement, d'accumulation et de stockage d'informations confidentielles ;
• organiser les travaux d'analyse des menaces internes et externes pesant sur les informations confidentielles et élaborer des mesures pour assurer leur protection ;
• organiser les travaux pour effectuer un contrôle systématique du travail du personnel avec des informations confidentielles, la procédure d'enregistrement, de conservation et de destruction des documents et supports techniques.

Dans chaque cas spécifique, les mesures organisationnelles ont une forme et un contenu spécifiques pour une organisation donnée, visant à assurer la sécurité des informations dans des conditions spécifiques.

Aspects historiques de l'émergence et du développement de la sécurité de l'information

Objectivement, la catégorie « sécurité de l'information » est née avec l'émergence entre les personnes, ainsi qu'avec la prise de conscience d'une personne que les personnes et leurs communautés ont des intérêts qui peuvent être lésés en influençant les moyens de communication de l'information, dont la présence et le développement assurent l'échange d'informations. entre tous les éléments de la société.

Compte tenu de l'influence sur la transformation des idées sur la sécurité de l'information, plusieurs étapes peuvent être distinguées dans le développement des communications de l'information :

• La phase I - jusqu'en 1816 - est caractérisée par l'utilisation de moyens de communication d'informations naturels. Au cours de cette période, la tâche principale de la sécurité de l'information était de protéger les informations sur les événements, les faits, les biens, la localisation et d'autres données d'une importance vitale pour une personne personnellement ou pour la communauté à laquelle elle appartenait.

• La phase II - à partir de 1816 - est associée au début de l'utilisation de moyens techniques de communication électrique et radio créés artificiellement. Pour garantir le secret et l'immunité au bruit des communications radio, il était nécessaire d'utiliser l'expérience de la première période de sécurité de l'information à un niveau technologique supérieur, à savoir l'utilisation d'un codage résistant au bruit d'un message (signal) avec décodage ultérieur du reçu. message (signal).

• L'étape III - à partir de 1935 - est associée à l'avènement des radars et des moyens hydroacoustiques. Le principal moyen d'assurer la sécurité de l'information au cours de cette période était une combinaison de mesures organisationnelles et techniques visant à accroître la sécurité des équipements radar contre l'impact du masquage actif et des interférences électroniques de simulation passive sur leurs appareils de réception.

• L'étape IV - à partir de 1946 - est associée à l'invention et à la mise en œuvre d'ordinateurs électroniques (ordinateurs) dans des activités pratiques. Les problèmes de sécurité de l'information ont été résolus principalement par des méthodes et des moyens de limitation de l'accès physique aux équipements d'obtention, de traitement et de transmission d'informations.

• L'étape V - à partir de 1965 - est due à la création et au développement d'entreprises locales. Les problèmes de sécurité de l'information ont également été résolus, principalement, par des méthodes et moyens de protection physique des moyens d'obtention, de traitement et de transmission d'informations, intégrés dans un réseau local en administrant et en contrôlant l'accès aux ressources du réseau.

• L'étape VI - à partir de 1973 - est associée à l'utilisation d'appareils de communication ultra-mobiles effectuant un large éventail de tâches. Les menaces à la sécurité de l’information sont devenues beaucoup plus graves. Pour garantir la sécurité des informations dans les systèmes informatiques dotés de réseaux de données sans fil, il était nécessaire de développer de nouveaux critères de sécurité. Des communautés de personnes se sont formées - des pirates informatiques, dont le but est de nuire à la sécurité des informations d'utilisateurs individuels, d'organisations et de pays entiers. La ressource informationnelle est devenue la ressource la plus importante de l'État, et assurer sa sécurité est l'élément le plus important et le plus obligatoire de la sécurité nationale. Le droit de l'information est en train de se former - une nouvelle branche du système juridique international.

• La phase VII - à partir de 1985 - est associée à la création et au développement de réseaux mondiaux d'information et de communication utilisant des équipements de support spatiaux. On peut supposer que la prochaine étape du développement de la sécurité de l'information sera évidemment associée à l'utilisation généralisée d'appareils de communication ultra-mobiles dotés d'un large éventail de tâches et d'une couverture mondiale dans l'espace et dans le temps assurée par les systèmes d'information et de communication spatiaux. Pour résoudre les problèmes de sécurité de l'information à ce stade, il est nécessaire de créer un macrosystème de sécurité de l'information pour l'humanité sous les auspices des principaux forums internationaux.

voir également

• Modèles abstraits de sécurité de l’information
• Politique d'information de l'État de la Russie
• Critères de détermination de la sécurité des systèmes informatiques
• Capacités non déclarées
• Norme de la Banque de Russie pour assurer la sécurité des informations des organisations du système bancaire de la Fédération de Russie (STO BR IBBS)
• Infractions dans le domaine de la sécurité technique des systèmes
• Protection des informations contre les fuites via les canaux matériels

Remarques

1. Norme nationale de la Fédération de Russie « Protection des informations. Termes et définitions de base" (GOST R 50922-2006).
2. Norme nationale de la Fédération de Russie « Technologies de l'information. Règles pratiques pour la gestion de la sécurité de l'information" (GOST R ISO/IEC 17799-2005).
3. Sécurité : théorie, paradigme, concept, culture. Dictionnaire-ouvrage de référence / Auteur-comp. Professeur V.F. Pilipenko. 2e éd., ajouter. et traité - M. : PER SE-Presse, 2005.
4. Sécurité de l'information (2e livre du projet socio-politique « Problèmes actuels de la sécurité sociale »). M. : « Armes et technologies », 2009.
5. Norme nationale de la Fédération de Russie « Méthodes et moyens pour assurer la sécurité. Partie 1. Concept et modèles de gestion de la sécurité des technologies de l'information et des télécommunications" (GOST R ISO/IEC 13335-1 - 2006).
6. Recommandations de normalisation « Technologies de l'information. Termes et définitions de base dans le domaine de la sécurité de l'information technique" (R 50.1.053-2005).
7. Recherche. Glossaire.ru
8. Recommandations de normalisation « Sécurité de l'information technique. Termes et définitions de base » (R 50.1.056-2005).
9. Norme d'État de la Fédération de Russie « Aspects de sécurité. Règles d'inclusion dans les normes" (GOST R 51898-2002).
10. Domarev V.V. Sécurité des technologies de l'information. Approche système - K. : SARL TID Dia Soft, 2004. - 992 p.
11. Lapina M. A., Revin A. G., Lapin V. I. Droit de l'information. M. : UNITY-DANA, Droit et Droit, 2004.
12. Sécurité de l'information dans les systèmes de gestion de bases de données modernes

Littérature

• Barman Scott. Élaboration de règles de sécurité de l'information. M. : Williams, 2002. - 208 p. - ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
• Galatenko V.A. Normes de sécurité de l'information. - M. : Université Internet des Technologies de l'Information, 2006. - 264 p. -ISBN5-9556-0053-1.
• Galitsky A.V., Ryabko S.D., Shangin V.F. Protection des informations sur le réseau - analyse des technologies et synthèse des solutions. M. : DMK Press, 2004. - 616 p. - ISBN5-94074-244-0.
• Zapechnikov S.V., Miloslavskaya N.G., Tolstoï A.I., Ouchakov D.V. Sécurité de l'information des systèmes ouverts. En 2 vol.
  • Volume 1. Menaces, vulnérabilités, attaques et approches de protection. M. : Hot Line - Télécom, 2006. - 536 p. - ISBN5-93517-291-1, ISBN5-93517-319-0.
  • Volume 2. Outils de sécurité dans les réseaux. M. : Hot Line - Télécom, 2008. - 560 p. - ISBN978-5-9912-0034-9.
• Lepekhin A.N. Enquête sur les crimes contre la sécurité de l'information. Aspects théoriques, juridiques et appliqués. M. : Thésée, 2008. - 176 p. - ISBN978-985-463-258-2.
• Lopatin V.N. Sécurité de l'information en Russie : Homme, société, État Série : Sécurité de l'homme et de la société. M. : 2000. - 428 p. -ISBN5-93598-030-4.
• Rodichev Yu. Sécurité de l'information : Aspects réglementaires et juridiques. Saint-Pétersbourg : Peter, 2008. - 272 p. - ISBN978-5-388-00069-9.
• Petrenko S.A., Kurbatov V.A. Politiques de sécurité des informations. - M. : Entreprise

Les progrès scientifiques et technologiques ont transformé l’information en un produit pouvant être acheté, vendu et échangé. Souvent, le coût des données est plusieurs fois supérieur au prix de l'ensemble du système technique qui stocke et traite les informations.

La qualité des informations commerciales apporte les avantages économiques nécessaires à l'entreprise, il est donc important de protéger les données critiques contre les actions illégales. Cela permettra à l’entreprise d’être compétitive avec succès sur le marché.

Définition de la sécurité de l'information

Sécurité de l'information (SI)- c'est l'état du système d'information dans lequel il est le moins susceptible aux interférences et aux dommages de la part de tiers. La sécurité des données passe également par la gestion des risques liés à la divulgation d’informations ou à l’impact sur les modules de sécurité matériels et logiciels.

La sécurité des informations traitées dans une organisation est un ensemble d'actions visant à résoudre le problème de la protection de l'environnement informationnel au sein de l'entreprise. Dans le même temps, l'utilisation et le développement dynamique des informations ne doivent pas être limités aux personnes autorisées.

Exigences pour le système de sécurité de l'information

La protection des ressources d'information doit être :

1. Constante. Un attaquant peut à tout moment tenter de contourner les modules de protection des données qui l'intéressent.

2. Cible. Les informations doivent être protégées dans le cadre d'une finalité spécifique fixée par l'organisation ou le propriétaire des données.

3. Prévu. Toutes les méthodes de protection doivent être conformes aux normes gouvernementales, aux lois et réglementations qui régissent la protection des données confidentielles.

4. Actif. Des activités visant à soutenir le fonctionnement et l’amélioration du système de protection doivent être menées régulièrement.

5. Complexe. L'utilisation de modules de protection individuels ou de moyens techniques uniquement est inacceptable. Il est nécessaire d'appliquer pleinement tous les types de protection, sinon le système développé sera dépourvu de sens et de base économique.

6. Universel. Les moyens de protection doivent être choisis en fonction des canaux de fuite existant dans l'entreprise.

7. Fiable. Toutes les techniques de sécurité doivent bloquer de manière fiable les chemins possibles vers les informations protégées d'un attaquant, quelle que soit la forme sous laquelle les données sont présentées.

Le système DLP doit également répondre à ces exigences. Et il est préférable d’évaluer ses capacités dans la pratique plutôt qu’en théorie. Vous pouvez essayer SearchInform CIB gratuitement pendant 30 jours.

Modèle de système de sécurité

Les informations sont considérées comme sécurisées si trois propriétés principales sont remplies.

D'abord - intégrité- consiste à garantir la fiabilité et l'affichage correct des données protégées, quels que soient les systèmes de sécurité et les techniques de protection utilisés dans l'entreprise. Le traitement des données ne doit pas être interrompu et les utilisateurs du système qui travaillent avec des fichiers protégés ne doivent pas être confrontés à des modifications ou destructions non autorisées de ressources, ni à des pannes logicielles.

Deuxième - confidentialité - signifie que l'accès aux données de visualisation et d'édition est fourni exclusivement aux utilisateurs autorisés du système de sécurité.

Troisième - disponibilité - implique que tous les utilisateurs autorisés doivent avoir accès aux informations confidentielles.

Il suffit de violer l’une des propriétés d’une information protégée pour que l’utilisation du système perde son sens.

Étapes de création et de maintenance d'un système de sécurité de l'information

En pratique, la création d'un système de sécurité de l'information s'effectue en trois étapes.

À la première étape Un modèle de base du système qui fonctionnera dans l'entreprise est en cours d'élaboration. Pour ce faire, il est nécessaire d’analyser tous types de données qui circulent dans l’entreprise et qui doivent être protégées des attaques de tiers. Le plan de travail au stade initial comprend quatre questions :

1. Quelles sources d’informations doivent être protégées ?
2. Quel est le but d’accéder à des informations protégées ?

Le but peut être d'examiner, de changer, de modifier ou de détruire des données. Toute action est illégale si elle est effectuée par un attaquant. La familiarisation n'entraîne pas la destruction de la structure des données, mais la modification et la destruction entraînent une perte partielle ou totale de l'information.

1. Quelle est la source des informations confidentielles ?

Les sources dans ce cas sont des personnes et des ressources d'information : documents, clés USB, publications, produits, systèmes informatiques, moyens de support des activités de travail.

1. Méthodes d'accès et comment se protéger contre les tentatives non autorisées d'influencer le système ?

Il existe les moyens suivants pour y accéder :

• L'accès non autorisé- utilisation illégale des données ;
• Une fuite- diffusion incontrôlée d'informations en dehors du réseau de l'entreprise. Une fuite se produit en raison de lacunes et de faiblesses dans le canal technique du système de sécurité ;
• Divulgation- une conséquence de l'influence du facteur humain. Les utilisateurs autorisés peuvent divulguer des informations à des concurrents ou par négligence.

Seconde phase comprend le développement d’un système de protection. Cela signifie mettre en œuvre toutes les méthodes, moyens et domaines sélectionnés en matière de protection des données.

Le système est construit en plusieurs domaines de protection à la fois, à plusieurs niveaux, qui interagissent les uns avec les autres pour assurer un contrôle fiable des informations.

Niveau juridique veille au respect des normes gouvernementales dans le domaine de la protection de l'information et comprend les droits d'auteur, les décrets, les brevets et les descriptions de poste. Un système de sécurité bien construit ne viole pas les droits des utilisateurs ni les normes de traitement des données.

Niveau organisationnel vous permet de créer des réglementations sur la manière dont les utilisateurs travaillent avec des informations confidentielles, de sélectionner le personnel et d'organiser le travail avec la documentation et les supports de stockage physiques.

Les règles régissant la façon dont les utilisateurs travaillent avec les informations confidentielles sont appelées règles de contrôle d'accès. Les règles sont établies par la direction de l'entreprise en collaboration avec le service de sécurité et le fournisseur qui met en œuvre le système de sécurité. L'objectif est de créer des conditions d'accès aux ressources d'information pour chaque utilisateur, par exemple le droit de lire, de modifier ou de transférer un document confidentiel. Les règles de contrôle d'accès sont élaborées au niveau organisationnel et mises en œuvre au stade du travail avec la composante technique du système.

Niveau technique Ils sont classiquement divisés en sous-niveaux physiques, matériels, logiciels et mathématiques.

• physique- création de barrières autour de l'objet protégé : systèmes de sécurité, bruit, renforcement des structures architecturales ;
• matériel- installation de moyens techniques : ordinateurs spéciaux, systèmes de surveillance des employés, protection des serveurs et des réseaux d'entreprise ;
• programme- installation du shell logiciel du système de sécurité, mise en place des règles de contrôle d'accès et tests de fonctionnement ;
• mathématique- mise en œuvre de méthodes cryptographiques et sténographiques de protection des données pour une transmission sécurisée sur un réseau d'entreprise ou mondial.

Troisième et dernière étape- il s'agit du support des performances du système, de la surveillance régulière et de la gestion des risques. Il est important que le module de sécurité soit flexible et permette à l'administrateur de sécurité d'améliorer rapidement le système lorsque de nouvelles menaces potentielles sont découvertes.

Types de données sensibles

Données confidentielles- il s'agit d'informations dont l'accès est limité conformément aux lois et réglementations nationales que les entreprises établissent de manière indépendante.

• Personnel données confidentielles : données personnelles des citoyens, droit à la vie privée, correspondance, dissimulation de l'identité. La seule exception concerne les informations diffusées dans les médias.
• Service données confidentielles : informations auxquelles seul l’État (pouvoirs publics) peut restreindre l’accès.
• Judiciaire données confidentielles : secret de l’enquête et des procédures judiciaires.
• Commercial données confidentielles : tous types d'informations liées au commerce (bénéfice) et dont l'accès est limité par la loi ou l'entreprise (développements secrets, technologies de production, etc.).
• Professionnel données confidentielles : données liées aux activités des citoyens, par exemple le secret médical, notarié ou d'avocat, dont la divulgation est punie par la loi.

Menaces sur la confidentialité des ressources informationnelles

Menace- il s'agit de tentatives possibles ou réelles de prise de possession de ressources informationnelles protégées.

Sources de menace la sécurité des données confidentielles sont assurées par des entreprises concurrentes, des attaquants et des autorités gouvernementales. Le but de toute menace est d’affecter l’intégrité, l’exhaustivité et la disponibilité des données.

Les menaces peuvent être internes ou externes. Menaces externes représentent des tentatives d'accès aux données de l'extérieur et s'accompagnent de piratages de serveurs, de réseaux, de comptes d'employés et de lecture d'informations provenant de canaux de fuite techniques (lecture acoustique à l'aide de bugs, de caméras, ciblage de matériels, obtention d'informations vibroacoustiques à partir de fenêtres et de structures architecturales).

Menaces internes impliquent des actions illégales du personnel, du service de travail ou de la direction de l'entreprise. En conséquence, un utilisateur du système qui travaille avec des informations confidentielles peut révéler des informations à des tiers. En pratique, cette menace se produit plus souvent que d’autres. Un employé peut divulguer des données secrètes à des concurrents pendant des années. Ceci est facile à mettre en œuvre, car l'administrateur de sécurité ne classe pas les actions d'un utilisateur autorisé comme une menace.

Étant donné que les menaces internes à la sécurité des informations impliquent des facteurs humains, elles sont plus difficiles à suivre et à gérer. Les incidents peuvent être évités en répartissant les employés en groupes à risque. Un module automatisé d'élaboration de profils psychologiques fera face à cette tâche.

Une tentative d'accès non autorisé peut se produire de plusieurs manières :

• par l'intermédiaire des employés qui peut transmettre des données confidentielles à des tiers, emporter des supports physiques ou accéder à des informations protégées via des documents imprimés ;
• via un logiciel les attaquants mènent des attaques visant à voler des paires login-mot de passe, à intercepter des clés cryptographiques pour décrypter les données et à copier des informations sans autorisation.
• en utilisant des composants matériels système automatisé, par exemple, l'introduction de dispositifs d'écoute ou l'utilisation de technologies matérielles pour la lecture d'informations à distance (en dehors de la zone contrôlée).

Sécurité des informations matérielles et logicielles

Tous les systèmes d'exploitation modernes sont équipés de modules de protection des données intégrés au niveau logiciel. MAC OS, Windows, Linux, iOS font un excellent travail de cryptage des données sur le disque et lors de la transmission vers d'autres appareils. Cependant, pour créer un travail efficace avec des informations confidentielles, il est important d'utiliser des modules de sécurité supplémentaires.

Les systèmes d'exploitation des utilisateurs ne protègent pas les données lors de la transmission sur le réseau, mais les systèmes de sécurité permettent de contrôler les flux d'informations qui circulent sur le réseau de l'entreprise et le stockage des données sur les serveurs.

Le module de protection matérielle et logicielle est généralement divisé en groupes, chacun remplissant la fonction de protection des informations sensibles :

• Niveau d'identification est un système complet de reconnaissance des utilisateurs qui peut utiliser l'authentification standard ou à plusieurs niveaux, la biométrie (reconnaissance faciale, numérisation d'empreintes digitales, enregistrement vocal et autres techniques).
• Niveau de cryptage assure l'échange de clés entre l'expéditeur et le destinataire et crypte/déchiffre toutes les données du système.

Protection juridique des informations

La base juridique de la sécurité de l’information est fournie par l’État. La protection des informations est réglementée par les conventions internationales, la Constitution, les lois et règlements fédéraux.

L'État déterminera également l'étendue de la responsabilité en cas de violation des dispositions de la législation dans le domaine de la sécurité de l'information. Par exemple, le chapitre 28 « Crimes dans le domaine de l'information informatique » du Code pénal de la Fédération de Russie comprend trois articles :

• Article 272 « Accès illégal à des informations informatiques » ;
• Article 273 « Création, utilisation et diffusion de programmes informatiques malveillants » ;
• Article 274 « Violation des règles d'exploitation des moyens de stockage, de traitement ou de transmission d'informations informatiques et des réseaux d'information et de télécommunication. »

Protection des informations et sécurité des informations

L'émergence de nouvelles technologies de l'information et le développement de systèmes informatiques puissants pour le stockage et le traitement des informations ont augmenté les niveaux de protection des informations et ont créé la nécessité d'accroître l'efficacité de la protection des informations parallèlement à la complexité de l'architecture de stockage des données. Ainsi, progressivement, la protection de l'information économique devient obligatoire : toutes sortes de documents sur la protection de l'information sont élaborés ; des recommandations sur la protection des informations sont formulées ; Il existe même une loi fédérale sur la protection des informations, qui examine les problèmes et les tâches de protection des informations, et résout également certains problèmes uniques en matière de protection des informations.

Ainsi, la menace contre la sécurité de l’information a fait des outils de sécurité de l’information l’une des caractéristiques obligatoires d’un système d’information.

Il existe aujourd'hui une large gamme de systèmes de stockage et de traitement de l'information, pour lesquels, lors de leur conception, le facteur de sécurité de l'information de la Fédération de Russie consistant à stocker des informations confidentielles revêt une importance particulière. De tels systèmes d'information comprennent, par exemple, les systèmes bancaires ou juridiques pour la gestion sécurisée des documents et d'autres systèmes d'information pour lesquels assurer la sécurité des informations est vital pour la protection des informations dans les systèmes d'information.

Qu'est-ce que c'est « protection des informations contre tout accès non autorisé » ou Sécurité des informations Fédération Russe?

Méthodes de sécurité de l'information

La sécurité de l'information de la Fédération de Russie (système d'information) désigne une technique permettant de protéger les informations contre tout accès non autorisé intentionnel ou accidentel et de nuire ainsi au processus normal de flux de documents et d'échange de données dans le système, ainsi que le vol, la modification et la destruction d'informations. .

En d'autres termes, les problèmes de sécurité de l'information et de sécurité de l'information dans les systèmes d'information sont résolus afin d'isoler un système d'information fonctionnant normalement des actions de contrôle non autorisées et de l'accès de personnes ou de programmes non autorisés aux données à des fins de vol.

L’expression « menaces contre la sécurité des systèmes d’information » désigne des actions ou événements réels ou potentiels susceptibles de déformer les données stockées dans un système d’information, de les détruire ou de les utiliser à des fins non prévues au préalable par la réglementation.

La première division des menaces à la sécurité des systèmes d'information en types

Si nous prenons un modèle décrivant tout système d’information contrôlé, nous pouvons supposer que l’effet perturbateur sur celui-ci peut être aléatoire. C'est pourquoi, lorsqu'on envisage les menaces contre la sécurité des systèmes d'information, il convient d'emblée de distinguer les perturbations intentionnelles et accidentelles.

Le complexe de protection des informations (protection des informations de cours) peut être désactivé, par exemple en raison de défauts matériels. En outre, les problèmes de protection des informations apparaissent en raison d'actions incorrectes du personnel ayant un accès direct aux bases de données, ce qui entraîne une diminution de l'efficacité de la protection des informations dans toute autre condition favorable à la mise en œuvre d'activités de protection des informations. De plus, des erreurs involontaires et autres pannes du système d'information peuvent survenir dans le logiciel. Tout cela affecte négativement l'efficacité de la protection des informations de tout type de sécurité de l'information existant et utilisé dans les systèmes d'information.

Cette section traite d'une menace délibérée à la sécurité de l'information, qui diffère d'une menace accidentelle à la sécurité de l'information dans la mesure où l'attaquant vise à causer des dommages au système et à ses utilisateurs, et souvent les menaces à la sécurité des systèmes d'information ne sont rien de plus que des tentatives d'obtenir gain personnel provenant de la possession d'informations confidentielles.

La protection des informations contre les virus informatiques (protection des informations dans les systèmes d'information) implique des moyens de protection des informations sur le réseau, ou plutôt des moyens logiciels et matériels de protection des informations, qui empêchent l'exécution non autorisée de programmes malveillants tentant de s'emparer des données et de les envoyer à un attaquant, ou détruire les informations de la base de données, mais les informations de protection contre les virus informatiques ne sont pas en mesure de repousser complètement une attaque d'un pirate informatique ou d'une personne appelée pirate informatique.

La tâche de protection des informations et de protection des informations contre les virus informatiques est de compliquer ou de rendre impossible la pénétration des virus et des pirates informatiques dans les données secrètes, raison pour laquelle les pirates informatiques, dans leurs actions illégales, recherchent la source de données secrètes la plus fiable. Et comme les pirates tentent d'obtenir des données secrètes aussi fiables qu'avec des coûts minimes, la tâche de la protection des informations est de vouloir confondre l'attaquant : le service de protection des informations lui fournit des données incorrectes, la protection des informations informatiques essaie d'isoler autant que possible la base de données. des interférences externes non autorisées, etc.

La protection des informations informatiques pour un pirate informatique concerne les mesures de protection des informations qui doivent être contournées afin d'accéder aux informations. L'architecture de protection des informations informatiques est construite de telle manière qu'un attaquant se trouve confronté à plusieurs niveaux de protection des informations : protection du serveur via un contrôle d'accès et un système d'authentification (diplôme en sécurité de l'information) des utilisateurs et protection de l'ordinateur de l'utilisateur, qui fonctionne avec des données secrètes. La protection informatique et la protection des serveurs permettent simultanément d'organiser un système de protection des informations informatiques de telle manière qu'il soit impossible pour un attaquant de pénétrer dans le système en utilisant un moyen de protection des informations sur le réseau aussi peu fiable que le facteur humain. Autrement dit, même en contournant la protection de l'ordinateur de l'utilisateur de la base de données et en passant à un autre niveau de protection des informations, le pirate informatique devra utiliser correctement ce privilège, sinon la protection du serveur rejettera chacune de ses demandes d'obtention de données et toute tentative de contournement. la protection des informations informatiques sera vaine.

Les publications de ces dernières années indiquent que la technologie de la sécurité de l'information ne suit pas le nombre d'abus de pouvoir et que la technologie de la sécurité de l'information est toujours en retard dans son développement par rapport aux technologies utilisées par les pirates informatiques pour prendre possession des secrets d'autrui.

Il existe des documents sur la sécurité de l'information qui décrivent les informations circulant dans un système d'information et transmises via les canaux de communication, mais les documents sur la sécurité de l'information sont continuellement complétés et améliorés, même si ce n'est qu'après que les attaquants ont réalisé de plus en plus de percées technologiques dans le modèle de sécurité de l'information, quelle que soit la manière dont C'est complexe.

Aujourd'hui, pour mettre en œuvre une mesure efficace de protection de l'information, il est nécessaire non seulement de développer un moyen de protéger les informations sur le réseau et de développer des mécanismes pour un modèle de protection de l'information, mais également de mettre en œuvre une approche systématique ou complexe de protection de l'information - ce est un ensemble de mesures interdépendantes décrites par la définition de « protection des informations ». En règle générale, ce complexe de sécurité de l'information utilise du matériel et des logiciels spéciaux pour organiser des mesures de protection des informations économiques.

De plus, les modèles de sécurité de l'information (résumés sur le thème de la sécurité de l'information) prévoient GOST « Sécurité de l'information », qui contient des réglementations et des mesures morales et éthiques pour protéger les informations et contrer les attaques externes. GOST « Protection des informations » normalise la définition de la protection des informations avec un certain nombre de mesures complètes de protection des informations qui découlent des actions complexes des attaquants tentant de prendre possession d'informations secrètes par tous les moyens nécessaires. Et aujourd'hui, nous pouvons affirmer avec certitude que progressivement GOST (protection de l'information) et la définition de la protection de l'information donnent naissance à une technologie moderne de protection des informations dans les réseaux de systèmes d'information informatiques et de réseaux de transmission de données, comme un diplôme en « protection de l'information ».

Quels types de sécurité de l’information et de menaces intentionnelles à la sécurité de l’information existent aujourd’hui ?

Les types de sécurité de l'information, ou plutôt les types de menaces pour la protection des informations dans une entreprise, sont divisés en passifs et actifs.

Le risque passif de sécurité de l'information vise l'utilisation extralégale des ressources d'information et ne vise pas à perturber le fonctionnement du système d'information. Les risques passifs en matière de sécurité des informations incluent, par exemple, l’accès à une base de données ou l’écoute clandestine des canaux de transmission de données.

Un risque actif de sécurité de l’information vise à perturber le fonctionnement d’un système d’information existant par une attaque ciblée sur ses composants.

Les types actifs de menaces à la sécurité informatique incluent, par exemple, la panne physique d'un ordinateur ou la perturbation de ses fonctionnalités au niveau logiciel.

Le besoin d’outils de sécurité de l’information. Approche systématique pour organiser la protection des informations contre les accès non autorisés

Les méthodes et moyens de protection de l'information comprennent les mesures organisationnelles, techniques et juridiques de protection de l'information et les mesures de protection de l'information (protection juridique de l'information, protection technique de l'information, protection de l'information économique, etc.).

Les méthodes organisationnelles de sécurité de l'information et de sécurité de l'information en Russie ont les propriétés suivantes :

Les méthodes et moyens de sécurité de l'information assurent le blocage partiel ou complet des canaux de fuite conformément aux normes de sécurité de l'information (vol et copie d'objets de sécurité de l'information) ;

Le système de sécurité de l'information est un organisme intégral unifié de sécurité de l'information qui assure une sécurité de l'information à multiples facettes ;

Les méthodes et moyens de sécurité de l'information (résumé des méthodes de sécurité de l'information) et les bases de la sécurité de l'information comprennent :

Sécurité des technologies de l'information, basée sur la limitation de l'accès physique aux objets de protection de l'information à l'aide de mesures de sécurité et de méthodes de sécurité de l'information ;

La sécurité de l'information d'une organisation et la gestion de la sécurité de l'information reposent sur la délimitation de l'accès aux objets de protection de l'information - il s'agit de l'établissement de règles de délimitation de l'accès par les autorités chargées de la sécurité de l'information, du cryptage des informations pour leur stockage et leur transmission (méthodes cryptographiques de protection de l'information, logiciels de sécurité de l'information et protection de l'information dans les réseaux) ;

La protection des informations doit garantir une sauvegarde régulière des ensembles de données les plus importants et leur stockage approprié ( protection physique des informations);

Les autorités chargées de la protection des informations doivent assurer la prévention de l'infection des objets de protection des informations par des virus informatiques.

Base juridique de la protection de l'information et du droit de la protection de l'information. Protection des informations dans l'entreprise

La base juridique de la protection de l'information est un organe législatif pour la protection de l'information, dans lequel on peut distinguer jusqu'à 4 niveaux de soutien juridique pour la sécurité de l'information et la sécurité de l'information d'une entreprise.

Dans la vie quotidienne, la sécurité de l’information (SI) est souvent comprise uniquement comme la nécessité de lutter contre la fuite de secrets et la propagation d’informations fausses et hostiles. Cependant, cette compréhension est très étroite. Il existe de nombreuses définitions différentes de la sécurité de l’information, qui mettent en évidence ses propriétés individuelles.

Dans la loi fédérale « sur l'information, l'informatisation et la protection de l'information », qui n'est plus en vigueur, sous sécurité des informations compris l'état de sécurité de l'environnement informationnel de la société, assurant sa formation et son développement dans l'intérêt des citoyens, des organisations et de l'État.

D'autres sources fournissent les définitions suivantes :

Sécurité des informations- Ce

1) un ensemble de mesures organisationnelles et techniques pour garantir l'intégrité des données et la confidentialité des informations combinées à leur disponibilité pour tous les utilisateurs autorisés;

2) indicateur reflétant l'état de sécurité du système d'information ;

3) Étatsécurité de l'environnement informationnel;

4) un État qui assure la sécurité des ressources et des canaux d'information,ainsi que l'accès aux sources d'information.

V.I. Yarochkin estime que Sécurité des informations Il y a l'état de sécurité des ressources d'information, des technologies pour leur formation et leur utilisation, ainsi que les droits des sujets d'activités d'information.

Une définition assez complète est donnée par V. Betelin et V. Galatenko, qui estiment que

Dans ce tutoriel, nous nous appuierons sur la définition ci-dessus.

La sécurité des informations ne se limite pas à la protection des informations et à la sécurité informatique. Il est nécessaire de distinguer la sécurité de l'information de la protection de l'information.

Parfois, la sécurité de l'information fait référence à la création dans les ordinateurs et les systèmes informatiques d'un ensemble organisé de moyens, méthodes et mesures conçus pour empêcher la distorsion, la destruction ou l'utilisation non autorisée d'informations protégées.

Les mesures visant à assurer la sécurité de l'information doivent être mises en œuvre dans différents domaines - politique, économie, défense, ainsi qu'à différents niveaux - étatique, régional, organisationnel et personnel. Par conséquent, les tâches de sécurité de l'information au niveau de l'État diffèrent des tâches liées à la sécurité de l'information au niveau organisationnel.

L'objet des relations d'information peut souffrir (subir des pertes matérielles et/ou morales) non seulement d'un accès non autorisé à l'information, mais également d'une panne du système provoquant une interruption du travail. La sécurité de l'information dépend non seulement des ordinateurs, mais également de l'infrastructure de support, qui comprend les systèmes d'alimentation en électricité, en eau et en chaleur, les climatiseurs, les communications et, bien sûr, le personnel de maintenance. Les infrastructures de soutien ont leur propre valeur, dont l’importance ne peut être surestimée.

Après les événements du 11 septembre 2001, la législation américaine, conformément au Patriot Act, a défini la notion d'« infrastructure critique », entendue comme « un ensemble de systèmes et d'installations physiques ou virtuels qui sont importants pour les États-Unis pour à tel point que leur échec ou leur destruction pourrait avoir des conséquences désastreuses dans les domaines de la défense, de l’économie, de la santé et de la sécurité de la nation. Le concept d'infrastructure critique couvre des domaines clés de l'économie nationale et de l'économie américaine tels que la défense nationale, l'agriculture, la production alimentaire, l'aviation civile, le transport maritime, les autoroutes et ponts, les tunnels, les barrages, les pipelines, l'approvisionnement en eau, les soins de santé, les services d'urgence, autorités administration publique, production militaire, systèmes et réseaux d'information et de télécommunication, énergie, transports, systèmes bancaires et financiers, industrie chimique, service postal.

En termes sociaux, la sécurité de l’information implique la lutte contre la « pollution » informationnelle de l’environnement et l’utilisation de l’information à des fins illégales et immorales.

En outre, les objets d'influence de l'information et, par conséquent, la sécurité de l'information peuvent être la conscience publique ou individuelle.

Au niveau de l'État, les sujets de la sécurité de l'information sont les autorités exécutives, législatives et judiciaires. Certains départements ont créé des organismes spécifiquement chargés de la sécurité de l'information.

De plus, les sujets liés à la sécurité de l'information peuvent être :

Citoyens et associations publiques ;

Médias de masse ;

Entreprises et organisations quelle que soit leur forme de propriété.

Intérêts Les sujets SI liés à l’utilisation des systèmes d’information peuvent être répartis selon les grandes catégories suivantes :

Disponibilité- la possibilité d'obtenir le service d'information requis dans un délai raisonnable. Les systèmes d'information sont créés (acquis) pour obtenir certains services d'information (services). Si, pour une raison ou une autre, il devient impossible aux utilisateurs de bénéficier de ces services, cela cause des dommages à tous les sujets des relations d'information. Le rôle prépondérant de l’accessibilité est particulièrement évident dans différents types de systèmes de gestion : production, transport, etc. Par conséquent, sans opposer l’accessibilité à d’autres aspects, l’accessibilité est l’élément le plus important de la sécurité de l’information.

Intégrité- la pertinence et la cohérence des informations, leur protection contre la destruction et les modifications non autorisées. L'intégrité peut être divisée en statique (entendue comme l'immuabilité des objets d'information) et dynamique (liée à l'exécution correcte d'actions complexes (transactions)). Presque tous les documents réglementaires et développements nationaux concernent l'intégrité statique, même si l'aspect dynamique n'est pas moins important. Un exemple d'application de contrôles d'intégrité dynamiques est l'analyse du flux de messages financiers afin de détecter le vol, la réorganisation ou la duplication de messages individuels.

Confidentialité- protection contre les accès non autorisés. La confidentialité est protégée par les lois, les réglementations et les nombreuses années d'expérience des services concernés. Les produits matériels et logiciels vous permettent de fermer presque tous les canaux potentiels de fuite d'informations.

Cible activités dans le domaine de la sécurité de l'information - protection des intérêts des sujets liés à la sécurité de l'information.

Tâches SI :

1. Garantir le droit de l'individu et de la société à recevoir des informations.

2. Fournir des informations objectives.

3. Lutte contre les menaces criminelles dans le domaine des systèmes d'information et de télécommunication, du terrorisme téléphonique, du blanchiment d'argent, etc.

4. Protection des individus, des organisations, de la société et de l'État contre les informations et les menaces psychologiques.

5. Formation d'image, lutte contre les calomnies, les rumeurs, la désinformation.

Le rôle de la sécurité de l'information augmente lorsqu'une situation extrême se produit, lorsque tout faux message peut conduire à une aggravation de la situation.

Critère IS- sécurité garantie des informations contre les fuites, distorsions, pertes ou autres formes de dépréciation. Les technologies de l'information sécurisées doivent avoir la capacité de prévenir ou de neutraliser l'impact des menaces externes et internes sur l'information, et contenir des méthodes et moyens adéquats pour la protéger.