La protection logicielle et matérielle contre les accès non autorisés comprend des mesures d'identification, d'authentification et de contrôle d'accès au système d'information.

Identification – attribution d’identifiants uniques aux sujets d’accès.

Cela inclut les étiquettes radiofréquence, les technologies biométriques, les cartes magnétiques, les clés magnétiques universelles, les connexions système, etc.

Authentification – vérifier que le sujet de l'accès appartient à l'identifiant présenté et confirmer son authenticité.

Les procédures d'authentification incluent les mots de passe, les codes PIN, les cartes à puce, les clés USB, les signatures numériques, les clés de session, etc. La partie procédurale des outils d'identification et d'authentification est interconnectée et représente en fait la base de base de tous les outils logiciels et matériels de sécurité de l'information, puisque tous les autres services sont conçus pour servir des sujets spécifiques correctement reconnus par le système d'information. De manière générale, l'identification permet à un sujet de s'identifier auprès d'un système d'information, et grâce à l'authentification, le système d'information confirme que le sujet est bien celui qu'il prétend être. A l'issue de cette opération, une opération est réalisée pour donner accès au système d'information. Les procédures de contrôle d'accès permettent aux sujets autorisés d'effectuer des actions autorisées par la réglementation, et le système d'information surveille ces actions pour vérifier l'exactitude et l'exactitude du résultat obtenu. Le contrôle d'accès permet au système de bloquer les données des utilisateurs pour lesquelles ils ne sont pas autorisés.

Le prochain moyen de protection des logiciels et du matériel est la journalisation et l’audit des informations.

La journalisation comprend la collecte, l'accumulation et le stockage d'informations sur les événements, les actions, les résultats qui ont eu lieu pendant le fonctionnement du système d'information, les utilisateurs individuels, les processus et tous les logiciels et matériels qui font partie du système d'information de l'entreprise.

Étant donné que chaque composant du système d'information dispose d'un ensemble prédéterminé d'événements possibles conformément aux classificateurs programmés, les événements, les actions et les résultats sont divisés en :

• externe, causé par les actions d'autres composants,
• interne, provoqué par les actions du composant lui-même,
• côté client, provoqué par les actions des utilisateurs et des administrateurs.

L'audit de l'information consiste à réaliser une analyse opérationnelle en temps réel ou dans un délai donné.

Sur la base des résultats de l'analyse, soit un rapport est généré sur les événements survenus, soit une réponse automatique à une situation d'urgence est déclenchée.

La mise en œuvre de la journalisation et de l'audit résout les problèmes suivants :

• responsabiliser les utilisateurs et les administrateurs ;
• assurer la possibilité de reconstituer la séquence des événements ;
• détection de tentatives de violations de la sécurité de l'information ;
• fournir des informations pour identifier et analyser les problèmes.

Souvent, la protection des informations est impossible sans l’utilisation de moyens cryptographiques. Ils sont utilisés pour fournir des services de chiffrement, d'intégrité et d'authentification lorsque les moyens d'authentification sont stockés sous forme cryptée pour l'utilisateur. Il existe deux méthodes principales de cryptage : symétrique et asymétrique.

Le contrôle d'intégrité vous permet d'établir l'authenticité et l'identité d'un objet, qui est un tableau de données, des éléments de données individuels, une source de données, et également de garantir qu'il est impossible de marquer une action effectuée dans le système avec un tableau d'informations. La base de la mise en œuvre du contrôle d'intégrité repose sur les technologies de conversion de données utilisant le cryptage et les certificats numériques.

Un autre aspect important est l'utilisation du blindage, une technologie qui permet, en délimitant l'accès des sujets aux ressources informationnelles, de contrôler tous les flux d'informations entre le système d'information de l'entreprise et les objets externes, tableaux de données, sujets et contre-sujets. Le contrôle des flux consiste à les filtrer et, si nécessaire, à convertir les informations transmises.

Le but du blindage est de protéger les informations internes contre des facteurs et entités externes potentiellement hostiles. La principale forme de mise en œuvre du blindage consiste en des pare-feu ou des pare-feu de différents types et architectures.

Étant donné que l'un des signes de la sécurité de l'information est la disponibilité des ressources d'information, assurer un niveau élevé de disponibilité est une orientation importante dans la mise en œuvre de mesures logicielles et matérielles. En particulier, deux directions se divisent : assurer la tolérance aux pannes, c'est-à-dire neutraliser les pannes du système, la capacité de fonctionner lorsque des erreurs se produisent et assurer une récupération sûre et rapide après les pannes, c'est-à-dire l'état de fonctionnement du système.

La principale exigence des systèmes d’information est qu’ils fonctionnent toujours avec une efficacité, un temps d’indisponibilité minimum et une rapidité de réponse donnés.

Conformément à cela, la disponibilité des ressources informationnelles est assurée par :

• l'utilisation d'une architecture structurelle, qui permet de désactiver ou de remplacer rapidement des modules individuels, si nécessaire, sans endommager d'autres éléments du système d'information ;
• assurer la tolérance aux pannes grâce à : l'utilisation d'éléments autonomes de l'infrastructure de support, l'introduction de capacités excédentaires dans la configuration matérielle et logicielle, la redondance matérielle, la réplication des ressources d'information au sein du système, la sauvegarde des données, etc.
• assurer la facilité d'entretien en réduisant le temps nécessaire pour diagnostiquer et éliminer les pannes et leurs conséquences.

Un autre type de moyens de sécurité de l'information sont les canaux de communication sécurisés.

Le fonctionnement des systèmes d'information est inévitablement associé au transfert de données, il est donc également nécessaire pour les entreprises d'assurer la protection des ressources d'informations transmises à l'aide de canaux de communication sécurisés. La possibilité d'un accès non autorisé aux données lors de la transmission du trafic via des canaux de communication ouverts est due à leur disponibilité générale. Puisqu’« il est impossible de protéger physiquement les communications sur toute leur longueur, il est donc préférable de partir dans un premier temps de l’hypothèse de leur vulnérabilité et d’assurer une protection en conséquence ». Pour cela, des technologies de tunneling sont utilisées, dont l'essence est d'encapsuler les données, c'est-à-dire emballer ou envelopper les paquets de données transmis, y compris tous les attributs de service, dans leurs propres enveloppes. En conséquence, un tunnel est une connexion sécurisée via des canaux de communication ouverts à travers lesquels sont transmis des paquets de données protégés par cryptographie. Le tunneling est utilisé pour garantir la confidentialité du trafic en masquant les informations de service et en garantissant la confidentialité et l'intégrité des données transmises lorsqu'elles sont utilisées conjointement avec des éléments cryptographiques d'un système d'information. La combinaison du tunneling et du chiffrement permet de mettre en œuvre un réseau privé virtuel. Dans ce cas, les points finaux des tunnels qui mettent en œuvre les réseaux privés virtuels sont des pare-feu qui servent à connecter les organisations aux réseaux externes.

Les pare-feu comme points de mise en œuvre des services de réseaux privés virtuels

Ainsi, le tunneling et le chiffrement sont des transformations supplémentaires effectuées dans le processus de filtrage du trafic réseau ainsi que la traduction d'adresses. Les extrémités des tunnels, en plus des pare-feu d'entreprise, peuvent être les ordinateurs personnels et mobiles des employés, plus précisément leurs pare-feu et pare-feu personnels. Cette approche garantit le fonctionnement de canaux de communication sécurisés.

Procédures de sécurité des informations

Les procédures de sécurité de l'information sont généralement divisées en niveaux administratifs et organisationnels.

• Les procédures administratives comprennent les actions générales prises par la direction de l'organisation pour réglementer tous les travaux, actions, opérations dans le domaine de la garantie et du maintien de la sécurité de l'information, mises en œuvre en allouant les ressources nécessaires et en surveillant l'efficacité des mesures prises.
• Le niveau organisationnel représente les procédures visant à garantir la sécurité des informations, y compris la gestion du personnel, la protection physique, le maintien de la fonctionnalité de l'infrastructure logicielle et matérielle, l'élimination rapide des violations de sécurité et la planification des travaux de récupération.

D'un autre côté, la distinction entre les procédures administratives et organisationnelles n'a aucun sens, puisque les procédures à un niveau ne peuvent pas exister séparément d'un autre niveau, violant ainsi la relation entre la protection au niveau physique, la protection personnelle et organisationnelle dans le concept de sécurité de l'information. Dans la pratique, pour assurer la sécurité des informations d'une organisation, les procédures administratives ou organisationnelles ne sont pas négligées, il est donc plus logique de les considérer comme une approche intégrée, puisque les deux niveaux affectent les niveaux physiques, organisationnels et personnels de protection des informations.

La base des procédures globales pour assurer la sécurité des informations est la politique de sécurité.

Politique de sécurité des informations

Politique de sécurité des informations dans une organisation, il s’agit d’un ensemble de décisions documentées prises par la direction de l’organisation et visant à protéger les informations et les ressources associées.

Sur le plan organisationnel et managérial, la politique de sécurité de l'information peut être un document unique ou rédigée sous la forme de plusieurs documents ou arrêtés indépendants, mais dans tous les cas elle doit couvrir les aspects suivants de la protection du système d'information de l'organisation :

• protection des objets du système d'information, des ressources d'information et des opérations directes avec eux ;
• protection de toutes les opérations liées au traitement de l'information dans le système, y compris les outils de traitement logiciel ;
• protection des canaux de communication, notamment filaires, radio, infrarouges, matériels, etc. ;
• protection du complexe matériel contre les rayonnements électromagnétiques indésirables ;
• gestion du système de sécurité, y compris la maintenance, les mises à niveau et les activités administratives.

Chaque aspect doit être décrit en détail et documenté dans les documents internes de l'organisation. Les documents internes couvrent trois niveaux du processus de sécurité : haut, milieu et bas.

Les documents de politique de sécurité des informations de haut niveau reflètent l'approche de base de l'organisation en matière de protection de ses propres informations et de conformité aux normes nationales et/ou internationales. En pratique, une organisation ne dispose que d'un seul document de niveau supérieur, intitulé « Concept de sécurité de l'information », « Règlement sur la sécurité de l'information », etc. Formellement, ces documents ne représentent pas de valeur confidentielle, leur distribution n'est pas limitée, mais ils peuvent être communiqués aux éditeurs pour un usage interne et une publication ouverte.

Les documents de niveau intermédiaire sont strictement confidentiels et concernent des aspects spécifiques de la sécurité de l’information de l’organisation : outils de sécurité de l’information utilisés, sécurité des bases de données, communications, outils cryptographiques et autres processus informationnels et économiques de l’organisation. La documentation est mise en œuvre sous la forme de normes techniques et organisationnelles internes.

Les documents de niveau inférieur sont divisés en deux types : les règlements de travail et les instructions d'utilisation. Le règlement de travail est strictement confidentiel et s'adresse uniquement aux personnes qui, dans le cadre de leurs fonctions, effectuent des travaux d'administration de services individuels de sécurité de l'information. Les instructions d'utilisation peuvent être confidentielles ou publiques ; ils sont destinés au personnel de l’organisation et décrivent la procédure de travail avec les éléments individuels du système d’information de l’organisation.

L'expérience mondiale montre que la politique de sécurité de l'information n'est toujours documentée que dans les grandes entreprises qui disposent d'un système d'information développé et ont des exigences accrues en matière de sécurité de l'information ; les entreprises de taille moyenne n'ont le plus souvent qu'une politique de sécurité de l'information partiellement documentée ; l'écrasante majorité des petites organisations ne vous souciez pas de la documentation de la politique de sécurité. Quel que soit le format du document, holistique ou distribué, l'aspect fondamental est le régime de sécurité.

Il existe deux approches différentes qui constituent la base politiques de sécurité de l'information:

1. "Tout ce qui n'est pas interdit est permis."
2. "Tout ce qui n'est pas permis est interdit."

Le défaut fondamental de la première approche est qu’en pratique il est impossible de prévoir tous les cas dangereux et de les interdire. Sans aucun doute, seule la deuxième approche devrait être utilisée.

Niveau organisationnel de sécurité de l’information

Du point de vue de la protection de l'information, les procédures organisationnelles visant à assurer la sécurité de l'information sont présentées comme « la réglementation des activités de production et des relations entre les artistes interprètes ou exécutants sur une base juridique qui exclut ou complique considérablement l'acquisition illégale d'informations confidentielles et la manifestation de troubles internes et menaces extérieures. »

Les mesures de gestion du personnel visant à organiser le travail avec le personnel pour assurer la sécurité de l'information comprennent la séparation des tâches et la minimisation des privilèges. La séparation des tâches prescrit une telle répartition des compétences et des domaines de responsabilité dans laquelle une seule personne n'est pas en mesure de perturber un processus critique pour l'organisation. Cela réduit le risque d’erreurs et d’abus. Le moindre privilège exige que les utilisateurs reçoivent uniquement le niveau d'accès nécessaire pour s'acquitter de leurs responsabilités professionnelles. Cela réduit les dommages causés par des actions incorrectes accidentelles ou intentionnelles.

La protection physique signifie l'élaboration et l'adoption de mesures pour la protection directe des bâtiments qui abritent les ressources d'information de l'organisation, les zones adjacentes, les éléments d'infrastructure, les équipements informatiques, les supports de stockage de données et les canaux de communication matériels. Il s'agit notamment du contrôle d'accès physique, de la protection contre les incendies, de la protection des infrastructures de support, de la protection contre l'interception des données et de la protection des systèmes mobiles.

Le maintien de la fonctionnalité de l'infrastructure matérielle et logicielle implique d'éviter les erreurs stochastiques qui menacent d'endommager le système matériel, de perturber les programmes et de perdre des données. Les principales orientations dans cet aspect sont de fournir un support utilisateur et logiciel, une gestion de la configuration, une sauvegarde, une gestion des supports, une documentation et une maintenance.

L’élimination rapide des violations de sécurité poursuit trois objectifs principaux :

1. Localisation de l'incident et réduction des dommages causés ;
2. Identification du contrevenant ;
3. Prévention des violations répétées.

Enfin, la planification du rétablissement vous permet de vous préparer aux accidents, de réduire les dommages qui en découlent et de maintenir la capacité de fonctionner au moins dans une mesure minimale.

L'utilisation de logiciels, de matériel informatique et de canaux de communication sécurisés doit être mise en œuvre dans l'organisation sur la base d'une approche intégrée de l'élaboration et de l'approbation de toutes les procédures réglementaires administratives et organisationnelles visant à assurer la sécurité de l'information. Dans le cas contraire, l’adoption de mesures individuelles ne garantit pas la protection des informations et provoque souvent, au contraire, des fuites d’informations confidentielles, des pertes de données critiques, des dommages à l’infrastructure matérielle et une perturbation des composants logiciels du système d’information de l’organisation.

Méthodes de sécurité de l'information

Les entreprises modernes se caractérisent par un système d'information distribué, qui leur permet de prendre en compte les bureaux et entrepôts distribués de l'entreprise, la comptabilité financière et le contrôle de gestion, les informations de la clientèle, la prise en compte de l'échantillonnage par indicateurs, etc. Ainsi, l’éventail de données est très important et la grande majorité est une information d’importance prioritaire pour l’entreprise sur le plan commercial et économique. En effet, assurer la confidentialité des données ayant une valeur commerciale est l’un des principaux objectifs de la sécurité de l’information dans une entreprise.

Assurer la sécurité des informations dans l'entreprise doit être réglementé par les documents suivants :

1. Règlement sur la sécurité de l'information. Comprend un énoncé des buts et objectifs pour assurer la sécurité de l'information, une liste de réglementations internes sur les outils de sécurité de l'information et des réglementations sur l'administration du système d'information distribué de l'entreprise. L'accès au règlement est limité à la direction de l'organisation et au chef du service d'automatisation.
2. Règlement sur le support technique pour la sécurité de l'information. Les documents sont confidentiels, l'accès est limité aux employés du service d'automatisation et à la haute direction.
3. Règlement pour l'administration d'un système de sécurité de l'information distribué. L'accès au règlement est réservé aux salariés du service automatisme chargés de l'administration du système d'information et à la direction générale.

Dans le même temps, vous ne devez pas vous limiter à ces documents, mais également travailler aux niveaux inférieurs. Sinon, si l'entreprise ne dispose pas d'autres documents liés à la garantie de la sécurité de l'information, cela indiquera un degré insuffisant de soutien administratif à la sécurité de l'information, puisqu'il n'existe pas de documents de niveau inférieur, notamment des instructions pour le fonctionnement des éléments individuels du système d'information.

Les procédures organisationnelles obligatoires comprennent :

• principales mesures de différenciation du personnel selon le niveau d'accès aux ressources informationnelles,
• protection physique des bureaux de l'entreprise contre la pénétration directe et les menaces de destruction, de perte ou d'interception de données,
• le maintien des fonctionnalités de l'infrastructure matérielle et logicielle est organisé sous forme de sauvegardes automatisées, une vérification à distance des supports de stockage, un support utilisateur et logiciel est fourni sur demande.

Cela devrait également inclure des mesures réglementées pour répondre et éliminer les cas de violations de la sécurité de l'information.

Dans la pratique, on constate souvent que les entreprises n’accordent pas suffisamment d’attention à cette question. Toutes les actions dans ce sens sont effectuées exclusivement de manière routinière, ce qui augmente le temps nécessaire pour éliminer les cas de violations et ne garantit pas la prévention de violations répétées de la sécurité de l'information. De plus, il existe un manque total de pratique dans la planification d'actions visant à éliminer les conséquences d'accidents, de fuites d'informations, de pertes de données et de situations critiques. Tout cela aggrave considérablement la sécurité des informations de l'entreprise.

Au niveau logiciel et matériel, un système de sécurité de l'information à trois niveaux doit être mis en œuvre.

Critères minimaux de sécurité des informations :

1. Module de contrôle d'accès :

• Une entrée fermée au système d'information a été mise en place, il est impossible de se connecter au système en dehors des lieux de travail vérifiés ;
• Un accès aux fonctionnalités limitées depuis les ordinateurs personnels mobiles a été mis en place pour les employés ;
• l'autorisation s'effectue à l'aide des identifiants et des mots de passe générés par les administrateurs.

2. Module de contrôle de cryptage et d’intégrité :

• une méthode asymétrique de cryptage des données transmises est utilisée ;
• des ensembles de données critiques sont stockées dans des bases de données sous forme cryptée, ce qui ne permet pas d’y accéder même en cas de piratage du système d’information de l’entreprise ;
• le contrôle d’intégrité est assuré par une simple signature numérique de toutes les ressources informationnelles stockées, traitées ou transmises au sein du système d’information.

3. Module de blindage :

• un système de filtrage a été mis en place dans les pare-feu qui permet de contrôler tous les flux d'informations via les canaux de communication ;
• les connexions externes aux ressources d'information mondiales et aux canaux de communication publics ne peuvent être établies que via un ensemble limité de postes de travail vérifiés disposant d'une connexion limitée au système d'information de l'entreprise ;
• L'accès sécurisé depuis les postes de travail des employés pour exercer leurs fonctions officielles est mis en œuvre via un système de serveur proxy à deux niveaux.

Enfin, à l'aide des technologies de tunneling, une entreprise doit mettre en œuvre un réseau privé virtuel conformément à un modèle de conception typique pour fournir des canaux de communication sécurisés entre les différents services de l'entreprise, les partenaires et les clients de l'entreprise.

Malgré le fait que les communications s'effectuent directement sur des réseaux avec un niveau de confiance potentiellement faible, les technologies de tunneling, grâce à l'utilisation de la cryptographie, permettent d'assurer une protection fiable de toutes les données transmises.

conclusions

L'objectif principal de toutes les mesures prises dans le domaine de la sécurité de l'information est de protéger les intérêts de l'entreprise, d'une manière ou d'une autre, liés aux ressources d'information dont elle dispose. Bien que les intérêts des entreprises ne se limitent pas à un domaine spécifique, ils sont tous centrés sur la disponibilité, l’intégrité et la confidentialité des informations.

Le problème de la garantie de la sécurité de l'information s'explique par deux raisons principales.

1. Les ressources informationnelles accumulées par l'entreprise sont précieuses.
2. La dépendance critique à l’égard des technologies de l’information détermine leur utilisation généralisée.

Compte tenu de la grande variété de menaces existantes pour la sécurité de l'information, telles que la destruction d'informations importantes, l'utilisation non autorisée de données confidentielles, les interruptions de fonctionnement d'une entreprise dues à des perturbations dans le fonctionnement du système d'information, nous pouvons conclure que tout cela est objectivement entraîne d'importantes pertes matérielles.

Pour assurer la sécurité de l'information, un rôle important est joué par les logiciels et le matériel visant à contrôler les entités informatiques, c'est-à-dire équipements, éléments logiciels, données, formant la dernière et la plus haute ligne prioritaire de sécurité de l'information. La transmission des données doit également être sécurisée en termes de maintien de leur confidentialité, de leur intégrité et de leur disponibilité. Par conséquent, dans les conditions modernes, les technologies de tunneling associées à des outils cryptographiques sont utilisées pour fournir des canaux de communication sécurisés.

Littérature

1. Galatenko V.A. Normes de sécurité de l'information. – M. : Université Internet des Technologies de l’Information, 2006.
2. Partyka T.L., Popov I.I. Sécurité des informations. – M. : Forum, 2012.

Assurer la sécurité de l'information dans la Fédération de Russie est un secteur en développement et prometteur qui joue un rôle important dans le stockage et la transmission des données.

Système de sécurité de l'information de la Fédération de Russie

Ces derniers temps, toute organisation ou individu dispose d'une très grande quantité d'informations généralisées stockées sur Internet ou sur des ordinateurs. Une telle quantité d'informations est devenue la raison pour laquelle elles sont divulguées très souvent, mais personne ne voudrait être classifié et des informations confidentielles sur quelque chose ont été portées à l'attention d'étrangers. En fait, il est nécessaire de prendre des précautions pour assurer la sécurité des informations.

Les statistiques dans ce domaine montrent qu'un certain nombre de pays ont déjà commencé à appliquer certaines mesures de sécurité de l'information qui sont désormais généralement acceptées, mais il existe d'autres statistiques qui nous montrent que les fraudeurs non seulement n'ont pas cessé d'essayer d'accéder à des informations sensibles, bien au contraire. Avec l'amélioration, les attaquants trouvent de nouveaux moyens de le contourner ou de le pirater. Nous pouvons donc actuellement constater une tendance à l'augmentation des activités frauduleuses, et non à une diminution. Je voudrais ajouter qu'à l'heure actuelle, la fourniture d'informations dans la Fédération de Russie se développe assez rapidement et connaît une tendance à la croissance positive, alors qu'auparavant, il n'y avait pas un niveau aussi élevé de fourniture d'informations dans la Fédération de Russie.

Absolument n'importe quelle organisation ou entreprise comprend parfaitement que la menace de perte d'informations classifiées est assez élevée, elle essaie donc de toutes ses forces d'empêcher les fuites et de s'assurer que les informations classifiées restent classifiées comme telles, mais le système n'est pas professionnel, il protège un une grande quantité d'informations et ferme de nombreux passages aux escrocs, mais des lacunes subsistent, il arrive donc que des programmeurs compétents contournent les systèmes de sécurité et accèdent à des informations secrètes, qu'ils utilisent ensuite à des fins illégales.

Fonctions et conditions du système de sécurité de l'information

Les principales fonctions du système de sécurité de l'information de la Fédération de Russie, qui doivent être présentes dans tout système de sécurité :

1. Détection instantanée des menaces d'intrusion. Éliminer cette menace et fermer le canal d'accès à l'information à l'aide duquel les attaquants peuvent nuire à une entreprise et à un individu en termes matériels et moraux ;
2. Créer un mécanisme permettant d'identifier rapidement les violations dans le fonctionnement de l'entreprise et de répondre aux situations dans lesquelles la sécurité de l'information est affaiblie ou menacée de piratage ;
3. Les conditions sont créées pour réparer le plus rapidement possible les éventuels dommages causés à l'entreprise par une personne physique ou morale, et les conditions pour le rétablissement rapide du fonctionnement de l'entreprise afin que la perte d'informations ne puisse pas affecter son fonctionnement et la réalisation des objectifs fixés pour le entreprise.

Vidéo sur la surveillance des médias :

Base d'informations et principes du SMSI

Les tâches ci-dessus fournissent déjà une base d'informations suffisante pour qu'une personne comprenne pourquoi des systèmes de sécurité de l'information sont nécessaires et comment ils fonctionnent dans des conditions réelles.

Principes pour la construction d'un système de sécurité de l'information qui devrait guider les organisations et les entreprises dans la protection des informations confidentielles contre les intrus.

On sait depuis longtemps que pour garantir un niveau élevé d'information, vous devez être guidé par certains principes, car sans eux, le système de support d'information sera facilement contourné, vous ne pouvez donc pas toujours être sûr que l'information est véritablement classifié.

1. Ainsi, le principe premier et le plus important du système de sécurité de l'information de la Fédération de Russie est un travail continu pour améliorer et perfectionner le système, car les technologies de développement ne s'arrêtent pas, tout comme le développement d'activités frauduleuses visant au piratage et à l'obtention de données secrètes. , un tel système devrait donc être constamment amélioré. Il est nécessaire de vérifier et de tester le système de sécurité actuel aussi souvent que possible - cet aspect est inclus dans le premier principe de la construction d'un système de sécurité de l'information ; il faut analyser le système et, si possible, identifier ses lacunes et faiblesses de défense, que les attaquants utilisera réellement. Lorsque vous découvrez des lacunes ou des moyens de fuite d'informations, vous devez immédiatement mettre à jour le mécanisme du système de sécurité et le modifier afin que les lacunes trouvées soient immédiatement comblées et inaccessibles aux fraudeurs. Sur la base de ce principe, il convient d'apprendre que vous ne pouvez pas simplement installer un système de sécurité et être serein sur vos informations secrètes, car ce système doit être constamment analysé, amélioré et amélioré ;
2. Le deuxième principe est d'utiliser tout le potentiel de la sécurité du système, toutes les fonctions de chaque fichier individuel responsable de l'un ou l'autre aspect du fonctionnement de l'entreprise, c'est-à-dire que le système de sécurité doit être utilisé dans son intégralité et de manière globale, afin que le tout l'arsenal dont dispose ce système doit être en service ;
3. Le troisième et dernier principe est l'utilisation holistique du système de sécurité : vous ne devez pas le diviser en parties distinctes, mais considérer des fonctions individuelles, offrant ainsi différents niveaux de sécurité pour les fichiers importants et les moins importants. Il fonctionne comme un énorme mécanisme comportant un grand nombre d'engrenages qui remplissent différentes fonctions, mais constituent un seul système.

Vidéo sur la garantie de la sécurité des systèmes industriels :

Législation et ISPS

Un aspect très important d'un système de sécurité de l'information est la coopération avec les organismes gouvernementaux chargés de l'application des lois et la légalité de ce système. Un rôle important est joué par le haut niveau de professionnalisme des employés de l'entreprise qui vous assurent la sécurité des informations ; n'oubliez pas qu'un accord de non-divulgation des informations secrètes de l'entreprise doit être conclu avec cette entreprise et ses employés, puisque tous les employés assurant le plein fonctionnement du système de sécurité auront accès aux informations de l'entreprise, vous devez donc avoir la garantie que les employés ne transféreront pas ces informations à des tiers intéressés à les obtenir à des fins personnelles ou pour nuire au travail de votre entreprise.

Si vous négligez ces principes et conditions, alors votre sécurité ne sera pas en mesure de vous fournir le haut niveau de protection requis, il n'y aura donc aucune garantie que les données soient constamment hors de portée des attaquants, ce qui peut avoir des conséquences très graves. mauvais effet sur le fonctionnement de l’entreprise.

Exigences pour assurer la sécurité des informations de tout objet

Il faut non seulement connaître les principes, mais aussi être capable de les mettre en pratique ; c'est pourquoi il existe un certain nombre d'exigences pour le système de protection de la sécurité de l'information qui doivent être remplies, tout comme les principes eux-mêmes.

Un système de sécurité idéal devrait être :

1. Centralisé. Le système de sécurité doit toujours être géré de manière centralisée, donc le système de sécurité de l'information d'une entreprise doit être similaire à la structure de l'entreprise elle-même, à laquelle est rattachée cette méthode d'assurance de la sécurité de l'information (ISIS) ;
2. Prévu. Sur la base des objectifs généraux visant à assurer la sécurité de l'information, chaque employé responsable d'un aspect spécifique du système doit toujours disposer d'un plan détaillé pour améliorer le système de sécurité et utiliser le système actuel. Cela est nécessaire pour que la protection des informations fonctionne comme un système holistique, qui garantira le plus haut niveau de protection des informations confidentielles de l'objet protégé ;
3. Concrétisé. Chaque système de sécurité doit avoir des critères de protection spécifiques, puisque différentes entreprises ont des préférences différentes, certaines doivent protéger des fichiers spécifiques que les concurrents de l'entreprise peuvent utiliser afin de saper le processus de production. D'autres entreprises ont besoin d'une protection globale pour chaque fichier, quelle que soit son importance. Par conséquent, avant d'installer la protection des informations, vous devez décider exactement pour quoi vous en avez besoin ;
4. Actif. Il est toujours nécessaire d’assurer la protection des informations de manière très active et ciblée. Qu'est-ce que ça veut dire? Cela signifie qu'une entreprise fournissant une base de sécurité doit disposer d'un département composé d'experts et d'analystes. Parce que votre principe de sécurité doit non seulement éliminer les menaces existantes et trouver les lacunes dans la base de données, mais aussi connaître à l'avance l'évolution possible d'un événement afin de prévenir d'éventuelles menaces avant même qu'elles n'apparaissent, le service analytique joue donc un rôle très important dans le structure de sécurité de l'information, N'oubliez pas cela et essayez d'accorder une attention particulière à cet aspect. « Averti est prévenu » ;
5. Universel. Votre système doit pouvoir s'adapter à absolument toutes les conditions, c'est-à-dire que le support sur lequel votre base de données est stockée n'a pas d'importance, ni la langue dans laquelle elle est présentée ni le format dans lequel elle est contenue. Si vous souhaitez le transférer vers un autre format ou sur un autre support, cela ne devrait pas provoquer de fuite d'informations ;
6. Inhabituel. Votre plan de sécurité des informations doit être unique, c'est-à-dire qu'il doit être différent des programmes similaires utilisés par d'autres entreprises ou sociétés. Par exemple, si une autre entreprise dotée d'un système de protection des données similaire au vôtre a été attaquée et que les attaquants ont pu y trouver une faille, la probabilité que la ressource soit piratée augmente considérablement. À cet égard, vous devez donc faire preuve d'individualité et établir pour votre entreprise un système de sécurité qui n'est jamais apparu ni utilisé auparavant, augmentant ainsi le niveau de protection des données confidentielles de votre entreprise ;
7. Ouvrir. Il doit être ouvert en termes de modifications, d'ajustements et d'améliorations apportées, c'est-à-dire que si vous trouvez une lacune dans la défense de votre propre système de sécurité ou si vous souhaitez l'améliorer, vous ne devriez pas avoir de problèmes d'accès, car l'accès au système peut prenez un certain temps pendant lequel la base de données peut être piratée, alors rendez-la ouverte à votre propre entreprise et à l'entreprise assurant la sécurité de l'information pour la Fédération de Russie, dont dépend la préservation de vos systèmes d'information ;
8. Économique. La rentabilité est la dernière exigence de tout système de sécurité; vous devez tout calculer et vous assurer que les coûts du support d'information pour les systèmes de sécurité de l'information de la Fédération de Russie ne dépassent en aucun cas la valeur de vos informations. Par exemple, peu importe le coût et le niveau de sophistication d'une conception de sécurité, il existe toujours une possibilité qu'elle soit piratée ou contournée, car une faille peut être trouvée dans n'importe quelle sécurité si vous le souhaitez, et si vous dépensez beaucoup d'argent pour une telle sécurité. conception de sécurité, mais en même temps, les données elles-mêmes ne valent pas ce genre d'argent, il s'agit alors simplement de dépenses inutiles qui peuvent affecter négativement le budget de l'entreprise.

Vidéo sur les solutions IDM :

Exigences secondaires en matière de sécurité des informations

Les exigences de base nécessaires au bon fonctionnement du système de sécurité ont été énumérées ci-dessus ; ci-dessous, les exigences qui ne sont pas obligatoires pour le système seront indiquées :

• Le système de sécurité doit être assez simple à utiliser, c'est-à-dire que tout employé ayant accès à des informations protégées, si nécessaire, ne doit pas y consacrer beaucoup de temps, car cela interférerait avec le travail principal ; le système doit être pratique et « transparent », mais uniquement au sein de votre entreprise ;
• Chaque employé ou représentant autorisé doit disposer de certains privilèges pour accéder aux informations protégées. Encore une fois, je vais donner un exemple : vous êtes le directeur d'une entreprise et il y a un certain nombre d'employés travaillant dans votre établissement en qui vous avez confiance et qui peuvent vous donner accès, mais vous ne le faites pas, et seuls vous et les employés de l'entreprise fournissant le système de sécurité de l'information y a accès, il s'avère que votre comptable et d'autres employés, devant consulter des rapports ou d'autres fichiers protégés, devront lever les yeux du travail, vous arracher ou arracher les employés de l'entreprise assurant la sécurité du travail, afin de accéder à un seul fichier, compromettant ainsi le travail de l'entreprise et réduisant son efficacité. Par conséquent, accordez des privilèges à vos employés pour faciliter leur travail et celui de vous-même ;
• La possibilité de désactiver facilement et rapidement la protection, car il existe des situations dans lesquelles la protection des informations entravera considérablement le fonctionnement de l'entreprise. Dans ce cas, vous devriez pouvoir facilement désactiver et, si nécessaire, activer le système de protection des informations ;
• Le système de sécurité de l'information doit fonctionner séparément de chaque sujet de sécurité, c'est-à-dire qu'ils ne doivent pas être interconnectés ;
• L'entreprise qui vous fournit un système de sécurité de l'information devrait elle-même essayer périodiquement de le pirater, elle peut demander à ses programmeurs travaillant sur d'autres projets de le faire, s'ils réussissent, ils doivent immédiatement découvrir exactement comment cela s'est produit et où se trouve la faiblesse. le système de sécurité existe, pour le neutraliser au plus vite ;
• Votre entreprise ne doit pas disposer de rapports détaillés ni de descriptions détaillées des mécanismes de protection de vos informations ; ces informations ne doivent être disponibles qu'au propriétaire de l'entreprise et à l'entreprise assurant la sécurité des informations.

Système de support d'information - étapes

Un élément important est l'échelonnement des actions dans le développement et l'installation d'un système visant à assurer la sécurité de l'information dans la Fédération de Russie.

Dans un premier temps, lors de la création d’un système de protection, vous devez déterminer ce qu’est exactement la propriété intellectuelle pour vous. Par exemple, pour une entreprise, la propriété intellectuelle est une connaissance et des informations précises sur chaque produit fabriqué, ses améliorations, la fabrication et le développement de nouveaux produits et des idées pour améliorer l'entreprise, en général, tout ce qui vous rapporte finalement du profit. Si vous ne pouvez pas déterminer ce qu'est la propriété intellectuelle pour vous, alors quelle que soit la qualité du système de soutien aux systèmes d'information, il ne sera pas en mesure de vous offrir un niveau de protection élevé et vous risquez également de perdre des informations non protégées, ce qui entraînera par la suite aux pertes morales et matérielles, de sorte que ce point mérite dans un premier temps une attention particulière.

Après avoir déterminé ce qui constitue pour vous une propriété intellectuelle, vous devez passer aux étapes suivantes, généralement acceptées pour absolument toute organisation, quelles que soient sa taille et ses spécifications :

1. Fixer certaines limites dans lesquelles le plan de support des systèmes d'information a sa validité ;
2. Étudier et identifier en permanence les faiblesses du système de sécurité ;
3. Définir une politique de sécurité spécifique et prendre rapidement des contre-mesures lorsqu'une menace est identifiée ;
4. Vérification continue du système de sécurité de l'information ;
5. Élaborer un plan détaillé du système de protection ;
6. Mise en œuvre précise d'un plan préalablement élaboré.

Politique de sécurité des informations.

1. Dispositions générales

Cette politique de sécurité des informations ( Plus loin - Politique ) définit un système de points de vue sur le problème de la garantie de la sécurité de l'information et constitue une présentation systématique des buts et objectifs, ainsi que des aspects organisationnels, technologiques et procéduraux pour garantir la sécurité de l'information des installations d'infrastructure d'information, y compris un ensemble de centres d'information, de banques de données. et les systèmes de communication de l'organisation. Cette politique a été élaborée en tenant compte des exigences de la législation en vigueur de la Fédération de Russie et des perspectives immédiates de développement des infrastructures d'information, ainsi que des caractéristiques et des capacités des méthodes organisationnelles et techniques modernes, du matériel et des logiciels pour la sécurité de l'information. .

Les principales dispositions et exigences de la politique s'appliquent à toutes les divisions structurelles de l'organisation.

La politique est une base méthodologique pour la formation et la mise en œuvre d'une politique unifiée dans le domaine de la garantie de la sécurité de l'information des installations de l'infrastructure de l'information, de la prise de décisions de gestion coordonnées et de l'élaboration de mesures pratiques visant à assurer la sécurité de l'information, de la coordination des activités des divisions structurelles de l'organisation. lors de la création, du développement et de l'exploitation d'installations d'infrastructure d'information.infrastructure conforme aux exigences de sécurité de l'information.

La politique ne réglemente pas l'organisation de la sécurité des locaux et ne garantit pas la sécurité et l'intégrité physique des composants de l'infrastructure de l'information, la protection contre les catastrophes naturelles et les pannes du système d'approvisionnement en énergie, mais elle suppose la construction d'un système de sécurité de l'information sur le même concept. base en tant que système de sécurité de l’organisation dans son ensemble.

La mise en œuvre de la politique est assurée par des lignes directrices, des réglementations, des procédures, des instructions, des lignes directrices pertinentes et un système d'évaluation de la sécurité de l'information dans l'organisation.

La Politique utilise les termes et définitions suivants :

Système automatisé ( CA) — un système composé de personnel et d'un ensemble d'outils d'automatisation pour leurs activités, mettant en œuvre les technologies de l'information pour exécuter les fonctions établies.

Infrastructure informatique— un système de structures organisationnelles qui assurent le fonctionnement et le développement de l'espace d'information et des moyens d'interaction informationnelle. L'infrastructure de l'information comprend un ensemble de centres d'information, des banques de données et de connaissances, des systèmes de communication et permet aux consommateurs d'accéder aux ressources d'information.

Ressources d'information ( IR) – il s'agit de documents distincts et de tableaux distincts de documents, de documents et de tableaux de documents dans les systèmes d'information ( bibliothèques, archives, fonds, bases de données et autres systèmes d'information).

Système d'Information (IP) - système de traitement de l'information et ressources organisationnelles correspondantes ( humain, technique, financier, etc.) qui fournissent et diffusent des informations.

Sécurité -état de protection des intérêts ( objectifs) organisations dans des conditions de menace.

Sécurité des informations ( EST) — sécurité liée aux menaces dans le domaine de l'information. La sécurité est obtenue en garantissant un ensemble de propriétés de sécurité de l'information - disponibilité, intégrité, confidentialité des actifs informationnels. La priorité des propriétés de sécurité de l'information est déterminée par la valeur des actifs spécifiés pour les intérêts ( objectifs) organisations.

Disponibilité des actifs informationnels - propriété de la sécurité de l'information d'une organisation, qui consiste dans le fait que les actifs informationnels sont fournis à un utilisateur autorisé, sous la forme et à l'endroit requis par l'utilisateur, et au moment où il en a besoin.

Intégrité des actifs informationnels - la capacité de la sécurité de l'information d'une organisation à rester inchangée ou à corriger les changements détectés dans ses actifs informationnels.

Confidentialité des actifs informationnels - propriété de la sécurité de l'information d'une organisation, qui consiste dans le fait que le traitement, le stockage et la transmission des actifs informationnels sont effectués de manière à ce que les actifs informationnels ne soient disponibles qu'aux utilisateurs autorisés, aux objets système ou aux processus.

Système de sécurité de l'information ( PLUME) — un ensemble de mesures de protection, d'équipements de protection et de processus pour leur fonctionnement, y compris les ressources et l'administration ( organisationnel) disposition.

L'accès non autorisé– accès à l'information en violation des pouvoirs officiels d'un employé, accès à des informations fermées au public par des personnes qui n'ont pas l'autorisation d'accéder à ces informations ou obtention d'un accès à l'information par une personne habilitée à accéder à ces informations pour un montant supérieur à celui-ci. nécessaire à l'exercice de fonctions officielles.

2. Exigences générales pour assurer la sécurité des informations

Exigences en matière de sécurité des informations ( Plus loin -EST ) déterminer le contenu et les objectifs des activités de l’organisation dans le cadre des processus de gestion de la sécurité de l’information.

Ces exigences sont formulées pour les domaines suivants :

• attribution et répartition des rôles et confiance dans le personnel ;
• étapes du cycle de vie des objets de l'infrastructure d'information ;
• protection contre les accès non autorisés ( Plus loin - NSD ), contrôle d'accès et enregistrement dans les systèmes automatisés, les équipements de télécommunications et les centraux téléphoniques automatiques, etc.;
• protection antivirus ;
• utilisation des ressources Internet;
• utilisation d'outils de protection des informations cryptographiques ;
• protection des données personnelles.

3. Objets à protéger

Les principaux objets à protéger sont :

• ressources d'information, présentés sous forme de documents et de tableaux d'informations, quels que soient la forme et le type de leur présentation, y compris les informations confidentielles et publiques ;
• système de formation, de distribution et d'utilisation des ressources d'information, bibliothèques, archives, bases de données et banques de données, technologies de l'information, réglementations et procédures de collecte, de traitement, de stockage et de transmission de l'information, personnel technique et de service ;
• infrastructure d'information, y compris les systèmes de traitement et d'analyse de l'information, le matériel informatique et les logiciels pour son traitement, sa transmission et son affichage, y compris les canaux d'échange d'informations et de télécommunications, les systèmes et moyens de protection de l'information, des objets et des locaux dans lesquels se trouvent les composants de l'infrastructure de l'information.

3.1. Caractéristiques du système automatisé

Des informations de différentes catégories circulent dans l'AS. Les informations protégées peuvent être partagées par différents utilisateurs de différents sous-réseaux d'un même réseau d'entreprise.

Un certain nombre de sous-systèmes AS permettent une interaction avec des éléments externes ( étatique et commercial, russe et étranger) organisations via des canaux de communication commutés et dédiés utilisant des moyens spéciaux de transmission d'informations.

L'ensemble des moyens techniques de l'AS comprend des outils informatiques ( postes de travail, serveurs de bases de données, serveurs de messagerie, etc.), moyens d'échange de données dans les réseaux informatiques locaux avec possibilité d'accéder aux réseaux mondiaux ( système de câble, ponts, passerelles, modems, etc.), ainsi que des installations de stockage ( y compris archivage) données.

Les principales caractéristiques du fonctionnement de l'AS comprennent :

• la nécessité de combiner un grand nombre de moyens techniques différents de traitement et de transmission de l'information en un seul système ;
• une grande variété de tâches à résoudre et de types de données traitées ;
• combiner des informations à des fins diverses, affiliations et niveaux de confidentialité dans des bases de données uniques ;
• disponibilité de canaux de connexion aux réseaux externes ;
• continuité de fonctionnement;
• la présence de sous-systèmes avec des exigences différentes en matière de niveaux de sécurité, physiquement unis en un seul réseau ;
• diversité des catégories d'utilisateurs et de personnel de service.

En général, un seul AS est un ensemble de réseaux informatiques locaux de départements interconnectés au moyen de télécommunications. Chaque réseau informatique local intègre un certain nombre de sous-systèmes automatisés interconnectés et interactifs ( domaines technologiques), fournissant des solutions aux problèmes des divisions structurelles individuelles de l'organisation.

Les objets d'informatisation comprennent :

• équipement technologique ( matériel informatique, matériel réseau et câble);
• ressources d'information;
• logiciel ( systèmes d'exploitation, systèmes de gestion de bases de données, systèmes généraux et logiciels d'application);
• systèmes automatisés de communication et de transmission de données (télécommunications);
• canaux de connexion ;
• locaux de bureau.

3.2. Types d’actifs informationnels organisationnels à protéger

Des informations de différents niveaux de confidentialité circulent dans les sous-systèmes AS de l'organisation, contenant des informations à diffusion limitée ( données officielles, commerciales, personnelles) et l'information du public.

Le flux de documents AS contient :

• ordres de paiement et documents financiers ;
• rapports ( financier, analytique, etc.);
• des informations sur les comptes personnels ;
• Informations personnelles;
• d'autres informations restreintes.

Toutes les informations circulant dans l'AS et contenues dans les types d'actifs informationnels suivants font l'objet d'une protection :

• informations constituant des secrets commerciaux et officiels, dont l'accès est limité par l'organisation, en tant que propriétaire de l'information, conformément aux dispositions de la loi fédérale " À propos de l'information, de l'informatisation et de la protection de l'information » droits et droit fédéral « À propos des secrets commerciaux »;
• données personnelles dont l'accès est limité conformément à la loi fédérale " À propos des données personnelles »;
• l’information ouverte, en termes de garantie de l’intégrité et de la disponibilité de l’information.

3.3. Catégories d'utilisateurs du système automatisé

L'organisation compte un grand nombre de catégories d'utilisateurs et de personnel de service qui doivent disposer de divers pouvoirs pour accéder aux ressources d'information AS :

• utilisateurs ordinaires ( utilisateurs finaux, employés des unités organisationnelles);
• administrateurs de serveur ( serveurs de fichiers, serveurs d'applications, serveurs de bases de données), les réseaux informatiques locaux et les systèmes d'application ;
• programmeurs système ( responsable de la maintenance des logiciels généraux) sur les serveurs et postes utilisateurs ;
• développeurs de logiciels d'application ;
• spécialistes de la maintenance du matériel informatique;
• administrateurs de la sécurité de l'information, etc.

3.4. Vulnérabilité des principaux composants du système automatisé

Les composants les plus vulnérables de l'AS sont les postes de travail en réseau - les postes de travail automatisés ( Plus loin - AWS ) ouvriers. Tentatives d'accès non autorisé à des informations ou tentatives d'actions non autorisées ( involontaire et intentionnel) sur un réseau informatique. Les violations de la configuration matérielle et logicielle des postes de travail et les interférences illégales dans leurs processus de fonctionnement peuvent entraîner le blocage des informations, l'incapacité de résoudre en temps opportun des problèmes importants et la défaillance de postes de travail et de sous-systèmes individuels.

Les éléments du réseau tels que les serveurs de fichiers dédiés, les serveurs de bases de données et les serveurs d'applications nécessitent une protection particulière. Les inconvénients des protocoles d'échange et des moyens de restriction de l'accès aux ressources du serveur peuvent permettre un accès non autorisé à des informations protégées et influencer le fonctionnement de divers sous-systèmes. Dans ce cas, des tentatives peuvent être effectuées à distance ( depuis les stations du réseau), et direct ( depuis la console du serveur) impact sur le fonctionnement des serveurs et leurs mesures de sécurité.

Les ponts, passerelles, hubs, routeurs, commutateurs et autres périphériques réseau, liaisons et communications doivent également être protégés. Ils peuvent être utilisés par des attaquants pour restructurer et perturber le réseau, intercepter les informations transmises, analyser le trafic et mettre en œuvre d'autres méthodes pour interférer avec les processus d'échange de données.

4. Principes de base de la sécurité de l'information

4.1. Principes généraux d'exploitation sûre

• Détection rapide des problèmes. Une organisation doit détecter rapidement les problèmes susceptibles d’avoir un impact sur ses objectifs commerciaux.
• Prévisibilité de l’évolution du problème. L'organisation doit identifier la relation de cause à effet des problèmes possibles et construire sur cette base une prévision précise de leur évolution.
• Évaluer l'impact des problèmes sur les objectifs de l'entreprise. L'organisation doit évaluer adéquatement l'impact des problèmes identifiés.
• Adéquation des mesures de protection. L'organisation doit sélectionner des mesures de protection adaptées aux modèles de menaces et d'intrus, en tenant compte des coûts de mise en œuvre de ces mesures et du montant des pertes possibles résultant de l'exécution des menaces.
• Efficacité des mesures de protection. L'organisation doit mettre en œuvre efficacement les mesures de protection prises.
• Utiliser l'expérience lors de la prise et de la mise en œuvre de décisions. L'organisation doit accumuler, généraliser et utiliser à la fois sa propre expérience et celle d'autres organisations à tous les niveaux de prise de décision et d'exécution.
• Continuité des principes de sécurité d’exploitation. L'organisation doit assurer la mise en œuvre continue des principes de sécurité d'exploitation.
• Contrôlabilité des mesures de protection. L'organisation ne doit mettre en œuvre que des contrôles dont le bon fonctionnement peut être vérifié, et l'organisation doit évaluer régulièrement l'adéquation des contrôles et l'efficacité de leur mise en œuvre, en tenant compte de l'impact des contrôles sur les objectifs commerciaux de l'organisation.

4.2. Principes particuliers pour assurer la sécurité des informations

• La mise en œuvre de principes particuliers de sécurité de l'information vise à augmenter le niveau de maturité des processus de gestion de la sécurité de l'information dans l'organisation.
• Définition des objectifs. Les objectifs fonctionnels et de sécurité de l'information de l'organisation doivent être explicitement définis dans un document interne. L’incertitude conduit à « imprécision" structure organisationnelle, rôles du personnel, politiques de sécurité de l'information et incapacité à évaluer l'adéquation des mesures de protection prises.
• Connaître vos clients et vos employés. L'organisation doit disposer d'informations sur ses clients, sélectionner soigneusement le personnel ( ouvriers), développer et maintenir une éthique d’entreprise, qui crée un environnement de confiance favorable aux activités de gestion d’actifs de l’organisation.
• Personnification et répartition adéquate des rôles et des responsabilités. La responsabilité des responsables de l'organisation pour les décisions liées à ses actifs doit être personnifiée et exécutée principalement sous la forme d'une garantie. Il doit être adapté au degré d'influence sur les objectifs de l'organisation, consigné dans les politiques, contrôlé et amélioré.
• L'adéquation des rôles aux fonctions et aux procédures et leur comparabilité avec les critères et le système d'évaluation. Les rôles doivent refléter adéquatement les fonctions exercées et les procédures pour leur mise en œuvre adoptées dans l'organisation. Lors de l'attribution de rôles interdépendants, la séquence nécessaire de leur mise en œuvre doit être prise en compte. Le rôle doit être conforme aux critères d'évaluation de l'efficacité de sa mise en œuvre. Le contenu principal et la qualité du rôle exercé sont en réalité déterminés par le système d'évaluation qui lui est appliqué.
• Disponibilité des services. L'organisation doit assurer la disponibilité des services et services pour ses clients et contreparties dans les délais établis déterminés par les accords pertinents ( les accords) et/ou d'autres documents.
• Observabilité et évaluabilité du support de sécurité de l’information. Toute mesure de protection proposée doit être conçue de manière à ce que le résultat de son application soit clairement observable ( transparent) et pourrait être évalué par un service de l'organisation doté de l'autorité appropriée.

5. Buts et objectifs de la fourniture d'informations de sécurité

5.1. Sujets des relations informationnelles dans le système automatisé

Les sujets des relations juridiques lors de l'utilisation d'AS et de la garantie de la sécurité des informations sont :

• Organisation en tant que propriétaire des ressources d'information ;
• les divisions de l'organisation assurant le fonctionnement de la centrale nucléaire ;
• les employés des divisions structurelles de l'organisation, en tant qu'utilisateurs et fournisseurs d'informations dans l'AS conformément aux fonctions qui leur sont assignées ;
• personnes morales et personnes physiques dont les informations sont accumulées, stockées et traitées dans l'AS ;
• d'autres personnes morales et personnes physiques impliquées dans le processus de création et d'exploitation de l'AS ( développeurs de composants système, organisations impliquées dans la fourniture de divers services dans le domaine des technologies de l'information, etc.).

Les sujets répertoriés des relations d'information souhaitent assurer :

• confidentialité d'une certaine partie des informations;
• fiabilité ( exhaustivité, exactitude, adéquation, intégrité) information;
• protection contre l'imposition de faux ( peu fiable, déformé) information;
• accès en temps opportun aux informations nécessaires ;
• délimitation de la responsabilité en cas de violation des droits légaux ( intérêts) autres sujets de relations d'information et règles établies pour le traitement de l'information ;
• la possibilité d'un suivi et d'une gestion continus des processus de traitement et de transmission de l'information ;
• protection de certaines informations contre la réplication illégale ( protection des droits d'auteur, droits du propriétaire de l'information, etc.).

5.2. Objectif de la sécurité des informations

L'objectif principal d'assurer la sécurité de l'information est de protéger les sujets des relations d'information contre d'éventuels dommages matériels, moraux ou autres dus à une interférence accidentelle ou intentionnelle non autorisée dans le processus de fonctionnement de l'AS ou à un accès non autorisé aux informations qui y circulent et à ses utilisation illégale.

Cet objectif est atteint en garantissant et en maintenant constamment les propriétés suivantes de l'information et un système automatisé pour son traitement :

• disponibilité des informations traitées pour les utilisateurs enregistrés ;
• confidentialité d'une certaine partie des informations stockées, traitées et transmises via les canaux de communication ;
• l'intégrité et l'authenticité des informations stockées, traitées et transmises via les canaux de communication.

5.3. Tâches de sécurité de l'information

Pour atteindre l'objectif principal d'assurer la sécurité de l'information, le système de sécurité de l'information de la centrale nucléaire doit fournir une solution efficace aux tâches suivantes :

• protection contre les interférences dans le processus de fonctionnement de l'AS par des personnes non autorisées ;
• restriction de l'accès des utilisateurs enregistrés aux ressources matérielles, logicielles et informationnelles de l'AS, c'est-à-dire protection contre les accès non autorisés ;
• enregistrer les actions des utilisateurs lors de l'utilisation de ressources AS protégées dans les journaux système et surveiller périodiquement l'exactitude des actions des utilisateurs du système en analysant le contenu de ces journaux par les spécialistes du service de sécurité ;
• protection contre les modifications non autorisées et contrôle de l'intégrité ( assurer l'immuabilité) environnement d'exécution du programme et sa restauration en cas de violation ;
• protection contre les modifications non autorisées et contrôle de l'intégrité des logiciels utilisés dans l'AS, ainsi que protection du système contre l'introduction de programmes non autorisés, y compris les virus informatiques ;
• protection des informations contre les fuites par les canaux techniques lors de leur traitement, stockage et transmission via les canaux de communication ;
• protection des informations stockées, traitées et transmises via les canaux de communication contre toute divulgation ou distorsion non autorisée ;
• assurer l'authentification des utilisateurs participant à l'échange d'informations ;
• assurer la capacité de survie des mesures de protection des informations cryptographiques en cas de compromission d'une partie du système de clé ;
• identification en temps opportun des sources de menaces pour la sécurité de l'information, des causes et des conditions propices à causer des dommages aux sujets intéressés par les relations d'information, création d'un mécanisme pour une réponse rapide aux menaces pour la sécurité de l'information et aux tendances négatives ;
• créer des conditions permettant de minimiser et de localiser les dommages causés par des actions illégales d'individus et d'entités juridiques, en atténuant l'impact négatif et en éliminant les conséquences des violations de la sécurité de l'information.

5.4. Façons de résoudre les problèmes de sécurité de l'information

La résolution des problèmes liés à la garantie de la sécurité des informations est obtenue :

• prise en compte stricte de toutes les ressources système à protéger ( informations, tâches, canaux de communication, serveurs, postes de travail);
• réglementation des processus de traitement de l'information et des actions des employés des divisions structurelles de l'organisation, ainsi que des actions du personnel effectuant la maintenance et la modification des logiciels et du matériel de l'AS, sur la base de documents organisationnels et administratifs sur les questions de sécurité de l'information ;
• l'exhaustivité, la faisabilité réelle et la cohérence des exigences des documents organisationnels et administratifs sur les questions de garantie de la sécurité de l'information ;
• nomination et formation des salariés chargés d'organiser et de mettre en œuvre des mesures pratiques pour assurer la sécurité de l'information ;
• doter chaque salarié des pouvoirs minimaux nécessaires à l'exercice de ses fonctions fonctionnelles pour accéder aux ressources de l'AS ;
• connaissance claire et strict respect par tous les employés utilisant et entretenant le matériel et les logiciels AS des exigences des documents organisationnels et administratifs sur les questions de sécurité de l'information ;
• responsabilité personnelle de leurs actes de chaque salarié participant, dans le cadre de ses fonctions fonctionnelles, aux processus de traitement automatisé de l'information et ayant accès aux ressources d'AS ;
• mise en œuvre de processus technologiques de traitement de l'information utilisant des complexes de mesures organisationnelles et techniques pour protéger les logiciels, le matériel et les données ;
• prendre des mesures efficaces pour garantir l'intégrité physique des équipements techniques et maintenir en permanence le niveau de sécurité requis des composants des centrales nucléaires ;
• application de techniques ( logiciel et matériel) des moyens de protection des ressources du système et un support administratif continu pour leur utilisation ;
• délimitation des flux d'informations et interdiction de la transmission d'informations à diffusion limitée sur des canaux de communication non protégés ;
• contrôle efficace du respect par les employés des exigences en matière de sécurité de l'information ;
• surveillance constante des ressources du réseau, identification des vulnérabilités, détection et neutralisation en temps opportun des menaces externes et internes à la sécurité d'un réseau informatique ;
• protection juridique des intérêts de l’organisation contre les actions illégales dans le domaine de la sécurité de l’information.
• effectuer une analyse continue de l'efficacité et de la suffisance des mesures prises et des moyens de sécurité de l'information utilisés, élaborer et mettre en œuvre des propositions visant à améliorer le système de sécurité de l'information dans l'AS.

6. Menaces pour la sécurité des informations

6.1. Menaces liées à la sécurité de l’information et leurs sources

Les menaces les plus dangereuses pour la sécurité des informations traitées dans l'AS sont :

• violation de la confidentialité ( divulgation, fuite) les informations constituant un secret officiel ou commercial, y compris les données personnelles ;
• mauvais fonctionnement ( désorganisation du travail) AS, blocage de l'information, perturbation des processus technologiques, incapacité à résoudre les problèmes en temps opportun ;
• violation de l'intégrité ( distorsion, substitution, destruction) informations, logiciels et autres ressources AS.

Les principales sources de menaces pour la sécurité des informations AS sont :

• les événements indésirables de nature naturelle ou d'origine humaine ;
• terroristes, éléments criminels;
• les attaquants informatiques exerçant des influences destructrices ciblées, y compris l'utilisation de virus informatiques et d'autres types de codes et d'attaques malveillants ;
• fournisseurs de logiciels et de matériel, de consommables, de services, etc. ;
• les entrepreneurs effectuant l'installation, la mise en service des équipements et leur réparation ;
• non-respect des exigences des autorités de contrôle et de régulation, de la législation en vigueur ;
• pannes, pannes, destructions/dommages aux logiciels et au matériel ;
• les employés qui sont des participants légaux aux processus de l'AS et agissent en dehors du champ des pouvoirs accordés ;
• les salariés qui participent légalement aux processus de l'AS et agissent dans le cadre des pouvoirs accordés.

6.2. Actions involontaires conduisant à des violations de la sécurité de l'information et mesures pour les prévenir

Les employés de l'organisation qui ont un accès direct aux processus de traitement de l'information dans le système automatisé sont une source potentielle d'actions accidentelles involontaires pouvant conduire à une violation de la sécurité de l'information.

Principales actions involontaires conduisant à des violations de la sécurité de l'information (actions commises par des personnes accidentellement, par ignorance, inattention ou négligence, par curiosité, mais sans intention malveillante) et les mesures destinées à prévenir de telles actions et à minimiser les dommages qu'elles provoquent sont indiquées dans Tableau 1.

Tableau 1

Principales actions conduisant à des violations de la sécurité de l'information
Actions des employés entraînant une défaillance partielle ou totale du système ou un dysfonctionnement du matériel ou des logiciels ; éteindre l'équipement ou modifier les modes de fonctionnement des appareils et des programmes ; destruction des ressources d'informations du système ( dommages involontaires à l'équipement, suppression, corruption de programmes ou de fichiers contenant des informations importantes, y compris celles du système, dommages aux canaux de communication, dommages involontaires aux supports de stockage, etc.)	Mesures organisationnelles ( ). L'utilisation de moyens physiques pour empêcher la commission involontaire d'une violation. Application de la technique ( matériel et logiciel) moyens de restreindre l'accès aux ressources. Réservation des ressources critiques.
Lancement non autorisé de programmes qui, s'ils sont utilisés de manière incompétente, peuvent entraîner une perte de fonctionnalité du système ( gel ou boucle) ou apporter des modifications irréversibles au système ( formatage ou restructuration des supports de stockage, suppression de données, etc.)	Mesures organisationnelles ( suppression de tous les programmes potentiellement dangereux du poste de travail). Application de la technique ( matériel et logiciel) des moyens de restreindre l'accès aux programmes sur les postes de travail automatisés.
Introduction et utilisation non autorisées de programmes non enregistrés ( jeux, éducatifs, technologiques et autres qui ne sont pas nécessaires aux employés pour exercer leurs fonctions officielles) avec pour conséquence une dépense déraisonnable de ressources ( Temps CPU, RAM, mémoire sur support externe, etc.)	Mesures organisationnelles ( introduction d'interdictions). Application de la technique ( matériel et logiciel) signifie empêcher la mise en œuvre et l'utilisation non autorisées de programmes non comptabilisés.
Infecter involontairement votre ordinateur avec des virus	Mesures organisationnelles ( réglementation des actions, introduction d'interdictions). Mesures technologiques ( utilisation de programmes spéciaux pour détecter et détruire les virus). L'utilisation de matériel et de logiciels pour prévenir l'infection par des virus informatiques.
Divulgation, transfert ou perte des attributs de contrôle d'accès ( mots de passe, clés de cryptage ou signatures électroniques, cartes d'identité, laissez-passer, etc.)	Mesures organisationnelles ( régulation des actions, introduction d'interdictions, responsabilité accrue). L'utilisation de moyens physiques pour assurer la sécurité des détails spécifiés.
Ignorer les contraintes organisationnelles ( règles établies) lorsque vous travaillez dans le système	Mesures organisationnelles ( ). Utilisation de moyens de protection physiques et techniques supplémentaires.
Utilisation, configuration ou désactivation illégale d'équipements de protection par le personnel de sécurité	Mesures organisationnelles ( formation du personnel, renforcement de la responsabilité et du contrôle).
Saisie de données incorrectes	Mesures organisationnelles ( renforcer la responsabilité et le contrôle). Mesures technologiques pour contrôler les erreurs des opérateurs de saisie de données.

6.3. Actions délibérées visant à violer la sécurité de l'information et mesures pour les empêcher

Actions intentionnelles de base ( à des fins égoïstes, sous la contrainte, par désir de vengeance, etc.), conduisant à une violation de la sécurité de l'information de l'usine, et des mesures pour les prévenir et réduire les dommages possibles sont données dans Tableau 2.

Tableau 2

Les principales actions intentionnelles conduisant à une violation de la sécurité de l'information	Mesures pour prévenir les menaces et minimiser les dommages
Destruction physique ou défaillance de tout ou partie des composants les plus importants d'un système automatisé ( appareils, supports d'informations système importantes, personnel, etc.), la désactivation ou la désactivation des sous-systèmes destinés à assurer le fonctionnement des systèmes informatiques ( alimentation électrique, lignes de communication, etc.)	Mesures organisationnelles ( réglementation des actions, introduction d'interdictions). L'utilisation de moyens physiques pour empêcher la commission intentionnelle d'une violation. Réservation des ressources critiques.
Introduction des agents dans le personnel du système ( y compris le groupe administratif responsable de la sécurité), recrutement ( par la corruption, le chantage, les menaces, etc.) les utilisateurs disposant de certaines autorisations pour accéder aux ressources protégées	Mesures organisationnelles ( sélection, placement et travail avec le personnel, renforcement du contrôle et de la responsabilité). Enregistrement automatique des actions du personnel.
Vol de supports de stockage ( impressions, disques magnétiques, bandes, périphériques de stockage et ordinateurs personnels entiers), vol de déchets industriels ( impressions, enregistrements, supports de stockage radiés, etc.)	Mesures organisationnelles ( ).
Copie non autorisée de supports de stockage, lecture d'informations résiduelles de la RAM et des périphériques de stockage externes	Mesures organisationnelles ( organisation du stockage et de l'utilisation des supports contenant des informations protégées). L'utilisation de moyens techniques pour restreindre l'accès aux ressources protégées et enregistrer automatiquement la réception des copies papier des documents.
Acquisition illégale de mots de passe et d'autres détails de contrôle d'accès ( par agent, en utilisant la négligence des utilisateurs, par sélection, en simulant l'interface système avec des signets logiciels, etc.) avec déguisation ultérieure en utilisateur enregistré.	Mesures organisationnelles ( réglementation des actions, introduction d'interdictions, travail avec le personnel). L'utilisation de moyens techniques qui empêchent la mise en œuvre de programmes d'interception de mots de passe, de clés et d'autres détails.
Utilisation non autorisée de postes de travail d'utilisateurs présentant des caractéristiques physiques uniques, telles qu'un numéro de poste de travail sur le réseau, une adresse physique, une adresse dans le système de communication, une unité de codage matérielle, etc.	Mesures organisationnelles ( une réglementation stricte de l'accès aux locaux et des autorisations de travailler sur ces postes de travail). Application de moyens physiques et techniques de contrôle d'accès.
Modification non autorisée du logiciel - introduction de « favoris » et de « virus » logiciels ( "Chevaux de Troie" et "bugs"), c'est-à-dire les sections de programmes qui ne sont pas nécessaires pour mettre en œuvre les fonctions déclarées, mais permettent de surmonter le système de sécurité, d'accéder secrètement et illégalement aux ressources du système dans le but d'enregistrer et de transmettre des informations protégées ou de perturber le fonctionnement du système.	Mesures organisationnelles ( réglementation stricte de l'accès au travail). L'utilisation de moyens physiques et techniques de contrôle d'accès et empêchant toute modification non autorisée de la configuration matérielle et logicielle du poste de travail. Application d'outils de surveillance de l'intégrité des programmes.
Interception des données transmises sur les canaux de communication, leur analyse afin d'obtenir des informations confidentielles et de clarifier les protocoles d'échange, les règles d'entrée dans le réseau et l'autorisation des utilisateurs, avec tentatives ultérieures de les imiter pour pénétrer dans le système	Protection physique des canaux de communication. Application de moyens de protection cryptographiques aux informations transmises.
Interférence dans le processus de fonctionnement du système à partir des réseaux publics aux fins de modification non autorisée des données, d'accès à des informations confidentielles, de perturbation du travail des sous-systèmes, etc.	Mesures organisationnelles ( régulation du raccordement et du fonctionnement dans les réseaux publics). L'utilisation de moyens techniques spéciaux de protection ( pare-feu, outils de contrôle de sécurité et détection des attaques sur les ressources système, etc.).

6.4. Fuite d’informations via les canaux techniques

Lors de l'exploitation des équipements techniques de la centrale nucléaire, les canaux suivants de fuite ou de violation de l'intégrité des informations, de perturbation des performances des équipements techniques sont possibles :

• rayonnement électromagnétique latéral d'un signal informatif provenant de moyens techniques et de lignes de transmission d'informations ;
• diriger un signal informatif traité par un équipement informatique électronique sur des fils et des lignes s'étendant au-delà de la zone contrôlée des bureaux, incl. sur les circuits de mise à la terre et d'alimentation ;
• divers appareils électroniques pour intercepter des informations ( y compris "signets"), connectés à des canaux de communication ou à des moyens techniques de traitement de l'information ;
• visualiser des informations à partir d'écrans d'affichage et d'autres moyens de les afficher à l'aide de moyens optiques ;
• impact sur le matériel ou les logiciels afin de violer l'intégrité ( destruction, distorsion) l'information, l'opérabilité des moyens techniques, les moyens de sécurité de l'information et la rapidité de l'échange d'informations, y compris électromagnétiques, grâce à des outils électroniques et logiciels spécialement mis en œuvre ( "signets").

Compte tenu des spécificités du traitement et garantissant la sécurité des informations, la menace de fuite d'informations confidentielles ( y compris les données personnelles) via des canaux techniques ne sont pas pertinents pour l'organisation.

6.5. Modèle informel d'un contrevenant probable

Un contrevenant est une personne qui a tenté d'effectuer des opérations interdites ( Actions) par erreur, par ignorance ou sciemment avec une intention malveillante ( par intérêts égoïstes) ou sans ( par souci de jeu ou de plaisir, dans un but d'affirmation de soi, etc.) et en utilisant diverses possibilités, méthodes et moyens pour cela.

Le système de protection des centrales nucléaires doit être construit sur la base d'hypothèses concernant les types possibles d'intrus suivants dans le système ( en tenant compte de la catégorie de personnes, de la motivation, des qualifications, de la disponibilité de moyens spéciaux, etc.):

• « Utilisateur inexpérimenté (imprudent)« - un employé qui pourrait tenter d'effectuer des opérations interdites, accéder à des ressources protégées de l'AS au-delà de son autorité, saisir des données incorrectes, etc. actions dues à une erreur, à une incompétence ou à une négligence sans intention malveillante et en utilisant uniquement des ( à sa disposition) matériel et logiciel.
• « Amateur" - un salarié tentant de vaincre le système de défense sans buts égoïstes ni intention malveillante, pour s'affirmer ou par " intérêt sportif" Pour contourner le système de sécurité et effectuer des actions interdites, il peut utiliser diverses méthodes pour obtenir des droits d'accès supplémentaires aux ressources ( noms, mots de passe, etc. autres utilisateurs), des lacunes dans la construction du système de protection et dans le personnel dont il dispose ( installé sur un poste de travail) programmes ( actions non autorisées en excédant son autorité pour utiliser des moyens autorisés). De plus, il peut essayer d'utiliser des outils et logiciels technologiques non standards supplémentaires ( débogueurs, utilitaires), des programmes développés indépendamment ou des moyens techniques supplémentaires standards.
• « Escroc"- un employé qui peut tenter d'effectuer des opérations technologiques illégales, saisir de fausses données et des actions similaires à des fins personnelles, sous la contrainte ou par intention malveillante, mais en utilisant uniquement des ( installé sur le poste de travail et accessible à lui) matériel et logiciels pour votre propre compte ou pour le compte d'un autre employé ( connaître son nom et son mot de passe, profiter de son absence de courte durée du lieu de travail, etc.).
• « Intrus externe (attaquant)« - un étranger ou un ancien employé agissant délibérément par intérêt égoïste, par vengeance ou par curiosité, éventuellement en collusion avec d'autres personnes. Il peut utiliser toute la gamme de méthodes pour violer la sécurité de l'information, les méthodes et moyens de piratage des systèmes de sécurité caractéristiques des réseaux publics ( en particulier les réseaux basés sur IP), y compris la mise en œuvre à distance de signets logiciels et l’utilisation de programmes instrumentaux et technologiques spéciaux, utilisant les faiblesses existantes des protocoles d’échange et du système de protection des nœuds du réseau de l’organisation.
• « Attaquant interne« - un employé enregistré comme utilisateur du système, agissant délibérément par intérêt égoïste ou par vengeance, éventuellement en collusion avec des personnes qui ne sont pas des employés de l'organisation. Il peut utiliser toute la gamme des méthodes et moyens de piratage d'un système de sécurité, y compris les méthodes secrètes d'obtention des détails d'accès, les moyens passifs (moyens techniques d'interception sans modification des composants du système), les méthodes et moyens d'influence active ( modification des moyens techniques, connexion aux canaux de transmission de données, mise en place de signets logiciels et utilisation de programmes instrumentaux et technologiques spéciaux), ainsi que des combinaisons d’influences tant internes que publiques.

Un délinquant interne peut être une personne appartenant aux catégories de personnel suivantes :

• utilisateurs finaux enregistrés d'AS ( employés des départements et des succursales);
• les employés ne sont pas autorisés à travailler dans les centrales nucléaires ;
• personnel assurant l'entretien des équipements techniques de la centrale nucléaire ( ingénieurs, techniciens);
• les employés des services de développement et de maintenance de logiciels ( programmeurs d'applications et de systèmes);
• personnel technique assurant l'entretien des bâtiments et des locaux de l'organisation ( agents de nettoyage, électriciens, plombiers et autres travailleurs ayant accès aux bâtiments et locaux où se trouvent les composants AS);
• gestionnaires à différents niveaux.

• travailleurs licenciés;
• des représentants d'organisations interagissant sur les questions visant à assurer la vie de l'organisation ( énergie, eau, approvisionnement en chaleur, etc.);
• des représentants d'entreprises fournissant des équipements, des logiciels, des services, etc. ;
• les membres d'organisations criminelles et de structures commerciales concurrentes ou les personnes agissant en leur nom ;
• les personnes qui sont entrées accidentellement ou intentionnellement dans les réseaux à partir de réseaux externes ( "hackers").

Les utilisateurs et le personnel de service parmi les employés ont les plus grandes possibilités d'effectuer des actions non autorisées, du fait qu'ils disposent de certains pouvoirs d'accès aux ressources et d'une bonne connaissance des technologies de traitement de l'information. Les actions de ce groupe de contrevenants sont directement liées à la violation des règles et réglementations en vigueur. Ce groupe de contrevenants présente un danger particulier lorsqu'il interagit avec des structures criminelles.

Les travailleurs déplacés peuvent utiliser leurs connaissances en matière de technologie de travail, de mesures de protection et de droits d'accès pour atteindre leurs objectifs.

Les structures criminelles représentent la source la plus agressive de menaces externes. Pour mettre en œuvre leurs projets, ces structures peuvent violer ouvertement la loi et impliquer les employés de l’organisation dans leurs activités avec toutes les forces et tous les moyens dont elles disposent.

Les pirates informatiques possèdent les qualifications techniques les plus élevées et connaissent les faiblesses des logiciels utilisés dans l'AS. Ils représentent la plus grande menace lorsqu’ils interagissent avec des employés en activité ou licenciés et avec des organisations criminelles.

Les organisations impliquées dans le développement, la fourniture et la réparation d'équipements et de systèmes d'information constituent une menace externe du fait qu'elles ont parfois un accès direct aux ressources d'information. Les structures criminelles peuvent utiliser ces organisations pour employer temporairement leurs membres afin d'accéder à des informations protégées.

7. Politique technique dans le domaine de la sécurité de l'information

7.1. Dispositions fondamentales de la politique technique

La mise en œuvre de la politique technique dans le domaine de la sécurité de l'information doit reposer sur le principe qu'il est impossible d'assurer le niveau requis de sécurité de l'information non seulement en utilisant un outil distinct ( Événements), mais aussi à l'aide de leur simple combinaison. Il est nécessaire de les coordonner systématiquement entre eux ( application complexe), et les éléments AS individuels en cours de développement devraient être considérés comme faisant partie d'un système d'information unifié dans une conception sécurisée avec un équilibre optimal entre les aspects techniques ( matériel, logiciel) fonds et mesures organisationnelles.

Les principales orientations de mise en œuvre de la politique technique visant à assurer la sécurité des informations AS sont d'assurer la protection des ressources d'information contre le vol, la perte, la fuite, la destruction, la distorsion ou la falsification dues à un accès non autorisé et à des influences particulières.

Dans le cadre des domaines spécifiés de la politique technique visant à assurer la sécurité de l'information, sont réalisées :

• mise en place d'un système d'autorisation pour l'admission des artistes interprètes ou exécutants ( utilisateurs, personnel de service) aux ouvrages, documents et informations à caractère confidentiel ;
• restreindre l'accès des artistes interprètes ou exécutants et des personnes non autorisées aux bâtiments et locaux où sont effectués des travaux confidentiels et où se trouvent des moyens d'information et de communication sur lesquels ( stocké, transmis) les informations à caractère confidentiel, directement aux moyens d'information et de communication ;
• différenciation de l'accès des utilisateurs et du personnel de service aux ressources d'information, logiciels de traitement et de protection des informations dans des sous-systèmes de différents niveaux et objectifs inclus dans l'AS ;
• comptabilité des documents, des tableaux d'informations, enregistrement des actions des utilisateurs et du personnel de service, contrôle des accès non autorisés et des actions des utilisateurs, du personnel de service et des personnes non autorisées ;
• empêcher l'introduction de programmes antivirus et de signets logiciels dans les sous-systèmes automatisés ;
• protection cryptographique d'informations traitées et transmises au moyen de la technologie informatique et des communications;
• stockage fiable des supports de stockage informatiques, des clés cryptographiques ( information clé) et leur circulation, à l'exclusion du vol, de la substitution et de la destruction ;
• redondance nécessaire des moyens techniques et duplication des baies et supports de stockage ;
• réduire le niveau et le contenu informatif des émissions parasites et des interférences créées par divers éléments des sous-systèmes automatisés ;
• isolation électrique de l'alimentation électrique, de la mise à la terre et d'autres circuits d'objets d'information s'étendant au-delà de la zone contrôlée ;
• contrecarrer les systèmes de surveillance optiques et laser.

7.2. Formation d'un régime de sécurité de l'information

Compte tenu des menaces identifiées pour la sécurité de l'usine, le régime de sécurité de l'information devrait être constitué comme un ensemble de méthodes et de mesures visant à protéger les informations circulant dans l'usine et ses infrastructures de soutien contre les impacts accidentels ou intentionnels de nature naturelle ou artificielle, entraînant des dommages aux propriétaires ou aux utilisateurs d’informations.

L'ensemble des mesures visant à créer un régime de sécurité de l'information comprend :

• mise en place d'un régime organisationnel et juridique pour la sécurité de l'information dans l'AS ( documents réglementaires, travail avec le personnel, travail de bureau);
• mise en œuvre de mesures organisationnelles et techniques pour protéger les informations à diffusion limitée contre les fuites via les canaux techniques ;
• mesures organisationnelles, logicielles et techniques pour empêcher les actions non autorisées ( accéder) aux ressources d'informations AS ;
• un ensemble de mesures visant à contrôler le fonctionnement des moyens et des systèmes de protection des ressources d'information à diffusion limitée après des impacts accidentels ou intentionnels.

8. Mesures, méthodes et moyens pour assurer la sécurité de l'information

8.1. Mesures organisationnelles

Mesures organisationnelles- il s'agit de mesures d'ordre organisationnel qui réglementent le fonctionnement des centrales nucléaires, l'utilisation de leurs ressources, les activités du personnel de maintenance, ainsi que l'ordre d'interaction des utilisateurs avec le système de manière à compliquer au maximum ou éliminer la possibilité de mise en œuvre de menaces de sécurité et réduire le montant des dommages en cas de mise en œuvre.

8.1.1. Formation de la politique de sécurité

L'objectif principal des mesures organisationnelles est de formuler une politique de sécurité de l'information qui reflète les approches de la sécurité de l'information et d'assurer sa mise en œuvre en allouant les ressources nécessaires et en surveillant l'état des choses.

D'un point de vue pratique, il convient de diviser la politique de sûreté nucléaire en deux niveaux. Le niveau supérieur comprend les décisions affectant les activités de l'organisation dans son ensemble. Un exemple de telles solutions pourrait être :

• formation ou révision d'un programme complet de sécurité de l'information, identification des personnes responsables de sa mise en œuvre ;
• formuler des objectifs, définir des tâches, déterminer les domaines d'activité dans le domaine de la sécurité de l'information ;
• prendre des décisions sur les questions liées à la mise en œuvre du programme de sécurité, qui sont considérées au niveau de l'organisation dans son ensemble ;
• fourniture de réglementations ( légal) base de données des problèmes de sécurité, etc.

La politique de niveau inférieur définit les procédures et les règles permettant d'atteindre les objectifs et de résoudre les problèmes de sécurité de l'information et détaille (régime) ces règles :

• quelle est la portée de la politique de sécurité de l’information ;
• quels sont les rôles et responsabilités des responsables de la mise en œuvre de la politique de sécurité de l'information ;
• qui a des droits d'accès à des informations restreintes ;
• qui et dans quelles conditions peut lire et modifier les informations, etc.

La politique de niveau inférieur devrait :

• prévoir des réglementations sur les relations d'information qui excluent la possibilité d'actions arbitraires, monopolistiques ou non autorisées concernant les ressources d'informations confidentielles ;
• déterminer les principes et méthodes de coalition et hiérarchiques pour partager des secrets et limiter l'accès aux informations restreintes ;
• choisir des logiciels et du matériel pour la protection cryptographique, contrecarrer les accès non autorisés, l'authentification, l'autorisation, l'identification et d'autres mécanismes de sécurité qui garantissent la mise en œuvre des droits et responsabilités des sujets des relations d'information.

8.1.2. Réglementation de l'accès aux moyens techniques

L'exploitation des postes de travail et des serveurs protégés de la Banque doit être effectuée dans des locaux équipés de serrures automatiques fiables, de systèmes d'alarme et constamment sous garde ou surveillance, excluant la possibilité d'entrée incontrôlée dans les locaux par des personnes non autorisées et assurant la sécurité physique des ressources protégées. situé dans les locaux ( AWS, documents, détails d'accès, etc.). Le placement et l'installation de moyens techniques de tels postes de travail devraient exclure la possibilité de visualisation visuelle de l'entrée ( sortir) informations par des personnes qui ne lui sont pas liées. Le nettoyage des locaux dans lesquels sont installés des équipements doit être effectué en présence du responsable auquel sont affectés ces moyens techniques ou de la personne de garde de l'unité, dans le respect des mesures visant à empêcher l'accès des personnes non autorisées aux zones protégées. ressources.

Seul le personnel autorisé à travailler avec ces informations doit être présent sur les lieux pendant le traitement des informations restreintes.

A la fin de la journée de travail, les locaux dans lesquels sont installés des postes de travail automatisés protégés doivent être placés sous surveillance.

Pour stocker les documents officiels et supports informatiques contenant des informations protégées, les salariés disposent d'armoires métalliques, ainsi que de moyens de destruction des documents.

Les moyens techniques utilisés pour traiter ou stocker des informations confidentielles doivent être scellés.

8.1.3. Réglementation de l’accès des salariés à l’utilisation des ressources informationnelles

Dans le cadre du système d'autorisation d'accès, il est établi : qui, à qui, quelles informations et pour quel type d'accès peut fournir et dans quelles conditions ; système de contrôle d'accès, qui consiste à déterminer pour tous les utilisateurs de l'AS les informations et les ressources logicielles dont ils disposent pour des opérations spécifiques ( lire, écrire, modifier, supprimer, exécuter) à l'aide des outils d'accès logiciels et matériels spécifiés.

L'autorisation des travailleurs de travailler dans les centrales nucléaires et l'accès à leurs ressources doivent être strictement réglementés. Toute modification dans la composition et les pouvoirs des utilisateurs des sous-systèmes AS doit être effectuée conformément à la procédure établie.

Les principaux utilisateurs des informations dans l'AS sont les employés des divisions structurelles de l'organisation. Le niveau d'autorité de chaque utilisateur est déterminé individuellement, en respectant les exigences suivantes :

• les informations ouvertes et confidentielles sont situées sur différents serveurs dans la mesure du possible ;
• chaque salarié ne bénéficie que des droits qui lui sont prescrits relativement aux informations avec lesquelles il a besoin de travailler conformément à ses fonctions ;
• le patron a le droit de consulter les informations de ses subordonnés ;
• les opérations technologiques les plus critiques doivent être réalisées selon la règle "deux mains"— l'exactitude des informations saisies est confirmée par un autre fonctionnaire qui n'a pas le droit de saisir des informations.

Tous les employés admis à travailler dans l'usine et le personnel de maintenance de l'usine doivent assumer la responsabilité personnelle des violations de la procédure établie pour le traitement automatisé de l'information, des règles de stockage, d'utilisation et de transfert des ressources système protégées à leur disposition. Chaque employé, lors de son embauche, doit signer une Obligation de se conformer aux exigences de conservation des informations confidentielles et de responsabilité en cas de violation, ainsi que de se conformer aux règles de travail avec des informations protégées dans l'AS.

Le traitement des informations protégées dans les sous-systèmes AS doit être effectué conformément aux instructions technologiques approuvées ( ordres) pour ces sous-systèmes.

Pour les utilisateurs protégés par des postes de travail, les instructions technologiques nécessaires doivent être élaborées, y compris les exigences pour assurer la sécurité des informations.

8.1.4. Régulation des processus de maintenance des bases de données et de modification des ressources informationnelles

Toutes les opérations de maintenance des bases de données dans l'AS et l'admission des salariés à travailler avec ces bases de données doivent être strictement réglementées. Toute modification dans la composition et les pouvoirs des utilisateurs des bases de données AS doit être effectuée conformément à la procédure établie.

La distribution des noms, la génération des mots de passe, le maintien des règles de restriction d'accès aux bases de données relèvent de la responsabilité des employés du Service des technologies de l'information. Dans ce cas, des moyens standard et supplémentaires de protection du SGBD et des systèmes d'exploitation peuvent être utilisés.

8.1.5. Régulation des processus de maintenance et modification des ressources matérielles et logicielles

Ressources système à protéger ( tâches, programmes, postes de travail) sont soumis à une comptabilité stricte ( basé sur l’utilisation de formulaires appropriés ou de bases de données spécialisées).

La configuration matérielle et logicielle des postes de travail automatisés sur lesquels sont traitées des informations protégées ou à partir desquels l'accès à des ressources protégées est possible doit correspondre à l'éventail des responsabilités fonctionnelles attribuées aux utilisateurs de ce poste de travail. Tous les périphériques d'entrée/sortie (supplémentaires) inutilisés ( Ports COM, USB, LPT, lecteurs de disquettes, CD et autres supports de stockage) sur ces postes de travail doivent être désactivés (supprimés), les outils logiciels et les données inutiles au travail doivent également être supprimés des disques du poste de travail.

Pour simplifier la maintenance, la maintenance et l'organisation de la protection, les postes de travail automatisés doivent être équipés de logiciels et configurés de manière unifiée ( conformément aux règles établies).

La mise en service de nouveaux postes de travail et toutes les modifications dans la configuration matérielle et logicielle des postes de travail existants dans les systèmes automatisés de l'organisation doivent être effectuées uniquement de la manière établie.

Tous les logiciels ( développé par les spécialistes de l’organisation, reçu ou acheté auprès d’entreprises manufacturières) doit être testé conformément à la procédure établie et transféré au dépositaire des programmes de l'organisation. Dans les sous-systèmes AS, seuls les logiciels reçus de la manière prescrite du dépositaire doivent être installés et utilisés. L'utilisation de logiciels dans l'AS qui ne sont pas inclus dans le dépôt de logiciels doit être interdite.

Le développement de logiciels, les tests de logiciels développés et achetés, la mise en service des logiciels doivent être effectués conformément à la procédure établie.

8.1.6. Formation et éducation des utilisateurs

Avant de donner accès au système, ses utilisateurs, ainsi que le personnel de gestion et de maintenance, doivent connaître la liste des informations confidentielles et leur niveau d'autorité, ainsi que la documentation organisationnelle, réglementaire, technique et opérationnelle définissant les exigences et la procédure d'accès au système. traiter ces informations.

La protection des informations dans tous les domaines ci-dessus n'est possible qu'après que les utilisateurs ont développé une certaine discipline, c'est-à-dire normes qui sont obligatoires pour tous ceux qui travaillent à l'usine. Ces normes incluent l'interdiction de toute action intentionnelle ou non intentionnelle qui perturberait le fonctionnement normal du système, entraînerait des coûts de ressources supplémentaires, violerait l'intégrité des informations stockées et traitées et violerait les intérêts des utilisateurs légitimes.

Tous les employés qui utilisent des sous-systèmes spécifiques des centrales nucléaires pendant le travail doivent se familiariser avec les documents organisationnels et administratifs sur la protection des centrales nucléaires dans la mesure où ils les concernent, doivent connaître et suivre strictement les instructions technologiques et les responsabilités générales pour assurer la sécurité des informations. La communication des exigences de ces documents aux personnes habilitées à traiter les informations protégées doit être effectuée par les chefs de service contre signature.

8.1.7. Responsabilité en cas de violation des exigences de sécurité de l'information

Pour chaque violation grave des exigences de sécurité de l'information par les employés d'une organisation, une enquête interne doit être menée. Des mesures adéquates doivent être prises contre les responsables. L'étendue de la responsabilité du personnel pour les actions commises en violation des règles établies pour garantir un traitement automatisé sécurisé des informations doit être déterminée par les dommages causés, la présence d'intentions malveillantes et d'autres facteurs.

Pour mettre en œuvre le principe de responsabilité personnelle des utilisateurs pour leurs actes, il faut :

• identification individuelle des utilisateurs et des processus initiés par eux, c'est-à-dire établir derrière eux un identifiant, sur la base duquel l'accès sera différencié conformément au principe du caractère raisonnable de l'accès ;
• Authentification d'utilisateur ( authentification) basés sur des mots de passe, des clés sur diverses bases physiques, etc. ;
• inscription ( enregistrement) le fonctionnement des mécanismes de contrôle d'accès aux ressources du système d'information, indiquant la date et l'heure, les identifiants du demandeur et les ressources demandées, le type d'interaction et son résultat ;
• réponse aux tentatives d'accès non autorisées ( alarme, blocage, etc.).

8.2. Moyens techniques de protection

Technique ( matériel et logiciel) moyens de protection - divers dispositifs électroniques et programmes spéciaux inclus dans l'AS et remplissant (indépendamment ou en combinaison avec d'autres moyens) des fonctions de protection ( identification et authentification des utilisateurs, restriction d'accès aux ressources, inscription à des événements, protection des informations cryptographiques, etc.).

Compte tenu de toutes les exigences et principes permettant d'assurer la sécurité des informations dans le système automatisé dans tous les domaines de protection, les moyens suivants doivent être inclus dans le système de protection :

• moyens d'authentification des utilisateurs et des éléments AS ( terminaux, tâches, éléments de base de données, etc.), correspondant au degré de confidentialité des informations et des données traitées ;
• les moyens de restreindre l'accès aux données ;
• moyens de protection cryptographique des informations dans les lignes de données et les bases de données ;
• des moyens d'enregistrement du traitement et de contrôle de l'utilisation des informations protégées ;
• des moyens de répondre à un accès non autorisé détecté ou à une tentative d'accès non autorisé ;
• les moyens de réduire le niveau et le contenu informatif des rayonnements non essentiels et des interférences ;
• moyens de protection contre les équipements de surveillance optique ;
• protection contre les virus et les logiciels malveillants ;
• des moyens d'isolation électrique à la fois des éléments AS et des éléments structurels des locaux dans lesquels se trouve l'équipement.

Les moyens techniques de protection contre les accès non autorisés sont chargés de résoudre les tâches principales suivantes :

• identification et authentification des utilisateurs à l'aide de noms et/ou de matériel spécial ( Touchez Mémoire, Carte à puce, etc.);
• régulation de l'accès des utilisateurs aux appareils physiques des postes de travail ( disques, ports d'E/S);
• contrôle d'accès sélectif (discrétionnaire) aux lecteurs logiques, répertoires et fichiers ;
• restriction faisant autorité (obligatoire) de l'accès aux données protégées sur le poste de travail et sur le serveur de fichiers ;
• création d'un environnement logiciel fermé pour les programmes autorisés à s'exécuter, situés à la fois sur des lecteurs locaux et réseau ;
• protection contre la pénétration de virus informatiques et de logiciels malveillants ;
• surveiller l'intégrité des modules du système de protection, des zones de disque système et des listes de fichiers arbitraires en mode automatique et par des commandes d'administrateur ;
• enregistrement des actions des utilisateurs dans un journal sécurisé, présence de plusieurs niveaux d'enregistrement ;
• protéger les données du système de sécurité sur le serveur de fichiers contre l'accès de tous les utilisateurs, y compris l'administrateur réseau ;
• gestion centralisée des paramètres de contrôle d'accès sur les postes de travail en réseau ;
• enregistrement de tous les événements NSD survenant sur les postes de travail ;
• contrôle opérationnel sur le travail des utilisateurs du réseau, modification des modes de fonctionnement des postes de travail et possibilité de bloquer ( si nécessaire) n’importe quelle station du réseau.

L'utilisation réussie des moyens techniques de protection suppose que le respect des exigences énumérées ci-dessous soit assuré par des mesures organisationnelles et des moyens physiques de protection utilisés :

• l'intégrité physique de tous les composants AS est assurée ;
• chaque employé ( utilisateur du système) possède un nom de système unique et l'autorité minimale nécessaire pour exercer ses fonctions fonctionnelles et accéder aux ressources du système ;
• utilisation de programmes instrumentaux et technologiques sur les postes de travail ( utilitaires de test, débogueurs, etc.), permettant les tentatives de piratage ou de contournement des mesures de sécurité, est limitée et strictement réglementée ;
• il n'y a aucun utilisateur de programmation dans le système protégé et le développement et le débogage des programmes sont effectués en dehors du système protégé ;
• toutes les modifications dans la configuration du matériel et des logiciels sont effectuées de manière strictement établie ;
• matériel réseau ( hubs, commutateurs, routeurs, etc.) est situé dans des endroits inaccessibles aux étrangers ( pièces spéciales, placards, etc.);
• Le service de sécurité de l’information fournit une gestion continue et un soutien administratif pour le fonctionnement des outils de sécurité de l’information.

8.2.1. Outils d'identification et d'authentification des utilisateurs

Afin d'empêcher l'accès à l'AS par des personnes non autorisées, il est nécessaire de garantir que le système puisse reconnaître chaque utilisateur légitime (ou groupes limités d'utilisateurs). Pour ce faire dans le système ( dans un endroit protégé), un certain nombre de caractéristiques de chaque utilisateur doivent être stockées permettant d'identifier cet utilisateur. À l'avenir, lors de la connexion au système et, si nécessaire, lors de l'exécution de certaines actions dans le système, l'utilisateur devra s'identifier, c'est-à-dire indiquer l'identifiant qui lui est attribué dans le système. De plus, différents types de dispositifs peuvent être utilisés pour l'identification : cartes magnétiques, inserts de clé, disquettes, etc.

Authentification ( authentification) des utilisateurs devrait être effectuée sur la base de l'utilisation de mots de passe (mots secrets) ou de moyens d'authentification spéciaux pour vérifier les caractéristiques uniques (paramètres) des utilisateurs.

8.2.2. Moyens de restreindre l'accès aux ressources du système automatisé

Après avoir reconnu l'utilisateur, le système doit autoriser l'utilisateur, c'est-à-dire déterminer quels droits sont accordés à l'utilisateur, c'est-à-dire quelles données et comment il peut utiliser, quels programmes il peut exécuter, quand, pendant combien de temps et à partir de quels terminaux il peut fonctionner, quelles ressources système il peut utiliser, etc. L'autorisation des utilisateurs doit être effectuée à l'aide des mécanismes de contrôle d'accès suivants :

• mécanismes de contrôle d'accès sélectif basés sur l'utilisation de schémas d'attributs, de listes d'autorisations, etc. ;
• des mécanismes de contrôle d'accès faisant autorité, basés sur des étiquettes de sensibilité des ressources et des niveaux d'autorisation des utilisateurs ;
• mécanismes pour garantir un environnement fermé de logiciels fiables ( listes individuelles de programmes autorisés à s'exécuter pour chaque utilisateur), soutenu par des mécanismes d'identification et d'authentification des utilisateurs lorsqu'ils se connectent au système.

Les domaines de responsabilité et les tâches des moyens techniques de protection spécifiques sont établis en fonction de leurs capacités et caractéristiques opérationnelles décrites dans la documentation de ces moyens.

Les moyens techniques de contrôle d'accès doivent faire partie intégrante d'un système de contrôle d'accès unifié :

• vers un territoire contrôlé ;
• pour séparer les pièces ;
• aux éléments AS et aux éléments du système de sécurité de l'information ( accès physique);
• aux ressources AS ( programme-accès mathématique);
• aux référentiels d'informations ( supports de stockage, volumes, fichiers, ensembles de données, archives, références, enregistrements, etc.);
• aux ressources actives ( programmes d'application, tâches, formulaires de demande, etc.);
• au système d'exploitation, aux programmes système et aux programmes de sécurité, etc.

8.2.3. Outils pour garantir et surveiller l'intégrité des logiciels et des ressources d'information

La surveillance de l'intégrité des programmes, des informations traitées et des moyens de sécurité, afin d'assurer l'immuabilité de l'environnement logiciel déterminé par la technologie de traitement fournie, et la protection contre la correction non autorisée des informations, doit être assurée :

• des moyens de calcul des sommes de contrôle ;
• moyens de signature électronique;
• des moyens de comparer les ressources critiques avec leurs copies de référence ( et restauration en cas de violation de l'intégrité);
• moyens de contrôle d'accès ( interdiction d'accès avec droit de modification ou de suppression).

Afin de protéger les informations et les programmes contre toute destruction ou distorsion non autorisée, il est nécessaire de garantir :

• duplication des tables et des données système ;
• duplexage et mise en miroir des données sur des disques ;
• suivi des transactions ;
• surveillance périodique de l'intégrité du système d'exploitation et des programmes utilisateur, ainsi que des fichiers utilisateur ;
• protection et contrôle antivirus ;
• sauvegarde des données selon un schéma prédéterminé.

8.2.4. Contrôles des événements de sécurité

Les contrôles doivent garantir que tous les événements sont détectés et enregistrés ( actions des utilisateurs, tentatives d'accès non autorisées, etc.), ce qui peut entraîner une violation de la politique de sécurité et conduire à des situations de crise. Les contrôles devraient permettre de :

• surveillance constante des nœuds clés du réseau et des équipements de communication formant le réseau, ainsi que de l'activité du réseau dans les segments clés du réseau ;
• surveiller l'utilisation des services de réseaux d'entreprise et publics par les utilisateurs ;
• maintenir et analyser les journaux d'événements de sécurité ;
• détection rapide des menaces externes et internes à la sécurité de l'information.

Lors de la journalisation des événements de sécurité, les informations suivantes doivent être enregistrées dans le journal système :

• date et heure de l'événement;
• identifiant du sujet ( utilisateur, programme) réaliser l'action enregistrée ;
• action ( si une demande d'accès est enregistrée, l'objet et le type d'accès sont notés).

Les contrôles doivent être capables de détecter et d'enregistrer les événements suivants :

• Utilisateur en ligne;
• connexion de l'utilisateur au réseau ;
• échec de la tentative de connexion à un système ou à un réseau ( saisie de mot de passe incorrecte);
• connexion à un serveur de fichiers ;
• lancer le programme;
• l'achèvement du programme;
• une tentative de lancement d'un programme qui n'est pas disponible pour s'exécuter ;
• une tentative d'accès à un répertoire inaccessible ;
• une tentative de lecture/écriture d'informations à partir d'un disque inaccessible à l'utilisateur ;
• une tentative de lancement d'un programme à partir d'un disque inaccessible à l'utilisateur ;
• violation de l'intégrité des programmes et des données du système de sécurité, etc.

Les méthodes de base suivantes pour répondre aux faits de non-conformité détectés devraient être prises en charge ( possible avec la participation d'un administrateur de sécurité):

• notification au propriétaire des informations sur le non-respect de ses données ;
• annuler le programme ( Tâches) d'une exécution ultérieure ;
• notification à l'administrateur de la base de données et à l'administrateur de la sécurité ;
• désactiver le terminal ( poste de travail), à partir duquel des tentatives d'accès non autorisées à des informations ou des actions illégales sur le réseau ont été effectuées ;
• exclusion du contrevenant de la liste des utilisateurs enregistrés ;
• donner un signal d'alarme, etc.

8.2.5. Moyens cryptographiques de protection des informations

L'un des éléments les plus importants du système de sécurité de l'information AS devrait être l'utilisation de méthodes et de moyens cryptographiques pour protéger les informations contre tout accès non autorisé lorsqu'elles sont transmises via des canaux de communication et stockées sur des supports de stockage informatiques.

Tous les moyens de protection des informations cryptographiques dans l'AS doivent être construits sur la base d'un noyau cryptographique de base. Pour avoir le droit d'utiliser des supports cryptographiques, une organisation doit disposer de licences établies par la loi.

Le système clé de moyens de protection cryptographique utilisé dans l'AS doit assurer la capacité de survie cryptographique et une protection à plusieurs niveaux contre la compromission des informations clés, la séparation des utilisateurs par niveaux de protection et zones de leur interaction entre eux et avec les utilisateurs d'autres niveaux.

La confidentialité et la protection contre l'imitation des informations lors de leur transmission sur les canaux de communication doivent être assurées grâce à l'utilisation de moyens de cryptage des abonnés et des canaux dans le système. La combinaison du cryptage des informations par l'abonné et par le canal doit assurer sa protection de bout en bout tout au long du chemin de transmission, protéger les informations en cas de transmission erronée en raison de pannes et de dysfonctionnements du matériel et des logiciels des centres de commutation.

L'AS, qui est un système à ressources d'information distribuées, doit également utiliser des moyens de génération et de vérification de signatures électroniques, garantissant l'intégrité et la confirmation légalement prouvable de l'authenticité des messages, ainsi que l'authentification des utilisateurs, des points d'abonné et la confirmation de l'heure. d'envoyer des messages. Dans ce cas, des algorithmes de signature électronique standardisés doivent être utilisés.

8.3. Gestion du système de sécurité de l'information

La gestion du système de sécurité de l'information dans l'AS est un impact ciblé sur les composants du système de sécurité ( organisationnelles, techniques, logicielles et cryptographiques) afin d'atteindre les indicateurs et normes requis en matière de sécurité des informations circulant dans l'AS dans le contexte de la mise en œuvre de menaces majeures pour la sécurité.

L'objectif principal de l'organisation de la gestion d'un système de sécurité de l'information est d'augmenter la fiabilité de la protection de l'information lors de son traitement, de son stockage et de sa transmission.

La gestion du système de sécurité de l'information est mise en œuvre par un sous-système de gestion spécialisé, qui est un ensemble de contrôles, d'outils techniques, logiciels et cryptographiques, ainsi que des mesures organisationnelles et des points de contrôle de différents niveaux interagissant les uns avec les autres.

Les fonctions du sous-système de contrôle sont : information, contrôle et auxiliaire.

La fonction d'information consiste à surveiller en permanence l'état du système de protection, à vérifier la conformité des indicateurs de sécurité avec des valeurs acceptables et à informer immédiatement les opérateurs de sécurité des situations survenant dans l'usine pouvant conduire à une violation de la sécurité de l'information. Il existe deux exigences pour surveiller l'état du système de protection : l'exhaustivité et la fiabilité. L'exhaustivité caractérise le degré de couverture de tous les moyens de protection et les paramètres de leur fonctionnement. La fiabilité du contrôle caractérise le degré d'adéquation des valeurs des paramètres contrôlés à leur vraie valeur. À la suite du traitement des données de contrôle, des informations sur l'état du système de protection sont générées, qui sont résumées et transmises aux points de contrôle supérieurs.

La fonction de contrôle consiste à formuler des plans pour la mise en œuvre des opérations technologiques de l'usine, en tenant compte des exigences de sécurité de l'information dans les conditions prévalant à un moment donné, ainsi qu'à déterminer l'emplacement de la situation de vulnérabilité de l'information et empêcher ses fuites en bloquant rapidement les zones de l'usine où surviennent des menaces à la sécurité de l'information. Les fonctions de gestion comprennent la comptabilité, le stockage et la délivrance de documents et supports d'information, de mots de passe et de clés. Parallèlement, la génération de mots de passe, de clés, la maintenance des outils de contrôle d'accès, l'acceptation des nouveaux logiciels inclus dans l'environnement logiciel AS, le suivi de la conformité de l'environnement logiciel à la norme, ainsi que le suivi de l'avancement du processus technologique Le traitement des informations confidentielles est confié aux collaborateurs du service informatique et du service de la sécurité économique.

Les fonctions auxiliaires du sous-système de contrôle comprennent l'enregistrement de toutes les opérations effectuées dans l'AS avec des informations protégées, la génération de documents de rapport et la collecte de données statistiques dans le but d'analyser et d'identifier les canaux potentiels de fuite d'informations.

8.4. Suivi de l'efficacité du système de protection

La surveillance de l'efficacité du système de sécurité de l'information est effectuée dans le but d'identifier et de prévenir en temps opportun les fuites d'informations dues à un accès non autorisé à celui-ci, ainsi que d'empêcher d'éventuelles influences particulières visant à détruire des informations et à détruire des moyens d'information.

L'efficacité des mesures de sécurité de l'information est évaluée à l'aide de contrôles organisationnels, techniques et logiciels pour vérifier la conformité aux exigences établies.

Le contrôle peut être effectué à la fois à l'aide d'outils standards du système de sécurité de l'information et à l'aide d'outils de contrôle spéciaux et de veille technologique.

8.5. Caractéristiques permettant d'assurer la sécurité des informations sur les données personnelles

La classification des données personnelles est effectuée en fonction de la gravité des conséquences de la perte des propriétés de sécurité des données personnelles pour le sujet des données personnelles.

• À propos des données personnelles » à des catégories particulières de données personnelles ;
• données personnelles classées conformément à la loi fédérale « À propos des données personnelles » aux données personnelles biométriques ;
• les données personnelles qui ne peuvent pas être classées dans des catégories particulières de données personnelles, des données personnelles biométriques, des données personnelles accessibles au public ou anonymisées ;
• données personnelles classées conformément à la loi fédérale « À propos des données personnelles » aux données personnelles accessibles au public ou anonymisées.

Le transfert de données personnelles à un tiers doit être effectué sur la base de la loi fédérale ou avec le consentement de la personne concernée. Si une organisation confie le traitement de données personnelles à un tiers sur la base d'un accord, une condition essentielle d'un tel accord est l'obligation du tiers d'assurer la confidentialité des données personnelles et la sécurité des données personnelles lors de leur traitement. .

L'organisation doit cesser de traiter les données personnelles et détruire les données personnelles collectées, sauf disposition contraire de la législation de la Fédération de Russie, dans les délais fixés par la législation de la Fédération de Russie dans les cas suivants :

• dès la réalisation des finalités du traitement ou lorsqu’il n’est plus nécessaire de les atteindre ;
• à la demande du sujet des données personnelles ou de l'organisme autorisé pour la protection des droits des sujets des données personnelles - si les données personnelles sont incomplètes, obsolètes, peu fiables, obtenues illégalement ou ne sont pas nécessaires aux fins déclarées du traitement ;
• lorsque la personne concernée retire son consentement au traitement de ses données personnelles, si un tel consentement est requis conformément à la législation de la Fédération de Russie ;
• s'il est impossible pour l'opérateur d'éliminer les violations commises lors du traitement des données personnelles.

L'organisation doit définir et documenter :

• procédure de destruction des données personnelles ( y compris les supports matériels de données personnelles);
• procédure de traitement des demandes des personnes concernées ( ou leurs représentants légaux) concernant le traitement de leurs données personnelles ;
• procédure d'action en cas de demandes de l'organisme habilité pour la protection des droits des personnes concernées ou d'autres autorités de contrôle exerçant un contrôle et une surveillance dans le domaine des données personnelles ;
• approche de classification des AS comme systèmes d'information sur les données personnelles ( Plus loin - ISPDn );
• liste des ISPDn. La liste des ISPD doit inclure les AS dont la finalité de création et d'utilisation est le traitement des données personnelles.

Pour chaque ISPD, les éléments suivants doivent être identifiés et documentés :

• finalité du traitement des données personnelles ;
• volume et contenu des données personnelles traitées ;
• liste des actions avec les données personnelles et les modalités de leur traitement.

Le volume et le contenu des données personnelles, ainsi que la liste des actions et modalités de traitement des données personnelles doivent correspondre aux finalités du traitement. Dans le cas où pour réaliser le processus informatique dont la mise en œuvre est soutenue par l'ISPD, il n'est pas nécessaire de traiter certaines données personnelles, ces données personnelles doivent être supprimées.

Les exigences visant à garantir la sécurité des données personnelles dans ISPD sont généralement mises en œuvre par un ensemble de mesures, de moyens et de mécanismes organisationnels, technologiques, techniques et logiciels de protection des informations.

Organisation de l'exécution et ( ou) la mise en œuvre des exigences visant à assurer la sécurité des données personnelles doit être effectuée par une unité structurelle ou un fonctionnaire (employé) de l'organisation chargé d'assurer la sécurité des données personnelles, ou sur une base contractuelle par une organisation - une contrepartie de l'organisation qui dispose d'une licence pour opérer dans la protection technique des informations confidentielles.

La création d'un ISPD d'une organisation doit inclure l'élaboration et l'approbation ( déclaration) la documentation organisationnelle, administrative, de conception et d'exploitation du système en cours de création prévue dans les spécifications techniques. La documentation doit refléter les problèmes liés à la garantie de la sécurité des données personnelles traitées.

Le développement de concepts, de spécifications techniques, la conception, la création et les tests, l'acceptation et la mise en service de l'ISPD doivent être effectués avec l'approbation et sous le contrôle d'une unité structurelle ou d'un fonctionnaire (employé) chargé d'assurer la sécurité des données personnelles.

Tous les actifs informationnels appartenant aux systèmes d'information de l'organisation doivent être protégés contre les effets des codes malveillants. L'organisation doit définir et documenter les exigences pour assurer la sécurité des données personnelles à l'aide d'une protection antivirus et la procédure de contrôle de la mise en œuvre de ces exigences.

L'organisation doit définir un système de contrôle d'accès qui permet le contrôle d'accès aux ports de communication, aux périphériques d'entrée/sortie, aux supports informatiques amovibles et aux périphériques de stockage externes des informations ISPD.

Les chefs des unités d'exploitation et de maintenance de l'ISPD de l'organisation assurent la sécurité des données personnelles lorsqu'elles sont traitées dans l'ISPD.

Les employés traitant des données personnelles dans ISPD doivent agir conformément aux instructions ( gestion, réglementation, etc.), inclus dans la documentation opérationnelle sur l'ISPD, et se conformer aux exigences des documents sur la sécurité de l'information.

Les responsabilités d'administration des outils de sécurité et des mécanismes de sécurité qui mettent en œuvre les exigences visant à garantir la sécurité des informations de l'organisation ISPD sont attribuées par arrêtés ( ordres) pour les spécialistes du département informatique.

La procédure d'action des spécialistes du Département des technologies de l'information et du personnel impliqué dans le traitement des données personnelles doit être déterminée par des instructions ( manuels), qui sont préparés par le développeur de l'ISPD dans le cadre de la documentation opérationnelle de l'ISPD.

Les instructions données ( manuels):

• établir des exigences en matière de qualifications du personnel dans le domaine de la sécurité de l'information, ainsi qu'une liste à jour des objets protégés et des règles de mise à jour ;
• contenir intégralement le courant ( par heure) données sur les autorisations des utilisateurs ;
• contenir des données sur la technologie du traitement de l'information dans la mesure nécessaire pour un spécialiste de la sécurité de l'information ;
• établir la procédure et la fréquence d'analyse des journaux d'événements ( archives de magazines);
• réglementer d’autres actions.

Les paramètres de configuration des outils de sécurité et des mécanismes de protection des informations contre l'accès non autorisé aux données utilisées dans le domaine de responsabilité des spécialistes du Département des technologies de l'information sont déterminés dans la documentation opérationnelle de l'ISPD. La procédure et la fréquence de contrôle des paramètres de configuration installés sont établies dans la documentation opérationnelle ou réglementées par un document interne, et les contrôles doivent être effectués au moins une fois par an.

L'organisation doit définir et documenter la procédure d'accès aux locaux dans lesquels se trouvent les équipements techniques ISPD et les supports de données personnelles, prévoyant le contrôle de l'accès aux locaux par des personnes non autorisées et la présence d'obstacles à l'entrée non autorisée dans les locaux. La procédure spécifiée doit être élaborée par une unité structurelle ou un fonctionnaire ( employé), chargé d'assurer le régime de sécurité physique et convenu par une unité structurelle ou un fonctionnaire ( employé), chargé d'assurer la sécurité des données personnelles, et le Département de la sécurité économique.

Les utilisateurs et le personnel de service d'ISPD ne doivent pas effectuer d'opérations non autorisées et ( ou) non enregistré ( incontrôlé) copie des données personnelles. À cette fin, des mesures organisationnelles et techniques devraient interdire les activités non autorisées et ( ou) non enregistré ( incontrôlé) copier des données personnelles, y compris en utilisant des données aliénées ( remplaçable) supports de stockage, appareils mobiles pour copier et transférer des informations, ports de communication et dispositifs d'entrée/sortie qui mettent en œuvre diverses interfaces ( y compris sans fil), les périphériques de stockage mobiles ( par exemple, ordinateurs portables, PDA, smartphones, téléphones mobiles), ainsi que des appareils d'enregistrement photo et vidéo.

Le contrôle de la sécurité des informations personnelles est effectué par un spécialiste de la sécurité de l'information, à la fois à l'aide d'outils standards du système de sécurité de l'information et à l'aide d'outils de contrôle spéciaux et de veille technologique.

Télécharger le fichier ZIP (65475)

Si les documents sont utiles, merci d'aimer ou :

Dans la vie quotidienne, la sécurité de l’information (SI) est souvent comprise uniquement comme la nécessité de lutter contre la fuite de secrets et la propagation d’informations fausses et hostiles. Cependant, cette compréhension est très étroite. Il existe de nombreuses définitions différentes de la sécurité de l’information, qui mettent en évidence ses propriétés individuelles.

Dans la loi fédérale « sur l'information, l'informatisation et la protection de l'information », qui n'est plus en vigueur, sous sécurité des informations compris l'état de sécurité de l'environnement informationnel de la société, assurant sa formation et son développement dans l'intérêt des citoyens, des organisations et de l'État.

D'autres sources fournissent les définitions suivantes :

Sécurité des informations- Ce

1) un ensemble de mesures organisationnelles et techniques pour garantir l'intégrité des données et la confidentialité des informations combinées à leur disponibilité pour tous les utilisateurs autorisés;

2) indicateur reflétant l'état de sécurité du système d'information ;

3) Étatsécurité de l'environnement informationnel;

4) un État qui assure la sécurité des ressources et des canaux d'information,ainsi que l'accès aux sources d'information.

V.I. Yarochkin estime que Sécurité des informations Il y a l'état de sécurité des ressources d'information, des technologies pour leur formation et leur utilisation, ainsi que les droits des sujets d'activités d'information.

Une définition assez complète est donnée par V. Betelin et V. Galatenko, qui estiment que

Dans ce tutoriel, nous nous appuierons sur la définition ci-dessus.

La sécurité des informations ne se limite pas à la protection des informations et à la sécurité informatique. Il est nécessaire de distinguer la sécurité de l'information de la protection de l'information.

Parfois, la sécurité de l'information fait référence à la création dans les ordinateurs et les systèmes informatiques d'un ensemble organisé de moyens, méthodes et mesures conçus pour empêcher la distorsion, la destruction ou l'utilisation non autorisée d'informations protégées.

Les mesures visant à assurer la sécurité de l'information doivent être mises en œuvre dans différents domaines - politique, économie, défense, ainsi qu'à différents niveaux - étatique, régional, organisationnel et personnel. Par conséquent, les tâches de sécurité de l'information au niveau de l'État diffèrent des tâches liées à la sécurité de l'information au niveau organisationnel.

L'objet des relations d'information peut souffrir (subir des pertes matérielles et/ou morales) non seulement d'un accès non autorisé à l'information, mais également d'une panne du système provoquant une interruption du travail. La sécurité de l'information dépend non seulement des ordinateurs, mais également de l'infrastructure de support, qui comprend les systèmes d'alimentation en électricité, en eau et en chaleur, les climatiseurs, les communications et, bien sûr, le personnel de maintenance. Les infrastructures de soutien ont leur propre valeur, dont l’importance ne peut être surestimée.

Après les événements du 11 septembre 2001, la législation américaine, conformément au Patriot Act, a défini la notion d'« infrastructure critique », entendue comme « un ensemble de systèmes et d'installations physiques ou virtuels qui sont importants pour les États-Unis pour à tel point que leur échec ou leur destruction pourrait avoir des conséquences désastreuses dans les domaines de la défense, de l’économie, de la santé et de la sécurité de la nation. Le concept d'infrastructure critique couvre des domaines clés de l'économie nationale et de l'économie américaine tels que la défense nationale, l'agriculture, la production alimentaire, l'aviation civile, le transport maritime, les autoroutes et ponts, les tunnels, les barrages, les pipelines, l'approvisionnement en eau, les soins de santé, les services d'urgence, autorités administration publique, production militaire, systèmes et réseaux d'information et de télécommunication, énergie, transports, systèmes bancaires et financiers, industrie chimique, service postal.

En termes sociaux, la sécurité de l’information implique la lutte contre la « pollution » informationnelle de l’environnement et l’utilisation de l’information à des fins illégales et immorales.

En outre, les objets d'influence de l'information et, par conséquent, la sécurité de l'information peuvent être la conscience publique ou individuelle.

Au niveau de l'État, les sujets de la sécurité de l'information sont les autorités exécutives, législatives et judiciaires. Certains départements ont créé des organismes spécifiquement chargés de la sécurité de l'information.

De plus, les sujets liés à la sécurité de l'information peuvent être :

Citoyens et associations publiques ;

Médias de masse ;

Entreprises et organisations quelle que soit leur forme de propriété.

Intérêts Les sujets SI liés à l’utilisation des systèmes d’information peuvent être répartis selon les grandes catégories suivantes :

Disponibilité- la possibilité d'obtenir le service d'information requis dans un délai raisonnable. Les systèmes d'information sont créés (acquis) pour obtenir certains services d'information (services). Si, pour une raison ou une autre, il devient impossible aux utilisateurs de bénéficier de ces services, cela cause des dommages à tous les sujets des relations d'information. Le rôle prépondérant de l’accessibilité est particulièrement évident dans différents types de systèmes de gestion : production, transport, etc. Par conséquent, sans opposer l’accessibilité à d’autres aspects, l’accessibilité est l’élément le plus important de la sécurité de l’information.

Intégrité- la pertinence et la cohérence des informations, leur protection contre la destruction et les modifications non autorisées. L'intégrité peut être divisée en statique (entendue comme l'immuabilité des objets d'information) et dynamique (liée à l'exécution correcte d'actions complexes (transactions)). Presque tous les documents réglementaires et développements nationaux concernent l'intégrité statique, même si l'aspect dynamique n'est pas moins important. Un exemple d'application de contrôles d'intégrité dynamiques est l'analyse du flux de messages financiers afin de détecter le vol, la réorganisation ou la duplication de messages individuels.

Confidentialité- protection contre les accès non autorisés. La confidentialité est protégée par les lois, les réglementations et les nombreuses années d'expérience des services concernés. Les produits matériels et logiciels vous permettent de fermer presque tous les canaux potentiels de fuite d'informations.

Cible activités dans le domaine de la sécurité de l'information - protection des intérêts des sujets liés à la sécurité de l'information.

Tâches SI :

1. Garantir le droit de l'individu et de la société à recevoir des informations.

2. Fournir des informations objectives.

3. Lutte contre les menaces criminelles dans le domaine des systèmes d'information et de télécommunication, du terrorisme téléphonique, du blanchiment d'argent, etc.

4. Protection des individus, des organisations, de la société et de l'État contre les informations et les menaces psychologiques.

5. Formation d'image, lutte contre les calomnies, les rumeurs, la désinformation.

Le rôle de la sécurité de l'information augmente lorsqu'une situation extrême se produit, lorsque tout faux message peut conduire à une aggravation de la situation.

Critère IS- sécurité garantie des informations contre les fuites, distorsions, pertes ou autres formes de dépréciation. Les technologies de l'information sécurisées doivent avoir la capacité de prévenir ou de neutraliser l'impact des menaces externes et internes sur l'information, et contenir des méthodes et moyens adéquats pour la protéger.

Le créateur de la cybernétique, Norbert Wiener, pensait que l'information avait des caractéristiques uniques et ne pouvait être attribuée ni à l'énergie ni à la matière. Le statut particulier de l’information en tant que phénomène a donné lieu à de nombreuses définitions.

Le dictionnaire de la norme ISO/IEC 2382 :2015 « Technologies de l’information » propose l’interprétation suivante :

Information (dans le domaine du traitement de l'information)- toute donnée présentée sous forme électronique, écrite sur papier, exprimée lors d'une réunion ou localisée sur tout autre support, utilisée par une institution financière pour prendre des décisions, déplacer des fonds, fixer des taux, accorder des prêts, traiter des transactions, etc., y compris le traitement des composants logiciel système.

Pour développer le concept de sécurité de l'information (SI), on entend par information les informations disponibles pour la collecte, le stockage, le traitement (édition, conversion), l'utilisation et la transmission de diverses manières, y compris dans les réseaux informatiques et autres systèmes d'information.

Ces informations sont très précieuses et peuvent devenir la cible d'attaques de tiers. Le désir de protéger les informations contre les menaces sous-tend la création de systèmes de sécurité de l'information.

Base légale

En décembre 2017, la Russie a adopté la doctrine de la sécurité de l'information. Le document définit la sécurité de l'information comme l'état de protection des intérêts nationaux dans le domaine de l'information. Dans ce cas, les intérêts nationaux sont compris comme l'ensemble des intérêts de la société, de l'individu et de l'État ; chaque groupe d'intérêts est nécessaire au fonctionnement stable de la société.

La doctrine est un document conceptuel. Les relations juridiques liées à la garantie de la sécurité de l'information sont régies par les lois fédérales « Sur les secrets d'État », « Sur l'information », « Sur la protection des données personnelles » et autres. Sur la base de réglementations fondamentales, des réglementations gouvernementales et départementales sont élaborées sur les questions privées de protection de l'information.

Définition de la sécurité de l'information

Avant d'élaborer une stratégie de sécurité de l'information, il est nécessaire d'adopter une définition de base du concept lui-même, qui permettra l'utilisation d'un certain ensemble de méthodes et de méthodes de protection.

Les praticiens de l'industrie proposent de comprendre la sécurité de l'information comme un état stable de sécurité de l'information, de ses supports et de son infrastructure, qui garantit l'intégrité et la résistance des processus liés à l'information aux impacts intentionnels ou non intentionnels de nature naturelle et artificielle. Les impacts sont classés sous la forme de menaces à la sécurité de l'information pouvant causer des dommages aux sujets des relations informationnelles.

Ainsi, la sécurité de l'information sera comprise comme un ensemble de mesures juridiques, administratives, organisationnelles et techniques visant à prévenir les menaces réelles ou perçues pour la sécurité de l'information, ainsi qu'à éliminer les conséquences des incidents. La continuité du processus de protection de l'information doit garantir la lutte contre les menaces à toutes les étapes du cycle de l'information : dans le processus de collecte, de stockage, de traitement, d'utilisation et de transmission de l'information.

Dans cette compréhension, la sécurité de l'information devient l'une des caractéristiques des performances du système. À chaque instant, le système doit avoir un niveau de sécurité mesurable, et assurer la sécurité du système doit être un processus continu qui est effectué à tout moment pendant la durée de vie du système.

L'infographie utilise des données provenant de nos propres"RechercherInformer".

Dans la théorie de la sécurité de l'information, les sujets liés à la sécurité de l'information sont compris comme les propriétaires et les utilisateurs d'informations, non seulement les utilisateurs permanents (employés), mais également les utilisateurs qui accèdent aux bases de données dans des cas isolés, par exemple les agences gouvernementales demandant des informations. Dans certains cas, par exemple dans les normes de sécurité des informations bancaires, les actionnaires - les personnes morales propriétaires de certaines données - sont considérés comme les propriétaires des informations.

L'infrastructure de support, du point de vue des principes fondamentaux de la sécurité de l'information, comprend les ordinateurs, les réseaux, les équipements de télécommunications, les locaux, les systèmes de survie et le personnel. Lors de l'analyse de la sécurité, il est nécessaire d'étudier tous les éléments des systèmes, en accordant une attention particulière au personnel en tant que porteur de la majorité des menaces internes.

Pour gérer la sécurité des informations et évaluer les dommages, la caractéristique d'acceptabilité est utilisée, déterminant ainsi les dommages comme acceptables ou inacceptables. Il est utile que chaque entreprise établisse ses propres critères de dommages acceptables sous forme monétaire ou, par exemple, sous forme d'atteinte à la réputation acceptable. Dans les institutions gouvernementales, d'autres caractéristiques peuvent être adoptées, par exemple en influençant le processus de gestion ou en reflétant le degré de dommages causés à la vie et à la santé des citoyens. Les critères relatifs à l'importance relative, à l'importance et à la valeur des informations peuvent changer au cours du cycle de vie de l'ensemble d'informations et doivent donc être révisés en temps opportun.

Une menace informationnelle au sens étroit est reconnue comme une opportunité objective d'influencer l'objet de la protection, ce qui peut conduire à une fuite, un vol, une divulgation ou une diffusion d'informations. Dans un sens plus large, les menaces à la sécurité de l'information incluent les influences ciblées de nature informationnelle, dont le but est de causer des dommages à l'État, à l'organisation ou à l'individu. De telles menaces incluent, par exemple, la diffamation, les fausses déclarations intentionnelles et la publicité incorrecte.

Trois enjeux principaux du concept de sécurité de l'information pour toute organisation

Que protéger ?

Quels types de menaces prédominent : externes ou internes ?

Comment se protéger, par quelles méthodes et moyens ?

Système de sécurité des informations

Le système de sécurité de l'information d'une entreprise - personne morale comprend trois groupes de concepts de base : intégrité, disponibilité et confidentialité. Sous chacun se cachent des concepts aux caractéristiques multiples.

Sous intégrité fait référence à la résistance des bases de données et autres ensembles d’informations à la destruction accidentelle ou intentionnelle et aux modifications non autorisées. Le concept d’intégrité peut être vu comme :

• statique, exprimé dans l'immuabilité, l'authenticité des objets d'information par rapport aux objets qui ont été créés selon une spécification technique spécifique et contiennent les volumes d'informations nécessaires aux utilisateurs pour leurs activités principales, dans la configuration et l'ordre requis ;
• dynamique, impliquant l'exécution correcte d'actions ou de transactions complexes sans porter atteinte à la sécurité des informations.

Pour contrôler l'intégrité dynamique, des moyens techniques spéciaux sont utilisés pour analyser le flux d'informations, par exemple financières, et identifier les cas de vol, de duplication, de redirection et de modification de l'ordre des messages. L'intégrité en tant que caractéristique de base est requise lorsque les décisions d'entreprendre des actions sont prises sur la base d'informations entrantes ou disponibles. La violation de l'ordre des commandes ou de la séquence d'actions peut causer de gros dommages dans le cas de descriptions de processus technologiques, de codes de programme et dans d'autres situations similaires.

Disponibilité est une propriété qui permet aux sujets autorisés d'accéder ou d'échanger des données qui les intéressent. L'exigence essentielle de légitimation ou d'autorisation des sujets permet de créer différents niveaux d'accès. L’incapacité du système à fournir des informations devient un problème pour toute organisation ou groupe d’utilisateurs. Un exemple est l'inaccessibilité des sites Web des services gouvernementaux en cas de panne du système, qui prive de nombreux utilisateurs de la possibilité d'obtenir les services ou les informations nécessaires.

Confidentialité désigne la propriété de l'information d'être accessible à ces utilisateurs : sujets et processus auxquels l'accès est initialement accordé. La plupart des entreprises et des organisations perçoivent la confidentialité comme un élément clé de la sécurité de l'information, mais dans la pratique, il est difficile de la mettre pleinement en œuvre. Toutes les données sur les canaux de fuite d'informations existants ne sont pas accessibles aux auteurs de concepts de sécurité de l'information, et de nombreux moyens techniques de protection, y compris cryptographiques, ne peuvent pas être achetés librement ; dans certains cas, la circulation est limitée.

Des propriétés égales de sécurité de l'information ont des valeurs différentes pour les utilisateurs, d'où les deux catégories extrêmes lors de l'élaboration de concepts de protection des données. Pour les entreprises ou organisations associées aux secrets d’État, la confidentialité sera un paramètre clé ; pour les services publics ou les établissements d’enseignement, le paramètre le plus important est l’accessibilité.

Résumé sur la sécurité de l'information

Objets de protection dans les concepts de sécurité de l'information

Les différences entre les sujets donnent lieu à des différences dans les objets de protection. Principaux groupes d'objets protégés :

• ressources d'information de tous types (une ressource s'entend comme un objet matériel : un disque dur, un autre support, un document avec des données et des détails qui permettent de l'identifier et de l'attribuer à un certain groupe de sujets) ;
• les droits des citoyens, des organisations et de l'État d'accéder à l'information, la possibilité de l'obtenir dans le cadre de la loi ; l'accès ne peut être limité que par des réglementations ; l'organisation de barrières violant les droits de l'homme est inacceptable ;
• système de création, d'utilisation et de diffusion de données (systèmes et technologies, archives, bibliothèques, documents réglementaires) ;
• système de formation de la conscience publique (médias de masse, ressources Internet, institutions sociales, établissements d'enseignement).

Chaque installation nécessite un système spécial de mesures de protection contre les menaces à la sécurité de l'information et à l'ordre public. Assurer la sécurité des informations dans chaque cas doit reposer sur une approche systématique qui prend en compte les spécificités de l'objet.

Catégories et médias

Le système juridique russe, les pratiques répressives et les relations sociales existantes classent les informations selon des critères d'accessibilité. Cela permet de clarifier les paramètres essentiels nécessaires pour assurer la sécurité des informations :

• les informations dont l'accès est restreint en fonction d'exigences légales (secrets d'État, secrets commerciaux, données personnelles) ;
• informations dans le domaine public;
• informations accessibles au public et fournies sous certaines conditions : informations payantes ou données nécessitant une autorisation pour utiliser, par exemple, une carte de bibliothèque ;
• informations dangereuses, nuisibles, fausses et autres, dont la circulation et la diffusion sont limitées soit par des exigences légales, soit par des normes d'entreprise.

Les informations du premier groupe ont deux modes de sécurité. Secret d'État, selon la loi, il s'agit d'informations protégées par l'État, dont la libre diffusion pourrait nuire à la sécurité du pays. Il s'agit de données dans le domaine militaire, de la politique étrangère, du renseignement, du contre-espionnage et des activités économiques de l'État. Le propriétaire de ce groupe de données est l'État lui-même. Les organismes autorisés à prendre des mesures pour protéger les secrets d'État sont le ministère de la Défense, le Service fédéral de sécurité (FSB), le Service de renseignement extérieur et le Service fédéral de contrôle technique et des exportations (FSTEK).

Information confidentielle- un objet de régulation plus multiforme. La liste des informations pouvant constituer des informations confidentielles figure dans le décret présidentiel n° 188 « portant approbation de la liste des informations confidentielles ». Il s'agit de données personnelles ; secret de l'enquête et de la procédure judiciaire; secret officiel; secret professionnel (médical, notarié, avocat) ; secret de commerce; informations sur les inventions et les modèles d'utilité ; les informations contenues dans les dossiers personnels des personnes condamnées, ainsi que les informations sur l'exécution forcée d'actes judiciaires.

Les données personnelles existent en mode ouvert et confidentiel. La partie des données personnelles ouverte et accessible à tous les utilisateurs comprend le prénom, le nom et le patronyme. Conformément à la loi fédérale 152 sur les données personnelles, les sujets des données personnelles ont le droit :

• pour l'autodétermination informationnelle;
• accéder aux données personnelles et y apporter des modifications ;
• bloquer les données personnelles et l'accès à celles-ci ;
• faire appel contre les actions illégales de tiers commises en relation avec les données personnelles ;
• pour obtenir réparation des dommages causés.

Le droit est inscrit dans les réglementations sur les organismes gouvernementaux, les lois fédérales et les licences pour travailler avec des données personnelles délivrées par Roskomnadzor ou FSTEC. Les entreprises qui travaillent professionnellement avec les données personnelles d'un large éventail de personnes, par exemple les opérateurs de télécommunications, doivent s'inscrire dans le registre tenu par Roskomnadzor.

Un objet distinct dans la théorie et la pratique de la sécurité de l'information sont les supports d'informations dont l'accès peut être ouvert ou fermé. Lors de l'élaboration d'un concept de sécurité de l'information, les méthodes de protection sont sélectionnées en fonction du type de support. Principaux supports de stockage :

• médias imprimés et électroniques, réseaux sociaux, autres ressources Internet ;
• les employés de l'organisation qui ont accès à l'information en fonction de leurs relations amicales, familiales et professionnelles ;
• moyens de communication qui transmettent ou stockent des informations : téléphones, centraux téléphoniques automatiques, autres équipements de télécommunications ;
• documents de tous types : personnels, officiels, étatiques ;
• le logiciel en tant qu'objet d'information indépendant, surtout si sa version a été modifiée spécifiquement pour une entreprise spécifique ;
• supports de stockage électroniques qui traitent automatiquement les données.

Afin de développer des concepts de sécurité de l'information, les moyens de sécurité de l'information sont généralement divisés en réglementaires (informels) et techniques (formels).

Les moyens de protection informels sont des documents, des règles, des mesures ; les moyens formels sont des moyens techniques spéciaux et des logiciels. La distinction permet de répartir les domaines de responsabilité lors de la création des systèmes de sécurité de l'information : avec la direction générale de la protection, le personnel administratif met en œuvre les méthodes réglementaires, et les informaticiens mettent en œuvre, en conséquence, les méthodes techniques.

Les principes fondamentaux de la sécurité de l'information présupposent une division des pouvoirs non seulement en termes d'utilisation de l'information, mais également en termes de travail avec sa protection. Une telle séparation des pouvoirs nécessite également plusieurs niveaux de contrôle.

Recours formels

Une large gamme de moyens techniques de protection de la sécurité des informations comprend :

Moyens physiques de protection. Il s'agit de mécanismes mécaniques, électriques, électroniques qui fonctionnent indépendamment des systèmes d'information et créent des obstacles à leur accès. Les serrures, y compris électroniques, les écrans et les stores sont conçus pour créer des obstacles au contact des facteurs déstabilisants avec les systèmes. Le groupe est complété par des systèmes de sécurité, par exemple des caméras vidéo, des magnétoscopes, des capteurs qui détectent les mouvements ou les niveaux excessifs de rayonnement électromagnétique dans la zone où se trouvent les moyens techniques de collecte d'informations et les appareils embarqués.

Protection du matériel. Il s'agit de dispositifs électriques, électroniques, optiques, laser et autres intégrés aux systèmes d'information et de télécommunication. Avant d’implémenter du matériel dans les systèmes d’information, il est nécessaire de s’assurer de la compatibilité.

Logiciel- il s'agit de programmes simples et systémiques, complets, conçus pour résoudre des problèmes spécifiques et complexes liés à la sécurité de l'information. Exemples de solutions complexes : les premières servent à prévenir les fuites, à reformater les informations et à rediriger les flux d'informations, les secondes assurent une protection contre les incidents dans le domaine de la sécurité de l'information. Les outils logiciels sont exigeants en termes de puissance des périphériques matériels et lors de l'installation, il est nécessaire de prévoir des réserves supplémentaires.

Vous pouvez l'essayer gratuitement pendant 30 jours. Avant d'installer le système, les ingénieurs de SearchInform effectueront un audit technique dans l'entreprise du client.

À moyens spécifiques La sécurité des informations comprend divers algorithmes cryptographiques qui vous permettent de crypter les informations sur le disque et de les rediriger via des canaux de communication externes. La conversion des informations peut avoir lieu à l'aide de méthodes logicielles et matérielles fonctionnant dans les systèmes d'information de l'entreprise.

Tous les moyens garantissant la sécurité des informations doivent être utilisés en combinaison, après une évaluation préalable de la valeur de l'information et une comparaison avec le coût des ressources consacrées à la sécurité. Par conséquent, les propositions d'utilisation des fonds devraient être formulées dès le stade de développement du système et l'approbation devrait être faite au niveau de la direction responsable de l'approbation des budgets.

Afin de garantir la sécurité, il est nécessaire de surveiller tous les développements modernes, la protection logicielle et matérielle, les menaces et d'apporter rapidement des modifications à vos propres systèmes de protection contre les accès non autorisés. Seule une réponse adéquate et rapide aux menaces permettra d’atteindre un haut niveau de confidentialité dans le travail de l’entreprise.

La première version est sortie en 2018. Ce programme unique dresse des portraits psychologiques des salariés et les répartit en groupes à risque. Cette approche de la sécurité de l'information vous permet d'anticiper d'éventuels incidents et d'agir à l'avance.

Recours informels

Les moyens de protection informels sont regroupés en normatifs, administratifs et moraux et éthiques. Au premier niveau de protection, il existe des moyens réglementaires réglementant la sécurité de l'information en tant que processus dans les activités de l'organisation.

• Moyens réglementaires

Dans la pratique mondiale, lors de l'élaboration d'outils réglementaires, ils sont guidés par les normes de protection de la sécurité de l'information, la principale étant ISO/IEC 27000. La norme a été créée par deux organisations :

• ISO - Commission internationale de normalisation, qui développe et approuve les méthodes les plus reconnues au niveau international pour certifier la qualité des processus de production et de gestion ;
• CEI - Commission internationale de l'énergie, qui a introduit dans la norme sa compréhension des systèmes de sécurité de l'information, des moyens et des méthodes pour l'assurer

La version actuelle de l'ISO/IEC 27000-2016 propose des normes prêtes à l'emploi et des techniques éprouvées nécessaires à la mise en œuvre de la sécurité de l'information. Selon les auteurs des méthodes, la base de la sécurité de l'information réside dans la mise en œuvre systématique et cohérente de toutes les étapes depuis le développement jusqu'au post-contrôle.

Pour obtenir un certificat confirmant le respect des normes de sécurité de l'information, il est nécessaire de mettre pleinement en œuvre toutes les pratiques recommandées. S'il n'est pas nécessaire d'obtenir un certificat, il est possible d'accepter n'importe quelle version antérieure de la norme, à commencer par ISO/IEC 27000-2002, ou les GOST russes, qui ont un caractère consultatif, comme base pour développer votre propre systèmes de sécurité de l’information.

Sur la base des résultats de l'étude de la norme, deux documents sont en cours d'élaboration concernant la sécurité de l'information. Le principal, mais moins formel, est le concept de sécurité de l'information d'entreprise, qui détermine les mesures et les méthodes de mise en œuvre d'un système de sécurité de l'information pour les systèmes d'information de l'organisation. Le deuxième document que tous les salariés de l'entreprise sont tenus de respecter est le règlement sur la sécurité de l'information, approuvé au niveau du conseil d'administration ou de l'organe exécutif.

Outre les réglementations au niveau de l'entreprise, des listes d'informations constituant des secrets commerciaux, des annexes aux contrats de travail établissant la responsabilité de la divulgation des données confidentielles et d'autres normes et méthodologies devraient être élaborées. Les normes et règles internes doivent contenir des mécanismes de mise en œuvre et des mesures de responsabilité. Le plus souvent, les mesures sont de nature disciplinaire et le contrevenant doit être préparé au fait qu'une violation du régime du secret commercial sera suivie de sanctions importantes, y compris le licenciement.

• Mesures organisationnelles et administratives

Dans le cadre des activités administratives liées à la protection de la sécurité de l'information, les agents de sécurité disposent d'une marge de créativité. Il s'agit notamment de solutions architecturales et de planification permettant de protéger les salles de réunion et les bureaux de direction des écoutes clandestines, ainsi que la mise en place de différents niveaux d'accès à l'information. Des mesures organisationnelles importantes seront la certification des activités de l'entreprise selon les normes ISO/IEC 27000, la certification des systèmes matériels et logiciels individuels, la certification des sujets et des objets pour le respect des exigences de sécurité nécessaires, l'obtention des licences nécessaires pour travailler avec des tableaux d'informations protégés.

Du point de vue de la régulation des activités du personnel, il sera important de formaliser un système de demandes d'accès à Internet, au courrier électronique externe et à d'autres ressources. Un élément distinct sera la réception d'une signature numérique électronique pour renforcer la sécurité des informations financières et autres transmises aux agences gouvernementales par courrier électronique.

• Mesures morales et éthiques

Les mesures morales et éthiques déterminent l’attitude personnelle d’une personne à l’égard des informations confidentielles ou des informations dont la circulation est restreinte. L’augmentation du niveau de connaissance des salariés concernant l’impact des menaces sur les activités de l’entreprise affecte le degré de conscience et de responsabilité des salariés. Pour lutter contre les violations d'informations, y compris, par exemple, le transfert de mots de passe, la manipulation imprudente des médias et la diffusion de données confidentielles lors de conversations privées, il est nécessaire de mettre l'accent sur la conscience personnelle de l'employé. Il sera utile d'établir des indicateurs de performance du personnel, qui dépendront de l'attitude envers le système de sécurité de l'information de l'entreprise.