Envoyer votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous
Les étudiants, étudiants diplômés, jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous seront très reconnaissants.
Posté sur http://www.allbest.ru/
- Introduction
- 1.3 Dispositions de base du système de sécurité de l'information
- 2.1 Objets et sujets de protection
- 2.3 Technologies modernes de sécurité de l'information
- 2.4 Validité de la protection des informations
- Liste des documents réglementaires réglementant les activités dans le domaine de la sécurité de l'information :
- 3. Améliorer les mesures visant à accroître l'efficacité des mesures de protection du système d'information de l'entreprise Distances d'alimentation électrique
- 3.1 Inconvénients de l'organisation de la protection du réseau d'entreprise
- 3.2 Événements organisationnels
- 3.3 Activités d'ingénierie
- Conclusion
- Bibliographie
Introduction
Le développement moderne de l'économie mondiale se caractérise par une dépendance croissante du marché à l'égard d'une quantité importante d'informations qui y circulent.
La société est aujourd’hui entièrement dépendante des données reçues, traitées et transmises. C’est pour cette raison que les données elles-mêmes deviennent extrêmement précieuses. Et plus le prix est élevé informations utiles, plus sa sécurité est élevée.
La pertinence du sujet est due à l'action d'un certain nombre de facteurs visant à améliorer la protection du système d'information de l'entreprise, afin d'améliorer le mécanisme économique des entreprises modernes opérant dans une économie de marché et l'application des développements technologiques modernes. .
Compte tenu de ce qui précède, les actes législatifs, tant en Russie qu'à l'étranger, prévoient un nombre considérable de normes visant à réglementer la création, l'utilisation, le transfert et la protection de l'information sous toutes ses formes.
Les informations contenant des données personnelles, des secrets officiels, des secrets commerciaux, des informations accès limité, secrets bancaires, secrets d'État, informations privilégiées, informations confidentielles et autres informations.
Le problème de la sécurité de l'information est multiforme et complexe, nécessitant la combinaison nécessaire de mesures législatives, organisationnelles, logicielles et techniques applicables.
Une fuite de toute information peut affecter les activités d'une entreprise. Ces informations jouent un rôle particulier : la perte d'écorce peut entraîner des changements majeurs dans l'entreprise elle-même et des pertes matérielles.
Dans la vie quotidienne d’une personne, la sécurité des informations sur sa vie dépend d’elle. Mais la situation est complètement différente lorsque nous sommes obligés de fournir des données nous concernant conformément à la loi à un tiers, et notamment à l'employeur. Dans cette situation, l'employé transfère des informations confidentielles le concernant à des fins de sauvegarde. De plus, l'employeur est responsable de la sécurité des données. Il est tenu de protéger les informations concernant le salarié contre les attaques de tiers et assume la responsabilité de la diffusion de ces données.
Le but de ce travail est de déterminer les exigences relatives au système de sécurité d'un système d'information d'entreprise.
Objectifs du poste :
1. Identifier les problèmes problématiques dans le système de protection du système d'information d'entreprise des distances d'alimentation électrique.
2. Formuler une liste de menaces et d'exigences pour le système de protection du système d'information d'entreprise de la distance d'alimentation électrique.
3. Justifier la structure des risques informationnels pour le système d'information de l'entreprise sur les distances d'alimentation électrique.
4. Sélectionner et justifier les méthodes et moyens techniques visant à accroître l'efficacité de la protection du système d'information de l'entreprise de la distance d'alimentation électrique.
L'objet de l'étude est un système standard de protection du système d'information d'entreprise « Intranet » du district d'alimentation électrique Moscou-Smolensk de la succursale des chemins de fer russes JSC, qui possède ses propres bâtiments et territoire.
Le sujet de la recherche porte sur les méthodes et moyens techniques de protection du système d'information d'entreprise des distances d'alimentation électrique.
L'importance pratique et la mise en œuvre des résultats obtenus ont permis de créer des mesures d'organisation de la protection d'un réseau d'entreprise, adaptées à des conditions particulières, prenant en compte les spécificités de l'objet et les différentes catégories d'informations et d'utilisateurs.
Les auteurs étudiant les problèmes d'A.V. Sokolov (professeur, chef du département d'informatique et de logiciels, Institut de technologie électronique de Moscou) et V.F. Shangin (Professeur, Docteur en Sciences Techniques) de 1978 à nos jours, couvre les problématiques actuelles de la sécurité de l'information lors de l'utilisation de systèmes distribués. systèmes d'entreprise et réseaux à l’échelle de l’entreprise, protection Internet.
réseau d'entreprise d'information sur la protection
1. Fondements théoriques pour construire un réseau d'entreprise
1.1 Concept, composants, fonctionnement d'un réseau d'entreprise
Un réseau d'entreprise est un système complexe qui comprend de nombreux composants différents : des ordinateurs différents types, du bureau au mainframe, en passant par les logiciels système et d'application, adaptateurs réseau, hubs, commutateurs et routeurs, système de câble. Dans ce travail, nous considérerons l'intranet de Moscou-Smolensk Distances alimentation électrique de la succursale des chemins de fer russes JSC. Il s'agit d'une unité structurelle distincte du chemin de fer, qui fait partie du service d'électrification et d'alimentation électrique. Assure une alimentation électrique ininterrompue et fiable à tous les consommateurs, ainsi qu'un fonctionnement fiable de tous les objets et appareils, réseaux de contact dans la zone desservie.
La fonctionnalité Intranet couvre toute la gamme depuis les pages Web statiques qui remplacent les documents imprimés d'entreprise ou fournissent une nouvelle façon de partager des informations avec des interfaces client complexes pour les applications de serveur de bureau.
Les technologies nécessaires à un intranet et les outils qui les mettent en œuvre sont répandus. Ceux-ci incluent : le protocole TCP/IP, le fichier réseau Système NFS(Network File System), navigateur Web (recherche et visualisation du système), serveur Web, éditeur HTML, E-mail etc. L'accès à l'information est basé sur des connexions IP.
L'intranet est composé de plusieurs Composants:
1) infrastructure réseau,
2) serveurs,
3) documents,
4) les navigateurs,
5) candidatures.
L'intranet constitue la base, fournissant les connexions nécessaires qui permettent aux employés de l'organisation d'accéder à l'information. L'intranet utilise le protocole réseau TCP/IP pour se connecter et échanger des données. TCP/IP permet aux ordinateurs d'un réseau d'être nommés de manière unique (ces noms sont appelés adresses IP). Ce protocole fournit également un mécanisme par lequel les ordinateurs peuvent se retrouver et se connecter. L'intranet utilise un autre Protocole HTTP(Protocole de transfert hypertexte). Il est utilisé pour transmettre du texte, des images et des hyperliens (c'est-à-dire des liens vers d'autres documents électroniques) pointant vers des pages Web. On peut dire que TCP/IP est le principal moyen par lequel les ordinateurs communiquent sur le réseau, et HTTP est une sorte de couche supérieure qui leur permet d'échanger des informations.
Les serveurs. Les informations se trouvent le plus souvent sur des ordinateurs, généralement appelés serveurs Web. Le serveur stocke les documents et répond aux demandes des utilisateurs pour rechercher et afficher des données.
Documentation. Le contenu intranet, c'est-à-dire les informations que vous consultez, est stocké dans des documents. Par défaut, ils sont au format HTML (Hypertext Makeup Language), un format de texte composé du texte lui-même, de balises qui contrôlent le formatage et de liens hypertextes pointant vers d'autres documents.
Navigateurs. Pour travailler sur l'intranet et visualiser les documents stockés sur les serveurs, des applications appelées navigateurs sont utilisées. Ils remplissent plusieurs fonctions :
rechercher des informations et se connecter à un serveur Web ;
chargement, formatage et affichage de documents en HTML ;
reconnaissance et navigation vers les documents pertinents ;
Applications. Les applications sont écrites par des développeurs pour résoudre des problèmes spécifiques de l'entreprise.
En plus de divers équipements réseau, l'intranet se compose des composants logiciels suivants :
1) logiciel du serveur Web interne de l'organisation, contenant des informations sur les activités de l'entreprise (prix, ordres de gestion, documents d'approbation et de discussion, etc., et connecté aux bases de données existantes ("Entrepôt", "Comptabilité" etc.) ;
2) logiciel pour organiser des conférences au sein de l'organisation pour discuter de propositions d'amélioration du travail, rendre compte de divers événements, etc.
3) Logiciel mise en œuvre de la fonctionnalité de messagerie.
Sur l'intranet, il peut y avoir segments avec différents degrés de sécurité :
disponible gratuitement (divers serveurs);
avec un accès limité;
fermé à l'accès.
Il est conseillé de considérer un réseau d'alimentation électrique d'entreprise à distance comme un système composé de plusieurs couches en interaction. À la base de la pyramide, représentant un réseau d'entreprise, se trouve une couche d'ordinateurs - des centres de stockage et de traitement des informations, ainsi qu'un sous-système de transport qui assure une transmission fiable des paquets d'informations entre les ordinateurs.
Figure 1. Hiérarchie des couches du réseau d'entreprise
Une couche de systèmes d'exploitation réseau fonctionne au-dessus du système de transport, qui organise le travail des applications sur les ordinateurs et fournit les ressources de son ordinateur pour un usage général via le système de transport.
Diverses applications fonctionnent au-dessus du système d'exploitation, mais en raison du rôle particulier des systèmes de gestion de bases de données, qui stockent les informations de base de l'entreprise sous une forme organisée et y effectuent des opérations de recherche de base, cette classe d'applications système est généralement attribuée à une couche distincte. du réseau d’entreprise.
Au niveau suivant, ils travaillent services système, qui, en utilisant un SGBD comme outil de recherche des informations nécessaires parmi des millions d'octets stockés sur des disques, fournit aux utilisateurs finaux ces informations sous une forme pratique pour la prise de décision, et effectue également certaines procédures de traitement de l'information communes aux entreprises de tous. les types. Ces services comprennent un système de messagerie, des systèmes de travail de groupe et bien d'autres.
Le niveau supérieur du réseau d'entreprise représente des systèmes logiciels spéciaux qui exécutent des tâches spécifiques à une ou plusieurs entreprises données d'un type donné.
L'objectif ultime d'un réseau d'entreprise réside dans les programmes d'application de niveau supérieur, mais pour leur bon fonctionnement, il est absolument nécessaire que les sous-systèmes des autres couches remplissent clairement leurs fonctions.
La tâche principale des administrateurs système est de garantir que ce système encombrant gère au mieux le traitement des flux d'informations circulant entre les employés de l'entreprise et leur permet de prendre des décisions opportunes et rationnelles qui assurent le fonctionnement de l'entreprise.
Intranet de Moscou-Smolensk Distances l'alimentation électrique de JSC "Chemins de fer russes" est isolée des utilisateurs Internet externes et fonctionne comme réseau autonome, n'ayant pas accès de l'extérieur.
Figure 2. Structure du réseau local
1.2 Analyse des sources de menaces et des risques informationnels
Toutes les ressources d'information de l'entreprise sont constamment exposées à des menaces objectives et subjectives de perte du support ou de la valeur de l'information. La menace ou le danger de perte d'informations s'entend comme une manifestation unique ou complexe, réelle ou potentielle, active ou passive des capacités défavorables de sources de menace externes ou internes à créer des situations, des événements critiques et à avoir un effet déstabilisateur sur les informations protégées, documents et bases de données. Pour les ressources informationnelles à accès limité, l'éventail des menaces impliquant une perte d'information (divulgation, fuite) ou une perte de support est beaucoup plus large en raison de l'intérêt accru pour ces documents de la part de divers types d'attaquants. La principale menace pour la sécurité des ressources d'information à diffusion limitée est l'accès non autorisé (illégal, non autorisé) d'un attaquant ou d'un étranger à des informations documentées et, par conséquent, l'acquisition d'informations et leur utilisation illégale ou la commission d'autres actions déstabilisatrices. . Les objectifs et les résultats d'un accès non autorisé peuvent être non seulement l'acquisition d'informations précieuses et leur utilisation, mais également leur modification, modification, destruction, falsification, substitution, etc. Une condition préalable à la réussite d'une tentative d'accès non autorisé à des ressources d'information restreintes est l'intérêt pour celles-ci de la part des concurrents, de certaines personnes, services et organisations. Le principal responsable de l'accès non autorisé aux ressources d'information est, en règle générale, le personnel travaillant avec des documents, des informations et des bases de données. La perte d'informations se produit dans la plupart des cas non pas à la suite d'actions délibérées d'un attaquant, mais à cause de l'inattention et de l'irresponsabilité du personnel.
Par conséquent, la perte de ressources d’information à accès limité peut survenir lorsque :
§ la présence d'intérêt d'un concurrent, d'institutions, d'entreprises ou de personnes pour des informations spécifiques,
§ l'émergence d'un risque de menace organisée par un attaquant, ou dans des circonstances accidentelles ;
§ la présence de conditions permettant à un attaquant d'effectuer les actions nécessaires et d'acquérir des informations.
Ces conditions peuvent inclure :
© manque de travail systématique d'analyse et de contrôle pour identifier et étudier les menaces, les canaux et le degré de risque de violation de la sécurité des ressources informationnelles ;
© système de sécurité de l'information inefficace ou absence de ce système, ce qui crée haut degré vulnérabilités de l'information;
© une technologie organisée de manière non professionnelle pour le traitement et le stockage de documents confidentiels ;
© sélection du personnel désordonnée et rotation du personnel, climat psychologique difficile dans l'équipe ;
© absence de système de formation des salariés aux règles de protection des informations à accès restreint ;
© manque de contrôle de la direction de l'entreprise sur le respect par le personnel des exigences des documents réglementaires pour travailler avec des ressources d'information à accès limité ;
© visites incontrôlées dans les locaux de l'entreprise par des personnes non autorisées.
Vous devez toujours vous rappeler que le fait de documenter augmente considérablement le risque de menace pour l'information. Les grands maîtres du passé n’ont jamais écrit les secrets de leur art, mais les ont transmis oralement à leurs fils et à leurs élèves. Par conséquent, le secret de la fabrication de nombreux objets uniques de cette époque n'a pas été révélé à ce jour.
Actions existantes réalisées avec des informations pouvant contenir une menace : collecte, modification, fuite et destruction. Ces actions sont fondamentales pour un examen plus approfondi. En adhérant à la classification acceptée, nous diviserons toutes les sources de menaces en externes et internes.
Menaces internes et externes
Un délinquant interne peut être une personne appartenant aux catégories suivantes d'employés des départements de service : personnel de service (administrateurs système responsables du fonctionnement et de la maintenance du matériel et des logiciels) ; programmeurs de maintenance de logiciels de systèmes et d'applications; personnel technique (employés des services publics, nettoyeurs, etc.); les employés des services de l'entreprise qui ont accès aux locaux où se trouvent des équipements informatiques ou de télécommunications.
Les sources de menaces internes sont :
· les employés de l'organisation;
· logiciel;
· matériel.
Les menaces internes peuvent se manifester sous les formes suivantes :
erreurs des utilisateurs et des administrateurs système ;
violations par les employés de l'entreprise des réglementations établies pour le traitement, le transfert et la destruction des informations ;
erreurs dans le fonctionnement du logiciel ;
infection d'ordinateurs par des virus ou des logiciels malveillants ;
pannes et dysfonctionnements du matériel informatique.
Les intrus externes comprennent les personnes dont la présence dans les locaux avec des équipements est impossible sans le contrôle des employés de l'entreprise.
Un intrus externe intercepte et analyse le rayonnement électromagnétique des équipements du système d’information.
Les sources externes de menaces comprennent :
· Organisations et individus ;
· Catastrophes naturelles;
· Accidents d'origine humaine ;
· Commettre des actes terroristes.
Les formes de manifestation des menaces extérieures sont : l'interception ; analyse et modification d'informations; accès non autorisé aux informations de l'entreprise ; surveillance de l'information par des structures concurrentes, des services de renseignement et des services spéciaux ; accidents, incendies, catastrophes d'origine humaine.
Tous les types de menaces (formes de manifestation) que nous avons répertoriés peuvent être divisés en personnes intentionnelles et non intentionnelles, intéressées et non intéressées par la survenance d'une menace.
Les influences délibérées sont des actions délibérées d'un attaquant provoquées par la curiosité ; attaque de pirate informatique ; fierté blessée d'un employé, tentative de commettre des actes terroristes. Un intrus peut être un employé, un visiteur, un concurrent, un mercenaire, du personnel technique (employés des services publics, nettoyeurs, etc.).
Les causes d'impacts accidentels involontaires pendant l'exploitation peuvent être : des situations d'urgence dues à des catastrophes naturelles et à des pannes de courant (impacts naturels et anthropiques) ; pannes et dysfonctionnements de l'équipement ; erreurs logicielles ; erreurs dans le travail du personnel ; interférence dans les lignes de communication due à des influences environnementales.
Selon les méthodes d'influence sur les objets de sécurité de l'information, les menaces sont soumises à la classification suivante : informationnelle, logicielle, physique, radio-électronique et organisationnelle-juridique.
Les menaces liées aux informations comprennent :
- accès non autorisé aux ressources d'information ;
- copie illégale de données dans systèmes d'information Oh;
- vol d'informations dans les bibliothèques, archives, banques et bases de données ;
- violation des technologies de traitement de l'information ;
- collecte et utilisation illégales d'informations.
Les menaces logicielles incluent :
- utilisation d'erreurs et de « trous » dans le logiciel ;
- les virus informatiques et les logiciels malveillants ;
- installation de dispositifs « hypothécaires ».
Les menaces physiques comprennent :
- destruction ou destruction des moyens de traitement de l'information et de communication ;
- vol de supports de stockage ;
- vol de clés logicielles ou matérielles et de moyens cryptographiques de protection des données ;
- impact sur le personnel.
Les menaces électroniques comprennent :
- introduction de dispositifs électroniques d'interception d'informations dans les moyens et locaux techniques ;
- interception, décryptage, substitution et destruction d'informations dans les canaux de communication.
Les menaces organisationnelles et juridiques comprennent :
- acquisition de produits imparfaits ou périmés technologies de l'information et moyens d'information ;
- violation des exigences légales et retard dans la prise des décisions réglementaires nécessaires dans le domaine de l'information.
Après avoir identifié les informations constituant un secret commercial et identifié les sources qui possèdent, possèdent ou contiennent ces informations, les méthodes d'accès non autorisé à ces informations sont identifiées en sélectionnant parmi l'ensemble donné les principales méthodes d'accès non autorisé aux sources. information confidentielle.
On peut distinguer ce qui suit canaux possibles fuites d’informations confidentielles (Figure 3) :
copie non autorisée d'informations confidentielles sur des supports externes et suppression de celles-ci en dehors du territoire contrôlé de l'entreprise. Des exemples de tels supports sont les disquettes, les CD-ROM, les disques Flash, etc. ;
imprimer des informations confidentielles et retirer les documents imprimés en dehors du territoire contrôlé.
Il convient de noter que dans ce cas, ils peuvent être utilisés comme imprimeurs locaux, qui sont directement connectés à l’ordinateur de l’attaquant, et ceux distants, avec lesquels l’interaction s’effectue via le réseau ;
transfert non autorisé d'informations confidentielles sur le réseau vers des serveurs externes situés en dehors du territoire contrôlé de l'entreprise. Par exemple, un attaquant peut transférer des informations confidentielles vers des serveurs de messagerie externes ou des serveurs de fichiers intranet. Dans ce cas, afin de dissimuler ses actes, le contrevenant peut d'abord crypter les informations envoyées ou les transmettre sous couvert de fichiers graphiques standards.
Les risques informationnels, définition la plus étroite, sont les risques de perte, de modification non autorisée d'informations dues à des dysfonctionnements des systèmes d'information ou à leur défaillance, entraînant des pertes. La sécurité de l'information est l'état de sécurité de l'environnement de l'information. La protection des informations est une activité visant à empêcher les fuites d'informations protégées, les impacts non autorisés et involontaires sur les informations protégées, c'est-à-dire un processus visant à atteindre cet état.
La sécurité des informations de l'entreprise de fourniture d'électricité sera assurée si les risques liés aux informations sont minimaux. Informations à utiliser dans les activités quotidiennes, manque d'informations objectives (y compris confidentielles) parmi la direction de l'entreprise nécessaires pour prendre la bonne décision, ainsi que la diffusion par quelqu'un dans l'environnement extérieur d'informations défavorables ou dangereuses pour les activités de l'entreprise.
Pour résoudre ce problème, du point de vue d'une approche systémique, il est conseillé de développer et de mettre en œuvre dans l'entreprise un système de minimisation des risques informationnels, qui est un ensemble interconnecté d'organismes, de moyens, de méthodes et de mesures qui assurent la minimisation des risques de fuite et de destruction des informations nécessaires au fonctionnement de l'entreprise. Les principaux risques informationnels de toute entreprise sont :
le risque de fuite et de destruction des informations nécessaires au fonctionnement de l'entreprise ;
le risque d’utiliser des informations biaisées dans les activités de l’entreprise ;
le risque que la direction de l'entreprise ne dispose pas des informations nécessaires (y compris confidentielles) pour prendre la bonne décision ;
le risque que quelqu'un diffuse dans l'environnement extérieur des informations défavorables ou dangereuses pour l'entreprise.
Les principales tâches résolues par le système de minimisation des risques informationnels sont :
identification des informations à protéger ;
identifier les sources qui possèdent, possèdent ou contiennent ces informations ;
identifier les moyens d'accès non autorisé à ces informations ;
élaboration et mise en œuvre de mesures organisationnelles et techniques pour protéger les informations confidentielles.
Les informations sur la distance d’approvisionnement en électricité sur l’entreprise peuvent avoir les quatre niveaux d’importance suivants :
insignifiantes, c'est-à-dire des informations dont la fuite ou la destruction ne cause pas de dommages à l'entreprise et n'affecte pas le processus de son fonctionnement.
Le risque de fuite et de destruction des informations nécessaires au fonctionnement de l'entreprise entraîne les conséquences suivantes :
· des informations confidentielles dont le transfert ou la fuite à des personnes non autorisées entraînera des dommages à l'entreprise et à son personnel ;
· informations critiques dont l'absence ou la détérioration rendront impossible le travail quotidien du personnel et de l'ensemble de l'entreprise.
Il est évident que les informations appartenant aux trois premiers niveaux d'importance doivent être protégées et le degré de protection doit, en général, être déterminé par le niveau d'importance de l'information. Cela est principalement dû au fait que le degré de protection est directement lié au coût de sa mise en œuvre. Par conséquent, en général, il n'est pas économiquement réalisable de protéger les informations avec des mesures de sécurité coûteuses si leur fuite ou leur destruction entraîne des dommages insignifiants.
En règle générale, les informations des trois premiers niveaux font référence à un secret commercial et sont déterminées par le chef de l'entreprise conformément au décret du gouvernement de la Fédération de Russie du 5 décembre 1991 n° 35 « Sur la liste des informations cela ne peut pas constituer un secret commercial.
La procédure d'identification des informations constituant un secret commercial et d'identification des sources qui possèdent, possèdent ou contiennent ces informations devrait être la suivante.
Par arrêté de l'entreprise, les chefs de service sont chargés de la responsabilité d'identifier les informations spécifiques constituant un secret d'affaires dans leurs domaines d'activité, les personnes autorisées à accéder à ces informations, ainsi que les porteurs de ces informations.
Le résultat de ce travail devrait être une « Liste des informations constituant un secret commercial de l'entreprise » approuvée par le chef de l'entreprise, indiquant ces informations pour chacune des divisions structurelles ; les personnes porteuses de ces informations ; les documents contenant ces informations, ainsi que d'autres supports (techniques) pour ces informations, le cas échéant.
1.3 Dispositions de base du système de sécurité de l'information
Une analyse de la situation dans le domaine de l'information montre qu'un concept et une structure de protection pleinement formés ont déjà émergé, dont la base est :
un arsenal très développé de moyens techniques de sécurité de l'information produits sur une base industrielle ;
un nombre important d'entreprises spécialisées dans la résolution des problèmes de sécurité de l'information ;
un système de vues assez clairement défini sur ce problème ;
possédant une expérience pratique significative.
Néanmoins, comme en témoignent la presse nationale et étrangère, les actions malveillantes contre l'information non seulement ne diminuent pas, mais connaissent également une tendance à la hausse assez constante. L'expérience montre que pour lutter contre cette tendance, il faut :
1. Organisation organique et ciblée du processus de protection des ressources informationnelles. De plus, les spécialistes professionnels, l'administration, les employés et les utilisateurs devraient y participer activement, ce qui détermine l'importance accrue de l'aspect organisationnel de la question. De plus, garantir la sécurité des informations ne peut pas être un acte ponctuel. Il s'agit d'un processus continu consistant en la justification et la mise en œuvre des méthodes, méthodes et moyens les plus rationnels d'amélioration et de développement du système de protection, en surveillant continuellement son état, en identifiant ses goulots d'étranglement, ses faiblesses et ses actions illégales ;
2. La sécurité de l'information ne peut être assurée qu'avec l'utilisation intégrée de l'ensemble de l'arsenal des moyens de sécurité disponibles dans tous les éléments structurels du système de production et à toutes les étapes du cycle technologique de traitement de l'information. Le plus grand effet est obtenu lorsque tous les moyens, méthodes et mesures utilisés sont combinés en un seul mécanisme intégral - un système de sécurité de l'information (IPS). Parallèlement, le fonctionnement du système doit être surveillé, mis à jour et complété en fonction de l'évolution des conditions externes et internes.
Par conséquent, nous pouvons imaginer un système de sécurité de l'information comme un ensemble organisationnel d'organismes, de moyens, de méthodes et de mesures spéciaux qui assurent la protection des informations contre les menaces internes et externes.
Figure 4. Modèle de création d'un système de sécurité des informations d'entreprise
Du point de vue d'une approche systématique de la protection des informations, certaines exigences s'imposent. La protection des informations doit être :
1. Continu. Cette exigence vient du fait que les attaquants recherchent simplement une opportunité de contourner la protection des informations qui les intéressent.
2. Planifié. La planification est réalisée par chaque service élaborant des plans détaillés de protection des informations dans son domaine de compétence, en tenant compte de l'objectif global de l'entreprise (organisation).
3. Déterminé. Ce qui est protégé est ce qui doit l’être dans l’intérêt d’un objectif spécifique, et non pas de tout à la suite.
4. Spécifique. Les données spécifiques objectivement protégées, dont la perte pourrait causer certains dommages à l'organisation, font l'objet d'une protection.
5. Actif. Il est nécessaire de protéger les informations avec un degré de persistance suffisant.
6. Fiable. Les méthodes et formes de protection doivent bloquer de manière fiable les chemins possibles d'accès continu aux secrets protégés, quels que soient la forme de leur présentation, la langue d'expression et le type de support physique sur lequel ils sont stockés.
7. Universel. On estime que, selon le type de canal de fuite ou la méthode d'accès non autorisé, celui-ci doit être bloqué, partout où il apparaît, par des moyens raisonnables et suffisants, quels que soient la nature, la forme et le type d'information.
8. Complet. Pour protéger les informations dans toute la variété des éléments structurels, tous les types et formes de protection doivent être pleinement utilisés. Il est inacceptable d'utiliser uniquement certains formulaires ou moyens techniques.
La nature complexe de la protection vient du fait que la protection est un phénomène spécifique, qui est un système complexe de processus inextricablement interconnectés, dont chacun présente à son tour de nombreux aspects, propriétés et tendances qui se conditionnent mutuellement.
Ainsi, pour garantir le respect de ces exigences de sécurité multiformes, le système de sécurité de l'information doit remplir certaines conditions :
couvrir l'ensemble du complexe technologique des activités d'information ; être varié dans les moyens utilisés,
multi-niveaux avec séquence d'accès hiérarchique ; être ouvert aux changements et aux ajouts aux mesures de sécurité de l'information ;
être atypique, diversifié, lors du choix des moyens de protection, on ne peut pas compter sur la méconnaissance des capacités des attaquants ;
être facile à entretenir et pratique à utiliser pour les utilisateurs ;
être fiable, toute panne d'équipement technique provoque l'émergence de canaux incontrôlés de fuite d'informations ;
être complexe, être intègre, ce qui signifie qu’aucune partie ne peut être supprimée sans endommager l’ensemble du système.
Il existe certaines exigences pour le système de sécurité de l'information :
définition claire des pouvoirs et droits de l’utilisateur pour accéder à certaines informations ;
fournir à l'utilisateur l'autorité minimale nécessaire pour effectuer le travail assigné ;
minimiser le nombre de protections partagées par plusieurs utilisateurs ;
enregistrer les cas et les tentatives d'accès non autorisé à des informations confidentielles ;
assurer une évaluation du degré de confidentialité des informations ;
assurer le contrôle de l'intégrité des équipements de protection et une réponse immédiate à leur défaillance.
Un système de sécurité de l'information, comme tout système, doit disposer de certains types de supports propres, sur la base desquels il remplira sa fonction cible. Compte tenu de cela, un système de sécurité de l'information peut avoir :
1. Assistance juridique. Cela comprend les documents réglementaires, les règlements, les instructions, les lignes directrices dont les exigences sont obligatoires dans les règles de leur champ d'application.
2. Soutien organisationnel. Cela signifie que la mise en œuvre de la sécurité de l'information est effectuée par certaines unités structurelles - telles que le service de sécurité des documents ; régime, accès et service de sécurité ; service de sécurité de l'information par des moyens techniques; service d'information et d'analyse et autres.
3. Matériel. Il est prévu que les moyens techniques soient largement utilisés à la fois pour protéger les informations et pour assurer le fonctionnement du système de sécurité de l'information.
4. Aide à l'information. Il comprend des informations, des données, des indicateurs, des paramètres qui sous-tendent la solution des problèmes qui assurent le fonctionnement du système. Cela peut inclure à la fois des indicateurs d'accès, de comptabilité, de stockage et de systèmes de support d'information pour les tâches de règlement de diverses natures liées aux activités du service de support d'information.
5. Logiciel. Il comprend divers programmes d'information, de comptabilité, de statistiques et de calcul qui fournissent une évaluation de la présence et du danger de divers canaux de fuite et moyens de pénétration non autorisée vers des sources d'informations confidentielles ;
6. Logiciel mathématique. Implique l'utilisation de méthodes mathématiques pour divers calculs liés à l'évaluation du danger des moyens techniques des attaquants, des zones et des normes de protection nécessaires.
7. Soutien linguistique. Un ensemble de moyens linguistiques spéciaux de communication entre spécialistes et utilisateurs dans le domaine de la sécurité de l'information.
8. Accompagnement réglementaire et méthodologique. Cela comprend des normes et réglementations pour les activités des organismes, des services, des outils qui mettent en œuvre des fonctions de sécurité de l'information, diverses techniques qui garantissent les activités des utilisateurs lorsqu'ils effectuent leur travail dans le cadre d'exigences strictes en matière de sécurité de l'information.
Seul un système de sécurité peut répondre aux exigences modernes pour garantir les activités d'une entreprise et protéger ses informations confidentielles. Par système de sécurité, nous entendons un ensemble organisationnel d'organismes, de services, de moyens, de méthodes et de mesures spéciaux qui assurent la protection des intérêts vitaux de l'individu, de l'entreprise et de l'État contre les menaces internes et externes.
Comme tout système, un système de sécurité de l'information a ses propres buts, objectifs, méthodes et moyens d'activité, qui sont coordonnés dans le lieu et dans le temps en fonction des conditions.
Comprenant la sécurité de l'information comme « l'état de sécurité de l'environnement informationnel de la société, assurant sa formation, son utilisation et son développement dans l'intérêt des citoyens et des organisations », il est légitime d'identifier les menaces à la sécurité de l'information, les sources de ces menaces, les méthodes de leur mise en œuvre et leurs objectifs, ainsi que d'autres conditions et actions qui violent la sécurité . Dans le même temps, il est naturel d'envisager des mesures visant à protéger les informations contre les actions illégales entraînant des dommages.
La pratique montre que pour analyser un ensemble aussi important de sources, d'objets et d'actions, il est conseillé d'utiliser des méthodes de modélisation, dans lesquelles se forme une sorte de « substitut » de situations réelles. Il faut garder à l’esprit que le modèle ne copie pas l’original, il est plus simple. Le modèle doit être suffisamment général pour décrire des actions réelles, en tenant compte de leur complexité.
conclusions: Comme le montre l'expérience étrangère et nationale, malgré l'introduction de plus en plus répandue des nouvelles technologies de l'information dans la pratique des entreprises, la principale source de fuite d'informations réside dans les employés de ces entreprises.
Par conséquent, face à une telle situation, il est nécessaire de comprendre qu'il est pratiquement impossible de créer dans l'entreprise des conditions qui excluent complètement l'accès non autorisé à cette source d'informations restreintes ; il n'est possible que de réduire considérablement son rôle parmi d'autres sources d'information. fuite d’informations confidentielles.
Par conséquent, les menaces contre les informations restreintes sont toujours réelles, très diverses et créent des conditions préalables à la perte d’informations.
Selon le Computer Security Institute (CSI) et le FBI, plus de 50 % des intrusions sont le fait des salariés des entreprises. Concernant la fréquence des intrusions, 21% des personnes interrogées indiquent avoir connu des récidives d’« attaques ». La modification non autorisée des données était la forme d'attaque la plus courante et était principalement utilisée contre les institutions de santé et financières. Plus de 50 % des personnes interrogées considèrent les concurrents comme une source probable d'« attaques ». Valeur la plus élevée les personnes interrogées attachent des preuves d'écoutes clandestines, de pénétration de systèmes d'information et d'« attaques » dans lesquelles des « attaquants » falsifient l'adresse de retour afin de rediriger les recherches vers des personnes non impliquées. Ces attaquants sont le plus souvent des employés et des concurrents mécontents.
L'analyse des risques informationnels montre qu'ils sont associés à des informations confidentielles.
Certaines des raisons mal prises en compte, par exemple l'hostilité personnelle à l'égard du chef d'entreprise, la détérioration des liens commerciaux entre entreprises, peuvent conduire à l'apparition dans les médias d'informations défavorables, et dans certains cas, dangereuses pour l'entreprise. Par conséquent, pour éliminer ou au moins réduire le risque de diffusion de ces informations par des entreprises concurrentes, il est nécessaire de diffuser de manière proactive certaines informations vraies et, dans certains cas, des informations erronées.
Malgré la minutie du sujet, de nombreuses questions se posent toujours dans le processus d'amélioration du système de gestion des risques informationnels. L’objectif de la construction d’un processus d’analyse des risques n’est pas seulement de les identifier, d’évaluer les conséquences de leur éventuelle mise en œuvre, d’assurer leur traitement et ensuite d’effectuer systématiquement un suivi plus efficace. Mais aussi en assurant la standardisation de l'approche des risques dans tous les aspects des activités de l'entreprise, en obtenant de manière pratique et rapide une image globale de la situation des risques informationnels dans l'entreprise à n'importe quelle période de son activité. Et aussi en augmentant l'attractivité concurrentielle de l'entreprise grâce à une réponse rapide et adéquate à toutes les nouvelles menaces émergentes, en augmentant la confiance au sein de l'entreprise elle-même entre le business et la sécurité.
2. Organisation de la protection du système d'information de l'entreprise Distances d'alimentation basées sur des solutions standards
2.1 Objets et sujets de protection
Pour la Distance d’Alimentation, les ressources importantes pour la vie et donc protégées sont :
1) les personnes (personnel de l'entreprise) ;
2) propriété : documentation, actifs matériels et financiers, échantillons de produits finis, propriété intellectuelle (savoir-faire), matériel informatique, etc. ;
3) Information : sur des supports tangibles, ainsi que circulant dans les canaux de communication et d'information internes, dans les bureaux de direction de l'entreprise, lors de réunions et de réunions ;
4) Ressources financières et économiques qui assurent le développement efficace et durable de l'entreprise (intérêts commerciaux, plans d'affaires, documents et obligations contractuels, etc.).
Objets de valeur soumis à protection, tels que les informations restreintes, les secrets bancaires, les données personnelles, les secrets officiels, les secrets commerciaux, les secrets d'État, les informations privilégiées et autres informations pour lesquelles un régime de confidentialité obligatoire et de responsabilité pour leur divulgation est établi.
Les données créées ou utilisées dans le réseau d'information de l'entreprise, telles que les informations scientifiques, techniques et technologiques liées aux activités de l'entreprise, sont également précieuses.
Une liste complète des informations constituant un secret des affaires est établie par les responsables des services de protection de l'information en complément de la réglementation en la matière.
Les catégories de « confidentiel » comprennent les informations qui répondent aux critères suivants :
ils ne sont pas généralement connus ou légalement accessibles au public ;
la possession monopolistique de ces informations confère à l'organisation des avantages commerciaux, économiques et autres, et dont la divulgation ou l'utilisation ouverte peut entraîner des dommages (matériels, moraux, physiques) à l'organisation, à ses clients ou correspondants (secret commercial).
Bancairesecrète désigne les informations sur les transactions, les comptes et les dépôts, les coordonnées bancaires, ainsi que les informations sur les clients et correspondants de la Banque, qui font l'objet d'une protection obligatoire.
Servicesecrète fait référence aux informations dont l'accès est limité par les autorités de l'État et les lois fédérales et fait référence aux informations qui ne constituent pas un secret bancaire et sont soumises à une protection obligatoire conformément à la liste des informations restreintes.
Commercialsecrète organisation désigne les informations liées à des informations scientifiques, techniques, technologiques, de production, financières, économiques ou autres qui ont une valeur commerciale réelle ou potentielle en raison de leur méconnaissance des tiers, auxquelles il n'y a pas d'accès libre légalement et pour lesquelles le propriétaire de ces informations sont entrées dans le régime des secrets commerciaux. Dont la divulgation (transfert, fuite, utilisation ouverte) peut entraîner des dommages à l'organisation, à l'État, à ses clients ou correspondants, contreparties de JSC Russian Railways.
Personneldonnées désigne des informations sur des faits, des événements et des circonstances de la vie privée des citoyens qui permettent d'identifier leur identité.
Étatsecrète- selon la définition adoptée dans la législation russe, les informations protégées par l'État dans le domaine de ses activités militaires, de politique étrangère, économiques, de renseignement, de contre-espionnage, de recherche opérationnelle et autres, dont la diffusion pourrait nuire à la sécurité de l'État.
Insiderinformation- (eng. Informations privilégiées) - informations exclusives importantes non divulguées publiquement de la société, qui, si elles sont divulguées, pourraient affecter la valeur marchande des titres de la société. Cela peut inclure : des informations sur le changement de direction à venir et une nouvelle stratégie, sur les préparatifs pour le lancement d'un nouveau produit et l'introduction d'une nouvelle technologie, sur les négociations réussies sur une fusion de sociétés ou l'achat en cours d'une participation majoritaire ; documents d'information financière, prévisions indiquant les difficultés de l'entreprise ; des informations sur l'offre publique d'achat (aux enchères) avant sa divulgation au public, etc.
Informationlimitéaccéder est une information précieuse pour son propriétaire, dont l'accès est légalement restreint. À leur tour, les informations à accès restreint sont divisées en informations constituant un secret d'État et en informations dont la confidentialité est établie par la loi fédérale (informations confidentielles).
LégalEtréférenceinformation, correspondance commerciale, transfert des informations comptables de reporting entre les postes utilisateurs et le serveur de base de données dans le cadre des systèmes automatisés SAP R/3 pour les services financiers, économiques et techniques.
Les informations sur l'entreprise peuvent avoir les quatre niveaux d'importance suivants :
vital, c'est-à-dire des informations dont la fuite ou la destruction menace l'existence même de l'entreprise ;
importantes, c'est-à-dire les informations dont la fuite ou la destruction entraîne des coûts importants ;
utile, c'est-à-dire des informations dont la fuite ou la destruction provoque des dommages, mais l'entreprise peut fonctionner assez efficacement même après cela ;
insignifiantes, c'est-à-dire des informations dont la fuite ou la destruction ne cause pas de dommages à l'entreprise et n'affecte pas le processus de son fonctionnement.
2.2 Mesures organisationnelles dans le système de sécurité de l'information
Les documents et méthodes organisationnels et juridiques régissent l'ensemble du cycle technologique de travail des chemins de fer russes JSC, depuis la méthodologie de sélection du personnel et de son embauche, par exemple, sur une base contractuelle, aux dispositions sur les responsabilités fonctionnelles de tout employé. Chaque instruction ou réglementation de l'entreprise doit aborder directement ou indirectement les problèmes de sécurité et affecter la fonctionnalité et l'efficacité du système de protection.
Les divers types de documents constituent une source importante de fuite d'informations confidentielles. Il faut ici tenir compte du fait que le développement assez rapide des technologies de l'information a conduit à l'émergence de nouveaux types de supports d'informations documentaires : impressions informatiques, supports de stockage, etc. En même temps, l'importance dans Activités commerciales et les types traditionnels de documents papier : contrats, lettres, revues analytiques.
L'émergence de nouveaux supports d'informations documentaires a conduit non seulement à l'émergence de nouvelles difficultés pour résoudre le problème de la protection des informations contre tout accès non autorisé à leur contenu, mais également à de nouvelles opportunités pour assurer une protection garantie de ces informations. Nous parlons ici principalement du stockage d'informations documentaires particulièrement importantes sur un support sous une forme convertie à l'aide de transformations cryptographiques.
Dans le cadre de ces mesures, des documents organisationnels et administratifs ont été élaborés et mis en œuvre à la distance d'alimentation électrique, définissant une liste de ressources d'informations confidentielles, ainsi qu'une liste des mesures qui doivent être mises en œuvre pour contrer.
Les documents organisationnels sont la politique de sécurité de l'information, les descriptions de poste des employés de l'entreprise et les réglementations relatives au travail sur un ordinateur personnel.
À cette fin, JSC Russian Railways a accompli les tâches organisationnelles suivantes :
Un cadre juridique a été créé pour assurer la protection des informations en mettant en œuvre :
- introduire des amendements à la Charte de l'entreprise qui donnent à la direction de l'entreprise le droit de : émettre des documents réglementaires et administratifs réglementant la procédure de détermination des informations constituant un secret des affaires et les mécanismes de leur protection ;
- des ajouts à la « Convention collective » avec des dispositions établissant les responsabilités de l'administration et des employés de l'entreprise liées à l'élaboration et à la mise en œuvre de mesures visant à déterminer et à protéger les secrets commerciaux ;
- des ajouts au « Contrat de travail » avec des exigences en matière de protection des secrets commerciaux et un règlement intérieur, y compris des exigences en matière de protection des secrets commerciaux ;
- instruire les personnes embauchées sur les règles de conservation des secrets d'affaires avec l'exécution d'une obligation écrite de non-divulgation.
- engager la responsabilité administrative ou pénale des contrevenants aux exigences de protection des secrets d'affaires conformément à la législation en vigueur.
- inclure des exigences en matière de protection des secrets commerciaux dans les contrats pour tous les types d'activités commerciales ;
- exiger la protection des intérêts de l'entreprise auprès des autorités gouvernementales et judiciaires ;
- disposer des informations qui sont la propriété de l'entreprise afin d'obtenir des avantages et d'éviter des dommages économiques à l'entreprise ;
- former les salariés aux règles de protection des informations à accès restreint ;
- sélection rigoureuse des employés pour travailler dans le système de gestion de bureau ;
- création de conditions internes favorables à l'entreprise pour le maintien des secrets commerciaux ;
- identifier et stabiliser le turnover du personnel, le climat psychologique difficile dans l'équipe ;
- assurer l'évaluation du degré de confidentialité des informations ;
- la suppression du travail lié aux secrets commerciaux des personnes violant les exigences établies pour sa protection ;
- porter à la connaissance de chaque salarié de l'entreprise la « Liste des informations constituant un secret commercial de l'entreprise » ;
- assurer le stockage sécurisé des documents et leur destruction en temps opportun, ainsi que vérifier la disponibilité des documents et contrôler la ponctualité et l'exactitude de leur exécution ;
- les brouillons et versions des documents sont détruits personnellement par l'exécuteur testamentaire, qui est personnellement responsable de leur destruction. La destruction est effectuée à l'aide de machines à découper le papier standard ou d'autres méthodes excluant la possibilité de lecture.
- stockage d'informations confidentielles sur support et dans la mémoire d'un ordinateur électronique personnel sous une forme convertie à l'aide de transformations cryptographiques.
Par conséquent, pour exclure tout accès non autorisé à cette source d'informations, des méthodes traditionnelles et non traditionnelles sont utilisées, à savoir :
· la sécurité du territoire, des locaux et des bureaux, ainsi qu'un contrôle efficace de l'accès à ceux-ci ;
· introduction d'une organisation claire du système de travail de bureau.
Les informations constituant un secret commercial comprennent :
- des informations sur les activités financières et économiques ;
- des informations sur les activités opérationnelles et de production ;
- des informations sur les activités de gestion ;
- des informations sur les activités du personnel ;
- des informations sur les activités de contrôle et d'audit ;
- des informations sur la signalisation et les communications, l'électrification, l'énergie ;
- des informations sur le travail à façon ;
- des informations sur les résultats de nos propres recherches ;
- des informations sur les activités médicales ;
- Informations sur la protection des informations et des installations de JSC Russian Railways.
S'assurer que les ressources informatiques et de télécommunications de l'organisation sont utilisées aux fins prévues par ses employés et entrepreneurs indépendants. Tous les utilisateurs d'ordinateurs ont la responsabilité d'utiliser les ressources informatiques de manière compétente, efficace, éthique et légale. Les violations de la politique de sécurité de l'entreprise entraînent des mesures disciplinaires pouvant aller jusqu'au licenciement et/ou à des poursuites pénales.
Les politiques de sécurité ne sont pas des règles ordinaires, déjà claires pour tous. Il se présente sous la forme d’un document imprimé sérieux. Et pour rappeler sans cesse aux utilisateurs l'importance de la sécurité, des copies de ce document sont conservées par chaque collaborateur afin que ces règles soient toujours sous leurs yeux sur leur bureau.
Politique de sécurité de l'entreprise
· Accès libre Les informations constituant les secrets bancaires, commerciaux et officiels de la Banque sont fermées afin de protéger les informations confidentielles et la protection physique de ses porteurs.
· L'organisation, en tant que propriétaire (possesseur) des informations, prend des mesures pour protéger le secret bancaire, les données personnelles, les secrets officiels, ses secrets commerciaux et autres informations conformément aux droits et obligations qui lui sont accordés par la législation en vigueur.
Documents similaires
Analyse du système de gestion commerciale et du personnel de l'entreprise, de la comptabilité et du niveau de sécurité du système d'information de l'entreprise des données personnelles. Développement d'un sous-système de mesures techniques pour protéger le routage, la commutation et le pare-feu RNIS.
travail de cours, ajouté le 08/07/2014
Analyse de l'objet de l'informatisation. Politique de sécurité des informations. Sous-systèmes de sécurité des informations techniques : contrôle d'accès, vidéosurveillance, alarmes de sécurité et incendie, protection contre les fuites logicielles filières techniques, protégeant le réseau d'entreprise.
présentation, ajouté le 30/01/2012
Analyse du modèle du système d'information et de télécommunication de l'entreprise. Types de menaces pour la sécurité des informations. Buts et objectifs de la sécurité de l'information dans l'entreprise. Développement de procédures de surveillance du système de gestion de la sécurité de l'information dans le réseau d'entreprise.
thèse, ajoutée le 30/06/2011
Analyse de sécurité des réseaux d'entreprise basée sur ATM, architecture des objets de sécurité en technologie. Modèle pour construire un système de sécurité des informations d'entreprise. Méthodologie d'évaluation l'efficacité économique utilisation du système. Méthodes pour réduire le risque de perte de données.
thèse, ajoutée le 29/06/2012
Revue analytique du réseau d'entreprise. Analyse du réseau existant et des flux d'informations. Exigences relatives au système d'administration et au marquage des éléments LAN. Développement de la protection du système contre les accès non autorisés. Instructions pour l'administrateur système.
thèse, ajoutée le 19/01/2017
Le concept de protection antivirus de l'infrastructure de l'information, types de menaces possibles. Caractéristiques du logiciel utilisé dans PJSC "ROSBANK". Moyens de protection des ressources d'informations bancaires contre les menaces à l'intégrité ou à la confidentialité.
travail de cours, ajouté le 24/04/2017
Développement d'un réseau d'information d'entreprise à haut débit basé sur des lignes Ethernet avec un segment commercial mobile pour l'entreprise Monarch LLC. Activités d'installation et d'exploitation des équipements. Calcul des indicateurs techniques et économiques du projet.
travail de cours, ajouté le 11/10/2011
La structure du système d'information d'entreprise de l'organisation. Développement de l'espace d'adressage et du système DNS. Structure du domaine CIS. Sélection des configurations matérielles et logicielles des postes de travail et équipement de serveur. Configuration des services standards.
travail de cours, ajouté le 29/07/2013
Support physique de transmission de données en réseaux locaux. Réseau d'informations d'entreprise. Équipements de télécommunications et ordinateurs d'entreprise. Développement d'un réseau d'information d'entreprise basé sur l'analyse des technologies de l'information modernes.
thèse, ajoutée le 07/06/2015
Pertinence des problèmes de sécurité de l'information. Logiciels et matériel réseaux de Mineral LLC. Construire un modèle de sécurité d'entreprise et de protection contre les accès non autorisés. Solutions techniques pour la protection des systèmes d'information.
Définitions La sécurité de l'information d'une organisation est l'état de sécurité de l'environnement informationnel de l'organisation, assurant sa formation, son utilisation et son développement. La protection des informations est une activité visant à empêcher les fuites d'informations protégées, les impacts non autorisés et involontaires sur les informations protégées, c'est-à-dire un processus visant à atteindre cet état. 2
Composants de sécurité de l'information. confidentialité - disponibilité des informations uniquement pour un certain cercle de personnes ; intégrité (intégrité) - garantie de l'existence de l'information dans sa forme originale ; Disponibilité - la capacité pour un utilisateur autorisé de recevoir des informations au bon moment. authenticité - la capacité d'identifier l'auteur de l'information ; appel - la capacité de prouver que l'auteur est la personne déclarée et personne d'autre. 3
Modèles de contrôle d'accès pour garantir la confidentialité, l'intégrité et la disponibilité : Contrôle d'accès obligatoire Contrôle d'accès sélectif Contrôle d'accès basé sur les rôles 4
Contrôle d'accès obligatoire. Contrôle d'accès obligatoire, MAC - délimitation de l'accès des sujets aux objets, basée sur l'attribution d'un label de confidentialité aux informations contenues dans les objets et la délivrance d'autorisations officielles (admission) aux sujets pour accéder aux informations de ce niveau de confidentialité. Également parfois traduit par Contrôle d'accès forcé. Il s'agit d'une méthode alliant protection et limitation des droits appliquée à processus informatiques, les données et les périphériques système et conçus pour empêcher leur utilisation indésirable 5
Contrôle d'accès discrétionnaire (DAC) - Contrôle de l'accès des sujets aux objets sur la base de listes de contrôle d'accès ou d'une matrice d'accès. Pour chaque couple (sujet - objet), il faut préciser une liste explicite et sans ambiguïté des types d'accès acceptables (lecture, écriture, etc.), c'est-à-dire les types d'accès autorisés pour un sujet donné (individu ou groupe de individus) à une ressource (objet) donnée 7
8
Contrôle d'accès basé sur les rôles (RBAC) - développement d'une politique de contrôle d'accès sélectif, dans laquelle les droits d'accès des sujets du système aux objets sont regroupés en tenant compte des spécificités de leur application, formant des rôles, par exemple Administrateur, 1 utilisateur, etc. des rôles vise à définir des règles de contrôle d'accès claires et compréhensibles pour les utilisateurs. 9
Assurer la sécurité pendant la transmission Mise en œuvre – Le cryptage est une méthode de transformation d'informations utilisée pour stocker des informations importantes dans des sources peu fiables ou pour les transmettre sur des canaux de communication non sécurisés. Comprend 2 processus - le processus de cryptage et de décryptage. La base méthodologique est la cryptographie. dix
Définition d'une clé La clé est une information secrète utilisée par un algorithme cryptographique lors du cryptage/déchiffrement des messages, de l'établissement et de la vérification d'une signature numérique et du calcul des codes d'authenticité (MAC). Lorsque vous utilisez le même algorithme, le résultat du cryptage dépend de la clé. Pour les algorithmes de cryptographie puissants et modernes, la perte d’une clé rend pratiquement impossible le déchiffrement des informations. La quantité d'informations contenues dans une clé est généralement mesurée en bits. Pour les algorithmes de chiffrement modernes, la principale caractéristique de la force cryptographique est la longueur de la clé. Le cryptage avec des clés de 128 bits et plus est considéré comme puissant, car il faut des années à des superordinateurs puissants pour déchiffrer les informations sans clé 11
Méthodes de cryptage cryptage symétrique: les étrangers connaissent peut-être l'algorithme de cryptage, mais une petite information secrète est inconnue - la clé, qui est la même pour l'expéditeur et le destinataire du message ; chiffrement asymétrique : les tiers peuvent connaître l'algorithme de chiffrement, et éventuellement la clé publique, mais pas la clé privée, connue uniquement du destinataire. 12
Moyens d'assurer l'authenticité : Signature Signature numérique La signature est un ensemble unique de symboles, écrits à la main, à l'aide de certaines techniques de conception, qui servent à identifier une personne. Propriétés d'une bonne signature Résistance à la contrefaçon. Répétabilité. Identifiabilité (la signature ressemble généralement à un prénom ou à un nom). Vitesse d'écriture 13
La signature numérique électronique (EDS) est une condition préalable d'un document électronique destinée à protéger ce document électronique contre la falsification, obtenue à la suite d'une transformation cryptographique d'informations utilisant la clé privée d'une signature numérique électronique et permettant d'identifier le propriétaire de la clé de signature. certificat, ainsi que pour établir l'absence de distorsion des informations V document électronique, et garantit également la non-répudiation du signataire. Étant donné que les documents signés sont de longueur variable (et assez grande), dans les systèmes de signature numérique, la signature n'est souvent pas placée sur le document lui-même, mais sur son hachage. Les fonctions de hachage cryptographique sont utilisées pour calculer le hachage. Le hachage est la transformation d'un tableau de données d'entrée de longueur arbitraire en une chaîne de bits de sortie d'une longueur fixe. De telles transformations sont également appelées fonctions de hachage. Toute modification apportée au document entraîne des modifications du hachage 14
Schème signature électronique comprend : un algorithme de génération de clé ; fonction de calcul de signature ; fonction de vérification de signature. Les fonctions de calcul basées sur le document et la clé secrète de l'utilisateur calculent elles-mêmes la signature. La fonction de vérification de signature vérifie si une signature donnée correspond ce document et la clé publique de l'utilisateur. Clé publique l'utilisateur est accessible à tous, afin que chacun puisse vérifier la signature sur ce document 15
Une signature numérique permet d'authentifier la source d'un document. En fonction des détails de la définition du document, des champs tels que « auteur », « modifications apportées », « horodatage », etc.. Protection contre les modifications du document. Toute modification accidentelle ou intentionnelle du document (ou de la signature) modifiera le hachage et invalidera donc la signature. Impossibilité de renoncer à la paternité. Étant donné que vous ne pouvez créer une signature correcte qu'en connaissant la clé privée et qu'elle n'est connue que du propriétaire, celui-ci ne peut pas refuser sa signature sur le document. 16
Moyens d'autorisation et d'authentification : Un mot de passe est un mot secret ou un ensemble de caractères conçu pour confirmer l'identité ou l'autorité. Le piratage des mots de passe est une tâche gourmande en ressources, généralement résolue par la méthode dite de force brute, c'est-à-dire recherche simple. Clé - informations secrètes connues d'un cercle limité de personnes, généralement utilisées sous forme cryptée. La biométrie est une technologie d'identification personnelle qui utilise les paramètres physiologiques du sujet (empreintes digitales, iris, etc.). 17
Protection des données dans réseaux informatiques est en train de devenir l’un des problèmes les plus ouverts des systèmes d’information et informatiques modernes. A ce jour, trois principes fondamentaux de sécurité de l'information ont été formulés, dont la mission est d'assurer : - l'intégrité des données - la protection contre les pannes entraînant la perte d'informations ou leur destruction ; - confidentialité des informations ; - disponibilité des informations pour les utilisateurs autorisés.
Moyens de protection - moyens de protection physique ; - logiciels (programmes antivirus, systèmes de distribution d'énergie, logiciels de contrôle d'accès) ; - les mesures administratives de protection (accès aux locaux, élaboration de stratégies de sécurité de l'entreprise, etc.).
les moyens de protection physique sont des systèmes d'archivage et de duplication d'informations. Dans les réseaux locaux où sont installés un ou deux serveurs, le système est le plus souvent installé directement dans les emplacements libres des serveurs. Dans les grands réseaux d'entreprise, la préférence est donnée à un serveur d'archivage spécialisé dédié, qui archive automatiquement les informations des disques durs des serveurs et des postes de travail à une certaine heure fixée par l'administrateur du réseau, en émettant un rapport sur la sauvegarde effectuée. Les modèles de serveur d'archives les plus courants sont le système Storage Express System ARCserve d'Intel pour Windows.
Pour lutter contre les virus informatiques, les programmes antivirus sont le plus souvent utilisés et la protection matérielle est moins courante. Cependant, dans Dernièrement Il existe une tendance vers une combinaison de méthodes de protection logicielle et matérielle. Parmi les périphériques matériels, des cartes antivirus spéciales sont utilisées, insérées dans les connecteurs d'extension standard de l'ordinateur. Intel Corporation a proposé une technologie prometteuse de protection contre les virus dans les réseaux, dont l'essence est d'analyser les systèmes informatiques avant leur démarrage. Outre les programmes antivirus, le problème de la protection des informations sur les réseaux informatiques est résolu par l'introduction du contrôle d'accès et la délimitation des pouvoirs des utilisateurs. À cette fin, des outils intégrés aux systèmes d'exploitation réseau sont utilisés, dont le plus grand fabricant est Novell Corporation.
Pour empêcher toute entrée non autorisée dans un réseau informatique, une approche combinée est utilisée - mot de passe + identification de l'utilisateur à l'aide d'une « clé » personnelle. La « clé » est carte en plastique(magnétique ou avec microcircuit intégré - carte à puce) ou divers appareils pour l'identification personnelle à l'aide d'informations biométriques - iris, empreintes digitales, taille de la main, etc. Les serveurs et postes de travail réseau équipés de lecteurs de cartes à puce et de logiciels spéciaux augmentent considérablement le degré de protection contre les accès non autorisés. Les cartes à puce de contrôle d'accès vous permettent de mettre en œuvre des fonctions telles que le contrôle d'entrée, l'accès aux appareils PC, aux programmes, aux fichiers et aux commandes.
Le système Kerberos est une base de données qui contient des informations sur tous ressources réseau, utilisateurs, mots de passe, clés d'information, etc. ; - un serveur d'autorisation, dont la tâche est de traiter les demandes des utilisateurs pour la fourniture de l'un ou l'autre type de service réseau. Dès réception d'une demande, il accède à la base de données et détermine l'autorité de l'utilisateur pour effectuer une opération spécifique. Les mots de passe des utilisateurs ne sont pas transmis sur le réseau, augmentant ainsi le niveau de sécurité des informations ; - Le serveur d'octroi de tickets (serveur d'autorisations) reçoit du serveur d'autorisation un « pass » avec le nom de l'utilisateur et son adresse réseau, demandez l’heure, ainsi qu’une « clé » unique. Le paquet contenant le « pass » est également transmis sous forme cryptée. Le serveur d'autorisations, après avoir reçu et déchiffré le « pass », vérifie la demande, compare les « clés » et, si elles sont identiques, donne le feu vert pour utiliser les équipements ou programmes du réseau.
À mesure que les entreprises développent leurs activités, que le nombre d'abonnés augmente et que de nouvelles succursales apparaissent, le besoin se fait sentir d'organiser l'accès des utilisateurs distants (groupes d'utilisateurs) aux ressources informatiques ou d'information des centres d'entreprise. Pour organiser l'accès à distance, ils sont le plus souvent utilisés lignes de câbles et les chaînes de radio. À cet égard, la protection des informations transmises via les canaux d'accès à distance nécessite une approche particulière. Les ponts et les routeurs d'accès distant utilisent la segmentation des paquets - en les divisant et en les transmettant en parallèle sur deux lignes - ce qui rend impossible "l'interception" des données lorsqu'un "hacker" se connecte illégalement à l'une des lignes. La procédure de compression des paquets transmis utilisée lors de la transmission des données garantit que les données « interceptées » ne peuvent pas être déchiffrées. Les ponts et routeurs d'accès à distance peuvent être programmés de telle manière que toutes les ressources du centre d'entreprise ne soient pas disponibles pour les utilisateurs distants.
Actuellement, des dispositifs spéciaux ont été développés pour contrôler l'accès aux réseaux informatiques via des lignes commutées. Un exemple est le module PRSD (Remote Port Security Device) développé par AT&T, qui se compose de deux blocs de la taille d'un modem classique : RPSD Lock (verrou), installé dans le bureau central, et RPSD Key (clé), connecté au modem de l'utilisateur distant. RPSD Key and Lock vous permet de définir plusieurs niveaux de protection et de contrôle d'accès : - cryptage des données transmises sur la ligne à l'aide de clés numériques générées ; - contrôle d'accès basé sur le jour de la semaine ou l'heure de la journée
La stratégie de création de copies de sauvegarde et de restauration des bases de données est directement liée au thème de la sécurité. Généralement ces opérations sont réalisées en dehors des heures ouvrables en mode batch. Dans la plupart des SGBD, la sauvegarde et la récupération des données ne sont autorisées qu'aux utilisateurs disposant d'autorisations étendues (droits d'accès au niveau de l'administrateur système ou du propriétaire de la base de données) ; il n'est pas souhaitable de spécifier de tels mots de passe sensibles directement dans les fichiers de traitement par lots. Afin de ne pas stocker explicitement le mot de passe, il est recommandé d'écrire un simple programme d'application, qui lui-même appellerait les utilitaires de copie/restauration. Dans ce cas, le mot de passe du système doit être « câblé » dans le code application spécifiée. L'inconvénient de cette méthode est qu'à chaque fois que le mot de passe est modifié, ce programme doit être recompilé
Dans chaque entreprise, quels que soient sa taille, son type de propriété et son secteur d'activité, le même type de méthodes et méthodes de protection est utilisé, mettant en œuvre le modèle du système de protection. Le bloc de méthodes de protection comprend les obstacles, la régulation, le contrôle d'accès, le masquage, l'incitation et la coercition.
Obstacles (méthode physique), par exemple installation de clôtures autour des entreprises, restrictions d'accès aux bâtiments et locaux, installation d'alarmes, sécurité. Le contrôle d'accès est effectué physiquement et par logiciel et matériel. Le masquage implique l'utilisation de logiciels cryptographiques. Incitation - respect par les utilisateurs des normes éthiques lors du traitement et de l'utilisation des informations. La réglementation implique la présence d'instructions et de réglementations pour le traitement de l'information, et l'interdiction implique la présence de normes juridiques inscrites dans les documents réglementaires et définissant la responsabilité légale en cas de violation.
Les méthodes et méthodes de protection énumérées ci-dessus sont combinées en quatre sous-systèmes installés dans les systèmes d'information : Sous-système de contrôle d'accès Sous-système d'enregistrement et de comptabilité Sous-système cryptographique Sous-système d'intégrité
Le sous-système de contrôle d'accès protège l'entrée du système d'information à l'aide de logiciels (mots de passe) et de logiciels et matériels ( clés électroniques, disquettes clés, dispositifs de reconnaissance des utilisateurs basés sur des caractéristiques biométriques, etc.).
Le sous-système d'enregistrement et de comptabilité enregistre dans un journal électronique spécial les utilisateurs et les programmes qui ont accès au système, aux fichiers, programmes ou bases de données, l'heure d'entrée et de sortie du système et les autres opérations effectuées par les utilisateurs.
Le sous-système cryptographique est un ensemble de programmes spéciaux qui cryptent et déchiffrent les informations. La présence d'un sous-système cryptographique est particulièrement nécessaire dans les systèmes d'information utilisés pour le commerce électronique.
Le sous-système garantissant l'intégrité des informations comprend la présence d'une sécurité physique des équipements et supports informatiques, la disponibilité d'outils de test des programmes et des données et l'utilisation de moyens de sécurité certifiés.
Dans un avenir proche, une augmentation du nombre de systèmes d'information d'entreprise est attendue, car les dirigeants du pays ont fixé le cap pour la formation d'une économie numérique dans le pays, axée sur l'augmentation de l'efficacité de toutes les industries grâce à l'utilisation des technologies de l'information. 1, ce qui signifie que la nécessité de protéger les informations qui y sont traitées augmente également.
Constantin Samatov
Chef du département de protection des informations du TFOMS
Région de Sverdlovsk, membre de l'Association des managers
services de sécurité de l'information, enseignant
sécurité de l'information URTK im. COMME. Popova
Concepts de base
La notion de « système d'information d'entreprise » (CIS) est contenue dans l'art. 2 de la loi fédérale du 6 avril 2011 n° 63-FZ « sur les signatures électroniques ». Le CIS est compris comme un système d'information dans lequel les participants à l'interaction électronique constituent un certain cercle de personnes. Dans le même temps, le cercle des personnes participant à l'échange d'informations peut comprendre non seulement les divisions structurelles de l'organisation - l'opérateur du CIS, mais également ses contreparties. L'essentiel est que la composition et le nombre de participants soient strictement définis.
L'opérateur du système d'information est un citoyen ou entité exercer des activités liées au fonctionnement du système d'information, y compris le traitement des informations contenues dans ses bases de données (article 2 de la loi fédérale du 27 juillet 2006 n° 149-FZ « sur l'information, les technologies de l'information et la protection de l'information »).
Par système d'information, on entend l'ensemble des informations contenues dans les bases de données et les technologies de l'information et les moyens techniques qui assurent leur traitement (article 2 de la loi fédérale du 27 juillet 2006 n° 149-FZ « sur l'information, les technologies de l'information et la protection de l'information). »). Par conséquent, il est nécessaire d'examiner la question de la protection des informations dans la CEI en déterminant quelles informations sont soumises à protection.
Informations à protéger dans le système d’information de l’entreprise
La législation actuelle divise les informations en deux types : les informations accessibles au public et les informations à accès limité (partie 2, article 5 de la loi fédérale n° 149-FZ du 27 juillet 2006 « sur l'information, les technologies de l'information et la protection de l'information »). Les informations restreintes peuvent être divisées en deux grands groupes : les secrets d'État et les informations confidentielles.
Le secret d'État est une information protégée par l'État dans le domaine de ses activités militaires, de politique étrangère, économiques, de renseignement, de contre-espionnage et de recherche opérationnelle, dont la diffusion pourrait nuire à la sécurité de la Fédération de Russie (article 2 de la loi de la Fédération de Russie). Fédération du 21 juillet 1993 n° 5485-1 « Sur le secret d'État »). Sur la base de la pratique de l’auteur, nous pouvons dire qu’avec ce groupe d’informations, il y a généralement le moins de problèmes (par rapport à d’autres types de secrets). La liste des informations fournies est spécifique. La procédure de traitement est strictement réglementée. Avant de traiter des informations constituant un secret d'État, l'organisation doit obtenir la licence appropriée. Les sanctions en cas de violation de la procédure de traitement sont strictes. De plus, le nombre de sujets disposant de telles informations est faible.
Les informations confidentielles comprennent environ 50 types de secrets, dont les plus courants sont les secrets commerciaux et les secrets personnels (de famille), parmi lesquels les données personnelles.
Les données personnelles sont presque toujours disponibles dans la CEI. En particulier, toute organisation disposant d'au moins un employé ou des données de passeport d'au moins un client sera un opérateur de données personnelles au sens de la loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles ». Autrement dit, si les données client sont traitées dans un système CRM d'entreprise (par exemple, nom complet et adresse de livraison) ou si ces données se trouvent dans un fichier MS Excel sur un poste de travail, nous pouvons affirmer avec certitude que les données personnelles et, par conséquent, le les organisations qui sont traitées dans la CEI sont tenues de se conformer aux exigences relatives à leur protection. Dans la pratique, les dirigeants de la plupart des organisations ne comprennent pas cela et estiment qu'ils ne traitent pas de données personnelles et ne prennent donc pas de mesures pour protéger les informations avant la survenance d'un incident.
En plus des données personnelles, presque tous les OIC contiennent des informations qui ont une valeur réelle ou potentielle en raison de leur méconnaissance des tiers, dont l'organisation cherche à éviter la divulgation ou le transfert incontrôlé (secret commercial). Dans la pratique, une situation courante est celle où la liste de ces informations est contenue exclusivement dans l'esprit du gestionnaire ou du propriétaire de l'organisation.
L’essentiel est de former le personnel aux règles de sécurité de l’information, qui doivent être appliquées à intervalles réguliers.
Compte tenu de ce qui précède, la question de l'adoption d'un ensemble de mesures dans l'organisation pour protéger les informations traitées dans le système d'information de l'entreprise devient pertinente.
Mesures de protection des informations dans le système d'information de l'entreprise
Il existe trois grands groupes de mesures :
1. Organisationnel (organisationnel et juridique). Préparation de la documentation organisationnelle et administrative sur les questions de sécurité de l'information : instructions, règlements, arrêtés, lignes directrices. L'objectif est de rationaliser les processus commerciaux et de se conformer aux exigences de la réglementation interne et externe (la soi-disant « conformité », « sécurité papier »). Ce type les mesures peuvent être qualifiées de fondamentales, car :
- Le régime du secret commercial est établi uniquement en prenant les mesures organisationnelles énumérées dans la partie 1 de l'art. 5 de la loi fédérale du 29 juillet 2004 n° 98-FZ « sur les secrets commerciaux » ;
- Dans le cas des données personnelles, l’objectif principal de la protection des données personnelles aujourd’hui est souvent de passer avec succès les inspections des soi-disant « régulateurs » (Roskomnadzor, FSTEC de Russie, FSB de Russie).
D’où le terme « sécurité papier », qui s’est répandu parmi les spécialistes de la sécurité.
Presque tous les OPC contiennent des informations qui ont une valeur réelle ou potentielle en raison de leur méconnaissance des tiers, dont l'organisation cherche à éviter la divulgation ou le transfert incontrôlé (secret commercial). Dans la pratique, une situation courante est celle où la liste de ces informations est contenue exclusivement dans l'esprit du gestionnaire ou du propriétaire de l'organisation.
Par conséquent, le personnel transfère souvent involontairement (envoie à un participant à un échange d'informations auquel il n'est pas destiné) des informations stockées dans le CIS ou les divulgue (les publie dans le domaine public). De plus, en l'absence d'une liste approuvée d'informations constituant un secret commercial, il est impossible d'engager la responsabilité disciplinaire d'un salarié pour avoir commis ces actes.
2. Mesures techniques. La protection des informations techniques comprend quatre groupes de mesures :
- Ingénierie et protection technique. Son objectif est de protéger contre la pénétration physique d'un intrus dans les objets où se trouvent les moyens techniques CIS (postes de travail automatisés, serveurs, etc.). La protection contre la pénétration est obtenue grâce à l'utilisation d'ouvrages d'art : clôtures, portes, serrures, tourniquets, alarmes, vidéosurveillance, etc.
- Protection contre l'accès non autorisé aux informations. Cet ensemble de mesures a pour objectif d'empêcher tout accès non autorisé directement aux informations traitées dans le système d'information. Il est mis en œuvre à travers les activités suivantes :
- contrôle d'accès (mots de passe, attribution de pouvoirs) ;
- enregistrement et comptabilité (journalisation);
- pare-feu;
- protection antivirus ;
- utilisation d'outils de détection (prévention) des intrusions.
- Protection contre les fuites par les voies techniques. L'objectif est de protéger les informations des fuites par les canaux techniques (rayonnement visuel, auditif, électromagnétique latéral) lors du traitement de l'information dans la CEI. Il est mis en œuvre à travers les mesures suivantes :
- équiper les fenêtres de stores (rideaux) ;
- l'utilisation de moyens de protection contre les fuites à travers les canaux acoustiques, appelés brouilleurs vibro-acoustiques ;
- l'utilisation de filtres spéciaux pour se protéger contre les rayonnements et les interférences électromagnétiques indésirables. Toutefois, ces mesures ne sont en pratique nécessaires que pour les systèmes d'information de l'État ou les systèmes d'information dans lesquels des secrets d'État sont traités.
- Protection des informations cryptographiques. L'utilisation d'outils de protection des informations cryptographiques a pris beaucoup d'ampleur ces dernières années, en grande partie en raison du développement actif des systèmes d'entreprise. gestion électronique des documents et l'utilisation de signatures électroniques comme mécanisme permettant de garantir l'intégrité des informations. En pratique, les mécanismes de transformation cryptographique des informations sont utilisés pour assurer, en premier lieu, la confidentialité des informations stockées dans les bases de données ou sur les postes de travail, ainsi que pour protéger les informations en cours d'échange d'informations (lors de la transmission). En fait, ce n'est qu'en utilisant la transformation cryptographique qu'il est possible de construire entièrement des réseaux VPN (Virtual Private Network).
3. Les mesures morales et éthiques visent à empêcher ou au moins à minimiser la divulgation d'informations restreintes par les utilisateurs du CIS.
Selon diverses études, le nombre de fuites d'informations émanant des salariés varie de 80 à 95 %, tandis que la grande majorité - environ 90 % des fuites - ne sont pas associées à des actions intentionnelles.
Les mesures morales et éthiques sont inextricablement liées à la sécurité du personnel et comprennent l'embauche de personnel qualifié, des mesures de contrôle, des descriptions de poste détaillées, la formation du personnel, un contrôle d'accès strict et la garantie de la sécurité lors du licenciement des employés. Selon l'auteur, l'essentiel est de former le personnel aux règles de sécurité de l'information, qui doivent être appliquées à intervalles réguliers. Ainsi, notamment, l'auteur prépare chaque année un arrêté prévoyant une formation trimestrielle des salariés de l'organisation dans laquelle il travaille.
Par ailleurs, pour éviter les fuites d'informations du personnel via les canaux de communication (email, messagerie instantanée, réseaux sociaux), il existe toute une classe de systèmes de protection de l'information appelés « systèmes DLP » (Data Loss (Leak) Protection (Prevention), généralement désignés comme « systèmes de prévention des fuites ». Ces systèmes sont actuellement l'une des solutions populaires pour la surveillance du personnel utilisée par les gestionnaires des services d'information et de sécurité économique. La plupart des systèmes de cette classe existants sur le marché permettent non seulement de surveiller et de bloquer les canaux de communication électroniques, mais et un suivi de l'activité des utilisateurs, qui permet d'identifier les salariés qui utilisent leur temps de travail de manière irrationnelle : ils sont en retard au travail et partent tôt, ils « s'assoient » sur les réseaux sociaux, jouent jeux d'ordinateur, travaillent pour eux-mêmes.
Une autre tendance apparue il y a quelques mois en matière de sécurité du personnel concerne les systèmes de surveillance et d'identification des comportements déviants des utilisateurs - User and Entity Behaviour Analytics (UEBA). Ces systèmes sont conçus pour analyser le comportement des utilisateurs et, sur cette base, identifier les menaces actuelles pour la sécurité du personnel et des informations.
Ainsi, la grande majorité des systèmes d’information des entreprises traitent des données personnelles et des secrets commerciaux et nécessitent donc tous une protection. Presque toujours, notamment dans le secteur commercial, les problèmes de sécurité de l'information entrent en conflit avec le confort des salariés et le financement de ces activités. Dans cet ouvrage, l'auteur considère un ensemble minimum de mesures visant à protéger les informations dans tout SIC. Cette liste de mesures ne nécessite pas de connaissances uniques et est disponible pour une utilisation pratique par presque tous les spécialistes dans le domaine des technologies de l'information. De plus, la plupart des mesures proposées ne nécessitent pas de coûts financiers importants.
___________________________________________
1 Discours du Président de la Fédération de Russie à l'Assemblée fédérale de la Fédération de Russie du 1er décembre 2016.
Chronique des experts
Périmètre : reste-t-il quelque chose à protéger ?
Alexeï
Loukatski
Consultant d'entreprise en sécurité de l'information
Nous sommes assez conservateurs dans notre région. Nous sommes très dépendants des autorités, des approches, des produits et des termes et définitions qui n'ont pas changé depuis des années. Le périmètre de sécurité de l’information est précisément le terme qui, malheureusement, est tellement dépassé qu’il est presque impossible de l’utiliser. De plus, nous ne savons même pas exactement quel est le périmètre de sécurité des informations. Certaines personnes perçoivent le périmètre comme un point de connexion à Internet, aussi drôle que cela puisse paraître dans le contexte de la géométrie, dans lequel le périmètre est encore une ligne fermée. Certaines personnes perçoivent le périmètre comme une ligne qui délimite un réseau d'entreprise ou de service. Certaines personnes perçoivent le périmètre comme un ensemble d’appareils ayant accès à Internet.
Mais chacune de ces définitions a évidemment ses avantages et ses inconvénients, et elles sont toutes différentes. Comment percevoir la situation même avec une telle apparence option simple, en tant que segment d'un réseau industriel, peut-être même physiquement isolé du monde extérieur, si un représentant d'un entrepreneur venait sur place avec un ordinateur portable connecté via un modem 3G à Internet ? Avons-nous un périmètre ici ou pas ? Que se passe-t-il si nous examinons une situation dans laquelle un employé disposant d'un appareil mobile se connecte à un cloud externe qui stocke les données confidentielles de l'entreprise ou exécute une application qui traite ces données ? Y a-t-il un périmètre ici ou pas ? Que se passe-t-il si un employé se connecte depuis son appareil personnel à l’infrastructure du fournisseur de cloud de quelqu’un d’autre, où les informations de l’entreprise sont stockées ? Où est le périmètre dans une telle situation ?
Eh bien, disons que nos appareils mobiles appartiennent à l’entreprise et que les cloud appartiennent au fournisseur. En même temps, le maximum que nous pouvons connaître est notre morceau de cloud dans lequel nous localisons nos serveurs, nos applications, nos données. Mais qui y a accès depuis l’extérieur, depuis le fournisseur de cloud, depuis ses autres clients ? Dans une telle situation, il est généralement impossible d’en délimiter le périmètre. Et cela signifie que peu importe ce que nous voulons, nous sommes obligés de changer nos approches de ce que nous appelions autrefois la défense périmétrique. Par exemple, dans certaines entreprises, la direction adhère à la règle selon laquelle un employé de l'entreprise peut travailler à tout moment, n'importe où dans le monde et depuis n'importe quel appareil. Dans un tel concept, bien sûr, il ne peut pas y avoir de périmètre au sens commun du terme, et cela nous oblige à protéger d’une toute autre manière, non, non pas le périmètre, mais la connexion Internet ! Êtes-vous prêt pour la nouvelle réalité ?
L'hétérogénéité du domaine d'activité des diverses organisations, entreprises, banques rend objectivement nécessaire de préciser des stratégies de protection des informations et de les gérer en cas de violation grave ou de crise. Cette approche favorise le développement de divers concepts de sécurité de l'information en fonction de la taille de l'organisation (petite, moyenne, grande), des domaines d'activité (financiers, bancaires, manufacturiers, commerciaux) et des caractéristiques nationales et régionales. L'analyse des risques liés à l'information consiste à déterminer ce qui doit être protégé, contre qui et comment le protéger. Un niveau rationnel de sécurité de l'information est choisi principalement pour des raisons de faisabilité économique.
Une société par actions est une association d'organisations et d'individus fondée sur des intérêts professionnels communs, une des formes de société par actions pour les grandes entreprises, notamment bancaires.
Les grandes entreprises se caractérisent par une structure complexe et géographiquement répartie avec une structure à plusieurs niveaux et multiliens. L'échelle d'activité et les volumes de produits et services peuvent être régionaux ou mondiaux.
Caractéristique et trait distinctif Les réseaux informatiques d'entreprise sont que leur construction s'effectue généralement sur plusieurs années. Dans de tels réseaux, des équipements de différents fabricants et de différentes générations fonctionnent, c'est-à-dire des équipements, à la fois les plus modernes et les plus obsolètes, pas toujours initialement axés sur la collaboration, le transfert et le traitement des données. À mesure que les réseaux d'entreprise se développent quantitativement et qualitativement, la tâche de leur gestion devient de plus en plus complexe et nécessite de nouveaux moyens de gérer les réseaux dans l'ensemble de l'entreprise. Ces outils doivent être indépendants du protocole, évolutifs et fournir une gestion centralisée du réseau.
Actuellement, les consommateurs recherchent des solutions pour unir des branches disparates non seulement au sein d'une même entreprise, mais également dans les régions du pays dans son ensemble. L'objectif principal de la fusion des succursales est de créer un espace d'information unique et des fonctions de service communes. Des solutions modernes nous permettent de fournir aux consommateurs système unifié gestion et contrôle (surveillance) des ressources du réseau d'entreprise, réduction des coûts, intégration des réseaux de données et de téléphonie, protection contre les accès non autorisés.
Une ressource d'information au niveau de l'entreprise est particulièrement vulnérable et nécessite une protection fiable et de haute qualité, car la structure de l'information des organisations de type entreprise est hétérogène et consiste en un ensemble systèmes distribués, technologies, bases de données et banques de données et tâches locales.
Dans les grandes organisations différents types les activités ont différents aide à l'information. Les données de différents services (en l'absence de leur intégration) peuvent être dupliquées, stockées dans différents formats, se compléter dans certains domaines et en même temps être inaccessibles aux spécialistes, etc. L'entreprise n'a souvent pas la possibilité d'utiliser pleinement toute la variété des ressources d'information. Cette situation rend difficile, compliquée et coûteuse la création et l’exploitation fiable de systèmes de protection.
Alors qu'à une certaine époque, les problèmes de sécurité des technologies de l'information étaient résolus dans notre pays principalement pour protéger les secrets d'État, aujourd'hui les problèmes spécifiques de protection des banques et d'autres entreprises nécessitent des solutions urgentes et ce n'est que maintenant qu'ils sont intégrés dans le système mondial. La protection des informations dans un domaine d'activité particulier présente un certain nombre de caractéristiques importantes liées à l'impact de la sécurité de l'information sur l'organisation. Les plus importants d'entre eux :
Priorité des facteurs économiques, du marché et des relations immobilières ;
Usage systèmes ouverts, création d'un sous-système de sécurité de l'information utilisant des outils largement disponibles sur le marché ;
Importance juridique des informations qui assurent la protection juridique des documents, des ressources d'information, processus d'information conformément à la législation en vigueur de la Fédération de Russie.
La nécessité d'échanger des informations non seulement entre les utilisateurs géographiquement dispersés de l'entreprise, mais également avec le monde extérieur, nécessite l'utilisation de réseaux mondiaux. Lorsqu'il est connecté à Internet, travailler avec ses services augmente considérablement le champ des menaces pesant sur les informations traitées dans l'entreprise.
Les services Internet sont divisés en ouverts et fermés. Un service ouvert implique l'interaction des utilisateurs de l'entreprise avec des structures externes. Le service fermé s’applique aux utilisateurs du réseau de l’entreprise, y compris ceux distants. Un service Internet intégré fournit des services de type fermé et ouvert.
Aux fins de la sécurité des informations de la société, l'infrastructure nécessaire est créée, des programmes fiables pour interagir avec Internet sont utilisés, ce qui nécessite le respect des règles suivantes lorsque la société travaille avec Internet :
Enregistrez soigneusement votre mot de passe et modifiez-le si vous le soupçonnez ;
Ne laissez pas l'ordinateur sans surveillance pendant une session de communication ;
Après avoir reçu les informations nécessaires, mettre fin complètement à la session de communication avant de visiter d'autres sites ;
Utilisez le cryptage des messages diffusés sur le réseau et bien plus encore.
Lors de la création de réseaux d'entreprise, la législation sur la protection des informations est prise en compte et des normes de responsabilité en cas de violation de la sécurité de l'information sont élaborées. La mondialisation informatique moderne des réseaux est un espace pratiquement incontrôlable par quiconque, qui est constamment réapprovisionné en mégaoctets d'informations diverses. Sous couvert d’informations utiles, les ordinateurs sont infectés par divers virus (malwares). Via Internet, des personnes peuvent être attaquées, des données confidentielles volées, des bases de données détruites, etc.
Nous pouvons formuler les exigences de base suivantes pour la protection des réseaux d'entreprise et des objets d'information contre malware.
Utilisation de logiciels, de matériels et d'outils de sécurité sous licence.
Effectuer la certification des objets d'information pour vérifier leur conformité aux exigences des documents réglementaires sur la protection, y compris les tests de présence de capacités non déclarées.
Détermination et fixation de la liste des outils logiciels acceptables à l'usage, interdiction catégorique d'utiliser des logiciels non inclus dans le package.
Utiliser des outils antivirus et anti-malware modernes pour la protection et garantir leurs mises à jour en temps opportun.
Élaboration des documents organisationnels et administratifs nécessaires pour protéger les objets contre les logiciels malveillants et spécification des méthodes de prévention pour empêcher leur entrée dans le réseau, en garantissant aux utilisateurs la connaissance des signes généraux d'apparition de logiciels malveillants.
Développement de méthodes de sauvegarde, de sauvegarde et de restauration de logiciels et de ressources d'information lorsqu'ils sont infectés ou endommagés par des virus, tout en garantissant un stockage fiable des échantillons originaux de logiciels et de ressources d'information dans un endroit sûr.
Sécurité contrôles réguliers outils informatiques pour une infection par un logiciel malveillant.
Outre le niveau législatif, le niveau managérial n'est pas moins important. La direction de chaque société doit être consciente de la nécessité de maintenir un régime de sécurité et d'allouer les ressources appropriées à cet effet. La principale chose que le niveau de direction doit mettre en œuvre est d'élaborer une politique de sécurité de l'information qui correspond à l'orientation générale de l'entreprise.
L'objectif principal des mesures prises au niveau de la direction est de formuler un programme de travail dans le domaine de la sécurité de l'information et d'assurer sa mise en œuvre. La tâche de la direction est d'allouer les ressources nécessaires et de surveiller la situation. La base du programme est une politique de sécurité à plusieurs niveaux qui reflète l'approche de l'organisation en matière de protection de ses actifs informationnels et de ses intérêts. L'utilisation des systèmes d'information est associée à un certain ensemble de risques. Lorsque le risque est trop élevé, des mesures de protection doivent être prises. Une réévaluation périodique des risques est nécessaire pour contrôler l’efficacité des activités de sécurité et tenir compte de l’évolution des conditions.
Pour maintenir un régime de sécurité de l'information, les mesures et outils logiciels et matériels sont particulièrement importants, car ils constituent la principale menace pour les systèmes informatiques : pannes matérielles, erreurs logicielles, erreurs des utilisateurs et des administrateurs, etc.
Les mécanismes clés pour assurer la sécurité des informations sur les réseaux d'entreprise sont :
Identification et authentification ;
Contrôle d'accès;
Enregistrement et enregistrement ;
Cryptographie et protection du réseau;
Blindage.
Le blindage des réseaux d'entreprise est effectué à l'aide de pare-feu. Le pare-feu empêche les utilisateurs de violer les règles de sécurité des informations définies par les administrateurs. L'écran ne permet pas d'accéder aux serveurs qui ne sont pas nécessaires à l'exécution des tâches d'utilisateur.
Les pare-feu peuvent être implémentés dans les logiciels et le matériel. Les implémentations logicielles sont moins chères, mais moins productives et nécessitent des ressources système informatiques importantes. Les pare-feu matériels sont produits comme des complexes techniques matériels et logiciels spéciaux fonctionnant sous le contrôle de systèmes d'exploitation spécialisés ou conventionnels modifiés pour remplir des fonctions de protection.
1. Vous devez vous concentrer uniquement sur les produits certifiés.
2. Vous devez choisir un fournisseur de systèmes de sécurité qui fournira une gamme complète de services, c'est-à-dire non seulement les ventes et les garanties fournies par chacun, mais aussi les services d'installation et de configuration (si nécessaire), la formation des employés au travail avec les équipements de protection et le support des systèmes achetés.
3. Choisissez un système de sécurité qui fournit un contrôle d'accès dans différents systèmes d'exploitation.
4. Vous devez vous concentrer sur les systèmes présentant les meilleures caractéristiques opérationnelles, telles que : une fiabilité élevée, une compatibilité avec divers logiciels, une réduction minimale des performances du poste de travail, la disponibilité obligatoire de moyens de contrôle centralisé des mécanismes de protection depuis le lieu de travail de l'administrateur de sécurité, une notification rapide du administrateur de tous les événements NSD sur les postes de travail.
5. Lors du choix, faites attention non seulement au coût de ces fonds, mais également au niveau des dépenses attendues pour leur fonctionnement et leur entretien.
Le traitement d'informations constituant un secret d'affaires nécessite d'assurer leur sécurité et un travail de conception minutieux dès la phase de création de la propriété intellectuelle. La conception comprend : l'inspection du système automatisé et l'élaboration des documents organisationnels et administratifs ; sélection, acquisition, installation, configuration et fonctionnement des équipements de protection ; former le personnel à travailler avec l'équipement de protection disponible ; service d'information sur la sécurité; audit périodique du système de sécurité de l'information.
Il est conseillé que ces travaux soient effectués par des professionnels, car des erreurs de calcul au stade de l'enquête et de la conception d'un système de sécurité de l'information peuvent entraîner de graves problèmes et pertes lors de sa construction et de son fonctionnement.
Compte tenu des particularités du réseau d'entreprise, les documents élaborés doivent prévoir la solution des tâches suivantes :
Protection contre la pénétration dans le réseau de l'entreprise et contre les fuites d'informations du réseau via les canaux de communication ;
Délimitation des flux d'informations entre les segments du réseau ;
Protection des ressources du réseau les plus critiques contre les interférences dans le processus de fonctionnement normal ;
Protection des emplois et des ressources importants contre les accès non autorisés (NSD) ;
Protection cryptographique des ressources d'information les plus importantes.
Actuellement, il n'existe pas une seule solution toute faite (matérielle, logicielle ou autre) permettant la mise en œuvre simultanée des fonctions de toutes les tâches répertoriées.
Cela s'explique par le fait que, d'une part, les exigences de chaque utilisateur spécifique pour la mise en œuvre de certaines mesures de protection diffèrent considérablement et, d'autre part, chacune des tâches est résolue à l'aide de moyens spécifiques. Examinons quelques outils qui implémentent ces fonctions.
Protection contre la pénétration du réseau et les fuites d'informations du réseau. Le principal moyen de mettre en œuvre une telle menace est le canal reliant le réseau d'entreprise à l'Internet mondial.
L'utilisation de pare-feux est la solution la plus courante. Ils permettent de définir et de mettre en œuvre des règles de contrôle d'accès, tant externes qu'externes. les utilisateurs internes réseau d'entreprise, masquez la structure du réseau aux utilisateurs externes si nécessaire, bloquez l'envoi d'informations à des adresses « interdites » et, enfin, contrôlez simplement l'utilisation d'Internet.
Délimitation des flux d'informations entre les segments du réseau. En fonction de la nature des informations traitées dans un segment de réseau particulier et du mode d'interaction entre les segments, différentes options sont mises en œuvre. Le plus courant est l'utilisation de pare-feu, recommandés pour organiser l'interaction entre les segments via Internet. Comme règle, cette méthode utilisé lorsque le réseau dispose déjà de pare-feu conçus pour contrôler le flux d'informations entre le réseau interne et Internet, ce qui permet d'éviter dépenses supplémentaires- les capacités des fonds disponibles sont mieux utilisées.
La protection des ressources réseau les plus critiques contre les interférences avec les opérations normales est une priorité absolue. Les ressources les plus critiques d'un réseau d'entreprise sont les serveurs. Le principal moyen d'interférer avec leur fonctionnement normal consiste à mener des attaques en utilisant des vulnérabilités du matériel et des logiciels du réseau. Dans ce cas, l'attaque peut être menée aussi bien depuis un réseau externe (Internet) que depuis un réseau interne, par exemple par l'un des membres du personnel. Le principal problème réside non seulement dans la détection et l'enregistrement rapides d'une attaque, ce que de nombreux outils peuvent faire, mais aussi dans sa lutte, car même la capture d'un attaquant (sur la base des résultats de l'enregistrement) ne sera qu'une maigre consolation si l'entreprise le réseau est paralysé pendant un certain temps en raison d'une attaque réussie.
La protection des tâches et des ressources importantes contre tout accès non autorisé présente les fonctionnalités suivantes. Jusqu'à présent, de nombreux systèmes automatisés ont fonctionné et continuent de fonctionner, en se concentrant uniquement sur les mécanismes de protection intégrés de divers systèmes d'exploitation (généralement en réseau), qui offrent une protection suffisante (avec une administration appropriée) des informations sur les serveurs. Mais le nombre de serveurs dans le réseau d'entreprise représente 1 à 3 % du nombre total de postes de travail sur lesquels les informations protégées sont traitées. Parallèlement, la grande majorité des postes de travail (environ 90 %) fonctionnent sous MS DOS ou Windows et ne disposent d'aucun moyen de protection, puisque ceux-ci Système d'exploitation ne contiennent pas de mécanismes de protection intégrés.
Une situation se présente - sur un lieu de travail non protégé, elle peut être traitée une information important, dont l'accès n'est en aucun cas limité. C'est dans ces cas qu'il est recommandé d'utiliser des moyens de protection complémentaires, notamment des moyens de protection cryptographique (pour protéger les clés cryptographiques) ; régulation et journalisation des actions des utilisateurs ; différenciation des droits d'utilisation pour l'accès aux ressources locales.
Les ressources d'information les plus importantes sont soumises à une protection cryptographique. Le cryptage est un moyen fiable de protéger les données contre l'accès et l'utilisation par d'autres personnes à leurs propres fins. La particularité de ces fonds en Russie est que leur utilisation est strictement réglementée par la loi. Actuellement, les produits d'information conçus pour le cryptage dans les réseaux d'entreprise ne sont installés que sur les postes de travail où des informations de très haute importance sont stockées ou où des paiements électroniques en espèces sont traités (par exemple, dans les systèmes Banque-Client).
Pour une protection complète des systèmes et technologies d'information d'entreprise, il est recommandé d'utiliser des outils logiciels et matériels de grandes entreprises. Ils sont en mesure de fournir une gamme plus complète de services et d'installations et d'une manière plus avancée technologiquement.
Étant donné que la protection des informations dans les entreprises est une question complexe, aucun moyen de signature numérique et de cryptage ne sera utile si les autres éléments de protection ne sont pas pris en compte. La plupart des structures d'entreprise ne considèrent pratiquement pas la menace de fuite d'informations par les canaux techniques (via les systèmes d'alimentation électrique, les lignes téléphoniques, les ouvrages d'art, les dispositifs d'enregistrement secret d'informations, etc.) comme réelle, même si, selon un certain nombre d'organisations impliquées dans problèmes de sécurité de l’information, il s’agit aujourd’hui de l’un des canaux de vol d’informations les plus courants.
Le contrôle qualité de la sécurité de l'information sur les sites relève de la responsabilité des organismes ayant réussi un examen spécial et accrédités dans le système général de certification. Ils portent l’entière responsabilité juridique et financière de leurs actes. Actuellement, il existe deux catégories d'organisations sur le marché des services dans ce domaine : celles qui disposent d'une licence, mais non accréditées par la Commission technique de l'État (actuellement - Service fédéral pour le contrôle technique et des exportations) en tant qu'organisme de certification et possédant à la fois une licence et une accréditation. La différence entre eux est que bien que tous deux puissent effectuer des inspections auprès d'organismes appartenant à la première catégorie (il s'agit le plus souvent d'organismes sous-traitants), ils n'ont pas le droit d'agréer un certificat de conformité et doivent en faire la demande auprès de l'un des organismes de certification, ou directement à la Commission technique de l'État.
Chaque entreprise et banque, en fonction des conditions spécifiques de son fonctionnement, nécessite un système de sécurité de l'information personnalisé. La construction d'un tel système n'est possible que par des entreprises disposant d'une licence pour le type d'activité spécifié.
En reprenant l’exemple d’une banque, un système personnalisé de sécurité de l’information doit être adapté au niveau d’importance et de secret des informations. Son coût ne doit pas dépasser les dommages possibles résultant d'une violation de la sécurité des informations protégées. Mais en même temps, surmonter le système de sécurité devrait s'avérer économiquement inutile par rapport aux avantages possibles de l'accès, de la destruction, de la modification ou du blocage des informations protégées. Pour déterminer l'adéquation du coût du système de protection, l'étendue des dommages et la probabilité de leur apparition doivent être comparées au coût de la protection. Le coût réel de l’information étant assez difficile à estimer, des expertises qualitatives sont souvent utilisées. Les ressources d'information sont classées comme critiques pour faire des affaires, si elles revêtent une importance particulière dans un domaine, etc.
Le niveau de sécurité des informations doit être formellement déterminé en fonction du niveau de confidentialité des informations traitées et du niveau de dommages résultant d'une faille de sécurité. La détermination du niveau de confidentialité requis est la prérogative de la direction de la banque. Cela peut varier considérablement en fonction des objectifs stratégiques et tactiques de la banque, de la technologie informatique utilisée, de l'opinion privée de la direction, de la composition du personnel de service, de la composition des outils automatisés et bien d'autres raisons. Les exigences du cadre législatif et des agences gouvernementales sont importantes pour déterminer le niveau de confidentialité des informations.
Le degré de sécurité des informations dans les systèmes bancaires automatisés est également déterminé par le domaine spécifique des menaces de violation de la confidentialité. La liste complète des menaces dans le monde informatisé moderne s’étend sur plus d’une page. Une évaluation spécifique de la probabilité d'occurrence de chaque menace doit être déterminée sur un système bancaire spécifique.
Les produits logiciels disponibles aujourd'hui sur le marché en ce qui concerne les méthodes de sécurité de l'information contiennent un système de contrôle d'accès. D'un point de vue organisationnel, les mesures visant à introduire un nouvel utilisateur dans le système restent à la discrétion des services de sécurité. Un exemple serait de remplir un formulaire pour le droit d'accès au système, qui contient une liste de tâches fonctionnelles, une liste d'opérations dans une tâche fonctionnelle spécifique et une liste d'actions que l'opérateur est autorisé à effectuer. Le questionnaire est approuvé par la direction de la banque, le service de sécurité et le service support. Après ces étapes, l'opérateur doit connaître deux mots de passe pour se connecter au système : le mot de passe superviseur pour se connecter physiquement à l'ordinateur et mot de passe personnel ouvrir une session.
Dans la plupart des cas, les délits informatiques sont commis par des employés de banque. Certaines banques préfèrent employer une équipe de développeurs de logiciels. Le développeur du système connaît tout du système, tous ses points faibles, il sait modifier les informations pour que personne ne le sache. Personne d'autre que lui ne peut mieux entretenir le système. Comme le montre la pratique, la mise en œuvre de délits informatiques est facilitée par la violation des réglementations et règles d'archivage des informations.
Actuellement, la société dans son ensemble dépend des ordinateurs, c'est pourquoi le problème de la sécurité de l'information est aujourd'hui un problème pour l'ensemble de la société.
La protection de l’information est devenue une branche indépendante et dynamique de la science, de l’ingénierie et de la technologie. Les tendances modernes en matière de protection de l'information suivent les tendances générales du développement des systèmes et technologies informatiques : intégration, normalisation, portabilité, transparence.
Les développements dans le domaine de la sécurité de l’information continuent d’évoluer rapidement. La demande de produits logiciels offrant une garantie de sécurité de l'information augmente. Les problèmes de réseau restent les plus urgents.
LE CONCEPT DE SÉCURITÉ DE L'INFORMATION La sécurité de l'information (SI) fait référence à la sécurité des informations et des infrastructures de support contre les impacts accidentels ou intentionnels de nature naturelle ou artificielle visant à causer des dommages aux propriétaires ou aux utilisateurs des informations et des infrastructures de support. Trois grandes catégories de sujets ont besoin de sécurité de l'information : les organisations gouvernementales, les structures commerciales et les entrepreneurs individuels.
Disponibilité (la capacité d'obtenir le service d'information requis dans un délai raisonnable) ; intégrité (pertinence et cohérence de l'information, sa protection contre la destruction et les modifications non autorisées) ; confidentialité (protection contre les accès non autorisés).
L'accès à l'information signifie la prise de connaissance de l'information, son traitement, notamment la copie, la modification ou la destruction de l'information. L'accès autorisé à l'information est un accès à l'information qui ne viole pas les règles établies de contrôle d'accès. L'accès non autorisé à l'information se caractérise par une violation des règles de contrôle d'accès établies. Une attaque contre un système d'information (réseau) est une action entreprise par un attaquant pour trouver et exploiter une vulnérabilité particulière du système.
Constructif, lorsque le but principal d'un accès non autorisé est d'obtenir une copie d'informations confidentielles, c'est-à-dire On peut parler du caractère intelligent de l'impact destructeur, lorsqu'un accès non autorisé entraîne la perte (modification) de données ou la résiliation du service.
Harmonisation des législations nationales en matière de lutte contre la criminalité informatique avec les exigences du droit international ; formation professionnelle élevée des forces de l'ordre, de l'enquêteur au système judiciaire ; coopération et mécanisme juridique pour l'interaction entre les services répressifs de différents États.
ÉTAPES DE DÉVELOPPEMENT DE LA CRIMINALITÉ INFORMATIQUE 1. L'utilisation des technologies de l'information dans la commission d'infractions pénales traditionnelles telles que le vol, les dommages et la fraude. 2. L'émergence de délits informatiques spécifiques. 3. L'évolution de la criminalité informatique vers le terrorisme informatique et l'extrémisme. 4. Transformation du terrorisme informatique et de l'extrémisme en guerres de l'information.
MESURES ET MOYENS AU NIVEAU LOGICIEL ET TECHNIQUE l'utilisation de réseaux privés virtuels sécurisés VPN pour protéger les informations transmises sur les canaux de communication ouverts l'utilisation de pare-feu pour protéger le réseau d'entreprise des menaces externes lors de la connexion aux réseaux de communication publics ; contrôle d'accès au niveau de l'utilisateur et protection contre l'accès non autorisé à l'information ; identification garantie des utilisateurs grâce à l'utilisation de jetons ; protéger les informations au niveau des fichiers (en cryptant les fichiers et les répertoires) ; protection contre les virus à l'aide de complexes antivirus spécialisés de prévention et de protection ; technologies de détection d'intrusion et de recherche active sur la sécurité des ressources informationnelles ; transformation des données cryptographiques pour garantir l'intégrité, l'authenticité et la confidentialité des informations
SÉCURITÉ ORGANISATIONNELLE ET ÉCONOMIQUE Normalisation des méthodes et moyens de protection de l'information Certification des systèmes et réseaux informatiques et de leurs moyens de protection Activités de licence dans le domaine de la protection de l'information Assurance des risques informatiques liés au fonctionnement des systèmes et réseaux informatiques Surveillance des actions du personnel dans systèmes d'information protégés Support organisationnel au fonctionnement des systèmes de protection de l'information.
SÉCURITÉ JURIDIQUE Loi fédérale de la Fédération de Russie du 27 juillet 2006 N 149-FZ « Sur l'information, les technologies de l'information et la protection de l'information ». réglemente les relations juridiques découlant du processus de formation et d'utilisation d'informations documentées et de ressources d'information ; création de technologies de l'information, de systèmes et de réseaux d'information automatisés ou automatiques; détermine la procédure de protection de la ressource informationnelle, ainsi que les droits et obligations des sujets participant aux processus d'informatisation.
