تصنيف نظم المعلومات. اللائحة التنفيذية لتصنيف موارد النظام المصرفي للمعلومات

28.03.2019

التصنيفالموارد المحمية – تحديد تدرجات أهمية ضمان الحماية (فئات) الموارد وتخصيص موارد محددة للفئات المناسبة.

خوارزمية التقييم المبسطةأمن كائن المعلومات:

    جرد مصادر المعلومات وتحديد المعلومات المحمية

    تحديد المصادر يحتمل أن يكون ممكنا التهديدات

    تحديد الروابط الضعيفة كائن المعلوماتية

    تجميع قائمة يحتمل أن يكون ممكنا التهديدات

    درجة ممكن تطبيق والمخاطر التهديدات ، تجميع قائمة التهديدات الحالية

1. إذا كان في ملف متاح المعلومات المحمية ، الذي - التي الملف بأكمله محمي ويتم تعيين الملف على المستوى المناسب من الأهمية؛

2. من باب ضمان ذلك خصوصية تماما يحددها تصنيف السرية المخصص لها أو الخصوصية. بالنسبة للمعلومات السرية، يتم تحديد تصنيف السرية اعتمادًا على دائرة الأشخاص التي لها الحق في التعرف عليها، ويتم تحديده في المقام الأول من قبل المستخدم؛

3. تدرج أهمية المعلومات من باب ضمان ذلك نزاهة أو التوفر تعريف المستخدم ويعتمد على مستوى ومقبولية التكاليف (الوقت والعمل والموارد المالية) لاستعادة سلامة المعلومات أو توافرها؛

4. الملفات القابلة للتنفيذ لبرامج التطبيقات، والتي يوفر إطلاقها الوصول إلى الملفات التي تحتوي على بيانات المستخدم، لا تقل أهمية من وجهة نظر ضمان السلامة وتوافرها عن الملفات التي تحتوي على بيانات المستخدم نفسها؛

5. تعتبر ملفات المعلومات، التي يؤدي انتهاك سلامتها أو توفرها إلى تعطيل نظام التشغيل، ذات أهمية أكبر من وجهة نظر ضمان سلامتها أو توفرها مقارنة بالملفات الأخرى المخزنة في النظام؛

6. إذا تم تخزين معلومات سرية في المبنى أو تم تخصيص المبنى للمفاوضات السرية، فيُعتبر أن المعلومات التي يتم نشرها أثناء المحادثات بين المسؤولين أو عند نقلها عبر خطوط الاتصال تتمتع بأعلى مستوى من السرية المنصوص عليها في هذا المبنى، أي: من الممكن تسرب المعلومات بأعلى مستوى ممكن من الأهمية لغرفة معينة.

    إنشاء أساس معياري ومنهجي لنهج تفاضلي للدفاع. موارد الأتمتة الأنظمة بناءً على تصنيفها حسب درجة الخطورة في حالة انتهاك توافرها أو سلامتها أو سريتها؛

    تصنيف التدابير التنظيمية المتخذة وتوزيع موارد الأجهزة والبرامج لحماية الموارد عبر محطة العمل الآلية في المنظمة وتوحيد إعداداتها.

« عالي » - تتضمن هذه الفئة معلومات غير مصنفة سرية وفقًا لمتطلبات التشريع الحالي للاتحاد الروسي (السرية المصرفية، البيانات الشخصية)؛

« قليل " - تشمل هذه الفئة المعلومات السرية التي لا تصنف على أنها "عالية"، والتي يتم فرض قيود على نشرها بقرار من إدارة المنظمة وفقا للحقوق الممنوحة لها باعتبارها مالك المعلومات بموجب التشريعات الحالية؛

« لا متطلبات » - تتضمن هذه الفئة معلومات لا تتطلب السرية (فرض قيود على التوزيع).

« عالي » - تشمل هذه الفئة المعلومات التي قد يؤدي تعديلها أو تزويرها بشكل غير مصرح به إلى ضرر مباشر كبير للمنظمة وعملائها ومراسليها، والتي يجب ضمان نزاهتها وصحتها بطرق مضمونة وفقًا للمتطلبات الإلزامية للتشريعات الحالية ;

« قليل " - تشمل هذه الفئة المعلومات أو التعديل غير المصرح به أو الحذف أو التزييف التي يمكن أن تؤدي إلى ضرر بسيط غير مباشر للمنظمة وعملائها ومراسليها، والتي يجب ضمان نزاهتها (وإذا لزم الأمر صحتها) وفقًا للقرار إدارة المنظمة (طرق حساب مبالغ المراقبة، والتوقيع الرقمي، وما إلى ذلك)؛

« لا متطلبات » - تتضمن هذه الفئة معلومات لا توجد متطلبات لضمان سلامتها (وصحتها).

الدرجات المطلوبة من إمكانية الوصولالمهام الوظيفية:

« إمكانية الوصول دون عوائق » – يجب توفير الوصول إلى المهمة في أي وقت (يتم حل المهمة باستمرار، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة ثوان أو دقائق)؛

« توافر عالية » – يجب أن يتم الوصول إلى المهمة دون تأخيرات زمنية كبيرة (يتم حل المهمة يوميًا، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة ساعات)؛

« متوسط ​​التوفر » – يمكن توفير الوصول إلى المهمة مع تأخيرات زمنية كبيرة (يتم حل المهمة مرة واحدة كل بضعة أيام، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة أيام)؛

« تواجد منخفض » – التأخير الزمني عند الوصول إلى المهمة غير محدود عمليا (يتم حل المهمة على مدى عدة أسابيع أو أشهر، والتأخير المقبول في الحصول على النتيجة هو عدة أسابيع).

فئات محطات العمل.اعتمادا على فئات المهام التي تم حلها في محطة العمل، يتم إنشاء 4 فئات من محطات العمل: " أ », « ب », « ج " و " د " إلى مجموعة محطة العمل الفئة "أ" تضمين محطات العمل التي تحل وظيفة واحدة على الأقل. مهمة الفئة الأولى. يجب ألا تكون فئات المهام الأخرى التي تم حلها على محطة العمل هذه أقل من الثانية. إلى مجموعة محطة العمل الفئة "ب" تضمين محطات العمل التي تحل مهمة وظيفية واحدة على الأقل من الفئة الثانية. يجب ألا تكون فئات المهام الأخرى التي تم حلها في محطة العمل هذه أقل من الثالثة ولا أعلى من الثانية. إلى مجموعة محطة العمل الفئة "ج" تضمين محطات العمل التي تحل مهمة وظيفية واحدة على الأقل من الفئة الثالثة. يجب ألا تكون فئات المهام الأخرى التي تم حلها على محطة العمل هذه أعلى من الثالثة. إلى مجموعة محطة العمل الفئة "د" تشمل محطات العمل التي تحل المهام الوظيفية للفئة الرابعة فقط.

ميخائيل كوبتنكوف | © م. كوبتنكوف

أمن المعلومات هو حالة أمن بيئة المعلومات. ينبغي اعتبار أمن المعلومات بمثابة مجموعة من التدابير، من بينها أنه من المستحيل تسليط الضوء على أكثر أو أقل أهمية. يرتبط مفهوم أمن المعلومات ارتباطًا وثيقًا بمفهوم حماية المعلومات، وهو نشاط يهدف إلى منع تسرب المعلومات المحمية والتأثيرات غير المصرح بها وغير المقصودة عليها، أي عملية تهدف إلى تحقيق حالة من أمن المعلومات. ومع ذلك، قبل حماية المعلومات، من الضروري تحديد المعلومات التي يجب حمايتها وإلى أي مدى. ولهذا الغرض، يتم استخدام تصنيف (تصنيف) المعلومات، أي تحديد تدرجات لأهمية ضمان أمن المعلومات وتخصيص موارد معلومات محددة للفئات المناسبة. وبالتالي، يمكن تسمية تصنيف المعلومات بالخطوة الأولى نحو ضمان أمن المعلومات في المنظمة.

تاريخيًا، عندما يتم تصنيف المعلومات، يتم تصنيفها على الفور وفقًا لمستوى سريتها (السرية). وفي الوقت نفسه، لا يتم في كثير من الأحيان مراعاة متطلبات ضمان التوافر والنزاهة أو أخذها في الاعتبار إلى جانب المتطلبات العامة لأنظمة معالجة المعلومات. هذا هو نهج خاطئ. وفي كثير من المجالات، تكون نسبة المعلومات السرية صغيرة نسبيا. وبالنسبة للمعلومات المفتوحة التي لا ضرر من الكشف عنها، فإن أهم خصائصها هي: الإتاحة والنزاهة والحماية من النسخ غير المصرح به. مثال على ذلك هو المتجر عبر الإنترنت، حيث من المهم الحفاظ باستمرار على إمكانية الوصول إلى موقع الشركة على الويب. واستنادا إلى الحاجة إلى ضمان مستويات مختلفة من حماية المعلومات، يمكن تقديم فئات مختلفة من السرية والنزاهة والتوافر.

1. فئات سرية المعلومات المحمية

سرية المعلومات هي خاصية للمعلومات التي تشير إلى الحاجة إلى فرض قيود على دائرة الأشخاص الذين لديهم حق الوصول إلى هذه المعلومات.
تم تقديم الفئات التالية لسرية المعلومات:
- المعلومات السرية وفقًا للمتطلبات القانونية، وكذلك المعلومات التي يتم فرض قيود على نشرها بقرارات من إدارة المنظمة، والتي قد يؤدي الكشف عنها إلى ضرر كبير لأنشطة المنظمة.
معلومات سرية- المعلومات التي ليست سرية تمامًا، والتي لا يتم فرض قيود على نشرها إلا بقرار من إدارة المنظمة، والتي قد يؤدي الكشف عنها إلى الإضرار بأنشطة المنظمة.
فتح المعلومات– تتضمن هذه الفئة معلومات لا يشترط الحفاظ على سريتها.

2. فئات سلامة المعلومات

سلامة المعلومات هي خاصية تحتفظ فيها البيانات بشكل وجودة محددين مسبقًا (تبقى دون تغيير فيما يتعلق ببعض الحالات الثابتة).
يتم تقديم الفئات التالية من سلامة المعلومات:
عالي– تتضمن هذه الفئة المعلومات التي قد يؤدي تعديلها أو تزويرها غير المصرح به إلى إلحاق ضرر كبير بأنشطة المنظمة.
قليل– تتضمن هذه الفئة المعلومات التي قد يؤدي تعديلها غير المصرح به إلى أضرار متوسطة أو طفيفة لأنشطة المنظمة.
لا توجد متطلبات– تتضمن هذه الفئة معلومات لا توجد متطلبات لضمان سلامتها.

3. فئات توفر المعلومات

التوفر هو حالة من المعلومات يمكن للأشخاص الذين لديهم حق الوصول إليها أن يمارسوها دون عائق.
يتم تقديم الفئات التالية من توفر المعلومات:
– يجب ضمان الوصول إلى المعلومات في أي وقت (يجب ألا يتجاوز التأخير في الحصول على الوصول إلى المعلومات عدة ثوان أو دقائق).
توافر عالية- يجب أن يتم الوصول إلى المعلومات دون تأخيرات زمنية كبيرة (يجب ألا يتجاوز التأخير في الوصول إلى المعلومات عدة ساعات).
متوسط ​​التوفر– يمكن توفير الوصول إلى المعلومات مع تأخيرات زمنية كبيرة (يجب ألا يتجاوز التأخير في تلقي المعلومات عدة أيام).
تواجد منخفض– التأخير الزمني في الوصول إلى المعلومات غير محدود عمليا (التأخير المسموح به في الوصول إلى المعلومات هو عدة أسابيع).

مما سبق يتضح أن فئات سرية وسلامة المعلومات تعتمد بشكل مباشر على حجم الضرر الذي يلحق بأنشطة المنظمة في حالة انتهاك خصائص المعلومات هذه. فئات إمكانية الوصول هي بدرجة أقل، ولكنها تعتمد أيضًا على مقدار الضرر الذي لحق بأنشطة المنظمة. لتحديد مقدار الضرر، يتم استخدام تقييم شخصي ويتم تقديم مقياس من ثلاثة مستويات: ضرر كبير وضرر معتدل وضرر منخفض (أو بدون ضرر).
قصيرإذا كان فقدان توافر المعلومات و/أو سريتها و/أو سلامتها له تأثير سلبي طفيف على أنشطة المنظمة وأصولها وموظفيها.
عدم أهمية التأثير السلبي يعني أن:
- تظل المنظمة قادرة على أداء أنشطتها، ولكن تقل فعالية وظائفها الأساسية؛
- حدوث أضرار طفيفة لأصول المنظمة؛
- تعرض التنظيم لخسائر مالية طفيفة.
يتم تقييم الأضرار التي لحقت بأنشطة المنظمة على أنها معتدلإذا كان فقدان التوفر و/أو السرية و/أو النزاهة له تأثير سلبي كبير على عمليات المنظمة وأصولها وموظفيها.
وتعني شدة التأثير السلبي ما يلي:
- تظل المنظمة قادرة على أداء أنشطتها، ولكن فعالية وظائفها الأساسية تنخفض بشكل كبير؛
- حدوث ضرر كبير لأصول المنظمة؛
- الشركة تعاني من خسائر مالية كبيرة.
يتم تقييم الضرر المحتمل للمنظمة على أنه بارِز، إذا كان فقدان التوفر و/أو السرية و/أو النزاهة له تأثير سلبي شديد (كارثي) على أنشطة المنظمة وأصولها وموظفيها، أي:
- فقدان المنظمة القدرة على أداء كل أو بعض وظائفها الأساسية.
- إلحاق أضرار جسيمة بأصول المنظمة؛
- المنظمة تتعرض لخسائر مالية كبيرة.
وهكذا، عند تقييم الضرر الذي يلحق بأنشطة منظمة ما في حالة انتهاك سرية وسلامة وتوافر المعلومات وعلى هذا الأساس تحديد فئات المعلومات، يمكننا التمييز بين ثلاثة أنواع: الأكثر أهمية والحرجة وغير الحرجة .

يتم تحديد نوع المعلومات من خلال مقارنة فئات هذه المعلومات.
ويقدم الجدول 1 تعريفا لنوع المعلومات.

فئة سرية المعلومات فئة سلامة المعلومات فئة توفر المعلومات نوع المعلومات
معلومات سرية للغاية * *
* عالي * المعلومات الأكثر أهمية
* * إمكانية الوصول السلس المعلومات الأكثر أهمية
معلومات سرية * * المعلومات الحساسة
* قليل * المعلومات الحساسة
* * توافر عالية المعلومات الحساسة
فتح المعلومات لا توجد متطلبات متوسط ​​التوفر معلومات غير حرجة
فتح المعلومات لا توجد متطلبات تواجد منخفض معلومات غير حرجة

الجدول 1: تعريف نوع المعلومات

وبالتالي، فإن تصنيف المعلومات هو الخطوة الأولى لضمان أمن المعلومات للمنظمة، لأنه قبل حماية شيء ما، من المفيد أولاً تحديد ما يجب حمايته بالضبط وإلى أي مدى. ينبغي تصنيف كل من معلومات المستخدم والنظام المقدمة في شكل إلكتروني وعلى الوسائط المادية. لتحديد نوع المعلومات المراد حمايتها، من الضروري تحديد الضرر الذي سيلحق بالمنظمة في حالة فقدان سرية هذه المعلومات وسلامتها وتوافرها.
في المستقبل، بعد تحديد نوع المعلومات التي تنتمي إليها، يمكنك تطبيق تدابير مختلفة لحماية كل نوع من المعلومات. وهذا لن يسمح فقط بتنظيم البيانات التي تتم معالجتها في المنظمة، ولكن أيضًا لتنفيذ واستخدام النظام الفرعي للتحكم في الوصول إلى المعلومات المحمية بشكل أكثر فعالية، فضلاً عن تحسين تكاليف ضمان أمن المعلومات.


فهرس:
1. بيزمالي ف.، خدمة أمن المعلومات: الخطوات الأولى، 2008، http://www.compress.ru/Article.aspx?id=20512
2. Gladkikh A. A., Dementyev V. E.، المبادئ الأساسية لأمن المعلومات في شبكات الكمبيوتر. أوليانوفسك: جامعة أوليانوفسك التقنية الحكومية، 2009. – 156 ص.

لا يمكن وصف مشكلة أمن المعلومات بأنها بعيدة المنال. نسمع من جميع الجهات عن عمليات الاختراق والفيروسات والبرامج الضارة والهجمات والتهديدات ونقاط الضعف...

أمن المعلومات كنظام

أمن المعلومات عبارة عن مجموعة من التدابير، من بينها أنه من المستحيل تسليط الضوء على أكثر أهمية. لا يمكن النظر إلى أمن المعلومات على أنه شيء آخر غير كونه معقدًا. كل شيء مهم هنا! من الضروري مراعاة تدابير الحماية في جميع نقاط الشبكة، أثناء أي عمل لأي موضوع مع معلوماتك (الموضوع في هذه الحالة هو مستخدم النظام أو العملية أو الكمبيوتر أو برنامج معالجة المعلومات). يجب حماية كل مصدر معلومات، سواء كان جهاز كمبيوتر خاص بالمستخدم أو خادم مؤسسة أو معدات شبكة، من جميع أنواع التهديدات. يجب حماية أنظمة الملفات والشبكات وما إلى ذلك. لن نفكر في طرق تنفيذ الحماية في هذه المقالة نظرًا لتنوعها الكبير.

ومع ذلك، ينبغي أن يكون مفهوما أنه من المستحيل توفير الحماية بنسبة 100٪. في الوقت نفسه، عليك أن تتذكر: كلما ارتفع مستوى الأمان، كلما كان النظام أكثر تكلفة، كلما أصبح المستخدم غير مريح للاستخدام، مما يؤدي بالتالي إلى تدهور الحماية ضد العامل البشري. على سبيل المثال، دعونا نتذكر أن المبالغة في تعقيد كلمة المرور يؤدي إلى اضطرار المستخدم إلى كتابتها على قطعة من الورق، والتي يلصقها على الشاشة ولوحة المفاتيح وما إلى ذلك.

هناك مجموعة واسعة من البرامج التي تهدف إلى حل مشاكل أمن المعلومات. هذه هي برامج مكافحة الفيروسات وجدران الحماية وأدوات نظام التشغيل المضمنة وغير ذلك الكثير. ومع ذلك، فمن الجدير أن نتذكر أن الحلقة الأكثر ضعفا في الدفاع تبقى دائما بشر! بعد كل شيء، يعتمد أداء أي برنامج على جودة كتابته ومعرفة القراءة والكتابة للمسؤول الذي يقوم بتكوين أداة أمنية معينة.

في هذا الصدد، تقوم العديد من المنظمات بإنشاء خدمات (أقسام) لحماية المعلومات أو تعيين المهام المقابلة لأقسام تكنولوجيا المعلومات الخاصة بها. وفي الوقت نفسه، عليك أن تفهم ذلك ممنوعتعيين وظائف غير عادية لخدمة تكنولوجيا المعلومات. لقد قيل هذا وكتب عنه أكثر من مرة. لذا، لنفترض أن مؤسستك أنشأت قسمًا لأمن المعلومات. ما العمل التالي؟ من أين نبدأ؟

عليك أن تبدأ بتدريب الموظفين!وفي المستقبل اجعل هذه العملية منتظمة. يجب أن يكون تدريب الموظفين على أساسيات أمن المعلومات مهمة مستمرة لقسم أمن المعلومات. ويجب أن يتم ذلك مرتين على الأقل في السنة.

يحاول العديد من المديرين الحصول فورًا على وثيقة تسمى "سياسة الأمن التنظيمي" من قسم أمن المعلومات. هل هذا صحيح؟ في رأيي - لا. قبل أن تجلس لكتابة هذا العمل الضخم، عليك أن تقرر الأسئلة التالية:

  • ما هي المعلومات التي تقوم بمعالجتها؟
  • كيفية تصنيفها حسب الخصائص؟
  • ما هي الموارد التي لديك؟
  • كيف يتم توزيع معالجة المعلومات بين الموارد؟
  • كيفية تصنيف الموارد؟

تصنيف المعلومات

تاريخيًا، بمجرد طرح مسألة تصنيف المعلومات (ينطبق هذا في المقام الأول على المعلومات التابعة للدولة)، يبدأ على الفور تصنيفها وفقًا لمستوى السرية (السرية). إن متطلبات ضمان التوفر والتكامل وقابلية الملاحظة، إذا تم تذكرها على الإطلاق، فهي عابرة فقط، من بين المتطلبات العامة لأنظمة معالجة المعلومات.

إذا كان لا يزال من الممكن تبرير وجهة النظر هذه بطريقة أو بأخرى من خلال الحاجة إلى ضمان أسرار الدولة، فإن نقلها إلى مجال موضوعي آخر يبدو سخيفًا بكل بساطة. على سبيل المثال، وفقًا لمتطلبات التشريع الأوكراني، يحدد مالك المعلومات بنفسه مستوى سريتها (إذا كانت هذه المعلومات لا تنتمي إلى الدولة).

وفي كثير من المجالات، تكون نسبة المعلومات السرية صغيرة نسبيا. بالنسبة للمعلومات المفتوحة، التي يكون الضرر الناتج عن الكشف عنها صغيرًا، قد تكون أهم خصائصها هي خصائص مثل التوفر أو السلامة أو الحماية من النسخ غير المصرح به. لنأخذ موقع الويب الخاص بمنشور عبر الإنترنت كمثال. وفي رأيي أن المقام الأول سيكون توافر المعلومات وسلامتها، وليس سريتها. إن تقييم وتصنيف المعلومات من حيث الموقع والسرية فقط هو أمر غير مثمر على أقل تقدير.

ولا يمكن تفسير ذلك إلا من خلال ضيق النهج التقليدي لحماية المعلومات، ونقص الخبرة في ضمان توافر وسلامة وإمكانية ملاحظة المعلومات غير السرية (السرية).

فئات المعلومات المحمية

واستنادًا إلى الحاجة إلى ضمان مستويات مختلفة من حماية المعلومات (التي لا تحتوي على معلومات تشكل سرًا من أسرار الدولة) المخزنة والمعالجة في مؤسسة ما، فسوف نقوم بتسمية عدة فئات لسرية وسلامة المعلومات المحمية.

  • سرية تماما- المعلومات المعترف بأنها سرية وفقًا لمتطلبات القانون، أو المعلومات التي تم تقييد نشرها بقرار من الإدارة لأن الكشف عنها قد يؤدي إلى عواقب مالية واقتصادية وخيمة على المنظمة، بما في ذلك الإفلاس؛
  • بسرية- تشمل هذه الفئة المعلومات التي لا تصنف على أنها "سرية تماما"، والتي تم فرض قيود على نشرها بقرار من الإدارة وفقا للحقوق الممنوحة لها باعتبارها مالك المعلومات بموجب التشريعات الحالية نظرا لحقيقة أنها قد يؤدي الإفصاح إلى خسائر كبيرة وفقدان القدرة التنافسية للمنظمة (التسبب في ضرر كبير لمصالح عملائها أو شركائها أو موظفيها)؛
  • يفتح- تتضمن هذه الفئة معلومات لا يشترط الحفاظ على سريتها.
  • عالي- المعلومات أو التعديل غير المصرح به أو تزويرها يمكن أن يؤدي إلى ضرر كبير للمنظمة؛
  • قليل- تتضمن هذه الفئة المعلومات التي قد يؤدي تعديلها غير المصرح به إلى إلحاق أضرار طفيفة بالمنظمة أو عملائها أو شركائها أو موظفيها؛
  • لا متطلبات- تتضمن هذه الفئة معلومات لا توجد متطلبات لضمان سلامتها وصحتها.

حسب درجة التوفر، سنقدم أربع فئات حسب تكرار حل المشكلات الوظيفية والحد الأقصى المسموح به للتأخير في الحصول على نتائج حلها:

  • في الوقت الحالى- يجب توفير الوصول إلى المهمة في أي وقت؛
  • ساعة- يجب أن يتم الوصول إلى المهمة دون تأخيرات زمنية كبيرة س x التأخير (يتم حل المشكلة كل يوم، والتأخير لا يتجاوز عدة ساعات)؛
  • يوم- يمكن توفير الوصول إلى المهمة بوقت كبير سالتأخير (يتم حل المشكلة كل بضعة أيام)؛
  • أسبوع- مؤقت سلا يوجد أي تأخير في الوصول إلى المشكلة (مدة حل المشكلة عدة أسابيع أو أشهر، التأخير المقبول في الحصول على النتيجة عدة أسابيع).

تصنيف المعلومات

  1. تصنيف جميع أنواع المعلومات المستخدمة عند حل المشكلات على أجهزة كمبيوتر محددة (تحديد فئات السرية والنزاهة وتوافر أنواع محددة من المعلومات).
  2. تصنيف جميع المهام التي يتم حلها على هذا الكمبيوتر.
  3. بناءً على الحد الأقصى لفئات المعلومات التي تتم معالجتها، يتم تحديد فئة الكمبيوتر الذي تتم معالجتها عليه.

جرد الموارد

قبل أن نتحدث عن حماية المعلومات في مؤسسة ما، عليك أن تفهم ما الذي ستحميه وما هي الموارد المتوفرة لديك. للقيام بذلك، من الضروري إجراء جرد وتحليل لجميع موارد النظام الآلي للمنظمة الخاضعة للحماية:

  1. يتم تشكيل فريق عمل خاص لإجراء جرد وتصنيف الموارد المراد حمايتها. ويشمل متخصصين من قسم أمن الكمبيوتر والإدارات الأخرى في المنظمة الذين يمكنهم تقديم المساعدة في النظر في قضايا تكنولوجيا معالجة المعلومات الآلية في المنظمة.
  2. لكي تتمتع المجموعة التي تم إنشاؤها بالوضع التنظيمي والقانوني اللازم، يتم إصدار أمر مماثل من قبل إدارة المنظمة، والذي ينص على أنه يجب على جميع رؤساء الأقسام ذات الصلة في المنظمة تقديم المساعدة والمساعدة اللازمة لمجموعة العمل في التحليل موارد جميع أجهزة الكمبيوتر.
  3. لتقديم المساعدة أثناء عمل المجموعة في الأقسام، يجب على مديريهم تخصيص الموظفين الذين لديهم معلومات مفصلة حول قضايا المعالجة الآلية للمعلومات في هذه الأقسام.
  4. يتم إرسال هذا الأمر مقابل التوقيع إلى جميع رؤساء الإدارات ذات الصلة.
  5. أثناء المسح (التحليل) للمنظمة والأنظمة الفرعية الآلية، يتم تحديد ووصف جميع المهام الوظيفية التي تم حلها باستخدام أجهزة الكمبيوتر، بالإضافة إلى جميع أنواع المعلومات المستخدمة لحل هذه المشكلات في الأقسام.
  6. في نهاية الاستطلاع، يتم تجميع نموذج للمهام التي يتم حلها في المنظمة. يجب أن يكون مفهوما أن نفس المهمة في الأقسام المختلفة قد يتم استدعاؤها بشكل مختلف، وعلى العكس من ذلك، قد يكون للمهام المختلفة نفس الاسم. وفي الوقت نفسه، يتم الاحتفاظ بسجلات البرامج المستخدمة لحل المهام الوظيفية للقسم.

يجب أن يؤخذ في الاعتبار أنه خلال المسح يتم تحديد جميع أنواع المعلومات (الواردة، الصادرة، المخزنة، المعالجة، وما إلى ذلك). يجب أن يؤخذ في الاعتبار أنه من الضروري تحديد ليس فقط المعلومات السرية، ولكن أيضًا تلك المعلومات التي يمكن أن يؤدي انتهاك سلامتها أو توفرها إلى إلحاق ضرر كبير بالمنظمة.

عند تحليل المعلومات التي تتم معالجتها في المنظمة، من الضروري تقييم مدى خطورة العواقب التي قد تكون ناجمة عن انتهاك خصائصها. للقيام بذلك، تحتاج إلى إجراء دراسات استقصائية (اختبار، استجواب) للمتخصصين العاملين معها. في هذه الحالة، أولا وقبل كل شيء، من المفيد معرفة من يستفيد من الاستخدام غير القانوني لهذه المعلومات أو التأثير عليها. إذا لم يكن من الممكن تحديد الضرر المحتمل، فيجب عليك تقييمه نوعيًا (منخفض، مرتفع، مرتفع جدًا).

لفهم فئات التوفر عند تحليل المهام التي تم حلها في المؤسسة، من الضروري تحديد الحد الأقصى لوقت التأخير المسموح به للنتائج، وتكرار حلها وشدة العواقب في حالة تعطيل توفرها (يتم حظر المهام).

أثناء التحليل، يجب تعيين كل نوع من المعلومات إلى درجة معينة (فئة) من السرية (استنادًا إلى متطلبات التشريع الحالي والحقوق الممنوحة للمنظمة).

في الوقت نفسه، لتقييم فئة السرية لأنواع محددة من المعلومات، يتم التحقق من التقييمات الشخصية للضرر المحتمل الناجم عن انتهاك خصائص السرية وسلامة المعلومات من المديرين (كبار المتخصصين) في الوحدة الهيكلية.

عند الانتهاء من التحليل، يتم تجميع "قائمة مصادر المعلومات المطلوب حمايتها".

ومن ثم يتم الاتفاق على هذه القائمة مع رؤساء أقسام أقسام تكنولوجيا المعلومات وأمن الحاسب الآلي وعرضها على إدارة المؤسسة للنظر فيها.

وفي نهاية هذه المرحلة، من الضروري تصنيف المهام الوظيفية. بناءً على متطلبات إمكانية الوصول التي حددها رؤساء أقسام المؤسسة والمتفق عليها مع خدمة تكنولوجيا المعلومات، يتم تصنيف جميع مهام التطبيق التي تم حلها في الأقسام (من حيث إمكانية الوصول).

في المستقبل، بمساعدة المتخصصين من خدمة تكنولوجيا المعلومات وقسم أمن المعلومات، من الضروري توضيح تكوين الموارد (المعلومات والبرامج) لكل مهمة وإدخال المعلومات في النموذج (مهمة محددة) مجموعات المستخدمين لهذه المهمة وتعليمات إعداد وسائل الحماية المستخدمة لحلها (على سبيل المثال، أذونات الوصول لمجموعات المستخدمين إلى موارد المهام المدرجة). في المستقبل، بناءً على هذه المعلومات، سيتم تكوين الإجراءات الأمنية لأجهزة الكمبيوتر التي سيتم حل هذه المهمة عليها.

في المرحلة التالية، يتم تصنيف أجهزة الكمبيوتر. يتم تحديد فئة الكمبيوتر بناءً على الحد الأقصى لفئة المهام التي يتم حلها عليه، والحد الأقصى لفئات سرية وسلامة المعلومات المستخدمة في حل هذه المشكلات. يتم إدخال المعلومات حول فئة الكمبيوتر في شكلها.

لا يشمل مفهوم جرد الموارد فقط التوفيق بين موارد الشبكة النشطة والسلبية الحالية وقائمة المعدات (واكتمالها) التي اشترتها المنظمة. يتم تنفيذ هذا الإجراء باستخدام البرامج المناسبة، مثل Microsoft Sysytems Management Server. يتضمن ذلك أيضًا إنشاء خريطة شبكة مع وصف لجميع نقاط الاتصال المحتملة، وتجميع قائمة بالبرامج المستخدمة، وإنشاء صندوق معايير للبرامج المرخصة المستخدمة في المؤسسة، وإنشاء صندوق من الخوارزميات والبرامج من تصميمك الخاص.

تجدر الإشارة إلى أنه لا يمكن السماح للبرنامج بالعمل إلا بعد أن يتم فحصه من قبل قسم أمن المعلومات للتأكد من مطابقته للمهام المعينة وغياب جميع أنواع الإشارات المرجعية و "القنابل المنطقية".

في هذا الصدد، أود أن أذكر على وجه التحديد الاتجاه نحو استخدام كود البرمجيات مفتوحة المصدر في بلدنا. وليس لدي أدنى شك في أن هذا يوفر وفورات كبيرة في الموارد. ومع ذلك، في رأيي، في هذه الحالة، تصبح مشكلة الأمان مسألة ثقة ليس فقط في مطور النظام، ولكن أيضًا في المسؤول لديك. وإذا كنت تتذكر المبلغ الذي حصل عليه، فليس من الصعب أن نستنتج أن شراء أسرارك في هذه الحالة أسهل وأرخص بكثير من تنفيذ هجوم خارجي مباشر. ومن الجدير بالذكر أن معظم الهجمات الناجحة تم تنفيذها من قبل أشخاص من داخل الشركة، أي من قبل موظفي الشركة.

في رأيي، لا يمكنك استخدام البرامج الموزعة بحرية مع إمكانية التسبب في أضرار جسيمة إلا إذا تم تسليمها إليك في شكل مجمع وبتوقيع رقمي من منظمة تضمن أنها لا تحتوي على قنابل منطقية وجميع أنواع الإشارات المرجعية و أبواب خلفية. علاوة على ذلك، يجب على المنظمة الضامنة أن تتحمل المسؤولية المالية عن ضمانها، وهو أمر مستحيل في رأيي. ومع ذلك، فإن الخيار لك.

بعد التحقق، يتم إدخال البرنامج المرجعي في مجموعة الخوارزميات والبرامج (يجب أن تكون النسخة المرجعية مصحوبة بملف المجموع الاختباري، والأفضل من ذلك كله، التوقيع الإلكتروني للمطور). في المستقبل، عندما تتغير الإصدارات وتظهر التحديثات، يتم فحص البرنامج كالمعتاد.

بعد ذلك، يتم إدخال معلومات حول البرنامج المثبت وتاريخ التثبيت والغرض والمهام التي تم حلها بمساعدة هذا البرنامج، واسم وتوقيع الشخص الذي قام بتثبيت البرامج وتكوينها في نموذج كل كمبيوتر. بعد إنشاء مثل هذه النماذج، يجب على خدمة أمن المعلومات التأكد من التحقق المنتظم من امتثال الوضع الفعلي للنموذج.

المرحلة التالية في بناء خدمة أمن المعلومات هي تحليل مخاطر المنظمة، والتي يجب أن تصبح الأساس لإنشاء سياسة أمنية.

    المعلومات المحمية (المعلومات الخاضعة للحماية)- المعلومات (المعلومات) التي هي موضوع ملكية وتخضع للحماية وفقًا لمتطلبات الوثائق التشريعية والتنظيمية الأخرى أو وفقًا للمتطلبات التي وضعها مالك المعلومات (البنك).

    الموارد المحمية لنظام المعلومات المصرفية (موارد IBS الخاضعة للحماية)- المعلومات، والمهام الوظيفية، وقنوات نقل المعلومات، والوظائف التي يجب حمايتها لضمان أمن معلومات البنك وعملائه ومراسليه.

    مكان العمل المحمي (WP)- موضوع الحماية (جهاز كمبيوتر شخصي مزود بمجموعة مناسبة من البرامج والبيانات)، والذي من المعترف به أنه من الضروري إنشاء طريقة منظمة لمعالجة المعلومات وتتميز بما يلي:

    • الموقع، بالإضافة إلى درجة إمكانية الوصول الفعلي إليه للأشخاص غير المصرح لهم (العملاء والزوار والموظفين غير المسموح لهم بالعمل مع رئيس الوزراء، وما إلى ذلك)؛

      تكوين الأجهزة

      تكوين البرامج والمهام التي تم حلها عليها (فئات معينة من إمكانية الوصول)؛

      تكوين المعلومات المخزنة والمعالجة في RM (فئات معينة من السرية والنزاهة).

    نموذج آر إم- وثيقة من النموذج المحدد (الملحق 3) تسجل خصائص RM (الموقع، وتكوين الأجهزة والبرامج، وقائمة المهام التي تم حلها على RM، وما إلى ذلك) وتشهد إمكانية تشغيل RM (تشهد على استيفاء متطلبات حماية المعلومات التي تتم معالجتها على RM وفقًا لفئة RM هذه).

    مهمة محمية- مهمة وظيفية يتم حلها في وحدة إدارة منفصلة، ​​والتي يتم من خلالها التعرف على الحاجة إلى إنشاء وضع منظم لمعالجة المعلومات وتتميز بما يلي:

    • مجموعة الموارد المستخدمة في الحل (البرامج، مجموعات البيانات، الأجهزة)؛

      تكرار القرار؛

      الحد الأقصى المسموح به لوقت التأخير للحصول على نتيجة حل المشكلة.

    نموذج المهمة- وثيقة النموذج المحدد (الملحق 2)، تسجل فيها خصائص المهمة (اسمها، والغرض منها، ونوعها، والموارد المستخدمة في حلها، ومجموعات مستخدمي هذه المهمة، وحقوق وصولهم إلى موارد المهمة، وما إلى ذلك) .).

    قناة نقل المعلومات المحمية- المسار الذي يتم من خلاله نقل المعلومات المحمية. تنقسم القنوات إلى مادية (من جهاز إلى آخر) ومنطقية (من مهمة إلى أخرى).

    سرية المعلومات- خاصية (خاصية) محددة ذاتيًا (منسوبة) للمعلومات، مما يشير إلى الحاجة إلى فرض قيود على دائرة الأشخاص (الأشخاص) الذين لديهم حق الوصول إلى هذه المعلومات، وتضمنها قدرة النظام (البيئة) على الحفاظ على سرية هذه المعلومات من الرعايا الذين ليس لهم سلطة الوصول إليها.

    سلامة المعلومات- خاصية المعلومات التي تتمثل في وجودها في شكل غير مشوه (دون تغيير بالنسبة لبعض الحالات الثابتة).

    توفر المعلومات (المهام)- خاصية نظام المعالجة (البيئة) التي يتم فيها تداول المعلومات، والتي تتميز بالقدرة على ضمان الوصول دون عوائق في الوقت المناسب للأشخاص إلى المعلومات التي يهتمون بها (إذا كانت الموضوعات تتمتع بصلاحيات الوصول المناسبة) واستعداد الآلي المقابل الخدمات (المهام الوظيفية) لخدمة الطلبات الواردة من الأشخاص دائمًا عند الحاجة للاتصال بهم.

1. أحكام عامة

1.1. تقدم هذه اللائحة فئات (تدرجات لأهمية ضمان الحماية) للموارد وتضع إجراء لتصنيف موارد نظام المعلومات الخاضعة للحماية (تخصيصها للفئات المناسبة، مع الأخذ في الاعتبار درجة خطر الضرر الذي قد يلحق بالبنك، عملائها ومراسليها في حالة التدخل غير المصرح به في عملية عمل IBS وانتهاك سلامة أو سرية المعلومات التي تتم معالجتها، أو حجب المعلومات أو تعطيل توافر المهام التي تحلها IBS).

1.2. يعد تصنيف الموارد (تحديد متطلبات حماية الموارد) لـ IBS عنصرًا ضروريًا لتنظيم العمل لضمان أمن معلومات البنك وله أهدافه:

    إنشاء أساس تنظيمي ومنهجي لنهج مختلف لحماية موارد النظام الآلي (المعلومات، المهام، القنوات، إدارة المشاريع) بناءً على تصنيفها وفقًا لدرجة المخاطرة في حالة انتهاك توفرها أو سلامتها أو سريتها؛

    تصنيف التدابير التنظيمية المتخذة وتوزيع موارد الأجهزة والبرامج لحماية الموارد عبر IBS RM وتوحيد إعداداتها.

2. فئات المعلومات المحمية

2.1. بناءً على الحاجة إلى توفير مستويات مختلفة من الحماية لأنواع مختلفة من المعلومات المخزنة والمعالجة في IBS، وكذلك مع الأخذ في الاعتبار الطرق المحتملة لإلحاق الضرر بالبنك وعملائه ومراسليه، ثلاث فئات لسرية المعلومات المحمية و تم تقديم ثلاث فئات لسلامة المعلومات المحمية.

    "عالية" - تتضمن هذه الفئة معلومات غير مصنفة سرية وفقًا لمتطلبات التشريع الحالي للاتحاد الروسي (السرية المصرفية، البيانات الشخصية)؛

    "منخفض" - تشمل هذه الفئة المعلومات السرية غير المصنفة ضمن الفئة "عالية"، والتي يتم فرض قيود على نشرها بقرار من إدارة البنك وفقاً للحقوق الممنوحة له بصفته المالك (الشخص المفوض من قبل المالك) المعلومات بموجب التشريعات الحالية؛

    "لا توجد متطلبات" - تتضمن هذه الفئة معلومات لا تتطلب السرية (فرض قيود على التوزيع).

    "عالية" - تشمل هذه الفئة المعلومات أو التعديل غير المصرح به (التشويه أو التدمير) أو تزويرها والتي يمكن أن تؤدي إلى ضرر مباشر كبير للبنك وعملائه ومراسليه، ونزاهتها وصحتها (تأكيد صحة المصدر) يجب ضمانها بطرق مضمونة (على سبيل المثال، عن طريق التوقيع الرقمي الإلكتروني) وفقًا للمتطلبات الإلزامية للتشريعات الحالية؛

    "منخفض" - تشمل هذه الفئة المعلومات أو التعديل غير المصرح به أو الحذف أو التزوير التي يمكن أن تؤدي إلى أضرار طفيفة غير مباشرة للبنك وعملائه ومراسليه، والتي يجب ضمان سلامتها (وصحتها إذا لزم الأمر) وفقًا لـ قرار إدارة البنك (طرق حساب المجاميع الاختبارية، التوقيع الرقمي، وما إلى ذلك)؛

    "لا توجد متطلبات" - تتضمن هذه الفئة معلومات لا توجد متطلبات لها لضمان نزاهتها (وصحتها).

2.2. من أجل تبسيط عمليات تصنيف المهام والقنوات وإدارة المشاريع، تم دمج فئات سرية وسلامة المعلومات المحمية وتم إنشاء أربع فئات عامة من المعلومات: "حيوية" و"مهمة جدًا" و"مهمة" و"غير مهمة". . يتم تخصيص المعلومات لفئة عامة أو أخرى بناءً على فئات السرية والنزاهة الخاصة بها وفقًا للجدول 1.

الجدول 1

    1- معلومات "حيوية".

    2- معلومات "مهمة جداً".

    3- معلومات "مهمة".

    4- معلومات "غير مهمة".

3. فئات المهام الوظيفية

3.1. اعتمادًا على تكرار حل المشكلات الوظيفية والحد الأقصى المسموح به للتأخير في الحصول على نتائج حلها، يتم تقديم أربع درجات مطلوبة لتوافر المهام الوظيفية.

الدرجات المطلوبة لإمكانية الوصول إلى المهام الوظيفية:

    "إمكانية الوصول دون عوائق" - يجب توفير الوصول إلى المهمة في أي وقت (يتم حل المهمة باستمرار، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة ثوان أو دقائق)؛

    "إمكانية عالية" - يجب أن يتم الوصول إلى المهمة دون تأخيرات زمنية كبيرة (يتم حل المهمة يوميًا، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة ساعات)؛

    "توافر متوسط" - يمكن توفير الوصول إلى المهمة بتأخيرات زمنية كبيرة (يتم حل المهمة مرة واحدة كل بضعة أيام، ويجب ألا يتجاوز التأخير في الحصول على النتيجة عدة أيام)؛

    "التوفر المنخفض" - التأخير الزمني عند الوصول إلى المهمة غير محدود عمليا (يتم حل المهمة على مدى عدة أسابيع أو أشهر، والتأخير المقبول في الحصول على النتيجة هو عدة أسابيع).

3.2. اعتمادًا على الفئة العامة للمعلومات المحمية المستخدمة في حل المهمة والدرجة المطلوبة لإمكانية الوصول إلى المهمة، يتم إنشاء أربع فئات من المهام الوظيفية: "الأولى" و"الثانية" و"الثالثة" و"الرابعة" (وفقًا لـ الجدول 2).

الجدول 2

تحديد فئة المهمة الوظيفية
فئة المعلومات المعممةالدرجة المطلوبة من توافر المهمة
"إمكانية الوصول دون عائق""توافر عالية""متوسط ​​التوفر""تواجد منخفض"
"مهم للغاية" 1 1 2 2
"مهم جدا" 1 2 2 3
"مهم" 2 2 3 3
"غير مهم" 2 3 3 4

4. متطلبات ضمان أمن قنوات نقل المعلومات المحمية (فئات القنوات)

4.1. يتم تحديد متطلبات (فئات) الأمان للقناة المنطقية لنقل المعلومات المحمية حسب الفئة القصوى للمهمتين اللتين تم تثبيت هذه القناة بينهما.

5. فئات RM

5.1. اعتمادًا على فئات المهام التي تم حلها في RM، يتم إنشاء أربع فئات من RM: "A" و"B" و"C" و"D".

5.3. تتضمن مجموعة مديري المشروعات من الفئة "ب" مديري المشروعات الذين يحلون مهمة وظيفية واحدة على الأقل من الفئة الثانية. يجب ألا تكون فئات المهام الأخرى التي تم حلها في RM أقل من الثالثة ولا أعلى من الثانية.

5.4. تشتمل مجموعة RMs من الفئة "C" على RMs التي تحل مهمة وظيفية واحدة على الأقل من الفئة الثالثة. يجب ألا تكون فئات المهام الأخرى التي تم حلها في RM أعلى من الفئة الثالثة.

الجدول 3

5.6. ترد متطلبات ضمان سلامة RM من مختلف الفئات (لاستخدام التدابير ووسائل الحماية المناسبة) في الملحق 5.

6. الإجراء الخاص بتحديد فئات موارد IBS المحمية

6.1. يتم التصنيف على أساس جرد موارد نظام المعلومات المصرفية (RM، المهام، المعلومات) ويتضمن تجميع وصيانة لاحقة (الحفاظ على تحديث) قوائم (مجموعات النماذج) لموارد IBS المراد حمايتها .

6.2. تقع مسؤولية تجميع وصيانة قوائم موارد IBS على عاتق:

    من حيث تجميع والحفاظ على قائمة RM (مع الإشارة إلى موقعهم، وتعيينهم لأقسام البنك، وتكوين وخصائص الوسائل التقنية المدرجة فيه) - إلى إدارة تكنولوجيا المعلومات (المشار إليها فيما يلي باسم DIT)؛

    من حيث تجميع وصيانة قائمة مشاكل النظام والمشكلات التطبيقية (الخاصة) التي تم حلها في RM (مع الإشارة إلى قوائم الموارد المستخدمة في حلها - الأجهزة والأدلة والملفات التي تحتوي على معلومات) - إلى قسم الدعم الفني في UIT.

6.3. تقع مسؤولية تحديد متطلبات ضمان السرية والنزاهة والتوافر وتعيين الفئات المناسبة لموارد إدارة المخاطر المحددة (موارد ومهام المعلومات) على عاتق أقسام البنك التي تعمل بشكل مباشر على حل المشكلات المتعلقة ببيانات إدارة المخاطر (أصحاب المعلومات)، وقسم أمن المعلومات.

6.4. تتم الموافقة على فئات موارد المعلومات الخاصة بـ IBS المعينة وفقًا لهذه "اللوائح الخاصة بتصنيف موارد IBS" من قبل رئيس مجلس إدارة البنك.

6.6. يمكن إجراء تصنيف موارد IBS بشكل تسلسلي لكل RM على حدة، يليه دمج وإنشاء قوائم موحدة لموارد IBS المطلوب حمايتها:

    قائمة موارد معلومات IBS الخاضعة للحماية (الملحق 2)؛

    قائمة المهام المطلوب حمايتها (مجموعة من نماذج المهام)؛

    قائمة RM الخاضعة للحماية (مجموعة نماذج RM).

في المرحلة الأولى من العمل على تصنيف موارد RM معينة، يتم تصنيف جميع أنواع المعلومات المستخدمة في حل المشكلات في RM هذه. يتم تحديد فئات المعلومات المعممة بناءً على فئات محددة من السرية وسلامة أنواع محددة من المعلومات. يتم تضمين موارد المعلومات الخاضعة للحماية في "قائمة مصادر المعلومات الخاضعة للحماية".

في المرحلة الثانية، مع الأخذ في الاعتبار الفئات المعممة للمعلومات المستخدمة في حل المشكلات التي تم تحديدها مسبقًا ومتطلبات درجة إمكانية الوصول إلى المهام، يتم تصنيف جميع المهام الوظيفية التي تم حلها في RM هذه.

في المرحلة الرابعة، بناءً على فئات المهام المتفاعلة، يتم إنشاء فئة من القنوات المنطقية لنقل المعلومات بين المهام الوظيفية (على مديري المشاريع المختلفين). 6.7. يتم إعادة اعتماد (تغيير الفئة) لموارد معلومات IBS عندما تتغير متطلبات ضمان حماية خصائص (السرية والنزاهة) للمعلومات ذات الصلة.

يتم إعادة التصديق (تغيير الفئة) للمهام الوظيفية عندما تتغير الفئات العامة لموارد المعلومات المستخدمة لحل مهمة معينة، وكذلك عندما تتغير متطلبات توفر المهام الوظيفية.

تتم إعادة التصديق (تغيير الفئة) للقنوات المنطقية عند تغيير فئات المهام المتفاعلة.

يتم إعادة اعتماد (تغيير الفئة) لـ RM عندما يكون هناك تغيير في الفئات أو تكوين المهام التي تم حلها باستخدام بيانات RM.

6.8. تتم مراجعة الفئات المحددة للموارد المحمية بشكل دوري (مرة واحدة سنويًا) أو بناءً على طلب رؤساء الأقسام الهيكلية للبنك للتأكد من امتثالها للوضع الحقيقي.

7. إجراءات مراجعة اللائحة

7.1. في حالة حدوث تغييرات في متطلبات حماية RM لمختلف الفئات، يخضع الملحق 5 للمراجعة (مع الموافقة اللاحقة).

7.2. إذا تم إجراء تغييرات وإضافات على "قائمة مصادر المعلومات الخاضعة للحماية"، فسيخضع الملحق 4 للمراجعة (مع الموافقة اللاحقة).

الملحق 1 - منهجية تصنيف الموارد المحمية

تهدف هذه المنهجية إلى توضيح إجراءات تصنيف الموارد المحمية في IBS الخاص بالبنك وفقًا لـ "اللوائح الخاصة بتصنيف موارد نظام المعلومات المصرفية". يتضمن التصنيف القيام بأعمال مسح أنظمة IBS الفرعية والأقسام الهيكلية للبنك وتحديد (جرد) جميع موارد IBS التي تخضع للحماية. ويرد أدناه تسلسل تقريبي ومحتوى رئيسي للإجراءات المحددة لتنفيذ هذه الأعمال.

1. لإجراء مسح معلوماتي لجميع الأنظمة الفرعية لنظام معلومات البنك وإجراء جرد لموارد IBS الخاضعة للحماية، يتم تشكيل فريق عمل خاص. تضم هذه المجموعة متخصصين من قسم أمن المعلومات وإدارة تكنولوجيا المعلومات بالبنك (على دراية بقضايا تكنولوجيا المعالجة الآلية للمعلومات). ولإعطاء الوضع اللازم لمجموعة العمل، يتم إصدار أمر مماثل من قبل رئيس مجلس إدارة البنك، والذي يعطي، على وجه الخصوص، تعليمات لجميع رؤساء الأقسام الهيكلية للبنك لتقديم المساعدة والمساعدة اللازمة لمجموعة العمل. في تنفيذ العمل على مسح IBS. لتقديم المساعدة أثناء عمل المجموعة في الأقسام، يجب على رؤساء هذه الأقسام تخصيص موظفين لديهم معلومات مفصلة عن قضايا معالجة المعلومات في هذه الأقسام.

2. أثناء فحص الأقسام المحددة للبنك وأنظمة المعلومات الفرعية، يتم تحديد ووصف جميع المهام الوظيفية التي تم حلها باستخدام IBS، وكذلك جميع أنواع المعلومات (المعلومات) المستخدمة في حل هذه المهام في الأقسام.

3. يتم إعداد قائمة عامة بالمهام الوظيفية ويتم إعداد نموذج لكل مهمة (الملحق 2). يجب أن يؤخذ في الاعتبار أن نفس المهمة في الأقسام المختلفة قد يتم استدعاؤها بشكل مختلف، والعكس صحيح، قد يكون للمهام المختلفة نفس الاسم. وفي الوقت نفسه يتم الاحتفاظ بسجلات الأدوات البرمجية (العامة والخاصة) المستخدمة في حل المهام الوظيفية للقسم.

4. عند فحص الأنظمة الفرعية وتحليل المهام، يتم تحديد جميع أنواع الواردة والصادرة والمخزنة والمعالجة وما إلى ذلك. معلومة. من الضروري تحديد ليس فقط المعلومات التي يمكن تصنيفها على أنها سرية (الأسرار المصرفية والتجارية والبيانات الشخصية)، ولكن أيضًا المعلومات التي تخضع للحماية بسبب انتهاك سلامتها (التشويه أو التزوير) أو إمكانية الوصول إليها ( التدمير أو الحجب) يمكن أن يسبب ضررًا كبيرًا للبنك أو عملائه أو مراسليه.

5. عند تحديد جميع أنواع المعلومات المتداولة والمعالجة في الأنظمة الفرعية، من المستحسن تقييم مدى خطورة العواقب التي يمكن أن تنجم عن انتهاك خصائصها (السرية والنزاهة). للحصول على تقييمات أولية لخطورة هذه العواقب، يُنصح بإجراء مسح (على سبيل المثال، في شكل استبيان) للمتخصصين الذين يعملون بهذه المعلومات. وفي الوقت نفسه، من الضروري معرفة من قد يكون مهتمًا بهذه المعلومات، وكيف يمكنهم التأثير عليها أو استخدامها بشكل غير قانوني، وما هي العواقب التي قد يؤدي إليها ذلك.

6. يتم إدخال المعلومات المتعلقة بتقديرات الضرر المحتمل في نماذج خاصة (الملحق 3). إذا كان من المستحيل تحديد حجم الضرر المحتمل، يتم إجراء تقييم نوعي (على سبيل المثال: منخفض، متوسط، مرتفع، مرتفع جدًا).

7. عند تجميع قائمة ونماذج المهام الوظيفية التي تم حلها في البنك، من الضروري معرفة تكرار حلها، والحد الأقصى المسموح به للتأخير في الحصول على نتائج حل المشكلات وخطورة العواقب التي يمكن أن تنجم عن الانتهاكات من توافرها (عرقلة القدرة على حل المشاكل). يتم تسجيل تقديرات الضرر المحتمل في نماذج خاصة (الملحق 3). إذا كان من المستحيل تحديد الضرر المحتمل، يتم إجراء تقييم نوعي.

8. يتم إدخال جميع أنواع المعلومات المختلفة التي تم تحديدها خلال المسح في "قائمة مصادر المعلومات الخاضعة للحماية".

9. يتم تحديد (ومن ثم الإشارة إليها في القائمة) نوع السر (المصرفي، التجاري، البيانات الشخصية، التي لا تشكل سرًا) الذي ينتمي إليه كل نوع من أنواع المعلومات المحددة (استنادًا إلى متطلبات التشريع الحالي و الحقوق التي يمنحها).

10. يتم توضيح المقترحات الأولية لتقييم فئات ضمان سرية وسلامة أنواع محددة من المعلومات من المديرين (كبار المتخصصين) في الوحدة الهيكلية للبنك (بناءً على تقييماتهم الشخصية للضرر المحتمل من انتهاك السرية والنزاهة المعلومات). يتم إدخال تقييمات فئات المعلومات هذه في "قائمة موارد المعلومات الخاضعة للحماية" (في العمودين 2 و3).

11. ثم يتم الاتفاق على القائمة مع رؤساء أقسام الأمن وتكنولوجيا المعلومات وإدارة أمن المعلومات وعرضها على لجنة إدارة أمن المعلومات للنظر فيها.

12. عند النظر في القائمة من قبل لجنة إدارة أمن المعلومات، قد يتم إجراء تغييرات وإضافات عليها. ترفع النسخة المعدة من "قائمة مصادر المعلومات الخاضعة للحماية" إلى رئيس مجلس إدارة البنك للموافقة عليها.

13. وفقًا لفئات السرية والنزاهة المحددة في "قائمة مصادر المعلومات الخاضعة للحماية" المعتمدة، يتم تحديد فئة معممة لكل نوع من المعلومات (وفقًا للجدول رقم 1 من لائحة التصنيف).

14. في المرحلة التالية يتم تصنيف المهام الوظيفية. بناءً على متطلبات إمكانية الوصول التي حددها رؤساء الأقسام التشغيلية بالبنك والمتفق عليها مع إدارات الأمن وتكنولوجيا المعلومات، يتم تصنيف جميع المهام الوظيفية (التطبيقية) الخاصة التي تم حلها في الأقسام باستخدام IBS (الجدول 2 من اللوائح المتعلقة بتصنيف الموارد). يتم إدخال المعلومات حول فئات المهام الخاصة في نماذج المهام. لا يتم تصنيف المهام العامة (النظام) وأدوات البرامج خارج نطاق الإشارة إلى RMs محددة.

في المستقبل، وبمشاركة متخصصي تكنولوجيا المعلومات، من الضروري توضيح تكوين المعلومات والموارد البرمجية لكل مهمة وإدخال معلومات في نموذجها عن مجموعات مستخدمي المهمة وتعليمات إعداد أدوات الأمان المستخدمة في حلها. ذلك (حقوق الوصول لمجموعات المستخدمين إلى موارد المهام المدرجة). سيتم استخدام هذه المعلومات كمعيار لإعدادات وسائل الحماية الخاصة بـ RMs المقابلة التي سيتم حل هذه المهمة عليها، ولمراقبة صحة تثبيتها.

15. ثم يتم تصنيف جميع القنوات المنطقية بين المهام الوظيفية. يتم تعيين فئة القناة بناءً على الحد الأقصى لفئة المهام المتضمنة في التفاعل.

16. في المرحلة الأخيرة، يتم تصنيف RM. يتم إنشاء فئة RM بناءً على الحد الأقصى لفئة المشكلات الخاصة التي تم حلها عليها (أو فئة المعلومات المستخدمة في حل المشكلات العامة). يمكن لـ RM واحد أن يحل أي عدد من المشكلات، التي تكون فئاتها أقل من الحد الأقصى الممكن في RM معين، بما لا يزيد عن مشكلة واحدة. يتم إدخال المعلومات المتعلقة بفئة RM في نموذج RM.

تصنيف المعلومات حسب الأهمية موجود بشكل موضوعي ولا يعتمد على رغبات الإدارة، حيث يتم تحديده من خلال آلية أنشطة البنك ويحدد خطورة تدمير المعلومات أو تعديلها. هناك العديد من الخيارات لهذا التصنيف. هنا هو أبسط واحد:

1. المعلومات المهمة – المعلومات التي لا يمكن الاستغناء عنها والضرورية لأنشطة البنك، وتكون عملية استعادتها بعد التدمير مستحيلة أو تتطلب عمالة كثيفة وترتبط بتكاليف عالية، كما أن تعديلها أو تزويرها بشكل خاطئ يسبب أضرارا كبيرة.

2. المعلومات المفيدة – المعلومات الضرورية التي يمكن استعادتها دون تكلفة كبيرة، ويؤدي تعديلها أو تدميرها إلى خسائر مادية بسيطة نسبياً.

يتم تصنيف المعلومات وفقًا للسرية بشكل شخصي من قبل الإدارة أو الموظفين وفقًا للصلاحيات المخصصة لهم، اعتمادًا على مخاطر الكشف عنها. بالنسبة لأنشطة البنك التجاري، هناك درجتان من التدرج كافية.

1. المعلومات السرية – المعلومات التي لا يفضل الوصول إليها لبعض الموظفين أو الأشخاص غير المصرح لهم، لأنها قد تسبب خسائر مادية ومعنوية.

2. المعلومات المفتوحة - المعلومات التي لا يرتبط الوصول إليها من قبل الغرباء بأي خسائر.

يجب على الإدارة أن تقرر من وكيف سيحدد مدى حساسية وسرية المعلومات. وبدون مثل هذا الحل، لن يكون من الممكن القيام بأي عمل ذي معنى لإنشاء نظام مصرفي إلكتروني.

خطة الحماية

وينتهي تحليل المخاطر باعتماد السياسة الأمنية ووضع خطة الحماية بالأقسام التالية:

1. الوضع الحالي. وصف لحالة نظام الحماية وقت إعداد الخطة.

3. المسؤولية. قائمة الموظفين المسؤولين ومجالات المسؤولية.

4. الجدول الزمني. تحديد ترتيب عمل آليات الحماية بما في ذلك الضوابط.

5. مراجعة أحكام الخطة والتي يجب مراجعتها بشكل دوري.

القضية الرئيسية في المرحلة الأولى من إنشاء نظام أمني هي تعيين المسؤولين عن أمن النظام وتحديد مجالات نشاطهم. كقاعدة عامة، عندما يتم طرح مثل هذه الأسئلة في البداية، يتبين أنه لا أحد يريد أن يكون مسؤولاً عن هذا الجانب من أمن المنظمة. ويميل مبرمجو النظام ومسؤولو النظام إلى إسناد هذه المهمة إلى جهاز الأمن العام، في حين يرى الأخير بدوره أن مثل هذه المشكلة يجب أن تقع على عاتق المتخصصين في مجال الكمبيوتر.

أحكام السلامة

عند اتخاذ قرار بشأن توزيع المسؤولية عن أمن نظام الكمبيوتر، يجب مراعاة الأحكام التالية:

1. لا يمكن لأي شخص آخر غير الإدارة اتخاذ قرارات أساسية في مجال سياسة أمن الكمبيوتر؛

2. لا يمكن لأحد غير المتخصصين ضمان الأداء الصحيح لنظام الأمان؛

3. لا توجد منظمة خارجية أو مجموعة من المتخصصين لها مصلحة حيوية في فعالية تكلفة التدابير الأمنية.

يجب أن يتضمن مجال القرارات الإستراتيجية عند إنشاء نظام أمان الكمبيوتر تطوير المتطلبات العامة لتصنيف البيانات المخزنة والمعالجة بواسطة نظام الكمبيوتر. في كثير من الحالات، هناك خلط بين مفهومي السرية (السرية) وأهمية المعلومات.



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة