تدابير لحماية المعلومات الحاسوبية القيمة. تدابير أمن المعلومات
تضمن التدابير الفنية منع الكشف عن المعلومات السرية وتسربها من خلال الوسائل التقنية لدعم أنشطة الإنتاج والعمالة، فضلاً عن مكافحة الوسائل التقنية للتجسس الصناعي بمساعدة وسائل تقنية خاصة مثبتة على العناصر الهيكلية للمباني والمباني والوسائل التقنية التي يحتمل أن تكون قنوات النموذج لتسرب المعلومات.
تضمن التدابير الفنية اقتناء وتركيب واستخدام وسائل تقنية خاصة ومحمية من الإشعاع والتداخل غير المرغوب فيه في عملية أنشطة الإنتاج، لمعالجة المعلومات أو الوسائل السرية.
وسائل الحماية الفنية: - وسائل الأمن: أنظمة الأمن والإنذار بالحريق. الدوائر التلفزيونية المغلقة؛ أنظمة التحكم في الوصول؛ وسائل الأمن الخطي - وسائل أمن المعلومات: وسائل كشف وتحديد هوية CG في NSD؛ وسائل الحماية والتدابير المضادة؛ أدوات بحث النظم. - أدوات حماية البرمجيات: البرمجيات؛ المعدات؛ مجموع. - وسائل المراقبة: الإشعاعية؛ السمية. الألعاب النارية. أجهزة الكشف عن المعادن. 8
4.4. العمل مع الموظفين
في حماية الأنشطة التجارية من أنواع مختلفة من التهديدات، يلعب موظفو المؤسسة دورًا مهمًا. تتحدد أهمية العمل مع الموظفين من خلال حقيقة أنه إذا رغب الموظف في الكشف عن معلومات تمثل سرًا تجاريًا، فلن تتمكن أي وسائل حماية، حتى باهظة الثمن، من منع ذلك.
يتضمن تنظيم الحماية الفعالة للأمن الاقتصادي للشركة من جانب الموظفين ثلاث مراحل رئيسية للعمل مع الموظفين الذين لديهم إمكانية الوصول إلى المعلومات السرية: الأولية (في الفترة السابقة للتوظيف)؛ الحالي (خلال فترة عمل الموظف)؛ نهائي (أثناء فصل الموظف).
المرحلة الأولية هي الأكثر أهمية، وبالتالي، أكثر صعوبة. بادئ ذي بدء، بناءً على الوصف الوظيفي وخصائص النشاط، يتم تطوير متطلبات المرشح لهذا المنصب. وهي لا تشمل المتطلبات الرسمية فقط - الجنس والعمر والتعليم والخبرة العملية، ولكن أيضًا عددًا من الصفات الأخلاقية والنفسية التي يجب أن يتمتع بها المرشح. يتيح لك ذلك توضيح نوع الموظف الذي تحتاجه الشركة والمرشح نفسه - لمقارنة صفاته بالصفات المطلوبة.
ومن ثم يتم اختيار المرشحين للوظيفة الشاغرة. يمكن أن تتنوع طرق اختيار المرشح. وينبغي إعطاء الأفضلية لتلك الأساليب التي تقلل من احتمالية الاختراق من قبل أشخاص عديمي الضمير، إما يمثلون مصالح المنافسين أو الهياكل الإجرامية. وتشمل هذه: الاتصال بخدمات التوظيف ووكالات توظيف العمال وغيرها من المنظمات المماثلة؛ البحث عن المرشحين بين الطلاب وخريجي مؤسسات التعليم العالي؛ اختيار المرشحين بناء على توصيات الشركات الشريكة؛ اختيار المرشحين بناءً على توصيات موظفي الشركة الموثوقين.
إن الاختيار على أساس الطلبات العشوائية للمرشحين مباشرة إلى الشركة قد يشكل تهديدًا لأمنها الاقتصادي في المستقبل. ومن المستحسن، خاصة عند اختيار مرشح عشوائيا، تقديم طلب للحصول على مكان عمل سابق من أجل الحصول على خصائص صفاته الأخلاقية والتجارية، فضلا عن البيانات المتعلقة بسجلاته الجنائية المحذوفة. للتعرف بشكل كامل على شخصية المرشح، من الممكن استخدام خدمات هيئات الشؤون الداخلية. تقدم هيئات الشؤون الداخلية معلومات حول وجود (غياب) السجل الجنائي للمرشح وعن الأشخاص المدرجين في قائمة المطلوبين
بعد التعرف على مستندات المرشح (الوثائق الشخصية، التعليم، المنصب السابق والخبرة العملية، الخصائص والتوصيات)، والأخيرة مع المتطلبات الخاصة به والاعتراف بالامتثال المتبادل، يتم إجراء مقابلة بين موظف خدمة شؤون الموظفين بالشركة و المرشح. يقوم المرشح بملء استبيان والإجابة على الأسئلة، بما في ذلك أسئلة الاختبارات المهنية والنفسية. الصفات النفسية للمرشح لا تقل أهمية عن الصفات المهنية. لا يسمح الاختيار النفسي فقط بمعرفة الصفات الأخلاقية والأخلاقية للمرشح، ونقاط ضعفه، واستقراره العقلي، ولكن أيضًا ميوله الإجرامية المحتملة وقدرته على الحفاظ على الأسرار.
إذا نجح المرشح في اجتياز الاختبار وتم الاعتراف به على أنه مناسب لهذا المنصب، فسيتم إبرام وثيقتين (توقيعهما):
اتفاقية العمل (العقد). يجب أن يحتوي العقد بالضرورة على بند بشأن التزام الموظف بعدم الكشف عن المعلومات السرية (الأسرار التجارية) والامتثال للتدابير الأمنية؛
اتفاقية (التزام) بعدم إفشاء المعلومات السرية (السر التجاري)، وهي وثيقة قانونية يتعهد فيها المرشح لوظيفة شاغرة بعدم الإفصاح عن معلومات ستعرفه أثناء عمله في الشركة، كذلك كمسؤولية عن الكشف عنها أو عدم الالتزام بقواعد السلامة.
يجب أن يبدأ النشاط المباشر للموظف المعين حديثاً، من أجل التحقق من ملاءمته للمنصب الذي يشغله والامتثال لقواعد العمل بالمعلومات السرية، بفترة اختبار، وفي نهايتها يتم اتخاذ القرار النهائي بشأن تعيين الموظف. مرشح للعمل الدائم.
في عملية العمل الجاري، من الضروري تحديد الإجراء الخاص بوصول الموظف إلى المعلومات السرية (الأسرار التجارية). يحق لجميع موظفي الشركة (المؤسسة) الذين يتعاملون مع المعلومات السرية التعرف عليها فقط بالقدر الذي تنص عليه مسؤولياتهم الوظيفية ويتطلبه العمل. وفي هذا الصدد، يجب أن ينص كل منصب على الحق في الحصول على قدر معين من المعلومات السرية، والتي بعد ذلك سيتم اعتبارها انتهاكًا للواجبات وتشكل تهديدًا معينًا لأمن الشركة. يتم تحديد حجم هذه القائمة من قبل رئيس الشركة أو لجنة خاصة. وفقا لذلك، يحصل كل موظف على الوصول إلى المعلومات السرية لمستوى معين.
إحدى الطرق الفعالة لحماية المعلومات، خاصة إذا كان لدى الشركة عدد من مرافق الإنتاج (المتاجر والأقسام والمواقع)، هي الحد من الوصول الفعلي (الحركة) للموظفين إلى مناطق أخرى لا تتعلق بالمسؤوليات الوظيفية للموظفين. لا تتم الزيارات إلى المناطق "المغلقة" إلا بإذن من الإدارة.
الطريقة الأصلية لحماية المعلومات التي تستخدمها بعض الشركات هي تقسيم المعلومات المتجانسة إلى كتل مستقلة منفصلة وتعريف الموظفين بواحدة منها فقط، مما لا يسمح للموظفين بتخيل الوضع العام في هذا المجال.
خاتمة
المعلومات التجارية هي معلومات حول الوضع الحالي في السوق لمختلف السلع والخدمات. ويشمل ذلك المؤشرات الكمية والنوعية للأنشطة التجارية للشركة، والمعلومات والبيانات المختلفة عن الأنشطة التجارية (الأسعار، الموردين، المنافسين، شروط التسليم، الحسابات، مجموعة المنتجات، وما إلى ذلك). الغرض من المعلومات التجارية هو أنها تسمح لك بتحليل أنشطتك التجارية والتخطيط لها ومراقبة النتائج. مصادر المعلومات التجارية هي الأفراد والوثائق والمنشورات والوسائط الفنية والمنتجات.
الأسرار التجارية هي مصالح اقتصادية ومعلومات حول مختلف جوانب ومجالات الإنتاج والأنشطة الاقتصادية والإدارية والعلمية والتقنية والمالية للشركة، ويتم إخفاؤها عمدًا لأسباب تجارية، وتكون حمايتها لمصلحة المنافسة والتهديدات المحتملة. على الأمن الاقتصادي للشركة. ينشأ السر التجاري عندما يكون ذا أهمية تجارية.
في اقتصاد السوق، يواجه رواد الأعمال تحديات ومشاكل جديدة، والتي تعتمد على الحل المناسب لها آفاق العمل. لذلك، في الأنشطة الاقتصادية للمؤسسات والمنظمات، ظهرت أولويات جديدة بشكل موضوعي - حماية المعلومات في مجال الأسرار التجارية من أجل ضمان الأمن الاقتصادي.
الطرق الأساسية لحماية المعلومات:
تشريعية. بناءً على الامتثال لحقوق صاحب المشروع في الحصول على المعلومات السرية الواردة في التشريع الروسي.
التنظيمية. ويشمل: استحداث منصب أو إنشاء خدمة مسؤولة عن تصنيف معلومات معينة على أنها سرية، مع مراعاة قواعد الوصول إلى هذه المعلومات واستخدامها؛ فصل المعلومات حسب درجة السرية وتنظيم الوصول إلى المعلومات السرية فقط وفقا للمنصب أو بإذن الإدارة؛ الامتثال لقواعد استخدام المعلومات؛ وجود نظام مراقبة دائم للامتثال لقواعد الوصول إلى المعلومات واستخدامها.
اِصطِلاحِيّ. يتم استخدام وسائل التحكم والحماية (أجهزة الإنذار، كاميرات الفيديو، الميكروفونات، أدوات التعريف، برامج حماية أنظمة الكمبيوتر من الوصول غير المصرح به).
العمل مع الموظفين. إنه ينطوي على العمل النشط لخدمات شؤون الموظفين بالشركة في توظيف الموظفين وفحصهم وتدريبهم وتعيينهم وترقيتهم وتحفيزهم. ينبغي إرشاد الموظفين بانتظام حول ضرورة الالتزام بقواعد استخدام المعلومات السرية وبشأن المسؤولية عن الانتهاكات.
قائمة المراجع المستخدمة
5.1. يتم تطوير التدابير وضمان حماية المعلومات السرية من قبل قسم حماية المعلومات السرية (خدمة الأمن) أو من قبل متخصصين فرديين يعينهم رئيس السلطة التنفيذية للقيام بهذا العمل. يمكن أيضًا تنفيذ تطوير تدابير أمن المعلومات بواسطة مؤسسات خارجية لديها تراخيص مناسبة من FSTEC في روسيا وFSB في روسيا للحصول على الحق في تنفيذ العمل ذي الصلة.
5.2. ولحماية المعلومات السرية، يتم استخدام وسائل الحماية التقنية المعتمدة حسب المتطلبات الأمنية.
5.3. يجب أن تكون كائنات المعلوماتية معتمدة وفقًا لمتطلبات أمن المعلومات وفقًا للوثائق التنظيمية الصادرة عن FSTEC في روسيا.
5.4. وتقع مسؤولية ضمان متطلبات الحماية الفنية للمعلومات السرية على عاتق رئيس السلطة التنفيذية التي تدير مرافق تكنولوجيا المعلومات.
5.5. الحماية التقنية للمعلومات في المباني المحمية.
تشمل التدابير الرئيسية للحماية الفنية للمعلومات السرية في أمر الشراء ما يلي:
5.5.1. تحديد قائمة أوامر الشراء بناءً على نتائج تحليل المعلومات السرية المتداولة فيها وشروط تبادلها (معالجتها)، وفقًا للوثائق التنظيمية الصادرة عن FSTEC في روسيا.
5.5.2. تعيين الموظفين المسؤولين عن استيفاء متطلبات الحماية الفنية للمعلومات السرية في أمر الشراء، ثم الموظفين المسؤولين عن أمن المعلومات.
5.5.3. تطوير التعليمات الخاصة لضمان أمن المعلومات في أمر الشراء.
5.5.4. ضمان التحكم الفعال في الوصول إلى المبنى، وكذلك إلى المباني المجاورة.
5.5.5. إرشاد الموظفين العاملين في المنطقة Z حول قواعد تشغيل أجهزة الكمبيوتر الشخصية والوسائل التقنية الأخرى لمعالجة المعلومات ووسائل الاتصال بما يتوافق مع متطلبات الحماية الفنية للمعلومات السرية.
5.5.6. إجراء فحوصات بصرية إلزامية (قبل الاجتماعات مباشرة) وفحص فعال (قبل الاجتماعات المهمة وبشكل دوري مرة كل ثلاثة أشهر) في المنطقة Z بحثًا عن وجود أجهزة مدمجة مضمنة، بما في ذلك مراقبة جميع الأجسام الغريبة والهدايا والتذكارات وغيرها من العناصر المتبقية في المنطقة Z.
5.5.7. القضاء على الوصول غير المنضبط إلى خطوط الاتصالات والتحكم والإنذار في المبنى، وكذلك في الغرف المجاورة وفي الممر.
5.5.8. تجهيز أجهزة الهاتف الخاصة بمقسمات الهاتف الأوتوماتيكية بالمدينة والموجودة في المنطقة بأجهزة عزل عالية التردد لقمع الإشارات الضعيفة والحفاظ عليها في حالة صالحة للعمل. بالنسبة للهواتف المقترنة، يكفي جهاز واحد لكل خط يمتد إلى ما بعد أمر الشراء.
5.5.9. مراقبة جميع أعمال التركيب والإصلاح في الغرف المخصصة والمجاورة، وكذلك في الممرات، من قبل الموظفين المسؤولين عن أمن المعلومات.
5.5.10. التأكد من المستوى المطلوب لعزل الصوت لأبواب المدخل ZP.
5.5.11. التأكد من المستوى المطلوب لعزل الصوت لنوافذ ZP.
5.5.12. تفكيك أو تأريض (على كلا الجانبين) الموصلات والكابلات الزائدة (غير المستخدمة) في قاطع الدائرة.
5.5.13. - فصل جميع الأجهزة الكهربائية واللاسلكية غير المستخدمة من شبكات الكهرباء والبث أثناء الاجتماعات في المنطقة Z.
5.5.14. ويجب استيفاء الشروط التالية قبل عقد الاجتماعات:
يجب أن تكون النوافذ مغلقة بإحكام ومغطاة بالستائر؛
الأبواب مغلقة بإحكام.
5.6. حماية المعلومات المتداولة في OTSS والموجهة إلى VTSS.
5.6.1. عند تشغيل OTSS وHTSS، من الضروري الالتزام الصارم بالمتطلبات المحددة في تعليمات التشغيل.
5.6.2. إذا كان من المستحيل توفير منطقة يمكن التحكم فيها بحجم معين، يوصى باتخاذ التدابير التالية:
تطبيق أنظمة الضوضاء المكانية الكهرومغناطيسية (SPZ) في المنطقة التي تقع فيها OTSS المحمية.
تطبيق وسائل الضوضاء الكهرومغناطيسية الخطية (ELN) لخطوط إمداد الطاقة والبث الإذاعي والتأريض والاتصالات.
5.6.3. يجب ضمان الحماية الفنية للمعلومات في مرافق الكمبيوتر (CT) والأنظمة الآلية (AS) من الوصول غير المصرح به وفقًا لمتطلبات الوثائق الحاكمة للجنة الفنية الحكومية في روسيا من خلال:
تنفيذ تصنيف SVT وAS؛
تنفيذ تدابير الحماية التنظيمية اللازمة؛
تثبيت البرامج والأجهزة المعتمدة - الوسائل التقنية لحماية المعلومات من الوصول غير المصرح به.
حماية قنوات الاتصال المخصصة لنقل المعلومات السرية.
حماية المعلومات من تأثيرات برامج الإشارات المرجعية وفيروسات الكمبيوتر.
5.7. يتم تنظيم وتنفيذ العمل المتعلق بالحماية من الفيروسات للمعلومات ذات الوصول المحدود والتي لا تحتوي على معلومات تشكل سرًا من أسرار الدولة، عند معالجتها بالوسائل التقنية، من خلال هذه الوثيقة ومعايير الدولة الحالية والوثائق التنظيمية والمنهجية الأخرى للدولة اللجنة الفنية لروسيا.
يتم تنظيم حماية معلومات مكافحة الفيروسات في كائنات تكنولوجيا المعلومات من خلال:
تركيب واستخدام أدوات حماية المعلومات المضادة للفيروسات؛
تحديث قواعد بيانات أدوات حماية المعلومات المضادة للفيروسات؛
تصرفات المسؤولين عند اكتشاف إصابة المعلومات وموارد الحوسبة بفيروسات البرامج.
5.7.1. يعهد بتنظيم العمل المتعلق بحماية المعلومات من الفيروسات إلى رؤساء الأقسام الهيكلية والمسؤولين الذين يمارسون الرقابة على الحماية من الفيروسات، ويتم تعيين التوجيه المنهجي والرقابة على فعالية تدابير حماية المعلومات المقدمة إلى رئيس قسم حماية المعلومات السرية (المسؤول) في OIV.
5.7.2. يجب أن تتم حماية المعلومات من تأثيرات فيروسات البرامج على كائنات تكنولوجيا المعلومات من خلال استخدام أدوات الحماية من الفيروسات. تم تحديد إجراءات استخدام أدوات الحماية من الفيروسات مع مراعاة المتطلبات التالية:
التحكم الإلزامي في المدخلات بسبب عدم وجود فيروسات برمجية لجميع حاملات المعلومات ومصفوفات المعلومات والبرامج العامة والخاصة التي تصل إلى منشأة المعلومات؛
الفحص الدوري من قبل مستخدمي محركات الأقراص المغناطيسية الصلبة (مرة واحدة على الأقل في الأسبوع) والفحص الإلزامي لوسائط التخزين المستخدمة في العمل قبل البدء في العمل معهم للتأكد من عدم وجود فيروسات البرامج؛
فحص غير مجدول لوسائط التخزين للتأكد من عدم وجود فيروسات برمجية في حالة الاشتباه في وجود فيروس برمجي؛
استعادة وظائف البرامج ومصفوفات المعلومات في حالة تلفها بسبب فيروسات البرامج.
5.7.3. يُسمح فقط باستخدام منتجات مكافحة الفيروسات المرخصة والمعتمدة وفقًا لمتطلبات الخدمة الفيدرالية للرقابة الفنية ومراقبة الصادرات في روسيا.
5.7.4. يتم تحديد إجراءات استخدام أدوات الحماية من الفيروسات في جميع الحالات مع مراعاة المتطلبات التالية:
مكافحة الفيروسات المدخلة للتحكم في جميع المعلومات والبرامج الواردة على الوسائط الخارجية لأي غرض من الأغراض.
مكافحة الفيروسات الواردة السيطرة على جميع المعلومات الواردة عن طريق البريد الإلكتروني؛
مراقبة مدخلات مكافحة الفيروسات لجميع المعلومات الواردة من الإنترنت؛
التحكم في إخراج مكافحة الفيروسات لجميع المعلومات الصادرة على أي وسائط خارجية و/أو المنقولة عبر شبكة محلية إلى محطات العمل/الخوادم الأخرى، بالإضافة إلى نقل المعلومات عبر البريد الإلكتروني؛
الفحص الدوري لمكافحة الفيروسات للتأكد من عدم وجود فيروسات الكمبيوتر على محركات الأقراص الثابتة لمحطات العمل والخوادم؛
المسح الإلزامي لمكافحة الفيروسات لوسائط التخزين الخارجية المستخدمة في العمل؛
التحكم المستمر في مكافحة الفيروسات على محطات العمل والخوادم باستخدام أجهزة مراقبة مكافحة الفيروسات المقيمة في الوضع التلقائي؛
التأكد من تلقي تحديثات برامج مكافحة الفيروسات تلقائيًا، بما في ذلك تحديثات قواعد بيانات الفيروسات والإصدارات الجديدة من البرامج؛
فحص غير مجدول لمكافحة الفيروسات للوسائط الخارجية ومحركات الأقراص الثابتة لمحطات العمل والخوادم بحثًا عن عدم وجود فيروسات الكمبيوتر في حالة الاشتباه في وجود فيروس كمبيوتر؛
استعادة وظائف البرامج والأجهزة، وكذلك المعلومات نفسها، في حالة حدوث ضرر بسبب فيروسات الكمبيوتر.
5.7.5 يتم تحديد إجراءات تثبيت أدوات الحماية من الفيروسات واستخدامها من خلال إرشادات التثبيت وتعليمات التشغيل الخاصة بمنتج برنامج مكافحة الفيروسات المحدد.
5.7.6. في حالة اكتشاف فيروسات برمجية على وسيط التخزين أو في الملفات المستلمة، يقوم المستخدمون بإبلاغ قسم حماية المعلومات السرية أو الموظف المسؤول بذلك، واتخاذ التدابير اللازمة لاستعادة وظائف البرنامج والبيانات.
يتم إبلاغ حقيقة اكتشاف فيروسات البرامج إلى السلطة التي تم استلام الملفات المصابة منها، حتى يمكن اتخاذ التدابير لتوطين فيروسات البرامج والقضاء عليها.
قبل إرسال مصفوفات من المعلومات والبرامج، يتم فحصها بحثًا عن فيروسات البرامج.
في حالة اكتشاف فيروسات برمجية، يلتزم المستخدم بالتوقف فورًا عن جميع الأعمال في مكان العمل الآلي، وإخطار قسم خدمة تكنولوجيا المعلومات بالهيئة الحكومية لحماية المعلومات السرية واتخاذ التدابير لتوطينها وإزالتها باستخدام الحماية المتاحة من الفيروسات أدوات.
عندما تعمل محطة العمل كمحطة عمل لشبكة الكمبيوتر، يتم فصلها عن الشبكة المحلية، ويتم تحديد موقع فيروسات البرامج وإزالتها من شبكة الكمبيوتر.
يتم التخلص من عواقب التعرض لفيروسات البرامج من قبل ممثلين مدربين لوحدة خدمة تكنولوجيا المعلومات التابعة للهيئة الحكومية لحماية المعلومات السرية.
5.7.7. يجب أن يهدف تنظيم الحماية ضد الفيروسات للمعلومات السرية إلى منع إصابة محطات العمل التي تشكل جزءًا من شبكات الكمبيوتر المحلية والخوادم ذات المستويات والأغراض المختلفة بالفيروسات.
5.7.8. من الضروري تحديث قواعد بيانات الفيروسات باستمرار. قم بتعيين تكرار التحديث وفقًا لأدوات مكافحة الفيروسات المستخدمة وتكرار إصدار التحديثات لقواعد البيانات المحددة.
5.7.9. يتم تحديد إجراء تثبيت أدوات الحماية من الفيروسات واستخدامها من خلال إرشادات التثبيت وتعليمات التشغيل الخاصة بمنتج برنامج مكافحة فيروسات معين وتعليمات الحماية من الفيروسات.
5.8. يتم إسناد الدعم التنظيمي والفني لعمليات إنشاء واستخدام وتغيير وإنهاء كلمات المرور في أنظمة المعلومات إلى مسؤول النظام في السلطة التنفيذية.
5.8.1. يجب إنشاء كلمات المرور الشخصية وتوزيعها مركزياً، مع مراعاة المتطلبات التالية:
- يجب أن تتكون كلمة المرور من 8 أحرف على الأقل؛
- يجب ألا تتضمن كلمة المرور مجموعات من الأحرف التي يتم حسابها بسهولة (الأسماء الأولى، وأسماء العائلة، وأسماء محطات العمل، وما إلى ذلك)، بالإضافة إلى الاختصارات المقبولة عمومًا؛
– عند تغيير كلمة المرور يجب أن تختلف القيمة الجديدة عن السابقة في 6 مواضع على الأقل؛
– لا يحق للمستخدم الكشف عن كلمة المرور الشخصية الخاصة به لأي شخص.
يجب أن يكون أصحاب كلمات المرور على دراية بالمتطلبات المذكورة أعلاه وتحذيرهم من المسؤولية عن استخدام كلمات المرور التي لا تلبي هذه المتطلبات، وكذلك الكشف عن معلومات كلمة المرور.
5.8.2 يتم إنشاء كلمات المرور الشخصية للمستخدمين مركزيًا. يمكن استخدام أدوات برمجية خاصة لإنشاء قيم كلمات مرور "قوية". يجب أن يستبعد نظام الإنشاء المركزي لكلمات المرور وتوزيعها إمكانية التعرف (من قبل الموظفين المعتمدين أنفسهم، وكذلك من قبل رؤساء الأقسام) على كلمات مرور موظفي الأقسام الآخرين.
5.8.3. يجب إجراء التغييرات الكاملة المخططة لكلمات مرور المستخدم بانتظام.
5.8.4. يجب إجراء تغيير غير مجدول لكلمة المرور الشخصية أو حذف حساب مستخدم نظام المعلومات في حالة إنهاء صلاحياته (الفصل، النقل إلى وظيفة أخرى، وما إلى ذلك) بناءً على توصية مسؤول الأمن من قبل الموظفين المعتمدين فورًا بعد نهاية الجلسة الأخيرة للمستخدم مع النظام.
5.8.5. في حالة اختراق كلمة المرور الشخصية لمستخدم نظام المعلومات، يجب اتخاذ الإجراءات على الفور وفقًا للفقرة 5.8.4 من هذه التعليمات.
5.8.6 لا يجوز للموظف (المنفذ) تخزين قيم كلمات المرور الخاصة به على وسيلة ملموسة إلا في خزنة شخصية مختومة من قبل صاحب كلمة المرور، أو في خزنة رئيس القسم في ظرف مختوم أو مقلمة (ربما مع وسيلة تخزين شخصية ومعرف ذاكرة اللمس).
5.8.7. يتم تعيين التحكم اليومي في تصرفات فناني الأداء وموظفي صيانة النظام عند العمل باستخدام كلمات المرور، والامتثال لإجراءات تغييرها واستخدامها في الإدارات، إلى مسؤول الأمن في القسم، ويتم تعيين التحكم الدوري إلى متخصص في أمن المعلومات أو الموظف المسؤول.
لم يعد الجميع متفاجئين من حقيقة أن المعلومات التي تشكل سرًا تجاريًا لمؤسسة أو أخرى تظهر للبيع باستمرار. لن يكون من الصعب اليوم الحصول على قاعدة عملاء أو بيانات شخصية لموظفي الشركة التي تهتم بها. يحدث هذا لأن القادة التنظيميين لا يبذلون جهودًا كافية لحماية المعلومات المتعلقة بالأسرار التجارية. علاوة على ذلك، لا ينبغي لنا أن ننسى الصيادين الواقعيين للحصول على مثل هذه المعلومات. أدخل التقدم العلمي والتكنولوجي في حياتنا عددا كبيرا من الوسائل التقنية التي جعلت من الممكن تسجيل المحادثات الهاتفية والاجتماعات، كما أصبح من الممكن قراءة المعلومات من شاشة الكمبيوتر مع التواجد الجغرافي بعيدا عن موقع الشركة.
لكن المصدر الرئيسي لتسرب المعلومات هو الموظفين. هم الذين يسربون المعلومات التي تشكل سرًا تجاريًا. يمكن أن يكون هناك الكثير من الأسباب لذلك - الحصول على دخل إضافي، عن طريق الإهمال أو عن طريق الصدفة.
اليوم، تقدم الشركات المتخصصة في الحماية الفنية للمعلومات القيمة عددًا من المنتجات القادرة على حظر الأجهزة ديناميكيًا والتي يمكن للمهاجمين من خلالها تنزيل المعلومات.
لكن الأصعب هو بناء دفاع ضد العامل البشري. من الضروري أن نوضح للموظفين بوضوح ما هي المعلومات المصنفة على أنها سر تجاري وما هي درجة المسؤولية عن الكشف عنها. تقييد الوصول إلى المعلومات التي تشكل سرًا تجاريًا: تحديد إجراءات التعامل مع هذه المعلومات، ومراقبة الامتثال لهذا الإجراء. وضع تعليمات خاصة بشأن الحفاظ على السرية.
من الضروري إبرام عقود عمل مع الموظفين، ومع الأطراف المقابلة (العقود اللاتينية - المقاولون - الأشخاص والمؤسسات والمنظمات المرتبطة بالالتزامات بموجب عقد عام، والتعاون في عملية تنفيذ العقد) العقود المدنية، والتي يجب أن تحتوي على شروط حماية المعلومات السرية. يمكن صياغة التزام عدم الإفصاح بأي شكل من الأشكال، ومن المهم أن يحتوي على قائمة بالمعلومات التي تشكل سرًا تجاريًا في شركتك.
كما تنظم أيضًا أعمالًا مكتبية خاصة للتأكد من سلامة الوسائط التي تحتوي على أسرار تجارية، وإدخال نظام لفصل المعلومات إلى كتل. يجب أن يعرف كل موظف بالضبط ما هو ضروري لأداء واجباته.
هناك طريقة أخرى لحماية حقوق مالك السر التجاري وهي فرض عقوبات على انتهاك التزامات السرية من قبل الأطراف المقابلة في العقود المدنية. كقاعدة عامة، تتم حماية الحقوق المدنية المنتهكة في المحكمة (الاعتراف بالحقوق، وقمع الأعمال غير القانونية، والتعويض عن الخسائر). بالإضافة إلى أساليب الحماية في القانون المدني، يمكن حماية الأسرار التجارية بموجب قانون العمل والقانون الجنائي وأيضًا بموجب قواعد المنافسة غير العادلة.
ومن بين الإمكانيات التي ينص عليها قانون العمل، يمكن حماية حقوق صاحب السر التجاري من خلال إجراءات مثل المسؤولية المالية والإجراءات التأديبية التي تصل إلى وتشمل إنهاء علاقات العمل. بالإضافة إلى ذلك، إذا كانت هناك دلائل على وجود جريمة منصوص عليها في فروع القانون ذات الصلة، فمن الممكن تقديم الجناة إلى المسؤولية الجنائية.
عند تخزين المعلومات في شكل إلكتروني، يمكن التمييز بين ثلاثة مجالات للعمل على حماية المعلومات: البحث النظري وتطوير وسائل الأمان وتبرير طرق استخدام وسائل الأمان في الأنظمة الآلية.
من الناحية النظرية، يتم إيلاء الاهتمام الرئيسي لدراسة ضعف المعلومات في أنظمة معالجة المعلومات الإلكترونية، وظاهرة وتحليل قنوات تسرب المعلومات، وإثبات مبادئ حماية المعلومات في الأنظمة الآلية الكبيرة وتطوير أساليب تقييم موثوقية الحماية.
حتى الآن، تم تطوير العديد من الأدوات والأساليب والتدابير والتدابير المختلفة لحماية المعلومات المتراكمة والمخزنة والمعالجة في الأنظمة الآلية. يتضمن ذلك الأجهزة والبرامج وإغلاق معلومات التشفير والتدابير المادية والأحداث المنظمة والتدابير التشريعية. في بعض الأحيان تنقسم جميع وسائل الحماية هذه إلى تقنية وغير تقنية، وتشمل الوسائل التقنية الأجهزة والبرمجيات وإغلاق المعلومات المشفرة، أما الوسائل غير التقنية فتشمل الباقي المذكور أعلاه.
أ) طرق حماية الأجهزة.
تشمل حماية الأجهزة العديد من الأجهزة الإلكترونية والميكانيكية الإلكترونية والكهربائية الضوئية. حتى الآن، تم تطوير عدد كبير من الأجهزة لأغراض مختلفة، ولكن الأكثر انتشارًا هي ما يلي:
سجلات خاصة لتخزين تفاصيل الأمان: كلمات المرور أو رموز التعريف أو التصنيفات أو مستويات الأمان،
مولدات الأكواد المصممة لإنشاء رمز تعريف الجهاز تلقائيًا،
أجهزة قياس الخصائص الفردية للشخص (الصوت، بصمات الأصابع) بغرض تحديد الهوية،
بتات خصوصية خاصة، تحدد قيمتها مستوى خصوصية المعلومات المخزنة في الذاكرة التي تنتمي إليها هذه البتات،
دوائر لمقاطعة إرسال المعلومات على خط اتصال لغرض التحقق الدوري من عنوان إخراج البيانات.
المجموعة الخاصة والأكثر استخدامًا من أجهزة أمان الأجهزة هي أجهزة تشفير المعلومات (طرق التشفير).
ب) طرق حماية البرمجيات.
تشتمل برامج الأمان على برامج خاصة مصممة لأداء وظائف الأمان ومضمنة في برامج أنظمة معالجة البيانات. حماية البرمجيات هي أكثر أنواع الحماية شيوعًا، والتي يتم تسهيلها من خلال الخصائص الإيجابية لهذه الأداة مثل التنوع والمرونة وسهولة التنفيذ وإمكانيات غير محدودة تقريبًا للتغيير والتطوير، وما إلى ذلك. وفقًا للغرض الوظيفي منها، يمكن تقسيمها إلى المجموعات التالية:
تحديد الوسائل التقنية (المحطات الطرفية، أجهزة التحكم في المدخلات والمخرجات الجماعية، أجهزة الكمبيوتر، وسائط التخزين)، والمهام والمستخدمين،
تحديد حقوق الوسائل التقنية (أيام وساعات التشغيل، المهام المسموح باستخدامها) والمستخدمين،
مراقبة تشغيل المعدات التقنية والمستخدمين،
تسجيل تشغيل الوسائل التقنية والمستخدمين عند معالجة المعلومات ذات الاستخدام المحدود،
تدمير المعلومات الموجودة في التخزين بعد الاستخدام،
إنذارات للأفعال غير المصرح بها ،
برامج مساعدة لأغراض مختلفة: مراقبة عمل الآلية الأمنية، ووضع ختم السرية على الوثائق الصادرة.
ج) النسخ الاحتياطي.
يتضمن النسخ الاحتياطي للمعلومات تخزين نسخة من البرامج على وسائط التخزين. على هذه الوسائط، يمكن أن تكون نسخ البرامج في شكل عادي (غير مضغوط) أو مؤرشف. يتم إجراء النسخ الاحتياطي لحفظ البرامج من التلف (سواء كان مقصودًا أو غير مقصود)، ولتخزين الملفات التي نادرًا ما تستخدم.
د) تشفير المعلومات.
يتكون الإغلاق المشفر (التشفير) للمعلومات من مثل هذا التحويل للمعلومات المحمية حيث لا يمكن تحديد محتوى البيانات المغلقة من خلال مظهرها. يولي الخبراء اهتمامًا خاصًا بحماية التشفير، معتبرين إياها الأكثر موثوقية، وللمعلومات المنقولة عبر خطوط اتصالات بعيدة المدى، وهي الوسيلة الوحيدة لحماية المعلومات من السرقة.
ويمكن صياغة الاتجاهات الرئيسية للعمل في هذا الجانب من الحماية على النحو التالي:
اختيار أنظمة التشفير الرشيد لإغلاق المعلومات بشكل آمن،
مبررات طرق تنفيذ أنظمة التشفير في الأنظمة الآلية،
تطوير قواعد استخدام أساليب الحماية التشفيرية أثناء تشغيل الأنظمة الآلية،
تقييم فعالية حماية التشفير.
يتم فرض عدد من المتطلبات على الأصفار المخصصة لإغلاق المعلومات في أجهزة الكمبيوتر والأنظمة الآلية، بما في ذلك: القوة الكافية (موثوقية الإغلاق)، وسهولة التشفير وفك التشفير اعتمادًا على طريقة عرض المعلومات داخل الجهاز، وعدم الحساسية لأخطاء التشفير الصغيرة وإمكانية معالجة المعلومات المشفرة داخل الجهاز، والتكرار الطفيف للمعلومات بسبب التشفير وعدد من الأشياء الأخرى. بدرجة أو بأخرى، يتم استيفاء هذه المتطلبات عن طريق أنواع معينة من الاستبدال والتبديل وأصفار جاما، وكذلك الأصفار القائمة على التحويلات التحليلية للبيانات المشفرة.
تعتبر الأصفار المركبة فعالة بشكل خاص، عندما يتم تشفير النص بشكل تسلسلي بواسطة نظامين أو أكثر من أنظمة التشفير (على سبيل المثال، الاستبدال وغاما، والتبديل وغاما). ويعتقد أنه في هذه الحالة تتجاوز قوة التشفير القوة الإجمالية في الأصفار المركبة.
يمكن تنفيذ كل نظام من أنظمة التشفير في نظام آلي إما برمجيًا أو باستخدام معدات خاصة. يعد تنفيذ البرامج أكثر مرونة وأرخص من تنفيذ الأجهزة. ومع ذلك، فإن تشفير الأجهزة بشكل عام يكون أكثر إنتاجية عدة مرات. هذا الظرف له أهمية حاسمة بالنسبة لكميات كبيرة من المعلومات السرية.
ه) تدابير الحماية الجسدية.
الطبقة التالية في ترسانة تدابير أمن المعلومات هي التدابير المادية. هذه هي الأجهزة والهياكل المختلفة، بالإضافة إلى التدابير التي تجعل من الصعب أو المستحيل على المخالفين المحتملين اختراق الأماكن التي يمكنهم من خلالها الوصول إلى المعلومات المحمية. التدابير الأكثر استخداما هي:
العزل المادي للهياكل التي يتم فيها تركيب معدات النظام الآلي عن الهياكل الأخرى،
تسييج أراضي مراكز الكمبيوتر بأسوار على مسافات كافية لمنع التسجيل الفعال للإشعاع الكهرومغناطيسي، وتنظيم المراقبة المنهجية لهذه المناطق،
تنظيم نقاط تفتيش عند مداخل مباني مراكز الكمبيوتر أو أبواب المداخل المجهزة بأقفال خاصة تسمح بتنظيم الدخول إلى المباني،
تنظيم نظام الإنذار الأمني.
و) التدابير التنظيمية لحماية المعلومات.
الفئة التالية من تدابير أمن المعلومات هي التدابير التنظيمية. هذه هي اللوائح التي تنظم عمل نظام معالجة البيانات، واستخدام أجهزته وموارده، وكذلك العلاقة بين المستخدمين والأنظمة بطريقة تجعل الوصول غير المصرح به إلى المعلومات مستحيلاً أو صعبًا إلى حد كبير. تلعب التدابير التنظيمية دورًا كبيرًا في إنشاء آلية موثوقة لأمن المعلومات. الأسباب التي تجعل التدابير التنظيمية تلعب دورًا متزايدًا في آلية الحماية هي أن إمكانية الاستخدام غير المصرح به للمعلومات يتم تحديدها إلى حد كبير من خلال جوانب غير فنية: الإجراءات الضارة أو إهمال أو إهمال المستخدمين أو العاملين في أنظمة معالجة البيانات. يكاد يكون من المستحيل تجنب تأثير هذه الجوانب أو احتوائه باستخدام الأجهزة والبرامج التي تمت مناقشتها أعلاه، وإغلاق معلومات التشفير وتدابير الحماية المادية. وهذا يتطلب مجموعة من التدابير التنظيمية والتنظيمية الفنية والتنظيمية القانونية التي من شأنها القضاء على احتمال خطر تسرب المعلومات بهذه الطريقة.
الأنشطة الرئيسية في هذا المجموع هي ما يلي:
الأنشطة التي تم تنفيذها أثناء تصميم وبناء وتجهيز مراكز الكمبيوتر (CC)،
الأنشطة التي تم تنفيذها أثناء اختيار وتدريب موظفي CC (التحقق من الموظفين المعينين، وتهيئة الظروف التي لا يرغب الموظفون في ظلها في فقدان وظائفهم، والتعرف على العقوبات المفروضة على انتهاك قواعد الحماية)،
تنظيم التحكم في الوصول الموثوق به،
تنظيم تخزين واستخدام الوثائق والوسائط: تحديد قواعد الإصدار، والاحتفاظ بسجلات الإصدار والاستخدام،
السيطرة على التغييرات في الرياضيات والبرمجيات،
تنظيم التدريب ومراقبة عمل المستخدم،
أحد أهم التدابير التنظيمية هو الحفاظ على خدمة حماية المعلومات الخاصة بدوام كامل في CC، والتي يضمن عددها وتكوينها إنشاء نظام حماية موثوق به وعمله بانتظام.
وبالتالي فإن وسائل وأساليب وتدابير الحماية التي تمت مناقشتها أعلاه تتلخص في ما يلي:
1. يتحقق التأثير الأكبر عندما يتم دمج جميع الوسائل والأساليب والتدابير المستخدمة في آلية واحدة وشاملة لحماية المعلومات.
2. يجب أن يتم تصميم آلية الحماية بالتوازي مع إنشاء أنظمة معالجة البيانات، بدءاً من لحظة تطوير التصميم العام للنظام.
3. يجب التخطيط لعمل آلية الحماية وضمانها جنبًا إلى جنب مع تخطيط وتوفير عمليات المعالجة الآلية الأساسية للمعلومات.
4. من الضروري مراقبة عمل آلية الحماية باستمرار.
يمكن تقسيم أنشطة حماية المعلومات التقنية إلى ثلاثة مجالات: سلبية وإيجابية ومدمجة.
تتضمن الحماية السلبية اكتشاف وتوطين مصادر وقنوات تسرب المعلومات.
نشط - خلق تداخل يمنع جمع المعلومات.
مدمج - يجمع بين استخدام الاتجاهين السابقين وهو الأكثر موثوقية.
ومع ذلك، فإن الدفاعات السلبية والإيجابية معرضة للخطر في بعض النواحي. على سبيل المثال، عند استخدام الحماية السلبية البحتة، من الضروري المراقبة على مدار الساعة، لأنه من غير المعروف متى يتم تنشيط أجهزة الالتقاط، أو يتم فقدان القدرة على استخدام معدات الكشف أثناء اجتماع العمل.
يمكن للحماية النشطة أن تجعل الحياة أكثر صعوبة بالنسبة للأشخاص الذين يراقبونك، ويمكنك استخدامها عبثًا دون معرفة ما إذا كانت هناك مراقبة أم لا.
الحماية المشتركة تقضي على هذه العيوب.
نموذج لحماية المعلومات من التسرب عبر القنوات التقنية من الكائن المحمي
الجدول 9
|
موقع التثبيت |
موقع التثبيت الموضعي لأجهزة استرجاع المعلومات |
نوع (فهرس) جهاز استرجاع المعلومات |
طريقة التطبيق |
قناة فنية لإغلاق تسرب المعلومات |
|
|
مولد الضوضاء “جروم زي – 4” |
باستمرار |
راديوإلكتروني |
|||
|
مكتب الكمبيوتر رقم 3 |
مولد الضوضاء "GSh-K-1000M" |
باستمرار |
راديوإلكتروني |
||
|
مولد الضوضاء "Dome-W-DU" |
باستمرار |
راديوإلكتروني |
|||
|
مقبس 220 فولت. مكتب رئيس منشأة الحماية |
مولد الضوضاء |
بقرار الإدارة |
راديوإلكتروني |
||
|
استمرار الجدول |
|||||
|
مولد الضوضاء “SI-8001” |
باستمرار |
راديوإلكتروني |
|||
|
مقبس 220 فولت مكتب رقم 2 |
مولد الضوضاء “SI-8001” |
بقرار الإدارة |
راديوإلكتروني |
||
|
مولد الضوضاء "فولنا 4 م" |
بقرار الإدارة |
راديوإلكتروني |
|||
|
مكتب رئيس كائن الحماية |
مولد الضوضاء "SELSP-21B1" |
بقرار الإدارة |
راديوإلكتروني |
||
|
مكتب رئيس كائن الحماية |
فلتر الطاقة "FSP-1F-7A" |
باستمرار |
راديوإلكتروني |
||
|
نافذة مكتب رئيس مرفق الحماية |
النظام الاهتزازي الصوتي "VGSh-103" |
باستمرار |
صوتي |
||
|
نافذة المقصورة السرية |
مولد الضوضاء الاهتزازية الصوتية “ANG-2000” |
بقرار الإدارة |
صوتي |
||
الخصائص التكتيكية والفنية لمعدات الحماية
الجدول 10
|
موقع التثبيت |
نوع (فهرس) جهاز أمن المعلومات |
تحديد |
|
|
مكتب رأس الكائن المحمي |
الرعد ZI-4 |
نطاق التردد - 20 - 1000 ميجا هرتز مصدر الطاقة - شبكة 220 فولت جهد الإشارة - في نطاق التردد 100 كيلو هرتز - 1 ميجا هرتز - 60 ديسيبل |
|
|
مكتب رئيس كائن الحماية |
نطاق التردد - 100 كيلو هرتز - 1000 ميجا هرتز مصدر الطاقة - +12 فولت، من ناقل الكمبيوتر مستويات الطاقة المشعة الضوضاء - 30 - 45 ديسيبل |
||
|
استمرار الجدول |
|||
|
غرفة المقصورة السرية |
قبة-W-DU |
نصف قطر العمل - 5 - 10 م نطاق تردد التشغيل - 100 كيلو هرتز - 1800 ميجا هرتز مصدر الطاقة - 220 فولت قوة الإشعاع - 15 وات عامل جودة الضوضاء - ليس أسوأ من 0.6 |
|
|
مقبس 220 فولت. مكتب رئيس منشأة الحماية |
عرض طيف التداخل - 30 كيلو هرتز - 30 ميجا هرتز مصدر الطاقة - 220 فولت مستوى إشارة الضوضاء - 75 - 35 ديسيبل/ميكروفولت |
||
|
مقبس 220 فولت مقصورة سرية |
استهلاك الطاقة< 15ВА مصدر الطاقة - 220 فولت مستوى التداخل - 30 - 80 ديسيبل |
||
|
مقبس 220 فولت مكتب رقم 2 |
عرض طيف التداخل - 5 كيلو هرتز - 10 ميجا هرتز مصدر الطاقة - 220 فولت مستوى التداخل - 30 - 80 ديسيبل |
||
|
مكتب رئيس كائن الحماية |
نطاق الترددات - 0.5...1000 ميجاهيرتز قوة - 20 واط تَغذِيَة - 220 فولت سعة إشارة الضوضاء - لا يقل عن 3 فولت |
||
|
مكتب رئيس كائن الحماية |
الطاقة - 12 فولت نطاق التردد - 5 ميجا هرتز...1 جيجا هرتز مستوى إشارة الخرج - 45 ديسيبل الاستهلاك الحالي - 350 مللي أمبير |
||
|
مكتب رئيس كائن الحماية |
نطاق تردد التشغيل - 0.15-1000 ميجا هرتز قيمة التوهين -60 ديسيبل تيار الحمل المسموح به - 7 أ |
||
|
نافذة مكتب رئيس مرفق الحماية |
النطاق -40 ديسيبل في نطاق التردد 175 - 5600 هرتز نصف القطر - 5 م |
||
|
نافذة المقصورة السرية |
عرض طيف التداخل - 250 هرتز - 5 كيلو هرتز مصدر الطاقة - 220 فولت استهلاك الطاقة - 24 وات جهد الخرج -1 - 12 فولت المقاومة> 0.5 أوم |
||
