KONCEPCJA BEZPIECZEŃSTWA INFORMACJI ATS
Zastanawialiśmy się już nad pojęciem bezpieczeństwa informacji, które w najbardziej ogólnej formie można zdefiniować jako stan ochrony potrzeb informacyjnych jednostki, społeczeństwa i państwa, zapewniający ich istnienie i stopniowy rozwój niezależnie od występowania wewnętrznych i zewnętrznych zagrożeń informacyjnych. Doprecyzujmy to pojęcie w odniesieniu do celów i zadań, jakie stoją przed organami ścigania na obecnym etapie. Aby to zrobić, przejdźmy najpierw do pojęcia ogólnego – pojęcia „bezpieczeństwa”.
Obecnie bezpieczeństwo jest integralną cechą postępu, a pojęcie bezpieczeństwa jest jedną z kluczowych przy badaniu zagadnień optymalizacji działalności człowieka, w tym działań na rzecz zwalczania przestępczości.
Na przestrzeni wieków pojęcie bezpieczeństwa było wielokrotnie wypełniane różnymi treściami, a co za tym idzie, rozumieniem jego znaczenia. Zatem w starożytności rozumienie bezpieczeństwa nie wykraczało poza zwykłe pojęcie i było interpretowane jako brak niebezpieczeństwa lub zła dla człowieka. W tym potocznym znaczeniu terminu „bezpieczeństwo” używał na przykład starożytny grecki filozof Platon.
W średniowieczu bezpieczeństwo rozumiane było jako spokojny stan umysłu człowieka, który uważał się za chronionego przed wszelkim niebezpieczeństwem. Jednak w tym znaczeniu termin ten na dobre wszedł do słownika narodów Europy dopiero w XVII wieku. rzadko używane.
Pojęcie „bezpieczeństwa” staje się powszechne w kręgach naukowych i politycznych krajów Europy Zachodniej za sprawą koncepcji filozoficznych T. Hobbesa, D. Locke’a, J.J. Rousseau, B. Spinoza i inni myśliciele XVII-XVIII w., czyli państwo, sytuacja spokoju, która pojawia się w wyniku braku realnego niebezpieczeństwa (zarówno fizycznego, jak i moralnego).
To właśnie w tym okresie podjęto pierwsze próby teoretycznego rozwinięcia tej koncepcji. Najciekawszą wersją jest ta zaproponowana przez Sonnenfelsa, który uważał, że bezpieczeństwo to stan, w którym nikt nie ma się czego obawiać. Dla konkretnego człowieka sytuacja ta oznaczała bezpieczeństwo prywatne, osobiste, a stan państwa, w którym nie było się czego bać, stanowił bezpieczeństwo publiczne.
Obecnie bezpieczeństwo tradycyjnie rozumiane jest jako stan, w którym żywotne interesy jednostki, społeczeństwa, państwa i układu międzynarodowego są chronione przed wszelkimi zagrożeniami wewnętrznymi lub zewnętrznymi. Z tego punktu widzenia bezpieczeństwo można zdefiniować jako niemożność wyrządzenia komuś lub czemuś krzywdy na skutek ujawnienia się zagrożenia, tj. ich ochronę przed zagrożeniami.
Należy zaznaczyć, że podejście to znalazło największe uznanie zarówno w środowisku naukowym, jak i w obszarze działalności legislacyjnej.
W ogólnym ujęciu metodologicznym struktura pojęcia „bezpieczeństwo” obejmuje:
q obiekt zabezpieczający;
q zagrożenia dla obiektu bezpieczeństwa;
q zapewnienie bezpieczeństwa obiektu przed zagrożeniami.
Kluczowym elementem przy ustalaniu treści pojęcia „bezpieczeństwo” jest przedmiot bezpieczeństwa, tj. coś, co chroni się przed zagrożeniami. Wybierając jako przedmiot bezpieczeństwa informacje krążące w organach spraw wewnętrznych, a także działania jednostek Policji związane z wytwarzaniem i konsumpcją informacji, można mówić o ich bezpieczeństwo informacji – bezpieczeństwo ich „wymiaru informacyjnego”.
W obowiązującym ustawodawstwie rosyjskim bezpieczeństwo informacji jest rozumiane jako „stan ochrony interesów narodowych w sferze informacyjnej, wyznaczany przez ogół zrównoważonych interesów jednostki, społeczeństwa i państwa”(Doktryna Bezpieczeństwa Informacji Federacji Rosyjskiej). Jednocześnie pod Przez sferę informacyjną społeczeństwa rozumie się ogół informacji, infrastrukturę informacyjną, podmioty gromadzące, generujące, rozpowszechniające i wykorzystujące informację, a także systemy regulacji stosunków społecznych, które powstają w tym przypadku.
Na podstawie tego, co zaobserwowano, Bezpieczeństwo informacyjne organów spraw wewnętrznych rozumiane jest jako stan bezpieczeństwa informacji, zasobów informacyjnych i systemów informatycznych organów spraw wewnętrznych, zapewniający ochronę informacji (danych) przed wyciekiem, kradzieżą, nieuprawnionym dostępem, zniszczeniem, zniekształceniem, modyfikacją, fałszerstwem , kopiowanie, blokowanie (Koncepcja zapewnienia bezpieczeństwa informacyjnego organów spraw wewnętrznych Federacji Rosyjskiej do roku 2020, zatwierdzona zarządzeniem Ministra Spraw Wewnętrznych Rosji z dnia 14 marca 2012 r. nr 169). Strukturę tej koncepcji pokazano na ryc. 4. Przyjrzyjmy się temu bardziej szczegółowo.
Ryż. 4. Struktura pojęcia „bezpieczeństwo informacji organów spraw wewnętrznych”
Obiekt Bezpieczeństwa Informacji ATS. Jak już zauważyliśmy, przedmiotami bezpieczeństwa informacji są:
Q zasoby informacyjne organy spraw wewnętrznych wykorzystywane przy rozwiązywaniu zadań urzędowych, w tym zawierających informacje o ograniczonym dostępie, a także informacje szczególne i dane operacyjne o charakterze urzędowym.
Informacje wykorzystywane przez organy spraw wewnętrznych obejmują informacje o stanie przestępczości i porządku publicznym na obsługiwanym terytorium, o samych organach i jednostkach, ich siłach i środkach. Na posterunkach służbowych detektywi, lokalni inspektorzy policji, śledczy, pracownicy jednostek kryminalistycznych, służb migracyjnych i innych jednostek, podstawowe dokumenty księgowe, dzienniki pokładowe i inne media gromadzą tablice danych do celów operacyjno-rozpoznawczych i operacyjnych, w który zawiera informacje o:
– przestępcy i przestępcy;
– właściciele pojazdów mechanicznych;
– właściciele broni palnej;
– zdarzenia i fakty o charakterze karnym, przestępstwa;
– przedmioty skradzione i skonfiskowane, antyki i inne informacje podlegające przechowywaniu.
Służby i wydziały organów spraw wewnętrznych charakteryzują się następującymi danymi:
– o siłach i środkach, którymi dysponuje organizm;
– o wynikach swojej działalności.
Informacje wymienione powyżej wykorzystywane są przy organizacji pracy wydziałów oraz przy podejmowaniu praktycznych działań mających na celu zwalczanie przestępczości i przestępczości.
Oprócz powyższych informacji powszechnie wykorzystuje się informacje naukowo-techniczne niezbędne do usprawnienia działalności organów spraw wewnętrznych.
Szczególną uwagę należy zwrócić na informacje wykorzystywane przez organy spraw wewnętrznych przy rozwiązywaniu i ściganiu przestępstw. Tego typu informacje mogą obejmować między innymi:
Wszelkiego rodzaju dowody w sprawie karnej;
Materiały sprawy karnej;
Informacje o przebiegu śledztwa (tj. zbiór informacji operacyjno-procesowych o badanym zdarzeniu, plany przeprowadzenia operacyjnych czynności dochodzeniowo-procesowych);
Informacje o funkcjonariuszach organów ścigania biorących udział w dochodzeniu w sprawie przestępstwa;
Informacje o podejrzanych i oskarżonych w sprawie;
Informacje o ofiarach, świadkach i innych osobach pomagających w dochodzeniu w sprawie przestępstwa itp.
Oprócz powyższego ochronie podlegają także informacje o ograniczonym dostępie, przeznaczone dla osób fizycznych i prawnych, do których funkcjonariusze policji uzyskują dostęp w trakcie wykonywania obowiązków służbowych, w szczególności przy rozwiązywaniu i ściganiu przestępstw;
Q infrastrukturę informatyczną organów spraw wewnętrznych, tj zespół metod, środków i technologii realizacji procesów informacyjnych (tj. procesów tworzenia, gromadzenia, przetwarzania, gromadzenia, przechowywania, wyszukiwania, rozpowszechniania i konsumowania informacji), niezbędnych do realizacji w dziale spraw wewnętrznych przy wykonywaniu zadań zadań powierzonych im przez prawo.
Infrastruktura informacyjna organów spraw wewnętrznych obejmuje przede wszystkim infrastrukturę wykorzystywaną w praktycznej działalności organów ścigania. Systemy Informacyjne, sieci I sieć komunikacyjna(w tym do użytku publicznego).
Infrastruktura informacyjna organów spraw wewnętrznych z pewnością powinna obejmować infrastrukturę wykorzystywaną w praktycznej działalności organów spraw wewnętrznych. technologia informacyjna– procesy wykorzystujące zespół środków i metod gromadzenia, przetwarzania i przesyłania danych (informacji pierwotnych) w celu uzyskania nowej jakościowej informacji o stanie obiektu, procesu lub zjawiska (produkt informacyjny).
Do obiektów infrastruktury informatycznej zalicza się: lokal, w którym procesy informacyjne zachodzą podczas czynności urzędowych, przetwarzania informacji na komputerze itp.
Zagrożenia obiektu bezpieczeństwa informacji. Organizacja zapewnienia bezpieczeństwa informacji organów spraw wewnętrznych powinna być kompleksowa i oparta na dogłębnej analizie ewentualnych negatywnych konsekwencji. Ważne jest, aby nie pominąć żadnego istotnego aspektu. Analiza negatywnych konsekwencji wymaga obowiązkowej identyfikacji możliwych źródeł zagrożeń, czynników przyczyniających się do ich manifestacji i w efekcie identyfikacji aktualnych zagrożeń bezpieczeństwa informacji.
W oparciu o tę zasadę wskazane jest modelowanie i klasyfikacja źródeł zagrożeń zasobów informacyjnych i infrastruktury informacyjnej organów spraw wewnętrznych w oparciu o analizę interakcji łańcucha logicznego:
Źródła zagrożeń . W teorii bezpieczeństwa informacji pod źródła zagrożenia informacje poufne są zrozumiałe potencjalnymi nośnikami zagrożeń bezpieczeństwa informacji , które w zależności od ich charakteru dzielą się na antropogeniczny(spowodowane działalnością człowieka), stworzone przez człowieka Lub spontaniczny. Ze względu na sam obiekt bezpieczeństwa źródła zagrożeń dzieli się na zewnętrzny I wewnętrzny.
Analiza przepisów Doktryny Bezpieczeństwa Informacji Federacji Rosyjskiej, a także innych dokumentów regulacyjnych w zakresie bezpieczeństwa informacji, pozwala zidentyfikować następujące główne źródła zagrożeń dla bezpieczeństwa informacji organów spraw wewnętrznych.
Do głównych zewnętrznych źródeł zagrożeń bezpieczeństwa informacyjnego organów spraw wewnętrznych zalicza się:
Działalność wywiadowcza służb specjalnych obcych państw, międzynarodowych społeczności przestępczych, organizacji i grup związanych ze zbieraniem informacji ujawniających zadania, plany działania, wyposażenie techniczne, metody pracy i lokalizacje jednostek specjalnych i organów spraw wewnętrznych Federacji Rosyjskiej;
Działalność zagranicznych publicznych i prywatnych struktur handlowych, a także krajowych grup przestępczych i organizacji komercyjnych, dążących do uzyskania nieuprawnionego dostępu do zasobów informacyjnych organów ścigania;
Klęski żywiołowe i zjawiska naturalne (pożary, trzęsienia ziemi, powodzie i inne nieprzewidziane okoliczności);
Różne rodzaje wypadków spowodowanych przez człowieka;
Awarie i awarie, nieprawidłowości w działaniu elementów infrastruktury informatycznej spowodowane błędami w ich projektowaniu i/lub wykonaniu.
Do głównych wewnętrznych źródeł zagrożeń bezpieczeństwa informacyjnego organów spraw wewnętrznych zalicza się:
Naruszenie ustalonych przepisów dotyczących gromadzenia, przetwarzania, przechowywania i przekazywania informacji wykorzystywanych w praktycznej działalności wydziału spraw wewnętrznych, w tym zawartych w kartotekach i automatycznych bankach danych oraz wykorzystywanych do dochodzenia w sprawie przestępstw;
Awarie awarii sprzętu i oprogramowania w systemach informatycznych i telekomunikacyjnych;
Używanie niecertyfikowanego oprogramowania zakłócającego normalne funkcjonowanie systemów informatycznych i teleinformatycznych, w tym systemów bezpieczeństwa informacji;
Działania zamierzone, a także błędy personelu bezpośrednio zaangażowanego w utrzymanie systemów informatycznych stosowanych w organach spraw wewnętrznych, w tym zajmujących się tworzeniem i utrzymaniem kartoteki i automatycznych banków danych;
Niemożność lub niechęć personelu służb i/lub użytkowników systemów informatycznych ATS do wykonywania swoich obowiązków (niepokoje społeczne, wypadki komunikacyjne, atak terrorystyczny lub jego groźba, strajk itp.).
Luki . Pod słaby punkt w kontekście rozważanej kwestii uważamy, że należy ją zrozumieć przyczyny prowadzące do naruszenia ustalonego reżimu ochrony informacji w organach spraw wewnętrznych . Do takich powodów zalicza się na przykład:
Niekorzystna sytuacja przestępcza, której towarzyszą tendencje łączenia struktur państwowych i przestępczych w sferze informacyjnej, uzyskiwanie dostępu struktur przestępczych do informacji poufnych, zwiększanie wpływu przestępczości zorganizowanej na życie społeczeństwa, zmniejszanie stopnia ochrony uzasadnionych interesów obywateli, społeczeństwa i państwa w sferze informacyjnej;
Niewystarczające regulacje legislacyjne i regulacyjne dotyczące wymiany informacji w organach ścigania;
Niewystarczająca koordynacja działań organów spraw wewnętrznych i ich wydziałów do realizacji jednolitej polityki w zakresie bezpieczeństwa informacji;
Niewystarczająca aktywność w informowaniu społeczeństwa o działalności organów spraw wewnętrznych, wyjaśnianiu podjętych decyzji, tworzeniu otwartych zasobów rządowych i rozwijaniu systemu dostępu do nich obywatelom;
Niewystarczające finansowanie działań zapewniających bezpieczeństwo informacji organów spraw wewnętrznych;
Obniżona efektywność systemu edukacji i szkoleń, niewystarczająca liczba wykwalifikowanej kadry w zakresie bezpieczeństwa informacji;
Brak jednolitej metodyki gromadzenia, przetwarzania i przechowywania informacji o charakterze operacyjno-poszukiwawczym, referencyjnym, kryminalistycznym, statystycznym itp.;
Obecność takich cech konstrukcyjnych i właściwości technicznych elementów infrastruktury informacyjnej, które mogą prowadzić do naruszenia integralności, dostępności i poufności obiektów bezpieczeństwa. Przykładowo protokół TCP/IP stosowany w globalnej sieci elektronicznej Internet został początkowo opracowany bez uwzględnienia wymogów bezpieczeństwa informacji, a większość oprogramowania wykorzystywanego w praktycznych działaniach ATS zawiera wiele błędów i nieudokumentowanych możliwości.
Zagrożenia . Wymienione podatności powodują odpowiadające im zagrożenia dla bezpieczeństwa informacji i infrastruktury informacyjnej organów spraw wewnętrznych. W której Przez zagrożenia obiektu bezpieczeństwa informacji rozumiemy zespół warunków i czynników stwarzających potencjalne lub realne niebezpieczeństwo wycieku, kradzieży, utraty, zniszczenia, zniekształcenia, modyfikacji, fałszerstwa, kopiowania, blokowania informacji i nieuprawnionego dostępu do niej .
Jednakże, co należy podkreślić, zagrożenie dla obiektu bezpieczeństwa nie jest czymś, co istnieje niezależnie. Jest to albo przejaw interakcji obiektu bezpieczeństwa z innymi obiektami, co może zaszkodzić jego funkcjonowaniu i właściwościom, albo podobny przejaw interakcji podsystemów i elementów samego obiektu bezpieczeństwa.
Bezpieczeństwo zasobów informacyjnych i infrastruktury informacyjnej organów spraw wewnętrznych przejawia się poprzez bezpieczeństwo ich najważniejszych właściwości, do których zalicza się:
Q uczciwość – właściwość informacji i infrastruktury informacyjnej, charakteryzująca się odpornością na nieuprawnione lub niezamierzone zniszczenie oraz zniekształcenie informacji;
Q dostępność – właściwość informacji i infrastruktury informacyjnej, charakteryzująca się możliwością zapewnienia niezakłóconego dostępu do informacji podmiotom posiadającym do tego odpowiednie uprawnienia;
Q poufność – właściwość informacji i infrastruktury informacyjnej, charakteryzująca się możliwością zachowania informacji w tajemnicy przed podmiotami niemającymi uprawnień do zapoznania się z nią.
Naruszenie określonych właściwości obiektów bezpieczeństwa informacji organów spraw wewnętrznych stanowi zagrożenie dla bezpieczeństwa informacji organów spraw wewnętrznych. Zagrożenia te objawiają się poprzez:
Q naruszenie integralności informacji w wyniku:
- strata (kradzież). Polega na „usuwaniu” informacji i/lub jej nośników ze sfery informacyjnej organów spraw wewnętrznych, prowadząc do braku możliwości dalszego wykorzystania tych informacji w działalności organów spraw wewnętrznych;
- zniszczenie. Zniszczenie to oddziaływanie na informację i/lub jej nośniki krążące w organach spraw wewnętrznych, w wyniku którego przestają one istnieć lub zostają doprowadzone do stanu uniemożliwiającego ich dalsze wykorzystanie w praktycznej działalności organów spraw wewnętrznych ciała;
- zniekształcenia (modyfikacje, podróbki), tj. w wyniku takiego oddziaływania na informację, które prowadzi do zmiany jej (informacyjnej) treści semantycznej, powstania i/lub narzucenia fałszywych nośników informacji;
Q zakłócenie dostępności informacji w wyniku:
- bloking, te. zakończenie lub utrudnienie dostępu do informacji osobom upoważnionym;
- strata;
Q naruszenia poufności informacji w wyniku:
- nieuprawnione ujawnienie informacji. Reprezentuje zamierzone lub niezamierzone działania osób mających dostęp do informacji niejawnych, ułatwiające nieuprawniony dostęp do tych informacji osobom trzecim.;
- nieuprawniony dostęp do informacji. Reprezentuje zamierzone lub niezamierzone działania osób, które nie mają prawa dostępu do informacji w celu zapoznania się z nimi.
Zapewnienie bezpieczeństwa informacji. Zauważyliśmy już, że bezpieczeństwo informacyjne organów spraw wewnętrznych to ochrona zasobów informacyjnych i wspierającej infrastruktury informacyjnej organów spraw wewnętrznych przed zagrożeniami, tj. niemożność wyrządzenia im jakiejkolwiek szkody lub szkody. Ponieważ zarówno zasoby informacyjne, jak i infrastruktura informacyjna organów spraw wewnętrznych nie istnieją samodzielnie, poza praktyczną działalnością organów spraw wewnętrznych, lecz stanowią w istocie jeden ze środków tej działalności, jest rzeczą oczywistą, że ich bezpieczeństwo może być zapewnione zapewnić jedynie poprzez stworzenie takich warunków działania organów spraw wewnętrznych, w których albo zapobiegnięto potencjalnie niebezpiecznym wpływom na obiekty bezpieczeństwa, albo je ograniczono do poziomu, w którym nie byłyby one w stanie spowodować ich uszkodzenia.
Zatem, Zapewnienie bezpieczeństwa informacyjnego organów spraw wewnętrznych to proces tworzenia takich warunków działania organów spraw wewnętrznych, w którym zapobiega się potencjalnie niebezpiecznym wpływom na zasoby informacyjne i infrastrukturę informacyjną organów spraw wewnętrznych lub ogranicza je do poziomu niezakłócającego rozwiązywanie zadań stojących przed organami spraw wewnętrznych..
Z definicji tej jasno wynika, że zapewnienie bezpieczeństwa informacji ma charakter pomocniczy w systemie działań organów spraw wewnętrznych, gdyż ma na celu stworzenie warunków dla osiągnięcia głównych celów organów spraw wewnętrznych – przede wszystkim skutecznej walki przeciwko przestępczości.
Zapewnienie bezpieczeństwa informacji organów spraw wewnętrznych ma swoje prawa zewnętrzny I wewnętrzne skupienie. Zewnętrzne skupienie Ten rodzaj działalności jest zdeterminowany koniecznością zabezpieczenia praw i interesów podmiotów praw autorskich do informacji prawnie chronionych, uczestniczących w działalności organów spraw wewnętrznych.
Wewnętrzne skupienie Działania mające na celu zapewnienie bezpieczeństwa informacyjnego organów spraw wewnętrznych są zdeterminowane koniecznością realizacji zadań i osiągnięcia celów stojących przed organami spraw wewnętrznych – przede wszystkim identyfikowania, rozwiązywania, ścigania i zapobiegania przestępstwom. Inaczej mówiąc, stwarza przesłanki skutecznej realizacji zadań stojących przed organami spraw wewnętrznych.
Działania zapewniające bezpieczeństwo informacji prowadzone są w oparciu o pewien zbiór najważniejszych, kluczowych idei i zapisów, zwanych zasadami. Te podstawowe zasady obejmują:
Humanizm;
Obiektywność;
Specyficzność;
Efektywność;
Połączenie rozgłosu i tajemnic urzędowych;
Legalność i konstytucyjność;
Zgodność wybranych środków i metod z celem przeciwdziałania;
Złożoność.
Zasada humanizm jest zapewnienie praw i wolności człowieka i obywatela w przeciwdziałaniu zagrożeniom bezpieczeństwa informacji, zapobieganiu bezprawnym zamachom na jego osobę, poniżaniu honoru i godności osoby, samowolnej ingerencji w jej życie prywatne, tajemnice osobiste i rodzinne, ograniczaniu wolności słowa jego działalności informacyjnej, a także w minimalizowaniu szkód w tych prawach i wolnościach, gdy ich ograniczenie następuje na podstawie prawnej.
Zasada obiektywność jest uwzględnienie przy wdrażaniu środków zaradczych obiektywnych praw rozwoju społecznego, interakcji społeczeństwa z otoczeniem oraz rzeczywistych możliwości podmiotów zajmujących się bezpieczeństwem informacji w zakresie eliminacji zagrożenia lub minimalizacji skutków jego realizacji. Zasada ta wymaga zintegrowanego, systematycznego podejścia do określania sposobów osiągnięcia celów działania przy najmniejszym nakładzie wysiłku i zasobów.
Zasada specyficzność jest zapewnienie bezpieczeństwa w odniesieniu do konkretnych okoliczności życiowych, z uwzględnieniem różnych form uzewnętrzniania obiektywnych praw w oparciu o rzetelną informację o zagrożeniach zarówno wewnętrznych, jak i zewnętrznych oraz możliwościach przeciwdziałania im. Rzetelna informacja pozwala na ustalenie konkretnych form manifestacji zagrożeń, określenie zgodnie z nimi celów i działań zapewniających bezpieczeństwo, określenie sposobów przeciwdziałania zagrożeniom oraz sił i środków niezbędnych do ich realizacji.
Zasada efektywność jest osiągnięcie celów przeciwdziałania przy jak najmniejszym wysiłku i zasobach. Zapewnienie bezpieczeństwa informacji w każdej społeczności społecznej wymaga określonych zasobów materialnych, finansowych i ludzkich. W związku z tym zapewnienie bezpieczeństwa, jak każda społecznie użyteczna działalność człowieka, musi być realizowane racjonalnie i skutecznie. Zazwyczaj stosowane w praktyce kryteria efektywności obejmują stosunek wielkości szkód, którym zapobiegnięto realizację zagrożeń, do kosztów przeciwdziałania tym zagrożeniom.
Zasada połączenie jawności i tajemnicy jest znalezienie i utrzymanie niezbędnej równowagi pomiędzy jawnością działań w zakresie bezpieczeństwa informacji, która pozwala na zdobycie zaufania i wsparcia społecznego, a z drugiej strony ochroną informacji zastrzeżonych działu spraw wewnętrznych, których ujawnienie może ograniczyć skuteczność przeciwdziałania zagrożeniom bezpieczeństwa.
Zasada legalność i konstytucyjność oznacza realizację wszystkich funkcji właściwych organizacjom państwowym i urzędnikom w ścisłej zgodności z obowiązującą konstytucją, przepisami ustawowymi i wykonawczymi, zgodnie z kompetencjami określonymi przez prawo. Ścisłe i rygorystyczne przestrzeganie praworządności i konstytucyjności musi być nieodzownym wymogiem i zasadą działania nie tylko państwa, ale także organów, instytucji i organizacji niepaństwowych.
Zasada zgodność wybranych środków i metod z celem przeciwdziałania oznacza, że te środki i metody muszą z jednej strony być wystarczające do osiągnięcia celu, a z drugiej strony nie prowadzić do niepożądanych konsekwencji dla społeczeństwa.
Zasada złożoność wykorzystanie dostępnych sił i środków polega na skoordynowanym działaniu podmiotów przeciwdziałania zagrożeniom bezpieczeństwa informacji i skoordynowanym wykorzystaniu dostępnych do tego zasobów.
Jako rodzaj bezpieczeństwa, bezpieczeństwo informacji ma złożoną strukturę, obejmującą cele, środki i przedmioty tej działalności.
Jako cele działań na rzecz zapewnienia bezpieczeństwa informacyjnego organów spraw wewnętrznych można wskazać:
q eliminacja (zapobieganie) zagrożeniom bezpieczeństwa;
q minimalizowanie szkód spowodowanych zagrożeniami.
Eliminacja (zapobieganie) zagrożeniom celem zapewnienia bezpieczeństwa informacji jest taki charakter interakcji obiektu bezpieczeństwa ze źródłem zagrożeń, w którym źródła te przestają mieć właściwość generowania zagrożenia.
Minimalizowanie konsekwencji realizacja zagrożenia jako cel działań związanych z bezpieczeństwem informacji ma miejsce wtedy, gdy eliminacja (zapobieganie) zagrożeniom nie jest możliwa. Cel ten reprezentuje taki charakter interakcji obiektu bezpieczeństwa ze źródłem zagrożeń, w którym szybko identyfikuje się pojawiające się zagrożenia, identyfikuje i eliminuje przyczyny przyczyniające się do tego procesu, a także eliminuje skutki ujawnienia się zagrożeń.
Narzędzia bezpieczeństwa informacji – Jest to zespół środków prawnych, organizacyjnych i technicznych mających na celu zapewnienie bezpieczeństwa informacji.
Wszystkie narzędzia bezpieczeństwa informacji można podzielić na dwie grupy:
q formalny;
nieformalne.
DO formalny Należą do nich takie środki, które realizują swoje funkcje ochrony informacji w sposób formalny, czyli głównie bez udziału człowieka. DO nieformalny odnosi się do środków opartych na celowej działalności ludzi.
Formalne środki Są podzielone na fizyczny, sprzęt komputerowy I oprogramowanie.
Fizyczne znaczenie - urządzenia i systemy mechaniczne, elektryczne, elektromechaniczne, elektroniczne, elektroniczno-mechaniczne i tym podobne, które działają autonomicznie, tworząc różnego rodzaju przeszkody na drodze czynników destabilizujących.
Sprzęt – różne urządzenia elektroniczne, elektroniczno-mechaniczne i podobne, które są wbudowane w wyposażenie systemu przetwarzania danych lub połączone z nim specjalnie w celu rozwiązywania problemów związanych z bezpieczeństwem informacji. Na przykład generatory hałasu służą do ochrony przed wyciekami przez kanały techniczne.
Fizyczne i sprzętowe są połączone w klasę techniczne środki bezpieczeństwa informacji.
Oprogramowanie– specjalne pakiety oprogramowania lub indywidualne programy zawarte w oprogramowaniu systemów zautomatyzowanych w celu rozwiązywania problemów związanych z bezpieczeństwem informacji. Mogą to być różne programy do kryptograficznej konwersji danych, kontroli dostępu, ochrony antywirusowej itp.
Nieformalne środki dzielą się na organizacyjne, prawne i moralno-etyczne.
Środki organizacyjne –środki organizacyjne i techniczne specjalnie przewidziane w technologii działania obiektu w celu rozwiązywania problemów ochrony informacji, realizowane w formie ukierunkowanej działalności człowieka.
Prawnych - istniejących w kraju lub specjalnie wydanych przepisów, które regulują prawa i obowiązki związane z zapewnieniem ochrony informacji wszystkich osób i służb związanych z funkcjonowaniem systemu, a także ustanawiają odpowiedzialność za naruszenie zasad przetwarzania informacji, które może skutkować naruszeniem bezpieczeństwa informacji.
Standardy moralne i etyczne – normy moralne lub zasady etyczne ustalone w społeczeństwie lub danej grupie, których przestrzeganie przyczynia się do ochrony informacji, a ich naruszenie jest równoznaczne z nieprzestrzeganiem zasad postępowania w społeczeństwie lub grupie.
Moralne i etyczne metody ochrony informacji można sklasyfikować jako grupę metod, które w oparciu o potoczne powiedzenie, że „to nie zamki strzegą tajemnicy, ale ludzie”, odgrywają bardzo ważną rolę w ochronie informacji. To osoba, pracownik przedsiębiorstwa lub instytucji, która ma dostęp do tajemnic i gromadzi w swojej pamięci kolosalne ilości informacji, w tym tajnych, staje się często źródłem wycieku tych informacji lub z jego winy przeciwnikiem zyskuje możliwość uzyskania nieuprawnionego dostępu do nośników informacji chronionych.
Moralne i etyczne metody ochrony informacji obejmują przede wszystkim edukację pracownika mającego dostęp do tajemnic, czyli prowadzenie specjalnej pracy mającej na celu wykształcenie w nim systemu określonych cech, poglądów i przekonań (patriotyzm, zrozumienie znaczenie i użyteczność ochrony informacji dla niego osobiście) oraz przeszkolenie pracownika świadomego informacji stanowiących tajemnicę chronioną, zasad i sposobów ochrony informacji, wpajając mu umiejętności współpracy z nosicielami informacji tajnych i poufnych.
Przedmioty bezpieczeństwa informacji to organy, organizacje i osoby upoważnione przez prawo do prowadzenia odpowiednich działań. Należą do nich przede wszystkim szefowie organów spraw wewnętrznych, pracownicy odpowiednich wydziałów organów spraw wewnętrznych zajmujących się kwestiami bezpieczeństwa informacji (na przykład pracownicy wydziałów technicznych realizujących ochronę techniczną organów spraw wewnętrznych), federalne organy wykonawcze pełniące funkcje nadzorcze w ramach swoich kompetencji (np. FSB w zakresie zapewnienia bezpieczeństwa informacji stanowiących tajemnicę państwową) itp.
Wniosek
Organy spraw wewnętrznych przywiązują dużą wagę do kwestii zachowania tajemnicy informacji i zaszczepiania pracownikom dużej czujności. Jeden z nich często nie docenia niebezpieczeństwa wycieku takich informacji. Przy obchodzeniu się z tajnymi dokumentami wykazują się nieostrożnością graniczącą z karalnym zaniedbaniem, co często prowadzi do ujawnienia informacji stanowiących tajemnicę państwową, a nawet do utraty tajnych przedmiotów i dokumentów. Jednocześnie część pracowników organów spraw wewnętrznych nawiązuje i utrzymuje wątpliwe, niechciane powiązania oraz ujawnia osobom z zewnątrz informacje o sposobach i formach pracy organów spraw wewnętrznych. Niskie kwalifikacje zawodowe poszczególnych pracowników często prowadzą do naruszenia tajemnicy bieżących wydarzeń. Celem tego kursu jest zrozumienie, czym jest bezpieczeństwo informacji, w jaki sposób i jakimi środkami można je zapewnić oraz uniknąć negatywnych konsekwencji, które mogą wystąpić w przypadku wycieku poufnych informacji.
Sposoby podniesienia poziomu bezpieczeństwa informacji w systemie AS
Środki prawne i moralno-etyczne
Środki te określają zasady postępowania z informacją i odpowiedzialność podmiotów stosunków informacyjnych za ich przestrzeganie.
Środki legislacyjne, moralne i etyczne są uniwersalny w tym sensie, że mają one zasadniczo zastosowanie do wszystkich kanałów penetracji i NSD Do AC i informacje. W niektórych przypadkach są one jedynymi, które mają zastosowanie, np. przy ochronie otwartych informacji przed nielegalnym powielaniem lub przy ochronie przed nadużywaniem oficjalnego stanowiska podczas pracy z informacjami.
Weźmy pod uwagę znane stwierdzenie, że stworzenie absolutnego (czyli idealnie niezawodnego) systemu ochrony jest w praktyce zasadniczo niemożliwe.
Nawet zakładając możliwość stworzenia absolutnie niezawodnych środków ochrony fizycznej i technicznej, blokujących wszystkie kanały wymagające zablokowania, zawsze istnieje możliwość oddziaływania na personel systemu, który wykonuje niezbędne działania w celu zapewnienia prawidłowego funkcjonowania tych środków (administrator AC, administrator bezpieczeństwa itp.). Razem ze środkami ochrony osoby te tworzą tzw. „rdzeń bezpieczeństwa”. W tym przypadku o odporności systemu bezpieczeństwa będzie decydowała odporność personelu tworzącego jądro bezpieczeństwa systemu, a można ją zwiększyć jedynie za pomocą środków organizacyjnych (kadrowych), legislacyjnych oraz środków moralno-etycznych. Ale nawet przy doskonałym prawie i optymalnej polityce kadrowej problem ochrony nadal nie zostanie całkowicie rozwiązany. Po pierwsze dlatego, że mało prawdopodobne jest znalezienie personelu, do którego można mieć całkowite zaufanie i w stosunku do którego nie da się podjąć działań zmuszających go do złamania zakazów. Po drugie, nawet osoba absolutnie wiarygodna może popełnić przypadkowe, niezamierzone naruszenie.
Przedmiotami informatyzacji w organach spraw wewnętrznych są urządzenia komputerowe, zautomatyzowane systemy różnego poziomu i przeznaczenia oparte na urządzeniach komputerowych, w tym kompleksy informacyjno-obliczeniowe, sieci i systemy łączności, transmisja i oprogramowanie danych, techniczne środki odbioru, przesyłania i przetwarzania informacji (telefonia) , nagrywanie dźwięku, wzmacnianie dźwięku, odtwarzanie dźwięku, urządzenia domofonowe i telewizyjne, środki do wytwarzania, replikowania dokumentów i inne środki techniczne do przetwarzania mowy, grafiki, wideo, informacji semantycznej i alfanumerycznej), a także pomieszczenia biurowe przeznaczone do odbywania spotkań, spotkań grup roboczych, konferencji, dyskusji i negocjacji w sprawach urzędowych.
Należy zaznaczyć, że odpowiedzialność za rozsądne przedstawienie wymagań organizacyjnych i technicznych dotyczących ochrony informacji dla obiektu informatyzacji spoczywa na bezpośrednim kierowniku wydziału, w którego dyspozycji ten obiekt się znajduje. Wdrożenie środków technicznych ochrony obiektu informatyzacji powierzone jest jednostkom ochrony technicznej.
Organy spraw wewnętrznych stale rozwijają i unowocześniają narzędzia bezpieczeństwa informacji, poszerzają możliwości i zwiększają niezawodność nowych narzędzi. Obecnie Departament Spraw Wewnętrznych produkuje w kraju systemy ochrony zarówno mowy, jak i informacji komputerowych.
W zależności od formy i treści wyróżnia się zagrożenia zewnętrzne i wewnętrzne obiektów ochrony informacji technicznej.
Bezpieczeństwo zewnętrzne obejmuje ochronę przed klęskami żywiołowymi (pożarem, powodzią itp.), przed wejściem osób atakujących z zewnątrz do systemu w celu kradzieży, uzyskania dostępu do informacji lub wyłączenia systemu.
W odniesieniu do organów spraw wewnętrznych do zagrożeń zewnętrznych zalicza się działalność zagranicznych służb wywiadowczych, środowisk przestępczych, osób fizycznych, a także przedsiębiorstw i organizacji komercyjnych oraz non-profit, które posiadają zdolność do zapewnienia nieuprawnionego dostępu do informacji w jakiejkolwiek formie.
Do zagrożeń zewnętrznych nie bez powodu zalicza się także wpływ szkodliwych programów, których działania mają na celu zakłócenie działania systemu.
Zapewnienie bezpieczeństwa wewnętrznego systemu skupia się na stworzeniu niezawodnych i wygodnych mechanizmów regulowania działań wszystkich jego uprawnionych użytkowników i personelu serwisowego, aby zmusić ich do bezwarunkowego przestrzegania ustanowionej w organizacji dyscypliny dostępu do zasobów systemu (w tym informacji). Bezpieczeństwo wewnętrzne obejmuje również szkolenia użytkowników z obowiązkowym testowaniem wiedzy, różne wydarzenia organizacyjne itp.
Do wewnętrznych zagrożeń obiektów ochrony informacji technicznej zalicza się wycieki informacji kanałami związanymi z działaniem urządzeń technicznych i oprogramowania, a także wycieki informacji kanałami związanymi z działaniami ludzi, które mogą wynikać z braku wdrożyć zestaw wymaganych środków organizacyjno-technicznych ochrony informacji o obiektach informatyzacji.
Wygląd technicznego kanału wycieku informacji zależy od jego rodzaju. Wśród nich można wyróżnić grupę kanałów związanych z informacją mowę oraz informacją przetwarzaną przez systemy komputerowe:
1) boczne promieniowanie elektromagnetyczne ze środków technicznych i linii transmisji informacji (np. promieniowanie z monitora opartego na kineskopie PC lub napędach dyskowych);
2) przeglądanie i kopiowanie informacji z ekranów wyświetlaczy za pomocą środków optycznych;
3) sygnały powstałe w wyniku oddziaływania sygnałów o wysokiej częstotliwości ze sprzętu rozpoznawczego na wyposażenie techniczne;
4) specjalne urządzenia elektroniczne do przechwytywania informacji („zakładki”);
5) promieniowanie akustyczne sygnału mowy lub sygnału spowodowane działaniem technicznych środków przetwarzania informacji (np. telegrafu, drukarki);
6) sygnały wibracyjne powstające podczas konwersji z akustycznego pod wpływem konstrukcji budowlanych i komunikacji inżynierskiej pomieszczeń.
Planuje się bardziej szczegółowe i szczegółowe rozważenie różnych aspektów zapewnienia bezpieczeństwa informacyjnego organów spraw wewnętrznych w ramach innych tematów dyscypliny.
Zarządzenie Ministerstwa Spraw Wewnętrznych Federacji Rosyjskiej z dnia 6 lipca 2012 r. N 678
„Po zatwierdzeniu Instrukcji organizacji ochrony danych osobowych zawartych w systemach informatycznych organów spraw wewnętrznych Federacji Rosyjskiej”
Ze zmianami i uzupełnieniami z:
W celu zapewnienia realizacji wymagań ustawodawstwa Federacji Rosyjskiej w zakresie ochrony danych osobowych podczas ich zautomatyzowanego przetwarzania zarządzam:
2. Szefowie wydziałów aparatu centralnego Ministerstwa Spraw Wewnętrznych Rosji, szefowie (szefowie) organów terytorialnych Ministerstwa Spraw Wewnętrznych Rosji, organizacje oświatowe, naukowe, medyczne, sanitarne i sanatoryjne systemu Ministerstwa Spraw Wewnętrznych Rosji, okręgowe wydziały logistyki systemu Ministerstwa Spraw Wewnętrznych Rosji, a także inne organizacje i wydziały utworzone w celu realizacji zadań i wykonywania uprawnień powierzonych organom spraw wewnętrznych Federacji Rosyjskiej:
2.1. Zorganizuj badanie wśród pracowników, urzędników rządu federalnego i pracowników organów spraw wewnętrznych Federacji Rosyjskiej *(2) wymagania tego Instrukcje jeśli o nich chodzi.
2.3. Zatwierdza listę urzędników uprawnionych do przetwarzania danych osobowych zawartych w systemach informatycznych organów spraw wewnętrznych *(3).
2.4. W latach 2012-2013 przeprowadzić działania mające na celu organizację ochrony danych osobowych zawartych w systemach informatycznych danych osobowych zgodnie z wymaganiami Prawo federalne z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych” *(4) oraz biorąc pod uwagę wielkość alokacji przyznanych przez rosyjskie Ministerstwo Spraw Wewnętrznych na zamówienie obronne państwa.
2.5. Aby zapewnić do dnia 30 listopada 2012 r. zebranie i przekazanie w określony sposób do DITSiZI Ministerstwa Spraw Wewnętrznych Rosji informacji określonych w Część 3 Artykuł 22 Ustawa federalna N 152-FZ.
2.6. Podjąć działania w celu dalszego przekazywania DITSiZI Ministerstwa Spraw Wewnętrznych Rosji informacji określonych w podpunkt 2.5 niniejszego zamówienia, w przypadku jego zmiany, a także zakończenia przetwarzania danych osobowych, nie później niż w ciągu dwóch dni kalendarzowych od dnia wystąpienia takich zmian lub od dnia zakończenia przetwarzania danych osobowych.
3. DITSiZI Ministerstwa Spraw Wewnętrznych Rosji (S.N. Lyashenko) zapewnia:
3.1. Prowadzenie wykazu systemów informatycznych danych osobowych.
3.2. Przekazywanie Federalnej Służbie Nadzoru w Sferze Łączności, Technologii Informacyjnych i Komunikacji Masowej informacji o operatorze w sposób określony przez Ministerstwo Łączności i Mediów Federacji Rosyjskiej.
4. DGSK Ministerstwa Spraw Wewnętrznych Rosji (V.L. Kubyshko) wraz z DITSiZI Ministerstwa Spraw Wewnętrznych Rosji (S.N. Lyashenko) w celu zapewnienia przygotowania zaawansowanych kursów szkoleniowych dla pracowników, urzędników federalnych i pracowników organów spraw wewnętrznych w zakresie ochrony danych osobowych na podstawie federalnej państwowej instytucji edukacyjnej wyższego wykształcenia zawodowego „Instytut Woroneża Ministerstwa Spraw Wewnętrznych Federacji Rosyjskiej”.
Nr rejestracyjny 25488
Zatwierdzono instrukcje dotyczące organizacji ochrony danych osobowych zawartych w systemach informatycznych Departamentu Spraw Wewnętrznych Rosji.
Aby zapewnić im bezpieczeństwo tworzony jest system ochrony. Musi zapewniać poufność, integralność i dostępność danych podczas przetwarzania. Wymieniony system obejmuje środki organizacyjne i techniczne, środki zapobiegające nieuprawnionemu dostępowi, wyciekowi informacji kanałami technicznymi itp.
Dobór i wdrożenie metod i metod ochrony informacji odbywa się w oparciu o model zagrożeń i w zależności od klasy systemów informatycznych danych osobowych. Klasyfikacji dokonuje jednostka operacyjna. W tym celu tworzona jest specjalna komisja.
Dla każdego systemu informatycznego opracowywane są modele zagrożeń na etapie jego tworzenia (modernizacji).
Dane osobowe przetwarzane są wyłącznie po stworzeniu systemu bezpieczeństwa i uruchomieniu systemu informatycznego.
Katedra Informatyki i Matematyki
Test
„Podstawy bezpieczeństwa informacji w organach spraw wewnętrznych”
Wykonane:
Byczkowa Elena Nikołajewna
Studentka II roku, grupa II
Moskwa – 2009
Plan
1. Koncepcja i cele przeprowadzania kontroli specjalnych obiektów informatyzacyjnych; główne etapy audytu
2. Podatność systemów komputerowych. Koncepcja nieautoryzowanego dostępu (UNA). Klasy i typy NSD
2.1 Podatność głównych elementów strukturalnych i funkcjonalnych rozproszonego systemu AS
2.2 Zagrożenia bezpieczeństwa informacji, AS i podmiotów stosunków informacyjnych
2.3 Główne rodzaje zagrożeń bezpieczeństwa podmiotów stosunków informacyjnych
Wykaz używanej literatury
1. Koncepcja i cele przeprowadzania kontroli specjalnych obiektów informatyzacyjnych; główne etapy audytu
Obiekt informatyzacji – zespół narzędzi informatyzacji wraz z pomieszczeniami, w których są zainstalowane, przeznaczonymi do przetwarzania i przekazywania informacji objętych ochroną, a także pomieszczenia wydzielone.
Technologia informacyjna oznacza sprzęt komputerowy i komunikacyjny, sprzęt biurowy przeznaczony do gromadzenia, gromadzenia, przechowywania, wyszukiwania, przetwarzania danych i rozpowszechniania informacji wśród konsumentów.
Sprzęt komputerowy – komputery i zespoły elektroniczne, osobiste komputery elektroniczne wraz z oprogramowaniem, urządzeniami peryferyjnymi, urządzeniami teleprzetwarzającymi.
Obiekt komputerowy (CT) to obiekt stacjonarny lub mobilny, będący zespołem sprzętu komputerowego przeznaczonym do wykonywania określonych funkcji przetwarzania informacji. Wyposażenie komputerowe obejmuje zautomatyzowane systemy (AS), zautomatyzowane stacje robocze (AWS), centra informacyjno-obliczeniowe (ICC) i inne zespoły sprzętu komputerowego.
Urządzenia komputerowe mogą obejmować także indywidualne urządzenia komputerowe, które realizują niezależne funkcje przetwarzania informacji.
Lokale dedykowane (VP)- specjalna sala przeznaczona do odbywania spotkań, konferencji, rozmów i innych wydarzeń o charakterze przemówień w sprawach tajnych lub poufnych.
Działalność o charakterze mowy może być prowadzona w wydzielonych pomieszczeniach z wykorzystaniem lub bez użycia technicznych środków przetwarzania informacji głosowej (TSIP).
Narzędzie do przetwarzania informacji technicznych (ITI)- urządzenie techniczne przeznaczone do odbierania, przechowywania, wyszukiwania, przekształcania, wyświetlania i/lub przesyłania informacji kanałami komunikacyjnymi.
ICT obejmuje sprzęt komputerowy, narzędzia i systemy komunikacji, środki nagrywania, wzmacniania i odtwarzania dźwięku, urządzenia domofonowe i telewizyjne, środki wytwarzania i odtwarzania dokumentów, sprzęt do projekcji filmowych i inne środki techniczne związane z odbiorem, gromadzeniem, przechowywaniem, wyszukiwaniem, przekształcaniem, wyświetlanie i/lub przesyłanie informacji kanałami komunikacyjnymi.
System automatyczny (AC)- zespół oprogramowania i sprzętu komputerowego przeznaczony do automatyzacji różnych procesów związanych z działalnością człowieka. Jednocześnie człowiek jest ogniwem w systemie.
Specjalna kontrola Jest to sprawdzenie technicznych środków przetwarzania informacji przeprowadzane w celu wyszukiwania i zajmowania specjalnych elektronicznych urządzeń wbudowanych (hardware Embedded).
Certyfikat przedmiotu ochrony- dokument wydany przez jednostkę certyfikującą lub inny specjalnie upoważniony organ potwierdzający obecność w obiekcie zabezpieczającym warunków niezbędnych i wystarczających do spełnienia ustalonych wymagań i standardów w zakresie skuteczności ochrony informacji.
Certyfikat przydzielonego lokalu- dokument wydany przez jednostkę certyfikującą lub inną specjalnie upoważnioną jednostkę, potwierdzający istnienie niezbędnych warunków zapewniających niezawodną ochronę akustyczną przydzielonego lokalu zgodnie z ustalonymi normami i zasadami.
Instrukcja użycia- dokument zawierający wymagania dotyczące zapewnienia bezpieczeństwa technicznego środka przetwarzania informacji podczas jego eksploatacji.
Program testów certyfikacyjnych- obowiązkowy dokument organizacyjno-metodyczny określający przedmiot i cel badań, rodzaje, kolejność i objętość przeprowadzanych doświadczeń, procedurę, warunki, miejsce i termin przeprowadzania badań, sposób ich prowadzenia i sprawozdawczość, a także odpowiedzialność za dostarczanie i przeprowadzanie testów.
Metodologia badań certyfikacyjnych- obowiązkowy dokument organizacyjno-metodologiczny, obejmujący metodę badania, środki i warunki badania, pobieranie próbek, algorytm wykonywania operacji. Poprzez określenie jednej lub kilku powiązanych ze sobą cech bezpieczeństwa obiektu, formy prezentacji danych oraz oceny dokładności i wiarygodności wyników.
Raport z testu certyfikacyjnego- dokument zawierający niezbędne informacje o obiekcie badań, zastosowanych metodach, środkach i warunkach badań, a także wnioski dotyczące wyników badań, sporządzone w określony sposób.
Główne środki i systemy techniczne (OTSS)- środki i systemy techniczne oraz ich łączność, wykorzystywane do przetwarzania, przechowywania i przekazywania informacji poufnych (tajnych).
OTSS może obejmować narzędzia i systemy technologii informacyjnej (narzędzia komputerowe, zautomatyzowane systemy różnego poziomu i przeznaczenia oparte na technologii komputerowej, w tym kompleksy informacyjno-obliczeniowe, sieci i systemy, narzędzia i systemy komunikacji i transmisji danych), techniczne środki odbioru, transmisji i przetwarzanie informacji (telefonia, nagrywanie dźwięku, wzmacnianie dźwięku, odtwarzanie dźwięku, urządzenia domofonowe i telewizyjne, środki produkcji, replikacja dokumentów i inne techniczne środki przetwarzania mowy, graficznego wideo, informacji semantycznych i alfanumerycznych) wykorzystywanych do przetwarzania informacji poufnych (tajnych) Informacja.
Pomocnicze środki i systemy techniczne (ATSS)- środki i systemy techniczne nieprzeznaczone do przesyłania, przetwarzania i przechowywania informacji poufnych, instalowane razem z OTS lub w wydzielonych pomieszczeniach.
Obejmują one:
Różne typy urządzeń i systemów telefonicznych;
Środki i systemy transmisji danych w systemie łączności radiowej;
Systemy i sprzęt bezpieczeństwa i sygnalizacji pożaru;
Środki i systemy ostrzegania i alarmowania;
Sprzęt kontrolno-pomiarowy;
Produkty i systemy klimatyzacyjne;
Narzędzia i systemy do przewodowych sieci nadawczych i odbioru programów radiowych i telewizyjnych (głośniki abonenckie, radiowe systemy nadawcze, telewizory i radia itp.);
Elektroniczny sprzęt biurowy.
Przygotowanie dokumentów w oparciu o wyniki badań certyfikacyjnych:
Na podstawie wyników badań certyfikacyjnych w różnych obszarach i komponentach sporządzane są raporty z testów. Na podstawie protokołów na podstawie wyników certyfikacji przyjmuje się Wnioski zawierające zwięzłą ocenę zgodności obiektu informatyzacji z wymogami bezpieczeństwa informacji, wniosek o możliwości wydania „Certyfikatu zgodności” oraz niezbędne zalecenia. Jeżeli przedmiot informacyjny spełnia ustalone wymagania dotyczące bezpieczeństwa informacji, wydawany jest dla niego Certyfikat Zgodności.
Ponowna certyfikacja obiektu informatyzacji przeprowadzana jest w przypadku wprowadzenia zmian w obiekcie niedawno certyfikowanym. Zmiany takie mogą obejmować:
Zmiana lokalizacji OTSS lub VTSS;
Zastąpienie OTSS lub VTSS innymi;
Wymiana technicznych środków bezpieczeństwa informacji;
Zmiany w instalacji i układaniu linii kablowych niskoprądowych i pojedynczych;
Nieautoryzowane otwarcie zapieczętowanych skrzynek OTSS lub VTSS;
Wykonywanie prac remontowo-budowlanych w wyznaczonych pomieszczeniach itp.
W przypadku konieczności ponownej certyfikacji obiektu informatyzacji, ponowna certyfikacja odbywa się według uproszczonego programu. Uproszczenia polegają na tym, że badaniu podlegają jedynie elementy, które uległy zmianom.
2. Podatność systemów komputerowych. Koncepcja nieautoryzowanego dostępu (UNA). Klasy i typy NSD
Jak wynika z analiz, najnowocześniejsze systemy automatycznego przetwarzania informacji (AS) to w ogólnym przypadku rozproszone geograficznie systemy lokalnych sieci komputerowych (LAN) i poszczególnych komputerów intensywnie współdziałających (synchronizujących się) ze sobą wykorzystujących dane (zasoby) i zarządzających (zdarzeniami).
W systemach rozproszonych możliwe są wszystkie „tradycyjne” dla lokalnie zlokalizowanych (scentralizowanych) systemów obliczeniowych metody nieuprawnionej ingerencji w ich działanie i dostęp do informacji. Ponadto charakteryzują się nowymi, specyficznymi kanałami penetracji systemu i nieuprawnionym dostępem do informacji.
Wymieńmy główne cechy głośników rozproszonych:
· separacja terytorialna elementów systemu i występowanie intensywnej wymiany informacji pomiędzy nimi;
· szeroka gama stosowanych metod prezentacji, przechowywania i przekazywania informacji;
· integrowanie do różnych celów danych różnych podmiotów w ramach ujednoliconych baz danych i odwrotnie, umieszczanie danych wymaganych przez niektóre podmioty w różnych odległych węzłach sieci;
