Mbrojtja e informacionit dhe siguria e informacionit. Siguria e informacionit në ndërmarrje Sigurimi i sigurisë së informacionit të organizatës

Krijuesi i kibernetikës, Norbert Wiener, besonte se informacioni ka karakteristika unike dhe nuk mund t'i atribuohet as energjisë dhe as materies. Statusi i veçantë i informacionit si fenomen ka dhënë shumë përkufizime.

Në fjalorin e standardit ISO / IEC 2382: 2015 "Teknologjia e informacionit", jepet interpretimi i mëposhtëm:

Informacion (në fushën e përpunimit të informacionit) - çdo e dhënë e paraqitur në formë elektronike, e shkruar në letër, e shprehur në një takim ose në ndonjë medium tjetër, e përdorur nga një institucion financiar për marrjen e vendimeve, lëvizjen e fondeve, përcaktimin e normave, dhënien e huave, përpunimin e transaksioneve, etj, përfshirë komponentët softueri i sistemit të përpunimit.

Për të zhvilluar konceptin e sigurisë së informacionit (IS), informacioni kuptohet si informacion që është i disponueshëm për mbledhje, ruajtje, përpunim (redaktim, transformim), përdorim dhe transmetim menyra te ndryshme, duke përfshirë në rrjetet kompjuterike dhe sistemet e tjera të informacionit.

Një informacion i tillë është me vlerë të lartë dhe mund të bëhet objekt i shkeljes nga palët e treta. Dëshira për të mbrojtur informacionin nga kërcënimet qëndron në krijimin e sistemeve të sigurisë së informacionit.

Baza ligjore

Në Dhjetor 2017, Rusia miratoi Doktrinën e Sigurisë së Informacionit. Në dokument, IB përcaktohet si shteti i mbrojtjes së interesave kombëtare në sfera e informacionit... Në këtë rast, interesat kombëtare kuptohen si tërësia e interesave të shoqërisë, individit dhe shtetit, secili grup interesash është i nevojshëm për funksionimin e qëndrueshëm të shoqërisë.

Doktrina është një letër konceptuale. Marrëdhëniet ligjore në lidhje me sigurinë e informacionit rregullohen nga ligjet federale "Për sekretet shtetërore", "Për informacionin", "për mbrojtjen e të dhënave personale" dhe të tjerë. Mbi bazën e akteve themelore normative, hartohen dekrete të qeverisë dhe akte normative të departamenteve, kushtuar çështjeve të veçanta të mbrojtjes së informacionit.

Përkufizimi i sigurisë së informacionit

Para zhvillimit të një strategjie të sigurisë së informacionit, është e nevojshme të miratohet një përkufizim themelor i vetë konceptit, i cili do të lejojë përdorimin e një grupi të caktuar të metodave dhe metodave të mbrojtjes.

Praktikuesit e industrisë sugjerojnë që siguria e informacionit të kuptohet si një gjendje e qëndrueshme e sigurisë së informacionit, bartësve dhe infrastrukturës së tij, e cila siguron integritetin dhe stabilitetin e proceseve të lidhura me informacionin kundër ndikimeve të qëllimshme ose të paqëllimshme të një natyre natyrore dhe artificiale. Ndikimet klasifikohen si kërcënime të IS që mund të dëmtojnë subjektet e marrëdhënieve të informacionit.

Kështu, mbrojtja e informacionit do të kuptohet si një kompleks i masave ligjore, administrative, organizative dhe teknike që synojnë parandalimin e kërcënimeve reale ose të perceptuara të sigurisë së informacionit, si dhe eliminimin e pasojave të incidenteve. Vazhdimësia e procesit të mbrojtjes së informacionit duhet të garantojë luftën kundër kërcënimeve në të gjitha fazat e ciklit të informacionit: në procesin e mbledhjes, ruajtjes, përpunimit, përdorimit dhe transmetimit të informacionit.

Siguria e informacionit në këtë kuptim bëhet një nga karakteristikat e performancës së sistemit. Në çdo moment në kohë, sistemi duhet të ketë një nivel të matshëm të sigurisë, dhe garantimi i sigurisë së sistemit duhet të jetë një proces i vazhdueshëm që kryhet në të gjitha intervalet kohore gjatë jetës së sistemit.

Infografike përdor të dhëna nga tonat KërkoInformo.

Në teorinë e sigurisë së informacionit, subjektet e sigurisë së informacionit kuptohen si pronarë dhe përdorues të informacionit, dhe jo vetëm përdorues në mënyrë të vazhdueshme (punonjës), por edhe përdorues që përdorin bazat e të dhënave në raste të izoluara, për shembull, agjencitë qeveritare që kërkojnë informacion. Në një numër rastesh, për shembull, në standardet e sigurisë së informacionit bankar, aksionarët renditen si pronarë të informacionit - persona juridikë që zotërojnë të dhëna të caktuara.

Infrastruktura mbështetëse, nga këndvështrimi i bazave të sigurisë së informacionit, përfshin kompjutera, rrjete, pajisje telekomunikuese, lokale, sisteme mbështetëse të jetës dhe personel. Kur analizohet siguria, është e nevojshme të studiohen të gjithë elementët e sistemeve, duke i kushtuar vëmendje të veçantë personelit si bartës i kërcënimeve më të brendshme.

Për menaxhimin e sigurisë së informacionit dhe vlerësimin e dëmit, përdoret karakteristika e pranueshmërisë, kështu që dëmi përcaktohet si i pranueshëm ose i papranueshëm. Usefulshtë e dobishme për secilën kompani të vendosë kriteret e veta për pranueshmërinë e dëmit në formë monetare ose, për shembull, në formën e dëmtimit të pranueshëm të reputacionit. Në institucionet publike, karakteristika të tjera mund të miratohen, për shembull, ndikimi në procesin e menaxhimit ose pasqyrimi i shkallës së dëmtimit të jetës dhe shëndetit të qytetarëve. Kriteret për materialitetin, rëndësinë dhe vlerën e informacionit mund të ndryshojnë gjatë ciklit jetësor të grupit të informacionit, prandaj, duhet të rishikohen në kohën e duhur.

Një kërcënim informacioni në kuptimin e ngushtë është një mundësi objektive për të ndikuar në një objekt të mbrojtur, i cili mund të çojë në rrjedhje, vjedhje, zbulim ose shpërndarje të informacionit. Në një kuptim më të gjerë, kërcënimet e sigurisë së informacionit do të përfshijnë ndikime të drejtuara informative, qëllimi i të cilave është të dëmtojë shtetin, organizatën dhe individin. Kërcënime të tilla përfshijnë, për shembull, shpifje, keqinterpretim të qëllimshëm dhe reklama të papërshtatshme.

Tri pyetjet kryesore të konceptit të sigurisë së informacionit për çdo organizatë

Çfarë të mbrojmë?

Cilat lloje të kërcënimeve mbizotërojnë: të jashtme apo të brendshme?

Si të mbrohemi, me cilat metoda dhe mjete?

Sistemi IS

Sistemi i sigurisë së informacionit për një kompani - një person juridik përfshin tre grupe të koncepteve themelore: integritetin, disponueshmërinë dhe konfidencialitetin. Nën secilin janë koncepte me shumë karakteristika.

Nën integriteti nënkupton qëndrueshmërinë e bazave të të dhënave, vargjeve të tjera të informacionit deri në shkatërrim aksidental ose të qëllimshëm, ndryshime të paautorizuara. Integriteti mund të shihet si:

statike, e shprehur në pandryshueshmëri, vërtetësi objektet e informacionit ato objekte që janë krijuar sipas një specifikimi teknik specifik dhe përmbajnë sasinë e informacionit të kërkuar nga përdoruesit për veprimtarinë e tyre kryesore, në konfigurimin dhe sekuencën e kërkuar;
dinamike, duke nënkuptuar ekzekutimin e saktë të veprimeve ose transaksioneve komplekse, pa dëmtuar sigurinë e informacionit.

Për të kontrolluar integritetin dinamik, përdoren mjete të posaçme teknike që analizojnë rrjedhën e informacionit, për shembull, ato financiare dhe identifikojnë rastet e vjedhjes, dublikimit, ridrejtimit dhe rirenditjes së mesazheve. Integriteti si një karakteristikë kryesore kërkohet kur merren vendime për të ndërmarrë veprime bazuar në informacionin hyrës ose të disponueshëm. Shkelja e rendit të komandave ose sekuenca e veprimeve mund të shkaktojë dëm të madh në rastin e përshkrimit të proceseve teknologjike, kodeve të programit dhe në situata të tjera të ngjashme.

Disponueshmëria është një pronë që lejon subjektet e autorizuara të kenë qasje ose të shkëmbejnë të dhëna me interes për ta. Kërkesa kryesore e legjitimimit ose autorizimit të subjekteve bën të mundur krijimin e niveleve të ndryshme të aksesit. Dështimi i sistemit për të siguruar informacion bëhet problem për çdo organizatë ose grup përdoruesish. Një shembull është paarritshmëria e vendeve të shërbimit publik në rast të një dështimi të sistemit, i cili privon shumë përdorues nga mundësia për të marrë shërbimet ose informacionin e nevojshëm.

Konfidencialiteti do të thotë vetia e informacionit që do të jetë në dispozicion për ata përdorues: subjektet dhe proceset që fillimisht lejohen hyrja. Shumica e kompanive dhe organizatave e perceptojnë konfidencialitetin si një element kryesor të sigurisë së informacionit, por në praktikë është e vështirë të zbatohet plotësisht. Jo të gjitha të dhënat mbi kanalet ekzistuese të rrjedhjeve të informacionit janë në dispozicion të autorëve të koncepteve të sigurisë së informacionit dhe shumë mjete teknike të mbrojtjes, përfshirë ato kriptografike, nuk mund të blihen lirshëm, në disa raste qarkullimi është i kufizuar.

Karakteristikat e barabarta të sigurisë së informacionit kanë vlera të ndryshme për përdoruesit, prandaj dy kategoritë ekstreme kur zhvillojnë koncepte të mbrojtjes së të dhënave. Për kompanitë ose organizatat që lidhen me sekretet shtetërore, konfidencialiteti do të bëhet një parametër kryesor, për shërbimet publike ose institucionet arsimore, parametri më i rëndësishëm është aksesueshmëria.

Përmbledhje e sigurisë së informacionit

Objektet e mbrojtura në konceptet e sigurisë së informacionit

Diferenca në lëndë shkakton ndryshime në objektet e mbrojtjes. Grupet kryesore të objekteve të mbrojtura:

burimet e informacionit të të gjitha llojeve (një burim nënkupton një objekt material: hDD, një medium tjetër, një dokument me të dhëna dhe detaje që ndihmojnë në identifikimin e tij dhe caktimin e tij tek një grup i caktuar subjektesh);
të drejtat e qytetarëve, organizatave dhe shtetit për të hyrë në informacion, aftësia për ta marrë atë brenda kornizës së ligjit; hyrja mund të kufizohet vetëm nga aktet ligjore rregullatore, organizimi i çdo barriere që shkel të drejtat e njeriut është e papranueshme;
sistemi për krijimin, përdorimin dhe shpërndarjen e të dhënave (sisteme dhe teknologji, arkiva, biblioteka, dokumente rregullatore);
një sistem për formimin e vetëdijes publike (media, burimet e internetit, institucionet sociale, institucionet arsimore).

Secili objekt merr një sistem të veçantë masash për të mbrojtur nga kërcënimet ndaj sigurisë së informacionit dhe rendit publik. Sigurimi i sigurisë së informacionit në secilin rast duhet të bazohet në një qasje sistematike që merr parasysh specifikat e objektit.

Kategoritë dhe mjetet e ruajtjes

Sistemi ligjor rus, praktika e zbatimit të ligjit dhe marrëdhëniet shoqërore të vendosura klasifikojnë informacionin sipas kritereve të arritshmërisë. Kjo ju lejon të sqaroni parametrat thelbësorë të kërkuar për të siguruar sigurinë e informacionit:

informacion, hyrja në të cilën është e kufizuar në bazë të kërkesave ligjore (sekretet shtetërore, sekretet tregtare, të dhënat personale);
informacion në domenin publik;
informacion në dispozicion të publikut që sigurohet në kushte të caktuara: informacion me pagesë ose të dhëna për të cilat ju duhet të lëshoni një pranim, për shembull, një kartë bibliotekare;
informacione të rrezikshme, të dëmshme, të rreme dhe të tjera, qarkullimi dhe shpërndarja e të cilave është e kufizuar ose nga kërkesat e ligjeve ose standardeve të korporatave.

Informacioni nga grupi i parë ka dy mënyra armatimi. Sekret shtetëror, sipas ligjit, ky informacion mbrohet nga shteti, shpërndarja falas e të cilit mund të dëmtojë sigurinë e vendit. Këto janë të dhëna në fushën e ushtrisë, politikës së jashtme, inteligjencës, kundërzbulimit dhe aktiviteteve ekonomike të shtetit. Pronari i këtij grupi të të dhënave është vetë shteti. Organet e autorizuara për të marrë masa për të mbrojtur sekretet shtetërore janë Ministria e Mbrojtjes, Shërbimi Federal i Sigurisë (FSB), Shërbimi i Inteligjencës së Jashtme dhe Shërbimi Federal për Kontrollin Teknik dhe të Eksportit (FSTEC).

Informacione konfidenciale - një temë më e zhdërvjellët e rregullimit. Lista e informacionit që mund të përbëjë informacion konfidencial përmbahet në Dekretin Presidencial Nr. 188 "Për Miratimin e Listës së Informacionit Konfidencial". Këto janë të dhëna personale; sekretin e hetimit dhe procedurat ligjore; sekret zyrtar; sekret profesional (mjekësor, noterial, avokat); sekret tregtar; informacion në lidhje me shpikjet dhe modelet e shërbimeve; informacioni që përmbahet në dosjet personale të të dënuarve, si dhe informacioni mbi ekzekutimin e detyrueshëm të akteve gjyqësore.

Të dhënat personale ekzistojnë në një mënyrë të hapur dhe konfidenciale. Një pjesë e të dhënave personale të hapura dhe të arritshme për të gjithë përdoruesit përfshin emrin, mbiemrin, patronimin. Sipas FZ-152 "Për të dhënat personale", subjektet e të dhënave personale kanë të drejtë:

vetëvendosje informative;
për të hyrë në të dhënat personale personale dhe për të bërë ndryshime në to;
për të bllokuar të dhënat personale dhe qasjen në to;
të apelojë kundër veprimeve të paligjshme të palëve të treta të kryera në lidhje me të dhënat personale;
për kompensimin e dëmit të shkaktuar.

E drejta për këtë është e parashikuar në rregulloret për organet shtetërore, ligjet federale, licencat për punë me të dhëna personale të lëshuara nga Roskomnadzor ose FSTEC. Kompanitë që punojnë profesionalisht me të dhëna personale të një game të gjerë njerëzish, për shembull, operatorët e telekomit, duhet të regjistrojnë regjistrin, i cili mirëmbahet nga Roskomnadzor.

Një objekt i veçantë në teorinë dhe praktikën e sigurisë së informacionit janë bartësit e informacionit, hyrja në të cilën është e hapur dhe e mbyllur. Kur zhvilloni një koncept të sigurisë së informacionit, metodat e mbrojtjes zgjidhen në varësi të llojit të medias. Media kryesore e ruajtjes:

media e shkruar dhe elektronike, rrjetet sociale, burime të tjera në internet;
punonjësit e organizatës të cilët kanë qasje në informacion në bazë të miqësive të tyre, familjes, lidhjeve profesionale;
lehtësirat e komunikimit që transmetojnë ose ruajnë informacione: telefona, shkëmbime automatike telefonike, pajisje të tjera telekomunikuese;
dokumente të të gjitha llojeve: personale, zyrtare, qeveritare;
softueri si një objekt i pavarur informacioni, veçanërisht nëse versioni i tij është modifikuar posaçërisht për një kompani të veçantë;
media elektronike të ruajtjes që përpunojnë të dhënat në një mënyrë automatike.

Me qëllim të zhvillimit të koncepteve të sigurisë së informacionit, mjetet e sigurisë së informacionit zakonisht ndahen në normative (informale) dhe teknike (formale).

Mjetet joformale të mbrojtjes janë dokumentet, rregullat, ngjarjet, mjetet formale janë mjete të veçanta teknike dhe softuer. Vijëzimi ndihmon në shpërndarjen e fushave të përgjegjësisë kur krijohen sisteme të sigurisë së informacionit: me menaxhimin e përgjithshëm të mbrojtjes, personeli administrativ zbaton metodat rregullatore dhe specialistët e IT, përkatësisht, ato teknike.

Bazat e sigurisë së informacionit nënkuptojnë ndarjen e kompetencave jo vetëm në drejtim të përdorimit të informacionit, por edhe në drejtim të punës me mbrojtjen e tij. Ky përcaktim i kompetencave kërkon gjithashtu disa nivele kontrolli.

Mjetet juridike zyrtare

Një gamë e gjerë e mjeteve teknike të sigurisë së informacionit përfshin:

Pajisjet mbrojtëse fizike. Këto janë mekanizma mekanikë, elektrikë, elektronikë që funksionojnë në mënyrë të pavarur nga sistemet e informacionit dhe krijojnë pengesa për qasjen në to. Flokët, përfshirë ato elektronikë, ekranet, blinds janë krijuar për të krijuar pengesa për kontaktin e faktorëve destabilizues me sistemet. Grupi plotësohet nga sistemet e sigurisë, për shembull, kamera video, regjistrues video, sensorë që zbulojnë lëvizjen ose tejkalimin e shkallës së rrezatimit elektromagnetik në zonën e vendndodhjes së mjeteve teknike për marrjen e informacionit, pajisjeve të ngulitura.

Mbrojtja e pajisjeve. Këto janë pajisje elektrike, elektronike, optike, lazer dhe pajisje të tjera që janë ngulitur në sistemet e informacionit dhe telekomunikacionit. Para futjes së harduerit në sistemet e informacionit, është e nevojshme të sigurohet pajtueshmëria.

Program kompjuterik janë programe të thjeshta dhe sistematike, komplekse të dizajnuara për të zgjidhur probleme të veçanta dhe komplekse në lidhje me sigurinë e informacionit. Një shembull i zgjidhjeve komplekse janë: të parat shërbejnë për të parandaluar rrjedhjet, riformatimin e informacionit dhe përcjelljen e flukseve të informacionit, të dytat ofrojnë mbrojtje ndaj incidenteve në fushën e sigurisë së informacionit. Softueri kërkon nga fuqia e pajisjeve harduerike dhe duhet të sigurohen rezerva shtesë gjatë instalimit.

mund të testohet falas për 30 ditë. Para instalimit të sistemit, inxhinierët e SearchInform do të kryejnë një kontroll teknik në kompaninë e klientit.

TE mjete specifike siguria e informacionit përfshin algoritme të ndryshme kriptografike që kriptojnë informacionin në disk dhe ridrejtohen përmes kanaleve të jashtme të komunikimit. Transformimi i informacionit mund të kryhet duke përdorur metoda softuerike dhe harduerike që veprojnë në sistemet e informacionit të korporatave.

Të gjitha mjetet që garantojnë sigurinë e informacionit duhet të përdoren në kombinim, pas një vlerësimi paraprak të vlerës së informacionit dhe krahasimit të tij me koston e burimeve të shpenzuara për sigurinë. Prandaj, propozimet për përdorimin e fondeve duhet të formulohen tashmë në fazën e zhvillimit të sistemeve dhe miratimi duhet të bëhet në nivelin e menaxhimit përgjegjës për miratimin e buxheteve.

Në mënyrë që të sigurohet siguria, është e nevojshme të monitorojmë të gjitha zhvillimet moderne, mjetet e mbrojtjes së softuerit dhe pajisjeve, kërcënimet dhe të bëjmë me kohë ndryshime në sistemin tonë të mbrojtjes nga hyrja e paautorizuar. Vetëm reagimi i duhur dhe i shpejtë ndaj kërcënimeve do të ndihmojë për të arritur një nivel të lartë të konfidencialitetit në punën e ndërmarrjes.

Publikimi i parë u lansua në 2018. Ky program unik krijon profile psikologjike të punonjësve dhe i cakton ata në grupe rreziku. Kjo qasje për të siguruar sigurinë e informacionit ju lejon të parashikoni incidente të mundshme dhe të merrni masa paraprakisht.

Mjetet juridike joformale

Mjetet juridike joformale grupohen në normative, administrative dhe morale-etike. Në nivelin e parë të mbrojtjes janë mjetet rregullatore që rregullojnë sigurinë e informacionit si një proces në aktivitetet e organizatës.

Mjetet rregullatore

Në praktikën botërore, kur zhvillojnë mjete rregullatore, ato drejtohen nga standardet e mbrojtjes IS, kryesorja është ISO / IEC 27000. Standardi u krijua nga dy organizata:

ISO - Komisioni Ndërkombëtar për Standardizim, i cili zhvillon dhe miraton shumicën e metodologjive të njohura ndërkombëtarisht për çertifikimin e cilësisë së prodhimit dhe proceseve të menaxhimit;
IEC - Komisioni Ndërkombëtar i Energjisë, i cili futi në standard kuptimin e tij të sistemeve të sigurisë së informacionit, mjeteve dhe metodave të sigurimit të tij

Versioni aktual i ISO / IEC 27000-2016 ofron standarde të gatshme dhe metoda të provuara të nevojshme për zbatimin e sigurisë së informacionit. Sipas autorëve të metodave, baza e sigurisë së informacionit qëndron në qëndrueshmërinë dhe zbatimin e vazhdueshëm të të gjitha fazave nga zhvillimi në post-kontroll.

Për të marrë një certifikatë që konfirmon pajtueshmërinë me standardet e sigurisë së informacionit, është e nevojshme të zbatohen të gjitha metodat e rekomanduara në mënyrë të plotë. Nëse nuk ka nevojë për të marrë një certifikatë, lejohet të pranohet ndonjë nga versionet e mëparshme të standardit, duke filluar me ISO / IEC 27000-2002, ose GOST-et ruse, të cilat kanë natyrë këshilluese, si bazë për zhvillimin e sistemeve të tyre të sigurisë së informacionit.

Bazuar në rezultatet e studimit të standardit, dy dokumente janë duke u zhvilluar që kanë të bëjnë me sigurinë e informacionit. Kryesorja, por më pak zyrtare, është koncepti i sigurisë së informacionit të një ndërmarrjeje, i cili përcakton masat dhe metodat e prezantimit të një sistemi të sigurisë së informacionit për sistemet e informacionit të një organizate. Dokumenti i dytë që të gjithë punonjësit e kompanisë duhet të respektojnë është rregullorja e sigurisë së informacionit e miratuar në nivelin e bordit të drejtorëve ose organit ekzekutiv.

Përveç pozicionit në nivelin e ndërmarrjes, duhet të zhvillohen listat e informacionit që përbëjnë një sekret tregtar, anekset e kontratave të punës, sigurimi i përgjegjësisë për zbulimin e të dhënave konfidenciale. Rregullat dhe rregulloret e brendshme duhet të përmbajnë mekanizma zbatues dhe masa të përgjegjësisë. Më shpesh, masat janë të natyrës disiplinore dhe shkelësi duhet të jetë i përgatitur për faktin se shkelja e regjimit sekret tregtar do të pasohet nga sanksione të konsiderueshme, deri në largimin nga puna.

Masat organizative dhe administrative

Si pjesë e veprimtarive administrative për mbrojtjen e sigurisë së informacionit për personelin e sigurisë, ekziston hapësira për krijimtari. Këto janë zgjidhje arkitektonike dhe planifikuese që lejojnë mbrojtjen e dhomave të takimeve dhe zyrave të menaxhimit nga përgjimi, dhe vendosjen e niveleve të ndryshme të qasjes në informacion. Masa të rëndësishme organizative do të jenë certifikimi i aktiviteteve të kompanisë në përputhje me standardet ISO / IEC 27000, çertifikimi i pajisjeve individuale të pajisjeve dhe programeve kompjuterikë, çertifikimi i subjekteve dhe objekteve për pajtueshmëri me kërkesat e nevojshme të sigurisë, marrja e licencave të nevojshme për të punuar me vargje të mbrojtura të informacionit.

Nga pikëpamja e rregullimit të aktiviteteve të personelit, do të jetë e rëndësishme të formuloni një sistem të kërkesave për qasje në internet, të jashtëm postën elektronike, burime të tjera. Një element i veçantë do të jetë marrja e një nënshkrimi elektronik dixhital për të rritur sigurinë e informacionit financiar dhe informacionit tjetër që transmetohet në agjencitë qeveritare përmes kanaleve të postës elektronike.

Masat morale dhe etike

Masat morale dhe etike përcaktojnë qëndrimin personal të një personi ndaj informacionit konfidencial ose informacionit të kufizuar në qarkullim. Rritja e nivelit të njohurive të punonjësve në lidhje me ndikimin e kërcënimeve në aktivitetet e ndërmarrjes ndikon në shkallën e vetëdijes dhe përgjegjësisë së punonjësve. Për të luftuar shkeljet e regjimit të informacionit, duke përfshirë, për shembull, transferimin e fjalëkalimeve, trajtimin e pakujdesshëm të mediave, shpërndarjen e të dhënave konfidenciale në biseda private, kërkohet të përqendrohemi në ndërgjegjen personale të punonjësit. Do të jetë e dobishme të vendosen tregues të performancës së personelit, të cilët do të varen nga qëndrimi ndaj sistemit të sigurisë së informacionit të korporatave.

Siguria e informacionit Federata Ruse Isshtë një sektor në rritje dhe premtues që luan një rol të madh në ruajtjen dhe transmetimin e të dhënave.

Sistemi i sigurisë së informacionit të Federatës Ruse

Kohët e fundit, çdo organizatë apo individ ka një sasi shumë të madhe informacioni të përgjithësuar që ruhet në internet ose në kompjuter, një sasi kaq e madhe informacioni është bërë arsyeja që shumë shpesh rrjedh, por askush nuk do të donte informacion të klasifikuar dhe konfidencial në lidhje me diçka që u erdhi të huajve, në fakt, për këtë ju duhet të merrni masa paraprake për të siguruar sigurinë e informacionit.

Statistikat në këtë fushë tregojnë se në një numër vendesh tashmë kanë filluar të zbatojnë masa të caktuara për të garantuar sigurinë e informacionit, të cilat janë bërë të pranuara përgjithësisht, por ka statistika të tjera që na tregojnë se mashtruesit jo vetëm që nuk ndaluan së përpjekuri për të arritur në informacionin e klasifikuar, përkundrazi, me një përmirësim , kriminelët kibernetikë po gjejnë mënyra të reja për ta anashkaluar ose hakuar atë, kështu që për momentin ne mund të vëzhgojmë trendin e një rritje në aktivitetet mashtruese, dhe jo uljen e tij. Unë do të doja të shtoja se tani mbështetja e informacionit e Federatës Ruse po zhvillohet mjaft shpejt dhe ka një trend pozitiv të rritjes, më parë nuk kishte një nivel kaq të lartë të dhënies së informacionit në Federatën Ruse.

Absolutisht çdo organizatë ose ndërmarrje e kupton shumë mirë që kërcënimi i humbjes së informacionit të klasifikuar është mjaft i lartë, kështu që ata përpiqen me të gjitha forcat për të parandaluar rrjedhjet dhe sigurohen që informacioni i klasifikuar të mbetet i tillë, por skema nuk është profesionale, mbron një sasi të madhe informacioni dhe mbyll shumë lëvizje për mashtruesit, por prapë zbrazëtitë në të mbeten, kështu që ndodh që programuesit kompetent të anashkalojnë sistemet e sigurisë dhe të marrin informacionin e klasifikuar, i cili më pas përdoret për qëllime të paligjshme.

Funksionet dhe kushtet e ISMS

Funksionet kryesore të sistemit të sigurisë së informacionit të Federatës Ruse, të cilat duhet të jenë të pranishme në çdo sistem të sigurisë:

Zbulimi i menjëhershëm i kërcënimeve për ndërhyrje. Eliminimi i këtij kërcënimi dhe mbyllja e kanalit të qasjes në informacion, me ndihmën e të cilit sulmuesit mund të dëmtojnë një ndërmarrje dhe një individ në aspektin material dhe moral;
Krijimi i një mekanizmi për identifikimin e hershëm të shkeljeve në funksionimin e ndërmarrjes dhe reagimi ndaj situatave në të cilat siguria e informacionit është në një gjendje të dobësuar ose nën kërcënimin e piraterisë;
Krijohen kushte për të kompensuar sa më shpejt dëmin e mundshëm të shkaktuar ndërmarrjes nga një person fizik ose juridik, dhe kushtet për restaurimin e shpejtë të ndërmarrjes, në mënyrë që informacioni i humbur të mos ndikojë në punën e saj dhe arritjen e detyrave të përcaktuara për ndërmarrjen.

Video në lidhje me monitorimin e mediave:

Baza e informacionit dhe parimet e ISMS

Detyrat e mësipërme ofrojnë tashmë një bazë të mjaftueshme informacioni për një person për të kuptuar se çfarë është e nevojshme të sigurohen sisteme të sigurisë së informacionit dhe si funksionon në kushte reale.

Parimet e ndërtimit të një sistemi të sigurisë së informacionit, i cili duhet të drejtohet nga organizata dhe ndërmarrje, duke mbrojtur informacionin konfidencial nga ndërhyrësit.

Dihet prej kohësh që për të siguruar një nivel të lartë të informacionit tuaj, duhet të udhëhiqeni nga disa parime, pasi pa to skema e mbështetjes së informacionit do të anashkalohet lehtësisht, kështu që nuk mund të jeni vazhdimisht i sigurt që informacioni klasifikohet vërtet.

Pra, parimi i parë dhe më i rëndësishëm i sistemit të sigurisë së informacionit të Federatës Ruse është puna e vazhdueshme për përmirësimin dhe përmirësimin e sistemit, pasi teknologjitë e zhvillimit nuk qëndrojnë akoma dhe zhvillimi i veprimeve mashtruese që synojnë hakimin dhe marrjen e të dhënave sekrete nuk ia vlen, kështu që një skemë e tillë duhet të përmirësohet vazhdimisht. Shtë e nevojshme të kontrolloni dhe testoni sistemin aktual të sigurisë sa më shpesh të jetë e mundur - ky aspekt përfshihet në parimin e parë të ndërtimit të një sistemi të sigurisë së informacionit, ju duhet të analizoni sistemin dhe, nëse është e mundur, të identifikoni boshllëqet e tij në mbrojtje dhe dobësitë që sulmuesit do të përdorin në të vërtetë. Nëse gjeni boshllëqe ose ndonjë mënyrë të rrjedhjes së informacionit, duhet të azhurnoni menjëherë sistemin e sigurisë dhe ta përsosni atë në mënyrë që boshllëqet e gjetura të mbyllen menjëherë dhe të paarritshme për mashtruesit. Bazuar në këtë parim, vlen të mësohet se nuk mund të instaloni thjesht një sistem sigurie dhe të jeni të qetë për informacionin tuaj sekret, pasi që ky sistem duhet të analizohet, përmirësohet dhe përmirësohet vazhdimisht;
Parimi i dytë është përdorimi i të gjithë potencialit të sigurisë së sistemit, të gjitha funksionet për secilën skedar individual, i cili është përgjegjës për një ose një aspekt tjetër të ndërmarrjes, domethënë, sistemi i sigurisë duhet të përdoret i gjithi dhe në mënyrë gjithëpërfshirëse, kështu që i gjithë arsenali i këtij sistemi duhet të jetë në shërbim;
Parimi i tretë dhe i fundit është përdorimi holistik i sistemit të sigurisë, nuk duhet ta ndani atë në pjesë të veçanta, të merrni parasysh funksione të ndara, duke ofruar kështu nivele të ndryshme të sigurisë për skedarë të rëndësishëm dhe më pak të rëndësishëm. Funksionon si një mekanizëm i madh, i cili ka një numër të madh ingranazhesh që kryejnë funksione të ndryshme, por përbëjnë një sistem.

Vizheo pr sigurimin e sigurisë së sistemeve industriale:

Legjislacioni dhe ISMS

Një aspekt shumë i rëndësishëm i sistemit të sigurisë së informacionit është bashkëpunimi me agjencitë shtetërore të zbatimit të ligjit dhe ligjshmëria e këtij sistemi. Një rol të rëndësishëm luan niveli i lartë i profesionalizmit të punonjësve të kompanisë që ju ofron sigurinë e informacionit, mos harroni se një marrëveshje e mos-zbulimit të informacionit sekret të kompanisë duhet të lidhet me këtë kompani dhe punonjësit e saj, pasi të gjithë punonjësit që sigurojnë funksionimin e plotë të sistemit të sigurisë do të kenë qasje në informacion firmat, kështu që ju duhet të keni garanci se punonjësit nuk do ta transferojnë këtë informacion tek palët e treta të interesuara për ta marrë atë për qëllime egoiste ose për të minuar punën e kompanisë tuaj.

Nëse i neglizhoni këto parime dhe kushte, atëherë siguria juaj nuk do të jetë në gjendje t'ju ofrojë nivelin e duhur të lartë të mbrojtjes, në këtë mënyrë nuk do të ketë garanci se të dhënat janë vazhdimisht të paarritshme për sulmuesit, dhe kjo mund të ketë një efekt shumë të keq në funksionimin e ndërmarrjes.

Kërkesat për sigurimin e sigurisë së informacionit për çdo objekt

Parimet nuk duhet vetëm t'i dinë, por edhe të jenë në gjendje t'i zbatojnë ato, është për këtë që ka një numër kërkesash për sistemin e mbrojtjes së sigurisë së informacionit, të cilat janë të detyrueshme, siç janë edhe vetë parimet.

Një skemë ideale e sigurisë duhet të jetë:

E centralizuar. Gjithmonë është e nevojshme të menaxhohet sistemi i sigurisë në mënyrë qendrore, prandaj, sistemi i sigurisë së informacionit të ndërmarrjes duhet të jetë i ngjashëm me strukturën e vetë ndërmarrjes, së cilës i bashkëngjitet kjo metodë e sigurimit të sigurisë së informacionit (ISS);
Të planifikuara. Bazuar në qëllimet e përgjithshme të garantimit të sigurisë së informacionit, secili punonjës individual përgjegjës për një aspekt të veçantë të sistemit duhet të ketë gjithmonë një plan të detajuar për përmirësimin e sistemit të sigurisë dhe përdorimin e sistemit aktual. Kjo është e nevojshme në mënyrë që mbrojtja e informacionit të funksionojë si një skemë integrale, e cila do të sigurojë nivelin më të lartë të mbrojtjes së informacionit konfidencial të objektit të mbrojtur;
Specifikuar. Çdo skemë e sigurisë duhet të ketë kritere specifike për mbrojtje, pasi ndërmarrjet e ndryshme kanë preferenca të ndryshme, disa kanë nevojë për të mbrojtur skedarë të veçantë që konkurrentët e kompanisë mund të përdorin në mënyrë që të prishin procesin e prodhimit. Kompanitë e tjera kanë nevojë për mbrojtje holistike të secilës skedar, pavarësisht nga shkalla e rëndësisë së saj, prandaj, para se të vendosni mbrojtjen e informacionit, duhet të vendosni se për çfarë saktësisht keni nevojë për të;
Aktiv Sigurimi i mbrojtjes së informacionit duhet të jetë gjithmonë shumë aktiv dhe i qëllimshëm. Çfarë do të thotë? Kjo do të thotë që firma që ofron bazën e sigurisë duhet domosdoshmërisht të ketë një departament që përmban ekspertë dhe analistë. Për shkak se parimi juaj i sigurisë jo vetëm që duhet të eleminojë kërcënimet ekzistuese dhe të gjejë boshllëqe në bazën e të dhënave, por gjithashtu të njohë paraprakisht skenarin e mundshëm të një ngjarjeje në mënyrë që të parandalojë kërcënimet e mundshme edhe para se ato të shfaqen, prandaj departamenti analitik është një pjesë shumë e rëndësishme në strukturën e sigurimit të mbrojtjes së informacionit. mos harroni për këtë dhe përpiquni t'i kushtoni vëmendje të veçantë këtij aspekti. "Paralajmëruar është parakrah";
Universale. Skema juaj duhet të jetë në gjendje të përshtatet me absolutisht çdo kusht, domethënë, nuk ka rëndësi se në cilin medium është ruajtur baza juaj e të dhënave dhe nuk duhet të ketë rëndësi se në cilën gjuhë paraqitet dhe çfarë formati përmban. Nëse dëshironi ta transferoni atë në një format tjetër ose në një medium tjetër, atëherë kjo nuk duhet të shkaktojë rrjedhje të informacionit;
E pazakontë. Plani juaj i sigurisë së informacionit duhet të jetë unik, domethënë, duhet të jetë i ndryshëm nga skemat e ngjashme të përdorura nga ndërmarrjet ose firmat e tjera. Për shembull, nëse një ndërmarrje tjetër me një skemë të mbrojtjes së të dhënave të ngjashme me tuajat u sulmua dhe sulmuesit ishin në gjendje të gjenin një vrimë në të, atëherë gjasat që burimi të hakohet rritet ndjeshëm, kështu që në këtë drejtim, duhet të tregoni individualitet dhe të instaloni një skemë sigurie për ndërmarrjen tuaj që nuk është paraqitur ose përdorur askund më parë, duke rritur kështu nivelin e mbrojtjes së të dhënave konfidenciale të ndërmarrjes tuaj;
E hapur Duhet të jetë i hapur përsa i përket ndryshimeve, rregullimeve dhe përmirësimeve, domethënë nëse gjeni një boshllëk në mbrojtjen e sistemit tuaj të sigurisë ose dëshironi ta përmirësoni atë, nuk duhet të keni ndonjë problem me qasjen, pasi mund të duhet një kohë e caktuar për të hyrë në sistem. gjatë së cilës baza mund të hakohet, kështu që bëjeni të hapur për kompaninë tuaj dhe kompaninë që ofron sigurinë e informacionit për Federatën Ruse, nga e cila varet ruajtja e sistemeve tuaja të informacionit;
Ekonomik. Efikasiteti është kërkesa e fundit për çdo sistem të sigurisë, ju duhet të llogarisni gjithçka dhe të siguroheni që kostot e mbështetjes së informacionit të sistemeve të sigurisë së informacionit të Federatës Ruse në asnjë mënyrë nuk tejkalojnë vlerën e informacionit tuaj. Për shembull, pa marrë parasysh se sa i shtrenjtë dhe i përsosur është një plan sigurie, ekziston ende një mundësi që ai të mund të hakohet ose anashkalohet, pasi një e metë mund të gjendet në çdo mbrojtje nëse dëshiron, dhe nëse shpenzoni shumë para për një skemë të tillë të sigurisë, por në Në të njëjtën kohë, të dhënat në vetvete nuk kushtojnë aq shumë para, ato janë thjesht një humbje e pakuptimtë që mund të ndikojë negativisht në buxhetin e kompanisë.

Video rreth zgjidhjeve IDM:

Kërkesat dytësore të ISMS

Më sipër u renditën kërkesat themelore të nevojshme për funksionimin e plotë të sistemit të sigurisë, atëherë do të jepen kërkesat që nuk janë të detyrueshme për sistemin:

Skema e sigurisë duhet të jetë mjaft e lehtë për t'u përdorur, domethënë, çdo punonjës që ka qasje në informacionin e mbrojtur, nëse është e nevojshme, nuk duhet të kalojë shumë kohë në të, pasi kjo do të ndërhyjë në punën kryesore, skema duhet të jetë e përshtatshme dhe transparente, por vetëm brenda kompanisë tuaj;
Çdo punonjës ose person i besuar duhet të ketë një lloj privilegji për të hyrë në informacionin e mbrojtur. Përsëri, unë do të jap një shembull: ju jeni drejtori i një ndërmarrjeje dhe një numër punonjësish punojnë në objektin tuaj të cilëve ju u besoni dhe mund të siguroni qasje, por ju nuk e bëni këtë, dhe vetëm ju dhe punonjësit e kompanisë që sigurojnë sistemin e sigurisë së informacionit keni qasje, rezulton se llogaritari juaj dhe punonjësit e tjerë, duke pasur nevojë për të parë raporte ose skedarë të tjerë të mbrojtur, do të duhet të shkëputen nga puna, të shkëputin ju ose punonjësit e kompanisë që sigurojnë mbrojtje nga puna në mënyrë që të fitojnë qasje në një skedar, në këtë mënyrë puna e ndërmarrjes do të minohet dhe efektiviteti i saj te reduktuar. Prandaj, jepni privilegje punonjësve tuaj për ta bërë më të lehtë për ta dhe për veten tuaj;
Aftësia për të çaktivizuar lehtësisht dhe shpejt mbrojtjen, pasi ka situata kur mbrojtja e informacionit do të pengojë ndjeshëm funksionimin e ndërmarrjes, në këtë rast duhet të jeni në gjendje të çaktivizoni lehtësisht dhe, kur është e nevojshme, të mundësoni sistemin e mbrojtjes së informacionit;
Skema e sigurisë së informacionit duhet të funksionojë veçmas nga secila subjekt i mbrojtjes, domethënë ato nuk duhet të jenë të ndërlidhura;
Kompania që ju siguron një sistem të sigurisë së informacionit duhet të përpiqet periodikisht ta hakojë atë, ajo mund t'u kërkojë programuesve të saj që punojnë në projekte të tjera ta bëjnë këtë, nëse ata kanë sukses, atëherë duhet të zbuloni menjëherë saktësisht se si ka ndodhur kjo dhe ku ka një dobësi në sistemin e sigurisë. për ta neutralizuar atë sa më shpejt të jetë e mundur;
Ndërmarrja juaj nuk duhet të ketë raporte të hollësishme dhe përshkrime të hollësishme të mekanizmave për mbrojtjen e informacionit tuaj, vetëm pronari i ndërmarrjes dhe kompania që ofron mbrojtje të informacionit duhet të ketë një informacion të tillë.

Sistemi i mbështetjes së informacionit - fazat

Një element i rëndësishëm është fazimi i veprimeve në zhvillimin dhe instalimin e sistemit të sigurisë së informacionit të Federatës Ruse.

Fillimisht, kur krijoni një sistem mbrojtjeje, është e nevojshme të përcaktoni se çfarë është saktësisht pronë intelektuale për ju. Për shembull, për një ndërmarrje, prona intelektuale është njohuri dhe informacion i saktë për secilin produkt të lëshuar, përmirësimet e tij, prodhimin dhe zhvillimin e produkteve dhe ideve të reja për të përmirësuar ndërmarrjen, në përgjithësi, gjithçka që ju sjell përfundimisht fitim. Nëse nuk mund të përcaktoni se çfarë është prona intelektuale për ju, atëherë pa marrë parasysh sa e mirë është skema për sigurimin e sistemeve të informacionit, ajo nuk do të jetë në gjendje t'ju ofrojë një nivel të lartë mbrojtjeje, dhe gjithashtu rrezikoni të humbni informacione të pambrojtura, të cilat më pas do të çojnë në humbje morale dhe materiale, kështu që që kësaj pike fillimisht duhet t’i kushtohet vëmendje e veçantë.

Pasi të përcaktoni se çfarë është pronë intelektuale për ju, duhet të vazhdoni në fazat e mëposhtme, të pranuara përgjithësisht për çdo organizatë, pavarësisht nga madhësia dhe specifikimi i saj, fazat:

Vendosja e kufijve të caktuar brenda të cilave ka efekt planifikimi i sigurimit të sistemeve të informacionit;
Studimi dhe identifikimi i vazhdueshëm i dobësive në sistemin e mbrojtjes;
Vendosja e një politike specifike të sigurisë dhe marrja e shpejtë dhe efektive e kundërmasave kur identifikohet një kërcënim;
Kontroll i vazhdueshëm i sistemit të sigurisë së informacionit;
Hartimi i një plani të detajuar për sistemin e mbrojtjes;
Zbatimi i saktë i planit të hartuar më parë.

Garantimi i sigurisë së informacionit është një problem kompleks social-social, ligjor, ekonomik, shkencor. Vetëm një zgjidhje gjithëpërfshirëse e qëllimeve dhe objektivave të saj në të njëjtën kohë në disa aeroplanë do të jetë në gjendje të ushtrojë ndikimin e saj rregullator në sigurimin e sigurisë së informacionit të vendit. Puna e kryer në këtë fushë duhet të ketë jo vetëm një fokus praktik, por edhe një bazë shkencore.

Qëllimet kryesore të sigurimit të sigurisë së informacionit përcaktohen në bazë të përparësive të qëndrueshme të sigurisë kombëtare dhe ekonomike që plotësojnë interesat afatgjata të zhvillimit shoqëror, të cilat përfshijnë:

Ruajtja dhe forcimi i shtetësisë ruse dhe stabilitetit politik në shoqëri;

Ruajtja dhe zhvillimi i institucioneve demokratike të shoqërisë, sigurimi i të drejtave dhe lirive të qytetarëve, forcimi i sundimit të ligjit dhe rendit dhe ligjit;

Sigurimi i një vendi dhe roli të denjë të vendit në komunitetin botëror;

Sigurimi i integritetit territorial të vendit;

Sigurimi i zhvillimit progresiv socio-ekonomik;

Ruajtja e vlerave dhe traditave kulturore kombëtare.

Në përputhje me përparësitë e treguara, detyrat kryesore të garantimit të sigurisë së informacionit janë:

Identifikimi, vlerësimi dhe parashikimi i burimeve të kërcënimeve për sigurinë e informacionit;

Zhvillimi i politikës shtetërore për sigurimin e sigurisë së informacionit, një grup masash dhe mekanizmash për zbatimin e tij;

Zhvillimi i një kornize rregullatore për sigurimin e sigurisë së informacionit, koordinimi i aktiviteteve të autoriteteve shtetërore dhe ndërmarrjeve për të garantuar sigurinë e informacionit;

Zhvillimi i një sistemi të sigurisë së informacionit, përmirësimi i organizimit të tij, format, metodat dhe mjetet për parandalimin, kundërveprimin dhe neutralizimin e kërcënimeve ndaj sigurisë së informacionit dhe eliminimin e pasojave të shkeljes së tij;

Sigurimi i pjesëmarrjes aktive të vendit në proceset e krijimit të përdorimit të rrjeteve dhe sistemeve globale të informacionit.

Parimet më të rëndësishme të sigurisë së informacionit janë:

1) ligjshmëria e masave për identifikimin dhe parandalimin e veprave penale në sferën e informacionit;

2) vazhdimësia e zbatimit dhe përmirësimit të mjeteve dhe metodave të kontrollit dhe mbrojtjes së sistemit të informacionit;

3) realizueshmëria ekonomike, dmth krahasimi i dëmit të mundshëm dhe kostove të sigurimit të sigurisë së informacionit

4) kompleksiteti i përdorimit të të gjithë arsenalit të mjeteve të mbrojtjes në dispozicion në të gjitha divizionet e ndërmarrjes dhe në të gjitha fazat e procesit të informacionit.

Zbatimi i procesit të mbrojtjes së informacionit përfshin disa faza:

Përcaktimi i objektit të mbrojtjes: e drejta për të mbrojtur burimin e informacionit, vlerësimin e kostos së burimit të informacionit dhe elementët kryesorë të tij, kohëzgjatjen e ciklit jetësor të burimit të informacionit, trajektoren e procesit të informacionit nga ndarjet funksionale të ndërmarrjes;

Identifikimi i burimeve të kërcënimeve (konkurrentët, kriminelët, punonjësit, etj.), Qëllimet e kërcënimeve (njohja, modifikimi, shkatërrimi, etj.), Kanalet e mundshme për zbatimin e kërcënimeve (zbulimi, rrjedhja, etj.);

Përcaktimi i masave të nevojshme të mbrojtjes;

Vlerësimi i efektivitetit dhe fizibilitetit të tyre;

Zbatimi i masave të marra, duke marrë parasysh kriteret e zgjedhura;

Sjellja e masave të marra për personelin, monitorimi i efektivitetit të tyre dhe eliminimi (parandalimi) i pasojave të kërcënimeve.

Zbatimi i fazave të përshkruara, në fakt, është një proces i menaxhimit të sigurisë së informacionit të një objekti dhe sigurohet nga një sistem kontrolli që përfshin, përveç vetë objektit të kontrolluar (të mbrojtur), mjetet e monitorimit të gjendjes së tij, një mekanizëm për krahasimin e gjendjes aktuale me atë të kërkuar, si dhe një mekanizëm për kontrollimin e veprimeve për lokalizimin dhe parandalimin e dëmtimit nga kërcënimet. Në këtë rast, këshillohet të merret në konsideratë arritja e një dëmi minimal të informacionit si kriter i menaxhimit dhe qëllimi i menaxhimit është të sigurojë gjendjen e kërkuar të objektit në drejtim të sigurisë së tij të informacionit.

Metodat e sigurisë së informacionit ndahen në ligjore, organizative, teknike dhe ekonomike.

TE metodat ligjore garantimi i sigurisë së informacionit përfshin zhvillimin e akteve ligjore normative që rregullojnë marrëdhëniet në sferën e informacionit dhe dokumenteve rregullatore metodologjike për sigurinë e informacionit. Fushat më të rëndësishme të këtij aktiviteti janë:

Ndryshimet dhe plotësimet në legjislacionin që rregullon marrëdhëniet në fushën e sigurisë së informacionit, me qëllim krijimin dhe përmirësimin e sistemit të sigurisë së informacionit, eliminimin e kontradiktave të brendshme në legjislacionin federal, kontradiktat në lidhje me marrëveshjet ndërkombëtare, si dhe me qëllim të konkretizimit të normave ligjore që përcaktojnë përgjegjësinë për shkeljet në fushën e sigurisë së informacionit;

Përcaktimi legjislativ i kompetencave në fushën e sigurimit të përcaktimit të qëllimeve, objektivave dhe mekanizmave për pjesëmarrjen në këtë aktivitet të shoqatave publike, organizatave dhe qytetarëve;

Zhvillimi dhe miratimi i akteve ligjore rregullatore që përcaktojnë përgjegjësinë e personave juridikë dhe individëve për qasje të paautorizuar në informacion, kopjimi i paligjshëm i tij, shtrembërimi dhe përdorimi i paligjshëm, shpërndarja e qëllimshme e informacionit të pasaktë, zbulimi i paligjshëm i informacionit konfidencial, përdorimi i informacionit zyrtar ose informacioni që përmban sekretet tregtare;

Sqarimi i statusit të agjencive të huaja të lajmeve, masmedias dhe gazetarëve, si dhe investitorëve kur tërheqin investime të huaja për zhvillimin e infrastrukturës së informacionit vendas;

Legjislacioni i përparësisë së zhvillimit rrjeteve nacionale komunikimet dhe prodhimi vendas i satelitëve të komunikimeve hapësinore;

Përcaktimi i statusit të organizatave që ofrojnë shërbime të rrjeteve globale të informacionit dhe komunikimit dhe rregullimi ligjor i veprimtarive të këtyre organizatave;

Krijimi i një baze ligjore për formimin e strukturave rajonale për garantimin e sigurisë së informacionit.

Organizative dhe teknike Metodat e sigurisë së informacionit janë:

Krijimi dhe përmirësimi i sistemit shtetëror të sigurisë së informacionit;

Forcimi i veprimtarisë së zbatimit të ligjit të autoriteteve, duke përfshirë parandalimin dhe shtypjen e veprave penale në sferën e informacionit, si dhe identifikimin, ekspozimin dhe ndjekjen penale të personave që kanë kryer krime dhe vepra të tjera në këtë fushë;

Zhvillimi, përdorimi dhe përmirësimi i mjeteve dhe metodave të sigurisë së informacionit për monitorimin e efektivitetit të këtyre mjeteve, zhvillimi i sistemeve të sigurta telekomunikuese, rritja e besueshmërisë së programeve speciale;

Krijimi i sistemeve dhe mjeteve për të parandaluar aksesin e paautorizuar në informacionin e përpunuar dhe efektet speciale që shkaktojnë shkatërrimin, shkatërrimin, shtrembërimin e informacionit, si dhe ndryshimin e mënyrave normale të funksionimit të sistemeve dhe mjeteve të informatizimit dhe komunikimit;

Identifikimi i pajisjeve teknike dhe programeve që paraqesin rrezik për funksionimin normal të sistemeve të informacionit dhe komunikimit, parandalimi i përgjimit të informacionit përmes kanaleve teknike, përdorimi i mjeteve kriptografike për mbrojtjen e informacionit gjatë ruajtjes, përpunimit dhe transmetimit të tij përmes kanaleve të komunikimit, kontrolli mbi zbatimin e kërkesave të veçanta për mbrojtjen e informacionit;

Certifikimi i mjeteve të sigurisë së informacionit, licencimi i veprimtarive në fushën e mbrojtjes së sekretit shtetëror, standardizimi i metodave dhe mjeteve të sigurisë së informacionit;

Përmirësimi i sistemit të çertifikimit pajisjet e komunikimit dhe softuer për sistemet e automatizuara të përpunimit të informacionit në përputhje me kërkesat e sigurisë së informacionit;

Kontrolli mbi veprimet e personelit në sistemet e sigurta të informacionit, trajnimi në fushën e garantimit të sigurisë së informacionit të shtetit;

Formimi i një sistemi për monitorimin e treguesve dhe karakteristikave të sigurisë së informacionit në sferat më të rëndësishme të jetës dhe veprimtarive të shoqërisë dhe shtetit.

Metodat ekonomike sigurimi i sigurisë së informacionit përfshin:

Zhvillimi i programeve për sigurimin e sigurisë së informacionit të shtetit dhe përcaktimi i procedurës për financimin e tyre;

Përmirësimi i sistemit të financimit të punëve në lidhje me zbatimin e metodave ligjore dhe organizative dhe teknike të mbrojtjes së informacionit, krijimi i një sistemi për sigurimin e rreziqeve të informacionit të individëve dhe personave juridikë.

Së bashku me përdorimin e gjerë të metodave standarde dhe mjeteve për ekonominë, fushat prioritare për sigurimin e sigurisë së informacionit janë:

Zhvillimi dhe miratimi i dispozitave ligjore që përcaktojnë përgjegjësinë e personave juridikë dhe individëve për qasje të paautorizuar dhe vjedhje të informacionit, shpërndarje të qëllimshme të informacionit të pasaktë, zbulim të sekreteve tregtare, rrjedhje të informacionit konfidencial;

Ndërtimi i një sistemi të raportimit statistikor shtetëror që siguron besueshmërinë, tërësinë, krahasueshmërinë dhe sigurinë e informacionit duke futur përgjegjësi të rreptë ligjore për burimet kryesore të informacionit, duke organizuar kontroll efektiv mbi aktivitetet e tyre dhe aktivitetet e shërbimeve të përpunimit dhe analizës së informacionit statistikor, duke kufizuar komercializimin e tij, duke përdorur speciale organizative dhe softuer dhe pajisje mjete për mbrojtjen e informacionit;

Krijimi dhe përmirësimi i mjeteve speciale për mbrojtjen e informacionit financiar dhe tregtar;

Zhvillimi i një sërë masash organizative dhe teknike për të përmirësuar teknologjinë aktivitetet e informacionit dhe mbrojtjen e informacionit në strukturat ekonomike, financiare, industriale dhe struktura të tjera ekonomike, duke marrë parasysh kërkesat e sigurisë së informacionit specifik për ekonominë;

Përmirësimi i sistemit të përzgjedhjes dhe trajnimit profesional të personelit, sistemet e përzgjedhjes, përpunimit, analizës dhe shpërndarjes së informacionit ekonomik.

Politika publike garantimi i sigurisë së informacionit formon drejtimet e veprimtarisë së autoriteteve publike dhe administratës në fushën e sigurisë së informacionit, përfshirë garantimin e të drejtave të të gjithë subjekteve për informacion, sigurimin e detyrave dhe përgjegjësive të shtetit dhe organeve të tij për sigurinë e informacionit të vendit dhe bazohet në ruajtjen e një ekuilibri të interesave të individit, shoqërisë dhe shtetit në sfera e informacionit.

Politika shtetërore për sigurinë e informacionit bazohet në dispozitat themelore të mëposhtme:

Kufizimi i qasjes në informacion është një përjashtim nga parimi i përgjithshëm i hapjes së informacionit, dhe kryhet vetëm në bazë të legjislacionit;

Personifikohet përgjegjësia për sigurinë e informacionit, klasifikimin dhe deklasifikimin e tij;

Aksesi në çdo informacion, si dhe kufizimet e vendosura për qasje, kryhen duke marrë parasysh të drejtat pronësore të këtij informacioni të përcaktuara me ligj;

Formimi nga shteti i një kuadri rregullator dhe ligjor që rregullon të drejtat, detyrat dhe përgjegjësitë e të gjitha njësive ekonomike që veprojnë në sferën e informacionit;

Personat juridikë dhe individë që mbledhin, grumbullojnë dhe përpunojnë të dhëna personale dhe informacione konfidenciale janë përgjegjës para ligjit për sigurinë dhe përdorimin e tyre;

Sigurimi i shtetit me mjete ligjore për të mbrojtur shoqërinë nga informacioni i rremë, i shtrembëruar dhe i pasaktë që vjen përmes mediave;

Zbatimi i kontrollit shtetëror mbi krijimin dhe përdorimin e mjeteve të sigurisë së informacionit përmes çertifikimit të tyre të detyrueshëm dhe licencimit të veprimtarive në fushën e sigurisë së informacionit;

Kryerja e një politike proteksioniste të shtetit që mbështet aktivitetet e prodhuesve vendas të teknologjisë së informacionit dhe mbrojtjes së informacionit dhe merr masa për të mbrojtur tregun e brendshëm nga depërtimi i mediave me cilësi të ulët dhe produkteve të informacionit;

Mbështetje shtetërore në sigurimin e qytetarëve me qasje në burimet e informacionit botëror, rrjetet globale të informacionit,

Formimi nga shteti i një programi federal të sigurisë së informacionit, duke bashkuar përpjekjet e organizatave shtetërore dhe strukturave tregtare në krijimin e një sistemi të vetëm të sigurisë së informacionit për vendin;

Shteti bën përpjekje për të kundërshtuar zgjerimin e informacionit të vendeve të tjera, mbështet ndërkombëtarizimin e rrjeteve dhe sistemeve globale të informacionit.

Në bazë të parimeve dhe dispozitave të deklaruara, përcaktohen drejtimet e përgjithshme të formimit dhe zbatimit të politikës së sigurisë së informacionit në sferat politike, ekonomike dhe sfera të tjera të veprimtarisë shtetërore.

Politika shtetërore si një mekanizëm për koordinimin e interesave të subjekteve të marrëdhënieve të informacionit dhe gjetjen e zgjidhjeve kompromis parashikon formimin dhe organizimin e punës efektive të këshillave, komiteteve dhe komisioneve të ndryshme me një përfaqësim të gjerë të specialistëve dhe të gjitha strukturave të interesuara. Mekanizmat për zbatimin e politikës shtetërore duhet të jenë fleksibël dhe të pasqyrojnë me kohë ndryshimet që ndodhin në jetën ekonomike dhe politike të vendit.

Mbështetja ligjore e sigurisë së informacionit të shtetit është një përparësi në formimin e mekanizmave për zbatimin e politikës së sigurisë së informacionit dhe përfshin:

1) aktivitete për krijimin e rregullave për krijimin e legjislacionit që rregullon marrëdhëniet në shoqëri në lidhje me sigurimin e sigurisë së informacionit;

2) aktivitetet ekzekutive dhe të zbatimit të ligjit për zbatimin e legjislacionit në fushën e informacionit, informatizimit dhe mbrojtjes së informacionit nga autoritetet publike dhe menaxhmenti, organizatat, qytetarët.

Aktiviteti normativ në fushën e sigurisë së informacionit ofron:

Vlerësimi i gjendjes së legjislacionit aktual dhe zhvillimi i një programi për përmirësimin e tij;

Krijimi i mekanizmave organizativë dhe ligjorë për garantimin e sigurisë së informacionit;

Formimi i statusit ligjor të të gjithë subjekteve në sistemin e sigurisë së informacionit, përdoruesit e sistemeve të informacionit dhe telekomunikacionit dhe përcaktimi i përgjegjësisë së tyre për sigurimin e sigurisë së informacionit;

Zhvillimi i një mekanizmi organizativ dhe ligjor për mbledhjen dhe analizimin e të dhënave statistikore mbi ndikimin e kërcënimeve të sigurisë së informacionit dhe pasojat e tyre, duke marrë parasysh të gjitha llojet e informacionit;

Zhvillimi i rregulloreve legjislative dhe rregulloreve të tjera që rregullojnë procedurën për eliminimin e pasojave të ndikimit të kërcënimeve, rivendosjen e të drejtave dhe burimeve të shkelura, dhe zbatimin e masave kompensuese.

Aktivitetet ekzekutive dhe zbatuese parashikon zhvillimin e procedurave për zbatimin e legjislacionit dhe rregulloreve për subjektet që kanë kryer krime dhe sjellje të pahijshme kur punojnë me informacione konfidenciale dhe kanë shkelur rregullat e ndërveprimit me informacionin. Të gjitha aktivitetet për mbështetjen ligjore të sigurisë së informacionit bazohen në tre dispozita themelore të ligjit: pajtueshmëria me shtetin e së drejtës, sigurimi i një ekuilibri interesi të subjekteve individuale dhe shtetit, pashmangshmëria e dënimit.

Pajtueshmëria me ligjin presupozon ekzistencën e ligjeve dhe dispozitave të tjera rregullatore, zbatimin dhe zbatimin e tyre nga subjektet e ligjit në fushën e sigurisë së informacionit.

12.3. SHTETI I SIGURIS S INFORMACIONIT N R RUSI

Vlerësimi i gjendjes së sigurisë së informacionit të shtetit përfshin vlerësimin e kërcënimeve ekzistuese. Klauzola 2 e "Doktrinës së sigurisë së informacionit të Federatës Ruse" 1 identifikon kërcënimet e mëposhtme për sigurinë e informacionit të Federatës Ruse:

Kërcënimet për të drejtat dhe liritë kushtetuese të njeriut dhe qytetarit në fushën e jetës shpirtërore dhe veprimtarive të informacionit, vetëdijes individuale, grupore dhe publike, ringjalljes shpirtërore të Rusisë;

Kërcënimet për mbështetjen e informacionit të politikës shtetërore të Federatës Ruse;

Kërcënimet për zhvillimin e industrisë së informacionit vendas, përfshirë industrinë e informatizimit, telekomunikacionit dhe komunikimit, plotësimin e nevojave të tregut të brendshëm për produktet e saj dhe hyrjen e këtyre produkteve në tregun botëror, si dhe sigurimin e akumulimit, ruajtjes dhe përdorimit efektiv të burimeve të informacionit vendas;

__________________________________________________________________

Kërcënimet për sigurinë e sistemeve të informacionit dhe telekomunikacionit, të dy tashmë të vendosur dhe krijuar në territorin e Rusisë.

Burimet e jashtme të kërcënimeve ndaj sigurisë së informacionit të Rusisë përfshijnë:

1) aktivitetet e strukturave të huaja politike, ekonomike, ushtarake, të inteligjencës dhe informacionit të drejtuara kundër Federatës Ruse në sferën e informacionit;

2) dëshira e një numri vendesh për të dominuar dhe cenuar interesat e Rusisë në hapësirën botërore të informacionit, për ta dëbuar atë nga tregjet e jashtme dhe të brendshme të informacionit;

3) përkeqësimi i konkurrencës ndërkombëtare për zotërimin e teknologjive dhe burimeve të informacionit;

4) veprimtaritë e organizatave terroriste ndërkombëtare;

5) rritja e hendekut teknologjik midis fuqive kryesore të botës, duke ndërtuar aftësitë e tyre për të kundërshtuar krijimin e rusishtes konkurruese teknologjitë e informacionit;

6) aktivitetet e hapësirës, \u200b\u200bajrit, detit dhe tokës teknike dhe mjete të tjera (llojet) e inteligjencës së shteteve të huaja;

7) zhvillimi nga një numër shtetesh i koncepteve të luftërave të informacionit, duke parashikuar krijimin e mjeteve me ndikim të rrezikshëm në sferat e informacionit të vendeve të tjera të botës, prishjen e funksionimit normal të informacionit dhe sistemeve telekomunikuese, sigurinë e burimeve të informacionit dhe marrjen e aksesit të paautorizuar në to.

Burimet e brendshme të kërcënimeve ndaj sigurisë së informacionit të Rusisë përfshijnë:

1) gjendja kritike e industrive të brendshme;

2) një situatë e pafavorshme krimi, e shoqëruar me tendenca për shkrirjen e strukturave shtetërore dhe kriminale në sferën e informacionit, për strukturat kriminale për të fituar qasje në informacione konfidenciale, për të rritur ndikimin e krimit të organizuar në jetën e shoqërisë, për të zvogëluar shkallën e mbrojtjes së interesave legjitime të qytetarëve, shoqërisë dhe shtetit në sferën e informacionit;

3) koordinimi i pamjaftueshëm i aktiviteteve të organeve federale të pushtetit shtetëror, organeve të pushtetit shtetëror të enteve përbërëse të Federatës Ruse për formimin dhe zbatimin e një politike të unifikuar shtetërore në fushën e sigurimit të sigurisë së informacionit të Federatës Ruse;

4) përpunimi i pamjaftueshëm i kornizës ligjore rregullatore që rregullon marrëdhëniet në sferën e informacionit, si dhe praktika e pamjaftueshme e zbatimit të ligjit;

5) moszhvillimi i institucioneve të shoqërisë civile dhe kontrolli i pamjaftueshëm mbi zhvillimin e tregut të informacionit në Rusi;

6) fuqia e pamjaftueshme ekonomike e shtetit;

7) një rënie në efikasitetin e sistemit të arsimit dhe trajnimit, një numër i pamjaftueshëm i personelit të kualifikuar në fushën e sigurisë së informacionit;

8) Rusia mbetet prapa vendeve udhëheqëse të botës për sa i përket informatizimit të organeve të qeverisë federale, kredisë dhe financave, industrisë, bujqësisë, arsimit, kujdesit shëndetësor, shërbimeve dhe jetës së përditshme të qytetarëve.

Në vitet e fundit, Rusia ka zbatuar një sërë masash për të përmirësuar sigurimin e sigurisë së saj të informacionit. Janë marrë masa për të siguruar sigurinë e informacionit në organet e qeverisë federale, organet qeveritare të enteve përbërëse të Federatës Ruse, në ndërmarrjet, institucionet dhe organizatat, pavarësisht nga forma e pronësisë. Workshtë nisur puna për krijimin e një sistemi të sigurt informacioni dhe telekomunikacioni për qëllime të veçanta në interes të autoriteteve shtetërore.

Sistemi shtetëror për mbrojtjen e informacionit, sistemi për mbrojtjen e sekreteve shtetërore dhe sistemi i çertifikimit për mjetet e mbrojtjes së informacionit kontribuojnë në zgjidhjen e suksesshme të çështjeve të garantimit të sigurisë së informacionit të Federatës Ruse.

Struktura e sistemit shtetëror të mbrojtjes së informacionit përbëhet nga:

Autoritetet shtetërore dhe administratat e Federatës Ruse dhe entet përbërëse të Federatës Ruse, duke zgjidhur problemet e garantimit të sigurisë së informacionit brenda kompetencave të tyre

Komisionet dhe këshillat shtetërore dhe ndër departamentale të specializuara në çështjet e sigurisë së informacionit;

Komisioni Teknik Shtetëror nën Presidentin e Federatës Ruse;

Shërbimi Federal i Sigurisë i Federatës Ruse;

Ministria e Punëve të Brendshme të Federatës Ruse;

Ministria e Mbrojtjes e Federatës Ruse;

Agjencia Federale për Komunikimet dhe Informacionin Qeveritar nën Presidentin e Federatës Ruse;

Shërbimi i Inteligjencës së Jashtme Ruse;

Ndarjet strukturore dhe ndërsektoriale për mbrojtjen e informacionit të autoriteteve publike;

Organizatat udhëheqëse dhe udhëheqëse kërkimore, shkencore dhe teknike, projektuese dhe inxhinierike për mbrojtjen e informacionit;

Institucionet arsimore që ofrojnë trajnim dhe ritrajnim të personelit për punë në sistemin e sigurisë së informacionit.

Komisioni Shtetëror Teknik nën Presidentin e Federatës Ruse, si një organ qeveritar, zbaton një politikë të unifikuar teknike dhe koordinon punën në fushën e mbrojtjes së informacionit, drejton sistemin shtetëror për mbrojtjen e informacionit nga inteligjenca teknike, është përgjegjës për sigurimin e mbrojtjes së informacionit nga rrjedhja e tij përmes kanaleve teknike në Rusi, monitoron efektivitetin e masave të mbrojtura të marra.

Një vend të veçantë në sistemin e sigurisë së informacionit zënë organizatat shtetërore dhe publike që ushtrojnë kontroll mbi aktivitetet e mediave shtetërore dhe jo-shtetërore.

Deri më sot, një kornizë legjislative dhe rregullative është formuar në fushën e sigurisë së informacionit në Rusi, e cila përfshin:

1. Ligjet e Federatës Ruse:

Kushtetuta e Federatës Ruse;

"Për bankat dhe veprimtaritë bankare";

"Për sigurinë";

"Për Inteligjencën e Huaj";

"Për sekretet shtetërore";

"Për komunikimin";

"Për certifikimin e produkteve dhe shërbimeve";

"Për mjetet e komunikimit masiv";

"Për standardizimin";

"Për informacionin, teknologjinë e informacionit dhe mbrojtjen e informacionit";

"Për organet e Shërbimit Federal të Sigurisë në Federatën Ruse";

"Në kopjen e detyrueshme të dokumenteve";

"Për pjesëmarrjen në shkëmbimin ndërkombëtar të informacionit";

"Nënshkrimi elektronik dixhital O6", etj.

2. Aktet normative ligjore të Presidentit të Federatës Ruse:

"Doktrina e sigurisë së informacionit të Federatës Ruse";

"Për Strategjinë e Sigurisë Kombëtare të Federatës Ruse deri në vitin 2020";

"Për disa çështje të komisionit ndërdikasterial për mbrojtjen e sekreteve shtetërore";

"Në listën e informacionit të klasifikuar si sekrete shtetërore";

"Mbi bazat e politikës shtetërore në fushën e informatizimit";

"Për miratimin e listës së informacionit konfidenciale"dhe etj

H. Aktet ligjore rregullatore të Qeverisë së Federatës Ruse:

"Për certifikimin e mjeteve të sigurisë së informacionit";

"Për licencimin e veprimtarive të ndërmarrjeve, institucioneve dhe organizatave për të kryer punë në lidhje me përdorimin e informacionit që përbën një sekret shtetëror, krijimin e mjeteve të sigurisë së informacionit, si dhe zbatimin e masave dhe (ose) sigurimin e shërbimeve për mbrojtjen e sekreteve shtetërore";

"Për miratimin e rregullave për klasifikimin e informacionit që përbën një sekret shtetëror në shkallë të ndryshme të sekretit";

"Për licencimin e llojeve të caktuara të aktiviteteve", etj.

4. Dokumentet udhëzuese të Komisionit Teknik Shtetëror të Rusisë:

“Koncepti i mbrojtjes së pajisjeve kompjuterike dhe sistemeve të automatizuara nga qasja e paautorizuar në informacion”;

“Pajisjet kompjuterike. Mbrojtja nga qasja e paautorizuar në informacion. Treguesit e sigurisë kundër qasjes së paautorizuar në informacion ";

“Sisteme të automatizuara. Mbrojtja nga qasja e paautorizuar në informacion. Klasifikimi i sistemeve të automatizuara dhe kërkesat për mbrojtjen e informacionit ";

"Mbrojtja e të dhënave. Shenja të veçanta mbrojtëse. Klasifikimi dhe kërkesat e përgjithshme ";

"Mbrojtje nga hyrja e paautorizuar në informacion. Pjesa 1. Program kompjuterik për sigurinë e informacionit. Klasifikimi sipas nivelit të kontrollit të mungesës së mundësive të padeklaruara ”.

5. Kodi Civil i Federatës Ruse (pjesa e katërt).

6. Kodi Penal i Federatës Ruse.

Bashkëpunimi ndërkombëtar në fushën e garantimit të sigurisë së informacionit është një pjesë integrale e ndërveprimit ekonomik, politik, ushtarak, kulturor dhe llojeve të tjera midis vendeve të komunitetit botëror. Një bashkëpunim i tillë duhet të ndihmojë në përmirësimin e sigurisë së informacionit për të gjithë anëtarët e komunitetit botëror, përfshirë Rusinë. Veçori e bashkëpunimit ndërkombëtar të Federatës Ruse në fushën e sigurisë së informacionit është se ajo kryhet në kontekstin e konkurrencës së shtuar ndërkombëtare për posedimin e teknologjisë dhe burimet e informacionit, për dominim në tregjet e shitjeve, forcimin e hendekut teknologjik midis fuqive kryesore të botës dhe ndërtimin e aftësive të tyre për të krijuar "armë informacioni". Kjo mund të çojë në një fazë të re në zhvillimin e garës së armëve në sferën e informacionit.

Bashkëpunimi ndërkombëtar në fushën e sigurisë së informacionit bazohet në kornizën rregullative vijuese:

Marrëveshja me Republikën e Kazakistanit e datës 13 janar 1995, me Moskën (Dekreti i Qeverisë së Federatës Ruse të 15 majit 1994 Nch 679);

Marrëveshja me Ukrainën e 14 qershorit 1996, Kiev (Dekreti i Qeverisë së Federatës Ruse të 7 Qershorit 1996 Ns 655);

Marrëveshja me Republikën e Bjellorusisë (Drafti);

Lëshimi i certifikatave dhe licencave për shkëmbimin ndërkombëtar të informacionit (Ligji Federal i 4 korrikut 1996, X 85-FZ).

Fushat kryesore të bashkëpunimit ndërkombëtar që përmbushin interesat e Federatës Ruse janë:

Parandalimi i aksesit të paautorizuar në informacionin konfidencial në rrjetet bankare ndërkombëtare dhe kanalet e mbështetjes së informacionit të tregtisë botërore, në informacionin konfidencial në unionet ekonomike ekonomike dhe politike, blloqet dhe organizatat, në informacionin në organizatat ndërkombëtare të zbatimit të ligjit që luftojnë krimin e organizuar ndërkombëtar dhe terrorizmin ndërkombëtar;

Ndalimi i zhvillimit, shpërndarjes dhe përdorimit të "armëve të informacionit";

Garantimi i sigurisë së shkëmbimit ndërkombëtar të informacionit, përfshirë sigurinë e informacionit gjatë transmetimit të tij përmes rrjeteve kombëtare të telekomunikacionit dhe kanaleve të komunikimit;

Koordinimi i aktiviteteve të agjencive të zbatimit të ligjit të shteteve që marrin pjesë në bashkëpunimin ndërkombëtar në parandalimin e krimeve kompjuterike;

Pjesëmarrja në konferenca dhe ekspozita ndërkombëtare mbi problemin e sigurisë së informacionit.

Gjatë bashkëpunimit, vëmendje e veçantë duhet t'i kushtohet problemeve të ndërveprimit me vendet e CIS, duke marrë parasysh perspektivat për krijimin e një hapësire të vetme informacioni në territorin e ish-BRSS, brenda së cilës përdoren sisteme telekomunikuese dhe linja komunikimi praktikisht të unifikuara.

Në të njëjtën kohë, një analizë e gjendjes së sigurisë së informacionit në Rusi tregon se niveli i tij nuk i plotëson plotësisht nevojat e shoqërisë dhe shtetit. Kushtet aktuale të zhvillimit politik dhe social-ekonomik të vendit përkeqësojnë kontradiktat midis nevojave të shoqërisë për të zgjeruar shkëmbimin e lirë të informacionit dhe nevojës për të ruajtur kufizime të caktuara të rregulluara për përhapjen e tij.

Të drejtat e qytetarëve për paprekshmërinë e jetës private, sekretet personale dhe familjare dhe sekretin e korrespondencës të parashikuara në Kushtetutën e Federatës Ruse nuk kanë mbështetje të mjaftueshme ligjore, organizative dhe teknike. Mbrojtja e të dhënave personale të mbledhura nga autoritetet shtetërore federale është e organizuar dobët.

Ekziston një mungesë qartësie në zhvillimin e politikës shtetërore në fushën e formimit të hapësirës ruse të informacionit, zhvillimin e sistemit të mediave masive, organizimin e shkëmbimit të informacionit ndërkombëtar dhe integrimin e hapësirës së informacionit të Rusisë në hapësirën globale të informacionit, e cila krijon kushte për dëbimin e agjencive ruse të lajmeve dhe mediave masive nga tregu i brendshëm i informacionit dhe deformimi strukturat e shkëmbimit ndërkombëtar të informacionit.

Nuk ka mbështetje të mjaftueshme të qeverisë për aktivitetet e agjencive ruse të lajmeve për të promovuar produktet e tyre në tregun ndërkombëtar të informacionit.

Situata me sigurimin e sigurisë së informacionit që përbën një sekret shtetëror po përkeqësohet.

Dëmtime serioze janë shkaktuar në potencialin e personelit të ekipeve shkencore dhe të prodhimit që operojnë në fushën e krijimit të teknologjisë së informacionit, telekomunikacionit dhe komunikimit, si rezultat i eksodit masiv të specialistëve më të kualifikuar nga këto ekipe.

Vonesa e teknologjive të brendshme të informacionit i detyron autoritetet shtetërore të Federatës Ruse, kur krijojnë sisteme informacioni, të ndjekin rrugën e blerjes së pajisjeve të importuara dhe tërheqjen e firmave të huaja, gjë që rrit gjasat e qasjes së paautorizuar në informacionin e përpunuar dhe rrit varësinë e Rusisë nga prodhuesit e huaj të pajisjeve kompjuterike dhe telekomunikuese, si dhe softverit. provizion.

Në lidhje me futjen intensive të teknologjive të huaja të informacionit në sferat e veprimtarisë së individit, shoqërisë dhe shtetit, si dhe me përdorimin e gjerë të sistemeve të hapura të informacionit dhe telekomunikacionit, integrimin e sistemeve të informacionit vendas dhe ndërkombëtar, kërcënimet e përdorimit të "armëve të informacionit" kundër infrastrukturës së informacionit të Rusisë janë rritur. Përpjekjet për t'iu përgjigjur në mënyrë adekuate dhe gjithëpërfshirëse këtyre kërcënimeve po kryhen me koordinim të pamjaftueshëm dhe financim të dobët buxhetor.

pyetjet e testit

1. Cili është vendi i sigurisë së informacionit në sistemin e sigurisë ekonomike të shtetit? Tregoni me shembuj rëndësinë e sigurisë së informacionit në sigurimin e sigurisë ekonomike të shtetit?

2. Cila është arsyeja për rritjen e rëndësisë së sigurisë së informacionit në periudhën moderne?

3. Përshkruani kategoritë kryesore të sigurisë së informacionit: informacioni, informatizimi, dokumenti, procesi i informacionit, sistemi i informacionit, burimet e informacionit, të dhënat personale, informacioni konfidencial.

4. Cilat janë interesat e individit, shoqërisë dhe shtetit në sferën e informacionit?

5. Cilat janë llojet e kërcënimeve për sigurinë e informacionit?

6. Emërtoni mënyrat e ndikimit të kërcënimeve në objektet e sigurisë së informacionit.

7. Shpjegoni konceptin e "luftës së informacionit".

8. Renditni burimet e jashtme të kërcënimeve ndaj sigurisë së informacionit në Rusi.

9. Renditni burimet e brendshme të kërcënimeve ndaj sigurisë së informacionit në Rusi.

10. Cilat rregullore sigurojnë sigurinë e informacionit në territorin e Federatës Ruse?

11. Cilat akte normative ndërkombëtare në fushën e mbrojtjes së informacionit njihni?

12. Cili është thelbi i politikës shtetërore të sigurisë së informacionit?

13. Renditni metodat e sigurimit të sigurisë së informacionit.

14. Përshkruani strukturën e sistemit shtetëror të mbrojtjes së informacionit

15. Jepni një vlerësim të gjendjes së sigurisë së informacionit në Rusi.

Informacioni konfidencial është me interes të madh për firmat konkurruese. Sheshtë ajo që bëhet shkak i shkeljeve nga ndërhyrës.

Shumë probleme shoqërohen me nënvlerësimin e rëndësisë së kërcënimit, si rezultat i të cilit ai mund të kthehet në kolaps dhe falimentim për ndërmarrjen. Edhe një rast i vetëm i neglizhencës së punonjësve mund të shkaktojë një kompani humbje miliona dollarëshe dhe humbje të besimit të klientit.

Të dhënat mbi përbërjen, statusin dhe aktivitetet e ndërmarrjes janë të ekspozuara ndaj kërcënimeve. Burimet e kërcënimeve të tilla janë konkurrentët e tij, zyrtarë të korruptuar dhe kriminelë. Me vlerë të veçantë për ta është njohja me informacionin e mbrojtur, si dhe modifikimi i tij për të shkaktuar dëme financiare.

Rrjedhja e informacionit mund të çojë në një rezultat të tillë edhe me 20%. Ndonjëherë humbja e sekreteve të kompanisë mund të ndodhë rastësisht, për shkak të përvojës së stafit ose për shkak të mungesës së sistemeve të sigurisë.

Për informacionin që është pronë e ndërmarrjes, mund të ketë kërcënime të llojeve të mëposhtme.

Kërcënimet për konfidencialitetin e informacionit dhe programeve. Mund të ndodhë pas aksesit të paligjshëm në të dhëna, kanale komunikimi ose programe. Të dhënat që përmbajnë ose dërgohen nga një kompjuter mund të përgjohen përmes kanaleve të rrjedhjeve.

Për këtë, përdoret pajisje speciale që analizon rrezatimin elektromagnetik të marrë gjatë punës në një kompjuter.

Rreziku i dëmtimit. Veprimet e paligjshme të hakerave mund të rezultojnë në kurs të shtrembëruar ose humbje të informacionit të transmetuar.

Kërcënimi i aksesit. Situata të tilla parandalojnë përdoruesin legjitim të përdorë shërbimet dhe burimet. Kjo ndodh pasi ata kapen, marrin të dhëna për to, ose linjat bllokohen nga ndërhyrës. Një incident i tillë mund të shtrembërojë saktësinë dhe kohën e duhur të informacionit të transmetuar.

Ekzistojnë tre kushte të rëndësishme që do të lejojnë një qytetar rus: një plan ideal biznesi, një politikë e mirë-menduar e kontabilitetit dhe personelit dhe disponueshmëria e fondeve falas.
Përgatitja e dokumenteve për hapjen e një SHPK kërkon një kohë të caktuar. Duhen rreth 1-2 ditë për të hapur një llogari bankare. Lexoni këtu se cilat dokumente ju duhen për të hapur një LLC.

Rreziku i refuzimit për të kryer transaksione. Refuzimi i përdoruesit nga informacioni i transmetuar prej tij në mënyrë që të shmanget përgjegjësia.

Kërcënimet e brendshme. Kërcënime të tilla paraqesin një rrezik të madh për ndërmarrjen. Ata vijnë nga menaxherë të papërvojë, personel të paaftë ose të pakualifikuar.

Ndonjëherë punonjësit e një ndërmarrje mund të provokojnë një rrjedhje të brendshme të qëllimshme të informacionit, duke treguar kështu pakënaqësinë e tyre me pagën, punën ose kolegët e tyre. Ata lehtë mund të paraqesin të gjithë informacionin e vlefshëm të ndërmarrjes para konkurrentëve të saj, të përpiqen ta shkatërrojnë atë, ose të fusin qëllimisht një virus në kompjuter.

Garantimi i sigurisë së informacionit të ndërmarrjes

Proceset më të rëndësishme të kontabilitetit automatizohen nga klasa përkatëse e sistemeve, siguria e të cilave arrihet nga një gamë e tërë e masave teknike dhe organizative.

Ato përfshijnë një sistem antivirus, firewall dhe mbrojtje nga rrezatimi elektromagnetik. Sistemet mbrojnë informacionin në media elektronike, të dhënat e transmetuara përmes kanaleve të komunikimit, kufizojnë hyrjen në dokumente të ndryshme, krijojnë kopje rezervë dhe rikthejnë informacionin konfidencial pas dëmtimit.

Siguria e plotë e informacionit në ndërmarrje duhet të jetë dhe të jetë nën kontroll të plotë gjatë gjithë vitit, në kohë reale gjatë gjithë kohës. Në të njëjtën kohë, sistemi merr parasysh të gjithë ciklin jetësor të informacionit, duke filluar nga momenti kur shfaqet dhe deri në shkatërrimin ose humbjen e tij të plotë të rëndësisë për ndërmarrjen.

Për sigurinë dhe parandalimin e humbjes së të dhënave në industrinë e sigurisë së informacionit, sistemet e sigurisë janë duke u zhvilluar. Puna e tyre bazohet në komplekse pako softuerësh me një gamë të gjerë opsionesh për të parandaluar çdo humbje të të dhënave.

Specifikimi i programeve është që për funksionimin e tyre korrekt, kërkohet një model i lexueshëm dhe i korrigjuar i qarkullimit të brendshëm të të dhënave dhe dokumenteve. Analiza e sigurisë së të gjitha hapave kur përdorni informacionin bazohet në punën me bazat e të dhënave.

Siguria e informacionit mund të sigurohet duke përdorur mjete në internet, si dhe produkte dhe zgjidhje të ofruara në të gjitha llojet e burimeve të Internetit.

Zhvilluesit e disa prej këtyre shërbimeve arritën të krijojnë me kompetencë një sistem të sigurisë së informacionit që mbron nga kërcënimet e jashtme dhe të brendshme, duke siguruar një ekuilibër perfekt të çmimit dhe funksionalitetit. Komplekset modulare fleksibël të ofruara kombinojnë punën e harduerit dhe softuerit.

Llojet

Logjika e funksionimit të sistemeve të sigurisë së informacionit përfshin veprimet e mëposhtme.

Parashikimi dhe njohja e shpejtë e kërcënimeve, motiveve dhe kushteve të sigurisë së të dhënave që kontribuan në dëmtimin e ndërmarrjes dhe shkaktuan përçarje në punën dhe zhvillimin e saj.

Krijimi i kushteve të tilla të punës në të cilat minimizohet niveli i rrezikut dhe gjasat e dëmtimit të ndërmarrjes.

Kompensimi për dëmin dhe minimizimi i ndikimit të përpjekjeve të identifikuara të dëmit.

Mjetet për mbrojtjen e informacionit mund të jenë:

teknike;
softuer;
kriptografike;
organizative;
legjislativ.

Organizimi i sigurisë së informacionit në ndërmarrje

Të gjithë sipërmarrësit gjithmonë përpiqen të sigurojnë qasje dhe konfidencialitet të informacionit. Për të zhvilluar një mbrojtje të përshtatshme të informacionit, natyra e kërcënimeve të mundshme, si dhe format dhe metodat e shfaqjes së tyre, merren parasysh.

Organizimi i sigurisë së informacionit në një ndërmarrje kryhet në atë mënyrë që një haker mund të përballet me nivele të shumta mbrojtjeje. Si rezultat, sulmuesi nuk është në gjendje të depërtojë në zonën e mbrojtur.

Mënyra më efektive për të mbrojtur informacionin është një algoritëm kriptografikisht i fortë i kriptimit për transmetimin e të dhënave. Sistemi kripton vetë informacionin, dhe jo vetëm aksesin në të, i cili është gjithashtu i rëndësishëm për të.

Struktura e qasjes në informacion duhet të jetë shumë nivele, dhe për këtë arsye vetëm punonjësit e zgjedhur lejohen të kenë qasje në të. Vetëm personat e besueshëm duhet të kenë qasje të plotë në të gjitha informacionet.

Lista e informacionit në lidhje me informacionin konfidencial miratohet nga kreu i ndërmarrjes. Çdo shkelje në këtë fushë duhet të dënohet me sanksione të caktuara.

Modelet e mbrojtjes sigurohen nga GOST-et përkatëse dhe standardizohen nga një numër masash komplekse. Aktualisht, janë zhvilluar shërbime speciale që monitorojnë gjendjen e rrjetit gjatë gjithë kohës dhe çdo paralajmërim nga sistemet e sigurisë së informacionit.

Duhet të kihet parasysh se e lirë rrjete pa tela nuk mund të sigurojë nivelin e kërkuar të mbrojtjes.

Për të shmangur humbjen aksidentale të të dhënave për shkak të përvojës së punonjësve, administratorët duhet të zhvillojnë seanca trajnimi. Kjo i lejon ndërmarrjes të monitorojë gatishmërinë e punonjësve për të punuar dhe u jep menaxherëve besim se të gjithë punonjësit janë në gjendje të respektojnë masat e sigurisë së informacionit.

Atmosfera e një ekonomie tregu dhe një nivel i lartë i konkurrencës bëjnë që drejtuesit e ndërmarrjeve të jenë gjithmonë në gatishmëri dhe t’i përgjigjen shpejt çdo vështirësie. Gjatë 20 viteve të fundit, teknologjia e informacionit ka qenë në gjendje të hyjë në të gjitha fushat e zhvillimit, menaxhimit dhe biznesit.

Nga bota reale, biznesi është kthyer prej kohësh në një virtuale, mjafton të kujtojmë se si u bë e njohur, e cila ka ligjet e veta. Aktualisht, kërcënimet virtuale ndaj sigurisë së informacionit të një ndërmarrje mund t'i shkaktojnë asaj dëm të madh real. Duke nënvlerësuar problemin, drejtuesit rrezikojnë biznesin, reputacionin dhe autoritetin e tyre.

Shumica e bizneseve pësojnë humbje rregullisht për shkak të thyerjes së të dhënave. Mbrojtja e informacionit të ndërmarrjes duhet të jetë një përparësi gjatë formimit të një biznesi dhe sjelljes së tij. Garantimi i sigurisë së informacionit është çelësi i suksesit, fitimit dhe arritjes së qëllimeve të ndërmarrjes.

Politika e Sigurisë së Informacionit.

1. Dispozitat e përgjithshme

Kjo politikë e sigurisë së informacionit ( me tutje - Politika ) përcakton një sistem pikëpamjesh për problemin e sigurimit të sigurisë së informacionit dhe është një deklaratë sistematike e qëllimeve dhe objektivave, si dhe aspektet organizative, teknologjike dhe procedurale të sigurimit të informacionit për objektet e infrastrukturës së informacionit, duke përfshirë një sërë qendrash informacioni, bankash të të dhënave dhe sistemeve të komunikimit të organizatës. Kjo politikë është zhvilluar duke marrë parasysh kërkesat e legjislacionit aktual të Federatës Ruse dhe perspektivat e menjëhershme për zhvillimin e objekteve të infrastrukturës së informacionit, si dhe karakteristikat dhe aftësitë e metodave moderne organizative dhe teknike dhe pajisjeve dhe programeve kompjuterikë për mbrojtjen e informacionit.

Dispozitat kryesore dhe kërkesat e politikës zbatohen për të gjitha ndarjet strukturore të organizatës.

Politika është një bazë metodologjike për formimin dhe zbatimin e një politike të unifikuar në fushën e sigurimit të sigurisë së informacionit të infrastrukturës së informacionit, marrjen e vendimeve të koordinuara të menaxhimit dhe zhvillimin e masave praktike që synojnë sigurimin e sigurisë së informacionit, koordinimin e aktiviteteve të ndarjeve strukturore të organizatës kur kryejnë punë për krijimin, zhvillimin dhe funksionimin e objekteve të informacionit. infrastruktura në përputhje me kërkesat e sigurisë së informacionit.

Politika nuk rregullon çështjet e organizimit të mbrojtjes së mjediseve dhe garantimin e sigurisë dhe integritetit fizik të përbërësve të infrastrukturës së informacionit, mbrojtjen nga katastrofat natyrore dhe dështimet në sistemin e furnizimit me energji elektrike, megjithatë, ajo përfshin ndërtimin e një sistemi të sigurisë së informacionit në të njëjtat baza konceptuale si sistemi i sigurisë i organizatës si një e tërë.

Zbatimi i politikës sigurohet nga udhëzimet e përshtatshme, rregulloret, procedurat, udhëzimet, udhëzimet dhe një sistem i vlerësimit të sigurisë së informacionit në organizatë.

Politika përdor termat dhe përkufizimet e mëposhtme:

Sistemi i automatizuar ( SI) — një sistem i përbërë nga personel dhe një kompleks mjetesh për automatizimin e veprimtarive të tyre, i cili zbaton teknologjinë e informacionit për kryerjen e funksioneve të vendosura.

Infrastruktura e informacionit- një sistem i strukturave organizative që sigurojnë funksionimin dhe zhvillimin e hapësirës së informacionit dhe mjeteve të ndërveprimit të informacionit. Infrastruktura e informacionit përfshin një sërë qendrash informacioni, banka të dhënash dhe njohurish, sisteme komunikimi dhe u siguron konsumatorëve qasje në burimet e informacionit.

Burimet informative ( IR) Janë dokumente të ndara dhe vargje të veçanta të dokumenteve, dokumenteve dhe vargjeve të dokumenteve në sistemet e informacionit ( bibliotekat, arkivat, fondet, bazat e të dhënave dhe sistemet e tjera të informacionit).

Sistemi i informacionit (IP) - sistemi i përpunimit të informacionit dhe burimet përkatëse organizative ( njerëzore, teknike, financiare, etj.) që sigurojnë dhe shpërndajnë informacione.

Siguria -gjendja e mbrojtjes së interesave ( qëllimet) organizatat përballë kërcënimeve.

Siguria e informacionit ( IB) — sigurinë në lidhje me kërcënimet në sferën e informacionit. Siguria arrihet duke siguruar një sërë pronash të IS - disponueshmëria, integriteti, konfidencialiteti i aseteve të informacionit. Prioriteti i pronave të IS përcaktohet nga vlera e këtyre pasurive për interesat ( qëllimet) organizimi.

Disponueshmëria e aseteve të informacionit - pronë e IS të një organizate, e cila konsiston në faktin se asetet e informacionit i sigurohen një përdoruesi të autorizuar, dhe në formën dhe vendin e kërkuar nga përdoruesi, dhe në kohën kur ato janë të nevojshme.

Integriteti i aseteve të informacionit - pronë e sigurisë së informacionit të një organizate për të ruajtur ndryshime të pandryshuara ose korrekte të zbuluara në asetet e saj të informacionit.

Konfidencialiteti i aseteve të informacionit - pronë e sigurisë së informacionit të një organizate, e cila konsiston në faktin se përpunimi, ruajtja dhe transferimi i aseteve të informacionit kryhet në një mënyrë të tillë që asetet e informacionit të jenë në dispozicion vetëm për përdoruesit e autorizuar, objektet e sistemit ose proceset.

Sistemi i sigurisë së informacionit ( NIB) — një sërë masash mbrojtëse, pajisje mbrojtëse dhe procese të funksionimit të tyre, përfshirë burimet dhe administratën ( organizative) siguria.

Hyrja e paautorizuar - qasja në informacion në kundërshtim me kompetencat zyrtare të një punonjësi, qasja në informacionin e mbyllur për qasje në publik nga personat që nuk kanë leje për të hyrë në këtë informacion ose të fitojnë qasje në informacion nga një person që ka të drejtë të hyjë në këtë informacion në një shumë që tejkalon shumën e nevojshme për t'u përmbushur detyrat zyrtare.

2. Kërkesat e përgjithshme për sigurinë e informacionit

Kërkesat e sigurisë së informacionit ( me tutje -IB ) përcaktojnë përmbajtjen dhe qëllimet e aktiviteteve të organizatës brenda proceseve të menaxhimit të IS.

Këto kërkesa janë formuluar për fushat e mëposhtme:

caktimi dhe shpërndarja e roleve dhe besimi te personeli;
fazat e ciklit jetësor të objekteve të infrastrukturës së informacionit;
mbrojtje nga hyrja e paautorizuar ( me tutje - NSD ), kontrolli i qasjes dhe regjistrimi në sistemet e automatizuara, në pajisjet e telekomunikacionit dhe shkëmbimet automatike të telefonit, etj;
mbrojtje anti-virus;
përdorimi i burimeve të internetit;
përdorimi i mjeteve të mbrojtjes së informacionit kriptografik;
mbrojtja e të dhënave personale.

3. Objektet që duhen mbrojtur

Objektet kryesore që duhen mbrojtur janë:

burimet informativetë paraqitura në formën e dokumenteve dhe vargjeve të informacionit, pavarësisht nga forma dhe lloji i prezantimit të tyre, përfshirë informacionin konfidencial dhe të hapur;
sistemi për formimin, shpërndarjen dhe përdorimin e burimeve të informacionit, bibliotekat, arkivat, bazat e të dhënave dhe bankat e të dhënave, teknologjitë e informacionit, rregulloret dhe procedurat për mbledhjen, përpunimin, ruajtjen dhe transmetimin e informacionit, personelit teknik dhe të shërbimit;
infrastruktura e informacionit, përfshirë sistemet për përpunimin dhe analizimin e informacionit, harduerit dhe softuerit për përpunimin, transmetimin dhe shfaqjen e tij, përfshirë shkëmbimin e informacionit dhe kanalet telekomunikuese, sistemet dhe sistemet e sigurisë së informacionit, objektet dhe mjediset në të cilat ndodhen përbërësit e infrastrukturës së informacionit.

3.1 Karakteristikat e Sistemit të Automatizuar

Informacioni i kategorive të ndryshme qarkullon në AU. Informacioni i mbrojtur mund të ndahet nga përdorues të ndryshëm nga nën-rrjeta të ndryshëm të një rrjeti të vetëm të korporatave.

Një numër i nënsistemeve AS ofrojnë ndërveprim me të jashtëm ( shtetëror dhe tregtar, rus dhe i huaj) organizatat përmes kanaleve të ndërlidhura dhe të dedikuara të komunikimit duke përdorur mjete të posaçme të transmetimit të informacionit.

Kompleksi i mjeteve teknike të AU përfshin mjete të përpunimit të të dhënave ( stacionet e punës, serverat e bazave të të dhënave, serverat e postës, etj.), mjetet e shkëmbimit të të dhënave në rrjetet e zonës lokale me aftësinë për të hyrë në rrjetet globale ( kabllot, urat, portat, modemet, etj.), si dhe ambientet e magazinimit ( përfshirë arkivimi) të dhënat.

Karakteristikat kryesore të funksionimit të AU përfshijnë:

nevoja për të kombinuar një numër të madh të mjeteve të ndryshme teknike të përpunimit dhe transmetimit të informacionit në një sistem të vetëm;
një larmi e gjerë detyrash që duhet të zgjidhen dhe llojet e të dhënave të përpunuara;
unifikimi i informacionit për qëllime të ndryshme, përkatësia dhe nivelet e konfidencialitetit në bazat e të dhënave të përbashkëta;
disponueshmëria e kanaleve të lidhjes në rrjetet e jashtme;
vazhdimësia e funksionimit;
prania e nënsistemeve me kërkesa të ndryshme për nivelet e sigurisë, të bashkuara fizikisht në një rrjet të vetëm;
një larmi kategorish të përdoruesve dhe personelit të shërbimit.

Në terma të përgjithshëm, një AS i vetëm është një grup i rrjeteve lokale të ndarjeve, të ndërlidhura me anë të telekomunikacionit. Çdo rrjet lokal lokal bashkon një numër të nënsistemeve të automatizuar të ndërlidhur dhe ndërveprues ( faqet teknologjike), duke siguruar zgjidhjen e problemeve nga ndarjet individuale strukturore të organizatës.

Objektet e informatizimit përfshijnë:

pajisje teknologjike ( pajisjet kompjuterike, pajisjet e rrjetit dhe kabllove);
burimet informative;
softuer ( sisteme operative, sisteme të menaxhimit të bazave të të dhënave, në të gjithë sistemin dhe softuer aplikimi);
sisteme të automatizuara të komunikimit dhe transmetimit të të dhënave (telekomunikacion);
kanalet e lidhjes;
hapësira për zyre.

3.2. Llojet e aseteve të informacionit të organizatës që do të mbrohen

Informacioni i niveleve të ndryshme të konfidencialitetit qarkullon në nënsistemet AS të organizatës, që përmban informacionin e shpërndarjes së kufizuar ( të dhëna shërbimi, komerciale, personale) dhe informacion i hapur.

Rrjedha e dokumenteve të AU përmban:

urdhërpagesat dhe dokumentet financiare;
raportet ( financiare, analitike, etj.);
informacion në lidhje me llogaritë personale;
te dhena Personale;
informacione të tjera të shpërndarjes së kufizuar.

I gjithë informacioni që qarkullon në AU dhe përmbahet në llojet e mëposhtme të aseteve të informacionit i nënshtrohet mbrojtjes:

informacion që përbën një sekret tregtar dhe zyrtar, hyrja në të cilën është e kufizuar nga organizata, si pronar i informacionit, në përputhje me Ligjin Federal " Rreth informacionit, informatizimit dhe mbrojtjes së informacionit "Të Drejtat dhe Ligji Federal" Rreth sekreteve tregtare »;
të dhëna personale, hyrja në të cilën është e kufizuar në përputhje me Ligjin Federal " Për të dhënat personale »;
informacion i hapur, në drejtim të sigurimit të integritetit dhe disponueshmërisë së informacionit.

3.3. Kategoritë e përdoruesve të Sistemit të Automatizuar

Organizata ka një numër të madh të kategorive të përdoruesve dhe personelit të shërbimit, të cilët duhet të kenë kompetenca të ndryshme për të hyrë në burimet e informacionit të AU:

përdoruesit e zakonshëm ( përdoruesit e fundit, punonjësit e njësive organizative);
administratorët e serverit ( serverat e skedarëve, serverat e aplikacioneve, serverat e bazave të të dhënave), rrjetet lokale dhe sistemet e aplikimit;
programuesit e sistemit ( përgjegjës për mirëmbajtjen e softverit të përgjithshëm) në serverat dhe stacionet e punës të përdoruesve;
zhvilluesit e programeve të aplikimit;
specialistë në mirëmbajtjen e mjeteve teknike të teknologjisë kompjuterike;
administratorët e sigurisë së informacionit, etj.

3.4. Ndjeshmëria e përbërësve kryesorë të Sistemit të Automatizuar

Komponentët më të prekshëm të AU janë stacionet e punës në rrjet - stacionet e punës të automatizuara ( me tutje - AWP ) punëtorët. Përpjekjet e aksesit të paautorizuar në informacion ose përpjekjet e veprimeve të paautorizuara mund të bëhen nga stacioni i punës i punëtorëve ( pa dashje dhe me dashje) në një rrjet kompjuterik. Shkeljet e konfigurimit të harduerit dhe softuerit të stacioneve të punës dhe ndërhyrjet e paligjshme në proceset e funksionimit të tyre mund të çojnë në bllokimin e informacionit, pamundësinë e zgjidhjes në kohë të detyrave të rëndësishme dhe dështimin e stacioneve individuale të punës dhe nënsistemeve.

Elementet e rrjetit siç janë serverat e skedarëve të dedikuar, serverat e bazave të të dhënave dhe serverat e aplikacioneve kanë nevojë për mbrojtje të veçantë. Disavantazhet e protokolleve të shkëmbimit dhe mjeteve të diferencimit të aksesit në burimet e serverit mund të bëjnë të mundur qasjen e paautorizuar në informacionin e mbrojtur dhe të ndikojnë në funksionimin e nënsistemeve të ndryshme. Në këtë rast, përpjekjet mund të bëhen si një telekomandë ( nga stacionet e rrjetit) dhe të drejtpërdrejtë ( nga tastiera e serverit) ndikimi në funksionimin e serverave dhe mbrojtja e tyre.

Urat, portat, hub-et, routerët, çelsat dhe pajisjet e tjera të rrjetit, lidhjet dhe komunikimet gjithashtu kanë nevojë për mbrojtje. Ato mund të përdoren nga ndërhyrës për të ristrukturuar dhe çorganizuar operacionet e rrjetit, për të kapur informacionin e transmetuar, për të analizuar trafikun dhe për të zbatuar metoda të tjera të ndërhyrjes në proceset e shkëmbimit të të dhënave.

4. Parimet themelore të sigurisë së informacionit

4.1. Parimet e përgjithshme të funksionimit të sigurt

Afatet kohore të zbulimit të problemit. Organizata duhet të identifikojë problemet në kohën e duhur që mund të ndikojnë në objektivat e saj të biznesit.
Parashikueshmëria e zhvillimit të problemeve. Organizata duhet të identifikojë shkakësinë problemet e mundshme dhe të ndërtojnë mbi këtë bazë një parashikim të saktë të zhvillimit të tyre.
Vlerësimi i ndikimit të problemeve në qëllimet e biznesit. Organizata do të vlerësojë në mënyrë adekuate ndikimin e problemeve të identifikuara.
Përshtatshmëria e masave mbrojtëse. Organizata duhet të zgjedhë masa mbrojtëse që janë adekuate për modelet e kërcënimeve dhe shkelësve, duke marrë parasysh kostot e zbatimit të masave të tilla dhe sasinë e humbjeve të mundshme nga zbatimi i kërcënimeve.
Efektiviteti i masave mbrojtëse. Organizata do të zbatojë në mënyrë efektive masat mbrojtëse të marra.
Përdorimi i përvojës në marrjen dhe zbatimin e vendimeve. Organizata duhet të grumbullojë, përgjithësojë dhe përdorë përvojën e saj dhe përvojën e organizatave të tjera në të gjitha nivelet e vendimmarrjes dhe zbatimin e tyre.
Vazhdimësia e parimeve të funksionimit të sigurt. Organizata do të sigurojë vazhdimësinë e zbatimit të parimeve të funksionimit të sigurt.
Kontrollueshmëria e masave mbrojtëse. Organizata duhet të zbatojë vetëm ato masa mbrojtëse që mund të verifikohen se funksionojnë si duhet, dhe organizata duhet të vlerësojë rregullisht përshtatshmërinë e masave mbrojtëse dhe efektivitetin e zbatimit të tyre, duke marrë parasysh ndikimin e masave mbrojtëse në objektivat e biznesit të organizatës.

4.2. Parime të veçanta për garantimin e sigurisë së informacionit

Zbatimi i parimeve të veçanta të sigurisë së informacionit ka për qëllim rritjen e nivelit të pjekurisë së proceseve të menaxhimit të sigurisë së informacionit në një organizatë.
Përkufizimi i qëllimeve. Objektivat funksionale dhe të sigurisë së informacionit të organizatës duhet të përcaktohen qartë në një dokument të brendshëm. Pasiguria çon në " paqartësi”Struktura organizative, rolet e personelit, politikat e sigurisë së informacionit dhe pamundësia e vlerësimit të përshtatshmërisë së masave mbrojtëse të marra.
Njohja e klientëve dhe punonjësve tuaj. Organizata duhet të ketë informacion në lidhje me klientët e saj, të zgjedhë me kujdes personelin ( punëtorët), zhvillojnë dhe mbajnë etikën e korporatave, e cila krijon një mjedis të favorshëm të besimit për aktivitetet e organizatës së menaxhimit të aseteve.
Personifikimi dhe ndarja adekuate e roleve dhe përgjegjësive. Përgjegjësia e zyrtarëve të organizatës për vendimet në lidhje me pasuritë e saj duhet të personifikohet dhe të kryhet kryesisht në formën e një sigurie. Ajo duhet të jetë adekuate për shkallën e ndikimit në qëllimet e organizatës, të fiksohet në politika, të kontrollohet dhe të përmirësohet.
Përshtatshmëria e roleve ndaj funksioneve dhe procedurave dhe krahasimi i tyre me kriteret dhe sistemin e vlerësimit. Rolet duhet të pasqyrojnë në mënyrë adekuate funksionet që duhen kryer dhe procedurat e organizatës për zbatimin e tyre. Kur caktoni role të ndërlidhura, duhet të merret parasysh sekuenca e nevojshme e zbatimit të tyre. Roli duhet të jetë në përputhje me kriteret për vlerësimin e efektivitetit të zbatimit të tij. Përmbajtja dhe cilësia kryesore e rolit të luajtur përcaktohet në të vërtetë nga sistemi i vlerësimit i zbatuar në të.
Disponueshmëria e shërbimeve dhe shërbimeve. Organizata duhet të sigurojë për klientët dhe kontraktorët e saj disponueshmërinë e shërbimeve dhe shërbimeve brenda afateve të përcaktuara të përcaktuara nga marrëveshjet përkatëse ( marrëveshjet) dhe / ose dokumente të tjera.
Vëzhgimi dhe vlerësimi i sigurisë së informacionit. Çdo masë mbrojtëse e propozuar duhet të projektohet në mënyrë që rezultati i zbatimit të tyre të jetë i qartë, vëzhgoni ( transparente) dhe mund të vlerësohet nga një ndarje e organizatës me autoritetin e duhur.

5. Qëllimet dhe objektivat e sigurisë së informacionit

5.1 Subjektet e marrëdhënieve të informacionit në sistemin e Automatizuar

Subjektet e marrëdhënieve juridike kur përdorin AU dhe sigurojnë sigurinë e informacionit janë:

Organizimi si pronar i burimeve të informacionit;
nënndarjet e organizatës që sigurojnë funksionimin e NPP;
punonjësit e divizioneve strukturore të organizatës, si përdorues dhe sigurues të informacionit në AU në përputhje me funksionet që u janë caktuar atyre;
personat juridikë dhe fizikë, informacioni për të cilin grumbullohet, ruhet dhe përpunohet në AS;
persona të tjerë juridikë dhe individë të përfshirë në krijimin dhe funksionimin e AU ( zhvilluesit e përbërësve të sistemit, organizatat e përfshira në ofrimin e shërbimeve të ndryshme në fushën e teknologjisë së informacionit, etj.).

Subjektet e listuara të marrëdhënieve të informacionit janë të interesuar të sigurojnë:

konfidencialiteti i një informacioni të caktuar;
besueshmëria ( plotësia, saktësia, mjaftueshmëria, integriteti) informacion;
mbrojtje nga imponimi i rremë ( jo i besueshëm, i shtrembëruar) informacion;
qasje në kohë në informacionin e nevojshëm;
diferencimi i përgjegjësisë për shkeljet e të drejtave ligjore ( interesat) subjektet e tjera të marrëdhënieve të informacionit dhe rregullat e vendosura për trajtimin e informacionit;
mundësia e monitorimit dhe menaxhimit të vazhdueshëm të proceseve të përpunimit dhe transmetimit të informacionit;
mbrojtja e një pjese të informacionit nga kopjimi i paligjshëm ( mbrojtja e të drejtës së autorit, të drejtat e pronarit të informacionit, etj.).

5.2. Objektivi i Sigurisë së Informacionit

Qëllimi kryesor i garantimit të sigurisë së informacionit është mbrojtja e subjekteve të marrëdhënieve të informacionit nga dëmtimet e mundshme materiale, morale ose dëmtime të tjera të tyre përmes ndërhyrjes aksidentale ose të qëllimshme të paautorizuar në procesin e funksionimit të AU ose qasjes së paautorizuar të informacionit që qarkullon në të dhe përdorimit të tij të paligjshëm.

Ky qëllim arrihet duke siguruar dhe mbajtur vazhdimisht vetitë e mëposhtme të informacionit dhe një sistem të automatizuar për përpunimin e tij:

disponueshmëria e informacionit të përpunuar për përdoruesit e regjistruar;
konfidencialiteti i një pjese të caktuar të informacionit të ruajtur, përpunuar dhe transmetuar përmes kanaleve të komunikimit;
integriteti dhe vërtetësia e informacionit të ruajtur, përpunuar dhe transmetuar përmes kanaleve të komunikimit.

5.3. Objektivat e sigurisë së informacionit

Për të arritur qëllimin kryesor të sigurimit të sigurisë së informacionit, sistemi i sigurisë së informacionit NPP duhet të sigurojë një zgjidhje efektive për detyrat e mëposhtme:

mbrojtje nga ndërhyrjet në procesin e funksionimit të AU nga persona të paautorizuar;
diferencimi i aksesit të përdoruesve të regjistruar në harduer, softuer dhe burimet e informacionit të AU, pra mbrojtja nga hyrja e paautorizuar;
regjistrimi i veprimeve të përdoruesve kur përdorni burime të mbrojtura AS në regjistrat e sistemit dhe kontrolli periodik i korrektësisë së veprimeve të përdoruesve të sistemit duke analizuar përmbajtjen e këtyre regjistrave nga specialistë të departamenteve të sigurisë;
mbrojtje nga modifikimi i paautorizuar dhe kontrolli i integritetit ( duke siguruar pandryshueshmëri) mjedisi i ekzekutimit të programeve dhe rivendosja e tij në rast shkeljeje;
mbrojtje nga modifikimi dhe kontrolli i paautorizuar i integritetit të softuerit të përdorur në AU, si dhe mbrojtja e sistemit nga futja e programeve të paautorizuara, përfshirë viruset kompjuterikë;
mbrojtja e informacionit nga rrjedhjet përmes kanaleve teknike gjatë përpunimit, ruajtjes dhe transmetimit të tij përmes kanaleve të komunikimit;
mbrojtja e informacionit të ruajtur, përpunuar dhe transmetuar përmes kanaleve të komunikimit nga zbulimi ose shtrembërimi i paautorizuar;
sigurimi i vërtetimit të përdoruesve që marrin pjesë në shkëmbimin e informacionit;
sigurimi i mbijetesës së mjeteve të mbrojtjes së informacionit kriptografik kur komprometohet një pjesë e sistemit kryesor;
identifikimi në kohë i burimeve të kërcënimeve ndaj sigurisë së informacionit, shkaqeve dhe kushteve që kontribuojnë në dëmtimin e subjekteve të interesuara të marrëdhënieve të informacionit, krijimi i një mekanizmi për përgjigje të shpejtë ndaj kërcënimeve ndaj sigurisë së informacionit dhe trendeve negative;
krijimin e kushteve për minimizimin dhe lokalizimin e dëmit të shkaktuar nga veprime të paligjshme të individëve dhe personave juridikë, dobësimin e ndikimit negativ dhe eliminimin e pasojave të shkeljes së sigurisë së informacionit.

5.4. Mënyrat për të zgjidhur problemet e sigurisë së informacionit

Zgjidhja e problemeve të sigurisë së informacionit është arritur:

llogaritja e rreptë e të gjitha burimeve të sistemit objekt mbrojtje informacioni, detyrat, kanalet e komunikimit, serverat, AWP);
rregullimi i proceseve të përpunimit të informacionit dhe veprimeve të punonjësve të divizioneve strukturore të organizatës, si dhe veprimet e personelit që kryen mirëmbajtjen dhe modifikimin e softuerit dhe pajisjes së centralit bërthamor, në bazë të dokumenteve organizative dhe administrative për sigurinë e informacionit;
plotësia, realizueshmëria reale dhe qëndrueshmëria e kërkesave të dokumenteve organizative dhe administrative për sigurinë e informacionit;
emërimin dhe trajnimin e punonjësve përgjegjës për organizimin dhe zbatimin e masave praktike për të garantuar sigurinë e informacionit;
fuqizimi i çdo punonjësi me kompetencat minimale të nevojshme për të përmbushur detyrat e tij funksionale për të hyrë në burimet e NPP;
njohuri të qarta dhe respektim të rreptë nga të gjithë punonjësit duke përdorur dhe mirëmbajtur harduerin dhe softuerin e termocentralit, kërkesat e dokumenteve organizative dhe administrative mbi sigurinë e informacionit;
përgjegjësia personale për veprimet e tyre të secilit punonjës që merr pjesë në kornizën e përgjegjësive të tyre funksionale në proceset e përpunimit të automatizuar të informacionit dhe që kanë akses në burimet e AU;
zbatimi i proceseve teknologjike të përpunimit të informacionit duke përdorur komplekse të masave organizative dhe teknike për të mbrojtur softuerin, harduerin dhe të dhënat;
miratimi i masave efektive për të siguruar integritetin fizik të pajisjeve teknike dhe mirëmbajtjen e vazhdueshme të nivelit të kërkuar të mbrojtjes së përbërësve të NPP;
aplikimi i teknike ( softveri dhe hardueri) mjetet e mbrojtjes së burimeve të sistemit dhe mbështetjen e vazhdueshme administrative për përdorimin e tyre;
caktimi i kufijve të fluksit të informacionit dhe ndalimi i transmetimit të informacionit me shpërndarje të kufizuar përmes kanaleve të pambrojtura të komunikimit;
kontroll efektiv mbi pajtueshmërinë e punonjësve me kërkesat e sigurisë së informacionit;
monitorimi i vazhdueshëm i burimeve të rrjetit, identifikimi i dobësive, zbulimi në kohë dhe neutralizimi i kërcënimeve të jashtme dhe të brendshme për sigurinë e një rrjeti kompjuterik;
mbrojtja ligjore e interesave të organizatës nga veprimet e paligjshme në fushën e sigurisë së informacionit.
kryerjen e një analize të vazhdueshme të efektivitetit dhe mjaftueshmërisë së masave të marra dhe mjeteve të mbrojtjes së informacionit të përdorur, zhvillimin dhe zbatimin e propozimeve për përmirësimin e sistemit të mbrojtjes së informacionit në termocentralin bërthamor.

6 kërcënime të sigurisë së informacionit

6.1 Kërcënimet e sigurisë së informacionit dhe burimet e tyre

Kërcënimet më të rrezikshme për sigurinë e informacionit të përpunuar në një central bërthamor janë:

shkelje e konfidencialitetit ( zbulimi, rrjedhja) informacioni që përbën një sekret zyrtar ose tregtar, përfshirë të dhënat personale;
mosfunksionimi ( çorganizimi i punës) AS, bllokimi i informacionit, shkelja e proceseve teknologjike, prishja e zgjidhjes në kohë të problemeve;
shkelje e integritetit ( shtrembërim, zëvendësim, shkatërrim) informacion, softuer dhe burime të tjera të AU.

Burimet kryesore të kërcënimeve ndaj sigurisë së informacionit të NPP janë:

ngjarje të pafavorshme natyrore dhe të bëra nga njeriu;
terroristë, kriminelë;
ndërhyrës kompjuterikë të cilët kryejnë veprime të destinuara shkatërruese, përfshirë përdorimin e viruseve kompjuterikë dhe lloje të tjerë të kodeve dhe sulmeve të dëmshme;
furnizuesit e programeve dhe pajisjeve, materialeve të konsumit, shërbimeve, etj;
kontraktorët që kryejnë instalimin, komisionimin e pajisjeve dhe riparimin e tyre;
mosrespektimi i kërkesave të organeve mbikëqyrëse dhe rregullatore, legjislacioni aktual;
dështimet, dështimet, shkatërrimi / dëmtimi i softuerit dhe pajisjes;
punonjësit që janë pjesëmarrës ligjorë në proceset në AU dhe veprojnë jashtë kornizës së kompetencave të dhëna;
punonjësit që janë pjesëmarrës ligjorë në proceset në AU dhe veprojnë brenda kornizës së kompetencave të dhëna.

6.2 Veprime të paqëllimta që çojnë në shkelje të sigurisë së informacionit dhe masa për t'i parandaluar ato

Punonjësit e organizatës që kanë qasje të drejtpërdrejtë në proceset e përpunimit të informacionit në AU janë një burim i mundshëm i veprimeve aksidentale të paqëllimta që mund të çojnë në prishjen e sigurisë së informacionit.

Veprime të mëdha të padëshiruara që çojnë në prishjen e sigurisë së informacionit (veprime të kryera nga njerëz aksidentalisht, përmes injorancës, pavëmendjes ose neglizhencës, nga kurioziteti, por pa qëllim të keq) dhe masat për të parandaluar veprime të tilla dhe për të minimizuar dëmin që ato shkaktojnë janë dhënë Tabela 1.

Tabela 1

Veprimet themelore që çojnë në shkelje të sigurisë së informacionit
Veprimet e punonjësve që çojnë në dështim të pjesshëm ose të plotë të sistemit ose prishje të performancës së harduerit ose softuerit; shkyçja e pajisjeve ose ndryshimi i mënyrave të funksionimit të pajisjeve dhe programeve; shkatërrimi i burimeve të informacionit të sistemit ( dëmtimi i paqëllimtë i pajisjeve, fshirja, shtrembërimi i programeve ose skedarëve nga informacion i rendesishem, përfshirë sistemin, dëmtimin e kanaleve të komunikimit, dëmtimin e paqëllimtë të bartësve të informacionit, etj.)	Masat organizative ( ). Përdorimi i mjeteve fizike për të parandaluar kryerjen e pavullnetshme të një shkeljeje. Zbatimi i teknike ( hardware dhe softuer) mjetet e diferencimit të aksesit në burime. Rezervimi i burimeve kritike.
Fillimi i paautorizuar i programeve që, nëse përdoren në mënyrë të paaftë, mund të shkaktojnë humbjen e performancës së sistemit ( ngrin ose sythe) ose kryerjen e ndryshimeve të pakthyeshme në sistem ( formatimi ose ristrukturimi i mediave të ruajtjes, fshirja e të dhënave, etj.)	Masat organizative ( heqja e të gjitha programeve potencialisht të rrezikshme nga stacioni i punës) Zbatimi i teknike ( hardware dhe softuer) mjetet e diferencimit të aksesit në programe në stacionin e punës.
Futja dhe përdorimi i paautorizuar i programeve të paregjistruara ( lojrave, trajnimeve, teknologjike dhe të tjera që nuk janë të nevojshme për punonjësit për të kryer detyrat e tyre zyrtare) e ndjekur nga humbje e paarsyeshme e burimeve ( koha e procesorit, kujtesë e gjallë, memoria në media të jashtme, etj.)	Masat organizative ( vendosja e ndalimeve) Zbatimi i teknike ( hardware dhe softuer) nënkupton parandalimin e prezantimit dhe përdorimit të paautorizuar të programeve të pa llogaritura.
Infeksion i paqëllimshëm i virusit në kompjuterin tuaj	Masat organizative ( rregullimi i veprimeve, vendosja e ndalesave). Masat teknologjike ( përdorimi i programeve speciale për zbulimin dhe shkatërrimin e viruseve). Përdorimi i mjeteve harduerike dhe softuerike që parandalojnë infektimin me viruse kompjuterike.
Zbulimi, transferimi ose humbja e atributeve të kontrollit të hyrjes ( fjalëkalime, çelësa kriptimi ose nënshkrime elektronike, karta identifikimi, leje, etj.)	Masat organizative ( rregullimi i veprimeve, vendosja e ndalimeve, forcimi i përgjegjësisë) Përdorimi i mjeteve fizike për të garantuar sigurinë e detajeve të specifikuara.
Injorimi i kufizimeve organizative ( rregullat e vendosura) kur punoni në sistem	Masat organizative ( ) Përdorimi i mjeteve shtesë fizike dhe teknike të mbrojtjes.
Përdorimi i paaftë, rregullimi ose paaftësia e duhur e pajisjeve mbrojtëse nga personeli i sigurisë	Masat organizative ( trajnimi i personelit, forcimi i përgjegjësisë dhe kontrolli).
Futja e të dhënave të gabuara	Masat organizative ( rritur përgjegjësinë dhe kontrollin) Masat teknologjike për të kontrolluar gabimet e operatorëve të futjes së të dhënave.

6.3. Veprimet e qëllimshme për të shkelur sigurinë e informacionit dhe masat për t'i parandaluar ato

Veprimet themelore të qëllimshme ( për qëllime egoiste, nën detyrim, nga dëshira për t’u hakmarrë, etj.), duke çuar në shkelje të sigurisë së informacionit të uzinës, dhe masat për t'i parandaluar ato dhe për të zvogëluar dëmin e mundshëm të shkaktuar janë dhënë në Tabela 2.

tabela 2

Veprimet kryesore të qëllimshme që çojnë në shkelje të sigurisë së informacionit	Masat për parandalimin e kërcënimeve dhe minimizimin e dëmeve
Shkatërrimi fizik ose paaftësia e të gjithë ose disa prej përbërësve më të rëndësishëm të sistemit të automatizuar ( pajisjet, bartësit e informacionit të rëndësishëm të sistemit, personeli, etj.), shkyçja ose çaktivizimi i nënsistemeve për të siguruar funksionimin e sistemeve informatike ( furnizimi me energji elektrike, linjat e komunikimit, etj.)	Masat organizative ( rregullimi i veprimeve, vendosja e ndalesave). Përdorimi i mjeteve fizike për të parandaluar kryerjen e qëllimshme të një shkeljeje. Rezervimi i burimeve kritike.
Futja e agjentëve në numrin e personelit të sistemit ( përfshirë grupin administrativ përgjegjës për sigurinë), rekrutimi ( me ryshfet, shantazhe, kërcënime, etj.) përdoruesit të cilët kanë privilegje të caktuara për të hyrë në burimet e mbrojtura	Masat organizative ( përzgjedhja, vendosja dhe puna me personelin, forcimi i kontrollit dhe përgjegjësisë) Regjistrimi automatik i veprimeve të personelit.
Vjedhja e bartësve të informacionit ( printime, disqe magnetike, kaseta, pajisje ruajtëse dhe PC të plotë), vjedhja e mbetjeve industriale ( printime, regjistrime, media të hedhura, etj.)	Masat organizative ( ).
Kopjimi i paautorizuar i bartësve të informacionit, leximi i informacionit të mbetur nga memoria e aksesit të rastësishëm dhe nga pajisjet e jashtme të ruajtjes	Masat organizative ( organizimi i ruajtjes dhe përdorimit të mediave me informacione të mbrojtura) Zbatimi i mjeteve teknike për caktimin e aksesit në burimet e mbrojtura dhe regjistrimin automatik të marrjes së kopjeve të forta të dokumenteve.
Marrja e paligjshme e fjalëkalimeve dhe detaje të tjera të kontrollit të hyrjes ( fshehtë, duke përdorur neglizhencën e përdoruesve, duke përzgjedhur, duke imituar ndërfaqen e sistemit me faqeshënuesit e softverit, etj.) e ndjekur nga maskimi si një përdorues i regjistruar.	Masat organizative ( rregullimi i veprimeve, futja e ndalimeve, puna me personelin) Zbatimi i mjeteve teknike që parandalojnë zbatimin e programeve për të kapur fjalëkalime, çelësa dhe detaje të tjera.
Përdorimi i paautorizuar i AWP për përdoruesit me karakteristika unike fizike, siç janë numri i stacionit të punës në rrjet, adresa fizike, adresa në sistemin e komunikimit, njësia e kriptimit të pajisjeve, etj.	Masat organizative ( rregullimi i rreptë i aksesit në ambiente dhe pranimi për të punuar në këto AWP) Zbatimi i mjeteve fizike dhe teknike të kontrollit të hyrjes.
Modifikimi i paautorizuar i softverit - prezantimi i "faqeshënuesve" dhe "viruseve" të softuerit ( Kuaj Trojan dhe mete), domethënë seksione të tilla të programeve që nuk janë të nevojshme për zbatimin e funksioneve të deklaruara, por që lejojnë kapërcimin e sistemit të mbrojtjes, përdorimin e fshehtë dhe të paligjshëm të burimeve të sistemit në mënyrë që të regjistrohen dhe transferohen informacione të mbrojtura ose të çorganizohet funksionimi i sistemit	Masat organizative ( rregullimi i rreptë i pranimit në punë). Përdorimi i mjeteve fizike dhe teknike për diferencimin e aksesit dhe parandalimin e modifikimit të paautorizuar të konfigurimit të harduerit dhe softuerit të AWP. Zbatimi i mjeteve të kontrollit të integritetit të softuerit.
Përgjimi i të dhënave të transmetuara përmes kanaleve të komunikimit, analiza e tyre me qëllim marrjen e informacionit konfidencial dhe sqarimin e protokolleve të shkëmbimit, rregullat për hyrjen në rrjet dhe autorizimin e përdoruesve, me përpjekjet pasuese për t’i imituar ata që të depërtojnë në sistem	Mbrojtja fizike e kanaleve të komunikimit. Zbatimi i mjeteve të mbrojtjes kriptografike të informacionit të transmetuar.
Ndërhyrja në procesin e funksionimit të sistemit nga rrjetet publike me qëllim të modifikimit të paautorizuar të të dhënave, qasja në informacione konfidenciale, çorganizimi i funksionimit të nënsistemeve, etj.	Masat organizative ( rregullimi i lidhjes dhe funksionimit në rrjetet publike) Përdorimi i mjeteve speciale teknike të mbrojtjes ( muret e zjarrit, kontrollet e sigurisë dhe zbulimi i sulmeve ndaj burimeve të sistemit, etj.).

6.4. Rrjedhja e informacionit përmes kanaleve teknike

Gjatë operimit të mjeteve teknike të NPP, kanalet e mëposhtme të rrjedhjeve ose shkeljes së integritetit të informacionit, prishjes së performancës së mjeteve teknike janë të mundshme:

rrezatimi elektromagnetik anësor i një sinjali informues nga mjetet teknike dhe linjat e transmetimit të informacionit;
përgjimi i një sinjali informues të përpunuar me anë të kompjuterëve elektronikë, te telat dhe linjat që shkojnë përtej zonës së kontrolluar të zyrave, përfshirë. në qarqet e tokëzimit dhe furnizimit me energji elektrike;
pajisje të ndryshme elektronike për përgjimin e informacionit ( përfshirë "Faqeshënuesit") të lidhur me kanalet e komunikimit ose mjetet teknike të përpunimit të informacionit;
shikimin e informacionit nga ekranet e ekranit dhe mjetet e tjera të shfaqjes së tij duke përdorur mjete optike;
ndikimi në harduer ose softuer në mënyrë që të cenohet integriteti ( shkatërrim, shtrembërim) informacioni, funksionimi i mjeteve teknike, mjetet e sigurisë së informacionit dhe afatet kohore të shkëmbimit të informacionit, përfshirë elektromagnetikën, përmes mjeteve elektronike dhe softuerike të zbatuara posaçërisht ( "Faqeshënuesit").

Duke marrë parasysh specifikat e përpunimit dhe garantimin e sigurisë së informacionit, kërcënimin e rrjedhjes së informacionit konfidencial ( përfshirë të dhënat personale) përmes kanaleve teknike janë të parëndësishme për organizatën.

6.5. Modeli joformal i një ndërhyrje të mundshme

Shkelësi është personi i cili është përpjekur të kryejë operacione të ndaluara ( veprimi) gabimisht, injorancë, ose qëllimisht me keqdashje ( për interesa të dhënë) ose pa te ( për hir të lojës ose kënaqësisë, me qëllim të vetë-pohimit, etj.) dhe duke përdorur mundësi, metoda dhe mjete të ndryshme për këtë.

Sistemi i mbrojtjes së NPP duhet të bazohet në supozime rreth llojeve të mëposhtme të mundshme të shkelësve të ligjit ( duke marrë parasysh kategorinë e personave, motivimin, kualifikimet, disponueshmërinë e mjeteve speciale, etj.):

« Përdorues i papërvojë (i pavëmendshëm)»- një punonjës i cili mund të përpiqet të kryejë operacione të ndaluara, të ketë qasje në burimet e mbrojtura të AU-së mbi autoritetin e tij, të vendosë të dhëna të pasakta, etj. veprime gabimisht, paaftësi ose neglizhencë pa keqdashje dhe duke përdorur vetëm rregullisht ( në dispozicion të tij) harduer dhe softuer.
« Dashnor"- një punonjës që përpiqet të kapërcejë sistemin e mbrojtjes pa qëllime egoiste dhe qëllime dashakeqe, për vetë-konfirmim ose nga" interesi sportiv". Për të kapërcyer sistemin e mbrojtjes dhe për të kryer veprime të ndaluara, ai mund të përdorë metoda të ndryshme për marrjen e autoritetit shtesë për të hyrë në burime ( emrat, fjalëkalimet, etj. përdoruesit e tjerë), mangësitë në ndërtimin e sistemit të mbrojtjes dhe personelit në dispozicion ( instaluar në stacionin e punës) programet ( veprime të paautorizuara duke tejkaluar autoritetin e tyre për të përdorur mjete të lejuara) Përveç kësaj, ai mund të përpiqet të përdorë softuer shtesë jo-standard instrumental dhe teknologjik ( korrigjues, shërbime komunale), programe të zhvilluara në mënyrë të pavarur ose mjete standarde shtesë teknike.
« Mashtrues"- një punonjës i cili mund të përpiqet të kryejë operacione të paligjshme teknologjike, të fusë të dhëna të rreme dhe veprime të ngjashme për qëllime egoiste, nën detyrim ose nga qëllimi i keq, por duke përdorur vetëm rregullisht ( instaluar në stacionin e punës dhe në dispozicion të tij) hardware dhe softuer në emër të vet ose në emër të një punonjësi tjetër ( duke ditur emrin dhe fjalëkalimin e tij, duke përdorur mungesën e tij afatshkurtër në vendin e punës, etj.).
« Ndërhyrës i jashtëm (ndërhyrës)»- një punonjës i jashtëm ose ish-punonjës që vepron me qëllim nga interesa egoiste, nga hakmarrja ose nga kurioziteti, ndoshta në bashkëpunim me të tjerët. Ai mund të përdorë tërësinë e metodave të cenimit të sigurisë së informacionit, metodave dhe mjeteve të prishjes së sistemeve të sigurisë tipike për rrjetet publike ( posaçërisht rrjetet e bazuara në IP), duke përfshirë futjen në distancë të faqeshënuesve të softuerit dhe përdorimin e programeve speciale instrumentale dhe teknologjike, duke përdorur dobësitë ekzistuese të protokolleve të shkëmbimit dhe sistemit të mbrojtjes së nyjeve të rrjetit të AS të organizatës.
« Sulmuesi i brendshëm»- një punonjës i regjistruar si përdorues i sistemit, duke vepruar me qëllim nga interesa egoiste ose hakmarrje, ndoshta në bashkëpunim me persona që nuk janë punonjës të organizatës. Ai mund të përdorë tërësinë e metodave dhe mjeteve për prishjen e sistemit të sigurisë, përfshirë metodat e fshehta për marrjen e detajeve të hyrjes, mjetet pasive (mjetet teknike të përgjimit pa modifikuar përbërësit e sistemit), metodat dhe mjetet e ndikimit aktiv ( modifikimi i mjeteve teknike, lidhja me kanalet e transmetimit të të dhënave, futja e faqeshënuesve të softverit dhe përdorimi i programeve speciale instrumentale dhe teknologjike), si dhe një kombinim i ndikimeve si nga brenda ashtu edhe nga rrjetet publike.

Një person i brendshëm mund të jetë një person nga kategoritë e mëposhtme të personelit:

përdoruesit e regjistruar përfundimtar të AU ( punonjësit e divizioneve dhe degëve);
punëtorët që nuk lejohen të punojnë me AU;
personeli që servison mjetet teknike të termocentralit bërthamor ( inxhinierë, teknikë);
punonjësit e departamenteve të zhvillimit dhe mirëmbajtjes së softverit ( programuesit e aplikacioneve dhe sistemit);
personeli teknik që shërben për ndërtesat dhe mjediset e organizatës ( pastrues, elektricistë, hidraulikë dhe punëtorë të tjerë që kanë qasje në ndërtesa dhe ambiente ku ndodhen përbërësit e altoparlantëve);
udhëheqës të niveleve të ndryshme.

punëtorë të pushuar nga puna;
përfaqësuesit e organizatave që ndërveprojnë në çështjet e sigurimit të jetës së organizatës ( energjia, uji, furnizimi me nxehtësi, etj.);
përfaqësues të firmave që furnizojnë pajisje, softuer, shërbime, etj;
anëtarët e organizatave kriminale dhe strukturat tregtare konkurruese ose personat që veprojnë në emër të tyre;
personat të cilët aksidentalisht ose qëllimisht hynë në rrjet nga rrjetet e jashtme ( "Hakerat").

Përdoruesit dhe personeli i shërbimit nga mesi i punonjësve kanë mundësitë më të bollshme për të kryer veprime të paautorizuara, për shkak të autoritetit të tyre të caktuar për të hyrë në burime dhe njohurive të mira të teknologjisë së përpunimit të informacionit. Veprimet e këtij grupi të shkelësve kanë të bëjnë drejtpërdrejt me shkeljen e rregullave dhe rregulloreve ekzistuese. Ky grup i shkelësve është veçanërisht i rrezikshëm kur bashkëvepron me strukturat kriminale.

Punëtorët e larguar nga puna mund të përdorin njohuritë e tyre për teknologjinë e punës, masat mbrojtëse dhe të drejtat e qasjes për të arritur qëllimet.

Strukturat kriminale përfaqësojnë burimin më agresiv të kërcënimeve të jashtme. Për të zbatuar planet e tyre, këto struktura mund të shkelin hapur ligjin dhe të përfshijnë punonjësit e organizatës në aktivitetet e tyre nga të gjitha forcat dhe mjetet në dispozicion të tyre.

Hakerat kanë kualifikimet më të larta teknike dhe njohjen e dobësive të softuerit të përdorur në AU. Ato paraqesin kërcënimin më të madh kur bashkëveprojnë me punëtorë që punojnë ose janë të pushuar nga puna dhe struktura kriminale.

Organizatat e angazhuara në zhvillimin, furnizimin dhe riparimin e pajisjeve dhe sistemeve të informacionit paraqesin një kërcënim të jashtëm për shkak të faktit se kohë pas kohe ata kanë qasje të drejtpërdrejtë në burimet e informacionit. Strukturat kriminale mund t'i përdorin këto organizata për punësim të përkohshëm të anëtarëve të tyre në mënyrë që të kenë informacion të mbrojtur.

7. Politika teknike në fushën e sigurisë së informacionit

7.1 Dispozitat kryesore të politikës teknike

Zbatimi i politikës teknike në fushën e sigurisë së informacionit duhet të burojë nga premisa që është e pamundur të sigurohet niveli i kërkuar i sigurisë së informacionit jo vetëm me ndihmën e një mjeti të veçantë ( aktiviteti), por edhe duke përdorur kombinimin e tyre të thjeshtë. Koordinimi i tyre sistematik me njëri-tjetrin është i domosdoshëm ( aplikim kompleks), dhe elementet individuale të zhvilluara të AU duhet të konsiderohen si pjesë e një sistemi të unifikuar informacioni në një model të mbrojtur me një raport optimal teknik ( harduer, softver) fondet dhe masat organizative.

Drejtimet kryesore të zbatimit të politikës teknike për garantimin e sigurisë së informacionit të NPP-së është sigurimi i mbrojtjes së burimeve të informacionit nga vjedhja, humbja, rrjedhja, shkatërrimi, shtrembërimi ose falsifikimi për shkak të aksesit të paautorizuar dhe veprimeve të veçanta.

Brenda kornizës së fushave të treguara të politikës teknike për garantimin e sigurisë së informacionit, kryhen sa më poshtë:

zbatimi i një sistemi lejesh për pranimin e interpretuesve ( përdoruesit, personeli i shërbimit) te punimet, dokumentet dhe informacionet me karakter konfidencial;
kufizimin e hyrjes së interpretuesve dhe personave të paautorizuar në ndërtesat dhe mjediset ku kryhet punë me natyrë konfidenciale dhe vendosen mjetet e informatizimit dhe komunikimit mbi të cilat ( ruhet, transmetohet) informacion me natyrë konfidenciale, drejtpërdrejt në vetë mjetet e informatizimit dhe komunikimit;
diferencimi i aksesit të përdoruesve dhe personelit të shërbimit në burimet e informacionit, softuerin për përpunimin dhe mbrojtjen e informacionit në nënsistemet e niveleve dhe qëllimeve të ndryshme të përfshira në AU;
regjistrimi i dokumenteve, vargjeve të informacionit, regjistrimi i veprimeve të përdoruesve dhe personelit të shërbimit, kontrolli mbi hyrjen dhe veprimet e paautorizuara të përdoruesve, personelit të shërbimit dhe personave të paautorizuar;
parandalimin e futjes së programeve të viruseve, faqeshënuesve të softuerëve në nënsistemet e automatizuara;
mbrojtja kriptografike e informacionit të përpunuar dhe transmetuar nga teknologjia kompjuterike dhe komunikimet;
ruajtje e besueshme e mediave të ruajtjes së makinës, çelësa kriptografikë informacioni kryesor) dhe qarkullimi i tyre, duke përjashtuar vjedhjet, zëvendësimet dhe shkatërrimet;
teprica e nevojshme e mjeteve teknike dhe dublikimi i vargjeve dhe bartësve të informacionit;
zvogëlimi i nivelit dhe përmbajtjes së informacionit të emisioneve false dhe ndërhyrjeve të krijuara nga elementë të ndryshëm të nënsistemeve të automatizuar;
izolimi elektrik i furnizimit me energji elektrike, tokëzimit dhe qarqeve të tjera të objekteve të informatizimit jashtë zonës së kontrolluar;
kundërveprimi ndaj mjeteve optike dhe lazer të vëzhgimit.

7.2. Formimi i regjimit të sigurisë së informacionit

Duke marrë parasysh kërcënimet e identifikuara ndaj sigurisë së NEC, regjimi i sigurisë së informacionit duhet të formohet si një grup metodash dhe masash për të mbrojtur informacionin që qarkullon në NEC dhe infrastrukturën mbështetëse të tij nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale, duke sjellë dëmtime të pronarëve ose përdoruesve të informacionit.

Grupi i masave për formimin e një regjimi të sigurisë së informacionit përfshin:

vendosja e një regjimi organizativ dhe ligjor të sigurisë së informacionit në sistemin e automatizuar ( dokumente rregulluese, punë me personel, punë në zyrë);
zbatimi i masave organizative dhe teknike për të mbrojtur informacionin e shpërndarjes së kufizuar nga rrjedhjet përmes kanaleve teknike;
masat organizative dhe softuero-teknike për të parandaluar veprime të paautorizuara ( akses) tek burimet e informacionit të AU;
një grup masash për të kontrolluar funksionimin e mjeteve dhe sistemeve për mbrojtjen e burimeve të informacionit me shpërndarje të kufizuar pas ndikimeve aksidentale ose të qëllimshme.

8. Masat, metodat dhe mjetet e sigurisë së informacionit

8.1 Masat organizative

Masat organizative - këto janë masa organizative që rregullojnë proceset e funksionimit të NPP, përdorimin e burimeve të tyre, aktivitetet e personelit mirëmbajtës, si dhe procedurën për ndërveprimin e përdoruesve me sistemin në një mënyrë të tillë që të komplikojë ose eliminojë më së shumti mundësinë e zbatimit të kërcënimeve të sigurisë dhe të zvogëlojë sasinë e dëmtimit në rast të zbatimit të tyre.

8.1.1. Formimi i politikës së sigurisë

Qëllimi kryesor i masave organizative është të formojnë një politikë në fushën e sigurisë së informacionit, duke reflektuar qasjet për mbrojtjen e informacionit dhe të sigurojnë zbatimin e tij duke alokuar burimet e nevojshme dhe duke monitoruar gjendjen e punëve.

Nga pikëpamja praktike, politika e sigurisë së NPP duhet të ndahet në dy nivele. Niveli i sipërm përfshin vendime që ndikojnë në aktivitetet e organizatës si një e tërë. Një shembull i zgjidhjeve të tilla mund të jetë:

formimin ose rishikimin e një programi gjithëpërfshirës të sigurisë së informacionit, përcaktimin e atyre që janë përgjegjës për zbatimin e tij;
formulimi i qëllimeve, përcaktimi i qëllimeve, përcaktimi i fushave të veprimtarisë në fushën e sigurisë së informacionit;
marrja e vendimeve për zbatimin e programit të sigurisë, të cilat konsiderohen në nivelin e organizatës në tërësi;
sigurimi i rregullatorit ( ligjore) një bazë të dhënash të pyetjeve të sigurisë, etj.

Politika e nivelit më të ulët përcakton procedurat dhe rregullat për arritjen e qëllimeve dhe zgjidhjen e problemeve të sigurisë së informacionit dhe detajon (rregullon) këto rregulla:

cili është qëllimi i politikës së sigurisë së informacionit;
cilat janë rolet dhe përgjegjësitë e zyrtarëve përgjegjës për zbatimin e politikës së sigurisë së informacionit;
kush ka të drejtë të ketë qasje në informacion të kufizuar;
kush dhe në çfarë kushtesh mund të lexojë dhe modifikojë informacionin, etj.

Politika e nivelit më të ulët duhet:

parashikojnë rregullimin e marrëdhënieve të informacionit, duke përjashtuar mundësinë e veprimeve arbitrare, monopole ose të paautorizuara në lidhje me burimet e informacionit konfidencial;
të përcaktojë parimet dhe metodat koalicionale dhe hierarkike për ndarjen e sekreteve dhe caktimin e qasjes në informacion me shpërndarje të kufizuar;
zgjidhni mjete softuerike dhe harduerike të mbrojtjes kriptografike, kundërveprimit ndaj ndërhyrjeve, vërtetimit, autorizimit, identifikimit dhe mekanizmave të tjerë mbrojtës që ofrojnë garanci për zbatimin e të drejtave dhe përgjegjësive të subjekteve të marrëdhënieve të informacionit.

8.1.2. Rregullimi i aksesit në mjetet teknike

Funksionimi i stacioneve të sigurta të automatizuara të punës dhe serverat e Bankës duhet të kryhen në dhoma të pajisura me brava automatike të besueshme, alarme dhe të ruhen ose monitorohen vazhdimisht, duke përjashtuar mundësinë e hyrjes së pakontrolluar në mjediset e personave të paautorizuar dhe sigurimin e sigurisë fizike të burimeve të mbrojtura të vendosura në ambientet ( AWP, dokumentet, detajet e hyrjes, etj.) Vendosja dhe instalimi i mjeteve teknike të AWP-ve të tilla duhet të përjashtojë mundësinë e shikimit vizual të inputit ( i tërhequr) informacion nga persona që nuk kanë lidhje me të. Pastrimi i ambienteve me pajisje të instaluara në to duhet të kryhet në prani të personit përgjegjës, të cilit i janë caktuar këto mjete teknike, ose personit në detyrë për njësinë, në përputhje me masat që përjashtojnë hyrjen e paautorizuar në burimet e mbrojtura.

Gjatë përpunimit të informacionit të kufizuar, vetëm personeli i autorizuar për të punuar me këtë informacion duhet të jetë i pranishëm në ambiente.

Në fund të ditës së punës, mjediset me AWP të mbrojtura të instaluara duhet të vendosen nën siguri.

Për ruajtjen e dokumenteve të zyrës dhe medias së makinës me informacion të mbrojtur, punonjësit pajisen me dollapë metalikë, si dhe mjete për shkatërrimin e dokumenteve.

Mjetet teknike që përdoren për të përpunuar ose ruajtur informacione konfidenciale duhet të vulosen.

8.1.3. Rregullorja e pranimit të punonjësve në përdorimin e burimeve të informacionit

Brenda kornizës së sistemit të lejimit të lejimit, përcaktohet: kush, kujt, çfarë informacioni dhe për çfarë lloji të hyrjes mund të sigurohet dhe në çfarë kushtesh; një sistem i kontrollit të hyrjes, i cili përfshin përkufizimin për të gjithë përdoruesit e informacionit dhe burimeve të softuerit të AU në dispozicion të tyre për operacione specifike ( lexoni, shkruani, modifikoni, fshini, ekzekutoni) duke përdorur mjetet e specifikuara të hyrjes në softver dhe harduer.

Pranimi i punëtorëve për të punuar me AU dhe qasja në burimet e tyre duhet të rregullohen në mënyrë rigoroze. Çdo ndryshim në përbërjen dhe kompetencat e përdoruesve të nënsistemeve të AU duhet të bëhet në përputhje me procedurën e përcaktuar.

Përdoruesit kryesorë të informacionit në AU janë punonjësit e ndarjeve strukturore të organizatës. Niveli i autoritetit për secilin përdorues përcaktohet individualisht, duke respektuar kërkesat e mëposhtme:

informacioni i hapur dhe konfidencial vendoset, kur është e mundur, në servera të ndryshëm;
secili punonjës përdor vetëm të drejtat e përcaktuara për të në lidhje me informacionin me të cilin ai ka nevojë të punojë në përputhje me detyrat e tij të punës;
shefi ka të drejtë të shikojë informacionin e vartësve të tij;
operacionet më kritike teknologjike duhet të kryhen sipas rregullit "Në dy duar" - korrektësia e informacionit të futur konfirmohet nga një zyrtar tjetër i cili nuk ka të drejtë të fusë informacion.

Të gjithë punonjësit e pranuar për të punuar në NPP dhe personeli i mirëmbajtjes së NPP duhet të jenë personalisht përgjegjës për shkeljet e procedurës së përcaktuar për përpunimin e automatizuar të informacionit, rregullat për ruajtjen, përdorimin dhe transferimin e burimeve të mbrojtura të sistemit në dispozicion të tyre. Gjatë punësimit, secili punonjës duhet të nënshkruajë një zotim për pajtueshmërinë me kërkesat për ruajtjen e informacionit konfidencial dhe përgjegjësinë për shkeljen e tyre, si dhe për pajtueshmërinë me rregullat për të punuar me informacionin e mbrojtur në AU.

Përpunimi i informacionit të mbrojtur në nënsistemet e AU duhet të kryhet në përputhje me udhëzimet teknologjike të miratuara ( urdhërat) për këto nënsisteme.

Për përdoruesit, stacionet e mbrojtura të punës, duhet të zhvillohen udhëzimet e nevojshme teknologjike, duke përfshirë kërkesat për sigurimin e sigurisë së informacionit.

8.1.4. Rregullimi i proceseve të mirëmbajtjes së bazës së të dhënave dhe modifikimi i burimeve të informacionit

Të gjitha operacionet për mirëmbajtjen e bazave të të dhënave në AU dhe pranimin e punëtorëve për të punuar me këto baza të të dhënave duhet të rregullohen në mënyrë rigoroze. Çdo ndryshim në përbërjen dhe autoritetin e përdoruesve të bazave të të dhënave të AU duhet të bëhet në përputhje me procedurën e përcaktuar.

Shpërndarja e emrave, krijimi i fjalëkalimeve, mirëmbajtja e rregullave për diferencimin e qasjes në bazat e të dhënave u caktohet punonjësve të Departamentit të Teknologjisë së Informacionit. Në këtë rast, mund të përdoren të dy mjetet standarde dhe ato shtesë për të mbrojtur DBMS dhe sistemet operative.

8.1.5. Rregullimi i proceseve të mirëmbajtjes dhe modifikimi i burimeve harduerike dhe softuerike

Burimet e sistemit për tu mbrojtur ( detyrat, programet, AWP) i nënshtrohen kontabilitetit të rreptë ( bazuar në përdorimin e formave të përshtatshme ose bazave të të dhënave të specializuara).

Konfigurimi i harduerit dhe softuerit i stacioneve të punës ku përpunohet informacioni i mbrojtur ose nga i cili është e mundur hyrja në burimet e mbrojtura duhet të korrespondojë me gamën e detyrave funksionale të caktuara për përdoruesit e këtij AWP. Të gjitha pajisjet e pashfrytëzuara (të panevojshme) të informacionit hyrës-dalës ( COM, USB, portat LPT, disqet me floppy disk, CD dhe mjetet e tjera të ruajtjes) në AWP të tilla duhet të çaktivizohen (fshihen), mjetet e panevojshme të softuerit dhe të dhënat nga disqet AWS duhet gjithashtu të fshihen.

Për të thjeshtuar mirëmbajtjen, mirëmbajtjen dhe organizimin e mbrojtjes, stacionet e punës duhet të pajisen me softuer dhe të konfigurohen në një mënyrë të unifikuar ( në përputhje me rregullat e përcaktuara).

Komisionimi i AWP-ve të reja dhe të gjitha ndryshimet në konfigurimin e harduerit dhe softuerit, AWP-të ekzistuese në AS të organizatës duhet të kryhen vetëm në rendin e përcaktuar.

Të gjithë softuerin ( zhvilluar nga specialistët e organizatës, të marra ose të marra nga prodhuesit) duhet të testohet në mënyrën e përcaktuar dhe të transferohet te depozituesi i programeve të organizatës. Në nënsistemet e AU, vetëm softueri i marrë nga depozitari duhet të instalohet dhe përdoret. Përdorimi i softuerit në AC që nuk është përfshirë në depozitimin e softuerit duhet të ndalohet.

Zhvillimi i softuerit, testimi i softuerit të zhvilluar dhe të blerë, transferimi i softuerit në punë duhet të kryhet në përputhje me procedurën e përcaktuar.

8.1.6. Trajnimi dhe edukimi i përdoruesve

Para se të sigurojnë qasje në AU, përdoruesit e saj, si dhe personeli i menaxhimit dhe mirëmbajtjes, duhet të jenë të njohur me listën e informacionit konfidencial dhe nivelin e autoritetit të tyre, si dhe dokumentacionin organizativ dhe administrativ, rregullator, teknik dhe operacional që përcakton kërkesat dhe procedurën për përpunimin e këtij informacioni.

Mbrojtja e informacionit në të gjitha fushat e mësipërme është e mundur vetëm pasi përdoruesit të kenë zhvilluar një disiplinë të caktuar, d.m.th. norma që janë detyruese për këdo që punon në AU. Këto rregulla përfshijnë ndalimin e çdo veprimi të qëllimshëm ose të paqëllimtë që prishin funksionimin normal të AU, shkaktojnë kosto shtesë të burimeve, cenojnë integritetin e informacionit të ruajtur dhe të përpunuar, cenojnë interesat e përdoruesve të ligjshëm.

Të gjithë punonjësit që përdorin nënsisteme specifike të NPP gjatë punës së tyre duhet të jenë të njohur me dokumentet organizative dhe administrative për mbrojtjen e termocentralit në pjesën që lidhet me ta, ata duhet të dinë dhe të ndjekin me përpikëri udhëzimet teknologjike dhe detyrat e përgjithshme për të garantuar sigurinë e informacionit. Sjellja e kërkesave të këtyre dokumenteve te personat e pranuar në përpunimin e informacionit të mbrojtur duhet të kryhet nga drejtuesit e departamenteve kundër nënshkrimit të tyre.

8.1.7. Përgjegjësia për shkeljen e kërkesave të sigurisë së informacionit

Për çdo shkelje serioze të kërkesave të sigurisë së informacionit nga punonjësit e organizatës, duhet të kryhet një hetim zyrtar. Masat e duhura duhet të merren ndaj atyre që janë përgjegjës. Masa e përgjegjësisë së personelit për veprimet e kryera në kundërshtim me rregullat e vendosura për sigurimin e përpunimit të sigurt të automatizuar të informacionit duhet të përcaktohet nga dëmi i shkaktuar, prania e qëllimit të keq dhe faktorë të tjerë.

Për të zbatuar parimin e përgjegjësisë personale të përdoruesve për veprimet e tyre, është e nevojshme:

identifikimin individual të përdoruesve dhe proceset e iniciuara prej tyre, d.m.th. krijimin e një identifikuesi për ta, mbi bazën e të cilit do të kryhet kontrolli i hyrjes në përputhje me parimin e vlefshmërisë së hyrjes;
vërtetimi i përdoruesit ( vërtetimi) bazuar në fjalëkalime, çelësa mbi një bazë tjetër fizike, etj;
check in ( prerjet) funksionimi i mekanizmave për kontrollimin e qasjes në burimet e sistemit të informacionit, duke treguar datën dhe kohën, identifikuesit e burimeve kërkuese dhe të kërkuara, llojin e ndërveprimit dhe rezultatin e tij;
reagimi ndaj përpjekjeve të hyrjes së paautorizuar ( alarmi, bllokimi, etj.).

8.2 Mjetet teknike të mbrojtjes

Teknike ( hardware dhe softuer) mjete mbrojtëse - pajisje të ndryshme elektronike dhe programe speciale që janë pjesë e AU dhe kryejnë (në mënyrë të pavarur ose në kombinim me mjete të tjera) funksione mbrojtëse ( identifikimi dhe vërtetimi i përdoruesve, diferencimi i qasjes në burime, regjistrimi i ngjarjeve, mbrojtja kriptografike e informacionit, etj.).

{!LANG-623d677b64cbf7f799ddfd3cdf3d3353!}

{!LANG-5fdae6bdea44185a6617d3d94b2cf715!} {!LANG-6404d9243c4dfa5d70385bbdd8dbb657!}{!LANG-e72e02a8d73c0d85b83849d4e82db416!}
{!LANG-1b94d1a3e2f481a54996ff4f2a4c35dd!}
{!LANG-0d58667d04c576c05a1e969f2bea7209!}
{!LANG-3c5916c6a602bda0b14856cb5139168a!}
{!LANG-fb4539faaa0d730e70f7d7c6f8530557!}
{!LANG-b027a900a7007daad44a23e8fd4f8d4c!}
{!LANG-b2a9da8e4cc235c6efbcd1c88ff7b9ab!}
{!LANG-643f570e4cef8a71a0d7c82487e8d686!}
{!LANG-b4cf088cf55934bdf79d284a45b8392a!}

{!LANG-37d70795f2b9a117777751dbc39beada!}

{!LANG-963bfc6f9d8a3e8472cc7b670585e971!} {!LANG-3a39ab488beb04f912404d93a4fb2850!});
{!LANG-9633dec942c196942fb9437dbbf62dac!} {!LANG-143a1fb69a8dd20775dede3c8ae2c68e!});
{!LANG-0127bf9bcbeef7ba12ba5c28eba2970f!}
{!LANG-97336d1a680cf7be5e28099293c4a20c!}
{!LANG-bbe145b7a92b27024d3194f17ec3f893!}
{!LANG-ce4e22329b7b6d78c20fcc937b199a27!}
{!LANG-05b13693096a845a5eb0d18baa4b296e!}
{!LANG-4f6728b61f2f1f7c4fa53c1de928a429!}
{!LANG-4cdb897eea0a144c3b078357d3e449b7!}
{!LANG-c5e5f7abe61c1f0c975c2d1525bf52cf!}
{!LANG-8c06411f0d2e83dc65513b7a0da76a12!}
{!LANG-230ddca7125337de218091a115d290f3!} {!LANG-f769bcc8b1eb3909c86f293fd4df9fe2!}{!LANG-9550c24af072a745149452c59771863a!}

{!LANG-dfdc45988b598eb2303359c4af807e9d!}

{!LANG-ccbca87e33e78ac04007c301b6f97ecb!}
{!LANG-2f43a4cca35abeb7999b7ec730cab307!} {!LANG-2a552fcb66ec8cef4ff85c885eeeaabb!}{!LANG-a31e8833a351ff8a7b5cf0b9616f85a5!}
{!LANG-1c364d2cc68ad9fd5ef8c1242556e501!} {!LANG-18d9dfbd6a926d30470f4decb2b57dd9!}{!LANG-d748b862e2cd097dcd1f1c1628d1a4f5!}
{!LANG-4d87be67d3b9d9da72bf231227f3afd1!}
{!LANG-12debea5d08dcafd26abe88ed039d6f0!}
{!LANG-f7b7b5ecb7dcfa2c6af15a1518fa0111!} {!LANG-e92e9e95eed644ebecb5805af9bac097!}{!LANG-2cfe5445783ba78cdb72b09bbbd6e03a!} {!LANG-97df4648f8eea7fa047dd91ca5934738!});
{!LANG-7b445debfe4c00b0f3af23040e34775e!}

{!LANG-b34d7461c22a6dd3bef69deec9713e6f!}

{!LANG-d4fdb3ed1e322bab12634afdec735841!} {!LANG-ddbed01398b240d69e4edbfb39fd677c!}{!LANG-00884dc372e2064713aef5b8d893b4cc!}

{!LANG-e847f4f85dee0f517da041ef56be9b40!} {!LANG-ce5affe5a723f48425690ce74d5ad345!}{!LANG-67e65fd011e7572c166d3ab52fe6a37a!}

{!LANG-9bb2a17b0e305e3c637140cc776978ef!}

{!LANG-357fb277580cc9e9c8f740a1bc0b34a0!}

{!LANG-6f95b874bc32a8080db88a9ace8d752c!}
{!LANG-1c8b873e99ada7ba01189d31dc124ec6!}
{!LANG-b8d8e811d6615a5713ee14f822cefaff!} {!LANG-2afb607d52e5783cc497c039d7a8ad84!}{!LANG-4c7175a062298c3817353959792c0694!}

{!LANG-46a4fe81888be8d74bf1df9867ea2239!}

{!LANG-1a9a399e43ef877da7aef6a524b3d427!}

{!LANG-bf5a2f62ff9193448521baa7caa87af2!}
{!LANG-d89476286323966275dfe68d4c527275!}
{!LANG-be615ada6f721cd8d2caf575c77ab83d!} {!LANG-6123b6b2f82eebdc9cdca98a7c336afa!});
{!LANG-9ccd66fddacb2abd83f5ed90ca68b0dd!} {!LANG-18bf792e248c24291abf9532647fe6e3!});
{!LANG-54a307d873de6c122820250969fa8c7b!} {!LANG-147baa03e58f0d6e34f9c543bc19f776!});
{!LANG-339e9eadd5cdbec48961b60007a8c1c0!} {!LANG-1a6a4503e1bf846315d49d2facdcdee2!});
{!LANG-544b7b48db7b9650ec5abecf7c5a1355!}

{!LANG-89aba3032db2e5bf08755b81ae88fcec!}

{!LANG-bdbe5fb4433c7c28b402d992027c4762!}

{!LANG-5ac0d284a612c5d5f95db991bcd7626a!}
{!LANG-d8f41a90d3bc1c271e47d37bc707b783!}
{!LANG-54bfa94e5091626ba8a8f75543e9036b!} {!LANG-ab206dde6fa325c507886161b2f1cdb0!});
{!LANG-8664360f7065ea6201454e85c8114e53!} {!LANG-21de6ac87ca47ef89058c1fbecb68b27!}).

{!LANG-4c0f492af16f1935288619c6fd18ad49!}

{!LANG-758453d17f26387bccd840c38aa8a277!}
{!LANG-d9a83fdbede5085f9650d8da1fc6a42a!}
{!LANG-8c848e5ee329437a2eb48fe140697040!}
{!LANG-ceb729280fd4014287e4138b12eb2c6d!}
{!LANG-6a46b30a8c028b48d12d42b05400b8f1!}
{!LANG-a202a4ce8149793c8cca818a50aa4929!}

{!LANG-452b3b1088729733cfc0927f3f676ffe!}

{!LANG-5e28d4e876a165370f32f6e890514cf7!} {!LANG-db79500c09868de695f4c02647bf1050!}{!LANG-c52f1edc79eb8e4c24e33231ce6454fe!}

{!LANG-5e8ae47ffb89606aad13b246ae1307ff!}
{!LANG-ffd6c30edd62d16e53a038a43ffb7421!}
{!LANG-a8a813da238fc7b26c6ac94d70bd2ca2!}
{!LANG-98fa128cffad4200ec4e65097b516c62!}

{!LANG-162c0aafc02ccf4b3fc9e96415cfe0bb!}

{!LANG-e7808ca6f6507cf8fbfbe1bb153b2eed!}
{!LANG-0a94f12667a8e58c762b79e1c561d96a!} {!LANG-715e83e9456d49e18554c3f81ed6e143!}{!LANG-7ed1dbf5e8ac5c9680c8ca20c7a62d77!}
{!LANG-9c000138e0cd1035e0173991cff05bbd!} {!LANG-ff9a82035a494ec93373b6cc707523b4!}).

{!LANG-ebf360e0d088aa0643660e3e48d0a53f!}

{!LANG-e953bc8f17d5ab2339be9878c4ca6bf1!}
{!LANG-5b63bc6fe92e82751ce84a6c84d3950b!}
{!LANG-574cefa17da924c84758a0dfe51ae2b1!} {!LANG-39ee379465e0ed43ffebfb638fb5680b!});
{!LANG-2ec830f4c38a4d730110b45d394b252c!}
{!LANG-908c10db0d635e6bb5e7c0baa59f1adf!}
{!LANG-2f8e7ee891d80cd0b99aa7d7934b8cf4!}
{!LANG-cf92bad5f2f318ea9bbabf7aaa104cbb!}
{!LANG-68e9faf342c400579a7ed9b07e1f818b!}
{!LANG-f5ce1bb6cbfddc6b90a8931e2a1b4ba2!}
{!LANG-545dde5a117645fd6692033e56dded76!}
{!LANG-377143a4cc347d8344522b5ff8bda6e2!}

{!LANG-1297f660b07901a21d7ca40fe12de5cf!} {!LANG-fe4ea2714cf2ad352a7a7667aca215fe!}):

{!LANG-fcd030f7f838f5adec218203f333d677!}
{!LANG-452b811a0d680dc9f1f437a6b79537ad!} {!LANG-f8614a28c5efc2eb3562e34779005165!}{!LANG-607cd5456e66f3c807f5883588f62dbe!}
{!LANG-aeb7bece6e57ee49563953e016d2e660!}
{!LANG-a454a2b191a08b67101aff6393637e75!} {!LANG-814b2f4be58bc80d181e59c8b6ed5d4c!}{!LANG-bf353b4d5d44b7ff9cb435a5f59480f8!}
{!LANG-398b31a6fe6fe2ba1125617d2cc512c8!}
{!LANG-46653b904828115a8c81b161959efa05!}

{!LANG-8bd3074f452dbcbc8f0e6850e0f9f59f!}

{!LANG-87b149535c564231f3b30b7c96885609!}

{!LANG-5f6cf06933eb77bab0c8eebd8129b788!}

{!LANG-fadf7c753e7195b504e5839d14086c7f!}

{!LANG-5b9ad607aa145315d174b9cf3b801c70!}

{!LANG-212e3aa38a47feee4d7dd514fac05ac2!}

{!LANG-65c8a634d5a8b45007b85ce06295b1db!}

{!LANG-0113b5ee9ecde04ece14ad736ceb06a0!} {!LANG-720b04e4571692f9cfe91ddcd11fb152!}{!LANG-cc0f22513af68b7f1131d56fa5610212!}

{!LANG-911171e567761477f1885b241c44e88d!}

{!LANG-41c202d21c5610d719d01db1148e8e8e!}

{!LANG-0027d84339cbe7e9a2ede22a94e38650!}

{!LANG-c7289e390169e87d44176fb606420e15!}

{!LANG-d4665326ef9c9c34e7699a3a0e103647!} {!LANG-9960371baf6f3e70f7e75da0ecea0e4e!}{!LANG-4008f1750a64bf340bb720ed9cf2dc55!}

{!LANG-91637c2241554ad87da80e6924ef26c1!}

{!LANG-0a2d404eccaa42c55315d09cde0ba499!}

{!LANG-51a009dbcda31661d8c765efd2e7fa92!}

{!LANG-64893ab20f2f97ced1a61d86060c73c5!}

{!LANG-92dbb51ac2b0351623a6a7d8e9784edb!}

{!LANG-f89dd5863e888aff4e6fe97660c93d13!}

{!LANG-1308f21b51ae5098e351d89421ed74c8!}

Për të dhënat personale {!LANG-f5eea0cb87844259fefc4249b1ebd6d3!}
{!LANG-e47eaccf637b83083543c10792a978ef!} Për të dhënat personale {!LANG-633b2ae20de287ed5ac643800538c49e!}
{!LANG-7e5113b4bfbc3b3e5ea6905b245e95bd!}
{!LANG-e47eaccf637b83083543c10792a978ef!} Për të dhënat personale {!LANG-762e41af31930f87a24fcc6673806661!}

{!LANG-2e73690aec987cf2f72634541728f0a0!}

{!LANG-ab8b75ba2648681378db50438a07db85!}

{!LANG-13a42eec4fce5416f3c43e47bb52b1ac!}
{!LANG-e0625b430df3ff635523c2b5e98adc4c!}
{!LANG-400422570a408fc302eadf313e15f547!}
{!LANG-8c2a15f181a7b2f2f7b1c0ebcbf29f4a!}

{!LANG-5ceb81634ad1dadf48314fbb4da19afc!}

{!LANG-ebbba4cafdf2e3c213776a0e3b8b7f30!} {!LANG-78e14da64c353ee9c1adcb11a0885bfb!});
{!LANG-f9a0d6c1c5b5d9a294215eae0227c1d2!} {!LANG-fb354db6683e1421caf8df22f4ee1a0c!}{!LANG-ad4ff2d934790a34a76b2084d496c023!}
{!LANG-25305770177a1f61a9da65f319e7bf44!}
{!LANG-d9284eeec55103ba8fdad3c2c354c605!} {!LANG-cbf79e60d84c0d495eb227405fa10fea!}{!LANG-674a1f4839e15a4422c622fbb5c0f966!} me tutje - {!LANG-d1234565be681440c402f9914e0ccb4b!} );
{!LANG-f41906da328f70ee503a9504d694db00!}

{!LANG-24a33ae49dbc38c494c4d11ae3085313!}

{!LANG-d4b3fa8cad131d7a55fd006d64c6ade0!}
{!LANG-61aa8d79260e92efb24061d2a06a32e8!}
{!LANG-c21ea4bcbffc2b20f8dc7039b8425319!}

{!LANG-1b3115dcb08a8b05b814224c9661ebfb!}

{!LANG-e131a037de9d6a597a1701b3b5402f55!}

{!LANG-e472a040ec3216361b8cea905f5b8ed4!} {!LANG-657c96b509aa9e4d9e59eae16a01a45f!}{!LANG-8a9d48c2abf2e5506f42ae8c21b8ab96!}

{!LANG-cd1debc402f79a3bfabd0b1fc34c0621!} {!LANG-d7aa7ac97ffebf30e04be7eca03ae53e!}{!LANG-62116810a74e34b12941c216e39674a3!}

{!LANG-ad2c15dcc8f986d04edc9b02ace970c6!}

{!LANG-668d7ec4cbfef0cd5738c4196e6cab4e!}

{!LANG-4ba1127ea1974a77b2ec53dae04f410a!}

{!LANG-700d88f24329eec8175468000fe244a2!}

{!LANG-5fd7525bdb55854df3ffe341a8f9bfbc!} {!LANG-d0e9677a40ea3558d26490fea6ff76e1!}{!LANG-c857ce80833254023df083f615148744!}

{!LANG-1419bf6ea56f5b62e7b86a9da4c5fb63!} {!LANG-f62f4e9a1e6ba5309ddca4b601b59396!}{!LANG-0a8068fb90a061536530a138767bea1d!}

{!LANG-9961f9c785828e6c70abbeb4ee38f2d8!} {!LANG-665b4e24b99566ad0c59207c17d768ae!}{!LANG-d4f8cb5413e20c9801b1b14cc3f02fa1!}

{!LANG-a74298ffb6bc94134dfd14a05ed7e570!} {!LANG-b9e993028abc39c0905cd632f951490b!}):

{!LANG-2d77a16bef1592c19b321b01df5bc4cd!}
{!LANG-6068dd540101586bd1cc65f6b5b80c79!} {!LANG-45aa87ed5bdd53db32c734688c31c045!}{!LANG-9ef72d63feda5311dfe72e7a197ca4f0!}
{!LANG-bc8d4e4d1bf65031bf6d1799112550cd!}
{!LANG-738eb03c6eca0d99d3e2933fada41cb0!} {!LANG-9e7a11d91566f76537773377c259d3c0!});
{!LANG-5892e5a757b6ee52d2b66a5d4d2058da!}

{!LANG-fb5bfcff05dbcf3a73aa7183c760582e!}

{!LANG-1b7507b68dd65d685ad91bb0da43091a!} {!LANG-9051c0e1f4d18b8a364c49e6984ea6b7!}{!LANG-ab3e58288bb23d540a4ff1c29dde2a4b!} {!LANG-9051c0e1f4d18b8a364c49e6984ea6b7!}{!LANG-7f918febbef6af9ec01c1a0c8ed0e2a3!}

{!LANG-08e14d75c73d1d1f36cf56806c529d97!} {!LANG-657c96b509aa9e4d9e59eae16a01a45f!}{!LANG-d1e7d5cdaab56b1e4183563e78e4fedc!} {!LANG-b52b46ca85edd6979d114600dd09b602!}{!LANG-ef929869215a4e4ac0f9d928ee33b1a9!} {!LANG-657c96b509aa9e4d9e59eae16a01a45f!}{!LANG-d1e7d5cdaab56b1e4183563e78e4fedc!} {!LANG-b52b46ca85edd6979d114600dd09b602!}{!LANG-1e1d2381ec852651502a6ec8d14952c5!} {!LANG-74e4d2f519360407a4b3c78a73eb04a6!}{!LANG-f66e628ebe09a4af212f685de390427c!} {!LANG-f453abbf305c5b1ce20903a2107f7f11!}{!LANG-26134c5bc5f86dc4c0c73fd17003051b!} {!LANG-9f22c63c00d76557580cca68095f8cba!} {!LANG-46b2e5596dd4f88799e1e333eeca3830!}{!LANG-e48661cba08c47d0337ef319508526ff!} {!LANG-9674db40bf14de4914f4788f565d8d6a!} {!LANG-3a62741031bdd309156e44f4283a512a!}

{!LANG-62b10f94f9535b3eade2d7683b48a5ef!}

{!LANG-9c7e1b8d34990183b33bcf123a978cf7!}

{!LANG-04f1ab5995adadb925db789c19625ef6!}