Хувь хүний ​​аюулгүй байдлын заналхийллийн үндсэн загвар. Хувийн мэдээллийн аюулгүй байдлын аюул заналхийллийн загвар

тэдгээрийг хувийн мэдээллийн мэдээллийн системд боловсруулах үед

1. Ерөнхий заалт

___________ дахь "SKUD" хувийн мэдээллийн мэдээллийн системд (цаашид ISPD гэх) боловсруулах явцад хувийн мэдээллийн аюулгүй байдалд заналхийлэх энэхүү хувийн загварыг дараахь үндсэн дээр боловсруулсан болно.

1) 2008 оны 2-р сарын 15-ны өдөр ОХУ-ын FSTEC-ийн дэд захирлын баталсан "Хувийн мэдээллийн мэдээллийн системд боловсруулах явцад хувийн мэдээллийн аюулгүй байдлын аюул заналхийллийн үндсэн загвар";

2) 2008 оны 2-р сарын 14-ний өдөр ОХУ-ын FSTEC-ийн дэд захирлын баталсан "Хувийн мэдээллийн мэдээллийн системд боловсруулах явцад хувийн мэдээллийн аюулгүй байдалд заналхийлж буй бодит аюулыг тодорхойлох арга";

3) ГОСТ Р 51275-2006 "Мэдээллийн аюулгүй байдал. Мэдээлэлд нөлөөлөх хүчин зүйлүүд. Ерөнхий заалтууд».

Энэхүү загвар нь "SKUD" хувийн мэдээллийн мэдээллийн системд боловсруулсан хувийн мэдээллийн аюулгүй байдалд заналхийлж буй аюулыг тодорхойлдог.

2. ispdn-д боловсруулсан хувийн мэдээлэлд аюул учруулж болзошгүй аюулын жагсаалт

ISPD-д боловсруулах явцад хувийн мэдээллийг (цаашид ТТ гэх) учирч болзошгүй аюул нь:

техникийн сувгаар мэдээлэл алдагдах аюул;

бие махбодийн аюул занал;

зөвшөөрөлгүй нэвтрэх аюул;

боловсон хүчний заналхийлэл.

1. ispdn-д боловсруулалт хийх үед хувийн мэдээлэлд учирч буй аюулгүй байдлын бодит аюулыг тодорхойлох

3.1. ispDn-ийн аюулгүй байдлын анхны түвшинг тодорхойлох

ISPD-ийн анхны аюулгүй байдлын түвшинг 2-р сард батлагдсан "Хувийн мэдээллийн мэдээллийн системд боловсруулах явцад хувийн мэдээллийн аюулгүй байдалд заналхийлж буй бодит аюулыг тодорхойлох аргачлал" (цаашид Арга зүй гэх) -ийн дагуу шинжээчийн аргаар тодорхойлно. 2008 оны 14-нд ОХУ-ын FSTEC-ийн дэд захирал. Аюулгүй байдлын анхны шинжилгээний үр дүнг 1-р хүснэгтэд үзүүлэв.

Хүснэгт 1. Хамгаалалтын анхны түвшин

ISPD-ийн техникийн болон үйл ажиллагааны шинж чанарууд	Аюулгүй байдлын түвшин
	Өндөр	Дундаж	Богино
1. Нутаг дэвсгэрээрбайр
Орон нутгийн ISPD нь нэг барилгад байрладаг
2. Нийтийн сүлжээнд холбогдсоноор
Олон нийтийн сүлжээнээс биет байдлаар тусгаарлагдсан ISPD.
3. PD мэдээллийн сангийн бүртгэлтэй суурилагдсан (хууль ёсны) үйлдлийн хувьд
Унших, бичих, устгах
4. PD-д нэвтрэх эрхийг хязгаарлах замаар
ISPD, ISPD-ийг эзэмшдэг байгууллагын ажилчдын тодорхой жагсаалтад хандах эрхтэй эсвэл PD-ийн сэдэв
5. Бусад ISPD-ийн бусад PD мэдээллийн сантай холболт байгаа эсэх
Энэ ISPD-ийн эзэмшигч байгууллагын эзэмшдэг нэг PD мэдээллийн санг ашигладаг ISPD
6. Хувийн мэдээллийг нэгтгэх (хувь хүнгүй болгох) түвшингээр
ISPD, үүнд хэрэглэгчдэд өгсөн өгөгдөл нь нууцлагдаагүй (өөрөөр хэлбэл PD-ийн сэдвийг тодорхойлох боломжийг танд олгодог мэдээлэл байдаг)
7. PD-ийн эзлэхүүнээр, альУрьдчилсан боловсруулалтгүйгээр гуравдагч талын ISPD хэрэглэгчдэд олгосон
ISPD нь PD-ийн нэг хэсгийг хангадаг
ISPD-ийн онцлог

Тиймээс ISPD байна дундаж (Ю 1 =5 ) ISPD-ийн шинж чанаруудын 70 гаруй хувь нь хамгийн багадаа "дунд" түвшний аюулгүй байдлын түвшинтэй тохирч байгаа тул ISPD-ийн шинж чанаруудын 70-аас бага хувь нь "өндөр" түвшинд тохирч байгаа тул эхний аюулгүй байдлын түвшин.

UDC 004.056

I.V. Бондарь

АВТОМАТЖИЛСАН СИСТЕМИЙН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН АЮУЛТАЙ ЗАГВАР БАРИХ АРГА ЗҮЙ*

Мэдээллийн аюулгүй байдлын заналхийллийн загварыг бий болгох арга техникийг авч үзсэн. Загварын зорилго нь аюулгүй байдлын түвшинг хянах явдал юм мэдээллийн системэрсдэлд дүн шинжилгээ хийх аргууд, болзошгүй аюулыг зохих хамгаалалтын арга хэмжээгээр саармагжуулах мэдээллийн аюулгүй байдлын үр дүнтэй системийг хөгжүүлэх.

Түлхүүр үгсТүлхүүр үгс: аюул заналын загвар, мэдээллийн систем, мэдээллийн аюулгүй байдлын системийн загвар.

Одоогийн байдлаар нэгдсэн арга барилын хүрээнд зохицуулалтын болон арга зүйн баримт бичгийн шаардлагад нийцүүлэн аюулгүй дизайн дахь автоматжуулсан системийг зохион бүтээх асуудлыг шийдвэрлэх, жагсаалтыг автоматаар гаргах боломжийг олгодог аргачлалыг боловсруулах нь онцгой ач холбогдолтой юм. хамгаалалтын арга хэмжээ авах, энэ жагсаалтад тохирох мэдээллийн аюулгүй байдлын оновчтой хэрэгслүүдийг (ISP) хайх.

хангах үндсэн ажлын нэг мэдээллийн нууцлалЭдгээр нь мэдээллийн аюулгүй байдлын системийн оновчтой бүрэлдэхүүнийг зөвтгөх боломжийг олгодог аюулын жагсаалт, бодит аюулын нөлөөллийн эрсдлийн үнэлгээний тодорхойлолт юм. Хэдийгээр энэ төрлийн ажлууд аль хэдийн шийдэгдэж байгаа (жишээлбэл, үзнэ үү), үүнд нэгдсэн аргачлалын хүрээнд бүгд хязгаарлагдахгүй бөгөөд тодорхой асуудлыг шийдвэрлэхэд тохиромжтой аюулын загварыг бий болгоход чиглэгддэг. Аюул заналхийллийн загваруудыг төсөөлөх оролдлого ховор байдгийг би онцгойлон тэмдэглэхийг хүсч байна.

Энэхүү нийтлэлд геометрийн загварт суурилсан автоматжуулсан системүүдийн мэдээллийн аюулгүй байдлын аюул заналхийллийг загварчлах аргыг танилцуулж байна. Энэхүү техник нь юуны түрүүнд үймээн самууны онолын үндсэн дээр загварыг бий болгосон ажилд урьд өмнө тохиолдож байсан сөрөг нөлөөллийг харгалзан үзэх түгээмэл байдал, үр дүнг төсөөлөх боломжоороо сонирхолтой юм. Дүрслэх ердийн арга - Кохонен газрын зургийг өөрийн өвөрмөц хязгаарлалт, сул талуудтай ашиглах нь зохиогчийн зүгээс авч үздэггүй бөгөөд энэ нь шийдлийн түгээмэл байдлыг нэмэгдүүлдэг.

SZI-ийн геометрийн загвар. P = (p P2, ■ ■ -, p2) хамгаалалтын хэрэгслийн багц, A = (ab a2, ..., an)-ыг довтолгооны багц гэж үзье. Довтолгооны хослолоор илэрхийлэх боломжгүй халдлагуудыг бие даасан гэж нэрлэнэ. Тэдний А олонлог нь "А" олонлогийн дэд олонлог юм - довтолгооны үндэс. Хэмжээ нь А олонлогийн чадалтай давхцаж байгаа IPS-ийн геометрийн загварыг бүтээх K1 орон зайг сонгоцгооё.

Аливаа дайралт AeA нь хамгаалалтын тодорхой хэрэгсэлтэй холбоотой байдаг (p "b p" 2, ..., p "k) P. Энэ багцыг (p "bp" 2, ..., p "i) = Pn- гэж тэмдэглэе. .

Хэрэв агент нь багц Прзид хамаарахгүй бол Ai-ийн дайралт түүнд аюултай биш юм.

Kp орон зай дахь координатын тэнхлэгүүд нь аюулын ангиллыг илэрхийлдэг. Координатын тэнхлэгүүдийн хэмжилтийн нэгж нь хамгаалалтын хэрэгсэлтэй холбоотой бие даасан халдлага юм. Довтолгооны хувьд харгалзах векторын координатын утгууд нь судалж буй системийн нэг хэсэг болох хамгаалалтын хэрэгслийг заана.

Жишээлбэл, "Х тэнхлэг нь бие махбодийн аюулгүй байдалтай холбоотой аюул заналхийлэл" гэсэн декарт орон зайд "Гадны халдагчийн ажлын станцад хадгалагдсан мэдээлэлд UAS" халдлагыг авч үзье; y - програм хангамж, техник хангамжийн хамгаалалттай холбоотой аюул; z - зохион байгуулалт, хууль эрх зүйн хамгаалалттай холбоотой аюул занал (Зураг 1). Хамгаалалтын гурван арга хэмжээ аваагүй тохиолдолд халдлагыг хэрэгжүүлэх боломжтой: "Хяналттай бүсэд байгаа гадны хүн", "Блоклогдоогүй үйлдлийн систем" болон "PB зөрчсөн".

Цагаан будаа. 1. "Гадны халдагчийн ажлын станц дээр хадгалагдсан мэдээлэлд NSD" халдлагын загвар.

Энэ халдлагыг "Холбох техникийн хэрэгсэлболон OI системүүд", "Алдааг илрүүлэх хэрэгслийг ашиглах", "Бүртгэгдсэн хэрэглэгчээр далдлах", "Програм хангамжийн согог ба эмзэг байдал", "Буцах тэмдэглэгээ", "Вирус болон бусад хортой ашиглах програмын код”, “Хамгаалагдсан мэдээлэл тээвэрлэгчийн хулгай”, “Мэдээлэл боловсруулах системийн ажиллагааг зөрчсөн” (Зураг 2).

*Ажил нь "ОХУ-ын шинжлэх ухаан, технологийн цогцолборыг 2007-2013 онд хөгжүүлэх тэргүүлэх чиглэлийн судалгаа, боловсруулалт" Холбооны зорилтот хөтөлбөрийг хэрэгжүүлэх ажлын хүрээнд хийгдсэн (2011.10.06-ны өдрийн GK No 07.514.11.4047) .

Эхлээд P1 вектор бүр эхний координатын октантад байна. £ гүдгэр олон өнцөгтийн гадаргууг R"-д байгуулж, орой бүр нь p1, p2, p векторуудын аль нэгний төгсгөлтэй давхцаж байна.

Цагаан будаа. 2. "Гадны халдагчийн ажлын станц дээр хадгалагдсан мэдээлэлд NSD" халдлагын загвар.

Аливаа довтолгооны A нөлөөллийн үр дүнг албан ёсны болгох нь зүйн хэрэг юм (биелэгдээгүй хамгаалалтын арга хэмжээ бүхий тэнхлэгийн дагуух векторын тусгалаар. Загварын энэ аргын ачаар ямар арга хэрэгсэлд тохирох векторууд. энэ халдлагааюултай биш, байр сууриа өөрчлөхгүй (Зураг 3).

Тэгэхээр санал болгож буй загварчлалын аргын тусламжтайгаар А^ довтолгооны нөлөөллийн дараа геометрийн загварт орсон p1, p2, ..., pr векторуудын зөвхөн i-р координат өөрчлөгдөж, бусад бүх координатууд хэвээр үлдэнэ. өөрчлөгдөөгүй.

Довтолгооны загварчлалын үр дүнд үндэслэн мэдээллийн системийн (МС) сэтгэл түгшээсэн нөлөөнд мэдрэмтгий эсвэл мэдрэмтгий бус байдлыг дүгнэж болно. Хэрэв олон өнцөгтийн координатууд хамаарах бол

Эхний координатын октант руу, дараа нь IS-ийн эвдрэлийн нөлөөнд мэдрэмтгий бус байдлын талаар дүгнэлт гаргана, эс тэгвээс хамгаалалтын арга хэмжээ хангалтгүй гэсэн дүгнэлт гаргана. Тогтвортой байдлын хэмжүүр нь олон тооны давталтуудыг гүйцэтгэхэд багасч, IS нь довтолгооны хослолын нөлөөгөөр саад болохгүй.

аюул заналхийллийн загвар. Аюул заналхийллийн анхдагч жагсаалтыг хамгаалагдсан мэдээлэлд нөлөөлж буй янз бүрийн хүчин зүйлүүд, хамгаалалтын хэрэгслийн ангилал, зөрчигчдөд үзүүлэх нөлөөллийн түвшингээс бүрддэг (Зураг 4).

Тодорхой нөхцөлд хамгаалагдсан мэдээлэлд нөлөөлж буй эсвэл нөлөөлж болзошгүй хүчин зүйлсийг тодорхойлох, авч үзэх нь мэдээлэлжүүлэлтийн объектын мэдээллийн хамгаалалтыг хангах үр дүнтэй арга хэмжээг төлөвлөх, хэрэгжүүлэх үндэс суурь болдог. Мэдээллийн боловсруулалтын бүх үе шатанд мэдээлэлжүүлэлтийн объектын бүх элементүүдэд нөлөөлөх хүчин зүйлсийн цогцыг харгалзан үзэх замаар хүчин зүйлсийг тодорхойлох бүрэн, найдвартай байдалд хүрдэг. ГОСТ 51275-2006 стандартын "Мэдээллийн аюулгүй байдал. Мэдээлэлжүүлэх объект. Мэдээлэлд нөлөөлөх хүчин зүйлүүд. Ерөнхий заалтууд".

Техникийн сувгаар мэдээлэл алдагдах аюулыг мэдээллийн эх үүсвэр, түгээх орчин (зам) ба мэдээллийн дохио хүлээн авагчийн шинж чанараар тодорхойлогддог, өөрөөр хэлбэл мэдээллийн алдагдлын техникийн сувгийн шинж чанараар тодорхойлогддог.

Аюул заналхийллийн хоёрдогч жагсаалтыг бүрдүүлэх нь тохиолдсон ослын статистик мэдээлэлд үндэслэн, тэдгээрийн хор хөнөөлийн нөхцлийн зэрэгт үндэслэн нөхөж байгаатай холбоотой юм.

Гэмтлийн нөлөөллийн түвшинг дараахь байдлаар тодорхойлж болно.

аюул заналхийлэх магадлал;

Аюул заналхийллийн хэрэгжилтээс гарах алдагдал;

Системийг сэргээх хугацаа.

Цагаан будаа. 3. Симуляцийн үр дүн

Зөрчил гаргагчдын нөлөөллийн түвшин

Цагаан будаа. 4. Ченийн тэмдэглэгээ дэх аюулын загварын мэдээллийн сангийн BL-загвар

Эвдрэл нь дараахь зүйлийг үүсгэж болно.

аюул заналхийллийг хэрэгжүүлэх нь мэдээллийн агуулгад шууд нөлөөлөхгүй тохиолдолд мэдээллийн нууцлалыг зөрчсөн (хуулбарлах, зөвшөөрөлгүй тараах);

Мэдээллийн агуулгад зөвшөөрөлгүй, түүний дотор санамсаргүй байдлаар нөлөөлөх, үүний үр дүнд мэдээлэл өөрчлөгдөх, устгах;

IS-ийн програм хангамж эсвэл техник хангамжийн элементүүдэд зөвшөөрөлгүй, түүний дотор санамсаргүй байдлаар нөлөөлөх, үүний үр дүнд мэдээлэл хаагдах;

Системийн хэрэглэгчид эсвэл хэрэглэгчийн нэрийн өмнөөс ажиллаж буй байгууллагуудын хариуцлага алдагдах нь тархсан системд онцгой аюултай;

Өгөгдлийн жинхэнэ байдал алдагдах;

Системийн найдвартай байдал алдагдах.

Аюул заналхийллийг харьцуулж, эрэмбэлэх боломжийг олгодог эрсдлийн хэмжүүрийг асуудлын төрөл тус бүрийн нийт хохирлоор тодорхойлж болно.

Аюул тус бүрийн эрсдлийн үнэлгээний үр дүн нь:

Мэдээллийн аюулгүй байдлын зохих хэрэгслийг нэгдсэн байдлаар ашиглах;

Эрсдэлийг үндэслэлтэй, зорилтот түвшинд хүлээж авах, байгууллагын бодлого, эрсдэлийг хүлээн авах шалгуур үзүүлэлтүүдийн шаардлагыг бүрэн хангах;

Эрсдэлээс хамгийн их татгалзах, холбогдох бизнесийн эрсдэлийг даатгагч, ханган нийлүүлэгч гэх мэт бусад этгээдэд шилжүүлэх.

Аюул заналхийллийн загварыг бий болгох авч үзсэн арга нь тэдгээрийн зорилго, нөхцөл, үйл ажиллагааны онцлогийг харгалзан тодорхой систем дэх мэдээллийн аюулгүй байдалд заналхийлэх хувийн загварыг боловсруулах асуудлыг шийдвэрлэх боломжийг олгодог. Ийм загварчлалын зорилго нь эрсдэлийн шинжилгээний аргуудаар IP аюулгүй байдлын түвшинг хянах, сэжиглэгдсэн аюулыг саармагжуулах үр дүнтэй мэдээллийн хамгаалалтын системийг хөгжүүлэх явдал юм.

Ирээдүйд энэ техник нь бүх нийтийн алгоритмыг хөгжүүлэх үндэс суурь болж чадна, дараа нь математик загваруудзохицуулалт, арга зүйн баримт бичгийн шаардлагыг үр дүнтэй хослуулсан аюулгүй байдал, аюул заналхийллийн загвар, халдагчийн загвар зэргийг бий болгох аргачлал. Ийм арга зүйн дэмжлэг байгаа эсэх.

илүү чанарт шилжих боломжийг танд олгоно өндөр түвшинмэдээллийн аюулгүй байдлын системийн дизайн, хөгжүүлэлт, аюулгүй байдлын үнэлгээ.

1. Кобозева А.А., Хорошко В.А. Мэдээллийн аюулгүй байдлын шинжилгээ: монографи. Киев: Улсын хэвлэлийн газар. un-ta мэдээлэл.-харилцаа холбоо. технологи, 2009 он.

2. Васильев В.И., Машкина И.В., Степанова Е.С. Мэдээллийн аюулгүй байдлын зөрчлийн эрсдлийн тоон үнэлгээний бүдэг бадаг танин мэдэхүйн зураглалыг бүтээхэд үндэслэсэн аюулын загвар боловсруулах.Изв. Өмнөд холбоо. их сургууль Техникийн шинжлэх ухаан. 2010. V. 112, No 11. S. 31-40.

3. Үйл ажиллагааны чухал аюул, хөрөнгө, эмзэг байдлын үнэлгээ (октав) хүрээ: Техн. Төлөөлөгч CMU/SEI-SS-TR-017 / C. J. Alberts, S. G. Behrens, R. D. Pethia, W. R. Wilson; Карнеги Меллон их сургууль. Питтсбург, PA, 2005.

4. Burns S. F. Аюул заналхийллийн загварчлал: Хэрэглээний аюулгүй байдлыг хангах үйл явц // GIAC Security Essentials

Баталгаажуулалтын практик даалгавар. Хувилбар 1.4c / SANS Inst. Бетесола, MD, 2005.

5. Попов А.М., Золотарев В.В., Бондарь И.В. Мэдээллийн аюулгүй байдлын стандартын шаардлагын дагуу мэдээллийн системийн аюулгүй байдлыг үнэлэх арга зүй.Мэдээллийн систем. / Номхон далай. муж un-t. Хабаровск, 2010. No 4 (26). хуудас 3-12.

6. Тусгай системийн найдвартай байдал, эрсдэлийн шинжилгээ: монографи / M. N. Zhukova, V. V. Zolotarev, I. A. Panfilov et al.; Сиб. муж сансар огторгуй un-t. Красноярск, 2011 он.

7. Жуков В.Г., Жукова М.Н., Стефаров А.П.

Автоматжуулсан систем дэх хандалтын зөрчигчийн загвар // Програм. бүтээгдэхүүн, систем / Судалгааны хүрээлэн Centerprogramsystems. Тверь, 2012. Дугаар. 2.

8. Bondar I. V., Zolotarev V. V., Gumennikova A. V., Попов A. M. Мэдээллийн аюулгүй байдлын "OASIS" шийдвэрийг дэмжих систем // Хөтөлбөр. бүтээгдэхүүн, систем / Судалгааны хүрээлэн Centerprogramsystems. Тверь, 2011. Дугаар. 3. S. 186-189.

МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН АЮУЛТАЙ ЗАГВАР БАРИЛГЫН АРГА

АВТОМАТЖИЛСАН СИСТЕМИЙН

Зохиогчид аюул заналхийллийн загварыг бий болгох арга техникийг авч үздэг. Загварчлалын зорилго нь мэдээллийн системийн аюулгүй байдлын түвшинг эрсдэлийн шинжилгээний аргуудаар хянах, аюулгүй байдлын зохих арга хэмжээнүүдийн тусламжтайгаар болзошгүй аюулыг саармагжуулах үр дүнтэй мэдээллийн аюулгүй байдлын системийг хөгжүүлэхийг тайлбарлах явдал юм.

Түлхүүр үг: аюул заналын загвар, мэдээллийн систем, мэдээллийн аюулгүй байдлын системийн загвар.

© Bondar I. V., 2012

В.В. Буряченко

ӨӨРЧЛӨГДСӨН БЛОК ТОХИРУУЛАХ АРГАЛД СУУРИЛСАН СТАТИК ҮЗЭГДЭЛИЙН ВИДЕО ТОГТВОРЖУУЛАЛТ

Видео материалыг тогтворжуулах үндсэн аргуудыг авч үздэг, ялангуяа гадны нөлөөллөөс үүдэлтэй хүрээний дэлхийн хөдөлгөөнийг олох явдал юм. Дараалсан фрэймүүдэд блок тохируулах өөрчилсөн аргад үндэслэн видео материалыг тогтворжуулах алгоритмыг бүтээв.

Түлхүүр үг: видео тогтворжуулах, блок тохируулах арга, Гауссын тархалт.

Дижитал дүрс тогтворжуулах систем нь эхлээд хүсээгүй хөдөлгөөнийг үнэлж, дараа нь зураг авалтын тогтворгүй байдал, цаг агаарын нөхцөл байдал гэх мэт гадны хүчин зүйлсийг нөхөхийн тулд зургийн дарааллыг засдаг. Хөдөлгөөн авах техник хангамжийн системд дүрс тогтворжуулалтыг багтаасан байх магадлалтай тул энэ судалгаа нь загварчлах, хэрэгжүүлэхэд чиглэгдсэн болно. техник хангамжийн платформ дээр үр дүнтэй ажиллах боломжтой алгоритмууд.

Видео материалыг тогтворжуулах асуудлыг шийдвэрлэх хоёр үндсэн арга байдаг: механик арга (оптик тогтворжуулалт) ба дижитал дүрс боловсруулах. Механик арга нь камер сэгсрэх үед хөдөлгөөн мэдрэгчийг тохируулахын тулд оптик системд ашиглагддаг бөгөөд тогтвортой камер суурилуулах эсвэл гироскоп тогтворжуулагчийг ашиглах явдал юм. Хэдийгээр энэ арга нь практикт үр дүнтэй байж болох ч тогтворжуулагчийн өртөг өндөр, тогтворжуулагчийн олдоц их байдаг тул үүнийг бараг ашигладаггүй.

AT Энэ мөчБи мэдээллийн аюулгүй байдлын зөрчлийн эрсдэлийн талаарх хувийн бодлогыг хянаж, мэдээллийн аюулгүй байдлын заналхийллийн загварыг шинэчлэхээр ажиллаж байна.

Ажлын явцад би зарим нэг бэрхшээлтэй тулгарсан. Би тэдгээрийг хэрхэн шийдэж, хувийн аюул заналхийллийн загварыг хэрхэн боловсруулсан талаар цаашид хэлэлцэх болно.

Өмнө нь олон банкууд CBR RS BR IBBS-2.4-2010 "Байгууллагын мэдээллийн аюулгүй байдлыг хангах" стандартчиллын чиглэлээрх зөвлөмжөөс авсан PD аюулгүй байдлын аюулын салбарын загварыг ашиглаж байсан. банкны систем Оросын Холбооны Улс. ОХУ-ын банкны системийн байгууллагуудын хувийн мэдээллийн мэдээллийн системд боловсруулалт хийх явцад хувийн мэдээллийн аюулгүй байдалд заналхийлж буй салбарын өвөрмөц загвар "(RS BR IBBS-2.4-2010). Гэвч мэдээллийн нийтлэгдсэний улмаас. ОХУ-ын Банкны 2014 оны 5-р сарын 30-ны өдрийн баримт бичиг хүчингүй болсон тул одоо өөрийгөө хөгжүүлэх шаардлагатай байна.

ОХУ-ын Банкны стандартчиллын чиглэлээр "ОХУ-ын банкны системийн байгууллагуудын мэдээллийн аюулгүй байдлыг хангах. Мэдээлэл алдагдахаас урьдчилан сэргийлэх" RS BR IBBS-2.9-2016 (RS) зөвлөмж гаргасныг олон хүн мэддэггүй. BR IBBS-2.9-2016) үзэл баримтлалыг орлуулах тохиолдол гарсан. Одоо тодорхойлохдоо мэдээллийн ангиллын жагсаалт ба мэдээллийн хөрөнгийн төрлүүдийн жагсаалт RS BR IBBS-2.9-2016-ийн 6.3, 7.2-р зүйлийн агуулгад анхаарлаа хандуулахыг зөвлөж байна. Өмнө нь энэ нь ОХУ-ын Банкны стандартчиллын чиглэлээр өгсөн зөвлөмжийн 4.4-т "ОХУ-ын банкны системийн байгууллагуудын мэдээллийн аюулгүй байдлыг хангах. Мэдээллийн аюулгүй байдлын зөрчлийн эрсдлийг үнэлэх аргачлал" RS BR IBBS-2.2-д заасан байдаг. -2009 (RS BR IBBS-2.2-2009). Би бүр тодруулга авахаар Төв банкинд хандсан.

Үндсэн аюулын эх үүсвэрОХУ-ын Банкны "ОХУ-ын банкны систем дэх байгууллагуудын мэдээллийн аюулгүй байдлыг хангах" стандартын 6.6-д заасан. Ерөнхий заалтууд” STO BR IBBS-1.0-2014 (STO BR IBBS-1.0-2014). Халдагчийн боломжэндээс авч болно.

Ерөнхийдөө тодорхойлохдоо IS-ын одоогийн аюулБайгууллагад гарсан мэдээллийн аюулгүй байдлын зөрчил, мэдээллийн аюулгүй байдлын үйлчилгээ үзүүлдэг зохицуулагчид, компаниудын аналитик тайлангийн мэдээлэл, компанийн мэргэжилтнүүдийн шинжээчийн дүгнэлтийг харгалзан үзэх шаардлагатай.

Мөн IS заналхийлэлОХУ-ын Банкны 2015 оны 12-р сарын 10-ны өдрийн 3889-U тушаалын дагуу "Хувийн мэдээллийн мэдээллийн систем дэх хувийн мэдээллийг боловсруулахад хамааралтай хувийн мэдээллийн аюулгүй байдалд заналхийлж буй заналхийллийг тодорхойлох тухай (3889-U), Хавсралт"-ын дагуу тодорхойлогддог. RS BR IBBS-2.2-2009-ийн 1, хүснэгт 1 RS BR IBBS-2.9-2016 (би үүнийг тусдаа програм болгосон), ОХУ-ын FSTEC-ийн мэдээллийн аюулгүй байдлын аюулын мэдээллийн сан (BDU).

Дашрамд хэлэхэд, 3889-U-ийн зарим аюул нь BDU-ийн заналхийллийг давхардуулж байгааг би анзаарсан.

• өртөх аюул хортой код, хувийн мэдээллийн мэдээллийн системтэй холбоотой гадаад - UBI.167, UBI.172, UBI.186, UBI.188, UBI.191;
• хувийн мэдээллийн мэдээллийн системд эрх мэдэл бүхий хүмүүст нийгмийн инженерчлэлийн аргыг ашиглах аюул - UBI.175;
• Хувийн мэдээллийн мэдээллийн системд эрх мэдэлгүй хүмүүс хувийн мэдээлэлд зөвшөөрөлгүй нэвтрэх аюул заналхийлж, хувийн мэдээллийн системийн эмзэг байдлыг ашиглан. програм хангамжхувийн мэдээллийн мэдээллийн систем - UBI.192;

Үүнтэй холбогдуулан би UBI-ийн талд 3889-U-аас давхардсан заналхийллийг хассан. тэдгээрийн тайлбарыг агуулна Нэмэлт мэдээлэл, энэ нь аюул заналын загвар болон мэдээллийн аюулгүй байдлын эрсдлийн үнэлгээ бүхий хүснэгтүүдийг бөглөхөд тусалдаг.

Бодит аюул заналхийлэл аюулын эх үүсвэр "Байгаль, хүний ​​үйл ажиллагаа, нийгмийн сөрөг үйл явдлууд"ОХУ-ын Онцгой байдлын яамны онцгой байдал, гал түймрийн талаархи статистик мэдээлэл.

Бодит аюул заналхийлэл "Террористууд ба эрүүгийн элементүүд" аюулын эх үүсвэрОХУ-ын Дотоод хэргийн яамны гэмт хэргийн байдлын талаарх статистик мэдээлэл, "Банкны салбар дахь гэмт хэрэг" мэдээллийн товхимолд үндэслэн тодорхойлж болно.

Дээр энэ үе шатбид IS-ын аюулын эх үүсвэр болон одоогийн Исламын аюул заналхийллийг тодорхойлсон. Одоо мэдээллийн аюулгүй байдлын аюул заналхийллийн загвар бүхий хүснэгтийг бүтээх ажилд орцгооё.

Үүний үндэс болгон би RS BR IBBS-2.4-2010-аас "PD аюулгүй байдлын аюулын салбарын загвар" хүснэгтийг авсан. STO BR IBBS-1.0-2014-ийн 6.7-р зүйл, 6.9-д заасан шаардлагын дагуу "Аюулын эх үүсвэр" ба "Аюул заналхийллийн түвшин" гэсэн багануудыг бөглөнө. Бидэнд "Байгаль орчны объектуудын төрөл", "Аюулгүй байдлын аюул" гэсэн хоосон баганууд байсаар байна. Би сүүлчийнх нь нэрийг BDU-д байдаг шиг "Аюул заналхийллийн хэрэгжилтийн үр дагавар" гэж өөрчилсөн (миний бодлоор энэ нь илүү зөв юм). Тэдгээрийг бөглөхийн тулд бидэнд BDU-ийн аюул заналхийллийн тайлбар хэрэгтэй.

Жишээ болгон "UBI.192: Програм хангамжийн эмзэг хувилбаруудыг ашиглах аюул"-ыг авч үзье:
Аюул заналхийллийн тодорхойлолт: аюул занал нь програм хангамжийн эмзэг байдлыг ашиглан халдагчид системд хор хөнөөлтэй нөлөө үзүүлэх боломжтой юм. Энэ аюул нь програм хангамжийн эмзэг байдлыг шинжлэх механизмын сул талуудтай холбоотой юм. Энэ аюулыг хэрэгжүүлэх нь програм хангамжийг ашиглахаасаа өмнө түүний сул тал байгаа эсэхийг шалгах боломжгүй тохиолдолд боломжтой юм.
Аюулын эх сурвалж: боломж багатай дотоод мэдээлэл; боломж багатай гадны халдагч.
Нөлөөллийн объектТүлхүүр үг: хэрэглээний програм хангамж, сүлжээний програм хангамж, системийн програм хангамж.
Аюул заналхийллийн хэрэгжилтийн үр дагавар: нууцлалын зөрчил, бүрэн бүтэн байдлын зөрчил, хүртээмжтэй байдлын зөрчил.

Тохиромжтой болгох үүднээс би тараасан орчны объектын төрлүүд(нөлөөллийн объект) аюулын хэрэгжилтийн түвшингээр ( банкны мэдээллийн дэд бүтцийн түвшин).

Гүйлгэх хүрээлэн буй орчны объектуудБи RS BR IBBS-2.9-2016-ийн 7.3-р зүйл, RS BR IBBS-2.2-2009-ийн 4.5-р зүйл болон UBI-ийн тайлбараас эмхэтгэсэн. Аюул заналхийллийн хэрэгжилтийн түвшин STO BR IBBS-1.0-2014-ийн 6.2-т үзүүлэв.

Тэр. Энэ аюул нь дараах түвшинд нөлөөлдөг: сүлжээний хэрэглээний болон үйлчилгээний түвшин; банкны технологийн процесс, хэрэглээний түвшин.

Би Исламын улс бүлэглэлийн бусад аюул заналхийллийн эсрэг ижил зүйлийг хийсэн.

Үр дүн нь ийм хүснэгт юм.

Зөвшөөрөгдөөгүй нөлөөллийн ангилал

Аюул гэдэг нь санамсаргүй буюу санаатай үйлдэл (эс үйлдэхүй) байж болзошгүй боломж гэж ойлгогддог бөгөөд үүний үр дүнд мэдээлэл, түүнийг боловсруулах системийн үндсэн шинж чанарууд болох хүртээмж, бүрэн бүтэн байдал, нууцлал зөрчигдөж болзошгүй юм.

Хамгаалагдсан мэдээлэлд учирч болзошгүй аюулын хүрээний талаархи мэдлэг, тэдгээрийг хэрэгжүүлэх боломж, тэдгээрийн аюулын зэргийг чадварлаг, бодитой үнэлэх чадвар. чухал үе шатхамгаалалтыг зохион байгуулах, хангах цогц үйл явц. IS-ын аюулыг бүрэн тодорхойлох нь бараг боломжгүй, гэхдээ харьцангуй Бүрэн тайлбарЭдгээрийг авч үзэж буй объекттой холбоотойгоор аюулын загварыг нарийвчлан эмхэтгэснээр хүрч болно.

Алсын довтолгоог нөлөөллийн шинж чанар, зорилгын дагуу, нөлөөллийн эхлэл, байгаа нөхцөлөөр нь ангилдаг. санал хүсэлтдовтолж буй объекттой, довтолж буй объекттой харьцуулахад объектын байршил, түвшингээр лавлагаа загвархарилцан үйлчлэл нээлттэй системүүд EMVOS, үүнд нөлөөлөл хийгдсэн.

Хамгаалалтын объектуудын ангилал, аюул заналхийлэл автоматжуулсан системүүдхамгаалагдсан AS дахь мэдээлэлд зөвшөөрөлгүй нэвтрэх (UAS) боломжит аргууд:

• 1) NSD зарчмын дагуу:
  • - физик. Үүнийг хамгаалагдсан объекттой шууд болон харааны холбоо барих замаар хэрэгжүүлэх боломжтой;
  • - логик. -ийн тусламжтайгаар хамгаалалтын системийг даван туулахыг хамарна програм хангамжийн хэрэгслүүд AS бүтцэд логик нэвтрэн орох замаар;
• 2) NSD-ийн зам дагуу:
  • - шууд стандарт хандалтын замыг ашиглах. Аюулгүй байдлын тогтсон бодлого, сүлжээний удирдлагын үйл явцын сул талуудыг ашиглаж байна. Үүний үр дүнд эрх бүхий хэрэглэгчийн дүрд хувирч болно;
  • - далд стандарт бус хандалтын замыг ашиглах. Хамгаалалтын системийн баримтжуулаагүй шинж чанаруудыг (сул талууд) ашигладаг (хамгаалалтын системийн алгоритм ба бүрэлдэхүүн хэсгүүдийн дутагдал, хамгаалалтын системийн дизайныг хэрэгжүүлэхэд гарсан алдаа);
  • - Аюулын зэрэглэлийн хувьд тусгай бүлэг нь халдагчийн үйлдлээс үүдэлтэй IS аюул заналхийллээр төлөөлдөг бөгөөд энэ нь зөвхөн зөвшөөрөлгүй нөлөөлөл (NSV) хийх боломжийг олгодог. мэдээллийн нөөцтусгай программ хангамж, программ хангамж, техник хангамжийн нөлөөллийн хэрэгслээр системд нөлөөлж, тэдгээрт нөлөөлөхөөс гадна мэдээлэлд NSD-ээр хангадаг.
• 3) автоматжуулалтын зэргээс хамааран:
  • - хүний ​​байнгын оролцоотойгоор гүйцэтгэдэг. Нийтийн (стандарт) програм хангамжийг ашиглаж болно. Халдлага нь халдагч болон хамгаалагдсан системийн хоорондох харилцан яриа хэлбэрээр явагддаг;
  • - гүйцэтгэсэн тусгай хөтөлбөрүүдхүний ​​шууд оролцоогүйгээр. Тусгай програм хангамжийг ашигладаг бөгөөд ихэнхдээ вирусын технологийг ашиглан боловсруулдаг. Дүрмээр бол UA-ийн энэ аргыг халдлагыг хэрэгжүүлэхэд илүүд үздэг;
• 4) NSD-ийн субьектийн хамгаалалтын объектод үзүүлэх нөлөөллийн шинж чанараар:
  • - идэвхгүй. AU-д шууд нөлөө үзүүлэхгүй боловч мэдээллийн нууцлалыг зөрчиж болно. Жишээ нь харилцаа холбооны сувгийн хяналт;
  • - идэвхтэй. Энэ ангилалд аливаа зөвшөөрөлгүй нөлөөлөл багтдаг бөгөөд үүний эцсийн зорилго нь халдлагад өртсөн AS-д гарсан аливаа өөрчлөлтийг хэрэгжүүлэх явдал юм;
• 5) нөлөөллийн эхлэлийн нөхцлийн дагуу:
  • - халдлагад өртсөн объектын хүсэлтээр халдлага. Довтолгооны субьект нь эхлээд нөхцөлт идэвхгүй бөгөөд довтолгоонд өртсөн АС-аас тодорхой төрлийн хүсэлтийг хүлээж байгаа бөгөөд түүний сул талууд нь халдлага үйлдэхэд ашигладаг;
  • - халдлагад өртөж буй объект дээр хүлээгдэж буй үйл явдал тохиолдоход халдах. Довтолгооны объектын үйлдлийн системийг хянадаг. АС нь эмзэг байдалд байх үед халдлага эхэлдэг;
  • - болзолгүй халдлага. Довтолгооны сэдэв идэвхтэй нөлөөдовтолгооны объект дээр, сүүлчийнхээс үл хамааран;
• 6) нөлөөллийн зорилгын дагуу. Аюулгүй байдал нь AS-ийн нууцлал, бүрэн бүтэн байдал, нөөцийн хүртээмж, ажиллах чадвар (тогтвортой байдал) -ын нэгдэл гэж үздэг бөгөөд зөрчил нь зөрчилдөөний загварт тусгагдсан байдаг;
• 7) халдлагад өртсөн объектын санал хүсэлт байгаа тохиолдолд:
  • - санал хүсэлттэй. Энэ нь халдлагын объектоос UA-ийн цаашдын үйл явцад нөлөөлөх аливаа өгөгдлийг олж авахын тулд довтолгооны субъект ба объектын хооронд хоёр чиглэлтэй харилцан үйлчлэлийг хэлнэ;
  • - санал хүсэлт байхгүй. Нэг чиглэлтэй халдлага. Довтолгооны сэдэв нь халдлагад өртсөн АС-тай харилцан яриа хийх шаардлагагүй. Үүний нэг жишээ бол хүсэлтийн чиглэсэн "шуурга" зохион байгуулах явдал юм. Зорилго нь AU-ийн гүйцэтгэлийг (тогтвортой байдал) зөрчих явдал юм;
• 8) ашигласан хамгаалалтын сул талуудын төрлөөс хамааран:
  • - тогтоосон аюулгүй байдлын бодлогын дутагдал. AS-д зориулан боловсруулсан аюулгүй байдлын бодлого нь NSD-ийг гүйцэтгэхэд ашигладаг аюулгүй байдлын шалгуурт хангалтгүй байна:
  • - захиргааны алдаа;
  • - Аюулгүй байдлын системийн баримтжуулаагүй шинж чанарууд, түүний дотор програм хангамжтай холбоотой, - алдаа, үйлдлийн системийн шинэчлэлт, эмзэг үйлчилгээ, хамгаалалтгүй анхдагч тохиргоо;
  • - хамгаалалтын алгоритмын дутагдал. Мэдээллийн аюулгүй байдлын системийг бий болгохын тулд хөгжүүлэгчийн ашигладаг аюулгүй байдлын алгоритмууд нь мэдээлэл боловсруулах бодит талыг тусгаагүй, үзэл баримтлалын алдаа агуулсан;
  • - хамгаалалтын системийн төслийг хэрэгжүүлэх явцад гарсан алдаа. Мэдээллийн аюулгүй байдлын системийн төслийг хэрэгжүүлэх нь систем хөгжүүлэгчдийн тавьсан зарчимд нийцэхгүй байна.

Хамгаалагдсан объектын логик шинж чанарууд:

• 1) аюулгүй байдлын бодлого. Мэдээлэл, нөөцийг хамгаалахад чиглэсэн баримтжуулсан концепцийн шийдлүүдийн багцыг төлөөлж, зорилго, хамгаалагдсан мэдээлэлд тавигдах шаардлага, мэдээллийн технологийн цогц арга хэмжээ, IS-ийг хариуцах хүмүүсийн үүрэг;
• 2) захиргааны удирдлагын үйл явц. Сүлжээний тохиргоо, гүйцэтгэлийн удирдлага, хандах хандалтыг багтаасан болно сүлжээний нөөц, аюулгүй байдлын бодлогын дагуу сүлжээний найдвартай байдлыг сайжруулах, систем, өгөгдлийн эрүүл мэндийг сэргээх, хамгаалалтын хэрэгслийн норм, зөв ​​ажиллагааг хянах арга хэмжээ авах;
• 3) хамгаалалтын системийн бүрэлдэхүүн хэсгүүд:
  • - систем криптограф хамгаалалтмэдээлэл;
  • - Гол мэдээлэл;
  • - нууц үг;
  • - хэрэглэгчдийн талаарх мэдээлэл (тодорхойлогч, давуу эрх, эрх мэдэл);
  • - хамгаалалтын системийн тохиргоо;
• 4) протоколууд. Сүлжээний техник хангамж, програм хангамжийн бүрэлдэхүүн хэсгүүдийн үйл ажиллагааны болон үйл ажиллагааны шаардлагын багцын хувьд тэдгээр нь зөв, бүрэн, нийцтэй байх ёстой;
• 5) функциональ элементүүд компьютерийн сүлжээнүүд. Ерөнхий тохиолдолд "чухал" өгөгдлийг хэт ачаалах, устгахаас хамгаалагдсан байх ёстой.

UA хэрэгжүүлэх боломжит арга замууд (халдлагын төрлүүд):

• 1) шинжилгээ сүлжээний урсгал, LAN болон тэдгээрийн сул талыг хайх хамгаалалтын хэрэгслийг судлах, AU-ийн үйл ажиллагааны алгоритмыг судлах. Бие махбодийн хувьд зориулагдсан холбооны сувагтай системд мессежүүд нь системийн бусад объектуудыг тойрч, эх сурвалж ба хүлээн авагчийн хооронд шууд дамждаг. Ийм системд мессежийг дамжуулж буй объектуудад хандах боломжгүй тохиолдолд програм хангамжийн чадварсүлжээний хөдөлгөөний дүн шинжилгээ;
• 2) сүлжээнд зөвшөөрөлгүй төхөөрөмжийг нэвтрүүлэх.
• 3) хулгайлах, өөрчлөх, дахин чиглүүлэх зорилгоор дамжуулсан өгөгдлийг саатуулах;
• 4) AS-д итгэмжлэгдсэн объектыг орлуулах.
• 5) сүлжээнд зөвшөөрөлгүй маршрут (объект) нэвтрүүлэх, түүгээр дамжуулж буй мессежийн урсгалыг өөрчилсөн хуурамч маршрутыг нэвтрүүлэх;
• 6) алсын зайн хайлтын алгоритмын дутагдлыг ашиглан сүлжээнд хуурамч маршрут (объект) нэвтрүүлэх;
• 7) ерөнхий систем болон хэрэглээний програм хангамжийн сул талыг ашиглах.
• 8) криптоанализ.
• 9) криптоалгоритм, криптографийн программыг хэрэгжүүлэхэд гарсан дутагдлыг ашиглах.
• 10) үүсгэсэн түлхүүр, нууц үгийг таслах, сонгох, солих, урьдчилан таамаглах.
• 11) нэмэлт эрх мэдэл олгох, хамгаалалтын системийн тохиргоог өөрчлөх.
• 12) програмын хавчуургыг нэвтрүүлэх.
• 13) хэт ачаалал өгөх, "чухал" өгөгдлийг устгах, буруу үйлдэл хийх замаар AU-ийн ажиллах чадварыг (тогтвортой) зөрчих.
• 14) мессеж хүлээн авах эсвэл чиглүүлэлтийн функцийг гүйцэтгэдэг сүлжээний компьютерт хандах;

Халдагчдын ангилал

Эвдрэлийн нөлөөллийг хэрэгжүүлэх боломж нь CS-тэй холбоотой халдагчийн статусаас ихээхэн хамаардаг. Халдагч нь:

• 1) CS хөгжүүлэгч;
• 2) үйлчилгээний ажилтны дундаас ажилтан;
• 3) хэрэглэгч;
• 4) гадны хүн.

Хөгжүүлэгч нь хамгийн их эзэмшдэг бүрэн мэдээлэлТБХ-ны программ хангамж, техник хангамжийн талаар. Хэрэглэгч нь CS-ийн бүтэц, мэдээлэл хамгаалах механизмын үйл ажиллагааны талаар ерөнхий ойлголттой байдаг. Тэрээр уламжлалт тагнуулын аргыг ашиглан мэдээллийн аюулгүй байдлын системийн талаар мэдээлэл цуглуулж, мэдээлэлд зөвшөөрөлгүй нэвтрэх оролдлого хийх боломжтой. CC-тэй холбоогүй гадны хүн бусад халдагчтай харьцуулахад хамгийн бага давуу талтай байр суурь эзэлдэг. Хэрэв бид түүнийг COP байгууламжид нэвтрэх эрхгүй гэж үзвэл уламжлалт тагнуулын алсын арга, хорлон сүйтгэх боломж түүнд бий. Үүнийг ашиглан хортой нөлөө үзүүлж болно цахилгаан соронзон цацрагболон хөндлөнгийн оролцоо, түүнчлэн харилцаа холбооны суваг, хэрэв CS тархсан бол.

CS-ийн мэдээллийг устгах гайхалтай боломжууд нь эдгээр системд үйлчилдэг мэргэжилтнүүдтэй байдаг. Түүгээр ч зогсохгүй өөр өөр хэлтсийн мэргэжилтнүүд хор хөнөөлтэй үйлдлүүдийг хийх өөр өөр чадвартай байдаг. Хамгийн их хор хөнөөлийг мэдээллийн аюулгүй байдлын ажилтнууд хийж болно. Дараа нь системийн программистууд, хэрэглээний программистууд, инженерийн ажилтнууд ирдэг.

Практикт халдагчийн аюул нь халдагчийн санхүү, логистикийн чадвар, ур чадвараас хамаардаг.

Мэдээллийн аюулгүй байдлын орчин үеийн системийг янз бүрийн хамгаалалтын арга хэмжээнүүдийн нэгдэл дээр тулгуурлан барьж байгуулах ёстой орчин үеийн аргуудмэдээллийн аюулгүй байдалд учирч болзошгүй аюул занал, тэдгээрийн хэрэгжилтийн үр дагаврыг урьдчилан таамаглах, дүн шинжилгээ хийх, загварчлах.

Симуляцийн үр дүн нь аюул заналхийллийг арилгахад тохиромжтой оновчтой аргуудыг сонгох зорилготой юм.

Мэдээллийн системийн аюулгүй байдлын заналхийллийн хувийн загварыг хэрхэн яаж хийх вэ

Загварын үе шатанд одоо байгаа нөхцөл байдлын судалгаа, дүн шинжилгээ хийж, ISPD-ийн нэг хэсэг болох PD-ийн аюулгүй байдалд заналхийлж буй бодит аюулыг тодорхойлсон. Тодорхойлогдсон ISPD бүрийн хувьд өөрийн аюулын загварыг эмхэтгэсэн.

Мэдээллийн системийн аюулгүй байдлын заналхийллийн загвар нь 2006 оны 7-р сарын 27-ны өдрийн 152-ФЗ "Хувийн мэдээллийн тухай" Холбооны хуулийн шаардлагын дагуу бүтээгдсэн. Нэмж дурдахад ОХУ-ын FSTEC-ийн арга зүйн баримт бичгүүдийг ашиглаж болно: "Хувийн мэдээллийг ISPD-д боловсруулах үед аюулгүй байдалд заналхийлэх үндсэн загвар", "ISPD-д боловсруулагдсан хувийн мэдээллийн аюулгүй байдлын бодит аюулыг тодорхойлох аргачлал".

Үнэлгээ, дүн шинжилгээ хийх анхны өгөгдөл нь ихэвчлэн "Хяналтын акт"-ын материал, янз бүрийн хэлтэс, үйлчилгээний ажилтнуудаас авсан санал асуулгын үр дүн, FSTEC-ийн арга зүйн баримт бичиг гэх мэт.

Мэдээллийн системийн аюулгүй байдлын заналхийллийн тодорхой загварыг дотоод аудитын үр дүнгийн тайланд үндэслэн байгууллагын дарга эсвэл комисс батлах ёстой.

Аюул заналхийллийн загварыг тухайн байгууллагын мэдээлэл хамгаалах ажилтнууд эсвэл гадны мэргэжилтнүүд боловсруулж болно. Аюулын загвар боловсруулагчид хувийн мэдээллийн мэдээллийн системийн талаар бүрэн мэдээлэлтэй байх ёстой, мэдээллийг хамгаалах зохицуулалтын тогтолцоог мэддэг байх ёстой.

Мэдээллийн системийн аюулгүй байдлын заналхийллийн загварын агуулга

ISPD аюулгүй байдлын аюул заналхийллийн загвар нь:

• Хувийн мэдээллийн аюулгүй байдалд шууд заналхийлж байна. ISPD-д хувийн мэдээллийг боловсруулахдаа дараахь аюул заналыг ялгаж салгаж болно: зөрчигчийн үүсгэсэн аюулууд ( хувь хүн) техник хангамжийн табаар үүсгэсэн, үүсгэсэн хортой програм, ISPD-д онцгой нөлөө үзүүлэх аюул, ISPD-д цахилгаан соронзон нөлөө үзүүлэх аюул, техникийн сувгаар мэдээлэл алдагдах аюул гэх мэт.
• ISPD-д заналхийлж буй эх сурвалжууд. ISPD-д учирч болзошгүй аюулын эх үүсвэр нь гадны халдагч, дотоод халдагч, техник хангамж-програм хангамжийн таб эсвэл хортой программ байж болно.
• ISPD-ийн эмзэг байдлын ерөнхий шинж чанарууд. Энэ нь ISPD-ийн эмзэг байдлын үндсэн бүлгүүд, тэдгээрийн шинж чанаруудын талаархи мэдээлэл, түүнчлэн эмзэг байдлын шалтгаануудын талаархи мэдээллийг агуулдаг.
• Мэдээлэл хамгаалах хэрэгсэл ашигласан. ISPD бүрийн хувьд бодит аюулын эрсдлийг бууруулахад шаардлагатай арга хэмжээг тодорхойлох шаардлагатай.

Тодорхой аж ахуйн нэгжийн хувийн мэдээллийн системийн аюулгүй байдлын аюулын загварыг татаж авахын тулд тодруулах асуултуудад хариулж, өгөгдлийг загварт оруулна уу.

Мэдээллийн аюулгүй байдлын аюул заналхийллийн загвар ISPD

ОХУ-ын FSTEC-ийн арга зүйн баримт бичиг.

- "ISPD-д боловсруулагдсан хувийн мэдээлэлд аюул учруулах аюулын үндсэн загвар"

- "ISPD-д боловсруулагдсан хувийн мэдээллийн аюулгүй байдалд заналхийлж буй бодит аюулыг тодорхойлох аргачлал"

Анхны өгөгдөл

Үнэлгээ, дүн шинжилгээ хийх анхны өгөгдөл нь:

"Хяналт шалгалтын тухай хууль"-ийн материал;

Төрөл бүрийн хэлтэс, үйлчилгээний ажилтнуудын дунд явуулсан санал асуулгын үр дүн;

FSTEC-ийн арга зүйн баримт бичиг;

- засгийн газрын тогтоолын шаардлага;

Хувийн мэдээллийн аюулгүй байдлын заналхийллийг загварчлах аргын тайлбар

2.1.

Аюулгүй байдлын аюулын загварыг FSTEC арга зүйн баримт бичигт үндэслэн боловсруулсан болно.

"ISPD-д боловсруулах явцад хувийн мэдээллийн аюулгүй байдалд заналхийлэх үндсэн загвар" -ын үндсэн дээр аюулгүй байдлын аюулын ангиллыг хийж, аюулгүй байдлын аюулын жагсаалтыг эмхэтгэсэн.
ISPD-ийн нэг хэсэг болох PD аюулгүй байдлын аюул заналхийллийн жагсаалтыг "ISPD-д боловсруулах үед бодит PD аюулгүй байдлын аюулыг тодорхойлох аргачлал"-ыг ашиглан ISPD ACS-ийн нэг хэсэг болох PD аюулгүй байдлын аюул заналхийллийн загварыг бүтээж, бодит аюулыг тодорхойлсон.

2.2.

Хувийн мэдээллийн аюулгүй байдалд заналхийлж буй бодит аюул занал нь мэдээллийн системд боловсруулалт хийх явцад хувийн мэдээллийг зөвшөөрөлгүй, тэр дундаа санамсаргүй байдлаар олж авах бодит аюулыг бий болгож, устгах, өөрчлөх, хаах зэрэгт хүргэж болзошгүй нөхцөл байдал, хүчин зүйлсийн цогц юм. , хувийн мэдээллийг хуулбарлах, хангах, түгээх болон бусад хууль бус үйл ажиллагаа.

2.3.

Мэдээллийн системд ашиглагдаж буй системийн програм хангамжид баримтжуулаагүй (зарлагдаагүй) чадавхитай холбоотой аюул заналхийлэлд өртөж байвал мэдээллийн системд 1-р хэлбэрийн аюул заналхийлнэ.

2.4.

2-р төрлийн аюул нь мэдээллийн системд ашиглагдаж буй хэрэглээний програм хангамжид бичиг баримтгүй (зарлагдаагүй) чадавхитай холбоотой аюул заналхийлэлд өртөх тохиолдолд мэдээллийн системд хамааралтай болно.

2.5.

3-р хэлбэрийн аюул нь мэдээллийн системд ашиглагдаж буй програм хангамж, системд баримтжуулаагүй (зарлагдаагүй) чадавхитай холбоогүй аюулд өртөж байвал мэдээллийн системд хамааралтай болно.

Аюул заналхийллийн загвар

3.1.

Хувийн мэдээллийн аюулгүй байдлын аюулын ангилал

ISPD-д хувийн мэдээллийг боловсруулахдаа дараахь аюул заналыг ялгаж салгаж болно.

№	Аюул заналхийллийн нэр	Аюул заналхийллийн тодорхойлолт	Гарах магадлал	Аюул заналхийллийг хэрэгжүүлэх боломж

3.2.

ISPD-д заналхийлж буй эх сурвалжууд

ISPD дахь аюулын эх үүсвэр нь:

№	Аюулын эх сурвалжийн нэр	Аюулын эх үүсвэрийн ерөнхий шинж чанар