ปัญหาทางกฎหมายของการใช้เทคโนโลยีคอมพิวเตอร์และการปรับปรุงกฎหมาย
การปรับปรุงกลไกสถาบันเพื่อรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย
การปรับปรุงกลไกสถาบันเพื่อรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย
© Yulia Alexandrovna Koblova
ยูลิยา เอ. โคโบลวา
ผู้สมัครสาขาเศรษฐศาสตร์, รองศาสตราจารย์ภาควิชาเศรษฐศาสตร์สถาบันและความมั่นคงทางเศรษฐกิจ, Saratov Socio-Economic Institute (สาขา) จี.วี. เปลคานอฟ"
แคนด์ วท. (เศรษฐศาสตร์) รองศาสตราจารย์ภาควิชาเศรษฐศาสตร์สถาบัน Saratov สถาบันเศรษฐกิจและสังคม (สาขา) ของ Plekhanov Russian University of Economics
อีเมล: [ป้องกันอีเมล]
บทความตรวจสอบลักษณะสถาบันของการให้ ความปลอดภัยของข้อมูลรัฐ มีการเปิดเผยสาระสำคัญและบทบาทของกลไกสถาบันในการดูแลความปลอดภัยข้อมูลของรัฐ มีการประเมินข้อกำหนดของสถาบันด้านความปลอดภัยของข้อมูลในรัสเซีย ระบุปัญหาและเสนอระบบมาตรการปรับปรุงกลไกสถาบันเพื่อประกันความมั่นคงปลอดภัยสารสนเทศของประเทศ
คำหลักคำสำคัญ: สถาบัน กลไกสถาบัน ความปลอดภัยของข้อมูล พื้นที่อินเทอร์เน็ต
บทความนี้ตรวจสอบแง่มุมของสถาบันในการรับรองความปลอดภัยของข้อมูลของรัฐ ผู้เขียนเปิดเผยสาระสำคัญและบทบาทของกลไกสถาบันในการรับรองความปลอดภัยของข้อมูลของรัฐ ประเมินกลไกสถาบันในการรับรองความปลอดภัยของข้อมูลในรัสเซีย เน้นความท้าทายที่สำคัญ และแนะนำระบบมาตรการในการปรับปรุงกลไกสถาบันเพื่อรับรองความปลอดภัยของข้อมูล
คำสำคัญ: สถาบัน กลไกสถาบัน ความปลอดภัยของข้อมูล พื้นที่อินเทอร์เน็ต
การรับรองความปลอดภัยของข้อมูลของรัฐเป็นหน้าที่ของรัฐที่ค่อนข้างใหม่โดยมีปริมาณและเนื้อหาของวิธีการและเครื่องมือที่ยังไม่ได้รับการจัดตั้งขึ้น
ตำรวจ การก่อตัวของมันเกิดจากความต้องการปกป้องสังคมและรัฐจากการคุกคามข้อมูลที่เกี่ยวข้องกับการพัฒนาเทคโนโลยีสารสนเทศและการสื่อสารล่าสุด
เทคโนโลยี. ขนาดของผลกระทบด้านลบของภัยคุกคามเหล่านี้ต่อรัฐ องค์กร ผู้คนได้รับการยอมรับจากประชาคมโลกแล้ว ดังนั้นงานที่สำคัญที่สุดของรัฐคือการพัฒนาระบบมาตรการเพื่อป้องกันและต่อต้านพวกเขา บทบาทสำคัญในการบรรลุความปลอดภัยของข้อมูลของรัฐนั้นเล่นโดยกลไกของสถาบันในการจัดหา ประสิทธิภาพของระบบสถาบันที่ดำเนินการ สาธารณประโยชน์เป็นกุญแจสำคัญในการประสานกันเพื่อให้แน่ใจว่าผลประโยชน์ของรัฐสูงสุดรวมถึงความปลอดภัยของข้อมูลและระดับชาติ
จำได้ว่าสถาบันเป็นกฎของการปฏิสัมพันธ์ ("กฎของเกม") ในสังคมที่สร้างขึ้นโดยจิตสำนึกและประสบการณ์ของมนุษย์ ข้อจำกัดและข้อกำหนดเบื้องต้นสำหรับการพัฒนาในการเมือง ขอบเขตทางสังคม และเศรษฐกิจ สถาบันที่สนับสนุนการเติบโตทางเศรษฐกิจในระยะยาวคือกฎหมายและกฎเกณฑ์ที่สร้างแรงจูงใจและกลไกต่างๆ สถาบันกำหนดระบบของสิ่งจูงใจเชิงบวกและเชิงลบ ลดความไม่แน่นอน และทำให้สภาพแวดล้อมทางสังคมสามารถคาดเดาได้มากขึ้น สถาบันที่รับประกันความปลอดภัยของข้อมูลเป็นที่รู้จัก ได้แก่ หลักนิติธรรม ศาลที่เป็นอิสระและมีอำนาจ การปราศจากการทุจริต ฯลฯ
กลไกเชิงสถาบันสำหรับการรับรองความปลอดภัยของข้อมูลเป็นองค์ประกอบโครงสร้างพิเศษของกลไกทางเศรษฐกิจที่รับประกันการสร้างบรรทัดฐานและกฎเกณฑ์ที่ควบคุมการทำงานร่วมกันของหน่วยงานทางเศรษฐกิจต่างๆ ขอบเขตข้อมูลเพื่อป้องกันภัยคุกคามต่อความปลอดภัยของข้อมูล กลไกสถาบันตั้งอยู่ในสถาบันเคลื่อนไหว (เป็นทางการและไม่เป็นทางการ) วางโครงสร้างปฏิสัมพันธ์ของอาสาสมัคร ฝึกการควบคุมการปฏิบัติตามบรรทัดฐานและกฎเกณฑ์ที่กำหนดขึ้น
สาระสำคัญของกลไกสถาบันแสดงออกมาผ่านหน้าที่ O.V. Inshakov และ N.N. Lebedev เชื่อว่ากลไกสถาบันทำหน้าที่ต่อไปนี้ ซึ่งใช้ได้กับกลไกการรักษาความปลอดภัยข้อมูลด้วย:
1) การรวมตัวแทนเข้าเป็นสถาบันเดียวเพื่อดำเนินกิจกรรมร่วมกันภายใต้กรอบของสถานะและบรรทัดฐานทั่วไป
2) ความแตกต่างของบรรทัดฐานและสถานะ ตลอดจนหัวเรื่องและตัวแทนของสถาบันต่างๆ ให้เป็นข้อกำหนดที่แยกและเพิกเฉยต่อสิ่งเหล่านั้น ระเบียบการโต้ตอบระหว่าง
ta และตัวแทนตามข้อกำหนดที่กำหนดไว้;
3) การนำการแปลข้อกำหนดใหม่ไปสู่การปฏิบัติจริง
4) สร้างความมั่นใจในการผลิตซ้ำของนวัตกรรมประจำ;
5) การอยู่ใต้บังคับบัญชาและการประสานความสัมพันธ์ระหว่างหน่วยงานที่อยู่ในสถาบันต่างๆ
6) แจ้งอาสาสมัครเกี่ยวกับบรรทัดฐานใหม่และเกี่ยวกับพฤติกรรมฉวยโอกาส
7) กฎระเบียบของกิจกรรมของหน่วยงานที่แบ่งปันและปฏิเสธข้อกำหนดที่กำหนดโดยสถาบัน
8) ควบคุมการปฏิบัติตามบรรทัดฐาน กฎ และข้อตกลง
ดังนั้น กลไกของสถาบันในการรับรองความปลอดภัยของข้อมูลจึงรวมถึงกรอบกฎหมายและโครงสร้างสถาบันที่รับรอง ความสมบูรณ์แบบ กลไกนี้รวมถึงการปรับโครงสร้างกรอบกฎหมายเพื่อความปลอดภัยของข้อมูลและโครงสร้างสถาบันเพื่อต่อต้านภัยคุกคามความปลอดภัยของข้อมูล
กลไกของสถาบันในการรับรองความปลอดภัยของข้อมูลรวมถึง: การยอมรับกฎหมายใหม่ที่จะคำนึงถึงผลประโยชน์ของทุกหัวข้อในขอบเขตข้อมูล การปฏิบัติตามความสมดุลของหน้าที่สร้างสรรค์และข้อ จำกัด ของกฎหมายในขอบเขตข้อมูล การรวมรัสเซียเข้ากับพื้นที่ทางกฎหมายระดับโลก โดยคำนึงถึงสถานะของขอบเขตของเทคโนโลยีสารสนเทศภายในประเทศ
จนถึงปัจจุบัน รัสเซียได้จัดตั้งกรอบกฎหมายในด้านการรักษาความปลอดภัยข้อมูล ซึ่งรวมถึง:
1. กฎหมายของสหพันธรัฐรัสเซีย: รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย, "ว่าด้วยความปลอดภัย"; “เกี่ยวกับอวัยวะ บริการของรัฐบาลกลางความปลอดภัยในสหพันธรัฐรัสเซีย”, “ความลับของรัฐ”, “ข่าวกรองต่างประเทศ”, “การมีส่วนร่วมในการแลกเปลี่ยนข้อมูลระหว่างประเทศ”, “ข้อมูล, เทคโนโลยีสารสนเทศและการปกป้องข้อมูล”, “เปิด ลายเซ็นดิจิทัล" และอื่น ๆ.
2. กฎหมายข้อบังคับของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย: หลักคำสอนเรื่องความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย ยุทธศาสตร์ความมั่นคงแห่งชาติของสหพันธรัฐรัสเซียจนถึงปี 2020 "ในพื้นฐานของนโยบายของรัฐในขอบเขตของข้อมูล" "ในรายการข้อมูลที่จัดเป็นความลับของรัฐ" ฯลฯ
3. การกระทำทางกฎหมายเชิงบรรทัดฐานของรัฐบาลสหพันธรัฐรัสเซีย: "ในการรับรอง
วิธีการปกป้องข้อมูล”, “ในการออกใบอนุญาตกิจกรรมขององค์กร, สถาบันและองค์กรเพื่อดำเนินงานที่เกี่ยวข้องกับการใช้ข้อมูลที่เป็นความลับของรัฐ, การสร้างวิธีการปกป้องข้อมูล, เช่นเดียวกับการดำเนินการตามมาตรการและ (หรือ ) การให้บริการเพื่อปกป้องความลับของรัฐ”, “ในการออกใบอนุญาตกิจกรรมบางประเภท” เป็นต้น
4. ประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย (ตอนที่สี่)
5. ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย
ด้านหลัง ปีที่แล้วดำเนินการในรัสเซีย
ชุดของมาตรการเพื่อปรับปรุงความปลอดภัยของข้อมูล มีการใช้มาตรการเพื่อรับประกันความปลอดภัยของข้อมูลในหน่วยงานของรัฐบาลกลาง หน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย ที่สถานประกอบการ สถาบัน และองค์กร โดยไม่คำนึงถึงรูปแบบความเป็นเจ้าของ งานกำลังดำเนินการเพื่อปกป้องข้อมูลพิเศษและระบบโทรคมนาคม ระบบสถานะของการปกป้องข้อมูลระบบการปกป้องความลับของรัฐและระบบการรับรองของเครื่องมือรักษาความปลอดภัยข้อมูลมีส่วนช่วยในการแก้ปัญหาความปลอดภัยของข้อมูลในสหพันธรัฐรัสเซียอย่างมีประสิทธิภาพ
คณะกรรมาธิการด้านเทคนิคแห่งรัฐภายใต้ประธานาธิบดีแห่งสหพันธรัฐรัสเซียดำเนินนโยบายทางเทคนิคแบบครบวงจรและประสานงานในด้านการรักษาความปลอดภัยข้อมูลเป็นหัวหน้า ระบบของรัฐการปกป้องข้อมูลจากข่าวกรองทางเทคนิคและรับประกันการป้องกันข้อมูลจากการรั่วไหลผ่านช่องทางทางเทคนิคในดินแดนของรัสเซีย ตรวจสอบประสิทธิภาพของมาตรการป้องกันที่ดำเนินการ
มีบทบาทสำคัญในระบบรักษาความปลอดภัยข้อมูลของประเทศโดยรัฐและองค์กรสาธารณะ: พวกเขาควบคุมสื่อของรัฐและที่ไม่ใช่ของรัฐ
ในขณะเดียวกันระดับความปลอดภัยของข้อมูลในรัสเซียไม่สามารถตอบสนองความต้องการของสังคมและรัฐได้อย่างเต็มที่ ในเงื่อนไขของสังคมข้อมูลข่าวสาร ในแง่หนึ่ง ความขัดแย้งระหว่างความต้องการสาธารณะในการขยายตัวและเสรีภาพในการแลกเปลี่ยนข้อมูล และความจำเป็นที่จะต้องคงไว้ซึ่งข้อจำกัดที่มีระเบียบข้อบังคับในการเผยแพร่นั้นยิ่งทวีความรุนแรงมากขึ้น
ปัจจุบันไม่มีการสนับสนุนทางสถาบันสำหรับสิทธิของพลเมืองที่บัญญัติไว้ในรัฐธรรมนูญของสหพันธรัฐรัสเซียในขอบเขตข้อมูล (ความเป็นส่วนตัว ความลับส่วนบุคคล ความลับของการติดต่อ ฯลฯ) พักผ่อน-
ความปรารถนา การป้องกันที่ดีกว่าข้อมูลส่วนบุคคลที่รวบรวมโดยหน่วยงานของรัฐบาลกลาง
ไม่มีความชัดเจนในการดำเนินนโยบายของรัฐในด้านการก่อตัวของพื้นที่ข้อมูลของสหพันธรัฐรัสเซีย, สื่อ, การแลกเปลี่ยนข้อมูลระหว่างประเทศและการรวมรัสเซียเข้ากับพื้นที่ข้อมูลโลก
ในความเห็นของเราการปรับปรุงกลไกสถาบันของการรักษาความปลอดภัยข้อมูลของรัฐควรมุ่งเป้าไปที่การแก้ปัญหาที่สำคัญดังต่อไปนี้
แนวปฏิบัติที่อ่อนแอของกฎหมายรัสเซียสมัยใหม่ในขอบเขตข้อมูลสร้างปัญหาทางกฎหมายและระเบียบวิธี มีการแสดงความคิดเห็นว่าหลักคำสอนเรื่องความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียไม่มีค่าที่ใช้ มีความไม่ถูกต้องและข้อผิดพลาดเกี่ยวกับระเบียบวิธีมากมาย ดังนั้น เป้าหมายของการรักษาความปลอดภัยข้อมูลในหลักคำสอนจึงได้รับการยอมรับว่าเป็นผลประโยชน์ บุคคล สังคม รัฐ ซึ่งเป็นแนวคิดที่ไม่สามารถเปรียบเทียบกันได้ นักวิทยาศาสตร์หลายคนให้ความสนใจกับการไม่ยอมรับที่จะยอมรับการคุ้มครองผลประโยชน์ในฐานะเป้าหมายของความปลอดภัยของข้อมูล ไม่ใช่ผู้ให้บริการของพวกเขา
การใช้หมวดหมู่เหล่านี้ซึ่งเป็นเนื้อหาที่คลุมเครือ ไม่เหมาะสมอย่างสิ้นเชิงในเอกสารทางกฎหมาย ตัวอย่างเช่น วิชากฎหมายเป็นกฎหมายและ บุคคลองค์กร บุคคลไร้สัญชาติ หน่วยงานบริหาร หมวดหมู่ "รัฐ" รวมถึงอาณาเขตของประเทศ ประชากร (ประเทศ) อำนาจทางการเมือง ระบบรัฐธรรมนูญ
หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซียยอมรับว่าเป็นแหล่งที่มาของภัยคุกคามต่อความปลอดภัยของข้อมูล:
กิจกรรมของโครงสร้างต่างประเทศ
พัฒนาการของแนวคิดเรื่องสงครามข้อมูลข่าวสารโดยหลายรัฐ
ความปรารถนาของหลายประเทศที่จะครอบครอง ฯลฯ
ตามที่ G. Atamanov แหล่งที่มาสามารถเป็นวัตถุหรือเรื่องที่มีส่วนร่วมในกระบวนการข้อมูลหรือสามารถมีอิทธิพลต่อมันในระดับหนึ่งหรืออีกทางหนึ่ง ตัวอย่างเช่น ในกฎหมายของสหรัฐอเมริกา แหล่งที่มาของภัยคุกคามโครงสร้างพื้นฐานข้อมูล ได้แก่ แฮ็กเกอร์ที่ต่อต้านสหรัฐฯ กลุ่มก่อการร้าย ระบุว่าอาจมีการดำเนินการต่อต้านการก่อการร้าย;
แฮ็กเกอร์ ขี้สงสัยหรือทะลึ่งตึงตัง
ข้อบกพร่องและลักษณะของกรอบของหลักคำสอนลดประสิทธิภาพและจำกัดขอบเขตของการนำไปใช้ กำหนดทิศทางที่ไม่ถูกต้องสำหรับการพัฒนากฎหมายในขอบเขตข้อมูล และทำให้สับสนมากขึ้น
เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลอย่างเหมาะสม จำเป็นต้องสร้างระบบความสัมพันธ์ทางกฎหมายที่เหมาะสม ซึ่งในทางกลับกัน เป็นไปไม่ได้หากปราศจากการแก้ไขเครื่องมือจัดหมวดหมู่ รากฐานหลักคำสอนและแนวคิดของกฎหมายในขอบเขตข้อมูล
2. ช่องว่างระหว่างกฎหมายและการปฏิบัติในแวดวงข้อมูล
ช่องว่างขนาดใหญ่ระหว่างกฎหมายและการปฏิบัติในแวดวงข้อมูลมีอยู่จริงเนื่องจากความรวดเร็วและขนาดของการพัฒนาเทคโนโลยีสารสนเทศและอินเทอร์เน็ต ซึ่งก่อให้เกิดภัยคุกคามใหม่ในทันที กระบวนการทางกฎหมายนั้นยาวและยุ่งยาก ดังนั้นใน เงื่อนไขที่ทันสมัยจำเป็นต้องมีกลไกเพื่อให้การพัฒนากฎหมายสอดคล้องกับความเป็นจริงของการพัฒนาเทคโนโลยีสารสนเทศและสังคมสารสนเทศ สิ่งสำคัญคืองานในมือต้องไม่ใหญ่เกินไป เนื่องจากจะทำให้ความปลอดภัยของข้อมูลลดลงหรือสูญเสียไป
การเชื่อมช่องว่างระหว่างการปฏิบัติและกฎหมายในขอบเขตข้อมูลเป็นสิ่งจำเป็นเพื่อลดและต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูลที่เกิดจากการก้าวล้ำการพัฒนาเทคโนโลยีสารสนเทศและการเกิดขึ้นของสุญญากาศในการออกกฎหมาย
3. ขาดสถาบันระดับชาติที่รับประกันความปลอดภัยของข้อมูล
เป็นไปไม่ได้ที่จะตอบโต้อาชญากรรมที่กระทำบนอินเทอร์เน็ตโดยกองกำลังของประเทศใดประเทศหนึ่ง มาตรการห้ามที่กำหนดไว้ใน ระดับประเทศจะไม่เป็นผลเนื่องจากผู้กระทำความผิดอาจอยู่ต่างประเทศ ในการต่อสู้กับสิ่งเหล่านี้ จำเป็นต้องรวบรวมความพยายามในระดับสากลและนำกฎการปฏิบัติระหว่างประเทศมาใช้ในพื้นที่อินเทอร์เน็ต มีความพยายามที่คล้ายกัน ดังนั้นอนุสัญญาบูดาเปสต์ของสภายุโรปจึงอนุญาตให้ดำเนินคดีกับผู้ละเมิดในดินแดนของรัฐอื่นโดยไม่ต้องมีการเตือนเจ้าหน้าที่ นั่นคือเหตุผลที่หลายประเทศเห็นว่าการให้สัตยาบันเอกสารนี้ไม่สามารถยอมรับได้
กฎหมายต้นแบบ "บนพื้นฐานของระเบียบอินเทอร์เน็ต" ที่ได้รับอนุมัติในที่ประชุมใหญ่
การประชุมสมัชชาระหว่างรัฐสภาของประเทศสมาชิก CIS กำหนดขั้นตอนสำหรับการสนับสนุนของรัฐและกฎระเบียบของอินเทอร์เน็ตตลอดจนกฎสำหรับการกำหนดสถานที่และเวลาของการดำเนินการที่มีนัยสำคัญทางกฎหมายบนเครือข่าย นอกจากนี้กฎหมายยังควบคุมกิจกรรมและความรับผิดชอบของผู้ให้บริการ
จำเป็นต้องบันทึกการให้สัตยาบันของเอกสารที่อนุญาตให้มีการแลกเปลี่ยนข้อมูลที่เป็นความลับในดินแดนของรัสเซีย เบลารุส และคาซัคสถาน นี่คือโปรโตคอลที่กำหนดขั้นตอนการให้ข้อมูลที่มี ข้อมูลลับสำหรับการสืบสวนก่อนที่จะมีการใช้มาตรการป้องกันพิเศษ การตอบโต้การทุ่มตลาด และการชดเชยที่เกี่ยวข้องกับประเทศที่สาม นี่เป็นข้อตกลงที่สำคัญมากระหว่างประเทศสมาชิกของสหภาพศุลกากร ซึ่งทำให้สามารถร่วมกันพัฒนาและสร้างมาตรการป้องกันและตอบโต้การทุ่มตลาด ดังนั้น ในปัจจุบันจึงมีการจัดระเบียบกรอบการกำกับดูแลที่มั่นคง ซึ่งสร้างองค์กรเหนือชาติโดยพื้นฐานใหม่ที่มีอำนาจไม่เพียง แต่ดำเนินการสอบสวน รวบรวมหลักฐาน แต่ยังป้องกันการรั่วไหล โดยกำหนดขั้นตอนในการจัดหา
การก่อตัวของสถาบันเหนือชาติในขอบเขตข้อมูลจะทำให้สามารถเอาชนะข้อจำกัดของกฎหมายระดับชาติในการต่อสู้กับอาชญากรรมทางข้อมูลได้
4. ขาดสถาบันพื้นที่อินเทอร์เน็ต
ในปัจจุบัน สถาบันใหม่ดังกล่าวควรปรากฏในกฎหมายระหว่างประเทศที่ควบคุมปฏิสัมพันธ์ของอาสาสมัครในพื้นที่อินเทอร์เน็ต เช่น "พรมแดนทางอิเล็กทรอนิกส์" "อำนาจอธิปไตยทางอิเล็กทรอนิกส์" "ภาษีทางอิเล็กทรอนิกส์" และอื่นๆ สิ่งนี้จะช่วยเอาชนะลักษณะแฝงของอาชญากรรมทางไซเบอร์ เช่น เพิ่มการตรวจจับอาชญากรรมทางไซเบอร์
5. การพัฒนาความร่วมมือระหว่างภาครัฐและเอกชนในขอบเขตข้อมูล
ภาวะที่กลืนไม่เข้าคายไม่ออกที่น่าสนใจเกิดขึ้นเนื่องจากความต้องการขององค์กรภาครัฐในการเผยแพร่รายงานเกี่ยวกับสถานะของระบบรักษาความปลอดภัยข้อมูลของตน ด้านหนึ่ง สิ่งพิมพ์เหล่านี้สะท้อนให้เห็นถึงความพยายามของรัฐในการรักษาระบบความปลอดภัยทางไซเบอร์ให้อยู่ในระดับที่เหมาะสม ดูเหมือนว่าผลลัพธ์ดังกล่าวน่าจะนำไปสู่โครงสร้างการใช้จ่ายด้านความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพมากขึ้น แต่ในทางกลับกัน การเผยแพร่ข้อมูลเกี่ยวกับข้อบกพร่องของระบบความปลอดภัยทางไซเบอร์
วารสารวิทยาศาสตร์และการปฏิบัติ. ISSN 1995-5731
ความปลอดภัย องค์กรของรัฐมีแนวโน้มที่จะทำให้พวกเขาเสี่ยงต่อการถูกโจมตีจากแฮ็กเกอร์ ซึ่งทำให้ต้องใช้ทรัพยากรมากขึ้นเพื่อขับไล่และป้องกันพวกเขา
ปัญหาที่ใหญ่ที่สุดในการสร้างความร่วมมือและการแลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับการรักษาความปลอดภัยระหว่างหน่วยงานรัฐบาลและองค์กร Gordon และ Loeb พิจารณาถึงปัญหาของ "free-riding" (//tee-^et) ดูเหมือนว่าตั้งแต่การรักษาความปลอดภัย เครือข่ายคอมพิวเตอร์ขึ้นอยู่กับการกระทำของผู้เข้าร่วมแต่ละคน ความร่วมมือดังกล่าวเป็นวิธีที่ดีที่สุดในการเพิ่มประสิทธิภาพของเงินทุนที่ใช้ในความปลอดภัยทางไซเบอร์ การแลกเปลี่ยนข้อมูลและประสบการณ์ที่ประสบความสำเร็จในด้านความปลอดภัยทางไซเบอร์จะทำให้สามารถประสานงานกิจกรรมดังกล่าวในระดับชาติและระดับนานาชาติได้ แต่ในความเป็นจริง ความกลัวของบริษัทที่จะสูญเสียข้อได้เปรียบทางการแข่งขันจากการเข้าร่วมในความร่วมมือเครือข่ายดังกล่าวและการให้ข้อมูลที่ครบถ้วนเกี่ยวกับตัวเองนั้นนำไปสู่
จากการให้ ข้อมูลที่สมบูรณ์. เฉพาะการพัฒนาความร่วมมือระหว่างภาครัฐและเอกชนบนพื้นฐานของแรงจูงใจทางเศรษฐกิจที่สำคัญเพียงพอเท่านั้นที่สามารถเปลี่ยนแปลงสถานการณ์ได้ที่นี่
ดังนั้นกลไกเชิงสถาบันในการรับรองความปลอดภัยของข้อมูลของรัฐจึงเกี่ยวข้องกับการก่อตัวของรากฐานทางกฎหมายและโครงสร้างสถาบันที่รับประกัน เพื่อปรับปรุงกลไกสถาบันและสร้างสถาปัตยกรรมใหม่ของความมั่นคงทางเศรษฐกิจในเงื่อนไขของ เศรษฐกิจสารสนเทศมีการเสนอระบบของมาตรการ รวมถึง: การเอาชนะลักษณะการประกาศของกฎหมายและลดช่องว่างระหว่างกฎหมายและการปฏิบัติในขอบเขตข้อมูล การก่อตัวของกฎหมายเหนือชาติในขอบเขตข้อมูล การสร้างสถาบันใหม่ที่กำหนดกรอบสำหรับการปฏิสัมพันธ์ และระเบียบปฏิบัติในพื้นที่อินเทอร์เน็ต
รายการบรรณานุกรม (อ้างอิง)
1. Inshakov O.V. , Lebedeva N.N. กลไกทางเศรษฐกิจและสถาบัน: ความสัมพันธ์และปฏิสัมพันธ์ในเงื่อนไขของการเปลี่ยนแปลงทางสังคมและตลาดของเศรษฐกิจรัสเซีย // แถลงการณ์ของเซนต์ปีเตอร์สเบิร์ก สถานะ อา เซอร์ 5. 2551. ฉบับที่. 4 (ฉบับที่ 16).
2. Dzliev M.I. , Romanovich A.L. , Ursul A.D. ปัญหาด้านความปลอดภัย: ด้านทฤษฎีและระเบียบวิธี ม., 2544.
3. Atamanov G. A. ความปลอดภัยของข้อมูลที่ทันสมัย สังคมรัสเซีย(ด้านสังคม-ปรัชญา) : โรค. ...แคนด์. ปรัชญา วิทยาศาสตร์ โวลโกกราด 2549
4. Kononov A. A. , Smolyan G. L. Information Society: Total Risk Society หรือ รับประกันความปลอดภัย Society? // สังคมสารสนเทศ. 2545. ครั้งที่ 1.
1. Inshakov O.V. , Lebedeva N.N. (2551) Khozyaystvennyy ฉันสถาบัน "nyy mekhaniz-my: sootnosheniye ฉัน vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. ไป อา เซอร์ 5. วีไอพี 4 (ฉบับที่ 16).
2. Dzliyev M.I. , Romanovich A.L. , Ursul A.D. (2001) ปัญหาความปลอดภัย: teoretiko-metodologicheskiye aspekty. ม.
3. อทามานอฟ G.A. (2549) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt) . โวลโกกราด
4. Kononov A.A. , Smolyan G.L. (2545) In-formatsionnoye obshchestvo: obshchestvo รวม "nogo riska หรือ obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo หมายเลข 1
2. ระบบป้องกันไวรัส ESET NOD 32 เพื่อป้องกันไวรัสคอมพิวเตอร์
ฐานข้อมูลได้รับการอัปเดตเป็นประจำและสแกนเวิร์กสเตชัน
3. Windows Backup ในตัวเพื่อสร้างไฟล์เก็บถาวร
OS Backup Wizard เป็นโปรแกรมที่ออกแบบมาสำหรับ สร้างอย่างรวดเร็วและกู้คืนข้อมูลสำรอง สำเนาของ Windows. ช่วยให้คุณสร้างสำเนาของ Windows ทั้งหมดหรือเฉพาะไฟล์และโฟลเดอร์แต่ละรายการ
4. การเข้ารหัสด้วยคีย์ 2048 บิตสำหรับ ช่อง VPN(เชื่อมต่อกับสำนักงานของ บริษัท จัดการสำหรับจดหมายและเวิร์กโฟลว์)
บทที่ 2 การปรับปรุง NIS
2.1 จุดอ่อนของระบบรักษาความปลอดภัยข้อมูล
เมื่อวิเคราะห์ประเด็นที่เกี่ยวข้องกับความปลอดภัยของข้อมูล จำเป็นต้องคำนึงถึงลักษณะเฉพาะของการรักษาความปลอดภัยนี้ ซึ่งประกอบด้วยข้อเท็จจริงที่ว่าความปลอดภัยของข้อมูลเป็นส่วนสำคัญของเทคโนโลยีสารสนเทศ ซึ่งเป็นพื้นที่ที่มีการพัฒนาอย่างก้าวกระโดดอย่างไม่เคยปรากฏมาก่อน มันไม่สำคัญมากนักที่นี่ โซลูชันแยกต่างหาก(กฎหมาย หลักสูตรการฝึกอบรม, ผลิตภัณฑ์ซอฟต์แวร์และฮาร์ดแวร์) ซึ่งอยู่ในระดับที่ทันสมัย มีกี่กลไกสำหรับการสร้างโซลูชันใหม่ที่ช่วยให้คุณดำเนินชีวิตตามความก้าวหน้าทางเทคนิค
เทคโนโลยีที่ทันสมัยการเขียนโปรแกรมไม่อนุญาตให้คุณสร้างโปรแกรมที่ปราศจากข้อผิดพลาดซึ่งไม่ได้มีส่วนช่วยในการพัฒนาเครื่องมือรักษาความปลอดภัยข้อมูลอย่างรวดเร็ว
หลังจากวิเคราะห์ความปลอดภัยของข้อมูลขององค์กรแล้ว เราสามารถสรุปได้ว่ามีการให้ความสนใจไม่เพียงพอต่อความปลอดภัยของข้อมูล:
ขาดรหัสผ่านการเข้าถึงระบบ
ไม่มีรหัสผ่านเมื่อทำงานกับโปรแกรมด้วย 1C: Enterprise เมื่อเปลี่ยนข้อมูล
ไม่มีการป้องกันไฟล์และข้อมูลเพิ่มเติม (ไม่มีการขอรหัสผ่านเบื้องต้นเมื่อเปิดหรือเปลี่ยนแปลงข้อมูลในไฟล์ ไม่ต้องพูดถึงเครื่องมือเข้ารหัสข้อมูล)
การอัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัสและการสแกนเวิร์กสเตชันไม่สม่ำเสมอ
เอกสารจำนวนมากบนกระดาษส่วนใหญ่อยู่ในโฟลเดอร์ (บางครั้งไม่มี) บนเดสก์ท็อปของพนักงาน ซึ่งช่วยให้ผู้โจมตีสามารถใช้ข้อมูลประเภทนี้เพื่อวัตถุประสงค์ของตนเองได้อย่างง่ายดาย
ไม่มีการอภิปรายเป็นประจำเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลที่องค์กรและปัญหาที่เกิดขึ้นใหม่ในพื้นที่นี้
ไม่มีการตรวจสอบประสิทธิภาพอย่างสม่ำเสมอ ระบบข้อมูลองค์กร การดีบักจะดำเนินการก็ต่อเมื่อล้มเหลวเท่านั้น
ขาดนโยบายการรักษาความปลอดภัยของข้อมูล
ขาดผู้ดูแลระบบ
ทั้งหมดข้างต้นเป็นข้อบกพร่องที่สำคัญมากในการรับรองความปลอดภัยของข้อมูลขององค์กร
2.2 วัตถุประสงค์และวัตถุประสงค์ของระบบรักษาความปลอดภัยข้อมูล
ความปลอดภัยของข้อมูล - สถานะของความปลอดภัย ทรัพยากรสารสนเทศในเครือข่ายคอมพิวเตอร์และระบบขององค์กรจากการเข้าถึงโดยไม่ได้รับอนุญาต การรบกวนโดยบังเอิญหรือโดยเจตนากับการทำงานปกติของระบบ ความพยายามที่จะทำลายส่วนประกอบต่างๆ
เป้าหมายความปลอดภัยของข้อมูล:
การป้องกันภัยคุกคามต่อความปลอดภัยขององค์กรเนื่องจากการกระทำที่ไม่ได้รับอนุญาตในการทำลาย แก้ไข บิดเบือน คัดลอก บล็อกข้อมูล หรือการแทรกแซงที่ผิดกฎหมายในรูปแบบอื่นในทรัพยากรข้อมูลและระบบข้อมูล
การรักษาความลับทางการค้าที่ดำเนินการด้วยวิธี วิทยาศาสตร์คอมพิวเตอร์;
การคุ้มครองสิทธิตามรัฐธรรมนูญของพลเมืองในการรักษาความลับส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล
เพื่อให้บรรลุเป้าหมายของการป้องกัน ควรมีการแก้ปัญหาที่มีประสิทธิภาพของงานต่อไปนี้:
การป้องกันการแทรกแซงในกระบวนการทำงานขององค์กรโดยบุคคลที่ไม่ได้รับอนุญาต
การป้องกันการกระทำที่ไม่ได้รับอนุญาตกับแหล่งข้อมูลขององค์กรโดยบุคคลที่ไม่ได้รับอนุญาตและพนักงานที่ไม่มีอำนาจที่เหมาะสม
รับรองความครบถ้วน เชื่อถือได้ และประสิทธิภาพของการสนับสนุนข้อมูลสำหรับการนำไปใช้ การตัดสินใจของฝ่ายบริหารการจัดการองค์กร
รับประกันความปลอดภัยทางกายภาพของวิธีการทางเทคนิคและ ซอฟต์แวร์องค์กรและการป้องกันจากการกระทำของภัยคุกคามที่มนุษย์สร้างขึ้นและเป็นธรรมชาติ
การลงทะเบียนของเหตุการณ์ที่ส่งผลกระทบต่อความปลอดภัยของข้อมูล ทำให้มั่นใจได้ถึงการควบคุมและความรับผิดชอบอย่างเต็มที่ของการดำเนินงานทั้งหมดที่ดำเนินการในองค์กร
การระบุ การประเมิน และการพยากรณ์แหล่งที่มาของภัยคุกคามต่อความปลอดภัยของข้อมูลอย่างทันท่วงที สาเหตุและเงื่อนไขที่ก่อให้เกิดความเสียหายต่อผลประโยชน์ของอาสาสมัคร การหยุดชะงักของการทำงานปกติและการพัฒนาขององค์กร
การวิเคราะห์ความเสี่ยงของการใช้ภัยคุกคามต่อความปลอดภัยของข้อมูลและการประเมินความเสียหายที่อาจเกิดขึ้น การป้องกันผลกระทบที่ยอมรับไม่ได้ของการละเมิดความปลอดภัยของข้อมูลขององค์กร การสร้างเงื่อนไขสำหรับการลดและจำกัดความเสียหายที่เกิดขึ้น
สร้างความมั่นใจในความเป็นไปได้ในการฟื้นฟูสถานะปัจจุบันขององค์กรในกรณีที่มีการละเมิดความปลอดภัยของข้อมูลและกำจัดผลที่ตามมาของการละเมิดเหล่านี้
· การสร้างและการจัดทำนโยบายการรักษาความปลอดภัยข้อมูลที่มีวัตถุประสงค์ขององค์กร
2.3 มาตรการและวิธีการปรับปรุงระบบรักษาความปลอดภัยของข้อมูล
เพื่อให้บรรลุเป้าหมายที่กำหนดและแก้ไขปัญหาจำเป็นต้องดำเนินกิจกรรมในระดับความปลอดภัยของข้อมูล
ระดับการบริหารความปลอดภัยของข้อมูล
เพื่อสร้างระบบรักษาความปลอดภัยข้อมูล จำเป็นต้องพัฒนาและอนุมัตินโยบายความปลอดภัยข้อมูล
นโยบายความปลอดภัยคือชุดของกฎหมาย กฎ และบรรทัดฐานของพฤติกรรมที่มุ่งปกป้องข้อมูลและทรัพยากรที่เกี่ยวข้อง
ควรสังเกตว่านโยบายที่กำลังพัฒนาควรสอดคล้องกับกฎหมายและข้อบังคับที่มีอยู่ที่เกี่ยวข้องกับองค์กร เช่น กฎหมายและข้อบังคับเหล่านี้จำเป็นต้องได้รับการระบุและนำมาพิจารณาในการพัฒนานโยบาย
ยิ่งระบบมีความน่าเชื่อถือมากเท่าใด นโยบายความปลอดภัยก็ควรเข้มงวดและหลากหลายมากขึ้นเท่านั้น
ขึ้นอยู่กับนโยบายที่กำหนดไว้ คุณสามารถเลือกกลไกเฉพาะที่รับประกันความปลอดภัยของระบบ
การป้องกันข้อมูลระดับองค์กร.
ตามข้อบกพร่องที่อธิบายไว้ในส่วนก่อนหน้านี้ สามารถเสนอมาตรการต่อไปนี้เพื่อปรับปรุงความปลอดภัยของข้อมูล:
การจัดองค์กรในการฝึกอบรมพนักงานในทักษะการทำงานใหม่ ผลิตภัณฑ์ซอฟต์แวร์ด้วยการมีส่วนร่วมของผู้เชี่ยวชาญที่ผ่านการรับรอง
การพัฒนามาตรการที่จำเป็นเพื่อปรับปรุงระบบเศรษฐกิจ สังคม และความปลอดภัยของข้อมูลขององค์กร
จัดให้มีการฝึกอบรมเพื่อให้พนักงานแต่ละคนตระหนักถึงความสำคัญและความลับของข้อมูลที่ได้รับมอบหมายเนื่องจากตามกฎแล้วเหตุผลในการเปิดเผยข้อมูลที่เป็นความลับนั้นพนักงานมีความรู้ไม่เพียงพอเกี่ยวกับกฎการปกป้องความลับทางการค้าและความเข้าใจผิด (หรือ ความเข้าใจผิด) ถึงความจำเป็นในการปฏิบัติอย่างระมัดระวัง
การควบคุมอย่างเข้มงวดต่อการปฏิบัติตามกฎระเบียบของพนักงานในการทำงานกับข้อมูลที่เป็นความลับ
ตรวจสอบการปฏิบัติตามกฎการจัดเก็บเอกสารการทำงานของพนักงานขององค์กร
กำหนดการประชุม สัมมนา อภิปรายเกี่ยวกับปัญหาความปลอดภัยของข้อมูลองค์กร
การตรวจสอบและบำรุงรักษาระบบข้อมูลและโครงสร้างพื้นฐานข้อมูลทั้งหมดอย่างสม่ำเสมอ (ตามกำหนดเวลา) เพื่อความสามารถในการปฏิบัติงาน
แต่งตั้งผู้ดูแลระบบเป็นการถาวร
มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เพื่อปกป้องข้อมูล
ซอฟต์แวร์และฮาร์ดแวร์เป็นหนึ่งในองค์ประกอบที่สำคัญที่สุดในการนำไปใช้งาน ความปลอดภัยของข้อมูลดังนั้น เพื่อเพิ่มระดับการปกป้องข้อมูล จึงจำเป็นต้องแนะนำและใช้มาตรการต่อไปนี้:
ป้อนรหัสผ่านผู้ใช้
ในการควบคุมการเข้าถึงทรัพยากรข้อมูลขององค์กรของผู้ใช้ คุณต้องป้อนรายชื่อผู้ใช้ที่จะเข้าสู่ระบบภายใต้การเข้าสู่ระบบของพวกเขา การใช้ระบบปฏิบัติการ วินโดวส์เซิร์ฟเวอร์ 2003 Std ติดตั้งบนเซิร์ฟเวอร์ คุณสามารถสร้างรายชื่อผู้ใช้ด้วยรหัสผ่านที่เกี่ยวข้อง แจกจ่ายรหัสผ่านให้กับพนักงานพร้อมคำแนะนำที่เหมาะสมสำหรับการใช้งาน คุณต้องป้อนวันที่หมดอายุของรหัสผ่านด้วย หลังจากนั้นผู้ใช้จะได้รับแจ้งให้เปลี่ยนรหัสผ่าน จำกัดจำนวนครั้งในการเข้าสู่ระบบด้วยรหัสผ่านที่ไม่ถูกต้อง (เช่น ไม่เกินสามครั้ง)
การแนะนำคำขอรหัสผ่านใน 1C: โปรแกรม Enterprise เมื่อทำงานกับฐานข้อมูลเมื่อเปลี่ยนข้อมูล สามารถทำได้โดยใช้เครื่องมือและซอฟต์แวร์ซอฟต์แวร์สำหรับพีซี
การแยกการเข้าถึงไฟล์ ไดเร็กทอรี ดิสก์
ความแตกต่างของการเข้าถึงไฟล์และไดเร็กทอรีจะดำเนินการโดยผู้ดูแลระบบ ซึ่งจะอนุญาตให้เข้าถึงไดรฟ์ โฟลเดอร์ และไฟล์ที่เกี่ยวข้องสำหรับผู้ใช้แต่ละรายโดยเฉพาะ
สแกนเวิร์กสเตชันเป็นประจำและอัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัส
ช่วยให้คุณตรวจจับและทำให้เป็นกลาง มัลแวร์กำจัดสาเหตุของการติดเชื้อ จำเป็นต้องดำเนินการติดตั้ง กำหนดค่า และบำรุงรักษาเครื่องมือและระบบ การป้องกันไวรัส.
ในการดำเนินการนี้ คุณต้องกำหนดค่าโปรแกรมป้องกันไวรัสให้สแกนพีซีของคุณเป็นประจำและอัปเดตฐานข้อมูลจากเซิร์ฟเวอร์เป็นประจำ
การติดตั้งไฟร์วอลล์ Agnitum Outpost FireWall บนคอมพิวเตอร์เซิร์ฟเวอร์ ซึ่งจะบล็อกการโจมตีจากอินเทอร์เน็ต
ประโยชน์ของการใช้ Agnitum Outpost FireWall:
¾ ควบคุมการเชื่อมต่อคอมพิวเตอร์ของคุณกับผู้อื่น บล็อกแฮกเกอร์ และป้องกันการเข้าถึงเครือข่ายภายนอกและภายในโดยไม่ได้รับอนุญาต
มาตรการป้องกันที่ใช้ควรเพียงพอต่อความเป็นไปได้ในการดำเนินการ ประเภทนี้ภัยคุกคามและความเสียหายที่อาจเกิดขึ้นหากภัยคุกคามเกิดขึ้นจริง (รวมถึงค่าใช้จ่ายในการป้องกัน)
ต้องระลึกไว้เสมอว่ามาตรการป้องกันหลายอย่างต้องใช้ทรัพยากรคอมพิวเตอร์ขนาดใหญ่เพียงพอ ซึ่งจะส่งผลต่อกระบวนการประมวลผลข้อมูลอย่างมาก ดังนั้นวิธีการที่ทันสมัยในการแก้ปัญหานี้คือการใช้หลักการของการจัดการสถานการณ์ความปลอดภัยของทรัพยากรข้อมูลในระบบควบคุมอัตโนมัติ สาระสำคัญของแนวทางนี้อยู่ที่ความจริงที่ว่าระดับความปลอดภัยของข้อมูลที่กำหนดนั้นถูกกำหนดตามสถานการณ์ที่กำหนดอัตราส่วนระหว่างมูลค่าของข้อมูลที่ประมวลผล ต้นทุน (ประสิทธิภาพการทำงานของระบบควบคุมอัตโนมัติลดลง เพิ่มเติม หน่วยความจำเข้าถึงโดยสุ่มฯลฯ) ซึ่งจำเป็นต่อการบรรลุระดับนี้ และการสูญเสียทั้งหมดที่เป็นไปได้ (วัสดุ ศีลธรรม ฯลฯ) จากการบิดเบือนและการใช้ข้อมูลโดยไม่ได้รับอนุญาต
ลักษณะที่จำเป็นของการปกป้องทรัพยากรข้อมูลนั้นถูกกำหนดในการวางแผนสถานการณ์ในระหว่างการเตรียมกระบวนการทางเทคโนโลยีของการประมวลผลข้อมูลที่ปลอดภัยโดยตรงโดยคำนึงถึงสถานการณ์ปัจจุบันและ (ในปริมาณที่ลดลง) ในระหว่างกระบวนการประมวลผล เมื่อเลือกมาตรการป้องกัน เราต้องคำนึงถึงต้นทุนโดยตรงในการซื้ออุปกรณ์และโปรแกรมเท่านั้น แต่ยังรวมถึงค่าใช้จ่ายในการแนะนำผลิตภัณฑ์ใหม่ การฝึกอบรมและการฝึกอบรมบุคลากรใหม่ด้วย สถานการณ์ที่สำคัญคือความเข้ากันได้ของเครื่องมือใหม่กับโครงสร้างฮาร์ดแวร์และซอฟต์แวร์ที่มีอยู่ของวัตถุ
ประสบการณ์ต่างประเทศในด้านการคุ้มครองทรัพย์สินทางปัญญาและประสบการณ์ภายในประเทศในการคุ้มครองความลับของรัฐแสดงให้เห็นว่าเท่านั้น การป้องกันที่ครอบคลุมซึ่งรวมการคุ้มครองด้านกฎหมาย องค์กร และวิศวกรรมเข้าไว้ด้วยกัน
ทิศทางทางกฎหมายกำหนดให้มีการจัดตั้งชุดกฎหมาย เอกสารกำกับดูแล ข้อบังคับ คำแนะนำ แนวปฏิบัติ ซึ่งเป็นข้อกำหนดที่จำเป็นภายในขอบเขตของกิจกรรมในระบบรักษาความปลอดภัยข้อมูล
ทิศทางองค์กร- นี่เป็นข้อบังคับของกิจกรรมการผลิตและความสัมพันธ์ของนักแสดงบนพื้นฐานทางกฎหมายในลักษณะที่การเปิดเผย การรั่วไหล และการเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตกลายเป็นไปไม่ได้หรือถูกขัดขวางอย่างมากจากมาตรการขององค์กร
ผู้เชี่ยวชาญกล่าวว่ามาตรการขององค์กรมีบทบาทสำคัญในการสร้างกลไกที่เชื่อถือได้ในการปกป้องข้อมูล เนื่องจากความเป็นไปได้ของการใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตส่วนใหญ่ไม่ได้เกิดจากด้านเทคนิค แต่เป็นการกระทำที่เป็นอันตราย ความประมาทเลินเล่อ ความประมาทเลินเล่อของผู้ใช้หรือความปลอดภัย บุคลากร.
กิจกรรมขององค์กรรวมถึง:
กิจกรรมที่ดำเนินการในการออกแบบ ก่อสร้างและอุปกรณ์ของอาคารสำนักงานและโรงงานอุตสาหกรรม
กิจกรรมดำเนินการคัดเลือกบุคลากร
องค์กรและการบำรุงรักษาการควบคุมการเข้าถึงที่เชื่อถือได้ ความปลอดภัยของสถานที่และอาณาเขต การควบคุมผู้มาเยือน
องค์กรในการจัดเก็บและการใช้เอกสารและผู้ขนส่งข้อมูลที่เป็นความลับ
องค์กรด้านความปลอดภัยของข้อมูล
การจัดฝึกอบรมพนักงานประจำ
หนึ่งในองค์ประกอบหลักของการรักษาความปลอดภัยข้อมูลองค์กรของ บริษัท คือ Information Security Service (ISS - หน่วยงานจัดการระบบรักษาความปลอดภัยข้อมูล) มันมาจากความพร้อมอย่างมืออาชีพของพนักงานบริการรักษาความปลอดภัยข้อมูลที่มีอยู่ในคลังแสงของพวกเขา วิธีการที่ทันสมัยการจัดการความปลอดภัยส่วนใหญ่ขึ้นอยู่กับประสิทธิภาพของมาตรการในการปกป้องข้อมูล โครงสร้าง ขนาด และองค์ประกอบพนักงานถูกกำหนดโดยความต้องการที่แท้จริงของบริษัท ระดับความลับของข้อมูล และสถานะทั่วไปของความปลอดภัย
วัตถุประสงค์หลักของการทำงานของ ISS โดยใช้มาตรการขององค์กรและซอฟต์แวร์และฮาร์ดแวร์คือการหลีกเลี่ยงหรืออย่างน้อยก็ลดความเป็นไปได้ของการละเมิดนโยบายความปลอดภัยให้เหลือน้อยที่สุด เพื่อแจ้งให้ทราบและกำจัดผลที่ตามมาจากการละเมิดให้ทันเวลา
เพื่อให้แน่ใจว่าการดำเนินงานของ SIS ประสบความสำเร็จ จำเป็นต้องกำหนดสิทธิ์และภาระหน้าที่ รวมถึงกฎสำหรับการโต้ตอบกับหน่วยอื่น ๆ ในประเด็นของการปกป้องข้อมูลที่สถานที่ จำนวนบริการควรเพียงพอที่จะทำหน้าที่ทั้งหมดที่ได้รับมอบหมาย เป็นที่พึงปรารถนาว่าเจ้าหน้าที่ของบริการไม่มีหน้าที่เกี่ยวข้องกับการทำงานของวัตถุคุ้มครอง บริการรักษาความปลอดภัยข้อมูลต้องมีเงื่อนไขทั้งหมดที่จำเป็นในการปฏิบัติหน้าที่
แกนกลาง ทิศทางวิศวกรรมและเทคนิคเป็นเครื่องมือรักษาความปลอดภัยข้อมูลซอฟต์แวร์และฮาร์ดแวร์ ซึ่งรวมถึงวิศวกรรมเครื่องกล ระบบเครื่องกลไฟฟ้า อิเล็กทรอนิกส์ ออปติก เลเซอร์ วิทยุและวิทยุ เรดาร์และอุปกรณ์อื่นๆ ระบบและโครงสร้างที่ออกแบบมาเพื่อรับรองความปลอดภัยและการปกป้องข้อมูล
ซอฟต์แวร์รักษาความปลอดภัยข้อมูลถูกเข้าใจว่าเป็นชุดของ โปรแกรมพิเศษตระหนักถึงหน้าที่ของการปกป้องข้อมูลและโหมดการทำงาน
ชุดมาตรการทางกฎหมาย องค์กร และวิศวกรรมที่ก่อตัวขึ้นส่งผลให้มีนโยบายความปลอดภัยที่เหมาะสม
นโยบายความปลอดภัยกำหนดลักษณะที่ปรากฏของระบบรักษาความปลอดภัยข้อมูลในรูปแบบของชุดบรรทัดฐานทางกฎหมาย มาตรการขององค์กร (กฎหมาย) ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์ และโซลูชันขั้นตอนที่มุ่งต่อต้านภัยคุกคามเพื่อกำจัดหรือลดผลกระทบที่อาจเกิดขึ้นจากข้อมูล ผลกระทบ หลังจากนำนโยบายความปลอดภัยเวอร์ชันใดเวอร์ชันหนึ่งมาใช้ จำเป็นต้องประเมินระดับความปลอดภัยของระบบข้อมูล ตามปกติแล้ว การประเมินความปลอดภัยจะดำเนินการตามชุดของตัวบ่งชี้ ซึ่งหลักๆ ได้แก่ ต้นทุน ประสิทธิภาพ และความเป็นไปได้
การประเมินตัวเลือกสำหรับการสร้างระบบรักษาความปลอดภัยข้อมูลเป็นงานที่ค่อนข้างซับซ้อน โดยต้องใช้วิธีการทางคณิตศาสตร์สมัยใหม่สำหรับการประเมินประสิทธิภาพแบบหลายพารามิเตอร์ ซึ่งรวมถึง: วิธีการวิเคราะห์ลำดับชั้น วิธีการของผู้เชี่ยวชาญ วิธีการให้สัมปทานแบบต่อเนื่อง และอื่น ๆ อีกมากมาย
เมื่อดำเนินการตามมาตรการที่ตั้งใจไว้ จำเป็นต้องตรวจสอบประสิทธิภาพ นั่นคือ เพื่อให้แน่ใจว่าความเสี่ยงที่หลงเหลืออยู่ในเกณฑ์ที่ยอมรับได้ จากนั้นจึงจะสามารถตั้งค่าวันที่ของการประเมินค่าใหม่ครั้งถัดไปได้ มิฉะนั้น คุณจะต้องวิเคราะห์ข้อผิดพลาดที่เกิดขึ้นและดำเนินการเซสชันการวิเคราะห์ช่องโหว่ครั้งที่สอง โดยคำนึงถึงการเปลี่ยนแปลงในระบบป้องกัน
สถานการณ์จำลองที่เป็นไปได้ของการกระทำของผู้บุกรุกจำเป็นต้องมีการตรวจสอบระบบความปลอดภัยของข้อมูล การทดสอบนี้เรียกว่า "การทดสอบการเจาะ" เป้าหมายคือเพื่อให้มั่นใจว่าไม่มีวิธีที่ง่ายสำหรับผู้ใช้ที่ไม่ได้รับอนุญาตในการข้ามกลไกการรักษาความปลอดภัย
หนึ่งใน วิธีที่เป็นไปได้การรับรองความปลอดภัยของระบบ - เชิญแฮ็กเกอร์ให้แฮ็กโดยไม่ต้องแจ้งให้เจ้าหน้าที่เครือข่ายทราบล่วงหน้า สำหรับสิ่งนี้จะมีการจัดสรรกลุ่มคนสองหรือสามคนที่มีการฝึกอบรมอย่างมืออาชีพ แฮ็กเกอร์มีระบบอัตโนมัติที่ได้รับการป้องกัน และกลุ่มพยายามค้นหาช่องโหว่เป็นเวลา 1-3 เดือน และพัฒนาเครื่องมือทดสอบโดยอาศัยกลไกดังกล่าวเพื่อหลีกเลี่ยงกลไกการป้องกัน แฮ็กเกอร์ที่ได้รับการว่าจ้างจะส่งรายงานที่เป็นความลับเกี่ยวกับผลงานพร้อมการประเมินระดับความพร้อมใช้งานของข้อมูลและคำแนะนำในการปรับปรุงการป้องกัน
ใช้เครื่องมือทดสอบซอฟต์แวร์ควบคู่ไปกับวิธีนี้
ที่เวที จัดทำแผนป้องกันตามนโยบายความปลอดภัยที่เลือกจะมีการพัฒนาแผนสำหรับการดำเนินการ แผนป้องกันเป็นเอกสารที่มีผลบังคับใช้กับระบบป้องกันข้อมูลซึ่งได้รับการอนุมัติจากหัวหน้าองค์กร การวางแผนไม่ใช่แค่เรื่อง ใช้ดีที่สุดความเป็นไปได้ทั้งหมดที่มีให้กับบริษัท รวมถึงทรัพยากรที่จัดสรร แต่ยังรวมถึงการป้องกันการกระทำที่ผิดพลาดที่อาจนำไปสู่การลดประสิทธิภาพของมาตรการที่ใช้เพื่อปกป้องข้อมูล
แผนการรักษาความปลอดภัยข้อมูลของไซต์ควรรวมถึง:
คำอธิบายของระบบที่ได้รับการป้องกัน (ลักษณะสำคัญของวัตถุที่ได้รับการป้องกัน: วัตถุประสงค์ของวัตถุ, รายการงานที่ต้องแก้ไข, การกำหนดค่า, ลักษณะและการจัดวางฮาร์ดแวร์และซอฟต์แวร์, รายการหมวดหมู่ของข้อมูล (แพ็คเกจ, ไฟล์, ชุดและฐานข้อมูลที่มีอยู่) ที่จะได้รับการคุ้มครอง และข้อกำหนดสำหรับการรับรองการเข้าถึง การรักษาความลับ ความสมบูรณ์ของข้อมูลประเภทเหล่านี้ รายชื่อผู้ใช้และสิทธิ์ในการเข้าถึงทรัพยากรระบบ ฯลฯ)
วัตถุประสงค์ในการปกป้องระบบและวิธีการรับประกันความปลอดภัยของระบบอัตโนมัติและข้อมูลที่หมุนเวียนอยู่ในนั้น
รายการภัยคุกคามที่สำคัญต่อการรักษาความปลอดภัยของระบบอัตโนมัติซึ่งจำเป็นต้องมีการป้องกัน และวิธีที่น่าจะก่อให้เกิดความเสียหายมากที่สุด
นโยบายการรักษาความปลอดภัยของข้อมูล
แผนการเงินและ แผนภาพการทำงานระบบรักษาความปลอดภัยของข้อมูลในโรงงาน
ข้อมูลจำเพาะของเครื่องมือรักษาความปลอดภัยข้อมูลและการประมาณการค่าใช้จ่ายสำหรับการใช้งาน
แผนปฏิทินสำหรับการดำเนินมาตรการขององค์กรและทางเทคนิคเพื่อปกป้องข้อมูล ขั้นตอนการทำให้วิธีการป้องกันมีผลบังคับใช้
กฎพื้นฐานที่ควบคุมกิจกรรมของบุคลากรในประเด็นการรับรองความปลอดภัยของข้อมูลของสถานที่ (หน้าที่พิเศษของเจ้าหน้าที่ที่ให้บริการระบบอัตโนมัติ)
ขั้นตอนการทบทวนแผนและยกระดับวิธีการป้องกัน
แผนการป้องกันได้รับการแก้ไขเมื่อส่วนประกอบต่อไปนี้ของวัตถุมีการเปลี่ยนแปลง:
สถาปัตยกรรมของระบบสารสนเทศ (การเชื่อมต่อเครือข่ายท้องถิ่นอื่น การเปลี่ยนแปลงหรือแก้ไขอุปกรณ์คอมพิวเตอร์หรือซอฟต์แวร์ที่ใช้)
ตำแหน่งอาณาเขตของส่วนประกอบของระบบอัตโนมัติ
ส่วนหนึ่งของแผนป้องกันจำเป็นต้องมีแผนปฏิบัติการสำหรับบุคลากรในสถานการณ์วิกฤต เช่น แผนการจัดหา ทำงานอย่างต่อเนื่อง และการกู้คืนข้อมูล. มันสะท้อนถึง:
วัตถุประสงค์เพื่อให้มั่นใจถึงความต่อเนื่องของกระบวนการทำงานของระบบอัตโนมัติ การคืนค่าประสิทธิภาพและวิธีการบรรลุผล
รายการและการจำแนกสถานการณ์วิกฤตที่อาจเกิดขึ้น
ข้อกำหนด มาตรการ และวิธีการเพื่อให้แน่ใจว่าการดำเนินการอย่างต่อเนื่องและการฟื้นฟูของกระบวนการประมวลผลข้อมูล (ขั้นตอนสำหรับการสร้าง จัดเก็บ และใช้งาน การสำรองข้อมูลข้อมูล การบำรุงรักษาเอกสารสำคัญในปัจจุบัน ระยะยาว และกรณีฉุกเฉิน องค์ประกอบของอุปกรณ์สำรองและขั้นตอนการใช้งาน ฯลฯ );
ความรับผิดชอบและขั้นตอนการดำเนินการของบุคลากรประเภทต่าง ๆ ของระบบในสถานการณ์วิกฤตในกรณีที่มีการชำระล้างผลที่ตามมา การลดความเสียหายที่เกิดขึ้นและในการฟื้นฟูการทำงานปกติของระบบ
หากองค์กรมีการแลกเปลี่ยน เอกสารอิเล็กทรอนิกส์กับพันธมิตรในการดำเนินการตามคำสั่งเดียวจำเป็นต้องรวมไว้ในแผนการป้องกันข้อตกลงเกี่ยวกับขั้นตอนการจัดระเบียบการแลกเปลี่ยนเอกสารอิเล็กทรอนิกส์ซึ่งสะท้อนถึงประเด็นต่อไปนี้:
การแยกความรับผิดชอบของอาสาสมัครที่เข้าร่วมในกระบวนการแลกเปลี่ยนเอกสารอิเล็กทรอนิกส์
การกำหนดขั้นตอนการจัดทำ การดำเนินการ การส่ง การรับ การตรวจสอบความถูกต้องและสมบูรณ์ของเอกสารอิเล็กทรอนิกส์
ขั้นตอนในการสร้าง รับรอง และแจกจ่ายข้อมูลสำคัญ (คีย์ รหัสผ่าน ฯลฯ)
ขั้นตอนการระงับข้อพิพาทในกรณีที่มีข้อขัดแย้ง
แผนการรักษาความปลอดภัยข้อมูลเป็นแพ็คเกจของเอกสารที่เป็นข้อความและกราฟิก ดังนั้นพร้อมกับส่วนประกอบข้างต้นของแพ็คเกจนี้ อาจรวมถึง:
ระเบียบว่าด้วยความลับทางการค้า การกำหนดรายการข้อมูลที่เป็นความลับทางการค้าและขั้นตอนในการพิจารณา ตลอดจนหน้าที่ของเจ้าหน้าที่ในการคุ้มครองความลับทางการค้า
กฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลซึ่งควบคุมกิจกรรมทั้งหมดสำหรับการดำเนินการตามนโยบายความปลอดภัยรวมถึงคำแนะนำกฎและข้อบังคับเพิ่มเติมที่สอดคล้องกับวัตถุประสงค์ของการป้องกันโดยเฉพาะ
การดำเนินการตามแผนการป้องกัน (การจัดการระบบการป้องกัน)เกี่ยวข้องกับการพัฒนาเอกสารที่จำเป็น การสรุปสัญญากับซัพพลายเออร์ การติดตั้งและการกำหนดค่าอุปกรณ์ ฯลฯ หลังจากการก่อตัวของระบบรักษาความปลอดภัยข้อมูล งานของการใช้งานอย่างมีประสิทธิภาพ เช่น การจัดการความปลอดภัยจะได้รับการแก้ไข
การจัดการเป็นกระบวนการของอิทธิพลที่มีจุดประสงค์ต่อวัตถุ ดำเนินการเพื่อจัดระเบียบการทำงานตามโปรแกรมที่กำหนด
การจัดการความปลอดภัยของข้อมูลควรเป็น:
ทนต่อการรบกวนจากผู้บุกรุก;
ต่อเนื่อง สร้างผลกระทบอย่างต่อเนื่องต่อกระบวนการป้องกัน
ซ่อนเร้นไม่อนุญาตให้เปิดเผยองค์กรการจัดการความปลอดภัยของข้อมูล
ปฏิบัติการให้โอกาสในการตอบสนองต่อการกระทำของผู้บุกรุกอย่างทันท่วงทีและเพียงพอและดำเนินการตัดสินใจด้านการจัดการภายในวันที่กำหนด
นอกจากนี้ การตัดสินใจเกี่ยวกับความปลอดภัยของข้อมูลควรมีความสมเหตุสมผลในแง่ของการพิจารณาอย่างรอบด้านเกี่ยวกับเงื่อนไขในการปฏิบัติงาน แอปพลิเคชัน รุ่นต่างๆ, งานคำนวณและข้อมูล ระบบผู้เชี่ยวชาญ ประสบการณ์ และข้อมูลอื่นใดที่เพิ่มความน่าเชื่อถือของข้อมูลเริ่มต้นและการตัดสินใจ
ตัวบ่งชี้ประสิทธิภาพของการจัดการความปลอดภัยของข้อมูลคือเวลาของวงจรการควบคุมสำหรับคุณภาพของการตัดสินใจที่กำหนด วงจรการจัดการรวมถึงการรวบรวมข้อมูลที่จำเป็นเพื่อประเมินสถานการณ์ การตัดสินใจ การก่อตัวของคำสั่งที่เหมาะสมและการปฏิบัติ ตามเกณฑ์ประสิทธิภาพ เวลาตอบสนองของระบบรักษาความปลอดภัยข้อมูลต่อการละเมิดสามารถใช้ได้ ซึ่งไม่ควรเกินเวลาล้าสมัยของข้อมูลตามค่าของมัน
ดังที่การพัฒนาระบบควบคุมอัตโนมัติจริงแสดงให้เห็นว่าไม่มีวิธีการใด (มาตรการ วิธีการ และกิจกรรม) ที่จะทำให้มั่นใจว่าความปลอดภัยของข้อมูลมีความน่าเชื่อถืออย่างแน่นอน และจะบรรลุผลสูงสุดเมื่อรวมทั้งหมดเข้าด้วยกันเป็นระบบป้องกันข้อมูลที่เป็นหนึ่งเดียว การผสมผสานที่เหมาะสมที่สุดระหว่างมาตรการขององค์กร เทคนิค และโปรแกรม ตลอดจนความใส่ใจและการควบคุมอย่างต่อเนื่องในการทำให้ระบบป้องกันทันสมัยอยู่เสมอจะทำให้สามารถแก้ปัญหางานถาวรได้อย่างมีประสิทธิภาพสูงสุด
รากฐานของระเบียบวิธีในการรับรองความปลอดภัยของข้อมูลเป็นคำแนะนำทั่วไปโดยอิงจากประสบการณ์โลกในการสร้าง ระบบที่คล้ายกัน. งานของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลแต่ละคนคือการปรับบทบัญญัติที่เป็นนามธรรมให้เข้ากับสาขาวิชาเฉพาะ (องค์กร ธนาคาร) ซึ่งมีลักษณะเฉพาะและรายละเอียดปลีกย่อยเสมอ
การวิเคราะห์ประสบการณ์ในประเทศและต่างประเทศพิสูจน์ได้อย่างน่าเชื่อถือถึงความจำเป็นในการสร้างระบบรักษาความปลอดภัยข้อมูลแบบบูรณาการสำหรับบริษัทที่เชื่อมโยงมาตรการป้องกันด้านปฏิบัติการ การปฏิบัติงาน ด้านเทคนิค และองค์กร นอกจากนี้ ระบบรักษาความปลอดภัยควรเหมาะสมที่สุดจากมุมมองของอัตราส่วนของต้นทุนและมูลค่าของทรัพยากรที่ได้รับการปกป้อง ระบบต้องการความยืดหยุ่นและการปรับตัวให้เข้ากับปัจจัยแวดล้อม สภาพองค์กร และสภาพสังคมที่เปลี่ยนแปลงอย่างรวดเร็วในสถาบัน เป็นไปไม่ได้ที่จะบรรลุระดับความปลอดภัยดังกล่าวโดยไม่วิเคราะห์ภัยคุกคามที่มีอยู่และช่องทางที่เป็นไปได้ของการรั่วไหลของข้อมูล รวมถึงไม่มีการพัฒนานโยบายความปลอดภัยข้อมูลที่องค์กร ด้วยเหตุนี้จึงต้องสร้างแผนป้องกันที่ดำเนินการตามหลักการที่กำหนดไว้ในนโยบายความปลอดภัย
แต่ยังมีปัญหาและ "หลุมพราง" อื่น ๆ ที่คุณต้องให้ความสนใจอย่างแน่นอน สิ่งเหล่านี้เป็นปัญหาที่ได้รับการระบุในทางปฏิบัติและไม่สามารถคล้อยตามพิธีการได้: ปัญหาของสังคมและการเมืองที่ไม่เป็นธรรมชาติทางเทคนิคหรือเทคโนโลยี ซึ่งจะแก้ไขได้ไม่ทางใดก็ทางหนึ่ง
ปัญหา 1.ขาดความเข้าใจระหว่างพนักงานและผู้จัดการระดับกลางและระดับล่างถึงความจำเป็นในการทำงานเพื่อปรับปรุงระดับความปลอดภัยของข้อมูล
ตามกฎแล้วที่ขั้นบันไดการจัดการนี้จะมองไม่เห็นงานเชิงกลยุทธ์ที่องค์กรเผชิญอยู่ ในขณะเดียวกัน ปัญหาด้านความปลอดภัยอาจทำให้เกิดการระคายเคืองได้ ซึ่งสร้างปัญหาที่ "ไม่จำเป็น"
ข้อโต้แย้งต่อไปนี้มักจะต่อต้านการทำงานและการดำเนินมาตรการเพื่อรับรองความปลอดภัยของข้อมูล:
การเกิดขึ้นของข้อ จำกัด เพิ่มเติมสำหรับผู้ใช้และผู้เชี่ยวชาญของแผนกซึ่งทำให้ยากต่อการใช้ระบบองค์กรอัตโนมัติ
ความต้องการต้นทุนวัสดุเพิ่มเติมทั้งสำหรับการดำเนินงานดังกล่าวและสำหรับการขยายบุคลากรของผู้เชี่ยวชาญที่เกี่ยวข้องกับปัญหาความปลอดภัยของข้อมูล
ปัญหานี้เป็นหนึ่งในปัญหาหลัก คำถามอื่น ๆ ทั้งหมดไม่ทางใดก็ทางหนึ่งทำหน้าที่เป็นผลที่ตามมา เพื่อเอาชนะมัน สิ่งสำคัญคือต้องแก้ปัญหาต่อไปนี้: ประการแรก เพื่อพัฒนาทักษะของบุคลากรในด้านการรักษาความปลอดภัยข้อมูลโดยการจัดการประชุมและสัมมนาพิเศษ ประการที่สอง เพื่อเพิ่มระดับการรับรู้ของพนักงาน โดยเฉพาะอย่างยิ่ง เกี่ยวกับงานเชิงกลยุทธ์ที่องค์กรเผชิญอยู่
ปัญหาที่ 2การเผชิญหน้าระหว่างบริการอัตโนมัติและบริการรักษาความปลอดภัยขององค์กร
ปัญหานี้เกิดจากประเภทของกิจกรรมและขอบเขตของอิทธิพลตลอดจนความรับผิดชอบของโครงสร้างเหล่านี้ภายในองค์กร การนำระบบป้องกันไปใช้อยู่ในมือของผู้เชี่ยวชาญทางเทคนิค และความรับผิดชอบในการรักษาความปลอดภัยนั้นขึ้นอยู่กับบริการรักษาความปลอดภัย ผู้เชี่ยวชาญด้านความปลอดภัยต้องการจำกัดค่าใช้จ่ายทั้งหมดด้วยความช่วยเหลือของ ไฟร์วอลล์การจราจรทั้งหมด แต่คนที่ทำงานในแผนกอัตโนมัติไม่เต็มใจที่จะจัดการกับปัญหาเพิ่มเติมที่เกี่ยวข้องกับการบำรุงรักษาเครื่องมือพิเศษ ความไม่ลงรอยกันดังกล่าวไม่ได้ส่งผลดีที่สุดต่อระดับความปลอดภัยของทั้งองค์กร
ปัญหานี้เช่นเดียวกับปัญหาที่คล้ายกันส่วนใหญ่แก้ไขได้โดยวิธีการจัดการอย่างหมดจด ประการแรก สิ่งสำคัญคือต้องมีกลไกในการแก้ไขข้อพิพาทดังกล่าวในโครงสร้างองค์กรของบริษัท ตัวอย่างเช่น บริการทั้งสองสามารถมีหัวหน้าคนเดียวที่จะแก้ปัญหาการโต้ตอบของพวกเขา ประการที่สองเอกสารทางเทคโนโลยีและองค์กรควรแบ่งขอบเขตของอิทธิพลและความรับผิดชอบของหน่วยงานอย่างชัดเจนและมีความสามารถ
ปัญหา 3.ความทะเยอทะยานส่วนตัวและความสัมพันธ์ในระดับผู้จัดการระดับกลางและระดับสูง
ความสัมพันธ์ระหว่างผู้นำอาจแตกต่างกัน บางครั้งเมื่อดำเนินงานเกี่ยวกับการศึกษาความปลอดภัยของข้อมูล เจ้าหน้าที่คนหนึ่งหรืออีกคนหนึ่งแสดงความสนใจมากเกินไปในผลงานเหล่านี้ แท้จริงแล้วการวิจัยเป็นเครื่องมือที่ทรงพลังพอที่จะแก้ปัญหาเฉพาะของพวกเขาและตอบสนองความทะเยอทะยานของพวกเขา ข้อสรุปและคำแนะนำที่บันทึกไว้ในรายงานจะใช้เป็นแผนสำหรับการดำเนินการเพิ่มเติมของลิงก์ใดลิงก์หนึ่ง การตีความข้อสรุปของรายงานแบบ "อิสระ" สามารถใช้ร่วมกับปัญหา 5 ที่อธิบายไว้ด้านล่างได้เช่นกัน สถานการณ์นี้เป็นปัจจัยที่ไม่พึงประสงค์อย่างยิ่งเนื่องจากเป็นการบิดเบือนความหมายของงานและต้องมีการระบุและกำจัดอย่างทันท่วงทีในระดับผู้บริหารระดับสูงขององค์กร ตัวเลือกที่ดีที่สุดความสัมพันธ์ทางธุรกิจคือเมื่อผลประโยชน์ขององค์กรอยู่ในระดับแนวหน้า ไม่ใช่ส่วนตัว
ปัญหาที่ 4การดำเนินการตามแผนปฏิบัติการในระดับต่ำเพื่อสร้างระบบรักษาความปลอดภัยข้อมูล
นี่เป็นสถานการณ์ที่ค่อนข้างซ้ำซากเมื่อเป้าหมายและวัตถุประสงค์เชิงกลยุทธ์หายไปในระดับของการดำเนินการ ทุกอย่างสามารถเริ่มต้นได้อย่างสมบูรณ์แบบ ผู้อำนวยการทั่วไปตัดสินใจเกี่ยวกับความจำเป็นในการปรับปรุงระบบรักษาความปลอดภัยข้อมูล มีการว่าจ้างบริษัทที่ปรึกษาอิสระเพื่อตรวจสอบระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ เมื่อดำเนินการเสร็จสิ้น จะมีการสร้างรายงานที่มีคำแนะนำที่จำเป็นทั้งหมดสำหรับการปกป้องข้อมูล การสรุปเวิร์กโฟลว์ที่มีอยู่ในด้านความปลอดภัยของข้อมูล แนะนำวิธีการทางเทคนิคในการปกป้องข้อมูลและมาตรการขององค์กร และสนับสนุนระบบที่สร้างขึ้นเพิ่มเติม แผนคุ้มครองประกอบด้วยมาตรการระยะสั้นและระยะยาว คำแนะนำเพิ่มเติมจะถูกถ่ายโอนไปยังแผนกใดแผนกหนึ่งเพื่อดำเนินการ และที่นี่เป็นสิ่งสำคัญที่พวกเขาจะไม่จมอยู่ในบึงของระบบราชการ, ความทะเยอทะยานส่วนตัว, ความเกียจคร้านของพนักงานและเหตุผลอื่น ๆ อีกมากมาย ผู้รับเหมาอาจทราบข้อมูลไม่ดี ไม่มีความสามารถเพียงพอ หรือเพียงแค่ไม่สนใจที่จะทำงาน เป็นสิ่งสำคัญที่ CEO จะตรวจสอบการดำเนินการตามแผนที่วางไว้ เพื่อไม่ให้สูญเสีย ประการแรก เงินลงทุนในการรักษาความปลอดภัยในระยะเริ่มต้น และประการที่สอง เพื่อไม่ให้เกิดความสูญเสียอันเป็นผลมาจากการขาดการรักษาความปลอดภัยนี้ .
ปัญหา 5.คุณสมบัติต่ำของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล
ลักษณะนี้ไม่สามารถถือเป็นอุปสรรคร้ายแรงได้หากไม่เป็นอุปสรรคต่อการสร้างระบบรักษาความปลอดภัยข้อมูล ความจริงก็คือแผนการป้องกันรวมถึงเหตุการณ์เช่นการฝึกอบรมขั้นสูงของผู้เชี่ยวชาญในด้านการปกป้องข้อมูลใน บริษัท สามารถจัดสัมมนาเกี่ยวกับพื้นฐานของการจัดระเบียบความปลอดภัยของข้อมูลสำหรับผู้เชี่ยวชาญจากบริการอื่น ๆ จำเป็นต้องประเมินคุณสมบัติที่แท้จริงของพนักงานที่เกี่ยวข้องในการดำเนินการตามแผนคุ้มครองอย่างถูกต้อง บ่อยครั้ง ข้อสรุปที่ไม่ถูกต้องหรือการไม่สามารถใช้วิธีการป้องกันในทางปฏิบัติทำให้เกิดความยุ่งยากในการปฏิบัติตามมาตรการที่แนะนำ ด้วยคำแนะนำของสถานการณ์ดังกล่าว ทางออกที่ถูกต้องที่สุดคือการพัฒนาทักษะของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลในศูนย์ฝึกอบรมที่สร้างขึ้นเป็นพิเศษสำหรับสิ่งนี้
ดังนั้นกิจกรรมภาคปฏิบัติในด้านการปรับปรุงเศรษฐกิจและความปลอดภัยของข้อมูลจึงแสดงให้เห็นอย่างชัดเจนว่าการสร้างระบบรักษาความปลอดภัยข้อมูลในชีวิตจริงนั้นขึ้นอยู่กับการแก้ปัญหาเหล่านี้อย่างทันท่วงที อย่างไรก็ตาม ประสบการณ์ที่สั่งสมมาแสดงให้เห็นว่าปัญหาทั้งหมดที่ได้รับการพิจารณาสามารถแก้ไขได้สำเร็จภายใต้เงื่อนไขของความร่วมมืออย่างใกล้ชิด ทำงานร่วมกันตัวแทนของลูกค้าและบริษัทดำเนินการ สิ่งสำคัญคือการตระหนักถึงความสำคัญของการดำเนินงานดังกล่าว ระบุภัยคุกคามที่มีอยู่อย่างทันท่วงที และใช้มาตรการตอบโต้ที่เพียงพอ ซึ่งตามกฎแล้วจะมีความเฉพาะเจาะจงสำหรับแต่ละองค์กร การปรากฏตัวของความปรารถนาและโอกาสเป็นเงื่อนไขที่เพียงพอสำหรับการทำงานที่ประสบความสำเร็จ จุดประสงค์ของการสร้างระบบแบบบูรณาการเพื่อให้มั่นใจถึงความปลอดภัยขององค์กร
ก่อนหน้า |
สถานที่ที่เปราะบางที่สุดในระบบรักษาความปลอดภัยสามารถเรียกได้ว่าเป็นพนักงานขององค์กรและซอฟต์แวร์และฮาร์ดแวร์ โดยเฉพาะอย่างยิ่งมันไม่ได้ การสำรองข้อมูลข้อมูลในคอมพิวเตอร์ส่วนบุคคลเมื่ออุปกรณ์ขัดข้อง ข้อมูลสำคัญบางอย่างอาจสูญหาย การอัปเดตไม่ทำงาน ระบบปฏิบัติการ MS Windows XP และซอฟต์แวร์ที่ใช้ ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลที่จัดเก็บไว้ในพีซีโดยไม่ได้รับอนุญาต หรือความเสียหายเนื่องจากข้อผิดพลาดในซอฟต์แวร์ การเข้าถึงทรัพยากรอินเทอร์เน็ตของพนักงานไม่ได้รับการควบคุม ซึ่งอาจส่งผลให้ข้อมูลรั่วไหล ธุรกิจ การติดต่อทางอีเมลดำเนินการทางอินเทอร์เน็ตผ่านช่องทางข้อความที่ไม่ปลอดภัย อีเมลเก็บไว้ในเซิร์ฟเวอร์ของบริการอีเมลบนอินเทอร์เน็ต พนักงานบางคนมีทักษะไม่เพียงพอในการทำงานกับระบบอัตโนมัติที่ใช้ในสถานศึกษา ซึ่งอาจทำให้ข้อมูลที่ปรากฏในระบบไม่ถูกต้อง พนักงานสามารถเข้าถึง คอมพิวเตอร์ส่วนบุคคลเพื่อนร่วมงานของคุณ ซึ่งอาจทำให้ข้อมูลสูญหายโดยไม่ได้ตั้งใจ คณาจารย์ทุกคนมีสิทธิ์เข้าถึงไฟล์เก็บถาวร ซึ่งส่งผลให้ไฟล์ส่วนบุคคลบางไฟล์อาจสูญหายหรือการค้นหาอาจใช้เวลานาน หายไป ระเบียบเกี่ยวกับความปลอดภัย
เป้าหมายหลักของระบบรักษาความปลอดภัยของข้อมูลคือเพื่อให้แน่ใจว่าการทำงานมีเสถียรภาพของสิ่งอำนวยความสะดวก ป้องกันภัยคุกคามต่อความปลอดภัย ปกป้องผลประโยชน์ที่ถูกต้องตามกฎหมายขององค์กรจากการบุกรุกที่ผิดกฎหมาย ป้องกันการเปิดเผย สูญหาย รั่วไหล บิดเบือนและทำลายข้อมูลบริการและส่วนบุคคล ข้อมูลเพื่อให้มั่นใจว่ากิจกรรมการผลิตตามปกติของทุกแผนกของโรงงาน
เป้าหมายอีกประการหนึ่งของระบบรักษาความปลอดภัยของข้อมูลคือการปรับปรุงคุณภาพของบริการและการรับประกันความปลอดภัย
งานในการสร้างระบบรักษาความปลอดภัยข้อมูลในองค์กร ได้แก่ ความสมบูรณ์ของข้อมูล ความน่าเชื่อถือของข้อมูล และการรักษาความลับ เมื่องานสำเร็จก็จะบรรลุเป้าหมาย
การสร้างระบบรักษาความปลอดภัยของข้อมูลใน IS และ IT ขึ้นอยู่กับหลักการดังต่อไปนี้:
แนวทางที่เป็นระบบในการสร้างระบบป้องกัน ซึ่งหมายถึงการผสมผสานที่เหมาะสมที่สุดระหว่างองค์กร ซอฟต์แวร์ ฮาร์ดแวร์ คุณสมบัติทางกายภาพและอื่น ๆ ที่สัมพันธ์กัน ซึ่งได้รับการยืนยันจากแนวปฏิบัติในการสร้างระบบป้องกันในประเทศและต่างประเทศและใช้ในทุกขั้นตอนของวงจรเทคโนโลยีของการประมวลผลข้อมูล .
หลักการพัฒนาระบบอย่างต่อเนื่อง หลักการนี้ ซึ่งเป็นหนึ่งในหลักการพื้นฐานสำหรับระบบข้อมูลคอมพิวเตอร์ มีความเกี่ยวข้องกับ NIS มากยิ่งขึ้น วิธีการดำเนินการคุกคามต่อข้อมูลใน IT ได้รับการปรับปรุงอย่างต่อเนื่อง ดังนั้นการรับประกันความปลอดภัยของ IP จึงไม่สามารถดำเนินการเพียงครั้งเดียวได้ นี่เป็นกระบวนการต่อเนื่องซึ่งประกอบด้วยการพิสูจน์และดำเนินการตามวิธีการที่มีเหตุผล วิธีการและวิธีปรับปรุงสถานีอวกาศนานาชาติ การตรวจสอบอย่างต่อเนื่อง การระบุคอขวดและจุดอ่อน ช่องทางการรั่วไหลของข้อมูลที่อาจเกิดขึ้น และวิธีการใหม่ในการเข้าถึงโดยไม่ได้รับอนุญาต
การแยกและลดอำนาจในการเข้าถึงข้อมูลที่ประมวลผลและขั้นตอนการประมวลผล เช่น ให้ทั้งผู้ใช้และพนักงาน IS มีอำนาจขั้นต่ำที่กำหนดไว้อย่างเข้มงวดเพียงพอสำหรับพวกเขาในการปฏิบัติหน้าที่อย่างเป็นทางการ
ความครบถ้วนสมบูรณ์ของการควบคุมและการลงทะเบียนความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต เช่น ความจำเป็นในการระบุตัวตนของผู้ใช้แต่ละรายอย่างถูกต้องและบันทึกการกระทำของเขาเพื่อการตรวจสอบที่เป็นไปได้ เช่นเดียวกับความเป็นไปไม่ได้ในการดำเนินการประมวลผลข้อมูลใด ๆ ใน IT โดยไม่ต้องลงทะเบียนล่วงหน้า
สร้างความมั่นใจในความน่าเชื่อถือของระบบป้องกัน เช่น ความเป็นไปไม่ได้ที่จะลดระดับความน่าเชื่อถือในกรณีที่เกิดข้อผิดพลาด ความล้มเหลว การกระทำโดยเจตนาของแฮ็กเกอร์หรือข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ใช้และเจ้าหน้าที่บำรุงรักษาในระบบ
ควบคุมการทำงานของระบบป้องกัน เช่น การสร้างวิธีการและวิธีการตรวจสอบประสิทธิภาพของกลไกการคุ้มครอง
ให้บริการเครื่องมือป้องกันมัลแวร์ทุกชนิด
สร้างความมั่นใจในความเป็นไปได้ทางเศรษฐกิจของการใช้ระบบป้องกันซึ่งแสดงออกมาเกินความเสียหายที่เป็นไปได้ต่อ IS และ IT จากการใช้ภัยคุกคามมากกว่าค่าใช้จ่ายในการพัฒนาและปฏิบัติการ ISS
โครงการหลักสูตร
ในหัวข้อ: "การปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่องค์กร LLC" บริษัท จัดการ "Ashatli""
การแนะนำ
หัวข้อของการพัฒนานโยบายความปลอดภัยของข้อมูลในองค์กร บริษัท และองค์กรมีความเกี่ยวข้องในโลกสมัยใหม่ ความปลอดภัยของข้อมูล (ในระดับองค์กรและองค์กร) คือการปกป้องข้อมูลและโครงสร้างพื้นฐานที่สนับสนุนจากผลกระทบโดยบังเอิญหรือโดยเจตนาของธรรมชาติหรือเทียมซึ่งอาจทำให้เกิดความเสียหายที่ไม่อาจยอมรับได้ต่อหัวข้อของความสัมพันธ์ทางข้อมูล
บริษัทมีความทันสมัยในท้องถิ่น เครือข่ายคอมพิวเตอร์และติดตั้งซอฟต์แวร์ที่จำเป็นและสามารถเข้าถึงอินเทอร์เน็ตได้ ด้วยทรัพยากรข้อมูลที่มีอยู่เป็นจำนวนมาก จำเป็นต้องมีนโยบายความปลอดภัยของข้อมูลด้วย ที่องค์กรนี้ จำเป็นต้องปรับปรุงนโยบายการรักษาความปลอดภัยข้อมูลเพื่อลดภัยคุกคามความปลอดภัยของข้อมูล ซึ่งเป็นเป้าหมายของโครงการหลักสูตรนี้ ภัยคุกคามความปลอดภัยของข้อมูลคือการกระทำที่เกิดขึ้นจริงหรือเป็นไปได้โดยมุ่งเป้าไปที่การละเมิดความปลอดภัยของข้อมูล ซึ่งนำไปสู่ความเสียหายทางวัตถุและศีลธรรม
1. การวิเคราะห์ความปลอดภัยของข้อมูลของ Ashatli Management Company LLC
ข้อมูลทั่วไปเกี่ยวกับองค์กร
Agroholding "Ashatli" เป็นกลุ่ม บริษัท การเกษตรที่พัฒนาแบบไดนามิกแนวตั้งและแนวนอนซึ่งเข้าร่วมในโครงการ "Buy Perm!"
Agroholding "Ashatli" ก่อตั้งขึ้นในปี 2550 และปัจจุบันมีกิจกรรมดังต่อไปนี้: การเลี้ยงโคนม, การแปรรูปนม, การผลิตพืชผล, การปลูกผัก, สลัดและสมุนไพรในโรงเรือน, การปลูกดอกไม้แบบไฮโดรโปนิกส์รวมถึงการขายปลีกที่ดินและเนื้อสัตว์
ข้อดีประการหนึ่งในฐานะโฮลดิ้งที่มีการพัฒนาแบบไดนามิกคือแนวทางที่ยืดหยุ่นสำหรับลักษณะเฉพาะของงานและความต้องการของลูกค้า ผู้เชี่ยวชาญของ บริษัท สามารถทำงานได้เกือบทุกปริมาณและความซับซ้อน ประสบการณ์การทำงานที่หลากหลายและความเป็นมืออาชีพของพนักงานทำให้เราสามารถรับประกันได้ว่างานใด ๆ จะสำเร็จลุล่วงภายในระยะเวลาของสัญญา
ที่ตั้ง LLC “บริษัทจัดการ “Ashatli”
614010, รัสเซีย, ภูมิภาคระดับการใช้งาน, ระดับการใช้งาน, โอกาส Komsomolsky, 70a
1.2 ลักษณะของทรัพยากรสารสนเทศขององค์กร
ตามกฎหมายของรัฐบาลกลาง “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล” ข้อมูลที่เปิดเผยต่อสาธารณะรวมถึงข้อมูลที่เป็นที่รู้จักและข้อมูลอื่น ๆ ซึ่งการเข้าถึงนั้นไม่จำกัด บุคคลใดก็ตามสามารถใช้ข้อมูลที่เปิดเผยต่อสาธารณะได้ตามที่เห็นสมควร ภายใต้ข้อจำกัดที่กำหนดโดยกฎหมายของรัฐบาลกลางเกี่ยวกับการเผยแพร่ข้อมูลดังกล่าว
ที่ Ashatli Management Company LLC ข้อมูลสาธารณะมีอยู่ในเว็บไซต์ของบริษัทหรือสามารถให้โดยผู้จัดการแคมเปญ ข้อมูลดังกล่าวรวมถึง:
ข้อมูลที่มีอยู่ในกฎบัตรขององค์กร
งบการเงิน;
องค์ประกอบของความเป็นผู้นำ ฯลฯ ;
ข้อมูลเกี่ยวกับรางวัลและการประกวดราคาของแคมเปญ
ข้อมูลเกี่ยวกับตำแหน่งงานว่างและข้อมูลเกี่ยวกับจำนวนและองค์ประกอบของพนักงาน เกี่ยวกับสภาพการทำงานของพวกเขา เกี่ยวกับระบบค่าจ้าง
รายละเอียดการติดต่อของผู้จัดการแคมเปญ
องค์กรยังมีข้อมูล การใช้และการเผยแพร่ซึ่งถูกจำกัดโดยเจ้าของ เช่น องค์กร. ข้อมูลดังกล่าวเรียกว่าการป้องกัน รวมถึงข้อมูลเกี่ยวกับชีวิตส่วนตัวของพนักงานในองค์กร
ข้อมูลประเภทต่อมาคือข้อมูลที่เป็นความลับทางการค้า ตามกฎหมายของรัฐบาลกลาง “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล” ข้อมูลที่ประกอบด้วยความลับทางการค้า (ความลับในการผลิต) คือข้อมูลในลักษณะใดๆ (การผลิต ทางเทคนิค เศรษฐกิจ องค์กร และอื่นๆ) รวมถึงผลลัพธ์ของกิจกรรมทางปัญญาทางวิทยาศาสตร์ และขอบเขตทางเทคนิค ตลอดจนข้อมูลเกี่ยวกับวิธีการดำเนินกิจกรรมทางวิชาชีพที่มีมูลค่าทางการค้าจริงหรือที่อาจเกิดขึ้นเนื่องจากบุคคลที่สามไม่รู้จัก ซึ่งบุคคลที่สามไม่สามารถเข้าถึงได้โดยเสรีตามกฎหมาย ซึ่งเกี่ยวกับเรื่องนี้ เจ้าของข้อมูลดังกล่าวได้แนะนำระบอบความลับทางการค้า (หน้า 2 ซึ่งแก้ไขเพิ่มเติมโดยกฎหมายของรัฐบาลกลาง ฉบับที่ 231-FZ ลงวันที่ 18 ธันวาคม 2549)
ข้อมูลต่อไปนี้จัดเป็นความลับทางการค้าใน Ashatli Management Company LLC:
ข้อมูลเกี่ยวกับตัวตนของคนงาน ที่อยู่บ้าน
ข้อมูลเกี่ยวกับลูกค้า ผู้ติดต่อ และข้อมูลส่วนบุคคล
ข้อมูลเกี่ยวกับโครงการ ข้อกำหนดและเงื่อนไขของสัญญา
ทรัพยากรข้อมูลของบริษัทรวมถึงเอกสารและการกระทำบนกระดาษ เครือข่ายท้องถิ่น
1.3 ภัยคุกคามความปลอดภัยของข้อมูลเฉพาะสำหรับองค์กรนี้
ภายใต้การคุกคามของความปลอดภัยของข้อมูลเป็นที่เข้าใจกันว่ามีความเป็นไปได้ที่จะมีการละเมิดคุณสมบัติพื้นฐานหรือคุณสมบัติของข้อมูล - ความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับ ภัยคุกคามด้านความปลอดภัยข้อมูลประเภทหลักสำหรับบริษัทนี้ถือเป็นการเข้าถึงข้อมูลที่เกี่ยวข้องกับความลับทางการค้าโดยไม่ได้รับอนุญาต
ตามวิธีการที่มีอิทธิพลต่ออ็อบเจกต์การรักษาความปลอดภัยข้อมูล ภัยคุกคามที่เกี่ยวข้องกับสังคมอยู่ภายใต้การจำแนกประเภทต่อไปนี้: ข้อมูล ซอฟต์แวร์ กายภาพ องค์กร และกฎหมาย
ภัยคุกคามด้านข้อมูลรวมถึง:
การเข้าถึงแหล่งข้อมูลโดยไม่ได้รับอนุญาต
การขโมยข้อมูลจากเอกสารสำคัญและฐานข้อมูล
การรวบรวมและการใช้ข้อมูลที่ผิดกฎหมาย
ภัยคุกคามซอฟต์แวร์รวมถึง:
ไวรัสคอมพิวเตอร์และมัลแวร์
ภัยคุกคามทางกายภาพรวมถึง:
การทำลายหรือทำลายสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลและการสื่อสาร
การขโมยสื่อบันทึกข้อมูล
ผลกระทบต่อพนักงาน
ภัยคุกคามด้านองค์กรและทางกฎหมายรวมถึง:
การจัดหาเทคโนโลยีสารสนเทศและเครื่องมือสารสนเทศที่ไม่สมบูรณ์หรือล้าสมัย
บริษัท LLC “UK “Ashatli” อาจเผชิญกับภัยคุกคามด้านข้อมูลดังกล่าว เช่น
การแฮ็กฐานข้อมูลหรือการใช้ข้อมูลเชิงพาณิชย์โดยไม่ได้รับอนุญาตเพื่อถ่ายโอนข้อมูลไปยังคู่แข่งขององค์กร ซึ่งอาจส่งผลเสียต่อกิจกรรมขององค์กร และในกรณีที่รุนแรงอาจนำไปสู่การเลิกกิจการ
การเปิดเผยข้อมูลที่เป็นความลับโดยพนักงาน การใช้เพื่อจุดประสงค์ที่เห็นแก่ตัวเพื่อผลกำไร เนื่องจากพนักงานจำนวนมากสามารถเข้าถึงฐานข้อมูล 1C Trade Management
พนักงานขององค์กรสามารถมีอิทธิพลต่อการเผยแพร่ข้อมูลโดยเจตนาหรือโดยไม่ได้ตั้งใจ ตัวอย่างเช่น ทางอีเมลไอซีคิวและวิธีการสื่อสารดิจิทัลอื่น ๆ ซึ่งอาจส่งผลเสียต่อชื่อเสียงขององค์กรเนื่องจากพวกเขาสามารถเข้าถึงข้อมูลขององค์กรได้
หนึ่งในภัยคุกคามที่พบบ่อยที่สุดต่อความปลอดภัยของข้อมูลคือความล้มเหลวและความล้มเหลวของซอฟต์แวร์ วิธีการทางเทคนิคของบริษัท เนื่องจากอุปกรณ์มักจะล้มเหลวแม้กระทั่งเป็นอุปกรณ์ใหม่ล่าสุด และบริษัทอาจจัดหาอุปกรณ์ที่มีคุณภาพต่ำทางเทคนิค
สถานการณ์ของการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต วิธีการทางเทคนิคซึ่งเป็นแหล่งข้อมูล ตลอดจนการโจรกรรมสื่อที่มีข้อมูลสำคัญ (แฟลชไดรฟ์ ฮาร์ดไดรฟ์ภายนอก ฯลฯ) หรือข้อมูลเพียงอย่างเดียว ในความเป็นจริงนี่คือการขโมยทรัพย์สินทางปัญญาผ่านเครือข่ายหรือการขโมยสื่อทางกายภาพ
ภัยคุกคามด้านข้อมูลที่สำคัญที่สุดประการหนึ่งคือความผิดพลาดของบุคลากรขององค์กร การละเว้นในการทำงานของผู้จัดการการปฏิบัติหน้าที่โดยทุจริตโดยที่ปรึกษาอาจนำไปสู่การละเมิดความสมบูรณ์ของข้อมูลและสถานการณ์ความขัดแย้งกับลูกค้าอาจเกิดขึ้นได้
ภัยคุกคามซอฟต์แวร์รวมถึงมัลแวร์ต่างๆ การสูญหายของรหัสผ่าน ความไม่ปลอดภัยของซอฟต์แวร์ที่ใช้ ตลอดจนการไม่มีระบบสำรองข้อมูล
1.4 มาตรการ วิธีการ และวิธีการปกป้องข้อมูลที่ใช้ในองค์กร
ระดับการคุ้มครองทางกฎหมายเป็นชุดของกฎหมายในด้านข้อมูลและเทคโนโลยีสารสนเทศ ระดับนี้รวมถึง: รัฐธรรมนูญของสหพันธรัฐรัสเซีย, ประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย, ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย, กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูล, เทคโนโลยีสารสนเทศและการคุ้มครองข้อมูล" เป็นต้น
ระดับการป้องกันข้อมูลในการบริหารจะสะท้อนให้เห็นในโปรแกรม IS พื้นฐานของโปรแกรมคือนโยบายความปลอดภัยของข้อมูล - เอกสารเผยแพร่ (ชุดเอกสาร) ซึ่งได้รับการยอมรับจากฝ่ายบริหารขององค์กรและมีวัตถุประสงค์เพื่อปกป้องทรัพยากรข้อมูลขององค์กรนี้ องค์กรนี้ไม่ได้พัฒนานโยบายความปลอดภัยของข้อมูลและไม่ได้นำเสนอการป้องกันข้อมูลในระดับนี้
มาตรการที่ใช้ในระดับขั้นตอนเพื่อปกป้องข้อมูลใน Ashatli Management Company LLC รวมถึงความจริงที่ว่าทางเดินในอาคารนั้นดำเนินการโดยการจัดเตรียมล่วงหน้าเท่านั้น และระบบเตือนภัยถูกติดตั้งในอาคาร เหมือนกับสรุปสัญญาสำหรับการป้องกันสถานที่ที่มีการรักษาความปลอดภัยที่ไม่ใช่แผนก
พิจารณาเครื่องมือรักษาความปลอดภัยข้อมูลที่ใช้ในองค์กร มีทั้งหมดสี่รายการ (ฮาร์ดแวร์ ซอฟต์แวร์ ผสม องค์กร)
การใช้โปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ทุกเครื่อง (ESET NOD32 Business Edition NOD Antivirus 32)
ใช้บิวท์อิน เครื่องมือ Windowsเพื่ออนุญาตผู้ใช้คอมพิวเตอร์
การใช้การเข้าสู่ระบบ / รหัสผ่านพิเศษสำหรับการอนุญาตในฐานข้อมูล 1C Trade Management
ฮาร์ดแวร์รักษาความปลอดภัย - ล็อค, แถบหน้าต่าง, สัญญาณเตือนภัย, เครื่องป้องกันไฟกระชาก, กล้องวงจรปิด
การป้องกันซอฟต์แวร์: มีการใช้เครื่องมือระบบปฏิบัติการ เช่น การป้องกัน รหัสผ่าน บัญชี
วิธีการป้องกันขององค์กร: การเตรียมสถานที่ด้วยคอมพิวเตอร์
ในระดับฮาร์ดแวร์และซอฟต์แวร์ มาตรการต่อไปนี้ถูกนำมาใช้เพื่อปกป้องข้อมูล:
2. ปรับปรุงระบบรักษาความปลอดภัยของข้อมูล
2.1 จุดอ่อนของระบบรักษาความปลอดภัยข้อมูล
ภัยคุกคามบางอย่างต่อความปลอดภัยของข้อมูล เช่น การเข้าถึงโดยไม่ได้รับอนุญาตจากภายนอก การทำงานที่ไม่ถูกต้องของซอฟต์แวร์หรือความล้มเหลวทางเทคนิค ค่อนข้างประสบความสำเร็จในการทำให้เป็นกลางด้วยการกำหนดค่าและการจัดการเครือข่ายที่มีความสามารถ แต่ไม่มีมาตรการป้องกันภัยคุกคามภายใน
ในกระบวนการวิเคราะห์ระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ใน Ashatli Management Company LLC มีการระบุข้อบกพร่องดังต่อไปนี้:
ใช้ฟังก์ชันของ 1C ได้ไม่เต็มที่ สิทธิ์การเข้าถึงข้อมูลในฐานข้อมูลไม่ได้ถูกแยกออกจากกันโดยสิ้นเชิง อีกทั้งรหัสผ่านไม่เป็นไปตามข้อกำหนดด้านความซับซ้อน หรือพนักงานบางคนไม่ได้ใช้รหัสผ่านเหล่านี้
ไม่มีข้อจำกัดเกี่ยวกับรูปแบบและขนาดของข้อมูลที่ส่งผ่านอินเทอร์เน็ต (*.MP3,*. เอวี,*. แรร์) สำหรับพนักงานบางคน
พนักงานบางคนเก็บข้อมูลที่เป็นความลับไว้ในโฟลเดอร์สาธารณะเพียงเพราะความไม่ตั้งใจของพวกเขาเอง และยังเก็บข้อมูลการเข้าสู่ระบบ / รหัสผ่านจากระบบข้อมูลที่ต้องมีการอนุญาตไว้ในที่ที่เข้าถึงได้ง่ายบนเดสก์ท็อป
ข้อมูลบนกระดาษไม่ได้รับการคุ้มครองยกเว้นข้อมูลที่สำคัญที่สุด (สัญญาเงินกู้ สัญญาเช่า ผลการตรวจสอบ ฯลฯ)
2.2 เป้าหมายและวัตถุประสงค์ของการจัดตั้งระบบรักษาความปลอดภัยข้อมูลในองค์กร
ดังนั้นเราจึงสามารถสรุปได้ว่ามีความจำเป็นอย่างมากในการปรับปรุงระบบรักษาความปลอดภัยของข้อมูลที่มีอยู่ นอกจากนี้ยังจำเป็นต้องปกป้องฐานลูกค้าของแคมเปญอย่างระมัดระวัง เนื่องจากสิ่งนี้มีความสำคัญมาก ข้อมูลสำคัญซึ่งไม่อยู่ภายใต้การเปิดเผยแก่บุคคลภายนอก
พนักงานหาเสียงมักไม่ทราบว่าการจัดระเบียบที่เหมาะสมของความสมบูรณ์ของฐานข้อมูลและเอกสาร การดูแลให้เป็นระเบียบนั้นส่งผลโดยตรงต่อความเร็วของบริษัท และผลที่ตามมาคือความสามารถในการแข่งขัน และด้วยเหตุนี้ระดับค่าจ้างของพวกเขา
ภัยคุกคามที่ใหญ่ที่สุดต่อการทำงานของบัญชีอิเล็กทรอนิกส์นั้นแสดงโดยไวรัสต่าง ๆ ที่เข้าสู่คอมพิวเตอร์บนเครือข่ายผ่านทางอินเทอร์เน็ตรวมถึงความเป็นไปได้ในการเข้าถึงไดเรกทอรีและเอกสารอิเล็กทรอนิกส์โดยบุคคลที่ไม่ได้รับอนุญาต
เป้าหมายความปลอดภัยของข้อมูล:
– การป้องกันภัยคุกคามต่อความปลอดภัยขององค์กรเนื่องจากการกระทำที่ไม่ได้รับอนุญาตในการทำลาย แก้ไข บิดเบือน คัดลอก บล็อกข้อมูล หรือการแทรกแซงที่ผิดกฎหมายในรูปแบบอื่นในทรัพยากรข้อมูลและระบบข้อมูล
– การรักษาความลับทางการค้าที่ประมวลผลโดยใช้เทคโนโลยีคอมพิวเตอร์
– การคุ้มครองสิทธิตามรัฐธรรมนูญของพลเมืองในการรักษาความลับส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล
งานในการสร้างระบบรักษาความปลอดภัยข้อมูลในองค์กร ได้แก่ ความสมบูรณ์ของข้อมูล ความน่าเชื่อถือของข้อมูล และการรักษาความลับ เมื่องานสำเร็จก็จะบรรลุเป้าหมาย
2.3 เสนอมาตรการปรับปรุงระบบรักษาความปลอดภัยข้อมูลในระดับนิติบัญญัติ บริหาร ขั้นตอน และซอฟต์แวร์และฮาร์ดแวร์
เพื่อกำจัดข้อบกพร่องที่ระบุในระบบรักษาความปลอดภัยข้อมูลของ Ashatli Management Company LLC ขอเสนอให้แนะนำมาตรการต่อไปนี้:
ในระดับกฎหมาย ไม่มีแผนการเปลี่ยนแปลงใด ๆ เพื่อแนะนำมาตรการใหม่ ๆ เพื่อรับรองความปลอดภัยของข้อมูล
จำเป็นต้องแนะนำมาตรการระดับการบริหารในนโยบายความปลอดภัยของบริษัท ในระดับบริหารขอเสนอดังนี้
สร้างชุดคำแนะนำด้านความปลอดภัยของข้อมูลภายในบริษัทสำหรับพนักงานบางประเภท (เปลี่ยนและจัดเก็บรหัสผ่านในที่ที่ไม่สามารถเข้าถึงได้ ห้ามเยี่ยมชมทรัพยากรของบุคคลที่สาม ฯลฯ)
จัดให้มีกิจกรรมสร้างแรงจูงใจหลายอย่างเพื่อผลประโยชน์ของพนักงานตามนโยบายความปลอดภัย รวมถึงบทลงโทษสำหรับการละเมิดนโยบายความปลอดภัยของบริษัทอย่างร้ายแรง (โบนัสและบทลงโทษ)
เพื่อปรับปรุงระบบรักษาความปลอดภัยในระดับขั้นตอน เสนอชุดมาตรการต่อไปนี้:
จำกัดการเข้าถึงของบุคคลที่ไม่ได้รับอนุญาตเฉพาะบางแผนกของบริษัท
ดำเนินการให้คำปรึกษากับพนักงานขององค์กรเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลและคำแนะนำในการปฏิบัติตามนโยบายความปลอดภัย
ในระดับฮาร์ดแวร์และซอฟต์แวร์ ขอเสนอให้แนะนำมาตรการต่อไปนี้:
บังคับให้พนักงานทุกคนใช้รหัสผ่านเพื่อเข้าถึงฐานข้อมูล 1C และจำกัดการเข้าถึงข้อมูลฐานข้อมูลบางอย่าง (ไดเร็กทอรี เอกสาร และรายงาน) ของพนักงานทุกคนอย่างระมัดระวังมากขึ้น
จำเป็นต้องเปลี่ยนการเข้าสู่ระบบและรหัสผ่านมาตรฐานทั้งหมดสำหรับการเข้าถึงADSL-Router จำเป็นที่รหัสผ่านจะต้องสอดคล้องกับระดับความซับซ้อน
แนะนำข้อจำกัดเกี่ยวกับรูปแบบไฟล์และขนาดไฟล์ที่ส่งผ่านอินเทอร์เน็ตให้กับพนักงานแต่ละคนโดยการสร้างตัวกรองในESETพยักหน้า32 ธุรกิจฉบับ
ดังนั้นเราจึงได้ตัดสินใจเกี่ยวกับการเปลี่ยนแปลงใน ระบบที่มีอยู่ความปลอดภัยของข้อมูลของ LLC “UK “Ashatli” ท่ามกลางการเปลี่ยนแปลงเหล่านี้ กุญแจสำคัญคือการทำงานร่วมกับบุคลากร เนื่องจากไม่ว่าจะใช้ซอฟต์แวร์รักษาความปลอดภัยข้อมูลที่สมบูรณ์แบบแบบใด อย่างไรก็ตาม การทำงานกับซอฟต์แวร์ทั้งหมดจะดำเนินการโดยบุคลากร และความล้มเหลวหลักในระบบรักษาความปลอดภัยขององค์กรมักเกิดจากบุคลากร พนักงานที่มีแรงจูงใจอย่างเหมาะสมและมุ่งเน้นผลลัพธ์เป็นครึ่งหนึ่งของสิ่งที่จำเป็นสำหรับการทำงานที่มีประสิทธิภาพของระบบใดๆ
2.4 ประสิทธิผลของมาตรการที่เสนอ
ข้อได้เปรียบที่สำคัญที่สุดของระบบรักษาความปลอดภัยที่ได้รับการปรับปรุงที่ Ashatli Management Company LLC คือการเปลี่ยนแปลงบุคลากร ปัญหาส่วนใหญ่ในระบบรักษาความปลอดภัยที่มีอยู่เกิดจากบุคลากร
ประโยชน์ของการใช้ESET NOD32 Business Edition:
มุ่งเน้นไปที่องค์กรตั้งแต่ 5 ถึง 100,000 เครื่องคอมพิวเตอร์ภายในโครงสร้างเดียว
ติดตั้งบนเซิร์ฟเวอร์และเวิร์กสเตชัน
การป้องกันเชิงรุกจากภัยคุกคามที่ไม่รู้จัก
การประยุกต์ใช้เทคโนโลยีอัจฉริยะที่ผสมผสานวิธีการตรวจจับแบบฮิวริสติกและลายเซ็น
อัพเดต ThreatSense™ แกนประมวลผลการเรียนรู้แบบฮิวริสติก
ปกติ อัพเดทอัตโนมัติฐานลายเซ็น
โซลูชันที่ปรับขนาดได้
เทคโนโลยีที่ทันสมัย
สแกนจดหมายขาเข้าทั้งหมดผ่านโปรโตคอล POP3 และ POP3s
สแกนอีเมลขาเข้าและขาออก
รายงานโดยละเอียดเกี่ยวกับมัลแวร์ที่ตรวจพบ
การผสานเข้ากับความนิยมอย่างเต็มรูปแบบ ไคลเอ็นต์จดหมาย: ไมโครซอฟต์ เอาท์ลุค, เอาท์ลุค เอ็กซ์เพรส,วินโดวส์เมล, วินโดวส์ ไลฟ์ข้อมูล Mail, Mozilla Thunderbird และ The Bat! จะไม่ยุ่งกับการส่งข้อมูลที่ไม่เกี่ยวข้อง
การจัดการแบบรวมศูนย์
ด้วยโซลูชัน ESET ผู้ดูแลระบบระยะไกล คุณสามารถติดตั้งและถอนการติดตั้งผลิตภัณฑ์ซอฟต์แวร์ได้จากระยะไกล ESET , ควบคุมการทำงานของซอฟต์แวร์ป้องกันไวรัส , สร้างเซิร์ฟเวอร์ภายในเครือข่ายสำหรับ ปรับปรุงท้องถิ่นสินค้า ESET ("มิเรอร์") ทำให้ลดการรับส่งข้อมูลอินเทอร์เน็ตจากภายนอกได้อย่างมาก
ESET NOD 32 ฉบับธุรกิจ สร้างรายงานโดยอัตโนมัติเกี่ยวกับวัตถุที่ติดไวรัสที่ตรวจพบซึ่งส่งไปยังเขตกักกัน การเปลี่ยนแปลงของภัยคุกคาม เหตุการณ์ การสแกน งาน สามารถสร้างรายงานแบบรวมต่างๆ เป็นต้น เป็นไปได้ที่จะส่งคำเตือนและข้อความผ่านโปรโตคอลเอสเอ็มทีพี หรือผ่านตัวจัดการข้อความ
การกรองอีเมลและเนื้อหาเว็บ
รายงานที่สะดวก
โปรแกรมป้องกันไวรัสคุณภาพสูง การป้องกันเครือข่ายจะหลีกเลี่ยงการหยุดชะงักในการทำงานของคอมพิวเตอร์ ซึ่งเป็นสิ่งสำคัญอย่างยิ่งสำหรับสถานที่ทำงานของผู้จัดการและที่ปรึกษา การปรับปรุงดังกล่าวจะส่งผลต่อความน่าเชื่อถือของแคมเปญในฐานะพันธมิตรทางธุรกิจสำหรับลูกค้าจำนวนมาก ซึ่งจะส่งผลดีต่อภาพลักษณ์ของแคมเปญรวมถึงรายได้ด้วย การสำรองข้อมูลโดยอัตโนมัติจะช่วยให้มั่นใจในความสมบูรณ์และปลอดภัย และการเก็บถาวรจะทำให้สามารถกู้คืนได้อย่างรวดเร็วในสถานการณ์ที่จำเป็น
3. แบบจำลองความปลอดภัยของข้อมูล
รูปแบบการรักษาความปลอดภัยข้อมูลที่นำเสนอเป็นชุดของปัจจัยภายนอกและภายในที่มีวัตถุประสงค์และอิทธิพลของปัจจัยเหล่านี้ต่อสถานะความปลอดภัยของข้อมูลในโรงงานและต่อความปลอดภัยของวัสดุหรือทรัพยากรสารสนเทศ วัสดุและเครื่องมือทางเทคนิค ข้อมูลส่วนบุคคล เอกสารถือเป็นวัตถุ
ปริมาณที่ได้รับการป้องกันเคทีวาย
วัตถุที่ได้รับการคุ้มครอง- ข้อมูลส่วนตัวของนักเรียนฉ
รุนแรง;แฟ้มส่วนตัวของนักเรียน
บัตรส่วนบุคคลของนักเรียน
เอกสารปัจจุบัน
ค่าวัสดุและเทคนิค
ภัยคุกคาม ความปลอดภัย
- ขโมย;
- การเข้าถึงโดยไม่ได้รับอนุญาต
- การละเมิดความสมบูรณ์ของข้อมูล ration;
ความล้มเหลวของซอฟต์แวร์และฮาร์ดแวร์
วิธีการป้องกัน
- ข้อบังคับ;
- มาตรการและวิธีการขององค์กร เทคนิค และความปลอดภัย
- ซอฟต์แวร์และฮาร์ดแวร์ เชื่อฟัง;
การป้องกันองค์กร
แหล่งที่มาของภัยคุกคาม
- แหล่งที่มาของมนุษย์ (เจ้าหน้าที่ นักเรียน ผู้บุกรุก)
แหล่งที่มาของเทคโนโลยี (ซอฟต์แวร์และฮาร์ดแวร์);
แหล่งที่มาของภัยคุกคามทางธรรมชาติ (ไฟไหม้ น้ำท่วม แผ่นดินไหว ฯลฯ)
บทสรุป
ในกระบวนการดำเนินโครงการหลักสูตรมีการวิเคราะห์เครื่องมือรักษาความปลอดภัยข้อมูลขององค์กร LLC "UK" Ashatli " มีการวิเคราะห์ทรัพยากรสารสนเทศขององค์กร วิเคราะห์ภัยคุกคามต่อความปลอดภัยของข้อมูล และระบุข้อบกพร่องที่เกี่ยวข้อง
การดำเนินการแก้ไขที่เสนอจะช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพของมาตรการป้องกันและลดความเสี่ยงของการสูญหายของข้อมูล ควรสังเกตว่ากระบวนการจัดระเบียบหรือจัดระเบียบความปลอดภัยของข้อมูลใหม่เป็นกระบวนการที่ซับซ้อนซึ่งโปรแกรม บุคลากร และอุปกรณ์มีปฏิสัมพันธ์พร้อมกัน
เพื่อแก้ปัญหาในการรับรองความปลอดภัยของข้อมูล จำเป็นต้องใช้มาตรการทางกฎหมาย องค์กร และซอฟต์แวร์และฮาร์ดแวร์ ซึ่งจะกำจัดมันโดยสิ้นเชิง
รายชื่อวรรณกรรมที่ใช้แล้ว
Maklakov S.V. การสร้างระบบข้อมูลด้วย AllFusion Modeling Suite – ม.: Dialogue-MEPhI, 2546. – 432 น.
www. ashatli-agro.ru
กฎหมายของรัฐบาลกลางฉบับที่ 231-F "เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล" ลงวันที่ 18/12/2549
กฎหมายของรัฐบาลกลางแห่งสหพันธรัฐรัสเซีย 27 กรกฎาคม 2549 หมายเลข 149-FZ "เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล"