İnformasiya təhlükəsizliyinin vəziyyətinin monitorinqi. İnformasiyanın mühafizəsinin səmərəliliyinə texniki nəzarət tədbirləri İnformasiya vəziyyətinə nəzarət

TKİ-nin effektivliyinin monitorinqi TKİ tədbirlərinin effektivliyinin keyfiyyət və kəmiyyət göstəricilərinin TKİ-nin tələblərinə və ya fəaliyyət standartlarına uyğunluğunun yoxlanılmasından ibarətdir.

TZİ-nin effektivliyinin monitorinqinə aşağıdakılar daxildir:

Texniki məlumatın səmərəliliyinə texniki nəzarət - texniki nəzarət vasitələrindən istifadə etməklə həyata keçirilən texniki məlumatın effektivliyinə nəzarət.

TKİ-nin səmərəliliyinə təşkilati nəzarət - TKİ üzrə tədbirlərin tamlığının və əsaslılığının TKİ sahəsində rəhbər göstərişlərin və normativ-metodiki sənədlərin tələblərinə uyğunluğunun yoxlanılması;

Texniki məlumatın effektivliyinə texniki nəzarət (bizim bunu nəzərdən keçiririk) texniki nəzarət vasitələrindən istifadə etməklə həyata keçirilən texniki məlumatın effektivliyinə nəzarətdir.

Nəzarətin məqsəd və vəzifələrindən, habelə yoxlanılan obyektlərin xüsusiyyətlərindən asılı olaraq texniki məlumatın effektivliyinə texniki nəzarət aşağıdakılar ola bilər:

Hərtərəfli, texniki məlumatın təşkili və vəziyyəti nəzarət edilən texniki vasitələrə (informasiya obyektinə) xas olan bütün mümkün texniki kanallar vasitəsilə sızmaya, informasiyaya icazəsiz daxil olmaya və ya ona xüsusi təsirlərə qarşı yoxlanıldıqda;

Məqsədli, yoxlama mühafizə olunan parametrlərə malik olan və ya mühafizə olunan məlumatın dövriyyədə olduğu idarə olunan texniki vasitəyə xas olan məlumat sızmasının mümkün texniki kanallarından biri ilə aparıldıqda;

Seçmə, obyektdəki texniki vasitələrin bütün tərkibindən ilkin qiymətləndirmənin nəticələrinə əsasən qorunan məlumatların sızması üçün texniki kanalların olması ehtimalı yüksək olanlar seçildikdə.

Texniki nəzarətin xüsusi şərtlərindən asılı olaraq, səmərəliliyə nəzarət aşağıdakı üsullardan istifadə etməklə həyata keçirilə bilər:

Nəzarət zamanı texniki ölçü alətlərindən istifadə edildikdə və kəşfiyyat texniki vasitələrinin real iş şəraiti modelləşdirildikdə instrumental üsul;

Ölçmələr nəzarət obyektinin bilavasitə yaxınlığında aparıldıqda və sonra ölçmə nəticələri kəşfiyyat texniki vasitələrinin gözlənilən yerləşdiyi yerə (şərata) yenidən hesablandıqda instrumental-hesablama üsulu;

Kəşfiyyat texniki vasitələrinin faktiki yerləşdirmə şərtləri və imkanlarına və idarəetmə obyektinin məlum xüsusiyyətlərinə əsaslanaraq texniki məlumatın səmərəliliyi hesablama ilə qiymətləndirildikdə hesablama metodu.

Texniki nəzarət tədbirlərinin mahiyyəti aşağıdakı səbəblərdən yaranan texniki kanallar vasitəsilə informasiyanın sızmasından mühafizənin effektivliyinin instrumental (instrumental və hesablama) yoxlanılmasından ibarətdir:

1) informasiyalaşdırma obyektinin əsas texniki avadanlıq və sistemlərinin (OTSS) istismarı zamanı yan elektromaqnit şüalanması (PEMR);

3) OTSS PEMI-nin əhatə dairəsində yerləşən VTSS birləşdirici xətlərdə məlumat siqnalının müdaxiləsi;

4) OTSS enerji təchizatı şəbəkəsində qeyri-bərabər cərəyan istehlakı;

5) xüsusi binalarda quraşdırılmış VTSS vasitəsilə nitq məlumatının tutulması üsulları kimi xətti yüksək tezlikli tətbiq və elektroakustik transformasiyalar.

İnstrumental nəzarət sertifikatlaşdırma və sertifikatlaşdırma orqanları tərəfindən təsdiq edilmiş standart proqramlara və standart metodlara əsasən həyata keçirilir. Bütün ölçmə vasitələri müəyyən edilmiş qaydada metroloji orqanlar tərəfindən sertifikatlaşdırılır.

Sözügedən obyektlərə texniki nəzarətin fəaliyyətini tənzimləyən əsas normativ-metodiki sənədlər bunlardır:

2. QOST 29339-92. İnformasiya texnologiyaları. İnformasiyanın kompüter texnologiyası ilə işlənməsi zamanı yan elektromaqnit şüalanması və müdaxilə nəticəsində sızmalardan qorunması. Ümumi texniki tələblər;

3. Elektromaqnit şüalanma və müdaxilə (PEMIN) nəticəsində sızmaya qarşı kompüter texnologiyası ilə emal edilmiş qorunan məlumatların monitorinqi üzrə metodiki sənədlər toplusu. Təsdiq edildi Rusiya Dövlət Texniki Komissiyasının 19 noyabr 2002-ci il tarixli 391 nömrəli əmri ilə.

4. Texniki və İxrac Nəzarəti üzrə Federal Xidmətin (Rusiya FSTEC) 11 fevral 2013-cü il tarixli N 17 əmri Moskva.

5. Rusiya FSTEC-in 18 fevral 2013-cü il tarixli əmri. 21 nömrəli “Fərdi məlumatların informasiya sistemlərində emalı zamanı fərdi məlumatların təhlükəsizliyinin təmin edilməsi üzrə təşkilati-texniki tədbirlərin tərkibinin və məzmununun təsdiq edilməsi haqqında”.

Texniki məlumatların vəziyyətinin yoxlanılması haqqında hesabatda aşağıdakı bölmələr olmalıdır:

1. Nəzarət obyekti haqqında ümumi məlumat;

2. Obyektdə texniki və texniki informasiyanın təşkilinin ümumi məsələləri;

3. İnformasiyalaşdırma obyektlərinin mühafizəsinin təşkili və vəziyyəti;

4. İnformasiyalaşdırma obyektlərinin mühafizəsi və sertifikatlaşdırılması üzrə Rusiyanın FSTEC lisenziya sahibləri tərəfindən aparılan işlərin tamlığı və keyfiyyəti;

Vasitələr, komplekslər, obyektlər və məlumat emal sistemləri haqqında məlumatların gizlədilməsi. Bu vəzifələri texniki və təşkilati olaraq bölmək olar.

Obyektlər haqqında məlumatların gizlədilməsi üzrə təşkilati tapşırıqlar bu məlumatların işçilər tərəfindən açıqlanmasının və kəşfiyyat kanalları vasitəsilə sızmasının qarşısını almağa yönəlib.

Texniki tapşırıqlar mühafizə olunan obyektlərin və onlar haqqında məlumatların sızması üçün texniki kanalların texniki maskalanma əlamətlərini aradan qaldırmaq və ya zəiflətmək məqsədi daşıyır. Bu halda gizlədilmə elektromaqnit, müvəqqəti, struktur və xüsusiyyət əlçatanlığının azaldılması, habelə vasitələrin, komplekslərin, obyektlərin, məlumatların işlənməsi və idarəetmə sistemlərinin strukturu, topologiyası və işləmə xarakteri arasında adekvatlığın zəiflədilməsi yolu ilə həyata keçirilir.

Bu problemin həlli vasitələr, komplekslər və məlumat emal sistemləri üçün əsas tələbin - kəşfiyyat təhlükəsizliyinin yerinə yetirilməsini təmin edən təşkilati və texniki tədbirlərin və tədbirlərin kompleksinin həyata keçirilməsini təmsil edir və əsas məqsədlərdən birinə - aradan qaldırılmasına və ya əldə edilməsinə yönəldilir. texniki kəşfiyyat axtarışını, yerin müəyyən edilməsini, radio emissiya mənbələrinin radionəzarətini, müəyyən edilmiş maskanın açılması xüsusiyyətlərinə əsasən texniki kəşfiyyat tərəfindən obyektlərin təsnifatını və identifikasiyasını əhəmiyyətli dərəcədə çətinləşdirir.

Elektromaqnit əlçatanlığının azaldılması probleminin həlli həm enerjinin aşkar edilməsini, həm də radio emissiya mənbələrinin yerləşdiyi ərazinin koordinatlarının müəyyən edilməsini çətinləşdirir, həmçinin maskalanma əlamətlərinin müəyyən edilməsi vaxtını artırır və radio emissiya vasitələrinin parametrlərinin və siqnallarının ölçülməsinin dəqiqliyini azaldır.

Radioemissiya vasitələrinin müvəqqəti əlçatanlığının azaldılması məlumatın ötürülməsi zamanı onların şüalanma üçün işləmə müddətinin azaldılmasını və informasiyanın emalı seansları arasında fasilə müddətinin artırılmasını nəzərdə tutur. İnformasiya emalı alətlərinin, komplekslərinin və sistemlərinin struktur və xarakterik əlçatanlığını azaltmaq üçün maskalanma əlamətlərini zəiflədən və qondarma "boz fon" yaradan təşkilati və texniki tədbirlər həyata keçirilir.

Sinif 1.2. Düşmən dezinformasiyası.

Bu sinifə bəzi obyektlərin və məhsulların həqiqi təyinatı, dövlət fəaliyyətinin bəzi sahələrinin faktiki vəziyyəti, müəssisədəki işlərin vəziyyəti və s.

Dezinformasiya adətən müxtəlif kanallar vasitəsilə yalan məlumatların yayılması, mühafizə obyektlərinin ayrı-ayrı elementlərinin əlamət və xassələrinin imitasiya edilməsi və ya təhrif edilməsi, rəqibi maraqlandıran obyektlərə zahiri və ya təzahürlərinə görə oxşar olan yalançı obyektlərin yaradılması və s.

Dezinformasiyanın rolunu əks-casusluq sahəsində mütəxəssis A.F.Viviani vurğuladı: Böyük miqdarda məlumat üstümüzə düşür, düşür, püskürür. Saxta ola bilər, amma inandırıcı görünür; doğru ola bilər, amma əslində yalançı təəssüratı yaratmaq üçün ağılla yenidən formalaşdırılıb; qismən yalan, qismən doğrudur. Hər şey seçilmiş dezinformasiya adlanan metoddan asılıdır, məqsədi sizi inandırmaq, arzulamaq, düşünmək, nədənsə bizə təsir etməli olanlara faydalı istiqamətdə qərarlar qəbul etməkdir...

Müdafiə obyektində texniki dezinformasiya informasiya emalı sistemlərinin həqiqi məqsədləri, qoşunların qruplaşdırılması və fəaliyyəti, komandanlıq və idarəetmə orqanlarının niyyətləri ilə bağlı texniki kəşfiyyatı çaşdırmağa yönəlmiş təşkilati tədbirlər və texniki tədbirlər kompleksidir.

Bu problemin həlli tanınmış operativ radiokamuflyaj çərçivəsində mühafizə olunan obyektin texniki maskalanma xüsusiyyətlərini təhrif etməklə və ya saxta obyektin texniki maskalanma xüsusiyyətlərini simulyasiya etməklə həyata keçirilir.

Texniki dezinformasiyanın xüsusi məqsədləri:

Yalan obyektlərin əlamətlərinə uyğun gələn real obyektlərin və sistemlərin maskalanma əlamətlərinin təhrif edilməsi;

real obyektlərin, sistem strukturlarının, situasiyaların, hərəkətlərin, funksiyaların və s.-nin maskalanmayan əlamətlərini təkrarlamaqla saxta mühitin, obyektlərin, sistemlərin, komplekslərin yaradılması (imitasiyası);

Yalan məlumatların ötürülməsi, emalı, emal sistemlərində saxlanması;

Yanlış idarəetmə məntəqələrində vasitələrin, komplekslərin və məlumat emalı sistemlərinin döyüş fəaliyyətinin imitasiya edilməsi;

qüvvə və vasitələrin yalançı istiqamətlərdə nümayişkaranə hərəkətlərdə iştirakı;

Yanlış məlumatın düşmən tərəfindən tutulacağını gözləməklə (radio dezinformasiya) ötürülməsi və s.

Ümumiyyətlə, bu tapşırıqları radio imitasiya, radio dezinformasiya və nümayiş etdirmə hərəkətləri kimi xüsusi tapşırıqlar şəklində qruplaşdırmaq olar.

İnformasiya təhlükəsizliyinin vəziyyətinin monitorinqi (bundan sonra - nəzarət) texniki kanallar vasitəsilə informasiya sızmasının, ona icazəsiz daxil olmanın, proqram-texniki vasitələrin informasiyaya qəsdən təsirinin vaxtında aşkar edilməsi və qarşısının alınması məqsədi ilə həyata keçirilir.

Nəzarət informasiyanın mühafizəsi məsələlərinə dair Rusiya Federasiyasının qanunvericilik aktlarının, Rusiya FSTEC qərarlarının yerinə yetirilməsini yoxlamaqdan, habelə məlumat üçün təsdiq edilmiş tələblərə və standartlara uyğunluğunu təmin etmək üçün görülən mühafizə tədbirlərinin etibarlılığını və effektivliyini qiymətləndirməkdən ibarətdir. müdafiə.

Nəzarət Texniki və İxrac Nəzarəti Federal Xidməti, Rusiya Federasiyasının Federal Təhlükəsizlik Xidməti, Rusiya Federasiyasının Daxili İşlər Nazirliyi, Rusiya Federasiyasının Müdafiə Nazirliyi, Rusiya Federasiyasının Xarici Kəşfiyyat Xidməti və Rusiya Federasiyasının Xarici Kəşfiyyat Xidməti tərəfindən təşkil edilir. Rusiya Federasiyasının Federal Təhlükəsizlik Xidməti, dövlət orqanlarının informasiya mühafizəsi sisteminə daxil olan struktur və sektorlararası bölmələri və öz səlahiyyətlərinə uyğun olaraq müəssisələr.

Müəssisələrdə yoxlamaların aparılması aktları onların rəhbərləri tərəfindən yoxlamanı aparmış orqana və müəssisənin tabeliyində olan dövlət orqanına göndərilir.

Rusiyanın FSTEC federal dairələrdə FSTEC-in mərkəzi aparatı və şöbələri vasitəsilə nəzarəti təşkil edir. Bu məqsədlər üçün dövlət orqanlarının informasiya mühafizə bölmələrini cəlb edə bilər.

Rusiya FSTEC-in mərkəzi aparatı öz səlahiyyətləri daxilində dövlət orqanlarında və müəssisələrində nəzarəti həyata keçirir, nəzarət işinə metodiki rəhbərlik edir (mühafizəsi Rusiya FSB-nin səlahiyyətlərinə aid olan obyektlər və texniki vasitələr istisna olmaqla). , Rusiya Daxili İşlər Nazirliyi, Rusiya Müdafiə Nazirliyi, Rusiya Xarici Kəşfiyyat Xidməti, FSO Rossi).

Rusiyanın federal rayonlardakı FSTEC şöbələri öz səlahiyyətləri daxilində bu mərkəzlərin məsuliyyət sahələrində yerləşən dövlət orqanlarında və müəssisələrdə nəzarəti həyata keçirirlər.

Dövlət orqanları öz tabeliyində olan müəssisələrdə informasiyanın mühafizəsi bölmələri vasitəsilə nəzarəti təşkil edir və həyata keçirirlər. Müəssisələrdə informasiya təhlükəsizliyinin vəziyyətinin gündəlik monitorinqi onların informasiya təhlükəsizliyi şöbələri tərəfindən həyata keçirilir.

Qeyri-dövlət sektoru müəssisələrində dövlət və ya rəsmi sirr təşkil edən məlumatlardan istifadə etməklə işlərin görülməsinə nəzarət dövlət orqanları, Rusiya FSTEC, Rusiya Federal Təhlükəsizlik Xidməti və öz səlahiyyətlərinə uyğun olaraq işin sifarişçisi tərəfindən həyata keçirilir.

Görülən tədbirlər müəyyən edilmiş tələblərə və ya standartlara uyğundursa, informasiyanın mühafizəsi effektiv sayılır.

İnformasiyanın qorunması üçün müəyyən edilmiş tələblərə və ya standartlara əməl edilməməsi pozuntudur. Şiddətinə görə pozuntular üç kateqoriyaya bölünür:

birincisi, informasiyanın mühafizəsi üzrə tələblərə və ya standartlara əməl edilməməsi, bunun nəticəsində onun texniki kanallar vasitəsilə sızmasının real ehtimalı olub və ya mövcuddur;

ikincisi, informasiyanın mühafizəsi tələblərinə əməl edilməməsi, bunun nəticəsində onun texniki kanallarla sızması üçün ilkin şərait yaradılır;

üçüncü, informasiyanın mühafizəsi üzrə digər tələblərə əməl edilməməsidir.

Birinci kateqoriya pozuntular aşkar edildikdə, dövlət orqanlarının və müəssisələrin rəhbərləri aşağıdakıları etməyə borcludurlar:

pozuntular aşkar edilən sahədə (iş yerində) işi dərhal dayandırmalı və onların aradan qaldırılması üçün tədbirlər görməlidir;

gələcəkdə onların qarşısının alınması və təqsirkar şəxslərin məsuliyyətə cəlb edilməsi məqsədi ilə pozuntuların səbəbləri və şəraitinin müəyyən edilmiş qaydada araşdırılmasını təşkil edir;

aşkar edilmiş pozuntular və görülən tədbirlər barədə Rusiya FSTEC-i, Rusiya FSB-ni, dövlət orqanının rəhbərliyini və sifarişçini məlumatlandırmaq.

İşin bərpasına pozuntular aradan qaldırıldıqdan və görülən tədbirlərin kafiliyi və effektivliyi Rusiya FSTEC tərəfindən yoxlanıldıqdan və ya onun göstərişi ilə dövlət orqanlarının informasiya mühafizə bölmələri tərəfindən yoxlanıldıqdan sonra icazə verilir.

İkinci və üçüncü kateqoriya pozuntular aşkar edildikdə, yoxlanılan dövlət orqanlarının və müəssisələrinin rəhbərləri yoxlama aparan orqan və ya sifarişçi (sifarişçinin nümayəndəsi) ilə razılaşdırılmış müddətdə onların aradan qaldırılması üçün zəruri tədbirlər görməyə borcludurlar. . Bu pozuntuların aradan qaldırılmasına nəzarəti həmin dövlət orqanlarının və müəssisələrin informasiya mühafizə bölmələri həyata keçirirlər.

İnformasiyanın mühafizəsinin səmərəliliyi- informasiyanın mühafizəsi nəticələrinin informasiyanın mühafizəsi məqsədinə uyğunluq dərəcəsi.

İnformasiya təhlükəsizliyinin vəziyyətinin monitorinqi- təşkilatın məlumatın mühafizəsi sahəsində müəyyən edilmiş tələblərə və/və ya standartlara uyğunluğunun və effektivliyinin yoxlanılması.

STR-K-ya uyğun olaraq, təqdim olunan məlumatların mühafizəsi tədbirlərinin effektivliyinə metodiki rəhbərlik və nəzarət təşkilatın məlumatların mühafizəsi şöbələrinin rəhbərlərinə həvalə edilir.

Altında nəzarət üsulu mühafizənin effektivliyinin monitorinqi məsələlərini həll edərkən hesablama və ölçmə əməliyyatlarından istifadə qaydasını və qaydalarını başa düşmək.

Görülən əməliyyatların növündən asılı olaraq texniki nəzarət üsulları aşağıdakılara bölünür:

• instrumental, nəzarət olunan göstəricilər birbaşa nəzarət-ölçü avadanlıqlarının ölçmə nəticələrindən müəyyən edildikdə;
• idarə olunan göstəricilərin qismən hesablama, qismən də fiziki sahələrin bəzi parametrlərinin qiymətlərinin texniki vasitələrlə ölçülməsi yolu ilə müəyyən edildiyi instrumental hesablama;
• hesablanmış, burada nəzarət edilən göstəricilər rəhbər ədəbiyyatda olan üsullara uyğun olaraq hesablanır.

17.3. TZKİ-nin vəziyyətinin monitorinqi üçün sənədlər sistemi

TKUI-yə uyğun olaraq məlumatların sızmadan qorunmasına sertifikatlaşdırma texniki nəzarəti FSTEC-in xüsusi hazırlanmış proqramlarına və nəzarət üsullarına uyğun olaraq həyata keçirilir. “Məxfi məlumatların texniki kanallar vasitəsilə sızmasından təhlükəsizliyinin qiymətləndirilməsi üçün müvəqqəti metodlar toplusu” mövcuddur, o, “Rəsmi istifadə üçün” etiketinə malikdir. Buraya aşağıdakı sənədlər daxildir:

1. Rabitə xətləri üzərində məxfi məlumatların emalı, saxlanması və (və ya) ötürülməsi üçün nəzərdə tutulmuş əsas texniki vasitələrin və sistemlərin təhlükəsizliyinin qiymətləndirilməsinin müvəqqəti metodologiyası. 8 noyabr 2001-ci ildə Rusiya Dövlət Texniki Komissiyası sədrinin birinci müavini tərəfindən təsdiq edilmişdir.
2. Əsas texniki vasitələr və sistemlər tərəfindən emal edilən məxfi məlumatların köməkçi texniki vasitə və sistemlərə və onların kommunikasiyalarına müdaxilə nəticəsində sızmalardan təhlükəsizliyinin qiymətləndirilməsi üçün müvəqqəti metodologiya. 8 noyabr 2001-ci ildə Rusiya Dövlət Texniki Komissiyası sədrinin birinci müavini tərəfindən təsdiq edilmişdir.
3. Akustik və vibroakustik kanallar vasitəsilə məxfi nitq məlumatlarının sızmasına qarşı binaların təhlükəsizliyinin qiymətləndirilməsi üçün müvəqqəti metodologiya. 8 noyabr 2001-ci ildə Rusiya Dövlət Texniki Komissiyası sədrinin birinci müavini tərəfindən təsdiq edilmişdir.
4. Köməkçi texniki vasitələrdə və sistemlərdə elektroakustik çevrilmə kanalları vasitəsilə məxfi nitq məlumatlarının sızmasına qarşı binaların qiymətləndirilməsinin müvəqqəti metodologiyası. 8 noyabr 2001-ci ildə Rusiya Dövlət Texniki Komissiyası sədrinin birinci müavini tərəfindən təsdiq edilmişdir.

Qeyd etmək lazımdır ki, nə STR-K, nə də Rusiyanın 21 saylı FSTEC Sərəncamı fəaliyyətin qiymətləndirilməsi formasını, qiymətləndirmə nəticəsində hazırlanmış sənədlərin formalarını və məzmununu müəyyən etmir. Belə ki, bu məsələ ilə bağlı qərar təşkilatın rəhbəri və (və ya) informasiya təhlükəsizliyinin təmin edilməsi üzrə həyata keçirilən tədbirlərin səmərəliliyini qiymətləndirmək üçün cəlb edilmiş şəxslə razılaşdırılmaqla verilir.

15 iyul 2013-cü il tarixli 240/22/2637 nömrəli məlumat mesajında ​​FSTEC deyir ki, həyata keçirilən tədbirlərin effektivliyinin qiymətləndirilməsi həyata keçirilə bilər GOST RO 0043-003-2012 milli standartına uyğun olaraq fərdi məlumatların məlumat sisteminin sertifikatlaşdırılması işinin bir hissəsi kimi " Məlumatların qorunması. İnformasiyalaşdırma obyektlərinin sertifikatlaşdırılması. Ümumi müddəalar." Əgər hansı GIS-dən danışırıqsa Şəxsi məlumat, fərdi məlumatların təhlükəsizliyini təmin etmək üçün görülən tədbirlərin effektivliyinin qiymətləndirilməsi Texniki və İxrac Federal Xidmətinin Sərəncamı ilə təsdiq edilmiş Tələblərə uyğun olaraq məlumatın mühafizəsi tələbləri üçün dövlət informasiya sisteminin məcburi sertifikatlaşdırılması çərçivəsində həyata keçirilir. Rusiyanın 11 fevral 2013-cü il tarixli 17 nömrəli nəzarəti, milli standartlar GOST RO 0043-003-2012 və GOST RO 0043-004-2013 “informasiyanın qorunmasının effektivliyinə nəzarət aşağıdakıları təmin edir:

• informasiyalaşdırma obyektlərində əsas texniki vasitələrin və sistemlərin tərkibinin və bu obyektin texniki pasportuna uyğun yerləşdirilməsinin yoxlanılması;
• informasiyalaşdırma obyektlərində köməkçi texniki vasitələrin və sistemlərin tərkibinin və bu obyektin texniki pasportuna uyğun yerləşdirilməsinin yoxlanılması;
• informasiyalaşdırma obyektlərinin düzgün təsnifatını, avtomatlaşdırılmış sistemlərin təsnifatını;
• texniki sızma kanalları vasitəsilə informasiya sızması ilə mübarizə üzrə fəaliyyətin və işlərin vəziyyətinin monitorinqi;
• informasiyalaşdırma obyektində informasiya təhlükəsizliyi vasitələrinin funksionallığının yoxlanılması; onların əməliyyat sənədlərinə uyğun idarə olunmasına nəzarət etmək;
• təşkilati və inzibati sənədlərin mövcudluğu və keyfiyyəti;
• bilik səviyyəsinin və Rusiya FSTEC-in normativ, metodik və rəhbər sənədlərinin tələblərinə uyğunluğunun yoxlanılması;
• mühasibat uçotu jurnallarının aparılması qaydasına və təlimatlara əməl olunmasının yoxlanılması;
• seçmə texniki nəzarətin nəticələrinə əsasən məlumatın mühafizəsi üzrə həyata keçirilən tədbirlərin səmərəliliyinin qiymətləndirilməsi.

Ayrı-seçkiliyə yol verməyən informasiyadan məlumatın təhlükəsizliyinin yoxlanılması informasiyanın mühafizəsi tədbirlərinin effektivliyinin informasiya təhlükəsizliyi üzrə müəyyən edilmiş tələblərə və ya standartlara cavab verib-vermədiyini yoxlamaqdan ibarətdir. Əvvəlki mühazirələrdə müzakirə etdiyimiz NSD-dən qorunma vasitələrinin bütün qrupları sınaqdan keçirilir.

Uyğunluq yoxlanılır qorunan informasiyanın real prosesə emalı və saxlanması texnoloji prosesinin təsvirləri.

Fürsət qiymətləndirilir daha yüksək məxfilik səviyyəsinə malik olan məlumatların daha aşağı səviyyəli informasiya daşıyıcısına ötürülməsi.

Təhlil davam edir xüsusi OTSS və işçi heyətinə istinadla subyektlər və giriş obyektləri arasında icazə verilən və qadağan edilən əlaqələr.

Uyğunluq qiymətləndirilir emalın bütün mərhələlərində personalın qorunan resurslara çıxışı üçün icazə verən sistemə icazə verilən və qadağan edilən qoşulmalar.

Doğrulama, bir qayda olaraq, proqram təminatı və aparat-proqram təminatının təhlükəsizliyinə nəzarət alətlərindən istifadə etməklə həyata keçirilir. Nümunə olaraq bir şirkətin, İnformasiya Təhlükəsizliyi Mərkəzi MMC-nin məhsullarını nəzərdən keçirək.

NSD "Inspector 2 XP"-dən təhlükəsizlik nəzarət aləti informasiya resurslarına giriş icazələrini idarə etmək üçün nəzərdə tutulmuşdur.

• PRD-də olan bütün məlumatların göstərilməsi (yalnız baxmaq mümkündür);
• iş icazəsində təsvir olunan AWS resurslarının strukturunun resursların faktiki strukturu ilə müqayisəsi;
• müqayisə nəticələrinə əsasən hesabatın yaradılması;
• avtomatlaşdırılmış iş yeri obyektləri üçün sınaq planının qurulması;
• obyektlərə daxil olmaq üçün real istifadəçi giriş hüquqlarının yoxlanılması;
• test nəticələri haqqında hesabat yaratmaq.

Şəbəkə skaneri "Şəbəkə Müfəttişi" versiyası 3.0 TCP/IP yığın protokollarından istifadə edən quraşdırılmış şəbəkə proqram və aparatında zəiflikləri aşkar etmək üçün nəzərdə tutulmuşdur. Sistem geniş imkanlara malikdir, bunlardan biri də əvvəllər müzakirə etdiyimiz təhdidlər və zəifliklərin FSTEC verilənlər bazasında olan zəifliklərin axtarışıdır. Bundan əlavə, proqram cve.mitre-də olan boşluqları axtarır. org, ovaldb.altx-soft.ru, microsoft. com və bəzi digər mənbələr.

FIX proqram paketinin ilkin vəziyyətini düzəltmək və monitorinq etmək üçün alət bütövlüyün təminatı alt sistemini idarə etmək üçün nəzərdə tutulmuşdur. Proqramın əsas xüsusiyyətləri:

• proqram paketinin ilkin vəziyyətini təyin etmək;
• proqram paketinin ilkin vəziyyətinin monitorinqi;
• kataloqların fiksasiyası və nəzarəti;
• müəyyən edilmiş fayllarda (kataloqlarda) fərqlərə nəzarət;
• uzun fayl adları və kiril hərfləri olan adlarla işləmək bacarığı.

"TERRIER" disklərində məlumatların axtarışı və zəmanətli məhv edilməsi proqramı məlumatın məhvinə nəzarət etməyə imkan verir. Yoxlamaq üçün məxfi məntiqi diskdə simvolların idarəetmə kombinasiyası ilə fayl yaratmalı, “TERRIER”dən istifadə edərək sektorları tapmalı, standart alətlərdən istifadə edərək faylı silməli və TERRIER-dən istifadə edərək onun silinməsinə nəzarət etməlisiniz.

18.4. Nəzarət nəticələrinin sənədləşdirilməsi. İnformasiya təhlükəsizliyinə nəzarət üçün tələblər

Qeyd etmək lazımdır ki, informasiya təhlükəsizliyi tədbirlərinin effektivliyinin monitorinqi vasitələrinə, eləcə də belə vasitələrin istehsalçılarına qarşı kifayət qədər sərt tələblər qoyulur. Hökumətin 2012-ci il 3 mart tarixli 171 nömrəli qərarı ilə təsdiq edilmiş “Məxfi məlumatların mühafizəsi vasitələrinin hazırlanması və istehsalı üzrə fəaliyyətin lisenziyalaşdırılması Qaydaları”na uyğun olaraq, informasiyanın mühafizəsi tədbirlərinin effektivliyinə nəzarət edən texniki vasitələrin hazırlanması və istehsalı lisenziyaya tabedir. Qoruyucu tədbirlərin effektivliyini izləmək üçün hazırlanmış və istehsal edilmiş vasitələrin özləri olmalıdır uyğunluq sertifikatı FSTEC Rusiya Federasiyası Hökumətinin 26 iyun 1995-ci il tarixli 608 nömrəli "İnformasiya təhlükəsizliyi vasitələrinin sertifikatlaşdırılması haqqında" qərarının tələblərinə uyğun olaraq.

Mühafizənin effektivliyinin monitorinqi informasiya obyektinin informasiya təhlükəsizliyinə uyğunluğunun qısa qiymətləndirilməsi, pozuntuların aradan qaldırılması üçün konkret tövsiyələrin verilməsi, informasiya obyektinin mühafizə sisteminin müəyyən edilmiş tələblərə uyğunlaşdırılması, təkmilləşdirilməsi ilə yekunlaşır. bu sistem və informasiya obyektinin fəaliyyətinin monitorinqi üçün tövsiyələr. Testlər zamanı əldə edilmiş nəticələri təsdiq edən və nəticədə verilən nəticəni əsaslandıran test hesabatları Nəticəyə əlavə olunur.

Fərdi məlumatların təhlükəsizliyinə nəzarət/təhlil tədbirlərinin UZ4 - UZ3-dən başlayaraq əsas mühafizə tədbirləri dəstinə daxil edildiyinə görə, əksər fərdi məlumat operatorları təhlükəsizlik skanerləri əldə ediblər. Bəzən aşağıdakı suallarla qarşılaşıram: ümumiyyətlə bu skaneri işə salmaq lazımdırmı və əgər belədirsə, nə qədər tez-tez və nəyi yoxlamaq lazımdır.

Gəlin bunu anlamağa çalışaq:
· skanerlər, Rusiya FSTEC-in 18 fevral 2013-cü il tarixli 21 nömrəli əmrinə uyğun olaraq məcburi şəxsi məlumatların (APD) təhlükəsizliyinə nəzarət (təhlil) üçün bir qrup tədbirlərin həyata keçirilməsi üçün istifadə olunur.
Rusiya Federasiyasının normativ hüquqi aktlarında təhlükəsizliyin skan edilməsi proseduru və ya tezliyi üçün məcburi tələblərin olub olmadığını görək:

Rusiya FSTEC-in 21 saylı əmri
“8.8. Fərdi məlumatların təhlükəsizliyinə nəzarət (təhlil) tədbirləri informasiya sisteminin təhlükəsizliyini təhlil etmək və fərdi məlumatların mühafizəsi sisteminin işini yoxlamaq üçün sistematik tədbirlər həyata keçirməklə informasiya sistemində emal olunan fərdi məlumatların təhlükəsizlik səviyyəsinə nəzarəti təmin etməlidir. .
ANZ.1 İnformasiya sistemində zəifliklərin müəyyən edilməsi, təhlili və yeni aşkar edilmiş zəifliklərin operativ şəkildə aradan qaldırılması
ANZ.2 İnformasiya təhlükəsizliyi proqram təminatının yenilənməsi daxil olmaqla proqram təminatının yenilənməsinin quraşdırılmasına nəzarət
ANZ.3 Proqram təminatının və informasiya təhlükəsizliyi vasitələrinin performansının, parametrlərinin və düzgün işləməsinin monitorinqi
ANZ.4 Aparat, proqram təminatı və informasiya təhlükəsizliyi vasitələrinin tərkibinə nəzarət”

GOST R 51583-2014 qorunan dinamiklərin yaradılması proseduru

Təhlükəsizlik təhlili üçün tələbləri ehtiva edən daha çox qayda tapmaq mümkün olmadı

Bu o deməkdir ki, Rusiya Federasiyasının hüquqi aktlarında sifariş və tezliyə dair tələbləri ehtiva etmir təhlükəsizlik skanlarının aparılması, müvafiq olaraq profillərin skan edilməsi üçün parametrlər, zəifliyin təhlili tezliyi operator tərəfindən müstəqil olaraq müəyyən edilir
Bu ardıcıllığı və tezliyi necə təyin edə bilər?

· çox güman ki, informasiya sisteminin xüsusiyyətlərindən və kritikliyindən, istifadə olunan proqram təminatının tərkibindən və proqram təminatının yenilənməsi üçün daxili qaydalardan çıxış etmək lazımdır;

· Siz həmçinin başa düşməlisiniz ki, skan nəticələrinə əsasən o, zəifliklər haqqında hesabat yaradır, onun hələ də işlənilməsi lazımdır - boşluqların aradan qaldırılması və çatışmayan yeniləmələrin quraşdırılması. Məsul şəxslərin hesabatı emal etmək və zəiflikləri düzəltmək üçün vaxtları olduğundan daha tez-tez skanların aparılmasının mənası yoxdur. Skan tezliyi > zəiflik hesabatını emal etmək üçün orta vaxt

· skanlama prosedurunu və tezliyini müəyyən edərkən informasiya sisteminin operatoru informasiya təhlükəsizliyi sahəsində öz təcrübəsini, təhlükəsizlik təhlili fəaliyyətinin aparılması təcrübəsini, kənar ekspertlərin və FSTEC lisenziya sahiblərinin tövsiyələrini, habelə statuslu sənədləri rəhbər tuta bilər. “tövsiyə olunan” və ya “ən yaxşı təcrübələr”

· nəzərə alınmalıdır ki, təhlükəsizlik təhlili tədbirləri olmalıdır sistematik(21 saylı FSTEC əmrinin 8.8-ci bəndi) və olmalıdır kifayətdir cari təhlükələri zərərsizləşdirmək (Hökumətin 1119 saylı qərarının 2-ci bəndi)

Ən yaxşı metodoloji sənədlərdə və ən yaxşı təcrübələrdə nə olduğunu görək:

GOST R ISO/IEC 27002-2012
“12.6 Texniki Zəifliyin İdarə Edilməsi
Məqsəd: Yayımlanmış texniki zəifliklərin istismarı nəticəsində yaranan riskləri azaltmaq.

Texniki zəifliyin idarə edilməsi effektiv, sistemli və təkrarlana bilən şəkildə həyata keçirilməli, onun effektivliyini təsdiq etmək üçün ölçmələr aparılmalıdır. Bu mülahizələr işlədilən sistemlərə və istifadə olunan hər hansı digər tətbiq proqramlarına şamil edilməlidir.
12.6.1 Texniki zəifliklərin idarə edilməsi

Nəzarət və idarəetmənin ölçü və vasitələri

İstifadə olunan informasiya sistemlərinin texniki zəiflikləri haqqında vaxtında məlumat əldə etmək, təşkilatın belə zəifliklərə məruz qalmasını qiymətləndirmək və onlarla bağlı riskin aradan qaldırılması üçün müvafiq tədbirlər görmək lazımdır.

Davamlı olaraq yenilənən və tam aktiv inventar (bax 7.1) texniki zəifliyin effektiv idarə olunması üçün ilkin şərtdir. Texniki zəifliyin idarə edilməsini dəstəkləmək üçün lazım olan spesifik məlumatlara proqram təminatçısı, versiya nömrələri, cari yerləşdirmə statusu (məsələn, hansı proqram təminatının hansı sistemlərdə quraşdırıldığı) və təşkilatda proqram təminatına cavabdeh olan şəxs(lər) haqqında məlumatlar daxildir.

Eynilə, potensial texniki zəifliklərin müəyyən edilməsinə cavab olaraq vaxtında tədbirlər görülməlidir. Texniki zəifliklərin effektiv idarəetmə prosesini yaratmaq üçün aşağıdakı tövsiyələrə əməl edilməlidir:
a) təşkilat zəifliyin monitorinqi, zəiflik riskinin qiymətləndirilməsi, proqram təminatının düzəldilməsi, aktivlərin izlənməsi və hər hansı digər koordinasiya funksiyaları daxil olmaqla, texniki zəifliyin idarə edilməsi ilə bağlı rol və məsuliyyətləri müəyyən etməli və müəyyən etməlidir;
b) aktivlərin inventar siyahısına əsasən proqram təminatı və digər texnologiyalar üçün əhəmiyyətli texniki zəiflikləri müəyyən etmək və onların məlumatlandırılmasını təmin etmək üçün istifadə olunacaq informasiya resursları müəyyən edilməlidir (bax. 7.1.1); bu informasiya ehtiyatları inventarda dəyişikliklər edildikdə və ya digər yeni və ya faydalı resurslar aşkar edildikdə yenilənməlidir;
c) potensial əhəmiyyətli texniki zəifliklər barədə bildirişlərə cavab verilmə vaxtını müəyyən etmək lazımdır;
d) Potensial texniki zəiflik müəyyən edildikdən sonra təşkilat onunla bağlı riskləri və görülməli olan tədbirləri müəyyən etməlidir; bu cür hərəkətlərə təsirə məruz qalmış sistemlərin yamaqlanması və/və ya digər nəzarət və nəzarət vasitələrinin həyata keçirilməsi daxil ola bilər;
e) Texniki zəifliyin nə dərəcədə təcili həll edilməli olmasından asılı olaraq, görülən tədbirlər dəyişikliklərin idarə edilməsi ilə bağlı nəzarət vasitələrinə (bax. 12.5.1) və ya informasiya təhlükəsizliyi insidentlərinə cavab prosedurlarına (bax. .13.2) uyğun olaraq həyata keçirilməlidir;
f) yamağı quraşdırmaq mümkündürsə, onun quraşdırılması ilə bağlı risklər qiymətləndirilməlidir (zəifliyin yaratdığı risklər yamağın quraşdırılması riski ilə müqayisə edilməlidir);
g) quraşdırmadan əvvəl yamaqlar sınaqdan keçirilməli və qiymətləndirilməlidir ki, onların effektiv olması və dözülməməsi lazım olan əlavə təsirlərə səbəb olmasın; Yamağı quraşdırmaq mümkün deyilsə, digər nəzarət və idarəetmə vasitələri nəzərdən keçirilməlidir, məsələn:
1) zəifliklə bağlı xidmətlərin söndürülməsi;
2) şəbəkə sərhədlərində firewall kimi giriş idarəetmə vasitələrinin uyğunlaşdırılması və ya əlavə edilməsi (bax: 11.4.5);
3) faktiki hücumları aşkar etmək və ya qarşısını almaq üçün təkmilləşdirilmiş monitorinq;
4) zəifliklər haqqında məlumatlılığın artırılması;
h) audit izi həyata keçirilən bütün prosedurları qeyd etməlidir;
i) texniki zəifliyin idarə edilməsi prosesi onun effektivliyinə və səmərəliliyinə inamı təmin etmək üçün müntəzəm olaraq monitorinq edilməli və qiymətləndirilməlidir;
j) Yüksək riskli sistemlərə üstünlük verilməlidir.

əlavə informasiya

Texniki zəifliyin idarə edilməsi prosesinin düzgün işləməsi bir çox təşkilatlar üçün vacibdir və prosesə müntəzəm olaraq nəzarət edilməlidir. Potensial əhəmiyyətli texniki zəifliklərin müəyyən edilməsini təmin etmək üçün dəqiq inventar vacibdir.

Texniki zəifliyin idarə edilməsi dəyişikliklərin idarə edilməsinin alt funksiyası hesab edilə bilər və beləliklə, dəyişikliklərin idarə edilməsi proseslərindən və prosedurlarından faydalana bilər (bax: 10.1.2 və 12.5.1).

Satıcılar tez-tez yamaqları mümkün qədər tez buraxmaq üçün əhəmiyyətli təzyiqlə üzləşirlər. Buna görə də, yamaq problemi adekvat şəkildə həll etməyə bilər və yan təsirlərə səbəb ola bilər. Bundan əlavə, bəzi hallarda yamaq tətbiq edildikdən sonra onu silmək asan olmaya bilər.

Yamaqların adekvat sınağı, məsələn, xərc və ya resursların olmaması səbəbindən həyata keçirilə bilmirsə, digər istifadəçilərin təcrübəsinə əsaslanaraq əlaqəli riskləri qiymətləndirmək üçün dəyişikliklərin həyata keçirilməsində gecikmə nəzərdə tutula bilər.

RS BR IBBS-2.6-2014
"10. Əməliyyat mərhələsi
10.1. İnformasiya təhlükəsizliyinin təmin edilməsi baxımından əməliyyat mərhələsində əsas vəzifələr bunlardır:
- ABS təhlükəsizliyinin vaxtaşırı qiymətləndirilməsi (ABS proqram təminatı komponentlərinin tipik zəifliklərini müəyyən etmək üçün tədbirlərin həyata keçirilməsi, nüfuz testi);
10.2. Təhlükəsizliyin qiymətləndirilməsi işinin tezliyi qərarla müəyyən edilir
RF BS təşkilatları. Bank ödəniş texnologiyasını həyata keçirmək üçün istifadə olunan əsas bank sistemləri üçün
məntiqsiz proses, hərtərəfli bir təhlükəsizlik qiymətləndirməsinin aparılması tövsiyə edilmir
ildə bir dəfədən az"

Rusiya FSTEC-in "Dövlət informasiya sistemlərində məlumatların qorunması tədbirləri" metodoloji sənədi, bu da operatorun mülahizəsinə əsasən şəxsi məlumatların təhlükəsizliyini təmin etmək üçün istifadə edilə bilər
“ANZ.1 İNFORMASİYA SİSTEMİNİN ZƏHİLLƏRİNİN MÜƏYYƏNDİRİLMƏSİ, TƏHLİL EDİLMƏSİ VƏ LƏD EDİLMƏSİ
Zəifliklərin müəyyən edilməsi (axtarışı), təhlili və aradan qaldırılması informasiya sisteminin yaradılması və istismarı mərhələlərində həyata keçirilməlidir. Əməliyyat mərhələsində zəifliklərin axtarışı və təhlili operator tərəfindən müəyyən edilmiş fasilələrlə həyata keçirilir. Eyni zamanda, məcburidir kritik zəifliklər üçün zəifliklərin axtarışı və təhlili aparılır açıq mənbələrdə dərc edildikdə informasiya sistemində istifadə olunan informasiya təhlükəsizliyi alətlərində, aparat və proqram təminatında yeni boşluqlar haqqında məlumat.
ANZ.1-in gücləndirilməsi üçün tələblər:
2) operator informasiya sistemində skan edilmiş boşluqların siyahısını onun müəyyən etdiyi tezlikdə, habelə yeni boşluqlar haqqında məlumatlar peyda olduqdan sonra yeniləməlidir;”

· FSTEC metodoloji sənədini rəhbər tutaraq - kritik zəiflik və ya yeniləmə haqqında məlumat dərc edildikdən sonra təhlükəsizlik təhlili mütləq aparılmalıdır;

· Windows OS üçün orta hesabla belə boşluqlar yaranır aylıq;

· fikrimcə, mövcud təhlükələrin neytrallaşdırılmasını təmin etmək üçün ən azı skanerlərdən istifadə etməklə təhlükəsizlik təhlili aparılmalıdır. rüblük

· Nəyin və necə yoxlanılacağını müəyyən edərkən başlanğıc nöqtəsi kimi siz RS BR IBBS-2.6-2014-ə təhlükəsizlik qiymətləndirmələrinin aparılması üçün Əlavə 3 Tövsiyələrdən istifadə edə bilərsiniz - bölmə 2 “Məlum zəifliklərin müəyyən edilməsi”