يعتقد مبتكر علم التحكم الآلي نوربرت وينر أن المعلومات لها خصائص فريدة ولا يمكن أن تعزى إلى الطاقة أو المادة. وقد أدى الوضع الخاص للمعلومات كظاهرة إلى ظهور العديد من التعريفات.

يقدم قاموس المواصفة ISO/IEC 2382:2015 "تكنولوجيا المعلومات" التفسير التالي:

المعلومات (في مجال معالجة المعلومات)- أي بيانات مقدمة في شكل إلكتروني، أو مكتوبة على الورق، أو معبر عنها في اجتماع أو موجودة في أي وسيلة أخرى، تستخدمها مؤسسة مالية لاتخاذ القرارات، ونقل الأموال، وتحديد الأسعار، وتقديم القروض، ومعالجة المعاملات، وما إلى ذلك، بما في ذلك معالجة المكونات برنامج النظام.

لتطوير مفهوم أمن المعلومات (IS)، تُفهم المعلومات على أنها المعلومات المتاحة للجمع والتخزين والمعالجة (التحرير والتحويل) والاستخدام والنقل بطرق مختلفة، بما في ذلك شبكات الكمبيوتر وأنظمة المعلومات الأخرى.

تعتبر هذه المعلومات ذات قيمة عالية وقد تصبح هدفًا لهجمات من قبل أطراف ثالثة. إن الرغبة في حماية المعلومات من التهديدات تكمن وراء إنشاء أنظمة أمن المعلومات.

الأساس القانوني

وفي ديسمبر 2017، اعتمدت روسيا مبدأ أمن المعلومات. وتعرّف الوثيقة أمن المعلومات بأنه حالة حماية المصالح الوطنية في مجال المعلومات. في هذه الحالة، تُفهم المصالح الوطنية على أنها مجمل مصالح المجتمع والفرد والدولة، وكل مجموعة من المصالح ضرورية لعمل المجتمع المستقر.

العقيدة هي وثيقة مفاهيمية. يتم تنظيم العلاقات القانونية المتعلقة بضمان أمن المعلومات من خلال القوانين الفيدرالية "بشأن أسرار الدولة" و"بشأن المعلومات" و"بشأن حماية البيانات الشخصية" وغيرها. على أساس اللوائح الأساسية، يتم تطوير اللوائح الحكومية ولوائح الإدارات بشأن القضايا الخاصة بحماية المعلومات.

تعريف أمن المعلومات

قبل وضع استراتيجية أمن المعلومات، لا بد من اعتماد تعريف أساسي للمفهوم نفسه، والذي سيسمح باستخدام مجموعة معينة من أساليب وأساليب الحماية.

يقترح ممارسون الصناعة فهم أمن المعلومات كحالة مستقرة لأمن المعلومات ووسائطها وبنيتها التحتية، والتي تضمن سلامة ومقاومة العمليات المتعلقة بالمعلومات للتأثيرات المقصودة أو غير المقصودة ذات الطبيعة الطبيعية والاصطناعية. يتم تصنيف التأثيرات في شكل تهديدات لأمن المعلومات يمكن أن تسبب ضررًا لموضوعات علاقات المعلومات.

وبالتالي، سيتم فهم أمن المعلومات على أنه مجموعة من التدابير القانونية والإدارية والتنظيمية والتقنية التي تهدف إلى منع التهديدات الحقيقية أو المتصورة لأمن المعلومات، وكذلك القضاء على عواقب الحوادث. يجب أن تضمن استمرارية عملية حماية المعلومات مكافحة التهديدات في جميع مراحل دورة المعلومات: في عملية جمع المعلومات وتخزينها ومعالجتها واستخدامها ونقلها.

يصبح أمن المعلومات في هذا الفهم إحدى خصائص أداء النظام. في كل لحظة من الزمن، يجب أن يتمتع النظام بمستوى قابل للقياس من الأمان، ويجب أن يكون ضمان أمان النظام عملية مستمرة يتم تنفيذها على جميع الفواصل الزمنية خلال عمر النظام.

يستخدم الرسم البياني البيانات الخاصة بنا"معلومات البحث".

في نظرية أمن المعلومات، يُفهم موضوعات أمن المعلومات على أنهم مالكو ومستخدمو المعلومات، وليس فقط المستخدمين بشكل مستمر (الموظفين)، ولكن أيضًا المستخدمين الذين يصلون إلى قواعد البيانات في حالات معزولة، على سبيل المثال، الوكالات الحكومية التي تطلب المعلومات. في بعض الحالات، على سبيل المثال، في معايير أمن المعلومات المصرفية، يعتبر المساهمين - الكيانات القانونية التي تمتلك بيانات معينة - أصحاب المعلومات.

تشمل البنية التحتية الداعمة، من وجهة نظر أساسيات أمن المعلومات، أجهزة الكمبيوتر والشبكات ومعدات الاتصالات والمباني وأنظمة دعم الحياة والموظفين. عند تحليل الأمن، من الضروري دراسة جميع عناصر الأنظمة، مع إيلاء اهتمام خاص للموظفين باعتبارهم حاملي غالبية التهديدات الداخلية.

لإدارة أمن المعلومات وتقييم الضرر، يتم استخدام خاصية المقبولية، وبالتالي تحديد الضرر بأنه مقبول أو غير مقبول. من المفيد لكل شركة أن تضع معاييرها الخاصة للضرر المقبول في شكل نقدي أو، على سبيل المثال، في شكل ضرر مقبول على السمعة. وفي المؤسسات الحكومية قد تعتمد خصائص أخرى، على سبيل المثال، تؤثر على عملية الإدارة أو تعكس درجة الضرر على حياة وصحة المواطنين. قد تتغير معايير الأهمية النسبية للمعلومات وأهميتها وقيمتها خلال دورة حياة مصفوفة المعلومات، وبالتالي يجب مراجعتها في الوقت المناسب.

يتم التعرف على تهديد المعلومات بالمعنى الضيق كفرصة موضوعية للتأثير على موضوع الحماية، مما قد يؤدي إلى تسرب المعلومات أو سرقتها أو الكشف عنها أو نشرها. بالمعنى الأوسع، ستشمل تهديدات أمن المعلومات التأثيرات المستهدفة ذات الطبيعة المعلوماتية، والغرض منها هو إلحاق الضرر بالدولة أو المنظمة أو الفرد. وتشمل هذه التهديدات، على سبيل المثال، التشهير، والتضليل المتعمد، والإعلانات غير الصحيحة.

ثلاث قضايا رئيسية لمفهوم أمن المعلومات لأي منظمة

ما الذي يجب حمايته؟

ما هي أنواع التهديدات السائدة: خارجية أم داخلية؟

كيفية الحماية وبأي طرق ووسائل؟

نظام أمن المعلومات

يتضمن نظام أمن المعلومات لشركة - كيان قانوني ثلاث مجموعات من المفاهيم الأساسية: النزاهة والتوافر والسرية. وتحت كل منها تكمن مفاهيم ذات خصائص متعددة.

تحت نزاهةيشير إلى مقاومة قواعد البيانات ومصفوفات المعلومات الأخرى للتدمير العرضي أو المتعمد والتغييرات غير المصرح بها. ويمكن رؤية مفهوم النزاهة على النحو التالي:

• ثابتة، معبرًا عنها في ثبات كائنات المعلومات وصحتها لتلك الكائنات التي تم إنشاؤها وفقًا لمواصفات فنية محددة وتحتوي على كميات من المعلومات اللازمة للمستخدمين لأنشطتهم الرئيسية، بالتكوين والتسلسل المطلوبين؛
• متحركمما يعني التنفيذ الصحيح للإجراءات أو المعاملات المعقدة دون الإضرار بسلامة المعلومات.

للتحكم في السلامة الديناميكية، يتم استخدام وسائل تقنية خاصة تعمل على تحليل تدفق المعلومات، على سبيل المثال المالية، وتحديد حالات السرقة والازدواجية وإعادة التوجيه والتغييرات في ترتيب الرسائل. النزاهة باعتبارها خاصية أساسية مطلوبة عندما يتم اتخاذ قرارات اتخاذ الإجراءات على أساس المعلومات الواردة أو المتاحة. يمكن أن يؤدي انتهاك ترتيب الأوامر أو تسلسل الإجراءات إلى إحداث ضرر كبير في حالة وصف العمليات التكنولوجية وأكواد البرامج وفي المواقف المماثلة الأخرى.

التوفرهي خاصية تسمح للأشخاص المصرح لهم بالوصول إلى البيانات التي تهمهم أو تبادلها. الشرط الرئيسي للشرعية أو الترخيص للأشخاص يجعل من الممكن إنشاء مستويات مختلفة من الوصول. يصبح فشل النظام في توفير المعلومات مشكلة لأي منظمة أو مجموعة مستخدمين. ومن الأمثلة على ذلك عدم إمكانية الوصول إلى مواقع الخدمات الحكومية في حالة تعطل النظام، مما يحرم العديد من المستخدمين من فرصة الحصول على الخدمات أو المعلومات اللازمة.

سريةتعني خاصية المعلومات التي يمكن لهؤلاء المستخدمين الوصول إليها: الموضوعات والعمليات التي يتم منح الوصول إليها في البداية. تنظر معظم الشركات والمنظمات إلى السرية باعتبارها عنصرًا أساسيًا في أمن المعلومات، ولكن من الصعب عمليًا تنفيذها بشكل كامل. ليست جميع البيانات المتعلقة بقنوات تسرب المعلومات الحالية متاحة لمؤلفي مفاهيم أمن المعلومات، ولا يمكن شراء العديد من وسائل الحماية التقنية، بما في ذلك وسائل التشفير، بحرية؛ وفي بعض الحالات، يكون التداول محدودًا.

خصائص أمن المعلومات المتساوية لها قيم مختلفة للمستخدمين، ومن هنا تأتي الفئتان المتطرفتان عند تطوير مفاهيم حماية البيانات. بالنسبة للشركات أو المنظمات المرتبطة بأسرار الدولة، ستكون السرية معيارًا رئيسيًا، أما بالنسبة للخدمات العامة أو المؤسسات التعليمية، فإن المعلم الأكثر أهمية هو إمكانية الوصول.

ملخص أمن المعلومات

كائنات الحماية في مفاهيم أمن المعلومات

تؤدي الاختلافات في الموضوعات إلى اختلافات في كائنات الحماية. المجموعات الرئيسية للأشياء المحمية:

• موارد المعلومات بجميع أنواعها (يُفهم المورد على أنه كائن مادي: محرك أقراص ثابت، ووسائط أخرى، ومستند يحتوي على بيانات وتفاصيل تساعد في تحديده وتعيينه لمجموعة معينة من الموضوعات)؛
• حقوق المواطنين والمنظمات والدولة في الوصول إلى المعلومات، وفرصة الحصول عليها في إطار القانون؛ لا يمكن تقييد الوصول إلا عن طريق اللوائح، وتنظيم أي حواجز تنتهك حقوق الإنسان أمر غير مقبول؛
• نظام لإنشاء واستخدام وتوزيع البيانات (الأنظمة والتقنيات والمحفوظات والمكتبات والوثائق التنظيمية)؛
• نظام لتشكيل الوعي العام (وسائل الإعلام، موارد الإنترنت، المؤسسات الاجتماعية، المؤسسات التعليمية).

تتطلب كل منشأة نظامًا خاصًا لتدابير الحماية ضد التهديدات التي يتعرض لها أمن المعلومات والنظام العام. يجب أن يعتمد ضمان أمن المعلومات في كل حالة على نهج منهجي يأخذ في الاعتبار تفاصيل الكائن.

الفئات ووسائل الإعلام

يقوم النظام القانوني الروسي وممارسات إنفاذ القانون والعلاقات الاجتماعية القائمة بتصنيف المعلومات وفقًا لمعايير إمكانية الوصول. يتيح لك ذلك توضيح المعلمات الأساسية اللازمة لضمان أمن المعلومات:

• المعلومات التي يتم تقييد الوصول إليها بناءً على المتطلبات القانونية (أسرار الدولة، الأسرار التجارية، البيانات الشخصية)؛
• المعلومات في المجال العام؛
• المعلومات المتاحة للجمهور والتي يتم توفيرها بموجب شروط معينة: المعلومات أو البيانات المدفوعة التي تتطلب إذنًا لاستخدامها، على سبيل المثال، بطاقة المكتبة؛
• المعلومات الخطيرة والضارة والكاذبة وغيرها من أنواع المعلومات التي يقتصر تداولها ونشرها إما على المتطلبات القانونية أو معايير الشركة.

المعلومات من المجموعة الأولى لها وضعان للأمان. سر الدولةوفقًا للقانون، فهذه معلومات محمية من قبل الدولة، وقد يؤدي نشرها بحرية إلى الإضرار بأمن البلاد. هذه بيانات في مجال الجيش والسياسة الخارجية والاستخبارات ومكافحة التجسس والأنشطة الاقتصادية للدولة. مالك مجموعة البيانات هذه هو الدولة نفسها. الهيئات المخولة باتخاذ تدابير لحماية أسرار الدولة هي وزارة الدفاع، وجهاز الأمن الفيدرالي (FSB)، وجهاز المخابرات الأجنبية، والخدمة الفيدرالية للرقابة الفنية ومراقبة الصادرات (FSTEK).

معلومات سرية- كائن تنظيمي أكثر تعدد الأوجه. قائمة المعلومات التي قد تشكل معلومات سرية واردة في المرسوم الرئاسي رقم 188 "بشأن الموافقة على قائمة المعلومات السرية". هذه بيانات شخصية؛ سرية التحقيق والإجراءات القانونية؛ السر الرسمي السرية المهنية (الطبية، كاتب العدل، المحامي)؛ سر التجارة؛ معلومات حول الاختراعات ونماذج المنفعة؛ المعلومات الواردة في الملفات الشخصية للأشخاص المدانين، وكذلك معلومات عن التنفيذ القسري للأعمال القضائية.

البيانات الشخصية موجودة في الوضع المفتوح والسري. يتضمن جزء البيانات الشخصية المفتوح والمتاح لجميع المستخدمين الاسم الأول واسم العائلة واسم العائلة. وفقًا للقانون الاتحادي رقم 152 "بشأن البيانات الشخصية"، يحق لأصحاب البيانات الشخصية ما يلي:

• وتقرير المصير بشأن المعلومات؛
• للوصول إلى البيانات الشخصية الشخصية وإجراء تغييرات عليها؛
• لمنع البيانات الشخصية والوصول إليها؛
• للاستئناف ضد الإجراءات غير القانونية التي ترتكبها أطراف ثالثة فيما يتعلق بالبيانات الشخصية؛
• للتعويض عن الأضرار الناجمة.

الحق منصوص عليه في اللوائح المتعلقة بالهيئات الحكومية والقوانين الفيدرالية وتراخيص العمل مع البيانات الشخصية الصادرة عن Roskomnadzor أو FSTEC. يجب على الشركات التي تعمل بشكل احترافي مع البيانات الشخصية لمجموعة واسعة من الأشخاص، على سبيل المثال، مشغلي الاتصالات، الدخول في السجل الذي تحتفظ به Roskomnadzor.

كائن منفصل في نظرية وممارسة أمن المعلومات هو ناقلات المعلومات، والتي يمكن أن يكون الوصول إليها مفتوحًا أو مغلقًا. عند تطوير مفهوم أمن المعلومات، يتم اختيار أساليب الحماية حسب نوع الوسائط. وسائط التخزين الرئيسية:

• وسائل الإعلام المطبوعة والإلكترونية، والشبكات الاجتماعية، وموارد الإنترنت الأخرى؛
• موظفو المنظمة الذين لديهم إمكانية الوصول إلى المعلومات بناءً على علاقاتهم الودية والعائلية والمهنية؛
• وسائل الاتصال التي تنقل المعلومات أو تخزنها: الهواتف، والمقسمات الهاتفية الآلية، ومعدات الاتصالات الأخرى؛
• الوثائق بجميع أنواعها: شخصية، رسمية، حكومية؛
• البرنامج ككائن معلوماتي مستقل، خاصة إذا تم تعديل نسخته خصيصًا لشركة معينة؛
• وسائط التخزين الإلكترونية التي تعالج البيانات تلقائيا.

ولأغراض تطوير مفاهيم أمن المعلومات، تنقسم وسائل أمن المعلومات عادة إلى تنظيمية (غير رسمية) وفنية (رسمية).

وسائل الحماية غير الرسمية هي الوثائق والقواعد والتدابير؛ والوسائل الرسمية هي وسائل وبرامج تقنية خاصة. يساعد التمييز على توزيع مجالات المسؤولية عند إنشاء أنظمة أمن المعلومات: مع الإدارة العامة للحماية، يقوم الموظفون الإداريون بتنفيذ الأساليب التنظيمية، وبالتالي يقوم متخصصو تكنولوجيا المعلومات بتنفيذ الأساليب الفنية.

تفترض أساسيات أمن المعلومات تقسيم السلطة ليس فقط من حيث استخدام المعلومات، ولكن أيضًا من حيث العمل على حمايتها. ويتطلب هذا الفصل بين السلطات أيضًا عدة مستويات من السيطرة.

سبل الانتصاف الرسمية

تشمل مجموعة واسعة من وسائل حماية أمن المعلومات التقنية ما يلي:

الوسائل المادية للحماية.وهي آليات ميكانيكية وكهربائية وإلكترونية تعمل بشكل مستقل عن أنظمة المعلومات وتخلق عوائق أمام الوصول إليها. تم تصميم الأقفال، بما في ذلك الأقفال الإلكترونية والشاشات والستائر، لإنشاء عوائق أمام اتصال العوامل المزعزعة للاستقرار بالأنظمة. يتم استكمال المجموعة بأنظمة أمنية، على سبيل المثال، كاميرات الفيديو ومسجلات الفيديو وأجهزة الاستشعار التي تكتشف الحركة أو المستويات الزائدة من الإشعاع الكهرومغناطيسي في المنطقة التي توجد بها الوسائل التقنية لجمع المعلومات والأجهزة المدمجة.

حماية الأجهزة.هذه هي الأجهزة الكهربائية والإلكترونية والبصرية والليزر وغيرها من الأجهزة المضمنة في أنظمة المعلومات والاتصالات. قبل إدخال الأجهزة في أنظمة المعلومات، من الضروري التأكد من التوافق.

برمجة- هذه برامج بسيطة ونظامية وشاملة مصممة لحل مشاكل محددة ومعقدة تتعلق بتوفير أمن المعلومات. تشمل أمثلة الحلول المعقدة ما يلي: يعمل الأول على منع التسريبات وإعادة تنسيق المعلومات وإعادة توجيه تدفقات المعلومات، بينما يوفر الأخير الحماية ضد الحوادث في مجال أمن المعلومات. تتطلب أدوات البرمجيات قوة الأجهزة، ومن الضروري أثناء التثبيت توفير احتياطيات إضافية.

يمكنك تجربتها مجانًا لمدة 30 يومًا. قبل تثبيت النظام، سيقوم مهندسو SearchInform بإجراء تدقيق فني في شركة العميل.

ل وسائل محددةيتضمن أمن المعلومات خوارزميات تشفير متنوعة تسمح لك بتشفير المعلومات الموجودة على القرص وإعادة توجيهها عبر قنوات الاتصال الخارجية. يمكن أن يتم تحويل المعلومات باستخدام أساليب البرامج والأجهزة العاملة في أنظمة معلومات الشركات.

يجب استخدام كافة الوسائل التي تضمن أمن المعلومات مجتمعة، بعد إجراء تقييم أولي لقيمة المعلومات ومقارنتها بتكلفة الموارد التي يتم إنفاقها على الأمن. ولذلك، ينبغي صياغة مقترحات استخدام الأموال بالفعل في مرحلة تطوير النظام، ويجب أن تتم الموافقة على مستوى الإدارة المسؤول عن الموافقة على الميزانيات.

من أجل ضمان الأمن، من الضروري مراقبة جميع التطورات الحديثة وحماية البرامج والأجهزة والتهديدات وإجراء تغييرات فورية على أنظمة الحماية الخاصة بك ضد الوصول غير المصرح به. إن الاستجابة الكافية والسريعة للتهديدات هي وحدها التي ستساعد في تحقيق مستوى عالٍ من السرية في عمل الشركة.

تم إصدار الإصدار الأول في عام 2018. يقوم هذا البرنامج الفريد بتجميع الصور النفسية للموظفين وتوزيعها على المجموعات المعرضة للخطر. يتيح لك هذا النهج في أمن المعلومات توقع الحوادث المحتملة واتخاذ الإجراءات اللازمة مسبقًا.

سبل الانتصاف غير الرسمية

يتم تجميع وسائل الحماية غير الرسمية في المعيارية والإدارية والمعنوية والأخلاقية. على المستوى الأول من الحماية توجد وسائل تنظيمية تنظم أمن المعلومات كعملية في أنشطة المنظمة.

• الوسائل التنظيمية

في الممارسة العالمية، عند تطوير الأدوات التنظيمية، يتم الاسترشاد بمعايير حماية أمن المعلومات، وأهمها ISO/IEC 27000. تم إنشاء المعيار من قبل منظمتين:

• ISO - اللجنة الدولية للمعايير، التي تطور وتعتمد معظم الأساليب المعترف بها دوليًا لإصدار شهادات جودة عمليات الإنتاج والإدارة؛
• IEC - لجنة الطاقة الدولية، التي أدخلت في المعيار فهمها لأنظمة أمن المعلومات ووسائل وأساليب ضمان ذلك

يقدم الإصدار الحالي من ISO/IEC 27000-2016 معايير جاهزة وتقنيات مجربة ضرورية لتنفيذ أمن المعلومات. وفقا لمؤلفي الأساليب، فإن أساس أمن المعلومات يكمن في التنفيذ المنهجي والمتسق لجميع المراحل من التطوير إلى مرحلة ما بعد المراقبة.

للحصول على شهادة تؤكد الالتزام بمعايير أمن المعلومات، من الضروري تنفيذ جميع الممارسات الموصى بها بالكامل. إذا لم تكن هناك حاجة للحصول على شهادة، فمن الممكن قبول أي من الإصدارات السابقة للمعيار، بدءًا من ISO/IEC 27000-2002، أو معايير GOST الروسية، والتي تعتبر استشارية بطبيعتها، كأساس لتطوير معاييرك الخاصة. أنظمة أمن المعلومات.

وبناء على نتائج دراسة المعيار، يجري تطوير وثيقتين تتعلقان بأمن المعلومات. المفهوم الرئيسي، ولكن الأقل رسمية، هو مفهوم أمن معلومات المؤسسة، والذي يحدد تدابير وطرق تنفيذ نظام أمن المعلومات لأنظمة معلومات المنظمة. الوثيقة الثانية التي يتعين على جميع موظفي الشركة الالتزام بها هي لائحة أمن المعلومات المعتمدة على مستوى مجلس الإدارة أو الهيئة التنفيذية.

بالإضافة إلى اللوائح على مستوى الشركة، ينبغي تطوير قوائم المعلومات التي تشكل الأسرار التجارية، ومرفقات عقود العمل التي تحدد المسؤولية عن الكشف عن البيانات السرية، وغيرها من المعايير والمنهجيات. يجب أن تحتوي القواعد والقواعد الداخلية على آليات التنفيذ ومقاييس المسؤولية. في أغلب الأحيان، تكون التدابير تأديبية، ويجب أن يكون المخالف مستعدا لحقيقة أن انتهاك نظام الأسرار التجارية ستتبعه عقوبات كبيرة، بما في ذلك الفصل.

• التدابير التنظيمية والإدارية

كجزء من الأنشطة الإدارية لحماية أمن المعلومات، يتمتع ضباط الأمن بمجال للإبداع. وتشمل هذه الحلول المعمارية والتخطيطية التي تجعل من الممكن حماية قاعات الاجتماعات ومكاتب الإدارة من التنصت، وإنشاء مستويات مختلفة للوصول إلى المعلومات. ستكون الإجراءات التنظيمية المهمة هي اعتماد أنشطة الشركة وفقًا لمعايير ISO/IEC 27000، وإصدار الشهادات لأنظمة الأجهزة والبرامج الفردية، وإصدار الشهادات للموضوعات والأشياء للامتثال لمتطلبات الأمان اللازمة، والحصول على التراخيص اللازمة للعمل مع صفائف المعلومات المحمية.

من وجهة نظر تنظيم أنشطة الموظفين، سيكون من المهم إضفاء الطابع الرسمي على نظام طلبات الوصول إلى الإنترنت والبريد الإلكتروني الخارجي والموارد الأخرى. سيكون العنصر المنفصل هو استلام التوقيع الرقمي الإلكتروني لتعزيز أمن المعلومات المالية وغيرها من المعلومات التي يتم إرسالها إلى الوكالات الحكومية عبر البريد الإلكتروني.

• التدابير الأخلاقية والأخلاقية

تحدد التدابير الأخلاقية والأخلاقية الموقف الشخصي للشخص تجاه المعلومات السرية أو المعلومات المقيدة التداول. إن زيادة مستوى معرفة الموظفين فيما يتعلق بتأثير التهديدات على أنشطة الشركة يؤثر على درجة وعي الموظفين ومسؤوليتهم. لمكافحة انتهاكات المعلومات، بما في ذلك، على سبيل المثال، نقل كلمات المرور، والتعامل المهمل مع الوسائط، ونشر البيانات السرية في المحادثات الخاصة، من الضروري التأكيد على الوعي الشخصي للموظف. سيكون من المفيد إنشاء مؤشرات أداء الموظفين، والتي ستعتمد على الموقف تجاه نظام أمن المعلومات في الشركة.

تاريخ ظهور وتطور أمن المعلومات

مع تطور وسائل اتصالات المعلومات، وبالتالي إمكانية التسبب في تلف المعلومات المخزنة والمرسلة بمساعدتها، نشأ أمن المعلومات (IS).

كانت المهمة الرئيسية لأمن المعلومات قبل عام 1816 هي حماية أنواع مختلفة من المعلومات ذات الأهمية الخاصة للموضوع (منظمة أو فرد).

لقد كشف إدخال واستخدام قدرات الاتصالات الراديوية عن ضرورة ضمان أمن الاتصالات الراديوية من التداخل من خلال استخدام التشفير المقاوم للضوضاء وفك تشفير الإشارة. في وقت لاحق، ظهرت المعدات الرادارية والصوتية المائية (1935)، والتي تم ضمان أمن المعلومات منها من خلال زيادة حماية معدات الرادار من آثار التداخل الإلكتروني.

منذ عام 1946، ومع الاستخدام الواسع النطاق لأجهزة الكمبيوتر الإلكترونية (أجهزة الكمبيوتر) في الممارسة العملية، تم تحقيق أمن المعلومات بشكل أساسي عن طريق الحد من الوصول المادي إلى المعدات التي تحتوي على معلومات محمية أو تعالجها.

منذ عام 1965، بدأت الشبكات المحلية في التطور، وتم تحقيق أمن المعلومات بشكل أساسي من خلال الإدارة والتحكم في الوصول إلى موارد الشبكة.

مع ظهور أجهزة الاتصالات المحمولة، أصبحت تهديدات أمن المعلومات أكثر خطورة وتعقيدًا. وكان من الضروري تطوير أساليب أمنية جديدة، حيث تم استخدام شبكات البيانات اللاسلكية على نطاق واسع لنقل المعلومات وتخزينها. ظهر المتسللون - مجتمعات من الأشخاص الذين كان هدفهم الإضرار بأمن المعلومات بدرجات متفاوتة (من المستخدمين الفرديين إلى البلدان بأكملها). منذ ذلك الحين، أصبح ضمان أمن المعلومات العنصر الأكثر أهمية وإلزامية لأمن البلاد.

مع تطور الشبكات العالمية لحل مشاكل أمن المعلومات، يجب حلها من خلال إنشاء نظام ماكرو لأمن المعلومات للبشرية جمعاء. يتم نقل المعلومات ومعالجتها وتخزينها اليوم حصريًا بمساعدة أنظمة المعلومات. تتيح الشبكات العالمية حل مجموعة كبيرة من المشكلات في مجال الاتصالات (على سبيل المثال، عبر البريد الإلكتروني والهواتف المحمولة)، والترفيه (MP3، والتلفزيون الرقمي، والألعاب)، والنقل (المحركات، والملاحة)، والتجارة (الائتمان). البطاقات، المتاجر عبر الإنترنت)، الأدوية (المعدات، أرشيف المواد الطبية)، إلخ.

ملاحظة 1

وبالتالي، فإن أهداف أمن المعلومات هي حماية المعلومات من خلال طرق اكتشاف الهجمات ومنعها والرد عليها.

قضايا أمن المعلومات

يعد أمن المعلومات أحد أهم الجوانب لأي مستوى من الأمان - على المستوى الوطني أو الصناعي أو المؤسسي أو الشخصي.

المشكلة الرئيسية لأمن المعلومات هي أنها جزء لا يتجزأ من تكنولوجيا المعلومات.

لا تسمح تقنيات البرمجة بإنشاء برامج خالية من الأخطاء ولا يمكنها ضمان أمن المعلومات. أي أن هناك حاجة لإنشاء أنظمة أمن معلومات موثوقة باستخدام برامج غير موثوقة. تتطلب هذه الحاجة الامتثال للمبادئ المعمارية والتحكم الأمني ​​عند استخدام IP. كما أنه مع تطور تكنولوجيا المعلومات والاتصالات والاستخدام المستمر للشبكات، زاد عدد الهجمات بشكل ملحوظ. ولكن لا يمكن أن يسمى هذا أكبر مشكلة في أمن المعلومات، حيث أن المشكلات الأكثر أهمية هي المرتبطة بالاكتشاف المستمر لنقاط الضعف الجديدة في البرامج، ونتيجة لذلك، ظهور أنواع جديدة من الهجمات.

يعمل مطورو جميع أنواع أنظمة التشغيل على التخلص من نقاط الضعف هذه، حيث بدأ المهاجمون في استخدام الأخطاء الجديدة بشكل نشط.

ملاحظة 2

وفي مثل هذه الحالات، يجب أن تمتلك أنظمة أمن المعلومات الوسائل اللازمة لمقاومة مجموعة متنوعة من الهجمات. يمكن أن تستمر الهجمات من جزء من الثانية إلى عدة ساعات، حيث تقوم بالتحقق ببطء من نقاط الضعف (في هذه الحالة، يكون النشاط الضار غير مرئي تقريبًا). يمكن أن تهدف تصرفات المهاجمين إلى انتهاك كل من مكونات أمن المعلومات الفردية وجميع مكوناتها - التوافر والنزاهة والسرية.

يمكن تمثيل حجم عواقب خلل في برامج وأجهزة IS من خلال تكاليف حل "المشكلة 2000". ووفقاً لبعض تقديرات الخبراء فإن الحجم الإجمالي للاستثمارات العالمية التي أنفقت على الاستعداد لعام 2000 بلغ 300 مليار دولار؛ ووفقاً لتقديرات أخرى هناك مبالغة في تقدير هذا المبلغ.

أساليب أمن المعلومات

لضمان أمن المعلومات في نظام المعلومات يتم استخدام الطرق التالية:

• يترك؛
• صلاحية التحكم صلاحية الدخول؛
• طرق التشفير.
• ومكافحة هجمات البرمجيات الخبيثة؛
• أنظمة؛
• إكراه؛
• تحفيز.

دعونا ننظر إلى كل واحد منهم بمزيد من التفصيل.

التعريف 1

العائق هو عائق مادي أمام الطريق إلى المعلومات المحمية (إلى المعدات التقنية، ووسائط التخزين، وما إلى ذلك).

التحكم في الوصول – طرق حماية المعلومات من خلال تنظيم استخدام موارد تكنولوجيا المعلومات ونظام المعلومات. يجب أن يمنع التحكم في الوصول جميع الطرق الممكنة للوصول غير المصرح به إلى المعلومات المحمية.

تتم حماية المعلومات باستخدام التحكم في الوصول من خلال:

• تحديد هوية المستخدمين والموظفين (تعيين المعرف الشخصي)؛
• تحديد الكائن عن طريق المعرف؛
• التحقق من حقوق الوصول إلى المعلومات أو كائن؛
• تسجيل طلبات الحصول على المعلومات؛
• الاستجابة (الإنذار، إيقاف التشغيل، تأخير العمل، رفض الطلب، وما إلى ذلك) عند محاولة اتخاذ إجراءات غير مصرح بها.

طرق التشفير للحماية – تشفير المعلومات. تستخدم أساليب التشفير على نطاق واسع في معالجة وتخزين المعلومات. تعتبر هذه الطريقة موثوقة بشكل خاص عند نقل المعلومات عبر الشبكة.

تم تصميم الحماية ضد هجمات البرامج الضارة من خلال مجموعة معقدة من الأساليب التنظيمية المختلفة واستخدام برامج مكافحة الفيروسات، مما يؤدي إلى تقليل احتمالية إصابة IP وتحديد حقائق إصابة النظام؛ تقليل أو منع عواقب العدوى المعلوماتية، وتدمير الفيروسات؛ الاسترداد اللاحق للمعلومات.

التعريف 2

التنظيم - تقييد ساعات العمل، ومحدودية وصول الأشخاص إلى المعلومات، وتقييد الوصول في أيام معينة، في وقت معين من اليوم، وساعات العمل، وما إلى ذلك. ومن خلال تهيئة مثل هذه الظروف للعمل مع المعلومات المحمية، سيتم استيفاء قواعد ومعايير الحماية إلى أقصى حد.

التعريف 3

الإكراه هو وسيلة لحماية المعلومات حيث يلتزم المستخدمون وموظفو نظم المعلومات بقواعد العمل مع المعلومات المحمية تحت التهديد بالمسؤولية (المالية أو الإدارية أو الجنائية).

التعريف 4

الحافز هو أسلوب يشجع (بسبب الامتثال للمعايير الأخلاقية المعمول بها بالفعل) موضوعات الملكية الفكرية على عدم انتهاك الإجراءات المعمول بها.

تنقسم الوسائل التقنية لحماية المعلومات إلى أجهزة ومادية.

تتضمن الأجهزة الأجهزة المضمنة مباشرة في المعدات التقنية لـ IC أو التواصل معها عبر واجهة قياسية.

تشمل الوسائل المادية الأجهزة والهياكل الهندسية التي تمنع الاختراق المادي للأشياء المحمية وتحمي الموظفين والمواد والمعلومات والأشياء الثمينة الأخرى (على سبيل المثال، القضبان والأقفال والخزائن وأجهزة الإنذار وما إلى ذلك).

كما تُستخدم الأدوات البرمجية المصممة لحماية المعلومات في نظم المعلومات على نطاق واسع. وتشمل هذه برامج كلمات المرور وبرامج مكافحة الفيروسات وبرامج تقييد الوصول وبرامج التشفير (التشفير).

توفر الوسائل التنظيمية تدابير تجعل من المستحيل أو تعقيد الكشف والتسرب والوصول غير المصرح به إلى المعلومات على أساس تنظيمي وقانوني.

تنظم العلاجات التشريعية قواعد التعامل مع المعلومات وتحدد إجراءات المسؤولية عن انتهاكها. يتم تحديد سبل الانتصاف التشريعية بموجب قوانين البلد.

تشمل الحماية الأخلاقية والمعنوية معايير السلوك التي قد تكون غير مكتوبة (على سبيل المثال، الصدق) أو ذات طابع رسمي في شكل قواعد وأنظمة. وكقاعدة عامة، لا تتم الموافقة عليها بموجب القانون، ولكنها تعتبر إلزامية. ومن الأمثلة على هذه القواعد مجموعة القواعد الأخلاقية للتواصل عبر الإنترنت، وما إلى ذلك.

في الحياة اليومية، غالبًا ما يُفهم أمن المعلومات (IS) على أنه الحاجة إلى مكافحة تسرب الأسرار وانتشار المعلومات الكاذبة والمعادية. ومع ذلك، فإن هذا الفهم ضيق للغاية. هناك العديد من التعريفات المختلفة لأمن المعلومات، والتي تسلط الضوء على خصائصه الفردية.

في القانون الاتحادي "بشأن المعلومات والمعلوماتية وحماية المعلومات" الذي لم يعد ساري المفعول بموجب أمن المعلوماتمفهومة حالة أمن بيئة المعلومات في المجتمع، وضمان تشكيلها وتطويرها لصالح المواطنين والمنظمات والدولة.

توفر المصادر الأخرى التعريفات التالية:

أمن المعلومات- هذا

1) مجموعة من التدابير التنظيمية والفنية لضمان سلامة البيانات وسرية المعلومات مع توفيرها لجميع المستخدمين المصرح لهم;

2) مؤشر يعكس الحالة الأمنية لنظام المعلومات؛

3) ولايةأمن بيئة المعلومات;

4) دولة تضمن أمن موارد وقنوات المعلومات،وكذلك الوصول إلى مصادر المعلومات.

V. I. يعتقد Yarochkin ذلك أمن المعلوماتهنالك حالة أمن موارد المعلومات، وتقنيات تكوينها واستخدامها، وكذلك حقوق موضوعات الأنشطة المعلوماتية.

يتم تقديم تعريف كامل إلى حد ما بواسطة V. Betelin و V. Galatenko، الذين يعتقدون ذلك

في هذا البرنامج التعليمي سوف نعتمد على التعريف أعلاه.

لا يقتصر أمن المعلومات على حماية المعلومات وأمن الكمبيوتر. من الضروري التمييز بين أمن المعلومات وحماية المعلومات.

في بعض الأحيان يشير أمن المعلومات إلى إنشاء أجهزة الكمبيوتر وأنظمة الحوسبة لمجموعة منظمة من الوسائل والأساليب والتدابير المصممة لمنع التشويه أو التدمير أو الاستخدام غير المصرح به للمعلومات المحمية.

يجب تنفيذ التدابير اللازمة لضمان أمن المعلومات في مجالات مختلفة - السياسة والاقتصاد والدفاع، وكذلك على مختلف المستويات - الدولة والإقليمية والتنظيمية والشخصية. ولذلك فإن مهام أمن المعلومات على مستوى الدولة تختلف عن المهام التي تواجه أمن المعلومات على المستوى التنظيمي.

قد يعاني موضوع علاقات المعلومات (يعاني من خسائر مادية و/أو معنوية) ليس فقط من الوصول غير المصرح به إلى المعلومات، ولكن أيضًا من انهيار النظام الذي يؤدي إلى انقطاع العمل. لا يعتمد أمن المعلومات على أجهزة الكمبيوتر فحسب، بل يعتمد أيضًا على البنية التحتية الداعمة، والتي تشمل أنظمة إمدادات الكهرباء والمياه والحرارة ومكيفات الهواء والاتصالات وبالطبع موظفي الصيانة. إن دعم البنية التحتية له قيمته الخاصة، والتي لا يمكن المبالغة في تقدير أهميتها.

بعد أحداث 11 سبتمبر 2001، حددت التشريعات الأمريكية، وفقا لقانون باتريوت، مفهوم "البنية التحتية الحيوية"، والتي تفهم على أنها "مجموعة من الأنظمة والمرافق المادية أو الافتراضية التي تعتبر مهمة للولايات المتحدة من أجل لدرجة أن فشلها أو تدميرها يمكن أن يؤدي إلى عواقب وخيمة في مجالات الدفاع والاقتصاد والصحة والأمن للأمة. يغطي مفهوم البنية التحتية الحيوية المجالات الرئيسية للاقتصاد الوطني والاقتصاد الأمريكي مثل الدفاع الوطني والزراعة وإنتاج الغذاء والطيران المدني والنقل البحري والطرق السريعة والجسور والأنفاق والسدود وخطوط الأنابيب وإمدادات المياه والرعاية الصحية وخدمات الطوارئ، السلطات: الإدارة العامة، الإنتاج الحربي، أنظمة وشبكات المعلومات والاتصالات، الطاقة، النقل، الأنظمة المصرفية والمالية، الصناعة الكيميائية، الخدمة البريدية.

من الناحية الاجتماعية، يشمل أمن المعلومات مكافحة "تلوث" المعلومات للبيئة واستخدام المعلومات لأغراض غير قانونية وغير أخلاقية.

كما أن كائنات المعلومات تؤثر، وبالتالي، أمن المعلومات يمكن أن يكون الوعي العام أو الفردي.

على مستوى الدولة، موضوعات أمن المعلومات هي السلطات التنفيذية والتشريعية والقضائية. أنشأت الإدارات الفردية هيئات تتعامل خصيصًا مع أمن المعلومات.

بالإضافة إلى ذلك، يمكن أن تكون موضوعات أمن المعلومات:

المواطنون والجمعيات العامة؛

وسائل الإعلام الجماهيرية؛

الشركات والمنظمات بغض النظر عن شكل ملكيتها.

الإهتماماتيمكن تقسيم موضوعات نظم المعلومات المتعلقة باستخدام نظم المعلومات إلى الفئات الرئيسية التالية:

التوفر- القدرة على الحصول على خدمة المعلومات المطلوبة خلال فترة زمنية معقولة. يتم إنشاء (اقتناء) أنظمة المعلومات للحصول على خدمات (خدمات) معلومات معينة. إذا أصبح من المستحيل بالنسبة للمستخدمين الحصول على هذه الخدمات لسبب أو لآخر، فإن ذلك يسبب ضررًا لجميع موضوعات علاقات المعلومات. يتجلى الدور الرائد لإمكانية الوصول بشكل خاص في أنواع مختلفة من أنظمة الإدارة: الإنتاج والنقل وما إلى ذلك. ولذلك، دون مقارنة إمكانية الوصول مع الجوانب الأخرى، فإن إمكانية الوصول هي العنصر الأكثر أهمية في أمن المعلومات.

نزاهة- أهمية المعلومات واتساقها وحمايتها من التدمير والتغييرات غير المصرح بها. يمكن تقسيم السلامة إلى ثابتة (تُفهم على أنها ثبات كائنات المعلومات) وديناميكية (تتعلق بالتنفيذ الصحيح للإجراءات المعقدة (المعاملات)). تتعلق جميع الوثائق التنظيمية والتطورات المحلية تقريبًا بالنزاهة الثابتة، على الرغم من أن الجانب الديناميكي لا يقل أهمية. ومن أمثلة تطبيق ضوابط السلامة الديناميكية تحليل تدفق الرسائل المالية من أجل اكتشاف سرقة الرسائل الفردية أو إعادة ترتيبها أو تكرارها.

سرية- الحماية من الوصول غير المصرح به. السرية محمية بموجب القوانين واللوائح وسنوات عديدة من الخبرة في الخدمات ذات الصلة. تتيح لك منتجات الأجهزة والبرامج إغلاق جميع القنوات المحتملة لتسرب المعلومات تقريبًا.

هدفالأنشطة في مجال أمن المعلومات - حماية مصالح موضوعات أمن المعلومات.

مهام IS:

1. ضمان حق الفرد والمجتمع في تلقي المعلومات.

2. تقديم المعلومات الموضوعية.

3. مكافحة التهديدات الإجرامية في مجال أنظمة المعلومات والاتصالات والإرهاب الهاتفي وغسل الأموال وغيرها.

4. حماية الأفراد والمنظمات والمجتمع والدولة من المعلومات والتهديدات النفسية.

5. تكوين الصورة ومكافحة الافتراء والشائعات والتضليل.

ويزداد دور أمن المعلومات عند حدوث موقف متطرف، عندما تؤدي أي رسالة غير موثوقة إلى تفاقم الوضع.

هو المعيار- ضمان أمن المعلومات من التسرب أو التشويه أو الضياع أو غيرها من أشكال الاستهلاك. يجب أن تتمتع تقنيات المعلومات الآمنة بالقدرة على منع أو تحييد تأثير التهديدات الخارجية والداخلية على المعلومات، ويجب أن تحتوي على أساليب ووسائل مناسبة لحمايتها.

لقد أدى التقدم العلمي والتكنولوجي إلى تحويل المعلومات إلى منتج يمكن شراؤه وبيعه وتبادله. غالبًا ما تكون تكلفة البيانات أعلى بعدة مرات من سعر النظام الفني بأكمله الذي يقوم بتخزين المعلومات ومعالجتها.

توفر جودة المعلومات التجارية الفوائد الاقتصادية اللازمة للشركة، لذلك من المهم حماية البيانات الهامة من الإجراءات غير القانونية. وهذا سيسمح للشركة بالمنافسة بنجاح في السوق.

تعريف أمن المعلومات

أمن المعلومات (IS)- هذه هي حالة نظام المعلومات التي يكون فيها أقل عرضة للتدخل والضرر من قبل أطراف ثالثة. يتضمن أمن البيانات أيضًا إدارة المخاطر المرتبطة بالكشف عن المعلومات أو التأثير على وحدات أمان الأجهزة والبرامج.

أمان المعلومات التي تتم معالجتها في المؤسسة هو مجموعة من الإجراءات التي تهدف إلى حل مشكلة حماية بيئة المعلومات داخل الشركة. وفي الوقت نفسه، لا ينبغي أن تكون المعلومات محدودة الاستخدام والتطوير الديناميكي للأشخاص المرخص لهم.

متطلبات نظام أمن المعلومات

يجب أن تكون حماية موارد المعلومات:

1. ثابت.يمكن للمهاجم في أي وقت محاولة تجاوز وحدات حماية البيانات التي تهمه.

2. هدف.يجب حماية المعلومات في إطار غرض محدد تحدده المؤسسة أو مالك البيانات.

3. المخطط لها.يجب أن تتوافق جميع أساليب الحماية مع المعايير والقوانين واللوائح الحكومية التي تحكم حماية البيانات السرية.

4. نشيط.ينبغي تنفيذ الأنشطة التي تدعم تشغيل نظام الحماية وتحسينه بانتظام.

5. معقد.إن استخدام وحدات الحماية الفردية أو الوسائل التقنية فقط أمر غير مقبول. ومن الضروري تطبيق كافة أنواع الحماية على أكمل وجه، وإلا فإن النظام المتطور سيكون خاليا من المعنى والأساس الاقتصادي.

6. عالمي.يجب اختيار وسائل الحماية بما يتوافق مع قنوات التسرب الموجودة في الشركة.

7. موثوق.يجب أن تقوم جميع تقنيات الأمان بحظر المسارات المحتملة للمعلومات المحمية من المهاجم بشكل موثوق، بغض النظر عن النموذج الذي يتم به تقديم البيانات.

ويجب أن يفي نظام DLP أيضًا بهذه المتطلبات. ومن الأفضل تقييم قدراتها عملياً وليس نظرياً. يمكنك تجربة SearchInform CIB مجانًا لمدة 30 يومًا.

نموذج نظام الأمن

تعتبر المعلومات آمنة إذا تم استيفاء ثلاث خصائص رئيسية.

أولاً - نزاهة- يتضمن ضمان الموثوقية والعرض الصحيح للبيانات المحمية، بغض النظر عن أنظمة الأمان وتقنيات الحماية المستخدمة في الشركة. لا ينبغي تعطيل معالجة البيانات، ويجب ألا يواجه مستخدمو النظام الذين يعملون مع الملفات المحمية تعديلًا غير مصرح به أو تدميرًا للموارد، أو فشل البرامج.

ثانية - سرية - يعني أن الوصول إلى عرض البيانات وتحريرها متاح حصريًا للمستخدمين المصرح لهم لنظام الأمان.

ثالث - التوفر - يعني أنه يجب على جميع المستخدمين المصرح لهم الوصول إلى المعلومات السرية.

ويكفي انتهاك إحدى خصائص المعلومات المحمية حتى يصبح استخدام النظام بلا معنى.

مراحل إنشاء وصيانة نظام أمن المعلومات

من الناحية العملية، يتم إنشاء نظام أمن المعلومات على ثلاث مراحل.

في المرحلة الأولىويجري حالياً تطوير نموذج أساسي للنظام الذي سيعمل في الشركة. للقيام بذلك، من الضروري تحليل جميع أنواع البيانات المتداولة في الشركة والتي تحتاج إلى الحماية من الهجمات من قبل أطراف ثالثة. خطة العمل في المرحلة الأولية هي أربعة أسئلة:

1. ما هي مصادر المعلومات التي ينبغي حمايتها؟
2. ما هو الغرض من الوصول إلى المعلومات المحمية؟

قد يكون الغرض هو مراجعة البيانات أو تغييرها أو تعديلها أو إتلافها. يعتبر كل إجراء غير قانوني إذا قام به مهاجم. لا يؤدي التعريف إلى تدمير بنية البيانات، ولكن التعديل والتدمير يؤدي إلى فقدان المعلومات جزئيًا أو كليًا.

1. ما هو مصدر المعلومات السرية؟

المصادر في هذه الحالة هي الأشخاص وموارد المعلومات: المستندات ومحركات الأقراص المحمولة والمنشورات والمنتجات وأنظمة الكمبيوتر ووسائل دعم أنشطة العمل.

1. طرق الوصول وكيفية الحماية من المحاولات غير المصرح بها للتأثير على النظام؟

هناك الطرق التالية للوصول:

• دخول غير مرخص- الاستخدام غير القانوني للبيانات؛
• تسريب- النشر غير المنضبط للمعلومات خارج شبكة الشركة. يحدث التسرب بسبب القصور والضعف في القناة الفنية للنظام الأمني؛
• إفشاء- نتيجة لتأثير العامل البشري. يجوز للمستخدمين المصرح لهم الكشف عن المعلومات للمنافسين أو من خلال الإهمال.

المرحلة الثانيةيتضمن تطوير نظام الحماية. وهذا يعني تنفيذ جميع الأساليب والوسائل والمجالات المختارة لحماية البيانات.

تم بناء النظام في عدة مجالات حماية في وقت واحد، وعلى عدة مستويات، تتفاعل مع بعضها البعض لضمان التحكم الموثوق في المعلومات.

المستوى القانونييضمن الامتثال للمعايير الحكومية في مجال حماية المعلومات ويشمل حقوق النشر والمراسيم وبراءات الاختراع والوصف الوظيفي. لا ينتهك نظام الأمان المبني جيدًا حقوق المستخدم ومعايير معالجة البيانات.

المستوى التنظيمييسمح لك بإنشاء لوائح لكيفية تعامل المستخدمين مع المعلومات السرية، واختيار الموظفين، وتنظيم العمل مع الوثائق ووسائط التخزين الفعلية.

تسمى القواعد الخاصة بكيفية تعامل المستخدمين مع المعلومات السرية بقواعد التحكم في الوصول. يتم وضع القواعد من قبل إدارة الشركة بالتعاون مع خدمة الأمن والمورد الذي ينفذ نظام الأمان. الهدف هو تهيئة الظروف للوصول إلى موارد المعلومات لكل مستخدم، على سبيل المثال، الحق في قراءة مستند سري أو تحريره أو نقله. يتم تطوير قواعد التحكم في الوصول على المستوى التنظيمي وتنفيذها في مرحلة العمل مع المكون الفني للنظام.

المستوى الفنيوهي مقسمة تقليديًا إلى مستويات فرعية مادية وأجهزة وبرمجيات ورياضية.

• بدني- إنشاء حواجز حول الكائن المحمي: أنظمة الأمن، والضوضاء، وتعزيز الهياكل المعمارية؛
• المعدات- تركيب الوسائل التقنية: أجهزة الكمبيوتر الخاصة، أنظمة مراقبة الموظفين، حماية الخوادم وشبكات الشركات؛
• برنامج- تثبيت غلاف البرنامج لنظام الأمان، وتنفيذ قواعد التحكم في الوصول واختبار التشغيل؛
• رياضي- تنفيذ أساليب التشفير والاختزال لحماية البيانات من أجل النقل الآمن عبر شبكة الشركة أو الشبكة العالمية.

المرحلة الثالثة والأخيرة- هذا دعم لأداء النظام والمراقبة المنتظمة وإدارة المخاطر. من المهم أن تكون وحدة الأمان مرنة وتسمح لمسؤول الأمان بتحسين النظام بسرعة عند اكتشاف تهديدات محتملة جديدة.

أنواع البيانات الحساسة

البيانات السرية- هذه هي المعلومات التي يقتصر الوصول إليها وفقًا لقوانين ولوائح الدولة التي تضعها الشركات بشكل مستقل.

• شخصيالبيانات السرية: البيانات الشخصية للمواطنين، الحق في الخصوصية، المراسلات، إخفاء الهوية. الاستثناء الوحيد هو المعلومات التي يتم نشرها في وسائل الإعلام.
• خدمةالبيانات السرية: المعلومات التي يمكن للدولة (السلطات العامة) فقط تقييد الوصول إليها.
• قضائيةالبيانات السرية: سرية التحقيق والإجراءات القانونية.
• تجاريالبيانات السرية: جميع أنواع المعلومات المتعلقة بالتجارة (الربح) والتي يقتصر الوصول إليها بموجب القانون أو المؤسسة (التطورات السرية، وتقنيات الإنتاج، وما إلى ذلك).
• احترافيالبيانات السرية: البيانات المتعلقة بأنشطة المواطنين، على سبيل المثال، الأسرار الطبية أو التوثيقية أو المحامية، والتي يعاقب القانون على الكشف عنها.

التهديدات التي تهدد سرية مصادر المعلومات

تهديد- هذه محاولات محتملة أو فعلية للاستيلاء على موارد المعلومات المحمية.

مصادر التهديدسلامة البيانات السرية هي الشركات المتنافسة والمهاجمون والسلطات الحكومية. الهدف من أي تهديد هو التأثير على سلامة البيانات واكتمالها وتوافرها.

يمكن أن تكون التهديدات داخلية أو خارجية. التهديدات الخارجيةتمثل محاولات للوصول إلى البيانات من الخارج وتكون مصحوبة باختراق الخوادم والشبكات وحسابات الموظفين وقراءة المعلومات من قنوات التسرب التقنية (القراءة الصوتية باستخدام الأخطاء والكاميرات واستهداف الأجهزة والحصول على المعلومات الاهتزازية من النوافذ والهياكل المعمارية).

التهديدات الداخليةتنطوي على أفعال غير قانونية من قبل الموظفين أو قسم العمل أو إدارة الشركة. ونتيجة لذلك، فإن مستخدم النظام الذي يتعامل مع المعلومات السرية قد يكشف معلومات للغرباء. ومن الناحية العملية، يحدث هذا التهديد أكثر من غيره. يمكن للموظف تسريب بيانات سرية للمنافسين لسنوات. يتم تنفيذ ذلك بسهولة، لأن مسؤول الأمان لا يصنف تصرفات المستخدم المصرح له على أنها تهديد.

وبما أن تهديدات أمن المعلومات الداخلية تنطوي على عوامل بشرية، فمن الصعب تتبعها وإدارتها. يمكن منع الحوادث عن طريق تقسيم الموظفين إلى مجموعات معرضة للخطر. ستتعامل الوحدة الآلية لتجميع الملفات النفسية مع هذه المهمة.

يمكن أن تحدث محاولة وصول غير مصرح بها بعدة طرق:

• من خلال الموظفينومن قد ينقل بيانات سرية إلى جهات خارجية، أو يأخذ الوسائط المادية، أو يصل إلى المعلومات المحمية من خلال المستندات المطبوعة؛
• عبر البرمجياتينفذ المهاجمون هجمات تهدف إلى سرقة أزواج كلمات المرور لتسجيل الدخول، واعتراض مفاتيح التشفير لفك تشفير البيانات، والنسخ غير المصرح به للمعلومات.
• باستخدام مكونات الأجهزةالنظام الآلي، على سبيل المثال، إدخال أجهزة الاستماع أو استخدام تقنيات الأجهزة لقراءة المعلومات عن بعد (خارج المنطقة الخاضعة للرقابة).

أمن معلومات الأجهزة والبرمجيات

تم تجهيز جميع أنظمة التشغيل الحديثة بوحدات حماية البيانات المضمنة على مستوى البرنامج. يقوم نظام التشغيل MAC OS وWindows وLinux وiOS بعمل ممتاز في تشفير البيانات الموجودة على القرص وأثناء النقل إلى الأجهزة الأخرى. ومع ذلك، لإنشاء عمل فعال مع المعلومات السرية، من المهم استخدام وحدات أمان إضافية.

لا تحمي أنظمة تشغيل المستخدم البيانات أثناء النقل عبر الشبكة، لكن أنظمة الأمان تسمح لك بالتحكم في تدفقات المعلومات التي يتم تداولها عبر شبكة الشركة وتخزين البيانات في الخوادم.

عادةً ما يتم تقسيم وحدة حماية الأجهزة والبرامج إلى مجموعات، تؤدي كل منها وظيفة حماية المعلومات الحساسة:

• مستوى التعريفهو نظام شامل للتعرف على المستخدم يمكنه استخدام المصادقة القياسية أو متعددة المستويات والقياسات الحيوية (التعرف على الوجه ومسح بصمات الأصابع والتسجيل الصوتي وغيرها من التقنيات).
• مستوى التشفيريضمن تبادل المفاتيح بين المرسل والمستلم ويقوم بتشفير/فك تشفير جميع بيانات النظام.

الحماية القانونية للمعلومات

يتم توفير الأساس القانوني لأمن المعلومات من قبل الدولة. يتم تنظيم حماية المعلومات من خلال الاتفاقيات الدولية والدستور والقوانين واللوائح الفيدرالية.

كما ستحدد الدولة مدى المسؤولية عن مخالفة أحكام التشريعات في مجال أمن المعلومات. على سبيل المثال، يتضمن الفصل 28 "الجرائم في مجال معلومات الكمبيوتر" في القانون الجنائي للاتحاد الروسي ثلاث مواد:

• المادة 272 "الوصول غير القانوني إلى المعلومات الحاسوبية"؛
• المادة 273 "إنشاء واستخدام وتوزيع برامج الكمبيوتر الضارة"؛
• المادة 274 "مخالفة قواعد تشغيل وسائل تخزين أو معالجة أو نقل المعلومات الحاسوبية وشبكات المعلومات والاتصالات".

تلعب المعلومات دورًا خاصًا في تطور الحضارة. إن امتلاك موارد المعلومات واستخدامها الرشيد يخلق الظروف اللازمة للإدارة المثلى للمجتمع. على العكس من ذلك، فإن تشويه المعلومات ومنع استلامها واستخدام بيانات غير موثوقة يؤدي إلى قرارات خاطئة.

أحد العوامل الرئيسية التي تضمن الكفاءة في إدارة مختلف مجالات الحياة العامة هو الاستخدام الصحيح للمعلومات بمختلف أنواعها. تعتمد وتيرة التقدم اليوم، وحتى غدًا، إلى حد كبير على الوضع في مجال خدمات المعلومات والحوسبة في أهم مجالات النشاط - العلوم والتكنولوجيا والإنتاج والإدارة.

تعتبر مشكلة استخدام المعلومات الاقتصادية في مجال إدارة إنتاج المواد ذات أهمية خاصة، حيث يعتمد نمو تدفق المعلومات بشكل تربيعي على الإمكانات الصناعية للبلاد. بدوره، أدى التطور السريع لعمليات الأتمتة واستخدام أجهزة الكمبيوتر في جميع مجالات الحياة الحديثة، بالإضافة إلى المزايا التي لا شك فيها، إلى ظهور عدد من المشاكل المحددة. أحدها هو الحاجة إلى ضمان الحماية الفعالة للمعلومات. وبناءً على ذلك، فإن وضع القواعد القانونية التي تحدد حقوق والتزامات المواطنين والجماعات والدولة تجاه المعلومات، فضلاً عن حماية هذه المعلومات، يصبح الجانب الأكثر أهمية في سياسة الدولة المعلوماتية. تعد حماية المعلومات، خاصة في المجال الاقتصادي، نوعًا محددًا ومهمًا للغاية من النشاط. ويكفي أن نقول إن متوسط ​​حجم الأضرار الناجمة عن سرقة بنك واحد في العالم بوسائل إلكترونية يقدر بنحو 9 آلاف دولار، كما تصل الخسائر السنوية الناجمة عن جرائم الكمبيوتر في الولايات المتحدة وأوروبا الغربية إلى 140 مليار دولار، وبحسب خبراء أميركيين فإن عملية الإزالة أنظمة أمن المعلومات من شبكات الكمبيوتر ستؤدي إلى خراب 20% من الشركات المتوسطة خلال ساعات قليلة، 40% من الشركات المتوسطة و16% من الشركات الكبيرة ستفشل في أيام قليلة، 33% من البنوك ستنهار في 2-5 ساعات 50٪ من البنوك - في 2-3 أيام.

معلومات حول مشاكل حماية البيانات التي أدت إلى خسائر مادية في الشركات الأمريكية هي ذات أهمية:

أعطال الشبكة (24%)؛

أخطاء البرمجيات (14٪)؛

فيروسات الكمبيوتر (12%);

أعطال الكمبيوتر (11%)؛

سرقة البيانات (7%)؛

التخريب (5%) ؛

الدخول غير المصرح به إلى الشبكة (4%)؛

أخرى (23%).

ويصاحب التطور السريع والانتشار لأنظمة الكمبيوتر وشبكات المعلومات التي تخدم البنوك والبورصات زيادة في الجرائم المتعلقة بالسرقة والوصول غير المصرح به إلى البيانات المخزنة في ذاكرة الكمبيوتر والمرسلة عبر خطوط الاتصالات.

تحدث جرائم الكمبيوتر اليوم في جميع دول العالم وهي شائعة في العديد من مجالات النشاط البشري. وتتميز بالسرية العالية، وصعوبة جمع الأدلة بناء على الوقائع المثبتة لارتكابها، وصعوبة إثبات مثل هذه القضايا في المحكمة. يمكن ارتكاب الجرائم في مجال المعلومات الحاسوبية في شكل:

الاحتيال من خلال التلاعب الحاسوبي بنظام معالجة البيانات من أجل الحصول على مكاسب مالية؛

التجسس على الكمبيوتر وسرقة البرمجيات؛

تخريب الكمبيوتر

سرقة الخدمات (الوقت)، وإساءة استخدام أنظمة معالجة البيانات؛

الوصول غير المصرح به إلى أنظمة معالجة البيانات و"اختراقها"؛

الجرائم التقليدية في مجال الأعمال (الاقتصاد) المرتكبة بمساعدة أنظمة معالجة البيانات.

عادة ما يتم ارتكاب جرائم الكمبيوتر من قبل مبرمجي أنظمة وبنوك مؤهلين تأهيلا عاليا ومتخصصين في مجال أنظمة الاتصالات. يشكل تهديدا خطيرا لموارد المعلومات المتسللينو المقرمشات،اختراق أنظمة وشبكات الكمبيوتر عن طريق اختراق البرامج الأمنية. يمكن للمتسللين أيضًا مسح البيانات الموجودة في بنك المعلومات أو تغييرها وفقًا لاهتماماتهم. على مدى العقود الماضية، ظهر في بلدان الاتحاد السوفييتي السابق جيل قوي من المتسللين المحتملين المدربين تدريباً عالياً، الذين يعملون في المنظمات والإدارات المشاركة في قرصنة المعلومات على مستوى الدولة لاستخدام المعلومات الواردة من الغرب لتحقيق المصالح العسكرية والاقتصادية.

ماذا يسرق الهاكرز؟ يمكن أن يكون الكائن المحتمل أي معلومات مخزنة في جهاز كمبيوتر، أو تمر عبر شبكات الكمبيوتر أو موجودة على وسائط الكمبيوتر وقادرة على تحقيق الربح للمتسلل أو صاحب العمل. تتضمن هذه المعلومات تقريبًا جميع المعلومات التي تشكل سرًا تجاريًا للشركات، بدءًا من التطورات والمعرفة وحتى كشوف المرتبات، والتي يسهل من خلالها "حساب" حجم مبيعات الشركة وعدد الموظفين وما إلى ذلك.

تعتبر المعلومات المتعلقة بالمعاملات المصرفية والقروض التي تتم عن طريق البريد الإلكتروني، بالإضافة إلى المعاملات في البورصة، ذات قيمة خاصة. من الأمور التي تهم المتسللين بشكل كبير منتجات البرمجيات التي تقدر قيمتها في السوق الحديثة بآلاف أو حتى ملايين الدولارات.

المتسللون - "إرهابيو الكمبيوتر" - يشاركون في برامج أو معلومات ضارة باستخدام الفيروسات - برامج خاصة تضمن تدمير المعلومات أو فشل النظام. يعد إنشاء برامج "الفيروسات" عملاً مربحًا للغاية، نظرًا لأن بعض شركات التصنيع تستخدم الفيروسات لحماية منتجاتها البرمجية من النسخ غير المصرح به.

بالنسبة للعديد من الشركات، يعد الحصول على المعلومات عن طريق تقديم مبرمج قرصنة للمنافسين هو أبسط شيء وأكثره ربحية. يعد تقديم معدات خاصة لخصومك ومراقبة مكتبهم باستمرار بحثًا عن الإشعاع باستخدام معدات خاصة أمرًا مكلفًا وخطيرًا. بالإضافة إلى ذلك، عندما تكتشف شركة منافسة وسائل تقنية، فقد تستجيب ببدء لعبة عن طريق تقديم معلومات خاطئة. لذلك، فإن وجود مبرمج القراصنة الخاص بك في "معسكر العدو" هو الطريقة الأكثر موثوقية لمحاربة المنافسين.

وبالتالي، فإن الخطر المتزايد باستمرار لجرائم الكمبيوتر، في المقام الأول في المجال المالي والائتماني، يحدد أهمية ضمان أمن أنظمة المعلومات الآلية.

تحت أمان نظام المعلومات الآلي لمؤسسة (مؤسسة) يعني حمايته من التدخل العرضي أو المتعمد في عملية التشغيل العادية، وكذلك من محاولات سرقة مكوناته أو تعديلها أو تدميرها.ويتم تحقيق أمن النظام من خلال ضمان سرية المعلومات التي يعالجها، فضلا عن سلامة وتوافر مكونات النظام وموارده.

سرية الكمبيوتر –هذه هي خاصية المعلومات التي يجب أن تكون معروفة فقط للأشخاص المقبولين والمعتمدين (المصرح لهم) في النظام (المستخدمين والبرامج والعمليات وما إلى ذلك).

نزاهةمكون (مورد) النظام - خاصية المكون (المورد) التي لا تتغير (بالمعنى الدلالي) أثناء تشغيل النظام.

التوفرمكون (مورد) النظام – خاصية مكون (مورد) ليكون متاحًا للاستخدام من قبل الأشخاص المعتمدين للنظام في أي وقت.

يتم ضمان أمن النظام من خلال مجموعة من التدابير التكنولوجية والإدارية المطبقة على الأجهزة والبرامج والبيانات والخدمات لضمان توافر الموارد المتعلقة بالكمبيوتر وسلامتها وسريتها؛ يتضمن ذلك أيضًا إجراءات التحقق من أن النظام يؤدي وظائف معينة بما يتفق بدقة مع أمر التشغيل المخطط له.

يمكن تقسيم نظام أمان النظام إلى الأنظمة الفرعية التالية:

حماية الحاسوب؛

أمن البيانات؛

برامج آمنة؛

أمن الاتصالات.

حماية الحاسوبيتم توفيرها من خلال مجموعة من التدابير التكنولوجية والإدارية المطبقة على أجهزة الكمبيوتر من أجل ضمان توافر وسلامة وسرية الموارد المرتبطة بها.

أمن البياناتيتم تحقيق ذلك من خلال حماية البيانات من التعديلات أو التدمير أو الكشف غير المصرح بها أو العرضية أو المتعمدة أو الإهمال.

البرامج الآمنةيمثل البرامج والأدوات ذات الأغراض العامة والتطبيقات التي تعالج البيانات في النظام بأمان وتستخدم موارد النظام بأمان.

أمن الاتصالاتيتم توفيرها من خلال مصادقة الاتصالات عن طريق اتخاذ تدابير لمنع الأشخاص غير المصرح لهم من تقديم معلومات حساسة قد ينتجها النظام استجابة لطلب اتصالات.

ل كائنات أمن المعلوماتفي المؤسسة (الشركة) تشمل:

مصادر المعلومات التي تحتوي على معلومات مصنفة على أنها أسرار تجارية ومعلومات سرية مقدمة في شكل مصفوفات معلومات وقواعد بيانات موثقة؛

أدوات وأنظمة تكنولوجيا المعلومات - معدات الكمبيوتر والتنظيم، الشبكات والأنظمة، النظام العام وبرامج التطبيقات، أنظمة إدارة المؤسسات (المكتبية) الآلية، أنظمة الاتصالات ونقل البيانات، الوسائل التقنية لجمع المعلومات وتسجيلها ونقلها ومعالجتها وعرضها، وكذلك مجالاتهم المادية الإعلامية.

في العالم الحديث، أصبحت موارد المعلومات إحدى الروافع القوية للتنمية الاقتصادية للمؤسسات (الشركات) التي تلعب دورًا مهمًا في نشاط ريادة الأعمال. علاوة على ذلك، فإن الافتقار إلى تكنولوجيات الكمبيوتر والمعلومات الحديثة الفعالة في قطاع الأعمال المحلي، والتي تشكل الأساس لعمل الاقتصادات "السريعة"، يعيق بشكل كبير الانتقال إلى أشكال جديدة من الإدارة الاقتصادية.

في أنظمة إدارة المعلومات والمؤسسة (الشركة) الآلية، تكون المقدمة هي تقديم حلول فعالة لمهام إدارة التسويق، أي مهام المحاسبة وتحليل العقود والاتصالات الخاصة بالمؤسسة (الشركة)، والبحث عن شركاء الأعمال، وتنظيم الحملات الإعلانية ترويج السلع، وتقديم خدمات الوساطة، وتطوير استراتيجيات اختراق السوق، وما إلى ذلك.

بدون دعم مختلف الأجهزة الأمنية السياسية والتجارية والرسمية، عادة ما يكون من الممكن تنفيذ أي عملية جدية بكفاءة فقط من خلال إخفاء أنشطتك الحقيقية ("الأفعال غير القانونية") وهويتك الحقيقية ("الشخصيات غير القانونية").

وينطبق هذا على الفرد الهاوي وعلى المجموعة غير الرسمية التي تم إنشاؤها خصيصًا لحل بعض المشكلات الحساسة التي لا تحظى بموافقة عالمية.

تنشأ نفس المشكلة عندما يحتاج الشخص لسبب ما إلى الاختباء من الخدمات المختلفة ذات الطبيعة التجارية أو الحكومية أو الإجرامية أو السياسية.

يمكنك أن تصبح مهاجرًا غير شرعي نموذجي إما عن قصد أو قسرًا. على أية حال، من الضروري معرفة الحد الأدنى على الأقل من التكتيكات الأمنية القياسية من أجل اجتياز هذه الفترة بنجاح دون فقدان الحرية الجسدية أو العقلية، وأحيانًا الحياة نفسها، بسبب الغباء المطلق.

يعتمد مستوى تدابير التأمين المستخدمة بقوة على درجة السرية المرغوبة للشخص (أو المجموعة)، وكذلك على الوضع والبيئة، وبطبيعة الحال، على قدرات المؤمن عليهم أنفسهم.

يجب أن تصبح بعض تقنيات السلامة الشخصية عادة طبيعية ويتم تنفيذها بغض النظر عن احتياجات الموقف المباشر.

إن ما تم تقديمه هنا لا يستنفد الوسائل الممكنة للتأمين العادي، الذي يكون معيار استخدامه دائمًا هو الرأي العالي تجاه العدو، وبالطبع الحس السليم للمؤمن عليهم أنفسهم.

تعتبر أنواع الأمان التالية نموذجية:

خارجي (أثناء التواصل مع الغرباء)؛

داخلي (عند الاتصال داخل البيئة والمجموعة)؛

محلي (في المواقف والأفعال المختلفة).

دعونا ننظر إلى كل هذا بمزيد من التفصيل.

الأمن الخارجي

يمكن أن تنشأ مشاكل مختلفة عند التواصل مع الأشخاص العاديين والهيئات الحكومية، ولكن الكثير من هذه المشاكل يمكن توقعها وتجنبها باستخدام المبدأ المبتذل المتمثل في "لا ينبغي": لا تغضب، لا تتدخل، لا تقف. خارج.

ضروري:

لا تجذب انتباهًا غير ضروري لنفسك (تكتيك "الذوبان في البيئة"):

– لا تبرز في المظهر (قصة شعر عادية، ملابس محتشمة، عدم وجود أي شيء “صاخب”؛ أما إذا كان محيطك باهظًا، فكن مثلهم…)؛

- لا تتورط في المشاجرات والفضائح (هذا أولاً، يجذب انتباهًا غير ضروري إليك، وثانيًا، قد يكون مجرد استفزاز يهدف إلى الاعتقال أو "العقاب")؛

– دفع جميع فواتير الخدمات والرسوم الحكومية الأخرى بعناية؛ ادفع دائمًا تكاليف النقل؛

- حاول أن تتبع بدقة نمط الدور الاجتماعي المختار وألا يكون لديك أي شكاوى بشأن العمل (ولا تبرز هناك في ظل الخلفية الجماعية العامة...)؛

– لا تؤجج فضول الجيران المهووس بأسلوب حياة غير عادي أو زيارات من أشخاص مختلفين ؛

- لا تُظهِر معرفة مفرطة في أي شيء، إلا إذا كان دورك يتطلب ذلك بالطبع (لا تنسَ القدماء: "يجب أن يكون لدى اليقظ قانون اللاءات الثلاث: "لا أعرف"، "لم أسمع"). ،" "لا أفهم") .

لا تثير أي عداء لدى الجيران والزملاء والمعارف، بل تثير فيهم التعاطف:

- لا تكن "خروفًا أسود" (الناس ينجذبون دائمًا إلى أولئك الذين يكشفون عن أنفسهم من الجانب الذي يفهمونه...)؛

- تطوير أسلوب سلوك لا يسبب الحذر لدى الآخرين (الفضول المفرط، "الذكاء" أو الهوس ...) أو العداء (عدم اللباقة، الملل، الكبرياء، الوقاحة ...)؛

- كن متكافئًا ومهذبًا مع كل من حولك، وإذا أمكن، قدم لهم خدمات صغيرة (لكن ليست تابعة!)

- لا تفعل أي شيء قد يسبب استياء وفضول الجيران (إغلاق الأبواب ليلاً، كثرة الزوار، العودة إلى المنزل بسيارة أجرة، زيارات النساء، مكالمات هاتفية متأخرة في شقة مشتركة...).

تحكم بعناية في جميع اتصالاتك وجهات اتصالك (تذكر أن "العدو الأكثر خطورة هو الذي لا تشك فيه"):

- احتفظ بالأسرار عن أحبائك (الزوجة، الأصدقاء، الأقارب، العشاق...)؛

- بحذر معتاد ("لماذا ولماذا؟") دائمًا تصور محاولات التقرب منك (معارف عرضية، توصيات شخص ما...)؛

- معاملة جميع عمال الإصلاح والإعلان والخدمة بعناية، ومراجعة وثائقهم والتحقق من هويتهم بأدب ولكن بشكل معقول عبر الهاتف، ثم مع "زملائهم"؛

- كن حذرًا مع أي شخص يقدم خدمات تبدو "غير مهتمة" (يقرض المال، يساعد بنشاط في شيء ما، يوفر شيئًا مطلوبًا بسعر رخيص...).

اكتشف نقاط الضعف لديك واعرف كيف يمكنك حماية نفسك هنا:

- تحليل حياتك بأكملها وتسليط الضوء على تلك اللحظات المشبوهة التي يمكن استخدامها للابتزاز أو تشويه السمعة؛

- إجراء تقييم واقعي للعواقب المحتملة للكشف عن هذه الحقائق لجميع الأشخاص الذين قد يتم إبلاغهم بها؛

- تقدير من ولأي سبب قادر على معرفة أدلة الإدانة وكيف يمكن تحييد هذه المعرفة؛

- تحديد الأشياء التي تكون عرضة لضعفك (المرأة، الأطفال، المبادئ الأخلاقية...)، حيث يمكن من خلالها ممارسة الضغط عليك؛

- حدد نقاط ضعفك (الهوايات، النبيذ، الجنس، المال، السمات الشخصية...) وتذكر أنه من الممكن دائمًا استخدامها ضدك.

– لا تتورط في عمليات احتيال مشكوك فيها لا تتعلق بالقضية الشائعة. يجب ألا تشارك في المغامرات المحفوفة بالمخاطر ذات الصلة بعملك إلا بإذن من الأعلى.

لا يمكن اعتبار جهات الاتصال الموجودة في بيئتك الخاصة آمنة. وتذكر أن "الضرر الأكبر عادة يكون في حالتين: إفشاء السر، والثقة بالخائنين".

الحفاظ على أسرار الهوية:

- بدلاً من الأسماء الحقيقية، تُستخدم دائمًا أسماء مستعارة (عادةً اسمية، ولكن أيضًا رقمية أو أبجدية أو "لقب")؛ في كل اتجاه، يذهب "اللاعبون" تحت اسم مستعار منفصل، على الرغم من أنه من الممكن العمل ضمن عدة خيارات، وكذلك التصرف تحت اسم مستعار مشترك لعدة أشخاص مختلفين؛

- أعضاء الفريق، إن أمكن، يعرفون بعضهم البعض فقط بأسماء مستعارة؛ يجب أن يكون الأشخاص الموثوق بهم فقط على علم بالأسماء الحقيقية وعناوين المنازل وأرقام الهواتف؛

- مع احتمال الفشل وفك التشفير الذي يلوح في الأفق، تميل جميع الأسماء المستعارة المستخدمة إلى التغيير؛

- يجب ألا تعطي أي شخص أي معلومات حميمة أو غيرها عن شخصيتك؛

- حاول أن تخلق (باستخدام تلميحات أو إشاعات) "أسطورة" وهمية ولكن معقولة ظاهريًا عن نفسك؛

– لا ينبغي لأحد في المجموعة أن يُظهر اهتمامًا مفرطًا بالأنشطة والعادات والحياة الحميمة لرفاقه؛

- لا يجوز لأحد أن يكشف للآخرين أي معلومات عن الشركاء إلا في حالة الضرورة القصوى؛

- في بعض الحالات، يكون من المنطقي تغيير مظهرك بصريًا (تسريحة الشعر، اللحية، الماكياج، الشعر المستعار، الوشم، لون البشرة، النظارات ذات العدسات العادية أو المدخنة وإطارات مختلفة، والإضافات التي تغير صوتك ومشيتك...)؛

- عليك أن تعتاد على عدم ترك أي آثار مادية تشير إلى أنك كنت هنا (أعقاب السجائر، قطع الورق الملقاة، علامات الأحذية، الروائح المتباينة، التغيرات الملحوظة في البيئة...).

الحفاظ على سرية القضية:

- يتم الحفاظ على اتصالات العمل النشطة مع مجموعة محدودة للغاية من الأشخاص (نظام ثلاثي أو خمسة اعتمادا على المهام التي يتم حلها...)، في حين لا ينبغي للشركاء أن يعرفوا بالضبط ما يفعله الشركاء؛

- يتخصص الجميع في مجالين أو ثلاثة مجالات فقط، بعد أن أصبح من الخطير جدًا بالنسبة له ممارسة الأنشطة في أحدها - من الممكن الحصول على فترة راحة، وكذلك الانتقال إلى اتجاه آخر؛

- من الضروري التمييز بدقة بين العمل التشغيلي والإعلامي: دع الجميع يقومون بأعمالهم الخاصة فقط؛

- أفضل طريقة لإخفاء الاستعداد لإجراء معين هي تنفيذ إجراء آخر؛

- لا يمكنك إخبار الآخرين عن أنشطتك إلا إذا كانوا بحاجة إليها لأعمالهم؛ تذكر أن السر يحفظه خمسة أشخاص كحد أقصى؛

- يجب نقل المعلومات الواردة فقط إلى أولئك الذين يحتاجون إليها بوضوح (إظهار المعرفة المفرطة بشيء ما يمكن أن يكشف عن مصدر المعلومات، وهذا يمكن أن يؤدي إلى تحييدها)؛

- توخي الحذر عند استخدام وسائل الاتصال التي توفر فرصًا واضحة لاعتراض المعلومات (رسائل البريد، والمحادثات اللاسلكية والهاتفية...)؛

- لا تكتب أبدًا العناوين الحقيقية والأسماء والإعدادات بنص عادي، ولا تذكرها في المحادثات في الشارع أو على الهاتف؛

- استخدام الرموز والأسماء المستعارة حتى أثناء الاتصال داخل المجموعة، وتغييرها من وقت لآخر؛

– يجب أن تحتوي المجموعة على 2-3 شفرات منفصلة، ​​معروفة لأشخاص مختلفين؛

– الاعتماد على الذاكرة أكثر من الاعتماد على التسجيل؛ وفي الحالة الأخيرة، يجب عليك استخدام الرمز والشفرات الشخصية الخاصة بك؛

- حاول ألا تكون لديك أوراق إدانة مكتوبة بخط يدك أو مطبوعة على معداتك المكتبية؛

- عند التواصل مع الأشخاص "المعرضين"، الامتناع عن الاتصالات المباشرة، باستخدام أطراف ثالثة أو وسائل اتصال أخرى إذا لزم الأمر؛

– ضع في اعتبارك وتذكر دائمًا أن هناك احتمالية لتسرب المعلومات أو الخيانة، وكن مستعدًا لاتخاذ الإجراءات المضادة المناسبة.

عادة ما يكون أفضل ضمان للنجاح هو شبكة الأمان، وبالتالي ينصح بتنفيذ أي إجراءات مع مراعاة جميع المشاكل المحتملة من العدو أو الشهود العشوائيين.

القواعد العامة للاتصال المباشر.

حاول ألا تجري محادثات إعلامية بنص مفتوح في شارع مزدحم أو في وسائل النقل العام؛

يجب ألا تذكر الألقاب الحقيقية والأسماء الأولى والألقاب والعناوين المعروفة في محادثة مفتوحة، وكذلك عدم استخدام المصطلحات "المثيرة للقلق"؛

استخدام الأسماء الرمزية لتعيين الإجراءات الفردية؛

تتم كتابة الجوانب الأكثر سرية للمحادثة (العناوين الحقيقية وكلمات المرور والتواريخ) على الورق، ثم يتم إتلافها؛

من الضروري الاطلاع على القدرات التقنية لأنظمة التنصت ومعرفة الإجراءات الأساسية لمواجهتها (راجع القسم الخاص بالحصول على المعلومات...)؛

إذا لاحظ أحد المتحاورين شيئاً مثيراً للقلق أثناء المحادثة، يتم تحذير الشريك بكلمة خاصة ("أتاس"...) أو بإشارة (الإصبع إلى الشفاه...)، وينتقل الحديث برمته إلى حياد اتجاه؛

إذا كنت تعلم أنه يتم الاستماع إليك، فمن الأفضل عدم إجراء مفاوضات إعلامية أو استخدامها للحصول على معلومات مضللة؛

عندما يفترض أنهم "يستمعون" إليك، لكنك لا تزال بحاجة إلى التواصل، فإنهم يستخدمون لغة تقليدية، حيث يكون للجمل غير الضارة معنى مختلف تمامًا؛ يتم أيضًا استخدام العبارات التي لا ينبغي أخذها في الاعتبار (يتم توصيلها عادةً من خلال بعض الإيماءات المتفق عليها، على سبيل المثال، تشبيك الأصابع...)، وغالبًا ما تكون التقنيات القياسية (السعال، الإدخال في الفم...) من الصعب التعرف على المتحدث.

عندما يكون من الضروري ضمان سرية التواصل التام في مكان مزدحم، فإنهم يستخدمون أساليب التواصل المشروط (غير اللفظي)، مثل لغة الجسد وحركات الجسم وإيماءات الأصابع، بالإضافة إلى الرموز المستندة إلى سمات الملابس (أوضاع مختلفة من غطاء رأس، مشبك ربطة عنق، منديل...) أو للتلاعب بأشياء مرتجلة (ساعات، سجائر، مفاتيح...).

أ. ضمان السلامة الشخصية:

- حاول التفاوض على أوقات مكالمات الآخرين ومكالماتك الخاصة والحد من تكرار الاتصالات؛

– لا تسيء استخدام المحادثات على هاتفك الخاص (نظرًا لأنه يمكن التنصت عليه) ولا تعطي الآخرين رقمك إلا إذا كان ذلك ضروريًا بشكل واضح (مع العلم أنه ليس من الصعب استخدامه للوصول إلى عنوانك)؛

- ضع في الاعتبار أنه يمكنهم الاستماع إلى المحادثة الهاتفية بأكملها (عند الاتصال على الخط...)، وما تتحدث عنه فقط (خطأ أو جار خارج الباب...)؛

- من المفيد تضمين "تحكم" بسيط في الجهاز (اكتشاف انخفاض الجهد...) لتوصيل معدات شخص آخر بالخط؛

- استخدم معرف المتصل (التعرف التلقائي على الرقم)، أو الأفضل من ذلك "معرف مكافحة المتصل"، حتى لا تعلن عن رقمك عند الاتصال بالآخرين؛

- لا تعتمد على موثوقية أي هواتف لاسلكية؛

- من الأفضل إجراء اتصالات بعيدة المدى وغيرها من الاتصالات الثابتة من "رقم" شخص آخر عبر هاتف خلوي "مزدوج" أو موسع راديو (انظر القسم الخاص بالابتزاز...)، وكذلك من خلال اتصال مباشر بأي زوج من جهات الاتصال في لوحة التبديل

- لمزيد من سرية المفاوضات، يمكنك استخدام أدوات التشفير (على الأقل العاكسون والمشفرون المرتجلون البسيطون)، على الرغم من أن استخدامها يمكن أن يحفز انتباه الآخرين بشكل حاد؛

- لا ينبغي أن تثق بشكل خاص في الحماية من خلال "الضوضاء" أو "زيادة جهد الخط"؛

- إذا كنت لا ترغب في "فك تشفير" محاورك، فيمكنك محاولة تغيير صوتك (من خلال الأدوات الميكانيكية والإلكترونية، أو ببساطة عن طريق السعال، وتمديد ونشر شفتيك، وقرص أنفك ...) والأسلوب نمط المحادثة (باستخدام المصطلحات...)؛

- لا تنس أنه في بعض الأحيان يتم التنصت أيضًا على الهواتف العمومية، والتي يمكن حساب موقعها بسهولة، مثل جميع الهواتف الأخرى؛

- إذا كنت بحاجة إلى مكالمة شخص آخر، ولكنك لا تريد إعطاء إحداثياتك، فسيتم استخدام إحداثيات وسيطة - مع جهاز الرد الآلي أو "مرسل" مباشر قد يعرف أو لا يعرف (خيار أحادي الاتجاه...) رقم خاص – هاتف؛

- في بعض الحالات، يكون من الممكن استخدام الهاتف بدون كلمات، عندما تكشف مكالمة واحدة أو عدة مكالمات "فارغة" بإيقاع معين عن رمز معين؛

- في بعض الأحيان يمكن أن تكون الإشارة المحددة مجرد اتصال شخص معين أثناء محادثة تافهة، بالإضافة إلى الإشارة المشفرة لأسماء رمزية في حالة "الرقم الخاطئ".

ب. ضمان السلامة اللفظية:

- لا تجري محادثات عمل بنص مفتوح؛

- لا تذكر التواريخ والأسماء والعناوين الحقيقية؛

- استخدام الأسماء الرمزية للإجراءات الفردية؛

- استخدام لغة تقليدية يكون فيها للعبارات غير الضارة معنى مختلف تمامًا؛

– الاتصال فقط عند الضرورة، على الرغم من أنه من الممكن أيضًا إجراء محادثات متكررة “غير ذات صلة” مع نفس الشخص (تكتيك “تبديد المعلومات”).

ب. المحادثة مع الغرباء:

- الحوار بأكمله يديره شريكك، ولا تقول إلا "نعم" أو "لا" حتى لا يفهم أو يتعرف من يقف بجانبك على شيء؛

– يتم الإبلاغ عن حقيقة وجود غرباء في مكان قريب بنص عادي أو بشفرة شفهية؛ والمحادثة بعد ذلك يجب أن يديرها الشريك، ولا ينبغي له أن يطرح أي أسئلة تتطلب إجابات مفصلة؛

- عندما تكون هناك سيطرة مباشرة من شخص غير ودود للغاية، يتم تحذير الشريك بشأن ذلك من خلال عبارة رمزية تمت مناقشتها (ويفضل أن يكون ذلك في تحية...)، وبعد ذلك تتم المحادثة بأكملها بأسلوب فارغ أو مضلل؛

- إذا اعتقد أحد المتحاورين أن هاتفه يخضع للتنصت، فإنه يحاول على الفور تحذير المتصلين به من ذلك مستخدماً عبارة معروفة لديهم جميعاً (“الأسنان تؤلم”…)، ويتحول الحديث بعد ذلك إلى محادثة اتجاه محايد.

د. استخدام هاتف مشترك (في الشقة، في العمل...):

- استخدام مثل هذا الهاتف بأقل قدر ممكن (خاصة "للمواعيد")، إذا لم يكن ذلك مرتبطًا بالدور الذي يتم لعبه (المرسل، وكيل الإعلان ...)؛

- يجب على نفس الشخص الاتصال برقم الهاتف هذا؛

- حاول ألا تتصل في وقت متأخر جدًا أو مبكرًا جدًا؛

- عندما يحاول الغرباء التعرف على صوت المتصل ("من يسأل؟"...)، أجب بأدب ومحايدة ("زميل العمل"...)، وإذا لم يكن الشخص الذي يتم الاتصال به موجودًا، توقف فورًا محادثة؛

- في الواقع، ليس من الصعب إنشاء هاتف منفصل، باستخدام، على سبيل المثال، مقسم الكود، بحيث يضمن الاتصال المحدد برقم مشترك بشكل موثوق أن يتم الاتصال بجهازك فقط، دون التأثير على الجهاز المجاور على الإطلاق.

ويعتمد مستوى التدابير الأمنية المطلوبة في حالات محددة على الدرجة المطلوبة من سرية الاتصال، ودرجة شرعية المشاركين فيه، وإمكانية سيطرة الغرباء عليه.

أ. اختيار مكان الاجتماع:

- عند البحث عن أماكن مناسبة للتواصل، فإنهم يعتمدون عادة على مبادئ الطبيعية والصلاحية والصدفة؛

- الاجتماعات المتكررة هي الأسهل في موقع حفلة المشجعين (بما يتناسب مع نمطها...)، في قاعة القسم الرياضي، في غرفة العمل...؛

- يمكن عقد اجتماعات جادة بشكل خاص في مناطق الصيد، والأكواخ المستأجرة خصيصًا، والحمامات، ومصحات المنتجعات، في جميع أنواع المراكز الرياضية، على الشواطئ في الخارج؛

– تتم جدولة الاجتماعات الثنائية في مترو الأنفاق والساحات، في المراحيض والسيارات، في الشوارع الأقل ازدحامًا، في حدائق الحيوان والمتاحف والمعارض؛ التقاطعات في مثل هذه الأماكن غير محتملة وبالتالي أقل خطورة؛

– يجب الامتناع عن الاجتماعات السرية في مطعم مشهور ومقهى عصري وفي محطة القطار، حيث أن مثل هذه الأماكن عادة ما تكون خاضعة للرقابة؛

- من الممكن عقد اجتماعات "غير رسمية" في شقق خاصة لأطراف ثالثة لسبب مبرر (جنازة، ذكرى سنوية، "تغسيل" حدث معين...)؛

– لا ينبغي عقد أي اجتماعات (باستثناء الاجتماعات اليومية) في الشقق المشتركة النمطية؛

– استخدام الشقق الخاصة بك للاتصال بطريقة محدودة للغاية؛

- في بعض الحالات يكون من المنطقي استئجار منزل آمن خاص، إن أمكن في مبنى يوجد به مخرج مزدوج؛

– أثناء تفتيش مكان الاجتماع، تأكد مما إذا كان من الممكن الوصول إلى هناك دون أن يلاحظها أحد وكيف يمكنك الهروب بأمان من هناك؛ تذكر الحقيقة القديمة: "إذا كنت لا تعرف كيفية الخروج، فلا تحاول الدخول!"

ب. معلومات عن الاجتماع:

- تتم عادةً مناقشة أماكن الاجتماعات المحتملة مسبقًا، ويتم منحها جميعًا رمزًا - اسمًا أبجديًا أو رقميًا أو "خطأ" - مع عدة خيارات لكل منها؛

– يتم إبلاغ الآخرين بالاتصال المقصود عن طريق الهاتف أو جهاز النداء أو الرسائل وأيضًا من خلال برنامج المراسلة؛

- عند الاتفاق على اجتماع عبر خطوط اتصال "مفتوحة"، يستخدمون الاسم الرمزي للمكان وتاريخًا مشفرًا (على سبيل المثال، اليوم السابق لليوم المحدد) ووقتًا متغيرًا (برقم ثابت أو متدرج)؛

- قبل الموعد المقرر، من الضروري إصدار تأكيد الاتصال إما بنص واضح أو عن طريق إشارة الاتصال؛

– إذا كان الانتظار أثناء الاجتماع مقبولاً (في محطة النقل العام، في الطابور في محطة الوقود...)، فمن المستحسن الإشارة إلى فترة زمنية محددة، وبعدها لا داعي للانتظار.

ب. سير الاجتماع:

– يجب أن تصل إلى الاجتماعات المزدحمة ليس في حشد من الناس، بل متفرقة وعدم ترك جميع سياراتك الشخصية في مكان واحد؛

– محاولة تجنب وجود أي أشخاص غير مصرح لهم أو غير ضروريين في معسكر التدريب؛

- مع العلم أن أولئك الذين لا يحتاجون إلى معرفة الاجتماعات السرية المزدحمة سيعرفون على الأرجح، يجب ألا تأخذوا معك أشياء تدين بشكل واضح (أسلحة، وثائق مزيفة...) وتذكروا أنه يمكن في بعض الأحيان أن يتم تزويرها؛

- من المرغوب جدًا التحكم في مكان الاتصال من قبل أشخاص خاصين قبل وأثناء وبعد الاجتماع، حتى يتمكنوا، إذا لزم الأمر، من التحذير من خطر ناشئ باستخدام أي إشارات متفق عليها (مع مراعاة التقاطهم)؛

- أثناء أي اتصال، تحتاج إلى معرفة كيف يمكن أن يتم التجسس عليك أو سماعك، وتسأل نفسك بعناد أسئلة قصيرة: "أين؟" كيف؟ من؟"؛

- يجب إجراء المحادثات السرية بشكل خاص في نقاط محلية معزولة، وفحصها وتأمينها ضد كل احتمالات التنصت والتجسس والتقويض؛

- من المرغوب فيه وجود مؤشرات بسيطة على الأقل تشير إلى إشعاع الميكروفونات الراديوية أو ما إذا كان لدى المحاور جهاز تسجيل صوتي؛

- من المفيد استخدام مانعات الشرر "الخرقاء"، بالإضافة إلى مولدات محو التسجيل المغناطيسي؛

- المباريات الزوجية الكلاسيكية غير القانونية يتم حسابها دائمًا بالدقيقة ويتم إجراؤها "عشوائيًا"؛

– من أجل الوصول إلى نقطة الالتقاء في الوقت المحدد بالضبط، من الضروري تحديد وقت الحركة مسبقًا وإعطاء بعض الاحتياطي من الوقت لجميع أنواع المفاجآت (عرقلة الطريق، تقييد شخص غريب، حادث نقل. ..)؛

- إذا تم التخطيط لعقد اجتماع في الشارع، فلن يضر المشي هناك قبل ساعة من الاجتماع، والنظر بعناية في كل المارة وجميع السيارات المتوقفة؛ إذا كان هناك شيء يقلقك، فيجب تأجيل الاتصال، وإبلاغ شريكك بذلك باستخدام تقنيات الإشارات المموهة؛

- عند مقابلة أشخاص غير مألوفين، يتم التعرف عليهم من خلال وصف مظهرهم، أو وضعية أو إيماءة محددة، أو ذكر الأشياء التي يحملونها في أيديهم، والأفضل من ذلك كله، من خلال صورة فوتوغرافية، مع مزيد من التأكيد على الهوية من خلال لفظي ( وغيرها) كلمة المرور؛

- من الضروري أن تكون موجودًا في المستشفى بطريقة تمكنك من المراقبة المستمرة للأماكن الواضحة التي ينشأ فيها التهديد (على سبيل المثال، في مقهى - في مواجهة المدخل، أثناء مشاهدة ما يحدث خارج النافذة والتواجد في مكان ليس بعيدًا عن المنزل). ممر الخدمة المفتوح...)؛

- تذكر واتبع جميع قواعد الاتصال اللفظي المحددة مسبقًا.

د. تنظيم الاجتماعات المغلقة (المفاوضات).

يرتبط تنظيم أي حدث، بما في ذلك الاجتماعات والمفاوضات، بالتحضير له. لا توجد قواعد موحدة معصومة في هذا الاتجاه. ومع ذلك، يوصى بالإصدار التالي من مخطط هذا الإعداد: التخطيط وجمع المواد ومعالجتها وتحليل المواد المجمعة وتحريرها.

في مرحلة التخطيط الأولي، يتم تحديد الموضوع أو القضايا التي من المرغوب مناقشتها والمشاركين المحتملين في محادثة العمل. بالإضافة إلى ذلك، يتم تحديد اللحظة الأكثر ملاءمة، وعندها فقط يتم الاتفاق على مكان ووقت الاجتماع وتنظيم الأمن للمؤسسة (كقاعدة عامة، يتم إجراء هذه المحادثات بشكل فردي وسرية، دون مشاركة الغرباء).

عندما يتم جدولة الاجتماع بالفعل، يتم وضع خطة لإجرائه. أولاً، يجب عليك تحديد الأهداف التي يواجهها رائد الأعمال، ومن ثم وضع استراتيجية لتحقيقها وتكتيكات لإجراء المحادثات.

مثل هذه الخطة هي برنامج عمل واضح لإعداد وإجراء محادثة محددة. يتيح لك التخطيط تخفيف وتحييد تأثير الحقائق الجديدة الناشئة بشكل غير متوقع أو الظروف غير المتوقعة على مسار المحادثة.

تتضمن الخطة المسؤولين عن تنفيذ كل بند من بنود الخطة والإجراءات التالية لتنظيم أمن الاجتماع (المفاوضات):

1. مقابلة الضيوف القادمين للاجتماع مع العميل.

2. تنسيق أعمال الأمن الرئيسي والحراس الشخصيين للأشخاص المدعوين.

3. تأمين ملابس وممتلكات الضيوف وسياراتهم في المنطقة المحيطة.

4. منع وقوع الحوادث بين الضيوف في الاجتماع.

5. مراقبة حالة المشروبات والوجبات الخفيفة والحلويات الأخرى (يتم استخدام كلاب مدربة لهذه الأغراض).

6. تحديد الأشخاص المشبوهين المتواجدين في الحدث أو في الأماكن المجاورة.

7. تطهير المقر (قاعة الاجتماعات والقاعات المجاورة) قبل المفاوضات لإزالة أجهزة التنصت والعبوات الناسفة.

8. إنشاء مراكز تسجيل ومراقبة الأشخاص:

أ) الحضور إلى حفل استقبال أو اجتماع عمل مع الطرود والحقائب وما إلى ذلك؛

ب) إحضار معدات الصوت أو الفيديو إلى الحدث؛

ج) الذين يحضرون حفل استقبال أو اجتماع عمل لفترة قصيرة أو يغادرون الحدث بشكل غير متوقع.

9. منع الاستماع إلى محادثات منظمي الحدث والضيوف في مقر الحدث وعلى الهاتف.

10. تطوير خيارات بديلة لإجراء المفاوضات (في شقة خاصة، في فندق، في سيارة، على متن قارب، في الحمام (الساونا)، إلخ.

قائمة الأنشطة هذه ليست شاملة. ويمكن توسيعها وتحديدها بشكل كبير اعتمادًا على شروط موضوع الحماية وطبيعة الحدث والشروط الأخرى المتفق عليها مع العميل.

تشمل المهام الشائعة التي يتم حلها أثناء الاجتماعات (المفاوضات) أو الأحداث العامة الأخرى ما يلي:

1) يتم اختيار غرف الاجتماعات بحيث تقع في الطابق الأول أو الأخير وتقع بين تلك الغرف التي تسيطر عليها خدمة الأمن؛

2) التعرف على موضوع الحماية وتحديد حالة الجريمة المحيطة به؛

3) إقامة تفاعل مع الشرطة خلال الأحداث؛

4) إنشاء مراقبة الدخول لمنع جلب الأسلحة والمتفجرات والمواد القابلة للاشتعال والسامة والمخدرات والأشياء الثقيلة والحجارة إلى المنشأة المحمية؛

5) منع الأشخاص الذين لديهم كلاب من دخول المنطقة المحمية أو الأماكن المحمية؛

6) السيطرة على النظام والحفاظ عليه في المنطقة المجاورة وفي المباني المجاورة؛

7) توزيع الأدوار بين حراس مجموعة التعزيز (الدعم)؛

8) تحديد معدات الحراس بما في ذلك أسلحتهم واتصالاتهم؛

9) إنشاء مراكز مراقبة ومراقبة مفتوحة و"مشفرة".

10) إعداد النقل في حالة الظروف القصوى وإجلاء المشاركين في الحدث؛

11) التحقق من استقرار الاتصالات على أراضي المنشأة من أجل تحديد ما يسمى "المناطق الميتة"؛

12) التحقق من إمكانية استخدام أسلحة الغاز وقنابل الغاز المسيل للدموع لتحديد اتجاه حركة الهواء والتيارات الهوائية والاضطرابات، حتى لا يعاني الحراس أنفسهم نتيجة استخدام وسائل خاصة؛

13) التحقق من تماسك الحراس من خلال ممارسة المهام التمهيدية المختلفة.

خلال مرحلة العمل الأمني، يجب على موظفي الخدمات الأمنية (شركة الأمن) القيام بواجباتهم بدقة المتفق عليها في مرحلة الإعداد.

في هذه الحالة، يتم إيلاء اهتمام خاص للقضايا التالية:

1) وصول المشاركين المتأخرين في الحدث، الذين يعتمدون على ضعف التحكم في الوصول بعد بدء الاجتماع (المفاوضات)؛

2) التفتيش الإلزامي لمحتويات الحقائب والحقائب الكبيرة أو استخدام أجهزة الكشف عن المعادن المحمولة وأجهزة كشف الأبخرة المتفجرة المستخدمة للكشف عن الألغام والقنابل اليدوية والقنابل والمتفجرات الأخرى؛

3) يجب أن تخضع المركبات التي تدخل وتخرج من المنطقة المحمية لفحص خاص، على الأقل بصريًا. وهذا مهم بشكل خاص من أجل منع الأشخاص غير المصرح لهم من دخول المنشأة المحمية ومنع تعدين مركبات المشاركين في الاجتماع (المفاوضات)؛

4) مراقبة الأجزاء الداخلية وصناديق المركبات المغادرة يمكن أن تمنع اختطاف الأشخاص الذين يصلون إلى الحدث بغرض ابتزاز منظمي الاجتماع (المفاوضات) ؛

5) حماية الملابس الخارجية والممتلكات الشخصية للمشاركين في الحدث لمنع سرقتها وإنشاء إشارات مرجعية للراديو؛

6) على الرغم من رغبة القائمين على الحدث في الحصول على منظر جميل من النافذة، إلا أنه من الضروري مراعاة أن تكون المنطقة مناسبة لسيطرة جهاز الأمن (شركة الأمن)؛

7) لا يجوز ركن السيارات التي قد تحتوي على معدات لاسترجاع المعلومات من أجهزة الراديو تحت نوافذ غرف الاجتماعات؛

8) إنشاء مناطق أمنية في غرفة مخصصة للمفاوضات وتجهيزها بمعدات خاصة وشاشات ومولدات ضوضاء وغيرها؛

9) عند إجراء المفاوضات بغرض الحفاظ على الأسرار التجارية، يتم تقديم جميع المعلومات "السرية" كتابيًا، وتتم مناقشتها باللغة الأيسوبية.

في المرحلة النهائية من الحدث، يجب أن تظل خدمة الأمن (شركة الأمن) يقظة، على الرغم من الأحداث التي تبدو غير مهمة التي تحدث في الموقع، والتي يمكن أن تكون خادعة للغاية.

قد لا يكون فحص المنشأة بعد الانتهاء من الحدث أقل خطورة على الحياة من العمل في المراحل السابقة. خلال هذه الفترة، يتم إجراء التنظيف النهائي للموقع باستخدام نفس المنهجية المتبعة أثناء الأنشطة التحضيرية. وفي هذه الحالة يجب البحث عن الأشخاص الذين قد يكونون مختبئين في الموقع، أو عن ضحايا المجرمين الذين يحتاجون إلى مساعدة طبية. يتم إيلاء اهتمام وثيق للأشياء والأشياء المنسية.

الهدايا التذكارية والهدايا المقدمة لرئيس المنظمة (الشركة) والمشاركين الآخرين في الحدث تخضع لفحص الرقابة.

يجب نقل كل ما اكتشفه الأمن في المنشأة والذي لا ينتمي إلى موظفي المنظمة (الشركة) إلى العميل أو إدارة المباني المحمية مع نسخة واحدة من المخزون. النسخة الثانية من الجرد مع توقيع الشخص الذي قبل العناصر للتخزين موجودة في خدمة الأمن (شركة أمنية).

لا يمكن أن تكون الشقة أو السيارة أو الشارع أو المطعم "حماة" موثوقين للأسرار التجارية. ولذلك فمن المفيد الاستماع إلى نصيحة المتخصصين.

عند إجراء اجتماعات العمل، من الضروري إغلاق النوافذ والأبواب. ومن المستحسن أن تكون غرفة الاجتماعات غرفة معزولة مثل الصالة.

يمكن للمتنافسين، إذا رغبوا في ذلك، الاستماع بسهولة إلى المحادثات من خلال الجلوس في غرف مجاورة، على سبيل المثال، في شقة في الطابق العلوي أو السفلي. لقد ولت الأوقات التي كان فيها ضباط المخابرات من جميع البلدان والشعوب يقومون بحفر ثقوب في الأسقف والجدران منذ فترة طويلة - وخاصة الميكروفونات الحساسة تسمح لك بتلقي المعلومات الضرورية دون عوائق تقريبًا.

بالنسبة للمفاوضات، تحتاج إلى اختيار غرف ذات جدران معزولة، والتعرف على الجيران الذين يعيشون في الطابق العلوي والسفلي؛ اكتشف ما إذا كانوا يؤجرون شقتهم (غرفتهم) للغرباء. يجدر بك تحويل جيرانك إلى حلفاء، ولكن في الوقت نفسه ضع في اعتبارك أنه يمكنهم لعب لعبة مزدوجة أو التحول بهدوء من المهنئين إلى الابتزاز.

يعتمد نشاط المنافسين، أولا وقبل كل شيء، على جدية نواياهم. إذا لزم الأمر، يمكن تركيب أجهزة الاستماع ("الأخطاء") مباشرة في شقة رائد الأعمال - ولن تساعد هنا الأبواب الحديدية ولا الأقفال المستوردة ولا الأمن المدرب جيدًا.

يجب على رجل الأعمال أن يطلب من أقاربه دعوة الأشخاص الذين يعرفونهم جيدًا إلى المنزل فقط، والتحكم في سلوكهم إن أمكن. عند استقبال الضيوف يجب أن تكون أبواب المكاتب المنزلية مغلقة، وحتى لا يغري الأطفال يجب أن يكون جهاز الفيديو والكمبيوتر في مكان يسهل عليهم الوصول إليه. الكمبيوتر، بالطبع، يجب أن يكون بدون برامج عمل ومعلومات سرية.

إذا كان هناك شك في أن سيارتك "مجهزة"، فيجب إجراء عملية "سيارة نظيفة" عليها قبل التفاوض.

عشية اجتماع العمل، يجب على أحد موظفي الشركة أو صديق رجل الأعمال الذي يثق به تمامًا، ترك السيارة في مكان معين. بعد دقائق قليلة، ينتقل رجل الأعمال من سيارته إلى سيارة مهجورة، ودون التوقف في أي مكان، يذهب إلى المفاوضات. وفي الوقت نفسه، لا تنس أن تأخذ توكيلًا لحق قيادة سيارة شخص آخر!

أثناء المفاوضات يجب أن تكون السيارة في حالة حركة، ويجب أن تكون نوافذها مغلقة بإحكام. عند التوقف (على سبيل المثال، عند إشارة المرور)، من الأفضل عدم مناقشة القضايا السرية.

دعونا نحلل أين يمكن لرجل الأعمال عقد اجتماع عمل مهم؟

في الشارع.هناك نوعان من الميكروفونات التي يمكن استخدامها للاستماع إلى المحادثات: موجهة للغاية ومدمجة. الأول يسمح لك بالتقاط المعلومات على مسافة تصل إلى كيلومتر واحد ضمن خط الرؤية. تعمل الميكروفونات المدمجة بنفس طريقة عمل سماعات الأذن اللاسلكية.

لمكافحة الميكروفونات عالية الاتجاه بشكل فعال، من الضروري التحرك طوال الوقت، وتغيير اتجاه الحركة بشكل حاد، باستخدام وسائل النقل العام، وتنظيم المراقبة المضادة - بمساعدة خدمة الأمن أو وكلاء مستأجرين من شركات المباحث الخاصة.

في المطعم.يتيح لك الوضع الثابت التحكم في المحادثات في مناطق المطاعم المشتركة. لذلك، لإجراء اجتماعات عمل كهذه، فأنت بحاجة إلى نادل رئيسي موثوق به. في وقت مناسب لرائد الأعمال وبشكل غير متوقع للمنافسين، يتم حجز طاولة أو مكتب منفصل، والذي، بدوره، يجب أن يكون تحت سيطرة موثوقة لخدمة أمن الشركة. محاولات إغراق المحادثة بأصوات أوركسترا المطعم، وكذلك صوت الماء، بالمناسبة، غير فعالة.

في غرفة فندق.يجب أن يتم حجز غرفة في فندق للمفاوضات بشكل سري. بعد بدء اجتماع العمل، يجب على ضباط الأمن السيطرة ليس فقط على الجيران، ولكن أيضًا على جميع الأشخاص الذين يعيشون في الطابق العلوي والسفلي.

جميع الأساليب والتدابير المضادة المذكورة أعلاه فعالة بشرط أن تكون المعلومات الخاطئة للآخرين حول وقت وطبيعة الاجتماعات المخططة (المفاوضات) منظمة بشكل جيد. عندما تكون دائرة الموظفين المطلعين على القائمة الكاملة للأحداث المخططة ضيقة قدر الإمكان ويعرف كل من المشاركين فيها بالضبط ما هو ضروري في نطاق مسؤولياته، فيمكنك الاعتماد على النجاح في أي عمل تجاري.

التصنيف العام للتهديدات التي يتعرض لها نظام المعلومات الآلي للكائن هو كما يلي:

تهديدات لسرية البيانات والبرامج.يتم تنفيذها عن طريق الوصول غير المصرح به إلى البيانات (على سبيل المثال، معلومات حول حالة حسابات عملاء البنك) أو البرامج أو قنوات الاتصال.

يمكن التقاط المعلومات التي تتم معالجتها على أجهزة الكمبيوتر أو المنقولة عبر شبكات البيانات المحلية من خلال قنوات التسرب التقنية. في هذه الحالة، يتم استخدام المعدات التي تحلل الإشعاع الكهرومغناطيسي المتولد أثناء تشغيل الكمبيوتر.

يعد استرجاع المعلومات بمثابة مهمة فنية معقدة وتتطلب مشاركة متخصصين مؤهلين. باستخدام جهاز استقبال يعتمد على تلفزيون قياسي، يمكنك اعتراض المعلومات المعروضة على شاشات الكمبيوتر من مسافة ألف متر أو أكثر. يتم استخراج معلومات معينة حول تشغيل نظام الكمبيوتر حتى عندما تتم مراقبة عملية تبادل الرسائل دون الوصول إلى محتوياتها.

تهديدات لسلامة البيانات والبرامج والمعدات.يتم انتهاك سلامة البيانات والبرامج عن طريق التدمير غير المصرح به، وإضافة عناصر غير ضرورية وتعديل سجلات الحساب، وتغيير ترتيب البيانات، وإنشاء مستندات دفع مزورة استجابة للطلبات المشروعة، ونقل الرسائل بشكل نشط مع تأخيرها.

قد يؤدي التعديل غير المصرح به لمعلومات أمان النظام إلى إجراءات غير مصرح بها (توجيه غير صحيح أو فقدان البيانات المرسلة) أو تشويه معنى الرسائل المرسلة. تتعرض سلامة المعدات للخطر في حالة تلفها أو سرقتها أو تغيير خوارزميات التشغيل بشكل غير قانوني.

التهديدات التي تواجه توافر البيانات.يحدث عندما لا يتمكن كائن (مستخدم أو عملية) من الوصول إلى الخدمات أو الموارد المخصصة له قانونًا. ويتحقق هذا التهديد من خلال الاستيلاء على جميع الموارد، أو قطع خطوط الاتصال من قبل جهة غير مرخصة نتيجة نقل معلوماتها من خلالها، أو استبعاد معلومات النظام الضرورية.

يمكن أن يؤدي هذا التهديد إلى عدم الموثوقية أو ضعف جودة الخدمة في النظام، وبالتالي قد يؤثر على دقة وتوقيت تسليم مستندات الدفع.

– التهديدات برفض تنفيذ المعاملات.تنشأ عندما يرسل مستخدم قانوني مستندات الدفع أو يقبلها، ثم يرفضها من أجل إعفاء نفسه من المسؤولية.

يتضمن تقييم مدى ضعف نظام المعلومات الآلي وبناء نموذج التأثير دراسة جميع الخيارات لتنفيذ التهديدات المذكورة أعلاه وتحديد العواقب التي تؤدي إليها.

قد تكون التهديدات ناجمة عن:

- العوامل الطبيعية (الكوارث الطبيعية - الحرائق والفيضانات والأعاصير والبرق وأسباب أخرى)؛

– العوامل البشرية والتي تنقسم بدورها إلى:

التهديدات السلبية(التهديدات الناجمة عن أنشطة ذات طبيعة عرضية وغير مقصودة). هذه هي التهديدات المرتبطة بالأخطاء في عملية إعداد ومعالجة ونقل المعلومات (الوثائق العلمية والفنية والتجارية والنقدية والمالية)؛ مع "هجرة الأدمغة" والمعرفة والمعلومات غير المستهدفة (على سبيل المثال، بسبب هجرة السكان، والسفر إلى بلدان أخرى للم شمل الأسرة، وما إلى ذلك)؛

التهديدات النشطة(التهديدات الناجمة عن تصرفات متعمدة ومتعمدة من الناس). هذه هي التهديدات المرتبطة بنقل وتشويه وتدمير الاكتشافات العلمية والاختراعات وأسرار الإنتاج والتقنيات الجديدة لأسباب أنانية وغيرها من الأسباب المعادية للمجتمع (الوثائق والرسومات وأوصاف الاكتشافات والاختراعات وغيرها من المواد)؛ عرض ونقل الوثائق المختلفة، وعرض "القمامة"؛ التنصت ونقل المحادثات الرسمية وغيرها من المحادثات العلمية والتقنية والتجارية؛ مع "هجرة الأدمغة" والمعرفة والمعلومات المستهدفة (على سبيل المثال، فيما يتعلق بالحصول على جنسية أخرى لأسباب أنانية)؛

- عوامل الإنسان والآلة، مقسمة إلى:

التهديدات السلبية.هي التهديدات المرتبطة بالأخطاء في عملية تصميم وتطوير وتصنيع الأنظمة ومكوناتها (المباني، الهياكل، المباني، أجهزة الكمبيوتر، الاتصالات، أنظمة التشغيل، برامج التطبيقات، إلخ)؛ مع وجود أخطاء في تشغيل المعدات بسبب سوء نوعية التصنيع؛ مع وجود أخطاء في عملية إعداد ومعالجة المعلومات (أخطاء المبرمجين والمستخدمين بسبب عدم كفاية المؤهلات وسوء جودة الخدمة، وأخطاء المشغلين في إعداد البيانات وإدخالها وإخراجها، وتصحيح المعلومات ومعالجتها)؛

التهديدات النشطة.هذه هي التهديدات المرتبطة بالوصول غير المصرح به إلى موارد نظام المعلومات الآلي (إجراء تغييرات فنية على أجهزة الكمبيوتر والاتصالات، والاتصال بأجهزة الكمبيوتر وقنوات الاتصال، وسرقة أنواع مختلفة من وسائط التخزين: الأقراص المرنة، والأوصاف، والمطبوعات وغيرها من المواد ، عرض بيانات الإدخال والمطبوعات وعرض "القمامة")؛ التهديدات التي يتم تنفيذها بطريقة غير اتصالية (جمع الإشعاع الكهرومغناطيسي، واعتراض الإشارات المستحثة في الدوائر (الاتصالات الموصلة)، والطرق البصرية البصرية للحصول على المعلومات، والتنصت على المحادثات الرسمية والعلمية والتقنية، وما إلى ذلك).

الطرق النموذجية الرئيسية لتسرب المعلومات والوصول غير المصرح به إلى أنظمة المعلومات الآلية، بما في ذلك من خلال قنوات الاتصالات، هي كما يلي:

اعتراض الإشعاع الإلكتروني.

استخدام أجهزة الاستماع (الإشارات المرجعية)؛

التصوير عن بعد؛

اعتراض الإشعاع الصوتي واستعادة نص الطابعة؛

وسرقة وسائط التخزين والنفايات الصناعية؛

قراءة البيانات في صفائف المستخدمين الآخرين؛

قراءة المعلومات المتبقية في ذاكرة النظام بعد تنفيذ الطلبات المعتمدة؛

نسخ وسائط التخزين من خلال التغلب على التدابير الأمنية؛

التنكر كمستخدم مسجل؛

خدعة (تمويه حسب طلبات النظام)؛

الاتصال غير القانوني بالمعدات وخطوط الاتصالات؛

التعطيل الخبيث لآليات الحماية؛

استخدام مصائد البرمجيات.

قد تكون القنوات المحتملة للوصول المتعمد غير المصرح به إلى المعلومات في غياب الحماية في نظام المعلومات الآلي:

القنوات القياسية للوصول إلى المعلومات (محطات المستخدم، وسائل عرض وتوثيق المعلومات، وسائط التخزين، وسائل تنزيل البرامج، قنوات الاتصال الخارجية) عند استخدامها بشكل غير قانوني؛

وحدات التحكم والضوابط التكنولوجية؛

التثبيت الداخلي للمعدات؛

خطوط الاتصال بين الأجهزة؛

الإشعاع الكهرومغناطيسي الجانبي الذي يحمل المعلومات؛

التداخل الجانبي على دوائر إمداد الطاقة وتأريض المعدات والاتصالات المساعدة والخارجية الموجودة بالقرب من نظام الكمبيوتر.

تنقسم طرق التأثير على التهديدات التي تتعرض لها كائنات أمن المعلومات إلى معلومات وبرمجيات ورياضية ومادية وراديو إلكتروني وتنظيمي قانوني.

تشمل طرق المعلومات ما يلي:

انتهاك الاستهداف وتوقيت تبادل المعلومات، وجمع المعلومات واستخدامها بشكل غير قانوني؛

الوصول غير المصرح به إلى موارد المعلومات؛

التلاعب بالمعلومات (التضليل أو إخفاء المعلومات أو تشويهها)؛

النسخ غير القانوني للبيانات في نظم المعلومات؛

انتهاك تكنولوجيا معالجة المعلومات.

تشمل الأساليب البرمجية والرياضية ما يلي:

إدخال فيروسات الكمبيوتر.

تثبيت البرامج والأجهزة المدمجة؛

تدمير أو تعديل البيانات في نظم المعلومات الآلية.

تشمل الطرق الفيزيائية ما يلي:

تدمير أو تدمير مرافق معالجة المعلومات والاتصالات؛

تدمير أو إتلاف أو سرقة الآلة أو وسائط التخزين الأصلية الأخرى؛

سرقة مفاتيح البرامج أو الأجهزة ووسائل حماية معلومات التشفير؛

التأثير على الموظفين؛

توريد المكونات "المصابة" لأنظمة المعلومات الآلية.

الطرق الراديوية الإلكترونية هي:

اعتراض المعلومات في القنوات التقنية لاحتمال تسربها؛

إدخال أجهزة اعتراض المعلومات الإلكترونية في الوسائل والمباني التقنية؛

اعتراض وفك التشفير وفرض معلومات كاذبة في شبكات البيانات وخطوط الاتصالات؛

التأثير على أنظمة مفتاح كلمة المرور؛

القمع الراديوي الإلكتروني لخطوط الاتصالات وأنظمة التحكم.

تشمل الأساليب التنظيمية والقانونية ما يلي:

عدم الامتثال للمتطلبات القانونية والتأخير في اعتماد الأحكام التنظيمية اللازمة في مجال المعلومات؛

تقييد غير قانوني للوصول إلى الوثائق التي تحتوي على معلومات مهمة للمواطنين والمنظمات.

التهديدات الأمنية للبرمجيات. يعتمد ضمان أمن أنظمة المعلومات الآلية على أمان البرامج المستخدمة فيها، وعلى وجه الخصوص، الأنواع التالية من البرامج:

برامج المستخدم العادية؛

برامج خاصة مصممة لانتهاك أمن النظام؛

مجموعة متنوعة من أدوات النظام المساعدة وبرامج التطبيقات التجارية التي تم تطويرها بشكل احترافي للغاية ولكنها قد تحتوي على عيوب فردية تسمح للمهاجمين بمهاجمة الأنظمة.

يمكن للبرامج أن تخلق نوعين من المشاكل: أولا، يمكنها اعتراض البيانات وتعديلها نتيجة لتصرفات المستخدم الذي ليس لديه حق الوصول إلى هذه البيانات، وثانيا، باستخدام الثغرات في حماية أنظمة الكمبيوتر، يمكنها إما توفير الوصول إلى النظام للمستخدمين الذين ليس لديهم الحق في القيام بذلك، أو منع الوصول إلى النظام للمستخدمين الشرعيين.

كلما ارتفع مستوى تدريب المبرمج، أصبحت الأخطاء التي يرتكبها ضمنية (حتى بالنسبة له) أكثر دقة وموثوقية، وتمكن من إخفاء الآليات المتعمدة المصممة لانتهاك أمن النظام.

يمكن أن يكون هدف الهجوم هو البرامج نفسها للأسباب التالية:

في العالم الحديث، يمكن أن تكون البرامج منتجًا يحقق ربحًا كبيرًا، خاصة لأولئك الذين هم أول من يبدأ في نسخ البرنامج لأغراض تجارية والحصول على حقوق الطبع والنشر له.

يمكن أيضًا أن تصبح البرامج هدفًا لهجوم يهدف إلى تعديل هذه البرامج بطريقة ما، مما قد يسمح بالهجوم على كائنات النظام الأخرى في المستقبل. غالبًا ما تكون البرامج التي تنفذ وظائف حماية النظام هدفًا لهجمات من هذا النوع.

دعونا نلقي نظرة على عدة أنواع من البرامج والتقنيات التي تُستخدم غالبًا لمهاجمة البرامج والبيانات. ويشار إلى هذه التقنيات بمصطلح واحد - "فخاخ البرمجيات". وتشمل هذه الأبواب المسحورة، وأحصنة طروادة، والقنابل المنطقية، وهجمات السلامي، والقنوات السرية، ورفض الخدمة، وفيروسات الكمبيوتر.

البوابات في البرامج.يعد استخدام البوابات لاختراق أحد البرامج أحد أبسط الطرق وأكثرها استخدامًا لانتهاك أمان أنظمة المعلومات الآلية.

لوقا يشير إلى القدرة على العمل مع منتج البرنامج هذا الذي لم يتم وصفه في الوثائق الخاصة بمنتج البرنامج. جوهر استخدام البوابات هو أنه عندما يقوم المستخدم بإجراءات معينة غير موصوفة في الوثائق، فإنه يحصل على الوصول إلى القدرات والبيانات التي تكون مغلقة عادة أمامه (على وجه الخصوص، الوصول إلى الوضع المميز).

غالبًا ما تكون الفقسات نتيجة لنسيان المطور. يمكن استخدام آلية مؤقتة للوصول المباشر إلى أجزاء المنتج، تم إنشاؤها لتسهيل عملية التصحيح وعدم إزالتها عند الانتهاء، كفتحة. يمكن أيضًا تشكيل البوابات نتيجة لتقنية تطوير البرمجيات "من أعلى إلى أسفل" التي يتم ممارستها غالبًا: سيتم لعب دورها بواسطة "بذرة" متروكة لسبب ما في المنتج النهائي - مجموعات من الأوامر التي تقلد أو تشير ببساطة إلى المكان الذي يتم فيه سيتم ربط الإجراءات الفرعية المستقبلية.

وأخيرًا، هناك مصدر شائع آخر للأبواب المسحورة وهو ما يسمى بـ "المدخلات غير المحددة" - إدخال معلومات "لا معنى لها" والهذيان استجابة لطلبات النظام. يمكن أن تكون استجابة برنامج مكتوب بشكل سيئ لمدخلات غير محددة، في أفضل الأحوال، غير متوقعة (حيث يتفاعل البرنامج بشكل مختلف في كل مرة يتم فيها إدخال نفس الأمر غير الصالح مرة أخرى)؛ يكون الأمر أسوأ بكثير إذا قام البرنامج بتنفيذ بعض الإجراءات المتكررة نتيجة لنفس الإدخال "غير المحدد" - وهذا يمنح المهاجم المحتمل الفرصة للتخطيط لأفعاله لانتهاك الأمن.

الإدخال غير المحدد هو تطبيق خاص للمقاطعة. وهذا هو، بشكل عام، يمكن للغزاة أن يخلق عمدا بعض المواقف غير القياسية في النظام، والتي من شأنها أن تسمح له بتنفيذ الإجراءات اللازمة. على سبيل المثال، يمكنه تعطل برنامج يعمل في الوضع المميز بشكل مصطنع من أجل السيطرة عليه مع البقاء في هذا الوضع المميز.

إن مكافحة احتمالية الانقطاع تؤدي في نهاية المطاف إلى ضرورة توفير مجموعة من الآليات، عند تطوير البرامج، تشكل ما يسمى بـ “المضمونة”. معنى هذه الحماية هو ضمان عدم وجود إمكانية لمعالجة المدخلات غير المحددة وأنواع مختلفة من المواقف غير القياسية (على وجه الخصوص، الأخطاء) وبالتالي منع انتهاك أمان نظام الكمبيوتر حتى في حالة التشغيل غير الصحيح من البرنامج.

وبالتالي، قد تكون الفتحة (أو الفتحات) موجودة في البرنامج لأن المبرمج:

نسيت حذفه؛

تركها عمدًا في البرنامج للسماح بالاختبار أو لإجراء بقية التصحيح؛

تركه عمدًا في البرنامج لمصلحة تسهيل التجميع النهائي لمنتج البرنامج النهائي؛

لقد تركها في البرنامج عمداً لكي تكون هناك وسيلة مخفية للوصول إلى البرنامج بعد أن تم تضمينها في المنتج النهائي.

الفتحة هي الخطوة الأولى لمهاجمة النظام، والقدرة على اختراق نظام الكمبيوتر عن طريق تجاوز آليات الأمان.

"أحصنة طروادة".

هناك برامج تنفذ، بالإضافة إلى الوظائف الموضحة في الوثائق، بعض الوظائف الأخرى غير الموضحة في الوثائق. تسمى هذه البرامج "أحصنة طروادة".

كلما كانت نتائج أفعاله أكثر وضوحًا (على سبيل المثال، حذف الملفات أو تغيير حمايتها)، زادت احتمالية اكتشاف حصان طروادة. يمكن لأحصنة طروادة الأكثر تعقيدًا إخفاء آثار نشاطها (على سبيل المثال، إعادة حماية الملف إلى حالته الأصلية).

“القنابل المنطقية”.

تسمى "القنبلة المنطقية" عادة ببرنامج أو حتى جزء من التعليمات البرمجية في برنامج ينفذ وظيفة معينة عند استيفاء شرط معين. يمكن أن تكون هذه الحالة، على سبيل المثال، حدوث تاريخ معين أو اكتشاف ملف باسم معين.

عند "الانفجار"، تنفذ "القنبلة المنطقية" وظيفة غير متوقعة، وكقاعدة عامة، غير مرغوب فيها للمستخدم (على سبيل المثال، تحذف بعض البيانات أو تدمر بعض هياكل النظام). تعتبر “القنبلة المنطقية” إحدى الطرق المفضلة لدى المبرمجين للانتقام من الشركات التي طردتهم أو أساءت إليهم بطريقة ما.

هجوم السلامي.

لقد أصبح هجوم السلامي آفة حقيقية لأنظمة الكمبيوتر المصرفية. في الأنظمة المصرفية، يتم تنفيذ آلاف المعاملات المتعلقة بالمدفوعات غير النقدية وتحويل المبالغ والخصومات وما إلى ذلك يوميًا.

عند معالجة الفواتير، يتم استخدام وحدات كاملة (روبل، سنتات)، وعند حساب الفائدة، غالبا ما يتم الحصول على مبالغ كسرية. عادة، يتم تقريب القيم التي تتجاوز نصف الروبل (سنت) إلى أقرب روبل كامل (سنت)، ويتم تجاهل القيم التي تقل عن نصف روبل (سنت) ببساطة. أثناء هجوم السلامي، لا يتم حذف هذه القيم غير المهمة، بل يتم تجميعها تدريجيًا في حساب خاص.

كما تبين الممارسة، فإن المبلغ الذي يتكون حرفيا من لا شيء، في غضون عامين من تشغيل برنامج "ماكر" في بنك متوسط ​​الحجم، يمكن أن يصل إلى آلاف الدولارات. من الصعب جدًا اكتشاف هجمات السلامي إلا إذا بدأ المهاجم في تجميع مبالغ كبيرة من المال في حساب واحد.

القنوات المخفية

القنوات المخفية هي برامج تنقل المعلومات إلى الأشخاص الذين لا يتلقون هذه المعلومات عادةً.

في تلك الأنظمة التي تتم فيها معالجة المعلومات الهامة، يجب ألا يتمكن المبرمج من الوصول إلى البيانات التي يعالجها البرنامج بعد بدء تشغيل هذا البرنامج.

يمكنك الحصول على فائدة كبيرة من حقيقة امتلاك بعض معلومات الملكية عن طريق بيع هذه المعلومات على الأقل (على سبيل المثال، قائمة العملاء) لشركة منافسة. يمكن للمبرمج المؤهل بشكل كافٍ أن يجد دائمًا طريقة لنقل المعلومات سرًا؛ ومع ذلك، قد يكون البرنامج المصمم لإنشاء التقارير الأكثر حميدة أكثر تعقيدًا قليلاً مما تتطلبه المهمة.

لنقل المعلومات سرًا، يمكنك بنجاح استخدام عناصر مختلفة من تنسيق التقرير "غير الضار"، على سبيل المثال، أطوال الأسطر المختلفة، والمسافات بين الأسطر، ووجود أو عدم وجود رؤوس الخدمة، والإخراج المتحكم فيه للأرقام غير المهمة في قيم الإخراج، والرقم المسافات أو الأحرف الأخرى في أماكن معينة في التقرير، الخ. د.

إذا كان لدى المهاجم القدرة على الوصول إلى الكمبيوتر أثناء تشغيل البرنامج الذي يهتم به، فمن الممكن أن تقوم القناة المخفية بإرسال معلومات مهمة إلى مجموعة بيانات تم إنشاؤها خصيصًا في ذاكرة الوصول العشوائي للكمبيوتر.

تنطبق القنوات السرية بشكل أكبر في المواقف التي لا يكون فيها الغازي مهتمًا بمحتوى المعلومات، ولكن، على سبيل المثال، بحقيقة وجودها (على سبيل المثال، وجود حساب مصرفي برقم معين).

الحرمان من الخدمة.

تهدف معظم تقنيات الاختراق الأمني ​​إلى الوصول إلى البيانات التي لا يسمح بها النظام عادةً. ومع ذلك، لا يقل إثارة للاهتمام بالنسبة للغزاة هو الوصول إلى التحكم في نظام الكمبيوتر نفسه أو تغيير خصائص جودته، على سبيل المثال، الحصول على بعض الموارد (المعالج، جهاز الإدخال / الإخراج) للاستخدام الحصري أو إثارة موقف حسم لعدة عمليات.

قد يكون هذا مطلوبًا لاستخدام نظام الكمبيوتر بشكل صريح لأغراضك الخاصة (على الأقل لحل مشكلاتك مجانًا) أو ببساطة حظر النظام، مما يجعله غير قابل للوصول للمستخدمين الآخرين. يُطلق على هذا النوع من اختراق أمان النظام اسم "رفض الخدمة" أو "رفض المنفعة". يعد "رفض الخدمة" أمرًا خطيرًا للغاية بالنسبة لأنظمة الوقت الفعلي - الأنظمة التي تتحكم في عمليات تكنولوجية معينة، وتنفذ أنواعًا مختلفة من المزامنة، وما إلى ذلك.

فيروسات الكمبيوتر.

تعد فيروسات الكمبيوتر جوهر جميع أنواع أساليب الاختراق الأمني. إحدى الطرق الأكثر شيوعًا والمفضلة لنشر الفيروسات هي طريقة حصان طروادة. تختلف الفيروسات عن “القنبلة المنطقية” فقط في قدرتها على التكاثر وضمان إطلاقها، لذلك يمكن اعتبار العديد من الفيروسات شكلاً خاصًا من “القنابل المنطقية”.

لمهاجمة النظام، تستخدم الفيروسات أنواعًا مختلفة من "الفخاخ". يمكن للفيروسات تنفيذ مجموعة واسعة من الحيل القذرة، بما في ذلك هجوم "السلامي". بالإضافة إلى ذلك، فإن نجاح هجوم من نوع ما يساعد في كثير من الأحيان على تقليل "حصانة" النظام، مما يخلق بيئة مواتية لنجاح هجمات من أنواع أخرى. الغزاة يعرفون ذلك ويستخدمون هذا الظرف بنشاط.

وبطبيعة الحال، فإن التقنيات الموصوفة أعلاه نادرة جدًا في شكلها النقي. في كثير من الأحيان، يتم استخدام العناصر الفردية لتقنيات مختلفة أثناء الهجوم.

التهديدات التي تتعرض لها المعلومات في شبكات الكمبيوتر. تتمتع شبكات أجهزة الكمبيوتر بالعديد من المزايا مقارنة بمجموعة من أجهزة الكمبيوتر التي تعمل بشكل منفصل، بما في ذلك: مشاركة موارد النظام، وزيادة موثوقية تشغيل النظام، وتوزيع الحمل بين عقد الشبكة، وقابلية التوسع عن طريق إضافة عقد جديدة.

في الوقت نفسه، عند استخدام شبكات الكمبيوتر، تنشأ مشاكل خطيرة في ضمان أمن المعلومات. ويمكن ملاحظة ما يلي.

تقاسم الموارد المشتركة.

نظرًا لمشاركة عدد كبير من الموارد بين مستخدمي الشبكة المختلفين، الذين ربما يتواجدون على مسافات كبيرة من بعضهم البعض، فإن خطر الوصول غير المصرح به يزداد بشكل كبير، حيث يمكن تنفيذه بسهولة أكبر وسرية على الشبكة.

توسيع منطقة السيطرة.

يجب على المسؤول أو مشغل نظام معين أو شبكة فرعية مراقبة أنشطة المستخدمين خارج نطاق متناوله.

مزيج من البرامج والأجهزة المختلفة.

يؤدي ربط أنظمة متعددة بالشبكة إلى زيادة تعرض النظام بأكمله للخطر، حيث يتم تكوين كل نظام معلومات لتلبية متطلبات الأمان المحددة الخاصة به، والتي قد تكون غير متوافقة مع متطلبات الأنظمة الأخرى.

معلمة غير معروفة.

تؤدي سهولة توسيع الشبكات إلى صعوبة تحديد حدود الشبكة في بعض الأحيان، حيث يمكن لمستخدمي الشبكات المختلفة الوصول إلى نفس العقدة. علاوة على ذلك، بالنسبة للعديد منهم، ليس من الممكن دائمًا التحديد الدقيق لعدد المستخدمين الذين لديهم حق الوصول إلى عقدة شبكة معينة ومن هم.

نقاط هجوم متعددة.

في الشبكات، يمكن إرسال نفس مجموعة البيانات أو الرسائل عبر عدة عقد وسيطة، كل واحدة منها تشكل مصدرًا محتملاً للتهديد. بالإضافة إلى ذلك، يمكن الوصول إلى العديد من الشبكات الحديثة باستخدام خطوط الطلب الهاتفي والمودم، مما يزيد بشكل كبير من عدد نقاط الهجوم المحتملة.

- صعوبة إدارة ومراقبة الدخول إلى النظام.

يمكن تنفيذ العديد من الهجمات على الشبكة دون الوصول الفعلي إلى عقدة معينة - باستخدام الشبكة من نقاط بعيدة.

في هذه الحالة، يمكن أن يكون تحديد الجاني أمرًا صعبًا للغاية. بالإضافة إلى ذلك، قد يكون وقت الهجوم قصيرًا جدًا بحيث لا يمكن اتخاذ الإجراءات المناسبة.

من ناحية، تعد الشبكة نظامًا واحدًا له قواعد موحدة لمعالجة المعلومات، ومن ناحية أخرى، فهي عبارة عن مجموعة من الأنظمة المنفصلة، ​​ولكل منها قواعده الخاصة لمعالجة المعلومات. لذلك، مع الأخذ بعين الاعتبار الطبيعة المزدوجة للشبكة، يمكن تنفيذ الهجوم على الشبكة من مستويين: العلوي والسفلي (من الممكن الجمع بين الاثنين).

في أعلى مستوى من الهجوم على الشبكة، يستخدم المهاجم خصائص الشبكة لاختراق عقدة أخرى وتنفيذ بعض الإجراءات غير المصرح بها. في أدنى مستوى من هجوم الشبكة، يستخدم المهاجم خصائص بروتوكولات الشبكة لانتهاك سرية أو سلامة الرسائل الفردية أو التدفق ككل.

يمكن أن يؤدي الاضطراب في تدفق الرسائل إلى تسرب المعلومات وحتى فقدان السيطرة على الشبكة.

هناك تهديدات سلبية ونشطة منخفضة المستوى خاصة بالشبكات.

التهديدات السلبية

(انتهاك سرية البيانات المتداولة على الشبكة) هو عرض و/أو تسجيل البيانات المنقولة عبر خطوط الاتصال. وتشمل هذه:

شاهد الرساله؛

تحليل الرسم البياني - يمكن للمهاجم عرض رؤوس الحزم المتداولة في الشبكة، واستنادا إلى معلومات الخدمة التي تحتوي عليها، استخلاص استنتاجات حول المرسلين والمستلمين للحزمة وظروف الإرسال (وقت المغادرة، فئة الرسالة، فئة الأمان، الرسالة الطول، حجم حركة المرور، وما إلى ذلك.).

التهديدات النشطة

(انتهاك سلامة أو توفر الموارد ومكونات الشبكة) - الاستخدام غير المصرح به للأجهزة التي يمكنها الوصول إلى الشبكة لتغيير الرسائل الفردية أو تدفق الرسائل. وتشمل هذه:

فشل خدمات المراسلة - يمكن للمهاجم تدمير أو تأخير الرسائل الفردية أو التدفق الكامل للرسائل؛

"حفلة تنكرية" - يمكن للمهاجم تعيين معرف شخص آخر لعقدته أو ترحيله واستقبال أو إرسال الرسائل نيابة عن شخص آخر؛

إدخال فيروسات الشبكة – نقل جسم الفيروس عبر الشبكة مع تنشيطه لاحقًا بواسطة مستخدم عقدة بعيدة أو محلية؛

تعديل تدفق الرسائل - يمكن للمهاجم تدمير الرسائل وتعديلها وتأخيرها وإعادة ترتيبها وتكرارها بشكل انتقائي، بالإضافة إلى إدراج رسائل مزورة.

التهديدات التي تتعرض لها المعلومات التجارية.

وفي سياق المعلوماتية، فإن طرق الوصول غير المصرح به إلى المعلومات السرية مثل النسخ والتزوير والتدمير تشكل أيضًا خطراً خاصاً.

النسخ.

في حالة الوصول غير المصرح به إلى المعلومات السرية، يقومون بنسخ: المستندات التي تحتوي على معلومات تهم المهاجم؛ الوسائط التقنية؛ المعلومات التي تتم معالجتها في نظم المعلومات الآلية. وتستخدم طرق النسخ التالية: الطباعة، والتصوير، والنسخ الحراري، والنسخ الضوئي، والنسخ الإلكتروني.

مزيف.

في بيئة تنافسية، أصبح التزييف والتعديل والتقليد واسع الانتشار بشكل متزايد. يقوم المهاجمون بتزوير وثائق الثقة التي تسمح لهم بالحصول على معلومات معينة، وخطابات، وفواتير، ووثائق محاسبية ومالية؛ تزوير المفاتيح، والتصاريح، وكلمات المرور، والشفرات، وما إلى ذلك. في أنظمة المعلومات الآلية، يشمل التزوير، على وجه الخصوص، إجراءات ضارة مثل التزييف (يزور المشترك المتلقي الرسالة المستلمة، ويمررها على أنها حقيقية لمصلحته الخاصة)، والإخفاء ( المشترك - يتنكر المرسل في هيئة مشترك آخر من أجل الحصول على معلومات محمية).

دمار.

الخطر الخاص هو تدمير المعلومات في قواعد البيانات الآلية وقواعد المعرفة. يتم تدمير المعلومات الموجودة على الوسائط المغناطيسية باستخدام المغناطيس المدمج والبرمجيات ("القنابل المنطقية"). يحتل التخريب والانفجارات والتدمير وفشل توصيل الكابلات وأنظمة تكييف الهواء مكانًا مهمًا في الجرائم المرتكبة ضد أنظمة المعلومات الآلية.

طرق ضمان أمن المعلومات هي كما يلي: العرقلة والتحكم في الوصول والتمويه والتنظيم والإكراه والإغراء.

عقبة -طريقة لعرقلة مسار المهاجم فعليًا إلى المعلومات المحمية (المعدات، ووسائط التخزين، وما إلى ذلك).

صلاحية التحكم صلاحية الدخول- طريقة لحماية المعلومات من خلال تنظيم استخدام جميع موارد نظام المعلومات الآلي للمؤسسة (الشركة). يتضمن التحكم في الوصول ميزات الأمان التالية:

تحديد المستخدمين والموظفين والموارد لنظام المعلومات (تعيين معرف شخصي لكل كائن)؛

المصادقة (إثبات صحة) كائن أو موضوع باستخدام المعرف المقدم لهم؛

التحقق من السلطة (التحقق من امتثال يوم الأسبوع، والوقت من اليوم، والموارد والإجراءات المطلوبة مع اللوائح المعمول بها)؛

الإذن وخلق ظروف العمل ضمن اللوائح المعمول بها؛

تسجيل (تسجيل) طلبات الموارد المحمية؛

الاستجابة (الإنذار، إيقاف التشغيل، تأخير العمل، رفض الطلب) في حالة محاولات القيام بأعمال غير مصرح بها.

تنكر -طريقة لحماية المعلومات في نظام معلومات آلي عن طريق إغلاقها بطريقة مشفرة.

أنظمة- طريقة لحماية المعلومات التي تهيئ الظروف للمعالجة الآلية للمعلومات وتخزينها ونقلها والتي بموجبها يتم تقليل إمكانية الوصول غير المصرح به إليها.

الإكراه –طريقة لحماية المعلومات يُجبر فيها المستخدمون وموظفو النظام على الامتثال لقواعد معالجة ونقل واستخدام المعلومات المحمية تحت تهديد المسؤولية المادية أو الإدارية أو الجنائية.

الإغراء –مثل هذه الطريقة لحماية المعلومات التي تشجع المستخدمين وموظفي النظام على عدم انتهاك القواعد المعمول بها من خلال الامتثال للمعايير الأخلاقية المعمول بها.

يتم تنفيذ الأساليب المذكورة أعلاه لضمان أمن المعلومات لمؤسسة (شركة) عمليًا باستخدام آليات حماية مختلفة، يتم من أجل إنشائها استخدام الوسائل الأساسية التالية: المادية، والأجهزة، والبرمجيات، والأجهزة والبرامج، والتشفير، والتنظيمية، التشريعية والأخلاقية.

الحماية الجسديةمصممة للحماية الخارجية لأراضي الأشياء، وحماية مكونات نظام المعلومات الآلي للمؤسسة ويتم تنفيذها في شكل أجهزة وأنظمة مستقلة.

جنبا إلى جنب مع الأنظمة الميكانيكية التقليدية، مع المشاركة المهيمنة للبشر، يتم تطوير وتنفيذ أنظمة الحماية المادية الإلكترونية الآلية العالمية، المصممة لحماية المناطق، وحماية المباني، وتنظيم التحكم في الوصول، وتنظيم المراقبة؛ أنظمة إنذار الحريق؛ أنظمة منع سرقة الوسائط.

تتكون القاعدة الأولية لهذه الأنظمة من أجهزة استشعار مختلفة، تتم معالجة الإشارات منها بواسطة المعالجات الدقيقة، والمفاتيح الذكية الإلكترونية، وأجهزة تحديد الخصائص البيومترية البشرية، وما إلى ذلك.

لتنظيم حماية المعدات التي تشكل جزءًا من نظام المعلومات الآلي للمؤسسة ووسائط التخزين القابلة للنقل (الأقراص المرنة والأشرطة المغناطيسية والمطبوعات)، يتم استخدام ما يلي:

أقفال مختلفة (ميكانيكية، مشفرة، يتم التحكم فيها عن طريق المعالجات الدقيقة، يتم التحكم فيها عن طريق الراديو) مثبتة على أبواب المدخل، والمصاريع، والخزائن، والخزائن، والأجهزة ووحدات النظام؛

المفاتيح الصغيرة التي تكتشف فتح أو إغلاق الأبواب والنوافذ؛

أجهزة استشعار بالقصور الذاتي، للاتصال والتي يمكنك استخدام شبكة الإضاءة وأسلاك الهاتف وأسلاك هوائي التلفزيون؛

ملصقات رقائق خاصة يتم لصقها على جميع المستندات والأجهزة والمكونات وكتل النظام لمنع إزالتها من المبنى. كلما كانت هناك محاولة لأخذ جسم به ملصق خارج المبنى، يتم تركيب جهاز خاص (يشبه جهاز كشف الأجسام المعدنية) يقع بالقرب من المخرج لإطلاق إنذار؛

خزائن خاصة وخزائن معدنية لتثبيت العناصر الفردية لنظام المعلومات الآلي (خادم الملفات، الطابعة، إلخ) ووسائط التخزين المحمولة.

لتحييد تسرب المعلومات عبر القنوات الكهرومغناطيسية، يتم استخدام مواد ومنتجات التدريع والامتصاص. حيث:

يتم تنفيذ حماية مناطق العمل حيث يتم تركيب مكونات نظام المعلومات الآلي من خلال تغطية الجدران والأرضيات والسقف بورق جدران معدني، ومينا وجص موصلين، وشبكات سلكية أو رقائق معدنية، وتركيب أسوار مصنوعة من الطوب الموصل، والفولاذ متعدد الطبقات، الألومنيوم أو صفائح بلاستيكية خاصة؛

لحماية النوافذ، يتم استخدام الستائر المعدنية والزجاج بطبقة موصلة؛

جميع الفتحات مغطاة بشبكة معدنية متصلة بحافلة التأريض أو درع الجدار؛

يتم تثبيت مصائد مغناطيسية محدودة على قنوات التهوية لمنع انتشار موجات الراديو.

للحماية من التداخل على الدوائر الكهربائية لمكونات وكتل نظام المعلومات الآلي، استخدم:

كابل محمي للتركيب داخل الحامل، وداخل الكتلة، وبين الكتل، وفي الهواء الطلق؛

موصلات مرنة محمية (موصلات)، ومرشحات لمنع زيادة التيار للإشعاع الكهرومغناطيسي؛

الأسلاك والعروات والاختناقات والمكثفات وغيرها من المنتجات اللاسلكية والكهربائية العازلة للضوضاء؛

يتم وضع إدراجات عازلة منفصلة على إمدادات المياه والتدفئة والغاز والأنابيب المعدنية الأخرى، والتي تكسر الدائرة الكهرومغناطيسية.

للتحكم في مصدر الطاقة، يتم استخدام أجهزة التتبع الإلكترونية - الأجهزة المثبتة عند نقاط إدخال شبكة الجهد المتردد. في حالة قطع سلك الطاقة أو كسره أو حرقه، تقوم الرسالة المشفرة بإطلاق إنذار أو تنشيط كاميرا تلفزيونية لتسجيل الحدث.

للكشف عن "الأخطاء" المضمنة، يعتبر الفحص بالأشعة السينية هو الأكثر فعالية. ومع ذلك، فإن تنفيذ هذه الطريقة يرتبط بصعوبات تنظيمية وفنية كبيرة.

إن استخدام مولدات ضجيج خاصة للحماية من سرقة المعلومات من أجهزة الكمبيوتر عن طريق التقاط إشعاعاتها من شاشات العرض له تأثير سلبي على جسم الإنسان، مما يؤدي إلى الصلع السريع وفقدان الشهية والصداع والغثيان. وهذا هو السبب في أنها نادرا ما تستخدم في الممارسة العملية.

حماية الأجهزة –هذه هي العديد من الأجهزة الإلكترونية والكهروميكانيكية وغيرها من الأجهزة المضمنة مباشرة في كتل نظام المعلومات الآلي أو المصممة كأجهزة مستقلة ومتصلة بهذه الكتل.

وهي مصممة للحماية الداخلية للعناصر الهيكلية لمعدات وأنظمة الكمبيوتر: المحطات الطرفية والمعالجات والمعدات الطرفية وخطوط الاتصال وما إلى ذلك.

الوظائف الرئيسية لحماية الأجهزة:

حظر الوصول الداخلي غير المصرح به إلى الملفات الفردية أو قواعد البيانات الخاصة بنظام المعلومات، والذي قد يكون نتيجة لتصرفات عرضية أو متعمدة من قبل موظفي الخدمة؛

حماية الملفات وقواعد البيانات (الأرشيفية) النشطة والسلبية المرتبطة بعدم صيانة أو إيقاف تشغيل نظام المعلومات الآلي؛

حماية سلامة البرمجيات.

يتم تنفيذ هذه المهام بواسطة أجهزة أمن المعلومات باستخدام طريقة التحكم في الوصول (التحديد والمصادقة والتحقق من سلطة موضوعات النظام والتسجيل والاستجابة).

للعمل مع معلومات ذات قيمة خاصة لمؤسسة (شركة)، يمكن لمصنعي أجهزة الكمبيوتر إنتاج أقراص فردية ذات خصائص فيزيائية فريدة لا تسمح بقراءة المعلومات. وفي الوقت نفسه، يمكن أن تزيد تكلفة الكمبيوتر عدة مرات.

برامج الأمنتم تصميمها لأداء وظائف الحماية المنطقية والفكرية ويتم تضمينها إما في برنامج نظام المعلومات الآلي، أو في تكوين الوسائل والمجمعات وأنظمة معدات التحكم.

تعد برمجيات أمن المعلومات أكثر أنواع الحماية شيوعًا، حيث تتميز بالخصائص الإيجابية التالية: التنوع، والمرونة، وسهولة التنفيذ، وإمكانية التغيير والتطوير. هذا الظرف يجعلهم في نفس الوقت العناصر الأكثر ضعفًا في حماية نظام المعلومات الخاص بالمؤسسة.

حاليًا، تم إنشاء عدد كبير من أنظمة التشغيل وأنظمة إدارة قواعد البيانات وحزم الشبكات وحزم البرامج التطبيقية، بما في ذلك مجموعة متنوعة من أدوات أمن المعلومات.

يتم حل مهام أمن المعلومات التالية باستخدام برامج الأمان:

التحكم في التحميل وتسجيل الدخول باستخدام المعرفات الشخصية (الاسم والرمز وكلمة المرور وما إلى ذلك)؛

ترسيم ومراقبة وصول الأشخاص إلى الموارد ومكونات النظام والموارد الخارجية ؛

عزل برامج العمليات التي يتم تنفيذها لصالح موضوع معين عن الموضوعات الأخرى (ضمان عمل كل مستخدم في بيئة فردية)؛

إدارة تدفقات المعلومات السرية من أجل منع التسجيل على وسائط البيانات ذات المستوى الأمني ​​غير المناسب؛

حماية المعلومات من فيروسات الكمبيوتر؛

ومحو المعلومات السرية المتبقية في حقول ذاكرة الوصول العشوائي (RAM) بالكمبيوتر التي تم فتحها بعد إكمال الطلبات؛

محو المعلومات السرية المتبقية على الأقراص المغناطيسية، وإصدار بروتوكولات بشأن نتائج المحو؛

وضمان سلامة المعلومات من خلال إدخال تكرار البيانات؛

التحكم الآلي في عمل مستخدمي النظام بناءً على نتائج التسجيل وإعداد التقارير بناءً على البيانات من الإدخالات في سجل النظام.

حاليًا، يحتوي عدد من أنظمة التشغيل أصلاً على إمكانات حظر "إعادة الاستخدام" المضمنة. هناك الكثير من البرامج التجارية لأنواع أخرى من أنظمة التشغيل، ناهيك عن حزم الأمان الخاصة التي تنفذ وظائف مماثلة.

يهدف استخدام البيانات المتكررة إلى منع الأخطاء العشوائية في البيانات وتحديد التعديلات غير المصرح بها. قد يكون هذا استخدام المجاميع الاختبارية، والتحكم في البيانات من أجل الترميز الزوجي الفردي والمقاوم للأخطاء، وما إلى ذلك.

غالبًا ما يتم ممارسة تخزين التوقيعات الخاصة بكائنات النظام المهمة في مكان محمي في النظام. على سبيل المثال، بالنسبة للملف، يمكن استخدام مجموعة من بايت حماية الملف مع اسمه وطوله وتاريخ آخر تعديل كتوقيع. في كل مرة يتم فيها الوصول إلى ملف أو في حالة الشك، تتم مقارنة الخصائص الحالية للملف بالمعيار.

خاصية قابلية التدقيق لنظام التحكم في الوصول تعني القدرة على إعادة بناء الأحداث أو الإجراءات. يجب أن تكتشف أدوات التدقيق ما حدث بالفعل. ويتضمن ذلك توثيق الإجراءات المتبعة، والاحتفاظ بالسجلات، واستخدام أساليب تحديد وتحقق واضحة لا لبس فيها.

تجدر الإشارة إلى أن مهمة التحكم في الوصول مع ضمان سلامة الموارد في نفس الوقت لا يتم حلها بشكل موثوق إلا عن طريق تشفير المعلومات.