지식 기반에서 좋은 일을 보내는 것은 간단합니다. 아래 양식을 사용하십시오.

학생과 대학원생, 학업과 업무에 지식 기반을 사용하는 젊은 과학자는 매우 감사하게 생각합니다.

에 게시 됨 http://www.allbest.ru/

1. 정보 보안 및 정보 보안의 기본 개념

정보 보안 보호

정보 보안  - 보호 된 정보의 유출, 보호 된 정보에 대한 비인가적이고 의도하지 않은 영향을 방지하기위한 활동입니다.

보호 대상  - 정보 보호의 의도 된 목적에 따라 보호를 확보 할 필요가있는 정보, 정보 매체 또는 정보 프로세스.

정보 보안의 목적은  이것이 데이터 보호의 바람직한 결과입니다. 정보 보호의 목적은 정보 유출 가능성 및 / 또는 정보에 대한 무단 및 의도하지 않은 영향으로 인한 소유자, 소유자, 정보 사용자의 손상을 방지하는 데 있습니다.

정보 보안의 효과 -  목표에 대한 정보 보호 결과의 준수 정도.

정보 유출 방지  - 보호 된 정보의 공개, 보호 된 정보에 대한 무단 액세스 (무단 액세스) 및 공격자에 의한 보호 된 정보의 수신으로부터 통제되지 않은 보급을 방지하기위한 활동.

공개로부터의 정보 보호  - 통제되지 않은 수의 수신자에게 보호 된 정보를 무단으로 가져 오는 것을 방지하기위한 활동.

무단 액세스로부터의 정보 보호  - 법률 문서 또는 소유자 또는 소유자에 의해 수립 된 보호 된 정보에 대한 권리 또는 규칙의 접근에 위배되는 관심 대상에 의한 보호 된 정보의 수신을 방지하기위한 활동. 보호받는 정보에 대한 무단 액세스를 수행하는 이해 관계가있는 주체는 주, 법인, 공공 단체, 개인을 포함한 개인의 그룹 일 수 있습니다.

정보 보안 시스템 - 정보 보호에 관련된 법률, 조직, 행정 및 규제 문서에 의해 수립 된 규칙에 따라 조직되고 기능하는 보호 대상은 물론 신체 및 / 또는 집행자의 집합, 정보 보호 기술을 사용합니다.

언더 정보 보안  불법적 인 지인, 변형 및 파기로 인한 정보의 보안뿐만 아니라 성능 저하로 인한 정보 자원의 보안을 이해합니다. 이러한 효과의 특성은 매우 다양 할 수 있습니다.

여기에는 침입 시도, 인력 오류, 하드웨어 및 소프트웨어 오류, 자연 재해 (지진, 허리케인, 화재) 등이 포함됩니다.

현대 자동화 된 시스템  (AC) 정보 처리  는 서로 다른 차원의 자율성을 가진 많은 수의 구성 요소로 구성되며 상호 연결되고 데이터를 교환하는 복잡한 시스템입니다. 사실상 모든 부품은 노출되거나 손상 될 수 있습니다. 스피커 구성품  다음 그룹으로 나눌 수 있습니다.

- 하드웨어  - 컴퓨터와 그 구성 요소;

- 소프트웨어  - 구입 한 프로그램, 소스, 객체,로드 모듈 OS 및 시스템 프로그램, 유틸리티, 진단 프로그램 등.

- 데이터  - 자기 매체, 인쇄물, 보관소, 시스템 로그 등에 일시적으로 그리고 영구적으로 저장;

- 직원 -  서비스 요원 및 사용자.

NPP에서 정보 보안을 보장하는 기능 중 하나는 시스템의 정보, 개체 및 주체와 같은 추상적 개념이 컴퓨터 환경의 물리적 표현과 일치한다는 것입니다.

- 정보 제시 -- 컴퓨터 저장 매체  컴퓨터 시스템, RAM, 파일, 기록 등의 외부 장치의 형태로;

- 시스템 객체  - 정보를 저장, 수신 또는 전송하는 수동 시스템 구성 요소. 객체에 대한 액세스는 객체에 포함 된 정보에 대한 액세스를 의미합니다.

- 시스템의 주제 -  객체의 주체로의 정보 흐름 또는 시스템 상태의 변화를 유발할 수있는 시스템의 활성 구성 요소. 주제는 사용자, 활동중인 프로그램 및 프로세스 일 수 있습니다.

2. 기본 속성정보 보안과 관련된 정보

데이터 기밀성 - 이것은 데이터에 부여 된 상태이며 필요한 보호 등급을 결정합니다. 기밀 정보는 시스템의인가 된 (인증 된) 주체 (사용자, 프로세스, 프로그램)에게만 알려 져야합니다. 시스템의 다른 주제에 대해서는이 정보를 알 수 없습니다.

보호 된 정보 (보호의 대상)를 보호하는 중요성의 계조를 확립하는 것은 보호 된 정보의 범주화.

언더 정보 무결성  정보의 속성은 전송 및 저장 과정에서 구조 및 / 또는 내용을 보존하기 위해 보존됩니다. 시스템의 데이터가 소스 문서의 데이터와 의미 상으로 다르지 않은 경우, 즉 우발적이거나 고의적 인 왜곡 또는 파괴가없는 경우 정보 무결성이 보장됩니다. 데이터 무결성을 보장하는 것은 정보를 보호하는 어려운 작업 중 하나입니다.

정보의 신뢰성 -  시스템 출력의 속성 정보는 입력시 수신 된 정보에 해당합니다. 정량적으로 D.와. 정보 오류의 강도, 오류 가능성, 정보의 출처 인 주체에 엄격한 속한 것으로 표현 된 자산 정보 또는이 정보를받는 주체와 같은 지표에 의해 추정됩니다.

정보의 법적 가치  정보 통신사 인 문서가 법적 효력을 가지고 있음을 의미합니다.

데이터 가용성. 데이터가있는 사용자 작업은 액세스 권한이있는 경우에만 가능합니다.

정보에 대한 액세스 -  기술 수단의 도움을 포함하여 정보를 접할 수있는 가능성을 피험자가 얻음. 정보 접근의 주체 -  정보 처리에서의 정당 관계.

정보에 대한 접근의 효율성  - 운영 요구 사항에 따라 최종 사용자가 액세스 할 수있는 정보 또는 일부 정보 자원의 능력입니다.

정보 소유자  - 입법 행위에 따라 정보를 소지, 사용, 폐기 할 수있는 권한을 완전히 구현 한 주제.

정보 소유자  - 정보의 소유 및 사용에 종사하고 법에 의해 설정된 권리 및 / 또는 정보의 소유자 내에서 처분 권한을 행사하는 법인.

사용자 (소비자) 정보 - 정보 액세스 또는 위반에 대한 확립 된 권리 및 규칙에 따라 소유자, 소유자 또는 중개자로부터받은 정보를 사용하는 주체.

정보에 접근 할 권리 ~  법률 문서 또는 소유자 또는 정보 소유자가 설정 한 정보에 대한 액세스 규칙.

정보 액세스 규칙  - 정보 및 통신 사업자에 대한 주체의 접근을위한 절차 및 조건을 규율하는 일련의 규칙.

정보에 대한 승인 된 액세스와 권한없는 액세스가 있습니다.

승인 된 액세스  정보는 설정된 액세스 제어 규칙을 위반하지 않는 정보에 대한 액세스입니다. 액세스 제어 규칙은 시스템 구성 요소에 대한 액세스 권한을 규제하는 데 사용됩니다.

무단 액세스  정보에 - 접근 통제의 확립 된 규칙을 어기는 것. 정보에 대한 무단 액세스를 수행하는 사람이나 프로세스가 액세스 제어 규칙을 위반하고 있습니다. NSD는 가장 일반적인 유형의 컴퓨터 위반입니다.

정보에 대한 무단 액세스로부터 컴퓨터 시스템을 보호하는 책임은 보안 관리자.

3. 식별, 인증, 인증

그리고식별자subject - 주제를 식별하는 일부 정보. 등록 된 ID를 가진 엔티티는 다음과 같습니다. 법적 (법적) 주제. 제목 식별 -  이것은 식별자로 대상을 인식하는 절차입니다. 주체가 시스템 (네트워크)에 로그온을 시도하면 식별이 수행됩니다. 주체 인증  - 이것은 주어진 식별자를 가진 주체의 인증입니다. 인증 절차는 피사체가 자신이 누구인지를 정확히 선언했는지 여부를 확인합니다. 제목 인증  - 이것은 관련 기관의 식별 및 인증과 시스템 (네트워크)의 가용 자원을 성공적으로 통과 한 법인을 제공하는 절차입니다.

4. 정보 보안 위협 분석

언더 위협당한  (일반적으로) 누군가의 관심을 손상시킬 수있는 잠재적 사건 (영향, 과정 또는 현상)을 이해합니다. 더 밑에 보안 위협  AS 정보 처리는 직접 또는 간접적으로 보안을 손상시킬 수있는 AU에 노출 될 가능성을 이해합니다.

AU의 정보 보안에 대한 잠재적 위협의 분류는 다음의 기본 기준에 따라 수행 될 수있다.

발생의 본질에 의해 :

자연의 위협 객관적인 물리적 과정 또는 자연 현상에 대한 AU에 대한 영향으로 야기 된 것.

인공 위협  인간 활동으로 인한 확성기 안전성.

의도적 인 징후의 정도에 의해 :

오류 또는 과실로 인한 위협  예를 들어, 보호 장비의 무능한 사용, 잘못된 데이터 입력 등.

고의적 인 행동의 위협침입자의 행동과 같은

직접적인 위협 원 :

자연 환경예 : 자연 재해, 자기 폭풍 등.

남자예를 들어, 뇌물을 제공하거나 기밀 정보를 공개하는 등의 모집;

공인 하드웨어 및 소프트웨어예를 들어, 데이터 삭제, OS 장애;

무단 소프트웨어 / 하드웨어예를 들어, 파괴적인 기능을 가진 바이러스에 의한 컴퓨터 감염.

위협 원의 위치에 따르면 :

aU의 통제 구역 밖에서,  예를 들어, 통신 채널을 통해 전송 된 데이터의 차단, 가짜 전자기장, 음향 및 기타 방사 장치의 차단;

aU의 통제 구역 내에서청취 장치의 사용, 인쇄물의 도난, 녹음물, 저장 매체 등.

스피커에 직접 연결,  예를 들어, AS 자원의 잘못된 사용.

AU의 활동에 대한 의존 정도에 따라 :

aU의 활동에 관계없이,  예를 들어, 정보 암호화 암호의 개방;

데이터 처리 중에 만,  예를 들어, 소프트웨어 바이러스의 실행 및 확산에 대한 위협.

AU에 대한 영향의 정도에 따라 :

수동적 위협구현 될 때, 예를 들어, 비밀 데이터 복사의 위협과 같은 AU의 구조와 내용에서 어떤 것도 변경하지 마십시오.

활발한 위협노출되었을 때 AU의 구조와 내용을 변경합니다 (예 : 트로이 목마 및 바이러스 도입).

리소스에 대한 사용자 또는 프로그램 액세스 단계별

aU의 자원에 대한 액세스 단계에 나타나는 위협,  AU에 대한 무단 액세스 위협과 같은

aU 리소스에 대한 액세스를 허용 한 후에 나타나는 위협,  AU의 자원을 무단 또는 부정하게 사용하는 위협과 같은

AU의 자원에 접근하는 방식으로 :

aU 리소스에 대한 표준 액세스 경로를 사용하여 만든 위협,  예를 들어, 패스워드의 불법적 인 수신 및 액세스 제어의 다른 세부 사항을 등록 된 사용자로서 계속해서 위장 할 수 있습니다.

숨겨진 비표준 경로를 사용하여 AC 자원에 액세스함으로써 발생하는 위협, 예를 들어, 문서화되지 않은 OS 기능을 사용하여 AS 자원에 대한 무단 액세스.

AU에 저장되고 처리되는 정보의 현재 위치 :

외부 저장 장치에 저장된 정보에 대한 액세스 위협예를 들어 하드 디스크에서 중요한 정보를 무단으로 복사하는 경우;

메모리의 정보 액세스에 대한 위협예를 들어, RAM으로부터 잔여 정보를 판독하고, 응용 프로그램에 의해 시스템 메모리 영역에 액세스하며;

통신 회선에서 순환하는 정보에 대한 액세스 위협,예를 들어 후속 메시지 입력 또는 전송 된 메시지의 수정으로 통신 회선에 불법적으로 연결, 합법적 인 사용자의 직접 대체를 목적으로하는 통신 회선에 대한 불법 연결, 불일치 정보 입력 및 잘못된 메시지 부과 등이 있습니다.

정보 액세스 위협터미널에 표시되거나 프린터에 인쇄 됨 , 예를 들어 숨겨진 비디오 카메라에 표시된 정보를 기록합니다.

이유 무작위 효과aU를 운영 할 때 :

· 자연 재해 및 정전으로 인한 비상 사태

· 장비 고장 및 고장;

· 소프트웨어 버그.

· 직원 및 사용자 작업의 오류

· 외부 환경의 영향으로 인한 통신 회선의 간섭.

소프트웨어의 오류는 일반적인 컴퓨터 방해 유형입니다. 사람들이 작성한 소프트웨어 서버, 워크 스테이션, 라우터 등 거의 항상 오류가 있습니다. 이러한 소프트웨어의 복잡성이 높을수록 오류 및 취약점을 발견 할 확률이 높아집니다. 대부분의 경우 위험하지 않으며 일부는 서버 제어, 서버 오작동, 권한이 부여되지 않은 리소스 사용 (컴퓨터를 공격 발판으로 사용) 등과 같은 심각한 결과를 초래할 수 있습니다. 일반적으로 이러한 오류는 소프트웨어 제조업체에서 정기적으로 제공하는 서비스 팩을 통해 제거됩니다. 그러한 패키지를 적시에 설치하는 것은 정보의 보안을위한 전제 조건입니다.

의도적 인 위협범죄자의 목표로 한 행동과 관련이있다. 위반자는 직원, 방문자, 경쟁자, 용병 등이 될 수 있습니다.

5. NSD에서에형성. 조작 스위치 변경 방법

무단 액세스- 가장 흔하고 다양한 형태의 컴퓨터 위반. 무단 액세스의 핵심은 조직의 보안 정책에 따라 설정된 액세스 제어 규칙을 위반하여 개체에 대한 사용자 (위반자) 액세스 권한을 얻는 것입니다. NSD는 보호 시스템의 오류를 사용하며 부적절한 보호 수단 선택, 잘못된 설치 및 구성으로 가능합니다. 무단 액세스 시스템은 AU의 표준 수단으로 특별히 구현 된 하드웨어 및 소프트웨어로 구현 될 수 있습니다.

위반자가 AU 구성 요소에 액세스하여 정보의 도난, 수정 및 / 또는 파기를 수행 할 수있는 무단 액세스의 주요 채널 :

· 위반자 및 권한 밖의 합법적 인 사용자가 정보를 사용할 때 정기적으로 정보에 액세스합니다.

· 기술 통제반;

· 하드웨어 AC 간의 통신 회선

· 장비, 통신 회선, 전원 공급 장치 네트워크 및 접지 등의 측면 전자기 방사

무단 액세스의 다양한 방법 및 기법 중에서 다음과 같은 공통적 인 위반에 초점을 맞 춥니 다.

암호의 가로 채기;

· "가장 무도회";

· 불법적 인 권한 사용.

패스워드의 가로 채기  특수 설계된 프로그램에 의해 수행됩니다. 합법적 인 사용자가 시스템에 로그인하려고 시도하면 인터셉터 프로그램은 인터셉터 프로그램 소유자에게 즉시 전송 된 사용자 이름과 비밀번호의 입력을 디스플레이 화면에서 시뮬레이션 한 후 오류 메시지가 화면에 표시되고 OS가 제어를 반환합니다.

"가장 무도회"  - 이것은 적절한 권한을 가진 다른 사용자를 대신하여 한 사용자가 수행 한 모든 작업의 \u200b\u200b성능입니다. "가면"의 목적은 다른 사용자에게 조치를 지정하거나 다른 사용자의 권한 및 특권을 할당하는 것입니다. "가면"구현의 예는 다음과 같습니다.

· 다른 사용자의 이름과 암호로 시스템에 로그인하십시오.

· 다른 사용자를 대신하여 네트워크에서 메시지 보내기

"가장 무도회"는 은행 전자 결제 시스템에서 특히 위험합니다. 침입자의 "마스킹 볼"로 인해 클라이언트를 부적절하게 식별하면 은행의 법률 고객에게 큰 손실을 초래할 수 있습니다.

권한의 불법 사용. 대부분의 보안 시스템은 특정 기능을 수행 할 수있는 특정 권한 집합을 설정합니다. 각 사용자는 자신의 특권을 얻습니다. 보통 사용자 - 최소, 관리자 - 최대 값. 예를 들어, "가면 (masquerade)"을 통해 무단으로 권한을 압류하면 가해자가 보호 시스템을 우회하는 특정 행동을 취할 가능성이 있습니다. 권한의 불법 점유는 보호 시스템의 오류가 있거나 관리자의 시스템 관리 및 권한 부여의 부주의로 인해 가능하다는 점에 유의해야합니다.

특정 유형의 위협이나 문제 지향적 분류에 관계없이 AU는 정보와 처리 시스템의 다음 중요한 속성이 보장되면 운영자의 요구를 충족시키는 것으로 간주됩니다. 기밀성, 무결성 및 가용성.

즉, 기존 접근법에 따라, 시스템의 정보 자원에 대해 일정 수준이 유지되면 NPP의 정보 보안이 보장되는 것으로 간주됩니다.

· 기밀 유지 (정보의 무단 수신 불가능)

· 무결성 (무단 또는 실수로 수정할 수 없음);

· 접근성 (적절한 시간에 필요한 정보를 얻을 수있는 능력).

7. 일반적인 안전 기준

공통 기준은 독립적이지만 상호 연관된 부품 세트입니다.

프리젠 테이션 및 일반 모델 -  IT 보안 요구 사항을 선택 및 정의하고 제품 및 시스템에 대한 고급 사양을 설명하기 위해 IT 보안 목적, IT 보안 목적을 수립하기위한 설계, IT 보안 평가의 전반적인 개념과 원칙을 정의합니다. 또한 안전 평가 기준에 대한 관심이있는 OC의 각기 다른 부분을 나타내는 사용자 범주를 제공합니다.

보안 기능 요구 사항 -  평가 대상에 대한 기능 요구 사항을 표현하는 표준 방법으로 기능 구성 요소 세트를 설정합니다.

보안 보증 요구 사항 -  여기에는 요구 사항의 만족도에 따라 순위를 결정하는 평가 보증 수준뿐 아니라 가족 및 수업으로 그룹화 된 평가 보증 구성 요소 및 보안 프로파일  및 보안 할당.

사전 정의 된 보안 프로파일 - 기본 기준 (ITSEC, CTCRES, FC, TCSEC)에서 식별 된 기능 안전 요구 사항 및 평가 보증 요구 사항과 기준 기준에 제시되지 않은 요구 사항을 포함하는 보호 프로파일의 예를 포함합니다.

8. 일반 기준 개념

OK 개념에 따라 평가 대상의 보안 요구 사항은 기능 요구 사항과 보증 요구 사항의 두 가지 범주로 나뉩니다.

있음 기능 요구 사항  IT 보안을 제공하는 평가 대상의 기능을 설명합니다. 예를 들어, 기능 요구 사항에는 식별 요구 사항, 사용자의 인증 (인증), 로깅 (감사) 등이 포함됩니다.

보증 요구 사항  필요한 객체의 보안 측정이 정확하고 효율적으로 구현되었다는 신뢰의 근거를 제공하여 평가 객체의 품질을 반영합니다. 보증은 평가 대상의 목적, 구조 및 기능에 대한 연구를 토대로 얻어집니다.

OC에서 기능 및 보증 요구 사항은 동일한 일반 스타일로 표시되며 동일한 조직 및 용어를 사용합니다.

기간 수업  보안 요구 사항의 가장 일반적인 그룹화에 사용됩니다. 모든 계층 구성원은 보안 목적의 범위가 다른 공통의 의도를 공유합니다.

클래스 멤버의 이름이 지정됩니다. 가족.  패밀리 (family)는 보안 목적의 특정 부분의 수행을 보장하지만 강조 또는 강성이 다를 수있는 보안 요구 사항 집합을 그룹화 한 것이다.

가족 구성원 이름이 지정되었습니다. 구성 요소.  구성 요소는 특정 보안 요구 사항 집합, 즉 QA에서 정의 된 구조에 포함하기위한 최소 보안 요구 사항 집합을 나타냅니다.

구성 요소는 항목.  요소는 만족도를 평가할 때 보안 요구 사항의 가장 낮고 분리 할 수없는 수준입니다.

QA 계층 구조의 보안 요구 사항 구성 클래스 패밀리 구성 요소  평가 대상에 대한 보안 위협이 확인되는 즉시 소비자가 구성 요소를 정확하게 식별 할 수 있도록 도와줍니다.

9. 기본 개념보안 정책

보안 정책 - 조직이 정보를 처리, 보호 및 보급하는 방법을 결정하는 일련의 법률, 규칙 및 행동 규범. 예를 들어, 규칙에 따라 사용자가 특정 데이터 세트를 사용하여 운영 할 권한을 가질 때 시스템의 안정성이 높아질수록 보안 정책이보다 엄격하고 다양해질 수 있습니다. 공식화 된 정책에 따라 시스템의 보안을 보장하는 특정 메커니즘을 선택할 수 있습니다. 보안 정책은 가능한 위협 분석 및 대책 선택을 포함하는 보호의 능동적 인 구성 요소입니다.

보안 정책은 정보 보안 분야의 관리 전략뿐만 아니라주의 수준 및 지침 제공에 적절하다고 판단되는 리소스의 양을 결정합니다. 보안 정책은 조직의 IP에 대해 사실로 인식되는 위험 분석을 기반으로 구성됩니다.

위험 분석이 수행되고 프로그램의 상태를 보호하기위한 전략이 결정되면 구현은 정보 보안을 제공해야합니다. 제어 순서의 결정은 프로그램에 의해 결정됩니다.

보안 정책은 일반적으로 문제에 대한 설명, 적용 영역, 조직의 위치, 역할 및 책임의 분배, 제재 등과 같은 섹션을 포함하여 문서 형식으로 작성됩니다.

문제에 대한 설명.로컬 네트워크 내에서 순환하는 정보가 중요합니다. 로컬 네트워크를 통해 사용자는 프로그램 및 데이터를 공유 할 수 있으므로 보안 위험이 높아 지므로 네트워크의 모든 컴퓨터가 더 많은 보호 기능을 필요로합니다. 이 향상된 보안 조치는이 문서의 주제입니다.

범위.   이 정책의 범위는 기업의 로컬 네트워크에 포함 된 모든 하드웨어, 소프트웨어 및 정보 자원을 포함합니다.

조직의 위치.   주요 목표는 데이터의 무결성, 가용성 및 기밀성뿐만 아니라 데이터의 완전성 및 관련성을 보장하는 것입니다.

10. 라스역할과 책임 배정

부서 책임자  보안 정책 조항을 사용자 및 사용자와의 대화에 전달할 책임이 있습니다.

LAN 관리자  네트워크의 지속적인 운영을 보장하고 보안 정책을 구현하는 데 필요한 기술 조치를 구현해야합니다.

서비스 관리자  특정 서비스를 책임지고 특히 일반 보안 정책에 따라 보호를 구축해야합니다.

사용자 그들은 보안 정책에 따라 로컬 네트워크와 협력 보안의 특정 측면에 대한 책임자의 지시에 따라 모든 의심스러운 상황에 대한 경영진을 알려줍니다.

제재.  보안 정책을 위반하면 로컬 네트워크와 이에 포함 된 정보가 허용 할 수없는 위험에 노출 될 수 있습니다. 인사에 의한 보안 위반 사례는 해고를 포함한 징계 조치에 대해 경영진이 즉시 검토해야합니다.

정보 보안을위한 관리 조치

관리 차원에서 취해진 조치의 주요 목적은 정보 보안 분야에서 업무 프로그램을 구성하고 필요한 자원을 할당하고 업무 상태를 정기적으로 모니터링함으로써 구현을 보장하는 것입니다. 이 프로그램의 기본은 자원 및 정보 자산을 보호하기위한 조직의 통합 된 접근 방식을 반영한 다단계 보안 정책입니다.

실용적인 관점에서 볼 때 보안 정책은 3 단계 : 상, 중 및 하.

최상위 레벨  보안 정책은 조직 전체에 영향을 미치는 의사 결정을 결정합니다. 이러한 결정은 본질적으로 매우 일반적이며, 원칙적으로 조직의 리더십으로부터옵니다.

이러한 솔루션에는 다음 요소가 포함될 수 있습니다.

정보 보안 분야에서 조직이 추구하는 목표의 수립, 이러한 목표를 달성하기위한 일반적인 지침의 정의

정보 보안을 보장하기위한 포괄적 프로그램의 수립 또는 개정, 프로그램 홍보 담당 책임자의 식별

* 법률 및 규정 준수를위한 중요한 기반 제공

조직 전체의 수준에서 고려해야하는 보안 프로그램의 구현에 대한 관리 결정의 공식화.

보안 정책의 평균 수준은 정보 보안의 특정 측면과 관련된 문제의 해결을 결정하지만 조직에서 운영하는 다양한 시스템에 중요합니다. 이러한 문제의 예는 인터넷 액세스에 대한 태도 (외부 위협에 대한 보호와 정보를받을 수있는 자유를 결합하는 문제), 가정용 컴퓨터 사용 등입니다.

하위 수준 보안 정책은 특정 서비스를 참조합니다. 목표에는 성과 달성을위한 두 가지 측면이 포함되므로 구현 문제와 분리하기가 어렵습니다. 두 가지 상위 수준과는 달리 문제의 정책은보다 상세해야합니다. 즉 낮은 수준의 보안 정책을 따르면 다음과 같은 질문에 답할 필요가 있습니다.

누가 서비스가 지원하는 객체에 접근 할 권리가 있는가?

* 서비스에 대한 원격 액세스가 구성되는 방법.

11. 보안 정책 구조

일반적으로 보안 정책에는 기본 보안 정책, 특수 보안 정책 및 절차 적 보안 정책이 포함됩니다.

조직의 보안 정책의 주요 조항은 다음 문서에 설명되어 있습니다.

1. 보안 정책 검토 - 보안 정책의 목적을 밝히고 구조를 설명하며 누가 무엇을 책임지고 있는지 자세히 설명합니다.

2. 기본 보안 정책 설명 - 허용 된 행동과 금지 된 행동, 필요한 통제를 정의한다.

3. 보안 아키텍처 가이드 - 조직의 네트워크에서 사용되는 컴퓨터 아키텍처의 보안 메커니즘 구현에 대해 설명합니다.

조직의 보안 정책의 주요 구성 요소는 기본 보안 정책입니다.

12. 보안 절차

보안 절차는 보안 정책에 필수적이고 중요한 추가 사항입니다. 보안 정책은 보호해야 할 대상과 보호 원칙을 설명합니다. 보안 절차에 따라 리소스를 보호하는 방법과 정책을 적용하기위한 메커니즘, 즉 보안 정책을 구현하는 방법이 결정됩니다.

기본적으로 보안 절차는 운영 작업을 수행하기위한 단계별 지침입니다. 종종 프로 시저는 정책이 실제 작업으로 변형되는 도구입니다.

보안 절차는 특정 이벤트에 응답 할 때 수행 할 작업을 자세히 설명합니다. 중요한 상황에서 신속하게 대응할 수 있어야한다. 작업에서 단일 실패 지점의 문제를 제거하는 데 도움이됩니다.

많은 보안 관련 절차가 모든 부서에서 표준화되어야합니다. 예를 들어, 보호 된 사본의 백업 및 시스템 저장 절차뿐만 아니라 사용자가 활성 상태를 벗어나거나 사용자가 로그인을 마치면 곧 적용되는 사용자의 로그인과 비밀번호를 보관하는 절차가 포함됩니다.

13 . 정보의 암호 보호에 대한 기본 개념

언더 암호문  열린 데이터 집합의 가역 변환 집합을 키와 암호 변환 알고리즘으로 정의 된 암호화 된 데이터 집합으로 이해합니다. 다양한 암호화 알고리즘이 있습니다. 이러한 알고리즘의 목적은 정보 보안입니다. 동일한 정보를 보호하는 것은 다양한 위협과 다양한 방식으로 이루어집니다. 암호 알고리즘 (QA)을 사용하여 안정적이고 적절한 보호를 제공하려면 어떤 종류의 QA가 있고 특정 문제를 해결하는 데 더 적합한 알고리즘 유형이 무엇인지 파악해야합니다.

해싱

대칭 암호화정보를 암호화하고 해독하는 데 동일한 키를 사용합니다.

대칭 암호화는 두 가지 유형으로 나뉩니다. 블록  및 흐름, 비록 어떤 분류에서는 분리되어 있지 않으며 스트림 암호화는 단위 길이의 암호화로 간주된다.

암호화 차단정보가 고정 된 길이의 블록들 (예를 들어, 64 또는 128 비트들)로 미리 분할된다는 사실을 특징으로한다. 동시에, 다른 우주선에서 또는 동일한 알고리즘의 다른 작동 모드에서도, 블록은 서로 독립적으로 "커플 링"으로 암호화 될 수 있습니다. 즉, 현재 데이터 블록의 암호화 결과가 이전 블록의 값 또는 결과에 의존 할 때 이전 블록을 암호화하십시오.

스트림 암호화우선 정보를 블록으로 나눌 수없는 경우에 사용됩니다. 예를 들어 블록을 형성하기에 충분한 나머지 데이터를 기다리지 않고 각 문자를 암호화하고 전송해야하는 특정 데이터 스트림이 있습니다. 스트림 암호화 알고리즘은 비트 단위 또는 문자 단위로 데이터를 암호화합니다.

비대칭 암호화

전자 디지털 서명 (EDS)데이터의 무결성과 저자를 확실하게 확인하는 데 사용됩니다.

1 4 . 대칭 암호화 시스템 암호화

대칭 암호화 알고리즘에서는 동일한 정보 블록 (키)을 사용하여 메시지를 암호화하고 해독합니다. 전송 된 데이터에 영향을 미치는 알고리즘이 권한이없는 사람에게 알려진 경우 일지라도 보낸 사람과받는 사람 만 소유해야하는 비밀 키에 따라 다릅니다. 대칭 암호 알고리즘은이 비밀 키를 알고있는 경우에만 원본 메시지를 읽을 수있는 방식으로 비밀 키에 따라 작은 데이터 블록 (1 비트 또는 32-128 비트)을 변환합니다.

대칭 암호 시스템은 대칭 암호 알고리즘을 기반으로 임의의 길이의 파일을 인 코드 및 디코드하는 것을 가능하게합니다.

대칭 블록 암호 알고리즘의 특징은 고정 길이의 입력 정보 블록과 키를 소유하지 않은 제 3자가 읽을 수없는 동일한 볼륨의 결과 블록 수신을 변환하는 것입니다.

암호화 된 데이터 블록을 읽으려면 해독 된 메시지가 의미가있을 때까지 가능한 모든 키를 반복해야하는 경우 암호화 알고리즘이 완벽하게 지속되는 것으로 간주됩니다. 일반적으로 블록 암호의 강도는 키 길이에만 의존하며 키 길이에 따라 기하 급수적으로 증가합니다. 이상적인 강력한 암호화 알고리즘은 또 다른 중요한 요구 사항을 충족시켜야합니다. 알려진 원본 및 암호화 된 블록 값을 사용하여이 변환이 이루어진 키는 해당 값을 통해서만 인식 할 수 있습니다.

15 . 비대칭 암호화 알고리즘

비대칭 암호화두 가지 유형의 키 사용을 특징으로합니다 : 공개 - 정보를 암호화하고 비밀 - 해독합니다. 비밀 및 공개 키는 다소 복잡한 관계로 서로 관련되어 있습니다.

RSA 암호화 알고리즘은 1978 년에 제안되었습니다.이 알고리즘은 데이터 암호화 모드와 디지털 서명 모드에서 모두 작동 할 수있는 최초의 공개 키 알고리즘이되었습니다. RSA 알고리즘의 신뢰성은 많은 수의 인수 분해의 어려움에 기반합니다

비대칭 RSA 암호 시스템에서, 사용되는 키의 수는 대칭 시스템에서와 같이 선형 관계 (N 사용자의 시스템에서 2N 키가 사용됨)에 의한 가입자 수와 관련이 있으며 2 차가 아닌 가입자 수와 관련됩니다.

RSA의 성능은 DES의 성능보다 현저히 낮으며 RSA 암호 알고리즘의 소프트웨어 및 하드웨어 구현은 DES보다 훨씬 복잡하다는 점에 유의해야합니다. 따라서 RSA 암호 시스템은 대개 소량의 메시지를 전송할 때 사용됩니다.

16 . 전자 디지털서명 및 해시 함수가 있습니다.

전자 디지털 서명  (EDS)는 데이터의 무결성과 저자를 확실하게 확인하는 데 사용됩니다.

해싱- 이는 정보의 제어 변형 인 암호화 방법입니다. 암호화 변환을 수행하여 무제한 크기의 데이터에서 고정 길이의 해시 값이 초기 데이터와 고유하게 일치하도록 계산됩니다.

해싱 알고리즘은 다음과 같이 설명 할 수 있습니다.

1 단계. 해시 값 레지스터 초기화. 메시지 길이가 256 비트를 초과하지 않는 경우 3 단계로 이동하고 초과하는 경우 2 단계로 이동하십시오.

2 단계. 레지스터에 저장된 이전 블록 해시 값을 사용하여 해시 데이터 블록의 256 비트 해시 값을 반복 계산합니다. 계산에는 다음 작업이 포함됩니다.

* 해시 된 데이터 블록을 기반으로하는 암호화 키 생성;

* 간단한 교체 모드에서 GOST 28147 - 89의 알고리즘에 따라 각각 64 비트의 4 블록 형태로 레지스터에 저장된 해시 값 암호화.

* 결과를 섞는다.

계산은 원시 입력 데이터의 길이가 256 비트 이하가 될 때까지 수행됩니다. 이 경우 3 단계로 이동하십시오.

3 단계. 메시지의 원시 부분의 비트 0을 256 비트로 보완합니다. 해시 값 계산은 2 단계와 동일합니다. 결과적으로 원하는 해시 값이 레지스터에 나타납니다.

17 . 인증, 권한 부여 및 관리자사용자 행동

주체 식별자는 고유 식별자를 식별하는 몇 가지 정보입니다. 이 제목은이 제목의 이름이나 문자열 일 수 있습니다.

신분증  - 그의 식별자 (이름)로 사용자를 인식하는 절차. 이 기능은 사용자가 네트워크에 접속을 시도 할 때 수행됩니다.

인증  - 주장 된 사용자, 프로세스 또는 장치의 인증 절차. 이 확인 기능을 사용하면 사용자 (프로세스 또는 장치)가 자신이 누구인지 자신이 누구인지 정확하게 신뢰할 수 있는지 확인할 수 있습니다.

식별 및 인증은 주체 (사용자)의 인식 및 인증 프로세스와 상호 관련됩니다. 시스템의 후속 결정은 특정 사용자 또는 프로세스에 시스템 리소스에 대한 액세스를 허용 할 수 있는지 여부에 따라 다릅니다. 주체가 식별되고 인증 된 후에는 주체가 승인됩니다.

승인  -이 시스템에서 대상에게 특정 권한과 자원을 제공하는 절차. 다시 말해 권한 부여는 운영 범위와 사용 가능한 리소스를 설정합니다. 시스템이 허가받지 않은 사람과 권한있는 사람을 확실하게 구별 할 수없는 경우이 시스템의 정보의 기밀성 및 무결성을 침해 할 수 있습니다.

관리  - 자원 액세스 시도를 포함하여 네트워크에서의 사용자 작업 등록

제시되는 엔터티 엔티티에 따라 인증 프로세스는 다음을 기반으로 나눌 수 있습니다.

* 무언가에 대한 지식. 예에는 암호, 개인 식별 코드 PIN, 비밀 및 공개 키가 포함됩니다.

* 뭔가 소유하기. 이들은 보통 자기 카드, 스마트 카드, 인증서 및 장치입니다.

* 어떤 고유 한 특성. 이 범주에는 사용자의 생체 인식 특성 (음성, 홍채 및 망막, 지문, 손바닥 기하학 등)을 확인하는 방법이 포함됩니다.

18 . 암호 기반 인증

"싱글 사인온 (single sign-on)"의 기본 원칙은 일회성 사용자 인증 절차가 모든 네트워크 리소스에 액세스 할 수있는 충분한 수준을 의미합니다. 따라서 최신 운영 체제에서는 네트워크 서버 중 하나에서 수행되고 데이터베이스 (DB)를 사용하여 중앙 인증 서비스가 제공됩니다. 이 데이터베이스는 사용자 ID 및 암호뿐만 아니라 기타 정보를 포함하여 네트워크 사용자의 자격 증명을 저장합니다.

네트워크에서 간단한 사용자 인증 절차는 다음과 같이 나타낼 수 있습니다. 네트워크에 로그온 할 때 사용자는 자신의 ID와 암호를 다이얼합니다. 이 데이터는 처리를 위해 인증 서버로 전송됩니다. 인증 서버에 저장된 데이터베이스에서 사용자 ID는 해당 항목입니다. 암호는 암호가 추출되어 사용자가 입력 한 암호와 비교됩니다. 일치하는 경우 인증은 성공합니다. 사용자는 합법적 인 상태를 수신하고 권한 시스템에 의해 자신의 상태에 대해 정의 된 권한 및 네트워크 자원을 수신합니다.

전통적인 재사용 가능한 암호를 기반으로하는 인증 체계는 충분히 안전하지 않습니다. 이러한 암호는 도청, 해결, 간첩 또는 도난 당할 수 있습니다. 보다 신뢰할 수있는 일회용 암호를 기반으로 인증 절차입니다.

일 회성 암호 체계의 본질은 액세스 할 때마다 새로운 암호를 사용하는 것입니다. 1 회성 동적 암호는 하나의 로그인에 대해서만 유효하며 만료됩니다. 가로 챌지라도 쓸모가 없습니다. 동적 암호 메커니즘은 외부 위협으로부터 인증 프로세스를 보호하는 가장 좋은 방법 중 하나입니다. 일반적으로 일회용 비밀번호 인증 시스템은 원격 사용자를 확인하는 데 사용됩니다.

일회성 암호는 하드웨어 또는 소프트웨어로 생성 할 수 있습니다.

19 . OS 보안 위협

OS 보안 위협은 구현의 다양한 측면에 따라 분류 될 수 있습니다.

1. 공격의 목적 상 :

* 정보의 무단 읽기;

정보의 무단 변경.

정보의 무단 파괴;

OS의 전부 또는 일부 파괴.

2. 운영 체제에 미치는 영향의 원칙에 따라.

* 정보를 얻기 위해 알려진 (합법적 인) 채널의 사용; 예를 들어 파일의 무단 읽기 위협, 사용자가 잘못 정의 된 액세스, 즉 보안 정책에 따라 액세스가 거부되어야하는 사용자에게 액세스가 허용됩니다

* 숨겨진 정보 채널의 사용; 예를 들어, 문서화되지 않은 OS 기능의 악의적 인 사용;

* 프로그램 북마크를 사용하여 정보를 수신 할 수있는 새로운 채널을 만듭니다.

3. 공격자가 사용하는 보안 취약점 유형 :

시스템 관리자 오류를 포함한 부적절한 보안 정책

* 소위 해치를 포함하여 OS 소프트웨어의 오류 및 문서화되지 않은 기능 - 실수로 또는 의도적으로 시스템 "서비스 입력"에 내장되어 보호 시스템을 우회 할 수 있습니다.

* 이전에 구현 된 소프트웨어 탭.

4. 운영 체제에 미치는 영향의 본질에 따라 :

* 능동적 인 영향 - 시스템에서 공격자의 무단 조치.

* 수동적 영향 - 시스템에서 발생하는 프로세스에 대한 공격자의 무단 감시.

OS 보안에 대한 위협은 공격자의 행동 방식, 사용 된 공격 수단, 공격 대상, 공격 대상에 대한 영향 방법, 공격 당시 공격받은 OS 개체의 상태와 같은 기능에 따라 분류 할 수 있습니다.

운영 체제는 다음과 같은 일반적인 공격을받을 수 있습니다.

* 파일 시스템 검사. 침입자는 컴퓨터의 파일 시스템을 검사하여 연속적으로 모든 파일을 읽거나 (또는 \u200b\u200b복사하려고 시도합니다. 조만간 적어도 하나 이상의 관리자 오류가 감지됩니다. 결과적으로 공격자는 자신에게 금지되어야하는 정보에 액세스 할 수 있습니다.

* 비밀번호 선택. 사용자 암호를 선택하는 몇 가지 방법이 있습니다.

총 가슴;

문자의 발생 통계 또는 사전을 사용하여 최적화 된 총 무차별 대입;

사용자의 지식 (그의 이름, 성, 생년월일, 전화 번호 등)을 사용하여 암호 선택;

핵심 정보를 훔치기. 공격자는 사용자가 입력 한 암호를 감시하거나 사용자가 키보드로 손을 움직여 입력 한 암호를 복구 할 수 있습니다. 핵심 정보 매체 (스마트 카드)는 단순히 도난 당할 수 있습니다.

* 가비지 수집. 많은 운영 체제에서 사용자가 파괴 한 정보는 물리적으로 파괴되지 않지만 파괴 된 것으로 표시됩니다 (소위 쓰레기라고 함). 공격자는이 정보를 복구하고 스캔하여 관심있는 조각을 복사합니다.

* 권력 남용. 공격자는 OS 또는 보안 정책의 소프트웨어에서 버그를 사용하여 보안 정책에 따라 부여 된 권한보다 큰 권한을받습니다. 이것은 대개 다른 사용자를 대신하여 프로그램을 실행함으로써 이루어집니다.

* 프로그램 북마크. 운영 체제에 구현 된 소프트웨어 책갈피는 다른 클래스의 소프트웨어 책갈피와 큰 차이가 없습니다.

* 욕심 많은 프로그램은 의도적으로 컴퓨터 자원의 상당 부분을 차지하는 프로그램으로, 다른 프로그램을 실행할 수 없거나 매우 느리게 실행할 수 없습니다. 욕심 많은 프로그램을 실행하면 OS가 다운 될 수 있습니다.

20 . 보안 OS의 개념

운영 체제는 주요 위협 클래스에 대한 보호 수단을 제공하는 경우 보호라고합니다. 안전한 운영 체제에는 운영 체제 작업을 시작한 사용자를 인증하는 수단뿐만 아니라 자원에 대한 사용자 액세스를 제한하는 수단이 있어야합니다. 또한 보호 된 OS에는 의도하지 않은 또는 의도적 인 OS 폐기를 막을 수있는 수단이 있어야합니다.

OS가 모든 주요 위협 클래스가 아닌 일부로부터 만 보호 기능을 제공하는 경우 해당 OS는 부분적으로 보호됩니다.

안전한 OS 구축 방법

보안 운영 체제를 만드는 데는 두 가지 방법이 있습니다. 단편적이고 복잡합니다. 단편적인 접근 방식을 사용하면 한 위협에 대한 보호가 먼저 구성되고 다른 보호에 대한 보호가 먼저 이루어집니다. 단편적인 접근의 예로는 비보호 OS를 기반으로하는 안티 바이러스 패키지, 암호화 시스템, 사용자 작업 등록 시스템 등이 있습니다.

단편적인 접근 방식을 사용하는 경우 OS 보호 하위 시스템은 서로 다른 제조업체의 서로 다른 소프트웨어 제품 세트입니다. 이러한 소프트웨어 도구는 서로 독립적으로 작동하지만 긴밀한 상호 작용을 체계적으로 구성하는 것은 거의 불가능합니다. 또한, 이러한 보호 서브 시스템의 개별 요소는 서로의 존재 하에서 올바르게 작동하지 않을 수 있으며, 이로 인해 시스템의 신뢰도가 급격히 저하 될 수 있습니다.

통합 된 접근 방식을 통해 보호 기능은 OS 아키텍처의 설계 단계에서 OS에 도입되며이 기능의 필수적인 부분입니다. 통합 된 접근 방식을 기반으로 작성된 보호 서브 시스템의 개별 요소는 정보 보호 조직과 관련된 다양한 작업을 해결하기 위해 서로 긴밀하게 상호 작용하므로 개별 구성 요소 간의 충돌은 거의 불가능합니다. 원칙적으로 통합 접근 방식을 기반으로 만들어진 OS 보호 하위 시스템은 개별 요소를 교체 할 수 있도록 설계되었습니다. 해당 소프트웨어 모듈을 다른 모듈로 교체 할 수 있습니다.

21 . OS 보안 하위 시스템의 주요 기능

OS 보호 하위 시스템은 다음과 같은 주요 기능을 수행합니다.

1. 식별 및 인증. 어떤 사용자도 자신을 식별하거나 사용자가 실제로 자신이 주장하는 사람임을 확인하는 인증 정보를 시스템에 제공하지 않고는 OS로 작업 할 수 없습니다.

2. 액세스 제어. 시스템의 각 사용자는 현재 보안 정책에 따라 액세스 권한이 부여 된 OS의 객체에만 액세스 할 수 있습니다.

3. 감사. OS는 잠재적으로 시스템의 보안을 유지하기 위해 위험한 특수 로그 이벤트에 기록합니다.

4. 보안 정책 관리. 보안 정책은 항상 적절한 상태로 유지되어야합니다. 즉, 운영 체제의 운영 조건 변경에 유연하게 대응해야합니다. 보안 정책은 OS에 내장 된 적절한 도구를 사용하여 시스템 관리자가 관리합니다.

5. 암호 기능. 정보 보안은 암호 보안 도구를 사용하지 않으면 생각할 수 없습니다. 통신 채널을 통해 사용자 암호 및 시스템 보안에 중요한 일부 데이터를 저장하고 전송할 때 OS에서 암호화가 사용됩니다.

6. 네트워크 기능. 일반적으로 최신 운영 체제는 단독으로 작동하지는 않지만 로컬 및 / 또는 글로벌 컴퓨터 네트워크의 일부로 작동합니다. 동일한 네트워크에있는 컴퓨터의 운영 체제는 정보 보안과 직접 \u200b\u200b관련이있는 작업을 포함하여 다양한 작업을 해결하기 위해 상호 작용합니다.

2 2. 액세스 제어  OS 개체

OS의 객체에 대한 액세스를 차별화하는 프로세스의 기본 개념은 액세스 객체, 객체 액세스 방법 및 액세스 주체입니다.

개체 액세스  (또는 단순히 객체)는 운영 체제의 요소라고 불리며, 사용자 및 기타 액세스 주체는 임의로 제한 될 수 있습니다. OS 객체에 액세스하는 기능은 OS 아키텍처뿐만 아니라 현재 보안 정책에 의해 결정됩니다. 액세스 객체는 하드웨어 리소스와 소프트웨어 리소스를 모두 의미합니다. 모든 액세스가 제어됩니다.

액세스 방법  객체는 객체에 대해 정의 된 연산입니다. 조작 유형은 오브젝트에 따라 다 (니다. 예를 들어 프로세서는 명령 만 실행할 수 있고 메모리 세그먼트는 쓰고 읽을 수 있으며 자기 카드 판독기는 읽을 수만 있고 파일 액세스는 읽기, 쓰기 및 추가로 정의 할 수 있습니다.

액세스 주제  객체에 대한 작업을 시작할 수있는 엔티티 (일부 액세스 메소드로 객체 액세스)를 호출합니다. 일반적으로 액세스 주체 집합과 액세스 개체 집합이 겹치지 않는다고 가정합니다. 때때로 액세스 주체는 시스템에서 실행중인 프로세스를 포함합니다. 그러나 액세스 주체가 사용자를 대신하여 프로세스가 수행된다고 가정하는 것이 더 논리적입니다. 물론 액세스의 대상은 컴퓨터로 작업하는 실제 사용자가 아니라 OS 프로세스가 실행되는 "논리적"사용자를 의미합니다.

따라서 액세스 객체는 액세스되는 대상이며 액세스 대상은 액세스하는 사람이며 액세스 방법은 액세스가 수행되는 방식입니다.

23 감사

운영체제와 관련된 감사 절차는 OS에 위험 할 수있는 이벤트를 감사 로그 또는 보안 로그라고하는 특수한 로그에 등록하는 것이다. 감사 로그를 읽을 수있는 시스템 사용자는 감사 자라고합니다.

OS에 위험을 초래할 수있는 이벤트는 대개 다음과 같습니다.

* 로그인 또는 로그 아웃;

* 파일 작업 (열기, 닫기, 이름 바꾸기, 삭제);

* 원격 시스템에 대한 액세스;

권한 또는 다른 보안 속성 변경

감사 요구 사항 .   OS 감사 서브 시스템은 다음 요구 사항을 충족해야합니다.

1. 운영 체제 만 감사 로그에 항목을 추가 할 수 있습니다.

2. OS 자체를 포함하여 액세스 주제가 감사 로그의 개별 항목을 편집하거나 삭제할 수 없습니다.

3. 해당 특권을 가진 사용자 만 감사 로그를 볼 수 있습니다.

4. Audi-tori 사용자 만 감사 로그를 지울 수 있습니다. 로그를 지우면 감사 로그가 지워진 항목이 자동으로 만들어지며 로그 지우기 시간과 로그를 지운 사용자의 이름이 표시됩니다. 운영 체제는 감사 로그를 다른 파일에서 지우기 전에 저장하는 기능을 지원해야합니다.

5. OS 감사 로그가 가득 차면 OS가 충돌합니다. 다시 부팅 한 후에는 감사 자만 시스템에서 작업 할 수 있습니다. 운영 체제는 감사 로그를 지운 후에 만 \u200b\u200b정상 작동합니다.

감사 정책   - 어떤 이벤트가 감사 로그에 기록되어야 하는지를 결정하는 일련의 규칙입니다. 안정적인 OS 보호를 보장하려면 다음 이벤트를 감사 로그에 기록해야합니다.

* 시스템에서 사용자 로그인 / 로그 아웃 시도;

유사한 문서

정보 보안 개념, 개념 및 분류, 위협 유형. 무단 간섭의 위협으로부터 우연한 위협으로부터 정보를 보호하는 수단 및 방법의 특성. 암호화 정보 보호 방법 및 방화벽.

장기 보고서, 2009 년 10 월 30 일 추가됨


정보 보안에 대한 외부 적 위협, 그들의 표현 형태. 산업 스파이에 대한 방호 수단 및 수단, 목적 : 경쟁자에 대한 정보 획득, 정보 파괴. 기밀 정보에 무단으로 액세스하는 방법.

시험, 2011 년 9 월 18 일 추가됨


정보 보안의 개념, 의미 및 방향. 정보 보안 조직에 대한 체계적인 접근, 무단 액세스로부터의 정보 보호. 정보 보호 수단. 정보 보안의 방법 및 시스템.

초록, 2011 년 11 월 15 일에 추가됨


정보 보안 목적. 러시아에 대한 주요 정보 위협의 출처. 회사 및 이해 관계자의 관점에서 다양한 전문가를위한 정보 보안의 중요성. 고의적 인 정보 위협으로부터 정보를 보호하는 방법.

2010 년 12 월 27 일에 프레젠테이션 추가됨


정보 보안 위험 분석. 기존 및 계획된 구제책 평가. 정보 보안 및 정보 보안 회사를 지키는 조직적인 조치의 복잡한. 프로젝트 구현의 테스트 사례 및 설명.

논문, 19.12.2012 추가


정보 보안 및 정보 보안의 기본 개념. 정보에 대한 위협 가능성의 출현을위한 분류 및 내용, 출처 및 전제 조건. 정보 무기 (충격), 네트워크 보안 서비스에 대한 보호의 주요 영역.

초록, 2010 년 4 월 30 일에 추가됨


정보 보안 분야의 기본 개념. 정보의 기밀성, 정확성, 무결성 및 가용성을 침해하는 행위의 본질. 위협을 만드는 방법 : 공개, 정보 유출 및 이에 대한 무단 액세스.

2013 년 7 월 25 일 프레젠테이션 추가됨


정보 보안 위협의 유형. 전자 정보 보호를위한 주요 지침과 조치. 정보에 대한 공격의 수단을 공격. 정보 범죄, 테러리즘. 정보 보안과 관련된 보호 조치.

초록, 추가 12/27/2011


정보 보안 모드의 형성 시스템. 사회의 정보 보안 업무. 정보 보호 수단 : 주요 방법 및 시스템. 컴퓨터 네트워크에서의 정보 보호. 러시아의 가장 중요한 입법 조치.

초록, 2014 년 1 월 20 일 추가됨


정보 보안의 개념과 기본 원칙. 자동화 된 시스템의 보안 개념. 정보 보안 및 정보 보호, 라이센스 및 인증 프로세스 분야에서 러시아 법률의 기본 사항.

개인용 컴퓨터, 제어 시스템 및이를 기반으로 한 네트워크는 인간 활동 (예 : 군대, 상업, 은행, 연구 등)의 모든 영역에 신속하게 들어갑니다. 정보를 처리, 저장 및 전송하기 위해 컴퓨터 및 네트워크를 기반으로 널리 사용하는 경우 권한이없는 사람이 액세스하거나 정보를 손실하거나 왜곡되지 않도록 정보를 안전하게 보호해야합니다. 통계에 따르면 80 % 이상의 기업이 사용 된 데이터의 무결성 및 기밀로 인해 재정적 손실을 겪고 있습니다.

주나 상업상의 비밀을 구성하는 정보 외에도 지적 재산 인 정보가 있습니다. 그러한 정보에는 과학 연구 결과, 컴퓨터의 기능을 보장하는 프로그램, 게임 프로그램, 오디오 및 비디오 클립이 포함될 수 있습니다. 세계에서 그러한 정보의 비용은 일년에 수조 달러입니다. 그것의 허가받지 않은 복사는 개발에 참여한 회사와 저자의 수입을 줄입니다.

기계 가공을 조직화하는 방법 및 수단의 복잡성이 증가하고 글로벌 인터넷이 널리 보급됨에 따라 정보가 더욱 취약 해지고 있습니다. 이는 계속 증가하는 데이터의 양, 제한된 장소에서의 데이터 축적 및 저장, 자원, 프로그램 및 데이터에 액세스 할 수있는 사용자 그룹의 지속적인 확장, 컴퓨터 및 통신 시스템의 하드웨어 및 소프트웨어 보호 수준이 불충분 한 등의 요인에 의해 촉진됩니다.

이러한 모든 요소를 \u200b\u200b고려할 때 수집, 저장 및 전송 과정에서 정보를 보호하는 것은 매우 중요합니다.

정보 보안의 기본 개념.

컴퓨터 기술을 기반으로 구축 된 자동 처리 시스템의 정보 보호 수단 및 방법에 대한 설명에 사용 된 많은 정의를 고려하십시오.

컴퓨터 시스템 (CS)은 다음 구성 요소의 조합을 나타내는 조직 및 기술 시스템입니다.

데이터를 처리하고 전송하는 기술적 수단;

적절한 소프트웨어 형태의 방법 및 처리 알고리즘;

데이터 (다양한 미디어 및 처리중인 정보);

사용자 (정보 요구를 충족시키기 위해 COP를 사용하는 사람들);

목적 (COP의 임의의 요소, 접근은 임의로 제한 될 수 있음);

제목 (객체에 대한 작업을 시작할 수있는 모든 엔터티 - 사용자, 프로세스).

정보 보안은 CS 자체 및 외부 환경 요소에 동일한 위협을주지 않으면 서 외부 및 내부 정보 위협의 불안정한 영향을 견딜 수있는 CS 상태입니다.

정보 기밀성은 적절한 검증을 거친 후이를 사용할 수있는 제한된 범위의 최종 사용자 및 기타 액세스 주체에만 액세스 할 수있는 정보 자산입니다.

정보 무결성은 저장, 사용 및 전송 중에 구조와 내용을 보존하는 속성입니다.

정보의 신뢰성은 정보의 출처 인 주체에 대한 정보의 엄격한 소유로 표현되는 속성입니다.

정보에 대한 접근 - 정보로 특정 행동을 수행하는 주체의 능력.

정보에 대한 권한있는 액세스 - 정보에 대한 액세스 제어 규칙의 구현과 함께 액세스.

정보에 대한 무단 액세스 (NSD) - COP (소프트웨어 또는 하드웨어)가 제공하는 표준 수단을 사용하여 정보 대상에 대한 액세스 제한의 규칙을 위반하여 액세스합니다.

액세스 제어 규칙 - 시스템의 특정 구성 요소에 대한 주체의 액세스 권한을 규제합니다.

신원 확인 - 귀하가 다양한 과목 (이름, 일련 번호 또는 계좌 번호 등)에서 정보를 선택할 수 있도록 정보에 대한 접근 권한을 주체로부터받습니다.

인증 - 식별 가능한 대상이 자신이 주장하는 사람 (암호, 생체 측정 매개 변수 등)임을 확인하는 정보를 대상에서 수신합니다.

COP의 정보 보안에 대한 위협 - COP의 구성 요소에 대한 영향의 가능성뿐만 아니라 왜곡, 파괴, 복사 또는 차단에 대한 관점에서 COP가 처리하는 정보에 영향을 미칠 수있는 가능성.

COP의 취약성 - 위협의 실현으로 이어질 수있는 모든 특성.

COP의 공격 - COP의 취약성을 탐지하고 정보에 대한 무단 액세스를 획득하기 위해 취해진 공격자의 행동.

보안 위협에 대응하기위한 보호 수단을 갖춘 CS-CS가 안전하거나 보안을 유지합니다.

일련의 보호는 정보 보안을 보장하는 일련의 하드웨어 및 소프트웨어 도구를 의미합니다.

보안 정책 - 주어진 위협 집합에 대한 보호 수단 운영을 규율하는 일련의 규칙 및 규정입니다.

접근 통제의 임의적 인 모델 - 객체에 대한 주체의 접근 권한을 객체에 대한 접근 권한의 일부 목록에 의해 정의되는 객체에 대한 주체의 접근을 구별하는 방법. 이 모델의 구현은 행렬이며 행은 대상이며 열은 객체입니다. 행렬 요소는 액세스 권한 세트를 특성화합니다.

전권선 접근 제어 모델은 주체의 접근을 각 개체가 비밀 수준으로 할당되는 개체에 대한 액세스를 구분하는 방법이며 각 주체는 그 개체에 대한 신뢰 수준을 가지고 있습니다. 이 경우 신뢰 수준이 객체의 비밀 수준보다 작지 않으면 객체는 객체에 액세스 할 수 있습니다.

언더 정보 보안   불법적 인 친숙 화, 변환 및 파기뿐만 아니라 성능 저하를 막기위한 정보 자원 보안 상태에 대한 처리, 저장 및 전송 된 데이터의 보안 상태를 이해합니다.

이러한 효과의 특성은 매우 다양 할 수 있습니다. 여기에는 침입 시도, 인력 실수, 하드웨어 및 소프트웨어 장애, 자연 재해 (지진, 허리케인, 화재 등)가 포함됩니다. 기업 컴퓨터 네트워크의 주요 보안 위협은 2 절에서 자세히 분석됩니다.

컴퓨터 시스템 및 네트워크의 정보 보안은 기밀성, 무결성, 신뢰성, 정보의 합법적 가치, 액세스 속도를 보장하고 정보 자원 및 시스템 또는 네트워크의 구성 요소의 무결성 및 가용성을 보장하기위한 일련의 조치를 취함으로써 성취됩니다. 나열된 정보의 기본 속성은보다 완전한 해석이 필요합니다.

정보 기밀 유지 -이 정보가 유통되는 정보 시스템 사용자의 제한된 서클에만 액세스 할 수있는 속성입니다. 본질적으로 정보의 기밀성은 시스템의 승인 된 주체 및 검증 된 주체 (사용자, 프로세스, 프로그램)에게만 알려질 수있는 속성입니다. 나머지 시스템 정보는 알려지지 않아야합니다.

언더 정보 무결성   그것의 속성은 전송 및 저장 과정에서 구조 및 / 또는 내용을 보존하는 것입니다. 시스템의 데이터가 소스 문서의 데이터와 의미 론적으로 다르지 않은 경우, 즉 실수로 또는 의도적으로 왜곡되거나 파기되지 않는 경우 정보 무결성이 보장됩니다.

정보의 신뢰성   - 정보의 엄격한 소속으로 표현되는 대상, 대상 또는 대상으로 받아 들여지는 대상.

정보의 법적 가치   정보의 이동 통신사 인 문서가 법적 효력이 있음을 의미합니다.

언더 정보에의 액세스 정보의 이해와 처리, 특히 복사, 수정 또는 파기를 의미합니다. 정보에 대한 승인 된 액세스와 권한없는 액세스가 있습니다. 정보에 대한 권한있는 액세스   기존의 액세스 제어 규칙을 위반하지 않습니다.

무단 액세스   설정된 액세스 제어 규칙을 위반하는 것을 특징으로합니다. 정보에 대한 무단 액세스를 수행하는 사람이나 프로세스가 그러한 액세스 제어 규칙을 위반합니다. 무단 액세스는 가장 일반적인 유형의 컴퓨터 위반입니다.

액세스 제어 규칙   시스템 구성 요소에 대한 액세스 권한을 규제합니다.

정보에 대한 접근의 효율성   - 운영상의 필요에 따라 최종 사용자가 이용할 수있는 정보 또는 일부 정보 자원의 능력.

자원 또는 시스템 구성 요소의 무결성   - 이것은 시스템이 무작위 또는 고의로 왜곡되거나 파괴적인 영향을 미치는 조건에서 기능 할 때 의미 론적 의미에서 변하지 않을 속성입니다.

자원 또는 시스템 구성 요소 가용성   - 이것은 합법적 인 시스템 사용자가 사용할 수있는 속성입니다. 식별, 인증, 권한 부여와 같은 개념의 그룹은 시스템의 정보 및 자원에 대한 액세스와 관련됩니다.

시스템 (네트워크)의 각 객체는 객체를 식별하는 몇 가지 정보 (숫자, 문자열)와 연관됩니다. 이 정보는 식별자   시스템 오브젝트 (네트워크). 등록 된 식별자를 가진 객체가 고려됩니다. 법률상의 (법률상의 ).

객체 식별   - 식별자로 객체를 인식하는 절차입니다. 객체가 시스템 (네트워크)에 들어가려고 할 때 실행됩니다.

시스템과 객체의 상호 작용의 다음 단계는 인증입니다. 객체 인증   지정된 식별자로 객체의 인증 여부입니다. 인증 절차는 객체가 자신이 선언 한 것과 정확히 일치하는지 확인합니다.

오브젝트를 식별하고 인증 한 후, 권한 부여가 수행됩니다.

객체의 권한 부여   - 이것은 관련 기관의 식별 및 인증과 시스템 (네트워크)의 가용 자원을 성공적으로 통과 한 적법한 기관을 제공하는 절차입니다.

언더 보안 위협   시스템 (네트워크)의 경우 보안에 직접 또는 간접적으로 해가 될 수있는 영향을 이해합니다. 보안 손상   시스템 (네트워크)에 포함되어 처리되는 정보의 보안 상태를 침해하는 것을 의미합니다.

컴퓨터 시스템 (네트워크) 취약점의 개념은 보안 위협의 개념과 밀접하게 관련되어 있습니다. 시스템 취약점   (네트워크)는 컴퓨터 시스템의 특성으로,이를 사용하면 위협이 발생할 수 있습니다.

컴퓨터 시스템에 대한 공격   (네트워크)은 특정 시스템 취약점을 찾아 사용하기 위해 공격자가 취하는 조치입니다. 따라서 공격은 보안 위협의 실현입니다.

보안 위협에 대응하는 것은 컴퓨터 시스템과 네트워크가 달성하도록 설계된 목표입니다. 안전 또는 보안 시스템   - 보안 위협에 효과적으로 대처할 수있는 보안 기능을 갖춘 시스템입니다.

복잡한 보호   소프트웨어 및 하드웨어 네트워크 집합입니다. 보호 도구 집합은 조직에서 채택한 시스템의 정보 보안 정책에 따라 작성 및 유지 관리됩니다.

보안 정책   - 주어진 보안 위협에 대한 컴퓨터 시스템 (네트워크) 보호 도구의 운영을 규율하는 일련의 규칙, 규정 및 실제 권장 사항입니다.

회사 네트워크는 자동화 된 정보 처리를 수행하는 분산 컴퓨터 시스템입니다. 정보 보안을 보장하는 문제는 그러한 컴퓨터 시스템의 핵심입니다. 기업 네트워크를 보호하려면 회사 네트워크에 대한 무단 침입에 대한 대응과 구성 요소의 수정, 도용, 비활성화 또는 파괴, 즉 회사 네트워크 (하드웨어, 소프트웨어, 데이터 및 인력)의 모든 구성 요소 보호를위한 시도가 포함됩니다.

기업 네트워크의 보안을 보장하는 데는 두 가지 접근 방식이 있습니다.

« 단편적인 » 접근   주어진 조건에서 잘 정의 된 위협에 대응하기위한 것입니다. 이 접근법의 구현 예로서 별도의 액세스 제어 도구, 독립 실행 형 암호화 도구, 특수 안티 바이러스 프로그램 등을 지정할 수 있습니다. 이 접근법의 장점은 특정 위협에 대한 높은 선택성입니다. 중요한 단점은 통합 보안 정보 처리 환경이 없다는 것입니다. 정보를 보호하기위한 단편적인 수단은 특정 위협으로부터 만 회사 네트워크의 특정 개체를 보호합니다. 위협의 약간의 수정조차 보호 효과의 손실을 가져옵니다.

통합 접근법   기업 네트워크에서 안전한 정보 처리 환경을 만드는 데 주력하여 이질적인 대응책을 위협에 통합했습니다. 보호 된 정보 처리 환경의 조직은 통합 된 접근법의 확실한 이점에 기인 할 수있는 일정 수준의 기업 네트워크 보안을 보장합니다. 단점으로는 회사 네트워크 사용자의 자유 행동 제한, 보호 도구 설치 및 구성 오류 및 관리 복잡성 등이 있습니다.

통합 된 접근 방식은 책임있는 작업을 수행하거나 중요한 정보를 처리하는 대기업 또는 소규모 회사 네트워크의 회사 네트워크를 보호하는 데 사용됩니다. 대기업의 기업 네트워크에서 정보 보안을 침해하면 조직과 고객 모두에게 엄청난 물질적 피해가 발생할 수 있습니다. 따라서 그러한 조직은 보안 보장에 특별한주의를 기울이고 포괄적 인 보호를 시행해야합니다. 통합 된 접근법은 대다수의 주 및 대규모 상업 기업 및 기관을 준수합니다. 이 접근법은 다양한 표준에 반영됩니다.

포괄적 인 보안 접근법은 특정 회사 네트워크 용으로 개발 된 보안 정책을 기반으로합니다.

정보 보안의 정의와 목적.

데이터 보호 전문가와의 대화에서이 비교적 새로운 분야의 견해와 용어는 때로는 반대의 경우와 거의 다르다는 것을 알 수 있습니다. 정보 보안을 정의하는 직접적인 문제로 "데이터 보호", "사용 제어", "해커와의 전쟁"등과 같은 다단계 용어를들을 수 있습니다.

한편, 정보 보안 자체에 대한 정의가 확립되어 있으며, 그에 인접한 개념의 원이 있습니다. 때로는 다른 전문가 (또는 학교)와 다릅니다. 정의에서 단순히 동의어를 사용하고 때로는 전체 개념 그룹을 교환합니다. 따라서 처음에는이 기사에서 논의 할 내용을 명확하게 정의해야합니다. 두 저자 모두 서로 독립적으로 정보 보안 분야에서 교육을 받았지만 그 정의와 개념은 거의 일치하므로이 특별한 접근 방식을 사용하기로 결정했습니다. 이 책에서 다루는 전체 지식 영역에서 "정보 보안"이라는 용어가 사용됩니다. 때로는 특히 외국 고용 기관의 분류에서 "정보 보안"은 "컴퓨터 보안", "네트워크 보안", "텔레 커뮤니케이션 보안", "데이터 보안"과 같은 개념과 함께 일반 보안 하위 섹션 중 하나로 간주됩니다.

우리가 생각하기에 "정보 보안"이란 개념은 정보와 상호 작용하는 모든 것을 다루기 때문에 더 광범위하며 위의 모든 개념은 정보 보안의 하위 영역 또는 특정 영역입니다.

정보 보안은 해당 정보에 대해 다음 요소를 제공하는 일련의 조치입니다.

• 기밀성 - 관련 능력을 소유 한 사람에게만 정보를 알릴 수있는 기회 (의미 론적 하중을 전달하는 데이터 또는 정보와 관련된 비트 순서가 아님)
• 무결성 - 정보를 변경하는 기능 (다시 말하자면 의미 론적 표현)은 그렇게하도록 허가 된 사람이어야합니다.
• 가용성 (availability) - 권한이 부여 된 사람이 작업 승인을받은 적절한 시간 내에 정보에 대한 권한있는 액세스를 얻을 수있는 가능성.

때로는 공개 또는 공개, 수정 (변경 또는 왜곡) 및 파괴 또는 차단과 같이 반대 요소에 나열된 요소의 정의를 충족시킬 수 있습니다. 가장 중요한 것은 이러한 정의에 내재 된 의미를 왜곡시키지 않는 것입니다.

이것은 전체 요소 목록은 아니며,이 세 가지 개념은 정보 보안의 거의 모든 정의에서 일반적으로 발견되고 논쟁을 불러 일으키지 않기 때문에 강조 표시됩니다. 우리의 견해로는 추가 요소를 포함하고 그 차이점을 이해해야합니다. 즉 :

• 회계, 즉 보안 시스템에 의해 통제되는 프레임 워크 내에서 (해당 개인에 대해 정의 된 규칙을 벗어나지 않더라도) 수행 한 사람의 모든 중요한 행동을 기록하고 분석해야합니다.
• 부인 방지 (전자 문서가 법적, 재정적 또는 다른 의미로 교환되는 조직의 전형), 즉 다른 사람에게 정보를 보낸 사람은 정보를 보내는 사실을 포기할 수 없으며, 영수증 사실을 부인하십시오.

이 두 요소의 차이는 다음과 같습니다. 회계는 일반적으로 공인 된 서비스가 주로 사용하는 전자 일지를 사용하여 수행되며, 주요 차이점은 이러한 저널 분석의 규칙 성입니다. 상고 가능성은 암호 법 (전자 디지털 서명)을 통해 제공되며, 그 특징적인 특징은 법원과 같은 외부 사례에서 증거로 사용할 가능성이 있다는 것입니다.

정보 보안 메커니즘

나열된 객관적인 정보 보안 목표 또는 목표는 다음과 같은 메커니즘 또는 원칙을 사용하여 제공됩니다.

• 정책 - 정보 보안 메커니즘의 기능을 규제하는 정식 (공식적으로 승인되었거나 전통적으로 수립 된) 일련의 규칙.
• 식별 (identification) - 정보 보안 개념이 적용되기 전에 정보 상호 작용 과정에서 각 참가자의 정의 (인식)
• 인증 - 참가자가 정보 교환 과정에서 정확하게 식별 된 것, 즉 실제로 그가 제시 한 식별자를 가진 사람이라는 확신을 부여합니다.
• 액세스 제어 - 정보 교환 프로세스에서 각 참가자의 자원 액세스 권한 및 액세스 수준을 결정하는 일련의 규칙을 작성 및 유지 관리합니다.
• 권한 부여 - 액세스 제어 규칙 집합에서 정보 교환 프로세스 (인증 또는 익명)의 특정 참가자에 대한 권한 프로필의 형성
• 감사 및 모니터링 - 사전 정의 된 중요하거나 의심스러운 이벤트의 등록 및 분석을 통해 정보 교환 프로세스에서 발생하는 이벤트를 정기적으로 추적합니다. "감사"와 "모니터링"의 개념은 약간 다르다. 첫 번째는 사실 이후의 사건 분석을 포함하고 두 번째는 실시간에 가깝기 때문이다.
• 사고 대응 - 정보 보안 위반에 대한 위반 또는 의심이있는 경우 수행되는 일련의 절차 또는 활동
• 구성 관리 - 정보 보안 환경의 요구 사항에 따라 작업 환경에서 정보 교환 환경의 기능을 생성하고 유지하는 것.
• 사용자 관리 - 정보 보안 요구 사항에 따라 정보 교환 환경에서 사용자의 작업 조건을 보장합니다.

이 경우 사용자는 관리자를 포함하여이 정보 환경을 사용하는 모든 사람으로 이해됩니다.
  위험 관리 - 보호 장비의 힘에 대한 정보 보안 위반으로 인한 손실 가능성 (즉, 건설 비용) 준수 보장;
  지속 가능성 보장 - 최소한의 수용 가능한 근무 조건에서 정보 교환 환경을 유지하고 파괴적인 외부 또는 내부 영향에서 정보 보안 요구 사항을 준수합니다.

따라서 위에 정의 된 정보 보안 목표가 달성 되었기 때문에 (일부 출처에서는 설명 된 원칙 (예 : 인증)이 목표로 이월 됨). 우리는 인증만으로는 정보 보안의 목표로 삼을 수 없다고 생각합니다. 이것은 기밀성이나 접근성과 관련된 정책이이 참가자에게 적용되어야 하는지를 결정하기 위해 정보 교환 참가자를 결정하는 방법 일뿐입니다.

정보 보안 툴킷

이제 우리는 설명 된 원리 나 메커니즘이 구현되는 수단이나 수단이 무엇인지 고려할 것입니다. 당연히 여기서 전체 목록을 제공하는 것은 불가능합니다. 정보 보안의이 측면 또는 그 측면을 고려한 특정 상황에 크게 좌우됩니다. 또한 누군가가 메커니즘 목록에서 자금 목록으로 또는 그 반대로 일부 항목을 이동하려고 할 수 있습니다. 우리의 추론은 다음과 같은 기초를 가지고 있습니다. 예를 들어, 직원은 회계를 제공하는 감사에 종사하고 있습니다. 즉, 인력은 수단이고 감사는 메커니즘이며 회계는 목표입니다. 또는 인증을 제공하는 암호는 암호화 된 양식으로 저장되며, 인증은 예를 들어 수정할 수있는 권한보다 우선합니다. 즉, 암호는 암호를 보호하는 수단이고, 암호는 인증 메커니즘에 사용되고 인증은 무결성에 우선합니다.

우리는 정보 보안의 주요 도구 (도구)를 나열합니다.

• 인원 - 모든면에서 정보 보안의 구현을 보장하는 즉, 개발, 구현, 유지 관리, 감시 및 실행하는 사람들.
• 규제 지원 - 정보 보안 기능을위한 법적 공간을 만드는 문서;
• 보안 모델 -이 특정 정보 시스템 또는 환경에 내장 된 정보 보안 체계
• 암호 - 키를 생성, 저장 및 배포하는 방법 및 수단과 함께 정보를 무단으로 조작 (읽기 및 / 또는 수정)하는 것을 어렵거나 불가능하게 만드는 형식으로 정보를 변환하는 방법 및 수단 - 이러한 제재를 구현하는 특수 정보 객체.
• 안티 바이러스 소프트웨어 - 악성 코드 (바이러스, 트로이 목마 등)를 탐지하고 파기하는 도구입니다.
• 방화벽 - 한 정보 네트워크에서 다른 정보 네트워크로 제어 장치에 액세스합니다.
• 보안 스캐너 -이 특정 정보 시스템에 대한 보안 모델 기능의 품질을 검사하는 장치;
• 공격 탐지 시스템 - 특정 활동에 독립적으로 참여할 가능성이있는 정보 환경에서 활동을 모니터링하는 장치.
• 백업 - 손실 또는 손상의 가능성이있는 경우 정보 자원의 중복 사본 저장.
• 중복 (중복성) - 정보 환경의 기능에 필요한 대체 장치의 생성. 주요 장치의 고장 사례를위한 것.
• 비상 계획 (Emergency Plan) - 정보 보안 규칙에 의해 미리 결정된 방식으로 사건이 발생하거나 발생하지 않을 경우 시행을위한 일련의 조치.
• 사용자 교육 - 정보 보안 요구 사항을 준수하기 위해 정보 환경의 적극적인 참가자를 교육합니다.

아마도 일부 개념은 너무 통합되어 (암호화), 일부 개념은 세부적 (스캐너)입니다. 이 목록의 주요 목표는 정보 보안 서비스를 개발하는 기업의 전형적인 특징을 보여주는 것이 었습니다.

정보 보안의 주요 방향

이제는 때때로 정보 보안의 주요 방향을 고려해야 할 때가 있습니다. 실제로 우리의 의견에는 물리적 보안과 컴퓨터 보안의 두 가지가 있지만 정의의 차이점을 고려할 때 다음과 같이 특성화 할 수 있습니다.

물리적 보안 - 정보 환경의 기능을 위해 의도 된 장비 자체의 안전성 보장,이 장비에 대한 사람들의 접근 통제. 또한 침입자의 물리적 영향으로부터 정보 환경의 사용자를 보호하고 가상이 아닌 정보 (인쇄본, 공식 전화 번호부, 직원의 집 주소, 손상된 외부 미디어 등)를 보호하는 개념을 포함 할 수 있습니다.

컴퓨터 보안 (네트워크 보안, 통신 보안, 데이터 보안) - 가상 형식의 정보 보호를 보장합니다. 환경에서 정보를 찾는 단계와 이러한 원칙에 따라 컴퓨터 (정보의 생성, 저장 또는 처리 장소) 및 네트워크 (보안 전달의 경우)를 구분할 수 있지만 원칙적으로 보안에 대한 포괄적 인 그림을 위반합니다. 동의하는 유일한 논리는 데이터 보안 또는 오히려 데이터 보안이라는 용어입니다. 사실은 특정 소프트웨어 패키지에서 보안 모델을 유지 관리하는 개인 전문가 (또는 서비스)가 필요한 방식으로 보안 모델을 구현할 수 있습니다. 이 경우 특정 응용 프로그램의 데이터 보안 개념과 나머지 정보 환경의 네트워크 보안 개념을 분리 할 수 \u200b\u200b있습니다.

다음 단계는 우리가 동일한 언어를 말할 수있는 조건을 만드는 것, 즉 기본 정의 집합을 도입하는 것입니다.

전문 용어

따라서 모든 사람이 이해할 수있는 언어로 말하려면 여러 가지 정의를 도입해야합니다. 목록은 의도적으로 약간 확장되었으므로 여기에 표시된 모든 용어가 본문에서 더 많이 사용되지는 않는다는 의미에서이 책에 필요합니다. 한편으로 이것은 규제, 방법론 및 기타 정보 보안 자료를 독자적으로 계속 만들어 갈 사람들을 돕기 위해 특별히 수행되었습니다. 불일치와 의미의 왜곡을 피하기 위해 복잡하거나 전문적인 성격을 띠고있는 이러한 문서 중 일부는 반드시 정의 섹션 앞에 와야합니다. 이 경우이 섹션을 기본으로 여기에 제공된 정의를 사용하거나 필요한 경우 수정할 수 있습니다.

이러한 정의에 대한주의 깊은 표현은 정보 보안 개발 작업을 시작하는 조직이 해당 주제에 대해 약한 아이디어를 가지고있는 대상 (예 : 고객, 파트너 또는 공급 업체)과 공식화 된 (예 : 계약 적) 관계로 들어갈 때 특히 중요합니다. 사실 정보 나 암호 같은 단순하고 뚜렷한 개념조차도 여러면에서 인식되어 나중에 분쟁의 대상이 될 수 있습니다. 반면에, 독자는 기사 자료의 성공적인 마스터 링을 위해 여기에 표시된 모든 용어를 암기 할 필요가 없습니다. 추가 사용에 필요한 경우, 필요한 정의가 더 단순화 된 버전으로 반복 될 것입니다.

정보는 저장, 처리 및 / 또는 전송에 적합한 하나의 형식 또는 다른 형식으로 표현 된 데이터라고합니다. 실용적인 관점에서 정보 보안과 관련하여 다음 정보를 구별하는 것이 편리합니다.

• 전자 (전기 신호, 자화 영역 등);
• 인쇄물 (인쇄물, 책 등);
• 시각적 (화면상의 이미지, 슬라이드, 포스터 등);
• 청각 적 (사람들의 이야기, 건전한 자동 녹음기 등).

개체 우리는 실제 정보 자원, 즉 공통 주제, 작업, 처리 방법 등에 의해 결합 된 데이터를 포함하는 정보의 특정 통합 세트를 호출 할 것이다.
제목 - 정보의 사용자 또는 주어진 정보 집합 (객체)을 처리하고 객체의 특정 사용 시점에이 고려 사항에 적용될 때 고려되는 프로세스.
따라서 개체는   그것은 일종의 수동적이며 주제는 정보 교환 과정에 능동적으로 참여합니다.
정보 시스템 -   그것은 일련의 대상에 대해 행동하는 잠재적으로 개방 된 일련의 대상이며, 한 시스템의 대상은 일반적으로 공통의 목표를 가지고 있습니다.
정보 공간 -   그것은 서로 상호 작용하는 일련의 정보 시스템이며,이 시스템의 한 부분은 직접적으로 정반대의 다른 이해 관계를 포함하는 다른 부분을 가질 수 있습니다.
정보 보안 규칙 - 정보 시스템의 주체에 대한 허용 된 행동 및 / 또는 금지 된 행동의 목록. 이러한 규칙은 사람 (사용자, 관리자 등)뿐만 아니라 프로세스 (예 : 방화벽 액세스를 제공하는 프로세스)에 대해서도 정의 할 수 있습니다.
권리 (국가 권) - 주어진 주제, 주제 프로파일의 일부에 대해 허용 된 조치 세트 (규칙).

승인되지 않은 작업은 주체 (또는 주체의 일부)가 수행하는 그러한 작업으로 간주되며,이 작업은 정보 보안 규칙에 의해 허용 된 것으로 (또는 금지 된 것으로 정의 된) 정의되지 않습니다.

정보 도구 -   정보 시스템에서의 작업이 수행되거나 보장되는 것을 돕는 정보 지원 장치.
위협은   특정 정보 보안 규칙을 위반할 가능성.
취약점 (영어 취약점) - 위협에 이르게하거나 위험을 초래할 수있는 객체 또는 정보 시스템의 오류.
공격 - 위협의 실제 구현 또는 하나 또는 다른 취약점을 사용하여 구현하려는 시도.
사고 -   객체 또는 정보 시스템에 파괴적인 영향을 미치는 비범 한 성격의 무단 사건.
사용자 - 정보 시스템의 주체 인 사람이 업무 기능을 수행하는 것, 즉 생산 목적으로 객체를 사용하는 것.
관리자 - 사람, 정보 시스템의 주제로서 사용자가 작업 할 수있는 조건을 만듭니다.
컨트롤러 -   사전 정의 된 규칙 (정보 보안 규칙)에 따라 사용자 및 관리자가 정보 시스템을 사용하는 것을 제어하는 \u200b\u200b정보 시스템의 주체 (반드시 사람 일 필요는 없음)
유령 -   시스템의 비즈니스 목표에 위배되는 이기적이거나 파괴적인 목표를 추구하는 사람, 정보 시스템의 주제.
ID (이름, 로그인) -   정보 시스템의 주어진 객체 또는 피사체의 고유 이름을 나타내는 문자 집합 (다른 시스템에서는 이름을 반복 할 수 있음). 시스템에 로그인 할 때 사용자의 고유 한 권한을 결정하고 작업을 기록하는 등 사용자를 고유하게 식별 할 수 있습니다.
비밀번호 (영문 비밀번호) -   피사체와 관련되어 있고 그에게만 알려진 문자의 비밀 시퀀스로서, 그를 인증 할 수있게한다. 즉, 피사체의 진짜 본질이 입구에서 그에게 제시된 식별자와 일치 함을 확인하게한다.

프로필 (영어 profde) -   제공된 주체 또는 객체에 특정한 설치 및 구성 세트와 정보 시스템에서의 운영을 결정합니다.
암호화 (전자 암호화) -   특정한 추가 지식 (열쇠)을 소유하지 않고 의미있는 데이터를 추출하는 것이 불가능하거나 상당히 어려운 형태로 정보를 가져 오는 과정.
해독 (해독) -   프로세스는 암호화 프로세스, 즉, 원래의 형태로 대응하는 키 정보의 도움을 받아 복원되어, 의미 론적 데이터를 추출 할 수있게한다.
암호 해독 -   필요한 키를 가지지 않고 정보를 해독하는 (또는 프로세스 자체) 방법 및 도구 집합입니다.
전자 문서 - 종이에 문서를 포함하여 사람이 읽을 수있는 형식으로 제시된 표준 변환에 의한 전자 표현으로 설정된 데이터; 불가분의 정보 교환 단위로, 즉 전체적으로 전송 (수신)되거나 전송되지 않음 (수신되지 않음) 일 수 있습니다. 문서 세부 정보라는 요소로 구성됩니다.
개인 키 (개인 키, 비밀 키) - 비밀 바이트 시퀀스는 전자 문서에 대한 전자 디지털 서명의 주체를 형성하기위한 것입니다.
공개 키 (공개 키) -   개인 키와 관련된 바이트 시퀀스는 전자 문서의 전자 서명을 검증하기위한 것입니다. 공개 키는 신뢰 당사자의 처분에 있어야합니다.

이 장에서는 의도적으로 개인 키와 공개 키에 대한 불완전한 정의를 제시합니다. 이러한 정의는 전자 디지털 서명에 가장 자주 사용되기 때문에 가장 많이 적용됩니다. 이 조건들은 비밀 키의 보안을 위해 책임이 주어지고 공개 키의 적시 제출을 위해 필요한 경우에 입력되어야합니다. 암호화 및 디지털 서명 알고리즘뿐만 아니라 모든 유형의 키 사용에 대한 세부 사항은 Kdan 서적의 일부분을 다룹니다.

전자 디지털 서명 (EDS) (영어 디지털 서명) -   특정 전자 문서와 고유하게 관련되고이 전자 문서의 진위성 (authorship) 및 무결성을 검증하는데 사용되는,인가 된 주체에 의해서만 유지되는 개인 키에 기초하여 형성된 소정 포맷의 데이터 블록.
올바른 전자 디지털 서명 - 전자 문서의 전자 서명으로, 해당 공개 키에 의해 검증 될 때 긍정적 인 결과를 제공합니다.
보안 모델 -   이 특정 정보 시스템에서 정보 보안을 보장하기 위해 고안된 일련의 원칙, 구성표 및 메커니즘 (때로는 특정 도구 및 도구의 표시가 있음).
오류 - 정보 보안에 위협이 될 수도있는 주제 (사용자 또는 프로세스)가 저지른 계획되지 않은 사전 계획된 동작 (행동 또는 비 활동 형태로).
악성 프로그램 - 실행 가능한 프로그램 모듈, 스크립트, 매크로 또는 정보 보안을 위반하기 위해 만들어진 다른 프로그램 코드. 악의적 인 프로그램의 목적은 최소 - 정보 자원의 일부를 무단으로 사용하는 것, 최대로 - 허가되지 않은 사용을 목적으로하는 객체 또는 정보 시스템에 대한 완전한 제어권을 획득하는 것입니다. 악성 프로그램에는 바이러스 및 트로이 목마가 포함됩니다.
바이러스 - 악성 프로그램의 주요 특징은 자동 재생산 (가능하면 자체 수정 가능) 및 작성자의 통제없이 새로운 정보 시스템에 배포 될 가능성입니다. 일반적으로 바이러스의 주요 목적은 파괴적인 행동을 수행하는 것이지만, 엔터테인먼트를 위해 만들어진 바이러스가 있습니다. 대부분의 경우, 바이러스 생성자는 운영상 중요한 이점을 얻지 못하지만 때로는 예를 들어 산업 경쟁의 일부로 바이러스 생성을 고객이 대신 지불 할 수 있습니다.
트로이 목마 프로그램, 트로이 목마, 트로이 목마 (영어 트로이 어) -   시스템의 정보 보안을 고의적으로 위반하는 목적으로 생성 된 악의적 인 프로그램 (종종 키로거를 포함하고 공격자가 원격 제어 기능을 사용하는 경우라도 승인되지 않고 문서화되지 않은 작업을 수행함). 동시에 트로이 목마는 사용자에게 유용한 많은 문서 작업을 수행하여 승인되지 않은 활동을 가리는 경우가 있습니다.

네트워크 기술의 발전으로 트로이 목마가 출현하여 시스템 바이러스를 컴퓨터 바이러스의 원리로 침투했습니다. 이러한 하이브리드는 침입자를 위해 악성 프로그램의 첫 번째 및 두 번째 클래스의 속성을 사용합니다. 기업 네트워크의 어딘가에서 정상적인 바이러스와 같이 "자유로웠다"고하는 것이 가장 어려웠던 것은 궁극적으로 외부의 직접적인 공격으로부터 보호받을 수있는 주요 목표에 도달 할 수 있습니다. 그 후 트로이 목마는 보안 위반 작업을 수행하고 작성자에게 해당 작업이 완료되었음을 알립니다. 트로이 프로그램의 기본 변형은 실수로 프로그램을 시작한 사용자, 다른 네트워크 사용자에 대한 위협 또는 저주와 같은 사소한 더러운 트릭을 수행 할 수 있습니다.

북마크 (하드웨어, 소프트웨어) - 시스템 또는 객체의 숨겨진 기능 중 하나로 구현 된 악성 기능 (프로그램). 외부에서 시스템에 들어오는 트로이 목마와는 달리 대다수 시스템 개발자가 생성합니다. 사용 된 추가 용어는 "후방 문", 해치 (영어 트랩 도어는 시스템 / 객체를 만들 때 어떤 이유로 든 제거되지 않은 문서화되지 않은 기능이며 논리 폭탄 - 특정 조건이 충족 될 때 기능이 트리거 됨)입니다.
트러스트 시스템 상태 -   정보 보안 측면에서 시스템의 동작이 사양에 정확히 부합하고 악성 프로그램이 시스템에서 작동하지 않는 상태, 읽기 및 / 또는 수정을 위해 데이터에 대한 무단 액세스가 발생할 가능성이 없습니다.
PIN -    개인 식별 번호, 대상 또는 대상에 할당 된 디지털 식별자. 때때로 그것은 플라스틱 카드 시스템과 같이 암호의 아날로그로 사용됩니다.
토큰 (영어 토큰) -   일반적으로 데이터 캐리어, 그 소유자의 보안 설정. 일반적으로 사람이 기억할 수없는 긴 암호, 암호 키 및 기타 보안 정보를 저장하도록 설계된 일부 외부 비 휘발성 미디어입니다. 암호 또는 PIN을 사용하여 토큰 데이터에 대한 액세스를 추가로 보호 할 수 있습니다.
시스템 쓰레기 (영어 시스템 쓰레기) - 시스템 또는 객체가 작업에 사용하는 데이터 세트로, 외부의 분석을 위해 사용되지는 않지만 제 3자가 사용할 수있는 어떤 이유로 든. 공격자는 시스템의 기능, 기밀 데이터에 대한 간접 정보 또는 암호와 암호 키에 관한 데이터를 저장할 수 있기 때문에 공격 대상이됩니다.
이 용어들과 관련하여, 메모리 덤프 (eng. 메모리 덤프)의 개념 - "스냅 샷"   시스템이 실패 할 때 실패의 원인을 판별하는 데 사용되는 장치 RAM의 상태. 일반적으로 디스크에 파일로 생성되어 저장됩니다. 공격자와 접촉하는 경우 시스템 보안에 심각한 피해를 줄 수 있습니다.
타사 소프트웨어 -   이 정보 공간에서의 사용이 허가되지 않고 허가 된 서비스에 의해 등록되지 않은 소프트웨어.

정보 보안과 직접적으로 관련이없는 여러 용어는이 장의 정보가 너무 복잡하지 않도록 용어집으로 전송됩니다. "enterprise"라는 단어와 동의어 인 "organization", "corporation"이라는 단어의 텍스트 모양을 알아야합니다. 이 책의 제목의 의미에서. 또한 "비즈니스 프로세스", "비즈니스 로직"이라는 용어가 나타납니다. 이 경우 "사업"이란 단어는 "주어진 기업의 생산 목표에 의해 미리 결정된 것"을 의미합니다.

정보 보안 서비스 조직의 업무와 원칙

이 장에서는 서비스 관리자 나 조직의 구조 개발 전략 및 전술에 전문적으로 종사하는 사람들을위한 보안 서비스의 형성을 위해 필요한 관료적 프로세스에 대해 논의합니다. 따라서 기술 측면에 더 관심이있는 독자는 4 장, 보안 서비스 작성으로 쉽게 이동할 수 있습니다.

이 장을 계속 읽고 자하는 사람들은 여기에 설명 된 문제와 문제를 해결하는 것이 정보 보안 서비스의 특성으로 인해 발생할 수있는 생산 충돌과 불일치를 방지하는 데 유용 할 수 있다고 생각합니다.

정보 보안 서비스 작업

정보 보안 서비스 ( "보안 서비스는 보안을 제공해야합니다. 그 외에는 무엇을 제공해야합니까?")의 작업이 겉으로보기에 직접적으로 분명함에도 불구하고, 언뜻보기에는 나타나지 않는 많은 질문이 발생합니다. 우리는 이러한 질문이나 문제를 다음 그룹으로 나눕니다.

• 정보 보안 서비스의 배치;
• 다른 서비스와의 상호 작용
• 종속 계층 구조.

즉, 기업의 직원 구조에서 정보 보안 서비스가 어디에 위치해야하는지, 다른 부서 (특히 정보 기술 부서)와 상호 작용하는 방법 및 보안 책임자와 기업의 책임자간에 몇 명의 책임자가 있어야 하는지를 결정해야합니다.

보안 서비스의 배치, 상호 작용 및 종속에 대한 많은 권장 사항이 있습니다. 보안 서비스는 주로 전자 분야에 중점을 둔 고급 서구 및 첫 번째 부서에서 온 구소련의 소비에트 인 두 가지입니다. 우리의 의견으로는 이러한 절차는 특정 기업의 여러 요소에 의존하고 있으며 직원 간 기존의 비공식적 인 관계 일 수도 있습니다. 기업의 우선 순위가 정보 보안 서비스의 효율성이라면 그러한 측면은 무시할 수 없습니다. 이 모든 것에 대한 엄격한 프레임 워크를 그리지 않으려면 문제를 고려하고 발생하는 질문에 대답하기 만하면됩니다. 접수 된 응답을 통해 정보 보안 서비스가 기업의 조직 트리에 어떻게 위치해야하는지 명확하게 알 수 있습니다.

보안 서비스는 무엇을해야합니까?

• 기존 보안 도구 (방화벽, 안티 바이러스 패키지, 공격 탐지 시스템 등)를 관리합니까?
• 정보를 보호하기위한 모델과 체계를 개발하고, 새로운 보안 도구를 습득하기위한 결정을 내리십시오.
• 엔터프라이즈 정보 공간 사용자의 작업 모니터링
• 어떤 그룹 - 최종 사용자 또는 시스템 관리자?
• 내부 사용자에 대한 서비스의 주된 초점은 (통계에 따르면 대부분 의도적 또는 비 의도적으로 정보 보안 침해의 대부분이 기업 내부에서 발생 함) 또는 외부 정보 공간으로부터의 액세스로부터의 보호입니까?

의심의 여지없이 나열된 각 항목에서 정보 보안 문제를 고려해야합니다. 그러나 신청서는 다를 수 있으며 일반적으로 자격있는 직원 부족과 같은 서구 권장 사항에 의해 제공되지 않는 다양한 이유에 따라 달라질 수 있습니다.

정보 보안 서비스는 상황을 분석하고 모델을 개발하며 정보 기술부의 통상적 인 업무의 일부로 관리가 수행되는 동안 보호를 획득해야하는지 여부를 결정합니다. 반대의 선택 - 보호 장비 구입은 기업의 정보 기술 개발 전략의 기본 틀 내에서 수행되며, 보호 장비 설치 및 지원에 대한 구체적인 작업은 정보 보안 서비스에 의해 수행됩니다.

정보 기술 서비스와의 상호 작용, 특히 네트워크 및 시스템 관리자와의 상호 작용은 어떻습니까?

• 정보 보안 전문가는 시스템 관리자의 권한과 동일한 정보 시스템을 완전히 제어합니다.
• 보안 전문가는 예를 들어 사용자 권한 설정과 같은 시스템 관리에 참여합니다.
• 정보 시스템의 보안 전문가는 모든 객체에 액세스 할 수 있지만 객체에 대한 정보를 읽을 권한 만 있습니다.
• 정보 보안 전문가는 시스템에 액세스 할 수 없으며 로그, 구성 보고서 등을 사용하여 관리자의 작업을 모니터링합니다.

보안 서비스와 로컬 네트워크 관리자 사이의 관계에 대한 문제는 매우 긴장 될 수 있습니다. 특히 서비스가 생성되고 관리자가 몇 년 동안 그 기능을 수행하고있는 경우 특히 그렇습니다.

• 관리자가 실제로 오랫동안 정직하게 일하고 보안 전문가 만 조직에 와서 시스템에 대한 상당한 권리가 필요하고 관리자 권한이 제한되는 경우 어떻게해야합니까? 이 경우 관리자가 조직을 탈퇴하기로 결정했다면 어떻게해야합니까?
• 그러나 특정 정보 시스템의 보안 전문가의 자격이 관리자의 자격보다 훨씬 낮 으면 특정 권한으로 시스템 작동에 방해가 될 수 있습니까?
• 관리자를 제어하기 위해 전체 시스템을 완전히 제어해야하는 방식으로 시스템을 설계하면 어떻게 될까요?

답변보다 더 많은 질문이 있으며 이러한 모든 문제에 비추어 결정을 내려야합니다.

보안 전문가가 관련 경험을 쌓고 점차 관리자가 부분적으로 익숙해지지 않고 통제를 완료 할 때까지 오랜 기간 동안 고통이나 양도 또는 분단의 과정을 연장해야 할 수도 있습니다.

정보 보안에 관한 의사 결정 단계는 얼마나 많이 존재해야합니까?

정보 보안 서비스 책임자가 기업 담당자에게 직접 종속되어 직접 결정 초안을 제출하면 최고 관리자가 정보 기술에 대해 유능하지 않을 가능성이 높으므로 모든 직책에 대해 보안이라는 단어에 응답하므로 자신의 직위를 남용 할 수 있습니다. 의사 결정에 동의하는 프로세스가 여러 관리자들에게 너무 많이 분산되어 있고 시간이 지남에 따라 긴장 될 경우 중요한 결정을 내리는 데 지연이 발생할 위험이 있습니다 (단, 다른 서비스에 대한 AK). 또한, 합의점 대표가 보안 문제에 대해 유능하지 않으면 문제를 명확히하고 의견에 동의하는 데 많은 시간을 소모하게됩니다.

• 정보 보안에 대한 의사 결정 프로세스가 정보 기술 발전을위한 전반적인 전략과 일치합니까?
• 다른 정보 시스템의 운영을 방해하는 기업의 정보 공간에 보안 시설이 설치되어 있습니까?

이 경우 정보 보안 서비스가 감독에게 직접적으로 종속되지 말고 제안 된 솔루션의 품질을 평가할 수있는 전문가에 의해 한편으로는 취해진 결정을 승인 할 수있는 관리자가 참석하는 특정 보안위원회에 정보 보안 서비스가 종속되도록 조언하는 구체적인 권장 사항이 있습니다 필수 실행.