domov » Pritožba » Koncept in struktura pravnih odnosov z javnostmi. Elementi in struktura pravnih odnosov

Koncept in struktura pravnih odnosov z javnostmi. Elementi in struktura pravnih odnosov

Znanstveni in tehnološki napredek je informacije spremenil v izdelek, ki ga je mogoče kupiti, prodati in izmenjati. Pogosto so stroški podatkov nekajkrat višji od cene celotnega tehničnega sistema, ki hrani in obdeluje informacije.

Kakovost poslovnih informacij podjetju zagotavlja potrebni gospodarski učinek, zato je pomembno, da se kritični podatki zaščitijo pred nezakonitimi dejanji. To bo podjetju omogočilo uspešno konkurenco na trgu.

Opredelitev informacijske varnosti

Informacijska varnost (IS) - to je stanje informacijskega sistema, v katerem je najmanj dovzeten za posege in škodo tretjih oseb. Varnost podatkov vključuje tudi obvladovanje tveganj, povezanih z razkritjem informacij ali vplivom na strojne in programske zaščitne module.

Varnost informacij, ki se obdelujejo v organizaciji, je skupek ukrepov, katerih namen je reševanje problema varovanja informacijskega okolja znotraj podjetja. Hkrati informacije ne smejo biti omejene pri uporabi in dinamičnem razvoju za pooblaščene osebe.

Zahteve za zaščitni sistem IS

Zaščita virov informacij bi morala biti:

1. Konstantno. Napadalec lahko kadarkoli poskuša zaobiti module za zaščito podatkov, ki ga zanimajo.

2. Cilj. Informacije bi morale biti zaščitene za določen namen, ki ga določi organizacija ali lastnik podatkov.

3. Načrtovano. Vsi načini varovanja morajo biti v skladu z državnimi standardi, zakoni in predpisi, ki urejajo varstvo zaupnih podatkov.

4. Aktivno. Dejavnosti za podporo delovanju in izboljšanju sistema zaščite je treba redno izvajati.

5. Integrirano. Uporaba samo posameznih zaščitnih modulov ali tehničnih sredstev ni dovoljena. Treba je uporabiti vse vrste zaščite v največji možni meri, sicer bo razvit sistem brez pomena in ekonomske podlage.

6. Univerzalno. Zaščitno opremo je treba izbrati v skladu z obstoječimi kanali puščanja podjetja.

7. Zanesljivo. Vsi načini zaščite morajo zanesljivo blokirati možne poti napadalca do zaščitenih informacij, ne glede na obliko predstavitve podatkov.

Sistem DLP mora izpolnjevati tudi te zahteve. In najbolje je oceniti njegove sposobnosti v praksi, ne v teoriji. SearchInform KIB lahko brezplačno preizkusite 30 dni.

Model varnostnega sistema

Podatki se štejejo za zaščitene, če opazimo tri glavne lastnosti.

Prva je celovitost - vključuje zagotavljanje zanesljivosti in pravilnega prikaza zaščitenih podatkov, ne glede na to, kateri varnostni sistemi in tehnike varovanja se uporabljajo v podjetju. Obdelave podatkov ne bi smeli kršiti in uporabniki sistema, ki delajo z zaščitenimi datotekami, se ne bi smeli soočiti z nepooblaščenim spreminjanjem ali uničenjem virov, odpovedjo programske opreme.

Drugo - zaupnost - pomeni, da je dostop do pregledovanja in urejanja podatkov zagotovljen izključno pooblaščenim uporabnikom varnostnega sistema.

Tretjič - razpoložljivost - pomeni, da morajo imeti vsi pooblaščeni uporabniki dostop do njih zaupna informacija.

Dovolj je, da kršite katero od lastnosti zaščitenih informacij, da uporaba sistema ni smiselna.

Faze ustvarjanja in vzdrževanja sistema informacijske varnosti

V praksi se vzpostavlja sistem zaščite informacij v treh fazah.

Na prvi stopnji razvija se osnovni model sistema, ki bo deloval v podjetju. Če želite to narediti, je treba analizirati vse vrste podatkov, ki krožijo v podjetju in jih je treba zaščititi pred posegi tretjih oseb. Začetni delovni načrt je štiri vprašanja:

Katere vire informacij je treba varovati?
Kakšen je namen dostopa do zaščitenih informacij?

Namen je lahko seznanjanje, spreminjanje, spreminjanje ali uničenje podatkov. Vsako dejanje je nezakonito, če ga izvaja napadalec. Poznavanje ne vodi v uničenje strukture podatkov, spreminjanje in uničenje pa vodi do delne ali popolne izgube informacij.

Kakšen je vir zaupnih informacij?

Viri v tem primeru so ljudje in informacijski viri: dokumenti, bliskovni mediji, publikacije, izdelki, računalniški sistemi, sredstva za zagotavljanje delovne dejavnosti.

Načini za dostop in kako se zaščititi pred nepooblaščenimi poskusi vplivanja na sistem?

Obstajajo naslednji načini za dostop:

Nepooblaščen dostop - nezakonita uporaba podatki;
Puščanje - nenadzorovano širjenje informacij zunaj korporacijskega omrežja. Puščanje nastane zaradi pomanjkljivosti, slabosti tehničnega kanala varnostnega sistema;
Razkritje - posledica vpliva človeškega dejavnika. Pooblaščeni uporabniki lahko razkrijejo podatke, ki jih lahko posredujejo konkurentom, ali iz malomarnosti.

Druga faza vključuje razvoj varnostnega sistema. To pomeni izvajanje vseh izbranih metod, sredstev in usmeritev varstva podatkov.

Sistem je zgrajen na več področjih zaščite hkrati, na več ravneh, ki medsebojno delujejo, da se zagotovi zanesljiv nadzor informacij.

Pravna raven zagotavlja skladnost z državnimi standardi varstva podatkov in vključuje avtorske pravice, odloke, patente in opise delovnih mest. Dobro zgrajen varnostni sistem ne krši pravic uporabnikov in standardov za obdelavo podatkov.

Organizacijska raven omogoča ustvarjanje predpisov za delo uporabnikov z zaupnimi informacijami, izbiranje osebja, organiziranje dela z dokumentacijo in fizičnimi nosilci podatkov.

Pravila za delo uporabnikov z zaupnimi informacijami se imenujejo pravila nadzora dostopa. Pravila določi vodstvo podjetja v povezavi z varnostno službo in dobaviteljem, ki izvaja varnostni sistem. Cilj je ustvariti pogoje za dostop do informacijskih virov za vsakega uporabnika, na primer pravico do branja, urejanja, prenosa zaupnega dokumenta. Pravila nadzora dostopa se razvijejo na organizacijski ravni in se izvajajo v fazi dela s tehnično komponento sistema.

Tehnična raven konvencionalno razdeljen na fizične, strojne, programske in matematične podnaravnine.

fizični - oblikovanje ovir okoli zaščitenega objekta: varnostni sistemi, onesnaževanje s hrupom, krepitev arhitekturnih struktur;
strojna oprema - namestitev tehničnih sredstev: posebni računalniki, nadzorni sistemi zaposlenih, zaščita strežnikov in korporativnih omrežij;
program - namestitev programske lupine zaščitnega sistema, izvajanje pravil za nadzor dostopa in testiranje dela;
matematični - izvajanje kriptografskih in dobesednih metod varstva podatkov za varen prenos preko korporativnega ali globalnega omrežja.

Tretja, zadnja faza - to je podpora uspešnosti sistema, redno spremljanje in obvladovanje tveganj. Pomembno je, da je zaščitni modul prilagodljiv in skrbniku varnosti omogoči hitro izboljšanje sistema, ko odkrije nove potencialne grožnje.

Vrste zaupnih podatkov

Zaupni podatki - to so informacije, dostop do katerih je omejen v skladu z državnimi zakoni in normami, ki jih podjetje postavlja neodvisno.

Osebno zaupni podatki: osebni podatki državljanov, pravica do zasebnosti, dopisovanje, prikrivanje identitete. Edina izjema so informacije, ki se širijo v medijih.
Storitev zaupni podatki: informacije, dostop do katerih lahko omeji le država (javni organi).
Sodni zaupni podatki: tajnost preiskave in sodnih postopkov.
Komercialno zaupni podatki: vse vrste informacij, ki so povezane s trgovino (dobiček) in dostop do njih je omejen z zakonom ali podjetjem (tajni razvoj, proizvodne tehnologije itd.).
Poklicno zaupni podatki: podatki, povezani z dejavnostmi državljanov, na primer zdravniške, notarske ali odvetniške skrivnosti, katerih razkritje je kaznivo po zakonu.

Grožnje zaupnosti informacijskih virov

Grožnja - to so možni ali dejanski poskusi izkoriščanja zaščitenih informacijskih virov.

Viri grožnje varnost zaupnih podatkov so konkurenčna podjetja, vsiljivci, nadzorni organi. Cilj vsake grožnje je vplivati \u200b\u200bna celovitost, popolnost in razpoložljivost podatkov.

Grožnje so lahko notranje ali zunanje. Zunanje grožnje so poskusi dostopa do podatkov od zunaj in jih spremljajo kramp strežnikov, omrežij, računi zaposlenih in branje informacij s tehničnih kanalov puščanja (zvočno branje s pomočjo hroščev, kamer, kazanje na strojno opremo, pridobivanje vibroakustičnih informacij iz oken in arhitekturnih struktur)

Notranje grožnje pomenijo nezakonita dejanja osebja, delovnega oddelka ali vodstva podjetja. Zato lahko uporabnik sistema, ki deluje z zaupnimi informacijami, podatke odda zunanjim. V praksi je ta grožnja pogostejša od drugih. Zaposleni lahko letno "puščajo" tajne podatke konkurentom. To je enostavno izvesti, saj skrbnik za dejanja varnostnega skrbnika ne označi za grožnjo.

Ker so notranje grožnje varnosti informacij povezane s človeškim dejavnikom, jih je težje slediti in upravljati. Incidente lahko preprečite tako, da zaposlene razdelite na rizične skupine. Samodejni modul za sestavljanje psiholoških profilov se bo spopadel s to nalogo.

Poskus nedovoljenega dostopa se lahko zgodi na več načinov:

prek zaposlenihki lahko prenašajo zaupne podatke na zunanje osebe, odvzamejo fizični medij ali dobijo dostop do zaščitenih informacij prek natisnjenih dokumentov;
s programsko opremo Napadalci izvajajo napade, katerih cilj je ukrasti pare za prijavo in geslo, prestrezanje kriptografskih ključev za dešifriranje podatkov in nepooblaščeno kopiranje informacij.
z uporabo strojnih komponent avtomatiziran sistem, na primer uvedba poslušalnih naprav ali uporaba strojne tehnologije za branje informacij na daljavo (zunaj nadzorovanega območja).

Varnost informacij o strojni in programski opremi

Vsi sodobni operacijski sistemi so na programski ravni opremljeni z vgrajenimi moduli za zaščito podatkov. MAC OS, Windows, Linux, iOS odlično opravijo šifriranje podatkov na disku in pri prenosu na druge naprave. Za učinkovito delo z zaupnimi informacijami pa je pomembno, da uporabite dodatne varnostne module.

Uporabniški operacijski sistemi ne zaščitijo podatkov v času prenosa po omrežju, zaščitni sistemi pa omogočajo nadzor nad pretoki informacij, ki krožijo po korporativnem omrežju in shranjevanju podatkov na severu.

Modul za zaščito strojne in programske opreme je običajno razdeljen na skupine, od katerih vsaka opravlja funkcijo varovanja občutljivih informacij:

Raven identitete je celovit sistem prepoznavanja uporabnikov, ki lahko uporablja standardno ali večstopenjsko preverjanje pristnosti, biometrične podatke (prepoznavanje obrazov, skeniranje prstnih odtisov, glasovno snemanje in druge tehnike).
Raven šifriranja zagotavlja izmenjavo ključev med pošiljateljem in prejemnikom ter šifrira / dešifrira vse sistemske podatke.

Pravno varstvo informacij

Država zagotavlja pravno podlago za informacijsko varnost. Varstvo informacij je urejeno mednarodne konvencije, Ustava, zvezni zakoni in predpisi.

Država bo določila tudi ukrep odgovornosti za kršitve določb zakonodaje na področju informacijske varnosti. Na primer, poglavje 28 "Kazniva dejanja na področju računalniških informacij" v Kazenskem zakoniku Ruske federacije vključuje tri člene:

Člen 272 „Nezakonit dostop do računalniških informacij“;
Člen 273 "Ustvarjanje, uporaba in distribucija zlonamernih računalniških programov";
Člen 274 "Kršitev pravil za delovanje shranjevanja, obdelave ali prenosa računalniških informacij in informacijskega in telekomunikacijskega omrežja."

Politika informacijske varnosti.

1. Splošne določbe

Ta politika informacijske varnosti ( nadalje - Politika ) definira sistem pogledov na problem zagotavljanja varnosti informacij in je sistematična izjava o ciljih in ciljih ter organizacijskih, tehnoloških in postopkovnih vidikov zagotavljanja varnosti informacij o objektih informacijske infrastrukture, vključno z naborom informacijskih centrov, bank podatkov in komunikacijskih sistemov organizacije. Ta politika je bila razvita ob upoštevanju zahtev veljavna zakonodaja RF in neposredne možnosti za razvoj objektov informacijske infrastrukture, pa tudi značilnosti in zmogljivosti sodobnih organizacijskih in tehničnih metod ter strojne in programske opreme za zaščito informacij.

Glavne določbe in zahteve Politike veljajo za vse strukturne oddelke organizacije.

Politika je metodološka podlaga za oblikovanje in izvajanje enotne politike na področju zagotavljanja varnosti informacij o objektih informacijske infrastrukture, sprejemanja usklajenih odločitev upravljanja in oblikovanja praktičnih ukrepov za zagotavljanje informacijske varnosti, usklajevanje dejavnosti strukturnih oddelkov organizacije pri izvajanju dela na ustvarjanju, razvoju in delovanju informacijskih objektov. infrastrukturo v skladu z zahtevami glede informacijske varnosti.

Politika ne ureja vprašanj organizacije varnosti prostorov in zagotavljanja varnosti in fizične celovitosti komponent informacijske infrastrukture, zaščite pred naravne nesrečein napake v sistemu oskrbe z električno energijo pomenijo gradnjo informacijskega varnostnega sistema na enakih konceptualnih temeljih kot varnostni sistem organizacije kot celote.

Izvajanje politike zagotavljajo ustrezne smernice, predpisi, postopki, navodila, smernice in sistem za oceno informacijske varnosti v organizaciji.

Pravilnik uporablja naslednje izraze in opredelitve:

Samodejni sistem ( AS) — sistem, sestavljen iz osebja in kompleksa sredstev za avtomatizacijo njihovih dejavnosti, ki izvaja informacijsko tehnologijo za izvajanje uveljavljenih funkcij.

Informacijska infrastruktura - sistem organizacijskih struktur, ki zagotavljajo delovanje in razvoj informacijskega prostora in sredstev za informacijsko interakcijo. Informacijska infrastruktura vključuje sklop informacijskih središč, bank podatkov in bank znanja, komunikacijskih sistemov in omogoča potrošnikom dostop do informacijskih virov.

Informacijski viri ( IR) Ali so ločeni dokumenti in ločeni nizi dokumentov, dokumenti in nizi dokumentov v informacijskih sistemih ( knjižnice, arhivi, skladi, baze podatkov in drugi informacijski sistemi).

Informacijski sistem (IP) - sistem za obdelavo informacij in s tem povezani organizacijski viri ( človeške, tehnične, finančne itd.), ki zagotavljajo in razširjajo informacije.

Varnost -stanje zaščite interesov ( cilji) organizacije ob grožnjah.

Varnost informacij ( IB) — varnost, povezana z grožnjami v informacijska sfera... Varnost je dosežena z zagotavljanjem nabora lastnosti IS - razpoložljivost, celovitost, zaupnost informacijskih sredstev. Prednost nepremičnin IS je določena z vrednostjo teh sredstev za obresti ( cilji) organizacija.

Razpoložljivost informacijskih sredstev - lastnost IS-ja organizacije, ki je sestavljena iz tega, da se informacijska sredstva posredujejo pooblaščenemu uporabniku, v obliki in kraju, ki jih zahteva uporabnik, in v času, ko jih potrebuje.

Celovitost informacijskih sredstev - lastnost IS organizacije, da ohranja nespremenjene ali popravi odkrite spremembe svojih informacijskih sredstev.

Zaupnost informacijskih sredstev - lastnost informacijske varnosti organizacije, ki je sestavljena iz dejstva, da se obdelava, shranjevanje in prenos informacijskih sredstev izvaja tako, da so informacijska sredstva na voljo samo pooblaščenim uporabnikom, sistemskim objektom ali postopkom.

Informacijski varnostni sistem ( NIB) — sklop zaščitnih ukrepov, zaščitne opreme in postopkov njihovega delovanja, vključno z viri in administrativnimi ( organizacijski) varnost.

Nepooblaščen dostop - kršitev dostopa do informacij uradna pooblastila zaposlenega, dostop do informacij, ki so zaprte za javni dostop s strani oseb, ki nimajo dovoljenja za dostop do teh informacij ali do dostopa do informacij osebe, ki ima pravico dostopa do teh informacij, v višini, ki presega znesek, potreben za opravljanje uradnih dolžnosti.

2. Splošne zahteve za varnost informacij

Zahteve glede informacijske varnosti ( nadalje -IB ) določiti vsebino in cilje dejavnosti organizacije v procesih upravljanja IS.

Te zahteve so oblikovane za naslednja področja:

dodelitev in porazdelitev vlog in zaupanje v osebje;
faze življenjskega cikla objektov informacijske infrastrukture;
zaščita pred nepooblaščenim dostopom ( nadalje - NSD ), nadzor dostopa in registracija v avtomatiziranih sistemih, v telekomunikacijski opremi in samodejnih telefonskih centrih itd .;
protivirusna zaščita;
uporaba internetnih virov;
uporaba sredstev za zaščito kriptografskih informacij;
varstvo osebnih podatkov.

3. Predmeti, ki jih je treba zaščititi

Glavni predmeti, ki jih je treba zaščititi, so:

informacijski viripredstavljeni v obliki dokumentov in nizov informacij, ne glede na obliko in vrsto njihove predstavitve, vključno z zaupnimi in odprtimi informacijami;
sistem za oblikovanje, distribucijo in uporabo informacijskih virov, knjižnice, arhivi, baze podatkov in banke podatkov, informacijske tehnologije, predpisi in postopki za zbiranje, obdelavo, shranjevanje in prenos informacij, tehničnega in storitvenega osebja;
informacijska infrastruktura, vključno s sistemi za obdelavo in analizo informacij, tehničnimi in programskimi orodji za njihovo obdelavo, prenos in prikaz, vključno z izmenjavo informacij in telekomunikacijskimi kanali, sistemi in sistemi za zaščito informacij, predmeti in prostori, v katerih se nahajajo komponente informacijske infrastrukture.

3.1. Značilnosti samodejnega sistema

Informacije o različnih kategorijah krožijo v AU. Zaščitene informacije lahko delijo različni uporabniki iz različnih podomrežih enega korporativnega omrežja.

Številni podsistemi AS zagotavljajo interakcijo z zunanjimi ( državne in komercialne, ruske in tuje) organizacije na stikalih in namenskih komunikacijskih kanalih, ki uporabljajo posebna sredstva za prenos informacij.

Kompleks tehničnih sredstev AU vključuje sredstva za obdelavo podatkov ( delovne postaje, strežniki baz podatkov, poštni strežniki itd.), sredstva za izmenjavo podatkov v lokalnih omrežjih z možnostjo dostopa do globalnih omrežij ( kabliranje, mostovi, prehodi, modemi itd.), pa tudi skladišča ( vklj. arhiviranje) podatki.

Glavne značilnosti delovanja AU vključujejo:

potreba po združevanju velikega števila različnih tehničnih sredstev za obdelavo in prenos informacij v en sistem;
najrazličnejše naloge, ki jih je treba rešiti, in vrste obdelanih podatkov;
združevanje informacij za različne namene, pripadnosti in ravni zaupnosti v eni sami bazi podatkov;
razpoložljivost priključnih kanalov do zunanjih omrežij;
kontinuiteta delovanja;
prisotnost podsistemov z različnimi zahtevami glede ravni varnosti, fizično združenih v eno samo omrežje;
raznolikost kategorij uporabnikov in servisnega osebja.

IN splošni pogled, enoten AS je skupek krajevnih omrežij pododdelkov, medsebojno povezanih s pomočjo telekomunikacij. Vsako lokalno omrežje združuje več medsebojno povezanih in medsebojno delujočih avtomatiziranih podsistemov ( tehnološka mesta), ki zagotavlja reševanje problemov s strani posameznih strukturnih oddelkov organizacije.

Predmeti informatizacije vključujejo:

tehnološka oprema ( objektov računalniška tehnologija, omrežna in kabelska oprema);
informacijski viri;
programska oprema ( operacijski sistemi, sistemi za upravljanje baz podatkov, splošna sistemska in aplikativna programska oprema);
avtomatski sistemi za komunikacijo in prenos podatkov (telekomunikacije);
kanali povezave;
pisarniški prostor.

3.2. Vrste informacijskih sredstev organizacije, ki jih je treba zaščititi

Informacije o različnih ravneh zaupnosti krožijo v podsistemi AS organizacije, ki vsebujejo informacije o omejeni distribuciji ( storitve, komercialni, osebni podatki) in odpiranje informacij.

V dokumentu AU so:

plačilni nalogi in finančni dokumenti;
poročila ( finančni, analitični itd.);
informacije o osebnih računih;
osebni podatki;
druge informacije omejene distribucije.

Vse informacije, ki krožijo v AU in so vsebovane v naslednjih vrstah informacijskih sredstev, so zaščitene:

informacije, ki predstavljajo poslovno in uradno skrivnost, dostop do katerih je organizacija kot lastnik informacij omejena v skladu z zveznim zakonom. " O informacijah, informatizaciji in zaščiti informacij "Pravice in zvezni zakon" O poslovnih skrivnostih »;
osebne podatke, dostop do katerih je v skladu z zveznim zakonom omejen " O osebnih podatkih »;
odprte informacije v smislu zagotavljanja celovitosti in razpoložljivosti informacij.

3.3. Kategorije uporabnikov avtomatiziranega sistema

Organizacija ima veliko število uporabnikov in storitvenega osebja, ki morajo imeti dostop do informacijskih virov AU:

navadni uporabniki ( končni uporabniki, zaposleni v organizacijskih enotah);
skrbniki strežnikov ( datotečni strežniki, aplikacijski strežniki, strežniki baz podatkov), lokalna omrežja in aplikacijski sistemi;
sistemski programerji ( odgovoren za vzdrževanje splošne programske opreme) na strežnikih in delovnih postajah uporabnikov;
razvijalci aplikacijske programske opreme;
strokovnjaki za vzdrževanje tehničnih sredstev računalniške tehnologije;
skrbniki za informacijsko varnost itd.

3.4. Ranljivost glavnih komponent avtomatiziranega sistema

Najbolj ranljive komponente AU so omrežne delovne postaje - avtomatizirane delovne postaje ( nadalje - AWP ) delavci. Poskusi nepooblaščenega dostopa do informacij ali poskusi nepooblaščenih ukrepov ( nenamerno in namerno) v računalniškem omrežju. Kršitve konfiguracije strojne in programske opreme delovnih postaj in nezakonito vmešavanje v procese njihovega delovanja lahko privedejo do blokade informacij, nemožnosti pravočasnega reševanja pomembnih nalog in odpovedi posameznih delovnih postaj in podsistemov.

Omrežni elementi, kot so namenski datotečni strežniki, strežniki baz podatkov in strežniki aplikacij, potrebujejo posebno zaščito. Pomanjkljivosti protokolov izmenjave in načinov razlikovanja dostopa do virov strežnika lahko omogočijo nepooblaščen dostop do zaščitenih informacij in vplivajo na delovanje različnih podsistemov. V tem primeru lahko poskuse izvedemo kot oddaljene ( od omrežnih postaj) in neposredno ( s konzole strežnika) vpliv na delovanje strežnikov in njihovo zaščito.

Zaščita potrebujejo tudi mostovi, prehodi, vozlišča, usmerjevalniki, stikala in druge omrežne naprave, povezave in komunikacije. Vsiljivci jih lahko uporabijo za prestrukturiranje in motenje omrežja, prestrezanje posredovanih informacij, analizo prometa in izvajanje drugih načinov poseganja v procese izmenjave podatkov.

4. Osnovna načela informacijske varnosti

4.1. Splošna načela varnega delovanja

Pravočasnost odkrivanja težav Organizacija bi morala pravočasno odkriti težave, ki bi lahko vplivale na njene poslovne cilje.
Napoved razvoja težav. Organizacija mora ugotoviti vzročno-posledično razmerje možnih težav in na podlagi tega zgraditi natančno napoved njihovega razvoja.
Presoja vpliva problemov na poslovne cilje. Organizacija ustrezno oceni vpliv ugotovljenih težav.
Ustreznost zaščitnih ukrepov. Organizacija bi morala izbrati zaščitne ukrepe, ki ustrezajo modelom groženj in vsiljivcev, ob upoštevanju stroškov izvajanja takšnih ukrepov in višine morebitnih izgub zaradi izvajanja groženj.
Učinkovitost zaščitnih ukrepov. Organizacija učinkovito izvaja sprejete zaščitne ukrepe.
Uporaba izkušenj pri sprejemanju in izvajanju odločitev. Organizacija bi morala zbirati, posploševati in uporabljati tako lastne izkušnje kot izkušnje drugih organizacij na vseh ravneh odločanja in njihovega izvajanja.
Neprekinjenost načel varnega delovanja. Organizacija mora zagotoviti kontinuiteto izvajanja načel varnega delovanja.
Nadzor zaščitnih ukrepov. Organizacija mora uporabljati samo tiste zaščitne ukrepe, za katere je mogoče preveriti, da delujejo pravilno, organizacija pa mora redno ocenjevati ustreznost zaščitnih ukrepov in učinkovitost njihovega izvajanja, pri čemer mora upoštevati vpliv zaščitnih ukrepov na poslovne cilje organizacije.

4.2. Posebna načela informacijske varnosti

Izvajanje posebnih načel varnosti informacij je usmerjeno v povečanje stopnje zrelosti procesov upravljanja informacijske varnosti v organizaciji.
Opredelitev ciljev. Funkcionalne cilje in cilje IS je treba izrecno opredeliti v notranjem dokumentu. Negotovost vodi do " nejasnosti”Organizacijska struktura, kadrovske vloge, politike informacijske varnosti in nemogoče oceniti ustreznost sprejetih zaščitnih ukrepov.
Poznavanje vaših strank in zaposlenih. Organizacija mora imeti podatke o svojih kupcih, skrbno izbrati osebje ( delavci), razvijajo in vzdržujejo korporacijsko etiko, ki ustvarja ugodno okolje zaupanja za dejavnosti organizacije za upravljanje premoženja.
Osebnost in ustrezna delitev vlog in odgovornosti. Odgovornost uradnikov organizacije za odločitve v zvezi z njenim premoženjem bi morala biti poosebljena in izvedena predvsem v obliki poroštva. Moral bi biti primeren stopnji vpliva na cilje organizacije, biti določen v politikah, nadzorovati in izboljševati.
Ustreznost vlog funkcijam in postopkom ter njihova primerljivost s kriteriji in ocenjevalnim sistemom. Vloge morajo ustrezno odražati opravljene funkcije in postopke izvajanja organizacije. Pri dodeljevanju medsebojno povezanih vlog je treba upoštevati potrebno zaporedje njihovega izvajanja. Vloga mora biti skladna s kriteriji za oceno učinkovitosti njenega izvajanja. Glavna vsebina in kakovost odigrane vloge dejansko določata sistem ocenjevanja, ki se zanjo uporablja.
Razpoložljivost storitev in storitev. Organizacija mora svojim strankam in izvajalcem zagotoviti razpoložljivost storitev in storitev v določenih rokih, določenih z ustreznimi sporazumi ( sporazumi) in / ali druge dokumente.
Opazljivost in vrednotenje informacijske varnosti. Vsi predlagani zaščitni ukrepi morajo biti zasnovani tako, da je rezultat njihove uporabe očiten, opažamo ( pregleden) in jo lahko oceni z oddelkom organizacije z ustreznim organom.

5. Cilji in cilji informacijske varnosti

5.1. Predmeti odnosov z informacijami v avtomatiziranem sistemu

Predmeti pravnih odnosov pri uporabi AU in zagotavljanju varnosti informacij so:

Organizacija kot lastnik informacijskih virov;
pododdelki organizacije, ki izvaja obratovanje NEK;
zaposleni v strukturnih oddelkih organizacije kot uporabniki in dobavitelji informacij v AU v skladu s dodeljenimi funkcijami;
pravne in fizične osebe, katere podatki se zbirajo, hranijo in obdelujejo v AS;
druge pravne in fizične osebe, ki sodelujejo pri ustanovitvi in \u200b\u200bdelovanju AU ( razvijalci sistemskih komponent, organizacije, ki sodelujejo pri zagotavljanju različnih storitev na področju informacijske tehnologije itd.).

Naštete teme odnosov z informacijami so zainteresirane za zagotavljanje:

zaupnost določenega podatka;
zanesljivost ( popolnost, natančnost, ustreznost, celovitost) informacije;
zaščita pred navajanjem lažnih ( nezanesljiv, izkrivljen) informacije;
pravočasen dostop do potrebnih informacij;
razlikovanje odgovornosti za kršitve zakonskih pravic ( interesov) drugi subjekti v odnosih z informacijami in ustaljena pravila za ravnanje z informacijami;
možnost stalnega spremljanja in upravljanja procesov obdelave in prenosa informacij;
zaščita dela informacij pred nezakonitim podvajanjem ( zaščita avtorskih pravic, pravic lastnika informacij itd.).

5.2. Cilj informacijske varnosti

Glavni namen zagotavljanja informacijske varnosti je zaščititi subjekte informacijskih odnosov pred morebitno materialno, moralno ali drugo škodo, ki jo povzroči naključno ali namerno nepooblaščeno vmešavanje v proces delovanja AU ali nepooblaščen dostop do informacij, ki krožijo v njej, in njene nezakonite uporabe.

Ta cilj je dosežen z zagotavljanjem in nenehnim vzdrževanjem naslednjih lastnosti informacij in avtomatiziranega sistema za njegovo obdelavo:

razpoložljivost obdelanih informacij za registrirane uporabnike;
zaupnost določenega dela informacij, ki se hranijo, obdelujejo in prenašajo po komunikacijskih kanalih;
celovitost in verodostojnost informacij, ki se hranijo, obdelujejo in prenašajo po komunikacijskih kanalih.

5.3. Cilji informacijske varnosti

Da bi dosegli glavni cilj zagotavljanja informacijske varnosti, bi moral sistem za zaščito informacij NEK učinkovito rešiti naslednje naloge:

zaščita pred vmešavanjem v postopek delovanja AU s strani nepooblaščenih oseb;
razlikovanje dostopa registriranih uporabnikov do strojne, programske in informacijskih virov AU, torej zaščita pred nepooblaščenim dostopom;
registracija uporabniških dejanj pri uporabi zaščitenih virov AS v sistemskih dnevnikih in občasno preverjanje pravilnosti ukrepov uporabnikov sistema z analizo vsebine teh dnevnikov s strani strokovnjakov iz varnostnih oddelkov;
zaščita pred nepooblaščenimi spremembami in nadzor integritete ( zagotavljanje nespremenljivosti) izvedbeno okolje programov in njegovo obnovo v primeru kršitve;
zaščita pred nepooblaščenimi spremembami in nadzor celovitosti programske opreme, ki se uporablja v AU, ter zaščita sistema pred uvedbo nepooblaščenih programov, vključno z računalniškimi virusi;
zaščita informacij pred uhajanjem po tehničnih kanalih med njihovo obdelavo, shranjevanjem in prenosom prek komunikacijskih kanalov;
zaščita informacij, ki se shranjujejo, obdelujejo in prenašajo po komunikacijskih kanalih pred nepooblaščenim razkrivanjem ali izkrivljanjem;
zagotavljanje pristnosti uporabnikov, ki sodelujejo v izmenjavi informacij;
zagotavljanje preživetja kriptografskih orodij za zaščito informacij, kadar je del ključnega sistema ogrožen;
pravočasno prepoznavanje virov groženj informacijske varnosti, vzrokov in pogojev, ki vodijo v škodo zainteresiranim subjektom informacijskih odnosov, oblikovanje mehanizma za hitro odzivanje na grožnje varnosti informacij in negativne trende;
ustvarjanje pogojev za minimizacijo in lokalizacijo škode, ki jo povzročijo nezakonita fizična in fizična dejanja pravne osebe, oslabitev negativnega vpliva in odpravljanje posledic kršitve informacijske varnosti.

5.4. Načini za reševanje težav z informacijsko varnostjo

Rešitev težav z informacijsko varnostjo je dosežena:

strogo računovodstvo vseh sistemskih virov, ki so predmet varstva ( informacije, naloge, komunikacijski kanali, strežniki, AWP);
urejanje procesov in postopkov obdelave informacij zaposlenih v strukturnih oddelkih organizacije ter ukrepov osebja, ki izvaja vzdrževanje in spreminjanje programske in strojne opreme jedrske elektrarne, na podlagi organizacijskih in upravnih dokumentov o varnosti informacij;
popolnost, resnična izvedljivost in doslednost zahtev organizacijskih in upravnih dokumentov o varnosti informacij;
imenovanje in usposabljanje zaposlenih, odgovornih za organizacijo in izvajanje praktičnih ukrepov za zagotavljanje varnosti informacij;
obdariti vsakega zaposlenega z najmanj, kar je potrebno za njegovo izpolnitev funkcionalne odgovornosti pooblastilo za dostop do virov AU;
jasno znanje in dosledno upoštevanje vseh zaposlenih, ki uporabljajo in vzdržujejo strojno in programsko opremo jedrske elektrarne, zahtev organizacijskih in upravnih dokumentov o varnosti informacij;
osebna odgovornost za svoja dejanja vsakega zaposlenega, ki sodeluje v okviru svojih funkcionalnih dolžnosti v procesih avtomatizirane obdelave informacij in ima dostop do virov AU;
izvajanje tehnoloških procesov obdelave informacij z uporabo kompleksov organizacijskih in tehničnih ukrepov za zaščito programske, strojne in podatkovne opreme;
sprejetje učinkovitih ukrepov za zagotavljanje fizične celovitosti tehnične opreme in nenehno vzdrževanje zahtevane stopnje zaščite komponent NEK;
uporaba tehničnih ( programska in strojna oprema) sredstva za zaščito sistemskih virov in stalno upravno podporo za njihovo uporabo;
razmejitev informacijskih tokov in prepoved prenosa omejenih informacij po nezaščitenih komunikacijskih kanalih;
učinkovit nadzor nad izpolnjevanjem zahtev glede informacijske varnosti s strani zaposlenih;
nenehno spremljanje omrežnih virov, prepoznavanje ranljivosti, pravočasno odkrivanje in nevtralizacija zunanjih in notranjih groženj varnosti računalniškega omrežja;
pravno varstvo interesov organizacije pred nezakonitimi dejanji na področju informacijske varnosti.
izvajanje stalne analize učinkovitosti in zadostnosti sprejetih ukrepov in uporabljenih sredstev za zaščito informacij, razvoj in izvajanje predlogov za izboljšanje sistema varovanja informacij v jedrski elektrarni.

6 groženj informacijske varnosti

6.1. Grožnje informacijske varnosti in njihovi viri

Najnevarnejše grožnje varnosti informacij, ki se obdelujejo v NEK, so:

kršitev zaupnosti ( razkritje, puščanje) informacije, ki predstavljajo uradno ali poslovno skrivnost, vključno z osebnimi podatki;
nepravilno delovanje ( neorganiziranost dela) AS, blokada informacij, kršitev tehnoloških procesov, motnja pravočasnega reševanja težav;
kršitev integritete ( izkrivljanje, zamenjava, uničenje) informacije, programsko opremo in druge vire AU.

Glavni viri groženj informacijski varnosti NEK so:

neugodni naravni dogodki in dogodki, ki jih je ustvaril človek;
teroristi, kriminalci;
računalniški kibernetski kriminalci, ki izvajajo namerna uničevalna dejanja, vključno z uporabo računalniških virusov in drugih vrst zlonamernih kod in napadov;
dobavitelji programske in strojne opreme, potrošnega materiala, storitev itd .;
izvajalci, ki izvajajo namestitev, zagon opreme in njeno popravilo;
nespoštovanje zahtev nadzornih in regulativnih organov, veljavne zakonodaje;
okvare, okvare, uničenje / poškodbe programske in strojne opreme;
zaposleni, ki so zakoniti udeleženci procesov v AU in delujejo zunaj okvira dodeljenih pooblastil;
zaposleni, ki so zakoniti udeleženci procesov v AU in delujejo v okviru danih pooblastil.

6.2. Nenamerna dejanja, ki vodijo do kršitev varnosti informacij, in ukrepi za njihovo preprečevanje

Zaposleni v organizaciji, ki imajo neposreden dostop do procesov obdelave informacij v AU, so potencialni vir nenamernih nenamernih dejanj, ki lahko privedejo do kršitve informacijske varnosti.

Večji nenamerni ukrepi, ki vodijo v kršitev varnosti informacij (dejanja, ki jih izvajajo ljudje po naključju, iz nevednosti, nepazljivosti ali malomarnosti, iz radovednosti, vendar brez zlonamerne namere) in ukrepi za preprečevanje takšnih ukrepov in zmanjšanje škode, ki jo povzročijo, so navedeni v Tabela 1.

Tabela 1

Osnovni ukrepi, ki vodijo do kršitve varnosti informacij
Dejanja zaposlenih, ki vodijo do delne ali popolne okvare sistema ali motenj delovanja strojne ali programske opreme; odklop opreme ali spreminjanje načinov delovanja naprav in programov; uničenje informacijskih virov sistema ( nenamerna poškodba opreme, brisanje, izkrivljanje programov ali datotek s pomembnimi informacijami, vključno s sistemskimi, poškodbe komunikacijskih kanalov, nenamerna poškodba nosilcev podatkov itd.)	Organizacijski ukrepi ( ). Uporaba fizičnih sredstev za preprečitev nenamernega izvrševanja kršitve. Uporaba tehničnih ( strojna in programska oprema) sredstva za razlikovanje dostopa do virov. Rezervacija kritičnih virov.
Nepooblaščen zagon programov, ki, če se uporabljajo neprimerno, lahko povzročijo izgubo delovanja sistema ( zamrzne ali zank) ali izvajati nepovratne spremembe v sistemu ( oblikovanje ali prestrukturiranje medijev za shranjevanje, brisanje podatkov itd.)	Organizacijski ukrepi ( odstranitev vseh potencialno nevarnih programov z delovne postaje). Uporaba tehničnih ( strojna in programska oprema) sredstva za razlikovanje dostopa do programov na delovni postaji.
Nepooblaščeno uvajanje in uporaba nezabeleženih programov ( igralne, izobraževalne, tehnološke in druge, ki zaposlenim niso potrebne za opravljanje svojih uradnih dolžnosti), ki mu sledi nerazumno zapravljanje virov ( čas procesorja, pomnilnik z naključnim dostopom, pomnilnik na zunanjih medijih itd.)	Organizacijski ukrepi ( izrek prepovedi). Uporaba tehničnih ( strojna in programska oprema) pomeni preprečevanje nepooblaščenega uvajanja in uporabe nezabeleženih programov.
Nenamerna okužba z virusom vašega računalnika	Organizacijski ukrepi ( urejanje ukrepov, uvedba prepovedi). Tehnološki ukrepi ( uporaba posebnih programov za odkrivanje in uničevanje virusov). Uporaba strojnih in programskih orodij, ki preprečujejo okužbo z računalniškimi virusi.
Razkrivanje, prenos ali izguba atributov nadzora dostopa ( gesla, šifrirne ključe ali elektronski podpis, identifikacijske kartice, vozovnice itd.)	Organizacijski ukrepi ( urejanje ukrepov, uvedba prepovedi, krepitev odgovornosti). Uporaba fizičnih sredstev za zagotavljanje varnosti določenih podrobnosti.
Ignoriranje organizacijskih omejitev ( uveljavljena pravila) pri delu v sistemu	Organizacijski ukrepi ( ). Uporaba dodatnih fizičnih in tehničnih zaščitnih sredstev.
Neprimerna uporaba, prilagoditev ali neprimerno onesposobitev zaščitne opreme s strani varnostnega osebja	Organizacijski ukrepi ( usposabljanje osebja, krepitev odgovornosti in nadzora).
Vnos napačnih podatkov	Organizacijski ukrepi ( povečana odgovornost in nadzor). Tehnološki ukrepi za nadzor napak operaterjev vnosa podatkov.

6.3. Namenski ukrepi za kršitev informacijske varnosti in ukrepi za njihovo preprečevanje

Večja namerna dejanja ( v sebične namene, pod prisilo, iz želje po maščevanju itd.), ki vodijo v kršitev informacijske varnosti obrata, ukrepi za njihovo preprečevanje in zmanjšanje morebitne škode pa so navedeni v Tabela 2.

tabela 2

Glavne namerne ukrepe, ki vodijo do kršitve informacijske varnosti	Ukrepi za preprečevanje groženj in zmanjšanje škode
Fizično uničenje ali onesposobitev vseh ali nekaterih najpomembnejših sestavnih delov samodejnega sistema ( naprave, nosilce pomembnih sistemskih informacij, osebje itd.), prekinitev ali izklop podsistemov za zagotovitev delovanja računalniških sistemov ( napajanje, komunikacijski vodi itd.)	Organizacijski ukrepi ( urejanje ukrepov, uvedba prepovedi). Uporaba fizičnih sredstev, ki preprečujejo namerno izvršitev kršitve. Rezervacija kritičnih virov.
Uvedba agentov v število osebja sistema ( vključno z upravno skupino, ki je odgovorna za varnost), zaposlovanje ( z podkupovanjem, izsiljevanjem, grožnjami itd.) uporabniki, ki imajo določene privilegije za dostop do zaščitenih virov	Organizacijski ukrepi ( izbor, namestitev in delo z osebjem, krepitev nadzora in odgovornosti). Samodejna prijava osebja.
Kraja nosilcev informacij ( izpisi, magnetni diski, trakovi, shranjevalne naprave in celotni računalniki), tatvina industrijskih odpadkov ( izpisi, zapisi, zavrženi mediji itd.)	Organizacijski ukrepi ( ).
Nepooblaščeno kopiranje nosilcev informacij, branje preostalih informacij iz pomnilnika z naključnim dostopom in iz zunanjih pomnilniških naprav	Organizacijski ukrepi ( organizacija shranjevanja in uporabe medijev z zaščitenimi informacijami). Uporaba tehničnih sredstev za omejitev dostopa do zaščitenih virov in samodejna registracija prejema na papirju kopij dokumentov.
Nezakonito prejemanje gesel in drugih podrobnosti o nadzoru dostopa ( s pomočjo agentov, z uporabo malomarnosti uporabnikov, z izbiro, s posnemanjem sistemskega vmesnika s programskimi zaznamki itd.), ki mu sledi prikrivanje kot registrirani uporabnik.	Organizacijski ukrepi ( urejanje ukrepov, uvedba prepovedi, delo z osebjem). Uporaba tehničnih sredstev, ki preprečujejo izvajanje programov za prestrezanje gesel, ključev in drugih podrobnosti.
Nepooblaščena uporaba AWP-jev za uporabnike z edinstvenimi fizičnimi lastnostmi, kot so številka delovne postaje v omrežju, fizični naslov, naslov v komunikacijskem sistemu, enota za šifriranje strojne opreme itd.	Organizacijski ukrepi ( stroga ureditev dostopa do prostorov in dostopa do dela na teh AWP). Uporaba fizičnih in tehničnih sredstev za nadzor dostopa.
Nepooblaščeno spreminjanje programske opreme - uvedba programske opreme "zaznamkov" in "virusov" ( Trojanski konji in hrošči), to je takšnih odsekov programov, ki niso potrebni za izvajanje prijavljenih funkcij, vendar omogočajo premagovanje sistema zaščite, tajno in nezakonito dostop do sistemskih virov, da bi lahko registrirali in prenesli zaščitene podatke ali neorganizirali delovanje sistema	Organizacijski ukrepi ( stroga ureditev sprejema na delo). Uporaba fizičnih in tehničnih sredstev za razlikovanje dostopa in preprečevanje nepooblaščenih sprememb konfiguracije strojne in programske opreme AWP. Uporaba orodij za nadzor integritete programa.
Prestrezanje podatkov, ki se prenašajo po komunikacijskih kanalih, njihova analiza z namenom pridobitve zaupnih informacij in razjasnitve protokolov izmenjave, pravil za vstop v omrežje in avtorizacijo uporabnikov z naknadnimi poskusi posnemanja le-teh za prodor v sistem	Fizična zaščita komunikacijskih kanalov. Uporaba sredstev za kriptografsko zaščito prenesenih informacij.
Vmešavanje v proces delovanja sistema iz javnih omrežij zaradi nepooblaščenega spreminjanja podatkov, dostopa do zaupnih informacij, neorganizacije delovanja podsistemov itd.	Organizacijski ukrepi ( regulacija povezave in obratovanja v javnih omrežjih). Uporaba posebnih tehničnih zaščitnih sredstev ( požarni zidovi, varnostni nadzor in odkrivanje napadov na sistemske vire itd.).

6.4. Pretok informacij po tehničnih kanalih

Med delovanjem strojne opreme NEK so možni naslednji kanali puščanja ali kršitve integritete informacij, motnje delovanja tehnične opreme:

stransko elektromagnetno sevanje informativnega signala s tehničnih sredstev in vodov za prenos informacij;
prestrezanje informativnega signala, obdelanega z elektronsko računalniško opremo, do žic in vodov, ki presegajo nadzorovano območje uradov, vklj. na ozemljitvenih in napajalnih tokokrogih;
različno elektronske naprave prestrezanje informacij ( vklj. "Zaznamki") povezani s komunikacijskimi kanali ali tehničnimi sredstvi za obdelavo informacij;
ogled informacij z zaslonskih zaslonov in drugih načinov prikazovanja z optičnimi sredstvi;
vpliv na strojno ali programsko opremo z namenom kršenja integritete ( uničenje, popačenje) informacije, delovanje tehničnih sredstev, sredstva za zaščito informacij in pravočasnost izmenjave informacij, vključno z elektromagnetnimi, s pomočjo posebej uvedenih elektronskih in programskih orodij ( "Zaznamki").

Ob upoštevanju posebnosti obdelave in zagotavljanja varnosti informacij grozi uhajanje zaupnih informacij ( vključno z osebnimi podatki) prek tehničnih poti niso pomembni za organizacijo.

6.5. Neuradni model verjetno vsiljivca

Storilec je oseba, ki je poskušala izvesti prepovedane operacije ( ukrepanje) po pomoti, nevednosti ali namerno z zlobnostjo ( za priznane interese) ali brez njega ( zaradi igre ali užitka, zaradi samopotrjevanja itd.) in z uporabo različnih možnosti, metod in sredstev za to.

Sistem zaščite NEK bi moral temeljiti na predpostavkah o naslednjih možnih vrstah kršiteljev v sistemu ( upoštevajoč kategorijo oseb, motivacijo, kvalifikacije, razpoložljivost posebnih sredstev itd.):

« Neizkušen (nepazljiv) uporabnik»- zaposleni, ki lahko poskusi opravljati prepovedane operacije, dostopati do zaščitenih virov AU, ki presegajo njegove pristojnosti, vnese napačne podatke itd. dejanja po pomoti, nesposobnosti ali malomarnosti brez zlobe in z uporabo samo standardnih ( na voljo mu) strojna in programska oprema.
« Ljubimca"- zaposleni, ki poskuša premagati obrambni sistem brez sebičnih ciljev in zlonamerne namere, za samopotrjevanje ali iz" športno zanimanje". Za premagovanje zaščitnega sistema in izvajanje prepovedanih dejanj lahko uporablja različne načine pridobivanja dodatnih pooblastil za dostop do virov ( imena, gesla itd. drugi uporabniki), pomanjkljivosti v gradnji zaščitnega sistema in razpoložljivega osebja ( nameščen na delovni postaji) programi ( nedovoljena dejanja s prekoračitvijo pooblastil za uporabo dovoljenih sredstev). Poleg tega lahko poskusi uporabiti dodatno nestandardno instrumentalno in tehnološko programsko opremo ( razhroščevalci, pripomočki), samorazvite programe ali standardne dodatne tehnična sredstva.
« Prevara"- zaposleni, ki lahko poskusi opravljati nezakonite tehnološke operacije, vnašati lažne podatke itd. podobna dejanja za sebične namene, pod prisilo ali iz zlonamerne namere, vendar z uporabo le rednih ( nameščen na delovni postaji in mu je na voljo) strojna in programska oprema v svojem imenu ali v imenu drugega zaposlenega ( poznavanje njegovega imena in gesla, uporaba njegove kratkotrajne odsotnosti z delovnega mesta itd.).
« Zunanji vsiljivec (vsiljivec)»- zunanji sodelavec ali nekdanji zaposleni, ki namerno deluje iz sebičnih interesov, maščevanja ali radovednosti, po možnosti v dogovarjanju z drugimi. Uporablja lahko celoten sklop načinov kršitve varnosti informacij, metod in sredstev za razbijanje varnostnih sistemov, značilnih za javna omrežja ( zlasti omrežij, ki temeljijo na IP), vključno z daljinskim uvajanjem zaznamkov programske opreme in uporabo posebnih instrumentalnih in tehnoloških programov z uporabo obstoječih pomanjkljivosti izmenjalnih protokolov in zaščitnega sistema vozlišč mreže AS organizacije.
« Notranji napadalec»- zaposleni, registriran kot uporabnik sistema, ki namerno deluje iz sebičnih interesov ali maščevanja, po možnosti v dogovarjanju z osebami, ki niso zaposleni v organizaciji. Uporablja lahko celoten nabor metod in sredstev za vdor v varnostni sistem, vključno s tajnimi metodami pridobivanja podrobnosti o dostopu, pasivnimi sredstvi (tehnična sredstva prestrezanja brez spreminjanja komponent sistema), metod in sredstev aktivnega vpliva ( spreminjanje tehničnih sredstev, povezava s kanali za prenos podatkov, izvajanje zaznamkov programske opreme in uporaba posebnih instrumentalnih in tehnoloških programov), pa tudi kombinacija vplivov tako znotraj kot iz javnih omrežij.

Insajder je lahko oseba iz naslednjih kategorij osebja:

registrirani končni uporabniki AU ( zaposleni v oddelkih in podružnicah);
delavci, ki nimajo dovoljenja za delo z AU;
osebje, ki servisira tehnična sredstva jedrske elektrarne ( inženirji, tehniki);
zaposleni v oddelkih za razvoj in vzdrževanje programske opreme ( aplikacijski in sistemski programerji);
tehnično osebje, ki služi stavbam in prostorom organizacije ( čistilci, električarji, vodovodarji in drugi delavci, ki imajo dostop do stavb in prostorov, v katerih se nahajajo komponente zvočnikov);
voditelji različnih ravni.

odpuščeni delavci;
predstavniki organizacij, ki sodelujejo pri vprašanjih zagotavljanja življenja organizacije ( energije, vode, oskrbe s toploto itd.);
predstavniki podjetij, ki dobavljajo opremo, programsko opremo, storitve itd .;
člani kriminalnih združb in tekmeci komercialne strukture ali osebe, ki delujejo v njihovem imenu;
osebe, ki so po naključju ali namerno vstopile v omrežje iz zunanjih omrežij ( "Hekerji").

Uporabniki in storitveno osebje med delavci imajo zaradi svoje določene pristojnosti za dostop do virov in dobrega poznavanja tehnologije za obdelavo informacij največ možnosti za izvajanje nepooblaščenih ukrepov. Dejanja te skupine kršiteljev so neposredno povezana s kršitvijo obstoječih pravil in predpisov. Ta skupina kršiteljev je še posebej nevarna pri interakciji s kriminalnimi strukturami.

Odpuščeni delavci lahko za dosego ciljev uporabljajo svoje znanje delovne tehnologije, zaščitne ukrepe in pravice dostopa.

Kriminalne strukture predstavljajo najbolj agresiven vir zunanjih groženj. Za izvajanje svojih načrtov lahko te strukture odkrito kršijo zakon in z vsemi močmi in sredstvi, ki so jim na voljo, vključijo zaposlene v organizacijo.

Hekerji imajo najvišjo tehnično usposobljenost in poznajo slabosti programske opreme, ki se uporablja v AU. Največjo grožnjo predstavljajo pri interakciji z delujočimi ali odpuščenimi delavci in kriminalnimi strukturami.

Organizacije, ki se ukvarjajo z razvojem, dobavo in popravilom opreme in informacijskih sistemov, predstavljajo zunanjo grožnjo, ker imajo občasno neposreden dostop do informacijskih virov. Kriminalne strukture lahko te organizacije uporabljajo za začasno zaposlitev svojih članov za dostop do zaščitenih informacij.

7. Tehnična politika na področju informacijske varnosti

7.1. Glavne določbe tehnične politike

Izvajanje tehnične politike na področju informacijske varnosti mora izhajati iz predpostavke, da ni mogoče zagotoviti zahtevane ravni informacijske varnosti ne le s pomočjo enega ločenega sredstva ( dejavnost), pa tudi s pomočjo njihove preproste kombinacije. Njihovo sistemsko usklajevanje med seboj je potrebno ( zapletena uporaba), posamezne razvite elemente AU pa je treba obravnavati kot del enotnega informacijskega sistema v varni zasnovi z optimalnim razmerjem tehničnih ( strojna in programska oprema) sredstva in organizacijski dogovori.

Glavne usmeritve izvajanja tehnične politike za zagotavljanje varnosti informacij NEK so zaščita informacijskih virov pred krajo, izgubo, puščanjem, uničenjem, izkrivljanjem ali ponarejanjem zaradi nepooblaščenega dostopa in posebnih ukrepov.

V okviru navedenih navodil tehnične politike za zagotavljanje informacijske varnosti se izvajajo:

uvedba sistema dovoljenj za sprejem izvajalcev ( uporabniki, servisno osebje) za dela, dokumente in informacije zaupne narave;
omejevanje dostopa izvajalcev in nepooblaščenih oseb do stavb in prostorov, kjer se opravljajo zaupno delo, in na njih so postavljena sredstva za informatizacijo in komunikacijo ( shranjeno, preneseno) informacije zaupne narave, neposredno do samih sredstev informatizacije in komunikacije;
razlikovanje dostopa uporabnikov in servisnega osebja do informacijskih virov, programske opreme za obdelavo in zaščito informacij v podsistemih različnih ravni in namenov, vključenih v AU;
računovodstvo dokumentov, nizov informacij, registracija dejanj uporabnikov in servisnega osebja, nadzor nad nepooblaščenim dostopom in dejanji uporabnikov, servisnega osebja in nepooblaščenih oseb;
preprečevanje vnosa virusnih programov, zaznamkov programske opreme v avtomatizirane podsisteme;
kriptografska zaščita informacij, ki se obdelujejo in prenašajo z računalniško tehnologijo in komunikacijami;
zanesljivo shranjevanje strojnih nosilcev podatkov, kriptografskih ključev ( ključne informacije) in njihovega kroženja, razen tatvin, nadomestitve in uničenja;
potrebno odpuščanje tehničnih sredstev in podvajanje nizov in nosilcev informacij;
zmanjšanje ravni in vsebnosti informacij o lažnih emisijah in prevzemih, ki jih ustvarjajo različni elementi avtomatiziranih podsistemov;
električna izolacija napajalnih tokokrogov, ozemljitve in drugih tokokrogov objektov informatizacije zunaj nadzorovanega območja;
nasprotovanje optični in laserski opremi za nadzor.

7.2. Oblikovanje režima informacijske varnosti

Ob upoštevanju opredeljenih groženj varnosti jedrske elektrarne je treba oblikovati način varovanja informacij kot niz metod in ukrepov za zaščito informacij, ki krožijo v NEK in podporni infrastrukturi pred naključnimi ali namernimi učinki naravne ali umetne narave, kar povzroči škodo lastnikom ali uporabnikom informacij.

Nabor ukrepov za oblikovanje sistema varovanja informacij vključuje:

vzpostavitev organizacijskega in pravnega režima informacijske varnosti v avtomatiziranem sistemu ( regulativni dokumenti, delo z osebjem, pisarniško delo);
izvajanje organizacijskih in tehničnih ukrepov za zaščito informacij o omejeni distribuciji pred uhajanjem po tehničnih kanalih;
organizacijski in programsko-tehnični ukrepi za preprečevanje nedovoljenih ukrepov ( dostop) do informacijskih virov AU;
niz ukrepov za nadzor delovanja sredstev in sistemov za zaščito informacijskih virov z omejeno distribucijo po naključnih ali namernih vplivih.

8. Ukrepi, metode in sredstva informacijske varnosti

8.1. Organizacijski ukrepi

Organizacijski ukrepi - gre za organizacijske ukrepe, ki urejajo procese delovanja NEK, porabo njihovih virov, dejavnosti vzdrževalnega osebja, pa tudi postopek interakcije uporabnikov s sistemom tako, da najbolj otežijo ali izključijo možnost izvajanja varnostnih groženj in zmanjšajo škodo v primeru njihove izvedbe.

8.1.1. Oblikovanje varnostne politike

Glavni cilj organizacijskih ukrepov je oblikovanje politike na področju informacijske varnosti, ki odraža pristope k varovanju informacij, in zagotavljanje njenega izvajanja z dodelitvijo potrebnih virov in spremljanjem stanja.

S praktičnega vidika je treba varnostno politiko NEK razdeliti na dve ravni. Zgornja raven vključuje odločitve, ki vplivajo na dejavnosti organizacije kot celote. Primer takšnih rešitev je lahko:

oblikovanje ali revizija obsežnega programa informacijske varnosti, določitev odgovornih za njegovo izvajanje;
oblikovanje ciljev, postavljanje ciljev, določitev področij dejavnosti na področju informacijske varnosti;
sprejemanje odločitev o izvajanju varnostnega programa, ki se obravnavajo na ravni celotne organizacije;
zagotavljanje regulativnih ( pravni) zbirka podatkov o varnostnih vprašanjih itd.

Politika nižje ravni določa postopke in pravila za doseganje ciljev in reševanje težav z informacijsko varnostjo in podrobno ureja (ureja) ta pravila:

kakšen je obseg politike informacijske varnosti;
kakšne so vloge in odgovornosti uradnikov, odgovornih za izvajanje politike informacijske varnosti;
kdo ima pravico do dostopa do informacij z omejenimi možnostmi;
kdo in pod katerimi pogoji lahko bere in spreminja informacije itd.

Politika nižje ravni bi morala:

predvideti ureditev odnosov z informacijami, pri čemer izključuje možnost samovoljnih, monopolnih ali nepooblaščenih ukrepov v zvezi z zaupnimi informacijskimi viri;
opredeliti koalicijska in hierarhična načela in metode za izmenjavo skrivnosti in omejevanje dostopa do informacij z omejeno distribucijo;
izbrati programsko in strojno opremo za kriptografsko zaščito, preprečevanje nedovoljenih posegov, avtentikacije, avtorizacije, identifikacije in drugih zaščitnih mehanizmov, ki zagotavljajo jamstvo za izvajanje pravic in odgovornosti subjektov informacijskih odnosov.

8.1.2. Ureditev dostopa do tehničnih sredstev

Delovanje varnih avtomatiziranih delovnih postaj in strežnikov banke mora potekati v prostorih, opremljenih z zanesljivimi avtomatskimi ključavnicami, alarmi ter nenehno varovati ali nadzorovati, kar izključuje možnost nenadzorovanega vstopa v prostore nepooblaščenih oseb in zagotavlja fizično varnost varovanih virov, ki se nahajajo v prostoru ( AWP, dokumenti, podatki o dostopu itd.). Namestitev in namestitev tehničnih sredstev takšnih AWP bi morala izključevati možnost vizualnega ogleda vhoda ( umaknjen) informacije oseb, ki z njimi niso povezane. Čiščenje prostorov z opremo, nameščeno v njih, je treba izvajati v prisotnosti odgovorne osebe, ki ji je dodeljeno tehnično sredstvo, ali dežurne osebe v enoti, v skladu z ukrepi, ki izključujejo nepooblaščen dostop do zaščitenih virov.

Med obdelavo podatkov z omejenimi informacijami mora biti v prostorih samo osebje, pooblaščeno za delo s temi informacijami.

Ob koncu delovnega dne je treba prostore z nameščenimi zaščitenimi delovnimi postajami predati pod zaščito.

Za shranjevanje pisarniških dokumentov in strojnih medijev z zaščitenimi informacijami zaposlenim zagotavljajo kovinske omare, pa tudi sredstva za uničenje dokumentov.

Tehnična sredstva, ki se uporabljajo za obdelavo ali shranjevanje zaupnih informacij, morajo biti zapečatena.

8.1.3. Ureditev sprejema zaposlenih v uporabo informacijskih virov

V okviru sistema dovoljenj za sprejem se ugotovi: kdo, komu, katere informacije in za katero vrsto dostopa se lahko zagotovi in \u200b\u200bpod katerimi pogoji; sistem za nadzor dostopa, ki za vse uporabnike določa definicijo informacijskih in programskih virov AU, ki so jim na voljo za posebne operacije ( brati, pisati, spreminjati, brisati, izvajati) z uporabo določenih orodij za dostop do programske in strojne opreme.

Sprejem delavcev na delo z AU in dostop do njihovih virov morata biti strogo urejena. Morebitne spremembe v sestavi in \u200b\u200bpristojnostih uporabnikov podsistemov AU je treba opraviti v skladu z ustaljenim postopkom.

Glavni uporabniki informacij v AU so zaposleni v strukturnih enotah organizacije. Stopnja avtoritete za vsakega uporabnika se določi posebej, ob upoštevanju naslednjih zahtev:

odprte in zaupne informacije se, kadar je to mogoče, namestijo na različne strežnike;
vsak zaposleni uporablja samo pravice, ki so mu predpisane v zvezi s podatki, s katerimi mora delati v skladu s svojimi delovnimi nalogami;
šef ima pravico do vpogleda v podatke svojih podrejenih;
najkritičnejše tehnološke operacije je treba izvajati v skladu s pravilom "V dveh rokah" - pravilnost vnesenih podatkov potrdi drug uradnik, ki nima pravice vnašati informacij.

Vsi delavci, sprejeti za delo v NEK, in osebje za vzdrževanje NEK morajo biti osebno odgovorni za kršitve vzpostavljen red samodejna obdelava informacij, pravila za shranjevanje, uporabo in prenos zaščitenih sistemskih virov, s katerimi razpolagajo. Vsak zaposleni mora pri zaposlitvi podpisati Zavezo o izpolnjevanju zahtev za ohranjanje zaupnih informacij in odgovornosti za njihovo kršitev ter o skladnosti s pravili za delo z zaščitenimi informacijami v AU.

Obdelava zaščitenih informacij v podsistemih AU mora potekati v skladu z odobrenimi tehnološkimi navodili ( naročila) za te podsisteme.

Za uporabnike, zaščitene delovne postaje, je treba razviti potrebna tehnološka navodila, vključno z zahtevami za zagotavljanje varnosti informacij.

8.1.4. Urejanje procesov vzdrževanja baz podatkov in spreminjanja informacijskih virov

Vse operacije za vzdrževanje baz podatkov v AU in sprejem delavcev za delo s temi bazami podatkov morajo biti strogo regulirane. Morebitne spremembe v sestavi in \u200b\u200bpooblastilih uporabnikov podatkovnih baz AU je treba opraviti v skladu z ustaljenim postopkom.

Razdelitev imen, ustvarjanje gesel, vzdrževanje pravil za razlikovanje dostopa do baz so dodeljeni zaposlenim v oddelku za informacijsko tehnologijo. V tem primeru se lahko uporabljajo tako standardna kot dodatna sredstva za zaščito DBMS in operacijskih sistemov.

8.1.5. Ureditev postopkov vzdrževanja in izvajanje sprememb strojne in programske opreme

Sistemski viri, ki jih je treba zaščititi ( naloge, programi, AWP) so predmet strogega računovodstva ( temelji na uporabi ustreznih obrazcev ali specializiranih baz podatkov).

Konfiguracija strojne in programske opreme avtomatiziranih delovnih postaj, na katerih se obdelujejo zaščitene informacije ali iz katerih je mogoč dostop do zaščitenih virov, mora ustrezati obsegu funkcionalnih nalog, dodeljenih uporabnikom tega AWS. Vse neuporabljene (nepotrebne) vhodno-izhodne informacije ( COM, USB, LPT vrata, diskete, CD in druge medije za shranjevanje) na takih AWP mora biti onemogočeno (izbrisano), nepotrebna programska oprema in podatki z AWS diskov morajo biti tudi izbrisani.

Za poenostavitev vzdrževanja, vzdrževanja in organizacije zaščite morajo biti delovne postaje opremljene s programsko opremo in konfigurirane na enoten način ( v skladu z uveljavljenimi pravili).

Zagon novih AWP-jev in vse spremembe konfiguracije strojne in programske opreme, obstoječih AWP-ov v AS-u organizacije bi bilo treba izvesti samo po ustaljenem vrstnem redu.

Vsa programska oprema ( razvili strokovnjaki organizacije, pridobljeni ali pridobljeni od proizvajalcev) je treba preizkusiti na predpisan način in ga prenesti v programski sklad organizacije. V podsistemih AU je treba namestiti in uporabljati samo programsko opremo, ki jo od depozitarja prejme po ustaljenem postopku. Uporaba programske opreme v izmeničnem omrežju, ki ni vključena v skladišče programske opreme, bi morala biti prepovedana.

Razvoj programske opreme, testiranje razvite in kupljene programske opreme, prenos programske opreme v obratovanje je treba izvesti po ustaljenem postopku.

8.1.6. Usposabljanje in izobraževanje uporabnikov

Pred zagotavljanjem dostopa do AU morajo biti njegovi uporabniki, pa tudi osebje za upravljanje in vzdrževanje seznanjeni s seznamom zaupnih informacij in njihovo stopnjo pristojnosti ter z organizacijsko in upravno, regulativno, tehnično in operativno dokumentacijo, ki določa zahteve in postopek obdelave takšnih informacij.

Varstvo informacij na vseh zgoraj navedenih področjih je možno šele potem, ko so uporabniki razvili določeno disciplino, tj. norme, ki so zavezujoče za vse, ki delajo v AU. Ta pravila vključujejo prepoved kakršnih koli namernih ali nenamernih dejanj, ki motijo \u200b\u200bnormalno delovanje AU, povzročajo dodatne stroške virov, kršijo integriteto shranjenih in obdelanih informacij, kršijo interese zakonitih uporabnikov.

Vsi zaposleni, ki med svojim delom uporabljajo posebne podsisteme NEK, morajo biti seznanjeni z organizacijskimi in upravnimi dokumenti za zaščito jedrske elektrarne v delu, ki se nanaša nanje, poznati in strogo upoštevati tehnološka navodila in splošne obveznosti za zagotavljanje informacijske varnosti. Zahteve teh dokumentov osebam, ki so dovoljene v obdelavo zaščitenih informacij, morajo vodje oddelkov predložiti pred podpisom.

8.1.7. Odgovornost za kršitev zahtev glede informacijske varnosti

Za vsako resno kršitev zahtev po informacijski varnosti s strani zaposlenih v organizaciji je treba izvesti uradno preiskavo. Proti odgovornim je treba sprejeti ustrezne ukrepe. Stopnjo odgovornosti osebja za dejanja, storjena v nasprotju z uveljavljenimi pravili za zagotavljanje varne avtomatske obdelave informacij, je treba določiti s povzročeno škodo, prisotnostjo zlonamerne namere in drugimi dejavniki.

Za izvajanje načela osebne odgovornosti uporabnikov za njihova dejanja morate:

individualna identifikacija uporabnikov in procesi, ki jih sprožijo, tj. vzpostavitev za njimi identifikatorja, na podlagi katerega se bo izvajal nadzor dostopa v skladu z načelom veljavnosti dostopa;
overjanje uporabnika ( preverjanje pristnosti) na podlagi gesel, ključev na drugačni fizični osnovi itd .;
prijava ( sečnja) delovanje mehanizmov za nadzor dostopa do virov informacijskega sistema z navedbo datuma in časa, identifikatorjev zaprošenih in zahtevanih virov, vrste interakcije in njenega rezultata;
reakcija na poskuse nepooblaščenega dostopa ( alarm, blokada itd.).

8.2. Tehnična zaščitna sredstva

Tehnični ( strojna in programska oprema) zaščitna sredstva - različne elektronske naprave in posebni programi, ki so del AU in opravljajo (neodvisno ali v kombinaciji z drugimi sredstvi) zaščitne funkcije ( identifikacija in overjanje uporabnikov, razlikovanje dostopa do virov, registracija dogodkov, kriptografska zaščita informacij itd.).

Ob upoštevanju vseh zahtev in načel zagotavljanja varnosti informacij v jedrski elektrarni na vseh območjih zaščite je treba v zaščitni sistem vključiti naslednja sredstva:

sredstva za preverjanje pristnosti uporabnikov in AC-elementi ( terminali, naloge, predmeti v bazi podatkov itd.) ki ustreza stopnji zaupnosti informacij in obdelanih podatkov;
sredstva za razlikovanje dostopa do podatkov;
sredstva za kriptografsko zaščito informacij v linijah za prenos podatkov in v bazah podatkov;
sredstva za registracijo obtoka in nadzor uporabe zaščitenih informacij;
sredstva za odzivanje na zaznane poskuse posega ali nedovoljenega posega;
sredstva za zmanjšanje stopnje in vsebnosti informacij o lažnih emisijah in prevzemih;
sredstva za zaščito pred optičnimi opazovalnimi sredstvi;
sredstva za zaščito pred virusi in zlonamerno programsko opremo;
sredstva za električno ločevanje tako izmeničnih elementov kot konstrukcijskih elementov prostorov, v katerih se oprema nahaja.

Tehnična sredstva za zaščito pred posegi so zaupana reševanju naslednjih glavnih nalog:

prepoznavanje in overjanje uporabnikov z uporabo imen in / ali posebne strojne opreme ( Pomnilnik na dotik, pametna kartica itd.);
ureditev dostopa uporabnikov do fizične naprave delovne postaje ( diski, vhodno-izhodna vrata);
selektivni (diskrecijski) nadzor dostopa do logičnih pogonov, imenikov in datotek;
avtoritativno (obvezno) razlikovanje dostopa do zaščitenih podatkov na delovni postaji in na datotečnem strežniku;
ustvarjanje zaprtega programskega okolja programov, ki jih je mogoče zagnati, ki se nahajajo na lokalnih in omrežnih pogonih;
zaščita pred prodorom računalniških virusov in zlonamerne programske opreme;
nadzor integritete modulov zaščitnega sistema, območij diskovnih sistemov in poljubnih seznamov datotek v samodejnem načinu in s skrbniškimi ukazi;
registracija uporabniških dejanj v zaščitenem časopisu, prisotnost več stopenj registracije;
zaščita sistema za zaščito podatkov na datotečnem strežniku pred dostopom vseh uporabnikov, vključno s skrbnikom omrežja;
centralizirano upravljanje nastavitev sredstev za razlikovanje dostopa na delovnih postajah omrežja;
registracija vseh posegov v posege, ki se dogajajo na delovnih postajah;
operativni nadzor dela uporabnikov omrežja, spreminjanje načinov delovanja delovnih postaj in možnost blokade ( če je potrebno) katero koli postajo v omrežju.

Uspešna uporaba tehničnih zaščitnih sredstev predpostavlja, da je izpolnjevanje spodaj navedenih zahtev zagotovljeno z organizacijskimi ukrepi in uporabljenimi fizičnimi zaščitnimi sredstvi:

zagotovljena je fizična celovitost vseh komponent AU;
vsak zaposleni ( sistemski uporabnik) ima edinstveno ime sistema in minimalno pooblastilo za dostop do sistemskih virov, potrebnih za opravljanje njegovih funkcionalnih nalog;
uporaba instrumentalnih in tehnoloških programov na delovnih postajah ( preskusne pripomočke, naprave za odpravljanje napak, itd.) je omejevanje in strogo urejanje dovoljenega poskusa kraje ali izogibanja varnostnim ukrepom;
v zaščitenem sistemu ni uporabnikov programov, razvoj in odpravljanje napak pa se izvaja zunaj zaščitenega sistema;
vse spremembe konfiguracije strojne in programske opreme so narejene na strogo določen način;
omrežna strojna oprema ( pesta, stikala, usmerjevalniki itd.) se nahaja na krajih, ki so tujcem nedostopni ( posebne sobe, omare itd.);
služba za informacijsko varnost izvaja stalno upravljanje in upravno podporo za delovanje orodij za informacijsko varnost.

8.2.1. Orodja za identifikacijo in preverjanje pristnosti uporabnikov

Da bi nepooblaščenim osebam preprečili dostop do AU, je treba zagotoviti, da sistem lahko prepozna vsakega zakonitega uporabnika (ali omejene skupine uporabnikov). Za to sistem ( na zaklonjenem mestu) mora shraniti številne atribute vsakega uporabnika, s katerimi je mogoče prepoznati tega uporabnika. V prihodnosti se je uporabnik dolžan ob vstopu v sistem in po potrebi pri izvajanju določenih dejanj v sistemu identificirati, tj. navedite identifikator, ki mu je dodeljen v sistemu. Poleg tega se za identifikacijo lahko uporabljajo različne vrste naprav: magnetne kartice, ključni vložki, diskete itd.

Overjanje ( preverjanje pristnosti) uporabnikov mora temeljiti na uporabi gesla (tajnih besed) ali posebnih sredstev za preverjanje pristnosti, preverjanje edinstvenih lastnosti (parametrov) uporabnikov.

8.2.2. Sredstva za omejitev dostopa do virov avtomatiziranega sistema

Po prepoznavanju uporabnika mora sistem pooblastiti uporabnika, torej določiti, katere pravice so dodeljene uporabniku, tj. katere podatke in kako lahko uporablja, katere programe lahko izvaja, kdaj, kako dolgo in iz katerih terminalov lahko deluje, katere sistemske vire lahko uporablja itd. Pooblastilo uporabnika je treba izvesti z uporabo naslednjih mehanizmov za nadzor dostopa:

selektivni mehanizmi nadzora dostopa, ki temeljijo na uporabi atributnih shem, dovoljenih seznamov itd .;
verodostojni mehanizmi nadzora dostopa, ki temeljijo na uporabi oznak zaupnosti virov in ravni dostopa uporabnikov;
mehanizmi za zagotavljanje zaprtega okolja zaupanja vredne programske opreme ( za vsakega uporabnika sezname dovoljenih programov za zagon), ki jih podpirajo mehanizmi za prepoznavanje in overjanje uporabnikov, ko se prijavijo v sistem.

Območja odgovornosti in naloge posebnih tehničnih zaščitnih sredstev se določijo na podlagi njihovih zmogljivosti in lastnosti delovanja, opisanih v dokumentaciji za ta sredstva.

Tehnična sredstva za nadzor dostopa morajo biti sestavni del enotnega sistema za nadzor dostopa:

na nadzorovano območje;
v ločenih prostorih;
na elemente AU in elemente sistema informacijske varnosti ( fizični dostop);
do virov AU ( matematični dostop);
v shrambe informacij ( pomnilniški mediji, zvezki, datoteke, nabori podatkov, arhivi, reference, zapisi itd.);
do aktivnih virov ( aplikacijski programi, naloge, obrazci za zahteve itd.);
do operacijskega sistema, sistemskih programov in programov zaščite itd.

8.2.3. Sredstva za zagotavljanje in nadzor integritete programske opreme in informacijskih virov

Zagotoviti je treba celovitost programov, obdelanih informacij in zaščitnih sredstev, da se zagotovi neprekinjenost programskega okolja, ki ga določa zagotovljena tehnologija obdelave, in zaščita pred nepooblaščenim popravljanjem informacij:

sredstva za izračun kontrolnih vsot;
z elektronskim podpisom;
sredstva za primerjavo kritičnih virov z njihovimi glavnimi kopijami ( in izterjava v primeru kršitve integritete);
sredstva za nadzor dostopa ( zavrnitev dostopa s pravicami za spremembo ali izbris).

Za zaščito informacij in programov pred nepooblaščenim uničenjem ali izkrivljanjem je treba zagotoviti:

podvajanje sistemskih tabel in podatkov;
dvostransko tiskanje in zrcaljenje podatkov na diskih;
sledenje transakcijam;
občasni nadzor integritete operacijski sistem in uporabniški programi ter uporabniške datoteke;
protivirusna zaščita in nadzor;
varnostno kopiranje podatkov po vnaprej določeni shemi.

8.2.4. Nadzor varnostnih dogodkov

Nadzor bi moral zagotoviti, da se vsi dogodki ( dejanja uporabnikov, poskusi nepooblaščenih oseb itd.), kar lahko vodi v kršitev varnostne politike in vodi v krizne razmere. Nadzor bi moral omogočiti:

nenehno spremljanje ključnih vozlišč omrežja in komunikacijske opreme, ki tvori omrežje, ter omrežne aktivnosti v ključnih segmentih omrežja;
nadzor nad uporabo storitev korporacij in javnih omrežij s strani uporabnikov;
vzdrževanje in analiza dnevnikov varnostnih dogodkov;
pravočasno odkrivanje zunanjih in notranjih groženj informacijski varnosti.

Pri registraciji varnostnih dogodkov v sistemski dnevnik je treba zabeležiti naslednje podatke:

datum in ura dogodka;
identifikator predmeta ( uporabnik, program) izvajanje registrirane akcije;
dejanje ( če je zahteva za dostop registrirana, sta označena predmet in vrsta dostopa).

Kontrole bi morale biti sposobne zaznati in zabeležiti naslednje dogodke:

prijava uporabnika v sistem;
prijava uporabnika v omrežje;
neuspešna prijava ali poskus omrežja ( napačno geslo);
povezava z datotečnim strežnikom;
zagon programa;
zaključek programa;
poskus zagon programa, ki ni na voljo za zagon;
poskus dostopa do nedostopnega imenika;
poskus branja / pisanja informacij z diska, ki je uporabniku nedostopen;
poskus zagon programa z diska, ki je za uporabnika nedostopen;
kršitev celovitosti programov in podatkov zaščitnega sistema itd.

Naslednji glavni načini odzivanja na odkrita dejstva nepooblaščenih dejanj ( morda vključuje skrbnika varnosti):

obveščanje lastnika o informacijah o NSD na svoje podatke;
odstranitev programa ( naloge) z nadaljnjo izvršitvijo;
obveščanje skrbnika baze podatkov in skrbnika varnosti;
prekinitev priključka ( delovna postaja), iz katerih so bili poskusi nepooblaščenega dostopa do informacij ali nezakonitih dejanj v omrežju;
izključitev kršitelja s seznama registriranih uporabnikov;
alarmna signalizacija itd.

8.2.5. Varnost kriptografskih informacij

Eden najpomembnejših elementov sistema varovanja informacij jedrske elektrarne bi morala biti uporaba kriptografskih metod in sredstev za zaščito informacij pred nepooblaščenim dostopom med prenosom po komunikacijskih kanalih in shranjevanje na računalniških nosilcih podatkov.

Vsa sredstva za kriptografsko zaščito informacij v AS bi morala temeljiti na osnovnem kriptografskem jedru. Za pravico do uporabe kriptografskih medijev mora imeti organizacija ki jih določa zakon dovoljenja.

Ključni sistem sredstev kriptografske zaščite, ki se uporabljajo v AU, bi moral zagotavljati kriptografsko preživetje in večstopenjsko zaščito pred kompromisom ključnih informacij, ločitev uporabnikov po ravneh zaščite in območjih njihovega medsebojnega delovanja ter uporabniki drugih ravni.

Zaščita zaupnosti in imitacija informacij med prenosom po komunikacijskih kanalih je treba zagotoviti z uporabo sredstev za šifriranje naročnikov in kanalov v sistemu. Kombinacija naročniškega in kanalskega šifriranja informacij mora zagotavljati njegovo končno zaščito po celotni poti, varovati informacije v primeru njegove napačne preusmeritve zaradi okvar in napak strojne in programske opreme stikalnih centrov.

AU, ki je sistem z razporejenimi viri informacij, bi moral uporabljati tudi sredstva za ustvarjanje in preverjanje elektronskega podpisa, da bi zagotovili celovitost in pravno dokazno potrditev pristnosti sporočil, pa tudi avtentifikacijo uporabnikov, naročniških postaj in potrditev časa pošiljanja sporočil. V tem primeru je treba uporabiti standardizirane algoritme za elektronski podpis.

8.3. Upravljanje informacijske varnosti

Upravljanje sistema informacijske varnosti v jedrski elektrarni je ciljno usmerjen vpliv na sestavne dele varnostnega sistema ( organizacijske, tehnične, programske in kriptografske) da bi dosegli zahtevane kazalnike in standarde varnosti informacij, ki krožijo v NEK v okviru izvajanja glavnih varnostnih groženj.

Glavni namen organizacije upravljanja sistema informacijske varnosti je povečati zanesljivost varovanja informacij med njegovo obdelavo, shranjevanjem in prenosom.

Upravljanje sistema informacijske varnosti izvaja specializiran nadzorni podsistem, ki je skupek nadzornih organov, tehničnih, programskih in kriptografskih sredstev, pa tudi organizacijskih ukrepov in interaktivnih kontrolnih točk različnih ravni.

Funkcije nadzornega podsistema so: informacijska, nadzorna in pomožna.

Informacijska funkcija je sestavljena iz stalnega spremljanja stanja zaščitnega sistema, preverjanja skladnosti varnostnih indikatorjev z dovoljenimi vrednostmi in takoj obveščanja varnostnih operaterjev o situacijah, ki nastanejo v jedrski elektrarni, ki lahko privedejo do kršitve informacijske varnosti. Za spremljanje stanja zaščitnega sistema obstajata dve zahtevi: popolnost in zanesljivost. Popolnost označuje stopnjo pokritosti vseh zaščitnih sredstev in parametre njihovega delovanja. Zanesljivost krmiljenja označuje stopnjo ustreznosti vrednosti nadzorovanih parametrov njihovi resnični vrednosti. Kot rezultat obdelave nadzornih podatkov se oblikujejo podatki o stanju zaščitnega sistema, ki se posplošijo in posredujejo višjim kontrolnim točkam.

Nadzorna funkcija je oblikovanje načrtov za izvajanje tehnoloških operacij NEK, pri čemer se upoštevajo zahteve po varnosti informacij pod pogoji, ki prevladujejo v določenem trenutku, pa tudi pri določanju lokacije ranljivosti informacij in preprečevanju njenega uhajanja s takojšnjim blokiranjem odsekov NEK, kjer se pojavijo grožnje informacijske varnosti. ... Nadzorne funkcije vključujejo računovodstvo, shranjevanje in izdajanje dokumentov in nosilcev informacij, gesla in ključev. Hkrati se generacija gesel, ključev, vzdrževanje sredstev za nadzor dostopa, sprejem novih programskih orodij, ki so vključena v programsko okolje AS, nadzor skladnosti programskega okolja s standardom, kot tudi nadzor nad tehnološkim postopkom obdelave zaupnih informacij zaupajo uslužbencem oddelka za informacijsko tehnologijo in oddelka za gospodarsko varnost.

Pomožne funkcije nadzornega podsistema vključujejo računovodstvo za vse operacije, ki se izvajajo v avtomatiziranem sistemu z zaščitenimi informacijami, generiranje poročilnih dokumentov in zbiranje statističnih podatkov za analizo in prepoznavanje potencialnih poti uhajanja informacij.

8.4. Spremljanje učinkovitosti zaščitnega sistema

Spremljanje učinkovitosti sistema varovanja informacij se izvaja z namenom pravočasnega odkrivanja in preprečevanja uhajanja informacij zaradi nepooblaščenega dostopa do njega, pa tudi za preprečevanje morebitnih posebnih ukrepov, namenjenih uničenju informacij, uničenju informacijske tehnologije.

Ocenjevanje učinkovitosti ukrepov za zaščito informacij se izvaja z uporabo organizacijskih, strojnih in programskih kontrol za skladnost z uveljavljenimi zahtevami.

Nadzor se lahko izvaja tako s standardnimi sredstvi sistema varovanja informacij kot s pomočjo posebnih sredstev nadzora in tehnološkega spremljanja.

8.5. Značilnosti zagotavljanja informacijske varnosti osebnih podatkov

Razvrščanje osebnih podatkov poteka v skladu z resnostjo posledic izgube varnostnih lastnosti osebnih podatkov za posameznika osebnih podatkov.

O osebnih podatkih ”Posebnim kategorijam osebnih podatkov;
osebni podatki, razvrščeni v skladu z zveznim zakonom " O osebnih podatkih ”Za biometrične osebne podatke;
osebne podatke, ki jih ni mogoče pripisati posebnim kategorijam osebnih podatkov, biometrične osebne podatke, javno dostopne ali anonimizirane osebne podatke;
osebni podatki, razvrščeni v skladu z zveznim zakonom " O osebnih podatkih ”Za javno dostopne ali anonimizirane osebne podatke.

Prenos osebnih podatkov tretji osebi mora potekati na podlagi zveznega zakona ali privolitve posameznika osebnih podatkov. V primeru, da organizacija na podlagi sporazuma zaupa obdelavo osebnih podatkov tretji osebi, je bistveni pogoj takega sporazuma obveznost tretje osebe, da med njihovo obdelavo zagotovi zaupnost osebnih podatkov in varnost osebnih podatkov.

Organizacija mora prenehati obdelovati osebne podatke in uničiti zbrane osebne podatke, razen če zakonodaja Ruske federacije določa drugače, v rokih, ki jih določa zakonodaja Ruske federacije v naslednjih primerih:

po doseganju ciljev obdelave ali če jih ni treba doseči;
na zahtevo posameznika osebnih podatkov ali pooblaščenega organa za varstvo pravic posameznikov osebnih podatkov - če so osebni podatki nepopolni, zastareli, nezanesljivi, nezakonito pridobljeni ali niso potrebni za navedeni namen obdelave;
kadar posameznik osebnih podatkov prekliče soglasje za obdelavo svojih osebnih podatkov, če je takšno soglasje potrebno v skladu z zakonodajo Ruske federacije;
če upravljavec nemogoče odpraviti kršitve, storjene pri obdelavi osebnih podatkov.

Organizacija mora opredeliti in dokumentirati:

postopek uničenja osebnih podatkov ( vključno z materialnimi nosilci osebnih podatkov);
postopek obdelave zahtev posameznikov osebnih podatkov ( ali njihovih zakonitih zastopnikov) o obdelavi njihovih osebnih podatkov;
postopek ukrepov v primeru zahtev pooblaščenega organa za varstvo pravic posameznikov osebnih podatkov ali drugih nadzornih organov, ki izvajajo nadzor in nadzor na področju osebnih podatkov;
pristop k razvrščanju AU kot informacijskih sistemov osebnih podatkov ( nadalje - ISPDN );
seznam ISPD. Seznam ISPD mora vsebovati AS, katerega namen ustvarjanja in uporabe je obdelava osebnih podatkov.

Za vsak PDIS je treba določiti in dokumentirati naslednje:

namen obdelave osebnih podatkov;
obseg in vsebina obdelanih osebnih podatkov;
seznam dejanj z osebnimi podatki in načini njihove obdelave.

Obseg in vsebina osebnih podatkov ter seznam dejanj in načinov obdelave osebnih podatkov morajo ustrezati namenom obdelave. V primeru, da za izvajanje informacijskega tehnološkega procesa, katerega izvajanje podpira ISPD, ni treba obdelati določenih osebnih podatkov, je treba te osebne podatke izbrisati.

Zahteve za zagotavljanje varnosti osebnih podatkov v ISPD se na splošno izvajajo s kompleksom organizacijskih, tehnoloških, tehničnih in programskih ukrepov, sredstev in mehanizmov za zaščito informacij.

Organizacija izvajanja in ( ali) izvajanje zahtev za zagotavljanje varnosti osebnih podatkov mora izvajati strukturna enota ali uradnik (uslužbenec) organizacije, ki je odgovorna za zagotavljanje varnosti osebnih podatkov, ali na pogodbeni osnovi organizacija, ki je nasprotna stranka organizacije, ki ima dovoljenje za tehnično varstvo zaupnih podatkov.

Oblikovanje ISPD organizacije mora vključevati razvoj in odobritev ( izjava) organizacijsko, upravno, načrtovalno in obratovalno dokumentacijo za sistem, ki se vzpostavlja, ki ga predvidevajo tehnični pogoji. Dokumentacija mora odražati vprašanja zagotavljanja varnosti obdelanih osebnih podatkov.

Razvoj konceptov, tehničnih specifikacij, načrtovanje, izdelava in preizkušanje, sprejemanje in zagon ISPD bi morali potekati po dogovoru in pod nadzorom strukturne enote ali uradne osebe (zaposlenega), ki je odgovorna za zagotavljanje varnosti osebnih podatkov.

Vsa informacijska sredstva, ki pripadajo ISPD organizacije, morajo biti zaščitena pred učinki zlonamerne kode. Organizacija mora določiti in dokumentirati zahteve za zagotavljanje varnosti osebnih podatkov s protivirusno zaščito in postopek spremljanja izvajanja teh zahtev.

Organizacija mora opredeliti sistem za nadzor dostopa, ki omogoča nadzor dostopa do komunikacijskih vrat, vhodno / izhodnih naprav, odstranljivih nosilcev podatkov in zunanjih naprav za shranjevanje podatkov ISPDN.

Vodje oddelkov organizacije, ki upravljajo in servisirajo ISPD, zagotavljajo varnost osebnih podatkov med njihovo obdelavo v ISPDN.

Zaposleni, ki obdelujejo osebne podatke v ISPD, morajo delovati v skladu z navodili ( smernice, predpisi itd.), ki je del operativne dokumentacije o ISPD in je v skladu z zahtevami dokumentacije o vzdrževanju IS.

Odgovornosti za upravljanje zaščitnih sredstev in zaščitnih mehanizmov, ki izvajajo zahteve za zagotavljanje IS ISPD organizacije, so dodeljene z odredbami ( naročila) o specialistih oddelka za informacijske tehnologije.

Postopek za strokovnjake oddelka za informacijsko tehnologijo in osebje, ki sodeluje pri obdelavi osebnih podatkov, je treba določiti z navodili ( smernice), ki jih pripravi razvijalec ISPD kot del operativne dokumentacije za ISPD.

Navedena navodila ( vodstvo):

določiti zahteve za usposobljenost osebja na področju informacijske varnosti, pa tudi posodobljen seznam varovanih objektov in pravila za njegovo posodobitev;
vsebujejo v celoti ustrezne ( po času) podatke o pravicah uporabnikov;
vsebujejo podatke o tehnologiji obdelave informacij v količini, ki je potrebna za strokovnjaka za informacijsko varnost;
določiti vrstni red in pogostost analize dnevnikov dogodkov ( dnevniški arhivi);
urejajo druga dejanja.

Konfiguracijski parametri zaščitnih sredstev in mehanizmov za zaščito informacij pred posegi, ki se uporabljajo na območju odgovornosti strokovnjakov Oddelka za informacijske tehnologije, so določeni v operativni dokumentaciji ISPD. Postopek in pogostost preverjanj nameščenih konfiguracijskih parametrov sta določena v operativni dokumentaciji ali urejena notranji dokument, inšpekcijske preglede pa je treba izvajati vsaj enkrat letno.

Organizacija mora določiti in dokumentirati postopek dostopa do prostorov, v katerih se nahajajo tehnična sredstva ISPDN, in shranjevati nosilce osebnih podatkov, s čimer je zagotovljen nadzor dostopa do prostorov nepooblaščenih oseb in prisotnost ovir za nepooblaščen vstop v prostore. Navedeni postopek mora razviti strukturna enota ali uradnik ( zaposleni), ki je odgovoren za zagotavljanje fizičnega varnostnega režima in dogovorjen s strani strukturne enote ali uradne osebe ( zaposleni), odgovorna za zagotavljanje varnosti osebnih podatkov, in oddelek za ekonomsko varnost.

Uporabniki in osebje storitve ISPDN ne smejo izvajati nepooblaščenih in ( ali) neregistrirani ( nekontrolirano) kopiranje osebnih podatkov. V ta namen bi morali organizacijski in tehnični ukrepi prepovedati nepooblaščeno in ( ali) neregistrirani ( nekontrolirano) kopiranje osebnih podatkov, vključno z uporabo odtujenih ( nadomestljiv) pomnilniških medijev, mobilnih naprav za kopiranje in prenos informacij, komunikacijskih vrat in vhodno / izhodnih naprav, ki izvajajo različne vmesnike ( vključno z brezžično povezavo), pomnilniške naprave mobilnih naprav ( npr. prenosni računalniki, dlančniki, pametni telefoni, mobilni telefoni), pa tudi foto in video naprave.

Nadzor nad osebno varnostjo izvaja strokovnjak za informacijsko varnost, tako s pomočjo standardnih sredstev sistema zaščite informacij, kot s pomočjo posebnih orodij za nadzor in tehnološko spremljanje.

Prenos datoteke ZIP (65475)

Dokumenti so bili v priročni - dajte "všeč" ali:

Koncept pravnega razmerja je eden osnovnih v pravni znanosti. Koncept prava kot sistema norm, ki jih država vzpostavi ali sankcionira, razkriva eno od strani pravne resničnosti. Te norme urejajo odnosi z javnostjo med ljudmi. Ker takšni regulatorji delujejo v odnosu do vsakega posameznika ali organizacije kot nekakšen zunanji dejavnik, je izraz "zakon" v tem smislu objektivne narave, torej ne pripada nobenemu subjektu, ne predstavlja njegove osebne, tudi če gre za družbene lastnosti. Zato se pravna država ali pravo kot sistem norm imenuje objektivno pravo.)
Pravne norme pa ne obstajajo same od sebe, ampak za ljudi in njihove organizacije, tudi državo. Oni (prav v objektivnem smislu) so pozvani, naj uredijo svoja dejanja, ki jim dajejo svobodo delovanja, možnost vedenja in uporabe materialnih in duhovnih koristi, pa tudi njihovo svobodo in vedenje povezujejo z določenimi okviri, navodili, omejitvami itd.
Svoboda, ki jo zagotavljajo zakonske norme, možnost vedenja (v ruščini) ima isto ime - zakon. Vendar to ni več norma, ki ne presega obsega zmogljivosti, ki osebno pripadajo subjektu - osebi ali organizaciji. Nasprotno, tisto, kar po objektivnem zakonu (zakonu) pripada subjektu, pomeni njegovo osebno svobodo ali možnost vedenja, uporabo njegovih stvari, sposobnosti, znanja in številne druge dobrine. Takšna svoboda in možnost vedenja oz. zakonsko določena (objektivno pravo) se imenuje subjektivno pravo.
Hkrati okviri, omejitve svobode in recepti vedenja veljajo tudi za posameznike in organizacije: vzpostavijo pravilno vedenje, ki ga mora upoštevati vsak subjekt, ob spoštovanju svobode in interesov drugih ali družbe kot celote. Takšno pravilno ravnanje se imenuje posameznikova pravna obveznost ali subjektivna pravna obveznost.
To je v bistvu pozitivno-pravni koncept pravnih subjektivnih pravic in obveznosti, ki temelji na povezavi pravic in obveznosti s pravnimi normami. Po tem konceptu pravnega mišljenja so pravni odnosi odnosi med ljudmi in njihovimi organizacijami, urejeni z zakonskimi normami in so sestavljeni v medsebojni (ali enostranski - za najpreprostejše odnose) povezava subjektivnih pravic in pravnih obveznosti, ki jih predvidevajo zakonske norme.
Kako se pravni odnosi razlikujejo od gospodarskih, političnih, družbeno-kulturnih, organizacijskih in vodstvenih, družinskih in drugih odnosov med ljudmi in organizacijami ljudi?
V sovjetski pravni znanosti so bila pravna razmerja obravnavana kot nadgradnja, v nasprotju s proizvodnimi odnosi, ki po K. Marxu predstavljajo ekonomsko osnovo družbe in se oblikujejo neodvisno od volje in zavesti ljudi. Temu razmerju je namenjenih veliko strani znanstvenih in izobraževalnih del. Dejstvo, da je v središču ekonomija družbeni razvoj, bi bilo treba šteti vsaj za resničen zaključek, čeprav daleč od absolutnega, o katerem so pisali ustanovitelji marksizma. Zato so vrste pravnih razmerij nedvomno odvisne od stopnje razvoja proizvodnje in menjave blaga in jih v veliki meri določa. Poleg tega so pravni odnosi odvisni od politike, oblik družine, ki so se razvile v družbi, od stopnje razvoja različnih idej, stališč ljudi, predvsem od javne morale. Vse te »nadgradnje« ali »ideološki« odnosi imajo svoje zakonitosti, značilne za vsako stopnjo razvoja družbe, pa tudi izražanje posameznih oblik medsebojnih povezav, ki jih ljudje zaznavajo in ustvarjajo po volji in zavesti ljudi. Engels je o tem pisal zelo natančno: ljudje naredijo svojo zgodovino, vendar v okolju, ki jih pogojuje, v katerem se iz milijonov volj in dejanj oblikuje določen rezultat, ki ne sovpada s posameznimi nameni in rezultati. Ta rezultat je zgodovina. V zgodovinskem procesu je razvoj gospodarstva najmanj zaveden in podrejen volji njegovih udeležencev, najbolj spontan. Gospodarstvo je glavni, materialno nujen pogoj za življenje. Zato proizvodni odnosi določajo vse druge, vendar le na splošno, v končni analizi.
Glede pravnih odnosov in njihovega mesta med drugimi odnosi ne bi smelo biti, kako se rezultati in gonilne sile zgodovinskega razvoja ujemajo, ampak kakšne so tiste individualne povezave in odnosi med posamezniki in organizacijami, ki so v svojem filozofskem razumevanju in v resnici voljni , torej nastanejo po volji in zavesti ljudi. Takšni individualno-voljni odnosi se odvijajo v ekonomski sferi, na primer pri izmenjavi blaga, izvajanju izumov, vlaganju kapitala (naložbe) itd. Tipični so za družbena razmerja (zdravljenje pacientov, sanatorijski počitek itd.), Kulturno sfero (izobraževanje, obisk koncerta, gledališko predstavo itd.) In za vse druge sfere človeškega življenja. Enako opazimo v procesu dejavnosti podjetij in organizacij, kjer skupni rezultat - proizvodnja izdelkov, opravljanje storitev in prejemanje dobička - obsega množica individualno-voljnih delovnih, proizvodnih, tehničnih in drugih odnosov, pa tudi izmenjav, veleprodaje in trgovina na drobno, finančne transakcije itd.
Vsa taka dejanja in odnosi in ne njihovi objektivni rezultati pomenijo individualno-voljni odnos med ljudmi. In prav (in ne stopnja dobičkonosnosti podjetja, izobrazba in kultura človeka itd.) So zakonsko urejena in zato imajo obliko pravnih razmerij. Posamezni ekonomski (delavski, industrijski, pa tudi izmenjalni odnosi), politični, socialni, kulturni, družinski in drugi odnosi, hkrati pa ohranjajo svojo specifično vsebino za vsako vrsto odnosov v obliki interakcije ljudi in organizacij, z zakonom pridobijo novo kakovost v obliki zakonskih pravic in odgovornosti, na podlagi katerih lahko in v primernih primerih uskladijo svoje vedenje do partnerjev. Te pravice varuje država, izpolnjevanje dolžnosti pa zagotavlja prisila države v interesu pooblaščene osebe. Obenem družbeni odnosi (ekonomski, politični itd.) Ne izgubijo svoje vsebine, temveč le pridobijo obliko pravnega razmerja, ki na vsebino vpliva zaradi ohranjanja enotnega reda celotnega zapletenega sistema odnosov v družbi.
Tako je pravno razmerje obvezna oblika individualno-voljni družbeni odnosi, ki jih urejajo zakonske norme. Pravno razmerje izraža posebno družbeno povezanost med osebami, komunikacijo preko pravic in obveznosti.
Za pravilno razumevanje vrst pravnih razmerij je najprej treba izpostaviti glavne strukturne vrste pravnih razmerij. Najenostavnejša struktura pravnega razmerja je videti kot povezava, medsebojno delovanje pravic in obveznosti obeh udeležencev. Na primer, pravica kupca ustreza obveznosti prodajalca, da mu stvar (nakup) prenese po plačilu njegove vrednosti (obveznost kupca), prodajalec pa ima pravico zahtevati ustrezno plačilo. V skladu s pogodbo o zaposlitvi pravica delodajalca (delodajalca), da zahteva opravljanje določenega dela, ustreza obveznosti delavca, da opravlja takšno delo. Pravica zaposlenega do prejemanja plače ustreza obveznosti delodajalca, da jo pravočasno izplača.
Takšna pravna razmerja se imenujejo dvostranska, saj vključujejo dve stranki, od katerih ima vsaka pravice in obveznosti v odnosu do druge. Civilni odnosi so tudi enostranski. Prav tako so individualizirali pooblaščene in zavezane subjekte (dva udeleženca), od katerih je eden dolžan drugemu, drugi pa ima pravico, da to obveznost opravi v svojo korist. Darovalna pogodba je na primer najosnovnejše pravno razmerje med dvema posamezno določenima subjektoma, kjer obstajata le ena obveznost in ena pravica.
Pravni odnosi so možni in obstajajo, v katerih ne sodelujeta dve, ampak tri ali več strank. Primer je nakup in prodaja prek posrednika; gradbeno pogodbeno razmerje, kjer so naročnikovi partnerji praviloma generalni izvajalec in več (pogosto veliko) podizvajalcev. Toda povečanje števila udeležencev v pravnih razmerjih ne spremeni njihovega strukturnega tipa, v katerem vsaka pravica ene stranke ustreza obveznosti druge stranke, vnaprej znani, opredeljeno v sporazumu.
Takšni odnosi se imenujejo relativni pravni odnosi, v katerih sta opredeljeni obe strani. So "sorodni", ker vse druge osebe in organizacije nimajo obveznosti in nimajo pravic po tej pogodbeni ali na primer družinski zvezi med zakoncema.
Vendar pa obstaja tudi bistveno drugačna struktura pravnih razmerij, v kateri je opredeljen le en upravičen stranka. Klasičen primer je pravica do lastnine, ki je sestavljena iz pooblastil za posest, uporabo in razpolaganje z neko stvarjo. Zakon ne določa lastnikov lastnika. Ali to pomeni, da tu poteka le subjektivno pravno pravo, ni pa pravnega razmerja, saj ni zavezane stranke? V pravni teoriji mnogi lastninske pravice pripisujejo pravicam "izven pravnega razmerja". Vendar je bilo drugo stališče, ki ga deli pravna praksa, bolj pravilno: pravici lastnika nasprotuje obveznost vseh drugih oseb, da ne posegajo v prosto izvrševanje njihove posesti, uporabe ali razpolaganja s stvarjo, da ne bi posegali v te pravice. V normalnih pogojih taka povezava med udeleženci pravnih razmerij ni vidna. A takoj ko se krši lastninska pravica, se jasno razkrije obveznost kršitelja v razmerju do lastnika.
Takšni odnosi se imenujejo absolutni pravni odnosi, to je nalaganje obveznosti vsem in vsem. V civilnem pravu je to avtorjska pravica, v upravnem pravu - pravica do zaščite države (uradne), da preprečuje kršitve javnega reda, dolžnost spoštovanja, ki jo ima vsak človek in organizacija. Pravice organov za varstvo narave in nekaterih drugih nadzornih organov so podobne.
Takšna pravna razmerja je treba razlikovati po pravni osebnosti posameznikov in pravnih oseb, pravnem statusu državnih organov, javnih združenj itd. (glej 2. odstavek tega poglavja).
Vrste pravnih razmerij se razlikujejo tudi na druge načine. Na primer, vsaka panoga prava ima svoje posebnosti urejanja, ki določajo posebnosti ustreznih panožnih pravnih razmerij. Torej, za civilna razmerja (obveznosti, dedovanje, premoženje) je značilen enakomeren položaj strank. Za upravna pravna razmerja je nasprotno značilno podrejanje ene stranke (pod nadzorom) drugi stranki (upravljavcu). Zemljiška razmerja so povezana s posebnimi ukrepi upravljanja in nadzora s strani države (pogoji za pridobitev, vzdrževanje in obnovo zemljišč, zemljiški kataster). Za delovna pravna razmerja so značilna posebna jamstva za delavce, za odnose na področju pravnih postopkov so značilne nasprotne stranke, jamstva domneve nedolžnosti itd.
V teoriji prava razlikujejo tudi regulativna in zaščitna pravna razmerja. Prvi so v določeni meri primarni, povezani z vzpostavitvijo pozitivnih pravic in obveznosti strank ter njihovim izvajanjem. Slednje nastanejo, ko so kršene pravice in niso izpolnjene dolžnosti, ko pravice in interesi udeležencev v pravnih odnosih ali vsaka oseba, celotna družba potrebujejo pravni ukrepi zaščita pred državo. Tipični primeri regulativnih razmerij so civilne obveznosti, delovna, družinska in druga pravna razmerja. Procesna razmerja na področju sodnih postopkov, izvrševanja kazenskih kazni so tipična zaščitna pravna razmerja za izvajanje pravne odgovornosti.
Treba je opozoriti, da sektorske in druge klasifikacije vrst pravnih razmerij niso povezane z njihovo notranjo strukturo. V vseh panogah prava razlikujemo enostavne in zapletene pravne odnose, relativne in absolutne. Regulativna in zaščitna pravna razmerja so značilna tudi za različne veje prava, lahko so preprosta in zapletena, absolutna (v kazenskem pravu) ali relativna (v civilnem sporu).

V sodobni družbi med ljudmi in različnimi organizacijami in organi obstajajo različni materialni, politični, finančni in drugi odnosi, ki so v takšni ali drugačni meri organizirani, urejeni in urejeni z različnimi etičnimi, moralnimi, socialnimi in drugimi normativi. Večino jih ureja zakon. Ker ti odnosi nastajajo v vseh sferah družbenega življenja, je z njihovo pomočjo v družbi organiziran pravni red, ki ima stabilno in namensko naravo, zato jih imenujemo pravni odnosi.

Pravo vpliva na zavest in voljo ljudi, povzroča jim pozitivno motivacijo za izvajanje zakonitih dejanj, zato lahko govorimo o sposobnosti zakona, da uredi povezave med ljudmi, njihovimi dejavnostmi, odnosi. Iz tega sledi, da so pravne norme standardi, vzorci vedenja, ki so zasnovani tako, da povzročijo določeno vedenje pri določenem naslovniku, izoliranem od mase potencialnih naslovnikov, da ga prisilijo k določenim dejanjem ali mu dajo priložnost za izvajanje takšnih dejanj. V tem primeru je treba pravno državo uporabiti za določen pravni subjekt prava, ki mu daje subjektivne pravice in (ali) pravne obveznosti, kar se natančno odraža v pojmu "pravnega razmerja".

V različni pravni literaturi je kar nekaj definicij pojma "pravno razmerje", najpogosteje jih razumemo kot posebna vrsta družbenega odnosa, vendar je najbolj celovito razkrit v Velikem pravnem slovarju, iz katerega izhaja, da pravni odnosi niso nič drugega kot posebna vrsta družbenih odnosov, zajeta v pravna sferaki jih različni ščitijo, jamčijo in urejajo na poseben način vladne agencijeki izhajajo iz predmeta prava na podlagi zakonskih pravic in obveznosti, ki izhajajo neposredno med subjekti prava. Glej: Veliki enciklopedični slovar: Sovjetska enciklopedija, Moskva, 1982. Elektronski vir: http: //enc-dic.com/modern/Norma-prava-42704.html).

Krog družbenih odnosov se nenehno povečuje. In tistih , ki jih zakon ureja neposredno, imenujemo pravna razmerja ali pravna razmerja. Kakšen je njihov pomen? Najprej delujejo kot nekakšen standard pravno urejenih odnosov s pozicije pozitivnega prava. , ker je v ožjem smislu "pravno razmerje" enako pojmu "pravnega razmerja", torej obstaja pravna soodvisnost med pravnim razmerjem in pravno državo. Pravni odnosi zaradi svojega presežnega pomena prežemajo vse sisteme družbenega življenja in v njih ustvarjajo zakon in red namenske in stabilne narave, v katerem udeleženci v teh odnosih najbolj celovito in učinkovito uresničujejo dane pravice in izpolnjujejo zaupane dolžnosti. Poleg tega je obstoj samega zakona neposredno odvisen tudi od pravnih razmerij: brez praktične uporabe pravo ni nič drugega kot zbirka standardiziranih predpisov in pravil. In čeprav v nobenem primeru ne bo izgubila svoje družbene vrednosti, bo pravno veljavo pridobila šele z izvajanjem v pravnih razmerjih.

Tradicionalno obstajata dva najpogostejša pristopa k zastopanju pravnih razmerij: v ozkem in širokem smislu. Razlike izhajajo iz odnosa do pravnih norm.

V širšem smislu je pravno razmerje objektivna oblika družbene interakcije neposrednih udeležencev, ki imajo skupne, medsebojno povezane pravice in obveznosti, ki se izvajajo z namenom zadovoljevanja potrebnih potreb na način, ki ga predpišejo in dovolijo državni organi.

Pravna razmerja v ožjem smislu so posebna vrsta družbenih odnosov, ki jih urejajo pravne norme, v katerih so udeleženci obdarjeni z enakimi pravicami in obveznostmi, vendar je tu poudarek na njihovem varovanju s strani državnih organov. Se pravi, da pravno razmerje te sorte razumemo kot trenutno pravno normo, civiliste delimo na tiste, ki imajo pravice (ali so do njih upravičeni) in ki so dolžni. Z drugimi besedami, pri uporabi zakona ima določena pravna oseba možnost uveljavljanja subjektivnih pravic in (ali) potrebe po izpolnjevanju pravnih obveznosti.

Pravni odnosi, kot družbeni odnosi, so močno voljna oblika odnosov.

Pravni odnosi so določeni z naravo in posebnostmi industrijskih odnosov. "Materialna življenjska razmerja" se manifestirajo na različne načine: nekateri izražajo pravne odnose neposredno, drugi - posredno. Torej, za pravna razmerja, ki vplivajo na različne oblike lastništva, jih obstoj neposredno izraža, za kazensko pravo ali upravna pravna razmerja pa je značilna odsotnost neposredne povezave. Izvedena narava nikakor ne izključuje njihovega obratnega učinka na osnovne odnose. Oblikovanje na podlagi pravnih norm lahko spodbudi ali nasprotno ovira razvoj in utrjevanje nekaterih industrijskih odnosov. Značilnost pravnih razmerij, kot je že omenjeno, je, da nastajajo in obstajajo le na podlagi pravne države. Pravila prava so vedno abstraktna, saj so praviloma zavezujoča pravila ravnanja. V pravnih odnosih se tako ali drugače izrazi volja njihovih udeležencev in brez tega so nepredstavljivi, saj je vsako razmerje medsebojna povezava med dvema stranema, ki temelji na skupnem. Hkrati volja udeležencev v pravnih odnosih ne more, a se razlikuje, saj si vsak od njih prizadeva za svoj cilj.

Glede vsebine pravnih odnosov ločita dva tesno povezana elementa - subjektivno pravo in pravna obveznost, ki povezujeta udeležence v pravnih razmerjih. Subjektivno pravo je merilo dopustnega vedenja določene osebe, usmerjeno k zadovoljevanju njegovih pravnih potreb, ki se od objektivnega prava razlikuje v tem, da gre za pravico določenega subjekta, ki se uresničuje šele z njegovo odločitvijo. Vključuje:

pozitivno vedenje, ki ga lahko izvaja imetnik pravic, tj. njegova pravica, da deluje po lastni presoji;

pravica do uporabe državne prisile v primeru neizpolnjevanja predpisanih obveznosti s strani nasprotne stranke;

zakonita uporaba socialnih prejemkov na pravni podlagi;

pravico imetnikov pravic, da od tistih, ki so upravičeni do pravic, zahtevajo pravilno vedenje.

{!LANG-427be7baa3062938df6df5fee2a9523c!}

{!LANG-195dcd9b8ba7f3c8e7a75a3de0e92b68!}

{!LANG-a913b02a7687ac23d49cb17a10882c54!}

{!LANG-6a1f7bfdb37c80bfc83bed0f8eeb1265!}

{!LANG-18ab907821aabade7a24bb462eea0e22!}

{!LANG-8008e1de66eb087023e92b85d47fc0f2!}

{!LANG-42dd47a14196132a5dea26d5469748dd!}

{!LANG-cb6ced8e8412690c150f697707bef64d!}

{!LANG-63ef8adf14f480ed98bd5dc1dc38be9c!}

{!LANG-9caf9ecdbd95cf610100120351c08be9!}

{!LANG-b24cd62ccea49f77ff574967d8670676!}

{!LANG-a39c19da8ff2f08644f1f3e6c187896d!} {!LANG-750ca0d6e80f9dc5914d3afc7ef75e67!}{!LANG-a85845c68331bb48efb35f238cc51428!}

{!LANG-d2e22a3ea7395c783a30b851f72383b1!}

{!LANG-bdbea6156ee2d62f5c8b9c5dc804ae6e!}

{!LANG-6e3a8f0db491ee36e71a1dcaa7ea06e3!}

{!LANG-f984abf29a788ca8d5e65932691b6b93!} . {!LANG-917fa0da49aeb5f9d38b928101e891c4!} {!LANG-970041330ac9344070afe8e2292c0645!}{!LANG-69a80b9619d8081e084ab08fcbd82b9d!}

{!LANG-518758f05b05cfce939e35c7465ef03d!}

{!LANG-c26b17080ecf41623807113341c10662!}

{!LANG-674fb12e1f3070e10b007582270acecd!}

{!LANG-dbc1d86bfc07fc3f1eb9f775ecbed00c!}

{!LANG-672730656dede38425489e36f19b775f!}

{!LANG-c94cdd297e4e2adb32f3bfbd0b8048fd!}

{!LANG-d0355f0f661a70186f7cb36b1e584bc5!} {!LANG-2af38c6ff51e24e355646714af7aebe9!}{!LANG-4c900bf142ff96ee8d2bf497c7bf1783!}

{!LANG-776193f5334d24d87521375d25b1e82e!}

{!LANG-053b1484c2b83f740fca65c35530c80a!}

{!LANG-c3f793eba95e3e6dde57bef6125c3df5!} {!LANG-22018fd78175b3f9703ab2193a02b933!}{!LANG-bafdd0dc8c5293c031b97e9694ebea2f!} {!LANG-d1ed7646a3a94c35f0a0d9895e109c34!}{!LANG-0db88254f1d65df0ad71cf5c1db2aee2!}

{!LANG-d84c8eed9923b9bc9c9d8d2afda7853d!}

{!LANG-f99a3351240ebf28b2b22723055cae98!}

{!LANG-0f43a7b3b5c8c2420ddc75f4efb85059!}

{!LANG-56771f33463a92e8c47673c2b91b5b9c!}

{!LANG-269866ba4a1d6ee43faf5a8f74de36d6!}

{!LANG-48889e0120d7c2bf401713faef417b8b!}

{!LANG-c29f2318e411ed8cce2738c58c42350a!}

{!LANG-f485ba2d234ef6ea8b6bb1f8dd62f3d6!}

{!LANG-e5da3f4b34bc51f62b466dc52aa58799!} {!LANG-d4e9509e4513176c2fdd7b21c3e5b018!}{!LANG-c9164f73716b7a857c00b0f4ce442e42!}

{!LANG-ebaa72f64c124774afe1b25e1020b37c!}

{!LANG-0d6ee677d877dd6fb0b5ada916851acc!}

{!LANG-1914819e1112c8d7c5b280df0582469e!}

{!LANG-149e5d4e7f6e5fa6b0544fd057bf511b!} {!LANG-7c3d8af0e208c260a6a3ec09f3a50003!}{!LANG-f3585c68691fd71435f4e4c3577f2059!}

{!LANG-ca9335f44e677c3d33eb41561ddad7df!}

{!LANG-80211c51d74757363b1927f1faec324e!}

{!LANG-0337556ef8f84b045f4c8b5c0859e3a7!}

{!LANG-1983c09bd0cee6ac407e6afa6eb30fa9!}

{!LANG-b28c8eb862efbbe8a9e340d6a380b6a9!}

{!LANG-3032254797f2da9f83a14e9e1e3a5a5b!}

{!LANG-9e925f295017385aa5fb0906aea134c0!} {!LANG-9b2f08564044c2d2ba0911647b41f32e!}{!LANG-27424cb94f2e46fb05a731958d1eb233!}

{!LANG-d515d9d65edc4296d24bcf1041197b37!}

{!LANG-e56af13ff182a474481376a7089549f1!}

{!LANG-573af76897a252464bc24766bc867a65!}

{!LANG-54d728d35ef873ece91ea98aa53ffa06!}

{!LANG-7e2229775409ec37c65b89fcc0f9c5c4!}