Diplomski radovi iz oblasti informacione bezbednosti (Bezbednost informacionih sistema). Sistem informacione bezbednosti Spisak tema WRC-a o bezbednosti informacija
Slični dokumenti
Relevantnost pitanja sigurnosti informacija. Softver i hardver za mrežu Mineral LLC preduzeća. Izgradnja modela korporativne sigurnosti i zaštite od neovlaštenog pristupa. Tehnička rješenja za zaštitu informacionog sistema.
teze, dodato 19.01.2015
Sigurnost informacionog sistema je njegova sposobnost da izdrži različite uticaje. Vrste kompjuterskih pretnji, koncept neovlašćenog pristupa. Virusi i zlonamjerni softver. Metode i sredstva zaštite informacionih sistema.
sažetak, dodan 14.11.2010
Klasifikacija prijetnji sigurnosti informacija. Greške u razvoju računarskih sistema, softvera i hardvera. Glavni načini dobivanja neovlaštenog pristupa (UNA) informacijama. Metode zaštite od NSD-a. Virtuelne privatne mreže.
kurs, dodan 26.11.2013
Eksterne prijetnje informacionoj sigurnosti, oblici njihovog ispoljavanja. Metode i sredstva zaštite od industrijske špijunaže, njeni ciljevi: pribavljanje informacija o konkurentu, uništavanje informacija. Metode neovlaštenog pristupa povjerljivim informacijama.
test, dodano 18.09.2016
Najčešći načini neovlaštenog pristupa informacijama, kanali njihovog curenja. Metode zaštite informacija od prirodnih (hitnih) prijetnji i od nasumičnih prijetnji. Kriptografija kao sredstvo zaštite informacija. Industrijska špijunaža.
sažetak, dodan 04.06.2013
Pojam, značenje i pravci informacione sigurnosti. Sistematski pristup organizovanju bezbednosti informacija, zaštita informacija od neovlašćenog pristupa. Alati za sigurnost informacija. Metode i sistemi sigurnosti informacija.
sažetak, dodan 15.11.2011
Pojam i principi informacione sigurnosti. Razmatranje glavnih vrsta opasnih efekata na računarski sistem. Klasifikacija kanala za neovlašćeni pristup računarima. Karakteristike hardverskih i softverskih alata za sigurnost informacija.
prezentacija, dodano 15.11.2011
Sigurnost informacija, njeni ciljevi i zadaci. Kanali curenja informacija. Softverske i hardverske metode i sredstva zaštite informacija od neovlaštenog pristupa. Model sigurnosnih prijetnji informacijama koje se obrađuju u računarskom objektu.
rad, dodato 19.02.2017
Uticaj vrste delatnosti preduzeća na organizaciju sveobuhvatnog sistema bezbednosti informacija. Sastav zaštićenih informacija. Potencijalni kanali za neovlašteni pristup organizacijskim informacijama. Efikasnost sistema informacione bezbednosti.
izvještaj o praksi, dodan 31.10.2013
Istorijski aspekti nastanka i razvoja informacione sigurnosti. Sredstva sigurnosti informacija i njihova klasifikacija. Vrste i principi rada kompjuterskih virusa. Pravni osnov za zaštitu informacija od neovlašćenog pristupa.
fokus (profil) “Informacioni sistemi i tehnologije”
oblasti obuke 09.03.02 “Informacioni sistemi i tehnologije”
dizajn i tehnologiju,
servisna i operativna.
1. Virtuelizacija informacione infrastrukture preduzeća (naziv preduzeća).
2. Integracija poslovnih informacionih sistema baziranih na Linux OS-u i slobodno distribuiranog DBMS-a.
3. Modernizacija i administracija korporativnog informacionog sistema preduzeća (naziv preduzeća).
4. Modernizacija, administracija i održavanje informacione mreže preduzeća (naziv preduzeća).
5. Modernizacija informacionog i upravljačkog sistema preduzeća (procesa) (naziv preduzeća ili procesa) i razvoj mjera za njegovu podršku.
6. Razvoj Intranet portala za preduzeće (naziv preduzeća).
7. Dizajn informacione mreže preduzeća (naziv preduzeća).
8. Dizajn korporativnog informacionog sistema za preduzeće (naziv preduzeća).
9. Razvoj i održavanje korporativnog web portala preduzeća (naziv preduzeća).
10. Razvoj automatizovanog sistema za obradu informacija za preduzeće (naziv preduzeća).
11. Razvoj prototipa informacionog sistema preduzeća za upravljanje procesima (naziv procesa ili objekta).
12. Izrada web servisa za informacioni sistem preduzeća (naziv preduzeća).
13. Razvoj referentnog informacionog sistema za preduzeće (naziv preduzeća).
14. Razvoj modela i dizajna sistema upravljanja informacijama preduzeća (naziv preduzeća).
15. Razvoj tehnološkog softvera za održavanje sistema (naziv sistema).
16. Razvoj softvera za mikroprocesorski uređaj (naziv uređaja).
17. Razvoj mobilne klijentske aplikacije za informacioni sistem preduzeća (naziv preduzeća).
18. Razvoj simulacionog modela za optimizaciju parametara proizvodnog procesa.
19. Dizajn virtuelnih servera na osnovu alata (naziv alata za virtuelizaciju) i kanala za prenos podataka za preduzeće (naziv preduzeća).
20. Razvoj modula (podsistema) (naziv implementirane funkcije) informacionog (korporativnog informacionog) sistema preduzeća (naziv preduzeća).
u obrazovnom programu primenjene diplome
oblasti obuke 03/09/04 “Softversko inženjerstvo”
proizvodno-tehnološki,
organizaciono i menadžersko,
servisna i operativna.
1. Izrada aplikacije za parsiranje web stranice, društvene mreže, portala.
2. Dizajn i softverska implementacija informacionog (informacionog i referentnog) sistema (svrha ili funkcija sistema).
3. Razvoj firmvera za uređaj (naziv uređaja).
4. Razvoj aplikativnog softvera za sistem (naziv sistema).
5. Razvoj softverskog informacionog sistema (naziv oblasti upotrebe ili procesa koji se implementira).
6. Razvoj metoda za testiranje i otklanjanje grešaka softvera (naziv softvera).
7. Razvoj softverskog modula (naziv modula) za sistem 1C: Enterprise (naziv preduzeća).
8. Razvoj web servisa za sistem upravljanja informacijama preduzeća (naziv preduzeća).
9. Izrada aplikacije za podršku informaciono-mjernom sistemu (namjena sistema).
10. Studija informacione sigurnosti web servisa sistema 1C:Enterprise.
11. Razvoj modula (podsistema) (naziv implementirane funkcije) informacionog (korporativnog informacionog) sistema preduzeća (naziv preduzeća).
12. Razvoj serverskog (klijentskog) softvera za sistem (naziv sistema).
Predmeti završnih kvalifikacionih radova
u obrazovnom programu primenjene diplome
fokus (profil) “Informacijski servis”
:usluga,
1. Modernizacija, administracija i održavanje lokalne mreže preduzeća (naziv preduzeća).
2. Modernizacija i administracija informacionog sistema preduzeća (naziv preduzeća).
3. Dizajn informacionog sistema preduzeća (naziv preduzeća).
4. Dizajn i razvoj tehnologije za rad lokalne mreže preduzeća (naziv preduzeća).
5. Projektovanje hardverske i softverske zaštite informacionog sistema preduzeća (naziv preduzeća).
6. Razvoj tehnologije za dijagnostiku, popravku i održavanje uređaja (naziv uređaja, grupa uređaja, mjerna oprema, računarska jedinica, računarski ili mikroprocesorski sistem, lokalna mreža).
7. Razvoj i administracija web stranice kompanije (naziv kompanije).
8. Razvoj konfiguracije servera za mrežu prenosa podataka preduzeća (naziv preduzeća).
9. Razvoj i administracija baze podataka informacionog sistema preduzeća (naziv preduzeća).
10. Izrada Intranet portala za preduzeće (naziv preduzeća).
11. Razvoj podsistema za praćenje proizvodnih procesa na platformi 1C:Enterprise.
12. Izrada projekta za distribuirani informacioni sistem (naziv sistema) preduzeća (naziv preduzeća).
13. Razvoj informacionog i referentnog računovodstvenog sistema (naziv računovodstvenog objekta).
14. Razvoj WCF servisa za informacioni sistem preduzeća.
15. Izrada modela informacionog sistema preduzeća (naziv ili oblast delatnosti preduzeća).
16. Razvoj metoda za testiranje i otklanjanje grešaka softvera (naziv softvera).
17. Izrada seta mjera za administraciju i održavanje softverskog informacionog sistema (naziv oblasti upotrebe ili procesa koji se implementira).
18. Modeliranje i istraživanje sistema za prenos podataka (naziv sistema).
19. Istraživanje i optimizacija parametara distribuiranog informacionog sistema na platformi 1C:Enterprise.
20. Projektovanje odjeljenja preduzeća (naziv preduzeća) za popravku i održavanje elektronske (računarske) opreme i organizaciju rada tehničke opreme.
21. Dizajn virtuelnih servera na osnovu alata (naziv alata za virtuelizaciju) i kanala za prenos podataka za preduzeće (naziv preduzeća).
22. Razvoj serverskog (klijentskog) softvera za sistem (naziv sistema).
Predmeti završnih kvalifikacionih radova
u obrazovnom programu primenjene diplome
usmjerenost (profil) "Servis elektronske opreme"
oblasti obuke 03.43.01 “Usluga”
Vrste profesionalnih aktivnosti:usluga,
proizvodno-tehnološki.
1. Razvoj tehnologije za dijagnostiku, popravku i održavanje uređaja (naziv elektronskog uređaja, mikroprocesorski ili telekomunikacioni sistem, mjerna oprema, mreža za prenos podataka).
2. Razvoj elektronskog sistema (naziv sistema) preduzeća (naziv preduzeća, trgovačko-kancelarijski centar, zabavni kompleks).
3. Razvoj uređaja za unos/izlaz informacija (naziv uređaja).
4. Razvoj softvera za mikroprocesorski uređaj (naziv uređaja).
5. Razvoj korporativne telekomunikacione mreže za preduzeće (naziv preduzeća).
6. Razvoj digitalnog uređaja (modula) (naziv uređaja, modula; naziv funkcije koja se implementira).
7. Razvoj uređaja za napajanje elektronske opreme (naziv opreme).
8. Razvoj tehnologije za praćenje (kontrolisanje parametara) objekata (naziv objekata).
9. Razvoj i istraživanje bežičnog senzora (naziv mjernog parametra).
10. Projektovanje odjeljenja preduzeća (naziv preduzeća) za popravku i održavanje elektronske (računarske) opreme i organizaciju rada tehničke opreme.
11. Razvoj podsistema (naziv podsistema) integrisanog sigurnosnog sistema za preduzeće (naziv preduzeća).
Predmeti završnih kvalifikacionih radova
u obrazovnom programu primenjene diplome
usmjerenost (profil) “Radiotehnička sredstva za prenos, prijem i obradu signala”
oblasti obuke 03/11/01 “Radiotehnika”
dizajn i inženjering,
servisna i operativna.
1. Razvoj uređaja (bloka, modula; prijemnog, predajnog, primopredajnog) sistema (naziv sistema).
2. Razvoj bežičnog interfejsa za elektronsku opremu (naziv opreme).
3. Proučavanje virtuelnog modela uređaja (navesti tip uređaja) u okruženju (naziv softverskog okruženja).
4. Razvoj podsistema (naziv podsistema) integrisanog sistema sigurnosti preduzeća (naziv preduzeća.
Predmeti završnih kvalifikacionih radova
u obrazovnom programu primenjene diplome
usmjerenost (profil) "Mobilni komunikacioni sistemi"
oblasti obuke 11.03.02 “Infokomunikacione tehnologije i komunikacioni sistemi”
Vrste profesionalnih aktivnosti:dizajn
1. Projektovanje telekomunikacione mreže za preduzeće (naziv preduzeća).
2. Administracija i održavanje telekomunikacione mreže preduzeća (naziv preduzeća).
3. Razvoj bloka (kodek, vokoder, uređaj za sinhronizaciju, uređaj za usklađivanje) digitalnog telekomunikacionog sistema.
4. Razvoj adaptera bežičnog interfejsa (naziv interfejsa).
5. Razvoj sistema uređaja za obradu informacija (tip uređaja) (ime sistema).
6. Razvoj uređaja za povezivanje sistema (naziv sistema).
7. Razvoj sistemskog kontrolera (ime sistema).
8. Razvoj uređaja za sinhronizaciju za telekomunikacioni sistem (naziv sistema).
9. Izrada tehnološkog uređaja za ispitivanje telekomunikacione opreme (naziv opreme).
10. Razvoj bežične komunikacione mreže (mrežni segment) zasnovane na tehnologiji (naziv tehnologije).
11. Razvoj tehnologije za daljinsko praćenje parametara objekta (naziv parametara).
12. Razvoj senzorske mreže za praćenje stanja objekta (naziv objekta).
13. Razvoj tehnologije za dijagnostiku i mjerenje parametara telekomunikacionog uređaja (naziv uređaja, sistema, mreže, okruženja).
14. Razvoj primopredajnog uređaja za sistem (naziv sistema).
15. Razvoj telekomunikacionih uređaja za daljinsko upravljanje objektom (naziv objekta).
16. Izrada mjerača parametara za komponente telekomunikacione opreme (naziv komponenti).
17. Razvoj bežičnog uređaja za ulaz/izlaz informacija (naziv uređaja).
18. Razvoj hardvera i softvera za infokomunikacijsku tehnologiju (naziv tehnologije).
19. Proučavanje protokola prenosa informacija u sistemu (naziv sistema).
20. Istraživanje metoda digitalne obrade signala za sistem (naziv sistema).
21. Razvoj infokomunikacione tehnologije i sistema upravljanja objektom (naziv objekta).
22. Razvoj bežičnog sistema za mjerenje parametra (naziv parametra).
23. Dizajn virtuelnih servera na osnovu alata (naziv alata za virtuelizaciju) i kanala za prenos podataka za preduzeće (naziv preduzeća).
Predmeti završnih kvalifikacionih radova
prema obrazovnom programu srednjeg stručnog obrazovanja
specijalnost 09.02.01 “Računarski sistemi i kompleksi”
Profesionalni moduli:PM.01 Dizajn digitalnih uređaja,
PM.02 Primena mikroprocesorskih sistema, instalacija i konfiguracija perifernog treninga,
PM.03 Održavanje i popravka računarskih sistema i kompleksa.
1. Dijagnostika kvarova i praćenje tehničkog stanja opreme (naziv hardvera i softvera računarske tehnologije ili računarske mreže).
2. Sastavljanje, konfigurisanje i podešavanje alata (naziv računarskog hardvera i softvera ili računarske mreže).
3. Razvoj skupa mjera za osiguranje informacione sigurnosti računarske mreže preduzeća (naziv preduzeća).
4. Razvoj sistema za beskontaktnu identifikaciju preduzeća (naziv preduzeća).
5. Održavanje i administracija informacionog sistema preduzeća (naziv preduzeća).
6. Održavanje i administracija računarske mreže preduzeća (naziv preduzeća).
7. Održavanje i podrška hardvera i softvera (naziv računarskog hardvera ili računarske mreže).
8. Instalacija, adaptacija i održavanje softvera (naziv softvera).
9. Razvoj i istraživanje digitalnog (mikroprocesorskog) uređaja (modula) (naziv uređaja, modul).
10. Razvoj tehnologije testiranja i sveobuhvatno otklanjanje grešaka u softveru (naziv softvera).
Teme završnih kvalifikacionih radova za diplomce
fokus (profil) “Elementi i uređaji računarske tehnologije i informacionih sistema”
oblasti obuke 09.04.01 “Informatika i računarstvo”
Vrste profesionalnih aktivnosti:dizajn,
naučno istraživanje.
1. Modeliranje i istraživanje mrežnih protokola za prijenos informacija (tip informacije je naznačen).
2. Istraživanje i razvoj računarskih metoda za poboljšanje parametara sistema (naznačeni su parametri ili parametri i tip sistema).
3. Računarsko modeliranje, istraživanje i optimizacija informacionih ili telekomunikacionih sistema (klasa sistema je naznačena).
4. Istraživanje i optimizacija konstrukcije bežičnih senzorskih mreža.
5. Istraživanje i analiza konstrukcije bežičnih mreža Interneta stvari.
6. Razvoj kriterijuma efikasnosti i proučavanje distribucije virtuelnih mašina unutar infrastrukture oblaka.
7. Razvoj, istraživanje i evaluacija efikasnosti distribuiranih informacionih (ili informaciono-mernih) sistema (naznačava se oblast primene ili tip sistema).
8. Razvoj i istraživanje bežičnog interfejsa za opremu (naziv opreme).
9. Razvoj i istraživanje uređaja za praćenje objekata (naziv objekata).
10. Razvoj i istraživanje uređaja za praćenje stanja objekta (naziv objekta).
11. Razvoj hardverskih i softverskih dijagnostičkih alata za uređaje (naziv uređaja).
12. Razvoj i istraživanje bežičnog senzora (naziv mjernog parametra).
13. Proučavanje algoritama korekcije za pretvarače parametra (naziv parametra) u kod.
14. Izrada algoritama i softvera za praćenje parametara sistema upravljanja objektom (naziv objekta).
15. Razvoj i istraživanje bežičnih upravljačkih uređaja za objekt (naziv objekta).
16. Modeliranje i istraživanje pretvarača parametara (naziv parametara).
17. Metode ocjenjivanja kvaliteta softvera (namjena softvera je naznačena).
18. Proučavanje funkcionisanja uređaja (naziv uređaja) u uslovima (uslovi su naznačeni) u cilju poboljšanja karakteristika (navedene karakteristike).
19. Razvoj metoda za analizu i sintezu uređaja (naziv uređaja) u cilju poboljšanja karakteristika (navedene karakteristike).
Predmeti završnih kvalifikacionih radova
na akademskom master programu
fokus (profil) “Razvoj softvera i informacionih sistema”
oblasti obuke 09.04.04 “Softversko inženjerstvo”
istraživanje,
dizajn
1. Razvoj i istraživanje REST servisa za prikaz rasporeda u visokoškolskim ustanovama.
2. Istraživanje i razvoj alata za testiranje softvera za mobilne operatere.
3. Prepoznavanje fiziološkog stanja osobe na osnovu teorije sistema sa slučajnom strukturom.
4. Dizajn informacionog sistema automatizacije prodaje (naziv preduzeća) zasnovanog na MDA pristupu.
5. Razvoj i istraživanje softverskog informacionog sistema za ocenjivanje kvaliteta softvera (navodi se naziv softvera).
6. Razvoj distribuiranog softvera i informacionih sistema (naznačen je obim primene sistema) i istraživanje mogućnosti njihove optimizacije na osnovu kriterijuma efikasnosti (kriterijumi su naznačeni).
7. Razvoj softvera za podršku ulazno/izlaznih uređaja za sistem (naziv sistema).
8. Studija sigurnosti komponenti softverskog informacionog sistema (naziv sistema).
Uvod
Poglavlje 1. Teorijski aspekti usvajanja i informacione sigurnosti
1.1Koncept informacione sigurnosti 3 Metode sigurnosti informacija Poglavlje 2. Analiza sistema informacione bezbednosti 1 Delatnost preduzeća i analiza finansijskih pokazatelja 2 Opis sistema informacione sigurnosti kompanije 3 Razvoj seta mjera za modernizaciju postojećeg sistema informacione sigurnosti Zaključak Bibliografija Aplikacija Prilog 1. Bilans stanja za 2010. godinu Prilog 1. Bilans stanja za 2010. godinu Uvod Relevantnost teme diplomskog rada određena je povećanim nivoom problema sigurnosti informacija, čak iu kontekstu naglog rasta tehnologija i alata za zaštitu podataka. Nemoguće je osigurati 100% nivo zaštite korporativnih informacionih sistema uz ispravan prioritet zadataka zaštite podataka s obzirom na ograničeni udio budžeta koji se izdvaja za informacione tehnologije. Pouzdana zaštita računarske i mrežne korporativne infrastrukture osnovni je zadatak sigurnosti informacija za svaku kompaniju. Sa rastom poslovanja preduzeća i prelaskom na geografski raspoređenu organizaciju, ono počinje da izlazi van granica jedne zgrade. Efikasna zaštita IT infrastrukture i korporativnih aplikativnih sistema danas je nemoguća bez uvođenja savremenih tehnologija kontrole pristupa mreži. Sve više slučajeva krađe medija koji sadrže vrijedne poslovne informacije sve više prisiljavaju na preduzimanje organizacionih mjera. Svrha ovog rada će biti evaluacija postojećeg sistema informacione sigurnosti u organizaciji i razvoj mjera za njegovo unapređenje. Ovaj cilj određuje sljedeće ciljeve diplomskog rada: ) razmatra koncept informacione sigurnosti; ) razmotriti vrste mogućih prijetnji informacionim sistemima i opcije zaštite od mogućih prijetnji od curenja informacija u organizaciji. ) utvrdi listu izvora informacija čije će kršenje integriteta ili povjerljivosti dovesti do najveće štete za preduzeće; ) razviju na njihovoj osnovi set mjera za unapređenje postojećeg sistema informacione sigurnosti. Rad se sastoji od uvoda, dva poglavlja, zaključka, popisa korištenih izvora i primjene. U uvodu se potkrepljuje relevantnost teme istraživanja i formuliše svrha i ciljevi rada. U prvom poglavlju razmatraju se teorijski aspekti koncepata informacione sigurnosti u organizaciji. Drugo poglavlje daje kratak opis aktivnosti kompanije, ključne pokazatelje učinka, opisuje trenutno stanje sistema informacione bezbednosti i predlaže mere za njegovo unapređenje. U zaključku su formulisani glavni rezultati i zaključci rada. Metodološku i teorijsku osnovu diplomskog rada činili su radovi domaćih i stranih stručnjaka iz oblasti informacione sigurnosti.U radu na diplomskom radu korišćene su informacije koje odražavaju sadržaj zakona, zakonskih akata i propisa, uredbi Vlade Republike Srpske. Ruska Federacija koja reguliše bezbednost informacija, međunarodni standardi za bezbednost informacija. Teorijski značaj istraživanja teze leži u implementaciji integriranog pristupa prilikom izrade politike informacione sigurnosti. Praktični značaj rada određen je činjenicom da njegovi rezultati omogućavaju povećanje stepena zaštite informacija u preduzeću kroz kompetentno kreiranje politike bezbednosti informacija. Poglavlje 1. Teorijski aspekti usvajanja i informacione sigurnosti 1.1 Koncept sigurnosti informacija Informaciona sigurnost se odnosi na sigurnost informacija i njihove prateće infrastrukture od bilo kakvih slučajnih ili zlonamjernih utjecaja koji mogu dovesti do oštećenja samih informacija, njihovih vlasnika ili prateće infrastrukture. Ciljevi informacione sigurnosti svode se na minimiziranje štete, kao i na predviđanje i sprečavanje takvih uticaja. Parametri informacionih sistema kojima je potrebna zaštita mogu se podijeliti u sljedeće kategorije: osiguranje integriteta, dostupnosti i povjerljivosti informacionih resursa. dostupnost je mogućnost dobijanja, u kratkom vremenskom periodu, tražene informativne usluge; integritet je relevantnost i konzistentnost informacija, njihova zaštita od uništenja i neovlašćenih promjena; povjerljivost - zaštita od neovlaštenog pristupa informacijama. Informacioni sistemi se prvenstveno kreiraju radi dobijanja određenih informacionih usluga. Ukoliko je iz bilo kojeg razloga nemoguće doći do informacija, to nanosi štetu svim subjektima informacijskih odnosa. Iz ovoga možemo utvrditi da je dostupnost informacija na prvom mjestu. Integritet je glavni aspekt informacione sigurnosti kada su tačnost i istinitost glavni parametri informacija. Na primjer, recepti za medicinske lijekove ili set i karakteristike komponenti. Najrazvijenija komponenta informacione sigurnosti u našoj zemlji je povjerljivost. Ali praktična implementacija mjera za osiguranje povjerljivosti modernih informacionih sistema u Rusiji se suočava sa velikim poteškoćama. Prvo, zatvorene su informacije o tehničkim kanalima curenja informacija, tako da većina korisnika ne može dobiti predstavu o potencijalnim rizicima. Drugo, postoje brojne zakonodavne prepreke i tehnički izazovi koji stoje na putu prilagođene kriptografije kao primarnog sredstva za osiguranje privatnosti. Radnje koje mogu uzrokovati štetu informacionom sistemu mogu se podijeliti u nekoliko kategorija. ciljana krađa ili uništavanje podataka na radnoj stanici ili serveru; Oštećenje podataka od strane korisnika kao rezultat neopreznih radnji. . "Elektronske" metode uticaja koje provode hakeri. Hakeri se shvataju kao ljudi koji se bave kompjuterskim kriminalom i profesionalno (uključujući i deo takmičenja) i jednostavno iz radoznalosti. Ove metode uključuju: neovlašteni ulazak u računarske mreže; Svrha neovlaštenog ulaska u mrežu preduzeća izvana može biti nanošenje štete (uništavanje podataka), krađa povjerljivih informacija i korištenje u nezakonite svrhe, korištenje mrežne infrastrukture za organiziranje napada na čvorove trećih strana, krađa sredstava sa računa , itd. DOS napad (skraćeno od Denial of Service) je eksterni napad na čvorove mreže preduzeća koji su odgovorni za njen siguran i efikasan rad (datoteke, serveri pošte). Napadači organizuju masovno slanje paketa podataka tim čvorovima kako bi ih preopteretili i, kao rezultat toga, na neko vrijeme ih isključili. To, po pravilu, za sobom povlači poremećaje u poslovnim procesima kompanije žrtve, gubitak kupaca, narušavanje ugleda i sl. Kompjuterski virusi. Posebna kategorija elektronskih metoda uticaja su kompjuterski virusi i drugi zlonamerni programi. Oni predstavljaju stvarnu opasnost za savremena preduzeća koja naširoko koriste računarske mreže, internet i e-poštu. Prodiranje virusa u čvorove korporativne mreže može dovesti do poremećaja njihovog funkcionisanja, gubitka radnog vremena, gubitka podataka, krađe povjerljivih informacija, pa čak i direktne krađe finansijskih sredstava. Virusni program koji je prodro u korporativnu mrežu može dati napadačima djelomičnu ili potpunu kontrolu nad aktivnostima kompanije. Neželjena pošta. U samo nekoliko godina, neželjena pošta je iz male iritacije prerasla u jednu od najozbiljnijih sigurnosnih prijetnji: e-pošta je nedavno postala glavni kanal za širenje zlonamjernog softvera; neželjenoj pošti potrebno je mnogo vremena za pregled i naknadno brisanje poruka, uzrokujući kod zaposlenih osjećaj psihološke nelagode; i pojedinci i organizacije postaju žrtve lažnih šema koje izvode spameri (žrtve često pokušavaju da ne otkriju takve događaje); važna prepiska se često briše zajedno sa neželjenom poštom, što može dovesti do gubitka kupaca, raskid ugovora i drugih neugodnih posljedica; opasnost od gubitka korespondencije posebno se povećava kada se koriste crne liste RBL-a i druge "grube" metode filtriranja neželjene pošte. "Prirodne" prijetnje. Na informacionu sigurnost kompanije mogu utjecati različiti vanjski faktori: gubitak podataka može biti uzrokovan nepravilnim skladištenjem, krađom računara i medija, višom silom itd. Sistem upravljanja bezbednošću informacija (ISMS ili Sistem za upravljanje bezbednošću informacija) omogućava vam da upravljate skupom mera koje implementiraju određenu zamišljenu strategiju, u ovom slučaju u odnosu na bezbednost informacija. Imajte na umu da ne govorimo samo o upravljanju postojećim sistemom, već io izgradnji novog/redizajniranju starog. Skup mjera obuhvata organizacione, tehničke, fizičke i druge. Upravljanje sigurnošću informacija je složen proces, koji omogućava implementaciju najefikasnijeg i sveobuhvatnijeg upravljanja sigurnošću informacija u kompaniji. Cilj upravljanja sigurnošću informacija je održavanje povjerljivosti, integriteta i dostupnosti informacija. Pitanje je samo koju vrstu informacija treba zaštititi i koje napore treba učiniti da se osigura njihova sigurnost. Svako upravljanje se zasniva na svijesti o situaciji u kojoj se događa. U smislu analize rizika, svijest o stanju se izražava u popisu i procjeni imovine organizacije i njenog okruženja, odnosno svega onoga što osigurava obavljanje poslovnih aktivnosti. Sa stanovišta analize rizika informacione sigurnosti, glavna imovina uključuje informacije, infrastrukturu, osoblje, imidž i reputaciju kompanije. Bez popisa imovine na nivou poslovne aktivnosti nemoguće je odgovoriti na pitanje šta tačno treba zaštititi. Važno je razumjeti koje se informacije obrađuju u organizaciji i gdje se obrađuju. U velikoj modernoj organizaciji, broj informacijskih sredstava može biti veoma velik. Ako su aktivnosti organizacije automatizirane korištenjem ERP sistema, onda možemo reći da gotovo svaki materijalni objekt koji se koristi u ovoj aktivnosti odgovara nekoj vrsti informacijskog objekta. Stoga je primarni zadatak upravljanja rizicima identifikovanje najznačajnijih sredstava. Nemoguće je riješiti ovaj problem bez uključivanja menadžera glavne djelatnosti organizacije, kako srednjeg tako i višeg nivoa. Optimalna situacija je kada najviši menadžment organizacije lično odredi najkritičnije oblasti aktivnosti za koje je izuzetno važno osigurati sigurnost informacija. Mišljenje višeg menadžmenta o prioritetima u obezbeđivanju informacione bezbednosti je veoma važno i dragoceno u procesu analize rizika, ali u svakom slučaju treba ga razjasniti prikupljanjem informacija o kritičnosti imovine na prosečnom nivou menadžmenta kompanije. Istovremeno, preporučljivo je da se dalje analize sprovedu upravo u oblastima poslovnih aktivnosti koje odredi najviši menadžment. Primljene informacije se obrađuju, agregiraju i prosljeđuju višem rukovodstvu radi sveobuhvatne procjene situacije. Informacije se mogu identifikovati i lokalizovati na osnovu opisa poslovnih procesa u kojima se informacija smatra jednom od vrsta resursa. Zadatak je donekle pojednostavljen ako je organizacija usvojila pristup regulisanju poslovnih aktivnosti (npr. za potrebe upravljanja kvalitetom i optimizacije poslovnih procesa). Formalni opisi poslovnih procesa su dobra polazna tačka za inventar imovine. Ako nema opisa, sredstva možete identifikovati na osnovu informacija dobijenih od zaposlenih u organizaciji. Kada se imovina identifikuje, mora se utvrditi njihova vrijednost. Posao utvrđivanja vrijednosti informacijske imovine u cijeloj organizaciji je i najznačajniji i najsloženiji. Upravo procjena informatičke imovine omogućit će šefu odjela za informatičku sigurnost da odabere glavne oblasti aktivnosti koje će osigurati sigurnost informacija. No, ekonomska efikasnost procesa upravljanja sigurnošću informacija u velikoj mjeri ovisi o svijesti o tome šta treba zaštititi i koje napore će to zahtijevati, jer je u većini slučajeva količina uloženog truda direktno proporcionalna količini utrošenog novca i operativnih troškova. Upravljanje rizikom vam omogućava da odgovorite na pitanje gdje možete riskirati, a gdje ne. U slučaju informatičke sigurnosti, pojam „rizik” znači da je u određenoj oblasti moguće ne uložiti značajne napore u zaštiti informacijske imovine, a da istovremeno, u slučaju narušavanja sigurnosti, organizacija neće stradati. značajne gubitke. Ovdje možemo povući analogiju sa klasama zaštite automatiziranih sistema: što su rizici značajniji, zahtjevi zaštite bi trebali biti stroži. Da biste utvrdili posljedice kršenja sigurnosti, morate ili imati informacije o zabilježenim incidentima slične prirode ili provesti analizu scenarija. Analiza scenarija ispituje uzročno-posljedične veze između događaja sigurnosti imovine i posljedica ovih događaja na poslovne aktivnosti organizacije. Posljedice scenarija treba procijeniti nekoliko ljudi, iterativno ili promišljeno. Treba napomenuti da se razvoj i evaluacija ovakvih scenarija ne mogu u potpunosti odvojiti od stvarnosti. Uvek morate imati na umu da scenario mora biti verovatan. Kriterijumi i skale za određivanje vrednosti su individualni za svaku organizaciju. Na osnovu rezultata analize scenarija mogu se dobiti informacije o vrijednosti imovine. Ako se identifikuju sredstva i utvrdi njihova vrijednost, možemo reći da su ciljevi obezbjeđivanja informacione sigurnosti djelimično utvrđeni: utvrđuju se objekti zaštite i značaj njihovog održavanja u stanju informacione sigurnosti za organizaciju. Možda ostaje samo da se utvrdi od koga se treba zaštititi. Nakon što odredite ciljeve upravljanja sigurnošću informacija, trebalo bi da analizirate probleme koji vas sprečavaju da se približite ciljnom stanju. Na ovom nivou, proces analize rizika se spušta na informacionu infrastrukturu i tradicionalne koncepte informacione bezbednosti – uljeze, pretnje i ranjivosti. Za procjenu rizika nije dovoljno uvesti standardni model prekršioca koji dijeli sve prekršioce prema vrsti pristupa imovini i poznavanju strukture imovine. Ova podjela pomaže da se utvrdi koje prijetnje mogu biti usmjerene na imovinu, ali ne daje odgovor na pitanje da li se te prijetnje, u principu, mogu ostvariti. U procesu analize rizika potrebno je procijeniti motivaciju prekršitelja u realizaciji prijetnji. U ovom slučaju, prekršilac ne znači apstraktnog eksternog hakera ili insajdera, već stranu koja je zainteresirana za ostvarivanje koristi narušavanjem sigurnosti imovine. Preporučljivo je dobiti početne informacije o modelu prekršioca, kao u slučaju odabira početnih pravaca aktivnosti informacione sigurnosti, od najvišeg menadžmenta, koji razumije poziciju organizacije na tržištu, ima informacije o konkurentima i koje metode uticaja mogu biti od njih se očekuje. Informacije neophodne za razvoj modela uljeza mogu se dobiti i iz specijalizovanog istraživanja o kršenju računarske bezbednosti u poslovnoj oblasti za koju se radi analiza rizika. Pravilno razvijen model uljeza nadopunjuje ciljeve informacione sigurnosti utvrđene prilikom procjene imovine organizacije. Razvoj modela pretnje i identifikacija ranjivosti neraskidivo su povezani sa inventarom okruženja informacionih sredstava organizacije. Same informacije se ne pohranjuju niti obrađuju. Pristup mu je omogućen korišćenjem informacione infrastrukture koja automatizuje poslovne procese organizacije. Važno je razumjeti kako su informacijska infrastruktura organizacije i informaciona sredstva međusobno povezani. Iz perspektive upravljanja bezbednošću informacija, značaj informacione infrastrukture može se utvrditi tek nakon utvrđivanja odnosa između informacione imovine i infrastrukture. Ako su procesi održavanja i upravljanja informatičkom infrastrukturom u organizaciji uređeni i transparentni, prikupljanje informacija potrebnih za identifikaciju prijetnji i procjenu ranjivosti uvelike je pojednostavljeno. Razvijanje modela prijetnji posao je za stručnjake za sigurnost informacija koji dobro razumiju kako napadač može dobiti neovlašteni pristup informacijama probijanjem sigurnosnog perimetra ili korištenjem metoda društvenog inženjeringa. Kada razvijate model prijetnje, također možete govoriti o scenarijima kao uzastopnim koracima prema kojima se prijetnje mogu realizirati. Vrlo rijetko se dešava da se prijetnje implementiraju u jednom koraku iskorišćavanjem jedne ranjive tačke u sistemu. Model pretnje treba da uključi sve pretnje identifikovane kroz povezane procese upravljanja bezbednošću informacija, kao što su upravljanje ranjivostima i incidentima. Mora se imati na umu da će prijetnje morati biti rangirane jedna u odnosu na drugu prema nivou vjerovatnoće njihove implementacije. Da bi se to postiglo, u procesu izrade modela prijetnje za svaku prijetnju, potrebno je ukazati na najznačajnije faktore čije postojanje utiče na njenu implementaciju. Sigurnosna politika se zasniva na analizi rizika koji su prepoznati kao stvarni za informacioni sistem organizacije. Nakon što se analiziraju rizici i odredi strategija zaštite, izrađuje se program informacione sigurnosti. Za ovaj program se izdvajaju sredstva, imenuju odgovorna lica, utvrđuje postupak praćenja realizacije programa itd. U širem smislu, sigurnosna politika se definiše kao sistem dokumentovanih upravljačkih odluka kojima se osigurava sigurnost organizacije. U užem smislu, sigurnosna politika se obično shvata kao lokalni regulatorni dokument koji definiše bezbednosne zahteve, sistem mera ili procedure, kao i odgovornosti zaposlenih u organizaciji i kontrolne mehanizme za određenu oblast bezbednosti. Prije nego što krenemo sa formulisanjem same politike informacione sigurnosti, potrebno je razumjeti osnovne koncepte s kojima ćemo djelovati. Informacije - informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja. Povjerljivost informacija je obavezan zahtjev za lice koje je steklo pristup određenim informacijama da takve informacije ne prenosi trećim licima bez pristanka njihovog vlasnika. Informaciona bezbednost (IS) je stanje bezbednosti informacionog okruženja društva koje obezbeđuje njegovo formiranje, korišćenje i razvoj u interesu građana, organizacija i država. Koncept "informacija" danas se koristi prilično široko i raznovrsno. Osiguravanje sigurnosti informacija ne može biti jednokratni čin. Ovo je kontinuiran proces koji se sastoji od opravdavanja i implementacije najracionalnijih metoda, metoda i načina unapređenja i razvoja sistema bezbednosti, kontinuiranog praćenja njegovog stanja, utvrđivanja njegovih slabosti i nezakonitih radnji. Informaciona sigurnost se može obezbijediti samo integriranom upotrebom cjelokupnog spektra raspoloživih sigurnosnih sredstava u svim strukturnim elementima proizvodnog sistema iu svim fazama tehnološkog ciklusa obrade informacija. Najveći efekat se postiže kada se sva sredstva, metode i mjere koje se koriste spoje u jedan holistički mehanizam - sistem informacione sigurnosti. Istovremeno, funkcionisanje sistema se mora pratiti, ažurirati i dopunjavati u zavisnosti od promena spoljašnjih i unutrašnjih uslova. Prema GOST R ISO/IEC 15408:2005 standardu, mogu se razlikovati sljedeće vrste sigurnosnih zahtjeva: funkcionalni, koji odgovaraju aktivnom aspektu zaštite, zahtjevi za sigurnosne funkcije i mehanizmi koji ih implementiraju; zahtjevi povjerenja koji odgovaraju pasivnom aspektu koji se nameće tehnologiji i procesu razvoja i rada. Vrlo je važno da se sigurnost u ovom standardu ne posmatra statički, već u odnosu na životni ciklus objekta koji se procjenjuje. Razlikuju se sljedeće faze: određivanje namjene, uslova upotrebe, ciljeva i sigurnosnih zahtjeva; dizajn i razvoj; testiranje, evaluacija i certifikacija; implementacija i rad. Dakle, pogledajmo bliže funkcionalne sigurnosne zahtjeve. Oni uključuju: zaštita podataka korisnika; zaštita sigurnosnih funkcija (zahtjevi se odnose na integritet i kontrolu ovih sigurnosnih službi i mehanizama koji ih implementiraju); upravljanje sigurnošću (zahtjevi ove klase odnose se na upravljanje sigurnosnim atributima i parametrima); revizija sigurnosti (identifikacija, registracija, skladištenje, analiza podataka koji utiču na sigurnost objekta koji se procjenjuje, odgovor na moguće kršenje sigurnosti); privatnost (zaštita korisnika od otkrivanja i neovlaštenog korišćenja njegovih identifikacionih podataka); korištenje resursa (zahtjevi za dostupnost informacija); komunikacija (autentifikacija strana uključenih u razmjenu podataka); pouzdana ruta/kanal (za komunikaciju sa sigurnosnim službama). U skladu sa ovim zahtjevima, potrebno je formulisati sistem sigurnosti informacija organizacije. Sistem sigurnosti informacija organizacije uključuje sljedeće oblasti: regulatorni; organizacijski (administrativni); tehnički; softver; Za potpunu procjenu stanja u preduzeću u svim oblastima sigurnosti potrebno je razviti koncept informatičke sigurnosti koji bi uspostavio sistematski pristup problemu sigurnosti informacionih resursa i predstavljao sistematsku izjavu o ciljevima, ciljevima, principima dizajna i skup mjera za osiguranje informacione sigurnosti u preduzeću. Sistem upravljanja korporativnom mrežom treba da se zasniva na sledećim principima (zadacima): obezbeđivanje zaštite postojeće informacione infrastrukture preduzeća od uljeza; obezbjeđivanje uslova za lokalizaciju i minimiziranje moguće štete; otklanjanje pojave izvora prijetnji u početnoj fazi; osiguranje zaštite informacija od tri glavne vrste prijetnji koje se pojavljuju (dostupnost, integritet, povjerljivost); Rješenje navedenih problema postiže se; regulisanje postupanja korisnika pri radu sa informacionim sistemom; regulisanje radnji korisnika pri radu sa bazom podataka; jedinstveni zahtjevi za pouzdanost hardvera i softvera; procedure za praćenje rada informacionog sistema (registrovanje događaja, analiza protokola, analiza mrežnog saobraćaja, analiza rada tehničke opreme); Politika informacione sigurnosti uključuje: glavni dokument je “Sigurnosna politika”. Generalno opisuje bezbednosnu politiku organizacije, opšte odredbe, a takođe ukazuje na relevantne dokumente za sve aspekte politike; uputstva za regulisanje rada korisnika; opis posla administratora lokalne mreže; opis posla administratora baze podataka; upute za rad s internetskim resursima; upute za organiziranje zaštite lozinkom; uputstva za organizovanje antivirusne zaštite. Dokument Sigurnosne politike sadrži glavne odredbe. Na osnovu njega se gradi program informacione sigurnosti, grade opisi poslova i preporuke. Uputstvom za regulisanje rada korisnika lokalne mreže organizacije regulisan je postupak omogućavanja rada korisnika u lokalnoj računarskoj mreži organizacije, kao i pravila postupanja sa zaštićenim informacijama koje se obrađuju, čuvaju i prenose u organizaciji. Opis posla administratora lokalne mreže opisuje odgovornosti administratora lokalne mreže u vezi sa sigurnošću informacija. Opis posla administratora baze podataka definira glavne odgovornosti, funkcije i prava administratora baze podataka. Detaljno opisuje sve radne obaveze i funkcije administratora baze podataka, kao i prava i odgovornosti. Upute za rad sa Internet resursima odražavaju osnovna pravila za siguran rad na Internetu, a sadrže i listu prihvatljivih i neprihvatljivih radnji pri radu sa Internet resursima. Uputstvo za organizovanje antivirusne zaštite definiše osnovne odredbe, uslove za organizovanje antivirusne zaštite informacionog sistema organizacije, sve aspekte koji se odnose na rad antivirusnog softvera, kao i odgovornost u slučaju kršenja antivirusnog programa. -zaštita od virusa. Uputstvo za organizovanje zaštite lozinkom reguliše organizacionu i tehničku podršku za procese generisanja, promene i ukidanja lozinki (brisanje korisničkih naloga). Regulisano je i postupanje korisnika i osoblja za održavanje pri radu sa sistemom. Dakle, osnov za organizovanje procesa zaštite informacija je bezbednosna politika, formulisana kako bi se utvrdilo od kojih pretnji i na koji način su zaštićene informacije u informacionom sistemu. Sigurnosna politika se odnosi na skup pravnih, organizacionih i tehničkih mjera za zaštitu informacija usvojenih u određenoj organizaciji. Odnosno, sigurnosna politika sadrži mnogo uslova pod kojima korisnici dobijaju pristup sistemskim resursima bez gubljenja svojstava sigurnosti informacija ovog sistema. Problem osiguranja informacione sigurnosti mora se rješavati sistematski. To znači da se različite zaštite (hardverske, softverske, fizičke, organizacione itd.) moraju primjenjivati istovremeno i pod centraliziranom kontrolom. Danas postoji veliki arsenal metoda za osiguranje sigurnosti informacija: sredstva identifikacije i autentifikacije korisnika; Sredstva za šifriranje informacija pohranjenih na računalima i prenošenih putem mreža; zaštitni zidovi; virtualne privatne mreže; Alati za filtriranje sadržaja; alati za provjeru integriteta sadržaja diska; alati za antivirusnu zaštitu; sistemi za otkrivanje ranjivosti mreže i analizatori mrežnih napada. Svaki od navedenih alata može se koristiti samostalno ili u integraciji s drugima. Ovo omogućava kreiranje sistema zaštite informacija za mreže bilo koje složenosti i konfiguracije, nezavisno od platformi koje se koriste. Sistem autentifikacije (ili identifikacije), autorizacije i administracije. Identifikacija i autorizacija su ključni elementi informacione sigurnosti. Funkcija autorizacije je odgovorna za to kojim resursima određeni korisnik ima pristup. Administrativna funkcija je da korisniku omogući određene identifikacijske karakteristike unutar date mreže i odredi opseg radnji koje su mu dozvoljene. Sistemi šifriranja omogućavaju minimiziranje gubitaka u slučaju neovlaštenog pristupa podacima pohranjenim na tvrdom disku ili drugom mediju, kao i presretanje informacija kada se šalju e-poštom ili prenose putem mrežnih protokola. Svrha ovog zaštitnog alata je da osigura povjerljivost. Glavni zahtjevi za sisteme šifriranja su visok nivo kriptografske snage i zakonitost upotrebe na teritoriji Rusije (ili drugih država). Firewall je sistem ili kombinacija sistema koji formira zaštitnu barijeru između dvije ili više mreža kako bi se spriječilo da neovlašteni paketi podataka uđu ili napuste mrežu. Osnovni princip rada firewall-a je provjera svakog paketa podataka za usklađenost dolaznih i odlaznih IP adresa sa bazom podataka dozvoljenih adresa. Tako zaštitni zidovi značajno proširuju mogućnosti segmentiranja informacionih mreža i kontrole cirkulacije podataka. Kada govorimo o kriptografiji i zaštitnim zidovima, treba spomenuti sigurne virtuelne privatne mreže (VPN). Njihova upotreba omogućava rješavanje problema povjerljivosti i integriteta podataka kada se prenose otvorenim komunikacijskim kanalima. Korištenje VPN-a može se svesti na rješavanje tri glavna problema: zaštita tokova informacija između različitih kancelarija kompanije (informacije se šifruju samo na izlazu u eksternu mrežu); siguran pristup udaljenih korisnika mreže informacionim resursima kompanije, obično putem interneta; zaštita tokova informacija između pojedinačnih aplikacija unutar korporativnih mreža (ovaj aspekt je takođe veoma važan, jer se većina napada vrši iz internih mreža). Efikasno sredstvo zaštite od gubitka povjerljivih informacija je filtriranje sadržaja dolazne i odlazne e-pošte. Provjera samih e-mail poruka i njihovih priloga na osnovu pravila koja je uspostavila organizacija također pomaže u zaštiti kompanija od odgovornosti u tužbama i štiti njihove zaposlenike od neželjene pošte. Alati za filtriranje sadržaja omogućavaju vam skeniranje datoteka svih uobičajenih formata, uključujući komprimirane i grafičke datoteke. U isto vrijeme, propusnost mreže ostaje gotovo nepromijenjena. Sve promjene na radnoj stanici ili serveru može pratiti administrator mreže ili drugi ovlašteni korisnik zahvaljujući tehnologiji provjere integriteta sadržaja tvrdog diska (integrity checking). Ovo vam omogućava da otkrijete sve radnje s datotekama (promjena, brisanje ili jednostavno otvaranje) i identifikujete aktivnost virusa, neovlašteni pristup ili krađu podataka od strane ovlaštenih korisnika. Kontrola se vrši na osnovu analize kontrolnih suma datoteka (CRC sums). Moderne antivirusne tehnologije omogućavaju identifikaciju gotovo svih već poznatih virusnih programa upoređivanjem koda sumnjive datoteke s uzorcima pohranjenim u antivirusnoj bazi podataka. Osim toga, razvijene su tehnologije modeliranja ponašanja koje omogućavaju otkrivanje novonastalih virusnih programa. Otkriveni objekti se mogu tretirati, izolirati (u karantin) ili izbrisati. Zaštita od virusa se može instalirati na radnim stanicama, serverima datoteka i pošte, zaštitnim zidovima koji rade pod gotovo svim uobičajenim operativnim sistemima (Windows, Unix i Linux sistemi, Novell) na različitim tipovima procesora. Spam filteri značajno smanjuju neproduktivne troškove rada povezane sa raščlanjivanjem neželjene pošte, smanjuju promet i opterećenje servera, poboljšavaju psihološku pozadinu u timu i smanjuju rizik da zaposleni u kompaniji budu uključeni u lažne transakcije. Osim toga, filteri za neželjenu poštu smanjuju rizik od zaraze novim virusima, budući da poruke koje sadrže viruse (čak i one koje još nisu uključene u baze podataka antivirusnih programa) često imaju znakove neželjene pošte i filtriraju se. Istina, pozitivan efekat filtriranja neželjene pošte može se poništiti ako filter, zajedno sa neželjenim porukama, ukloni ili označi kao neželjenu poštu i korisne poruke, poslovne ili lične. Ogromna šteta koju su kompanijama nanijeli virusi i hakerski napadi uvelike je posljedica slabosti u korištenom softveru. Mogu se identifikovati unapred, bez čekanja na pravi napad, korišćenjem sistema za detekciju ranjivosti računarske mreže i analizatora mrežnih napada. Takav softver sigurno simulira uobičajene napade i metode upada i određuje šta haker može vidjeti na mreži i kako može iskoristiti njene resurse. Kako bi se suprotstavila prirodnim prijetnjama sigurnosti informacija, kompanija mora razviti i implementirati skup procedura za sprječavanje vanrednih situacija (na primjer, za osiguranje fizičke zaštite podataka od požara) i za minimiziranje štete ako do takve situacije ipak dođe. Jedna od glavnih metoda zaštite od gubitka podataka je backup uz striktno poštovanje utvrđenih procedura (redovnost, vrste medija, načini čuvanja kopija itd.). Politika informacione bezbednosti je paket dokumenata koji regulišu rad zaposlenih, koji opisuju osnovna pravila za rad sa informacijama, informacionim sistemima, bazama podataka, lokalnim mrežama i Internet resursima. Važno je razumjeti koje mjesto zauzima politika sigurnosti informacija u cjelokupnom sistemu upravljanja organizacijom. Slede opšte organizacione mere koje se odnose na bezbednosne politike. Na proceduralnom nivou, mogu se razlikovati sljedeće klase mjera: Menadžment osoblja; fizička zaštita; održavanje performansi; reagovanje na povrede bezbednosti; planiranje restauratorskih radova. Upravljanje ljudskim resursima počinje zapošljavanjem, ali čak i prije toga trebate odrediti kompjuterske privilegije vezane za poziciju. Dva su opšta principa koja treba imati na umu: razdvajanje dužnosti; minimiziranje privilegija. Načelo podjele dužnosti propisuje kako rasporediti uloge i odgovornosti tako da jedna osoba ne može poremetiti proces kritičan za organizaciju. Na primjer, nepoželjno je da jedna osoba vrši velika plaćanja u ime organizacije. Sigurnije je uputiti jednog zaposlenika da obrađuje zahtjeve za takve isplate, a drugog da ovjerava ove prijave. Drugi primjer su proceduralna ograničenja na radnje superkorisnika. Možete vještački "razdvojiti" lozinku superkorisnika tako što ćete prvi dio dijeliti s jednim zaposlenim, a drugi dio s drugim. Tada mogu izvršiti kritične radnje za administriranje informacionog sistema samo zajedno, što smanjuje vjerovatnoću grešaka i zloupotreba. Načelo najmanje privilegija zahtijeva da se korisnicima daju samo ona prava pristupa koja su im potrebna za obavljanje svojih radnih obaveza. Svrha ovog principa je očigledna - smanjiti štetu od slučajnih ili namjernih pogrešnih radnji. Preliminarna priprema opisa posla omogućava procjenu njegove kritičnosti i planiranje procedure skrininga i odabira kandidata. Što je pozicija odgovornija, potrebno je pažljivije provjeravati kandidate: raspitivati se o njima, možda razgovarati s bivšim kolegama itd. Takav postupak može biti dugotrajan i skup, pa ga nema smisla dodatno komplikovati. U isto vrijeme, nerazumno je u potpunosti odbiti prethodnu provjeru kako bi se izbjeglo slučajno zapošljavanje osobe s krivičnim dosijeom ili mentalnom bolešću. Kada je kandidat identifikovan, on ili ona će verovatno morati da prođu obuku; u najmanju ruku, on bi trebao biti temeljno upoznat sa poslovima i propisima i procedurama za sigurnost informacija. Preporučljivo je da razumije sigurnosne mjere prije preuzimanja dužnosti i prije nego što uspostavi svoj sistemski račun sa korisničkim imenom, lozinkom i privilegijama. Sigurnost informacionog sistema zavisi od okruženja u kojem funkcioniše. Neophodno je preduzeti mjere zaštite objekata i okolnih prostora, prateće infrastrukture, računarske opreme i medija za skladištenje podataka. Razmotrimo sljedeća područja fizičke zaštite: fizička kontrola pristupa; zaštita prateće infrastrukture; zaštita mobilnih sistema. Mjere kontrole fizičkog pristupa omogućavaju vam kontrolu i, ako je potrebno, ograničavanje ulaska i izlaska zaposlenih i posjetitelja. Može se kontrolisati cijela zgrada organizacije, kao i pojedinačne prostorije, na primjer, one u kojima se nalaze serveri, komunikaciona oprema itd. Prateća infrastruktura uključuje sisteme za snabdijevanje električnom energijom, vodom i toplotom, klimatizaciju i komunikacije. U principu, na njih se primjenjuju isti zahtjevi za integritetom i dostupnošću kao i za informacione sisteme. Da bi se osigurao integritet, oprema mora biti zaštićena od krađe i oštećenja. Da biste održali dostupnost, trebate odabrati opremu s maksimalnim MTBF, duplirati kritične komponente i uvijek imati rezervne dijelove pri ruci. Uopšteno govoreći, prilikom odabira fizičke zaštitne opreme potrebno je izvršiti analizu rizika. Dakle, kada se odlučujete za kupovinu neprekidnog napajanja, potrebno je uzeti u obzir kvalitet napajanja u zgradi u kojoj se nalazi organizacija (međutim, gotovo sigurno će se pokazati lošom), prirodu i trajanje nestanci struje, troškovi dostupnih izvora i mogući gubici od nesreća (kvar opreme, obustava rada organizacije i tako dalje.) Razmotrimo niz mjera usmjerenih na održavanje funkcionalnosti informacionih sistema. Upravo na ovom području vreba najveća opasnost. Nenamjerne greške sistemskih administratora i korisnika mogu dovesti do gubitka performansi, odnosno oštećenja opreme, uništenja programa i podataka. Ovo je najgori scenario. U najboljem slučaju, oni stvaraju sigurnosne rupe koje omogućavaju nastanak sigurnosnih prijetnji sistema. Glavni problem mnogih organizacija je potcjenjivanje sigurnosnih faktora u svakodnevnom radu. Skupe sigurnosne funkcije su besmislene ako su loše dokumentirane, u sukobu s drugim softverom i ako lozinka administratora sistema nije promijenjena od instalacije. Za svakodnevne aktivnosti u cilju održavanja funkcionalnosti informacionog sistema mogu se izdvojiti sljedeće radnje: korisnička podrška; softverska podrška; upravljanje konfiguracijom; backup; upravljanje medijima; dokumentacija; rutinsko održavanje. Korisnička podrška podrazumijeva prije svega konsultacije i pomoć u rješavanju raznih vrsta problema. Vrlo je važno biti u stanju identificirati probleme vezane za sigurnost informacija u nizu pitanja. Stoga mnoge poteškoće za korisnike koji rade na personalnim računarima mogu biti rezultat infekcije virusom. Preporučljivo je snimiti korisnička pitanja kako biste identificirali njihove uobičajene greške i izdali podsjetnike s preporukama za uobičajene situacije. Softverska podrška je jedno od najvažnijih sredstava za osiguranje integriteta informacija. Prije svega, morate pratiti koji softver je instaliran na vašim računarima. Ako korisnici instaliraju programe po vlastitom nahođenju, to može dovesti do zaraze virusima, kao i do pojave uslužnih programa koji zaobilaze mjere zaštite. Također je vjerovatno da će “samostalne aktivnosti” korisnika postepeno dovesti do haosa na njihovim računarima, a administrator sistema će morati da ispravi situaciju. Drugi aspekt softverske podrške je kontrola odsustva neovlaštenih promjena programa i prava pristupa njima. Ovo takođe uključuje podršku za referentne kopije softverskih sistema. Kontrola se obično postiže kombinacijom fizičkih i logičkih kontrola pristupa, kao i upotrebom uslužnih programa za verifikaciju i integritet. Upravljanje konfiguracijom vam omogućava da kontrolišete i beležite promene napravljene u konfiguraciji softvera. Prije svega, morate se osigurati od slučajnih ili loše osmišljenih modifikacija i moći se barem vratiti na prethodnu, radnu verziju. Unošenje izmjena će olakšati vraćanje trenutne verzije nakon katastrofe. Najbolji način za smanjenje grešaka u rutinskom radu je automatizacija što je više moguće. Automatizacija i sigurnost zavise jedna od druge, jer onaj kome je prvenstveno stalo da olakša svoj zadatak je zapravo onaj koji optimalno oblikuje režim informacione sigurnosti. Sigurnosna kopija je neophodna za vraćanje programa i podataka nakon katastrofe. I ovdje je preporučljivo automatizirati rad, u najmanju ruku, kreiranjem kompjuterskog rasporeda za izradu punih i inkrementalnih kopija, a maksimalno korištenjem odgovarajućih softverskih proizvoda. Također je potrebno urediti postavljanje kopija na sigurno mjesto, zaštićeno od neovlaštenog pristupa, požara, curenja, odnosno od svega što bi moglo dovesti do krađe ili oštećenja medija. Preporučljivo je imati nekoliko kopija rezervnih kopija i neke od njih pohraniti van lokacije, čime se štitite od većih nesreća i sličnih incidenata. S vremena na vrijeme, u svrhu testiranja, trebali biste provjeriti mogućnost vraćanja informacija iz kopija. Upravljanje medijima je neophodno kako bi se obezbijedila fizička sigurnost i računovodstvo za flopi diskove, trake, ispis itd. Upravljanje medijima mora osigurati povjerljivost, integritet i dostupnost informacija pohranjenih izvan kompjuterskih sistema. Fizička zaštita ovdje ne znači samo odbijanje pokušaja neovlaštenog pristupa, već i zaštitu od štetnih utjecaja okoline (toplina, hladnoća, vlaga, magnetizam). Upravljanje medijima mora pokrivati cijeli životni ciklus, od nabavke do stavljanja van pogona. Dokumentacija je sastavni dio informacione sigurnosti. Gotovo sve je dokumentovano u obliku dokumenata - od sigurnosne politike do medijskog dnevnika. Važno je da dokumentacija bude ažurna i da odražava trenutno stanje, i to na dosljedan način. Zahtjevi povjerljivosti primjenjuju se na skladištenje nekih dokumenata (koji sadrže, na primjer, analizu ranjivosti sistema i prijetnji), dok drugi, kao što je plan oporavka od katastrofe, podliježu zahtjevima integriteta i dostupnosti (u kritičnoj situaciji plan mora naći i pročitati). Rutinski rad predstavlja veoma ozbiljnu opasnost po bezbednost. Zaposleni koji obavlja rutinsko održavanje dobija ekskluzivni pristup sistemu, a u praksi je veoma teško kontrolisati tačno koje radnje izvodi. Tu dolazi do izražaja stepen povjerenja u one koji rade. Sigurnosna politika koju je usvojila organizacija mora predvidjeti set operativnih mjera usmjerenih na otkrivanje i neutralizaciju kršenja režima informacione sigurnosti. Važno je da se u ovakvim slučajevima redoslijed radnji unaprijed isplanira, jer mjere treba preduzeti hitno i koordinisano. Odgovor na kršenje sigurnosti ima tri glavna cilja: lokalizacija incidenta i smanjenje štete; sprečavanje ponovljenih kršenja. Često zahtjev za lokalizacijom incidenta i smanjenjem štete dolazi u sukob sa željom da se identifikuje počinilac. Sigurnosna politika organizacije mora se rano dati prioritet. Budući da je, kako praksa pokazuje, vrlo teško identifikovati napadača, po našem mišljenju, prije svega, treba voditi računa o smanjenju štete. Nijedna organizacija nije imuna od ozbiljnih nesreća uzrokovanih prirodnim uzrocima, zlonamjernim radnjama, nemarom ili nekompetentnošću. Istovremeno, svaka organizacija ima funkcije koje menadžment smatra kritičnim i moraju se obavljati bez obzira na sve. Planiranje restauratorskih radova omogućava vam da se pripremite za nezgode, smanjite štetu od njih i održite sposobnost funkcioniranja barem u minimalnoj mjeri. Napominjemo da se mjere informacione sigurnosti mogu podijeliti u tri grupe, ovisno o tome da li su usmjerene na sprječavanje, otkrivanje ili otklanjanje posljedica napada. Većina mjera je preventivne prirode. Proces planiranja obnove može se podijeliti u sljedeće faze: identifikovanje kritičnih funkcija organizacije, postavljanje prioriteta; identifikaciju resursa potrebnih za obavljanje kritičnih funkcija; utvrđivanje liste mogućih nezgoda; razvoj strategije obnove; priprema za implementaciju odabrane strategije; provera strategije. Kada planirate restauratorske radove, morate biti svjesni da nije uvijek moguće u potpunosti održati funkcioniranje organizacije. Neophodno je identificirati kritične funkcije bez kojih organizacija gubi obraz, pa čak i dati prioritet među kritičnim funkcijama kako bi se što prije i uz minimalne troškove nastavilo s radom nakon nesreće. Kada identifikujete resurse potrebne za obavljanje kritičnih funkcija, imajte na umu da mnogi od njih nisu po prirodi neračunarski. U ovoj fazi preporučljivo je u rad uključiti stručnjake različitih profila. Dakle, postoji veliki broj različitih metoda za osiguranje sigurnosti informacija. Najefikasnije je koristiti sve ove metode u jednom kompleksu. Danas je moderno tržište sigurnosti zasićeno alatima za sigurnost informacija. Konstantno proučavajući postojeću ponudu tržišta sigurnosti, mnoge kompanije uočavaju neadekvatnost prethodno uloženih sredstava u sisteme informacione bezbednosti, na primer, zbog zastarelosti opreme i softvera. Stoga traže rješenja za ovaj problem. Mogu postojati dvije takve opcije: s jedne strane, potpuna zamjena korporativnog sistema zaštite informacija, što će zahtijevati velika ulaganja, a s druge, modernizacija postojećih sigurnosnih sistema. Posljednja opcija za rješavanje ovog problema je najjeftinija, ali donosi nove probleme, npr. zahtijeva odgovor na sljedeća pitanja: kako osigurati kompatibilnost starih, zadržanih od postojećeg hardvera i softvera sigurnosnih alata, te novih elemenata sistem sigurnosti informacija; kako osigurati centralizirano upravljanje heterogenim sigurnosnim alatima; kako procijeniti i, ako je potrebno, ponovo procijeniti informacijske rizike kompanije. Poglavlje 2. Analiza sistema informacione bezbednosti 1 Delatnost preduzeća i analiza finansijskih pokazatelja OJSC Gazprom je globalna energetska kompanija. Osnovne delatnosti su geološka istraživanja, proizvodnja, transport, skladištenje, prerada i prodaja gasa, gasnog kondenzata i nafte, kao i proizvodnja i prodaja toplotne i električne energije. Gazprom svoju misiju vidi u pouzdanom, efikasnom i uravnoteženom snabdevanju potrošača prirodnim gasom, drugim vrstama energenata i njihovim prerađenim proizvodima. Gazprom ima najbogatije svjetske rezerve prirodnog gasa. Njegov udeo u svetskim rezervama gasa je 18%, u ruskim - 70%. Gazprom učestvuje sa 15% svetske i 78% ruske proizvodnje gasa. Trenutno, kompanija aktivno realizuje velike projekte za razvoj gasnih resursa poluostrva Jamal, arktičkog šelfa, istočnog Sibira i Dalekog istoka, kao i niz projekata za istraživanje i proizvodnju ugljovodonika u inostranstvu. Gazprom je pouzdan dobavljač gasa za ruske i strane potrošače. Kompanija poseduje najveću svetsku mrežu za transport gasa - Jedinstveni sistem snabdevanja gasom Rusije, čija dužina prelazi 161 hiljadu km. Gazprom više od polovine gasa koji proda na domaćem tržištu. Pored toga, kompanija snabdeva gasom 30 zemalja bližeg i daljeg inostranstva. Gazprom je jedini ruski proizvođač i izvoznik tečnog prirodnog gasa i obezbeđuje oko 5% svetske proizvodnje LNG-a. Kompanija je jedan od pet najvećih proizvođača nafte u Ruskoj Federaciji, a ujedno je i najveći vlasnik proizvodnih sredstava na svojoj teritoriji. Njihov ukupni instalisani kapacitet je 17% od ukupnog instalisanog kapaciteta ruskog energetskog sistema. Strateški cilj je uspostavljanje OAO Gazprom kao lidera među svjetskim energetskim kompanijama kroz razvoj novih tržišta, diversifikaciju aktivnosti i osiguranje pouzdanosti snabdijevanja. Pogledajmo finansijske rezultate kompanije u protekle dvije godine. Rezultati poslovanja kompanije prikazani su u Dodatku 1. Na dan 31. decembra 2010. godine prihod od prodaje iznosio je 2.495.557 miliona rubalja, što je znatno manje u odnosu na podatke iz 2011. godine, odnosno 3.296.656 miliona rubalja. Prihodi od prodaje (bez akciza, PDV-a i carina) povećani su za 801,099 miliona RUB, ili 32%, za devet meseci završenih 30. septembra 2011. godine u odnosu na isti period prošle godine, i iznose 3,296,656 miliona rubalja. Na osnovu rezultata 2011. godine, neto prihod od prodaje gasa čini 60% ukupnih neto prihoda od prodaje (60% za isti period prošle godine). Neto prihod od prodaje gasa porastao je sa 1.495.335 miliona RUB. za godinu do 1.987.330 miliona rubalja. za isti period 2011. godine ili za 33%. Neto prihod od prodaje gasa Evropi i drugim zemljama povećan je za 258.596 miliona RUB ili 34% u odnosu na isti period prošle godine i iznosi 1.026.451 milion RUB. Ukupni rast prodaje gasa u Evropu i druge zemlje je rezultat povećanja prosječnih cijena. Prosječna cijena u rubljama (uključujući carine) porasla je za 21% za devet mjeseci završenih 30. septembra 2011. u odnosu na isti period 2010. Pored toga, obim prodaje gasa je povećan za 8% u odnosu na isti period prošle godine. Neto prihod od prodaje gasa zemljama bivšeg Sovjetskog Saveza povećan je u odnosu na isti period 2010. godine za 168.538 miliona rubalja, ili 58%, i iznosio je 458.608 miliona rubalja. Promjena je prvenstveno uzrokovana povećanjem prodaje gasa bivšem Sovjetskom Savezu od 33% za devet mjeseci koji su završili 30. septembra 2011. u poređenju sa istim periodom prošle godine. Osim toga, prosječna cijena u rubljama (sa carinom, umanjenom za PDV) porasla je za 15% u odnosu na isti period prošle godine. Neto prihod od prodaje gasa u Ruskoj Federaciji povećan je za 64.861 milion RUB ili 15% u odnosu na isti period prošle godine i iznosi 502.271 milion RUB. To je uglavnom zbog povećanja prosječne cijene gasa za 13% u odnosu na isti period prošle godine, što je povezano sa povećanjem tarifa koje utvrđuje Federalna tarifna služba (FTS). Neto prihod od prodaje derivata nafte i gasa (umanjeni za akcize, PDV i carine) povećan je za 213.012 miliona rubalja ili 42% i iznosi 717.723 miliona rubalja. u odnosu na isti period prošle godine. Ovo povećanje se uglavnom objašnjava povećanjem svjetskih cijena derivata nafte i plina i povećanjem obima prodaje u odnosu na isti period prošle godine. Prihod Grupe Gazprom njeft iznosio je 85% i 84% ukupnog neto prihoda od prodaje naftnih i gasnih proizvoda, respektivno. Neto prihod od prodaje električne i toplotne energije (bez PDV-a) povećan je za 38.097 miliona RUB ili 19% i iznosi 237.545 miliona RUB. Povećanje prihoda od prodaje električne i toplotne energije uglavnom je rezultat povećanja tarifa za električnu i toplotnu energiju, kao i povećanja obima prodaje električne i toplotne energije. Neto prihod od prodaje sirove nafte i gasnog kondenzata (bez akciza, PDV-a i carina) povećan je za 23.072 miliona RUB ili 16% i iznosi 164.438 miliona RUB. u poređenju sa 141.366 miliona RUB. za isti period prošle godine. Promjena je uglavnom uzrokovana rastom cijena nafte i plinskog kondenzata. Osim toga, promjena je uzrokovana povećanjem prodaje plinskog kondenzata. Prihod od prodaje sirove nafte iznosio je 133.368 miliona rubalja. i 121.675 miliona rubalja. u neto prihodima od prodaje sirove nafte i gasnog kondenzata (umanjeni za akcize, PDV i carine) u 2011. i 2010. godini. Neto prihod od prodaje usluga transporta gasa (bez PDV-a) povećan je za 15.306 miliona RUB, ili 23%, i iznosio je 82.501 milion RUB, u poređenju sa 67.195 miliona RUB. za isti period prošle godine. Ovaj rast je uglavnom rezultat povećanja tarifa za transport gasa za nezavisne dobavljače, kao i povećanja količina gasa. ѐ kretanja transporta gasa za nezavisne dobavljače u odnosu na isti period prošle godine. Ostali prihodi su povećani za 19.617 miliona RUB ili 22% i iznosili su 107.119 miliona RUB. u poređenju sa 87,502 miliona RUB. za isti period prošle godine. Troškovi trgovinskih poslova bez stvarne isporuke iznosili su 837 miliona rubalja. u poređenju sa prihodom od 5.786 miliona RUB. za isti period prošle godine. Što se tiče operativnih rashoda, oni su porasli za 23% i iznosili su 2.119.289 miliona RUB. u poređenju sa 1.726.604 miliona RUB. za isti period prošle godine. Udio operativnih troškova u prihodima od prodaje smanjen je sa 69% na 64%. Troškovi rada porasli su za 18% i iznosili su 267.377 miliona rubalja. u poređenju sa 227.500 miliona RUB. za isti period prošle godine. Povećanje je uglavnom rezultat povećanja prosječnih plata. Amortizacija za analizirani period porasla je za 9% ili za 17.026 miliona rubalja, i iznosila je 201.636 miliona rubalja, u poređenju sa 184.610 miliona rubalja. za isti period prošle godine. Povećanje je uglavnom rezultat proširenja baze osnovnih sredstava. Kao rezultat navedenih faktora, dobit od prodaje porasla je za 401.791 milion RUB, ili 52%, i iznosila je 1.176.530 miliona RUB. u poređenju sa 774,739 miliona RUB. za isti period prošle godine. Profitna marža od prodaje porasla je sa 31% na 36% za devet mjeseci završenih 30. septembra 2011. Dakle, OJSC Gazprom je globalna energetska kompanija. Osnovne delatnosti su geološka istraživanja, proizvodnja, transport, skladištenje, prerada i prodaja gasa, gasnog kondenzata i nafte, kao i proizvodnja i prodaja toplotne i električne energije. Finansijsko stanje kompanije je stabilno. Pokazatelji učinka pokazuju pozitivnu dinamiku. 2 Opis sistema informacione sigurnosti kompanije Razmotrimo glavna područja aktivnosti odjela Službe za korporativnu zaštitu OJSC Gazprom: razvoj ciljanih programa za razvoj sistema i kompleksa inženjersko-tehničke sigurnosne opreme (ITSE), sistema informacione bezbednosti (IS) OAO Gazprom i njegovih podružnica i organizacija, učešće u formiranju investicionog programa u cilju obezbeđivanja informaciono-tehničkih sigurnost; implementacija ovlašćenja naručioca za razvoj sistema informacione bezbednosti, kao i ITSO sistema i kompleksa; razmatranje i odobravanje budžetskih zahtjeva i budžeta za sprovođenje mjera za razvoj sistema informacione bezbjednosti, ITSO sistema i kompleksa, kao i za kreiranje IT u pogledu sistema informacione bezbjednosti; pregled i davanje saglasnosti na projektnu i predprojektnu dokumentaciju za razvoj sistema informacione bezbednosti, ITSO sistema i kompleksa, kao i tehničke specifikacije za izradu (modernizaciju) informacionih sistema, komunikacionih i telekomunikacionih sistema u pogledu zahteva informacione bezbednosti; organizaciju rada na procjeni usklađenosti ITSO sistema i kompleksa, sistema informacione sigurnosti (kao i radova i usluga za njihovu izradu) sa utvrđenim zahtjevima; koordinacija i kontrola rada na zaštiti tehničkih informacija. Gazprom je stvorio sistem za osiguranje zaštite ličnih podataka. Međutim, usvajanje niza podzakonskih akata od strane savezne izvršne vlasti u razvoju postojećih zakona i vladinih propisa nameće potrebu unapređenja postojećeg sistema zaštite podataka o ličnosti. U interesu rješavanja ovog problema izrađen je veći broj dokumenata koji se usvajaju u okviru istraživačkog rada. Prije svega, ovo su nacrti standarda Gazpromove razvojne organizacije: „Metodologija za klasifikaciju informacionih sistema ličnih podataka OAO Gazprom, njegovih podružnica i organizacija“; „Model pretnji ličnim podacima tokom njihove obrade u informacionim sistemima ličnih podataka OAO Gazprom, njegovih podružnica i organizacija.“ Ovi dokumenti su razvijeni uzimajući u obzir zahtjeve Uredbe Vlade Ruske Federacije od 17. novembra 2007. br. 781 "O odobravanju Pravilnika o osiguranju sigurnosti ličnih podataka tokom njihove obrade u informacionim sistemima o ličnim podacima" u u odnosu na klasu specijalnih sistema, koji uključuju većinu OJSC ISPDn "Gasprom". Pored toga, trenutno je u toku izrada „Pravila o organizaciji i tehničkoj podršci bezbednosti ličnih podataka koji se obrađuju u informacionim sistemima ličnih podataka OAO Gazprom, njegovih podružnica i organizacija“. Treba napomenuti da su u okviru sistema standardizacije OJSC Gazprom razvijeni standardi za sistem bezbednosti informacija, koji će takođe omogućiti rešavanje problema zaštite ličnih podataka koji se obrađuju u informacionim sistemima OJSC Gazprom. Odobreno je sedam standarda koji se odnose na sistem informacione bezbjednosti koji se primjenjuju ove godine. Standardi definišu osnovne zahteve za izgradnju sistema bezbednosti informacija za OAO Gazprom i njegove podružnice. Rezultati obavljenog rada omogućit će racionalnije korištenje materijalnih, finansijskih i intelektualnih resursa, stvaranje potrebne regulatorne i metodološke podrške, uvođenje djelotvornih sredstava zaštite i kao rezultat toga osigurati sigurnost osobnih podataka koji se obrađuju u informacijama. sistemi OAO Gazprom. Kao rezultat analize informacione bezbednosti OJSC Gazprom, identifikovani su sledeći nedostaci u obezbeđivanju bezbednosti informacija: organizacija nema nijedan dokument koji reguliše sveobuhvatnu bezbednosnu politiku; S obzirom na veličinu mreže i broj korisnika (više od 100), treba napomenuti da je jedna osoba zadužena za administraciju sistema, sigurnost informacija i tehničku podršku; ne postoji klasifikacija informacionih sredstava po stepenu važnosti; uloge i odgovornosti za sigurnost informacija nisu uključene u opis poslova; u ugovoru o radu zaključenom sa zaposlenim nema klauzule o odgovornostima za informatičku sigurnost kako zaposlenih, tako i same organizacije; nije obezbeđena obuka kadrova u oblasti informacione bezbednosti; sa stanovišta zaštite od vanjskih prijetnji: nisu razvijene tipične procedure ponašanja za oporavak podataka nakon nesreća koje su nastale kao posljedica vanjskih prijetnji i prijetnji iz okoliša; serverska soba nije posebna prostorija, prostoriji je dodijeljen status dva odjeljenja (u server sobu ima pristup još jedna osoba, pored sistem administratora); ne vrši se tehničko sondiranje i fizički pregled za neovlašćene uređaje priključene na kablove; unatoč činjenici da se ulazak vrši pomoću elektroničkih propusnica i da se svi podaci unose u posebnu bazu podataka, njihova analiza se ne provodi; u smislu zaštite od zlonamjernog softvera: ne postoji formalna politika za zaštitu od rizika povezanih s primanjem datoteka bilo sa ili preko vanjskih mreža ili sadržanih na prenosivim medijima; u pogledu zaštite od zlonamjernog softvera: ne postoje smjernice za zaštitu lokalne mreže od zlonamjernog koda; nema kontrole saobraćaja, postoji pristup mail serverima eksternih mreža; sve rezervne kopije su pohranjene u serverskoj sobi; koriste se nesigurne lozinke koje se lako pamte; prijem lozinki od strane korisnika nije potvrđen ni na koji način; lozinke se čuvaju u čistom tekstu od strane administratora; lozinke se ne mijenjaju; Ne postoji procedura za prijavljivanje događaja u informacionoj bezbednosti. Dakle, na osnovu ovih nedostataka, razvijen je set propisa koji se odnose na politiku informacione sigurnosti, uključujući: politike u pogledu zapošljavanja (otpuštanja) i davanja (lišavanja) zaposlenima neophodnih ovlašćenja za pristup sistemskim resursima; politika rada korisnika mreže tokom njenog rada; politika zaštite lozinkom; politika organizacije fizičke zaštite; Internet politika; kao i administrativne sigurnosne mjere. Dokumenti koji sadrže ove propise su u fazi razmatranja od strane menadžmenta organizacije. 3 Razvoj seta mjera za modernizaciju postojećeg sistema informacione sigurnosti Kao rezultat analize sistema informacione bezbednosti OJSC Gazprom, identifikovane su značajne ranjivosti sistema. Kako bismo razvili mjere za otklanjanje uočenih nedostataka sigurnosnog sistema, izdvojit ćemo sljedeće grupe informacija koje su predmet zaštite: informacije o privatnom životu zaposlenih koje omogućavaju njihovu identifikaciju (lični podaci); informacije koje se odnose na profesionalne aktivnosti i koje predstavljaju bankarsku, revizorsku i komunikacijsku tajnu; informacije koje se odnose na profesionalne aktivnosti i označene kao informacije “za službenu upotrebu”; informacije, čije će uništavanje ili modifikacija negativno uticati na operativnu efikasnost, a obnova će zahtijevati dodatne troškove. Sa stanovišta administrativnih mjera, razvijene su sljedeće preporuke: sistem sigurnosti informacija mora biti u skladu sa zakonodavstvom Ruske Federacije i državnim standardima; zgrade i prostorije u kojima se instaliraju ili čuvaju objekti za obradu informacija, rad se obavlja sa zaštićenim informacijama, moraju biti čuvani i zaštićeni alarmom i sredstvima kontrole pristupa; treba organizovati obuku osoblja o pitanjima sigurnosti informacija (objašnjavanje važnosti zaštite lozinkom i zahtjeva za lozinkom, sprovođenje obuke o antivirusnom softveru, itd.) prilikom zapošljavanja radnika; sprovoditi obuke svakih 6-12 meseci u cilju unapređenja pismenosti zaposlenih u oblasti informacione bezbednosti; reviziju sistema i prilagođavanja izrađene regulative vršiti godišnje, 1. oktobra, ili odmah nakon uvođenja većih promjena u strukturi preduzeća; prava pristupa svakog korisnika informacijskim resursima moraju biti dokumentirana (ako je potrebno, pristup se traži od menadžera u pisanoj formi); Politiku sigurnosti informacija moraju osigurati administrator softvera i administrator hardvera, a njihove radnje koordinira šef grupe. Hajde da formulišemo politiku lozinke: nemojte ih čuvati u nešifrovanom obliku (ne zapisujte ih na papir, u običan tekstualni fajl, itd.); promijeniti lozinku ako je otkrivena ili se sumnja da je otkrivena; dužina mora biti najmanje 8 znakova; Lozinka mora sadržavati velika i mala slova, brojeve i specijalne znakove, lozinka ne smije uključivati nizove znakova koji se lako izračunavaju (imena, imena životinja, datumi); mijenjati jednom svakih 6 mjeseci (neplanirana promjena lozinke se mora izvršiti odmah nakon prijema obavijesti o incidentu koji je pokrenuo promjenu); Prilikom promjene lozinki ne možete odabrati one koje su prethodno korištene (lozinke se moraju razlikovati za najmanje 6 pozicija). Hajde da formulišemo politiku u vezi sa antivirusnim programima i otkrivanjem virusa: Licencirani antivirusni softver mora biti instaliran na svakoj radnoj stanici; ažuriranje antivirusnih baza podataka na radnim stanicama sa pristupom Internetu - jednom dnevno, bez pristupa Internetu - najmanje jednom tjedno; postaviti automatsko skeniranje radnih stanica za otkrivanje virusa (učestalost provjera - jednom sedmično: petak, 12:00); Samo administrator može prekinuti ažuriranje antivirusne baze podataka ili skeniranje virusa (za navedenu radnju korisnika treba postaviti zaštitu lozinkom). Hajde da formulišemo politiku fizičke zaštite: tehničko sondiranje i fizički pregled na neovlašćene uređaje priključene na kablove vršiti svaka 1-2 mjeseca; mrežni kablovi moraju biti zaštićeni od neovlašćenog presretanja podataka; zapisi o svim sumnjivim i stvarnim kvarovima koji su se desili sa opremom moraju se pohraniti u dnevnik Svaka radna stanica mora biti opremljena neprekidnim napajanjem. Hajde da definišemo politiku u vezi sa rezervacijom informacija: za rezervne kopije treba izdvojiti posebnu prostoriju, koja se nalazi izvan upravne zgrade (prostorija treba biti opremljena elektronskom bravom i alarmom); Informativne rezervacije izvršiti svakog petka u 16:00 sati. Politika zapošljavanja/otpuštanja radnika trebala bi biti sljedeća: sve kadrovske promjene (zapošljavanje, napredovanje, otpuštanje radnika i sl.) potrebno je prijaviti administratoru u roku od 24 sata, koji pak u roku od pola radnog dana mora izvršiti odgovarajuće izmjene sistema za razgraničenje prava pristupa na resurse preduzeća; novi zaposleni mora proći obuku od strane administratora, uključujući upoznavanje sa sigurnosnom politikom i svim potrebnim uputstvima, nivo pristupa informacijama za novog zaposlenog određuje menadžer; Kada zaposleni napusti sistem, njegov ID i lozinka se brišu, radna stanica se provjerava na viruse i analizira integritet podataka kojima je zaposlenik imao pristup. Politika rada sa lokalnom internom mrežom (LAN) i bazama podataka (DB): kada radi na svojoj radnoj stanici i na LAN-u, zaposleni mora obavljati samo poslove koji su direktno povezani sa njegovim službenim aktivnostima; Zaposlenik mora obavijestiti administratora o porukama antivirusnih programa o pojavi virusa; nikome osim administratorima nije dozvoljeno da vrši promene u dizajnu ili konfiguraciji radnih stanica i drugih LAN čvorova, instalira bilo koji softver, ostavlja radnu stanicu bez kontrole ili dozvoljava neovlašćenim osobama da joj pristupe; Administratorima se preporučuje da stalno rade dva programa: uslužni program za otkrivanje napada sa lažnim ARP-om i njuškalo, čija će upotreba omogućiti da vide mrežu očima potencijalnog uljeza i identifikuju prekršioce sigurnosne politike; Trebali biste instalirati softver koji sprječava pokretanje programa osim onih koje je odredio administrator, na osnovu principa: „Svako lice ima privilegije potrebne za obavljanje određenih zadataka“. Svi neiskorišteni portovi računara moraju biti onemogućeni hardverom ili softverom; Softver treba redovno ažurirati. Internet politika: administratorima je dodijeljeno pravo da ograniče pristup resursima čiji sadržaj nije vezan za obavljanje službenih dužnosti, kao i resursima čiji sadržaj i fokus su zabranjeni međunarodnim i ruskim zakonodavstvom; zaposleniku je zabranjeno preuzimanje i otvaranje datoteka bez prethodne provjere na viruse; sve informacije o resursima koje posjećuju zaposleni u kompaniji treba pohraniti u dnevnik i, ako je potrebno, mogu se dostaviti šefovima odjela, kao i menadžmentu povjerljivost i integritet elektronske korespondencije i kancelarijskih dokumenata obezbjeđuje se korištenjem digitalnih potpisa. Pored toga, formulisaćemo osnovne zahteve za kreiranje lozinki za zaposlene kompanije OJSC Gazprom. Lozinka je kao ključ od kuće, samo što je ključ informacija. Za obične ključeve izuzetno je nepoželjno da budu izgubljeni, ukradeni ili predati strancu. Isto važi i za lozinku. Naravno, sigurnost informacija ne ovisi samo o lozinki; da biste je osigurali, morate postaviti niz posebnih postavki i, možda, čak i napisati program koji štiti od hakovanja. Ali odabir lozinke je upravo radnja u kojoj samo od korisnika zavisi koliko će ova karika biti jaka u lancu mjera usmjerenih na zaštitu informacija. ) lozinka mora biti duga (8-12-15 znakova); ) ne smije biti riječ iz rječnika (bilo kojeg rječnika, čak i rječnika posebnih pojmova i slenga), vlastito ime ili riječ na ćiriličnom pismu otkucana latiničnim rasporedom (latinica - kfnsym); ) ne može se povezati sa vlasnikom; ) mijenja se periodično ili po potrebi; ) se ne koristi u ovom svojstvu na različitim resursima (tj., za svaki resurs - za prijavu u poštansko sanduče, operativni sistem ili bazu podataka - mora se koristiti druga lozinka); ) moguće je zapamtiti. Odabir riječi iz rječnika je nepoželjan, jer će napadač koji izvodi riječnički napad koristiti programe koji mogu pretraživati do stotine hiljada riječi u sekundi. Bilo koja informacija povezana s vlasnikom (bilo da se radi o datumu rođenja, imenu psa, majčinom djevojačkom prezimenu i sličnim “lozinkama”) može se lako prepoznati i pogoditi. Upotreba velikih i malih slova, kao i brojeva, uvelike komplikuje zadatak napadača da pogodi lozinku. Lozinku treba čuvati u tajnosti, a ako sumnjate da je lozinka nekome postala poznata, promijenite je. Takođe je veoma korisno menjati ih s vremena na vreme. Zaključak Studija nam je omogućila da izvučemo sljedeće zaključke i formuliramo preporuke. Utvrđeno je da je osnovni razlog za probleme preduzeća u oblasti informacione bezbednosti nepostojanje politike informacione bezbednosti koja bi podrazumevala organizaciona, tehnička, finansijska rešenja sa naknadnim praćenjem njihove primene i ocenjivanjem efektivnosti. Definicija politike informacione sigurnosti formulisana je kao skup dokumentovanih odluka, čija je svrha da osiguraju zaštitu informacija i povezanih informacionih rizika. Analiza sistema informacione bezbednosti otkrila je značajne nedostatke, uključujući: skladištenje rezervnih kopija u serverskoj sobi, rezervni server se nalazi u istoj prostoriji kao i glavni serveri; nedostatak odgovarajućih pravila u vezi sa zaštitom lozinke (dužina lozinke, pravila za njen izbor i čuvanje); mrežnom administracijom upravlja jedna osoba. Generalizacija međunarodne i ruske prakse u oblasti upravljanja informacionom bezbednošću preduzeća omogućila nam je da zaključimo da je za njeno osiguranje neophodno: predviđanje i blagovremeno utvrđivanje sigurnosnih prijetnji, uzroka i uslova koji dovode do finansijske, materijalne i moralne štete; stvaranje uslova za rad sa najmanjim rizikom od implementacije bezbednosnih pretnji na informacione resurse i nanošenja raznih vrsta štete; stvaranje mehanizma i uslova za efikasno reagovanje na pretnje informacionoj bezbednosti na osnovu pravnih, organizacionih i tehničkih sredstava. Prvo poglavlje rada razmatra glavne teorijske aspekte. Dat je pregled nekoliko standarda iz oblasti informacione sigurnosti. Izvode se zaključci za svaku iu cjelini i odabire najprikladniji standard za formiranje politike informacione sigurnosti. Drugo poglavlje ispituje strukturu organizacije i analizira glavne probleme vezane za sigurnost informacija. Kao rezultat toga, formirane su preporuke za obezbjeđivanje odgovarajućeg nivoa sigurnosti informacija. Razmatraju se i mjere za sprječavanje daljih incidenata vezanih za kršenje informacione sigurnosti. Naravno, osiguranje informacione sigurnosti organizacije je kontinuiran proces koji zahtijeva stalno praćenje. A prirodno formirana politika nije gvozdeni garant zaštite. Pored implementacije politike, potrebno je stalno praćenje njene kvalitetne implementacije, kao i unapređenje u slučaju bilo kakvih promjena u kompaniji ili presedana. Organizaciji je preporučeno da zaposli službenika čije bi aktivnosti bile direktno vezane za ove funkcije (administratora sigurnosti). Bibliografija finansijska šteta po sigurnost informacija 1. Belov E.B. Osnove informacione sigurnosti. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Hotline - Telekom, 2006. - 544s Galatenko V.A. Standardi informacione sigurnosti: kurs predavanja. Obrazovni dodatak. - 2. izdanje. M.: INTUIT.RU "Internet univerzitet informacionih tehnologija", 2009. - 264 str. Glatenko V.A. Standardi sigurnosti informacija / otvoreni sistemi 2006.- 264c Dolzhenko A.I. Upravljanje informacionim sistemima: Obuka. - Rostov na Donu: RGEU, 2008.-125 str. Kalašnjikov A. Formiranje korporativne politike interne informacione bezbednosti #"justify">. Malyuk A.A. Informaciona sigurnost: konceptualne i metodološke osnove zaštite informacija / M.2009-280s Mayvold E., Mrežna sigurnost. Priručnik za samouvođenje // Ekom, 2009.-528 str. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Osnove organizacijske podrške za informatičku sigurnost objekata informatizacije // Helios ARV, 2008, 192 str.
