Diplomová práce o bezpečnosti informací (Bezpečnost informačních systémů). Systém informační bezpečnosti Seznam témat WRC o informační bezpečnosti
Podobné dokumenty
Relevance otázek bezpečnosti informací. Software a hardware pro síť Mineral LLC. Budování modelu podnikového zabezpečení a ochrany před neoprávněným přístupem. Technická řešení ochrany informačního systému.
práce, přidáno 19.01.2015
Bezpečnost informačního systému je jeho schopnost odolávat různým vlivům. Typy počítačových hrozeb, koncept neoprávněného přístupu. Viry a malware. Metody a prostředky ochrany informačních systémů.
abstrakt, přidáno 14.11.2010
Klasifikace hrozeb informační bezpečnosti. Chyby ve vývoji počítačových systémů, softwaru a hardwaru. Hlavní metody získání neoprávněného přístupu (UNA) k informacím. Způsoby ochrany proti NSD. Virtuální privátní sítě.
práce v kurzu, přidáno 26.11.2013
Vnější ohrožení informační bezpečnosti, formy jejich projevu. Metody a prostředky ochrany před průmyslovou špionáží, její cíle: získání informací o konkurentovi, zničení informací. Metody neoprávněného přístupu k důvěrným informacím.
test, přidáno 18.09.2016
Nejběžnější způsoby neoprávněného přístupu k informacím, kanály jejich úniku. Způsoby ochrany informací před přírodními (nouzovými) hrozbami a před náhodnými hrozbami. Kryptografie jako prostředek ochrany informací. Průmyslová špionáž.
abstrakt, přidáno 06.04.2013
Pojem, význam a směry informační bezpečnosti. Systematický přístup k organizaci informační bezpečnosti, ochrana informací před neoprávněným přístupem. Nástroje informační bezpečnosti. Metody a systémy informační bezpečnosti.
abstrakt, přidáno 15.11.2011
Pojem a principy informační bezpečnosti. Zvážení hlavních typů nebezpečných účinků na počítačový systém. Klasifikace kanálů pro neoprávněný přístup k počítačům. Charakteristika hardwarových a softwarových nástrojů informační bezpečnosti.
prezentace, přidáno 15.11.2011
Informační bezpečnost, její cíle a cíle. Kanály úniku informací. Softwarové a hardwarové metody a prostředky ochrany informací před neoprávněným přístupem. Model bezpečnostních hrozeb pro informace zpracovávané na počítačovém zařízení.
práce, přidáno 19.02.2017
Vliv druhu činnosti podniku na organizaci komplexního systému informační bezpečnosti. Složení chráněných informací. Potenciální kanály pro neoprávněný přístup k organizačním informacím. Efektivita systému informační bezpečnosti.
zpráva z praxe, přidáno 31.10.2013
Historické aspekty vzniku a vývoje informační bezpečnosti. Prostředky informační bezpečnosti a jejich klasifikace. Druhy a principy fungování počítačových virů. Právní základ pro ochranu informací před neoprávněným přístupem.
zaměření (profil) „Informační systémy a technologie“
oblasti školení 09.03.02 „Informační systémy a technologie“
design a technologie,
servisní a provozní.
1. Virtualizace informační infrastruktury podniku (název podniku).
2. Integrace podnikových informačních systémů na bázi OS Linux a volně distribuovaného DBMS.
3. Modernizace a správa podnikového informačního systému podniku (název podniku).
4. Modernizace, správa a údržba informační sítě podniku (název podniku).
5. Modernizace informačního a řídicího systému podniku (procesu) (název podniku nebo procesu) a rozvoj opatření na jeho podporu.
6. Vývoj intranetového portálu pro podnik (název podniku).
7. Návrh podnikové informační sítě (název podniku).
8. Návrh podnikového informačního systému pro podnik (název podniku).
9. Vývoj a údržba podnikového webového portálu podniku (název podniku).
10. Vývoj systému automatizovaného zpracování informací pro podnik (název podniku).
11. Vývoj prototypu podnikového informačního systému pro řízení procesů (název procesu nebo objektu).
12. Vývoj webové služby pro informační systém podniku (název podniku).
13. Vývoj referenčního informačního systému pro podnik (název podniku).
14. Vývoj modelu a návrhu systému řízení podnikových informací (název podniku).
15. Vývoj technologického software pro údržbu systému (název systému).
16. Vývoj softwaru pro mikroprocesorové zařízení (název zařízení).
17. Vývoj mobilní klientské aplikace pro informační systém podniku (název podniku).
18. Vývoj simulačního modelu pro optimalizaci parametrů výrobního procesu.
19. Návrh virtuálních serverů na základě nástrojů (název virtualizačních nástrojů) a kanálů přenosu dat pro podnik (název podniku).
20. Vývoj modulu (subsystému) (název implementované funkce) informačního (podnikového informačního) systému podniku (název podniku).
ve vzdělávacím programu aplikovaného bakalářského studia
oblasti školení 03/09/04 “Softwarové inženýrství”
výrobní a technologické,
organizační a manažerské,
servisní a provozní.
1. Vývoj aplikace pro analýzu webu, sociální sítě, portálu.
2. Návrh a softwarová implementace informačního (informačního a referenčního) systému (účel nebo funkce systému).
3. Vývoj firmwaru pro zařízení (název zařízení).
4. Vývoj aplikačního software pro systém (název systému).
5. Vývoj softwarového informačního systému (název oblasti použití nebo implementovaného procesu).
6. Vývoj metod pro testování a ladění softwaru (název softwaru).
7. Vývoj softwarového modulu (název modulu) pro systém 1C: Enterprise (název podniku).
8. Vývoj webové služby pro systém řízení podnikových informací (název podniku).
9. Vývoj aplikace pro podporu informačně-měřícího systému (účel systému).
10. Studium informační bezpečnosti webových služeb systému 1C:Enterprise.
11. Vývoj modulu (subsystému) (název implementované funkce) informačního (podnikového informačního) systému podniku (název podniku).
12. Vývoj serverového (klientského) softwaru pro systém (název systému).
Témata závěrečných kvalifikačních prací
ve vzdělávacím programu aplikovaného bakalářského studia
zaměření (profil) “Informační služba”
:servis,
1. Modernizace, správa a údržba lokální sítě podniku (název podniku).
2. Modernizace a správa podnikového informačního systému (název podniku).
3. Návrh podnikového informačního systému (název podniku).
4. Návrh a vývoj technologie pro provozování lokální sítě podniku (název podniku).
5. Návrh hardwarové a softwarové ochrany informačního systému podniku (název podniku).
6. Vývoj technologie pro diagnostiku, opravy a údržbu zařízení (název zařízení, skupina zařízení, měřicí zařízení, počítačová jednotka, počítačový nebo mikroprocesorový systém, místní síť).
7. Vývoj a správa webových stránek společnosti (název společnosti).
8. Vývoj konfigurace serveru pro datovou přenosovou síť podniku (název podniku).
9. Vývoj a správa databáze podnikového informačního systému (název podniku).
10. Vývoj intranetového portálu pro podnik (název podniku).
11. Vývoj subsystému pro sledování výrobních procesů na platformě 1C:Enterprise.
12. Vypracování projektu distribuovaného informačního systému (název systému) podniku (název podniku).
13. Vývoj informačního a referenčního účetního systému (název účetního objektu).
14. Vývoj služby WCF pro podnikový informační systém.
15. Vývoj modelu podnikového informačního systému (název nebo oblast činnosti podniku).
16. Vývoj metod pro testování a ladění softwaru (název softwaru).
17. Vypracování souboru opatření pro správu a údržbu softwarového informačního systému (název oblasti použití nebo implementovaného procesu).
18. Modelování a výzkum systému přenosu dat (název systému).
19. Výzkum a optimalizace parametrů distribuovaného informačního systému na platformě 1C:Enterprise.
20. Návrh divize podniku (název podniku) pro opravy a údržbu elektronických (počítačových) zařízení a organizace provozu technických zařízení.
21. Návrh virtuálních serverů na základě nástrojů (název virtualizačních nástrojů) a kanálů přenosu dat pro podnik (název podniku).
22. Vývoj serverového (klientského) softwaru pro systém (název systému).
Témata závěrečných kvalifikačních prací
ve vzdělávacím programu aplikovaného bakalářského studia
směrovost (profil) "Servis elektronických zařízení"
oblasti školení 03.43.01 „Servis“
Druhy odborných činností:servis,
výrobní a technologické.
1. Vývoj technologie pro diagnostiku, opravy a údržbu zařízení (název elektronického zařízení, mikroprocesor nebo telekomunikační systém, měřicí zařízení, síť pro přenos dat).
2. Vývoj elektronického systému (název systému) podniku (název podniku, obchodní a kancelářské centrum, zábavní komplex).
3. Vývoj informačního vstupního/výstupního zařízení (název zařízení).
4. Vývoj softwaru pro mikroprocesorové zařízení (název zařízení).
5. Rozvoj podnikové telekomunikační sítě pro podnik (název podniku).
6. Vývoj digitálního zařízení (modulu) (název zařízení, modulu; název implementované funkce).
7. Vývoj napájecího zařízení pro elektronická zařízení (název zařízení).
8. Vývoj technologie pro sledování (řízení parametrů) objektů (názvů objektů).
9. Vývoj a výzkum bezdrátového senzoru (název měřeného parametru).
10. Návrh divize podniku (název podniku) pro opravy a údržbu elektronických (počítačových) zařízení a organizace provozu technických zařízení.
11. Vývoj subsystému (název subsystému) integrovaného bezpečnostního systému pro podnik (název podniku).
Témata závěrečných kvalifikačních prací
ve vzdělávacím programu aplikovaného bakalářského studia
směrovost (profil) „Radiotechnické prostředky pro přenos, příjem a zpracování signálů“
oblasti školení 03/11/01 “Radiotechnika”
design a inženýrství,
servisní a provozní.
1. Vývoj systému zařízení (blok, modul; přijímací, vysílací, transceiver) (název systému).
2. Vývoj bezdrátového rozhraní pro elektronická zařízení (název zařízení).
3. Studie virtuálního modelu zařízení (uveďte typ zařízení) v prostředí (název softwarového prostředí).
4. Vývoj subsystému (název subsystému) integrovaného podnikového bezpečnostního systému (název podniku.
Témata závěrečných kvalifikačních prací
ve vzdělávacím programu aplikovaného bakalářského studia
směrovost (profil) "Mobilní komunikační systémy"
oblasti školení 11.03.02 „Infokomunikační technologie a komunikační systémy“
Druhy odborných činností:design
1. Návrh telekomunikační sítě pro podnik (název podniku).
2. Správa a údržba telekomunikační sítě podniku (název podniku).
3. Vývoj bloku (kodek, vokodér, synchronizační zařízení, párovací zařízení) digitálního telekomunikačního systému.
4. Vývoj adaptéru bezdrátového rozhraní (názvy rozhraní).
5. Vývoj systému zařízení pro zpracování informací (typ zařízení) (název systému).
6. Vývoj zařízení pro propojení systémů (názvy systémů).
7. Vývoj systémového řadiče (název systému).
8. Vývoj synchronizačního zařízení pro telekomunikační systém (název systému).
9. Vývoj technologického zařízení pro testování telekomunikačních zařízení (název zařízení).
10. Vývoj bezdrátové komunikační sítě (segment sítě) na bázi technologie (název technologie).
11. Vývoj technologie pro vzdálený monitoring parametrů objektu (název parametrů).
12. Vývoj senzorové sítě pro sledování stavu objektu (název objektu).
13. Vývoj technologie pro diagnostiku a měření parametrů telekomunikačního zařízení (název zařízení, systém, síť, prostředí).
14. Vývoj transceiveru pro systém (název systému).
15. Vývoj telekomunikačních zařízení pro dálkové ovládání objektu (název objektu).
16. Vývoj měřiče parametrů pro součásti telekomunikačních zařízení (názvy součástí).
17. Vývoj bezdrátového informačního vstupního/výstupního zařízení (název zařízení).
18. Vývoj hardwaru a softwaru pro infokomunikační techniku (název technologie).
19. Studium protokolů přenosu informací v systému (název systému).
20. Výzkum metod číslicového zpracování signálů pro systém (název systému).
21. Vývoj infokomunikační technologie a systému facility managementu (název zařízení).
22. Vývoj bezdrátového systému pro měření parametru (název parametru).
23. Návrh virtuálních serverů na základě nástrojů (název virtualizačních nástrojů) a kanálů přenosu dat pro podnik (název podniku).
Témata závěrečných kvalifikačních prací
podle vzdělávacího programu středního odborného vzdělávání
specialita 09.02.01 „Počítačové systémy a komplexy“
Profesionální moduly:PM.01 Návrh digitálních zařízení,
PM.02 Aplikace mikroprocesorových systémů, instalace a konfigurace periferního školení,
PM.03 Údržba a opravy počítačových systémů a komplexů.
1. Diagnostika poruch a sledování technického stavu zařízení (název hardwaru a softwaru výpočetní techniky nebo počítačové sítě).
2. Sestavení, konfigurace a nastavení nástrojů (název počítačového hardwaru a softwaru nebo počítačové sítě).
3. Vypracování souboru opatření k zajištění informační bezpečnosti počítačové sítě podniku (název podniku).
4. Vývoj bezkontaktního identifikačního systému pro podnik (název podniku).
5. Údržba a správa podnikového informačního systému (název podniku).
6. Údržba a správa počítačové sítě podniku (název podniku).
7. Údržba a podpora hardwaru a softwaru (název počítačového hardwaru nebo počítačové sítě).
8. Instalace, adaptace a údržba softwaru (název softwaru).
9. Vývoj a výzkum digitálního (mikroprocesorového) zařízení (modulu) (název zařízení, modul).
10. Vývoj testovací technologie a komplexní ladění softwaru (název softwaru).
Témata závěrečných kvalifikačních prací pro absolventy
zaměření (profil) „Prvky a zařízení výpočetní techniky a informačních systémů“
oblasti školení 09.04.01 „Informatika a informatika“
Druhy odborných činností:design,
vědecký výzkum.
1. Modelování a výzkum síťových protokolů pro přenos informací (je uveden typ informace).
2. Výzkum a vývoj počítačových metod pro zlepšení parametrů systému (jsou uvedeny parametry nebo parametry a typ systému).
3. Počítačové modelování, výzkum a optimalizace informačních nebo telekomunikačních systémů (uvedena třída systémů).
4. Výzkum a optimalizace výstavby bezdrátových senzorových sítí.
5. Výzkum a analýza konstrukce bezdrátových sítí internetu věcí.
6. Vývoj kritérií efektivity a studie distribuce virtuálních strojů v rámci cloudové infrastruktury.
7. Vývoj, výzkum a hodnocení účinnosti distribuovaných informačních (nebo informačních měřících) systémů (uvádí se oblast použití nebo typ systémů).
8. Vývoj a výzkum bezdrátového rozhraní pro zařízení (název zařízení).
9. Vývoj a výzkum zařízení pro sledování objektů (názvy objektů).
10. Vývoj a výzkum zařízení pro sledování stavu objektu (název objektu).
11. Vývoj hardwarových a softwarových diagnostických nástrojů pro zařízení (názvy zařízení).
12. Vývoj a výzkum bezdrátového senzoru (název měřeného parametru).
13. Studium korekčních algoritmů pro převodníky parametru (názvu parametru) do kódu.
14. Vývoj algoritmů a softwaru pro sledování parametrů systému facility managementu (název zařízení).
15. Vývoj a výzkum bezdrátových ovládacích zařízení pro objekt (název objektu).
16. Modelování a výzkum převodníků parametrů (názvy parametrů).
17. Metody hodnocení kvality softwaru (je uveden účel softwaru).
18. Studie fungování zařízení (názvy zařízení) za podmínek (jsou uvedeny podmínky) za účelem zlepšení vlastností (uvedeny vlastnosti).
19. Vývoj metod pro analýzu a syntézu zařízení (názvy zařízení) za účelem zlepšení vlastností (uvedeny vlastnosti).
Témata závěrečných kvalifikačních prací
v akademickém magisterském programu
zaměření (profil) „Vývoj softwaru a informačních systémů“
oblasti školení 09.04.04 “Softwarové inženýrství”
výzkum,
design
1. Vývoj a výzkum služby REST pro zobrazování rozvrhů na vysokých školách.
2. Výzkum a vývoj softwarových testovacích nástrojů pro mobilní operátory.
3. Rozpoznání fyziologického stavu člověka na základě teorie systémů s náhodnou strukturou.
4. Návrh informačního systému pro automatizaci prodeje (název podniku) na základě přístupu MDA.
5. Vývoj a výzkum softwarového informačního systému pro hodnocení kvality softwaru (je uveden název softwaru).
6. Vývoj distribuovaného softwaru a informačních systémů (je uveden rozsah použití systému) a výzkum možností jejich optimalizace na základě kritérií účinnosti (uvedena kritéria).
7. Vývoj softwaru pro podporu vstupně/výstupních zařízení pro systém (název systému).
8. Studie bezpečnosti komponent softwarového informačního systému (název systému).
Úvod
Kapitola 1. Teoretické aspekty adopce a informační bezpečnosti
1.1Pojem informační bezpečnosti 3 Metody zabezpečení informací Kapitola 2. Analýza systému informační bezpečnosti 1 Předmět činnosti společnosti a analýza finančních ukazatelů 2 Popis systému informační bezpečnosti společnosti 3 Vypracování souboru opatření k modernizaci stávajícího systému informační bezpečnosti Závěr Bibliografie aplikace Příloha 1. Rozvaha za rok 2010 Příloha 1. Rozvaha za rok 2010 Úvod Relevantnost tématu práce je dána zvýšenou mírou problémů informační bezpečnosti, a to i v kontextu rychlého růstu technologií a nástrojů pro ochranu dat. Vzhledem k omezenému podílu rozpočtu vyčleněného na informační technologie není možné zajistit 100% úroveň ochrany podnikových informačních systémů při správném upřednostňování úkolů ochrany dat. Spolehlivá ochrana výpočetní a síťové podnikové infrastruktury je základním úkolem informační bezpečnosti každé společnosti. S růstem podnikání podniku a přechodem na geograficky distribuovanou organizaci začíná překračovat hranice jediné budovy. Efektivní ochrana IT infrastruktury a podnikových aplikačních systémů je dnes nemožná bez zavedení moderních technologií řízení přístupu k síti. Rostoucí případy krádeží médií obsahujících cenné obchodní informace si stále více vynucují přijetí organizačních opatření. Účelem této práce bude zhodnotit stávající systém informační bezpečnosti v organizaci a vyvinout opatření k jeho zlepšení. Tento cíl určuje následující cíle práce: ) zvážit koncepci informační bezpečnosti; ) zvážit typy možných hrozeb pro informační systémy a možnosti ochrany před možnými hrozbami úniku informací v organizaci. ) identifikovat seznam informačních zdrojů, jejichž porušení integrity nebo důvěrnosti povede k největší škodě podniku; ) vypracovat na jejich základě soubor opatření ke zlepšení stávajícího systému bezpečnosti informací. Práce se skládá z úvodu, dvou kapitol, závěru, seznamu použitých zdrojů a aplikací. Úvod zdůvodňuje relevanci výzkumného tématu a formuluje účel a cíle práce. První kapitola pojednává o teoretických aspektech konceptů informační bezpečnosti v organizaci. Druhá kapitola obsahuje stručný popis činnosti společnosti, klíčové ukazatele výkonnosti, popisuje současný stav systému informační bezpečnosti a navrhuje opatření k jeho zlepšení. V závěru jsou formulovány hlavní výsledky a závěry práce. Metodologickým a teoretickým základem diplomové práce byly práce tuzemských i zahraničních odborníků v oblasti informační bezpečnosti.Při práci na diplomové práci byly využity informace, které reflektovaly obsah zákonů, legislativních aktů a nařízení, nařízení vlády ČR. Ruská federace regulující informační bezpečnost, mezinárodní standardy pro informační bezpečnost . Teoretický význam diplomové práce spočívá v implementaci integrovaného přístupu při tvorbě politiky informační bezpečnosti. Praktický význam práce je dán tím, že její výsledky umožňují zvýšit stupeň ochrany informací v podniku prostřednictvím kompetentního návrhu politiky bezpečnosti informací. Kapitola 1. Teoretické aspekty adopce a informační bezpečnosti 1.1 Pojem informační bezpečnosti Informační bezpečnost se týká zabezpečení informací a jejich podpůrné infrastruktury před jakýmikoli náhodnými nebo zlými vlivy, které mohou vést k poškození informací samotných, jejich vlastníků nebo podpůrné infrastruktury. Cíle informační bezpečnosti spočívají v minimalizaci škod a také v předvídání a předcházení takovým dopadům. Parametry informačních systémů, které potřebují ochranu, lze rozdělit do následujících kategorií: zajištění integrity, dostupnosti a důvěrnosti informačních zdrojů. dostupnost je schopnost získat v krátké době požadovanou informační službu; integrita je relevance a konzistence informací, jejich ochrana před zničením a neoprávněnými změnami; důvěrnost – ochrana před neoprávněným přístupem k informacím. Informační systémy jsou primárně vytvářeny k získávání určitých informačních služeb. Pokud se získání informací z jakéhokoli důvodu stane nemožným, poškozuje to všechny subjekty informačních vztahů. Z toho můžeme určit, že dostupnost informací je na prvním místě. Integrita je hlavním aspektem informační bezpečnosti, když přesnost a pravdivost jsou hlavními parametry informací. Například recepty na léky nebo soubor a charakteristiky komponent. Nejrozvinutější složkou informační bezpečnosti je u nás důvěrnost. Ale praktické provádění opatření k zajištění důvěrnosti moderních informačních systémů čelí v Rusku velkým potížím. Za prvé, informace o technických kanálech úniku informací jsou uzavřeny, takže většina uživatelů si nemůže udělat představu o potenciálních rizicích. Zadruhé, existuje mnoho legislativních překážek a technických problémů, které stojí v cestě vlastní kryptografii jako primárnímu prostředku k zajištění soukromí. Akce, které mohou způsobit poškození informačního systému, lze rozdělit do několika kategorií. cílená krádež nebo zničení dat na pracovní stanici nebo serveru; Poškození dat uživatelem v důsledku neopatrných akcí. . "Elektronické" metody ovlivňování prováděné hackery. Hackeři jsou chápáni jako lidé, kteří se do počítačových zločinů zapojují jak profesionálně (i v rámci soutěžení), tak jednoduše ze zvědavosti. Mezi tyto metody patří: neoprávněný vstup do počítačových sítí; Účelem neoprávněného vstupu do podnikové sítě zvenčí může být způsobení škody (zničení dat), krádež důvěrných informací a jejich použití k nezákonným účelům, použití síťové infrastruktury k organizování útoků na uzly třetích stran, krádeže finančních prostředků z účtů , atd. Útok DOS (zkráceně Denial of Service) je externí útok na uzly podnikové sítě odpovědné za její bezpečný a efektivní provoz (soubor, poštovní servery). Útočníci organizují masivní odesílání datových paketů do těchto uzlů, aby je přetížili a v důsledku toho je na nějakou dobu vyřadili z provozu. To zpravidla vede k narušení obchodních procesů společnosti oběti, ztrátě zákazníků, poškození pověsti atd. Počítačové viry. Samostatnou kategorií elektronických způsobů ovlivňování jsou počítačové viry a další škodlivé programy. Představují skutečné nebezpečí pro moderní podniky, které hojně využívají počítačové sítě, internet a e-mail. Průnik viru do uzlů podnikové sítě může vést k narušení jejich fungování, ztrátě pracovní doby, ztrátě dat, krádeži důvěrných informací a dokonce i přímé krádeži finančních prostředků. Virový program, který pronikl do podnikové sítě, může útočníkům poskytnout částečnou nebo úplnou kontrolu nad aktivitami společnosti. Spam. Během několika let se spam rozrostl z malého podráždění na jednu z nejzávažnějších bezpečnostních hrozeb: e-mail se nedávno stal hlavním kanálem pro šíření malwaru; spam zabere spoustu času prohlížet a následně mazat zprávy, což způsobuje zaměstnancům pocit psychické nepohody; jak jednotlivci, tak organizace se stávají oběťmi podvodných schémat prováděných spammery (oběti se často snaží takové události nezveřejňovat); důležitá korespondence je často mazána spolu se spamem, což může vést ke ztrátě zákazníků, porušení smluv a dalším nepříjemným následkům; nebezpečí ztráty korespondence se zvláště zvyšuje při používání černých listin RBL a jiných „hrubých“ metod filtrování spamu. "Přirozené" hrozby. Informační bezpečnost společnosti může být ovlivněna řadou vnějších faktorů: ztráta dat může být způsobena nesprávným ukládáním, krádeží počítačů a médií, vyšší mocí atd. Systém řízení bezpečnosti informací (ISMS nebo Information Security Management System) umožňuje řídit soubor opatření, která realizují určitou zamýšlenou strategii, v tomto případě ve vztahu k bezpečnosti informací. Všimněte si, že nemluvíme pouze o správě stávajícího systému, ale také o vybudování nového/přepracování starého. Soubor opatření zahrnuje organizační, technická, fyzická a další. Řízení informační bezpečnosti je komplexní proces, který umožňuje zavést co nejefektivnější a nejkomplexnější řízení informační bezpečnosti ve firmě. Cílem řízení bezpečnosti informací je zachovat důvěrnost, integritu a dostupnost informací. Jedinou otázkou je, jaký druh informací je třeba chránit a jaké úsilí je třeba vyvinout k zajištění jejich bezpečnosti. Jakékoli řízení je založeno na uvědomění si situace, ve které se vyskytuje. Z hlediska analýzy rizik je informovanost o situaci vyjádřena inventarizací a hodnocením majetku organizace a jejího prostředí, tedy všeho, co zajišťuje výkon podnikatelské činnosti. Z hlediska analýzy rizik informační bezpečnosti patří mezi hlavní aktiva informace, infrastruktura, personál, image a reputace společnosti. Bez inventarizace majetku na úrovni podnikatelské činnosti nelze odpovědět na otázku, co přesně je potřeba chránit. Je důležité porozumět tomu, jaké informace se v rámci organizace zpracovávají a kde se zpracovávají. Ve velké moderní organizaci může být počet informačních aktiv velmi velký. Pokud jsou činnosti organizace automatizovány pomocí ERP systému, pak můžeme říci, že téměř jakýkoli hmotný objekt použitý v této činnosti odpovídá nějakému druhu informačního objektu. Prvořadým úkolem řízení rizik je proto identifikovat nejvýznamnější aktiva. Není možné tento problém vyřešit bez zapojení manažerů hlavní činnosti organizace, a to jak střední, tak vyšší úrovně. Optimální je situace, kdy vrcholový management organizace osobně stanoví nejkritičtější oblasti činnosti, pro které je mimořádně důležité zajistit informační bezpečnost. Názor vrcholového vedení na priority při zajišťování bezpečnosti informací je velmi důležitý a cenný v procesu analýzy rizik, ale v každém případě by měl být vyjasněn sběrem informací o kritičnosti aktiv na průměrné úrovni řízení společnosti. Zároveň je vhodné provádět další analýzy právě v oblastech podnikatelské činnosti určených vrcholovým managementem. Přijaté informace jsou zpracovávány, agregovány a předávány vrcholovému vedení za účelem komplexního posouzení situace. Informace lze identifikovat a lokalizovat na základě popisu obchodních procesů, ve kterých jsou informace považovány za jeden z typů zdrojů. Úkol je poněkud zjednodušen, pokud organizace přijala přístup k regulaci obchodních aktivit (například pro účely řízení kvality a optimalizace podnikových procesů). Formalizované popisy obchodních procesů jsou dobrým výchozím bodem pro inventarizaci majetku. Pokud nejsou žádné popisy, můžete majetek identifikovat na základě informací získaných od zaměstnanců organizace. Jakmile jsou aktiva identifikována, musí být stanovena jejich hodnota. Práce na stanovení hodnoty informačních aktiv v celé organizaci je nejdůležitější a zároveň nejsložitější. Právě posuzování informačních aktiv umožní vedoucímu odboru informační bezpečnosti vybrat si hlavní oblasti činnosti k zajištění informační bezpečnosti. Ekonomická efektivita procesu řízení bezpečnosti informací však do značné míry závisí na povědomí o tom, co je třeba chránit a jaké úsilí to bude vyžadovat, protože ve většině případů je vynaložené úsilí přímo úměrné množství vynaložených peněz a provozních nákladů. Řízení rizik vám umožňuje odpovědět na otázku, kde můžete riskovat a kde ne. V případě informační bezpečnosti pojem „riziko“ znamená, že v určité oblasti je možné nevyvíjet významné úsilí na ochranu informačního majetku a zároveň v případě narušení bezpečnosti organizace neutrpí značné ztráty. Zde můžeme nakreslit analogii s třídami ochrany automatizovaných systémů: čím významnější jsou rizika, tím přísnější by měly být požadavky na ochranu. Chcete-li určit důsledky narušení zabezpečení, musíte mít buď informace o zaznamenaných incidentech podobné povahy, nebo provést analýzu scénáře. Analýza scénářů zkoumá vztahy příčin a následků mezi událostmi zabezpečení aktiv a důsledky těchto událostí na obchodní aktivity organizace. Důsledky scénářů by mělo být hodnoceno několika lidmi, iterativně nebo záměrně. Je třeba poznamenat, že vývoj a hodnocení takových scénářů nelze zcela oddělit od reality. Vždy si musíte pamatovat, že scénář musí být pravděpodobný. Kritéria a měřítka pro stanovení hodnoty jsou pro každou organizaci individuální. Na základě výsledků analýzy scénářů lze získat informace o hodnotě aktiv. Pokud jsou identifikována aktiva a stanovena jejich hodnota, lze říci, že cíle poskytování informační bezpečnosti jsou stanoveny částečně: jsou určeny předměty ochrany a význam jejich udržování ve stavu informační bezpečnosti pro organizaci. Zbývá snad jen určit, před kým je potřeba být chráněn. Po stanovení cílů správy bezpečnosti informací byste měli analyzovat problémy, které vám brání přiblížit se k cílovému stavu. Na této úrovni proces analýzy rizik sestupuje k informační infrastruktuře a tradičním konceptům informační bezpečnosti – vetřelci, hrozby a zranitelnosti. Pro posouzení rizik nestačí zavést standardní model narušitele, který rozděluje všechny porušovatele podle typu přístupu k aktivu a znalosti struktury aktiv. Toto rozdělení pomáhá určit, jaké hrozby mohou být namířeny proti aktivu, ale neodpovídá na otázku, zda lze tyto hrozby v zásadě realizovat. V procesu analýzy rizik je nutné posoudit motivaci narušitelů při implementaci hrozeb. Narušitelem v tomto případě není abstraktní externí hacker nebo insider, ale strana, která má zájem získat výhody porušením zabezpečení aktiva. Prvotní informace o modelu pachatele je vhodné získat, stejně jako v případě volby počátečních směrů činností informační bezpečnosti, od vrcholového managementu, který rozumí postavení organizace na trhu, má informace o konkurenci a o tom, jaké metody ovlivňování mohou být se od nich očekává. Informace potřebné k vytvoření modelu narušitele lze také získat ze specializovaného výzkumu narušení počítačové bezpečnosti v obchodní oblasti, pro kterou se provádí analýza rizik. Správně vyvinutý model vetřelce doplňuje cíle informační bezpečnosti stanovené při posuzování aktiv organizace. Vývoj modelu hrozeb a identifikace zranitelnosti jsou neoddělitelně spojeny s inventarizací prostředí informačních aktiv organizace. Informace samotné se neukládají ani nezpracovávají. Přístup k němu je poskytován pomocí informační infrastruktury, která automatizuje obchodní procesy organizace. Je důležité pochopit, jak spolu souvisí informační infrastruktura organizace a informační aktiva. Z hlediska řízení bezpečnosti informací lze význam informační infrastruktury stanovit až po stanovení vztahu mezi informačními aktivy a infrastrukturou. Pokud jsou procesy údržby a provozování informační infrastruktury v organizaci regulované a transparentní, shromažďování informací nezbytných k identifikaci hrozeb a posouzení zranitelnosti se výrazně zjednoduší. Vývoj modelu hrozeb je úkolem pro odborníky na informační bezpečnost, kteří dobře chápou, jak může útočník získat neoprávněný přístup k informacím narušením bezpečnostního perimetru nebo pomocí metod sociálního inženýrství. Při vývoji modelu hrozeb lze také hovořit o scénářích jako o postupných krocích, podle kterých lze hrozby realizovat. Velmi zřídka se stává, že jsou hrozby implementovány v jednom kroku využitím jediného zranitelného bodu v systému. Model hrozeb by měl zahrnovat všechny hrozby identifikované prostřednictvím souvisejících procesů řízení bezpečnosti informací, jako je řízení zranitelnosti a incidentů. Je třeba pamatovat na to, že hrozby bude nutné vzájemně seřadit podle úrovně pravděpodobnosti jejich implementace. K tomu je v procesu vývoje modelu hrozby pro každou hrozbu nutné označit nejvýznamnější faktory, jejichž existence ovlivňuje její implementaci. Bezpečnostní politika je založena na analýze rizik, která jsou pro informační systém organizace považována za reálná. Po analýze rizik a stanovení strategie ochrany je sestaven program zabezpečení informací. Na tento program jsou alokovány zdroje, jsou jmenovány odpovědné osoby, stanoven postup pro sledování realizace programu atd. V širším smyslu je bezpečnostní politika definována jako systém dokumentovaných manažerských rozhodnutí k zajištění bezpečnosti organizace. V užším smyslu je bezpečnostní politika obvykle chápána jako místní regulační dokument, který definuje bezpečnostní požadavky, systém opatření nebo postup, jakož i odpovědnosti zaměstnanců organizace a kontrolní mechanismy pro určitou oblast bezpečnosti. Než začneme formulovat samotnou politiku informační bezpečnosti, je nutné pochopit základní pojmy, se kterými budeme operovat. Informace - informace (zprávy, data) bez ohledu na formu jejich prezentace. Důvěrnost informací je povinným požadavkem pro osobu, která získala přístup k určitým informacím, aby tyto informace nepředávala třetím stranám bez souhlasu jejich vlastníka. Informační bezpečnost (IS) je stav bezpečnosti informačního prostředí společnosti, zajišťující jeho utváření, využívání a rozvoj v zájmu občanů, organizací a států. Pojem „informace“ se dnes používá poměrně široce a všestranně. Zajištění bezpečnosti informací nemůže být jednorázový úkon. Jedná se o nepřetržitý proces spočívající ve zdůvodňování a zavádění nejracionálnějších metod, metod a způsobů zlepšování a rozvoje bezpečnostního systému, průběžného sledování jeho stavu, odhalování jeho slabin a protiprávního jednání. Informační bezpečnost lze zajistit pouze integrovaným využitím celé škály dostupných bezpečnostních prostředků ve všech konstrukčních prvcích výrobního systému a ve všech fázích technologického cyklu zpracování informací. Největšího efektu se dosáhne, když se všechny použité prostředky, metody a opatření spojí do jediného uceleného mechanismu – systému informační bezpečnosti. Fungování systému je přitom nutné sledovat, aktualizovat a doplňovat v závislosti na změnách vnějších a vnitřních podmínek. Podle normy GOST R ISO/IEC 15408:2005 lze rozlišit následující typy bezpečnostních požadavků: funkční, odpovídající aktivnímu aspektu ochrany, požadavky na bezpečnostní funkce a mechanismy, které je realizují; požadavky na důvěru odpovídající pasivnímu aspektu kladenému na technologii a proces vývoje a provozu. Je velmi důležité, aby bezpečnost v této normě nebyla uvažována staticky, ale ve vztahu k životnímu cyklu posuzovaného objektu. Rozlišují se následující fáze: určení účelu, podmínek použití, cílů a požadavků na bezpečnost; návrh a vývoj; testování, hodnocení a certifikace; implementace a provoz. Pojďme se tedy blíže podívat na požadavky na funkční zabezpečení. Obsahují: ochrana uživatelských dat; ochrana bezpečnostních funkcí (požadavky se týkají integrity a kontroly těchto bezpečnostních služeb a mechanismů, které je zavádějí); správa zabezpečení (požadavky této třídy se týkají správy atributů a parametrů zabezpečení); bezpečnostní audit (identifikace, registrace, ukládání, analýza dat ovlivňujících bezpečnost posuzovaného objektu, reakce na možné narušení bezpečnosti); soukromí (ochrana uživatele před vyzrazením a neoprávněným použitím jeho identifikačních údajů); využití zdrojů (požadavky na dostupnost informací); komunikace (ověření osob zapojených do výměny dat); důvěryhodná cesta/kanál (pro komunikaci s bezpečnostními službami). V souladu s těmito požadavky je nutné formulovat systém informační bezpečnosti organizace. Systém informační bezpečnosti organizace zahrnuje následující oblasti: regulační; organizační (administrativní); technický; software; Pro úplné posouzení situace v podniku ve všech oblastech bezpečnosti je nutné vypracovat koncepci bezpečnosti informací, která by stanovila systematický přístup k problému bezpečnosti informačních zdrojů a představovala systematické stanovení cílů, záměrů, principů návrhu a soubor opatření k zajištění informační bezpečnosti v podniku. Systém správy podnikové sítě by měl být založen na následujících principech (úkolech): zajištění ochrany stávající informační infrastruktury podniku před narušiteli; zajištění podmínek pro lokalizaci a minimalizaci možných škod; eliminace vzniku zdrojů ohrožení v počáteční fázi; zajištění ochrany informací před třemi hlavními typy vznikajících hrozeb (dostupnost, integrita, důvěrnost); Řešení výše uvedených problémů je dosaženo tím, že; regulace akcí uživatele při práci s informačním systémem; regulace uživatelských akcí při práci s databází; jednotné požadavky na spolehlivost hardwaru a softwaru; postupy pro monitorování provozu informačního systému (logování událostí, analýza protokolů, analýza síťového provozu, analýza provozu technických zařízení); Zásady bezpečnosti informací zahrnují: hlavním dokumentem je „Bezpečnostní politika“. Obecně popisuje bezpečnostní politiku organizace, obecná ustanovení a také uvádí příslušné dokumenty pro všechny aspekty politiky; pokyny pro regulaci práce uživatelů; popis práce pro správce místní sítě; popis práce správce databáze; pokyny pro práci s internetovými zdroji; pokyny pro organizaci ochrany heslem; pokyny pro organizaci antivirové ochrany. Dokument Bezpečnostní politika obsahuje hlavní ustanovení. Na jeho základě se buduje program informační bezpečnosti, sestavují se popisy práce a doporučení. Pokyny pro regulaci práce uživatelů lokální sítě organizace upravují postup umožňující uživatelům pracovat v lokální počítačové síti organizace a dále pravidla pro nakládání s chráněnými informacemi zpracovávanými, uchovávanými a přenášenými v organizaci. Popis úlohy správce místní sítě popisuje povinnosti správce místní sítě týkající se zabezpečení informací. Popis práce správce databáze definuje hlavní povinnosti, funkce a práva správce databáze. Velmi podrobně popisuje všechny pracovní povinnosti a funkce správce databáze, jakož i práva a povinnosti. Pokyny pro práci s internetovými zdroji odrážejí základní pravidla pro bezpečnou práci s internetem a obsahují také seznam přijatelných a nepřijatelných akcí při práci s internetovými zdroji. Pokyny pro organizaci antivirové ochrany vymezují základní ustanovení, požadavky na organizaci antivirové ochrany informačního systému organizace, všechny aspekty související s provozem antivirového softwaru, jakož i odpovědnost v případě porušení antivirové ochrany. -ochrana proti viru. Pokyny pro organizaci ochrany heslem upravují organizační a technickou podporu procesů generování, změny a rušení hesel (mazání uživatelských účtů). Rovněž je regulováno jednání uživatelů a personálu údržby při práci se systémem. Základem pro organizaci procesu ochrany informací je tedy bezpečnostní politika, formulovaná tak, aby bylo možné určit, před jakými hrozbami a jak jsou informace v informačním systému chráněny. Bezpečnostní politika označuje soubor právních, organizačních a technických opatření k ochraně informací přijatých v konkrétní organizaci. To znamená, že bezpečnostní politika obsahuje mnoho podmínek, za kterých uživatelé získají přístup k systémovým prostředkům, aniž by ztratili vlastnosti zabezpečení informací tohoto systému. Problém zajištění informační bezpečnosti je třeba řešit systémově. To znamená, že různé ochrany (hardwarové, softwarové, fyzické, organizační atd.) musí být aplikovány současně a pod centralizovanou kontrolou. Dnes existuje velký arzenál metod pro zajištění bezpečnosti informací: prostředky identifikace a autentizace uživatelů; prostředky pro šifrování informací uložených v počítačích a přenášených po sítích; firewally; virtuální privátní sítě; nástroje pro filtrování obsahu; nástroje pro kontrolu integrity obsahu disku; nástroje antivirové ochrany; systémy detekce zranitelnosti sítě a analyzátory síťových útoků. Každý z uvedených nástrojů lze použít buď samostatně, nebo v integraci s ostatními. To umožňuje vytvářet systémy informační bezpečnosti pro sítě jakékoli složitosti a konfigurace, nezávisle na použitých platformách. Systém autentizace (nebo identifikace), autorizace a administrace. Identifikace a autorizace jsou klíčovými prvky informační bezpečnosti. Autorizační funkce je zodpovědná za to, ke kterým zdrojům má konkrétní uživatel přístup. Administrační funkcí je poskytnout uživateli určité identifikační charakteristiky v rámci dané sítě a určit rozsah akcí, které jsou pro něj povoleny. Šifrovací systémy umožňují minimalizovat ztráty v případě neoprávněného přístupu k datům uloženým na pevném disku nebo jiném médiu a také zachycení informací při odesílání e-mailem nebo přenášených prostřednictvím síťových protokolů. Účelem tohoto ochranného nástroje je zajistit důvěrnost. Hlavními požadavky na šifrovací systémy jsou vysoká úroveň šifrovací síly a zákonnost použití na území Ruska (nebo jiných států). Firewall je systém nebo kombinace systémů, které tvoří ochrannou bariéru mezi dvěma nebo více sítěmi, aby zabránily neoprávněným datovým paketům vstoupit do sítě nebo ji opustit. Základním principem fungování firewallů je kontrola každého datového paketu na shodu příchozích a odchozích IP adres s databází povolených adres. Firewally tak výrazně rozšiřují možnosti segmentace informačních sítí a řízení oběhu dat. Když mluvíme o kryptografii a firewallech, měli bychom zmínit zabezpečené virtuální privátní sítě (VPN). Jejich použití umožňuje řešit problémy důvěrnosti a integrity dat při přenosu otevřenými komunikačními kanály. Použití VPN lze omezit na řešení tří hlavních problémů: ochrana informačních toků mezi různými kancelářemi společnosti (informace jsou šifrovány pouze na výstupu do vnější sítě); bezpečný přístup vzdálených uživatelů sítě k informačním zdrojům společnosti, obvykle prováděný přes internet; ochrana informačních toků mezi jednotlivými aplikacemi v rámci podnikových sítí (tento aspekt je také velmi důležitý, protože většina útoků je vedena z vnitřních sítí). Účinným prostředkem ochrany před ztrátou důvěrných informací je filtrování obsahu příchozí a odchozí pošty. Prověřování samotných e-mailových zpráv a jejich příloh na základě pravidel stanovených organizací také pomáhá chránit společnosti před odpovědností v soudních sporech a chrání jejich zaměstnance před spamem. Nástroje pro filtrování obsahu umožňují skenovat soubory všech běžných formátů, včetně komprimovaných a grafických souborů. Propustnost sítě přitom zůstává prakticky nezměněna. Veškeré změny na pracovní stanici nebo serveru může sledovat správce sítě nebo jiný oprávněný uživatel díky technologii kontroly integrity obsahu pevného disku (integrity checking). To vám umožní detekovat jakékoli akce se soubory (změnu, smazání nebo prosté otevření) a identifikovat aktivitu viru, neoprávněný přístup nebo krádež dat oprávněnými uživateli. Kontrola se provádí na základě analýzy kontrolních součtů souborů (CRC sums). Moderní antivirové technologie umožňují identifikovat téměř všechny již známé virové programy porovnáním kódu podezřelého souboru se vzorky uloženými v antivirové databázi. Kromě toho byly vyvinuty technologie modelování chování, které umožňují detekovat nově vytvořené virové programy. Zjištěné objekty lze ošetřit, izolovat (umístit do karantény) nebo odstranit. Antivirovou ochranu lze nainstalovat na pracovní stanice, souborové a poštovní servery, firewally běžící pod téměř jakýmkoliv běžným operačním systémem (Windows, Unix a Linux, Novell) na různých typech procesorů. Spamové filtry výrazně snižují neproduktivní mzdové náklady spojené s analýzou spamu, snižují provoz a zatížení serveru, zlepšují psychologické zázemí v týmu a snižují riziko zapojení zaměstnanců společnosti do podvodných transakcí. Spamové filtry navíc snižují riziko infekce novými viry, protože zprávy obsahující viry (i ty, které ještě nejsou obsaženy v databázích antivirových programů) často vykazují známky spamu a jsou odfiltrovány. Je pravda, že pozitivní účinek filtrování nevyžádané pošty může být negován, pokud filtr spolu s nevyžádanými zprávami odstraní nebo označí jako spam a užitečné zprávy, pracovní nebo osobní. Obrovské škody způsobené společnostem viry a útoky hackerů jsou z velké části důsledkem slabin v používaném softwaru. Lze je identifikovat předem, bez čekání na skutečný útok, pomocí systémů pro detekci zranitelnosti počítačových sítí a analyzátorů síťových útoků. Takový software bezpečně simuluje běžné útoky a metody narušení a určuje, co může hacker v síti vidět a jak může využít její zdroje. Aby společnost čelila přírodním hrozbám informační bezpečnosti, musí vyvinout a zavést soubor postupů k předcházení nouzovým situacím (například k zajištění fyzické ochrany dat před požárem) ak minimalizaci škod, pokud taková situace nastane. Jednou z hlavních metod ochrany před ztrátou dat je zálohování s přísným dodržováním stanovených postupů (pravidelnost, druhy médií, způsoby ukládání kopií atd.). Politika bezpečnosti informací je soubor dokumentů upravujících práci zaměstnanců, popisujících základní pravidla pro práci s informacemi, informačními systémy, databázemi, lokálními sítěmi a internetovými zdroji. Je důležité pochopit, jaké místo zaujímá politika informační bezpečnosti v celkovém systému řízení organizace. Následují obecná organizační opatření související s bezpečnostními politikami. Na procesní úrovni lze rozlišit následující třídy opatření: personální management; fyzická ochrana; udržení výkonu; reagovat na narušení bezpečnosti; plánování restaurátorských prací. Řízení lidských zdrojů začíná náborem, ale ještě předtím byste si měli určit počítačová oprávnění spojená s pozicí. Je třeba mít na paměti dvě obecné zásady: segregace povinností; minimalizace privilegií. Princip oddělení povinností předepisuje, jak rozdělit role a odpovědnosti tak, aby jedna osoba nemohla narušit proces kritický pro organizaci. Je například nežádoucí, aby jedna osoba prováděla velké platby jménem organizace. Je bezpečnější pověřit jednoho zaměstnance zpracováním žádostí o takové platby a jiného, aby tyto žádosti certifikoval. Dalším příkladem jsou procedurální omezení akcí superuživatele. Heslo superuživatele můžete uměle „rozdělit“ sdílením jeho první části s jedním zaměstnancem a druhé části s jiným. Poté mohou provádět kritické akce pro správu informačního systému pouze společně, což snižuje pravděpodobnost chyb a zneužití. Princip nejmenšího privilegia vyžaduje, aby uživatelé dostali pouze ta přístupová práva, která potřebují k plnění svých pracovních povinností. Účel této zásady je zřejmý – snížit škody z náhodného nebo úmyslného nesprávného jednání. Předběžná příprava popisu práce vám umožní posoudit její kritičnost a naplánovat postup prověřování a výběru kandidátů. Čím zodpovědnější pozice, tím pečlivěji musíte kandidáty kontrolovat: ptejte se na ně, možná si promluvte s bývalými kolegy atd. Takový postup může být zdlouhavý a nákladný, takže nemá smysl to dále komplikovat. Zároveň je nerozumné zcela odmítnout předběžné prověřování, aby nedošlo k náhodnému přijetí někoho se záznamem v trestním rejstříku nebo duševním onemocněním. Jakmile bude kandidát identifikován, bude pravděpodobně muset absolvovat školení; přinejmenším by měl být důkladně seznámen s pracovními povinnostmi a předpisy a postupy v oblasti bezpečnosti informací. Je vhodné, aby porozuměl bezpečnostním opatřením před nástupem do funkce a před založením svého systémového účtu s přihlašovacím jménem, heslem a oprávněními. Bezpečnost informačního systému závisí na prostředí, ve kterém funguje. Je nutné přijmout opatření k ochraně budov a okolních oblastí, podpůrné infrastruktury, výpočetní techniky a paměťových médií. Podívejme se na následující oblasti fyzické ochrany: kontrola fyzického přístupu; ochrana podpůrné infrastruktury; ochrana mobilních systémů. Opatření pro kontrolu fyzického přístupu umožňují kontrolovat a v případě potřeby omezit vstup a výstup zaměstnanců a návštěvníků. Ovládat lze celou budovu organizace i jednotlivé místnosti, například ty, kde jsou umístěny servery, komunikační zařízení atd. Podpůrná infrastruktura zahrnuje elektrické, vodovodní a tepelné systémy, vzduchotechniku a komunikace. Platí pro ně v zásadě stejné požadavky na integritu a dostupnost jako na informační systémy. Aby byla zajištěna integrita, musí být zařízení chráněno před krádeží a poškozením. Chcete-li zachovat dostupnost, měli byste si vybrat zařízení s maximální MTBF, duplikovat kritické komponenty a mít vždy po ruce náhradní díly. Obecně řečeno, při výběru fyzických ochranných prostředků by měla být provedena analýza rizik. Při rozhodování o pořízení zdroje nepřerušitelného napájení je tedy nutné vzít v úvahu kvalitu napájení v budově obývané organizací (která se však téměř jistě ukáže jako nekvalitní), charakter a dobu trvání výpadky napájení, náklady na dostupné zdroje a možné ztráty z havárií (porucha zařízení, přerušení práce organizace atd.) Uvažujme o řadě opatření směřujících k zachování funkčnosti informačních systémů. Právě v této oblasti číhá největší nebezpečí. Neúmyslné chyby systémových administrátorů a uživatelů mohou vést ke ztrátě výkonu, konkrétně poškození zařízení, zničení programů a dat. Toto je nejhorší možný scénář. V nejlepším případě vytvářejí bezpečnostní díry, které umožňují výskyt bezpečnostních hrozeb systému. Hlavním problémem mnoha organizací je podceňování bezpečnostních faktorů při každodenní práci. Drahé bezpečnostní funkce nemají smysl, pokud jsou špatně zdokumentovány, jsou v konfliktu s jiným softwarem a heslo správce systému nebylo od instalace změněno. Pro každodenní činnosti zaměřené na zachování funkčnosti informačního systému lze rozlišit následující akce: uživatelská podpora; softwarová podpora; správa konfigurace; záloha; správa médií; dokumentace; běžná údržba. Uživatelská podpora znamená především konzultace a pomoc při řešení různých druhů problémů. Je velmi důležité umět identifikovat problémy související s informační bezpečností v proudu otázek. Mnoho potíží pro uživatele pracující na osobních počítačích tedy může být důsledkem virové infekce. Dotazy uživatelů je vhodné zaznamenávat, aby bylo možné identifikovat jejich časté chyby a vydávat upomínky s doporučeními pro běžné situace. Softwarová podpora je jedním z nejdůležitějších prostředků k zajištění integrity informací. Nejprve musíte mít přehled o tom, jaký software máte nainstalovaný na vašich počítačích. Pokud uživatelé instalují programy podle vlastního uvážení, může to vést k infekci viry a také ke vzniku nástrojů, které obcházejí ochranná opatření. Je také pravděpodobné, že „samostatné aktivity“ uživatelů postupně povedou k chaosu na jejich počítačích a správce systému bude muset situaci napravit. Druhým aspektem softwarové podpory je kontrola nad absencí neoprávněných změn programů a přístupových práv k nim. To také zahrnuje podporu referenčních kopií softwarových systémů. Řízení se obvykle dosahuje kombinací fyzického a logického řízení přístupu, stejně jako použitím nástrojů pro ověřování a integritu. Správa konfigurace umožňuje řídit a zaznamenávat změny provedené v konfiguraci softwaru. V první řadě je potřeba se pojistit proti náhodným či nedomyšleným úpravám a mít možnost se alespoň vrátit k předchozí, fungující verzi. Potvrzení změn usnadní obnovení aktuální verze po katastrofě. Nejlepší způsob, jak omezit chyby v rutinní práci, je co nejvíce ji automatizovat. Automatizace a bezpečnost na sobě závisí, protože ten, komu jde především o ulehčení svého úkolu, je vlastně ten, kdo optimálně utváří režim informační bezpečnosti. Zálohování je nezbytné pro obnovu programů a dat po katastrofách. A zde je vhodné zautomatizovat práci minimálně vytvořením počítačového rozvrhu pro vytváření úplných a přírůstkových kopií a maximálně použitím vhodných softwarových produktů. Dále je nutné zajistit umístění kopií na bezpečném místě, chráněném před neoprávněným přístupem, požáry, úniky, tedy před vším, co by mohlo vést ke krádeži nebo poškození nosiče. Je vhodné mít několik kopií záložních kopií a některé z nich uložit mimo pracoviště, čímž se ochráníte před velkými nehodami a podobnými incidenty. Čas od času byste pro testovací účely měli zkontrolovat možnost obnovení informací z kopií. Správa médií je nezbytná pro zajištění fyzické bezpečnosti a účtování disket, pásek, tištěných výstupů atd. Správa médií musí zajistit důvěrnost, integritu a dostupnost informací uložených mimo počítačové systémy. Fyzická ochrana zde znamená nejen odrážení pokusů o neoprávněný přístup, ale také ochranu před škodlivými vlivy prostředí (teplo, chlad, vlhkost, magnetismus). Správa médií musí pokrývat celý životní cyklus, od nákupu až po vyřazení z provozu. Dokumentace je nedílnou součástí informační bezpečnosti. Téměř vše je zdokumentováno ve formě dokumentů – od bezpečnostní politiky až po media log. Je důležité, aby dokumentace byla aktuální, odrážela aktuální stav věcí a konzistentně. Požadavky na důvěrnost se vztahují na ukládání některých dokumentů (obsahujících například analýzu zranitelností a hrozeb systému), zatímco jiné, jako je plán obnovy po havárii, podléhají požadavkům na integritu a dostupnost (v kritické situaci musí plán najít a přečíst). Rutinní práce je velmi vážným bezpečnostním rizikem. Zaměstnanec provádějící běžnou údržbu získává výhradní přístup do systému a v praxi je velmi obtížné přesně kontrolovat, jaké úkony provádí. Zde vystupuje do popředí míra důvěry v ty, kteří práci vykonávají. Bezpečnostní politika přijatá organizací musí zajistit soubor provozních opatření zaměřených na odhalování a neutralizaci porušení režimu bezpečnosti informací. Je důležité, aby v takových případech byla posloupnost akcí naplánována předem, protože opatření je třeba přijmout urychleně a koordinovaně. Reakce na narušení bezpečnosti má tři hlavní cíle: lokalizace incidentu a snížení škod; prevence opakovaného porušování. Požadavek lokalizovat incident a snížit škody se často dostává do konfliktu s přáním identifikovat pachatele. Bezpečnostní politika organizace musí mít prioritu včas. Protože, jak ukazuje praxe, je velmi obtížné identifikovat útočníka, je podle našeho názoru v první řadě třeba dbát na snížení škod. Žádná organizace není imunní vůči vážným nehodám způsobeným přírodními příčinami, zlomyslným jednáním, nedbalostí nebo neschopností. Zároveň má každá organizace funkce, které management považuje za kritické a musí být vykonávány bez ohledu na to, co se děje. Plánování restaurátorských prací umožňuje připravit se na havárie, snížit škody z nich a udržet schopnost fungovat alespoň v minimální míře. Všimněte si, že opatření informační bezpečnosti lze rozdělit do tří skupin podle toho, zda jsou zaměřena na prevenci, detekci nebo eliminaci následků útoků. Většina opatření má preventivní charakter. Proces plánování obnovy lze rozdělit do následujících fází: identifikace kritických funkcí organizace, stanovení priorit; identifikace zdrojů potřebných k provádění kritických funkcí; stanovení seznamu možných nehod; vývoj strategie obnovy; příprava na realizaci zvolené strategie; kontrola strategie. Při plánování restaurátorských prací byste si měli uvědomit, že ne vždy je možné plně udržet fungování organizace. Je nutné identifikovat kritické funkce, bez kterých organizace ztrácí svou tvář, a dokonce upřednostňovat mezi kritickými funkcemi, aby se po nehodě co nejrychleji a s minimálními náklady obnovila práce. Při identifikaci zdrojů potřebných k provádění kritických funkcí nezapomeňte, že mnohé z nich nemají počítačovou povahu. V této fázi je vhodné zapojit do práce specialisty různých profilů. Existuje tedy velké množství různých metod pro zajištění bezpečnosti informací. Nejúčinnější je použití všech těchto metod v jediném komplexu. V dnešní době je moderní bezpečnostní trh přesycen nástroji informační bezpečnosti. Mnoho společností neustále studuje stávající nabídky na trhu s bezpečností a vidí nedostatečnost dříve investovaných prostředků do systémů zabezpečení informací, například kvůli zastaralosti zařízení a softwaru. Proto hledají řešení tohoto problému. Takové varianty mohou být dvě: na jedné straně kompletní výměna podnikového systému ochrany informací, která si vyžádá velké investice, a na druhé modernizace stávajících bezpečnostních systémů. Poslední možnost řešení tohoto problému je sice nejméně nákladná, ale přináší nové problémy, vyžaduje například odpověď na následující otázky: jak zajistit kompatibilitu starých, zachovaných ze stávajících hardwarových a softwarových bezpečnostních nástrojů a nových prvků systém informační bezpečnosti; jak zajistit centralizovanou správu heterogenních bezpečnostních nástrojů; jak vyhodnotit a případně přehodnotit informační rizika společnosti. Kapitola 2. Analýza systému informační bezpečnosti 1 Předmět činnosti společnosti a analýza finančních ukazatelů OJSC Gazprom je globální energetická společnost. Hlavní činností je geologický průzkum, výroba, přeprava, skladování, zpracování a prodej plynu, plynového kondenzátu a ropy, dále výroba a prodej tepla a elektřiny. Gazprom vidí své poslání ve spolehlivém, efektivním a vyváženém zásobování spotřebitelů zemním plynem, jinými druhy energetických zdrojů a jejich zpracovanými produkty. Gazprom má nejbohatší zásoby zemního plynu na světě. Jeho podíl na světových zásobách plynu je 18%, v Rusku - 70%. Gazprom představuje 15 % celosvětové a 78 % ruské produkce plynu. V současné době společnost aktivně realizuje rozsáhlé projekty rozvoje plynových zdrojů na poloostrově Jamal, arktickém šelfu, východní Sibiři a Dálném východě a také řadu projektů na průzkum a těžbu uhlovodíků v zahraničí. Gazprom je spolehlivým dodavatelem plynu pro ruské a zahraniční spotřebitele. Společnost vlastní největší světovou síť přepravy plynu - Jednotný systém zásobování plynem Ruska, jehož délka přesahuje 161 tisíc km. Gazprom prodává více než polovinu plynu, který prodává na domácím trhu. Kromě toho společnost dodává plyn do 30 zemí blízkého i vzdáleného zahraničí. Gazprom je jediným ruským výrobcem a vývozcem zkapalněného zemního plynu a zajišťuje asi 5 % celosvětové produkce LNG. Společnost je jedním z pěti největších producentů ropy v Ruské federaci a je také největším vlastníkem výrobních aktiv na jejím území. Jejich celkový instalovaný výkon je 17 % z celkového instalovaného výkonu ruské energetické soustavy. Strategickým cílem je vybudovat OAO Gazprom jako lídra mezi globálními energetickými společnostmi prostřednictvím rozvoje nových trhů, diverzifikace aktivit a zajištění spolehlivosti dodávek. Podívejme se na finanční výsledky společnosti za poslední dva roky. Provozní výsledky společnosti jsou uvedeny v příloze 1. K 31. prosinci 2010 činily tržby z prodeje 2 495 557 milionů rublů, toto číslo je mnohem nižší ve srovnání s údaji z roku 2011, tedy 3 296 656 milionů rublů. Tržby z prodeje (bez spotřební daně, DPH a cla) se za devět měsíců končících 30. zářím 2011 zvýšily o 801 099 milionů RUB nebo 32 % ve srovnání se stejným obdobím loňského roku ve výši 3 296 656 milionů RUB. Na základě výsledků roku 2011 činily čisté výnosy z prodeje plynu 60 % celkových čistých výnosů z prodeje (60 % za stejné období loňského roku). Čistý výnos z prodeje plynu se zvýšil z 1 495 335 milionů RUB. za rok až 1 987 330 milionů rublů. za stejné období roku 2011, tedy o 33 %. Čistý výnos z prodeje plynu do Evropy a dalších zemí se ve srovnání se stejným obdobím loňského roku zvýšil o 258 596 milionů RUB nebo 34 % a dosáhl 1 026 451 milionů RUB. Celkový nárůst prodeje plynu do Evropy a dalších zemí byl způsoben nárůstem průměrných cen. Průměrná cena v rublech (včetně cla) se za devět měsíců končících 30. zářím 2011 zvýšila o 21 % ve srovnání se stejným obdobím roku 2010. Objem prodeje plynu se navíc ve srovnání se stejným obdobím loňského roku zvýšil o 8 %. Čistý příjem z prodeje plynu do zemí bývalého Sovětského svazu se za stejné období v roce 2010 zvýšil o 168 538 milionů rublů, neboli 58 %, a dosáhl 458 608 milionů rublů. Změna byla způsobena především 33% nárůstem prodeje plynu do bývalého Sovětského svazu za devět měsíců končících 30. zářím 2011 ve srovnání se stejným obdobím loňského roku. Průměrná cena v rublech (včetně cla, bez DPH) se navíc oproti stejnému období loňského roku zvýšila o 15 %. Čistý výnos z prodeje plynu v Ruské federaci se ve srovnání se stejným obdobím minulého roku zvýšil o 64 861 milionů RUB nebo 15 % a dosáhl 502 271 milionů RUB. Je to způsobeno zejména zvýšením průměrné ceny plynu o 13 % oproti stejnému období loňského roku, s čímž souvisí zvýšení tarifů stanovených Federální tarifní službou (FTS). Čistý příjem z prodeje ropných a plynových produktů (po odečtení spotřební daně, DPH a cla) vzrostl o 213 012 milionů rublů, neboli 42 %, a dosáhl 717 723 milionů rublů. ve srovnání se stejným obdobím loňského roku. Tento nárůst lze vysvětlit především zvýšením světových cen ropných a plynových produktů a zvýšením objemu prodeje ve srovnání se stejným obdobím loňského roku. Tržby Gazprom Neft Group činily 85 % a 84 % celkových čistých příjmů z prodeje ropných a plynových produktů. Čistý výnos z prodeje elektrické a tepelné energie (bez DPH) vzrostl o 38 097 milionů RUB, neboli 19 %, a dosáhl 237 545 milionů RUB. Nárůst tržeb z prodeje elektrické a tepelné energie je způsoben zejména zvýšením tarifů za elektrickou a tepelnou energii a také nárůstem objemu prodeje elektrické a tepelné energie. Čistý výnos z prodeje kondenzátu ropy a zemního plynu (po odečtení spotřební daně, DPH a cla) vzrostl o 23 072 milionů RUB nebo 16 % a dosáhl 164 438 milionů RUB. ve srovnání s 141 366 miliony RUB. za stejné období loňského roku. Změna je způsobena především rostoucími cenami kondenzátu ropy a plynu. Změna byla navíc způsobena nárůstem prodeje plynového kondenzátu. Výnosy z prodeje ropy činily 133 368 milionů RUB. a 121 675 milionů rublů. v čistém výnosu z prodeje ropy a plynového kondenzátu (po odečtení spotřební daně, DPH a cla) v roce 2011, resp. Čistý výnos z prodeje služeb přepravy plynu (bez DPH) vzrostl o 15 306 milionů RUB nebo 23 % a dosáhl 82 501 milionů RUB ve srovnání s 67 195 miliony RUB. za stejné období loňského roku. Tento růst je způsoben především zvýšením tarifů za přepravu plynu pro nezávislé dodavatele a také nárůstem objemů plynu. ѐ mov přepravy plynu pro nezávislé dodavatele ve srovnání se stejným obdobím loňského roku. Ostatní výnosy vzrostly o 19 617 milionů RUB nebo 22 % a dosáhly 107 119 milionů RUB. ve srovnání s 87 502 miliony RUB. za stejné období loňského roku. Náklady na obchodní operace bez skutečné dodávky činily 837 milionů RUB. ve srovnání s příjmem 5 786 milionů RUB. za stejné období loňského roku. Pokud jde o provozní náklady, ty vzrostly o 23 % a dosáhly 2 119 289 milionů RUB. ve srovnání s 1 726 604 miliony RUB. za stejné období loňského roku. Podíl provozních nákladů na tržbách se snížil z 69 % na 64 %. Mzdové náklady vzrostly o 18 % a dosáhly 267 377 milionů RUB. ve srovnání s 227 500 miliony RUB. za stejné období loňského roku. Za nárůstem stojí především růst průměrných mezd. Odpisy za analyzované období vzrostly o 9 % nebo o 17 026 milionů rublů a dosáhly 201 636 milionů rublů ve srovnání s 184 610 miliony rublů. za stejné období loňského roku. Nárůst byl způsoben především rozšiřováním základny stálých aktiv. V důsledku výše uvedených faktorů se zisk z prodeje zvýšil o 401 791 milionů RUB nebo 52 % a dosáhl 1 176 530 milionů RUB. ve srovnání s 774 739 miliony RUB. za stejné období loňského roku. Zisková marže z prodeje se za devět měsíců končících 30. zářím 2011 zvýšila z 31 % na 36 %. OJSC Gazprom je tedy globální energetická společnost. Hlavní činností je geologický průzkum, výroba, přeprava, skladování, zpracování a prodej plynu, plynového kondenzátu a ropy, dále výroba a prodej tepla a elektřiny. Finanční situace společnosti je stabilní. Ukazatele výkonnosti vykazují pozitivní dynamiku. 2 Popis systému informační bezpečnosti společnosti Podívejme se na hlavní oblasti činnosti divizí Corporate Protection Service OJSC Gazprom: rozvoj cílených programů rozvoje systémů a komplexů ženijního a technického bezpečnostního vybavení (ITSE), systémů informační bezpečnosti (IS) OAO Gazprom a jeho dceřiných společností a organizací, účast na formování investičního programu zaměřeného na zajištění informačních a technických bezpečnostní; implementace pravomocí zákazníka pro vývoj systémů informační bezpečnosti, ale i ITSO systémů a komplexů; posuzování a schvalování rozpočtových požadavků a rozpočtů na realizaci opatření pro rozvoj systémů informační bezpečnosti, ITSO systémů a komplexů, jakož i na tvorbu IT z hlediska systémů informační bezpečnosti; přezkoumání a schvalování projektové a předprojektové dokumentace pro vývoj systémů informační bezpečnosti, systémů a komplexů ITSO a dále technické specifikace pro tvorbu (modernizaci) informačních systémů, komunikačních a telekomunikačních systémů z hlediska požadavků na bezpečnost informací; organizace práce pro posouzení souladu systémů a komplexů ITSO, systémů informační bezpečnosti (a také prací a služeb pro jejich vytvoření) se stanovenými požadavky; koordinace a kontrola prací na technické ochraně informací. Gazprom vytvořil systém pro zajištění ochrany osobních údajů. Přijetí řady regulačních právních aktů federálními výkonnými orgány při vývoji stávajících zákonů a vládních nařízení však vyžaduje zlepšení současného systému ochrany osobních údajů. V zájmu řešení tohoto problému byla vypracována a v rámci výzkumných prací schvalována řada dokumentů. Za prvé, toto jsou návrhy norem organizace Gazprom Development Organization: "Metodika pro klasifikaci informačních systémů osobních údajů OAO Gazprom, jejích dceřiných společností a organizací"; "Model ohrožení osobních údajů při jejich zpracování v informačních systémech osobních údajů společnosti OAO Gazprom, jejích dceřiných společností a organizací." Tyto dokumenty byly vypracovány s přihlédnutím k požadavkům nařízení vlády Ruské federace ze dne 17. listopadu 2007 č. 781 „O schválení Nařízení o zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů“ v vztah ke třídě speciálních systémů, které zahrnují většinu OJSC ISPDn "Gazprom". Kromě toho v současné době probíhá příprava „Předpisů o organizaci a technické podpoře zabezpečení osobních údajů zpracovávaných v informačních systémech osobních údajů společnosti OAO Gazprom, jejích dceřiných společností a organizací“. Je třeba poznamenat, že v rámci standardizačního systému OJSC Gazprom byly vyvinuty standardy pro systém informační bezpečnosti, které rovněž umožní řešit problémy ochrany osobních údajů zpracovávaných v informačních systémech OJSC Gazprom. V letošním roce bylo schváleno sedm standardů souvisejících se systémem informační bezpečnosti, které nabývají účinnosti. Standardy definují základní požadavky na budování systémů informační bezpečnosti pro OAO Gazprom a její dceřiné společnosti. Výsledky odvedené práce umožní racionálněji využívat materiální, finanční a duševní zdroje, vytvořit potřebnou regulační a metodickou podporu, zavést účinné prostředky ochrany a v důsledku toho zajistit bezpečnost osobních údajů zpracovávaných v informačních systémy OAO Gazprom. V důsledku analýzy informační bezpečnosti OJSC Gazprom byly zjištěny následující nedostatky v zajišťování informační bezpečnosti: organizace nemá jediný dokument upravující komplexní bezpečnostní politiku; Vzhledem k velikosti sítě a počtu uživatelů (více než 100) je třeba poznamenat, že za správu systému, informační bezpečnost a technickou podporu odpovídá jedna osoba; neexistuje klasifikace informačních aktiv podle stupně důležitosti; role a odpovědnosti v oblasti bezpečnosti informací nejsou zahrnuty v popisech práce; v pracovní smlouvě uzavřené se zaměstnancem není žádná doložka o odpovědnosti za bezpečnost informací jak zaměstnanců, tak organizace samotné; školení personálu v oblasti informační bezpečnosti není poskytováno; z hlediska ochrany před vnějšími hrozbami: nebyly vyvinuty typické postupy chování pro obnovu dat po haváriích, ke kterým došlo v důsledku vnějších a environmentálních hrozeb; serverovna není samostatnou místností, místnosti je přidělen status dvou oddělení (do serverovny má přístup ještě jedna osoba kromě správce systému); technické průzkumy a fyzické kontroly na neoprávněná zařízení připojená ke kabelům se neprovádějí; přestože se vstup provádí pomocí elektronických průkazů a všechny informace jsou zaneseny do speciální databáze, neprovádí se jejich analýza; pokud jde o ochranu před malwarem: neexistuje žádná formální politika na ochranu před riziky spojenými s přijímáním souborů z externích sítí nebo jejich prostřednictvím nebo obsažených na vyměnitelných médiích; z hlediska ochrany před malwarem: neexistují žádné pokyny pro ochranu místní sítě před škodlivým kódem; neexistuje žádná kontrola provozu, existuje přístup k poštovním serverům externích sítí; všechny zálohy jsou uloženy v serverové místnosti; jsou používána nezabezpečená, snadno zapamatovatelná hesla; příjem hesel uživateli není žádným způsobem potvrzován; hesla jsou správcem uložena jako prostý text; hesla se nemění; Neexistuje žádný postup pro hlášení událostí zabezpečení informací. Na základě těchto nedostatků byl tedy vyvinut soubor předpisů týkajících se politiky informační bezpečnosti, včetně: zásady týkající se najímání (propouštění) a udělování (zbavování) zaměstnanců potřebného oprávnění pro přístup k systémovým zdrojům; politika týkající se práce uživatelů sítě během jejího provozu; zásady ochrany heslem; politika organizace fyzické ochrany; Internetová politika; stejně jako administrativní bezpečnostní opatření. Dokumenty obsahující tyto předpisy jsou ve fázi posouzení vedením organizace. 3 Vypracování souboru opatření k modernizaci stávajícího systému informační bezpečnosti V důsledku analýzy systému informační bezpečnosti společnosti OJSC Gazprom byly identifikovány významné systémové zranitelnosti. Pro vypracování opatření k odstranění zjištěných nedostatků bezpečnostního systému upozorníme na následující skupiny informací, které podléhají ochraně: informace o soukromém životě zaměstnanců, které umožňují jejich identifikaci (osobní údaje); informace související s odbornými činnostmi a tvořící bankovní, auditorské a komunikační tajemství; informace týkající se odborných činností a označené jako informace „pro úřední potřebu“; informace, jejichž zničení nebo úprava negativně ovlivní provozní efektivitu a obnova bude vyžadovat dodatečné náklady. Z hlediska administrativních opatření byla vypracována tato doporučení: systém informační bezpečnosti musí odpovídat právním předpisům Ruské federace a státním normám; budovy a prostory, kde jsou instalována nebo skladována zařízení pro zpracování informací, kde se pracuje s chráněnými informacemi, musí být střeženy a chráněny poplašnými zařízeními a prostředky kontroly přístupu; při přijímání zaměstnance by mělo být organizováno školení personálu v otázkách bezpečnosti informací (vysvětlení důležitosti ochrany heslem a požadavků na heslo, vedení školení o antivirovém softwaru atd.); provádět každých 6-12 měsíců školení zaměřená na zlepšení gramotnosti zaměstnanců v oblasti informační bezpečnosti; audit systému a úpravy vypracovaných předpisů by měl být prováděn každoročně k 1. říjnu nebo bezprostředně po zavedení zásadních změn ve struktuře podniku; přístupová práva každého uživatele k informačním zdrojům musí být zdokumentována (v případě potřeby je o přístup požádáno písemně u vedoucího); politiku bezpečnosti informací musí zajistit správce softwaru a správce hardwaru, jejich činnost koordinuje vedoucí skupiny. Pojďme formulovat zásady pro hesla: neuchovávejte je v nezašifrované podobě (nezapisujte je na papír, do běžného textového souboru apod.); změnit heslo, pokud je prozrazeno nebo existuje podezření na prozrazení; délka musí být alespoň 8 znaků; Heslo musí obsahovat velká a malá písmena, číslice a speciální znaky, heslo nesmí obsahovat snadno vypočítatelné sekvence znaků (jména, jména zvířat, data); změna jednou za 6 měsíců (neplánovaná změna hesla musí být provedena ihned po obdržení oznámení o incidentu, který změnu vyvolal); Při změně hesel nelze vybrat ta, která byla použita dříve (hesla se musí lišit minimálně o 6 pozic). Pojďme formulovat zásady týkající se antivirových programů a detekce virů: Na každé pracovní stanici musí být nainstalován licencovaný antivirový software; aktualizace antivirových databází na pracovních stanicích s přístupem k internetu – 1x denně, bez přístupu k internetu – minimálně 1x týdně; nastavit automatické skenování pracovních stanic na detekci virů (frekvence kontrol - 1x týdně: pátek, 12:00); Aktualizaci antivirové databáze nebo antivirovou kontrolu může přerušit pouze administrátor (pro zadanou akci uživatele by měla být nastavena ochrana heslem). Pojďme formulovat zásady týkající se fyzické ochrany: technické sondování a fyzická kontrola neoprávněných zařízení připojených ke kabelům by měla být prováděna každé 1-2 měsíce; síťové kabely musí být chráněny před neoprávněným zachycením dat; záznamy o všech podezřelých a skutečných poruchách, ke kterým došlo na zařízení, musí být uloženy v protokolu Každá pracovní stanice musí být vybavena nepřerušitelným zdrojem napájení. Pojďme definovat zásady týkající se rezervace informací: pro záložní kopie by měla být přidělena samostatná místnost umístěná mimo administrativní budovu (místnost by měla být vybavena elektronickým zámkem a alarmem); Informační rezervace provádějte každý pátek v 16:00. Zásady týkající se přijímání/propouštění zaměstnanců by měly být následující: veškeré personální změny (nábor, povýšení, propuštění zaměstnance apod.) je nutné do 24 hodin nahlásit správci, který následně ve lhůtě půl pracovního dne provede příslušné změny v systému pro vymezení přístupových práv k podnikovým zdrojům ; nový zaměstnanec musí projít školením správce včetně seznámení s bezpečnostní politikou a všemi potřebnými pokyny, úroveň přístupu k informacím pro nového zaměstnance určuje vedoucí; Když zaměstnanec opustí systém, jeho ID a heslo jsou smazány, pracovní stanice je zkontrolována na přítomnost virů a je analyzována integrita dat, ke kterým měl zaměstnanec přístup. Zásady týkající se práce s místní interní sítí (LAN) a databázemi (DB): při práci na svém pracovišti a na LAN musí zaměstnanec plnit pouze úkoly přímo související s jeho služební činností; Zaměstnanec je povinen upozornit správce na zprávy antivirových programů o výskytu virů; nikdo jiný než správci nesmí provádět změny v designu nebo konfiguraci pracovních stanic a dalších uzlů LAN, instalovat jakýkoli software, ponechat pracovní stanici bez kontroly nebo umožnit neoprávněným osobám přístup k ní; Správcům se doporučuje, aby neustále ponechali spuštěné dva programy: obslužný program pro detekci útoků typu ARP spoofing a sniffer, jehož použití jim umožní vidět síť očima potenciálního vetřelce a identifikovat narušitele bezpečnostní politiky; Měli byste nainstalovat software, který zabrání spouštění jiných programů, než které určil správce, na základě zásady: „Každá osoba má oprávnění nezbytná k provádění konkrétních úkolů.“ Všechny nepoužívané počítačové porty musí být zakázány hardwarem nebo softwarem; Software by měl být pravidelně aktualizován. Zásady internetu: správcům je přiděleno právo omezit přístup ke zdrojům, jejichž obsah nesouvisí s plněním služebních povinností, jakož i ke zdrojům, jejichž obsah a zaměření je zakázáno mezinárodní a ruskou legislativou; zaměstnanec má zakázáno stahovat a otevírat soubory bez předchozí kontroly virů; veškeré informace o zdrojích navštěvovaných zaměstnanci společnosti by měly být ukládány do protokolu a v případě potřeby mohou být poskytnuty vedoucím oddělení i managementu důvěrnost a integrita elektronické korespondence a kancelářských dokumentů je zajištěna pomocí digitálních podpisů. Kromě toho zformulujeme základní požadavky na vytváření hesel pro zaměstnance společnosti OJSC Gazprom. Heslo je jako klíč od domu, pouze je klíčem k informacím. U běžných klíčů je krajně nežádoucí ztráta, odcizení nebo předání cizí osobě. Totéž platí pro heslo. Bezpečnost informací samozřejmě nezávisí jen na heslu, k jeho zajištění je potřeba nastavit řadu speciálních nastavení a možná i napsat program, který chrání před hackováním. Volba hesla je ale přesně ta akce, kde záleží pouze na uživateli, jak silný bude tento článek v řetězci opatření zaměřených na ochranu informací. ) heslo musí být dlouhé (8-12-15 znaků); ) by nemělo být slovo ze slovníku (jakéhokoli slovníku, dokonce i slovníku speciálních výrazů a slangu), vlastní jméno nebo slovo v azbuce napsané v latince (latinka - kfnsym); ) nelze jej spojovat s vlastníkem; ) mění se pravidelně nebo podle potřeby; ) se v této funkci nepoužívá na různých zdrojích (tj. pro každý zdroj – pro přihlášení do poštovní schránky, operačního systému nebo databáze – je nutné použít jiné heslo); ) je možné si to zapamatovat. Vybírání slov ze slovníku je nežádoucí, protože útočník provádějící slovníkový útok použije programy schopné prohledávat až stovky tisíc slov za sekundu. Veškeré informace spojené s majitelem (ať už je to datum narození, jméno psa, příjmení matky za svobodna a podobná „hesla“) lze snadno rozpoznat a uhodnout. Použití velkých a malých písmen, stejně jako čísel, značně komplikuje útočníkův úkol uhodnout heslo. Heslo by mělo zůstat v tajnosti, a pokud máte podezření, že se heslo někomu stalo známé, změňte ho. Je také velmi užitečné je čas od času změnit. Závěr Studie nám umožnila vyvodit následující závěry a formulovat doporučení. Bylo zjištěno, že hlavním důvodem problémů podniku v oblasti informační bezpečnosti je chybějící politika informační bezpečnosti, která by zahrnovala organizační, technická, finanční řešení s následným sledováním jejich implementace a vyhodnocováním účinnosti. Definice politiky informační bezpečnosti je formulována jako soubor dokumentovaných rozhodnutí, jejichž účelem je zajistit ochranu informací a souvisejících informačních rizik. Analýza systému informační bezpečnosti odhalila významné nedostatky, včetně: uložení záložních kopií v serverovně, záložní server je umístěn ve stejné místnosti jako hlavní servery; nedostatek správných pravidel týkajících se ochrany heslem (délka hesla, pravidla pro jeho výběr a ukládání); Správu sítě má na starosti jedna osoba. Zobecnění mezinárodní a ruské praxe v oblasti řízení informační bezpečnosti podniků nám umožnilo dospět k závěru, že k jejímu zajištění je nutné: předvídání a včasná identifikace bezpečnostních hrozeb, příčin a podmínek vedoucích k finančním, materiálním a morálním škodám; vytváření provozních podmínek s nejmenším rizikem realizace bezpečnostních hrozeb pro informační zdroje a způsobení různých druhů škod; vytvoření mechanismu a podmínek pro efektivní reakci na ohrožení informační bezpečnosti na základě právních, organizačních a technických prostředků. První kapitola práce pojednává o hlavních teoretických aspektech. Je uveden přehled několika standardů v oblasti informační bezpečnosti. Pro každý i jako celek jsou vyvozeny závěry a je vybrán nejvhodnější standard pro tvorbu politiky informační bezpečnosti. Druhá kapitola zkoumá strukturu organizace a analyzuje hlavní problémy spojené s informační bezpečností. V důsledku toho byla vytvořena doporučení k zajištění správné úrovně bezpečnosti informací. Zvažována jsou také opatření k prevenci dalších incidentů souvisejících s narušením bezpečnosti informací. Zajištění informační bezpečnosti organizace je samozřejmě nepřetržitý proces, který vyžaduje neustálé sledování. A přirozeně vytvořená politika není železným garantem ochrany. Kromě implementace politiky je nutné neustálé sledování jejího kvalitního provádění a také zlepšování v případě jakýchkoli změn ve společnosti nebo precedentů. Organizaci bylo doporučeno přijmout zaměstnance, jehož činnost by s těmito funkcemi přímo souvisela (bezpečnostní správce). Bibliografie bezpečnost informací finanční újma 1. Belov E.B. Základy informační bezpečnosti. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Šelupanov. -M.: Horká linka - Telecom, 2006. - 544s Galatenko V.A. Standardy informační bezpečnosti: kurz přednášek. Vzdělávací příspěvek. - 2. vydání. M.: INTUIT.RU "Internetová univerzita informačních technologií", 2009. - 264 s. Glatenko V.A. Standardy informační bezpečnosti / Otevřené systémy 2006.- 264c Dolzhenko A.I. Řízení informačních systémů: Školení. - Rostov na Donu: RGEU, 2008.-125 s. Kalašnikov A. Formování podnikové politiky vnitřní informační bezpečnosti #"justify">. Malyuk A.A. Informační bezpečnost: koncepční a metodické základy ochrany informací / M.2009-280 Mayvold E., Zabezpečení sítě. Vlastní návod // Ekom, 2009.-528 s. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Základy organizační podpory informační bezpečnosti objektů informatizace // Helios ARV, 2008, 192 s.
