Abschlussarbeiten zum Thema Informationssicherheit (Sicherheit von Informationssystemen). Informationssicherheitssystem Liste der WRC-Themen zur Informationssicherheit
Ähnliche Dokumente
Relevanz von Fragen der Informationssicherheit. Software und Hardware für das Mineral LLC-Netzwerk. Aufbau eines Modells für Unternehmenssicherheit und Schutz vor unbefugtem Zugriff. Technische Lösungen zum Schutz von Informationssystemen.
Dissertation, hinzugefügt am 19.01.2015
Die Sicherheit eines Informationssystems ist seine Fähigkeit, verschiedenen Einflüssen standzuhalten. Arten von Computerbedrohungen, das Konzept des unbefugten Zugriffs. Viren und Malware. Methoden und Mittel zum Schutz von Informationssystemen.
Zusammenfassung, hinzugefügt am 14.11.2010
Klassifizierung von Bedrohungen der Informationssicherheit. Fehler bei der Entwicklung von Computersystemen, Software und Hardware. Die wichtigsten Methoden zur Erlangung unbefugten Zugriffs (UNA) auf Informationen. Methoden zum Schutz vor NSD. Virtuelle private Netzwerke.
Kursarbeit, hinzugefügt am 26.11.2013
Externe Bedrohungen der Informationssicherheit, Formen ihrer Erscheinungsform. Methoden und Mittel zum Schutz vor Industriespionage, ihre Ziele: Informationen über einen Konkurrenten beschaffen, Informationen vernichten. Methoden des unbefugten Zugriffs auf vertrauliche Informationen.
Test, hinzugefügt am 18.09.2016
Die häufigsten Arten des unbefugten Zugriffs auf Informationen und Kanäle für deren Weitergabe. Methoden zum Schutz von Informationen vor natürlichen (Notfall-)Bedrohungen und vor zufälligen Bedrohungen. Kryptographie als Mittel zum Schutz von Informationen. Industriespionage.
Zusammenfassung, hinzugefügt am 04.06.2013
Konzept, Bedeutung und Richtungen der Informationssicherheit. Ein systematischer Ansatz zur Organisation der Informationssicherheit und zum Schutz von Informationen vor unbefugtem Zugriff. Informationssicherheitstools. Informationssicherheitsmethoden und -systeme.
Zusammenfassung, hinzugefügt am 15.11.2011
Konzept und Prinzipien der Informationssicherheit. Betrachtung der wichtigsten Arten gefährlicher Auswirkungen auf ein Computersystem. Klassifizierung von Kanälen für unbefugten Zugriff auf Computer. Eigenschaften von Hardware- und Software-Informationssicherheitstools.
Präsentation, hinzugefügt am 15.11.2011
Informationssicherheit, ihre Ziele und Zielsetzungen. Informationsleckkanäle. Software- und Hardwaremethoden und -mittel zum Schutz von Informationen vor unbefugtem Zugriff. Modell der Sicherheitsbedrohungen für Informationen, die in einer Computeranlage verarbeitet werden.
Dissertation, hinzugefügt am 19.02.2017
Der Einfluss der Art der Tätigkeit eines Unternehmens auf die Organisation eines umfassenden Informationssicherheitssystems. Zusammensetzung geschützter Informationen. Mögliche Kanäle für unbefugten Zugriff auf Unternehmensinformationen. Effizienz des Informationssicherheitssystems.
Praxisbericht, hinzugefügt am 31.10.2013
Historische Aspekte der Entstehung und Entwicklung der Informationssicherheit. Informationssicherheitsmittel und ihre Klassifizierung. Arten und Funktionsprinzipien von Computerviren. Rechtsgrundlage zum Schutz von Informationen vor unbefugtem Zugriff.
Schwerpunkt (Profil) „Informationssysteme und Technologien“
Ausbildungsbereiche 09.03.02 „Informationssysteme und Technologien“
Design und Technologie,
Service und Betrieb.
1. Virtualisierung der Informationsinfrastruktur des Unternehmens (Name des Unternehmens).
2. Integration von Unternehmensinformationssystemen auf Basis des Linux-Betriebssystems und eines frei verteilten DBMS.
3. Modernisierung und Verwaltung des Unternehmensinformationssystems des Unternehmens (Name des Unternehmens).
4. Modernisierung, Verwaltung und Wartung des Informationsnetzwerks des Unternehmens (Name des Unternehmens).
5. Modernisierung des Informations- und Managementsystems des Unternehmens (Prozesses) (Name des Unternehmens oder Prozesses) und Entwicklung von Maßnahmen zu seiner Unterstützung.
6. Entwicklung eines Intranetportals für das Unternehmen (Name des Unternehmens).
7. Entwurf eines U(Name des Unternehmens).
8. Gestaltung eines Unternehmensinformationssystems für ein Unternehmen (Name des Unternehmens).
9. Entwicklung und Pflege des Corporate Webportals des Unternehmens (Name des Unternehmens).
10. Entwicklung eines automatisierten Informationsverarbeitungssystems für das Unternehmen (Name des Unternehmens).
11. Entwicklung eines Prototyps eines Unternehmensinformationssystems für das Prozessmanagement (Name des Prozesses oder Objekts).
12. Entwicklung eines Webdienstes für das Informationssystem des Unternehmens (Name des Unternehmens).
13. Entwicklung eines Referenzinformationssystems für das Unternehmen (Name des Unternehmens).
14. Entwicklung eines Modells und Designs eines Enterprise Information Management Systems (Name des Unternehmens).
15. Entwicklung technologischer Software zur Systemwartung (Name des Systems).
16. Entwicklung von Software für ein Mikroprozessorgerät (Gerätename).
17. Entwicklung einer mobilen Client-Anwendung für das Informationssystem des Unternehmens (Name des Unternehmens).
18. Entwicklung eines Simulationsmodells zur Optimierung der Produktionsprozessparameter.
19. Entwurf virtueller Server auf Basis von Tools (Name der Virtualisierungstools) und Datenübertragungskanälen für ein Unternehmen (Name des Unternehmens).
20. Entwicklung eines Moduls (Subsystems) (Name der implementierten Funktion) des Informationssystems (Unternehmensinformation) des Unternehmens (Name des Unternehmens).
im Bildungsprogramm des angewandten Bachelor-Studiengangs
Ausbildungsbereiche 03.09.04 „Software Engineering“
Produktion und Technologie,
Organisation und Management,
Service und Betrieb.
1. Entwicklung einer Anwendung zum Parsen einer Website, eines sozialen Netzwerks oder eines Portals.
2. Entwurf und Softwareimplementierung eines Informationssystems (Informations- und Referenzsystems) (Zweck oder Funktion des Systems).
3. Entwicklung der Firmware für das Gerät (Name des Geräts).
4. Entwicklung von Anwendungssoftware für das System (Name des Systems).
5. Entwicklung eines Software-Informationssystems (Bezeichnung des Einsatzbereichs bzw. des implementierten Prozesses).
6. Entwicklung von Methoden zum Testen und Debuggen von Software (Name der Software).
7. Entwicklung eines Softwaremoduls (Name des Moduls) für das 1C: Enterprise-System (Name des Unternehmens).
8. Entwicklung eines Webservices für das Enterprise Information Management System (Name des Unternehmens).
9. Entwicklung einer Anwendung zur Unterstützung des Informationsmesssystems (Zweck des Systems).
10. Untersuchung der Informationssicherheit von Webdiensten des 1C:Enterprise-Systems.
11. Entwicklung eines Moduls (Subsystems) (Name der implementierten Funktion) des Informationssystems (Unternehmensinformationssystems) des Unternehmens (Name des Unternehmens).
12. Entwicklung von Server-(Client-)Software für das System (Name des Systems).
Themen der Abschlussarbeiten
im Bildungsprogramm des angewandten Bachelor-Studiengangs
Schwerpunkt (Profil) „Informationsdienstleistung“
:Service,
1. Modernisierung, Verwaltung und Wartung des lokalen Netzwerks des Unternehmens (Name des Unternehmens).
2. Modernisierung und Verwaltung des Unternehmensinformationssystems (Name des Unternehmens).
3. Entwurf eines Unternehmensinformationssystems (Name des Unternehmens).
4. Design und Entwicklung von Technologie zum Betrieb eines lokalen Netzwerks eines Unternehmens (Name des Unternehmens).
5. Gestaltung des Hardware- und Softwareschutzes des Informationssystems des Unternehmens (Name des Unternehmens).
6. Entwicklung von Technologien zur Diagnose, Reparatur und Wartung des Geräts (Name des Geräts, Gerätegruppe, Messgerät, Computereinheit, Computer- oder Mikroprozessorsystem, lokales Netzwerk).
7. Entwicklung und Verwaltung der Website des Unternehmens (Name des Unternehmens).
8. Entwicklung der Serverkonfiguration für das Datenübertragungsnetz des Unternehmens (Name des Unternehmens).
9. Entwicklung und Verwaltung der Datenbank des Unternehmensinformationssystems (Name des Unternehmens).
10. Entwicklung eines Intranetportals für das Unternehmen (Name des Unternehmens).
11. Entwicklung eines Subsystems zur Überwachung von Produktionsprozessen auf der 1C:Enterprise-Plattform.
12. Entwicklung eines Projekts für ein verteiltes Informationssystem (Name des Systems) des Unternehmens (Name des Unternehmens).
13. Entwicklung eines Informations- und Referenzbuchhaltungssystems (Name des Buchhaltungsobjekts).
14. Entwicklung eines WCF-Dienstes für ein Unternehmensinformationssystem.
15. Entwicklung eines Modells eines Unternehmensinformationssystems (Name oder Tätigkeitsbereich des Unternehmens).
16. Entwicklung von Methoden zum Testen und Debuggen von Software (Name der Software).
17. Entwicklung eines Maßnahmenpakets zur Verwaltung und Wartung eines Software-Informationssystems (Bezeichnung des Einsatzbereichs bzw. des implementierten Prozesses).
18. Modellierung und Erforschung des Datenübertragungssystems (Name des Systems).
19. Erforschung und Optimierung von Parametern eines verteilten Informationssystems auf der 1C:Enterprise-Plattform.
20. Gestaltung einer Unternehmensabteilung (Name des Unternehmens) für die Reparatur und Wartung elektronischer (Computer-)Geräte und Organisation des Betriebs technischer Geräte.
21. Entwurf virtueller Server auf Basis von Tools (Name der Virtualisierungstools) und Datenübertragungskanälen für ein Unternehmen (Name des Unternehmens).
22. Entwicklung von Server-(Client-)Software für das System (Name des Systems).
Themen der Abschlussarbeiten
im Bildungsprogramm des angewandten Bachelor-Studiengangs
Richtwirkung (Profil) „Service für elektronische Geräte“
Ausbildungsbereiche 03.43.01 „Service“
Arten beruflicher Tätigkeiten:Service,
Produktion und Technologie.
1. Entwicklung von Technologien zur Diagnose, Reparatur und Wartung des Geräts (Name des elektronischen Geräts, Mikroprozessors oder Telekommunikationssystems, Messgeräte, Datenübertragungsnetz).
2. Entwicklung eines elektronischen Systems (Name des Systems) des Unternehmens (Name des Unternehmens, Einkaufs- und Bürozentrums, Unterhaltungskomplex).
3. Entwicklung eines Informations-Ein-/Ausgabegeräts (Name des Geräts).
4. Entwicklung von Software für ein Mikroprozessorgerät (Gerätename).
5. Entwicklung eines betrieblichen Telekommunikationsnetzes für ein Unternehmen (Name des Unternehmens).
6. Entwicklung eines digitalen Geräts (Moduls) (Name des Geräts, Moduls; Name der implementierten Funktion).
7. Entwicklung eines Stromversorgungsgeräts für elektronische Geräte (Gerätename).
8. Entwicklung einer Technologie zur Überwachung (Steuerung von Parametern) von Objekten (Name der Objekte).
9. Entwicklung und Erforschung eines drahtlosen Sensors (Name des gemessenen Parameters).
10. Gestaltung einer Unternehmensabteilung (Name des Unternehmens) für die Reparatur und Wartung elektronischer (Computer-)Geräte und Organisation des Betriebs technischer Geräte.
11. Entwicklung eines Subsystems (Name des Subsystems) eines integrierten Sicherheitssystems für das Unternehmen (Name des Unternehmens).
Themen der Abschlussarbeiten
im Bildungsprogramm des angewandten Bachelor-Studiengangs
Richtwirkung (Profil) „Funktechnische Mittel zum Senden, Empfangen und Verarbeiten von Signalen“
Ausbildungsbereiche 11.03.01 „Funktechnik“
Design und Technik,
Service und Betrieb.
1. Entwicklung eines Geräte- (Blocks, Moduls; Empfangens, Sendens, Transceivers) Systems (Name des Systems).
2. Entwicklung einer drahtlosen Schnittstelle für elektronische Geräte (Name des Geräts).
3. Untersuchung des virtuellen Modells des Geräts (Angabe des Gerätetyps) in der Umgebung (Name der Softwareumgebung).
4. Entwicklung eines Subsystems (Name des Subsystems) eines integrierten Unternehmenssicherheitssystems (Name des Unternehmens).
Themen der Abschlussarbeiten
im Bildungsprogramm des angewandten Bachelor-Studiengangs
Richtwirkung (Profil) „Mobile Kommunikationssysteme“
Ausbildungsbereiche 11.03.02 „Infokommunikationstechnologien und Kommunikationssysteme“
Arten beruflicher Tätigkeiten:Design
1. Entwurf eines Telekommunikationsnetzes für ein Unternehmen (Name des Unternehmens).
2. Verwaltung und Wartung des Telekommunikationsnetzes des Unternehmens (Name des Unternehmens).
3. Entwicklung eines Blocks (Codec, Vocoder, Synchronisationsgerät, Matching-Gerät) eines digitalen Telekommunikationssystems.
4. Entwicklung eines drahtlosen Schnittstellenadapters (Name der Schnittstellen).
5. Entwicklung eines Systems für Informationsverarbeitungsgeräte (Gerätetyp) (Systemname).
6. Entwicklung eines Gerätes zur Anbindung von Systemen (Name der Systeme).
7. Entwicklung eines Systemcontrollers (Systemname).
8. Entwicklung eines Synchronisationsgeräts für ein Telekommunikationssystem (Name des Systems).
9. Entwicklung eines technologischen Geräts zum Testen von Telekommunikationsgeräten (Gerätename).
10. Entwicklung eines drahtlosen Kommunikationsnetzwerks (Netzwerksegment) basierend auf Technologie (Name der Technologie).
11. Entwicklung einer Technologie zur Fernüberwachung von Objektparametern (Name der Parameter).
12. Entwicklung eines Sensornetzwerks zur Überwachung des Zustands eines Objekts (Name des Objekts).
13. Entwicklung einer Technologie zur Diagnose und Messung von Parametern eines Telekommunikationsgeräts (Name des Geräts, Systems, Netzwerks, Umgebung).
14. Entwicklung eines Transceivergeräts für das System (Name des Systems).
15. Entwicklung von Telekommunikationsgeräten zur Fernsteuerung eines Objekts (Name des Objekts).
16. Entwicklung eines Parametermessgeräts für Komponenten von Telekommunikationsgeräten (Bezeichnung der Komponenten).
17. Entwicklung eines drahtlosen Informationseingabe-/-ausgabegeräts (Name des Geräts).
18. Entwicklung von Hard- und Software für die Infokommunikationstechnologie (Name der Technologie).
19. Untersuchung der Informationsübertragungsprotokolle im System (Name des Systems).
20. Erforschung digitaler Signalverarbeitungsmethoden für das System (Name des Systems).
21. Entwicklung von Infokommunikationstechnologie und Facility-Management-System (Name der Einrichtung).
22. Entwicklung eines drahtlosen Systems zur Messung eines Parameters (Name des Parameters).
23. Entwurf virtueller Server auf Basis von Tools (Name der Virtualisierungstools) und Datenübertragungskanälen für ein Unternehmen (Name des Unternehmens).
Themen der Abschlussarbeiten
nach dem Bildungsprogramm der berufsbildenden Sekundarstufe
Fachgebiet 09.02.01 „Computersysteme und -komplexe“
Berufsmodule:PM.01 Design digitaler Geräte,
PM.02 Anwendung von Mikroprozessorsystemen, Installation und Konfiguration von Peripheriegeräten,
PM.03 Wartung und Reparatur von Computersystemen und -komplexen.
1. Fehlerdiagnose und Überwachung des technischen Zustands von Geräten (Bezeichnung der Hardware und Software der Computertechnik oder des Computernetzwerks).
2. Zusammenbau, Konfiguration und Einrichtung von Werkzeugen (Bezeichnung der Computerhardware und -software oder des Computernetzwerks).
3. Entwicklung eines Maßnahmenpakets zur Gewährleistung der Informationssicherheit des Computernetzwerks des Unternehmens (Name des Unternehmens).
4. Entwicklung eines kontaktlosen Identifikationssystems für das Unternehmen (Name des Unternehmens).
5. Pflege und Verwaltung des Unternehmensinformationssystems (Name des Unternehmens).
6. Wartung und Verwaltung des Computernetzwerks des Unternehmens (Name des Unternehmens).
7. Wartung und Support von Hardware und Software (Name der Computerhardware oder des Computernetzwerks).
8. Installation, Anpassung und Wartung von Software (Name der Software).
9. Entwicklung und Erforschung eines digitalen (Mikroprozessor-)Geräts (Moduls) (Name des Geräts, Moduls).
10. Entwicklung von Testtechnologien und umfassendes Debuggen von Software (Name der Software).
Themen der Abschlussarbeiten für Absolventen
Schwerpunkt (Profil) „Elemente und Geräte der Computertechnik und Informationssysteme“
Ausbildungsbereiche 09.04.01 „Informatik und Informatik“
Arten beruflicher Tätigkeiten:Design,
wissenschaftliche Forschung.
1. Modellierung und Erforschung von Netzwerkprotokollen zur Informationsübertragung (die Art der Informationen ist angegeben).
2. Forschung und Entwicklung von Computermethoden zur Verbesserung von Systemparametern (Parameter oder Parameter und Systemtyp sind angegeben).
3. Computermodellierung, Forschung und Optimierung von Informations- oder Telekommunikationssystemen (die Systemklasse ist angegeben).
4. Erforschung und Optimierung des Aufbaus drahtloser Sensornetzwerke.
5. Forschung und Analyse des Aufbaus drahtloser Internet-of-Things-Netzwerke.
6. Entwicklung von Effizienzkriterien und Untersuchung der Verteilung virtueller Maschinen innerhalb der Cloud-Infrastruktur.
7. Entwicklung, Erforschung und Bewertung der Wirksamkeit verteilter Informations- (oder Informationsmess-)Systeme (der Anwendungsbereich bzw. die Art der Systeme ist angegeben).
8. Entwicklung und Forschung einer drahtlosen Schnittstelle für Geräte (Name des Geräts).
9. Entwicklung und Forschung eines Objektverfolgungsgeräts (Name der Objekte).
10. Entwicklung und Erforschung von Geräten zur Zustandsüberwachung eines Objekts (Name des Objekts).
11. Entwicklung von Hardware- und Software-Diagnosetools für Geräte (Name der Geräte).
12. Entwicklung und Forschung eines drahtlosen Sensors (Name des gemessenen Parameters).
13. Untersuchung von Korrekturalgorithmen für die Konvertierung eines Parameters (Parametername) in Code.
14. Entwicklung von Algorithmen und Software zur Überwachung der Parameter des Facility Management Systems (Name der Einrichtung).
15. Entwicklung und Forschung von drahtlosen Steuergeräten für das Objekt (Name des Objekts).
16. Modellierung und Erforschung von Parameterkonvertern (Name der Parameter).
17. Methoden zur Bewertung der Qualität von Software (der Zweck der Software ist angegeben).
18. Untersuchung der Funktionsweise von Geräten (Name der Geräte) unter Bedingungen (Bedingungen sind angegeben) zur Verbesserung der Eigenschaften (Eigenschaften sind angegeben).
19. Entwicklung von Methoden zur Analyse und Synthese von Geräten (Name der Geräte) zur Verbesserung der Eigenschaften (Eigenschaften sind angegeben).
Themen der Abschlussarbeiten
im akademischen Masterstudiengang
Schwerpunkt (Profil) „Entwicklung von Software- und Informationssystemen“
Ausbildungsbereiche 09.04.04 „Software Engineering“
Forschung,
Design
1. Entwicklung und Erforschung eines REST-Dienstes zur Anzeige von Stundenplänen in Hochschuleinrichtungen.
2. Forschung und Entwicklung von Softwaretesttools für Mobilfunkbetreiber.
3. Erkennung des physiologischen Zustands eines Menschen auf der Grundlage der Theorie von Systemen mit zufälliger Struktur.
4. Entwurf eines Vertriebsautomatisierungs-Informationssystems (Name des Unternehmens) basierend auf dem MDA-Ansatz.
5. Entwicklung und Erforschung eines Software-Informationssystems zur Bewertung der Qualität von Software (der Name der Software ist angegeben).
6. Entwicklung verteilter Software- und Informationssysteme (der Anwendungsbereich des Systems ist angegeben) und Erforschung der Möglichkeiten ihrer Optimierung anhand von Effizienzkriterien (die Kriterien sind angegeben).
7. Entwicklung von Software zur Unterstützung von Eingabe-/Ausgabegeräten für das System (Name des Systems).
8. Untersuchung der Sicherheit von Komponenten des Software-Informationssystems (Name des Systems).
Einführung
Kapitel 1. Theoretische Aspekte der Einführung und Informationssicherheit
1.1Das Konzept der Informationssicherheit 3 Informationssicherheitsmethoden Kapitel 2. Analyse des Informationssicherheitssystems 1 Tätigkeitsbereich des Unternehmens und Analyse der Finanzkennzahlen 2 Beschreibung des Informationssicherheitssystems des Unternehmens 3 Entwicklung eines Maßnahmenpakets zur Modernisierung des bestehenden Informationssicherheitssystems Abschluss Referenzliste Anwendung Anhang 1. Bilanz für 2010 Anhang 1. Bilanz für 2010 Einführung Die Relevanz des Themas der Dissertation wird durch das zunehmende Ausmaß an Informationssicherheitsproblemen bestimmt, auch vor dem Hintergrund des rasanten Wachstums von Technologien und Tools zum Datenschutz. Angesichts des begrenzten Budgetanteils, der für die Informationstechnologie bereitgestellt wird, ist es unmöglich, ein 100-prozentiges Schutzniveau für Unternehmensinformationssysteme zu gewährleisten und gleichzeitig Datenschutzaufgaben richtig zu priorisieren. Der zuverlässige Schutz der Computer- und Netzwerkinfrastruktur eines Unternehmens ist eine grundlegende Informationssicherheitsaufgabe für jedes Unternehmen. Mit dem Wachstum des Geschäfts eines Unternehmens und dem Übergang zu einer geografisch verteilten Organisation beginnt es, über die Grenzen eines einzelnen Gebäudes hinauszugehen. Ein wirksamer Schutz der IT-Infrastruktur und Unternehmensanwendungssysteme ist heute ohne die Einführung moderner Netznicht möglich. Zunehmende Diebstahlsfälle von Medien mit wertvollen Geschäftsinformationen erfordern zunehmend organisatorische Maßnahmen. Der Zweck dieser Arbeit besteht darin, das bestehende Informationssicherheitssystem in der Organisation zu bewerten und Maßnahmen zu seiner Verbesserung zu entwickeln. Dieses Ziel bestimmt die folgenden Ziele der Arbeit: ) das Konzept der Informationssicherheit berücksichtigen; ) Berücksichtigen Sie die Arten möglicher Bedrohungen für Informationssysteme und Optionen zum Schutz vor möglichen Bedrohungen durch Informationslecks in der Organisation. ) eine Liste von Informationsressourcen identifizieren, deren Verletzung der Integrität oder Vertraulichkeit zum größten Schaden für das Unternehmen führen wird; ) entwickeln auf ihrer Grundlage eine Reihe von Maßnahmen zur Verbesserung des bestehenden Informationssicherheitssystems. Die Arbeit besteht aus einer Einleitung, zwei Kapiteln, einem Fazit, einem Verzeichnis der verwendeten Quellen und Anwendungen. Die Einleitung konkretisiert die Relevanz des Forschungsthemas und formuliert Zweck und Zielsetzung der Arbeit. Im ersten Kapitel werden die theoretischen Aspekte der Konzepte der Informationssicherheit in einer Organisation erörtert. Das zweite Kapitel bietet eine kurze Beschreibung der Aktivitäten des Unternehmens, wichtige Leistungsindikatoren, beschreibt den aktuellen Stand des Informationssicherheitssystems und schlägt Maßnahmen zu seiner Verbesserung vor. Abschließend werden die wesentlichen Ergebnisse und Schlussfolgerungen der Arbeit formuliert. Die methodische und theoretische Grundlage der Arbeit stellten die Arbeiten in- und ausländischer Experten auf dem Gebiet der Informationssicherheit dar. Bei der Arbeit an der Arbeit wurden Informationen verwendet, die den Inhalt von Gesetzen, Gesetzgebungsakten und Verordnungen sowie Verordnungen der Regierung von widerspiegelten die Russische Föderation regelt die Informationssicherheit, internationale Standards für die Informationssicherheit. Die theoretische Bedeutung der Abschlussarbeit liegt in der Umsetzung eines integrierten Ansatzes bei der Entwicklung einer Informationssicherheitsrichtlinie. Die praktische Bedeutung der Arbeit wird dadurch bestimmt, dass ihre Ergebnisse es ermöglichen, den Grad des Informationsschutzes in einem Unternehmen durch die kompetente Gestaltung einer Izu erhöhen. Kapitel 1. Theoretische Aspekte der Einführung und Informationssicherheit 1.1 Konzept der Informationssicherheit Unter Informationssicherheit versteht man die Sicherheit von Informationen und ihrer unterstützenden Infrastruktur vor zufälligen oder böswilligen Einflüssen, die zu Schäden an den Informationen selbst, ihren Eigentümern oder der unterstützenden Infrastruktur führen können. Die Ziele der Informationssicherheit bestehen darin, Schäden zu minimieren sowie solche Auswirkungen vorherzusagen und zu verhindern. Schutzbedürftige Parameter von Informationssystemen lassen sich in folgende Kategorien einteilen: Gewährleistung der Integrität, Verfügbarkeit und Vertraulichkeit von Informationsressourcen. Zugänglichkeit ist die Möglichkeit, in kurzer Zeit den erforderlichen Informationsdienst zu erhalten; Integrität ist die Relevanz und Konsistenz von Informationen, ihr Schutz vor Zerstörung und unbefugten Änderungen; Vertraulichkeit – Schutz vor unbefugtem Zugriff auf Informationen. Informationssysteme werden in erster Linie geschaffen, um bestimmte Informationsdienste zu erhalten. Wenn die Informationsbeschaffung aus irgendeinem Grund unmöglich wird, schadet dies allen Subjekten der Informationsbeziehungen. Daraus können wir schließen, dass die Verfügbarkeit von Informationen an erster Stelle steht. Integrität ist der Hauptaspekt der Informationssicherheit, wenn Genauigkeit und Wahrhaftigkeit die Hauptparameter von Informationen sind. Zum Beispiel Rezepte für Medikamente oder eine Reihe und Eigenschaften von Komponenten. Die am weitesten entwickelte Komponente der Informationssicherheit in unserem Land ist die Vertraulichkeit. Doch die praktische Umsetzung von Maßnahmen zur Gewährleistung der Vertraulichkeit moderner Informationssysteme stößt in Russland auf große Schwierigkeiten. Erstens sind Informationen über technische Kanäle des Informationslecks gesperrt, sodass die meisten Benutzer sich keine Vorstellung von den potenziellen Risiken machen können. Zweitens gibt es zahlreiche gesetzgeberische Hindernisse und technische Herausforderungen, die der benutzerdefinierten Kryptografie als primäres Mittel zur Gewährleistung der Privatsphäre im Wege stehen. Aktionen, die einem Informationssystem Schaden zufügen können, können in mehrere Kategorien unterteilt werden. gezielter Diebstahl oder Zerstörung von Daten auf einem Arbeitsplatzrechner oder Server; Schäden an Daten durch den Nutzer durch unvorsichtiges Handeln. . „Elektronische“ Einflussmethoden von Hackern. Unter Hackern versteht man Personen, die sowohl beruflich (auch im Wettbewerb) als auch einfach aus Neugierde Computerkriminalität begehen. Zu diesen Methoden gehören: unbefugter Zugriff auf Computernetzwerke; Der Zweck des unbefugten Eindringens in ein Unternehmensnetzwerk von außen kann darin bestehen, Schaden anzurichten (Zerstörung von Daten), vertrauliche Informationen zu stehlen und für illegale Zwecke zu verwenden, die Netzwerkinfrastruktur zu nutzen, um Angriffe auf Knoten Dritter zu organisieren, Gelder von Konten zu stehlen , usw. Ein DOS-Angriff (abgekürzt Denial of Service) ist ein externer Angriff auf Netzwerkknoten des Unternehmens, die für dessen sicheren und effizienten Betrieb verantwortlich sind (Datei- und Mailserver). Angreifer organisieren den massiven Versand von Datenpaketen an diese Knoten, um diese zu überlasten und dadurch für einige Zeit außer Betrieb zu setzen. Dies führt in der Regel zu Störungen in den Geschäftsabläufen des betroffenen Unternehmens, zum Verlust von Kunden, zu Reputationsschäden usw. Computer Virus. Eine eigene Kategorie elektronischer Einflussmöglichkeiten sind Computerviren und andere Schadprogramme. Sie stellen eine echte Gefahr für moderne Unternehmen dar, die in großem Umfang Computernetzwerke, das Internet und E-Mail nutzen. Das Eindringen eines Virus in Unternehmensnetzwerkknoten kann zu Funktionsstörungen, Arbeitszeitverlust, Datenverlust, Diebstahl vertraulicher Informationen und sogar direktem Diebstahl finanzieller Ressourcen führen. Ein in ein Unternehmensnetzwerk eingedrungenes Virenprogramm kann Angreifern eine teilweise oder vollständige Kontrolle über die Aktivitäten des Unternehmens verschaffen. Spam. In nur wenigen Jahren hat sich Spam von einem kleinen Ärgernis zu einer der größten Sicherheitsbedrohungen entwickelt: E-Mail ist in letzter Zeit zum Hauptkanal für die Verbreitung von Malware geworden; Spam nimmt viel Zeit in Anspruch, um Nachrichten anzuzeigen und anschließend zu löschen, was bei den Mitarbeitern ein Gefühl psychischen Unbehagens hervorruft; Sowohl Einzelpersonen als auch Organisationen werden Opfer betrügerischer Machenschaften von Spammern (Opfer versuchen oft, solche Vorfälle geheim zu halten); Wichtige Korrespondenz wird häufig zusammen mit Spam gelöscht, was zum Verlust von Kunden, Vertragsabbrüchen und anderen unangenehmen Folgen führen kann. Die Gefahr, Korrespondenz zu verlieren, steigt insbesondere bei der Verwendung von RBL-Blacklists und anderen „rohen“ Spam-Filtermethoden. „Natürliche“ Bedrohungen. Die Informationssicherheit eines Unternehmens kann durch eine Vielzahl externer Faktoren beeinträchtigt werden: Datenverlust kann durch unsachgemäße Speicherung, Diebstahl von Computern und Medien, höhere Gewalt usw. verursacht werden. Mit einem Informa(ISMS oder Information Security Management System) können Sie eine Reihe von Maßnahmen verwalten, die eine bestimmte beabsichtigte Strategie umsetzen, in diesem Fall in Bezug auf die Informationssicherheit. Beachten Sie, dass es hier nicht nur um die Verwaltung eines bestehenden Systems geht, sondern auch um den Aufbau eines neuen bzw. die Neugestaltung eines alten. Das Maßnahmenpaket umfasst organisatorische, technische, physische und andere. Iist ein komplexer Prozess, der es ermöglicht, ein möglichst effektives und umfassendes Iin einem Unternehmen umzusetzen. Ziel des Inist die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die einzige Frage ist, welche Art von Informationen geschützt werden müssen und welche Anstrengungen unternommen werden sollten, um ihre Sicherheit zu gewährleisten. Jedes Management basiert auf dem Bewusstsein für die Situation, in der es auftritt. Im Sinne der Risikoanalyse drückt sich das Bewusstsein für die Situation in der Bestandsaufnahme und Bewertung der Vermögenswerte der Organisation und ihres Umfelds aus, also alles, was die Durchführung der Geschäftstätigkeit gewährleistet. Aus Sicht der Infozählen zu den wichtigsten Vermögenswerten Informationen, Infrastruktur, Personal, Image und Ruf des Unternehmens. Ohne eine Bestandsaufnahme der Vermögenswerte auf der Ebene der Geschäftstätigkeit lässt sich die Frage, was genau geschützt werden muss, nicht beantworten. Es ist wichtig zu verstehen, welche Informationen innerhalb einer Organisation verarbeitet werden und wo sie verarbeitet werden. In einer großen modernen Organisation kann die Anzahl der Informationsbestände sehr groß sein. Wenn die Aktivitäten einer Organisation mithilfe eines ERP-Systems automatisiert werden, können wir sagen, dass fast jedes in dieser Aktivität verwendete materielle Objekt einer Art Informationsobjekt entspricht. Daher besteht die Hauptaufgabe des Risikomanagements darin, die bedeutendsten Vermögenswerte zu identifizieren. Es ist unmöglich, dieses Problem ohne die Einbeziehung von Managern der Hauptaktivität der Organisation, sowohl der mittleren als auch der oberen Ebene, zu lösen. Die optimale Situation liegt vor, wenn das Top-Management der Organisation persönlich die kritischsten Tätigkeitsbereiche festlegt, für die die Gewährleistung der Informationssicherheit äußerst wichtig ist. Die Meinung der Geschäftsleitung zu den Prioritäten bei der Gewährleistung der Informationssicherheit ist im Risikoanalyseprozess sehr wichtig und wertvoll, sollte aber in jedem Fall durch das Sammeln von Informationen über die Kritikalität von Vermögenswerten auf der durchschnittlichen Ebene der Unternehmensführung geklärt werden. Gleichzeitig empfiehlt es sich, eine weitere Analyse genau in den vom Top-Management benannten Geschäftsfeldern durchzuführen. Die erhaltenen Informationen werden verarbeitet, aggregiert und zur umfassenden Beurteilung der Situation an die Geschäftsleitung übermittelt. Informationen können anhand einer Beschreibung von Geschäftsprozessen identifiziert und lokalisiert werden, in denen Informationen als eine der Arten von Ressourcen betrachtet werden. Die Aufgabe wird etwas vereinfacht, wenn die Organisation einen Ansatz zur Regulierung der Geschäftsaktivitäten verfolgt (z. B. zum Zwecke des Qualitätsmanagements und der Optimierung von Geschäftsprozessen). Formalisierte Beschreibungen von Geschäftsprozessen sind ein guter Ausgangspunkt für die Vermögensinventur. Wenn keine Beschreibungen vorhanden sind, können Sie Vermögenswerte anhand der von den Mitarbeitern der Organisation erhaltenen Informationen identifizieren. Sobald Vermögenswerte identifiziert wurden, muss ihr Wert bestimmt werden. Die Bestimmung des Werts von Informationsbeständen im gesamten Unternehmen ist sowohl die bedeutendste als auch die komplexeste Aufgabe. Es ist die Bewertung der Informationsressourcen, die es dem Leiter der Informationssicherheitsabteilung ermöglicht, die Haupttätigkeitsbereiche zur Gewährleistung der Informationssicherheit auszuwählen. Die Wirtschaftlichkeit des Informatiohängt jedoch maßgeblich vom Bewusstsein darüber ab, was geschützt werden muss und welche Anstrengungen dafür erforderlich sind, da der Aufwand in den meisten Fällen direkt proportional zu den ausgegebenen Geldern und Betriebskosten ist. Mit dem Risikomanagement können Sie die Frage beantworten, wo Sie Risiken eingehen können und wo nicht. Im Fall der Informationssicherheit bedeutet der Begriff „Risiko“, dass es in einem bestimmten Bereich möglich ist, keine nennenswerten Anstrengungen zum Schutz von Informationsressourcen zu unternehmen, und dass gleichzeitig im Falle einer Sicherheitsverletzung die Organisation keinen Schaden erleidet erhebliche Verluste. Hier lässt sich eine Analogie zu den Schutzklassen automatisierter Systeme ziehen: Je größer die Risiken, desto strenger sollten die Schutzanforderungen sein. Um die Folgen einer Sicherheitsverletzung zu ermitteln, müssen Sie entweder über Informationen zu aufgezeichneten Vorfällen ähnlicher Art verfügen oder eine Szenarioanalyse durchführen. Die Szenarioanalyse untersucht die Ursache-Wirkungs-Beziehungen zwischen Asset-Sicherheitsereignissen und den Folgen dieser Ereignisse für die Geschäftsaktivitäten der Organisation. Die Folgen von Szenarien sollten von mehreren Personen iterativ oder deliberativ abgeschätzt werden. Es ist zu beachten, dass die Entwicklung und Bewertung solcher Szenarien nicht völlig von der Realität losgelöst werden kann. Sie müssen immer daran denken, dass das Szenario wahrscheinlich sein muss. Die Kriterien und Maßstäbe zur Wertermittlung sind für jede Organisation individuell. Basierend auf den Ergebnissen der Szenarioanalyse können Informationen über den Wert von Vermögenswerten gewonnen werden. Wenn Vermögenswerte identifiziert und ihr Wert bestimmt werden, können wir sagen, dass die Ziele der Informationssicherheit teilweise festgelegt sind: Die Schutzgegenstände und die Bedeutung ihrer Aufrechterhaltung in einem Zustand der Informationssicherheit für die Organisation werden bestimmt. Vielleicht bleibt nur noch die Frage, vor wem man sich schützen muss. Nachdem Sie die Ziele des Infestgelegt haben, sollten Sie die Probleme analysieren, die Sie daran hindern, den Zielzustand zu erreichen. Auf dieser Ebene geht der Risikoanalyseprozess auf die Informationsinfrastruktur und traditionelle Informationssicherheitskonzepte zurück – Eindringlinge, Bedrohungen und Schwachstellen. Um Risiken einzuschätzen, reicht es nicht aus, ein Standard-Verletzermodell einzuführen, das alle Verstöße nach der Art des Zugriffs auf den Vermögenswert und der Kenntnis der Vermögensstruktur aufteilt. Diese Unterteilung hilft bei der Feststellung, welche Bedrohungen gegen einen Vermögenswert gerichtet sein können, beantwortet jedoch nicht die Frage, ob diese Bedrohungen grundsätzlich realisierbar sind. Im Rahmen der Risikoanalyse ist es notwendig, die Motivation der Täter bei der Umsetzung von Drohungen zu beurteilen. In diesem Fall ist unter dem Täter kein abstrakter externer Hacker oder Insider zu verstehen, sondern eine Partei, die daran interessiert ist, sich durch die Verletzung der Sicherheit eines Vermögenswerts Vorteile zu verschaffen. Es ist ratsam, erste Informationen über das Modell des Täters, wie im Fall der Wahl der ersten Richtungen der Informationssicherheitsaktivitäten, vom Top-Management einzuholen, das die Position der Organisation auf dem Markt versteht, Informationen über Wettbewerber hat und welche Methoden der Einflussnahme möglich sind von ihnen erwartet. Die für die Entwicklung eines Eindringlingsmodells erforderlichen Informationen können auch aus spezialisierten Untersuchungen zu Computersicherheitsverletzungen in dem Geschäftsbereich gewonnen werden, für den die Risikoanalyse durchgeführt wird. Ein ordnungsgemäß entwickeltes Eindringlingsmodell ergänzt die Informationssicherheitsziele, die bei der Bewertung der Vermögenswerte der Organisation festgelegt werden. Die Entwicklung eines Bedrohungsmodells und die Identifizierung von Schwachstellen sind untrennbar mit einer Bestandsaufnahme der Umgebung der Informationsressourcen der Organisation verbunden. Die Informationen selbst werden nicht gespeichert oder verarbeitet. Der Zugriff darauf erfolgt über eine Informationsinfrastruktur, die die Geschäftsprozesse der Organisation automatisiert. Es ist wichtig zu verstehen, wie die Informationsinfrastruktur und die Informationsressourcen einer Organisation miteinander zusammenhängen. Aus Sicht des Inkann die Bedeutung der Informationsinfrastruktur erst festgestellt werden, nachdem die Beziehung zwischen Informationsressourcen und Infrastruktur ermittelt wurde. Wenn die Prozesse zur Wartung und zum Betrieb der Informationsinfrastruktur in einer Organisation reguliert und transparent sind, wird die Sammlung von Informationen, die zur Erkennung von Bedrohungen und zur Bewertung von Schwachstellen erforderlich sind, erheblich vereinfacht. Die Entwicklung eines Bedrohungsmodells ist eine Aufgabe für Informationssicherheitsexperten, die gut verstehen, wie ein Angreifer unbefugten Zugriff auf Informationen erhalten kann, indem er den Sicherheitsbereich durchbricht oder Social-Engineering-Methoden einsetzt. Bei der Entwicklung eines Bedrohungsmodells kann man Szenarien auch als aufeinanderfolgende Schritte bezeichnen, nach denen Bedrohungen realisiert werden können. Es kommt sehr selten vor, dass Bedrohungen in einem Schritt umgesetzt werden, indem eine einzelne Schwachstelle im System ausgenutzt wird. Das Bedrohungsmodell sollte alle Bedrohungen umfassen, die durch zugehörige Informatiwie Schwachstellen- und Vorfallmanagement identifiziert wurden. Es muss berücksichtigt werden, dass Bedrohungen entsprechend der Wahrscheinlichkeit ihrer Umsetzung relativ zueinander eingestuft werden müssen. Dazu ist es bei der Entwicklung eines Bedrohungsmodells für jede Bedrohung erforderlich, die wichtigsten Faktoren anzugeben, deren Existenz die Umsetzung beeinflusst. Die Sicherheitsrichtlinie basiert auf einer Analyse der Risiken, die für das Informationssystem der Organisation als real erkannt werden. Nachdem die Risiken analysiert und die Schutzstrategie festgelegt wurde, wird ein Informationssicherheitsprogramm erstellt. Für dieses Programm werden Ressourcen bereitgestellt, Verantwortliche ernannt, das Verfahren zur Überwachung der Umsetzung des Programms festgelegt usw. Im weitesten Sinne wird Sicherheitspolitik als ein System dokumentierter Managemententscheidungen definiert, um die Sicherheit einer Organisation zu gewährleisten. Im engeren Sinne wird unter einer Sicherheitsrichtlinie meist ein lokales Regulierungsdokument verstanden, das Sicherheitsanforderungen, ein Maßnahmensystem oder ein Verfahren sowie die Verantwortlichkeiten der Mitarbeiter der Organisation und Kontrollmechanismen für einen bestimmten Sicherheitsbereich festlegt. Bevor wir mit der Formulierung der Iselbst beginnen, ist es notwendig, die Grundkonzepte zu verstehen, mit denen wir arbeiten werden. Informationen – Informationen (Nachrichten, Daten) unabhängig von der Form ihrer Darstellung. Die Vertraulichkeit von Informationen ist eine zwingende Voraussetzung dafür, dass eine Person, die Zugang zu bestimmten Informationen erhalten hat, diese Informationen nicht ohne Zustimmung ihres Eigentümers an Dritte weitergibt. Informationssicherheit (IS) ist der Sicherheitszustand der Informationsumgebung der Gesellschaft, der deren Bildung, Nutzung und Entwicklung im Interesse von Bürgern, Organisationen und Staaten gewährleistet. Der Begriff „Information“ wird heute recht weit verbreitet und vielseitig verwendet. Die Gewährleistung der Informationssicherheit darf kein einmaliger Akt sein. Dies ist ein kontinuierlicher Prozess, der aus der Begründung und Umsetzung der rationalsten Methoden, Methoden und Wege zur Verbesserung und Entwicklung des Sicherheitssystems, der kontinuierlichen Überwachung seines Zustands und der Identifizierung seiner Schwächen und illegalen Handlungen besteht. Die Informationssicherheit kann nur durch den integrierten Einsatz des gesamten Spektrums verfügbarer Sicherheitsmittel in allen Strukturelementen des Produktionssystems und in allen Phasen des technologischen Zyklus der Informationsverarbeitung gewährleistet werden. Die größte Wirkung wird erzielt, wenn alle eingesetzten Mittel, Methoden und Maßnahmen in einem einzigen integralen Mechanismus zusammengefasst werden – einem Informationssicherheitssystem. Gleichzeitig muss die Funktionsfähigkeit des Systems abhängig von Änderungen der äußeren und inneren Bedingungen überwacht, aktualisiert und ergänzt werden. Gemäß der Norm GOST R ISO/IEC 15408:2005 können folgende Arten von Sicherheitsanforderungen unterschieden werden: funktional, entsprechend dem aktiven Aspekt des Schutzes, Anforderungen an Sicherheitsfunktionen und die Mechanismen, die sie umsetzen; Vertrauensanforderungen, die dem passiven Aspekt entsprechen, der der Technologie sowie dem Entwicklungs- und Betriebsprozess auferlegt wird. Es ist sehr wichtig, dass Sicherheit in dieser Norm nicht statisch betrachtet wird, sondern in Bezug auf den Lebenszyklus des zu bewertenden Objekts. Folgende Stufen werden unterschieden: Festlegung von Zweck, Einsatzbedingungen, Zielen und Sicherheitsanforderungen; Design und Entwicklung; Prüfung, Bewertung und Zertifizierung; Implementierung und Betrieb. Schauen wir uns also die funktionalen Sicherheitsanforderungen genauer an. Sie beinhalten: Schutz der Nutzerdaten; Schutz von Sicherheitsfunktionen (Anforderungen beziehen sich auf die Integrität und Kontrolle dieser Sicherheitsdienste und der Mechanismen, die sie umsetzen); Sicherheitsmanagement (die Anforderungen dieser Klasse beziehen sich auf die Verwaltung von Sicherheitsattributen und -parametern); Sicherheitsaudit (Identifizierung, Registrierung, Speicherung, Analyse von Daten, die die Sicherheit des zu bewertenden Objekts beeinträchtigen, Reaktion auf eine mögliche Sicherheitsverletzung); Privatsphäre (Schutz des Benutzers vor Offenlegung und unbefugter Nutzung seiner Identifikationsdaten); Ressourceneinsatz (Anforderungen an die Informationsverfügbarkeit); Kommunikation (Authentifizierung der am Datenaustausch beteiligten Parteien); vertrauenswürdige Route/Kanal (zur Kommunikation mit Sicherheitsdiensten). In Übereinstimmung mit diesen Anforderungen ist es notwendig, das Informationssicherheitssystem einer Organisation zu formulieren. Das Informationssicherheitssystem der Organisation umfasst die folgenden Bereiche: regulatorisch; organisatorisch (administrativ); technisch; Software; Um die Situation in einem Unternehmen in allen Sicherheitsbereichen vollständig beurteilen zu können, ist es notwendig, ein Informationssicherheitskonzept zu entwickeln, das eine systematische Herangehensweise an das Problem der Sicherheit von Informationsressourcen festlegt und eine systematische Darlegung von Zielen, Zielsetzungen, Gestaltungsprinzipien usw. darstellt eine Reihe von Maßnahmen zur Gewährleistung der Informationssicherheit in einem Unternehmen. Das Untesollte auf folgenden Grundsätzen (Aufgaben) basieren: Gewährleistung des Schutzes der bestehenden Informationsinfrastruktur des Unternehmens vor Eindringlingen; Bereitstellung von Bedingungen zur Lokalisierung und Minimierung möglicher Schäden; Beseitigung des Auftretens von Bedrohungsquellen im Anfangsstadium; Gewährleistung des Schutzes von Informationen vor drei Haupttypen neu auftretender Bedrohungen (Verfügbarkeit, Integrität, Vertraulichkeit); Die Lösung der oben genannten Probleme wird erreicht durch: Regulierung von Benutzeraktionen bei der Arbeit mit dem Informationssystem; Regulierung von Benutzeraktionen beim Arbeiten mit der Datenbank; einheitliche Anforderungen an die Zuverlässigkeit von Hard- und Software; Verfahren zur Überwachung des Betriebs des Informationssystems (Protokollierung von Ereignissen, Analyse von Protokollen, Analyse des Netzwerkverkehrs, Analyse des Betriebs technischer Geräte); Die Iumfasst: Das Hauptdokument ist die „Sicherheitsrichtlinie“. Es beschreibt im Allgemeinen die Sicherheitsrichtlinie und allgemeine Bestimmungen der Organisation und gibt außerdem die relevanten Dokumente für alle Aspekte der Richtlinie an. Anweisungen zur Regulierung der Arbeit der Benutzer; Stellenbeschreibung für lokalen Netzwerkadministrator; Stellenbeschreibung des Datenbankadministrators; Anweisungen zum Arbeiten mit Internetressourcen; Anleitung zur Organisation des Passwortschutzes; Anweisungen zum Organisieren des Virenschutzes. Das Sicherheitsrichtliniendokument enthält die wichtigsten Bestimmungen. Darauf aufbauend wird ein Informationssicherheitsprogramm erstellt, Stellenbeschreibungen und Empfehlungen erstellt. Anweisungen zur Regulierung der Arbeit von Benutzern des lokalen Netzwerks einer Organisation regeln das Verfahren, um Benutzern die Arbeit im lokalen Computernetzwerk der Organisation zu ermöglichen, sowie die Regeln für den Umgang mit geschützten Informationen, die in der Organisation verarbeitet, gespeichert und übertragen werden. Die Stellenbeschreibung eines lokalen Netzwerkadministrators beschreibt die Verantwortlichkeiten eines lokalen Netzwerkadministrators in Bezug auf Informationssicherheit. Die Stellenbeschreibung eines Datenbankadministrators definiert die wesentlichen Verantwortlichkeiten, Funktionen und Rechte eines Datenbankadministrators. Es beschreibt ausführlich alle Aufgaben und Funktionen eines Datenbankadministrators sowie Rechte und Pflichten. Anweisungen zum Arbeiten mit Internetressourcen spiegeln die Grundregeln für sicheres Arbeiten mit dem Internet wider und enthalten außerdem eine Liste akzeptabler und inakzeptabler Maßnahmen beim Arbeiten mit Internetressourcen. Die Anleitung zur Organisation des Virenschutzes legt die grundlegenden Bestimmungen, Anforderungen für die Organisation des Virenschutzes des Informationssystems einer Organisation, alle Aspekte im Zusammenhang mit dem Betrieb von Antivirensoftware sowie die Verantwortung im Falle eines Verstoßes gegen Antiviren fest -Virus Schutz. Die Anleitung zur Organisation des Passwortschutzes regelt die organisatorische und technische Unterstützung der Prozesse zur Generierung, Änderung und Aufhebung von Passwörtern (Löschung von Benutzerkonten). Auch das Verhalten von Benutzern und Wartungspersonal bei der Arbeit mit der Anlage wird geregelt. Grundlage für die Organisation des Informationsschutzprozesses ist daher die Sicherheitsrichtlinie, die formuliert wird, um zu bestimmen, vor welchen Bedrohungen und wie die Informationen im Informationssystem geschützt werden. Unter Sicherheitspolitik versteht man eine Reihe rechtlicher, organisatorischer und technischer Maßnahmen zum Schutz von Informationen, die in einer bestimmten Organisation ergriffen werden. Das heißt, die Sicherheitsrichtlinie enthält viele Bedingungen, unter denen Benutzer Zugriff auf Systemressourcen erhalten, ohne die Infodieses Systems zu verlieren. Das Problem der Gewährleistung der Informationssicherheit muss systematisch gelöst werden. Das bedeutet, dass verschiedene Schutzmaßnahmen (Hardware, Software, physisch, organisatorisch usw.) gleichzeitig und unter zentraler Kontrolle angewendet werden müssen. Heutzutage gibt es ein großes Arsenal an Methoden zur Gewährleistung der Informationssicherheit: Mittel zur Identifizierung und Authentifizierung von Benutzern; Mittel zur Verschlüsselung von auf Computern gespeicherten und über Netzwerke übertragenen Informationen; Firewalls; virtuelle private Netzwerke; Tools zur Inhaltsfilterung; Tools zur Überprüfung der Integrität von Festplatteninhalten; Antiviren-Schutztools; Systeme zur Erkennung von Netzwerkschwachstellen und Netzwerkangriffsanalysatoren. Jedes der aufgeführten Tools kann entweder unabhängig oder in Integration mit anderen verwendet werden. Dies ermöglicht die Erstellung von Informationssicherheitssystemen für Netzwerke beliebiger Komplexität und Konfiguration, unabhängig von den verwendeten Plattformen. System zur Authentifizierung (oder Identifizierung), Autorisierung und Verwaltung. Identifizierung und Autorisierung sind Schlüsselelemente der Informationssicherheit. Die Autorisierungsfunktion ist dafür verantwortlich, auf welche Ressourcen ein bestimmter Benutzer Zugriff hat. Die Verwaltungsfunktion besteht darin, dem Benutzer bestimmte Identifikationsmerkmale innerhalb eines bestimmten Netzwerks bereitzustellen und den für ihn zulässigen Handlungsspielraum festzulegen. Verschlüsselungssysteme ermöglichen es, Verluste bei unbefugtem Zugriff auf auf einer Festplatte oder anderen Medien gespeicherte Daten sowie das Abfangen von Informationen beim Versand per E-Mail oder bei der Übertragung über Netzwerkprotokolle zu minimieren. Der Zweck dieses Schutztools besteht darin, die Vertraulichkeit zu gewährleisten. Die Hauptanforderungen an Verschlüsselungssysteme sind ein hohes Maß an kryptografischer Stärke und die Rechtmäßigkeit der Nutzung auf dem Territorium Russlands (oder anderer Staaten). Eine Firewall ist ein System oder eine Kombination von Systemen, die eine Schutzbarriere zwischen zwei oder mehr Netzwerken bildet, um zu verhindern, dass unbefugte Datenpakete in das Netzwerk gelangen oder es verlassen. Das grundlegende Funktionsprinzip von Firewalls besteht darin, jedes Datenpaket auf Übereinstimmung der ein- und ausgehenden IP-Adressen mit einer Datenbank zulässiger Adressen zu überprüfen. Somit erweitern Firewalls die Möglichkeiten zur Segmentierung von Informationsnetzwerken und zur Kontrolle der Datenzirkulation erheblich. Wenn wir über Kryptografie und Firewalls sprechen, sollten wir sichere virtuelle private Netzwerke (VPN) erwähnen. Ihr Einsatz ermöglicht die Lösung von Problemen der Vertraulichkeit und Integrität von Daten bei der Übertragung über offene Kommunikationskanäle. Die Verwendung eines VPN kann auf die Lösung von drei Hauptproblemen reduziert werden: Schutz des Informationsflusses zwischen verschiedenen Büros des Unternehmens (Informationen werden nur beim Ausgang zum externen Netzwerk verschlüsselt); sicherer Zugriff von Remote-Netzwerkbenutzern auf die Informationsressourcen des Unternehmens, normalerweise über das Internet; Schutz des Informationsflusses zwischen einzelnen Anwendungen innerhalb von Unternehmensnetzwerken (dieser Aspekt ist auch sehr wichtig, da die meisten Angriffe aus internen Netzwerken erfolgen). Ein wirksames Mittel zum Schutz vor dem Verlust vertraulicher Informationen ist die Filterung der Inhalte ein- und ausgehender E-Mails. Die Überprüfung der E-Mail-Nachrichten selbst und ihrer Anhänge anhand der von der Organisation festgelegten Regeln trägt außerdem dazu bei, Unternehmen vor Haftungsansprüchen in Rechtsstreitigkeiten zu schützen und ihre Mitarbeiter vor Spam zu schützen. Mithilfe von Inhaltsfilterungstools können Sie Dateien in allen gängigen Formaten scannen, einschließlich komprimierter Dateien und Grafikdateien. Gleichzeitig bleibt der Netzwerkdurchsatz nahezu unverändert. Alle Änderungen auf einer Workstation oder einem Server können dank der Technologie zur Überprüfung der Integrität des Festplatteninhalts (Integritätsprüfung) vom Netzwerkadministrator oder einem anderen autorisierten Benutzer überwacht werden. Dadurch können Sie alle Aktionen mit Dateien (Ändern, Löschen oder einfaches Öffnen) erkennen und Virenaktivitäten, unbefugten Zugriff oder Datendiebstahl durch autorisierte Benutzer identifizieren. Die Steuerung erfolgt auf Basis der Analyse von Dateiprüfsummen (CRC-Summen). Moderne Antiviren-Technologien ermöglichen die Identifizierung nahezu aller bereits bekannten Virenprogramme, indem sie den Code einer verdächtigen Datei mit in der Antiviren-Datenbank gespeicherten Mustern vergleichen. Darüber hinaus wurden Verentwickelt, die es ermöglichen, neu erstellte Virenprogramme zu erkennen. Erkannte Objekte können behandelt, isoliert (quarantäniert) oder gelöscht werden. Der Virenschutz kann auf Workstations, Datei- und Mailservern sowie Firewalls unter nahezu jedem gängigen Betriebssystem (Windows-, Unix- und Linux-Systeme, Novell) auf verschiedenen Prozessortypen installiert werden. Spam-Filter reduzieren die unproduktiven Arbeitskosten, die mit der Analyse von Spam verbunden sind, erheblich, verringern den Datenverkehr und die Serverlast, verbessern den psychologischen Hintergrund im Team und verringern das Risiko, dass Mitarbeiter des Unternehmens in betrügerische Transaktionen verwickelt werden. Darüber hinaus reduzieren Spam-Filter das Risiko einer Ansteckung mit neuen Viren, da Nachrichten, die Viren enthalten (auch solche, die noch nicht in den Datenbanken von Antivirenprogrammen enthalten sind), häufig Anzeichen von Spam aufweisen und ausgefiltert werden. Zwar kann der positive Effekt der Spam-Filterung zunichte gemacht werden, wenn der Filter neben Junk-Nachrichten auch nützliche geschäftliche oder private Nachrichten entfernt oder als Spam markiert. Der enorme Schaden, der Unternehmen durch Viren und Hackerangriffe entsteht, ist zu einem großen Teil eine Folge von Schwachstellen der eingesetzten Software. Mithilfe von Computernetzwerk-Schwachstellenerkennungssystemen und Netzwerkangriffsanalysatoren können sie im Voraus identifiziert werden, ohne auf einen echten Angriff warten zu müssen. Eine solche Software simuliert sicher gängige Angriffs- und Einbruchsmethoden und ermittelt, was ein Hacker im Netzwerk sehen und wie er dessen Ressourcen ausnutzen kann. Um natürlichen Bedrohungen der Informationssicherheit entgegenzuwirken, muss das Unternehmen eine Reihe von Verfahren entwickeln und implementieren, um Notfallsituationen zu verhindern (z. B. um den physischen Schutz von Daten vor Feuer zu gewährleisten) und den Schaden zu minimieren, wenn eine solche Situation eintritt. Eine der wichtigsten Methoden zum Schutz vor Datenverlust ist die Sicherung unter strikter Einhaltung festgelegter Verfahren (Regelmäßigkeit, Medientypen, Methoden zum Speichern von Kopien usw.). Die Iist ein Paket von Dokumenten, die die Arbeit der Mitarbeiter regeln und die Grundregeln für die Arbeit mit Informationen, Informationssystemen, Datenbanken, lokalen Netzwerken und Internetressourcen beschreiben. Es ist wichtig zu verstehen, welchen Platz die Iim gesamten Managementsystem einer Organisation einnimmt. Im Folgenden finden Sie allgemeine organisatorische Maßnahmen im Zusammenhang mit Sicherheitsrichtlinien. Auf verfahrenstechnischer Ebene lassen sich folgende Maßnahmenklassen unterscheiden: Personalmanagement; physischer Schutz; Aufrechterhaltung der Leistung; Reaktion auf Sicherheitsverstöße; Planung von Restaurierungsarbeiten. Das Personalmanagement beginnt mit der Einstellung, aber schon vorher sollten Sie die mit der Stelle verbundenen Computerrechte festlegen. Es sind zwei allgemeine Grundsätze zu beachten: Aufgabentrennung; Minimierung von Privilegien. Das Prinzip der Funktionstrennung schreibt vor, wie Rollen und Verantwortlichkeiten so verteilt werden, dass eine Person einen für die Organisation kritischen Prozess nicht stören kann. Beispielsweise ist es unerwünscht, dass eine Person im Namen einer Organisation große Zahlungen leistet. Es ist sicherer, einen Mitarbeiter mit der Bearbeitung von Anträgen auf solche Zahlungen zu beauftragen und einen anderen mit der Beglaubigung dieser Anträge. Ein weiteres Beispiel sind Verfahrensbeschränkungen für Superuser-Aktionen. Sie können das Superuser-Passwort künstlich „aufteilen“, indem Sie den ersten Teil mit einem Mitarbeiter und den zweiten Teil mit einem anderen teilen. Dann können sie entscheidende Aktionen zur Verwaltung des Informationssystems nur gemeinsam durchführen, was die Wahrscheinlichkeit von Fehlern und Missbrauch verringert. Das Prinzip der geringsten Rechte verlangt, dass Benutzern nur die Zugriffsrechte gewährt werden, die sie zur Erfüllung ihrer beruflichen Aufgaben benötigen. Der Zweck dieses Prinzips liegt auf der Hand: Schäden durch versehentliches oder vorsätzliches Fehlverhalten zu reduzieren. Durch die vorläufige Erstellung einer Stellenbeschreibung können Sie deren Kritikalität einschätzen und das Verfahren zur Überprüfung und Auswahl von Kandidaten planen. Je verantwortungsvoller die Position, desto sorgfältiger müssen Sie die Kandidaten prüfen: Erkundigen Sie sich nach ihnen, sprechen Sie vielleicht mit ehemaligen Kollegen usw. Ein solches Verfahren kann langwierig und teuer sein, daher macht es keinen Sinn, es noch weiter zu komplizieren. Gleichzeitig ist es unvernünftig, eine Voruntersuchung komplett zu verweigern, um nicht versehentlich jemanden einzustellen, der vorbestraft oder psychisch krank ist. Sobald ein Kandidat identifiziert wurde, muss er oder sie wahrscheinlich eine Schulung absolvieren; Zumindest sollte er gründlich mit den beruflichen Verantwortlichkeiten sowie den Vorschriften und Verfahren zur Informationssicherheit vertraut sein. Es ist ratsam, dass er die Sicherheitsmaßnahmen versteht, bevor er sein Amt antritt und bevor er sein Systemkonto mit Login-Namen, Passwort und Berechtigungen einrichtet. Die Sicherheit eines Informationssystems hängt von der Umgebung ab, in der es betrieben wird. Es müssen Maßnahmen zum Schutz von Gebäuden und umliegenden Gebieten sowie der unterstützenden Infrastruktur, Computerausrüstung und Speichermedien ergriffen werden. Betrachten wir die folgenden Bereiche des physischen Schutzes: physische Zugangskontrolle; Schutz der unterstützenden Infrastruktur; Schutz mobiler Systeme. Mithilfe von Maßnahmen zur physischen Zugangskontrolle können Sie den Ein- und Ausgang von Mitarbeitern und Besuchern kontrollieren und gegebenenfalls einschränken. Das gesamte Gebäude einer Organisation kann gesteuert werden, aber auch einzelne Räume, beispielsweise solche, in denen sich Server, Kommunikationsgeräte usw. befinden. Zur unterstützenden Infrastruktur gehören Strom-, Wasser- und Wärmeversorgungssysteme, Klimaanlage und Kommunikation. Für sie gelten grundsätzlich die gleichen Integritäts- und Verfügbarkeitsanforderungen wie für Informationssysteme. Um die Integrität zu gewährleisten, muss die Ausrüstung vor Diebstahl und Beschädigung geschützt werden. Um die Verfügbarkeit aufrechtzuerhalten, sollten Sie Geräte mit der maximalen MTBF auswählen, kritische Komponenten duplizieren und immer Ersatzteile zur Hand haben. Generell sollte bei der Auswahl der physischen Schutzausrüstung eine Risikoanalyse durchgeführt werden. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность сбоев электропитания, стоимость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации usw.) Betrachten wir eine Reihe von Maßnahmen zur Aufrechterhaltung der Funktionalität von Informationssystemen. In diesem Bereich lauert die größte Gefahr. Unbeabsichtigte Fehler von Systemadministratoren und Benutzern können zu Leistungseinbußen führen, nämlich zu Geräteschäden, Zerstörung von Programmen und Daten. Dies ist das Worst-Case-Szenario. Im besten Fall schaffen sie Sicherheitslücken, die das Auftreten von Bedrohungen der Systemsicherheit ermöglichen. Das Hauptproblem vieler Organisationen ist die Unterschätzung von Sicherheitsfaktoren im Arbeitsalltag. Teure Sicherheitsfunktionen sind bedeutungslos, wenn sie schlecht dokumentiert sind, Konflikte mit anderer Software verursachen und das Systemadministratorkennwort seit der Installation nicht geändert wurde. Für die täglichen Aktivitäten zur Aufrechterhaltung der Funktionalität des Informationssystems lassen sich folgende Aktionen unterscheiden: Benutzer-Support; Software-Unterstützung; Konfigurationsmanagement; Sicherung; Medienmanagement; Dokumentation; Routinewartung. Unter Benutzerunterstützung versteht man in erster Linie Beratung und Unterstützung bei der Lösung verschiedener Arten von Problemen. Es ist sehr wichtig, in einer Reihe von Fragen Probleme im Zusammenhang mit der Informationssicherheit identifizieren zu können. Daher können viele Schwierigkeiten für Benutzer, die an PCs arbeiten, auf eine Virusinfektion zurückzuführen sein. Es empfiehlt sich, Benutzerfragen aufzuzeichnen, um häufige Fehler zu identifizieren und Erinnerungen mit Empfehlungen für häufige Situationen auszugeben. Software-Support ist eines der wichtigsten Mittel zur Gewährleistung der Informationsintegrität. Zunächst müssen Sie den Überblick darüber behalten, welche Software auf Ihren Computern installiert ist. Wenn Benutzer Programme nach eigenem Ermessen installieren, kann dies zu einer Infektion mit Viren sowie zur Entstehung von Dienstprogrammen führen, die Schutzmaßnahmen umgehen. Es ist auch wahrscheinlich, dass die „selbständigen Aktivitäten“ der Benutzer nach und nach zu Chaos auf ihren Computern führen und der Systemadministrator die Situation korrigieren muss. Der zweite Aspekt der Softwareunterstützung ist die Kontrolle darüber, dass keine unbefugten Änderungen an Programmen und Zugriffsrechten darauf vorgenommen werden. Dazu gehört auch die Unterstützung von Referenzkopien von Softwaresystemen. Die Kontrolle wird in der Regel durch eine Kombination aus physischen und logischen Zugriffskontrollen sowie den Einsatz von Verifizierungs- und Integritätsdienstprogrammen erreicht. Mit der Konfigurationsverwaltung können Sie Änderungen an der Softwarekonfiguration kontrollieren und aufzeichnen. Zunächst müssen Sie sich gegen versehentliche oder unüberlegte Änderungen absichern und zumindest zu einer früheren, funktionsfähigen Version zurückkehren können. Das Festschreiben von Änderungen erleichtert die Wiederherstellung der aktuellen Version nach einem Notfall. Der beste Weg, Fehler bei Routinearbeiten zu reduzieren, besteht darin, sie so weit wie möglich zu automatisieren. Automatisierung und Sicherheit bedingen einander, denn derjenige, dem es in erster Linie um die Erleichterung seiner Aufgabe geht, ist tatsächlich derjenige, der das Informationssicherheitsregime optimal gestaltet. Backups sind erforderlich, um Programme und Daten nach Katastrophen wiederherzustellen. Und hier ist es ratsam, die Arbeit zumindest durch die Erstellung eines Computerplans für die Erstellung vollständiger und inkrementeller Kopien und maximal durch den Einsatz geeigneter Softwareprodukte zu automatisieren. Es ist außerdem erforderlich, dafür zu sorgen, dass die Kopien an einem sicheren Ort aufbewahrt werden, der vor unbefugtem Zugriff, Feuer und Lecks geschützt ist, d. h. vor allem, was zu Diebstahl oder Beschädigung der Medien führen könnte. Um sich vor größeren Unfällen und ähnlichen Vorkommnissen zu schützen, empfiehlt es sich, mehrere Sicherungskopien anzulegen und einige davon extern aufzubewahren. Zu Testzwecken sollten Sie von Zeit zu Zeit die Möglichkeit prüfen, Informationen aus Kopien wiederherzustellen. Die Medienverwaltung ist notwendig, um die physische Sicherheit und Abrechnung von Disketten, Bändern, gedruckten Ausgaben usw. zu gewährleisten. Das Medienmanagement muss die Vertraulichkeit, Integrität und Verfügbarkeit der außerhalb von Computersystemen gespeicherten Informationen gewährleisten. Unter physischem Schutz versteht man hier nicht nur die Abwehr unbefugter Zugriffsversuche, sondern auch den Schutz vor schädlichen Umwelteinflüssen (Hitze, Kälte, Feuchtigkeit, Magnetismus). Das Medienmanagement muss den gesamten Lebenszyklus abdecken, von der Beschaffung bis zur Stilllegung. Dokumentation ist ein integraler Bestandteil der Informationssicherheit. Fast alles wird in Form von Dokumenten dokumentiert – von der Sicherheitsrichtlinie bis zum Medienprotokoll. Es ist wichtig, dass die Dokumentation aktuell ist und den aktuellen Stand der Dinge widerspiegelt, und zwar in konsistenter Weise. Für die Speicherung einiger Dokumente gelten Vertraulichkeitsanforderungen (z. B. eine Analyse von Systemschwachstellen und -bedrohungen), während andere, wie z. B. ein Notfallwiederherstellungsplan, Integritäts- und Verfügbarkeitsanforderungen unterliegen (in einer kritischen Situation muss der Plan). gefunden und gelesen werden). Routinearbeiten stellen ein sehr ernstes Sicherheitsrisiko dar. Ein Mitarbeiter, der routinemäßige Wartungsarbeiten durchführt, erhält exklusiven Zugriff auf das System, und in der Praxis ist es sehr schwierig, genau zu kontrollieren, welche Aktionen er durchführt. Hier kommt es auf das Vertrauen in die ausführenden Personen an. Die von der Organisation verabschiedete Sicherheitspolitik muss eine Reihe operativer Maßnahmen vorsehen, die darauf abzielen, Verstöße gegen das Informationssicherheitsregime zu erkennen und zu neutralisieren. In solchen Fällen ist es wichtig, dass die Abfolge der Maßnahmen im Voraus geplant wird, da Maßnahmen dringend und koordiniert ergriffen werden müssen. Die Reaktion auf Sicherheitsverletzungen hat drei Hauptziele: Lokalisierung des Vorfalls und Reduzierung des Schadens; Verhinderung wiederholter Verstöße. Oftmals kollidiert die Anforderung, einen Vorfall zu lokalisieren und den Schaden zu verringern, mit dem Wunsch, den Täter zu identifizieren. Die Sicherheitspolitik der Organisation muss frühzeitig priorisiert werden. Da es, wie die Praxis zeigt, sehr schwierig ist, einen Angreifer zu identifizieren, sollte unserer Meinung nach zunächst darauf geachtet werden, den Schaden zu reduzieren. Keine Organisation ist vor schweren Unfällen gefeit, die durch natürliche Ursachen, böswillige Handlungen, Fahrlässigkeit oder Inkompetenz verursacht werden. Gleichzeitig verfügt jede Organisation über Funktionen, die das Management als kritisch erachtet und die auf jeden Fall ausgeführt werden müssen. Durch die Planung von Sanierungsarbeiten können Sie sich auf Unfälle vorbereiten, Schäden reduzieren und die Funktionsfähigkeit zumindest in einem Mindestmaß erhalten. Beachten Sie, dass Informationssicherheitsmaßnahmen in drei Gruppen eingeteilt werden können, je nachdem, ob sie darauf abzielen, die Folgen von Angriffen zu verhindern, zu erkennen oder zu beseitigen. Die meisten Maßnahmen haben vorsorglichen Charakter. Der Sanierungsplanungsprozess kann in die folgenden Phasen unterteilt werden: Identifizierung kritischer Funktionen der Organisation, Festlegung von Prioritäten; Identifizierung der Ressourcen, die zur Ausführung kritischer Funktionen erforderlich sind; Ermittlung der Liste möglicher Unfälle; Entwicklung einer Sanierungsstrategie; Vorbereitung auf die Umsetzung der gewählten Strategie; Überprüfung der Strategie. Bei der Planung von Sanierungsarbeiten sollten Sie sich darüber im Klaren sein, dass es nicht immer möglich ist, die Funktionsfähigkeit der Organisation vollständig aufrechtzuerhalten. Es ist notwendig, kritische Funktionen zu identifizieren, ohne die die Organisation ihr Gesicht verliert, und sogar Prioritäten unter den kritischen Funktionen zu setzen, um die Arbeit nach einem Unfall so schnell wie möglich und mit minimalen Kosten wieder aufzunehmen. Bedenken Sie bei der Ermittlung der Ressourcen, die zur Ausführung kritischer Funktionen erforderlich sind, dass viele davon nicht computertechnischer Natur sind. In dieser Phase empfiehlt es sich, Spezialisten unterschiedlicher Profile in die Arbeit einzubeziehen. Daher gibt es eine Vielzahl unterschiedlicher Methoden zur Gewährleistung der Informationssicherheit. Am effektivsten ist es, alle diese Methoden in einem einzigen Komplex zu verwenden. Heutzutage ist der moderne Sicherheitsmarkt mit Informationssicherheitstools gesättigt. Viele Unternehmen prüfen ständig die Angebote des Sicherheitsmarktes und stellen fest, dass die zuvor in Informationssicherheitssysteme investierten Mittel beispielsweise aufgrund der Veralterung von Geräten und Software nicht mehr ausreichen. Deshalb suchen sie nach Lösungen für dieses Problem. Es kann zwei Möglichkeiten geben: Einerseits ein vollständiger Austausch des Unternehmensinformationsschutzsystems, der große Investitionen erfordern wird, und andererseits die Modernisierung bestehender Sicherheitssysteme. Die letzte Option zur Lösung dieses Problems ist die kostengünstigste, bringt aber auch neue Probleme mit sich, z. B. erfordert sie eine Antwort auf die folgenden Fragen: Wie kann die Kompatibilität alter, von vorhandener Hardware und Software übernommener Sicherheitstools und neuer Elemente sichergestellt werden? das Informationssicherheitssystem; wie kann eine zentrale Verwaltung heterogener Sicherheitstools bereitgestellt werden? wie man die Informationsrisiken des Unternehmens einschätzt und ggf. neu bewertet. Kapitel 2. Analyse des Informationssicherheitssystems 1 Tätigkeitsbereich des Unternehmens und Analyse der Finanzkennzahlen OJSC Gazprom ist ein globales Energieunternehmen. Die Haupttätigkeiten sind die geologische Erkundung, die Produktion, der Transport, die Lagerung, die Verarbeitung und der Verkauf von Gas, Gaskondensat und Öl sowie die Produktion und der Verkauf von Wärme und Strom. Gazprom sieht seine Mission in der zuverlässigen, effizienten und ausgewogenen Versorgung der Verbraucher mit Erdgas, anderen Arten von Energieressourcen und deren verarbeiteten Produkten. Gazprom verfügt über die größten Erdgasreserven der Welt. Sein Anteil an den weltweiten Gasreserven beträgt 18 %, in Russland 70 %. Auf Gazprom entfallen 15 % der weltweiten und 78 % der russischen Gasproduktion. Derzeit setzt das Unternehmen aktiv Großprojekte zur Erschließung von Gasressourcen auf der Jamal-Halbinsel, im arktischen Schelf, in Ostsibirien und im Fernen Osten sowie eine Reihe von Projekten zur Exploration und Produktion von Kohlenwasserstoffen im Ausland um. Gazprom ist ein zuverlässiger Gaslieferant für russische und ausländische Verbraucher. Das Unternehmen besitzt das weltweit größte Gastransportnetz – das Einheitliche Gasversorgungssystem Russlands, dessen Länge mehr als 161.000 km beträgt. Gazprom verkauft mehr als die Hälfte des Gases, das es auf dem Inlandsmarkt verkauft. Darüber hinaus beliefert das Unternehmen 30 Länder des nahen und fernen Auslands mit Gas. Gazprom ist Russlands einziger Produzent und Exporteur von Flüssigerdgas und liefert etwa 5 % der weltweiten LNG-Produktion. Das Unternehmen ist einer der fünf größten Ölproduzenten in der Russischen Föderation und außerdem der größte Eigentümer von Kraftwerksanlagen auf seinem Territorium. Ihre gesamte installierte Leistung beträgt 17 % der gesamten installierten Leistung des russischen Energiesystems. Das strategische Ziel besteht darin, OAO Gazprom durch die Erschließung neuer Märkte, die Diversifizierung der Aktivitäten und die Gewährleistung der Lieferzuverlässigkeit als führendes Unternehmen unter den globalen Energieunternehmen zu etablieren. Betrachten wir die finanzielle Leistung des Unternehmens in den letzten zwei Jahren. Die Betriebsergebnisse des Unternehmens sind in Anhang 1 dargestellt. Zum 31. Dezember 2010 beliefen sich die Umsatzerlöse auf 2.495.557 Millionen Rubel, dieser Wert ist im Vergleich zu den Daten von 2011, nämlich 3.296.656 Millionen Rubel, deutlich niedriger. Die Umsatzerlöse (ohne Verbrauchsteuer, Mehrwertsteuer und Zölle) stiegen in den neun Monaten bis zum 30. September 2011 im Vergleich zum Vorjahreszeitraum um 801.099 Millionen Rubel oder 32 % und beliefen sich auf 3.296.656 Millionen Rubel. Basierend auf den Ergebnissen des Jahres 2011 machten die Nettoeinnahmen aus dem Gasverkauf 60 % der gesamten Nettoeinnahmen aus (60 % im gleichen Zeitraum des Vorjahres). Der Nettoumsatz aus dem Gasverkauf stieg von 1.495.335 Mio. RUB. für das Jahr bis zu 1.987.330 Millionen Rubel. für den gleichen Zeitraum im Jahr 2011, also um 33 %. Die Nettoeinnahmen aus Gasverkäufen nach Europa und in andere Länder stiegen im Vergleich zum Vorjahreszeitraum um 258.596 Mio. RUB bzw. 34 % und beliefen sich auf 1.026.451 Mio. RUB. Der allgemeine Anstieg der Gasverkäufe nach Europa und anderen Ländern war auf einen Anstieg der Durchschnittspreise zurückzuführen. Der Durchschnittspreis in Rubel (einschließlich Zöllen) stieg in den neun Monaten bis zum 30. September 2011 im Vergleich zum gleichen Zeitraum im Jahr 2010 um 21 %. Darüber hinaus stiegen die Gasverkaufsmengen im Vergleich zum gleichen Zeitraum des Vorjahres um 8 %. Die Nettoeinnahmen aus Gasverkäufen in die Länder der ehemaligen Sowjetunion stiegen im gleichen Zeitraum des Jahres 2010 um 168.538 Millionen Rubel oder 58 % und beliefen sich auf 458.608 Millionen Rubel. Die Veränderung war in erster Linie auf einen Anstieg der Gasverkäufe in die ehemalige Sowjetunion um 33 % in den neun Monaten bis zum 30. September 2011 im Vergleich zum gleichen Zeitraum des Vorjahres zurückzuführen. Darüber hinaus ist der Durchschnittspreis in Rubel (einschließlich Zöllen, abzüglich Mehrwertsteuer) im Vergleich zum Vorjahreszeitraum um 15 % gestiegen. Der Nettoumsatz aus dem Gasverkauf in der Russischen Föderation stieg im Vergleich zum Vorjahreszeitraum um 64.861 Mio. RUB oder 15 % und belief sich auf 502.271 Mio. RUB. Dies ist hauptsächlich auf einen Anstieg des durchschnittlichen Gaspreises um 13 % im Vergleich zum Vorjahreszeitraum zurückzuführen, der mit einer Erhöhung der vom Federal Tariff Service (FTS) festgelegten Tarife verbunden ist. Die Nettoeinnahmen aus dem Verkauf von Öl- und Gasprodukten (abzüglich Verbrauchsteuer, Mehrwertsteuer und Zölle) stiegen um 213.012 Millionen Rubel oder 42 % und beliefen sich auf 717.723 Millionen Rubel. im Vergleich zum Vorjahreszeitraum. Dieser Anstieg ist hauptsächlich auf einen Anstieg der Weltmarktpreise für Öl- und Gasprodukte und einen Anstieg der Verkaufsmengen im Vergleich zum Vorjahreszeitraum zurückzuführen. Der Umsatz der Gazprom Neft Group belief sich auf 85 % bzw. 84 % des gesamten Nettoumsatzes aus dem Verkauf von Öl- und Gasprodukten. Der Nettoumsatz aus dem Verkauf von elektrischer und thermischer Energie (ohne Mehrwertsteuer) stieg um 38.097 Mio. RUB oder 19 % und belief sich auf 237.545 Mio. RUB. Der Anstieg der Einnahmen aus dem Verkauf von elektrischer und thermischer Energie ist hauptsächlich auf eine Erhöhung der Tarife für elektrische und thermische Energie sowie auf eine Erhöhung des Verkaufsvolumens von elektrischer und thermischer Energie zurückzuführen. Die Nettoeinnahmen aus dem Verkauf von Rohöl und Gaskondensat (abzüglich Verbrauchsteuer, Mehrwertsteuer und Zölle) stiegen um 23.072 Mio. RUB bzw. 16 % und beliefen sich auf 164.438 Mio. RUB. im Vergleich zu 141.366 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Die Veränderung ist vor allem auf steigende Preise für Öl- und Gaskondensat zurückzuführen. Darüber hinaus ist die Veränderung auf einen Anstieg des Gaskondensatabsatzes zurückzuführen. Die Einnahmen aus dem Verkauf von Rohöl beliefen sich auf 133.368 Millionen Rubel. und 121.675 Millionen Rubel. Nettoerlös aus dem Verkauf von Rohöl und Gaskondensat (abzüglich Verbrauchsteuer, Mehrwertsteuer und Zöllen) im Jahr 2011 bzw. 2010. Der Nettoumsatz aus dem Verkauf von Gastransportdienstleistungen (ohne Mehrwertsteuer) stieg um 15.306 Mio. RUB oder 23 % und belief sich auf 82.501 Mio. RUB im Vergleich zu 67.195 Mio. RUB. für den gleichen Zeitraum des letzten Jahres. Dieses Wachstum ist hauptsächlich auf eine Erhöhung der Gastransporttarife für unabhängige Lieferanten sowie auf einen Anstieg der Gasmengen zurückzuführen. ѐ Umzug des Gastransports für unabhängige Lieferanten im Vergleich zum Vorjahreszeitraum. Die sonstigen Einnahmen stiegen um 19.617 Mio. RUB bzw. 22 % und beliefen sich auf 107.119 Mio. RUB. im Vergleich zu 87.502 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Die Ausgaben für Handelsgeschäfte ohne tatsächliche Lieferung beliefen sich auf 837 Millionen Rubel. im Vergleich zu Einnahmen von 5.786 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Die Betriebskosten stiegen um 23 % und beliefen sich auf 2.119.289 Mio. RUB. im Vergleich zu 1.726.604 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Der Anteil der Betriebskosten am Umsatz verringerte sich von 69 % auf 64 %. Die Arbeitskosten stiegen um 18 % und beliefen sich auf 267.377 Mio. RUB. im Vergleich zu 227.500 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Der Anstieg ist vor allem auf einen Anstieg der Durchschnittslöhne zurückzuführen. Die Abschreibungen für den analysierten Zeitraum stiegen um 9 % oder 17.026 Millionen Rubel und beliefen sich auf 201.636 Millionen Rubel im Vergleich zu 184.610 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Der Anstieg ist im Wesentlichen auf die Ausweitung des Anlagevermögens zurückzuführen. Aufgrund der oben genannten Faktoren stieg der Verkaufsgewinn um 401.791 Mio. RUB bzw. 52 % und belief sich auf 1.176.530 Mio. RUB. im Vergleich zu 774.739 Millionen Rubel. für den gleichen Zeitraum des letzten Jahres. Die Umsatzgewinnmarge stieg in den neun Monaten bis zum 30. September 2011 von 31 % auf 36 %. Somit ist OJSC Gazprom ein globales Energieunternehmen. Die Haupttätigkeiten sind die geologische Erkundung, die Produktion, der Transport, die Lagerung, die Verarbeitung und der Verkauf von Gas, Gaskondensat und Öl sowie die Produktion und der Verkauf von Wärme und Strom. Die finanzielle Lage des Unternehmens ist stabil. Die Leistungsindikatoren zeigen eine positive Dynamik. 2 Beschreibung des Informationssicherheitssystems des Unternehmens Betrachten wir die Haupttätigkeitsbereiche der Abteilungen des Unternehmensschutzdienstes von OJSC Gazprom: Entwicklung gezielter Programme zur Entwicklung von Systemen und Komplexen technischer und technischer Sicherheitsausrüstung (ITSE), Informationssicherheitssysteme (IS) der OAO Gazprom und ihrer Tochtergesellschaften und Organisationen, Teilnahme an der Bildung eines Investitionsprogramms zur Gewährleistung von Informationen und Technik Sicherheit; Umsetzung der Befugnisse des Kunden zur Entwicklung von Informationssicherheitssystemen sowie ITSO-Systemen und -Komplexen; Prüfung und Genehmigung von Budgetanträgen und Budgets zur Umsetzung von Maßnahmen zur Entwicklung von Informationssicherheitssystemen, ITSO-Systemen und -Komplexen sowie zur Schaffung von IT im Sinne von Informationssicherheitssystemen; Prüfung und Genehmigung der Entwurfs- und Vorprojektdokumentation für die Entwicklung von Informationssicherheitssystemen, ITSO-Systemen und -Komplexen sowie technischer Spezifikationen für die Erstellung (Modernisierung) von Informationssystemen, Kommunikations- und Telekommunikationssystemen im Hinblick auf Informationssicherheitsanforderungen; Arbeitsorganisation zur Bewertung der Konformität von ITSO-Systemen und -Komplexen, Informationssicherheitssystemen (sowie Arbeiten und Dienstleistungen zu deren Erstellung) mit den festgelegten Anforderungen; Koordinierung und Steuerung der Arbeiten zum technischen Informationsschutz. Gazprom hat ein System zum Schutz personenbezogener Daten geschaffen. Die Verabschiedung einer Reihe von Regulierungsgesetzen durch die Bundesbehörden zur Weiterentwicklung bestehender Gesetze und Regierungsvorschriften macht jedoch eine Verbesserung des aktuellen Systems zum Schutz personenbezogener Daten erforderlich. Zur Lösung dieses Problems wurden eine Reihe von Dokumenten erarbeitet, die im Rahmen von Forschungsarbeiten verabschiedet werden. Dies sind zunächst einmal Standardentwürfe der Gazprom Development Organization: „Methodik zur Klassifizierung von Informationssystemen personenbezogener Daten der OAO Gazprom, ihrer Tochtergesellschaften und Organisationen“; „Modell der Bedrohungen personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten der OAO Gazprom, ihrer Tochtergesellschaften und Organisationen.“ Diese Dokumente wurden unter Berücksichtigung der Anforderungen des Dekrets der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 „Über die Genehmigung der Verordnungen zur Gewährleistung der Sicherheit personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“ entwickelt Bezug auf die Klasse der Sondersysteme, zu denen die meisten der OJSC ISPDn „ Gazprom“ gehören. Darüber hinaus wird derzeit an der Entwicklung von „Vorschriften über die Organisation und technische Unterstützung der Sicherheit personenbezogener Daten gearbeitet, die in Informationssystemen für personenbezogene Daten der OAO Gazprom, ihrer Tochtergesellschaften und Organisationen“ verarbeitet werden. Es sei darauf hingewiesen, dass im Rahmen des Standardisierungssystems von OJSC Gazprom Standards für das Informationssicherheitssystem entwickelt wurden, die es auch ermöglichen, die Probleme des Schutzes personenbezogener Daten, die in den Informationssystemen von OJSC Gazprom verarbeitet werden, zu lösen. Sieben Standards im Zusammenhang mit dem Informationssicherheitssystem wurden genehmigt und werden in diesem Jahr in Kraft gesetzt. Die Standards definieren die Grundanforderungen für den Aufbau von Informationssicherheitssystemen für OAO Gazprom und seine Tochtergesellschaften. Die Ergebnisse der geleisteten Arbeit werden es ermöglichen, materielle, finanzielle und intellektuelle Ressourcen rationeller zu nutzen, die notwendige regulatorische und methodische Unterstützung zu schaffen, wirksame Schutzmaßnahmen einzuführen und dadurch die Sicherheit der in den Informationen verarbeiteten personenbezogenen Daten zu gewährleisten Systeme von OAO Gazprom. Als Ergebnis der Analyse der Informationssicherheit von OJSC Gazprom wurden folgende Mängel bei der Gewährleistung der Informationssicherheit festgestellt: die Organisation verfügt über kein einziges Dokument, das eine umfassende Sicherheitsrichtlinie regelt; Angesichts der Größe des Netzwerks und der Anzahl der Benutzer (mehr als 100) ist zu beachten, dass eine Person für die Systemadministration, Informationssicherheit und den technischen Support verantwortlich ist; Es gibt keine Klassifizierung der Informationsressourcen nach dem Grad ihrer Wichtigkeit. Rollen und Verantwortlichkeiten im Bereich Informationssicherheit sind in den Stellenbeschreibungen nicht enthalten. im mit dem Arbeitnehmer geschlossenen Arbeitsvertrag gibt es keine Klausel über die Informationssicherheitspflichten sowohl der Arbeitnehmer als auch der Organisation selbst; Personalschulungen im Bereich Informationssicherheit werden nicht angeboten; aus Sicht des Schutzes vor externen Bedrohungen: Es wurden keine typischen Verhaltensweisen für die Datenwiederherstellung nach Unfällen entwickelt, die infolge externer und umweltbezogener Bedrohungen aufgetreten sind. der Serverraum ist kein separater Raum, dem Raum wird der Status von zwei Abteilungen zugewiesen (zusätzlich zum Systemadministrator hat eine weitere Person Zugriff auf den Serverraum); technische Sondierungen und körperliche Untersuchungen auf nicht autorisierte Geräte, die an Kabel angeschlossen sind, werden nicht durchgeführt; trotz der Tatsache, dass die Einreise mit elektronischen Ausweisen erfolgt und alle Informationen in eine spezielle Datenbank eingegeben werden, erfolgt keine Analyse; in Bezug auf den Schutz vor Malware: Es gibt keine formelle Richtlinie zum Schutz vor Risiken im Zusammenhang mit dem Empfang von Dateien aus oder über externe Netzwerke oder auf Wechselmedien; zum Schutz vor Schadsoftware: Es gibt keine Richtlinien zum Schutz des lokalen Netzwerks vor Schadcode; es gibt keine Verkehrskontrolle, es besteht Zugriff auf Mailserver externer Netzwerke; alle Backups werden im Serverraum gespeichert; es werden unsichere, leicht zu merkende Passwörter verwendet; Der Erhalt von Passwörtern durch Benutzer wird in keiner Weise bestätigt; Passwörter werden vom Administrator im Klartext gespeichert; Passwörter ändern sich nicht; Es gibt kein Verfahren zur Meldung von Informationssicherheitsereignissen. Ausgehend von diesen Mängeln wurde daher eine Reihe von Vorschriften zur Informationssicherheitspolitik entwickelt, darunter: Richtlinien bezüglich der Einstellung (Entlassung) und Gewährung (Entzug) der erforderlichen Befugnisse für den Zugriff auf Systemressourcen an Mitarbeiter; Richtlinien zur Arbeit der Netzwerkbenutzer während des Betriebs; Passwortschutzrichtlinie; Politik zur Organisation des physischen Schutzes; Internetpolitik; sowie administrative Sicherheitsmaßnahmen. Dokumente, die diese Vorschriften enthalten, werden derzeit von der Leitung der Organisation geprüft. 3 Entwicklung eines Maßnahmenpakets zur Modernisierung des bestehenden Informationssicherheitssystems Als Ergebnis der Analyse des Informationssicherheitssystems von OJSC Gazprom wurden erhebliche Systemschwachstellen identifiziert. Um Maßnahmen zur Beseitigung festgestellter Sicherheitssystemmängel zu entwickeln, werden wir die folgenden schutzwürdigen Informationsgruppen hervorheben: Informationen über das Privatleben der Mitarbeiter, die ihre Identifizierung ermöglichen (personenbezogene Daten); Informationen im Zusammenhang mit beruflichen Tätigkeiten, die ein Bank-, Prüfungs- und Kommunikationsgeheimnis darstellen; Informationen, die sich auf berufliche Tätigkeiten beziehen und als Informationen „für den dienstlichen Gebrauch“ gekennzeichnet sind; Informationen, deren Zerstörung oder Änderung sich negativ auf die Betriebseffizienz auswirkt und deren Wiederherstellung zusätzliche Kosten erfordert. Aus Sicht der Verwaltungsmaßnahmen wurden folgende Empfehlungen entwickelt: das Informationssicherheitssystem muss der Gesetzgebung der Russischen Föderation und den staatlichen Standards entsprechen; Gebäude und Räumlichkeiten, in denen Informationsverarbeitungsanlagen installiert oder gelagert sind und mit geschützten Informationen gearbeitet wird, müssen durch Alarm- und Zugangskontrollmittel bewacht und geschützt werden; Bei der Einstellung eines Mitarbeiters sollte eine Schulung des Personals zu Fragen der Informationssicherheit organisiert werden (Erklärung der Bedeutung des Passwortschutzes und der Passwortanforderungen, Durchführung von Schulungen zu Antivirensoftware usw.). alle 6-12 Monate Schulungen durchführen, um die Kompetenz der Mitarbeiter im Bereich Informationssicherheit zu verbessern; eine Prüfung des Systems und Anpassungen der entwickelten Vorschriften sollten jährlich, am 1. Oktober oder unmittelbar nach der Einführung größerer Änderungen in der Unternehmensstruktur durchgeführt werden; Die Zugriffsrechte jedes Benutzers auf Informationsressourcen müssen dokumentiert werden (ggf. wird der Zugriff schriftlich beim Manager beantragt); Die Imuss vom Softwareadministrator und vom Hardwareadministrator sichergestellt werden, ihre Aktionen werden vom Gruppenleiter koordiniert. Lassen Sie uns eine Passwortrichtlinie formulieren: Speichern Sie sie nicht in unverschlüsselter Form (schreiben Sie sie nicht auf Papier, in einer normalen Textdatei usw. auf); das Passwort ändern, wenn es offengelegt wird oder der Verdacht besteht, dass es offengelegt wurde; Die Länge muss mindestens 8 Zeichen betragen. Das Passwort muss Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten; das Passwort darf keine leicht errechenbaren Zeichenfolgen (Namen, Tiernamen, Daten) enthalten; einmal alle 6 Monate ändern (eine außerplanmäßige Passwortänderung muss unmittelbar nach Erhalt der Benachrichtigung über den Vorfall, der die Änderung ausgelöst hat, erfolgen); Beim Ändern von Passwörtern können Sie nicht die zuvor verwendeten auswählen (Passwörter müssen sich um mindestens 6 Stellen unterscheiden). Lassen Sie uns eine Richtlinie zu Antivirenprogrammen und Virenerkennung formulieren: Auf jedem Arbeitsplatzrechner muss eine lizenzierte Antivirensoftware installiert sein; Aktualisierung der Antiviren-Datenbanken auf Workstations mit Internetzugang – einmal täglich, ohne Internetzugang – mindestens einmal pro Woche; Automatisches Scannen von Arbeitsplätzen zur Virenerkennung einrichten (Häufigkeit der Überprüfungen – einmal pro Woche: Freitag, 12:00 Uhr); Nur der Administrator kann das Update der Antiviren-Datenbank oder den Virenscan unterbrechen (für die angegebene Benutzeraktion sollte ein Passwortschutz eingestellt sein). Lassen Sie uns eine Richtlinie zum physischen Schutz formulieren: Alle 1–2 Monate sollten technische Untersuchungen und körperliche Untersuchungen auf nicht autorisierte Geräte durchgeführt werden, die an Kabel angeschlossen sind. Netzwerkkabel müssen vor unbefugtem Abfangen von Daten geschützt werden; Aufzeichnungen über alle vermuteten und tatsächlichen Fehler, die an der Ausrüstung aufgetreten sind, müssen in einem Protokoll gespeichert werden Jeder Arbeitsplatz muss mit einer unterbrechungsfreien Stromversorgung ausgestattet sein. Definieren wir eine Richtlinie zur Informationsreservierung: Für Sicherungskopien sollte ein separater Raum außerhalb des Verwaltungsgebäudes zugewiesen werden (der Raum sollte mit einem elektronischen Schloss und einer Alarmanlage ausgestattet sein); Informationsreservierungen sollten jeden Freitag um 16:00 Uhr erfolgen. Die Richtlinien bezüglich der Einstellung/Entlassung von Mitarbeitern sollten wie folgt lauten: Eventuelle personelle Veränderungen (Einstellung, Beförderung, Entlassung eines Mitarbeiters etc.) sind innerhalb von 24 Stunden dem Administrator zu melden, der seinerseits innerhalb einer Frist von einem halben Arbeitstag entsprechende Änderungen am System zur Abgrenzung der Zugriffsrechte vornehmen muss zu Unternehmensressourcen; Ein neuer Mitarbeiter muss eine Schulung durch den Administrator absolvieren, einschließlich der Einweisung in die Sicherheitsrichtlinie und aller erforderlichen Anweisungen. Der Grad des Zugriffs auf Informationen für den neuen Mitarbeiter wird vom Manager zugewiesen. Wenn ein Mitarbeiter das System verlässt, werden seine ID und sein Passwort gelöscht, der Arbeitsplatz auf Viren überprüft und die Integrität der Daten, auf die der Mitarbeiter Zugriff hatte, analysiert. Richtlinie zur Arbeit mit dem lokalen internen Netzwerk (LAN) und Datenbanken (DB): Bei der Arbeit an seinem Arbeitsplatz und im LAN darf der Arbeitnehmer nur Aufgaben ausführen, die in direktem Zusammenhang mit seiner dienstlichen Tätigkeit stehen; Der Mitarbeiter muss den Administrator über Meldungen von Antivirenprogrammen über das Auftreten von Viren informieren; niemandem außer Administratoren ist es gestattet, Änderungen am Design oder der Konfiguration von Arbeitsstationen und anderen LAN-Knoten vorzunehmen, Software zu installieren, die Arbeitsstation unkontrolliert zu lassen oder Unbefugten den Zugriff darauf zu gestatten; Administratoren wird empfohlen, ständig zwei Programme laufen zu lassen: ein Dienstprogramm zur Erkennung von ARP-Spoofing-Angriffen und einen Sniffer, der es ihnen ermöglicht, das Netzwerk durch die Augen eines potenziellen Eindringlings zu sehen und Verstöße gegen Sicherheitsrichtlinien zu identifizieren; Sie sollten Software installieren, die verhindert, dass andere als die vom Administrator vorgesehenen Programme ausgeführt werden, basierend auf dem Grundsatz: „Jeder Person werden die Berechtigungen gewährt, die zur Ausführung bestimmter Aufgaben erforderlich sind.“ Alle nicht verwendeten Computeranschlüsse müssen per Hardware oder Software deaktiviert werden. Die Software sollte regelmäßig aktualisiert werden. Internetrichtlinie: Administratoren wird das Recht eingeräumt, den Zugriff auf Ressourcen zu beschränken, deren Inhalt nicht mit der Erfüllung offizieller Aufgaben in Zusammenhang steht, sowie auf Ressourcen, deren Inhalt und Schwerpunkt durch internationale und russische Gesetzgebung verboten sind; Dem Mitarbeiter ist es untersagt, Dateien ohne vorherige Virenprüfung herunterzuladen und zu öffnen. Alle Informationen über die von Mitarbeitern des Unternehmens besuchten Ressourcen sollten in einem Protokoll gespeichert werden und können bei Bedarf den Abteilungsleitern und dem Management zur Verfügung gestellt werden Die Vertraulichkeit und Integrität elektronischer Korrespondenz und Bürodokumente wird durch den Einsatz digitaler Signaturen gewährleistet. Darüber hinaus formulieren wir die Grundvoraussetzungen für die Erstellung von Passwörtern für Mitarbeiter der OJSC Gazprom. Ein Passwort ist wie ein Hausschlüssel, nur dass es der Schlüssel zu Informationen ist. Bei gewöhnlichen Schlüsseln ist es äußerst unerwünscht, dass sie verloren gehen, gestohlen oder einem Fremden übergeben werden. Das Gleiche gilt für das Passwort. Natürlich hängt die Sicherheit von Informationen nicht nur vom Passwort ab; um dies zu gewährleisten, müssen Sie eine Reihe spezieller Einstellungen vornehmen und möglicherweise sogar ein Programm schreiben, das vor Hackern schützt. Aber bei der Wahl eines Passwortes kommt es nur auf den Benutzer an, wie stark dieses Glied in der Kette der Maßnahmen zum Schutz von Informationen sein wird. ) Das Passwort muss lang sein (8-12-15 Zeichen); ) sollte kein Wort aus einem Wörterbuch (irgendein Wörterbuch, auch kein Wörterbuch mit Sonderbegriffen und Slang), ein Eigenname oder ein Wort im kyrillischen Alphabet sein, das im lateinischen Layout (Latein – kfnsym) eingegeben wurde; ) es kann nicht mit dem Eigentümer in Verbindung gebracht werden; ) es ändert sich regelmäßig oder nach Bedarf; ) wird in dieser Funktion nicht auf verschiedenen Ressourcen verwendet (d. h. für jede Ressource – zum Anmelden bei einem Postfach, Betriebssystem oder einer Datenbank – muss ein anderes Passwort verwendet werden); ) ist es möglich, sich daran zu erinnern. Das Auswählen von Wörtern aus dem Wörterbuch ist unerwünscht, da ein Angreifer, der einen Wörterbuchangriff durchführt, Programme verwendet, die in der Lage sind, bis zu Hunderttausende Wörter pro Sekunde zu durchsuchen. Alle mit dem Besitzer verbundenen Informationen (Geburtsdatum, Name des Hundes, Mädchenname der Mutter und ähnliche „Passwörter“) können leicht erkannt und erraten werden. Die Verwendung von Groß- und Kleinbuchstaben sowie Zahlen erschwert es dem Angreifer erheblich, das Passwort zu erraten. Das Passwort sollte geheim gehalten werden. Wenn Sie den Verdacht haben, dass das Passwort jemandem bekannt geworden ist, ändern Sie es. Es ist auch sehr nützlich, sie von Zeit zu Zeit zu ändern. Abschluss Die Studie ermöglichte es uns, die folgenden Schlussfolgerungen zu ziehen und Empfehlungen zu formulieren. Es wurde festgestellt, dass der Hauptgrund für die Probleme des Unternehmens im Bereich der Informationssicherheit das Fehlen einer Informationssicherheitspolitik ist, die organisatorische, technische und finanzielle Lösungen mit anschließender Überwachung ihrer Umsetzung und Bewertung der Wirksamkeit umfassen würde. Die Definition der Iwird als eine Reihe dokumentierter Entscheidungen formuliert, deren Zweck darin besteht, den Schutz von Informationen und den damit verbundenen Informationsrisiken sicherzustellen. Die Analyse des Informationssicherheitssystems ergab erhebliche Mängel, darunter: Aufbewahrung von Sicherungskopien im Serverraum, der Sicherungsserver befindet sich im selben Raum wie die Hauptserver; Fehlen angemessener Regeln zum Passwortschutz (Passwortlänge, Regeln für die Auswahl und Speicherung); Die Netzwerkadministration wird von einer Person übernommen. Eine Verallgemeinerung der internationalen und russischen Praxis im Bereich des Invon Unternehmen ließ uns zu dem Schluss kommen, dass es zu seiner Gewährleistung notwendig ist: Vorhersage und rechtzeitige Identifizierung von Sicherheitsbedrohungen, Ursachen und Bedingungen, die zu finanziellen, materiellen und moralischen Schäden führen können; Schaffung von Betriebsbedingungen mit dem geringsten Risiko, Sicherheitsbedrohungen für Informationsressourcen umzusetzen und verschiedene Arten von Schäden zu verursachen; Schaffung eines Mechanismus und von Bedingungen für eine wirksame Reaktion auf Bedrohungen der Informationssicherheit auf der Grundlage rechtlicher, organisatorischer und technischer Mittel. Im ersten Kapitel der Arbeit werden die wichtigsten theoretischen Aspekte erörtert. Es wird ein Überblick über mehrere Standards im Bereich der Informationssicherheit gegeben. Es werden Schlussfolgerungen für jeden einzelnen und als Ganzes gezogen und der am besten geeignete Standard für die Gestaltung der Informationssicherheitspolitik ausgewählt. Das zweite Kapitel untersucht die Struktur der Organisation und analysiert die Hauptprobleme im Zusammenhang mit der Informationssicherheit. Als Ergebnis wurden Empfehlungen formuliert, um ein angemessenes Maß an Informationssicherheit zu gewährleisten. Darüber hinaus werden Maßnahmen zur Verhinderung weiterer Vorfälle im Zusammenhang mit Verstößen gegen die Informationssicherheit berücksichtigt. Natürlich ist die Gewährleistung der Informationssicherheit einer Organisation ein kontinuierlicher Prozess, der einer ständigen Überwachung bedarf. Und eine natürlich gestaltete Politik ist kein eiserner Garant für Schutz. Neben der Umsetzung der Richtlinie ist eine ständige Überwachung ihrer qualitativen Umsetzung sowie eine Verbesserung bei etwaigen Veränderungen im Unternehmen oder Präzedenzfällen erforderlich. Der Organisation wurde empfohlen, einen Mitarbeiter einzustellen, dessen Tätigkeiten in direktem Zusammenhang mit diesen Funktionen stehen (Sicherheitsadministrator). Referenzliste finanzieller Schaden durch Informationssicherheit 1. Belov E.B. Grundlagen der Informationssicherheit. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Schelupanow. -M.: Hotline - Telekommunikation, 2006. - 544s Galatenko V.A. Informationssicherheitsstandards: eine Vorlesungsreihe. Lehrreich Zuschuss. - 2. Auflage. M.: INTUIT.RU „Internet University of Information Technologies“, 2009. - 264 S. Glatenko V.A. Informationssicherheitsstandards / Offene Systeme 2006.- 264c Dolschenko A.I. Informationssystemmanagement: Schulungskurs. - Rostow am Don: RGEU, 2008.-125 S. Kalaschnikow A. Bildung einer Unternehmenspolitik zur internen Informationssicherheit #"justify">. Malyuk A.A. Informationssicherheit: Konzeptionelle und methodische Grundlagen des Informationsschutzes / M.2009-280s Mayvold E., Netzwerksicherheit. Selbstanleitung // Ekom, 2009.-528 S. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Grundlagen der organisatorischen Unterstützung für die Informationssicherheit von Informatisierungsobjekten // Helios ARV, 2008, 192 S.
