Μεταπτυχιακές εργασίες για την ασφάλεια πληροφοριών (Information systems security). Σύστημα ασφάλειας πληροφοριών Κατάλογος θεμάτων WRC για την ασφάλεια πληροφοριών
Παρόμοια έγγραφα
Συνάφεια θεμάτων ασφάλειας πληροφοριών. Λογισμικό και υλικό για το δίκτυο Mineral LLC. Δημιουργία μοντέλου εταιρικής ασφάλειας και προστασίας από μη εξουσιοδοτημένη πρόσβαση. Τεχνικές λύσεις για την προστασία πληροφοριακών συστημάτων.
διατριβή, προστέθηκε 19/01/2015
Η ασφάλεια ενός πληροφοριακού συστήματος είναι η ικανότητά του να αντέχει σε διάφορες επιρροές. Τύποι απειλών υπολογιστή, η έννοια της μη εξουσιοδοτημένης πρόσβασης. Ιοί και κακόβουλο λογισμικό. Μέθοδοι και μέσα προστασίας των πληροφοριακών συστημάτων.
περίληψη, προστέθηκε 14/11/2010
Ταξινόμηση απειλών για την ασφάλεια των πληροφοριών. Σφάλματα στην ανάπτυξη συστημάτων υπολογιστών, λογισμικού και υλικού. Οι κύριες μέθοδοι απόκτησης μη εξουσιοδοτημένης πρόσβασης (UNA) σε πληροφορίες. Μέθοδοι προστασίας από NSD. Εικονικά ιδιωτικά δίκτυα.
εργασία μαθήματος, προστέθηκε 26/11/2013
Εξωτερικές απειλές για την ασφάλεια των πληροφοριών, μορφές εκδήλωσής τους. Μέθοδοι και μέσα προστασίας από τη βιομηχανική κατασκοπεία, οι στόχοι της: απόκτηση πληροφοριών για έναν ανταγωνιστή, καταστροφή πληροφοριών. Μέθοδοι μη εξουσιοδοτημένης πρόσβασης σε εμπιστευτικές πληροφορίες.
δοκιμή, προστέθηκε 18/09/2016
Οι πιο συνηθισμένοι τρόποι μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες, κανάλια διαρροής τους. Μέθοδοι προστασίας πληροφοριών από φυσικές (έκτακτες) απειλές και από τυχαίες απειλές. Η κρυπτογραφία ως μέσο προστασίας πληροφοριών. Βιομηχανική κατασκοπεία.
περίληψη, προστέθηκε 06/04/2013
Έννοια, νόημα και κατευθύνσεις ασφάλειας πληροφοριών. Μια συστηματική προσέγγιση για την οργάνωση της ασφάλειας των πληροφοριών, την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση. Εργαλεία ασφάλειας πληροφοριών. Μέθοδοι και συστήματα ασφάλειας πληροφοριών.
περίληψη, προστέθηκε 15/11/2011
Έννοια και αρχές ασφάλειας πληροφοριών. Εξέταση των κύριων τύπων επικίνδυνων επιπτώσεων σε ένα σύστημα υπολογιστή. Ταξινόμηση καναλιών για μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές. Χαρακτηριστικά εργαλείων ασφάλειας πληροφοριών υλικού και λογισμικού.
παρουσίαση, προστέθηκε 15/11/2011
Η ασφάλεια των πληροφοριών, οι στόχοι και οι στόχοι της. Κανάλια διαρροής πληροφοριών. Μέθοδοι και μέσα λογισμικού και υλικού για την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση. Μοντέλο απειλών ασφαλείας για πληροφορίες που υποβάλλονται σε επεξεργασία σε εγκατάσταση υπολογιστή.
διατριβή, προστέθηκε 19/02/2017
Η επίδραση του τύπου δραστηριότητας μιας επιχείρησης στην οργάνωση ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών. Σύνθεση προστατευμένων πληροφοριών. Πιθανά κανάλια για μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες του οργανισμού. Αποτελεσματικότητα του συστήματος ασφάλειας πληροφοριών.
έκθεση πρακτικής, προστέθηκε 31/10/2013
Ιστορικές πτυχές της εμφάνισης και ανάπτυξης της ασφάλειας των πληροφοριών. Μέσα ασφάλειας πληροφοριών και η ταξινόμησή τους. Τύποι και αρχές λειτουργίας ιών υπολογιστών. Νομική βάση για την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση.
εστίαση (προφίλ) «Συστήματα και τεχνολογίες πληροφοριών»
τομείς εκπαίδευσης 09.03.02 «Πληροφοριακά συστήματα και τεχνολογίες»
σχεδιαστικά και τεχνολογικά,
σέρβις και λειτουργική.
1. Εικονικοποίηση της πληροφοριακής υποδομής της επιχείρησης (όνομα της επιχείρησης).
2. Ενοποίηση συστημάτων πληροφοριών επιχειρήσεων που βασίζονται σε λειτουργικό σύστημα Linux και ένα ελεύθερα διανεμημένο ΣΔΒΔ.
3. Εκσυγχρονισμός και διαχείριση του εταιρικού πληροφοριακού συστήματος της επιχείρησης (επωνυμία επιχείρησης).
4. Εκσυγχρονισμός, διαχείριση και συντήρηση του δικτύου πληροφοριών της επιχείρησης (όνομα επιχείρησης).
5. Εκσυγχρονισμός του συστήματος πληροφόρησης και διαχείρισης της επιχείρησης (διαδικασία) (όνομα επιχείρησης ή διαδικασία) και ανάπτυξη μέτρων για την υποστήριξή της.
6. Ανάπτυξη πύλης Intranet για την επιχείρηση (όνομα της επιχείρησης).
7. Σχεδιασμός δικτύου πληροφοριών επιχείρησης (όνομα επιχείρησης).
8. Σχεδιασμός εταιρικού πληροφοριακού συστήματος για επιχείρηση (όνομα επιχείρησης).
9. Ανάπτυξη και συντήρηση της εταιρικής διαδικτυακής πύλης της επιχείρησης (όνομα επιχείρησης).
10. Ανάπτυξη αυτοματοποιημένου συστήματος επεξεργασίας πληροφοριών για την επιχείρηση (όνομα επιχείρησης).
11. Ανάπτυξη πρωτοτύπου πληροφοριακού συστήματος επιχείρησης για διαχείριση διεργασιών (όνομα διεργασίας ή αντικείμενο).
12. Ανάπτυξη διαδικτυακής υπηρεσίας για το πληροφοριακό σύστημα της επιχείρησης (όνομα επιχείρησης).
13. Ανάπτυξη πληροφοριακού συστήματος αναφοράς για την επιχείρηση (όνομα επιχείρησης).
14. Ανάπτυξη μοντέλου και σχεδιασμός συστήματος διαχείρισης πληροφοριών επιχείρησης (όνομα επιχείρησης).
15. Ανάπτυξη τεχνολογικού λογισμικού συντήρησης συστήματος (όνομα συστήματος).
16. Ανάπτυξη λογισμικού για συσκευή μικροεπεξεργαστή (όνομα συσκευής).
17. Ανάπτυξη εφαρμογής mobile client για το πληροφοριακό σύστημα της επιχείρησης (επωνυμία επιχείρησης).
18. Ανάπτυξη μοντέλου προσομοίωσης για τη βελτιστοποίηση των παραμέτρων της παραγωγικής διαδικασίας.
19. Σχεδιασμός εικονικών διακομιστών με βάση εργαλεία (όνομα εργαλείων εικονικοποίησης) και καναλιών μετάδοσης δεδομένων για επιχείρηση (όνομα επιχείρησης).
20. Ανάπτυξη ενότητας (υποσύστημα) (όνομα της υλοποιούμενης λειτουργίας) του πληροφοριακού συστήματος (εταιρικής πληροφόρησης) της επιχείρησης (όνομα επιχείρησης).
στο εκπαιδευτικό πρόγραμμα του εφαρμοσμένου πτυχίου
τομείς εκπαίδευσης 03/09/04 «Μηχανική Λογισμικού»
παραγωγής και τεχνολογίας,
οργανωτική και διαχειριστική,
σέρβις και λειτουργική.
1. Ανάπτυξη εφαρμογής για ανάλυση ιστοσελίδας, κοινωνικού δικτύου, πύλης.
2. Σχεδιασμός και εφαρμογή λογισμικού πληροφοριακού (πληροφοριακού και αναφοράς) συστήματος (σκοπός ή λειτουργία του συστήματος).
3. Ανάπτυξη υλικολογισμικού για τη συσκευή (όνομα της συσκευής).
4. Ανάπτυξη λογισμικού εφαρμογής για το σύστημα (όνομα του συστήματος).
5. Ανάπτυξη πληροφοριακού συστήματος λογισμικού (όνομα της περιοχής χρήσης ή της διαδικασίας που υλοποιείται).
6. Ανάπτυξη μεθόδων ελέγχου και αποσφαλμάτωσης λογισμικού (όνομα λογισμικού).
7. Ανάπτυξη μιας ενότητας λογισμικού (όνομα της ενότητας) για το σύστημα 1C: Enterprise (όνομα της επιχείρησης).
8. Ανάπτυξη διαδικτυακής υπηρεσίας για το σύστημα διαχείρισης πληροφοριών της επιχείρησης (όνομα επιχείρησης).
9. Ανάπτυξη εφαρμογής για την υποστήριξη του πληροφοριακού συστήματος μέτρησης (σκοπός του συστήματος).
10. Μελέτη ασφάλειας πληροφοριών διαδικτυακών υπηρεσιών του συστήματος 1C:Enterprise.
11. Ανάπτυξη ενότητας (υποσύστημα) (όνομα της υλοποιούμενης λειτουργίας) του πληροφοριακού συστήματος (εταιρικής πληροφόρησης) της επιχείρησης (όνομα επιχείρησης).
12. Ανάπτυξη λογισμικού διακομιστή (πελάτη) για το σύστημα (όνομα συστήματος).
Θέματα τελικών προκριματικών εργασιών
στο εκπαιδευτικό πρόγραμμα του εφαρμοσμένου πτυχίου
εστίαση (προφίλ) "Υπηρεσία πληροφοριών"
:υπηρεσία,
1. Εκσυγχρονισμός, διαχείριση και συντήρηση του τοπικού δικτύου της επιχείρησης (επωνυμία επιχείρησης).
2. Εκσυγχρονισμός και διαχείριση του πληροφοριακού συστήματος της επιχείρησης (όνομα επιχείρησης).
3. Σχεδιασμός πληροφοριακού συστήματος επιχείρησης (όνομα επιχείρησης).
4. Σχεδιασμός και ανάπτυξη τεχνολογίας λειτουργίας τοπικού δικτύου επιχείρησης (όνομα επιχείρησης).
5. Σχεδιασμός προστασίας υλικού και λογισμικού του πληροφοριακού συστήματος της επιχείρησης (όνομα επιχείρησης).
6. Ανάπτυξη τεχνολογίας διάγνωσης, επισκευής και συντήρησης της συσκευής (όνομα συσκευής, ομάδα συσκευών, εξοπλισμός μέτρησης, μονάδα υπολογιστή, σύστημα υπολογιστή ή μικροεπεξεργαστή, τοπικό δίκτυο).
7. Ανάπτυξη και διαχείριση της ιστοσελίδας της εταιρείας (όνομα της εταιρείας).
8. Ανάπτυξη της διαμόρφωσης διακομιστή για το δίκτυο μετάδοσης δεδομένων της επιχείρησης (όνομα της επιχείρησης).
9. Ανάπτυξη και διαχείριση της βάσης δεδομένων πληροφοριακού συστήματος επιχειρήσεων (όνομα επιχείρησης).
10. Ανάπτυξη πύλης Intranet για την επιχείρηση (όνομα της επιχείρησης).
11. Ανάπτυξη υποσυστήματος παρακολούθησης παραγωγικών διαδικασιών στην πλατφόρμα 1C:Enterprise.
12. Ανάπτυξη έργου για κατανεμημένο πληροφοριακό σύστημα (όνομα συστήματος) της επιχείρησης (όνομα επιχείρησης).
13. Ανάπτυξη λογιστικού συστήματος πληροφοριών και αναφοράς (όνομα λογιστικού αντικειμένου).
14. Ανάπτυξη υπηρεσίας WCF για πληροφοριακό σύστημα επιχειρήσεων.
15. Ανάπτυξη μοντέλου πληροφοριακού συστήματος επιχείρησης (όνομα ή περιοχή δραστηριότητας της επιχείρησης).
16. Ανάπτυξη μεθόδων ελέγχου και αποσφαλμάτωσης λογισμικού (όνομα λογισμικού).
17. Ανάπτυξη συνόλου μέτρων διαχείρισης και συντήρησης πληροφοριακού συστήματος λογισμικού (ονομασία της περιοχής χρήσης ή της διαδικασίας που εφαρμόζεται).
18. Μοντελοποίηση και έρευνα του συστήματος μετάδοσης δεδομένων (όνομα συστήματος).
19. Έρευνα και βελτιστοποίηση παραμέτρων ενός κατανεμημένου πληροφοριακού συστήματος στην πλατφόρμα 1C:Enterprise.
20. Σχεδιασμός τμήματος της επιχείρησης (επωνυμία επιχείρησης) για επισκευή και συντήρηση ηλεκτρονικού (υπολογιστικού) εξοπλισμού και οργάνωση λειτουργίας τεχνικού εξοπλισμού.
21. Σχεδιασμός εικονικών διακομιστών με βάση εργαλεία (όνομα εργαλείων εικονικοποίησης) και καναλιών μετάδοσης δεδομένων για επιχείρηση (όνομα επιχείρησης).
22. Ανάπτυξη λογισμικού διακομιστή (πελάτη) για το σύστημα (όνομα συστήματος).
Θέματα τελικών προκριματικών εργασιών
στο εκπαιδευτικό πρόγραμμα του εφαρμοσμένου πτυχίου
κατευθυντικότητα (προφίλ) "Σέρβις ηλεκτρονικού εξοπλισμού"
τομείς εκπαίδευσης 03.43.01 «Υπηρεσία»
Τύποι επαγγελματικών δραστηριοτήτων:υπηρεσία,
παραγωγική και τεχνολογική.
1. Ανάπτυξη τεχνολογίας διάγνωσης, επισκευής και συντήρησης της συσκευής (όνομα ηλεκτρονικής συσκευής, μικροεπεξεργαστής ή τηλεπικοινωνιακό σύστημα, εξοπλισμός μέτρησης, δίκτυο μετάδοσης δεδομένων).
2. Ανάπτυξη ηλεκτρονικού συστήματος (όνομα συστήματος) της επιχείρησης (επωνυμία επιχείρησης, εμπορικό και κέντρο γραφείων, συγκρότημα ψυχαγωγίας).
3. Ανάπτυξη συσκευής εισαγωγής/εξόδου πληροφοριών (όνομα της συσκευής).
4. Ανάπτυξη λογισμικού για συσκευή μικροεπεξεργαστή (όνομα συσκευής).
5. Ανάπτυξη εταιρικού τηλεπικοινωνιακού δικτύου για επιχείρηση (επωνυμία επιχείρησης).
6. Ανάπτυξη ψηφιακής συσκευής (module) (όνομα της συσκευής, ενότητα, όνομα της λειτουργίας που υλοποιείται).
7. Ανάπτυξη συσκευής τροφοδοσίας ηλεκτρονικού εξοπλισμού (όνομα εξοπλισμού).
8. Ανάπτυξη τεχνολογίας παρακολούθησης (παραμέτρων ελέγχου) αντικειμένων (όνομα αντικειμένων).
9. Ανάπτυξη και έρευνα ασύρματου αισθητήρα (όνομα της μετρούμενης παραμέτρου).
10. Σχεδιασμός τμήματος επιχείρησης (επωνυμία επιχείρησης) επισκευής και συντήρησης ηλεκτρονικού (υπολογιστικού) εξοπλισμού και οργάνωση λειτουργίας τεχνικού εξοπλισμού.
11. Ανάπτυξη υποσυστήματος (όνομα υποσυστήματος) ολοκληρωμένου συστήματος ασφαλείας για την επιχείρηση (όνομα επιχείρησης).
Θέματα τελικών προκριματικών εργασιών
στο εκπαιδευτικό πρόγραμμα του εφαρμοσμένου πτυχίου
κατευθυντικότητα (προφίλ) «Μέσα ραδιοτεχνικής μετάδοσης, λήψης και επεξεργασίας σημάτων»
τομείς εκπαίδευσης 03/11/01 «Ραδιομηχανική»
σχεδιασμός και μηχανική,
σέρβις και λειτουργική.
1. Ανάπτυξη συστήματος συσκευής (μπλοκ, μονάδα, λήψη, εκπομπή, πομποδέκτης) (όνομα συστήματος).
2. Ανάπτυξη ασύρματης διεπαφής για ηλεκτρονικό εξοπλισμό (όνομα εξοπλισμού).
3. Μελέτη του εικονικού μοντέλου της συσκευής (καθορίστε τον τύπο της συσκευής) στο περιβάλλον (όνομα του περιβάλλοντος λογισμικού).
4. Ανάπτυξη υποσυστήματος (όνομα υποσυστήματος) ολοκληρωμένου συστήματος ασφάλειας επιχείρησης (όνομα επιχείρησης.
Θέματα τελικών προκριματικών εργασιών
στο εκπαιδευτικό πρόγραμμα του εφαρμοσμένου πτυχίου
κατευθυντικότητα (προφίλ) «Συστήματα κινητής επικοινωνίας»
τομείς εκπαίδευσης 11.03.02 «Τεχνολογίες Πληροφορικής και Συστήματα Επικοινωνιών»
Τύποι επαγγελματικών δραστηριοτήτων:σχέδιο
1. Σχεδιασμός τηλεπικοινωνιακού δικτύου για επιχείρηση (επωνυμία επιχείρησης).
2. Διαχείριση και συντήρηση του τηλεπικοινωνιακού δικτύου της επιχείρησης (επωνυμία επιχείρησης).
3. Ανάπτυξη μπλοκ (κωδικοποιητής, φωνοκωδικοποιητής, συσκευή συγχρονισμού, συσκευή αντιστοίχισης) ψηφιακού τηλεπικοινωνιακού συστήματος.
4. Ανάπτυξη προσαρμογέα ασύρματης διεπαφής (όνομα διεπαφών).
5. Ανάπτυξη συστήματος συσκευής επεξεργασίας πληροφοριών (τύπος συσκευής) (όνομα συστήματος).
6. Ανάπτυξη συσκευής για συστήματα διασύνδεσης (όνομα συστημάτων).
7. Ανάπτυξη ελεγκτή συστήματος (όνομα συστήματος).
8. Ανάπτυξη συσκευής συγχρονισμού τηλεπικοινωνιακού συστήματος (όνομα συστήματος).
9. Ανάπτυξη τεχνολογικής συσκευής δοκιμής τηλεπικοινωνιακού εξοπλισμού (όνομα εξοπλισμού).
10. Ανάπτυξη δικτύου ασύρματης επικοινωνίας (τμήμα δικτύου) βασισμένο στην τεχνολογία (όνομα τεχνολογίας).
11. Ανάπτυξη τεχνολογίας απομακρυσμένης παρακολούθησης παραμέτρων αντικειμένων (όνομα παραμέτρων).
12. Ανάπτυξη δικτύου αισθητήρων για την παρακολούθηση της κατάστασης ενός αντικειμένου (όνομα του αντικειμένου).
13. Ανάπτυξη τεχνολογίας διάγνωσης και μέτρησης παραμέτρων τηλεπικοινωνιακής συσκευής (όνομα συσκευής, σύστημα, δίκτυο, περιβάλλον).
14. Ανάπτυξη συσκευής πομποδέκτη για το σύστημα (όνομα συστήματος).
15. Ανάπτυξη τηλεπικοινωνιακών συσκευών για τηλεχειρισμό αντικειμένου (όνομα αντικειμένου).
16. Ανάπτυξη παραμέτρου για εξαρτήματα τηλεπικοινωνιακού εξοπλισμού (ονομασία εξαρτημάτων).
17. Ανάπτυξη ασύρματης συσκευής εισόδου/εξόδου πληροφοριών (όνομα συσκευής).
18. Ανάπτυξη υλικού και λογισμικού για τεχνολογία πληροφορικής (όνομα τεχνολογίας).
19. Μελέτη πρωτοκόλλων μεταφοράς πληροφοριών στο σύστημα (όνομα συστήματος).
20. Έρευνα μεθόδων επεξεργασίας ψηφιακού σήματος για το σύστημα (όνομα συστήματος).
21. Ανάπτυξη τεχνολογίας πληροφορικής και συστήματος διαχείρισης εγκαταστάσεων (όνομα εγκατάστασης).
22. Ανάπτυξη ασύρματου συστήματος μέτρησης παραμέτρου (όνομα παραμέτρου).
23. Σχεδιασμός εικονικών διακομιστών με βάση εργαλεία (όνομα εργαλείων εικονικοποίησης) και κανάλια μετάδοσης δεδομένων για επιχείρηση (όνομα επιχείρησης).
Θέματα τελικών προκριματικών εργασιών
σύμφωνα με το εκπαιδευτικό πρόγραμμα της δευτεροβάθμιας επαγγελματικής εκπαίδευσης
ειδικότητα 09.02.01 «Συστήματα υπολογιστών και συγκροτήματα»
Επαγγελματικές ενότητες:PM.01 Σχεδιασμός ψηφιακών συσκευών,
PM.02 Εφαρμογή συστημάτων μικροεπεξεργαστή, εγκατάσταση και διαμόρφωση περιφερειακής εκπαίδευσης,
ΠΜ.03 Συντήρηση και επισκευή υπολογιστικών συστημάτων και συγκροτημάτων.
1. Διαγνωστικά βλαβών και παρακολούθηση της τεχνικής κατάστασης του εξοπλισμού (ονομασία υλικού και λογισμικού τεχνολογίας υπολογιστών ή δικτύου υπολογιστών).
2. Συναρμολόγηση, διαμόρφωση και ρύθμιση εργαλείων (όνομα υλικού και λογισμικού υπολογιστή ή δίκτυο υπολογιστών).
3. Ανάπτυξη ενός συνόλου μέτρων για τη διασφάλιση της ασφάλειας των πληροφοριών του δικτύου υπολογιστών της επιχείρησης (όνομα της επιχείρησης).
4. Ανάπτυξη συστήματος ανεπαφικής αναγνώρισης της επιχείρησης (όνομα επιχείρησης).
5. Συντήρηση και διαχείριση του πληροφοριακού συστήματος της επιχείρησης (όνομα της επιχείρησης).
6. Συντήρηση και διαχείριση του δικτύου υπολογιστών της επιχείρησης (επωνυμία επιχείρησης).
7. Συντήρηση και υποστήριξη υλικού και λογισμικού (όνομα υλικού υπολογιστή ή δικτύου υπολογιστών).
8. Εγκατάσταση, προσαρμογή και συντήρηση λογισμικού (όνομα λογισμικού).
9. Ανάπτυξη και έρευνα ψηφιακής (μικροεπεξεργαστή) συσκευής (module) (όνομα συσκευής, ενότητα).
10. Ανάπτυξη τεχνολογίας δοκιμών και ολοκληρωμένος εντοπισμός σφαλμάτων λογισμικού (όνομα λογισμικού).
Θέματα τελικών κατατακτήριων εργασιών για πτυχιούχους
εστίαση (προφίλ) «Στοιχεία και συσκευές τεχνολογίας υπολογιστών και συστημάτων πληροφοριών»
τομείς εκπαίδευσης 09.04.01 «Πληροφορική και Επιστήμη Υπολογιστών»
Τύποι επαγγελματικών δραστηριοτήτων:σχέδιο,
επιστημονική έρευνα.
1. Μοντελοποίηση και έρευνα πρωτοκόλλων δικτύου για μεταφορά πληροφοριών (αναφέρεται το είδος της πληροφορίας).
2. Έρευνα και ανάπτυξη υπολογιστικών μεθόδων για τη βελτίωση των παραμέτρων του συστήματος (αναφέρονται παράμετροι ή παράμετροι και τύπος συστήματος).
3. Υπολογιστική μοντελοποίηση, έρευνα και βελτιστοποίηση πληροφοριακών ή τηλεπικοινωνιακών συστημάτων (αναφέρεται η κατηγορία συστημάτων).
4. Έρευνα και βελτιστοποίηση κατασκευής ασύρματων δικτύων αισθητήρων.
5. Έρευνα και ανάλυση κατασκευής ασύρματων δικτύων Internet of Things.
6. Ανάπτυξη κριτηρίων απόδοσης και μελέτη κατανομής εικονικών μηχανών εντός της υποδομής cloud.
7. Ανάπτυξη, έρευνα και αξιολόγηση της αποτελεσματικότητας συστημάτων κατανεμημένων πληροφοριών (ή πληροφορικής-μέτρησης) (αναφέρεται η περιοχή εφαρμογής ή ο τύπος συστημάτων).
8. Ανάπτυξη και έρευνα ασύρματης διεπαφής για εξοπλισμό (όνομα εξοπλισμού).
9. Ανάπτυξη και έρευνα συσκευής παρακολούθησης αντικειμένων (όνομα αντικειμένων).
10. Ανάπτυξη και έρευνα συσκευών παρακολούθησης της κατάστασης ενός αντικειμένου (όνομα αντικειμένου).
11. Ανάπτυξη διαγνωστικών εργαλείων υλικού και λογισμικού για συσκευές (όνομα συσκευών).
12. Ανάπτυξη και έρευνα ασύρματου αισθητήρα (όνομα της μετρούμενης παραμέτρου).
13. Μελέτη διορθωτικών αλγορίθμων για μετατροπείς παραμέτρου (όνομα παραμέτρου) σε κώδικα.
14. Ανάπτυξη αλγορίθμων και λογισμικού παρακολούθησης των παραμέτρων του συστήματος διαχείρισης εγκαταστάσεων (όνομα εγκατάστασης).
15. Ανάπτυξη και έρευνα ασύρματων συσκευών ελέγχου για το αντικείμενο (όνομα αντικειμένου).
16. Μοντελοποίηση και έρευνα μετατροπέων παραμέτρων (όνομα παραμέτρων).
17. Μέθοδοι αξιολόγησης της ποιότητας του λογισμικού (αναφέρεται ο σκοπός του λογισμικού).
18. Μελέτη της λειτουργίας συσκευών (ονομασία συσκευών) υπό συνθήκες (αναφέρονται οι συνθήκες) για τη βελτίωση των χαρακτηριστικών (αναφέρονται τα χαρακτηριστικά).
19. Ανάπτυξη μεθόδων ανάλυσης και σύνθεσης συσκευών (όνομα συσκευών) με σκοπό τη βελτίωση των χαρακτηριστικών (αναφέρονται τα χαρακτηριστικά).
Θέματα τελικών προκριματικών εργασιών
στο ακαδημαϊκό μεταπτυχιακό πρόγραμμα
εστίαση (προφίλ) «Ανάπτυξη λογισμικού και πληροφοριακών συστημάτων»
τομείς εκπαίδευσης 09.04.04 «Μηχανική Λογισμικού»
έρευνα,
σχέδιο
1. Ανάπτυξη και έρευνα υπηρεσίας REST για προβολή ωραρίων σε ανώτατα εκπαιδευτικά ιδρύματα.
2. Έρευνα και ανάπτυξη εργαλείων δοκιμής λογισμικού για χειριστές κινητής τηλεφωνίας.
3. Αναγνώριση της φυσιολογικής κατάστασης ενός ατόμου με βάση τη θεωρία συστημάτων με τυχαία δομή.
4. Σχεδιασμός πληροφοριακού συστήματος αυτοματισμού πωλήσεων (όνομα επιχείρησης) με βάση την προσέγγιση MDA.
5. Ανάπτυξη και έρευνα πληροφοριακού συστήματος λογισμικού για την αξιολόγηση της ποιότητας του λογισμικού (αναφέρεται το όνομα του λογισμικού).
6. Ανάπτυξη κατανεμημένου λογισμικού και πληροφοριακών συστημάτων (αναφέρεται το πεδίο εφαρμογής του συστήματος) και έρευνα για τις δυνατότητες βελτιστοποίησής τους με βάση κριτήρια αποδοτικότητας (αναφέρονται τα κριτήρια).
7. Ανάπτυξη λογισμικού για την υποστήριξη συσκευών εισόδου/εξόδου για το σύστημα (όνομα του συστήματος).
8. Μελέτη ασφάλειας εξαρτημάτων του πληροφοριακού συστήματος λογισμικού (όνομα συστήματος).
Εισαγωγή
Κεφάλαιο 1. Θεωρητικές πτυχές υιοθεσίας και ασφάλεια πληροφοριών
1.1Η έννοια της ασφάλειας πληροφοριών 3 Μέθοδοι ασφάλειας πληροφοριών Κεφάλαιο 2. Ανάλυση του συστήματος ασφάλειας πληροφοριών 1 Πεδίο δραστηριότητας της εταιρείας και ανάλυση οικονομικών δεικτών 2 Περιγραφή του συστήματος ασφάλειας πληροφοριών της εταιρείας 3 Ανάπτυξη μιας σειράς μέτρων για τον εκσυγχρονισμό του υφιστάμενου συστήματος ασφάλειας πληροφοριών συμπέρασμα Βιβλιογραφία Εφαρμογή Παράρτημα 1. Ισολογισμός 2010 Παράρτημα 1. Ισολογισμός 2010 Εισαγωγή Η συνάφεια του θέματος της διατριβής καθορίζεται από το αυξημένο επίπεδο προβλημάτων ασφάλειας πληροφοριών, ακόμη και στο πλαίσιο της ραγδαίας ανάπτυξης τεχνολογιών και εργαλείων για την προστασία δεδομένων. Είναι αδύνατο να διασφαλιστεί ένα επίπεδο προστασίας 100% για τα εταιρικά συστήματα πληροφοριών, ενώ παράλληλα θα δοθεί σωστή προτεραιότητα στις εργασίες προστασίας δεδομένων δεδομένου του περιορισμένου μεριδίου του προϋπολογισμού που διατίθεται για την τεχνολογία πληροφοριών. Η αξιόπιστη προστασία της υπολογιστικής και δικτυακής εταιρικής υποδομής αποτελεί βασικό καθήκον ασφάλειας πληροφοριών για κάθε εταιρεία. Με την ανάπτυξη της επιχείρησης και τη μετάβαση σε μια γεωγραφικά κατανεμημένη οργάνωση, αρχίζει να ξεπερνά τα όρια ενός μόνο κτιρίου. Η αποτελεσματική προστασία της υποδομής πληροφορικής και των συστημάτων εταιρικών εφαρμογών σήμερα είναι αδύνατη χωρίς την εισαγωγή σύγχρονων τεχνολογιών ελέγχου πρόσβασης στο δίκτυο. Οι αυξανόμενες περιπτώσεις κλοπής μέσων που περιέχουν πολύτιμες επιχειρηματικές πληροφορίες αναγκάζουν ολοένα και περισσότερο τη λήψη οργανωτικών μέτρων. Σκοπός αυτής της εργασίας θα είναι η αξιολόγηση του υπάρχοντος συστήματος ασφάλειας πληροφοριών στον οργανισμό και η ανάπτυξη μέτρων για τη βελτίωσή του. Ο στόχος αυτός καθορίζει τους ακόλουθους στόχους της διατριβής: ) εξετάστε την έννοια της ασφάλειας των πληροφοριών. ) εξετάστε τους τύπους πιθανών απειλών για τα συστήματα πληροφοριών και τις επιλογές για προστασία από πιθανές απειλές διαρροής πληροφοριών στον οργανισμό. ) να προσδιορίσει έναν κατάλογο πόρων πληροφοριών, η παραβίαση της ακεραιότητας ή του απορρήτου των οποίων θα οδηγήσει στη μεγαλύτερη ζημία στην επιχείρηση· ) να αναπτύξουν στη βάση τους ένα σύνολο μέτρων για τη βελτίωση του υφιστάμενου συστήματος ασφάλειας πληροφοριών. Η εργασία αποτελείται από μια εισαγωγή, δύο κεφάλαια, ένα συμπέρασμα, έναν κατάλογο πηγών που χρησιμοποιήθηκαν και εφαρμογές. Η εισαγωγή τεκμηριώνει τη συνάφεια του ερευνητικού θέματος και διατυπώνει το σκοπό και τους στόχους της εργασίας. Το πρώτο κεφάλαιο συζητά τις θεωρητικές πτυχές των εννοιών της ασφάλειας πληροφοριών σε έναν οργανισμό. Το δεύτερο κεφάλαιο παρέχει μια σύντομη περιγραφή των δραστηριοτήτων της εταιρείας, βασικούς δείκτες απόδοσης, περιγράφει την τρέχουσα κατάσταση του συστήματος ασφάλειας πληροφοριών και προτείνει μέτρα για τη βελτίωσή του. Συμπερασματικά, διατυπώνονται τα κύρια αποτελέσματα και συμπεράσματα της εργασίας. Η μεθοδολογική και θεωρητική βάση της διατριβής ήταν οι εργασίες εγχώριων και ξένων εμπειρογνωμόνων στον τομέα της ασφάλειας πληροφοριών.Κατά τη διάρκεια της εργασίας χρησιμοποιήθηκαν πληροφορίες που αντανακλούσαν το περιεχόμενο νόμων, νομοθετικών πράξεων και κανονισμών, διαταγμάτων της Κυβέρνησης η Ρωσική Ομοσπονδία που ρυθμίζει την ασφάλεια των πληροφοριών, διεθνή πρότυπα για την ασφάλεια πληροφοριών. Η θεωρητική σημασία της διατριβής έγκειται στην εφαρμογή μιας ολοκληρωμένης προσέγγισης κατά την ανάπτυξη μιας πολιτικής ασφάλειας πληροφοριών. Η πρακτική σημασία της εργασίας καθορίζεται από το γεγονός ότι τα αποτελέσματά της καθιστούν δυνατή την αύξηση του βαθμού προστασίας των πληροφοριών σε μια επιχείρηση μέσω του ικανού σχεδιασμού μιας πολιτικής ασφάλειας πληροφοριών. Κεφάλαιο 1. Θεωρητικές πτυχές υιοθεσίας και ασφάλεια πληροφοριών 1.1 Έννοια της ασφάλειας πληροφοριών Η ασφάλεια πληροφοριών αναφέρεται στην ασφάλεια των πληροφοριών και της υποστηρικτικής τους υποδομής από τυχόν τυχαίες ή κακόβουλες επιρροές που μπορεί να οδηγήσουν σε ζημιά στις ίδιες τις πληροφορίες, τους κατόχους τους ή την υποστηρικτική υποδομή. Οι στόχοι της ασφάλειας πληροφοριών έγκεινται στην ελαχιστοποίηση των ζημιών, καθώς και στην πρόβλεψη και την πρόληψη τέτοιων επιπτώσεων. Οι παράμετροι των πληροφοριακών συστημάτων που χρειάζονται προστασία μπορούν να χωριστούν στις ακόλουθες κατηγορίες: διασφάλιση της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των πόρων πληροφοριών. προσβασιμότητα είναι η δυνατότητα απόκτησης, σε σύντομο χρονικό διάστημα, της απαιτούμενης υπηρεσίας πληροφοριών. ακεραιότητα είναι η συνάφεια και η συνέπεια των πληροφοριών, η προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές. εμπιστευτικότητα - προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Τα πληροφοριακά συστήματα δημιουργούνται κυρίως για την απόκτηση ορισμένων υπηρεσιών πληροφοριών. Εάν η απόκτηση πληροφοριών για οποιονδήποτε λόγο καταστεί αδύνατη, αυτό προκαλεί βλάβη σε όλα τα θέματα των σχέσεων πληροφοριών. Από αυτό μπορούμε να προσδιορίσουμε ότι η διαθεσιμότητα των πληροφοριών προηγείται. Η ακεραιότητα είναι η κύρια πτυχή της ασφάλειας των πληροφοριών όταν η ακρίβεια και η αλήθεια είναι οι κύριες παράμετροι των πληροφοριών. Για παράδειγμα, συνταγές για ιατρικά φάρμακα ή ένα σύνολο και χαρακτηριστικά συστατικών. Το πιο ανεπτυγμένο στοιχείο ασφάλειας πληροφοριών στη χώρα μας είναι η εμπιστευτικότητα. Ωστόσο, η πρακτική εφαρμογή μέτρων για τη διασφάλιση του απορρήτου των σύγχρονων συστημάτων πληροφοριών αντιμετωπίζει μεγάλες δυσκολίες στη Ρωσία. Πρώτον, οι πληροφορίες σχετικά με τεχνικά κανάλια διαρροής πληροφοριών είναι κλειστές, επομένως οι περισσότεροι χρήστες δεν μπορούν να πάρουν μια ιδέα για τους πιθανούς κινδύνους. Δεύτερον, υπάρχουν πολυάριθμα νομοθετικά εμπόδια και τεχνικές προκλήσεις που εμποδίζουν την προσαρμοσμένη κρυπτογραφία ως πρωταρχικό μέσο διασφάλισης της ιδιωτικής ζωής. Οι ενέργειες που μπορούν να προκαλέσουν βλάβη σε ένα πληροφοριακό σύστημα μπορούν να χωριστούν σε διάφορες κατηγορίες. στοχευμένη κλοπή ή καταστροφή δεδομένων σε σταθμό εργασίας ή διακομιστή· Ζημιά στα δεδομένα από τον χρήστη ως αποτέλεσμα απρόσεκτων ενεργειών. . «Ηλεκτρονικές» μέθοδοι επιρροής που πραγματοποιούνται από χάκερ. Οι χάκερ νοούνται ως άτομα που εμπλέκονται σε εγκλήματα ηλεκτρονικών υπολογιστών τόσο επαγγελματικά (συμπεριλαμβανομένου του ανταγωνισμού) όσο και απλώς από περιέργεια. Αυτές οι μέθοδοι περιλαμβάνουν: μη εξουσιοδοτημένη είσοδος σε δίκτυα υπολογιστών· Ο σκοπός της μη εξουσιοδοτημένης εισόδου σε ένα εταιρικό δίκτυο από το εξωτερικό μπορεί να είναι η πρόκληση βλάβης (καταστροφή δεδομένων), η κλοπή εμπιστευτικών πληροφοριών και η χρήση τους για παράνομους σκοπούς, η χρήση της υποδομής δικτύου για την οργάνωση επιθέσεων σε κόμβους τρίτων, η κλοπή χρημάτων από λογαριασμούς , και τα λοιπά. Μια επίθεση DOS (συντομογραφία Denial of Service) είναι μια εξωτερική επίθεση σε κόμβους εταιρικού δικτύου που είναι υπεύθυνοι για την ασφαλή και αποτελεσματική λειτουργία του (αρχεία, διακομιστές αλληλογραφίας). Οι εισβολείς οργανώνουν μαζική αποστολή πακέτων δεδομένων σε αυτούς τους κόμβους προκειμένου να τους υπερφορτώσουν και, ως εκ τούτου, να τους θέσουν εκτός δράσης για κάποιο χρονικό διάστημα. Αυτό, κατά κανόνα, συνεπάγεται διαταραχές στις επιχειρηματικές διαδικασίες της εταιρείας-θύματος, απώλεια πελατών, βλάβη στη φήμη κ.λπ. Ιοί υπολογιστών. Μια ξεχωριστή κατηγορία ηλεκτρονικών μεθόδων επιρροής είναι οι ιοί υπολογιστών και άλλα κακόβουλα προγράμματα. Αποτελούν πραγματικό κίνδυνο για τις σύγχρονες επιχειρήσεις που χρησιμοποιούν ευρέως τα δίκτυα υπολογιστών, το Διαδίκτυο και το ηλεκτρονικό ταχυδρομείο. Η διείσδυση ενός ιού σε κόμβους εταιρικού δικτύου μπορεί να οδηγήσει σε διακοπή της λειτουργίας τους, απώλεια χρόνου εργασίας, απώλεια δεδομένων, κλοπή εμπιστευτικών πληροφοριών και ακόμη και άμεση κλοπή οικονομικών πόρων. Ένα πρόγραμμα ιών που έχει διεισδύσει σε ένα εταιρικό δίκτυο μπορεί να δώσει στους εισβολείς μερικό ή πλήρη έλεγχο των δραστηριοτήτων της εταιρείας. Ανεπιθυμητη αλληλογραφια. Μέσα σε λίγα μόλις χρόνια, το spam μετατράπηκε από έναν μικρό ερεθισμό σε μια από τις πιο σοβαρές απειλές για την ασφάλεια: Το email έγινε πρόσφατα το κύριο κανάλι για τη διάδοση κακόβουλου λογισμικού. Τα ανεπιθύμητα μηνύματα χρειάζονται πολύ χρόνο για την προβολή και στη συνέχεια τη διαγραφή μηνυμάτων, προκαλώντας στους εργαζόμενους ένα αίσθημα ψυχολογικής δυσφορίας. τόσο άτομα όσο και οργανισμοί γίνονται θύματα απατηλών προγραμμάτων που πραγματοποιούνται από spammers (τα θύματα συχνά προσπαθούν να μην αποκαλύψουν τέτοια συμβάντα). σημαντική αλληλογραφία συχνά διαγράφεται μαζί με ανεπιθύμητη αλληλογραφία, η οποία μπορεί να οδηγήσει σε απώλεια πελατών, σπασμένα συμβόλαια και άλλες δυσάρεστες συνέπειες. ο κίνδυνος απώλειας της αλληλογραφίας αυξάνεται ιδιαίτερα όταν χρησιμοποιείτε μαύρες λίστες RBL και άλλες «ακατέργαστες» μεθόδους φιλτραρίσματος ανεπιθύμητων μηνυμάτων. «Φυσικές» απειλές. Η ασφάλεια των πληροφοριών μιας εταιρείας μπορεί να επηρεαστεί από διάφορους εξωτερικούς παράγοντες: απώλεια δεδομένων μπορεί να προκληθεί από ακατάλληλη αποθήκευση, κλοπή υπολογιστών και πολυμέσων, ανωτέρα βία κ.λπ. Ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS ή Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών) σάς επιτρέπει να διαχειρίζεστε ένα σύνολο μέτρων που εφαρμόζουν μια συγκεκριμένη προβλεπόμενη στρατηγική, σε αυτήν την περίπτωση σε σχέση με την ασφάλεια των πληροφοριών. Σημειώστε ότι δεν μιλάμε μόνο για διαχείριση ενός υπάρχοντος συστήματος, αλλά και για κατασκευή νέου/επανασχεδιασμό παλιού. Το σύνολο των μέτρων περιλαμβάνει οργανωτικά, τεχνικά, φυσικά και άλλα. Η διαχείριση της ασφάλειας πληροφοριών είναι μια πολύπλοκη διαδικασία, η οποία επιτρέπει την πιο αποτελεσματική και ολοκληρωμένη διαχείριση ασφάλειας πληροφοριών σε μια εταιρεία. Ο στόχος της διαχείρισης της ασφάλειας πληροφοριών είναι η διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Το μόνο ερώτημα είναι τι είδους πληροφορίες πρέπει να προστατεύονται και ποιες προσπάθειες πρέπει να γίνουν για να διασφαλιστεί η ασφάλειά τους. Οποιαδήποτε διαχείριση βασίζεται στην επίγνωση της κατάστασης στην οποία εμφανίζεται. Όσον αφορά την ανάλυση κινδύνου, η επίγνωση της κατάστασης εκφράζεται στην απογραφή και την αξιολόγηση των περιουσιακών στοιχείων του οργανισμού και του περιβάλλοντος τους, δηλαδή ό,τι διασφαλίζει τη διεξαγωγή επιχειρηματικών δραστηριοτήτων. Από την άποψη της ανάλυσης κινδύνου ασφάλειας πληροφοριών, τα κύρια περιουσιακά στοιχεία περιλαμβάνουν πληροφορίες, υποδομές, προσωπικό, εικόνα και φήμη της εταιρείας. Χωρίς απογραφή περιουσιακών στοιχείων σε επίπεδο επιχειρηματικής δραστηριότητας, είναι αδύνατο να απαντηθεί το ερώτημα τι ακριβώς πρέπει να προστατευθεί. Είναι σημαντικό να κατανοήσουμε ποιες πληροφορίες επεξεργάζονται μέσα σε έναν οργανισμό και πού επεξεργάζονται. Σε έναν μεγάλο σύγχρονο οργανισμό, ο αριθμός των στοιχείων ενεργητικού μπορεί να είναι πολύ μεγάλος. Εάν οι δραστηριότητες ενός οργανισμού αυτοματοποιούνται χρησιμοποιώντας ένα σύστημα ERP, τότε μπορούμε να πούμε ότι σχεδόν κάθε υλικό αντικείμενο που χρησιμοποιείται σε αυτή τη δραστηριότητα αντιστοιχεί σε κάποιο είδος πληροφοριακού αντικειμένου. Ως εκ τούτου, το πρωταρχικό καθήκον της διαχείρισης κινδύνου είναι να εντοπίσει τα πιο σημαντικά περιουσιακά στοιχεία. Είναι αδύνατο να λυθεί αυτό το πρόβλημα χωρίς τη συμμετοχή των διευθυντών της κύριας δραστηριότητας του οργανισμού, τόσο του μεσαίου όσο και του ανώτερου επιπέδου. Η βέλτιστη κατάσταση είναι όταν η ανώτατη διοίκηση του οργανισμού ορίζει προσωπικά τους πιο κρίσιμους τομείς δραστηριότητας, για τους οποίους είναι εξαιρετικά σημαντικό να διασφαλιστεί η ασφάλεια των πληροφοριών. Η γνώμη της ανώτατης διοίκησης σχετικά με τις προτεραιότητες στη διασφάλιση της ασφάλειας των πληροφοριών είναι πολύ σημαντική και πολύτιμη στη διαδικασία ανάλυσης κινδύνου, αλλά σε κάθε περίπτωση θα πρέπει να διευκρινιστεί με τη συλλογή πληροφοριών σχετικά με την κρισιμότητα των περιουσιακών στοιχείων στο μέσο επίπεδο διαχείρισης της εταιρείας. Ταυτόχρονα, είναι σκόπιμο να γίνει περαιτέρω ανάλυση ακριβώς στους τομείς της επιχειρηματικής δραστηριότητας που ορίζονται από την ανώτατη διοίκηση. Οι πληροφορίες που λαμβάνονται υποβάλλονται σε επεξεργασία, συγκεντρώνονται και διαβιβάζονται στην ανώτατη διοίκηση για μια ολοκληρωμένη αξιολόγηση της κατάστασης. Οι πληροφορίες μπορούν να εντοπιστούν και να εντοπιστούν με βάση μια περιγραφή επιχειρηματικών διαδικασιών στις οποίες οι πληροφορίες θεωρούνται ως ένας από τους τύπους πόρων. Το έργο απλοποιείται κάπως εάν ο οργανισμός έχει υιοθετήσει μια προσέγγιση για τη ρύθμιση των επιχειρηματικών δραστηριοτήτων (για παράδειγμα, για σκοπούς διαχείρισης ποιότητας και βελτιστοποίησης των επιχειρηματικών διαδικασιών). Οι επίσημες περιγραφές των επιχειρηματικών διαδικασιών είναι ένα καλό σημείο εκκίνησης για την απογραφή περιουσιακών στοιχείων. Εάν δεν υπάρχουν περιγραφές, μπορείτε να προσδιορίσετε τα περιουσιακά στοιχεία με βάση τις πληροφορίες που λάβατε από τους υπαλλήλους του οργανισμού. Μόλις εντοπιστούν τα περιουσιακά στοιχεία, πρέπει να προσδιοριστεί η αξία τους. Το έργο του προσδιορισμού της αξίας των στοιχείων ενεργητικού σε ολόκληρο τον οργανισμό είναι το πιο σημαντικό και πολύπλοκο. Είναι η αξιολόγηση των στοιχείων ενεργητικού που θα επιτρέψει στον επικεφαλής του τμήματος ασφάλειας πληροφοριών να επιλέξει τους κύριους τομείς δραστηριότητας για τη διασφάλιση της ασφάλειας των πληροφοριών. Όμως, η οικονομική αποδοτικότητα της διαδικασίας διαχείρισης της ασφάλειας πληροφοριών εξαρτάται σε μεγάλο βαθμό από τη συνειδητοποίηση του τι πρέπει να προστατευθεί και ποιες προσπάθειες θα απαιτήσει αυτό, καθώς στις περισσότερες περιπτώσεις το ποσό της προσπάθειας που εφαρμόζεται είναι ευθέως ανάλογο με το ποσό των χρημάτων που δαπανώνται και τα λειτουργικά έξοδα. Η διαχείριση κινδύνου σάς επιτρέπει να απαντήσετε στο ερώτημα πού μπορείτε να αναλάβετε κινδύνους και πού όχι. Στην περίπτωση της ασφάλειας των πληροφοριών, ο όρος «κίνδυνος» σημαίνει ότι σε έναν συγκεκριμένο τομέα είναι δυνατό να μην καταβληθούν σημαντικές προσπάθειες για την προστασία των στοιχείων του ενεργητικού και ταυτόχρονα, σε περίπτωση παραβίασης της ασφάλειας, ο οργανισμός δεν θα υποφέρει σημαντικές απώλειες. Εδώ μπορούμε να κάνουμε μια αναλογία με τις κατηγορίες προστασίας των αυτοματοποιημένων συστημάτων: όσο πιο σημαντικοί είναι οι κίνδυνοι, τόσο πιο αυστηρές θα πρέπει να είναι οι απαιτήσεις προστασίας. Για να προσδιορίσετε τις συνέπειες μιας παραβίασης ασφάλειας, πρέπει είτε να έχετε πληροφορίες σχετικά με καταγεγραμμένα συμβάντα παρόμοιας φύσης είτε να πραγματοποιήσετε μια ανάλυση σεναρίου. Η ανάλυση σεναρίου εξετάζει τις σχέσεις αιτίου-αποτελέσματος μεταξύ συμβάντων ασφάλειας περιουσιακών στοιχείων και των συνεπειών αυτών των γεγονότων στις επιχειρηματικές δραστηριότητες του οργανισμού. Οι συνέπειες των σεναρίων θα πρέπει να αξιολογούνται από πολλά άτομα, επαναληπτικά ή συλλογιστικά. Σημειωτέον ότι η ανάπτυξη και αξιολόγηση τέτοιων σεναρίων δεν μπορεί να είναι εντελώς διαχωρισμένη από την πραγματικότητα. Πρέπει πάντα να θυμάστε ότι το σενάριο πρέπει να είναι πιθανό. Τα κριτήρια και οι κλίμακες για τον προσδιορισμό της αξίας είναι ατομικά για κάθε οργανισμό. Με βάση τα αποτελέσματα της ανάλυσης σεναρίων, μπορούν να ληφθούν πληροφορίες σχετικά με την αξία των περιουσιακών στοιχείων. Εάν εντοπιστούν περιουσιακά στοιχεία και προσδιοριστεί η αξία τους, μπορούμε να πούμε ότι οι στόχοι της παροχής ασφάλειας πληροφοριών καθορίζονται εν μέρει: καθορίζονται τα αντικείμενα προστασίας και η σημασία της διατήρησής τους σε κατάσταση ασφάλειας πληροφοριών για τον οργανισμό. Ίσως το μόνο που μένει είναι να καθοριστεί από ποιον πρέπει να προστατευτεί. Αφού καθορίσετε τους στόχους της διαχείρισης της ασφάλειας πληροφοριών, θα πρέπει να αναλύσετε τα προβλήματα που σας εμποδίζουν να προσεγγίσετε την κατάσταση-στόχο. Σε αυτό το επίπεδο, η διαδικασία ανάλυσης κινδύνου καταλήγει στην υποδομή πληροφοριών και στις παραδοσιακές έννοιες ασφάλειας πληροφοριών - εισβολείς, απειλές και τρωτά σημεία. Για την αξιολόγηση των κινδύνων, δεν αρκεί η εισαγωγή ενός τυπικού μοντέλου παραβάτη που διαιρεί όλους τους παραβάτες ανά τύπο πρόσβασης στο περιουσιακό στοιχείο και γνώση της δομής του ενεργητικού. Αυτή η διαίρεση βοηθά στον προσδιορισμό των απειλών που μπορούν να απευθύνονται σε ένα περιουσιακό στοιχείο, αλλά δεν απαντά στο ερώτημα εάν αυτές οι απειλές μπορούν, καταρχήν, να πραγματοποιηθούν. Στη διαδικασία ανάλυσης κινδύνου, είναι απαραίτητο να αξιολογηθεί το κίνητρο των παραβατών στην εφαρμογή απειλών. Στην περίπτωση αυτή, ως παραβάτης δεν νοείται ένας αφηρημένος εξωτερικός χάκερ ή ένας εσωτερικός χρήστης, αλλά ένα μέρος που ενδιαφέρεται να αποκομίσει οφέλη παραβιάζοντας την ασφάλεια ενός περιουσιακού στοιχείου. Συνιστάται να λαμβάνετε αρχικές πληροφορίες σχετικά με το μοντέλο του παραβάτη, όπως στην περίπτωση της επιλογής των αρχικών κατευθύνσεων των δραστηριοτήτων ασφάλειας πληροφοριών, από ανώτατα στελέχη, τα οποία κατανοούν τη θέση του οργανισμού στην αγορά, έχουν πληροφορίες για τους ανταγωνιστές και ποιες μεθόδους επιρροής μπορούν να αναμένεται από αυτούς. Οι πληροφορίες που είναι απαραίτητες για την ανάπτυξη ενός μοντέλου εισβολέα μπορούν επίσης να ληφθούν από εξειδικευμένη έρευνα σχετικά με παραβιάσεις της ασφάλειας υπολογιστών στον επιχειρηματικό τομέα για τον οποίο πραγματοποιείται η ανάλυση κινδύνου. Ένα σωστά αναπτυγμένο μοντέλο εισβολέα συμπληρώνει τους στόχους ασφάλειας πληροφοριών που προσδιορίζονται κατά την αξιολόγηση των περιουσιακών στοιχείων του οργανισμού. Η ανάπτυξη ενός μοντέλου απειλών και ο εντοπισμός των τρωτών σημείων είναι άρρηκτα συνδεδεμένες με μια απογραφή του περιβάλλοντος των στοιχείων ενεργητικού του οργανισμού. Οι ίδιες οι πληροφορίες δεν αποθηκεύονται ούτε υποβάλλονται σε επεξεργασία. Η πρόσβαση σε αυτό παρέχεται χρησιμοποιώντας μια πληροφοριακή υποδομή που αυτοματοποιεί τις επιχειρηματικές διαδικασίες του οργανισμού. Είναι σημαντικό να κατανοήσουμε πώς η πληροφοριακή υποδομή και τα στοιχεία ενεργητικού ενός οργανισμού σχετίζονται μεταξύ τους. Από τη σκοπιά της διαχείρισης της ασφάλειας πληροφοριών, η σημασία της υποδομής πληροφοριών μπορεί να διαπιστωθεί μόνο αφού προσδιοριστεί η σχέση μεταξύ των στοιχείων ενεργητικού και της υποδομής των πληροφοριών. Εάν οι διαδικασίες για τη συντήρηση και τη λειτουργία της πληροφοριακής υποδομής σε έναν οργανισμό είναι ρυθμισμένες και διαφανείς, η συλλογή των πληροφοριών που είναι απαραίτητες για τον εντοπισμό απειλών και την αξιολόγηση των τρωτών σημείων απλοποιείται σημαντικά. Η ανάπτυξη ενός μοντέλου απειλής είναι δουλειά για επαγγελματίες ασφάλειας πληροφοριών που έχουν καλή κατανόηση του τρόπου με τον οποίο ένας εισβολέας μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες παραβιάζοντας την περίμετρο ασφαλείας ή χρησιμοποιώντας μεθόδους κοινωνικής μηχανικής. Κατά την ανάπτυξη ενός μοντέλου απειλών, μπορείτε επίσης να μιλήσετε για σενάρια ως διαδοχικά βήματα σύμφωνα με τα οποία μπορούν να πραγματοποιηθούν οι απειλές. Πολύ σπάνια συμβαίνει οι απειλές να υλοποιούνται σε ένα βήμα με την εκμετάλλευση ενός μόνο ευάλωτου σημείου του συστήματος. Το μοντέλο απειλών θα πρέπει να περιλαμβάνει όλες τις απειλές που εντοπίζονται μέσω σχετικών διαδικασιών διαχείρισης ασφάλειας πληροφοριών, όπως η διαχείριση ευπάθειας και συμβάντων. Πρέπει να θυμόμαστε ότι οι απειλές θα πρέπει να ταξινομηθούν μεταξύ τους ανάλογα με το επίπεδο πιθανότητας εφαρμογής τους. Για να γίνει αυτό, στη διαδικασία ανάπτυξης ενός μοντέλου απειλής για κάθε απειλή, είναι απαραίτητο να υποδειχθούν οι πιο σημαντικοί παράγοντες, η ύπαρξη των οποίων επηρεάζει την εφαρμογή της. Η πολιτική ασφαλείας βασίζεται σε ανάλυση κινδύνων που αναγνωρίζονται ως πραγματικοί για το πληροφοριακό σύστημα του οργανισμού. Αφού αναλυθούν οι κίνδυνοι και καθοριστεί η στρατηγική προστασίας, καταρτίζεται πρόγραμμα ασφάλειας πληροφοριών. Διατίθενται πόροι για το πρόγραμμα αυτό, ορίζονται υπεύθυνοι, καθορίζεται η διαδικασία παρακολούθησης της υλοποίησης του προγράμματος κ.λπ. Με μια ευρεία έννοια, η πολιτική ασφαλείας ορίζεται ως ένα σύστημα τεκμηριωμένων αποφάσεων διαχείρισης για τη διασφάλιση της ασφάλειας ενός οργανισμού. Με στενή έννοια, μια πολιτική ασφαλείας συνήθως νοείται ως ένα τοπικό ρυθμιστικό έγγραφο που ορίζει απαιτήσεις ασφαλείας, ένα σύστημα μέτρων ή μια διαδικασία, καθώς και τις ευθύνες των υπαλλήλων του οργανισμού και τους μηχανισμούς ελέγχου για έναν συγκεκριμένο τομέα ασφάλειας. Πριν ξεκινήσουμε να διαμορφώνουμε την ίδια την πολιτική ασφάλειας πληροφοριών, είναι απαραίτητο να κατανοήσουμε τις βασικές έννοιες με τις οποίες θα λειτουργήσουμε. Πληροφορίες – πληροφορίες (μηνύματα, δεδομένα) ανεξάρτητα από τη μορφή παρουσίασής τους. Η εμπιστευτικότητα των πληροφοριών είναι υποχρεωτική απαίτηση για ένα άτομο που έχει αποκτήσει πρόσβαση σε ορισμένες πληροφορίες να μην μεταφέρει αυτές τις πληροφορίες σε τρίτους χωρίς τη συγκατάθεση του κατόχου τους. Ασφάλεια πληροφοριών (IS) είναι η κατάσταση ασφάλειας του περιβάλλοντος πληροφοριών της κοινωνίας, που διασφαλίζει τη διαμόρφωση, χρήση και ανάπτυξή του προς το συμφέρον των πολιτών, των οργανισμών και των κρατών. Η έννοια της «πληροφορίας» σήμερα χρησιμοποιείται αρκετά ευρέως και ευέλικτα. Η διασφάλιση της ασφάλειας των πληροφοριών δεν μπορεί να είναι εφάπαξ πράξη. Πρόκειται για μια συνεχή διαδικασία που συνίσταται στην αιτιολόγηση και εφαρμογή των πιο ορθολογικών μεθόδων, μεθόδων και τρόπων βελτίωσης και ανάπτυξης του συστήματος ασφαλείας, συνεχούς παρακολούθησης της κατάστασής του, εντοπισμού των αδυναμιών και των παράνομων ενεργειών του. Η ασφάλεια των πληροφοριών μπορεί να διασφαλιστεί μόνο μέσω της ολοκληρωμένης χρήσης ολόκληρου του φάσματος των διαθέσιμων μέσων ασφαλείας σε όλα τα δομικά στοιχεία του συστήματος παραγωγής και σε όλα τα στάδια του τεχνολογικού κύκλου επεξεργασίας πληροφοριών. Το μεγαλύτερο αποτέλεσμα επιτυγχάνεται όταν όλα τα μέσα, οι μέθοδοι και τα μέτρα που χρησιμοποιούνται συνδυάζονται σε έναν ενιαίο ολιστικό μηχανισμό - ένα σύστημα ασφάλειας πληροφοριών. Ταυτόχρονα, η λειτουργία του συστήματος πρέπει να παρακολουθείται, να ενημερώνεται και να συμπληρώνεται ανάλογα με τις αλλαγές στις εξωτερικές και εσωτερικές συνθήκες. Σύμφωνα με το πρότυπο GOST R ISO/IEC 15408:2005, μπορούν να διακριθούν οι ακόλουθοι τύποι απαιτήσεων ασφαλείας: λειτουργική, που αντιστοιχεί στην ενεργό πτυχή της προστασίας, απαιτήσεις για λειτουργίες ασφαλείας και τους μηχανισμούς που τις εφαρμόζουν· απαιτήσεις εμπιστοσύνης που αντιστοιχούν στην παθητική πτυχή που επιβάλλεται στην τεχνολογία και στη διαδικασία ανάπτυξης και λειτουργίας. Είναι πολύ σημαντικό η ασφάλεια σε αυτό το πρότυπο να μην λαμβάνεται υπόψη στατικά, αλλά σε σχέση με τον κύκλο ζωής του αντικειμένου που αξιολογείται. Διακρίνονται τα ακόλουθα στάδια: προσδιορισμός του σκοπού, των συνθηκών χρήσης, των στόχων και των απαιτήσεων ασφάλειας· σχεδιασμός και ανάπτυξη; δοκιμή, αξιολόγηση και πιστοποίηση· υλοποίηση και λειτουργία. Λοιπόν, ας ρίξουμε μια πιο προσεκτική ματιά στις λειτουργικές απαιτήσεις ασφάλειας. Περιλαμβάνουν: προστασία δεδομένων χρήστη· προστασία των λειτουργιών ασφαλείας (απαιτήσεις αφορούν την ακεραιότητα και τον έλεγχο αυτών των υπηρεσιών ασφαλείας και των μηχανισμών που τις εφαρμόζουν)· διαχείριση ασφάλειας (οι απαιτήσεις αυτής της κλάσης σχετίζονται με τη διαχείριση χαρακτηριστικών και παραμέτρων ασφαλείας). έλεγχος ασφαλείας (αναγνώριση, εγγραφή, αποθήκευση, ανάλυση δεδομένων που επηρεάζουν την ασφάλεια του αντικειμένου που αξιολογείται, απόκριση σε πιθανή παραβίαση ασφάλειας)· απόρρητο (προστασία του χρήστη από αποκάλυψη και μη εξουσιοδοτημένη χρήση των δεδομένων ταυτοποίησής του)· χρήση πόρων (απαιτήσεις για διαθεσιμότητα πληροφοριών). επικοινωνία (έλεγχος ταυτότητας των μερών που εμπλέκονται στην ανταλλαγή δεδομένων). αξιόπιστη διαδρομή/κανάλι (για επικοινωνία με υπηρεσίες ασφαλείας). Σύμφωνα με αυτές τις απαιτήσεις, είναι απαραίτητο να διαμορφωθεί το σύστημα ασφάλειας πληροφοριών ενός οργανισμού. Το σύστημα ασφάλειας πληροφοριών του οργανισμού περιλαμβάνει τους ακόλουθους τομείς: ρυθμιστικη? οργανωτική (διοικητική)? τεχνικός; λογισμικό; Για την πλήρη αξιολόγηση της κατάστασης σε μια επιχείρηση σε όλους τους τομείς ασφάλειας, είναι απαραίτητο να αναπτυχθεί μια ιδέα ασφάλειας πληροφοριών που θα καθιέρωσε μια συστηματική προσέγγιση στο πρόβλημα της ασφάλειας των πόρων πληροφοριών και θα αντιπροσωπεύει μια συστηματική δήλωση στόχων, στόχων, αρχών σχεδιασμού και ένα σύνολο μέτρων για τη διασφάλιση της ασφάλειας των πληροφοριών σε μια επιχείρηση. Το σύστημα διαχείρισης εταιρικού δικτύου θα πρέπει να βασίζεται στις ακόλουθες αρχές (καθήκοντα): εξασφάλιση της προστασίας της υπάρχουσας υποδομής πληροφοριών της επιχείρησης από εισβολείς· παροχή συνθηκών εντοπισμού και ελαχιστοποίησης πιθανών ζημιών· εξάλειψη της εμφάνισης πηγών απειλών στο αρχικό στάδιο· εξασφάλιση της προστασίας των πληροφοριών έναντι τριών βασικών τύπων αναδυόμενων απειλών (διαθεσιμότητα, ακεραιότητα, εμπιστευτικότητα)· Η λύση στα παραπάνω προβλήματα επιτυγχάνεται με: ρύθμιση των ενεργειών των χρηστών κατά την εργασία με το σύστημα πληροφοριών· ρύθμιση των ενεργειών των χρηστών κατά την εργασία με τη βάση δεδομένων· ενιαίες απαιτήσεις για την αξιοπιστία του υλικού και του λογισμικού· διαδικασίες παρακολούθησης της λειτουργίας του συστήματος πληροφοριών (καταγραφή συμβάντων, ανάλυση πρωτοκόλλων, ανάλυση κίνησης δικτύου, ανάλυση λειτουργίας τεχνικού εξοπλισμού)· Η πολιτική ασφάλειας πληροφοριών περιλαμβάνει: το κύριο έγγραφο είναι η «Πολιτική Ασφαλείας». Γενικά περιγράφει την πολιτική ασφαλείας του οργανισμού, τις γενικές διατάξεις και υποδεικνύει επίσης τα σχετικά έγγραφα για όλες τις πτυχές της πολιτικής. οδηγίες για τη ρύθμιση της εργασίας των χρηστών · περιγραφή εργασίας για διαχειριστή τοπικού δικτύου· περιγραφή εργασίας του διαχειριστή της βάσης δεδομένων· οδηγίες για την εργασία με πόρους του Διαδικτύου· οδηγίες για την οργάνωση της προστασίας με κωδικό πρόσβασης. οδηγίες για την οργάνωση της προστασίας από ιούς. Το έγγραφο Πολιτικής Ασφαλείας περιέχει τις κύριες διατάξεις. Με βάση αυτό, δημιουργείται ένα πρόγραμμα ασφάλειας πληροφοριών, χτίζονται περιγραφές θέσεων εργασίας και συστάσεις. Οι οδηγίες για τη ρύθμιση της εργασίας των χρηστών του τοπικού δικτύου ενός οργανισμού ρυθμίζουν τη διαδικασία για να επιτρέπεται στους χρήστες να εργάζονται στο τοπικό δίκτυο υπολογιστών του οργανισμού, καθώς και τους κανόνες για το χειρισμό προστατευμένων πληροφοριών που επεξεργάζονται, αποθηκεύονται και μεταδίδονται στον οργανισμό. Η περιγραφή εργασίας ενός διαχειριστή τοπικού δικτύου περιγράφει τις ευθύνες ενός διαχειριστή τοπικού δικτύου σχετικά με την ασφάλεια πληροφοριών. Η περιγραφή εργασίας ενός διαχειριστή βάσης δεδομένων καθορίζει τις κύριες αρμοδιότητες, λειτουργίες και δικαιώματα ενός διαχειριστή βάσης δεδομένων. Περιγράφει με μεγάλη λεπτομέρεια όλες τις εργασιακές ευθύνες και λειτουργίες ενός διαχειριστή βάσης δεδομένων, καθώς και τα δικαιώματα και τις ευθύνες. Οι οδηγίες για την εργασία με πόρους του Διαδικτύου αντικατοπτρίζουν τους βασικούς κανόνες για ασφαλή εργασία με το Διαδίκτυο και περιέχουν επίσης μια λίστα αποδεκτών και μη αποδεκτών ενεργειών κατά την εργασία με πόρους Διαδικτύου. Οι οδηγίες για την οργάνωση προστασίας από ιούς ορίζουν τις βασικές διατάξεις, τις απαιτήσεις για την οργάνωση της προστασίας από ιούς του συστήματος πληροφοριών ενός οργανισμού, όλες τις πτυχές που σχετίζονται με τη λειτουργία λογισμικού προστασίας από ιούς, καθώς και την ευθύνη σε περίπτωση παραβίασης του συστήματος προστασίας από ιούς. -προστασία από ιό. Οι οδηγίες οργάνωσης προστασίας κωδικών πρόσβασης ρυθμίζουν την οργανωτική και τεχνική υποστήριξη για τις διαδικασίες δημιουργίας, αλλαγής και τερματισμού κωδικών πρόσβασης (διαγραφή λογαριασμών χρηστών). Ρυθμίζονται επίσης οι ενέργειες των χρηστών και του προσωπικού συντήρησης κατά την εργασία με το σύστημα. Έτσι, η βάση για την οργάνωση της διαδικασίας προστασίας των πληροφοριών είναι η πολιτική ασφάλειας, που διατυπώνεται για να προσδιορίσει από ποιες απειλές και πώς προστατεύονται οι πληροφορίες στο πληροφοριακό σύστημα. Η πολιτική ασφαλείας αναφέρεται σε ένα σύνολο νομικών, οργανωτικών και τεχνικών μέτρων για την προστασία των πληροφοριών που υιοθετούνται σε έναν συγκεκριμένο οργανισμό. Δηλαδή, η πολιτική ασφαλείας περιέχει πολλές συνθήκες υπό τις οποίες οι χρήστες αποκτούν πρόσβαση στους πόρους του συστήματος χωρίς να χάσουν τις ιδιότητες ασφάλειας πληροφοριών αυτού του συστήματος. Το πρόβλημα της διασφάλισης της ασφάλειας των πληροφοριών πρέπει να επιλυθεί συστηματικά. Αυτό σημαίνει ότι διάφορες προστασίες (υλισμικό, λογισμικό, φυσική, οργανωτική κ.λπ.) πρέπει να εφαρμόζονται ταυτόχρονα και υπό κεντρικό έλεγχο. Σήμερα υπάρχει ένα μεγάλο οπλοστάσιο μεθόδων για τη διασφάλιση της ασφάλειας των πληροφοριών: μέσα αναγνώρισης και εξακρίβωσης της ταυτότητας των χρηστών· μέσα κρυπτογράφησης πληροφοριών που είναι αποθηκευμένες σε υπολογιστές και μεταδίδονται μέσω δικτύων· τείχη προστασίας? εικονικά ιδιωτικά δίκτυα. εργαλεία φιλτραρίσματος περιεχομένου. εργαλεία για τον έλεγχο της ακεραιότητας των περιεχομένων του δίσκου. εργαλεία προστασίας από ιούς. συστήματα ανίχνευσης ευπάθειας δικτύου και αναλυτές επιθέσεων δικτύου. Κάθε ένα από τα αναφερόμενα εργαλεία μπορεί να χρησιμοποιηθεί είτε ανεξάρτητα είτε σε ενοποίηση με άλλα. Αυτό καθιστά δυνατή τη δημιουργία συστημάτων ασφάλειας πληροφοριών για δίκτυα οποιασδήποτε πολυπλοκότητας και διαμόρφωσης, ανεξάρτητα από τις πλατφόρμες που χρησιμοποιούνται. Σύστημα ελέγχου ταυτότητας (ή αναγνώρισης), εξουσιοδότησης και διαχείρισης. Η αναγνώριση και η εξουσιοδότηση αποτελούν βασικά στοιχεία της ασφάλειας των πληροφοριών. Η λειτουργία εξουσιοδότησης είναι υπεύθυνη για τους πόρους στους οποίους έχει πρόσβαση ένας συγκεκριμένος χρήστης. Η λειτουργία διαχείρισης είναι να παρέχει στον χρήστη ορισμένα χαρακτηριστικά αναγνώρισης μέσα σε ένα δεδομένο δίκτυο και να προσδιορίζει το εύρος των ενεργειών που του επιτρέπονται. Τα συστήματα κρυπτογράφησης καθιστούν δυνατή την ελαχιστοποίηση των απωλειών σε περίπτωση μη εξουσιοδοτημένης πρόσβασης σε δεδομένα που είναι αποθηκευμένα σε σκληρό δίσκο ή άλλα μέσα, καθώς και υποκλοπή πληροφοριών όταν αποστέλλονται μέσω email ή μεταδίδονται μέσω πρωτοκόλλων δικτύου. Ο σκοπός αυτού του εργαλείου προστασίας είναι η διασφάλιση της εμπιστευτικότητας. Οι κύριες απαιτήσεις για τα συστήματα κρυπτογράφησης είναι υψηλό επίπεδο κρυπτογραφικής ισχύος και νομιμότητας χρήσης στο έδαφος της Ρωσίας (ή άλλων κρατών). Ένα τείχος προστασίας είναι ένα σύστημα ή ένας συνδυασμός συστημάτων που σχηματίζει ένα προστατευτικό φράγμα μεταξύ δύο ή περισσότερων δικτύων για να αποτρέψει μη εξουσιοδοτημένα πακέτα δεδομένων από την είσοδο ή την έξοδο από το δίκτυο. Η βασική αρχή λειτουργίας των τείχη προστασίας είναι ο έλεγχος κάθε πακέτου δεδομένων για τη συμμόρφωση των εισερχόμενων και εξερχόμενων διευθύνσεων IP με μια βάση δεδομένων επιτρεπόμενων διευθύνσεων. Έτσι, τα τείχη προστασίας επεκτείνουν σημαντικά τις δυνατότητες τμηματοποίησης δικτύων πληροφοριών και ελέγχου της κυκλοφορίας των δεδομένων. Όταν μιλάμε για κρυπτογραφία και τείχη προστασίας, θα πρέπει να αναφέρουμε ασφαλή εικονικά ιδιωτικά δίκτυα (VPN). Η χρήση τους καθιστά δυνατή την επίλυση προβλημάτων εμπιστευτικότητας και ακεραιότητας των δεδομένων όταν μεταδίδονται μέσω ανοιχτών καναλιών επικοινωνίας. Η χρήση ενός VPN μπορεί να περιοριστεί στην επίλυση τριών κύριων προβλημάτων: προστασία των ροών πληροφοριών μεταξύ διαφορετικών γραφείων της εταιρείας (οι πληροφορίες κρυπτογραφούνται μόνο στην έξοδο προς το εξωτερικό δίκτυο). ασφαλής πρόσβαση των απομακρυσμένων χρηστών του δικτύου στους πόρους πληροφοριών της εταιρείας, που συνήθως πραγματοποιείται μέσω Διαδικτύου· προστασία των ροών πληροφοριών μεταξύ μεμονωμένων εφαρμογών εντός εταιρικών δικτύων (αυτή η πτυχή είναι επίσης πολύ σημαντική, καθώς οι περισσότερες επιθέσεις πραγματοποιούνται από εσωτερικά δίκτυα). Ένα αποτελεσματικό μέσο προστασίας από την απώλεια εμπιστευτικών πληροφοριών είναι το φιλτράρισμα του περιεχομένου των εισερχόμενων και εξερχόμενων email. Ο έλεγχος των ίδιων των μηνυμάτων email και των συνημμένων τους βάσει των κανόνων που έχει θεσπίσει ο οργανισμός βοηθά επίσης στην προστασία των εταιρειών από την ευθύνη σε αγωγές και προστατεύει τους υπαλλήλους τους από ανεπιθύμητα μηνύματα. Τα εργαλεία φιλτραρίσματος περιεχομένου σάς επιτρέπουν να σαρώνετε αρχεία όλων των κοινών μορφών, συμπεριλαμβανομένων των συμπιεσμένων και αρχείων γραφικών. Ταυτόχρονα, η απόδοση του δικτύου παραμένει ουσιαστικά αμετάβλητη. Όλες οι αλλαγές σε σταθμό εργασίας ή διακομιστή μπορούν να παρακολουθούνται από τον διαχειριστή του δικτύου ή άλλο εξουσιοδοτημένο χρήστη χάρη στην τεχνολογία ελέγχου της ακεραιότητας των περιεχομένων του σκληρού δίσκου (έλεγχος ακεραιότητας). Αυτό σας επιτρέπει να εντοπίσετε τυχόν ενέργειες με αρχεία (αλλαγή, διαγραφή ή απλά άνοιγμα) και να προσδιορίσετε τη δραστηριότητα ιών, μη εξουσιοδοτημένη πρόσβαση ή κλοπή δεδομένων από εξουσιοδοτημένους χρήστες. Ο έλεγχος πραγματοποιείται με βάση την ανάλυση των αθροισμάτων ελέγχου αρχείων (CRC sums). Οι σύγχρονες τεχνολογίες προστασίας από ιούς καθιστούν δυνατό τον εντοπισμό σχεδόν όλων των ήδη γνωστών προγραμμάτων ιών συγκρίνοντας τον κώδικα ενός ύποπτου αρχείου με δείγματα που είναι αποθηκευμένα στη βάση δεδομένων προστασίας από ιούς. Επιπλέον, έχουν αναπτυχθεί τεχνολογίες μοντελοποίησης συμπεριφοράς που καθιστούν δυνατό τον εντοπισμό νέων προγραμμάτων ιών. Τα αντικείμενα που ανιχνεύονται μπορούν να υποβληθούν σε επεξεργασία, να απομονωθούν (να τεθούν σε καραντίνα) ή να διαγραφούν. Η προστασία από ιούς μπορεί να εγκατασταθεί σε σταθμούς εργασίας, διακομιστές αρχείων και αλληλογραφίας, τείχη προστασίας που τρέχουν σχεδόν σε οποιοδήποτε κοινό λειτουργικό σύστημα (Windows, Unix και συστήματα Linux, Novell) σε διάφορους τύπους επεξεργαστών. Τα φίλτρα ανεπιθύμητης αλληλογραφίας μειώνουν σημαντικά το μη παραγωγικό κόστος εργασίας που σχετίζεται με την ανάλυση ανεπιθύμητων μηνυμάτων, μειώνουν την επισκεψιμότητα και τον φόρτο των διακομιστών, βελτιώνουν το ψυχολογικό υπόβαθρο στην ομάδα και μειώνουν τον κίνδυνο εμπλοκής των εργαζομένων της εταιρείας σε δόλιες συναλλαγές. Επιπλέον, τα φίλτρα ανεπιθύμητης αλληλογραφίας μειώνουν τον κίνδυνο μόλυνσης από νέους ιούς, καθώς τα μηνύματα που περιέχουν ιούς (ακόμα και αυτά που δεν περιλαμβάνονται ακόμη στις βάσεις δεδομένων των προγραμμάτων προστασίας από ιούς) συχνά έχουν σημάδια ανεπιθύμητης αλληλογραφίας και φιλτράρονται. Είναι αλήθεια ότι η θετική επίδραση του φιλτραρίσματος ανεπιθύμητων μηνυμάτων μπορεί να ακυρωθεί εάν το φίλτρο, μαζί με τα ανεπιθύμητα μηνύματα, αφαιρέσει ή επισημαίνει ως ανεπιθύμητα και χρήσιμα μηνύματα, επαγγελματικά ή προσωπικά. Η τεράστια ζημιά που προκαλείται στις εταιρείες από ιούς και επιθέσεις χάκερ είναι σε μεγάλο βαθμό συνέπεια των αδυναμιών του λογισμικού που χρησιμοποιείται. Μπορούν να αναγνωριστούν εκ των προτέρων, χωρίς να περιμένουμε μια πραγματική επίθεση, χρησιμοποιώντας συστήματα ανίχνευσης ευπάθειας δικτύου υπολογιστών και αναλυτές επιθέσεων δικτύου. Τέτοιο λογισμικό προσομοιώνει με ασφάλεια κοινές επιθέσεις και μεθόδους εισβολής και καθορίζει τι μπορεί να δει ένας χάκερ στο δίκτυο και πώς μπορεί να εκμεταλλευτεί τους πόρους του. Για να αντιμετωπίσει τις φυσικές απειλές για την ασφάλεια των πληροφοριών, η εταιρεία πρέπει να αναπτύξει και να εφαρμόσει ένα σύνολο διαδικασιών για την πρόληψη καταστάσεων έκτακτης ανάγκης (για παράδειγμα, για τη διασφάλιση φυσικής προστασίας των δεδομένων από τη φωτιά) και για την ελαχιστοποίηση της ζημιάς εάν προκύψει τέτοια κατάσταση. Μία από τις κύριες μεθόδους προστασίας από απώλεια δεδομένων είναι η δημιουργία αντιγράφων ασφαλείας με αυστηρή τήρηση των καθιερωμένων διαδικασιών (κανονικότητα, τύποι μέσων, μέθοδοι αποθήκευσης αντιγράφων κ.λπ.). Η πολιτική ασφάλειας πληροφοριών είναι ένα πακέτο εγγράφων που ρυθμίζουν την εργασία των εργαζομένων, που περιγράφουν τους βασικούς κανόνες για την εργασία με πληροφορίες, συστήματα πληροφοριών, βάσεις δεδομένων, τοπικά δίκτυα και πόρους του Διαδικτύου. Είναι σημαντικό να κατανοήσουμε ποια θέση κατέχει η πολιτική ασφάλειας πληροφοριών στο συνολικό σύστημα διαχείρισης ενός οργανισμού. Ακολουθούν γενικά οργανωτικά μέτρα που σχετίζονται με τις πολιτικές ασφαλείας. Σε διαδικαστικό επίπεδο, διακρίνονται οι ακόλουθες κατηγορίες μέτρων: διαχείριση προσωπικού; φυσική προστασία? διατήρηση της απόδοσης? ανταπόκριση σε παραβιάσεις ασφάλειας· προγραμματισμός εργασιών αποκατάστασης. Η διαχείριση ανθρώπινου δυναμικού ξεκινά με την πρόσληψη, αλλά ακόμη και πριν από αυτό, θα πρέπει να καθορίσετε τα προνόμια υπολογιστή που σχετίζονται με τη θέση. Υπάρχουν δύο γενικές αρχές που πρέπει να θυμάστε: διαχωρισμός καθηκόντων; ελαχιστοποίηση των προνομίων. Η αρχή του διαχωρισμού των καθηκόντων ορίζει τον τρόπο κατανομής των ρόλων και των ευθυνών έτσι ώστε ένα άτομο να μην μπορεί να διαταράξει μια κρίσιμη για τον οργανισμό διαδικασία. Για παράδειγμα, δεν είναι επιθυμητό για ένα άτομο να κάνει μεγάλες πληρωμές για λογαριασμό ενός οργανισμού. Είναι ασφαλέστερο να δίνετε εντολή σε έναν υπάλληλο να διεκπεραιώνει αιτήσεις για τέτοιες πληρωμές και σε άλλον να πιστοποιεί αυτές τις αιτήσεις. Ένα άλλο παράδειγμα είναι οι διαδικαστικοί περιορισμοί στις ενέργειες υπερχρήστη. Μπορείτε να «διαχωρίσετε» τεχνητά τον κωδικό πρόσβασης υπερχρήστη κοινοποιώντας το πρώτο μέρος του με έναν υπάλληλο και το δεύτερο μέρος με έναν άλλο. Στη συνέχεια, μπορούν να εκτελέσουν κρίσιμες ενέργειες για τη διαχείριση του συστήματος πληροφοριών μόνο από κοινού, γεγονός που μειώνει την πιθανότητα σφαλμάτων και καταχρήσεων. Η αρχή του ελάχιστου προνομίου απαιτεί να παρέχονται στους χρήστες μόνο εκείνα τα δικαιώματα πρόσβασης που χρειάζονται για την εκτέλεση των εργασιακών τους υποχρεώσεων. Ο σκοπός αυτής της αρχής είναι προφανής - να μειωθεί η ζημιά από τυχαίες ή εσκεμμένες λανθασμένες ενέργειες. Η προκαταρκτική προετοιμασία μιας περιγραφής θέσης σάς επιτρέπει να αξιολογήσετε την κρισιμότητα της και να σχεδιάσετε τη διαδικασία εξέτασης και επιλογής υποψηφίων. Όσο πιο υπεύθυνη είναι η θέση, τόσο πιο προσεκτικά πρέπει να ελέγχετε τους υποψηφίους: κάντε ερωτήσεις για αυτούς, ίσως μιλήσετε με πρώην συναδέλφους κ.λπ. Μια τέτοια διαδικασία μπορεί να είναι χρονοβόρα και δαπανηρή, επομένως δεν υπάρχει λόγος να την περιπλέκουμε περαιτέρω. Ταυτόχρονα, είναι παράλογο να αρνηθεί κανείς εντελώς τον προληπτικό έλεγχο προκειμένου να αποφευχθεί η τυχαία πρόσληψη κάποιου με ποινικό μητρώο ή ψυχική ασθένεια. Μόλις εντοπιστεί ένας υποψήφιος, πιθανότατα θα χρειαστεί να υποβληθεί σε εκπαίδευση. Τουλάχιστον, θα πρέπει να είναι πλήρως εξοικειωμένος με τις εργασιακές ευθύνες και τους κανονισμούς και τις διαδικασίες ασφάλειας πληροφοριών. Συνιστάται να κατανοεί τα μέτρα ασφαλείας πριν από την ανάληψη των καθηκόντων του και πριν δημιουργήσει τον λογαριασμό του συστήματος με όνομα σύνδεσης, κωδικό πρόσβασης και προνόμια. Η ασφάλεια ενός πληροφοριακού συστήματος εξαρτάται από το περιβάλλον στο οποίο λειτουργεί. Είναι απαραίτητο να ληφθούν μέτρα για την προστασία των κτιρίων και των γύρω περιοχών, των υποστηρικτικών υποδομών, του εξοπλισμού ηλεκτρονικών υπολογιστών και των μέσων αποθήκευσης. Ας εξετάσουμε τους ακόλουθους τομείς φυσικής προστασίας: Φυσικός έλεγχος πρόσβασης. προστασία της υποστηρικτικής υποδομής· προστασία κινητών συστημάτων. Τα μέτρα ελέγχου φυσικής πρόσβασης σάς επιτρέπουν να ελέγχετε και, εάν είναι απαραίτητο, να περιορίζετε την είσοδο και την έξοδο εργαζομένων και επισκεπτών. Μπορεί να ελεγχθεί ολόκληρο το κτίριο ενός οργανισμού, καθώς και μεμονωμένα δωμάτια, για παράδειγμα, εκείνα όπου βρίσκονται διακομιστές, εξοπλισμός επικοινωνίας κ.λπ. Οι υποστηρικτικές υποδομές περιλαμβάνουν ηλεκτρικά, συστήματα παροχής νερού και θερμότητας, κλιματισμό και επικοινωνίες. Κατ' αρχήν, ισχύουν για αυτά οι ίδιες απαιτήσεις ακεραιότητας και διαθεσιμότητας όπως και για τα συστήματα πληροφοριών. Για να διασφαλιστεί η ακεραιότητα, ο εξοπλισμός πρέπει να προστατεύεται από κλοπή και ζημιά. Για να διατηρήσετε τη διαθεσιμότητα, θα πρέπει να επιλέξετε εξοπλισμό με το μέγιστο MTBF, διπλότυπα κρίσιμα εξαρτήματα και να έχετε πάντα στη διάθεσή σας ανταλλακτικά. Γενικά, κατά την επιλογή φυσικού προστατευτικού εξοπλισμού θα πρέπει να πραγματοποιείται ανάλυση κινδύνου. Έτσι, όταν αποφασίζετε να αγοράσετε μια αδιάλειπτη παροχή ρεύματος, είναι απαραίτητο να λάβετε υπόψη την ποιότητα της παροχής ρεύματος στο κτίριο που καταλαμβάνει ο οργανισμός (ωστόσο, σχεδόν σίγουρα θα αποδειχθεί κακή), τη φύση και τη διάρκεια βλάβες ρεύματος, το κόστος των διαθέσιμων πηγών και πιθανές απώλειες από ατυχήματα (βλάβη εξοπλισμού, αναστολή εργασιών του οργανισμού και ούτω καθεξής.) Ας εξετάσουμε μια σειρά μέτρων που στοχεύουν στη διατήρηση της λειτουργικότητας των πληροφοριακών συστημάτων. Σε αυτόν τον τομέα ελλοχεύει ο μεγαλύτερος κίνδυνος. Τα ακούσια λάθη των διαχειριστών του συστήματος και των χρηστών μπορεί να οδηγήσουν σε απώλεια απόδοσης, συγκεκριμένα ζημιά στον εξοπλισμό, καταστροφή προγραμμάτων και δεδομένων. Αυτό είναι το χειρότερο σενάριο. Στην καλύτερη περίπτωση, δημιουργούν κενά ασφαλείας που επιτρέπουν την εμφάνιση απειλών για την ασφάλεια του συστήματος. Το κύριο πρόβλημα πολλών οργανισμών είναι η υποτίμηση των παραγόντων ασφάλειας στην καθημερινή εργασία. Τα ακριβά χαρακτηριστικά ασφαλείας δεν έχουν νόημα εάν είναι ελάχιστα τεκμηριωμένα, έρχονται σε διένεξη με άλλο λογισμικό και ο κωδικός πρόσβασης διαχειριστή συστήματος δεν έχει αλλάξει από την εγκατάσταση. Για καθημερινές δραστηριότητες που στοχεύουν στη διατήρηση της λειτουργικότητας του πληροφοριακού συστήματος, διακρίνονται οι ακόλουθες ενέργειες: υποστήριξη χρηστών· υποστήριξη λογισμικού? διαχείριση διαμόρφωσης? αντιγράφων ασφαλείας; διαχείριση μέσων? τεκμηρίωση; συντήρηση ρουτίνας. Η υποστήριξη χρηστών συνεπάγεται, πρώτα απ 'όλα, διαβούλευση και βοήθεια για την επίλυση διαφόρων ειδών προβλημάτων. Είναι πολύ σημαντικό να μπορούμε να εντοπίζουμε προβλήματα που σχετίζονται με την ασφάλεια των πληροφοριών σε μια ροή ερωτήσεων. Έτσι, πολλές δυσκολίες για τους χρήστες που εργάζονται σε προσωπικούς υπολογιστές μπορεί να είναι αποτέλεσμα μόλυνσης από ιούς. Συνιστάται η καταγραφή των ερωτήσεων των χρηστών για τον εντοπισμό των συνηθισμένων λαθών τους και η έκδοση υπενθυμίσεων με συστάσεις για συνήθεις καταστάσεις. Η υποστήριξη λογισμικού είναι ένα από τα πιο σημαντικά μέσα για τη διασφάλιση της ακεραιότητας των πληροφοριών. Πρώτα απ 'όλα, πρέπει να παρακολουθείτε ποιο λογισμικό είναι εγκατεστημένο στους υπολογιστές σας. Εάν οι χρήστες εγκαταστήσουν προγράμματα κατά την κρίση τους, αυτό μπορεί να οδηγήσει σε μόλυνση από ιούς, καθώς και στην εμφάνιση βοηθητικών προγραμμάτων που παρακάμπτουν τα μέτρα προστασίας. Είναι επίσης πιθανό ότι οι «ανεξάρτητες δραστηριότητες» των χρηστών θα οδηγήσουν σταδιακά σε χάος στους υπολογιστές τους και ο διαχειριστής του συστήματος θα πρέπει να διορθώσει την κατάσταση. Η δεύτερη πτυχή της υποστήριξης λογισμικού είναι ο έλεγχος της απουσίας μη εξουσιοδοτημένων αλλαγών στα προγράμματα και των δικαιωμάτων πρόσβασης σε αυτά. Αυτό περιλαμβάνει επίσης υποστήριξη για αντίγραφα αναφοράς συστημάτων λογισμικού. Ο έλεγχος επιτυγχάνεται συνήθως μέσω ενός συνδυασμού φυσικών και λογικών ελέγχων πρόσβασης, καθώς και με τη χρήση βοηθητικών προγραμμάτων επαλήθευσης και ακεραιότητας. Η διαχείριση διαμόρφωσης σάς επιτρέπει να ελέγχετε και να καταγράφετε τις αλλαγές που έγιναν στη διαμόρφωση του λογισμικού. Πρώτα απ 'όλα, πρέπει να ασφαλιστείτε από τυχαίες ή κακοσχεδιασμένες τροποποιήσεις και να είστε σε θέση τουλάχιστον να επιστρέψετε σε μια προηγούμενη, λειτουργική έκδοση. Η πραγματοποίηση αλλαγών θα διευκολύνει την επαναφορά της τρέχουσας έκδοσης μετά από μια καταστροφή. Ο καλύτερος τρόπος για να μειώσετε τα λάθη στην εργασία ρουτίνας είναι να την αυτοματοποιήσετε όσο το δυνατόν περισσότερο. Ο αυτοματισμός και η ασφάλεια εξαρτώνται το ένα από το άλλο, επειδή αυτός που ενδιαφέρεται πρωτίστως να διευκολύνει το έργο του είναι στην πραγματικότητα αυτός που διαμορφώνει βέλτιστα το καθεστώς ασφάλειας πληροφοριών. Η δημιουργία αντιγράφων ασφαλείας είναι απαραίτητη για την επαναφορά προγραμμάτων και δεδομένων μετά από καταστροφές. Και εδώ είναι σκόπιμο να αυτοματοποιήσετε την εργασία, τουλάχιστον, δημιουργώντας ένα πρόγραμμα υπολογιστή για τη δημιουργία πλήρων και σταδιακών αντιγράφων και, το πολύ, χρησιμοποιώντας τα κατάλληλα προϊόντα λογισμικού. Είναι επίσης απαραίτητο να φροντίσετε για την τοποθέτηση των αντιγράφων σε ασφαλές μέρος, προστατευμένο από μη εξουσιοδοτημένη πρόσβαση, πυρκαγιές, διαρροές, δηλαδή από οτιδήποτε μπορεί να οδηγήσει σε κλοπή ή ζημιά στα μέσα. Συνιστάται να έχετε πολλά αντίγραφα αντιγράφων ασφαλείας και να αποθηκεύσετε μερικά από αυτά εκτός τοποθεσίας, προστατεύοντας έτσι από μεγάλα ατυχήματα και παρόμοια περιστατικά. Από καιρό σε καιρό, για λόγους δοκιμής, θα πρέπει να ελέγχετε τη δυνατότητα επαναφοράς πληροφοριών από αντίγραφα. Η διαχείριση πολυμέσων είναι απαραίτητη για την παροχή φυσικής ασφάλειας και λογιστικής για δισκέτες, ταινίες, έντυπα κ.λπ. Η διαχείριση μέσων πρέπει να διασφαλίζει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών που είναι αποθηκευμένες εκτός συστημάτων υπολογιστών. Φυσική προστασία εδώ σημαίνει όχι μόνο απόκρουση προσπαθειών μη εξουσιοδοτημένης πρόσβασης, αλλά και προστασία από επιβλαβείς περιβαλλοντικές επιρροές (ζέστη, κρύο, υγρασία, μαγνητισμός). Η διαχείριση των μέσων ενημέρωσης πρέπει να καλύπτει ολόκληρο τον κύκλο ζωής, από την προμήθεια έως τον παροπλισμό. Η τεκμηρίωση αποτελεί αναπόσπαστο μέρος της ασφάλειας των πληροφοριών. Σχεδόν όλα τεκμηριώνονται με τη μορφή εγγράφων - από την πολιτική ασφαλείας έως το αρχείο καταγραφής πολυμέσων. Είναι σημαντικό η τεκμηρίωση να είναι ενημερωμένη και να αντικατοπτρίζει την τρέχουσα κατάσταση των πραγμάτων και με συνεπή τρόπο. Οι απαιτήσεις εμπιστευτικότητας ισχύουν για την αποθήκευση ορισμένων εγγράφων (που περιέχουν, για παράδειγμα, ανάλυση τρωτών σημείων και απειλών συστήματος), ενώ άλλα, όπως ένα σχέδιο αποκατάστασης από καταστροφές, υπόκεινται σε απαιτήσεις ακεραιότητας και διαθεσιμότητας (σε κρίσιμη κατάσταση, το σχέδιο πρέπει να βρεθεί και να διαβαστεί). Η τακτική εργασία αποτελεί πολύ σοβαρό κίνδυνο για την ασφάλεια. Ένας υπάλληλος που εκτελεί τακτική συντήρηση έχει αποκλειστική πρόσβαση στο σύστημα και στην πράξη είναι πολύ δύσκολο να ελέγξει ακριβώς ποιες ενέργειες εκτελεί. Εδώ έρχεται στο προσκήνιο ο βαθμός εμπιστοσύνης σε όσους κάνουν τη δουλειά. Η πολιτική ασφάλειας που υιοθετεί ο οργανισμός πρέπει να προβλέπει ένα σύνολο επιχειρησιακών μέτρων με στόχο τον εντοπισμό και την εξουδετέρωση παραβιάσεων του καθεστώτος ασφάλειας πληροφοριών. Είναι σημαντικό σε τέτοιες περιπτώσεις η σειρά των ενεργειών να προγραμματίζεται εκ των προτέρων, καθώς τα μέτρα πρέπει να ληφθούν επειγόντως και με συντονισμένο τρόπο. Η απόκριση σε παραβιάσεις ασφάλειας έχει τρεις κύριους στόχους: εντοπισμός του συμβάντος και μείωση της ζημιάς. πρόληψη επαναλαμβανόμενων παραβιάσεων. Συχνά η απαίτηση εντοπισμού ενός περιστατικού και μείωσης της βλάβης έρχεται σε σύγκρουση με την επιθυμία αναγνώρισης του δράστη. Η πολιτική ασφάλειας του οργανισμού πρέπει να δοθεί έγκαιρα σε προτεραιότητα. Δεδομένου ότι, όπως δείχνει η πρακτική, είναι πολύ δύσκολο να εντοπιστεί ένας εισβολέας, κατά τη γνώμη μας, πρώτα απ 'όλα, πρέπει να ληφθεί μέριμνα για τη μείωση της ζημιάς. Κανένας οργανισμός δεν είναι απρόσβλητος από σοβαρά ατυχήματα που προκαλούνται από φυσικά αίτια, κακόβουλες ενέργειες, αμέλεια ή ανικανότητα. Ταυτόχρονα, κάθε οργανισμός έχει λειτουργίες που η διοίκηση θεωρεί κρίσιμες και πρέπει να εκτελούνται ανεξάρτητα από το τι. Ο σχεδιασμός των εργασιών αποκατάστασης σάς επιτρέπει να προετοιμαστείτε για ατυχήματα, να μειώσετε τις ζημιές από αυτά και να διατηρήσετε την ικανότητα λειτουργίας τουλάχιστον στο ελάχιστο. Σημειώστε ότι τα μέτρα ασφάλειας πληροφοριών μπορούν να χωριστούν σε τρεις ομάδες, ανάλογα με το αν στοχεύουν στην πρόληψη, τον εντοπισμό ή την εξάλειψη των συνεπειών των επιθέσεων. Τα περισσότερα μέτρα έχουν προληπτικό χαρακτήρα. Η διαδικασία σχεδιασμού αποκατάστασης μπορεί να χωριστεί στα ακόλουθα στάδια: προσδιορισμός κρίσιμων λειτουργιών του οργανισμού, καθορισμός προτεραιοτήτων. προσδιορισμός των πόρων που απαιτούνται για την εκτέλεση κρίσιμων λειτουργιών· καθορισμός του καταλόγου πιθανών ατυχημάτων· ανάπτυξη στρατηγικής αποκατάστασης· προετοιμασία για την εφαρμογή της επιλεγμένης στρατηγικής· έλεγχος της στρατηγικής. Όταν σχεδιάζετε εργασίες αποκατάστασης, θα πρέπει να γνωρίζετε ότι δεν είναι πάντα δυνατό να διατηρηθεί πλήρως η λειτουργία του οργανισμού. Είναι απαραίτητο να εντοπιστούν κρίσιμες λειτουργίες, χωρίς τις οποίες ο οργανισμός χάνει το πρόσωπό του, και ακόμη και να δοθεί προτεραιότητα μεταξύ των κρίσιμων λειτουργιών, προκειμένου να επανέλθει η εργασία μετά από ένα ατύχημα όσο το δυνατόν γρηγορότερα και με ελάχιστο κόστος. Όταν προσδιορίζετε τους πόρους που απαιτούνται για την εκτέλεση κρίσιμων λειτουργιών, να θυμάστε ότι πολλοί από αυτούς δεν έχουν χαρακτήρα υπολογιστή. Σε αυτό το στάδιο, συνιστάται η συμμετοχή ειδικών διαφορετικών προφίλ στην εργασία. Έτσι, υπάρχει ένας μεγάλος αριθμός διαφορετικών μεθόδων για τη διασφάλιση της ασφάλειας των πληροφοριών. Το πιο αποτελεσματικό είναι να χρησιμοποιήσετε όλες αυτές τις μεθόδους σε ένα μόνο σύμπλεγμα. Σήμερα, η σύγχρονη αγορά ασφάλειας είναι κορεσμένη με εργαλεία ασφάλειας πληροφοριών. Μελετώντας συνεχώς τις υπάρχουσες προσφορές αγοράς ασφάλειας, πολλές εταιρείες διαπιστώνουν την ανεπάρκεια των κεφαλαίων που είχαν επενδύσει προηγουμένως σε συστήματα ασφάλειας πληροφοριών, για παράδειγμα, λόγω της απαρχαιότητας του εξοπλισμού και του λογισμικού. Ως εκ τούτου, αναζητούν λύσεις σε αυτό το πρόβλημα. Μπορεί να υπάρχουν δύο τέτοιες επιλογές: αφενός, πλήρης αντικατάσταση του συστήματος προστασίας εταιρικών πληροφοριών, που θα απαιτήσει μεγάλες επενδύσεις, και αφετέρου, εκσυγχρονισμός των υφιστάμενων συστημάτων ασφαλείας. Η τελευταία επιλογή για την επίλυση αυτού του προβλήματος είναι η λιγότερο δαπανηρή, αλλά φέρνει νέα προβλήματα, για παράδειγμα, απαιτεί απάντηση στις ακόλουθες ερωτήσεις: πώς να διασφαλιστεί η συμβατότητα των παλαιών, που διατηρούνται από τα υπάρχοντα εργαλεία ασφαλείας υλικού και λογισμικού και νέα στοιχεία το σύστημα ασφάλειας πληροφοριών· πώς να παρέχεται κεντρική διαχείριση ετερογενών εργαλείων ασφαλείας. πώς να αξιολογήσει και, εάν είναι απαραίτητο, να επανεκτιμήσει τους κινδύνους πληροφοριών της εταιρείας. Κεφάλαιο 2. Ανάλυση του συστήματος ασφάλειας πληροφοριών 1 Πεδίο δραστηριότητας της εταιρείας και ανάλυση οικονομικών δεικτών Η OJSC Gazprom είναι μια παγκόσμια ενεργειακή εταιρεία. Οι κύριες δραστηριότητες είναι η γεωλογική εξερεύνηση, η παραγωγή, η μεταφορά, η αποθήκευση, η επεξεργασία και η πώληση αερίου, συμπυκνωμάτων αερίου και πετρελαίου, καθώς και η παραγωγή και πώληση θερμότητας και ηλεκτρικής ενέργειας. Η Gazprom βλέπει την αποστολή της στην αξιόπιστη, αποτελεσματική και ισορροπημένη παροχή στους καταναλωτές φυσικού αερίου, άλλων τύπων ενεργειακών πόρων και των επεξεργασμένων προϊόντων τους. Η Gazprom έχει τα πλουσιότερα αποθέματα φυσικού αερίου στον κόσμο. Το μερίδιό της στα παγκόσμια αποθέματα φυσικού αερίου είναι 18%, στα ρωσικά - 70%. Η Gazprom αντιπροσωπεύει το 15% της παγκόσμιας παραγωγής και το 78% της ρωσικής παραγωγής φυσικού αερίου. Επί του παρόντος, η εταιρεία υλοποιεί ενεργά έργα μεγάλης κλίμακας για την ανάπτυξη πόρων φυσικού αερίου της χερσονήσου Γιαμάλ, της Αρκτικής υφαλοκρηπίδας, της Ανατολικής Σιβηρίας και της Άπω Ανατολής, καθώς και μια σειρά από έργα για την εξερεύνηση και παραγωγή υδρογονανθράκων στο εξωτερικό. Η Gazprom είναι ένας αξιόπιστος προμηθευτής φυσικού αερίου για Ρώσους και ξένους καταναλωτές. Η εταιρεία κατέχει το μεγαλύτερο δίκτυο μεταφοράς φυσικού αερίου στον κόσμο - το Ενιαίο Σύστημα Παροχής Αερίου της Ρωσίας, το μήκος του οποίου υπερβαίνει τα 161 χιλιάδες χιλιόμετρα. Η Gazprom πουλά περισσότερο από το ήμισυ του φυσικού αερίου που πουλά στην εγχώρια αγορά. Επιπλέον, η εταιρεία προμηθεύει φυσικό αέριο σε 30 χώρες του κοντινού και του μακρινού εξωτερικού. Η Gazprom είναι ο μόνος παραγωγός και εξαγωγέας υγροποιημένου φυσικού αερίου της Ρωσίας και παρέχει περίπου το 5% της παγκόσμιας παραγωγής LNG. Η εταιρεία είναι ένας από τους πέντε μεγαλύτερους παραγωγούς πετρελαίου στη Ρωσική Ομοσπονδία και είναι επίσης ο μεγαλύτερος ιδιοκτήτης παραγωγής περιουσιακών στοιχείων στην επικράτειά της. Η συνολική εγκατεστημένη ισχύς τους είναι 17% της συνολικής εγκατεστημένης ισχύος του ρωσικού ενεργειακού συστήματος. Ο στρατηγικός στόχος είναι να καθιερωθεί η OAO Gazprom ως ηγέτης μεταξύ των παγκόσμιων ενεργειακών εταιρειών μέσω της ανάπτυξης νέων αγορών, της διαφοροποίησης των δραστηριοτήτων και της διασφάλισης της αξιοπιστίας των προμηθειών. Ας εξετάσουμε τις οικονομικές επιδόσεις της εταιρείας τα τελευταία δύο χρόνια. Τα λειτουργικά αποτελέσματα της εταιρείας παρουσιάζονται στο Παράρτημα 1. Στις 31 Δεκεμβρίου 2010, τα έσοδα από τις πωλήσεις ανήλθαν σε 2.495.557 εκατομμύρια ρούβλια, ο αριθμός αυτός είναι πολύ χαμηλότερος σε σύγκριση με τα δεδομένα του 2011, δηλαδή 3.296.656 εκατομμύρια ρούβλια. Τα έσοδα από πωλήσεις (καθαρά από ειδικούς φόρους κατανάλωσης, ΦΠΑ και τελωνειακούς δασμούς) αυξήθηκαν κατά 801.099 εκατομμύρια RUB, ή 32%, για το εννεάμηνο που έληξε στις 30 Σεπτεμβρίου 2011 σε σύγκριση με την αντίστοιχη περίοδο πέρυσι, ανερχόμενα σε 3.296.656 εκατομμύρια ρούβλια. Με βάση τα αποτελέσματα του 2011, τα καθαρά έσοδα από πωλήσεις φυσικού αερίου αντιπροσώπευαν το 60% των συνολικών καθαρών εσόδων από πωλήσεις (60% για την αντίστοιχη περσινή περίοδο). Τα καθαρά έσοδα από τις πωλήσεις φυσικού αερίου αυξήθηκαν από 1.495.335 εκατομμύρια RUB. για το έτος έως 1.987.330 εκατομμύρια ρούβλια. για την ίδια περίοδο του 2011, ή κατά 33%. Τα καθαρά έσοδα από τις πωλήσεις φυσικού αερίου στην Ευρώπη και σε άλλες χώρες αυξήθηκαν κατά 258.596 εκατομμύρια RUB, ή 34%, σε σύγκριση με την ίδια περίοδο πέρυσι, και ανήλθαν σε 1.026.451 εκατομμύρια RUB. Η συνολική αύξηση των πωλήσεων φυσικού αερίου στην Ευρώπη και σε άλλες χώρες οφειλόταν στην αύξηση των μέσων τιμών. Η μέση τιμή σε ρούβλια (συμπεριλαμβανομένων των δασμών) αυξήθηκε κατά 21% για το εννεάμηνο που έληξε στις 30 Σεπτεμβρίου 2011 σε σύγκριση με την ίδια περίοδο του 2010. Επιπλέον, οι όγκοι πωλήσεων φυσικού αερίου αυξήθηκαν κατά 8% σε σύγκριση με την ίδια περίοδο πέρυσι. Τα καθαρά έσοδα από τις πωλήσεις φυσικού αερίου στις χώρες της πρώην Σοβιετικής Ένωσης αυξήθηκαν την ίδια περίοδο του 2010 κατά 168.538 εκατομμύρια ρούβλια, ή 58%, και ανήλθαν σε 458.608 εκατομμύρια ρούβλια. Η αλλαγή οφείλεται κυρίως στην αύξηση κατά 33% των πωλήσεων φυσικού αερίου στην πρώην Σοβιετική Ένωση για τους εννέα μήνες που έληξαν στις 30 Σεπτεμβρίου 2011 σε σύγκριση με την ίδια περίοδο πέρυσι. Επιπλέον, η μέση τιμή σε ρούβλια (συμπεριλαμβανομένων των δασμών, μείον ΦΠΑ) αυξήθηκε κατά 15% σε σύγκριση με την ίδια περίοδο πέρυσι. Τα καθαρά έσοδα από τις πωλήσεις φυσικού αερίου στη Ρωσική Ομοσπονδία αυξήθηκαν κατά 64,861 εκατομμύρια RUB, ή 15%, σε σύγκριση με την ίδια περίοδο πέρυσι, και ανήλθαν σε 502,271 εκατομμύρια RUB. Αυτό οφείλεται κυρίως στην αύξηση της μέσης τιμής του φυσικού αερίου κατά 13% σε σύγκριση με την αντίστοιχη περσινή περίοδο, η οποία συνδέεται με την αύξηση των τιμολογίων που ορίζει η Ομοσπονδιακή Υπηρεσία Τιμών (FTS). Τα καθαρά έσοδα από την πώληση προϊόντων πετρελαίου και φυσικού αερίου (μείον ειδικούς φόρους κατανάλωσης, ΦΠΑ και τελωνειακούς δασμούς) αυξήθηκαν κατά 213.012 εκατομμύρια ρούβλια, ή 42%, και ανήλθαν σε 717.723 εκατομμύρια ρούβλια. σε σύγκριση με την αντίστοιχη περσινή περίοδο. Η αύξηση αυτή εξηγείται κυρίως από την αύξηση των παγκόσμιων τιμών για τα προϊόντα πετρελαίου και φυσικού αερίου και την αύξηση του όγκου πωλήσεων σε σύγκριση με την αντίστοιχη περσινή περίοδο. Τα έσοδα του Ομίλου Gazprom Neft ανήλθαν στο 85% και στο 84% των συνολικών καθαρών εσόδων από την πώληση προϊόντων πετρελαίου και φυσικού αερίου, αντίστοιχα. Τα καθαρά έσοδα από την πώληση ηλεκτρικής και θερμικής ενέργειας (χωρίς ΦΠΑ) αυξήθηκαν κατά 38,097 εκατομμύρια RUB, ή 19%, και ανήλθαν σε 237,545 εκατομμύρια RUB. Η αύξηση των εσόδων από την πώληση ηλεκτρικής και θερμικής ενέργειας οφείλεται κυρίως στην αύξηση των τιμολογίων ηλεκτρικής και θερμικής ενέργειας, καθώς και στην αύξηση του όγκου των πωλήσεων ηλεκτρικής και θερμικής ενέργειας. Τα καθαρά έσοδα από την πώληση αργού πετρελαίου και συμπυκνωμάτων φυσικού αερίου (μείον ειδικούς φόρους κατανάλωσης, ΦΠΑ και τελωνειακούς δασμούς) αυξήθηκαν κατά 23,072 εκατομμύρια RUB, ή 16%, και ανήλθαν σε 164,438 εκατομμύρια RUB. σε σύγκριση με 141.366 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Η αλλαγή οφείλεται κυρίως στην αύξηση των τιμών του πετρελαίου και του συμπυκνώματος φυσικού αερίου. Επιπλέον, η αλλαγή προκλήθηκε από την αύξηση των πωλήσεων συμπυκνωμάτων αερίου. Τα έσοδα από την πώληση αργού πετρελαίου ανήλθαν σε 133,368 εκατομμύρια RUB. και 121.675 εκατομμύρια ρούβλια. σε καθαρά έσοδα από την πώληση αργού πετρελαίου και συμπυκνωμάτων φυσικού αερίου (μείον ειδικούς φόρους κατανάλωσης, ΦΠΑ και τελωνειακούς δασμούς) το 2011 και το 2010, αντίστοιχα. Τα καθαρά έσοδα από την πώληση υπηρεσιών μεταφοράς φυσικού αερίου (καθαρά από ΦΠΑ) αυξήθηκαν κατά 15,306 εκατομμύρια RUB, ή 23%, και ανήλθαν σε 82,501 εκατομμύρια RUB, σε σύγκριση με 67,195 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Η αύξηση αυτή οφείλεται κυρίως στην αύξηση των τιμολογίων μεταφοράς φυσικού αερίου για ανεξάρτητους προμηθευτές, καθώς και στην αύξηση των όγκων φυσικού αερίου. ѐ κίνηση μεταφοράς φυσικού αερίου για ανεξάρτητους προμηθευτές σε σύγκριση με την αντίστοιχη περσινή περίοδο. Τα λοιπά έσοδα αυξήθηκαν κατά 19,617 εκατομμύρια RUB, ή 22%, και ανήλθαν σε 107,119 εκατομμύρια RUB. σε σύγκριση με 87.502 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Τα έξοδα για εμπορικές πράξεις χωρίς πραγματική παράδοση ανήλθαν σε 837 εκατομμύρια RUB. έναντι εισοδήματος 5,786 εκατομμυρίων RUB. για την ίδια περίοδο πέρυσι. Όσον αφορά τα λειτουργικά έξοδα, αυξήθηκαν κατά 23% και ανήλθαν σε 2.119.289 εκατομμύρια RUB. σε σύγκριση με 1.726.604 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Το μερίδιο των λειτουργικών εξόδων στα έσοδα από πωλήσεις μειώθηκε από 69% σε 64%. Το κόστος εργασίας αυξήθηκε κατά 18% και ανήλθε σε 267,377 εκατομμύρια RUB. σε σύγκριση με 227.500 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Η αύξηση οφείλεται κυρίως στην αύξηση του μέσου μισθού. Οι αποσβέσεις για την εξεταζόμενη περίοδο αυξήθηκαν κατά 9% ή κατά 17.026 εκατομμύρια ρούβλια και ανήλθαν σε 201.636 εκατομμύρια ρούβλια, σε σύγκριση με 184.610 εκατομμύρια ρούβλια. για την ίδια περίοδο πέρυσι. Η αύξηση οφείλεται κυρίως στη διεύρυνση της βάσης των παγίων. Ως αποτέλεσμα των παραπάνω παραγόντων, τα κέρδη από τις πωλήσεις αυξήθηκαν κατά 401.791 εκατομμύρια RUB, ή 52%, και ανήλθαν σε 1.176.530 εκατομμύρια RUB. σε σύγκριση με 774,739 εκατομμύρια RUB. για την ίδια περίοδο πέρυσι. Το περιθώριο κέρδους πωλήσεων αυξήθηκε από 31% σε 36% για το εννεάμηνο που έληξε στις 30 Σεπτεμβρίου 2011. Έτσι, η OJSC Gazprom είναι μια παγκόσμια ενεργειακή εταιρεία. Οι κύριες δραστηριότητες είναι η γεωλογική εξερεύνηση, η παραγωγή, η μεταφορά, η αποθήκευση, η επεξεργασία και η πώληση αερίου, συμπυκνωμάτων αερίου και πετρελαίου, καθώς και η παραγωγή και πώληση θερμότητας και ηλεκτρικής ενέργειας. Η οικονομική κατάσταση της εταιρείας είναι σταθερή. Οι δείκτες απόδοσης παρουσιάζουν θετική δυναμική. 2 Περιγραφή του συστήματος ασφάλειας πληροφοριών της εταιρείας Ας εξετάσουμε τους κύριους τομείς δραστηριότητας των τμημάτων της Υπηρεσίας Εταιρικής Προστασίας της OJSC Gazprom: ανάπτυξη στοχευμένων προγραμμάτων για την ανάπτυξη συστημάτων και συγκροτημάτων μηχανικού και τεχνικού εξοπλισμού ασφάλειας (ITSE), συστημάτων ασφαλείας πληροφοριών (IS) της OAO Gazprom και των θυγατρικών και οργανισμών της, συμμετοχή στη διαμόρφωση ενός επενδυτικού προγράμματος με στόχο τη διασφάλιση πληροφοριών και τεχνικών ασφάλεια; εφαρμογή των εξουσιών του πελάτη για την ανάπτυξη συστημάτων ασφάλειας πληροφοριών, καθώς και συστημάτων και συγκροτημάτων ITSO· εξέταση και έγκριση αιτημάτων προϋπολογισμού και προϋπολογισμών για την εφαρμογή μέτρων για την ανάπτυξη συστημάτων ασφάλειας πληροφοριών, συστημάτων και συγκροτημάτων ITSO, καθώς και για τη δημιουργία ΤΠ από την άποψη των συστημάτων ασφάλειας πληροφοριών· επανεξέταση και έγκριση τεκμηρίωσης σχεδιασμού και προ-έργων για την ανάπτυξη συστημάτων ασφάλειας πληροφοριών, συστημάτων και συγκροτημάτων ITSO, καθώς και τεχνικών προδιαγραφών για τη δημιουργία (εκσυγχρονισμό) συστημάτων πληροφοριών, επικοινωνιών και τηλεπικοινωνιών όσον αφορά τις απαιτήσεις ασφάλειας πληροφοριών. οργάνωση εργασιών για την αξιολόγηση της συμμόρφωσης συστημάτων και συγκροτημάτων ITSO, συστημάτων ασφάλειας πληροφοριών (καθώς και έργων και υπηρεσιών για τη δημιουργία τους) με τις καθιερωμένες απαιτήσεις· συντονισμός και έλεγχος των εργασιών για την προστασία τεχνικών πληροφοριών. Η Gazprom έχει δημιουργήσει ένα σύστημα για τη διασφάλιση της προστασίας των προσωπικών δεδομένων. Ωστόσο, η υιοθέτηση από τις ομοσπονδιακές εκτελεστικές αρχές μιας σειράς ρυθμιστικών νομικών πράξεων για την ανάπτυξη υφιστάμενων νόμων και κυβερνητικών κανονισμών καθιστά αναγκαία την ανάγκη βελτίωσης του τρέχοντος συστήματος προστασίας δεδομένων προσωπικού χαρακτήρα. Προς το συμφέρον της επίλυσης αυτού του προβλήματος, έχουν αναπτυχθεί και εγκρίνονται ορισμένα έγγραφα στο πλαίσιο της ερευνητικής εργασίας. Πρώτα απ 'όλα, αυτά είναι τα σχέδια προτύπων του Οργανισμού Ανάπτυξης Gazprom: "Μεθοδολογία ταξινόμησης πληροφοριακών συστημάτων προσωπικών δεδομένων της OAO Gazprom, των θυγατρικών και των οργανισμών της". «Μοντέλο απειλών για προσωπικά δεδομένα κατά την επεξεργασία τους σε συστήματα πληροφοριών προσωπικών δεδομένων της OAO Gazprom, των θυγατρικών και των οργανισμών της». Αυτά τα έγγραφα αναπτύχθηκαν λαμβάνοντας υπόψη τις απαιτήσεις του διατάγματος της κυβέρνησης της Ρωσικής Ομοσπονδίας της 17ης Νοεμβρίου 2007 αριθ. σχέση με την κατηγορία των ειδικών συστημάτων, τα οποία περιλαμβάνουν το μεγαλύτερο μέρος του OJSC ISPDn " Gazprom". Επιπλέον, βρίσκεται σε εξέλιξη η ανάπτυξη «Κανονισμών για την οργάνωση και την τεχνική υποστήριξη της ασφάλειας των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στα συστήματα πληροφοριών προσωπικών δεδομένων της OAO Gazprom, των θυγατρικών και των οργανισμών της». Θα πρέπει να σημειωθεί ότι στο πλαίσιο του συστήματος τυποποίησης της OJSC Gazprom, έχουν αναπτυχθεί πρότυπα για το σύστημα ασφάλειας πληροφοριών, τα οποία θα επιτρέψουν επίσης την επίλυση των προβλημάτων προστασίας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στα συστήματα πληροφοριών της OJSC Gazprom. Επτά πρότυπα που σχετίζονται με το σύστημα ασφάλειας πληροφοριών έχουν εγκριθεί και τίθενται σε ισχύ φέτος. Τα πρότυπα καθορίζουν τις βασικές απαιτήσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών για την OAO Gazprom και τις θυγατρικές της. Τα αποτελέσματα της εργασίας που έγινε θα καταστήσουν δυνατή την ορθολογικότερη χρήση υλικών, οικονομικών και πνευματικών πόρων, τη δημιουργία της απαραίτητης κανονιστικής και μεθοδολογικής υποστήριξης, την εισαγωγή αποτελεσματικών μέσων προστασίας και, ως εκ τούτου, τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία στις πληροφορίες συστήματα της OAO Gazprom. Ως αποτέλεσμα της ανάλυσης της ασφάλειας πληροφοριών της OJSC Gazprom, εντοπίστηκαν οι ακόλουθες αδυναμίες στη διασφάλιση της ασφάλειας των πληροφοριών: ο οργανισμός δεν διαθέτει ένα ενιαίο έγγραφο που να ρυθμίζει μια ολοκληρωμένη πολιτική ασφάλειας. Λαμβάνοντας υπόψη το μέγεθος του δικτύου και τον αριθμό των χρηστών (περισσότεροι από 100), πρέπει να σημειωθεί ότι ένα άτομο είναι υπεύθυνο για τη διαχείριση του συστήματος, την ασφάλεια των πληροφοριών και την τεχνική υποστήριξη. δεν υπάρχει ταξινόμηση των στοιχείων ενεργητικού κατά βαθμό σπουδαιότητας· οι ρόλοι και οι ευθύνες για την ασφάλεια των πληροφοριών δεν περιλαμβάνονται στις περιγραφές θέσεων εργασίας· στη σύμβαση εργασίας που έχει συναφθεί με τον εργαζόμενο δεν υπάρχει ρήτρα σχετικά με τις ευθύνες ασφάλειας πληροφοριών τόσο των εργαζομένων όσο και του ίδιου του οργανισμού· δεν παρέχεται εκπαίδευση προσωπικού στον τομέα της ασφάλειας πληροφοριών· από την άποψη της προστασίας από εξωτερικές απειλές: δεν έχουν αναπτυχθεί τυπικές διαδικασίες συμπεριφοράς για την ανάκτηση δεδομένων μετά από ατυχήματα που συνέβησαν ως αποτέλεσμα εξωτερικών και περιβαλλοντικών απειλών. η αίθουσα διακομιστή δεν είναι ξεχωριστή αίθουσα, η αίθουσα έχει το καθεστώς δύο τμημάτων (ένα ακόμη άτομο, εκτός από τον διαχειριστή του συστήματος, έχει πρόσβαση στην αίθουσα διακομιστή). δεν πραγματοποιούνται τεχνικές διερεύνησης και φυσικής εξέτασης για μη εξουσιοδοτημένες συσκευές που συνδέονται με καλώδια· παρά το γεγονός ότι η είσοδος πραγματοποιείται με χρήση ηλεκτρονικών καρτών και όλες οι πληροφορίες εισάγονται σε ειδική βάση δεδομένων, η ανάλυσή της δεν πραγματοποιείται. όσον αφορά την προστασία από κακόβουλο λογισμικό: δεν υπάρχει επίσημη πολιτική προστασίας από κινδύνους που σχετίζονται με τη λήψη αρχείων είτε από ή μέσω εξωτερικών δικτύων είτε που περιέχονται σε αφαιρούμενα μέσα. όσον αφορά την προστασία από κακόβουλο λογισμικό: δεν υπάρχουν οδηγίες για την προστασία του τοπικού δικτύου από κακόβουλο κώδικα. δεν υπάρχει έλεγχος κυκλοφορίας, υπάρχει πρόσβαση σε διακομιστές αλληλογραφίας εξωτερικών δικτύων. Όλα τα αντίγραφα ασφαλείας αποθηκεύονται στην αίθουσα διακομιστή. χρησιμοποιούνται ανασφαλείς, εύκολοι στην απομνημόνευση κωδικοί πρόσβασης. η λήψη κωδικών πρόσβασης από τους χρήστες δεν επιβεβαιώνεται με κανέναν τρόπο. Οι κωδικοί πρόσβασης αποθηκεύονται σε καθαρό κείμενο από τον διαχειριστή. οι κωδικοί πρόσβασης δεν αλλάζουν. Δεν υπάρχει διαδικασία για την αναφορά συμβάντων ασφάλειας πληροφοριών. Έτσι, με βάση αυτές τις ελλείψεις, αναπτύχθηκε ένα σύνολο κανονισμών σχετικά με την πολιτική ασφάλειας πληροφοριών, συμπεριλαμβανομένων: πολιτικές σχετικά με την πρόσληψη (απόλυση) και τη χορήγηση (στέρηση) των εργαζομένων της απαραίτητης εξουσιοδότησης για πρόσβαση σε πόρους του συστήματος· πολιτική σχετικά με το έργο των χρηστών του δικτύου κατά τη λειτουργία του· πολιτική προστασίας με κωδικό πρόσβασης· πολιτική για την οργάνωση της φυσικής προστασίας· Πολιτική Διαδικτύου. καθώς και διοικητικά μέτρα ασφαλείας. Τα έγγραφα που περιέχουν αυτούς τους κανονισμούς βρίσκονται στο στάδιο της εξέτασης από τη διοίκηση του οργανισμού. 3 Ανάπτυξη μιας σειράς μέτρων για τον εκσυγχρονισμό του υφιστάμενου συστήματος ασφάλειας πληροφοριών Ως αποτέλεσμα της ανάλυσης του συστήματος ασφάλειας πληροφοριών της OJSC Gazprom, εντοπίστηκαν σημαντικές ευπάθειες του συστήματος. Για να αναπτύξουμε μέτρα για την εξάλειψη των εντοπισμένων ελλείψεων του συστήματος ασφαλείας, θα επισημάνουμε τις ακόλουθες ομάδες πληροφοριών που υπόκεινται σε προστασία: πληροφορίες σχετικά με την ιδιωτική ζωή των εργαζομένων που επιτρέπουν την ταυτοποίησή τους (προσωπικά δεδομένα)· πληροφορίες που σχετίζονται με επαγγελματικές δραστηριότητες και συνιστούν τραπεζικό, ελεγκτικό και επικοινωνιακό απόρρητο· πληροφορίες που σχετίζονται με επαγγελματικές δραστηριότητες και επισημαίνονται ως πληροφορίες «για επίσημη χρήση»· πληροφορίες, των οποίων η καταστροφή ή η τροποποίηση θα επηρεάσει αρνητικά τη λειτουργική αποτελεσματικότητα και η αποκατάσταση θα απαιτήσει πρόσθετο κόστος. Από πλευράς διοικητικών μέτρων, διατυπώθηκαν οι ακόλουθες συστάσεις: το σύστημα ασφάλειας πληροφοριών πρέπει να συμμορφώνεται με τη νομοθεσία της Ρωσικής Ομοσπονδίας και τα κρατικά πρότυπα· κτίρια και χώροι όπου εγκαθίστανται ή αποθηκεύονται εγκαταστάσεις επεξεργασίας πληροφοριών, οι εργασίες εκτελούνται με προστατευμένες πληροφορίες, πρέπει να φυλάσσονται και να προστατεύονται με συναγερμό και μέσα ελέγχου πρόσβασης· Κατά την πρόσληψη υπαλλήλου θα πρέπει να οργανώνεται εκπαίδευση του προσωπικού σε θέματα ασφάλειας πληροφοριών (εξήγηση της σημασίας της προστασίας με κωδικό πρόσβασης και απαιτήσεων κωδικού πρόσβασης, διεξαγωγή εκπαίδευσης σε λογισμικό προστασίας από ιούς, κ.λπ.). διεξαγωγή εκπαιδεύσεων κάθε 6-12 μήνες με στόχο τη βελτίωση του γραμματισμού των εργαζομένων στον τομέα της ασφάλειας πληροφοριών· έλεγχος του συστήματος και προσαρμογές στους αναπτυγμένους κανονισμούς θα πρέπει να διενεργούνται ετησίως, την 1η Οκτωβρίου ή αμέσως μετά την εισαγωγή σημαντικών αλλαγών στη δομή της επιχείρησης· τα δικαιώματα πρόσβασης κάθε χρήστη σε πόρους πληροφοριών πρέπει να τεκμηριώνονται (εάν είναι απαραίτητο, η πρόσβαση ζητείται εγγράφως από τον διαχειριστή). η πολιτική ασφάλειας πληροφοριών πρέπει να διασφαλίζεται από τον διαχειριστή λογισμικού και τον διαχειριστή υλικού, οι ενέργειές τους συντονίζονται από τον επικεφαλής της ομάδας. Ας διαμορφώσουμε μια πολιτική κωδικού πρόσβασης: Μην τα αποθηκεύετε σε μη κρυπτογραφημένη μορφή (μην τα γράφετε σε χαρτί, σε κανονικό αρχείο κειμένου κ.λπ.). αλλάξτε τον κωδικό πρόσβασης εάν αποκαλυφθεί ή υπάρχει υποψία αποκάλυψης· Το μήκος πρέπει να είναι τουλάχιστον 8 χαρακτήρες. Ο κωδικός πρόσβασης πρέπει να περιέχει κεφαλαία και πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες· ο κωδικός πρόσβασης δεν πρέπει να περιλαμβάνει εύκολα υπολογισμένες ακολουθίες χαρακτήρων (ονόματα, ονόματα ζώων, ημερομηνίες). αλλαγή μία φορά κάθε 6 μήνες (μια απρογραμμάτιστη αλλαγή κωδικού πρόσβασης πρέπει να γίνει αμέσως μετά τη λήψη ειδοποίησης για το περιστατικό που προκάλεσε την αλλαγή)· Όταν αλλάζετε κωδικούς πρόσβασης, δεν μπορείτε να επιλέξετε αυτούς που χρησιμοποιήθηκαν στο παρελθόν (οι κωδικοί πρόσβασης πρέπει να διαφέρουν κατά τουλάχιστον 6 θέσεις). Ας διαμορφώσουμε μια πολιτική σχετικά με τα προγράμματα προστασίας από ιούς και τον εντοπισμό ιών: Σε κάθε σταθμό εργασίας πρέπει να είναι εγκατεστημένο λογισμικό προστασίας από ιούς με άδεια χρήσης. ενημέρωση βάσεων δεδομένων προστασίας από ιούς σε σταθμούς εργασίας με πρόσβαση στο Διαδίκτυο - μία φορά την ημέρα, χωρίς πρόσβαση στο Διαδίκτυο - τουλάχιστον μία φορά την εβδομάδα. ρύθμιση αυτόματης σάρωσης σταθμών εργασίας για ανίχνευση ιών (συχνότητα ελέγχων - μία φορά την εβδομάδα: Παρασκευή, 12:00). Μόνο ο διαχειριστής μπορεί να διακόψει την ενημέρωση της βάσης δεδομένων προστασίας από ιούς ή τη σάρωση για ιούς (θα πρέπει να οριστεί προστασία με κωδικό πρόσβασης για την καθορισμένη ενέργεια χρήστη). Ας διαμορφώσουμε μια πολιτική σχετικά με τη φυσική προστασία: τεχνικός έλεγχος και φυσική εξέταση για μη εξουσιοδοτημένες συσκευές που συνδέονται με καλώδια θα πρέπει να διεξάγονται κάθε 1-2 μήνες. τα καλώδια δικτύου πρέπει να προστατεύονται από μη εξουσιοδοτημένη υποκλοπή δεδομένων· Τα αρχεία όλων των ύποπτων και πραγματικών αστοχιών που συνέβησαν με τον εξοπλισμό πρέπει να αποθηκεύονται σε ένα αρχείο καταγραφής Κάθε σταθμός εργασίας πρέπει να είναι εξοπλισμένος με αδιάλειπτη παροχή ρεύματος. Ας ορίσουμε μια πολιτική σχετικά με την κράτηση πληροφοριών: για αντίγραφα ασφαλείας, θα πρέπει να διατεθεί ξεχωριστό δωμάτιο, που βρίσκεται έξω από το διοικητικό κτίριο (το δωμάτιο θα πρέπει να είναι εξοπλισμένο με ηλεκτρονική κλειδαριά και συναγερμό). Οι κρατήσεις πληροφοριών θα πρέπει να γίνονται κάθε Παρασκευή στις 16:00. Η πολιτική σχετικά με την πρόσληψη/απόλυση εργαζομένων θα πρέπει να είναι η εξής: οποιεσδήποτε αλλαγές προσωπικού (πρόσληψη, προαγωγή, απόλυση υπαλλήλου κ.λπ.) πρέπει να αναφέρονται στον διαχειριστή εντός 24 ωρών, ο οποίος, με τη σειρά του, εντός μισής εργάσιμης ημέρας πρέπει να κάνει τις κατάλληλες αλλαγές στο σύστημα οριοθέτησης δικαιωμάτων πρόσβασης σε πόρους της επιχείρησης ; ένας νέος υπάλληλος πρέπει να υποβληθεί σε εκπαίδευση από τον διαχειριστή, συμπεριλαμβανομένης της εξοικείωσης με την πολιτική ασφαλείας και όλες τις απαραίτητες οδηγίες· το επίπεδο πρόσβασης στις πληροφορίες για τον νέο υπάλληλο ορίζεται από τον διευθυντή. Όταν ένας υπάλληλος αποχωρεί από το σύστημα, το αναγνωριστικό και ο κωδικός πρόσβασής του διαγράφονται, ο σταθμός εργασίας ελέγχεται για ιούς και αναλύεται η ακεραιότητα των δεδομένων στα οποία είχε πρόσβαση ο εργαζόμενος. Πολιτική σχετικά με την εργασία με τοπικό εσωτερικό δίκτυο (LAN) και βάσεις δεδομένων (DB): όταν εργάζεται στο σταθμό εργασίας του και στο LAN, ο εργαζόμενος πρέπει να εκτελεί μόνο εργασίες που σχετίζονται άμεσα με τις επίσημες δραστηριότητές του. Ο υπάλληλος πρέπει να ειδοποιεί τον διαχειριστή για μηνύματα από προγράμματα προστασίας από ιούς σχετικά με την εμφάνιση ιών. Κανένας άλλος εκτός από τους διαχειριστές δεν επιτρέπεται να κάνει αλλαγές στη σχεδίαση ή τη διαμόρφωση των σταθμών εργασίας και άλλων κόμβων LAN, να εγκαταστήσει οποιοδήποτε λογισμικό, να αφήσει το σταθμό εργασίας χωρίς έλεγχο ή να επιτρέψει σε μη εξουσιοδοτημένα άτομα να έχουν πρόσβαση σε αυτόν. Συνιστάται στους διαχειριστές να διατηρούν δύο προγράμματα σε λειτουργία ανά πάσα στιγμή: ένα βοηθητικό πρόγραμμα εντοπισμού επιθέσεων με πλαστογράφηση ARP και ένα sniffer, η χρήση των οποίων θα τους επιτρέψει να δουν το δίκτυο μέσα από τα μάτια ενός πιθανού εισβολέα και να εντοπίσουν τους παραβάτες της πολιτικής ασφάλειας. Θα πρέπει να εγκαταστήσετε λογισμικό που εμποδίζει την εκτέλεση προγραμμάτων διαφορετικών από αυτά που έχει ορίσει ο διαχειριστής, με βάση την αρχή: «Σε κάθε άτομο παρέχονται τα απαραίτητα προνόμια για την εκτέλεση συγκεκριμένων εργασιών». Όλες οι αχρησιμοποίητες θύρες υπολογιστή πρέπει να απενεργοποιηθούν από υλικό ή λογισμικό. Το λογισμικό θα πρέπει να ενημερώνεται τακτικά. Πολιτική Διαδικτύου: οι διαχειριστές έχουν το δικαίωμα να περιορίζουν την πρόσβαση σε πόρους, το περιεχόμενο των οποίων δεν σχετίζεται με την εκτέλεση επίσημων καθηκόντων, καθώς και σε πόρους, το περιεχόμενο και η εστίαση των οποίων απαγορεύονται από τη διεθνή και τη ρωσική νομοθεσία. απαγορεύεται στον εργαζόμενο να κατεβάζει και να ανοίγει αρχεία χωρίς πρώτα να έχει ελέγξει για ιούς. όλες οι πληροφορίες σχετικά με τους πόρους που επισκέπτονται οι υπάλληλοι της εταιρείας θα πρέπει να αποθηκεύονται σε ένα αρχείο καταγραφής και, εάν είναι απαραίτητο, μπορούν να παρέχονται στους επικεφαλής των τμημάτων, καθώς και στη διοίκηση Το απόρρητο και η ακεραιότητα της ηλεκτρονικής αλληλογραφίας και των εγγράφων γραφείου διασφαλίζεται με τη χρήση ψηφιακών υπογραφών. Επιπλέον, θα διαμορφώσουμε τις βασικές απαιτήσεις για τη δημιουργία κωδικών πρόσβασης για τους υπαλλήλους της εταιρείας OJSC Gazprom. Ένας κωδικός πρόσβασης είναι σαν ένα κλειδί σπιτιού, μόνο που είναι το κλειδί για πληροφορίες. Για τα συνηθισμένα κλειδιά, είναι εξαιρετικά ανεπιθύμητο να χαθούν, να κλαπούν ή να παραδοθούν σε έναν άγνωστο. Το ίδιο ισχύει και για τον κωδικό πρόσβασης. Φυσικά, η ασφάλεια των πληροφοριών δεν εξαρτάται μόνο από τον κωδικό πρόσβασης· για να τον διασφαλίσετε, πρέπει να ορίσετε ορισμένες ειδικές ρυθμίσεις και, ίσως, να γράψετε ακόμη και ένα πρόγραμμα που προστατεύει από το hacking. Αλλά η επιλογή ενός κωδικού πρόσβασης είναι ακριβώς η ενέργεια όπου εξαρτάται μόνο από τον χρήστη πόσο ισχυρός θα είναι αυτός ο σύνδεσμος στην αλυσίδα των μέτρων που στοχεύουν στην προστασία των πληροφοριών. ) ο κωδικός πρόσβασης πρέπει να είναι μεγάλος (8-12-15 χαρακτήρες). ) δεν πρέπει να είναι λέξη από λεξικό (οποιοδήποτε λεξικό, ακόμη και λεξικό ειδικών όρων και αργκό), ένα σωστό όνομα ή μια λέξη σε κυριλλικό αλφάβητο πληκτρολογημένη στη λατινική διάταξη (Λατινικά - kfnsym). ) δεν μπορεί να συσχετιστεί με τον ιδιοκτήτη. ) αλλάζει περιοδικά ή ανάλογα με τις ανάγκες. ) δεν χρησιμοποιείται με αυτήν την ιδιότητα σε διάφορους πόρους (δηλαδή, για κάθε πόρο - για σύνδεση σε γραμματοκιβώτιο, λειτουργικό σύστημα ή βάση δεδομένων - πρέπει να χρησιμοποιείται διαφορετικός κωδικός πρόσβασης). ) είναι δυνατόν να το θυμάστε. Η επιλογή λέξεων από το λεξικό δεν είναι επιθυμητή, καθώς ένας εισβολέας που διεξάγει μια επίθεση λεξικού θα χρησιμοποιήσει προγράμματα ικανά να αναζητήσουν έως και εκατοντάδες χιλιάδες λέξεις ανά δευτερόλεπτο. Οποιεσδήποτε πληροφορίες που σχετίζονται με τον ιδιοκτήτη (είτε είναι η ημερομηνία γέννησης, το όνομα του σκύλου, το πατρικό όνομα της μητέρας και παρόμοιοι «κωδικοί πρόσβασης») μπορούν εύκολα να αναγνωριστούν και να μαντευτούν. Η χρήση κεφαλαίων και πεζών γραμμάτων, καθώς και αριθμών, περιπλέκει πολύ το έργο του εισβολέα να μαντέψει τον κωδικό πρόσβασης. Ο κωδικός πρόσβασης πρέπει να παραμείνει μυστικός και εάν υποψιάζεστε ότι ο κωδικός πρόσβασης έχει γίνει γνωστός σε κάποιον, αλλάξτε τον. Είναι επίσης πολύ χρήσιμο να τα αλλάζετε από καιρό σε καιρό. συμπέρασμα Η μελέτη μας επέτρεψε να βγάλουμε τα ακόλουθα συμπεράσματα και να διατυπώσουμε συστάσεις. Έχει διαπιστωθεί ότι ο κύριος λόγος για τα προβλήματα της επιχείρησης στον τομέα της ασφάλειας πληροφοριών είναι η έλλειψη πολιτικής ασφάλειας πληροφοριών, η οποία θα περιλαμβάνει οργανωτικές, τεχνικές, οικονομικές λύσεις με μετέπειτα παρακολούθηση της εφαρμογής τους και αξιολόγηση της αποτελεσματικότητάς τους. Ο ορισμός της πολιτικής ασφάλειας πληροφοριών διατυπώνεται ως ένα σύνολο τεκμηριωμένων αποφάσεων, σκοπός των οποίων είναι η διασφάλιση της προστασίας των πληροφοριών και των σχετικών κινδύνων πληροφοριών. Η ανάλυση του συστήματος ασφάλειας πληροφοριών αποκάλυψε σημαντικές ελλείψεις, όπως: αποθήκευση αντιγράφων ασφαλείας στην αίθουσα διακομιστή, ο διακομιστής αντιγράφων ασφαλείας βρίσκεται στον ίδιο χώρο με τους κύριους διακομιστές. έλλειψη κατάλληλων κανόνων σχετικά με την προστασία με κωδικό πρόσβασης (μήκος κωδικού πρόσβασης, κανόνες επιλογής και αποθήκευσης). Η διαχείριση του δικτύου γίνεται από ένα άτομο. Μια γενίκευση της διεθνούς και της ρωσικής πρακτικής στον τομέα της διαχείρισης της ασφάλειας πληροφοριών των επιχειρήσεων μας επέτρεψε να καταλήξουμε στο συμπέρασμα ότι για να το διασφαλίσουμε, είναι απαραίτητο: την πρόβλεψη και τον έγκαιρο εντοπισμό απειλών για την ασφάλεια, αιτιών και συνθηκών που ευνοούν οικονομική, υλική και ηθική ζημιά· δημιουργία συνθηκών λειτουργίας με τον μικρότερο κίνδυνο εφαρμογής απειλών για την ασφάλεια στους πόρους πληροφοριών και πρόκλησης διαφόρων ειδών ζημιών· δημιουργία μηχανισμού και προϋποθέσεων για την αποτελεσματική αντιμετώπιση απειλών για την ασφάλεια των πληροφοριών με βάση νομικά, οργανωτικά και τεχνικά μέσα. Το πρώτο κεφάλαιο της εργασίας πραγματεύεται τις κύριες θεωρητικές πτυχές. Δίνεται μια επισκόπηση πολλών προτύπων στον τομέα της ασφάλειας πληροφοριών. Εξάγονται συμπεράσματα για το καθένα και ως σύνολο και επιλέγεται το καταλληλότερο πρότυπο για τη διαμόρφωση της πολιτικής ασφάλειας πληροφοριών. Το δεύτερο κεφάλαιο εξετάζει τη δομή του οργανισμού και αναλύει τα κύρια προβλήματα που σχετίζονται με την ασφάλεια των πληροφοριών. Ως αποτέλεσμα, έχουν σχηματιστεί συστάσεις για τη διασφάλιση του κατάλληλου επιπέδου ασφάλειας των πληροφοριών. Εξετάζονται επίσης μέτρα για την πρόληψη περαιτέρω περιστατικών που σχετίζονται με παραβιάσεις της ασφάλειας των πληροφοριών. Φυσικά, η διασφάλιση της ασφάλειας πληροφοριών ενός οργανισμού είναι μια συνεχής διαδικασία που απαιτεί συνεχή παρακολούθηση. Και μια φυσικά διαμορφωμένη πολιτική δεν είναι σιδερένιος εγγυητής προστασίας. Εκτός από την εφαρμογή της πολιτικής, απαιτείται συνεχής παρακολούθηση της ποιοτικής εφαρμογής της, καθώς και βελτίωση σε περίπτωση αλλαγών στην εταιρεία ή προηγούμενων. Προτάθηκε στον οργανισμό να προσλάβει έναν υπάλληλο του οποίου οι δραστηριότητες θα είχαν άμεση σχέση με αυτές τις λειτουργίες (διαχειριστής ασφαλείας). Βιβλιογραφία οικονομική ζημιά στην ασφάλεια των πληροφοριών 1. Belov E.B. Βασικές αρχές ασφάλειας πληροφοριών. Ε.Β. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Ο Σελουπάνοφ. -M.: Hotline - Telecom, 2006. - 544s Galatenko V.A. Πρότυπα ασφάλειας πληροφοριών: ένα μάθημα διαλέξεων. Εκπαιδευτικός επίδομα. - 2η έκδοση. M.: INTUIT.RU "Internet University of Information Technologies", 2009. - 264 p. Glatenko V.A. Πρότυπα Ασφάλειας Πληροφοριών / Ανοικτά Συστήματα 2006.- 264γ Dolzhenko A.I. Διαχείριση Πληροφοριακών Συστημάτων: Εκπαιδευτικό μάθημα. - Rostov-on-Don: RGEU, 2008.-125 σελ. Καλάσνικοφ Α. Διαμόρφωση εταιρικής πολιτικής εσωτερικής ασφάλειας πληροφοριών #"justify">. Malyuk A.A. Ασφάλεια πληροφοριών: εννοιολογικές και μεθοδολογικές βάσεις προστασίας πληροφοριών / Μ.2009-280 Mayvold E., Ασφάλεια Δικτύων. Εγχειρίδιο αυτο-οδηγίας // Ekom, 2009.-528 p. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Βασικές αρχές της οργανωτικής υποστήριξης για την ασφάλεια πληροφοριών αντικειμένων πληροφορικής // Helios ARV, 2008, 192 σελ.
