सूचना सुरक्षा (सूचना प्रणाली सुरक्षा) पर स्नातक थीसिस। सूचना सुरक्षा प्रणाली सूचना सुरक्षा पर WRC विषयों की सूची

समान दस्तावेज़

सूचना सुरक्षा मुद्दों की प्रासंगिकता. मिनरल एलएलसी नेटवर्क के लिए सॉफ्टवेयर और हार्डवेयर। कॉर्पोरेट सुरक्षा और अनधिकृत पहुंच के विरुद्ध सुरक्षा का एक मॉडल बनाना। सूचना प्रणाली सुरक्षा के लिए तकनीकी समाधान.

थीसिस, 01/19/2015 को जोड़ा गया

किसी सूचना प्रणाली की सुरक्षा विभिन्न प्रभावों को झेलने की उसकी क्षमता है। कंप्यूटर खतरों के प्रकार, अनधिकृत पहुंच की अवधारणा। वायरस और मैलवेयर. सूचना प्रणाली की सुरक्षा के तरीके और साधन।

सार, 11/14/2010 को जोड़ा गया

सूचना सुरक्षा खतरों का वर्गीकरण. कंप्यूटर सिस्टम, सॉफ्टवेयर और हार्डवेयर के विकास में त्रुटियाँ। सूचना तक अनधिकृत पहुंच (यूएनए) प्राप्त करने की मुख्य विधियाँ। एनएसडी से बचाव के तरीके. आभासी निजी नेटवर्क.

पाठ्यक्रम कार्य, 11/26/2013 जोड़ा गया

सूचना सुरक्षा के लिए बाहरी खतरे, उनकी अभिव्यक्ति के रूप। औद्योगिक जासूसी से सुरक्षा के तरीके और साधन, इसके लक्ष्य: किसी प्रतिस्पर्धी के बारे में जानकारी प्राप्त करना, जानकारी को नष्ट करना। गोपनीय जानकारी तक अनधिकृत पहुंच के तरीके.

परीक्षण, 09/18/2016 जोड़ा गया

सूचना तक अनधिकृत पहुंच के सबसे आम तरीके, इसके रिसाव के चैनल। प्राकृतिक (आपातकालीन) खतरों और यादृच्छिक खतरों से जानकारी की सुरक्षा के तरीके। सूचना की सुरक्षा के साधन के रूप में क्रिप्टोग्राफी। औद्योगिक जासूसी।

सार, 06/04/2013 को जोड़ा गया

सूचना सुरक्षा की अवधारणा, अर्थ और दिशाएँ। सूचना सुरक्षा को व्यवस्थित करने, अनधिकृत पहुंच से जानकारी की सुरक्षा के लिए एक व्यवस्थित दृष्टिकोण। सूचना सुरक्षा उपकरण. सूचना सुरक्षा विधियाँ और प्रणालियाँ।

सार, 11/15/2011 जोड़ा गया

सूचना सुरक्षा की अवधारणा और सिद्धांत। कंप्यूटर सिस्टम पर मुख्य प्रकार के खतरनाक प्रभावों पर विचार। कंप्यूटर तक अनधिकृत पहुंच के लिए चैनलों का वर्गीकरण। हार्डवेयर और सॉफ्टवेयर सूचना सुरक्षा उपकरणों की विशेषताएं।

प्रस्तुति, 11/15/2011 को जोड़ा गया

सूचना सुरक्षा, इसके लक्ष्य और उद्देश्य। सूचना रिसाव चैनल. जानकारी को अनधिकृत पहुंच से बचाने के सॉफ़्टवेयर और हार्डवेयर तरीके और साधन। कंप्यूटर सुविधा पर संसाधित जानकारी के लिए सुरक्षा खतरों का मॉडल।

थीसिस, 02/19/2017 को जोड़ा गया

एक व्यापक सूचना सुरक्षा प्रणाली के संगठन पर किसी उद्यम की गतिविधि के प्रकार का प्रभाव। संरक्षित जानकारी की संरचना. संगठनात्मक जानकारी तक अनधिकृत पहुंच के संभावित चैनल। सूचना सुरक्षा प्रणाली की दक्षता.

अभ्यास रिपोर्ट, 10/31/2013 को जोड़ा गया

सूचना सुरक्षा के उद्भव और विकास के ऐतिहासिक पहलू। सूचना सुरक्षा के साधन और उनका वर्गीकरण। कंप्यूटर वायरस के प्रकार और संचालन के सिद्धांत। अनधिकृत पहुंच से जानकारी की सुरक्षा के लिए कानूनी आधार।

फोकस (प्रोफ़ाइल) "सूचना प्रणाली और प्रौद्योगिकियाँ"

प्रशिक्षण के क्षेत्र 09.03.02 "सूचना प्रणाली और प्रौद्योगिकियाँ"

डिजाइन और तकनीकी,

सेवा और परिचालन.

1. उद्यम की सूचना अवसंरचना का वर्चुअलाइजेशन (उद्यम का नाम)।

2. लिनक्स ओएस और एक स्वतंत्र रूप से वितरित डीबीएमएस पर आधारित उद्यम सूचना प्रणाली का एकीकरण।

3. उद्यम की कॉर्पोरेट सूचना प्रणाली का आधुनिकीकरण और प्रशासन (उद्यम का नाम)।

4. उद्यम के सूचना नेटवर्क का आधुनिकीकरण, प्रशासन और रखरखाव (उद्यम का नाम)।

5. उद्यम (प्रक्रिया) (उद्यम या प्रक्रिया का नाम) की सूचना और प्रबंधन प्रणाली का आधुनिकीकरण और इसका समर्थन करने के उपायों का विकास।

6. उद्यम के लिए एक इंट्रानेट पोर्टल का विकास (उद्यम का नाम)।

7. उद्यम सूचना नेटवर्क का डिज़ाइन (उद्यम का नाम)।

8. किसी उद्यम के लिए कॉर्पोरेट सूचना प्रणाली का डिज़ाइन (उद्यम का नाम)।

9. उद्यम के कॉर्पोरेट वेब पोर्टल का विकास और रखरखाव (उद्यम का नाम)।

10. उद्यम (उद्यम का नाम) के लिए एक स्वचालित सूचना प्रसंस्करण प्रणाली का विकास।

11. प्रक्रिया प्रबंधन (प्रक्रिया या वस्तु का नाम) के लिए एक उद्यम सूचना प्रणाली के प्रोटोटाइप का विकास।

12. उद्यम की सूचना प्रणाली (उद्यम का नाम) के लिए एक वेब सेवा का विकास।

13. उद्यम (उद्यम का नाम) के लिए एक संदर्भ सूचना प्रणाली का विकास।

14. उद्यम सूचना प्रबंधन प्रणाली (उद्यम का नाम) के मॉडल और डिजाइन का विकास।

15. सिस्टम रखरखाव के लिए तकनीकी सॉफ्टवेयर का विकास (सिस्टम का नाम)।

16. माइक्रोप्रोसेसर डिवाइस के लिए सॉफ्टवेयर का विकास (डिवाइस का नाम)।

17. उद्यम की सूचना प्रणाली (उद्यम का नाम) के लिए एक मोबाइल क्लाइंट एप्लिकेशन का विकास।

18. उत्पादन प्रक्रिया मापदंडों को अनुकूलित करने के लिए एक सिमुलेशन मॉडल का विकास।

19. किसी उद्यम (उद्यम का नाम) के लिए टूल (वर्चुअलाइजेशन टूल का नाम) और डेटा ट्रांसमिशन चैनलों के आधार पर वर्चुअल सर्वर का डिज़ाइन।

20. उद्यम की सूचना (कॉर्पोरेट सूचना) प्रणाली (उद्यम का नाम) के एक मॉड्यूल (सबसिस्टम) (कार्यान्वित फ़ंक्शन का नाम) का विकास।

अनुप्रयुक्त स्नातक डिग्री के शैक्षिक कार्यक्रम में

प्रशिक्षण के क्षेत्र 03/09/04 "सॉफ्टवेयर इंजीनियरिंग"

व्यावसायिक गतिविधियों के प्रकार:
उत्पादन और तकनीकी,
संगठनात्मक और प्रबंधकीय,
सेवा और परिचालन.

1. किसी वेबसाइट, सोशल नेटवर्क, पोर्टल को पार्स करने के लिए एक एप्लिकेशन का विकास।

2. एक सूचना (सूचना और संदर्भ) प्रणाली (सिस्टम का उद्देश्य या कार्य) का डिजाइन और सॉफ्टवेयर कार्यान्वयन।

3. डिवाइस के लिए फर्मवेयर का विकास (डिवाइस का नाम)।

4. सिस्टम के लिए एप्लिकेशन सॉफ़्टवेयर का विकास (सिस्टम का नाम)।

5. एक सॉफ्टवेयर सूचना प्रणाली का विकास (उपयोग के क्षेत्र या कार्यान्वित की जा रही प्रक्रिया का नाम)।

6. सॉफ़्टवेयर के परीक्षण और डिबगिंग के लिए विधियों का विकास (सॉफ़्टवेयर का नाम)।

7. 1सी: एंटरप्राइज सिस्टम (एंटरप्राइज का नाम) के लिए एक सॉफ्टवेयर मॉड्यूल (मॉड्यूल का नाम) का विकास।

8. उद्यम सूचना प्रबंधन प्रणाली (उद्यम का नाम) के लिए एक वेब सेवा का विकास।

9. सूचना-माप प्रणाली (सिस्टम का उद्देश्य) का समर्थन करने के लिए एक एप्लिकेशन का विकास।

10. 1सी:एंटरप्राइज़ प्रणाली की वेब सेवाओं की सूचना सुरक्षा का अध्ययन।

11. उद्यम की सूचना (कॉर्पोरेट सूचना) प्रणाली (उद्यम का नाम) के एक मॉड्यूल (सबसिस्टम) (कार्यान्वित फ़ंक्शन का नाम) का विकास।

12. सिस्टम के लिए सर्वर (क्लाइंट) सॉफ्टवेयर का विकास (सिस्टम का नाम)।

अंतिम अर्हक कार्यों के विषय

अनुप्रयुक्त स्नातक डिग्री के शैक्षिक कार्यक्रम में

फोकस (प्रोफ़ाइल) "सूचना सेवा"

:
सेवा,

1. उद्यम के स्थानीय नेटवर्क का आधुनिकीकरण, प्रशासन और रखरखाव (उद्यम का नाम)।

2. उद्यम सूचना प्रणाली (उद्यम का नाम) का आधुनिकीकरण और प्रशासन।

3. एक उद्यम सूचना प्रणाली का डिज़ाइन (उद्यम का नाम)।

4. किसी उद्यम (उद्यम का नाम) के स्थानीय नेटवर्क के संचालन के लिए प्रौद्योगिकी का डिजाइन और विकास।

5. उद्यम की सूचना प्रणाली (उद्यम का नाम) के हार्डवेयर और सॉफ्टवेयर सुरक्षा का डिजाइन।

6. डिवाइस के निदान, मरम्मत और रखरखाव के लिए प्रौद्योगिकी का विकास (डिवाइस का नाम, उपकरणों का समूह, मापने के उपकरण, कंप्यूटर इकाई, कंप्यूटर या माइक्रोप्रोसेसर सिस्टम, स्थानीय नेटवर्क)।

7. कंपनी की वेबसाइट का विकास और प्रशासन (कंपनी का नाम)।

8. उद्यम के डेटा ट्रांसमिशन नेटवर्क (उद्यम का नाम) के लिए सर्वर कॉन्फ़िगरेशन का विकास।

9. उद्यम सूचना प्रणाली डेटाबेस (उद्यम का नाम) का विकास और प्रशासन।

10. उद्यम के लिए एक इंट्रानेट पोर्टल का विकास (उद्यम का नाम)।

11. 1सी:एंटरप्राइज़ प्लेटफ़ॉर्म पर उत्पादन प्रक्रियाओं की निगरानी के लिए एक उपप्रणाली का विकास।

12. उद्यम (उद्यम का नाम) की वितरित सूचना प्रणाली (सिस्टम का नाम) के लिए एक परियोजना का विकास।

13. एक सूचना और संदर्भ लेखा प्रणाली का विकास (लेखा वस्तु का नाम)।

14. उद्यम सूचना प्रणाली के लिए WCF सेवा का विकास।

15. एक उद्यम सूचना प्रणाली (उद्यम की गतिविधि का नाम या क्षेत्र) के एक मॉडल का विकास।

16. सॉफ्टवेयर के परीक्षण और डिबगिंग के लिए तरीकों का विकास (सॉफ्टवेयर का नाम)।

17. एक सॉफ्टवेयर सूचना प्रणाली (उपयोग के क्षेत्र का नाम या कार्यान्वित की जा रही प्रक्रिया का नाम) के प्रशासन और रखरखाव के लिए उपायों के एक सेट का विकास।

18. डेटा ट्रांसमिशन सिस्टम की मॉडलिंग और अनुसंधान (सिस्टम का नाम)।

19. 1सी:एंटरप्राइज प्लेटफॉर्म पर वितरित सूचना प्रणाली के मापदंडों का अनुसंधान और अनुकूलन।

20. इलेक्ट्रॉनिक (कंप्यूटर) उपकरण की मरम्मत और रखरखाव और तकनीकी उपकरणों के संचालन के संगठन के लिए उद्यम के एक प्रभाग (उद्यम का नाम) का डिजाइन।

21. किसी उद्यम (उद्यम का नाम) के लिए टूल (वर्चुअलाइजेशन टूल का नाम) और डेटा ट्रांसमिशन चैनल के आधार पर वर्चुअल सर्वर का डिज़ाइन।

22. सिस्टम के लिए सर्वर (क्लाइंट) सॉफ्टवेयर का विकास (सिस्टम का नाम)।

अंतिम अर्हक कार्यों के विषय

अनुप्रयुक्त स्नातक डिग्री के शैक्षिक कार्यक्रम में

प्रत्यक्षता (प्रोफ़ाइल) "इलेक्ट्रॉनिक उपकरण सेवा"

प्रशिक्षण के क्षेत्र 03.43.01 "सेवा"

व्यावसायिक गतिविधियों के प्रकार:
सेवा,
उत्पादन और तकनीकी।

1. डिवाइस के निदान, मरम्मत और रखरखाव के लिए प्रौद्योगिकी का विकास (इलेक्ट्रॉनिक डिवाइस, माइक्रोप्रोसेसर या दूरसंचार प्रणाली, मापने के उपकरण, डेटा ट्रांसमिशन नेटवर्क का नाम)।

2. उद्यम के इलेक्ट्रॉनिक सिस्टम (सिस्टम का नाम) का विकास (उद्यम का नाम, शॉपिंग और कार्यालय केंद्र, मनोरंजन परिसर)।

3. एक सूचना इनपुट/आउटपुट डिवाइस का विकास (डिवाइस का नाम)।

4. माइक्रोप्रोसेसर डिवाइस के लिए सॉफ्टवेयर का विकास (डिवाइस का नाम)।

5. एक उद्यम के लिए कॉर्पोरेट दूरसंचार नेटवर्क का विकास (उद्यम का नाम)।

6. एक डिजिटल डिवाइस (मॉड्यूल) का विकास (डिवाइस का नाम, मॉड्यूल; कार्यान्वित किए जा रहे फ़ंक्शन का नाम)।

7. इलेक्ट्रॉनिक उपकरणों के लिए बिजली आपूर्ति उपकरण का विकास (उपकरण का नाम)।

8. वस्तुओं (वस्तुओं का नाम) की निगरानी (मापदंडों को नियंत्रित करना) के लिए प्रौद्योगिकी का विकास।

9. वायरलेस सेंसर का विकास और अनुसंधान (मापा पैरामीटर का नाम)।

10. इलेक्ट्रॉनिक (कंप्यूटर) उपकरण की मरम्मत और रखरखाव और तकनीकी उपकरणों के संचालन के संगठन के लिए उद्यम के एक प्रभाग (उद्यम का नाम) का डिजाइन।

11. उद्यम (उद्यम का नाम) के लिए एक एकीकृत सुरक्षा प्रणाली के उपप्रणाली (उपप्रणाली का नाम) का विकास।

अंतिम अर्हक कार्यों के विषय

अनुप्रयुक्त स्नातक डिग्री के शैक्षिक कार्यक्रम में

प्रत्यक्षता (प्रोफ़ाइल) "रेडियो इंजीनियरिंग सिग्नल संचारित करने, प्राप्त करने और संसाधित करने का साधन है"
प्रशिक्षण के क्षेत्र 03/11/01 "रेडियो इंजीनियरिंग"

व्यावसायिक गतिविधियों के प्रकार:
डिजाइन और इंजीनियरिंग,
सेवा और परिचालन.

1. एक उपकरण (ब्लॉक, मॉड्यूल; प्राप्त करना, संचारित करना, ट्रांसीवर) प्रणाली का विकास (सिस्टम का नाम)।

2. इलेक्ट्रॉनिक उपकरण (उपकरण का नाम) के लिए वायरलेस इंटरफ़ेस का विकास।

3. वातावरण (सॉफ़्टवेयर वातावरण का नाम) में डिवाइस के वर्चुअल मॉडल (डिवाइस का प्रकार निर्दिष्ट करें) का अध्ययन।

4. एक एकीकृत उद्यम सुरक्षा प्रणाली (उद्यम का नाम) के एक उपप्रणाली (उपप्रणाली का नाम) का विकास।

अंतिम अर्हक कार्यों के विषय

अनुप्रयुक्त स्नातक डिग्री के शैक्षिक कार्यक्रम में

प्रत्यक्षता (प्रोफ़ाइल) "मोबाइल संचार प्रणाली"

प्रशिक्षण के क्षेत्र 11.03.02 "सूचना संचार प्रौद्योगिकियाँ और संचार प्रणालियाँ"

व्यावसायिक गतिविधियों के प्रकार:
डिज़ाइन

1. किसी उद्यम के लिए दूरसंचार नेटवर्क का डिज़ाइन (उद्यम का नाम)।

2. उद्यम के दूरसंचार नेटवर्क का प्रशासन और रखरखाव (उद्यम का नाम)।

3. डिजिटल दूरसंचार प्रणाली के एक ब्लॉक (कोडेक, वोकोडर, सिंक्रोनाइज़ेशन डिवाइस, मैचिंग डिवाइस) का विकास।

4. एक वायरलेस इंटरफ़ेस एडाप्टर का विकास (इंटरफ़ेस का नाम)।

5. एक सूचना प्रसंस्करण उपकरण (डिवाइस प्रकार) प्रणाली (सिस्टम नाम) का विकास।

6. इंटरफेसिंग सिस्टम के लिए एक उपकरण का विकास (सिस्टम का नाम)।

7. एक सिस्टम नियंत्रक का विकास (सिस्टम नाम)।

8. दूरसंचार प्रणाली के लिए एक सिंक्रोनाइज़ेशन डिवाइस का विकास (सिस्टम का नाम)।

9. दूरसंचार उपकरण (उपकरण का नाम) के परीक्षण के लिए एक तकनीकी उपकरण का विकास।

10. प्रौद्योगिकी (प्रौद्योगिकी का नाम) पर आधारित वायरलेस संचार नेटवर्क (नेटवर्क खंड) का विकास।

11. ऑब्जेक्ट पैरामीटर (पैरामीटर का नाम) की दूरस्थ निगरानी के लिए प्रौद्योगिकी का विकास।

12. किसी वस्तु (वस्तु का नाम) की स्थिति की निगरानी के लिए एक सेंसर नेटवर्क का विकास।

13. दूरसंचार उपकरण (डिवाइस, सिस्टम, नेटवर्क, पर्यावरण का नाम) के मापदंडों के निदान और माप के लिए प्रौद्योगिकी का विकास।

14. सिस्टम के लिए एक ट्रांसीवर डिवाइस का विकास (सिस्टम का नाम)।

15. किसी वस्तु (वस्तु का नाम) के रिमोट कंट्रोल के लिए दूरसंचार उपकरणों का विकास।

16. दूरसंचार उपकरण घटकों (घटकों का नाम) के लिए एक पैरामीटर मीटर का विकास।

17. एक वायरलेस सूचना इनपुट/आउटपुट डिवाइस का विकास (डिवाइस का नाम)।

18. सूचना संचार प्रौद्योगिकी (प्रौद्योगिकी का नाम) के लिए हार्डवेयर और सॉफ्टवेयर का विकास।

19. सिस्टम में सूचना हस्तांतरण प्रोटोकॉल का अध्ययन (सिस्टम का नाम)।

20. सिस्टम के लिए डिजिटल सिग्नल प्रोसेसिंग विधियों का अनुसंधान (सिस्टम का नाम)।

21. सूचना संचार प्रौद्योगिकी और सुविधा प्रबंधन प्रणाली का विकास (सुविधा का नाम)।

22. एक पैरामीटर (पैरामीटर का नाम) को मापने के लिए एक वायरलेस सिस्टम का विकास।

23. किसी उद्यम (उद्यम का नाम) के लिए टूल (वर्चुअलाइजेशन टूल का नाम) और डेटा ट्रांसमिशन चैनलों के आधार पर वर्चुअल सर्वर का डिज़ाइन।

अंतिम अर्हक कार्यों के विषय

माध्यमिक व्यावसायिक शिक्षा के शैक्षिक कार्यक्रम के अनुसार

विशेषता 09.02.01 "कंप्यूटर सिस्टम और कॉम्प्लेक्स"

व्यावसायिक मॉड्यूल:

PM.01 डिजिटल उपकरणों का डिज़ाइन,

PM.02 माइक्रोप्रोसेसर सिस्टम का अनुप्रयोग, परिधीय प्रशिक्षण की स्थापना और कॉन्फ़िगरेशन,

PM.03 कंप्यूटर सिस्टम और कॉम्प्लेक्स का रखरखाव और मरम्मत।

1. दोषों का निदान और उपकरण की तकनीकी स्थिति की निगरानी (कंप्यूटर प्रौद्योगिकी या कंप्यूटर नेटवर्क के हार्डवेयर और सॉफ्टवेयर का नाम)।

2. टूल्स को असेंबल करना, कॉन्फ़िगर करना और सेटअप करना (कंप्यूटर हार्डवेयर और सॉफ्टवेयर या कंप्यूटर नेटवर्क का नाम)।

3. उद्यम के कंप्यूटर नेटवर्क (उद्यम का नाम) की सूचना सुरक्षा सुनिश्चित करने के लिए उपायों के एक सेट का विकास।

4. उद्यम (उद्यम का नाम) के लिए संपर्क रहित पहचान प्रणाली का विकास।

5. उद्यम सूचना प्रणाली (उद्यम का नाम) का रखरखाव और प्रशासन।

6. उद्यम के कंप्यूटर नेटवर्क का रखरखाव और प्रशासन (उद्यम का नाम)।

7. हार्डवेयर और सॉफ्टवेयर रखरखाव और समर्थन (कंप्यूटर हार्डवेयर या कंप्यूटर नेटवर्क का नाम)।

8. सॉफ्टवेयर की स्थापना, अनुकूलन और रखरखाव (सॉफ्टवेयर का नाम)।

9. एक डिजिटल (माइक्रोप्रोसेसर) डिवाइस (मॉड्यूल) का विकास और अनुसंधान (डिवाइस, मॉड्यूल का नाम)।

10. परीक्षण प्रौद्योगिकी का विकास और सॉफ्टवेयर की व्यापक डिबगिंग (सॉफ्टवेयर का नाम)।

स्नातकों के लिए अंतिम योग्यता कार्यों के विषय

फोकस (प्रोफ़ाइल) "कंप्यूटर प्रौद्योगिकी और सूचना प्रणाली के तत्व और उपकरण"

प्रशिक्षण के क्षेत्र 09.04.01 "सूचना विज्ञान और कंप्यूटर विज्ञान"

व्यावसायिक गतिविधियों के प्रकार:
डिज़ाइन,
वैज्ञानिक अनुसंधान।

1. सूचना हस्तांतरण के लिए नेटवर्क प्रोटोकॉल की मॉडलिंग और अनुसंधान (सूचना का प्रकार दर्शाया गया है)।

2. सिस्टम मापदंडों में सुधार के लिए कंप्यूटर विधियों का अनुसंधान और विकास (पैरामीटर या पैरामीटर और सिस्टम के प्रकार का संकेत दिया गया है)।

3. कंप्यूटर मॉडलिंग, अनुसंधान और सूचना या दूरसंचार प्रणालियों का अनुकूलन (सिस्टम का वर्ग दर्शाया गया है)।

4. वायरलेस सेंसर नेटवर्क के निर्माण का अनुसंधान और अनुकूलन।

5. वायरलेस इंटरनेट ऑफ थिंग्स नेटवर्क के निर्माण का अनुसंधान और विश्लेषण।

6. दक्षता मानदंड का विकास और क्लाउड इंफ्रास्ट्रक्चर के भीतर वर्चुअल मशीनों के वितरण का अध्ययन।

7. वितरित सूचना (या सूचना-मापने) प्रणालियों की प्रभावशीलता का विकास, अनुसंधान और मूल्यांकन (आवेदन का क्षेत्र या सिस्टम के प्रकार का संकेत दिया गया है)।

8. उपकरण के लिए वायरलेस इंटरफ़ेस का विकास और अनुसंधान (उपकरण का नाम)।

9. ऑब्जेक्ट ट्रैकिंग डिवाइस (ऑब्जेक्ट्स का नाम) का विकास और अनुसंधान।

10. किसी वस्तु (वस्तु का नाम) की स्थिति की निगरानी के लिए उपकरणों का विकास और अनुसंधान।

11. उपकरणों के लिए हार्डवेयर और सॉफ्टवेयर डायग्नोस्टिक टूल का विकास (उपकरणों का नाम)।

12. वायरलेस सेंसर का विकास और अनुसंधान (मापा पैरामीटर का नाम)।

13. एक पैरामीटर (पैरामीटर नाम) को कोड में बदलने के लिए सुधार एल्गोरिदम का अध्ययन।

14. सुविधा प्रबंधन प्रणाली (सुविधा का नाम) के मापदंडों की निगरानी के लिए एल्गोरिदम और सॉफ्टवेयर का विकास।

15. वस्तु (वस्तु का नाम) के लिए वायरलेस नियंत्रण उपकरणों का विकास और अनुसंधान।

16. पैरामीटर कन्वर्टर्स की मॉडलिंग और अनुसंधान (पैरामीटर का नाम)।

17. सॉफ़्टवेयर की गुणवत्ता का आकलन करने के तरीके (सॉफ़्टवेयर का उद्देश्य दर्शाया गया है)।

18. विशेषताओं (विशेषताओं को दर्शाया गया है) में सुधार करने के लिए परिस्थितियों (शर्तों का संकेत दिया गया है) के तहत उपकरणों (उपकरणों का नाम) की कार्यप्रणाली का अध्ययन।

19. विशेषताओं (विशेषताओं का संकेत दिया गया है) में सुधार के लिए उपकरणों (उपकरणों के नाम) के विश्लेषण और संश्लेषण के तरीकों का विकास।

अंतिम अर्हक कार्यों के विषय

अकादमिक मास्टर कार्यक्रम में

फोकस (प्रोफ़ाइल) "सॉफ्टवेयर और सूचना प्रणाली का विकास"
प्रशिक्षण के क्षेत्र 09.04.04 "सॉफ़्टवेयर इंजीनियरिंग"

व्यावसायिक गतिविधियों के प्रकार:
अनुसंधान,
डिज़ाइन

1. उच्च शिक्षा संस्थानों में कार्यक्रम प्रदर्शित करने के लिए REST सेवा का विकास और अनुसंधान।

2. सेलुलर ऑपरेटरों के लिए सॉफ्टवेयर परीक्षण उपकरणों का अनुसंधान और विकास।

3. यादृच्छिक संरचना वाले सिस्टम के सिद्धांत के आधार पर किसी व्यक्ति की शारीरिक स्थिति की पहचान।

4. एमडीए दृष्टिकोण के आधार पर बिक्री स्वचालन सूचना प्रणाली (उद्यम का नाम) का डिजाइन।

5. सॉफ्टवेयर की गुणवत्ता का आकलन करने के लिए एक सॉफ्टवेयर सूचना प्रणाली का विकास और अनुसंधान (सॉफ्टवेयर का नाम दर्शाया गया है)।

6. वितरित सॉफ़्टवेयर और सूचना प्रणालियों का विकास (सिस्टम के अनुप्रयोग का दायरा दर्शाया गया है) और दक्षता मानदंड (मानदंड इंगित किए गए हैं) के आधार पर उनके अनुकूलन की संभावनाओं पर शोध करना।

7. सिस्टम के लिए इनपुट/आउटपुट डिवाइस का समर्थन करने के लिए सॉफ्टवेयर का विकास (सिस्टम का नाम)।

8. सॉफ्टवेयर सूचना प्रणाली (सिस्टम का नाम) के घटकों की सुरक्षा का अध्ययन।

परिचय

अध्याय 1. गोद लेने और सूचना सुरक्षा के सैद्धांतिक पहलू

1.1सूचना सुरक्षा की अवधारणा

3 सूचना सुरक्षा विधियाँ

अध्याय 2. सूचना सुरक्षा प्रणाली का विश्लेषण

1 कंपनी की गतिविधि का दायरा और वित्तीय संकेतकों का विश्लेषण

2 कंपनी की सूचना सुरक्षा प्रणाली का विवरण

3 मौजूदा सूचना सुरक्षा प्रणाली को आधुनिक बनाने के लिए उपायों के एक सेट का विकास

निष्कर्ष

ग्रन्थसूची

आवेदन

परिशिष्ट 1. 2010 के लिए बैलेंस शीट

परिचय

थीसिस के विषय की प्रासंगिकता सूचना सुरक्षा समस्याओं के बढ़े हुए स्तर से निर्धारित होती है, यहां तक कि डेटा सुरक्षा के लिए प्रौद्योगिकियों और उपकरणों के तेजी से विकास के संदर्भ में भी। सूचना प्रौद्योगिकी के लिए आवंटित बजट के सीमित हिस्से को देखते हुए डेटा सुरक्षा कार्यों को सही ढंग से प्राथमिकता देते हुए कॉर्पोरेट सूचना प्रणालियों के लिए 100% स्तर की सुरक्षा सुनिश्चित करना असंभव है।

कंप्यूटिंग और नेटवर्क कॉर्पोरेट बुनियादी ढांचे की विश्वसनीय सुरक्षा किसी भी कंपनी के लिए एक बुनियादी सूचना सुरक्षा कार्य है। किसी उद्यम के व्यवसाय की वृद्धि और भौगोलिक रूप से वितरित संगठन में परिवर्तन के साथ, यह एक इमारत की सीमा से परे जाना शुरू कर देता है।

आधुनिक नेटवर्क एक्सेस कंट्रोल प्रौद्योगिकियों की शुरूआत के बिना आज आईटी बुनियादी ढांचे और कॉर्पोरेट एप्लिकेशन सिस्टम की प्रभावी सुरक्षा असंभव है। मूल्यवान व्यावसायिक जानकारी वाले मीडिया की चोरी के बढ़ते मामले संगठनात्मक उपाय करने के लिए मजबूर कर रहे हैं।

इस कार्य का उद्देश्य संगठन में मौजूदा सूचना सुरक्षा प्रणाली का मूल्यांकन करना और उसमें सुधार के उपाय विकसित करना होगा।

यह लक्ष्य थीसिस के निम्नलिखित उद्देश्यों को निर्धारित करता है:

) सूचना सुरक्षा की अवधारणा पर विचार करें;

) सूचना प्रणालियों के लिए संभावित खतरों के प्रकार और संगठन में सूचना रिसाव के संभावित खतरों से सुरक्षा के विकल्पों पर विचार करें।

) सूचना संसाधनों की एक सूची की पहचान करें, जिसकी अखंडता या गोपनीयता का उल्लंघन उद्यम को सबसे बड़ी क्षति पहुंचाएगा;

) मौजूदा सूचना सुरक्षा प्रणाली में सुधार के लिए उनके आधार पर उपायों का एक सेट विकसित करें।

कार्य में एक परिचय, दो अध्याय, एक निष्कर्ष, प्रयुक्त स्रोतों और अनुप्रयोगों की एक सूची शामिल है।

परिचय शोध विषय की प्रासंगिकता की पुष्टि करता है और कार्य के उद्देश्य और उद्देश्यों को तैयार करता है।

पहला अध्याय किसी संगठन में सूचना सुरक्षा की अवधारणाओं के सैद्धांतिक पहलुओं पर चर्चा करता है।

दूसरा अध्याय कंपनी की गतिविधियों, प्रमुख प्रदर्शन संकेतकों का संक्षिप्त विवरण प्रदान करता है, सूचना सुरक्षा प्रणाली की वर्तमान स्थिति का वर्णन करता है और इसे बेहतर बनाने के उपायों का प्रस्ताव करता है।

निष्कर्ष में, कार्य के मुख्य परिणाम और निष्कर्ष तैयार किए जाते हैं।

थीसिस का पद्धतिगत और सैद्धांतिक आधार सूचना सुरक्षा के क्षेत्र में घरेलू और विदेशी विशेषज्ञों का काम था। थीसिस पर काम के दौरान, जानकारी का उपयोग किया गया था जो कानूनों, विधायी कृत्यों और विनियमों, सरकार के फरमानों की सामग्री को दर्शाता था। सूचना सुरक्षा को विनियमित करने वाला रूसी संघ, सूचना सुरक्षा के लिए अंतर्राष्ट्रीय मानक।

थीसिस अनुसंधान का सैद्धांतिक महत्व सूचना सुरक्षा नीति विकसित करते समय एक एकीकृत दृष्टिकोण के कार्यान्वयन में निहित है।

कार्य का व्यावहारिक महत्व इस तथ्य से निर्धारित होता है कि इसके परिणाम सूचना सुरक्षा नीति के सक्षम डिजाइन के माध्यम से किसी उद्यम में सूचना सुरक्षा की डिग्री को बढ़ाना संभव बनाते हैं।

अध्याय 1. गोद लेने और सूचना सुरक्षा के सैद्धांतिक पहलू

1.1 सूचना सुरक्षा की अवधारणा

सूचना सुरक्षा से तात्पर्य किसी भी आकस्मिक या दुर्भावनापूर्ण प्रभाव से सूचना और उसके सहायक बुनियादी ढांचे की सुरक्षा से है, जिसके परिणामस्वरूप सूचना, उसके मालिकों या सहायक बुनियादी ढांचे को नुकसान हो सकता है। सूचना सुरक्षा का उद्देश्य क्षति को कम करना, साथ ही ऐसे प्रभावों की भविष्यवाणी करना और उन्हें रोकना है।

सुरक्षा की आवश्यकता वाली सूचना प्रणालियों के मापदंडों को निम्नलिखित श्रेणियों में विभाजित किया जा सकता है: सूचना संसाधनों की अखंडता, उपलब्धता और गोपनीयता सुनिश्चित करना।

अभिगम्यता कम समय में आवश्यक सूचना सेवा प्राप्त करने की क्षमता है;

अखंडता जानकारी की प्रासंगिकता और स्थिरता है, विनाश और अनधिकृत परिवर्तनों से इसकी सुरक्षा है;

गोपनीयता - सूचना तक अनधिकृत पहुंच से सुरक्षा।

सूचना प्रणालियाँ मुख्य रूप से कुछ सूचना सेवाएँ प्राप्त करने के लिए बनाई जाती हैं। यदि किसी कारण से सूचना प्राप्त करना असंभव हो जाता है, तो इससे सूचना संबंधों के सभी विषयों को नुकसान होता है। इससे हम यह निर्धारित कर सकते हैं कि सूचना की उपलब्धता सबसे पहले आती है।

सत्यनिष्ठा सूचना सुरक्षा का मुख्य पहलू है जब सटीकता और सत्यता सूचना के मुख्य पैरामीटर हैं। उदाहरण के लिए, चिकित्सा दवाओं के नुस्खे या घटकों का एक सेट और विशेषताएं।

हमारे देश में सूचना सुरक्षा का सबसे विकसित घटक गोपनीयता है। लेकिन आधुनिक सूचना प्रणालियों की गोपनीयता सुनिश्चित करने के उपायों के व्यावहारिक कार्यान्वयन को रूस में बड़ी कठिनाइयों का सामना करना पड़ता है। सबसे पहले, सूचना रिसाव के तकनीकी चैनलों के बारे में जानकारी बंद हो जाती है, इसलिए अधिकांश उपयोगकर्ता संभावित जोखिमों का अंदाजा नहीं लगा पाते हैं। दूसरा, गोपनीयता सुनिश्चित करने के प्राथमिक साधन के रूप में कस्टम क्रिप्टोग्राफी के रास्ते में कई विधायी बाधाएं और तकनीकी चुनौतियाँ खड़ी हैं।

सूचना प्रणाली को नुकसान पहुंचाने वाली कार्रवाइयों को कई श्रेणियों में विभाजित किया जा सकता है।

किसी वर्कस्टेशन या सर्वर पर डेटा की लक्षित चोरी या विनाश;

लापरवाह कार्यों के परिणामस्वरूप उपयोगकर्ता द्वारा डेटा को नुकसान।

. हैकर्स द्वारा प्रभाव के "इलेक्ट्रॉनिक" तरीके अपनाए गए।

हैकर्स को ऐसे लोगों के रूप में समझा जाता है जो व्यावसायिक रूप से (प्रतिस्पर्धा के भाग के रूप में भी) और केवल जिज्ञासावश कंप्यूटर अपराधों में संलग्न होते हैं। इन विधियों में शामिल हैं:

कंप्यूटर नेटवर्क में अनधिकृत प्रवेश;

किसी एंटरप्राइज़ नेटवर्क में बाहर से अनधिकृत प्रवेश का उद्देश्य नुकसान पहुंचाना (डेटा को नष्ट करना), गोपनीय जानकारी चुराना और इसे अवैध उद्देश्यों के लिए उपयोग करना, तीसरे पक्ष के नोड्स पर हमले आयोजित करने के लिए नेटवर्क बुनियादी ढांचे का उपयोग करना, खातों से धन चोरी करना हो सकता है। , वगैरह।

डॉस हमला (सेवा से इनकार से संक्षिप्त) एंटरप्राइज़ नेटवर्क नोड्स पर एक बाहरी हमला है जो इसके सुरक्षित और कुशल संचालन (फ़ाइल, मेल सर्वर) के लिए जिम्मेदार है। हमलावर इन नोड्स को ओवरलोड करने के लिए बड़े पैमाने पर डेटा पैकेट भेजने का आयोजन करते हैं और परिणामस्वरूप, उन्हें कुछ समय के लिए कार्रवाई से बाहर कर देते हैं। इसमें, एक नियम के रूप में, पीड़ित कंपनी की व्यावसायिक प्रक्रियाओं में व्यवधान, ग्राहकों की हानि, प्रतिष्ठा को नुकसान आदि शामिल हैं।

कम्प्यूटर वायरस। प्रभाव के इलेक्ट्रॉनिक तरीकों की एक अलग श्रेणी कंप्यूटर वायरस और अन्य दुर्भावनापूर्ण प्रोग्राम हैं। वे आधुनिक व्यवसायों के लिए एक वास्तविक खतरा पैदा करते हैं जो व्यापक रूप से कंप्यूटर नेटवर्क, इंटरनेट और ई-मेल का उपयोग करते हैं। कॉर्पोरेट नेटवर्क नोड्स में वायरस के प्रवेश से उनके कामकाज में व्यवधान, कार्य समय की हानि, डेटा की हानि, गोपनीय जानकारी की चोरी और यहां तक कि वित्तीय संसाधनों की प्रत्यक्ष चोरी हो सकती है। एक वायरस प्रोग्राम जो कॉर्पोरेट नेटवर्क में प्रवेश कर चुका है, हमलावरों को कंपनी की गतिविधियों पर आंशिक या पूर्ण नियंत्रण दे सकता है।

अवांछित ईमेल। कुछ ही वर्षों में, स्पैम मामूली परेशानी से बढ़कर सबसे गंभीर सुरक्षा खतरों में से एक बन गया है:

ईमेल हाल ही में मैलवेयर के प्रसार का मुख्य माध्यम बन गया है;

स्पैम संदेशों को देखने और बाद में हटाने में बहुत समय लगता है, जिससे कर्मचारियों को मनोवैज्ञानिक असुविधा महसूस होती है;

व्यक्ति और संगठन दोनों ही स्पैमर द्वारा की गई धोखाधड़ी योजनाओं के शिकार बन जाते हैं (पीड़ित अक्सर ऐसी घटनाओं का खुलासा न करने की कोशिश करते हैं);

महत्वपूर्ण पत्राचार को अक्सर स्पैम के साथ हटा दिया जाता है, जिससे ग्राहकों की हानि हो सकती है, अनुबंध टूट सकते हैं और अन्य अप्रिय परिणाम हो सकते हैं; आरबीएल ब्लैकलिस्ट और अन्य "क्रूड" स्पैम फ़िल्टरिंग विधियों का उपयोग करते समय पत्राचार खोने का खतरा विशेष रूप से बढ़ जाता है।

"प्राकृतिक" खतरे. किसी कंपनी की सूचना सुरक्षा विभिन्न बाहरी कारकों से प्रभावित हो सकती है: डेटा हानि अनुचित भंडारण, कंप्यूटर और मीडिया की चोरी, अप्रत्याशित घटना आदि के कारण हो सकती है।

एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस या सूचना सुरक्षा प्रबंधन प्रणाली) आपको सूचना सुरक्षा के संबंध में इस मामले में, एक निश्चित इच्छित रणनीति को लागू करने वाले उपायों के एक सेट को प्रबंधित करने की अनुमति देती है। ध्यान दें कि हम न केवल मौजूदा सिस्टम के प्रबंधन के बारे में बात कर रहे हैं, बल्कि एक नए निर्माण/पुराने को फिर से डिज़ाइन करने के बारे में भी बात कर रहे हैं।

उपायों के सेट में संगठनात्मक, तकनीकी, भौतिक और अन्य शामिल हैं। सूचना सुरक्षा प्रबंधन एक जटिल प्रक्रिया है, जो किसी कंपनी में सबसे प्रभावी और व्यापक सूचना सुरक्षा प्रबंधन लागू करने की अनुमति देती है।

सूचना सुरक्षा प्रबंधन का लक्ष्य सूचना की गोपनीयता, अखंडता और उपलब्धता बनाए रखना है। एकमात्र प्रश्न यह है कि किस प्रकार की जानकारी को संरक्षित करने की आवश्यकता है और इसकी सुरक्षा सुनिश्चित करने के लिए क्या प्रयास किए जाने चाहिए।

कोई भी प्रबंधन उस स्थिति की जागरूकता पर आधारित होता है जिसमें वह घटित होता है। जोखिम विश्लेषण के संदर्भ में, स्थिति के बारे में जागरूकता संगठन की संपत्तियों और उनके पर्यावरण की सूची और मूल्यांकन में व्यक्त की जाती है, यानी वह सब कुछ जो व्यावसायिक गतिविधियों के संचालन को सुनिश्चित करता है। सूचना सुरक्षा जोखिम विश्लेषण के दृष्टिकोण से, मुख्य संपत्तियों में कंपनी की जानकारी, बुनियादी ढांचा, कार्मिक, छवि और प्रतिष्ठा शामिल हैं। व्यावसायिक गतिविधि स्तर पर परिसंपत्तियों की सूची के बिना, इस प्रश्न का उत्तर देना असंभव है कि वास्तव में किस चीज़ को संरक्षित करने की आवश्यकता है। यह समझना महत्वपूर्ण है कि किसी संगठन के भीतर कौन सी जानकारी संसाधित की जाती है और इसे कहाँ संसाधित किया जाता है।

एक बड़े आधुनिक संगठन में सूचना संपत्तियों की संख्या बहुत बड़ी हो सकती है। यदि किसी संगठन की गतिविधियों को ईआरपी प्रणाली का उपयोग करके स्वचालित किया जाता है, तो हम कह सकते हैं कि इस गतिविधि में उपयोग की जाने वाली लगभग कोई भी भौतिक वस्तु किसी प्रकार की सूचना वस्तु से मेल खाती है। इसलिए, जोखिम प्रबंधन का प्राथमिक कार्य सबसे महत्वपूर्ण संपत्तियों की पहचान करना है।

संगठन की मुख्य गतिविधि के मध्य और वरिष्ठ दोनों स्तरों के प्रबंधकों की भागीदारी के बिना इस समस्या को हल करना असंभव है। इष्टतम स्थिति तब होती है जब संगठन का शीर्ष प्रबंधन व्यक्तिगत रूप से गतिविधि के सबसे महत्वपूर्ण क्षेत्रों को निर्धारित करता है, जिसके लिए सूचना सुरक्षा सुनिश्चित करना बेहद महत्वपूर्ण है। सूचना सुरक्षा सुनिश्चित करने में प्राथमिकताओं के संबंध में वरिष्ठ प्रबंधन की राय जोखिम विश्लेषण प्रक्रिया में बहुत महत्वपूर्ण और मूल्यवान है, लेकिन किसी भी मामले में कंपनी प्रबंधन के औसत स्तर पर परिसंपत्तियों की गंभीरता के बारे में जानकारी एकत्र करके इसे स्पष्ट किया जाना चाहिए। साथ ही, शीर्ष प्रबंधन द्वारा निर्दिष्ट व्यावसायिक गतिविधि के क्षेत्रों में सटीक रूप से आगे का विश्लेषण करने की सलाह दी जाती है। स्थिति के व्यापक मूल्यांकन के लिए प्राप्त जानकारी को संसाधित, एकत्रित और वरिष्ठ प्रबंधन को प्रेषित किया जाता है।

व्यावसायिक प्रक्रियाओं के विवरण के आधार पर जानकारी को पहचाना और स्थानीयकृत किया जा सकता है जिसमें जानकारी को संसाधनों के प्रकारों में से एक माना जाता है। यदि संगठन ने व्यावसायिक गतिविधियों को विनियमित करने के लिए एक दृष्टिकोण अपनाया है (उदाहरण के लिए, गुणवत्ता प्रबंधन और व्यावसायिक प्रक्रियाओं के अनुकूलन के प्रयोजनों के लिए) तो कार्य कुछ हद तक सरल हो गया है। व्यावसायिक प्रक्रियाओं का औपचारिक विवरण परिसंपत्ति सूची के लिए एक अच्छा प्रारंभिक बिंदु है। यदि कोई विवरण नहीं है, तो आप संगठन के कर्मचारियों से प्राप्त जानकारी के आधार पर संपत्ति की पहचान कर सकते हैं। एक बार संपत्ति की पहचान हो जाने के बाद, उनका मूल्य निर्धारित किया जाना चाहिए।

संपूर्ण संगठन में सूचना परिसंपत्तियों का मूल्य निर्धारित करने का कार्य सबसे महत्वपूर्ण और जटिल दोनों है। यह सूचना परिसंपत्तियों का मूल्यांकन है जो सूचना सुरक्षा विभाग के प्रमुख को सूचना सुरक्षा सुनिश्चित करने के लिए गतिविधि के मुख्य क्षेत्रों को चुनने की अनुमति देगा।

लेकिन सूचना सुरक्षा प्रबंधन प्रक्रिया की आर्थिक दक्षता काफी हद तक इस जागरूकता पर निर्भर करती है कि क्या संरक्षित करने की आवश्यकता है और इसके लिए किन प्रयासों की आवश्यकता होगी, क्योंकि ज्यादातर मामलों में लागू किए गए प्रयास की मात्रा खर्च की गई धनराशि और परिचालन व्यय के सीधे आनुपातिक है। जोखिम प्रबंधन आपको इस प्रश्न का उत्तर देने की अनुमति देता है कि आप कहाँ जोखिम ले सकते हैं और कहाँ नहीं। सूचना सुरक्षा के मामले में, "जोखिम" शब्द का अर्थ है कि एक निश्चित क्षेत्र में सूचना संपत्तियों की सुरक्षा के लिए महत्वपूर्ण प्रयास नहीं करना संभव है, और साथ ही, सुरक्षा उल्लंघन की स्थिति में, संगठन को नुकसान नहीं होगा। महत्वपूर्ण नुकसान. यहां हम स्वचालित प्रणालियों के सुरक्षा वर्गों के साथ एक सादृश्य बना सकते हैं: जोखिम जितना अधिक महत्वपूर्ण होगा, सुरक्षा आवश्यकताएं उतनी ही कठोर होनी चाहिए।

सुरक्षा उल्लंघन के परिणामों को निर्धारित करने के लिए, आपके पास या तो समान प्रकृति की दर्ज की गई घटनाओं के बारे में जानकारी होनी चाहिए, या परिदृश्य विश्लेषण करना चाहिए। परिदृश्य विश्लेषण परिसंपत्ति सुरक्षा घटनाओं और संगठन की व्यावसायिक गतिविधियों पर इन घटनाओं के परिणामों के बीच कारण और प्रभाव संबंधों की जांच करता है। परिदृश्यों के परिणामों का मूल्यांकन कई लोगों द्वारा, पुनरावृत्तीय या विचार-विमर्शपूर्वक किया जाना चाहिए। यह ध्यान दिया जाना चाहिए कि ऐसे परिदृश्यों के विकास और मूल्यांकन को वास्तविकता से पूरी तरह अलग नहीं किया जा सकता है। आपको यह हमेशा याद रखना चाहिए कि परिदृश्य संभावित होना चाहिए। मूल्य निर्धारित करने के मानदंड और पैमाने प्रत्येक संगठन के लिए अलग-अलग हैं। परिदृश्य विश्लेषण के परिणामों के आधार पर, संपत्ति के मूल्य के बारे में जानकारी प्राप्त की जा सकती है।

यदि परिसंपत्तियों की पहचान की जाती है और उनका मूल्य निर्धारित किया जाता है, तो हम कह सकते हैं कि सूचना सुरक्षा प्रदान करने के लक्ष्य आंशिक रूप से स्थापित होते हैं: सुरक्षा की वस्तुएं और संगठन के लिए सूचना सुरक्षा की स्थिति में उन्हें बनाए रखने का महत्व निर्धारित किया जाता है। शायद यह तय करना बाकी रह गया है कि किसे बचाना है।

सूचना सुरक्षा प्रबंधन के लक्ष्य निर्धारित करने के बाद, आपको उन समस्याओं का विश्लेषण करना चाहिए जो आपको लक्ष्य स्थिति तक पहुंचने से रोकती हैं। इस स्तर पर, जोखिम विश्लेषण प्रक्रिया सूचना बुनियादी ढांचे और पारंपरिक सूचना सुरक्षा अवधारणाओं - घुसपैठियों, खतरों और कमजोरियों तक उतरती है।

जोखिमों का आकलन करने के लिए, एक मानक उल्लंघनकर्ता मॉडल पेश करना पर्याप्त नहीं है जो सभी उल्लंघनकर्ताओं को संपत्ति तक पहुंच के प्रकार और संपत्ति संरचना के ज्ञान के आधार पर विभाजित करता है। यह विभाजन यह निर्धारित करने में मदद करता है कि किसी परिसंपत्ति पर कौन से खतरे निर्देशित किए जा सकते हैं, लेकिन इस सवाल का जवाब नहीं देता है कि क्या इन खतरों को सैद्धांतिक रूप से महसूस किया जा सकता है।

जोखिम विश्लेषण की प्रक्रिया में, खतरों को लागू करने में उल्लंघनकर्ताओं की प्रेरणा का आकलन करना आवश्यक है। इस मामले में, उल्लंघनकर्ता का मतलब एक अमूर्त बाहरी हैकर या अंदरूनी सूत्र नहीं है, बल्कि एक परिसंपत्ति की सुरक्षा का उल्लंघन करके लाभ प्राप्त करने में रुचि रखने वाली पार्टी है।

अपराधी के मॉडल के बारे में प्रारंभिक जानकारी प्राप्त करने की सलाह दी जाती है, जैसे सूचना सुरक्षा गतिविधियों की प्रारंभिक दिशाओं को चुनने के मामले में, शीर्ष प्रबंधन से, जो बाजार में संगठन की स्थिति को समझता है, प्रतिस्पर्धियों के बारे में जानकारी रखता है और प्रभाव के कौन से तरीके हो सकते हैं उनसे अपेक्षा है. घुसपैठिए का एक मॉडल विकसित करने के लिए आवश्यक जानकारी व्यावसायिक क्षेत्र में कंप्यूटर सुरक्षा उल्लंघनों पर विशेष शोध से भी प्राप्त की जा सकती है जिसके लिए जोखिम विश्लेषण किया जा रहा है। एक उचित रूप से विकसित घुसपैठिया मॉडल संगठन की संपत्ति का आकलन करते समय निर्धारित सूचना सुरक्षा उद्देश्यों को पूरा करता है।

खतरे के मॉडल का विकास और कमजोरियों की पहचान संगठन की सूचना संपत्तियों के वातावरण की एक सूची के साथ अटूट रूप से जुड़ी हुई है। जानकारी स्वयं संग्रहीत या संसाधित नहीं की जाती है। इस तक पहुंच एक सूचना बुनियादी ढांचे का उपयोग करके प्रदान की जाती है जो संगठन की व्यावसायिक प्रक्रियाओं को स्वचालित करती है। यह समझना महत्वपूर्ण है कि किसी संगठन की सूचना अवसंरचना और सूचना संपत्तियां एक दूसरे से कैसे संबंधित हैं। सूचना सुरक्षा प्रबंधन के दृष्टिकोण से, सूचना परिसंपत्तियों और बुनियादी ढांचे के बीच संबंध निर्धारित करने के बाद ही सूचना बुनियादी ढांचे का महत्व स्थापित किया जा सकता है। यदि किसी संगठन में सूचना बुनियादी ढांचे को बनाए रखने और संचालित करने की प्रक्रियाएं विनियमित और पारदर्शी हैं, तो खतरों की पहचान करने और कमजोरियों का आकलन करने के लिए आवश्यक जानकारी का संग्रह बहुत सरल हो जाता है।

खतरा मॉडल विकसित करना सूचना सुरक्षा पेशेवरों का काम है, जिन्हें इस बात की अच्छी समझ है कि कैसे एक हमलावर सुरक्षा परिधि का उल्लंघन करके या सोशल इंजीनियरिंग तरीकों का उपयोग करके जानकारी तक अनधिकृत पहुंच प्राप्त कर सकता है। खतरे का मॉडल विकसित करते समय, आप परिदृश्यों के बारे में क्रमिक चरणों के रूप में भी बात कर सकते हैं जिसके अनुसार खतरों का एहसास किया जा सकता है। ऐसा बहुत कम होता है कि सिस्टम में एक ही कमजोर बिंदु का फायदा उठाकर खतरों को एक चरण में लागू किया जाता है।

खतरे के मॉडल में संबंधित सूचना सुरक्षा प्रबंधन प्रक्रियाओं, जैसे भेद्यता और घटना प्रबंधन के माध्यम से पहचाने गए सभी खतरे शामिल होने चाहिए। यह याद रखना चाहिए कि खतरों को उनके कार्यान्वयन की संभावना के स्तर के अनुसार एक-दूसरे के सापेक्ष क्रमबद्ध करने की आवश्यकता होगी। ऐसा करने के लिए, प्रत्येक खतरे के लिए एक खतरा मॉडल विकसित करने की प्रक्रिया में, सबसे महत्वपूर्ण कारकों को इंगित करना आवश्यक है, जिनका अस्तित्व इसके कार्यान्वयन को प्रभावित करता है।

सुरक्षा नीति उन जोखिमों के विश्लेषण पर आधारित है जिन्हें संगठन की सूचना प्रणाली के लिए वास्तविक माना जाता है। एक बार जब जोखिमों का विश्लेषण कर लिया जाता है और सुरक्षा रणनीति निर्धारित कर ली जाती है, तो एक सूचना सुरक्षा कार्यक्रम तैयार किया जाता है। इस कार्यक्रम के लिए संसाधनों का आवंटन किया जाता है, जिम्मेदार व्यक्तियों की नियुक्ति की जाती है, कार्यक्रम के कार्यान्वयन की निगरानी की प्रक्रिया निर्धारित की जाती है, आदि।

व्यापक अर्थ में, सुरक्षा नीति को किसी संगठन की सुरक्षा सुनिश्चित करने के लिए प्रलेखित प्रबंधन निर्णयों की एक प्रणाली के रूप में परिभाषित किया गया है। एक संकीर्ण अर्थ में, एक सुरक्षा नीति को आमतौर पर एक स्थानीय नियामक दस्तावेज़ के रूप में समझा जाता है जो सुरक्षा आवश्यकताओं, उपायों की एक प्रणाली या एक प्रक्रिया के साथ-साथ संगठन के कर्मचारियों की जिम्मेदारियों और सुरक्षा के एक निश्चित क्षेत्र के लिए नियंत्रण तंत्र को परिभाषित करता है।

इससे पहले कि हम सूचना सुरक्षा नीति तैयार करना शुरू करें, उन बुनियादी अवधारणाओं को समझना आवश्यक है जिनके साथ हम काम करेंगे।

सूचना - सूचना (संदेश, डेटा) उनकी प्रस्तुति के रूप की परवाह किए बिना।

जानकारी की गोपनीयता उस व्यक्ति के लिए एक अनिवार्य आवश्यकता है जिसने कुछ जानकारी तक पहुंच प्राप्त कर ली है, ऐसी जानकारी को उसके मालिक की सहमति के बिना तीसरे पक्ष को हस्तांतरित नहीं करना चाहिए।

सूचना सुरक्षा (आईएस) समाज के सूचना वातावरण की सुरक्षा की स्थिति है, जो नागरिकों, संगठनों और राज्यों के हितों में इसके गठन, उपयोग और विकास को सुनिश्चित करती है।

"सूचना" की अवधारणा आज काफी व्यापक और बहुमुखी रूप से उपयोग की जाती है।

सूचना सुरक्षा सुनिश्चित करना एक बार का कार्य नहीं हो सकता। यह एक सतत प्रक्रिया है जिसमें सुरक्षा प्रणाली में सुधार और विकास के सबसे तर्कसंगत तरीकों, तरीकों और तरीकों का औचित्य और कार्यान्वयन, इसकी स्थिति की निरंतर निगरानी, इसकी कमजोरियों और अवैध कार्यों की पहचान करना शामिल है।

उत्पादन प्रणाली के सभी संरचनात्मक तत्वों और सूचना प्रसंस्करण तकनीकी चक्र के सभी चरणों में उपलब्ध सुरक्षा साधनों की पूरी श्रृंखला के एकीकृत उपयोग के माध्यम से ही सूचना सुरक्षा सुनिश्चित की जा सकती है। सबसे बड़ा प्रभाव तब प्राप्त होता है जब उपयोग किए गए सभी साधनों, विधियों और उपायों को एक समग्र तंत्र - एक सूचना सुरक्षा प्रणाली में जोड़ दिया जाता है। साथ ही, बाहरी और आंतरिक स्थितियों में परिवर्तन के आधार पर सिस्टम के कामकाज की निगरानी, अद्यतन और पूरक होना चाहिए।

GOST R ISO/IEC 15408:2005 मानक के अनुसार, निम्नलिखित प्रकार की सुरक्षा आवश्यकताओं को प्रतिष्ठित किया जा सकता है:

कार्यात्मक, सुरक्षा के सक्रिय पहलू, सुरक्षा कार्यों की आवश्यकताओं और उन्हें लागू करने वाले तंत्र के अनुरूप;

प्रौद्योगिकी और विकास और संचालन प्रक्रिया पर लगाए गए निष्क्रिय पहलू के अनुरूप विश्वास की आवश्यकताएं।

यह बहुत महत्वपूर्ण है कि इस मानक में सुरक्षा को सांख्यिकीय रूप से नहीं, बल्कि मूल्यांकन की जा रही वस्तु के जीवन चक्र के संबंध में माना जाता है। निम्नलिखित चरण प्रतिष्ठित हैं:

उद्देश्य, उपयोग की शर्तें, लक्ष्य और सुरक्षा आवश्यकताओं का निर्धारण;

आकार और विकास;

परीक्षण, मूल्यांकन और प्रमाणन;

कार्यान्वयन और संचालन.

तो, आइए कार्यात्मक सुरक्षा आवश्यकताओं पर करीब से नज़र डालें। वे सम्मिलित करते हैं:

उपयोगकर्ता डेटा सुरक्षा;

सुरक्षा कार्यों की सुरक्षा (आवश्यकताएँ इन सुरक्षा सेवाओं और उन्हें लागू करने वाले तंत्र की अखंडता और नियंत्रण से संबंधित हैं);

सुरक्षा प्रबंधन (इस वर्ग की आवश्यकताएँ सुरक्षा विशेषताओं और मापदंडों के प्रबंधन से संबंधित हैं);

सुरक्षा ऑडिट (पहचान, पंजीकरण, भंडारण, मूल्यांकन की जा रही वस्तु की सुरक्षा को प्रभावित करने वाले डेटा का विश्लेषण, संभावित सुरक्षा उल्लंघन की प्रतिक्रिया);

गोपनीयता (उपयोगकर्ता को उसके पहचान डेटा के प्रकटीकरण और अनधिकृत उपयोग से बचाना);

संसाधनों का उपयोग (सूचना उपलब्धता के लिए आवश्यकताएँ);

संचार (डेटा विनिमय में शामिल पार्टियों का प्रमाणीकरण);

विश्वसनीय मार्ग/चैनल (सुरक्षा सेवाओं के साथ संचार के लिए)।

इन आवश्यकताओं के अनुसार, किसी संगठन की सूचना सुरक्षा प्रणाली तैयार करना आवश्यक है।

संगठन की सूचना सुरक्षा प्रणाली में निम्नलिखित क्षेत्र शामिल हैं:

नियामक;

संगठनात्मक (प्रशासनिक);

तकनीकी;

सॉफ़्टवेयर;

सुरक्षा के सभी क्षेत्रों में किसी उद्यम की स्थिति का पूरी तरह से आकलन करने के लिए, एक सूचना सुरक्षा अवधारणा विकसित करना आवश्यक है जो सूचना संसाधनों की सुरक्षा की समस्या के लिए एक व्यवस्थित दृष्टिकोण स्थापित करेगी और लक्ष्यों, उद्देश्यों, डिजाइन सिद्धांतों का एक व्यवस्थित विवरण प्रस्तुत करेगी। किसी उद्यम में सूचना सुरक्षा सुनिश्चित करने के उपायों का एक सेट।

कॉर्पोरेट नेटवर्क प्रबंधन प्रणाली निम्नलिखित सिद्धांतों (कार्यों) पर आधारित होनी चाहिए:

घुसपैठियों से उद्यम के मौजूदा सूचना बुनियादी ढांचे की सुरक्षा सुनिश्चित करना;

स्थानीयकरण और संभावित क्षति को कम करने के लिए स्थितियाँ प्रदान करना;

प्रारंभिक चरण में खतरों के स्रोतों के उद्भव को समाप्त करना;

तीन मुख्य प्रकार के उभरते खतरों (उपलब्धता, अखंडता, गोपनीयता) के खिलाफ जानकारी की सुरक्षा सुनिश्चित करना;

उपरोक्त समस्याओं का समाधान निम्न द्वारा प्राप्त किया जाता है;

सूचना प्रणाली के साथ काम करते समय उपयोगकर्ता के कार्यों का विनियमन;

डेटाबेस के साथ काम करते समय उपयोगकर्ता क्रियाओं का विनियमन;

हार्डवेयर और सॉफ़्टवेयर की विश्वसनीयता के लिए समान आवश्यकताएँ;

सूचना प्रणाली के संचालन की निगरानी के लिए प्रक्रियाएं (घटनाओं को लॉग करना, प्रोटोकॉल का विश्लेषण करना, नेटवर्क ट्रैफ़िक का विश्लेषण करना, तकनीकी उपकरणों के संचालन का विश्लेषण करना);

सूचना सुरक्षा नीति में शामिल हैं:

मुख्य दस्तावेज़ "सुरक्षा नीति" है। यह आम तौर पर संगठन की सुरक्षा नीति, सामान्य प्रावधानों का वर्णन करता है, और नीति के सभी पहलुओं के लिए प्रासंगिक दस्तावेजों को भी इंगित करता है;

उपयोगकर्ताओं के कार्य को विनियमित करने के निर्देश;

स्थानीय नेटवर्क प्रशासक के लिए नौकरी का विवरण;

डेटाबेस प्रशासक का कार्य विवरण;

इंटरनेट संसाधनों के साथ काम करने के निर्देश;

पासवर्ड सुरक्षा व्यवस्थित करने के निर्देश;

एंटी-वायरस सुरक्षा व्यवस्थित करने के निर्देश।

सुरक्षा नीति दस्तावेज़ में मुख्य प्रावधान शामिल हैं। इसके आधार पर, एक सूचना सुरक्षा कार्यक्रम बनाया जाता है, नौकरी विवरण और सिफारिशें बनाई जाती हैं।

किसी संगठन के स्थानीय नेटवर्क के उपयोगकर्ताओं के काम को विनियमित करने के निर्देश उपयोगकर्ताओं को संगठन के स्थानीय कंप्यूटर नेटवर्क में काम करने की अनुमति देने की प्रक्रिया को विनियमित करते हैं, साथ ही संगठन में संसाधित, संग्रहीत और प्रसारित संरक्षित जानकारी को संभालने के नियमों को भी विनियमित करते हैं।

स्थानीय नेटवर्क प्रशासक का कार्य विवरण सूचना सुरक्षा के संबंध में स्थानीय नेटवर्क प्रशासक की जिम्मेदारियों का वर्णन करता है।

डेटाबेस प्रशासक का कार्य विवरण डेटाबेस प्रशासक की मुख्य जिम्मेदारियों, कार्यों और अधिकारों को परिभाषित करता है। यह एक डेटाबेस प्रशासक की सभी नौकरी की जिम्मेदारियों और कार्यों के साथ-साथ अधिकारों और जिम्मेदारियों का भी विस्तार से वर्णन करता है।

इंटरनेट संसाधनों के साथ काम करने के निर्देश इंटरनेट के साथ सुरक्षित काम के लिए बुनियादी नियमों को दर्शाते हैं, और इसमें इंटरनेट संसाधनों के साथ काम करते समय स्वीकार्य और अस्वीकार्य कार्यों की एक सूची भी शामिल है।

एंटी-वायरस सुरक्षा के आयोजन के निर्देश बुनियादी प्रावधानों, किसी संगठन की सूचना प्रणाली की एंटी-वायरस सुरक्षा के आयोजन के लिए आवश्यकताओं, एंटी-वायरस सॉफ़्टवेयर के संचालन से संबंधित सभी पहलुओं, साथ ही एंटी-वायरस के उल्लंघन की स्थिति में जिम्मेदारी को परिभाषित करते हैं। -वाइरस से सुरक्षा।

पासवर्ड सुरक्षा के आयोजन के निर्देश पासवर्ड बनाने, बदलने और समाप्त करने (उपयोगकर्ता खातों को हटाने) की प्रक्रियाओं के लिए संगठनात्मक और तकनीकी सहायता को विनियमित करते हैं। सिस्टम के साथ काम करते समय उपयोगकर्ताओं और रखरखाव कर्मियों के कार्यों को भी विनियमित किया जाता है।

इस प्रकार, सूचना सुरक्षा प्रक्रिया को व्यवस्थित करने का आधार सुरक्षा नीति है, जो यह निर्धारित करने के लिए बनाई गई है कि सूचना प्रणाली में जानकारी किस खतरे से और कैसे सुरक्षित है।

सुरक्षा नीति किसी विशेष संगठन में अपनाई गई जानकारी की सुरक्षा के लिए कानूनी, संगठनात्मक और तकनीकी उपायों के एक सेट को संदर्भित करती है। अर्थात्, सुरक्षा नीति में कई शर्तें शामिल हैं जिनके तहत उपयोगकर्ता इस प्रणाली की सूचना सुरक्षा गुणों को खोए बिना सिस्टम संसाधनों तक पहुंच प्राप्त करते हैं।

सूचना सुरक्षा सुनिश्चित करने की समस्या को व्यवस्थित रूप से हल किया जाना चाहिए। इसका मतलब है कि विभिन्न सुरक्षा (हार्डवेयर, सॉफ्टवेयर, भौतिक, संगठनात्मक, आदि) एक साथ और केंद्रीकृत नियंत्रण के तहत लागू की जानी चाहिए।

आज सूचना सुरक्षा सुनिश्चित करने के तरीकों का एक बड़ा भंडार है:

उपयोगकर्ताओं की पहचान और प्रमाणीकरण के साधन;

कंप्यूटर पर संग्रहीत और नेटवर्क पर प्रसारित जानकारी को एन्क्रिप्ट करने के साधन;

फ़ायरवॉल;

आभासी निजी नेटवर्क;

सामग्री फ़िल्टरिंग उपकरण;

डिस्क सामग्री की अखंडता की जाँच के लिए उपकरण;

एंटीवायरस सुरक्षा उपकरण;

नेटवर्क भेद्यता पहचान प्रणाली और नेटवर्क आक्रमण विश्लेषक।

सूचीबद्ध प्रत्येक उपकरण का उपयोग स्वतंत्र रूप से या दूसरों के साथ एकीकरण में किया जा सकता है। इससे उपयोग किए गए प्लेटफ़ॉर्म से स्वतंत्र, किसी भी जटिलता और कॉन्फ़िगरेशन के नेटवर्क के लिए सूचना सुरक्षा प्रणाली बनाना संभव हो जाता है।

प्रमाणीकरण (या पहचान), प्राधिकरण और प्रशासन की प्रणाली। पहचान और प्राधिकरण सूचना सुरक्षा के प्रमुख तत्व हैं। प्राधिकरण फ़ंक्शन इस बात के लिए ज़िम्मेदार है कि किसी विशिष्ट उपयोगकर्ता के पास किन संसाधनों तक पहुंच है। प्रशासन का कार्य उपयोगकर्ता को किसी दिए गए नेटवर्क के भीतर कुछ पहचान विशेषताएँ प्रदान करना और उसके लिए अनुमत कार्यों का दायरा निर्धारित करना है।

एन्क्रिप्शन सिस्टम हार्ड ड्राइव या अन्य मीडिया पर संग्रहीत डेटा तक अनधिकृत पहुंच की स्थिति में नुकसान को कम करना संभव बनाता है, साथ ही ईमेल द्वारा भेजे जाने या नेटवर्क प्रोटोकॉल के माध्यम से प्रसारित होने पर सूचना के अवरोधन को भी संभव बनाता है। इस सुरक्षा उपकरण का उद्देश्य गोपनीयता सुनिश्चित करना है। एन्क्रिप्शन सिस्टम के लिए मुख्य आवश्यकताएं रूस (या अन्य राज्यों) के क्षेत्र में उच्च स्तर की क्रिप्टोग्राफ़िक ताकत और उपयोग की वैधता हैं।

फ़ायरवॉल एक सिस्टम या सिस्टम का संयोजन है जो अनधिकृत डेटा पैकेट को नेटवर्क में प्रवेश करने या छोड़ने से रोकने के लिए दो या दो से अधिक नेटवर्क के बीच एक सुरक्षात्मक बाधा बनाता है।

फ़ायरवॉल का मूल संचालन सिद्धांत अनुमत पतों के डेटाबेस के साथ आने वाले और बाहर जाने वाले आईपी पते के अनुपालन के लिए प्रत्येक डेटा पैकेट की जांच करना है। इस प्रकार, फ़ायरवॉल सूचना नेटवर्क को विभाजित करने और डेटा के संचलन को नियंत्रित करने की क्षमताओं का महत्वपूर्ण रूप से विस्तार करता है।

क्रिप्टोग्राफी और फ़ायरवॉल के बारे में बात करते समय, हमें सुरक्षित वर्चुअल प्राइवेट नेटवर्क (वीपीएन) का उल्लेख करना चाहिए। उनका उपयोग खुले संचार चैनलों पर प्रसारित होने पर डेटा की गोपनीयता और अखंडता की समस्याओं को हल करना संभव बनाता है। वीपीएन का उपयोग करके तीन मुख्य समस्याओं का समाधान किया जा सकता है:

कंपनी के विभिन्न कार्यालयों के बीच सूचना प्रवाह की सुरक्षा (जानकारी केवल बाहरी नेटवर्क से बाहर निकलने पर एन्क्रिप्ट की जाती है);

कंपनी के सूचना संसाधनों तक दूरस्थ नेटवर्क उपयोगकर्ताओं की सुरक्षित पहुंच, आमतौर पर इंटरनेट के माध्यम से की जाती है;

कॉर्पोरेट नेटवर्क के भीतर व्यक्तिगत अनुप्रयोगों के बीच सूचना प्रवाह की सुरक्षा (यह पहलू भी बहुत महत्वपूर्ण है, क्योंकि अधिकांश हमले आंतरिक नेटवर्क से किए जाते हैं)।

गोपनीय जानकारी के नुकसान से बचाने का एक प्रभावी साधन इनकमिंग और आउटगोइंग ईमेल की सामग्री को फ़िल्टर करना है। संगठन द्वारा स्थापित नियमों के आधार पर स्वयं ईमेल संदेशों और उनके अनुलग्नकों की स्क्रीनिंग करने से कंपनियों को मुकदमों में दायित्व से बचाने में मदद मिलती है और उनके कर्मचारियों को स्पैम से बचाया जाता है। सामग्री फ़िल्टरिंग उपकरण आपको संपीड़ित और ग्राफ़िक फ़ाइलों सहित सभी सामान्य प्रारूपों की फ़ाइलों को स्कैन करने की अनुमति देते हैं। साथ ही, नेटवर्क थ्रूपुट वस्तुतः अपरिवर्तित रहता है।

हार्ड ड्राइव की सामग्री की अखंडता (अखंडता जाँच) की जाँच करने की तकनीक की बदौलत वर्कस्टेशन या सर्वर पर सभी परिवर्तनों की निगरानी नेटवर्क प्रशासक या अन्य अधिकृत उपयोगकर्ता द्वारा की जा सकती है। यह आपको फ़ाइलों के साथ किसी भी गतिविधि (परिवर्तन, हटाना या बस खोलना) का पता लगाने और अधिकृत उपयोगकर्ताओं द्वारा वायरस गतिविधि, अनधिकृत पहुंच या डेटा चोरी की पहचान करने की अनुमति देता है। फ़ाइल चेकसम (सीआरसी रकम) के विश्लेषण के आधार पर नियंत्रण किया जाता है।

आधुनिक एंटी-वायरस प्रौद्योगिकियाँ किसी संदिग्ध फ़ाइल के कोड की एंटी-वायरस डेटाबेस में संग्रहीत नमूनों से तुलना करके लगभग सभी ज्ञात वायरस प्रोग्रामों की पहचान करना संभव बनाती हैं। इसके अलावा, व्यवहार मॉडलिंग प्रौद्योगिकियां विकसित की गई हैं जो नव निर्मित वायरस प्रोग्राम का पता लगाना संभव बनाती हैं। पहचानी गई वस्तुओं का इलाज किया जा सकता है, अलग किया जा सकता है (संगरोध किया जा सकता है), या हटाया जा सकता है। वायरस सुरक्षा को वर्कस्टेशन, फ़ाइल और मेल सर्वर, विभिन्न प्रकार के प्रोसेसर पर लगभग किसी भी सामान्य ऑपरेटिंग सिस्टम (विंडोज़, यूनिक्स और लिनक्स सिस्टम, नोवेल) के तहत चलने वाले फ़ायरवॉल पर स्थापित किया जा सकता है।

स्पैम फ़िल्टर स्पैम को पार्स करने से जुड़ी अनुत्पादक श्रम लागत को काफी कम करते हैं, ट्रैफ़िक और सर्वर लोड को कम करते हैं, टीम में मनोवैज्ञानिक पृष्ठभूमि में सुधार करते हैं और कंपनी के कर्मचारियों के धोखाधड़ी वाले लेनदेन में शामिल होने के जोखिम को कम करते हैं। इसके अलावा, स्पैम फ़िल्टर नए वायरस से संक्रमण के जोखिम को कम करते हैं, क्योंकि वायरस वाले संदेशों (यहां तक कि जो अभी तक एंटी-वायरस प्रोग्राम के डेटाबेस में शामिल नहीं हैं) में अक्सर स्पैम के संकेत होते हैं और उन्हें फ़िल्टर कर दिया जाता है। सच है, स्पैम फ़िल्टरिंग के सकारात्मक प्रभाव को नकारा जा सकता है यदि फ़िल्टर, जंक संदेशों के साथ, व्यावसायिक या व्यक्तिगत, स्पैम और उपयोगी संदेशों को हटा देता है या चिह्नित कर देता है।

वायरस और हैकर हमलों से कंपनियों को होने वाली भारी क्षति मुख्य रूप से उपयोग किए गए सॉफ़्टवेयर में कमज़ोरियों का परिणाम है। कंप्यूटर नेटवर्क भेद्यता पहचान प्रणालियों और नेटवर्क हमले विश्लेषकों का उपयोग करके, वास्तविक हमले की प्रतीक्षा किए बिना, उन्हें पहले से पहचाना जा सकता है। ऐसा सॉफ़्टवेयर सुरक्षित रूप से सामान्य हमलों और घुसपैठ के तरीकों का अनुकरण करता है और यह निर्धारित करता है कि एक हैकर नेटवर्क पर क्या देख सकता है और वह इसके संसाधनों का कैसे शोषण कर सकता है।

सूचना सुरक्षा के लिए प्राकृतिक खतरों का मुकाबला करने के लिए, कंपनी को आपातकालीन स्थितियों को रोकने के लिए (उदाहरण के लिए, आग से डेटा की भौतिक सुरक्षा सुनिश्चित करने के लिए) और ऐसी स्थिति उत्पन्न होने पर क्षति को कम करने के लिए प्रक्रियाओं का एक सेट विकसित और कार्यान्वित करना चाहिए। डेटा हानि से बचाने के मुख्य तरीकों में से एक स्थापित प्रक्रियाओं (नियमितता, मीडिया के प्रकार, प्रतियों को संग्रहीत करने के तरीके, आदि) के सख्त पालन के साथ बैकअप है।

सूचना सुरक्षा नीति कर्मचारियों के काम को विनियमित करने वाले दस्तावेजों का एक पैकेज है, जो सूचना, सूचना प्रणाली, डेटाबेस, स्थानीय नेटवर्क और इंटरनेट संसाधनों के साथ काम करने के बुनियादी नियमों का वर्णन करता है। यह समझना महत्वपूर्ण है कि किसी संगठन की समग्र प्रबंधन प्रणाली में सूचना सुरक्षा नीति का क्या स्थान है। सुरक्षा नीतियों से संबंधित सामान्य संगठनात्मक उपाय निम्नलिखित हैं।

प्रक्रियात्मक स्तर पर, उपायों के निम्नलिखित वर्गों को प्रतिष्ठित किया जा सकता है:

कार्मिक प्रबंधन;

शारीरिक सुरक्षा;

प्रदर्शन बनाए रखना;

सुरक्षा उल्लंघनों का जवाब देना;

पुनर्स्थापना कार्य की योजना बनाना.

मानव संसाधन प्रबंधन नियुक्ति से शुरू होता है, लेकिन उससे पहले भी, आपको पद से जुड़े कंप्यूटर विशेषाधिकारों का निर्धारण करना चाहिए। ध्यान में रखने योग्य दो सामान्य सिद्धांत हैं:

कर्तव्यों का अलगाव;

विशेषाधिकारों का न्यूनतमकरण.

कर्तव्यों के पृथक्करण का सिद्धांत यह निर्धारित करता है कि भूमिकाओं और जिम्मेदारियों को कैसे वितरित किया जाए ताकि एक व्यक्ति संगठन के लिए महत्वपूर्ण प्रक्रिया को बाधित न कर सके। उदाहरण के लिए, एक व्यक्ति के लिए किसी संगठन की ओर से बड़े भुगतान करना अवांछनीय है। एक कर्मचारी को ऐसे भुगतानों के लिए आवेदनों पर कार्रवाई करने का निर्देश देना और दूसरे को इन आवेदनों को प्रमाणित करने का निर्देश देना अधिक सुरक्षित है। एक अन्य उदाहरण सुपरयूज़र क्रियाओं पर प्रक्रियात्मक प्रतिबंध है। आप सुपरयूज़र पासवर्ड का पहला भाग एक कर्मचारी के साथ और दूसरा भाग दूसरे के साथ साझा करके कृत्रिम रूप से "विभाजित" कर सकते हैं। फिर वे केवल एक साथ सूचना प्रणाली को प्रशासित करने के लिए महत्वपूर्ण कार्य कर सकते हैं, जिससे त्रुटियों और दुरुपयोग की संभावना कम हो जाती है।

न्यूनतम विशेषाधिकार के सिद्धांत के लिए आवश्यक है कि उपयोगकर्ताओं को केवल वे पहुंच अधिकार दिए जाएं जिनकी उन्हें अपनी नौकरी की जिम्मेदारियां निभाने के लिए आवश्यकता है। इस सिद्धांत का उद्देश्य स्पष्ट है - आकस्मिक या जानबूझकर गलत कार्यों से होने वाली क्षति को कम करना।

नौकरी विवरण की प्रारंभिक तैयारी आपको इसकी गंभीरता का आकलन करने और उम्मीदवारों की स्क्रीनिंग और चयन की प्रक्रिया की योजना बनाने की अनुमति देती है। पद जितना अधिक जिम्मेदार होगा, आपको उम्मीदवारों की उतनी ही सावधानी से जांच करने की आवश्यकता होगी: उनके बारे में पूछताछ करें, शायद पूर्व सहकर्मियों से बात करें, आदि। ऐसी प्रक्रिया लंबी और महंगी हो सकती है, इसलिए इसे और अधिक जटिल बनाने का कोई मतलब नहीं है। साथ ही, आपराधिक रिकॉर्ड या मानसिक बीमारी वाले किसी व्यक्ति को गलती से काम पर रखने से बचने के लिए प्री-स्क्रीनिंग से पूरी तरह इनकार करना अनुचित है।

एक बार उम्मीदवार की पहचान हो जाने के बाद, उसे संभवतः प्रशिक्षण से गुजरना होगा; कम से कम, उसे नौकरी की जिम्मेदारियों और सूचना सुरक्षा नियमों और प्रक्रियाओं से पूरी तरह परिचित होना चाहिए। यह सलाह दी जाती है कि वह पद ग्रहण करने से पहले और लॉगिन नाम, पासवर्ड और विशेषाधिकारों के साथ अपना सिस्टम खाता स्थापित करने से पहले सुरक्षा उपायों को समझ लें।

किसी सूचना प्रणाली की सुरक्षा उस वातावरण पर निर्भर करती है जिसमें वह संचालित होती है। इमारतों और आसपास के क्षेत्रों, सहायक बुनियादी ढांचे, कंप्यूटर उपकरण और भंडारण मीडिया की सुरक्षा के लिए उपाय करना आवश्यक है।

आइए शारीरिक सुरक्षा के निम्नलिखित क्षेत्रों पर विचार करें:

भौतिक अभिगम नियंत्रण;

सहायक बुनियादी ढांचे की सुरक्षा;

मोबाइल सिस्टम की सुरक्षा.

भौतिक पहुंच नियंत्रण उपाय आपको कर्मचारियों और आगंतुकों के प्रवेश और निकास को नियंत्रित करने और, यदि आवश्यक हो, प्रतिबंधित करने की अनुमति देते हैं। किसी संगठन की पूरी इमारत को नियंत्रित किया जा सकता है, साथ ही अलग-अलग कमरों को भी, उदाहरण के लिए, जहां सर्वर, संचार उपकरण आदि स्थित हैं।

सहायक बुनियादी ढांचे में बिजली, पानी और गर्मी आपूर्ति प्रणाली, एयर कंडीशनिंग और संचार शामिल हैं। सिद्धांत रूप में, सूचना प्रणालियों के समान ही अखंडता और उपलब्धता आवश्यकताएँ उन पर भी लागू होती हैं। अखंडता सुनिश्चित करने के लिए, उपकरण को चोरी और क्षति से बचाया जाना चाहिए। उपलब्धता बनाए रखने के लिए, आपको अधिकतम एमटीबीएफ, डुप्लिकेट महत्वपूर्ण घटकों वाले उपकरण का चयन करना चाहिए, और हमेशा हाथ में स्पेयर पार्ट्स रखना चाहिए।

सामान्यतया, भौतिक सुरक्षा उपकरण का चयन करते समय जोखिम विश्लेषण किया जाना चाहिए। इस प्रकार, एक निर्बाध बिजली आपूर्ति खरीदने का निर्णय लेते समय, संगठन के कब्जे वाले भवन में बिजली आपूर्ति की गुणवत्ता (हालांकि, यह लगभग निश्चित रूप से खराब हो जाएगी), प्रकृति और अवधि को ध्यान में रखना आवश्यक है। बिजली की विफलता, उपलब्ध स्रोतों की लागत और दुर्घटनाओं से संभावित नुकसान (उपकरणों का टूटना, संगठन के काम का निलंबन आदि)

आइए सूचना प्रणालियों की कार्यक्षमता को बनाए रखने के उद्देश्य से कई उपायों पर विचार करें। इसी क्षेत्र में सबसे बड़ा खतरा छिपा है। सिस्टम प्रशासकों और उपयोगकर्ताओं की अनजाने में हुई गलतियों से प्रदर्शन की हानि हो सकती है, अर्थात् उपकरण की क्षति, प्रोग्राम और डेटा का विनाश। यह सबसे खराब स्थिति है. सर्वोत्तम स्थिति में, वे सुरक्षा छेद बनाते हैं जो सिस्टम सुरक्षा खतरों को उत्पन्न करने में सक्षम बनाते हैं।

कई संगठनों की मुख्य समस्या रोजमर्रा के काम में सुरक्षा कारकों को कम आंकना है। महँगी सुरक्षा सुविधाएँ निरर्थक हैं यदि वे खराब तरीके से प्रलेखित हैं, अन्य सॉफ़्टवेयर के साथ विरोध करती हैं, और स्थापना के बाद से सिस्टम व्यवस्थापक पासवर्ड नहीं बदला गया है।

सूचना प्रणाली की कार्यक्षमता को बनाए रखने के उद्देश्य से दैनिक गतिविधियों के लिए, निम्नलिखित क्रियाओं को प्रतिष्ठित किया जा सकता है:

उपयोगकर्ता सपोर्ट;

सॉफ़्टवेयर समर्थन;

विन्यास प्रबंधन;

बैकअप;

मीडिया प्रबंधन;

दस्तावेज़ीकरण;

नियमित रखरखाव।

उपयोगकर्ता समर्थन का तात्पर्य है, सबसे पहले, विभिन्न प्रकार की समस्याओं को हल करने में परामर्श और सहायता। प्रश्नों की एक श्रृंखला में सूचना सुरक्षा से संबंधित समस्याओं की पहचान करने में सक्षम होना बहुत महत्वपूर्ण है। इस प्रकार, पर्सनल कंप्यूटर पर काम करने वाले उपयोगकर्ताओं के लिए कई कठिनाइयां वायरस संक्रमण का परिणाम हो सकती हैं। उपयोगकर्ताओं की सामान्य गलतियों की पहचान करने और सामान्य स्थितियों के लिए अनुशंसाओं के साथ अनुस्मारक जारी करने के लिए उपयोगकर्ताओं के प्रश्नों को रिकॉर्ड करने की सलाह दी जाती है।

सॉफ़्टवेयर समर्थन सूचना अखंडता सुनिश्चित करने के सबसे महत्वपूर्ण साधनों में से एक है। सबसे पहले, आपको यह ट्रैक करना होगा कि आपके कंप्यूटर पर कौन सा सॉफ़्टवेयर इंस्टॉल है। यदि उपयोगकर्ता अपने विवेक से प्रोग्राम इंस्टॉल करते हैं, तो इससे वायरस से संक्रमण हो सकता है, साथ ही सुरक्षा उपायों को दरकिनार करने वाली उपयोगिताओं का उद्भव भी हो सकता है। यह भी संभावना है कि उपयोगकर्ताओं की "स्वतंत्र गतिविधियों" से धीरे-धीरे उनके कंप्यूटर पर अराजकता पैदा हो जाएगी, और सिस्टम प्रशासक को स्थिति को ठीक करना होगा।

सॉफ़्टवेयर समर्थन का दूसरा पहलू प्रोग्रामों में अनधिकृत परिवर्तनों की अनुपस्थिति और उन तक पहुँच अधिकारों पर नियंत्रण है। इसमें सॉफ़्टवेयर सिस्टम की संदर्भ प्रतियों के लिए समर्थन भी शामिल है। नियंत्रण आमतौर पर भौतिक और तार्किक पहुंच नियंत्रण के संयोजन के साथ-साथ सत्यापन और अखंडता उपयोगिताओं के उपयोग के माध्यम से प्राप्त किया जाता है।

कॉन्फ़िगरेशन प्रबंधन आपको सॉफ़्टवेयर कॉन्फ़िगरेशन में किए गए परिवर्तनों को नियंत्रित करने और रिकॉर्ड करने की अनुमति देता है। सबसे पहले, आपको आकस्मिक या ग़लत कल्पना वाले संशोधनों के विरुद्ध अपना बीमा कराना होगा, और कम से कम पिछले, कार्यशील संस्करण पर लौटने में सक्षम होना होगा। परिवर्तन करने से किसी आपदा के बाद वर्तमान संस्करण को पुनर्स्थापित करना आसान हो जाएगा।

नियमित कार्यों में त्रुटियों को कम करने का सबसे अच्छा तरीका इसे जितना संभव हो उतना स्वचालित करना है। स्वचालन और सुरक्षा एक-दूसरे पर निर्भर करते हैं, क्योंकि जो मुख्य रूप से अपने कार्य को आसान बनाने की परवाह करता है, वह वास्तव में सूचना सुरक्षा व्यवस्था को सर्वोत्तम रूप से आकार देता है।

आपदाओं के बाद प्रोग्राम और डेटा को पुनर्स्थापित करने के लिए बैकअप आवश्यक है। और यहां यह सलाह दी जाती है कि कम से कम, पूर्ण और वृद्धिशील प्रतियां बनाने के लिए एक कंप्यूटर शेड्यूल बनाकर, और, अधिकतम, उपयुक्त सॉफ़्टवेयर उत्पादों का उपयोग करके, काम को स्वचालित किया जाए। प्रतियों को किसी सुरक्षित स्थान पर रखने की व्यवस्था करना भी आवश्यक है, जो अनधिकृत पहुंच, आग, लीक से सुरक्षित हो, यानी ऐसी किसी भी चीज से जिससे चोरी हो या मीडिया को नुकसान हो सकता है। यह सलाह दी जाती है कि बैकअप प्रतियों की कई प्रतियां रखें और उनमें से कुछ को ऑफ-साइट संग्रहीत करें, इस प्रकार बड़ी दुर्घटनाओं और इसी तरह की घटनाओं से बचाव किया जा सकता है। समय-समय पर, परीक्षण उद्देश्यों के लिए, आपको प्रतियों से जानकारी पुनर्स्थापित करने की संभावना की जांच करनी चाहिए।

फ़्लॉपी डिस्क, टेप, मुद्रित आउटपुट आदि के लिए भौतिक सुरक्षा और लेखांकन प्रदान करने के लिए मीडिया प्रबंधन आवश्यक है। मीडिया प्रबंधन को कंप्यूटर सिस्टम के बाहर संग्रहीत जानकारी की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करनी चाहिए। यहां भौतिक सुरक्षा का मतलब न केवल अनधिकृत पहुंच प्रयासों को रोकना है, बल्कि हानिकारक पर्यावरणीय प्रभावों (गर्मी, ठंड, नमी, चुंबकत्व) से सुरक्षा भी है। मीडिया प्रबंधन को खरीद से लेकर डीकमीशनिंग तक पूरे जीवनचक्र को कवर करना चाहिए।

दस्तावेज़ीकरण सूचना सुरक्षा का एक अभिन्न अंग है। सुरक्षा नीति से लेकर मीडिया लॉग तक लगभग हर चीज़ दस्तावेज़ के रूप में प्रलेखित है। यह महत्वपूर्ण है कि दस्तावेज़ीकरण अद्यतन हो और मामलों की वर्तमान स्थिति को सुसंगत तरीके से प्रतिबिंबित करे।

गोपनीयता आवश्यकताएँ कुछ दस्तावेज़ों के भंडारण पर लागू होती हैं (उदाहरण के लिए, सिस्टम की कमजोरियों और खतरों का विश्लेषण), जबकि अन्य, जैसे आपदा पुनर्प्राप्ति योजना, अखंडता और उपलब्धता आवश्यकताओं के अधीन हैं (एक गंभीर स्थिति में, योजना को अवश्य लागू करना चाहिए) पाया जाए और पढ़ा जाए)।

नियमित कार्य एक बहुत ही गंभीर सुरक्षा खतरा है। नियमित रखरखाव करने वाले कर्मचारी को सिस्टम तक विशेष पहुंच प्राप्त होती है, और व्यवहार में यह नियंत्रित करना बहुत मुश्किल होता है कि वह क्या कार्य करता है। यहीं पर काम करने वालों में भरोसे की डिग्री सामने आती है।

संगठन द्वारा अपनाई गई सुरक्षा नीति में सूचना सुरक्षा व्यवस्था के उल्लंघनों का पता लगाने और उन्हें बेअसर करने के उद्देश्य से परिचालन उपायों का एक सेट प्रदान किया जाना चाहिए। यह महत्वपूर्ण है कि ऐसे मामलों में कार्यों के क्रम की योजना पहले से बनाई जाए, क्योंकि उपाय तत्काल और समन्वित तरीके से किए जाने की आवश्यकता है।

सुरक्षा उल्लंघनों पर प्रतिक्रिया के तीन मुख्य लक्ष्य हैं:

घटना का स्थानीयकरण करना और नुकसान को कम करना;

बार-बार उल्लंघन की रोकथाम.

अक्सर किसी घटना का स्थानीयकरण करने और नुकसान को कम करने की आवश्यकता अपराधी की पहचान करने की इच्छा के साथ टकराव में आ जाती है। संगठन की सुरक्षा नीति को शीघ्र प्राथमिकता दी जानी चाहिए। चूँकि, जैसा कि अभ्यास से पता चलता है, किसी हमलावर की पहचान करना बहुत मुश्किल है, हमारी राय में, सबसे पहले, क्षति को कम करने का ध्यान रखा जाना चाहिए।

प्राकृतिक कारणों, दुर्भावनापूर्ण कार्यों, लापरवाही या अक्षमता के कारण होने वाली गंभीर दुर्घटनाओं से कोई भी संगठन सुरक्षित नहीं है। साथ ही, प्रत्येक संगठन के पास ऐसे कार्य होते हैं जिन्हें प्रबंधन महत्वपूर्ण मानता है और उन्हें निष्पादित किया जाना चाहिए, चाहे कुछ भी हो। पुनर्स्थापन कार्य की योजना बनाने से आप दुर्घटनाओं के लिए तैयारी कर सकते हैं, उनसे होने वाली क्षति को कम कर सकते हैं और कम से कम न्यूनतम सीमा तक कार्य करने की क्षमता बनाए रख सकते हैं।

ध्यान दें कि सूचना सुरक्षा उपायों को तीन समूहों में विभाजित किया जा सकता है, यह इस पर निर्भर करता है कि उनका उद्देश्य हमलों के परिणामों को रोकना, पता लगाना या समाप्त करना है या नहीं। अधिकांश उपाय एहतियाती प्रकृति के हैं।

पुनर्स्थापना योजना प्रक्रिया को निम्नलिखित चरणों में विभाजित किया जा सकता है:

संगठन के महत्वपूर्ण कार्यों की पहचान करना, प्राथमिकताएँ निर्धारित करना;

महत्वपूर्ण कार्य करने के लिए आवश्यक संसाधनों की पहचान;

संभावित दुर्घटनाओं की सूची का निर्धारण;

एक बहाली रणनीति का विकास;

चुनी गई रणनीति के कार्यान्वयन के लिए तैयारी;

रणनीति की जाँच करना.

पुनर्स्थापना कार्य की योजना बनाते समय, आपको इस बात की जानकारी होनी चाहिए कि संगठन के कामकाज को पूरी तरह से बनाए रखना हमेशा संभव नहीं होता है। महत्वपूर्ण कार्यों की पहचान करना आवश्यक है, जिनके बिना संगठन अपना चेहरा खो देता है, और यहां तक कि किसी दुर्घटना के बाद जल्द से जल्द और न्यूनतम लागत पर काम फिर से शुरू करने के लिए महत्वपूर्ण कार्यों को प्राथमिकता देना भी आवश्यक है।

महत्वपूर्ण कार्यों को करने के लिए आवश्यक संसाधनों की पहचान करते समय, याद रखें कि उनमें से कई प्रकृति में गैर-कंप्यूटर हैं। इस स्तर पर, काम में विभिन्न प्रोफाइल के विशेषज्ञों को शामिल करने की सलाह दी जाती है।

इस प्रकार, सूचना सुरक्षा सुनिश्चित करने के लिए बड़ी संख्या में विभिन्न तरीके हैं। इन सभी विधियों का एक ही परिसर में उपयोग करना सबसे प्रभावी है। आज, आधुनिक सुरक्षा बाज़ार सूचना सुरक्षा उपकरणों से भरा हुआ है। मौजूदा सुरक्षा बाजार की पेशकशों का लगातार अध्ययन करते हुए, कई कंपनियां सूचना सुरक्षा प्रणालियों में पहले से निवेश किए गए धन की अपर्याप्तता देखती हैं, उदाहरण के लिए, उपकरण और सॉफ्टवेयर के अप्रचलन के कारण। इसलिए वे इस समस्या का समाधान ढूंढ रहे हैं. ऐसे दो विकल्प हो सकते हैं: एक ओर, कॉर्पोरेट सूचना सुरक्षा प्रणाली का पूर्ण प्रतिस्थापन, जिसके लिए बड़े निवेश की आवश्यकता होगी, और दूसरी ओर, मौजूदा सुरक्षा प्रणालियों का आधुनिकीकरण। इस समस्या को हल करने का अंतिम विकल्प सबसे कम खर्चीला है, लेकिन यह नई समस्याएं लाता है, उदाहरण के लिए, इसके लिए निम्नलिखित प्रश्नों के उत्तर की आवश्यकता होती है: पुराने, मौजूदा हार्डवेयर और सॉफ्टवेयर सुरक्षा उपकरणों से बनाए गए और नए तत्वों की अनुकूलता कैसे सुनिश्चित की जाए सूचना सुरक्षा प्रणाली; विविध सुरक्षा उपकरणों का केंद्रीकृत प्रबंधन कैसे प्रदान करें; कैसे आकलन करें और, यदि आवश्यक हो, तो कंपनी के सूचना जोखिमों का पुनर्मूल्यांकन करें।

अध्याय 2. सूचना सुरक्षा प्रणाली का विश्लेषण

1 कंपनी की गतिविधि का दायरा और वित्तीय संकेतकों का विश्लेषण

OJSC गज़प्रॉम एक वैश्विक ऊर्जा कंपनी है। मुख्य गतिविधियाँ भूवैज्ञानिक अन्वेषण, उत्पादन, परिवहन, भंडारण, प्रसंस्करण और गैस, गैस घनीभूत और तेल की बिक्री, साथ ही गर्मी और बिजली का उत्पादन और बिक्री हैं।

गज़प्रोम अपने मिशन को उपभोक्ताओं को प्राकृतिक गैस, अन्य प्रकार के ऊर्जा संसाधनों और उनके प्रसंस्कृत उत्पादों के साथ विश्वसनीय, कुशल और संतुलित प्रावधान में देखता है।

गज़प्रॉम के पास दुनिया का सबसे समृद्ध प्राकृतिक गैस भंडार है। विश्व गैस भंडार में इसकी हिस्सेदारी 18% है, रूसी में - 70%। गज़प्रोम का वैश्विक गैस उत्पादन में 15% और रूसी गैस उत्पादन में 78% हिस्सा है। वर्तमान में, कंपनी यमल प्रायद्वीप, आर्कटिक शेल्फ, पूर्वी साइबेरिया और सुदूर पूर्व के गैस संसाधनों के विकास के लिए बड़े पैमाने पर परियोजनाओं के साथ-साथ विदेशों में हाइड्रोकार्बन की खोज और उत्पादन के लिए कई परियोजनाओं को सक्रिय रूप से कार्यान्वित कर रही है।

गज़प्रोम रूसी और विदेशी उपभोक्ताओं के लिए एक विश्वसनीय गैस आपूर्तिकर्ता है। कंपनी दुनिया के सबसे बड़े गैस परिवहन नेटवर्क - रूस की एकीकृत गैस आपूर्ति प्रणाली की मालिक है, जिसकी लंबाई 161 हजार किमी से अधिक है। गज़प्रॉम अपनी बेची जाने वाली गैस का आधे से अधिक घरेलू बाज़ार में बेचता है। इसके अलावा, कंपनी विदेशों के निकट और सुदूर 30 देशों में गैस की आपूर्ति करती है।

गज़प्रॉम रूस का तरलीकृत प्राकृतिक गैस का एकमात्र उत्पादक और निर्यातक है और वैश्विक एलएनजी उत्पादन का लगभग 5% प्रदान करता है।

कंपनी रूसी संघ के पांच सबसे बड़े तेल उत्पादकों में से एक है, और अपने क्षेत्र में संपत्ति पैदा करने वाली सबसे बड़ी मालिक भी है। उनकी कुल स्थापित क्षमता रूसी ऊर्जा प्रणाली की कुल स्थापित क्षमता का 17% है।

रणनीतिक लक्ष्य नए बाजारों के विकास, गतिविधियों के विविधीकरण और आपूर्ति की विश्वसनीयता सुनिश्चित करने के माध्यम से वैश्विक ऊर्जा कंपनियों के बीच ओएओ गज़प्रोम को एक नेता के रूप में स्थापित करना है।

आइए पिछले दो वर्षों में कंपनी के वित्तीय प्रदर्शन पर विचार करें। कंपनी के परिचालन परिणाम परिशिष्ट 1 में प्रस्तुत किए गए हैं।

31 दिसंबर 2010 तक, बिक्री राजस्व 2,495,557 मिलियन रूबल था, यह आंकड़ा 2011 के आंकड़ों की तुलना में बहुत कम है, यानी 3,296,656 मिलियन रूबल।

बिक्री राजस्व (उत्पाद कर, वैट और सीमा शुल्क का शुद्ध) पिछले वर्ष की इसी अवधि की तुलना में 30 सितंबर, 2011 को समाप्त नौ महीनों के लिए 801,099 मिलियन रूबल या 32% की वृद्धि हुई, जो कि 3,296 656 मिलियन रूबल की राशि है।

2011 के परिणामों के आधार पर, गैस बिक्री से शुद्ध राजस्व कुल शुद्ध बिक्री राजस्व का 60% (पिछले वर्ष की समान अवधि के लिए 60%) था।

गैस बिक्री से शुद्ध राजस्व 1,495,335 मिलियन रूबल से बढ़ गया। वर्ष के लिए 1,987,330 मिलियन रूबल तक। 2011 में इसी अवधि के लिए, या 33% तक।

यूरोप और अन्य देशों में गैस की बिक्री से शुद्ध राजस्व पिछले वर्ष की समान अवधि की तुलना में 258,596 मिलियन रूबल या 34% बढ़ गया और 1,026,451 मिलियन रूबल हो गया। यूरोप और अन्य देशों में गैस की बिक्री में कुल वृद्धि औसत कीमतों में वृद्धि के कारण हुई। रूबल में औसत कीमत (सीमा शुल्क सहित) 2010 की इसी अवधि की तुलना में 30 सितंबर 2011 को समाप्त नौ महीनों के लिए 21% बढ़ गई। इसके अलावा, गैस की बिक्री की मात्रा पिछले वर्ष की समान अवधि की तुलना में 8% बढ़ गई।

पूर्व सोवियत संघ के देशों को गैस की बिक्री से शुद्ध राजस्व 2010 में इसी अवधि में 168,538 मिलियन रूबल या 58% बढ़ गया और 458,608 मिलियन रूबल हो गया। यह परिवर्तन मुख्य रूप से पिछले वर्ष की इसी अवधि की तुलना में 30 सितंबर 2011 को समाप्त नौ महीनों के लिए पूर्व सोवियत संघ को गैस की बिक्री में 33% की वृद्धि से प्रेरित था। इसके अलावा, रूबल में औसत कीमत (सीमा शुल्क, कम वैट सहित) पिछले वर्ष की समान अवधि की तुलना में 15% बढ़ गई।

रूसी संघ में गैस की बिक्री से शुद्ध राजस्व पिछले वर्ष की समान अवधि की तुलना में 64,861 मिलियन रूबल या 15% बढ़ गया और 502,271 मिलियन रूबल हो गया। इसका मुख्य कारण पिछले वर्ष की समान अवधि की तुलना में गैस की औसत कीमत में 13% की वृद्धि है, जो संघीय टैरिफ सेवा (एफटीएस) द्वारा निर्धारित टैरिफ में वृद्धि से जुड़ा है।

तेल और गैस उत्पादों (उत्पाद कर, वैट और सीमा शुल्क को छोड़कर) की बिक्री से शुद्ध राजस्व 213,012 मिलियन रूबल या 42% बढ़ गया और 717,723 मिलियन रूबल हो गया। पिछले वर्ष की इसी अवधि की तुलना में। इस वृद्धि को मुख्य रूप से तेल और गैस उत्पादों की विश्व कीमतों में वृद्धि और पिछले वर्ष की समान अवधि की तुलना में बिक्री की मात्रा में वृद्धि द्वारा समझाया गया है। गज़प्रोम नेफ्ट समूह का राजस्व तेल और गैस उत्पादों की बिक्री से कुल शुद्ध राजस्व का क्रमशः 85% और 84% था।

विद्युत और तापीय ऊर्जा (वैट को छोड़कर) की बिक्री से शुद्ध राजस्व 38,097 मिलियन रूबल या 19% बढ़ गया और 237,545 मिलियन रूबल हो गया। विद्युत और तापीय ऊर्जा की बिक्री से राजस्व में वृद्धि मुख्य रूप से विद्युत और तापीय ऊर्जा के लिए टैरिफ में वृद्धि के साथ-साथ विद्युत और तापीय ऊर्जा की बिक्री की मात्रा में वृद्धि के कारण है।

कच्चे तेल और गैस कंडेनसेट की बिक्री से शुद्ध राजस्व (उत्पाद कर, वैट और सीमा शुल्क घटाकर) 23,072 मिलियन रूबल या 16% बढ़ गया और 164,438 मिलियन रूबल हो गया। 141,366 मिलियन रूबल की तुलना में। पिछले वर्ष की इसी अवधि के लिए. यह परिवर्तन मुख्य रूप से तेल और गैस कंडेनसेट की बढ़ती कीमतों के कारण है। इसके अलावा, यह परिवर्तन गैस कंडेनसेट की बिक्री में वृद्धि के कारण हुआ। कच्चे तेल की बिक्री से राजस्व 133,368 मिलियन रूबल था। और 121,675 मिलियन रूबल। क्रमशः 2011 और 2010 में कच्चे तेल और गैस कंडेनसेट (उत्पाद कर, वैट और सीमा शुल्क को छोड़कर) की बिक्री से शुद्ध आय में।

गैस परिवहन सेवाओं की बिक्री से शुद्ध राजस्व (वैट का शुद्ध) RUB 15,306 मिलियन या 23% बढ़ गया, और RUB 67,195 मिलियन की तुलना में RUB 82,501 मिलियन हो गया। पिछले वर्ष की इसी अवधि के लिए. यह वृद्धि मुख्य रूप से स्वतंत्र आपूर्तिकर्ताओं के लिए गैस परिवहन शुल्क में वृद्धि के साथ-साथ गैस की मात्रा में वृद्धि के कारण है। ѐ पिछले वर्ष की समान अवधि की तुलना में स्वतंत्र आपूर्तिकर्ताओं के लिए गैस परिवहन की गति।

अन्य राजस्व में RUB 19,617 मिलियन या 22% की वृद्धि हुई और यह RUB 107,119 मिलियन हो गया। RUB 87,502 मिलियन की तुलना में। पिछले वर्ष की इसी अवधि के लिए.

वास्तविक डिलीवरी के बिना व्यापार संचालन का खर्च 837 मिलियन रूबल था। 5,786 मिलियन रूबल की आय की तुलना में। पिछले वर्ष की इसी अवधि के लिए.

परिचालन खर्चों के लिए, उनमें 23% की वृद्धि हुई और उनकी राशि 2,119,289 मिलियन रूबल हो गई। RUB 1,726,604 मिलियन की तुलना में। पिछले वर्ष की इसी अवधि के लिए. बिक्री राजस्व में परिचालन व्यय का हिस्सा 69% से घटकर 64% हो गया।

श्रम लागत में 18% की वृद्धि हुई और यह 267,377 मिलियन रूबल हो गई। 227,500 मिलियन रूबल की तुलना में। पिछले वर्ष की इसी अवधि के लिए. यह वृद्धि मुख्य रूप से औसत वेतन में वृद्धि के कारण है।

विश्लेषण की गई अवधि के लिए मूल्यह्रास 9% या 17,026 मिलियन रूबल की वृद्धि हुई, और 184,610 मिलियन रूबल की तुलना में 201,636 मिलियन रूबल की राशि हुई। पिछले वर्ष की इसी अवधि के लिए. यह वृद्धि मुख्य रूप से अचल संपत्ति आधार के विस्तार के कारण थी।

उपरोक्त कारकों के परिणामस्वरूप, बिक्री लाभ में 401,791 मिलियन रूबल या 52% की वृद्धि हुई और यह 1,176,530 मिलियन रूबल हो गया। 774,739 मिलियन रूबल की तुलना में। पिछले वर्ष की इसी अवधि के लिए. 30 सितंबर 2011 को समाप्त नौ महीनों के लिए बिक्री लाभ मार्जिन 31% से बढ़कर 36% हो गया।

इस प्रकार, OJSC गज़प्रोम एक वैश्विक ऊर्जा कंपनी है। मुख्य गतिविधियाँ भूवैज्ञानिक अन्वेषण, उत्पादन, परिवहन, भंडारण, प्रसंस्करण और गैस, गैस घनीभूत और तेल की बिक्री, साथ ही गर्मी और बिजली का उत्पादन और बिक्री हैं। कंपनी की वित्तीय स्थिति स्थिर है. प्रदर्शन संकेतक सकारात्मक गतिशीलता दिखा रहे हैं।

2 कंपनी की सूचना सुरक्षा प्रणाली का विवरण

आइए ओजेएससी गज़प्रोम की कॉर्पोरेट सुरक्षा सेवा के प्रभागों की गतिविधि के मुख्य क्षेत्रों पर विचार करें:

इंजीनियरिंग और तकनीकी सुरक्षा उपकरण (आईटीएसई), ओएओ गज़प्रोम और उसकी सहायक कंपनियों और संगठनों की सूचना सुरक्षा प्रणालियों (आईएस) के सिस्टम और परिसरों के विकास के लिए लक्षित कार्यक्रमों का विकास, सूचना और तकनीकी सुनिश्चित करने के उद्देश्य से एक निवेश कार्यक्रम के निर्माण में भागीदारी सुरक्षा;

सूचना सुरक्षा प्रणालियों, साथ ही आईटीएसओ प्रणालियों और परिसरों के विकास के लिए ग्राहक की शक्तियों का कार्यान्वयन;

सूचना सुरक्षा प्रणालियों, आईटीएसओ प्रणालियों और परिसरों के विकास के साथ-साथ सूचना सुरक्षा प्रणालियों के संदर्भ में आईटी के निर्माण के उपायों के कार्यान्वयन के लिए बजट अनुरोधों और बजट पर विचार और अनुमोदन;

सूचना सुरक्षा प्रणालियों, आईटीएसओ प्रणालियों और परिसरों के विकास के लिए डिजाइन और पूर्व-परियोजना दस्तावेज़ीकरण की समीक्षा और अनुमोदन, साथ ही सूचना सुरक्षा आवश्यकताओं के संदर्भ में सूचना प्रणालियों, संचार और दूरसंचार प्रणालियों के निर्माण (आधुनिकीकरण) के लिए तकनीकी विशिष्टताओं;

स्थापित आवश्यकताओं के साथ आईटीएसओ प्रणालियों और परिसरों, सूचना सुरक्षा प्रणालियों (साथ ही उनके निर्माण के लिए कार्यों और सेवाओं) के अनुपालन का आकलन करने के लिए कार्य का संगठन;

तकनीकी सूचना सुरक्षा पर कार्य का समन्वय और नियंत्रण।

गज़प्रॉम ने व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए एक प्रणाली बनाई है। हालाँकि, मौजूदा कानूनों और सरकारी नियमों के विकास में कई नियामक कानूनी कृत्यों को संघीय कार्यकारी अधिकारियों द्वारा अपनाने से व्यक्तिगत डेटा सुरक्षा की वर्तमान प्रणाली में सुधार की आवश्यकता होती है। इस समस्या को हल करने के हित में, कई दस्तावेज़ विकसित किए गए हैं और अनुसंधान कार्य के ढांचे के भीतर अनुमोदित किए जा रहे हैं। सबसे पहले, ये गज़प्रोम विकास संगठन के मसौदा मानक हैं:

"ओएओ गज़प्रॉम, इसकी सहायक कंपनियों और संगठनों के व्यक्तिगत डेटा की सूचना प्रणालियों को वर्गीकृत करने की पद्धति";

"ओएओ गज़प्रॉम, इसकी सहायक कंपनियों और संगठनों की व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा के लिए खतरों का मॉडल।"

इन दस्तावेज़ों को 17 नवंबर, 2007 संख्या 781 के रूसी संघ की सरकार के डिक्री की आवश्यकताओं को ध्यान में रखते हुए विकसित किया गया था "व्यक्तिगत डेटा सूचना प्रणालियों में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने पर विनियमों के अनुमोदन पर" विशेष प्रणालियों के वर्ग के संबंध में, जिसमें अधिकांश ओजेएससी आईएसपीडीएन "गज़प्रोम" शामिल हैं।

इसके अलावा, "ओएओ गज़प्रॉम, इसकी सहायक कंपनियों और संगठनों के व्यक्तिगत डेटा सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की सुरक्षा के संगठन और तकनीकी सहायता पर विनियम" का विकास वर्तमान में चल रहा है।

यह ध्यान दिया जाना चाहिए कि ओजेएससी गज़प्रोम की मानकीकरण प्रणाली के ढांचे के भीतर, सूचना सुरक्षा प्रणाली के लिए मानक विकसित किए गए हैं, जो ओजेएससी गज़प्रोम की सूचना प्रणालियों में संसाधित व्यक्तिगत डेटा की सुरक्षा की समस्याओं को हल करना भी संभव बना देगा।

सूचना सुरक्षा प्रणाली से संबंधित सात मानकों को मंजूरी दे दी गई है और उन्हें इस वर्ष लागू किया जा रहा है।

मानक OAO गज़प्रोम और उसकी सहायक कंपनियों के लिए सूचना सुरक्षा प्रणालियों के निर्माण के लिए बुनियादी आवश्यकताओं को परिभाषित करते हैं।

किए गए कार्य के परिणाम सामग्री, वित्तीय और बौद्धिक संसाधनों का अधिक तर्कसंगत उपयोग करना, आवश्यक नियामक और पद्धतिगत समर्थन बनाना, सुरक्षा के प्रभावी साधन पेश करना और परिणामस्वरूप, जानकारी में संसाधित व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करना संभव बना देंगे। OAO गज़प्रोम की प्रणालियाँ।

OJSC गज़प्रोम की सूचना सुरक्षा के विश्लेषण के परिणामस्वरूप, सूचना सुरक्षा सुनिश्चित करने में निम्नलिखित कमियों की पहचान की गई:

संगठन के पास व्यापक सुरक्षा नीति को विनियमित करने वाला एक भी दस्तावेज़ नहीं है;

नेटवर्क के आकार और उपयोगकर्ताओं की संख्या (100 से अधिक) को ध्यान में रखते हुए, यह ध्यान दिया जाना चाहिए कि सिस्टम प्रशासन, सूचना सुरक्षा और तकनीकी सहायता के लिए एक व्यक्ति जिम्मेदार है;

महत्व की डिग्री के आधार पर सूचना परिसंपत्तियों का कोई वर्गीकरण नहीं है;

सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ नौकरी विवरण में शामिल नहीं हैं;

कर्मचारी के साथ संपन्न रोजगार अनुबंध में नियोजित लोगों और संगठन दोनों की सूचना सुरक्षा जिम्मेदारियों पर कोई खंड नहीं है;

सूचना सुरक्षा के क्षेत्र में कार्मिक प्रशिक्षण प्रदान नहीं किया जाता है;

बाहरी खतरों से सुरक्षा के दृष्टिकोण से: बाहरी और पर्यावरणीय खतरों के परिणामस्वरूप हुई दुर्घटनाओं के बाद डेटा पुनर्प्राप्ति के लिए कोई विशिष्ट व्यवहार प्रक्रिया विकसित नहीं की गई है;

सर्वर रूम एक अलग कमरा नहीं है, कमरे को दो विभागों का दर्जा दिया गया है (सिस्टम प्रशासक के अलावा एक और व्यक्ति को सर्वर रूम तक पहुंच प्राप्त है);

केबल से जुड़े अनधिकृत उपकरणों की तकनीकी जांच और भौतिक परीक्षण नहीं किया जाता है;

इस तथ्य के बावजूद कि प्रविष्टि इलेक्ट्रॉनिक पास का उपयोग करके की जाती है और सभी जानकारी एक विशेष डेटाबेस में दर्ज की जाती है, इसका विश्लेषण नहीं किया जाता है;

मैलवेयर से सुरक्षा के संदर्भ में: बाहरी नेटवर्क से या उसके माध्यम से या हटाने योग्य मीडिया पर मौजूद फ़ाइलों को प्राप्त करने से जुड़े जोखिमों से बचाने के लिए कोई औपचारिक नीति नहीं है;

मैलवेयर से सुरक्षा के संदर्भ में: स्थानीय नेटवर्क को दुर्भावनापूर्ण कोड से बचाने के लिए कोई दिशानिर्देश नहीं हैं;

कोई ट्रैफ़िक नियंत्रण नहीं है, बाहरी नेटवर्क के मेल सर्वर तक पहुंच है;

सभी बैकअप सर्वर रूम में संग्रहीत हैं;

असुरक्षित, याद रखने में आसान पासवर्ड का उपयोग किया जाता है;

उपयोगकर्ताओं द्वारा पासवर्ड की प्राप्ति की किसी भी तरह से पुष्टि नहीं की जाती है;

व्यवस्थापक द्वारा पासवर्ड स्पष्ट पाठ में संग्रहीत किए जाते हैं;

पासवर्ड नहीं बदलते;

सूचना सुरक्षा घटनाओं की रिपोर्टिंग के लिए कोई प्रक्रिया नहीं है।

इस प्रकार, इन कमियों के आधार पर, सूचना सुरक्षा नीति के संबंध में नियमों का एक सेट विकसित किया गया, जिसमें शामिल हैं:

सिस्टम संसाधनों तक पहुँचने के लिए आवश्यक प्राधिकार के कर्मचारियों को काम पर रखने (बर्खास्तगी) और अनुदान (वंचित) से संबंधित नीतियां;

इसके संचालन के दौरान नेटवर्क उपयोगकर्ताओं के कार्य के संबंध में नीति;

पासवर्ड सुरक्षा नीति;

शारीरिक सुरक्षा के संगठन पर नीति;

इंटरनेट नीति;

साथ ही प्रशासनिक सुरक्षा उपाय भी।

इन विनियमों वाले दस्तावेज़ संगठन के प्रबंधन द्वारा विचार के चरण में हैं।

OJSC गज़प्रोम की सूचना सुरक्षा प्रणाली के विश्लेषण के परिणामस्वरूप, महत्वपूर्ण सिस्टम कमजोरियों की पहचान की गई। पहचानी गई सुरक्षा प्रणाली की कमियों को दूर करने के उपाय विकसित करने के लिए, हम सूचना के निम्नलिखित समूहों पर प्रकाश डालेंगे जो सुरक्षा के अधीन हैं:

कर्मचारियों के निजी जीवन के बारे में जानकारी जो उन्हें पहचानने की अनुमति देती है (व्यक्तिगत डेटा);

व्यावसायिक गतिविधियों और बैंकिंग, ऑडिटिंग और संचार गोपनीयता से संबंधित जानकारी;

व्यावसायिक गतिविधियों से संबंधित जानकारी और "आधिकारिक उपयोग के लिए" जानकारी के रूप में चिह्नित;

जानकारी, जिसके विनाश या संशोधन से परिचालन दक्षता पर नकारात्मक प्रभाव पड़ेगा, और बहाली के लिए अतिरिक्त लागत की आवश्यकता होगी।

प्रशासनिक उपायों की दृष्टि से निम्नलिखित सिफ़ारिशें विकसित की गईं:

सूचना सुरक्षा प्रणाली को रूसी संघ के कानून और राज्य मानकों का पालन करना चाहिए;

भवन और परिसर जहां सूचना प्रसंस्करण सुविधाएं स्थापित या संग्रहीत की जाती हैं, संरक्षित जानकारी के साथ काम किया जाता है, अलार्म और पहुंच नियंत्रण साधनों द्वारा संरक्षित और संरक्षित किया जाना चाहिए;

किसी कर्मचारी को काम पर रखते समय सूचना सुरक्षा मुद्दों पर कर्मियों का प्रशिक्षण (पासवर्ड सुरक्षा और पासवर्ड आवश्यकताओं के महत्व को समझाना, एंटी-वायरस सॉफ़्टवेयर पर प्रशिक्षण आयोजित करना आदि) आयोजित किया जाना चाहिए;

सूचना सुरक्षा के क्षेत्र में कर्मचारियों की साक्षरता में सुधार लाने के उद्देश्य से हर 6-12 महीने में प्रशिक्षण आयोजित करना;

सिस्टम का ऑडिट और विकसित नियमों में समायोजन सालाना 1 अक्टूबर को या उद्यम की संरचना में बड़े बदलावों की शुरूआत के तुरंत बाद किया जाना चाहिए;

सूचना संसाधनों तक प्रत्येक उपयोगकर्ता के पहुंच अधिकार को प्रलेखित किया जाना चाहिए (यदि आवश्यक हो, तो प्रबंधक से लिखित रूप में पहुंच का अनुरोध किया जाता है);

सूचना सुरक्षा नीति को सॉफ़्टवेयर प्रशासक और हार्डवेयर प्रशासक द्वारा सुनिश्चित किया जाना चाहिए, उनके कार्यों का समन्वय समूह के प्रमुख द्वारा किया जाता है।

आइए एक पासवर्ड नीति बनाएं:

उन्हें अनएन्क्रिप्टेड रूप में संग्रहीत न करें (उन्हें कागज पर, नियमित टेक्स्ट फ़ाइल आदि में न लिखें);

यदि पासवर्ड का खुलासा हो या प्रकटीकरण का संदेह हो तो उसे बदल दें;

लंबाई कम से कम 8 अक्षर होनी चाहिए;

पासवर्ड में अपरकेस और लोअरकेस अक्षर, संख्याएं और विशेष वर्ण होने चाहिए; पासवर्ड में वर्णों के आसानी से गणना किए गए अनुक्रम (नाम, जानवरों के नाम, तिथियां) शामिल नहीं होने चाहिए;

हर 6 महीने में एक बार बदलें (परिवर्तन को ट्रिगर करने वाली घटना की सूचना प्राप्त होने के तुरंत बाद एक अनिर्धारित पासवर्ड परिवर्तन किया जाना चाहिए);

पासवर्ड बदलते समय, आप उन पासवर्डों का चयन नहीं कर सकते जो पहले उपयोग किए गए थे (पासवर्ड में कम से कम 6 स्थान का अंतर होना चाहिए)।

आइए एंटीवायरस प्रोग्राम और वायरस का पता लगाने के संबंध में एक नीति बनाएं:

प्रत्येक कार्य केंद्र पर लाइसेंस प्राप्त एंटी-वायरस सॉफ़्टवेयर स्थापित होना चाहिए;

इंटरनेट एक्सेस के साथ वर्कस्टेशन पर एंटी-वायरस डेटाबेस अपडेट करना - दिन में एक बार, बिना इंटरनेट एक्सेस के - सप्ताह में कम से कम एक बार;

वायरस का पता लगाने के लिए कार्यस्थानों की स्वचालित स्कैनिंग सेट करें (जाँच की आवृत्ति - सप्ताह में एक बार: शुक्रवार, 12:00);

केवल व्यवस्थापक ही एंटी-वायरस डेटाबेस अपडेट या वायरस स्कैन को बाधित कर सकता है (निर्दिष्ट उपयोगकर्ता कार्रवाई के लिए पासवर्ड सुरक्षा सेट की जानी चाहिए)।

आइए शारीरिक सुरक्षा को लेकर एक नीति बनाएं:

केबल से जुड़े अनधिकृत उपकरणों की तकनीकी जांच और भौतिक जांच हर 1-2 महीने में की जानी चाहिए;

नेटवर्क केबलों को डेटा के अनधिकृत अवरोधन से संरक्षित किया जाना चाहिए;

उपकरण के साथ हुई सभी संदिग्ध और वास्तविक विफलताओं का रिकॉर्ड एक लॉग में संग्रहीत किया जाना चाहिए

प्रत्येक कार्य केंद्र को निर्बाध बिजली आपूर्ति से सुसज्जित किया जाना चाहिए।

आइए सूचना आरक्षण के संबंध में एक नीति परिभाषित करें:

बैकअप प्रतियों के लिए, प्रशासनिक भवन के बाहर स्थित एक अलग कमरा आवंटित किया जाना चाहिए (कमरा इलेक्ट्रॉनिक लॉक और अलार्म से सुसज्जित होना चाहिए);

सूचना आरक्षण प्रत्येक शुक्रवार को 16:00 बजे किया जाना चाहिए।

कर्मचारियों की नियुक्ति/बर्खास्तगी के संबंध में नीति इस प्रकार होनी चाहिए:

किसी भी कार्मिक परिवर्तन (कर्मचारी की नियुक्ति, पदोन्नति, बर्खास्तगी आदि) को 24 घंटे के भीतर प्रशासक को सूचित किया जाना चाहिए, जो बदले में, आधे कार्य दिवस की अवधि के भीतर पहुंच अधिकारों के परिसीमन के लिए सिस्टम में उचित बदलाव करेगा। उद्यम संसाधनों के लिए;

एक नए कर्मचारी को प्रशासक से प्रशिक्षण लेना होगा, जिसमें सुरक्षा नीति और सभी आवश्यक निर्देशों से परिचित होना शामिल है; नए कर्मचारी के लिए जानकारी तक पहुंच का स्तर प्रबंधक द्वारा सौंपा गया है;

जब कोई कर्मचारी सिस्टम छोड़ता है, तो उसकी आईडी और पासवर्ड हटा दिए जाते हैं, वर्कस्टेशन पर वायरस की जांच की जाती है, और उस डेटा की अखंडता का विश्लेषण किया जाता है जिस तक कर्मचारी की पहुंच थी।

स्थानीय आंतरिक नेटवर्क (LAN) और डेटाबेस (DB) के साथ काम करने के संबंध में नीति:

अपने कार्यस्थल और LAN पर काम करते समय, कर्मचारी को केवल अपनी आधिकारिक गतिविधियों से सीधे संबंधित कार्य ही करने चाहिए;

कर्मचारी को वायरस की उपस्थिति के बारे में एंटी-वायरस प्रोग्राम के संदेशों के बारे में प्रशासक को सूचित करना चाहिए;

प्रशासकों के अलावा किसी को भी वर्कस्टेशन और अन्य LAN नोड्स के डिज़ाइन या कॉन्फ़िगरेशन में बदलाव करने, कोई सॉफ़्टवेयर स्थापित करने, वर्कस्टेशन को नियंत्रण के बिना छोड़ने या अनधिकृत व्यक्तियों को उस तक पहुंचने की अनुमति देने की अनुमति नहीं है;

प्रशासकों को हर समय दो प्रोग्राम चालू रखने की सलाह दी जाती है: एक एआरपी-स्पूफिंग हमले का पता लगाने वाली उपयोगिता और एक स्निफर, जिसके उपयोग से उन्हें संभावित घुसपैठिए की आंखों के माध्यम से नेटवर्क को देखने और सुरक्षा नीति उल्लंघनकर्ताओं की पहचान करने की अनुमति मिलेगी;

आपको ऐसे सॉफ़्टवेयर इंस्टॉल करना चाहिए जो इस सिद्धांत के आधार पर, व्यवस्थापक द्वारा निर्दिष्ट प्रोग्रामों के अलावा अन्य प्रोग्रामों को चलने से रोकता है: "किसी भी व्यक्ति को विशिष्ट कार्य करने के लिए आवश्यक विशेषाधिकार दिए जाते हैं।" सभी अप्रयुक्त कंप्यूटर पोर्ट को हार्डवेयर या सॉफ़्टवेयर द्वारा अक्षम किया जाना चाहिए;

सॉफ्टवेयर को नियमित रूप से अपडेट किया जाना चाहिए।

इंटरनेट नीति:

प्रशासकों को उन संसाधनों तक पहुंच को प्रतिबंधित करने का अधिकार सौंपा गया है, जिनकी सामग्री आधिकारिक कर्तव्यों के प्रदर्शन के साथ-साथ संसाधनों से संबंधित नहीं है, जिनकी सामग्री और फोकस अंतरराष्ट्रीय और रूसी कानून द्वारा निषिद्ध हैं;

कर्मचारी को वायरस की जांच किए बिना फ़ाइलें डाउनलोड करने और खोलने से प्रतिबंधित किया गया है;

कंपनी के कर्मचारियों द्वारा देखे गए संसाधनों के बारे में सभी जानकारी एक लॉग में संग्रहीत की जानी चाहिए और यदि आवश्यक हो, तो विभाग प्रमुखों के साथ-साथ प्रबंधन को भी प्रदान की जा सकती है

डिजिटल हस्ताक्षर के उपयोग के माध्यम से इलेक्ट्रॉनिक पत्राचार और कार्यालय दस्तावेजों की गोपनीयता और अखंडता सुनिश्चित की जाती है।

इसके अलावा, हम ओजेएससी गज़प्रोम कंपनी के कर्मचारियों के लिए पासवर्ड बनाने के लिए बुनियादी आवश्यकताएं तैयार करेंगे।

पासवर्ड घर की चाबी की तरह है, केवल यह जानकारी की कुंजी है। सामान्य चाबियों का खो जाना, चोरी हो जाना या किसी अजनबी को सौंप दिया जाना बेहद अवांछनीय है। पासवर्ड के लिए भी यही बात लागू होती है. बेशक, जानकारी की सुरक्षा न केवल पासवर्ड पर निर्भर करती है; इसे सुनिश्चित करने के लिए, आपको कई विशेष सेटिंग्स सेट करने की आवश्यकता है और, शायद, एक प्रोग्राम भी लिखना होगा जो हैकिंग से बचाता है। लेकिन पासवर्ड चुनना वास्तव में एक ऐसी कार्रवाई है जहां यह केवल उपयोगकर्ता पर निर्भर करता है कि जानकारी की सुरक्षा के उद्देश्य से उपायों की श्रृंखला में यह लिंक कितना मजबूत होगा।

) पासवर्ड लंबा होना चाहिए (8-12-15 अक्षर);

) किसी शब्दकोश से कोई शब्द नहीं होना चाहिए (कोई शब्दकोश, यहां तक कि विशेष शब्दों और स्लैंग का शब्दकोश), एक उचित नाम या लैटिन लेआउट (लैटिन - केएफएनएसआईएम) में टाइप किया गया सिरिलिक वर्णमाला में एक शब्द;

) इसे स्वामी के साथ संबद्ध नहीं किया जा सकता;

) यह समय-समय पर या आवश्यकतानुसार बदलता रहता है;

) का उपयोग इस क्षमता में विभिन्न संसाधनों पर नहीं किया जाता है (अर्थात, प्रत्येक संसाधन के लिए - मेलबॉक्स, ऑपरेटिंग सिस्टम या डेटाबेस में लॉग इन करने के लिए - एक अलग पासवर्ड का उपयोग किया जाना चाहिए);

) इसे याद रखना संभव है।

शब्दकोश से शब्दों का चयन करना अवांछनीय है, क्योंकि शब्दकोश पर हमला करने वाला हमलावर प्रति सेकंड सैकड़ों-हजारों शब्द खोजने में सक्षम कार्यक्रमों का उपयोग करेगा।

मालिक से जुड़ी कोई भी जानकारी (चाहे वह जन्मतिथि, कुत्ते का नाम, मां का मायके का नाम और इसी तरह के "पासवर्ड") को आसानी से पहचाना और अनुमान लगाया जा सकता है।

अपरकेस और लोअरकेस अक्षरों के साथ-साथ संख्याओं का उपयोग, पासवर्ड का अनुमान लगाने के हमलावर के कार्य को बहुत जटिल बना देता है।

पासवर्ड को गुप्त रखना चाहिए और यदि आपको संदेह हो कि पासवर्ड किसी को पता चल गया है तो उसे बदल लें। इन्हें समय-समय पर बदलना भी बहुत उपयोगी होता है।

निष्कर्ष

अध्ययन ने हमें निम्नलिखित निष्कर्ष निकालने और सिफारिशें तैयार करने की अनुमति दी।

यह स्थापित किया गया है कि सूचना सुरक्षा के क्षेत्र में उद्यम की समस्याओं का मुख्य कारण सूचना सुरक्षा नीति की कमी है, जिसमें उनके कार्यान्वयन की निगरानी और प्रभावशीलता के मूल्यांकन के साथ संगठनात्मक, तकनीकी, वित्तीय समाधान शामिल होंगे।

सूचना सुरक्षा नीति की परिभाषा दस्तावेजी निर्णयों के एक समूह के रूप में तैयार की गई है, जिसका उद्देश्य सूचना और संबंधित सूचना जोखिमों की सुरक्षा सुनिश्चित करना है।

सूचना सुरक्षा प्रणाली के विश्लेषण से महत्वपूर्ण कमियाँ सामने आईं, जिनमें शामिल हैं:

सर्वर कक्ष में बैकअप प्रतियों का भंडारण, बैकअप सर्वर मुख्य सर्वर के समान कमरे में स्थित है;

पासवर्ड सुरक्षा के संबंध में उचित नियमों का अभाव (पासवर्ड की लंबाई, उसे चुनने और संग्रहीत करने के नियम);

नेटवर्क प्रशासन एक व्यक्ति द्वारा संभाला जाता है।

उद्यमों की सूचना सुरक्षा प्रबंधन के क्षेत्र में अंतरराष्ट्रीय और रूसी अभ्यास के सामान्यीकरण ने हमें यह निष्कर्ष निकालने की अनुमति दी कि इसे सुनिश्चित करने के लिए, यह आवश्यक है:

वित्तीय, भौतिक और नैतिक क्षति के लिए अनुकूल सुरक्षा खतरों, कारणों और स्थितियों का पूर्वानुमान और समय पर पहचान;

सूचना संसाधनों पर सुरक्षा खतरों को लागू करने और विभिन्न प्रकार की क्षति पहुंचाने के कम से कम जोखिम के साथ परिचालन की स्थिति बनाना;

कानूनी, संगठनात्मक और तकनीकी साधनों के आधार पर सूचना सुरक्षा के खतरों का प्रभावी ढंग से जवाब देने के लिए एक तंत्र और शर्तें बनाना।

कार्य का पहला अध्याय मुख्य सैद्धांतिक पहलुओं पर चर्चा करता है। सूचना सुरक्षा के क्षेत्र में कई मानकों का अवलोकन दिया गया है। प्रत्येक के लिए और समग्र रूप से निष्कर्ष निकाले जाते हैं, और सूचना सुरक्षा नीति बनाने के लिए सबसे उपयुक्त मानक का चयन किया जाता है।

दूसरा अध्याय संगठन की संरचना की जांच करता है और सूचना सुरक्षा से जुड़ी मुख्य समस्याओं का विश्लेषण करता है। परिणामस्वरूप, सूचना सुरक्षा के उचित स्तर को सुनिश्चित करने के लिए सिफारिशें बनाई गई हैं। सूचना सुरक्षा उल्लंघन से संबंधित आगे की घटनाओं को रोकने के उपायों पर भी विचार किया जाता है।

बेशक, किसी संगठन की सूचना सुरक्षा सुनिश्चित करना एक सतत प्रक्रिया है जिसके लिए निरंतर निगरानी की आवश्यकता होती है। और स्वाभाविक रूप से बनी नीति सुरक्षा की मजबूत गारंटी नहीं है। नीति के कार्यान्वयन के अलावा, इसके गुणवत्ता कार्यान्वयन की निरंतर निगरानी के साथ-साथ कंपनी या मिसाल में किसी भी बदलाव की स्थिति में सुधार की आवश्यकता है। संगठन के लिए एक ऐसे कर्मचारी को नियुक्त करने की सिफारिश की गई थी जिसकी गतिविधियाँ सीधे इन कार्यों (सुरक्षा प्रशासक) से संबंधित होंगी।

ग्रन्थसूची

सूचना सुरक्षा वित्तीय हानि

1. बेलोव ई.बी. सूचना सुरक्षा के मूल सिद्धांत. ई.बी. बेलोव, वी.पी. लॉस, आर.वी. मेशचेरीकोव, ए.ए. शेलुपानोव। -एम.: हॉटलाइन - टेलीकॉम, 2006. - 544एस

गैलाटेंको वी.ए. सूचना सुरक्षा मानक: व्याख्यान का एक कोर्स। शिक्षात्मक

भत्ता. - दूसरा संस्करण। एम.: INTUIT.RU "इंटरनेट यूनिवर्सिटी ऑफ इंफॉर्मेशन टेक्नोलॉजीज", 2009. - 264 पी।

ग्लैटेंको वी.ए. सूचना सुरक्षा मानक/ओपन सिस्टम 2006.- 264सी

डोलजेनको ए.आई. सूचना प्रणाली प्रबंधन: प्रशिक्षण पाठ्यक्रम। - रोस्तोव-ऑन-डॉन: आरजीईयू, 2008.-125 पी।

कलाश्निकोव ए. आंतरिक सूचना सुरक्षा की एक कॉर्पोरेट नीति का गठन #"औचित्य">। मल्युक ए.ए. सूचना सुरक्षा: सूचना सुरक्षा की वैचारिक और पद्धतिगत नींव / एम.2009-280एस

मेवॉल्ड ई., नेटवर्क सुरक्षा। स्व-निर्देश पुस्तिका // एकोम, 2009.-528 पी।

सेमकिन एस.एन., बेल्याकोव ई.वी., ग्रीबनेव एस.वी., कोज़ाचोक वी.आई., सूचनाकरण वस्तुओं की सूचना सुरक्षा के लिए संगठनात्मक समर्थन के बुनियादी सिद्धांत // हेलिओस एआरवी, 2008, 192 पीपी।