Diplomamunkák információbiztonság témakörben (Információs rendszerek biztonsága). Információbiztonsági rendszer A WRC információbiztonsági témakörök listája
Hasonló dokumentumok
Információbiztonsági kérdések relevanciája. Szoftver és hardver a Mineral LLC hálózathoz. A vállalati biztonság és az illetéktelen hozzáférés elleni védelem modelljének kialakítása. Műszaki megoldások az információs rendszer védelmére.
szakdolgozat, hozzáadva: 2015.01.19
Az információs rendszer biztonsága az, hogy képes ellenállni a különféle hatásoknak. A számítógépes fenyegetések típusai, a jogosulatlan hozzáférés fogalma. Vírusok és rosszindulatú programok. Az információs rendszerek védelmének módszerei és eszközei.
absztrakt, hozzáadva: 2010.11.14
Az információbiztonsági fenyegetések osztályozása. Hibák a számítógépes rendszerek, szoftverek és hardverek fejlesztésében. Az információkhoz való jogosulatlan hozzáférés (UNA) fő módszerei. Az NSD elleni védekezési módszerek. Virtuális magánhálózatok.
tanfolyami munka, hozzáadva 2013.11.26
Az információbiztonságot fenyegető külső veszélyek, megnyilvánulási formáik. Az ipari kémkedés elleni védekezés módszerei, eszközei, céljai: versenytársról információszerzés, információ megsemmisítése. A bizalmas információkhoz való jogosulatlan hozzáférés módszerei.
teszt, hozzáadva 2016.09.18
Az információkhoz való jogosulatlan hozzáférés leggyakoribb módjai, kiszivárgásának csatornái. Az információ természetes (vészhelyzeti) és véletlenszerű fenyegetésekkel szembeni védelmének módszerei. A kriptográfia mint az információ védelmének eszköze. Ipari kémkedés.
absztrakt, hozzáadva: 2013.06.04
Az információbiztonság fogalma, jelentése és irányai. Az információbiztonság megszervezésének szisztematikus megközelítése, az információk illetéktelen hozzáféréstől való védelme. Információbiztonsági eszközök. Információbiztonsági módszerek és rendszerek.
absztrakt, hozzáadva: 2011.11.15
Az információbiztonság fogalma és alapelvei. A számítógépes rendszert érő veszélyes hatások főbb típusainak mérlegelése. A számítógépekhez való jogosulatlan hozzáférés csatornáinak osztályozása. Hardveres és szoftveres információbiztonsági eszközök jellemzői.
bemutató, hozzáadva 2011.11.15
Az információbiztonság, annak céljai és célkitűzései. Információszivárgási csatornák. Szoftver és hardver módszerek és eszközök az információk illetéktelen hozzáféréstől való védelmére. A számítógépes létesítményben feldolgozott információk biztonsági fenyegetéseinek modellje.
szakdolgozat, hozzáadva: 2017.02.19
A vállalkozás tevékenységi típusának hatása egy átfogó információbiztonsági rendszer megszervezésére. A védett információk összetétele. A szervezeti információkhoz való jogosulatlan hozzáférés lehetséges csatornái. Az információbiztonsági rendszer hatékonysága.
gyakorlati jelentés, hozzáadva: 2013.10.31
Az információbiztonság kialakulásának és fejlődésének történeti vonatkozásai. Információbiztonsági eszközök és besorolásuk. A számítógépes vírusok típusai és működési elvei. Az információk jogosulatlan hozzáféréssel szembeni védelmének jogalapja.
fókusz (profil) „Információs rendszerek és technológiák”
képzési területek 09.03.02 „Információs rendszerek és technológiák”
tervezés és technológia,
szolgáltatást és működést.
1. A vállalkozás információs infrastruktúrájának virtualizálása (a vállalkozás neve).
2. Linux operációs rendszeren és szabadon terjesztett DBMS-en alapuló vállalati információs rendszerek integrációja.
3. A vállalkozás (vállalkozás neve) vállalati információs rendszerének korszerűsítése, adminisztrációja.
4. A vállalkozás információs hálózatának korszerűsítése, adminisztrációja, karbantartása (a vállalkozás neve).
5. A vállalkozás (folyamat) információs és irányítási rendszerének korszerűsítése (a vállalkozás vagy folyamat neve) és az azt támogató intézkedések kidolgozása.
6. Intranet portál kialakítása a vállalkozás számára (a vállalkozás neve).
7. Vállalati információs hálózat kialakítása (vállalkozás neve).
8. Vállalati információs rendszer tervezése (vállalkozás neve).
9. A vállalkozás vállalati webportáljának fejlesztése, karbantartása (a vállalkozás neve).
10. Automatizált információfeldolgozó rendszer kialakítása a vállalkozás számára (a vállalkozás neve).
11. Vállalati információs rendszer prototípusának fejlesztése folyamatmenedzsmenthez (folyamat vagy objektum neve).
12. Webszolgáltatás fejlesztése a vállalkozás információs rendszeréhez (a vállalkozás neve).
13. Referencia információs rendszer kialakítása a vállalkozás számára (a vállalkozás neve).
14. Vállalati információkezelő rendszer modelljének és tervének kidolgozása (vállalkozás neve).
15. Rendszerkarbantartási technológiai szoftver fejlesztése (rendszer neve).
16. Mikroprocesszoros eszköz szoftverének fejlesztése (eszköz megnevezése).
17. Mobil kliens alkalmazás fejlesztése a vállalkozás információs rendszeréhez (a vállalkozás neve).
18. Szimulációs modell kidolgozása a gyártási folyamat paramétereinek optimalizálására.
19. Virtuális szerverek tervezése eszközök (virtualizációs eszközök megnevezése) és adatátviteli csatornák alapján egy vállalkozás számára (vállalkozás neve).
20. A vállalkozás információs (vállalati információs) rendszerének (a vállalkozás neve) moduljának (alrendszerének) (a megvalósított funkció megnevezése) fejlesztése.
az alkalmazott alapképzés oktatási programjában
képzési területek 03/09/04 “Szoftvermérnökség”
termelési és technológiai,
szervezeti és vezetői,
szolgáltatást és működést.
1. Weboldal, közösségi hálózat, portál elemzésére szolgáló alkalmazás fejlesztése.
2. Információs (információs és referencia) rendszer tervezése és szoftveres megvalósítása (a rendszer célja vagy funkciója).
3. Firmware fejlesztése az eszközhöz (az eszköz neve).
4. Alkalmazási szoftver fejlesztése a rendszerhez (a rendszer neve).
5. Szoftver információs rendszer fejlesztése (a felhasználási terület vagy a megvalósítás alatt álló folyamat neve).
6. Szoftverek tesztelésének és hibakeresésének módszereinek kidolgozása (szoftver neve).
7. Szoftvermodul fejlesztése (a modul neve) az 1C: Enterprise rendszerhez (a vállalkozás neve).
8. Vállalati információkezelő rendszer webszolgáltatásának fejlesztése (a vállalkozás neve).
9. Információmérő rendszert támogató alkalmazás fejlesztése (a rendszer célja).
10. Az 1C:Enterprise rendszer webszolgáltatásainak információbiztonsági vizsgálata.
11. A vállalkozás információs (vállalati információs) rendszerének (a vállalkozás neve) moduljának (alrendszerének) (a megvalósított funkció megnevezése) fejlesztése.
12. Szerver (kliens) szoftver fejlesztése a rendszerhez (a rendszer neve).
A végső minősítő munkák témái
az alkalmazott alapképzés oktatási programjában
fókusz (profil) „Információs szolgáltatás”
:szolgáltatás,
1. A vállalkozás helyi hálózatának korszerűsítése, adminisztrációja és karbantartása (a vállalkozás neve).
2. Vállalati információs rendszer korszerűsítése és adminisztrációja (a vállalkozás neve).
3. Vállalati információs rendszer kialakítása (vállalkozás neve).
4. Vállalkozás (vállalkozás neve) helyi hálózatának működtetéséhez szükséges technológia tervezése és fejlesztése.
5. A vállalkozás információs rendszerének hardveres és szoftveres védelmének tervezése (a vállalkozás neve).
6. A készülék diagnosztikájának, javításának, karbantartásának technológiai fejlesztése (készülék megnevezése, eszközcsoport, mérőberendezés, számítógép egység, számítógép vagy mikroprocesszoros rendszer, helyi hálózat).
7. A cég weboldalának fejlesztése és adminisztrációja (a cég neve).
8. A vállalkozás adatátviteli hálózatának szerverkonfigurációjának kialakítása (vállalkozás neve).
9. Vállalati információs rendszer adatbázisának fejlesztése, adminisztrációja (vállalkozás neve).
10. Intranet portál kialakítása a vállalkozás számára (a vállalkozás neve).
11. Az 1C:Enterprise platformon a termelési folyamatok figyelésére szolgáló alrendszer fejlesztése.
12. Projekt kidolgozása a vállalkozás elosztott információs rendszeréhez (a rendszer neve) (a vállalkozás neve).
13. Információs és referencia könyvelési rendszer kialakítása (a könyvelési objektum neve).
14. WCF szolgáltatás fejlesztése vállalati információs rendszerhez.
15. Vállalati információs rendszer modelljének kidolgozása (a vállalkozás neve vagy tevékenységi területe).
16. Szoftver tesztelési és hibakereső módszereinek kidolgozása (szoftver megnevezése).
17. Szoftver információs rendszer adminisztrációját és karbantartását szolgáló intézkedéscsomag kidolgozása (a felhasználási terület vagy a megvalósítás alatt álló folyamat megnevezése).
18. Az adatátviteli rendszer modellezése, kutatása (rendszer megnevezése).
19. Elosztott információs rendszer paramétereinek kutatása és optimalizálása 1C:Enterprise platformon.
20. Elektronikus (számítógépes) berendezések javítására, karbantartására a vállalkozás (a vállalkozás neve) részlegének tervezése és a műszaki berendezések üzemeltetésének megszervezése.
21. Eszközök (virtualizációs eszközök neve) és adatátviteli csatornák alapján virtuális szerverek tervezése vállalkozás számára (vállalkozás neve).
22. Szerver (kliens) szoftver fejlesztése a rendszerhez (rendszer neve).
A végső minősítő munkák témái
az alkalmazott alapképzés oktatási programjában
irányíthatóság (profil) "Elektronikus berendezések szervize"
képzési területek 03.43.01 „Szolgáltatás”
A szakmai tevékenység típusai:szolgáltatás,
termelési és technológiai.
1. A készülék diagnosztikájának, javításának és karbantartásának technológiai fejlesztése (elektronikus eszköz, mikroprocesszor vagy távközlési rendszer, mérőberendezés, adatátviteli hálózat megnevezése).
2. A vállalkozás elektronikus rendszerének (rendszer megnevezése) fejlesztése (vállalkozás neve, bevásárló- és irodaközpont, szórakoztató komplexum).
3. Információ beviteli/kiadó eszköz kidolgozása (az eszköz neve).
4. Mikroprocesszoros eszköz szoftverének fejlesztése (eszköz neve).
5. Vállalati távközlési hálózat fejlesztése (vállalkozás neve).
6. Digitális eszköz (modul) fejlesztése (eszköz, modul neve; megvalósítandó funkció neve).
7. Elektronikus berendezések tápegységének fejlesztése (berendezés megnevezése).
8. Objektumok (objektumok neve) megfigyelésére (paramétereinek ellenőrzésére) szolgáló technológia fejlesztése.
9. Vezeték nélküli szenzor fejlesztése, kutatása (a mért paraméter neve).
10. Elektronikus (számítógépes) berendezések javítására, karbantartására a vállalkozás (a vállalkozás neve) részlegének tervezése és a műszaki berendezések üzemeltetésének megszervezése.
11. Integrált biztonsági rendszer alrendszerének (alrendszer neve) fejlesztése a vállalkozás számára (a vállalkozás neve).
A végső minősítő munkák témái
az alkalmazott alapképzés oktatási programjában
irányíthatóság (profil) „Rádiótechnikai eszközök a jelek továbbítására, fogadására és feldolgozására”
képzési területek 03/11/01 „Rádiótechnika”
tervezés és mérnöki munka,
szolgáltatást és működést.
1. Eszköz (blokk, modul; vevő, adó, adó-vevő) rendszer fejlesztése (rendszer megnevezése).
2. Vezeték nélküli interfész fejlesztése elektronikus berendezésekhez (berendezés megnevezése).
3. Az eszköz virtuális modelljének tanulmányozása (adja meg az eszköz típusát) a környezetben (a szoftverkörnyezet neve).
4. Integrált vállalati biztonsági rendszer alrendszerének (az alrendszer neve) fejlesztése (a vállalkozás neve.
A végső minősítő munkák témái
az alkalmazott alapképzés oktatási programjában
irányíthatóság (profil) "Mobil kommunikációs rendszerek"
képzési területek 11.03.02 „Infokommunikációs technológiák és kommunikációs rendszerek”
A szakmai tevékenység típusai:tervezés
1. Telekommunikációs hálózat tervezése egy vállalkozás számára (vállalkozás neve).
2. A vállalkozás (a vállalkozás neve) távközlési hálózatának adminisztrációja, karbantartása.
3. Digitális távközlési rendszer blokkjának (kodek, vocoder, szinkronizáló eszköz, illesztő eszköz) fejlesztése.
4. Vezeték nélküli interfész adapter fejlesztése (interfészek neve).
5. Információfeldolgozó eszköz (eszköztípus) rendszer (rendszernév) fejlesztése.
6. Rendszerek összekapcsolására szolgáló eszköz fejlesztése (rendszerek megnevezése).
7. Rendszervezérlő fejlesztése (rendszernév).
8. Távközlési rendszer szinkronizációs eszközének fejlesztése (rendszer megnevezése).
9. Távközlési berendezések tesztelésére szolgáló technológiai eszköz fejlesztése (berendezés megnevezése).
10. Technológián alapuló vezeték nélküli kommunikációs hálózat (hálózati szegmens) fejlesztése (technológia megnevezése).
11. Objektumparaméterek távfelügyeleti technológia fejlesztése (paraméterek neve).
12. Objektum állapotának figyelésére szolgáló szenzorhálózat kialakítása (objektum neve).
13. Távközlési eszköz (eszköz, rendszer, hálózat, környezet) diagnosztikai és paramétermérési technológia fejlesztése.
14. Adó-vevő készülék fejlesztése a rendszerhez (rendszer neve).
15. Távközlési eszközök fejlesztése tárgy (objektum neve) távvezérlésére.
16. Távközlési berendezések alkatrészeinek paramétermérőjének fejlesztése (alkatrészek megnevezése).
17. Vezeték nélküli információbeviteli/kimeneti eszköz fejlesztése (eszköz neve).
18. Infokommunikációs technológia hardver és szoftver fejlesztése (technológia megnevezése).
19. Információátviteli protokollok tanulmányozása a rendszerben (a rendszer neve).
20. A rendszer digitális jelfeldolgozási módszereinek kutatása (rendszer neve).
21. Infokommunikációs technológia és létesítménygazdálkodási rendszer fejlesztése (létesítmény megnevezése).
22. Vezeték nélküli rendszer fejlesztése paraméter mérésére (paraméter neve).
23. Virtuális szerverek tervezése eszközök (virtualizációs eszközök megnevezése) és adatátviteli csatornák alapján egy vállalkozás számára (vállalkozás neve).
A végső minősítő munkák témái
középfokú szakképzés oktatási programja szerint
szakterület 09.02.01 „Számítógépes rendszerek és komplexek”
Szakmai modulok:PM.01 Digitális eszközök tervezése,
PM.02 Mikroprocesszoros rendszerek alkalmazása, perifériás képzés telepítése és konfigurálása,
PM.03 Számítógépes rendszerek és komplexumok karbantartása és javítása.
1. Hibadiagnosztika és berendezések műszaki állapotának ellenőrzése (számítástechnikai vagy számítógépes hálózat hardverének és szoftverének megnevezése).
2. Eszközök összeállítása, konfigurálása és beállítása (számítógépes hardver és szoftver vagy számítógépes hálózat neve).
3. A vállalkozás számítógépes hálózatának információbiztonságát biztosító intézkedéscsomag kidolgozása (a vállalkozás neve).
4. Érintés nélküli azonosító rendszer kialakítása a vállalkozás számára (a vállalkozás neve).
5. Vállalati információs rendszer karbantartása és adminisztrációja (a vállalkozás neve).
6. A vállalkozás számítógépes hálózatának karbantartása, adminisztrációja (a vállalkozás neve).
7. Hardver és szoftver karbantartása és támogatása (számítógépes hardver vagy számítógépes hálózat neve).
8. Szoftver telepítése, adaptálása és karbantartása (szoftver megnevezése).
9. Digitális (mikroprocesszoros) eszköz (modul) fejlesztése, kutatása (eszköz, modul neve).
10. Tesztelési technológia fejlesztése és szoftverek átfogó hibakeresése (szoftver neve).
Végzettek záró minősítő munkáinak témái
fókusz (profil) „Számítástechnika és információs rendszerek elemei és eszközei”
képzési területek 09.04.01 “Informatika és számítástechnika”
A szakmai tevékenység típusai:tervezés,
tudományos kutatás.
1. Hálózati protokollok modellezése és kutatása információátvitelhez (az információ típusa feltüntetve).
2. Számítógépes módszerek kutatása és fejlesztése a rendszerparaméterek javítására (a paraméterek vagy paraméterek és a rendszer típusa meg van jelölve).
3. Információs vagy telekommunikációs rendszerek számítógépes modellezése, kutatása és optimalizálása (a rendszerek osztálya feltüntetve).
4. Vezeték nélküli szenzorhálózatok felépítésének kutatása és optimalizálása.
5. Vezeték nélküli Internet of Things hálózatok felépítésének kutatása és elemzése.
6. Hatékonysági kritériumok kidolgozása és a virtuális gépek felhő infrastruktúrán belüli elosztásának tanulmányozása.
7. Elosztott információs (vagy információmérő) rendszerek fejlesztése, kutatása és hatékonyságának értékelése (az alkalmazási terület vagy a rendszerek típusa meg van jelölve).
8. Berendezések vezeték nélküli interfészének fejlesztése, kutatása (berendezés megnevezése).
9. Tárgykövető eszköz fejlesztése, kutatása (objektumok megnevezése).
10. Objektum állapotának figyelésére szolgáló eszközök fejlesztése, kutatása (objektum neve).
11. Eszközök hardveres és szoftveres diagnosztikai eszközeinek fejlesztése (eszközök megnevezése).
12. Vezeték nélküli szenzor fejlesztése, kutatása (mért paraméter neve).
13. Korrekciós algoritmusok tanulmányozása egy paraméter (paraméternév) kódká konvertálóihoz.
14. Létesítménygazdálkodási rendszer (a létesítmény neve) paramétereinek figyelésére szolgáló algoritmusok és szoftverek fejlesztése.
15. Vezeték nélküli vezérlő eszközök fejlesztése, kutatása az objektumhoz (az objektum neve).
16. Paraméter-átalakítók modellezése, kutatása (paraméterek megnevezése).
17. A szoftver minőségének értékelési módszerei (a szoftver rendeltetése feltüntetve).
18. Eszközök működésének tanulmányozása (az eszközök megnevezése) körülmények között (a feltételek feltüntetve) a jellemzők javítása érdekében (jellemzők feltüntetve).
19. Eszközök elemzésére és szintézisére szolgáló módszerek kidolgozása (az eszközök neve) a jellemzők javítása érdekében (jellemzők feltüntetve).
A végső minősítő munkák témái
az akadémiai mesterképzésben
fókusz (profil) „Szoftver- és információs rendszerek fejlesztése”
képzési területek 09.04.04 “Szoftvermérnökség”
kutatás,
tervezés
1. REST szolgáltatás fejlesztése és kutatása felsőoktatási intézményekben órarend megjelenítésére.
2. Szoftvertesztelő eszközök kutatása és fejlesztése mobilszolgáltatók számára.
3. Az ember élettani állapotának felismerése a véletlenszerű szerkezetű rendszerek elmélete alapján.
4. Értékesítés automatizálási információs rendszer (vállalkozás neve) tervezése MDA megközelítés alapján.
5. Szoftverek minőségét értékelő szoftver információs rendszer fejlesztése, kutatása (a szoftver neve feltüntetve).
6. Elosztott szoftverek és információs rendszerek fejlesztése (a rendszer alkalmazási köre megjelölve) és optimalizálási lehetőségeinek kutatása hatékonysági kritériumok alapján (a kritériumok feltüntetve).
7. A rendszer bemeneti/kimeneti eszközeit támogató szoftver fejlesztése (a rendszer neve).
8. A szoftver információs rendszer elemeinek biztonságának tanulmányozása (a rendszer megnevezése).
Bevezetés
1. fejezet Az örökbefogadás és az információbiztonság elméleti vonatkozásai
1.1Az információbiztonság fogalma 3 Információbiztonsági módszerek 2. fejezet Az információbiztonsági rendszer elemzése 1 A társaság tevékenységi köre és pénzügyi mutatók elemzése 2 A cég információbiztonsági rendszerének leírása 3 Intézkedéscsomag kidolgozása a meglévő információbiztonsági rendszer korszerűsítésére Következtetés Bibliográfia Alkalmazás 1. melléklet 2010. évi mérleg 1. melléklet 2010. évi mérleg Bevezetés Az értekezés témájának relevanciáját az információbiztonsági problémák megnövekedett mértéke határozza meg, még az adatvédelmi technológiák és eszközök rohamos növekedése mellett is. A vállalati információs rendszerek 100%-os védelmét az adatvédelmi feladatok helyes prioritása mellett nem lehet biztosítani, tekintettel az információtechnológiára szánt költségvetés korlátozott részarányára. A számítástechnikai és hálózati vállalati infrastruktúra megbízható védelme minden vállalat számára alapvető információbiztonsági feladat. A vállalkozás üzleti tevékenységének növekedésével és a földrajzilag elosztott szervezetté való átállással kezd túllépni egyetlen épület határain. Az informatikai infrastruktúra és a vállalati alkalmazási rendszerek hatékony védelme ma lehetetlen a modern hálózati hozzáférés-vezérlési technológiák bevezetése nélkül. Az értékes üzleti információkat tartalmazó médiák ellopásának szaporodása egyre inkább kényszeríti a szervezeti intézkedéseket. Ennek a munkának a célja a szervezetben meglévő információbiztonsági rendszer értékelése és annak javítására irányuló intézkedések kidolgozása lesz. Ez a cél határozza meg a dolgozat következő céljait: ) mérlegelje az információbiztonság fogalmát; ) mérlegelje az információs rendszereket fenyegető lehetséges fenyegetések típusait és a szervezeten belüli információszivárgás lehetséges fenyegetései elleni védelem lehetőségeit. ) azonosítsa azon információforrások listáját, amelyek integritásának vagy titkosságának megsértése a legnagyobb kárt okozza a vállalkozásnak; ) ezek alapján dolgozzon ki egy intézkedéscsomagot a meglévő információbiztonsági rendszer javítására. A munka egy bevezetőből, két fejezetből, egy következtetésből, a felhasznált források és alkalmazások listájából áll. A bevezetés alátámasztja a kutatási téma relevanciáját, megfogalmazza a munka célját és célkitűzéseit. Az első fejezet a szervezet információbiztonsági koncepcióinak elméleti vonatkozásait tárgyalja. A második fejezet röviden ismerteti a vállalat tevékenységét, a legfontosabb teljesítménymutatókat, ismerteti az információbiztonsági rendszer jelenlegi állapotát és javaslatokat tesz annak javítására. Összegzésként megfogalmazásra kerülnek a munka főbb eredményei és következtetései. Az értekezés módszertani és elméleti alapját hazai és külföldi információbiztonsági szakértők munkái képezték, az értekezés során olyan információk kerültek felhasználásra, amelyek tükrözték a törvények, jogszabályok és rendeletek, a Korm. rendeletek tartalmát. az Orosz Föderáció információbiztonságot szabályozó nemzetközi információbiztonsági szabványok . Az értekezés kutatásának elméleti jelentősége az integrált megközelítés megvalósításában rejlik az információbiztonsági politika kialakítása során. A munka gyakorlati jelentőségét az határozza meg, hogy eredményei az információbiztonsági politika hozzáértő megtervezésével lehetővé teszik az információvédelem szintjének növelését egy vállalkozásban. 1. fejezet Az örökbefogadás és az információbiztonság elméleti vonatkozásai 1.1 Az információbiztonság fogalma Az információbiztonság az információ és az azt támogató infrastruktúra biztonságát jelenti minden olyan véletlen vagy rosszindulatú befolyás ellen, amely magának az információnak, tulajdonosainak vagy a támogató infrastruktúrának a károsodását eredményezheti. Az információbiztonság célja a károk minimalizálása, valamint az ilyen hatások előrejelzése és megelőzése. A védelemre szoruló információs rendszerek paraméterei a következő kategóriákba sorolhatók: az információs erőforrások integritásának, elérhetőségének és titkosságának biztosítása. az akadálymentesítés a szükséges információszolgáltatás rövid időn belüli megszerzésének képessége; az integritás az információ relevanciája és következetessége, védelme a megsemmisüléssel és a jogosulatlan változtatásokkal szemben; titoktartás - védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információs rendszereket elsősorban bizonyos információs szolgáltatások eléréséhez hozzák létre. Ha az információszerzés bármilyen okból lehetetlenné válik, az az információs kapcsolatok minden alanyában kárt okoz. Ebből megállapíthatjuk, hogy az információ elérhetősége az első. Az integritás az információbiztonság fő szempontja, amikor a pontosság és az igazságosság az információ fő paraméterei. Például orvosi gyógyszerek receptjei vagy az összetevők készlete és jellemzői. Az információbiztonság legfejlettebb eleme hazánkban a titoktartás. A modern információs rendszerek titkosságát biztosító intézkedések gyakorlati végrehajtása azonban nagy nehézségekbe ütközik Oroszországban. Először is, az információszivárgás technikai csatornáira vonatkozó információk le vannak zárva, így a legtöbb felhasználó nem tud képet alkotni a lehetséges kockázatokról. Másodszor, számos jogszabályi akadály és technikai kihívás áll az egyéni kriptográfia mint a magánélet védelmének elsődleges eszköze útjában. Az információs rendszerben kárt okozó tevékenységek több kategóriába sorolhatók. adatok célzott ellopása vagy megsemmisítése munkaállomáson vagy szerveren; A felhasználó által okozott adatsérülés gondatlan cselekedetei következtében. . Hackerek által végrehajtott "elektronikus" befolyásolási módszerek. Hackerek alatt azokat az embereket értjük, akik szakmailag (beleértve a versenyt) és pusztán kíváncsiságból számítógépes bűncselekményeket követnek el. Ezek a módszerek a következők: illetéktelen belépés számítógépes hálózatokba; A vállalati hálózatba kívülről történő jogosulatlan belépés célja lehet károkozás (adatmegsemmisítés), bizalmas információk ellopása és illegális célokra történő felhasználása, a hálózati infrastruktúra használata harmadik felek csomópontjai elleni támadások szervezésére, pénzeszközök ellopása számlákról. stb. A DOS-támadás (rövidítve Denial of Service) a biztonságos és hatékony működéséért felelős vállalati hálózati csomópontok (fájl-, levelezőszerverek) elleni külső támadás. A támadók tömeges adatcsomagokat küldenek ezekre a csomópontokra, hogy túlterheljék őket, és ennek eredményeként egy időre leállítsák őket. Ez általában az áldozat cég üzleti folyamatainak megszakításával, ügyfelek elvesztésével, jó hírnév károsodásával stb. Számítógépes vírusok. Az elektronikus befolyásolási módszerek külön kategóriáját képezik a számítógépes vírusok és egyéb rosszindulatú programok. Valós veszélyt jelentenek a modern vállalkozások számára, amelyek széles körben használják a számítógépes hálózatokat, az internetet és az e-mailt. A vírus behatolása a vállalati hálózati csomópontokba működési zavarokhoz, munkaidő-kieséshez, adatvesztéshez, bizalmas információk ellopásához, sőt pénzügyi források közvetlen ellopásához is vezethet. A vállalati hálózatba behatolt vírusprogram részleges vagy teljes ellenőrzést adhat a támadóknak a vállalat tevékenységei felett. Levélszemét. Csupán néhány év alatt a spam egy kisebb irritációból az egyik legsúlyosabb biztonsági fenyegetéssé nőtte ki magát: az e-mail a közelmúltban a rosszindulatú programok terjedésének fő csatornája; a spamek sok időt vesz igénybe az üzenetek megtekintése és későbbi törlése, ami pszichológiai kényelmetlenséget okoz az alkalmazottaknak; magánszemélyek és szervezetek egyaránt a kéretlen levelezők által végrehajtott csaló programok áldozataivá válnak (az áldozatok gyakran megpróbálják nem közölni az ilyen eseményeket); a fontos levelezés gyakran törlődik a spammel együtt, ami ügyfelek elvesztéséhez, szerződésszegéshez és egyéb kellemetlen következményekhez vezethet; A levelezés elvesztésének veszélye különösen megnő, ha RBL feketelistákat és más „durva” spamszűrési módszereket használunk. "Természetes" fenyegetések. Egy vállalat információbiztonságát számos külső tényező befolyásolhatja: adatvesztést okozhat a nem megfelelő tárolás, számítógépek és adathordozók ellopása, vis maior stb. Az információbiztonsági irányítási rendszer (ISMS vagy Information Security Management System) lehetővé teszi olyan intézkedések halmazának kezelését, amelyek egy bizonyos tervezett stratégiát valósítanak meg, ebben az esetben az információbiztonsággal kapcsolatban. Vegyük észre, hogy nem csak egy meglévő rendszer kezeléséről beszélünk, hanem egy új felépítéséről/régi áttervezéséről is. Az intézkedéscsomag szervezési, technikai, fizikai és egyebeket tartalmaz. Az információbiztonság menedzsment egy összetett folyamat, amely lehetővé teszi a leghatékonyabb és legátfogóbb információbiztonsági menedzsment megvalósítását egy vállalaton belül. Az információbiztonság-menedzsment célja az információk titkosságának, integritásának és elérhetőségének megőrzése. A kérdés csak az, hogy milyen információkat kell védeni, és milyen erőfeszítéseket kell tenni a biztonságuk érdekében. Minden irányítás azon a helyzeten alapul, amelyben előfordul. A kockázatelemzés szempontjából a helyzettudat a szervezet eszközeinek és környezetének számbavételében, felmérésében fejeződik ki, vagyis mindaz, ami az üzleti tevékenység végzését biztosítja. Az információbiztonsági kockázatelemzés szempontjából a fő eszköz az információ, az infrastruktúra, a személyzet, a vállalat imázsa és hírneve. Az üzleti tevékenység szintű vagyonleltár nélkül lehetetlen válaszolni arra a kérdésre, hogy pontosan mit kell védeni. Fontos megérteni, hogy egy szervezeten belül milyen információkat dolgoznak fel, és hol dolgozzák fel azokat. Egy nagy modern szervezetben az információs eszközök száma nagyon nagy lehet. Ha egy szervezet tevékenységét ERP rendszerrel automatizálják, akkor azt mondhatjuk, hogy szinte minden anyagi objektum, amelyet ebben a tevékenységben használunk, megfelel valamilyen információs objektumnak. Ezért a kockázatkezelés elsődleges feladata a legjelentősebb eszközök azonosítása. Ezt a problémát lehetetlen megoldani a szervezet fő tevékenységét végző vezetők bevonása nélkül, mind közép-, mind felsőbb szinten. Az optimális helyzet az, ha a szervezet felső vezetése személyesen határozza meg a legkritikusabb tevékenységi területeket, amelyeknél kiemelten fontos az információbiztonság biztosítása. A felső vezetés véleménye az információbiztonság prioritásairól nagyon fontos és értékes a kockázatelemzési folyamatban, de mindenképpen tisztázni kell a vagyon kritikusságáról a vállalatvezetés átlagos szintjén történő információgyűjtéssel. Ugyanakkor célszerű a további elemzéseket pontosan a felső vezetés által kijelölt üzleti tevékenységi területeken végezni. A kapott információkat feldolgozzák, összesítik és továbbítják a felső vezetésnek a helyzet átfogó értékelése érdekében. Az információ azonosítható és lokalizálható az üzleti folyamatok leírása alapján, amelyekben az információt az erőforrások egyik típusának tekintik. A feladat némileg leegyszerűsödik, ha a szervezet az üzleti tevékenységek szabályozására vonatkozó megközelítést alkalmaz (például a minőségirányítás és az üzleti folyamatok optimalizálása céljából). Az üzleti folyamatok formalizált leírása jó kiindulópont az eszközleltárhoz. Ha nincsenek leírások, akkor a szervezet alkalmazottaitól kapott információk alapján azonosíthatja az eszközöket. Az eszközök azonosítása után meg kell határozni azok értékét. Az információs eszközök értékének meghatározása a szervezet egészében a legjelentősebb és legösszetettebb feladat. Az információs vagyon felmérése teszi lehetővé az információbiztonsági osztály vezetőjének, hogy megválassza az információbiztonságot szolgáló fő tevékenységi területeket. Az információbiztonsági menedzsment folyamatának gazdasági hatékonysága azonban nagymértékben függ attól, hogy tisztában vagyunk-e azzal, hogy mit kell védeni, és ez milyen erőfeszítéseket tesz szükségessé, mivel a legtöbb esetben a ráfordított erőfeszítések mértéke egyenesen arányos a ráfordított pénz mennyiségével és a működési kiadásokkal. A kockázatkezelés lehetővé teszi, hogy válaszoljon arra a kérdésre, hogy hol vállalhat kockázatot és hol nem. Az információbiztonság esetében a „kockázat” azt jelenti, hogy egy adott területen nem lehet jelentős erőfeszítéseket tenni az információs vagyon védelmére, ugyanakkor a biztonság megsértése esetén a szervezet nem szenved kárt. jelentős veszteségek. Itt analógiát vonhatunk az automatizált rendszerek védelmi osztályaival: minél jelentősebbek a kockázatok, annál szigorúbbak a védelmi követelmények. A biztonság megsértése következményeinek meghatározásához vagy információval kell rendelkeznie a hasonló jellegű rögzített incidensekről, vagy forgatókönyv-elemzést kell végeznie. A forgatókönyv-elemzés megvizsgálja az eszközbiztonsági események közötti ok-okozati összefüggéseket, valamint ezen eseményeknek a szervezet üzleti tevékenységére gyakorolt következményeit. A forgatókönyvek következményeit több embernek kell felmérnie, iteratívan vagy megfontoltan. Meg kell jegyezni, hogy az ilyen forgatókönyvek kidolgozása és értékelése nem választható el teljesen a valóságtól. Mindig emlékeznie kell arra, hogy a forgatókönyvnek valószínűnek kell lennie. Az értékmeghatározás kritériumai és skálái szervezetenként egyediek. A forgatókönyv-elemzés eredményei alapján információ nyerhető az eszközök értékéről. Ha a vagyontárgyakat azonosítjuk és értéküket meghatározzuk, akkor azt mondhatjuk, hogy az információbiztonság nyújtásának céljai részben meghatározottak: meghatározásra kerülnek a védelem tárgyai és azok információbiztonsági állapotában tartásuk fontossága a szervezet számára. Talán már csak azt kell meghatározni, hogy kitől kell védeni. Az információbiztonság menedzsment céljainak meghatározása után elemezni kell azokat a problémákat, amelyek akadályozzák a célállapot elérését. Ezen a szinten a kockázatelemzési folyamat az információs infrastruktúrára és a hagyományos információbiztonsági koncepciókra – behatolókra, fenyegetésekre és sebezhetőségekre – ereszkedik le. A kockázatok felméréséhez nem elegendő egy szabványos szabálysértői modell bevezetése, amely az összes szabálysértőt az eszközhöz való hozzáférés típusa és a vagyonszerkezet ismerete alapján osztja fel. Ez a felosztás segít meghatározni, hogy milyen fenyegetések irányulhatnak egy eszközre, de nem ad választ arra a kérdésre, hogy ezek a fenyegetések elvileg megvalósíthatók-e. A kockázatelemzés során fel kell mérni a szabálysértők motivációját a fenyegetések végrehajtásában. A jogsértő ebben az esetben nem egy absztrakt külső hackert vagy bennfenteset jelent, hanem egy vagyontárgy biztonságának megsértésével előnyök megszerzésében érdekelt felet. Az elkövető modelljéről, mint az információbiztonsági tevékenység kezdeti irányainak megválasztásakor, a kezdeti információkat célszerű olyan felső vezetéstől szerezni, aki tisztában van a szervezet piaci helyzetével, információval rendelkezik a versenytársakról és a befolyásolási módokról. várható tőlük. A behatoló modelljének kidolgozásához szükséges információk beszerezhetők a számítógépes biztonság megsértésére vonatkozó speciális kutatásokból is azon az üzleti területen, amelyre vonatkozóan a kockázatelemzést végzik. A megfelelően kidolgozott behatoló modell kiegészíti a szervezet eszközeinek felmérése során meghatározott információbiztonsági célokat. A fenyegetési modell kidolgozása és a sebezhetőségek azonosítása elválaszthatatlanul összefügg a szervezet információs eszközeinek környezeti leltárával. Magát az információt nem tárolják és nem dolgozzák fel. A hozzáférést a szervezet üzleti folyamatait automatizáló információs infrastruktúra segítségével biztosítják. Fontos megérteni, hogy egy szervezet információs infrastruktúrája és információs eszközei hogyan kapcsolódnak egymáshoz. Az információbiztonság menedzsment szempontjából az információs infrastruktúra fontossága csak az információs eszközök és az infrastruktúra kapcsolatának meghatározása után állapítható meg. Ha egy szervezetben az információs infrastruktúra karbantartásának és működtetésének folyamatai szabályozottak és átláthatóak, akkor a fenyegetések azonosításához és a sebezhetőségek felméréséhez szükséges információk gyűjtése jelentősen leegyszerűsödik. A fenyegetettségi modell kidolgozása olyan információbiztonsági szakemberek feladata, akik jól ismerik azt, hogy a támadók miként juthatnak jogosulatlan információkhoz a biztonsági határ megsértésével vagy social engineering módszerekkel. A fenyegetettségi modell kidolgozásakor forgatókönyvekről is beszélhetünk, mint egymást követő lépésekről, amelyek szerint a fenyegetések megvalósulhatnak. Nagyon ritkán fordul elő, hogy a fenyegetések egy lépésben valósuljanak meg a rendszer egyetlen sebezhető pontjának kihasználásával. A fenyegetésmodellnek tartalmaznia kell minden olyan fenyegetést, amelyet a kapcsolódó információbiztonság-kezelési folyamatok, például a sebezhetőség és az incidenskezelés során azonosítottak. Nem szabad megfeledkezni arról, hogy a fenyegetéseket egymáshoz képest rangsorolni kell a megvalósításuk valószínűsége szerint. Ehhez az egyes fenyegetésekre vonatkozó fenyegetésmodell kialakítása során meg kell jelölni azokat a legjelentősebb tényezőket, amelyek megléte befolyásolja annak megvalósulását. A biztonsági politika a szervezet információs rendszerében valósnak elismert kockázatok elemzésén alapul. A kockázatok elemzése és a védelmi stratégia meghatározása után információbiztonsági program készül. Ehhez a programhoz forrásokat rendelnek, felelősöket jelölnek ki, meghatározzák a program végrehajtásának ellenőrzési eljárását stb. Tágabb értelemben a biztonsági politikát a szervezet biztonságát biztosító, dokumentált vezetői döntések rendszereként határozzuk meg. Szűk értelemben a biztonsági politika általában egy helyi szabályozási dokumentum, amely meghatározza a biztonsági követelményeket, intézkedési rendszert vagy eljárást, valamint a szervezet alkalmazottainak felelősségét és ellenőrzési mechanizmusait egy bizonyos biztonsági területre vonatkozóan. Mielőtt nekilátnánk magának az információbiztonsági politikának a megfogalmazásában, meg kell értenünk azokat az alapfogalmakat, amelyekkel működni fogunk. Információ - információk (üzenetek, adatok) megjelenésük formájától függetlenül. Az információk bizalmas kezelése kötelező feltétele annak, aki bizonyos információkhoz hozzájutott, hogy ezeket az információkat a tulajdonos beleegyezése nélkül ne adja át harmadik félnek. Az információbiztonság (IS) a társadalom információs környezetének biztonsági állapota, amely biztosítja annak kialakulását, felhasználását és fejlesztését az állampolgárok, szervezetek és államok érdekében. Az „információ” fogalmát ma meglehetősen széles körben és sokoldalúan használják. Az információbiztonság biztosítása nem lehet egyszeri intézkedés. Ez egy folyamatos folyamat, amely a biztonsági rendszer legracionálisabb módszereinek, módszereinek és módozatainak igazolásából és megvalósításából, állapotának folyamatos nyomon követéséből, gyenge pontjainak és jogellenes cselekedeteinek feltárásából áll. Az információbiztonság csak a rendelkezésre álló biztonsági eszközök teljes körének integrált felhasználásával biztosítható a termelési rendszer minden szerkezeti elemében és az információfeldolgozás technológiai ciklusának minden szakaszában. A legnagyobb hatás akkor érhető el, ha az összes használt eszközt, módszert és intézkedést egyetlen integrált mechanizmusban - információbiztonsági rendszerben - egyesítik. Ugyanakkor a rendszer működését figyelemmel kell kísérni, frissíteni, kiegészíteni a külső és belső körülmények változásaitól függően. A GOST R ISO/IEC 15408:2005 szabvány szerint a következő típusú biztonsági követelmények különböztethetők meg: funkcionális, a védelem aktív aspektusának megfelelő, a biztonsági funkciókkal szemben támasztott követelmények és az azokat megvalósító mechanizmusok; a technológiára és a fejlesztési és üzemeltetési folyamatra rótt passzív szempontnak megfelelő bizalmi követelmények. Nagyon fontos, hogy ebben a szabványban a biztonságot ne statikusan, hanem a vizsgált tárgy életciklusához viszonyítva vegyék figyelembe. A következő szakaszokat különböztetjük meg: a cél, a felhasználás feltételei, a célok és a biztonsági követelmények meghatározása; tervezés és fejlesztés; tesztelés, értékelés és tanúsítás; megvalósítása és működtetése. Tehát nézzük meg közelebbről a funkcionális biztonsági követelményeket. Tartalmazzák: felhasználói adatok védelme; a biztonsági funkciók védelme (a követelmények e biztonsági szolgáltatások és az azokat megvalósító mechanizmusok integritására és ellenőrzésére vonatkoznak); biztonságkezelés (ennek az osztálynak a követelményei a biztonsági attribútumok és paraméterek kezelésére vonatkoznak); biztonsági audit (a vizsgált objektum biztonságát befolyásoló adatok azonosítása, nyilvántartása, tárolása, elemzése, esetleges biztonsági megsértésre való reagálás); magánélet védelme (a felhasználó védelme azonosító adatainak nyilvánosságra hozatalától és jogosulatlan felhasználásától); az erőforrások felhasználása (az információ elérhetőségének követelményei); kommunikáció (adatcserében részt vevő felek hitelesítése); megbízható útvonal/csatorna (a biztonsági szolgálatokkal való kommunikációhoz). E követelményeknek megfelelően szükséges a szervezet információbiztonsági rendszerének kialakítása. A szervezet információbiztonsági rendszere a következő területeket foglalja magában: szabályozó; szervezeti (adminisztratív); műszaki; szoftver; Ahhoz, hogy a vállalat helyzetét a biztonság minden területén teljes körűen felmérhessük, olyan információbiztonsági koncepciót kell kidolgozni, amely szisztematikus megközelítést ad az információs erőforrások biztonságának problémájára, és szisztematikusan megfogalmazza a célokat, célkitűzéseket, tervezési elveket és a vállalat információbiztonságát biztosító intézkedések összessége. A vállalati hálózatmenedzsment rendszernek a következő elveken (feladatokon) kell alapulnia: a vállalkozás meglévő információs infrastruktúrájának védelme a behatolókkal szemben; feltételek biztosítása az esetleges károk lokalizálásához és minimalizálásához; a fenyegetésforrások megjelenésének kiküszöbölése a kezdeti szakaszban; az információk védelmének biztosítása a felmerülő fenyegetések három fő típusával szemben (elérhetőség, integritás, titkosság); A fenti problémák megoldását úgy érjük el; a felhasználói műveletek szabályozása az információs rendszerrel végzett munka során; a felhasználói műveletek szabályozása az adatbázissal való munka során; egységes követelmények a hardver és szoftver megbízhatóságára vonatkozóan; az információs rendszer működésének felügyeletére vonatkozó eljárások (események naplózása, protokollok elemzése, hálózati forgalom elemzése, műszaki berendezések működésének elemzése); Az információbiztonsági politika a következőket tartalmazza: a fő dokumentum a „Biztonsági politika”. Általánosságban leírja a szervezet biztonsági politikáját, általános rendelkezéseket, és a szabályzat minden vonatkozására vonatkozóan feltünteti a vonatkozó dokumentumokat is; a felhasználók munkájának szabályozására vonatkozó utasítások; a helyi hálózati rendszergazda munkaköri leírása; az adatbázis-adminisztrátor munkaköri leírása; utasítások az internetes forrásokkal való munkához; utasítások a jelszavas védelem megszervezéséhez; utasítások a vírusvédelem megszervezéséhez. A Biztonságpolitika dokumentum tartalmazza a főbb rendelkezéseket. Ennek alapján információbiztonsági programot, munkaköri leírásokat, ajánlásokat építenek. A szervezet helyi hálózatát használók munkáját szabályozó utasítások szabályozzák a felhasználóknak a szervezet helyi számítógépes hálózatában történő munkavégzésének engedélyezését, valamint a szervezetben feldolgozott, tárolt és továbbított védett információk kezelésének szabályait. A helyi hálózati adminisztrátor munkaköri leírása leírja a helyi hálózati rendszergazda információbiztonsággal kapcsolatos felelősségeit. Az adatbázis-adminisztrátor munkaköri leírása meghatározza az adatbázis-adminisztrátor fő feladatait, funkcióit és jogait. Nagyon részletesen leírja az adatbázis-adminisztrátor összes munkaköri kötelezettségét és funkcióját, valamint a jogokat és kötelezettségeket. Az internetes erőforrásokkal való munkavégzésre vonatkozó utasítások tükrözik az internetes biztonságos munkavégzés alapvető szabályait, és tartalmazzák az internetes erőforrásokkal végzett munka során elfogadható és elfogadhatatlan műveletek listáját is. A vírusvédelem megszervezésére vonatkozó utasítások meghatározzák a szervezet információs rendszerének vírusvédelmének megszervezésének alapvető rendelkezéseit, követelményeit, a vírusirtó szoftverek működésével kapcsolatos minden szempontot, valamint az antivírus megsértése esetén fennálló felelősséget. -vírus védekezés. A jelszavas védelem megszervezésére vonatkozó utasítások szabályozzák a jelszavak generálása, megváltoztatása és megszüntetése (felhasználói fiókok törlése) folyamatainak szervezeti és technikai támogatását. A felhasználók és a karbantartó személyzet tevékenysége a rendszerrel végzett munka során szintén szabályozott. Így az információvédelmi folyamat megszervezésének alapja a biztonsági politika, amely annak meghatározására szolgál, hogy az információs rendszerben lévő információkat milyen fenyegetésektől és hogyan védik. A biztonsági politika olyan jogi, szervezeti és technikai intézkedések összességét jelenti, amelyek egy adott szervezetben az információk védelmét szolgálják. Vagyis a biztonsági szabályzat számos olyan feltételt tartalmaz, amelyek mellett a felhasználók anélkül férhetnek hozzá a rendszer erőforrásaihoz, hogy elveszítenék a rendszer információbiztonsági tulajdonságait. Az információbiztonság biztosításának problémáját szisztematikusan kell megoldani. Ez azt jelenti, hogy a különböző (hardver, szoftver, fizikai, szervezeti stb.) védelmet egyszerre és központi irányítás mellett kell alkalmazni. Ma az információbiztonság biztosítására szolgáló módszerek széles arzenálja van: a felhasználók azonosításának és hitelesítésének eszközei; Számítógépeken tárolt és hálózatokon továbbított információk titkosítására szolgáló eszközök; tűzfalak; virtuális magánhálózatok; Tartalomszűrő eszközök; eszközök a lemez tartalmának sértetlenségének ellenőrzéséhez; vírusvédelmi eszközök; hálózati sebezhetőséget észlelő rendszerek és hálózati támadáselemzők. A felsorolt eszközök mindegyike használható önállóan vagy másokkal együtt. Ez lehetővé teszi információbiztonsági rendszerek létrehozását bármilyen bonyolultságú és konfigurációjú hálózathoz, függetlenül a használt platformoktól. Hitelesítési (vagy azonosítási), engedélyezési és adminisztrációs rendszer. Az azonosítás és az engedélyezés az információbiztonság kulcselemei. Az engedélyezési funkció felelős azért, hogy egy adott felhasználó mely erőforrásokhoz férhet hozzá. Az adminisztrációs funkció az, hogy egy adott hálózaton belül bizonyos azonosítási jellemzőket biztosítson a felhasználónak, és meghatározza a számára engedélyezett műveletek körét. A titkosítási rendszerek lehetővé teszik a veszteségek minimalizálását a merevlemezen vagy más adathordozón tárolt adatokhoz való jogosulatlan hozzáférés, valamint az e-mailben küldött vagy hálózati protokollokon keresztül továbbított információk elfogása esetén. Ennek a védelmi eszköznek a célja a titoktartás biztosítása. A titkosítási rendszerekkel szemben támasztott fő követelmények a magas szintű kriptográfiai erősség és a felhasználás jogszerűsége Oroszország (vagy más államok) területén. A tűzfal olyan rendszer vagy rendszerek kombinációja, amely védőkorlátot képez két vagy több hálózat között, hogy megakadályozza az illetéktelen adatcsomagok hálózatba való bejutását vagy elhagyását. A tűzfalak alapvető működési elve, hogy minden adatcsomagot ellenőriznek, hogy a bejövő és kimenő IP-címek megfelelnek-e az engedélyezett címek adatbázisának. Így a tűzfalak jelentősen kibővítik az információs hálózatok szegmentálásának és az adatforgalom szabályozásának lehetőségeit. Amikor a titkosításról és a tűzfalakról beszélünk, meg kell említenünk a biztonságos virtuális magánhálózatokat (VPN). Használatuk lehetővé teszi a nyílt kommunikációs csatornákon továbbított adatok bizalmas kezelésével és integritásával kapcsolatos problémák megoldását. A VPN használata három fő probléma megoldására redukálható: a vállalat különböző irodái közötti információáramlás védelme (csak a külső hálózat kijáratánál titkosítják az információkat); a távoli hálózati felhasználók biztonságos hozzáférése a vállalat információs forrásaihoz, általában az interneten keresztül; az egyes alkalmazások közötti információáramlás védelme a vállalati hálózatokon belül (ez a szempont is nagyon fontos, mivel a legtöbb támadás belső hálózatról történik). A bizalmas információk elvesztésével szembeni védekezés hatékony eszköze a bejövő és kimenő e-mailek tartalmának szűrése. Magának az e-mail üzeneteknek és mellékleteiknek a szervezet által meghatározott szabályok alapján történő szűrése is segít megvédeni a cégeket a peres felelősségtől, és megvédi dolgozóikat a spamektől. A tartalomszűrő eszközök lehetővé teszik az összes általános formátumú fájlok vizsgálatát, beleértve a tömörített és grafikus fájlokat is. Ugyanakkor a hálózati átviteli sebesség gyakorlatilag változatlan marad. A merevlemez tartalmának sértetlenségét ellenőrző technológiának köszönhetően a munkaállomáson vagy szerveren minden változást a hálózati rendszergazda vagy más jogosult felhasználó nyomon követhet. Ez lehetővé teszi a fájlokkal végzett műveletek észlelését (módosítás, törlés vagy egyszerű megnyitás), és azonosítja a vírustevékenységet, az illetéktelen hozzáférést vagy az arra jogosult felhasználók általi adatlopást. Az ellenőrzés a fájlellenőrző összegek (CRC összegek) elemzése alapján történik. A modern vírusirtó technológiák lehetővé teszik szinte az összes már ismert vírusprogram azonosítását egy gyanús fájl kódjának és a víruskereső adatbázisban tárolt mintáknak a összehasonlításával. Emellett olyan viselkedésmodellező technológiákat fejlesztettek ki, amelyek lehetővé teszik az újonnan létrehozott vírusprogramok észlelését. Az észlelt objektumok kezelhetők, elkülöníthetők (karanténba helyezhetők) vagy törölhetők. A vírusvédelem telepíthető munkaállomásokra, fájl- és levelezőszerverekre, szinte minden elterjedt operációs rendszer alatt futó tűzfalra (Windows, Unix és Linux rendszerek, Novell) különféle processzorokon. A spamszűrők jelentősen csökkentik a levélszemét elemzésével összefüggő improduktív munkaerőköltségeket, csökkentik a forgalmat és a szerverterhelést, javítják a csapat pszichológiai hátterét, és csökkentik annak kockázatát, hogy a vállalati alkalmazottak csalárd tranzakciókba keveredjenek. Emellett a levélszemétszűrők csökkentik az új vírusokkal való fertőzés kockázatát, mivel a vírusokat tartalmazó üzeneteken (még azokon is, amelyek még nem szerepelnek a vírusirtó programok adatbázisában) gyakran vannak spam jelei, és kiszűrik őket. Igaz, a spamszűrés pozitív hatása tagadható, ha a szűrő a kéretlen üzenetekkel együtt eltávolítja vagy spamként jelöli meg a hasznos üzleti vagy személyes üzeneteket. A vírusok és hackertámadások által a vállalatoknak okozott óriási károk nagyrészt a használt szoftverek gyengeségeinek a következményei. A számítógépes hálózati sebezhetőséget észlelő rendszerek és a hálózati támadáselemzők segítségével előzetesen azonosíthatók, anélkül, hogy valódi támadásra várnának. Az ilyen szoftverek biztonságosan szimulálják a gyakori támadásokat és behatolási módszereket, és meghatározzák, hogy a hacker mit láthat a hálózaton, és hogyan tudja kihasználni annak erőforrásait. Az információbiztonságot fenyegető természetes veszélyek leküzdése érdekében a vállalatnak eljárásokat kell kidolgoznia és bevezetnie a vészhelyzetek megelőzésére (például az adatok tűz elleni fizikai védelmére), valamint a károk minimalizálására, ha ilyen helyzet felmerül. Az adatvesztés elleni védekezés egyik fő módszere a biztonsági mentés a megállapított eljárások szigorú betartásával (szabályosság, adathordozó típusok, másolatok tárolási módjai stb.). Az információbiztonsági politika az alkalmazottak munkáját szabályozó dokumentumcsomag, amely leírja az információkkal, információs rendszerekkel, adatbázisokkal, helyi hálózatokkal és internetes forrásokkal való munkavégzés alapvető szabályait. Fontos megérteni, hogy az információbiztonsági politika milyen helyet foglal el a szervezet átfogó irányítási rendszerében. Az alábbiakban a biztonsági politikákkal kapcsolatos általános szervezési intézkedéseket ismertetjük. Eljárási szinten az intézkedések következő osztályai különböztethetők meg: személyzeti menedzsment; fizikai védelem; a teljesítmény fenntartása; reagálás a biztonsági megsértésekre; helyreállítási munkák tervezése. Az emberi erőforrás menedzsment a felvétellel kezdődik, de még előtte meg kell határoznia a pozícióhoz kapcsolódó számítógépes jogosultságokat. Két általános alapelvet kell szem előtt tartani: a feladatok elkülönítése; a kiváltságok minimalizálása. A feladatok szétválasztásának elve előírja, hogyan kell a szerepeket és felelősségeket úgy elosztani, hogy egy személy ne zavarhasson meg egy, a szervezet szempontjából kritikus folyamatot. Például nem kívánatos, hogy egy személy nagy összegeket fizessen egy szervezet nevében. Biztonságosabb, ha egy alkalmazottat utasítanak az ilyen kifizetésekre vonatkozó kérelmek feldolgozására, egy másikat pedig a kérelmek hitelesítésére. Egy másik példa a szuperfelhasználói műveletekre vonatkozó eljárási korlátozások. Mesterségesen „feloszthatja” a szuperfelhasználói jelszót, ha megosztja annak első részét az egyik alkalmazottal, a második részét pedig egy másikkal. Ekkor csak együtt tudják végrehajtani az információs rendszer adminisztrálására irányuló kritikus műveleteket, ami csökkenti a hibák és visszaélések valószínűségét. A legkisebb kiváltság elve megköveteli, hogy a felhasználók csak azokat a hozzáférési jogokat kapják meg, amelyekre munkaköri feladataik ellátásához szükségük van. Ennek az elvnek a célja nyilvánvaló - a véletlen vagy szándékos helytelen cselekedetekből származó károk csökkentése. A munkaköri leírás előzetes elkészítése lehetővé teszi annak kritikusságának felmérését, valamint a jelöltek szűrésének és kiválasztásának eljárásának megtervezését. Minél felelősségteljesebb a pozíció, annál alaposabban kell ellenőriznie a jelölteket: érdeklődjön róluk, esetleg beszéljen korábbi kollégáival stb. Egy ilyen eljárás hosszadalmas és költséges lehet, ezért nincs értelme tovább bonyolítani. Ugyanakkor indokolatlan az előszűrést teljes mértékben megtagadni, nehogy véletlenül büntetett előéletű vagy elmebeteg embert alkalmazzanak. A jelölt azonosítása után valószínűleg képzésen kell részt vennie; legalább alaposan meg kell ismerkednie a munkaköri kötelezettségekkel és az információbiztonsági előírásokkal és eljárásokkal. Javasoljuk, hogy hivatalba lépése előtt megértse a biztonsági intézkedéseket, és mielőtt létrehozza rendszerfiókját bejelentkezési névvel, jelszóval és jogosultságokkal. Egy információs rendszer biztonsága attól függ, hogy milyen környezetben működik. Intézkedéseket kell tenni az épületek és a környező területek, a támogató infrastruktúra, a számítástechnikai eszközök és az adathordozók védelmére. Tekintsük a fizikai védelem alábbi területeit: fizikai hozzáférés ellenőrzése; a támogató infrastruktúra védelme; mobil rendszerek védelme. A fizikai hozzáférés-ellenőrzési intézkedések lehetővé teszik az alkalmazottak és látogatók be- és kilépésének ellenőrzését és szükség esetén korlátozását. Egy szervezet egész épülete vezérelhető, de egyes helyiségek is, például azok, ahol szerverek, kommunikációs berendezések stb. A támogató infrastruktúra magában foglalja az elektromos, víz- és hőellátó rendszereket, légkondicionálást és kommunikációt. Elvileg ugyanazok az integritási és rendelkezésre állási követelmények vonatkoznak rájuk, mint az információs rendszerekre. Az integritás biztosítása érdekében a berendezést védeni kell a lopástól és a sérülésektől. A rendelkezésre állás fenntartása érdekében válassza ki a maximális MTBF-vel rendelkező berendezéseket, duplikálja a kritikus alkatrészeket, és mindig legyen kéznél tartalék alkatrészek. Általánosságban elmondható, hogy a fizikai védőfelszerelés kiválasztásakor kockázatelemzést kell végezni. Így a szünetmentes tápegység vásárlásának eldöntésekor figyelembe kell venni a szervezet által elfoglalt épületben a tápellátás minőségét (azonban szinte biztos, hogy gyenge lesz), az áramellátás jellegét és időtartamát. áramkimaradások, a rendelkezésre álló források költsége és a balesetekből eredő esetleges veszteségek (berendezések meghibásodása, a szervezet munkájának felfüggesztése stb.) Tekintsünk néhány olyan intézkedést, amelyek célja az információs rendszerek működőképességének fenntartása. Ezen a területen leselkedik a legnagyobb veszély. A rendszergazdák és a felhasználók nem szándékos hibái a teljesítmény elvesztéséhez, nevezetesen a berendezések károsodásához, a programok és adatok megsemmisüléséhez vezethetnek. Ez a legrosszabb forgatókönyv. Legjobb esetben biztonsági lyukakat hoznak létre, amelyek lehetővé teszik a rendszerbiztonsági fenyegetések előfordulását. Sok szervezet fő problémája a biztonsági tényezők alábecsülése a mindennapi munkában. A drága biztonsági szolgáltatások értelmetlenek, ha rosszul dokumentáltak, ütköznek más szoftverekkel, és a rendszergazda jelszava a telepítés óta nem változott. Az információs rendszer működőképességének fenntartását célzó napi tevékenységek esetében a következő műveletek különböztethetők meg: felhasználói támogatás; szoftver támogatás; konfiguráció-menedzsment; biztonsági mentés; médiamenedzsment; dokumentáció; rutin karbantartás. A felhasználói támogatás mindenekelőtt konzultációt és segítséget jelent a különféle problémák megoldásában. Nagyon fontos, hogy kérdésfolyamban tudjunk azonosítani az információbiztonsággal kapcsolatos problémákat. Így a személyi számítógépeken dolgozó felhasználók számára sok nehézség vírusfertőzés következménye lehet. Javasoljuk, hogy rögzítse a felhasználói kérdéseket, hogy azonosítsa a gyakori hibáikat, és emlékeztetőket adjon ki a gyakori helyzetekre vonatkozó ajánlásokkal. A szoftvertámogatás az információs integritás biztosításának egyik legfontosabb eszköze. Először is nyomon kell követnie, hogy milyen szoftverek vannak telepítve a számítógépére. Ha a felhasználók saját belátásuk szerint telepítenek programokat, ez vírusfertőzéshez, valamint olyan segédprogramok megjelenéséhez vezethet, amelyek megkerülik a védelmi intézkedéseket. Valószínű az is, hogy a felhasználók „önálló tevékenysége” fokozatosan káoszhoz vezet a számítógépeiken, és a rendszergazdának kell korrigálnia a helyzetet. A szoftvertámogatás második aspektusa a programok jogosulatlan módosításainak és a hozzáférési jogoknak az ellenőrzése. Ez magában foglalja a szoftverrendszerek referenciapéldányainak támogatását is. Az irányítást általában a fizikai és logikai hozzáférés-szabályozás kombinációjával, valamint ellenőrző és integritási segédprogramok használatával érik el. A konfigurációkezelés lehetővé teszi a szoftverkonfiguráció módosításainak vezérlését és rögzítését. Mindenekelőtt biztosítanod kell magad a véletlen vagy rosszul kigondolt módosítások ellen, és legalább vissza kell tudni térni egy korábbi, működő verzióhoz. A változtatások végrehajtása megkönnyíti az aktuális verzió visszaállítását egy katasztrófa után. A rutinmunka során előforduló hibák csökkentésének legjobb módja annak automatizálása, amennyire csak lehetséges. Az automatizálás és a biztonság egymástól függ, hiszen aki elsősorban a feladatának megkönnyítésével törődik, az valójában az, aki optimálisan alakítja az információbiztonsági rendszert. Biztonsági mentés szükséges a programok és adatok katasztrófa utáni visszaállításához. És itt célszerű a munkát legalább egy számítógépes ütemterv elkészítésével automatizálni a teljes és növekményes másolatok készítéséhez, és legfeljebb a megfelelő szoftvertermékek használatával. Gondoskodni kell a másolatok biztonságos, illetéktelen hozzáféréstől, tűztől, szivárgástól védett helyen történő elhelyezéséről is, vagyis mindentől, ami lopáshoz vagy az adathordozó károsodásához vezethet. Célszerű több másolatot készíteni a biztonsági másolatokról, és ezek egy részét a helyszínen kívül tárolni, így megvédheti magát a súlyos balesetektől és hasonló eseményektől. Tesztelési célból időnként ellenőriznie kell az információk másolatokból történő visszaállításának lehetőségét. A médiakezelés szükséges a hajlékonylemezek, szalagok, nyomtatott kimenetek stb. fizikai biztonságának és elszámolásának biztosításához. A médiakezelésnek biztosítania kell a számítógépes rendszereken kívül tárolt információk titkosságát, integritását és elérhetőségét. A fizikai védelem itt nemcsak a jogosulatlan hozzáférési kísérletek visszaszorítását jelenti, hanem a káros környezeti hatások (hő, hideg, nedvesség, mágnesesség) elleni védelmet is. A médiamenedzsmentnek a teljes életciklust le kell fednie, a beszerzéstől a leszerelésig. A dokumentáció az információbiztonság szerves része. Szinte minden dokumentálva van dokumentumok formájában – a biztonsági szabályzattól a médianaplóig. Fontos, hogy a dokumentáció naprakész legyen, és az aktuális állapotot tükrözze, következetesen. A titoktartási követelmények bizonyos dokumentumok tárolására vonatkoznak (amelyek tartalmazzák például a rendszer sebezhetőségeinek és fenyegetéseinek elemzését), míg másokra, mint például a katasztrófa-helyreállítási tervre integritási és rendelkezésre állási követelmények vonatkoznak (kritikus helyzetben a tervnek kötelező megtalálható és elolvasható). A rutinmunka nagyon komoly biztonsági kockázatot jelent. A rutin karbantartást végző alkalmazott kizárólagos hozzáférést kap a rendszerhez, és a gyakorlatban nagyon nehéz ellenőrizni, hogy pontosan milyen műveleteket hajt végre. Itt kerül előtérbe a munkát végzőkbe vetett bizalom mértéke. A szervezet által elfogadott biztonsági politikának rendelkeznie kell olyan operatív intézkedésekről, amelyek célja az információbiztonsági rendszer megsértésének felderítése és semlegesítése. Fontos, hogy ilyen esetekben a cselekvések sorrendjét előre megtervezzék, mivel az intézkedéseket sürgősen és összehangoltan kell megtenni. A biztonsági megsértésekre adott válaszoknak három fő célja van: az incidens lokalizálása és a károk csökkentése; az ismételt jogsértések megelőzése. Az incidens lokalizálására és a kár csökkentésére vonatkozó követelmény gyakran ütközik az elkövető azonosításának vágyával. A szervezet biztonsági politikáját korán prioritásként kell kezelni. Mivel a gyakorlat azt mutatja, hogy a támadót nagyon nehéz azonosítani, véleményünk szerint mindenekelőtt a kár csökkentésére kell ügyelni. Egyetlen szervezet sem mentes a természetes okok, rosszindulatú cselekedetek, hanyagság vagy hozzá nem értés által okozott súlyos balesetek ellen. Ugyanakkor minden szervezetnek vannak olyan funkciói, amelyeket a vezetés kritikusnak tart, és amelyeket mindentől függetlenül végre kell hajtani. A helyreállítási munkák tervezése lehetővé teszi a balesetekre való felkészülést, az azokból származó károk csökkentését és a működőképesség legalább minimális mértékű megőrzését. Vegye figyelembe, hogy az információbiztonsági intézkedések három csoportra oszthatók, attól függően, hogy a támadások megelőzésére, észlelésére vagy következményeinek megszüntetésére irányulnak. A legtöbb intézkedés elővigyázatossági jellegű. A helyreállítás tervezési folyamata a következő szakaszokra osztható: a szervezet kritikus funkcióinak azonosítása, prioritások meghatározása; a kritikus funkciók elvégzéséhez szükséges erőforrások azonosítása; a lehetséges balesetek listájának meghatározása; helyreállítási stratégia kidolgozása; felkészülés a választott stratégia megvalósítására; a stratégia ellenőrzése. A helyreállítási munkák tervezésekor tisztában kell lenni azzal, hogy nem mindig lehet maradéktalanul fenntartani a szervezet működését. Fel kell ismerni azokat a kritikus funkciókat, amelyek nélkül a szervezet elveszíti arcát, sőt a kritikus funkciók között rangsorolni kell, hogy a baleset után a lehető leggyorsabban és minimális költséggel újra lehessen dolgozni. A kritikus funkciók végrehajtásához szükséges erőforrások meghatározásakor ne feledje, hogy ezek közül sok nem számítógépes jellegű. Ebben a szakaszban célszerű különböző profilú szakembereket bevonni a munkába. Így számos különféle módszer létezik az információbiztonság biztosítására. A leghatékonyabb mindezen módszerek egyetlen komplexben történő alkalmazása. Ma a modern biztonsági piac tele van információbiztonsági eszközökkel. Folyamatosan tanulmányozva a meglévő biztonsági piaci ajánlatokat, sok vállalat látja az információbiztonsági rendszerekbe korábban befektetett források elégtelenségét, például a berendezések és szoftverek elavultsága miatt. Ezért keresik a megoldást erre a problémára. Két ilyen lehetőség lehet: egyrészt a nagy beruházásokat igénylő vállalati információvédelmi rendszer teljes cseréje, másrészt a meglévő biztonsági rendszerek korszerűsítése. A probléma megoldására az utolsó lehetőség a legolcsóbb, de új problémákat hoz, például választ kell adni a következő kérdésekre: hogyan biztosítható a régi, a meglévő hardver- és szoftverbiztonsági eszközök, valamint az új elemek kompatibilitása. az információbiztonsági rendszer; hogyan biztosítható a heterogén biztonsági eszközök központosított kezelése; hogyan lehet felmérni és szükség esetén újraértékelni a vállalat információs kockázatait. 2. fejezet Az információbiztonsági rendszer elemzése 1 A társaság tevékenységi köre és pénzügyi mutatók elemzése Az OJSC Gazprom egy globális energiavállalat. A fő tevékenység a gáz, gázkondenzátum és olaj geológiai feltárása, előállítása, szállítása, tárolása, feldolgozása és értékesítése, valamint hő- és villamosenergia termelés és értékesítés. A Gazprom küldetésének tekinti a fogyasztók megbízható, hatékony és kiegyensúlyozott földgázzal, más típusú energiaforrásokkal és feldolgozott termékeivel való ellátását. A Gazprom rendelkezik a világ leggazdagabb földgázkészleteivel. Részesedése a világ gázkészleteiben 18%, oroszban 70%. A Gazprom a globális gáztermelés 15%-át, az oroszországi gáztermelés 78%-át adja. Jelenleg a vállalat nagyszabású projekteket valósít meg a Jamal-félsziget, az Északi-sarkvidék, Kelet-Szibéria és a Távol-Kelet gázforrásainak fejlesztésére, valamint számos külföldi szénhidrogén-kutatási és -termelési projektet. A Gazprom megbízható gázszolgáltató az orosz és külföldi fogyasztók számára. A vállalat birtokolja a világ legnagyobb gázszállító hálózatát - az Oroszországi Egységes Gázellátó Rendszert, amelynek hossza meghaladja a 161 ezer km-t. A Gazprom az általa értékesített gáz több mint felét a hazai piacon értékesíti. Ezen túlmenően a társaság 30 közeli és távoli külföldi országot lát el gázzal. A Gazprom Oroszország egyetlen cseppfolyósított földgáz termelője és exportőre, és a globális LNG-termelés mintegy 5%-át biztosítja. A vállalat az Orosz Föderáció öt legnagyobb olajtermelőjének egyike, és a területén a termelőeszközök legnagyobb tulajdonosa. Összes beépített kapacitásuk az orosz energiarendszer teljes beépített kapacitásának 17%-a. A stratégiai cél az, hogy az OAO Gazprom vezető szerepet töltsön be a globális energiavállalatok között új piacok fejlesztése, a tevékenységek diverzifikációja és az ellátás megbízhatóságának biztosítása révén. Tekintsük a cég pénzügyi teljesítményét az elmúlt két évben. A társaság működési eredményeit az 1. számú melléklet tartalmazza. 2010. december 31-én az árbevétel 2 495 557 millió rubelt tett ki, ez a szám jóval alacsonyabb a 2011-es adatokhoz képest, azaz 3 296 656 millió rubel. Az árbevétel (a jövedéki adó, áfa és vámok nélkül) 801 099 millió RUB-rel, 32%-kal nőtt a 2011. szeptember 30-ig végződő kilenc hónapban az előző év azonos időszakához képest, és 3 296 656 millió rubelt tett ki. A 2011. évi eredmények alapján a nettó gázértékesítésből származó bevétel a teljes nettó árbevétel 60%-át tette ki (az előző év azonos időszakában 60%). A gázértékesítésből származó nettó bevétel 1 495 335 millió RUB-ról nőtt. az évre 1 987 330 millió rubelig. 2011 azonos időszakára, vagyis 33%-kal. Az Európába és más országokba irányuló gázértékesítésből származó nettó árbevétel 258 596 millió RUB-lal, 34%-kal nőtt az előző év azonos időszakához képest, és 1 026 451 millió RUB-t tett ki. Az Európába és más országokba irányuló gázeladások összességében az átlagárak növekedésének köszönhető. A rubelben kifejezett átlagár (vámokkal együtt) 21%-kal nőtt a 2011. szeptember 30-án végződő kilenc hónapban 2010 azonos időszakához képest. Emellett a gázértékesítés volumene 8%-kal nőtt az előző év azonos időszakához képest. A volt Szovjetunió országaiba irányuló gázértékesítésből származó nettó árbevétel 2010 azonos időszakához képest 168 538 millió rubellel, 58%-kal nőtt, és 458 608 millió rubelt tett ki. A változást elsősorban a volt Szovjetunióba irányuló gázeladások 33%-os növekedése okozta a 2011. szeptember 30-ával zárult kilenc hónapban az előző év azonos időszakához képest. Emellett a rubelben kifejezett átlagár (vámokkal, áfával csökkentve) 15%-kal nőtt az előző év azonos időszakához képest. Az Orosz Föderációban a gázértékesítésből származó nettó árbevétel 64 861 millió RUB-lal, 15%-kal nőtt az előző év azonos időszakához képest, és 502 271 millió rubelt tett ki. Ennek oka elsősorban a gáz átlagárának 13%-os emelkedése az előző év azonos időszakához képest, ami a Szövetségi Tarifaszolgálat (FTS) által meghatározott tarifák emelkedésével függ össze. Az olaj- és gáztermékek értékesítéséből származó nettó bevétel (jövedéki adóval, áfával és vámokkal csökkentve) 213 012 millió rubellel, 42%-kal nőtt, és 717 723 millió rubelt tett ki. az előző év azonos időszakához képest. Ez a növekedés elsősorban az olaj- és gáztermékek világpiaci árának növekedésével, valamint az értékesítési volumen növekedésével magyarázható az előző év azonos időszakához képest. A Gazprom Neft csoport árbevétele az olaj- és gáztermékek értékesítéséből származó teljes nettó árbevétel 85%-át, illetve 84%-át tette ki. Az elektromos és hőenergia értékesítéséből származó nettó árbevétel (áfa nélkül) 38 097 millió RUB-lal, 19%-kal nőtt, és 237 545 millió RUB-ra nőtt. A villamos- és hőenergia értékesítésből származó bevétel növekedése elsősorban a villamos- és hőenergia tarifák emelkedésének, valamint a villamos- és hőenergia értékesítés volumenének növekedésének köszönhető. A kőolaj- és gázkondenzátum értékesítéséből származó nettó árbevétel (jövedéki adóval, áfával és vámokkal csökkentve) 23 072 millió RUB-rel, 16%-kal nőtt, és 164 438 millió RUB-t tett ki. 141 366 millió RUB-hoz képest. az előző év azonos időszakára. A változást elsősorban az olaj- és gázkondenzátum árának emelkedése okozza. A változást emellett a gázkondenzátum értékesítés növekedése okozta. A kőolaj értékesítéséből származó bevétel 133 368 millió RUB volt. és 121 675 millió rubel. 2011-ben és 2010-ben a kőolaj- és gázkondenzátum értékesítéséből származó nettó bevételben (jövedéki adóval, áfával és vámmal csökkentve). A gázszállítási szolgáltatások értékesítéséből származó nettó árbevétel (áfa nélkül) 15 306 millió RUB-lal, 23%-kal nőtt, és 82 501 millió RUB-ra nőtt a 67 195 millió RUB-hoz képest. az előző év azonos időszakára. Ez a növekedés elsősorban a független szállítók gázszállítási tarifáinak, valamint a gázmennyiség növekedésének köszönhető. ѐ mov gázszállítás független szállítók számára az előző év azonos időszakához képest. Az egyéb bevételek 19 617 millió RUB-lal, 22%-kal nőttek, és 107 119 millió RUB-ra nőttek. 87 502 millió RUB-hoz képest. az előző év azonos időszakára. A tényleges szállítás nélküli kereskedelmi műveletek költségei 837 millió rubelt tettek ki. 5,786 millió RUB bevételhez képest. az előző év azonos időszakára. Ami a működési költségeket illeti, azok 23%-kal nőttek, és 2 119 289 millió RUB-t tettek ki. 1 726 604 millió RUB-hoz képest. az előző év azonos időszakára. A működési költségek aránya az árbevételen belül 69%-ról 64%-ra csökkent. A munkaerőköltségek 18%-kal nőttek, és 267 377 millió rubelt tettek ki. 227 500 millió RUB-hoz képest. az előző év azonos időszakára. A növekedés elsősorban az átlagbérek növekedésének köszönhető. Az elemzett időszak értékcsökkenése 9%-kal, azaz 17 026 millió rubelrel nőtt, és 201 636 millió rubelt tett ki, szemben a 184 610 millió rubellel. az előző év azonos időszakára. A növekedés elsősorban a tárgyi eszközállomány bővülésének volt köszönhető. A fenti tényezők hatására az árbevétel 401 791 millió RUB-lal, 52%-kal nőtt, és 1 176 530 millió RUB-ra nőtt. 774 739 millió RUB-hoz képest. az előző év azonos időszakára. Az értékesítési haszonkulcs 31%-ról 36%-ra nőtt a 2011. szeptember 30-ig végződő kilenc hónapban. Így az OJSC Gazprom globális energiavállalat. A fő tevékenység a gáz, gázkondenzátum és olaj geológiai feltárása, előállítása, szállítása, tárolása, feldolgozása és értékesítése, valamint hő- és villamosenergia termelés és értékesítés. A társaság pénzügyi helyzete stabil. A teljesítménymutatók pozitív dinamikát mutatnak. 2 A cég információbiztonsági rendszerének leírása Tekintsük az OJSC Gazprom Vállalatvédelmi Szolgálat részlegeinek fő tevékenységi területeit: célprogramok kidolgozása az OAO Gazprom és leányvállalatai és szervezetei mérnöki és műszaki biztonsági berendezések (ITSE), információbiztonsági rendszerei (IS) rendszereinek és komplexumainak fejlesztésére, részvétel az információs és műszaki biztosítását célzó beruházási program kialakításában Biztonság; az ügyfél jogosítványainak megvalósítása információbiztonsági rendszerek, valamint ITSO rendszerek és komplexumok fejlesztésére; az információbiztonsági rendszerek, ITSO-rendszerek és komplexumok fejlesztésére, valamint az információbiztonsági rendszerek szempontjából informatika létrehozására irányuló intézkedések végrehajtására vonatkozó költségvetési kérelmek és költségvetések elbírálása, jóváhagyása; információbiztonsági rendszerek, ITSO-rendszerek és komplexumok fejlesztésére vonatkozó terv- és projekt-előkészítő dokumentációk, valamint az információs rendszerek, kommunikációs és távközlési rendszerek létrehozásának (korszerűsítésének) műszaki előírásainak áttekintése és jóváhagyása az információbiztonsági követelmények szempontjából; az ITSO-rendszerek és komplexumok, információbiztonsági rendszerek (valamint az ezek létrehozására szolgáló munkák és szolgáltatások) a megállapított követelményeknek való megfelelésének felmérésére irányuló munka megszervezése; a műszaki információvédelemmel kapcsolatos munka koordinálása és ellenőrzése. A Gazprom olyan rendszert hozott létre, amely biztosítja a személyes adatok védelmét. Azonban a szövetségi végrehajtó hatóságok számos szabályozási jogi aktus elfogadása a meglévő törvények és kormányrendeletek fejlesztése során szükségessé teszi a személyes adatok védelmének jelenlegi rendszerének javítását. A probléma megoldása érdekében a kutatómunka keretében számos dokumentum került kidolgozásra és jóváhagyásra. Először is ezek a Gazprom Fejlesztési Szervezet szabványtervezetei: "Az OAO Gazprom, leányvállalatai és szervezetei személyes adatainak információs rendszereinek osztályozásának módszertana"; "Az OAO Gazprom, leányvállalatai és szervezetei személyes adatok információs rendszereiben történő feldolgozás során a személyes adatok fenyegetésének modellje." Ezeket a dokumentumokat az Orosz Föderáció Kormánya 2007. november 17-i 781. számú, „A személyes adatok biztonságának biztosításáról szóló szabályzat jóváhagyásáról a személyes adatok információs rendszereiben történő feldolgozásuk során” előírásainak figyelembevételével dolgozták ki. a speciális rendszerek osztályával kapcsolatban, amelyek magukban foglalják az OJSC ISPDn "Gazprom" nagy részét. Emellett jelenleg is zajlik „Az OAO Gazprom, leányvállalatai és szervezetei személyes adatok információs rendszereiben feldolgozott személyes adatok biztonságának megszervezéséről és technikai támogatásáról szóló szabályzat” kidolgozása. Meg kell jegyezni, hogy az OJSC Gazprom szabványosítási rendszerén belül kidolgozták az információbiztonsági rendszer szabványait, amelyek lehetővé teszik az OJSC Gazprom információs rendszereiben feldolgozott személyes adatok védelmével kapcsolatos problémák megoldását is. Az információbiztonsági rendszerhez kapcsolódó hét szabványt hagytak jóvá és lépnek életbe ebben az évben. A szabványok meghatározzák az OAO Gazprom és leányvállalatai számára az információbiztonsági rendszerek kiépítésének alapvető követelményeit. Az elvégzett munka eredménye lehetővé teszi az anyagi, pénzügyi és szellemi erőforrások ésszerűbb felhasználását, a szükséges szabályozási és módszertani támogatás megteremtését, hatékony védelmi eszközök bevezetését, és ennek eredményeként az információban feldolgozott személyes adatok biztonságának biztosítását. az OAO Gazprom rendszerei. Az OJSC Gazprom információbiztonsági elemzése eredményeként a következő hiányosságokat azonosították az információbiztonság biztosításában: a szervezet nem rendelkezik egyetlen átfogó biztonsági politikát szabályozó dokumentummal; Figyelembe véve a hálózat méretét és a felhasználók számát (több mint 100), meg kell jegyezni, hogy egy személy felel a rendszeradminisztrációért, az információbiztonságért és a technikai támogatásért; nincs az információs eszközök fontossági fok szerinti osztályozása; az információbiztonsági szerepkörök és felelősségek nem szerepelnek a munkaköri leírásokban; a munkavállalóval kötött munkaszerződésben nincs kitétel sem a foglalkoztatottak, sem magának a szervezetnek az információbiztonsággal kapcsolatos feladatairól; nem biztosított a személyzet információbiztonsági képzése; a külső fenyegetésekkel szembeni védelem szempontjából: a külső és környezeti fenyegetések következtében bekövetkezett balesetek utáni adatmentésre nem dolgoztak ki jellemző viselkedési eljárásokat; a szerverszoba nem külön helyiség, a helyiséghez két osztály státusza van hozzárendelve (a szerverszobába a rendszergazdán kívül még egy személy fér hozzá); nem végeznek műszaki szondázást és fizikai vizsgálatot a kábelekhez csatlakoztatott, jogosulatlan eszközökre; annak ellenére, hogy a belépés elektronikus igazolványokkal történik, és minden információ egy speciális adatbázisba kerül, elemzését nem végzik el; a rosszindulatú programokkal szembeni védelem tekintetében: nincs hivatalos politika a fájlok külső hálózatról vagy azon keresztül történő fogadásával, illetve a cserélhető adathordozón lévő fájlok fogadásával kapcsolatos kockázatok elleni védelemre; a rosszindulatú programok elleni védelem tekintetében: nincsenek irányelvek a helyi hálózat rosszindulatú kódokkal szembeni védelmére; nincs forgalomirányítás, van hozzáférés a külső hálózatok levelezőszervereihez; minden biztonsági másolat a szerverteremben van tárolva; nem biztonságos, könnyen megjegyezhető jelszavakat használnak; a jelszavak felhasználók általi átvételét semmilyen módon nem erősítik meg; a jelszavakat a rendszergazda tiszta szövegben tárolja; a jelszavak nem változnak; Nincs eljárás az információbiztonsági események jelentésére. Így ezekre a hiányosságokra alapozva az információbiztonsági politikára vonatkozó szabályozást dolgoztak ki, beleértve: az alkalmazottak felvételére (elbocsátására) és a rendszer erőforrásokhoz való hozzáféréséhez szükséges jogosultság megadására (elvonására) vonatkozó szabályzatok; a hálózat felhasználóinak működése során végzett munkájára vonatkozó szabályzat; jelszóvédelmi szabályzat; a fizikai védelem megszervezésére vonatkozó politika; Internet politika; valamint adminisztratív biztonsági intézkedések. A jelen szabályzatot tartalmazó dokumentumok a szervezet vezetése általi mérlegelés stádiumában vannak. 3 Intézkedéscsomag kidolgozása a meglévő információbiztonsági rendszer korszerűsítésére Az OJSC Gazprom információbiztonsági rendszerének elemzése eredményeként jelentős rendszersérülékenységeket azonosítottak. A biztonsági rendszer azonosított hiányosságainak kiküszöbölésére irányuló intézkedések kidolgozása érdekében a következő információcsoportokat emeljük ki, amelyek védelem alá esnek: a munkavállalók magánéletére vonatkozó információk, amelyek lehetővé teszik azonosításukat (személyes adatok); a szakmai tevékenységgel kapcsolatos, banki, könyvvizsgálói és kommunikációs titoknak minősülő információk; a szakmai tevékenységhez kapcsolódó és „hivatalos használatra” információként megjelölt információ; információk, amelyek megsemmisítése vagy módosítása negatívan befolyásolja a működési hatékonyságot, és helyreállítása többletköltséget igényel. Az adminisztratív intézkedések szempontjából a következő ajánlásokat dolgozták ki: az információbiztonsági rendszernek meg kell felelnie az Orosz Föderáció jogszabályainak és az állami szabványoknak; azokat az épületeket és helyiségeket, ahol információfeldolgozó létesítmények vannak felszerelve vagy tárolva, a munkavégzés védett információkkal történik, azokat riasztó- és beléptetőberendezésekkel kell óvni és védeni; Munkavállaló felvételekor meg kell szervezni a személyzet információbiztonsági kérdésekkel kapcsolatos képzését (a jelszavas védelem és a jelszavas követelmények fontosságának ismertetése, vírusirtó szoftverek oktatása stb.); 6-12 havonta tréningek lebonyolítása, amelyek célja a munkavállalók információbiztonsági ismereteinek fejlesztése; a rendszer ellenőrzését és a kidolgozott szabályozás módosítását évente, október 1-jén, vagy közvetlenül a vállalkozási szerkezetben bekövetkezett jelentősebb változtatások bevezetése után kell elvégezni; minden felhasználó információs forrásokhoz való hozzáférési jogát dokumentálni kell (szükség esetén a hozzáférést a vezetőtől írásban kell kérni); az információbiztonsági politikáról a szoftver- és hardveradminisztrátornak kell gondoskodnia, tevékenységüket a csoportvezető koordinálja. Fogalmazzuk meg a jelszó szabályzatot: ne tárolja titkosítatlan formában (ne írja le papírra, normál szöveges fájlba stb.); módosítsa a jelszót, ha nyilvánosságra kerül vagy annak gyanúja merül fel; hosszának legalább 8 karakternek kell lennie; A jelszónak kis- és nagybetűket, számokat és speciális karaktereket kell tartalmaznia, a jelszó nem tartalmazhat könnyen kiszámítható karaktersorozatokat (nevek, állatnevek, dátumok); 6 havonta egyszer módosítani (a változást kiváltó eseményről szóló értesítés kézhezvételét követően haladéktalanul előre nem tervezett jelszómódosítást kell végrehajtani); Jelszavak megváltoztatásakor nem választhatja ki a korábban használt jelszavakat (a jelszavaknak legalább 6 hellyel kell különbözniük). Fogalmazzunk meg egy szabályzatot a víruskereső programokkal és a vírusfelderítéssel kapcsolatban: Minden munkaállomáson licencelt víruskereső szoftvert kell telepíteni; víruskereső adatbázisok frissítése internet-hozzáféréssel rendelkező munkaállomásokon - naponta egyszer, internet-hozzáférés nélkül - legalább hetente egyszer; a munkaállomások automatikus ellenőrzésének beállítása víruskereső céljából (ellenőrzések gyakorisága - hetente egyszer: péntek, 12:00); Csak a rendszergazda szakíthatja meg a víruskereső adatbázis frissítését vagy a víruskeresést (jelszavas védelmet kell beállítani a megadott felhasználói művelethez). Fogalmazzuk meg a fizikai védelemre vonatkozó szabályzatot: 1-2 havonta el kell végezni a műszaki szondázást és a kábelekhez csatlakoztatott, illetéktelen eszközök fizikális vizsgálatát; a hálózati kábeleket védeni kell az adatok jogosulatlan elfogásától; naplóban kell tárolni minden feltételezett és tényleges meghibásodást, amely a berendezéssel kapcsolatban történt Minden munkaállomást fel kell szerelni szünetmentes tápegységgel. Határozzuk meg az információs foglalásra vonatkozó szabályzatot: biztonsági másolatokhoz külön helyiséget kell kijelölni, amely az adminisztratív épületen kívül található (a helyiséget elektronikus zárral és riasztóval kell felszerelni); Információs előjegyzés minden pénteken 16:00-kor. Az alkalmazottak felvételére/elbocsátására vonatkozó politikának a következőnek kell lennie: minden személyi változást (alkalmazott felvétele, előléptetése, elbocsátása stb.) 24 órán belül be kell jelenteni az ügyintézőnek, aki viszont fél munkanapon belül köteles megfelelő változtatásokat végrehajtani a hozzáférési jogosultságok lehatárolási rendszerében. a vállalati erőforrásokhoz ; az új alkalmazottnak részt kell vennie az adminisztrátor képzésén, beleértve a biztonsági szabályzat megismerését és az összes szükséges utasítást; az új alkalmazott információhoz való hozzáférésének szintjét a vezető határozza meg; Amikor egy alkalmazott elhagyja a rendszert, azonosítója és jelszava törlésre kerül, a munkaállomáson ellenőrzik, hogy nem tartalmaz-e vírusokat, és elemzik azon adatok sértetlenségét, amelyekhez az alkalmazott hozzáfért. A helyi belső hálózattal (LAN) és adatbázisokkal (DB) való munkára vonatkozó irányelvek: a munkahelyén és a LAN-on végzett munka során a munkavállaló csak a hivatalos tevékenységéhez közvetlenül kapcsolódó feladatokat végezhet; A munkavállalónak értesítenie kell az adminisztrátort a víruskereső programok vírusok megjelenésével kapcsolatos üzeneteiről; az adminisztrátorokon kívül senki nem módosíthatja a munkaállomások és más LAN-csomópontok kialakítását vagy konfigurációját, nem telepíthet semmilyen szoftvert, nem hagyhatja ellenőrzés nélkül a munkaállomást, és nem engedélyezheti illetéktelen személyek hozzáférését; Az adminisztrátoroknak azt javasoljuk, hogy két programot tartsanak folyamatosan futva: egy ARP-hamisító támadásészlelő segédprogramot és egy sniffert, amelyek használatával a potenciális behatolók szemével láthatják a hálózatot, és azonosíthatják a biztonsági irányelveket megsértőket; Olyan szoftvert kell telepítenie, amely megakadályozza, hogy az adminisztrátor által kijelöltektől eltérő programok futhassanak, a következő elv alapján: „Bármely személy megkapja az adott feladatok elvégzéséhez szükséges jogosultságokat.” Minden nem használt számítógép-portot le kell tiltani hardverrel vagy szoftverrel; A szoftvert rendszeresen frissíteni kell. Internetes szabályzat: az adminisztrátorok jogosultak korlátozni az olyan erőforrásokhoz való hozzáférést, amelyek tartalma nem kapcsolódik hivatalos feladatok ellátásához, valamint olyan erőforrásokhoz, amelyek tartalmát és fókuszát nemzetközi és orosz jogszabályok tiltják; a munkavállalónak tilos fájlokat letölteni és megnyitni a vírusok előzetes ellenőrzése nélkül; A vállalati alkalmazottak által meglátogatott erőforrásokkal kapcsolatos összes információt naplóban kell tárolni, és szükség esetén át kell adni az osztályvezetőknek, valamint a vezetőségnek az elektronikus levelezés és irodai dokumentumok titkossága és sértetlensége digitális aláírással biztosított. Ezenkívül megfogalmazzuk az OJSC Gazprom cég alkalmazottai jelszavainak létrehozásának alapvető követelményeit. A jelszó olyan, mint egy házkulcs, csak az információ kulcsa. A közönséges kulcsok esetében rendkívül nem kívánatos, hogy elveszik, ellopják vagy idegennek adják át. Ugyanez vonatkozik a jelszóra is. Természetesen az információk biztonsága nem csak a jelszótól függ, ennek biztosításához számos speciális beállítást kell beállítani, és talán még egy programot is kell írni, amely megvédi a hackelést. De a jelszó kiválasztása pontosan az a művelet, ahol csak a felhasználótól függ, hogy ez a láncszem mennyire erős lesz az információ védelmét célzó intézkedések láncolatában. ) a jelszónak hosszúnak kell lennie (8-12-15 karakter); ) nem lehet szótárból (bármilyen szótárból, még speciális kifejezések és szlengszótárból sem), tulajdonnév vagy latin elrendezésben írt cirill ábécé (latin - kfnsym) szó; ) nem hozható kapcsolatba a tulajdonossal; ) időszakosan vagy szükség szerint változik; ) nem kerül felhasználásra ebben a minőségben különböző erőforrásokon (azaz minden erőforráshoz - postafiókba, operációs rendszerbe vagy adatbázisba való bejelentkezéshez - eltérő jelszót kell használni); ) lehet emlékezni rá. Szavak kiválasztása a szótárból nem kívánatos, mivel a szótártámadást végrehajtó támadó másodpercenként akár több százezer szó keresésére is képes programokat használ. Bármilyen, a tulajdonossal kapcsolatos információ (legyen szó születési dátumról, kutya neve, anyja leánykori neve és hasonló „jelszavak”) könnyen felismerhető és kitalálható. A kis- és nagybetűk, valamint a számok használata nagymértékben megnehezíti a támadó feladatát a jelszó kitalálásában. A jelszót titokban kell tartani, és ha arra gyanakszik, hogy valaki megismerte a jelszót, változtassa meg. Nagyon hasznos időnként megváltoztatni őket. Következtetés A tanulmány lehetővé tette a következő következtetések levonását és ajánlások megfogalmazását. Megállapítást nyert, hogy a vállalkozás információbiztonsági problémáinak fő oka az információbiztonsági politika hiánya, amely szervezési, technikai, pénzügyi megoldásokat tartalmazna, ezek végrehajtásának utólagos nyomon követésével és a hatékonyság értékelésével. Az információbiztonsági politika meghatározása dokumentált döntések összességeként fogalmazódik meg, amelyek célja az információk és a kapcsolódó információs kockázatok védelmének biztosítása. Az információbiztonsági rendszer elemzése jelentős hiányosságokat tárt fel, többek között: biztonsági másolatok tárolása a szerverszobában, a biztonsági mentési szerver a fő szerverekkel egy helyiségben található; a jelszavas védelemre vonatkozó megfelelő szabályok hiánya (jelszó hossza, kiválasztásának és tárolásának szabályai); a hálózati adminisztrációt egy személy látja el. A nemzetközi és orosz gyakorlat általánosítása a vállalatok információbiztonság-kezelése terén lehetővé tette számunkra, hogy arra a következtetésre jutottunk, hogy ennek biztosításához szükséges: a biztonsági fenyegetések, az anyagi, anyagi és erkölcsi károkat előidéző okok és feltételek előrejelzése és időben történő azonosítása; olyan működési feltételek megteremtése, amelyeknél a legkisebb kockázatot jelent az információs erőforrásokat fenyegető biztonsági fenyegetések és különféle károk okozása; az információbiztonságot fenyegető veszélyekre való hatékony válaszadás mechanizmusának és feltételeinek megteremtése jogi, szervezési és technikai eszközök alapján. A munka első fejezete a főbb elméleti szempontokat tárgyalja. Áttekintést adunk több információbiztonsági szabványról. Mindegyikre és összességére levonják a következtetéseket, és kiválasztják a legmegfelelőbb szabványt az információbiztonsági politika kialakításához. A második fejezet a szervezet felépítését vizsgálja, és elemzi az információbiztonsággal kapcsolatos főbb problémákat. Ennek eredményeként ajánlások születtek az információbiztonság megfelelő szintjének biztosítására. Az információbiztonság megsértésével kapcsolatos további incidensek megelőzésére irányuló intézkedéseket is mérlegelik. Természetesen egy szervezet információbiztonságának biztosítása egy folyamatos folyamat, amely folyamatos ellenőrzést igényel. A természetesen kialakult politika pedig nem a védelem vaskalapos garanciája. A házirend megvalósítása mellett minőségi megvalósításának folyamatos nyomon követése, illetve a cégben bekövetkezett változások, előzmények esetén a fejlesztés szükséges. Javasolták, hogy a szervezet olyan alkalmazottat vegyen fel, akinek tevékenysége közvetlenül kapcsolódik ezekhez a funkciókhoz (biztonsági ügyintéző). Bibliográfia információbiztonsági anyagi kár 1. Belov E.B. Az információbiztonság alapjai. E.B. Belov, V.P. Los, R.V. Mescserjakov, A.A. Shelupanov. -M.: Forródrót - Telecom, 2006. - 544s Galatenko V.A. Információbiztonsági szabványok: előadások. Nevelési juttatás. - 2. kiadás. M.: INTUIT.RU "Internet University of Information Technologies", 2009. - 264 p. Glatenko V.A. Információbiztonsági szabványok / Nyílt rendszerek 2006.- 264c Dolzhenko A.I. Információs rendszerek kezelése: Képzés. - Rostov-on-Don: RGEU, 2008.-125 p. Kalasnyikov A. Vállalati belső információbiztonsági politika kialakítása #"justify">. Malyuk A.A. Információbiztonság: az információvédelem fogalmi és módszertani alapjai / M.2009-280s Mayvold E., Hálózatbiztonság. Önkezelési kézikönyv // Ekom, 2009.-528 p. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Az informatizációs objektumok információbiztonságának szervezeti támogatásának alapjai // Helios ARV, 2008, 192 pp.
