տուն Windows

Տեղեկատվական անվտանգության (Տեղեկատվական համակարգերի անվտանգություն) թեմայով ավարտական ատենախոսություններ. Տեղեկատվական անվտանգության համակարգ Տեղեկատվական անվտանգության վերաբերյալ WRC թեմաների ցանկ

Նմանատիպ փաստաթղթեր

Տեղեկատվական անվտանգության հարցերի համապատասխանությունը: Ծրագրային ապահովում և սարքավորում Mineral LLC ցանցի համար: Կորպորատիվ անվտանգության մոդելի կառուցում և պաշտպանություն չարտոնված մուտքից: Տեխնիկական լուծումներ տեղեկատվական համակարգերի պաշտպանության համար.

թեզ, ավելացվել է 19.01.2015թ

Տեղեկատվական համակարգի անվտանգությունը տարբեր ազդեցություններին դիմակայելու կարողությունն է: Համակարգչային սպառնալիքների տեսակները, չարտոնված մուտքի հայեցակարգը. Վիրուսներ և չարամիտ ծրագրեր. Տեղեկատվական համակարգերի պաշտպանության մեթոդներ և միջոցներ:

վերացական, ավելացվել է 14.11.2010թ

Տեղեկատվական անվտանգության սպառնալիքների դասակարգում. Սխալներ համակարգչային համակարգերի, ծրագրային ապահովման և սարքավորումների մշակման մեջ: Տեղեկատվության չարտոնված մուտքի (UNA) ձեռքբերման հիմնական մեթոդները. NSD-ից պաշտպանվելու մեթոդներ. Վիրտուալ մասնավոր ցանցեր.

դասընթացի աշխատանք, ավելացվել է 26.11.2013թ

Տեղեկատվական անվտանգության արտաքին սպառնալիքները, դրանց դրսևորման ձևերը. Արդյունաբերական լրտեսությունից պաշտպանության մեթոդներն ու միջոցները, դրա նպատակները՝ մրցակցի մասին տեղեկությունների ստացում, տեղեկատվության ոչնչացում։ Գաղտնի տեղեկատվության չարտոնված մուտքի մեթոդներ:

թեստ, ավելացվել է 18.09.2016թ

Տեղեկատվության չարտոնված մուտքի ամենատարածված ուղիները, դրա արտահոսքի ուղիները: Բնական (արտակարգ իրավիճակների) սպառնալիքներից և պատահական սպառնալիքներից տեղեկատվության պաշտպանության մեթոդներ: Գաղտնագրությունը որպես տեղեկատվության պաշտպանության միջոց: Արդյունաբերական լրտեսություն.

վերացական, ավելացվել է 04.06.2013թ

Տեղեկատվական անվտանգության հայեցակարգը, նշանակությունը և ուղղությունները: Տեղեկատվական անվտանգության կազմակերպման համակարգված մոտեցում, տեղեկատվությունը չթույլատրված մուտքից պաշտպանելու համար: Տեղեկատվական անվտանգության գործիքներ. Տեղեկատվական անվտանգության մեթոդներ և համակարգեր:

վերացական, ավելացվել է 15.11.2011թ

Տեղեկատվական անվտանգության հայեցակարգը և սկզբունքները: Համակարգչային համակարգի վրա վտանգավոր ազդեցությունների հիմնական տեսակների դիտարկումը: Համակարգիչներ չարտոնված մուտքի ալիքների դասակարգում: Սարքավորումների և ծրագրային ապահովման տեղեկատվական անվտանգության գործիքների բնութագրերը:

ներկայացում, ավելացվել է 15.11.2011 թ

Տեղեկատվական անվտանգությունը, դրա նպատակներն ու խնդիրները: Տեղեկատվության արտահոսքի ալիքներ. Տեղեկատվությունը չարտոնված մուտքից պաշտպանելու ծրագրային և ապարատային մեթոդներ և միջոցներ: Համակարգչային հաստատությունում մշակված տեղեկատվության անվտանգությանը սպառնացող վտանգների մոդել:

թեզ, ավելացվել է 19.02.2017թ

Ձեռնարկության գործունեության տեսակի ազդեցությունը տեղեկատվական անվտանգության համապարփակ համակարգի կազմակերպման վրա: Պաշտպանված տեղեկատվության կազմը: Կազմակերպչական տեղեկատվության չարտոնված մուտքի հնարավոր ուղիները: Տեղեկատվական անվտանգության համակարգի արդյունավետությունը.

պրակտիկայի հաշվետվություն, ավելացվել է 10/31/2013

Տեղեկատվական անվտանգության առաջացման և զարգացման պատմական ասպեկտները. Տեղեկատվական անվտանգության միջոցները և դրանց դասակարգումը. Համակարգչային վիրուսների գործունեության տեսակներն ու սկզբունքները. Տեղեկատվությունը չարտոնված մուտքից պաշտպանելու իրավական հիմքեր:

ֆոկուս (պրոֆիլ) «Տեղեկատվական համակարգեր և տեխնոլոգիաներ»

վերապատրաստման ոլորտներ 09.03.02 «Տեղեկատվական համակարգեր և տեխնոլոգիաներ»

դիզայն և տեխնոլոգիական,

սպասարկման և շահագործման.

1. Ձեռնարկության տեղեկատվական ենթակառուցվածքի վիրտուալացում (ձեռնարկության անվանումը).

2. Ձեռնարկությունների տեղեկատվական համակարգերի ինտեգրում՝ հիմնված Linux ՕՀ-ի և ազատորեն բաշխված DBMS-ի վրա:

3. Ձեռնարկության կորպորատիվ տեղեկատվական համակարգի արդիականացում և կառավարում (ձեռնարկության անվանումը).

4. Ձեռնարկության տեղեկատվական ցանցի արդիականացում, կառավարում և սպասարկում (ձեռնարկության անվանումը).

5. Ձեռնարկության (գործընթացի) տեղեկատվական և կառավարման համակարգի (ձեռնարկության անվանումը կամ գործընթացի) արդիականացում և դրան աջակցող միջոցառումների մշակում։

6. Ձեռնարկության համար Ինտրանետ պորտալի մշակում (ձեռնարկության անվանումը):

7. Ձեռնարկության տեղեկատվական ցանցի նախագծում (ձեռնարկության անվանումը).

8. Ձեռնարկության համար կորպորատիվ տեղեկատվական համակարգի նախագծում (ձեռնարկության անվանումը).

9. Ձեռնարկության կորպորատիվ վեբ պորտալի մշակում և սպասարկում (ձեռնարկության անվանումը):

10. Ձեռնարկության համար տեղեկատվության մշակման ավտոմատացված համակարգի մշակում (ձեռնարկության անվանումը).

11. Գործընթացների կառավարման համար ձեռնարկության տեղեկատվական համակարգի նախատիպի մշակում (գործընթացի անվանումը կամ օբյեկտը):

12. Ձեռնարկության տեղեկատվական համակարգի վեբ ծառայության մշակում (ձեռնարկության անվանումը).

13. Ձեռնարկության համար տեղեկատվական տեղեկատվական համակարգի մշակում (ձեռնարկության անվանումը).

14. Ձեռնարկության տեղեկատվական կառավարման համակարգի մոդելի և դիզայնի մշակում (ձեռնարկության անվանումը).

15. Համակարգի սպասարկման տեխնոլոգիական ծրագրային ապահովման մշակում (համակարգի անվանումը).

16. Միկրոպրոցեսորային սարքի ծրագրային ապահովման մշակում (սարքի անվանումը).

17. Ձեռնարկության տեղեկատվական համակարգի համար բջջային հաճախորդի հավելվածի մշակում (ձեռնարկության անվանումը).

18. Արտադրության գործընթացի պարամետրերի օպտիմալացման մոդելավորման մոդելի մշակում:

19. Վիրտուալ սերվերների նախագծում` հիմնված գործիքների (վիրտուալացման գործիքների անվանումը) և ձեռնարկության համար տվյալների փոխանցման ուղիների վրա (ձեռնարկության անվանումը):

20. Ձեռնարկության տեղեկատվական (կորպորատիվ տեղեկատվական) համակարգի (ձեռնարկության անվանումը) մոդուլի (ենթահամակարգի) (իրականացված գործառույթի անվանումը) մշակում։

կիրառական բակալավրիատի կրթական ծրագրում

վերապատրաստման ոլորտներ 03/09/04 «Ծրագրային ճարտարագիտություն»

Մասնագիտական գործունեության տեսակները.
արտադրական և տեխնոլոգիական,
կազմակերպչական և կառավարչական,
սպասարկման և շահագործման.

1. Կայքի, սոցիալական ցանցի, պորտալի վերլուծության հավելվածի մշակում։

2. Տեղեկատվական (տեղեկատվական և տեղեկատու) համակարգի նախագծում և ծրագրային ներդրում (համակարգի նպատակը կամ գործառույթը).

3. Սարքի համար որոնվածի մշակում (սարքի անվանումը):

4. Համակարգի համար կիրառական ծրագրերի մշակում (համակարգի անվանումը).

5. Ծրագրային տեղեկատվական համակարգի մշակում (օգտագործման տարածքի անվանումը կամ իրականացվող գործընթացի անվանումը).

6. Ծրագրերի փորձարկման և վրիպազերծման մեթոդների մշակում (ծրագրի անվանումը):

7. Ծրագրային մոդուլի մշակում (մոդուլի անվանումը) 1C: Enterprise համակարգի համար (ձեռնարկության անվանումը):

8. Ձեռնարկության տեղեկատվական կառավարման համակարգի վեբ ծառայության մշակում (ձեռնարկության անվանումը):

9. Տեղեկատվական-չափիչ համակարգի աջակցության հավելվածի մշակում (համակարգի նպատակը).

10. 1C:Enterprise համակարգի վեբ ծառայությունների տեղեկատվական անվտանգության ուսումնասիրություն:

11. Ձեռնարկության տեղեկատվական (կորպորատիվ տեղեկատվական) համակարգի (ձեռնարկության անվանումը) մոդուլի (ենթահամակարգի) (իրականացված գործառույթի անվանումը) մշակում։

12. Համակարգի համար սերվերային (հաճախորդ) ծրագրային ապահովման մշակում (համակարգի անվանումը).

Վերջնական որակավորման աշխատանքների առարկաները

կիրառական բակալավրիատի կրթական ծրագրում

ֆոկուս (պրոֆիլ) «Տեղեկատվական ծառայություն»

:
սպասարկում,

1. Ձեռնարկության տեղական ցանցի արդիականացում, կառավարում և սպասարկում (ձեռնարկության անվանումը).

2. Ձեռնարկության տեղեկատվական համակարգի արդիականացում և կառավարում (ձեռնարկության անվանումը).

3. Ձեռնարկության տեղեկատվական համակարգի նախագծում (ձեռնարկության անվանումը).

4. Ձեռնարկության լոկալ ցանցի շահագործման տեխնոլոգիայի նախագծում և մշակում (ձեռնարկության անվանումը):

5. Ձեռնարկության տեղեկատվական համակարգի ապարատային և ծրագրային պաշտպանության նախագծում (ձեռնարկության անվանումը).

6. Սարքի ախտորոշման, վերանորոգման և սպասարկման տեխնոլոգիայի մշակում (սարքի անվանումը, սարքերի խումբը, չափիչ սարքավորումը, համակարգչային միավորը, համակարգչային կամ միկրոպրոցեսորային համակարգ, լոկալ ցանց):

7. Ընկերության կայքի (ընկերության անվանումը) մշակում և կառավարում։

8. Ձեռնարկության տվյալների փոխանցման ցանցի սերվերի կոնֆիգուրացիայի մշակում (ձեռնարկության անվանումը):

9. Ձեռնարկության տեղեկատվական համակարգի տվյալների բազայի մշակում և կառավարում (ձեռնարկության անվանումը).

10. Ձեռնարկության համար Ինտրանետ պորտալի մշակում (ձեռնարկության անվանումը):

11. 1C:Enterprise հարթակում արտադրական գործընթացների մոնիտորինգի ենթահամակարգի մշակում:

12. Ձեռնարկության (ձեռնարկության անվանումը) բաշխված տեղեկատվական համակարգի (համակարգի անվանումը) նախագծի մշակում.

13. Տեղեկատվական և տեղեկատու հաշվառման համակարգի մշակում (հաշվառման օբյեկտի անվանումը).

14. Ձեռնարկությունների տեղեկատվական համակարգի WCF ծառայության մշակում:

15. Ձեռնարկության տեղեկատվական համակարգի մոդելի մշակում (ձեռնարկության անվանումը կամ գործունեության ոլորտը):

16. Ծրագրերի փորձարկման և վրիպազերծման մեթոդների մշակում (ծրագրի անվանումը):

17. Ծրագրային տեղեկատվական համակարգի (օգտագործման տարածքի անվանումը կամ իրականացվող գործընթացի անվանումը) կառավարման և սպասարկման միջոցառումների համալիր մշակում:

18. Տվյալների փոխանցման համակարգի մոդելավորում և հետազոտություն (համակարգի անվանումը).

19. 1C:Enterprise հարթակի վրա բաշխված տեղեկատվական համակարգի պարամետրերի հետազոտություն և օպտիմիզացում:

20. Էլեկտրոնային (համակարգչային) սարքավորումների վերանորոգման և սպասարկման և տեխնիկական սարքավորումների շահագործման կազմակերպման ձեռնարկության (ձեռնարկության անվանումը) ստորաբաժանման նախագծում:

21. Վիրտուալ սերվերների նախագծում` հիմնված գործիքների (վիրտուալացման գործիքների անվանումը) և ձեռնարկության համար տվյալների փոխանցման ուղիների վրա (ձեռնարկության անվանումը):

22. Համակարգի համար սերվերային (հաճախորդ) ծրագրային ապահովման մշակում (համակարգի անվանումը).

Վերջնական որակավորման աշխատանքների առարկաները

կիրառական բակալավրիատի կրթական ծրագրում

ուղղորդում (պրոֆիլ) «Էլեկտրոնային սարքավորումների սպասարկում»

վերապատրաստման ոլորտներ 03.43.01 «Ծառայություն»

Մասնագիտական գործունեության տեսակները.
սպասարկում,
արտադրական և տեխնոլոգիական.

1. Սարքի ախտորոշման, վերանորոգման և սպասարկման տեխնոլոգիայի մշակում (էլեկտրոնային սարքի, միկրոպրոցեսորի կամ հեռահաղորդակցության համակարգի, չափիչ սարքավորումների, տվյալների փոխանցման ցանցի անվանումը):

2. Ձեռնարկության էլեկտրոնային համակարգի (համակարգի անվանումը) մշակում (ձեռնարկության անվանումը, առևտրի և գրասենյակային կենտրոն, ժամանցային համալիր):

3. Տեղեկատվության մուտքագրման/ելքի սարքի մշակում (սարքի անվանումը):

4. Միկրոպրոցեսորային սարքի ծրագրային ապահովման մշակում (սարքի անվանումը):

5. Ձեռնարկության համար կորպորատիվ հեռահաղորդակցության ցանցի մշակում (ձեռնարկության անվանումը).

6. Թվային սարքի (մոդուլի) մշակում (սարքի անվանումը, մոդուլը, իրականացվող ֆունկցիայի անվանումը):

7. Էլեկտրոնային սարքավորումների սնուցման սարքի մշակում (սարքավորման անվանումը).

8. Օբյեկտների մոնիտորինգի (հսկիչ պարամետրերի) տեխնոլոգիայի մշակում (օբյեկտների անվանումը).

9. Անլար սենսորի մշակում և հետազոտություն (չափված պարամետրի անվանումը):

10. Էլեկտրոնային (համակարգչային) սարքավորումների վերանորոգման և սպասարկման և տեխնիկական սարքավորումների շահագործման կազմակերպման ձեռնարկության (ձեռնարկության անվանումը) ստորաբաժանման նախագծում:

11. Ձեռնարկության համար անվտանգության ինտեգրված համակարգի ենթահամակարգի (ենթահամակարգի անվանումը) մշակում (ձեռնարկության անվանումը).

Վերջնական որակավորման աշխատանքների առարկաները

կիրառական բակալավրիատի կրթական ծրագրում

ուղղորդում (պրոֆիլ) «Ազդանշանների հաղորդման, ընդունման և մշակման ռադիոտեխնիկական միջոցներ»
վերապատրաստման ոլորտներ 03/11/01 «Ռադիոտեխնիկա»

Մասնագիտական գործունեության տեսակները.
դիզայն և ճարտարագիտություն,
սպասարկման և շահագործման.

1. Սարքի (բլոկ, մոդուլ; ընդունող, հաղորդող, հաղորդիչ) համակարգի մշակում (համակարգի անվանումը).

2. Էլեկտրոնային սարքավորումների համար անլար ինտերֆեյսի մշակում (սարքավորման անվանումը):

3. Սարքի վիրտուալ մոդելի ուսումնասիրություն (նշեք սարքի տեսակը) միջավայրում (ծրագրային միջավայրի անվանումը):

4. ձեռնարկության անվտանգության ինտեգրված համակարգի ենթահամակարգի (ենթահամակարգի անվանումը) մշակում (ձեռնարկության անվանումը.

Վերջնական որակավորման աշխատանքների առարկաները

կիրառական բակալավրիատի կրթական ծրագրում

ուղղորդում (պրոֆիլ) «Շարժական կապի համակարգեր»

վերապատրաստման ոլորտներ 11.03.02 «Տեղեկատվական տեխնոլոգիաներ և կապի համակարգեր».

Մասնագիտական գործունեության տեսակները.
դիզայն

1. Ձեռնարկության համար հեռահաղորդակցության ցանցի նախագծում (ձեռնարկության անվանումը).

2. Ձեռնարկության հեռահաղորդակցության ցանցի կառավարում և սպասարկում (ձեռնարկության անվանումը).

3. Թվային հեռահաղորդակցության համակարգի բլոկի (կոդեկ, ձայնակոդավորիչ, համաժամացման սարք, համապատասխանող սարք) մշակում։

4. Անլար ինտերֆեյսի ադապտերի մշակում (ինտերֆեյսերի անվանումը):

5. Տեղեկատվության մշակման սարքի (սարքի տեսակ) համակարգի մշակում (համակարգի անվանումը).

6. Ինտերֆեյս համակարգերի սարքի մշակում (համակարգերի անվանումը):

7. Համակարգի վերահսկիչի մշակում (համակարգի անվանումը):

8. Հեռահաղորդակցության համակարգի համաժամացման սարքի մշակում (համակարգի անվանումը).

9. Հեռահաղորդակցության սարքավորումների փորձարկման տեխնոլոգիական սարքի մշակում (սարքավորումների անվանումը).

10. Տեխնոլոգիայի վրա հիմնված անլար կապի ցանցի (ցանցային հատվածի) մշակում (տեխնոլոգիայի անվանումը):

11. Օբյեկտի պարամետրերի հեռահար մոնիտորինգի տեխնոլոգիայի մշակում (պարամետրերի անվանումը):

12. Օբյեկտի վիճակի մոնիտորինգի համար սենսորային ցանցի մշակում (օբյեկտի անվանումը):

13. Հեռահաղորդակցության սարքի (սարքի անվանումը, համակարգ, ցանց, միջավայր) ախտորոշման և պարամետրերի չափման տեխնոլոգիայի մշակում.

14. Համակարգի համար հաղորդիչ սարքի մշակում (համակարգի անվանումը).

15. Օբյեկտի հեռակառավարման հեռահաղորդակցության սարքերի մշակում (օբյեկտի անվանումը).

16. Հեռահաղորդակցության սարքավորումների բաղադրիչների պարամետրի մշակում (բաղադրիչների անվանումը):

17. Անլար տեղեկատվության մուտքային/ելքային սարքի մշակում (սարքի անվանումը):

18. Ինֆոհաղորդակցության տեխնոլոգիայի ապարատային և ծրագրային ապահովման մշակում (տեխնոլոգիայի անվանումը).

19. Համակարգում տեղեկատվության փոխանցման արձանագրությունների ուսումնասիրություն (համակարգի անվանումը).

20. Համակարգի համար թվային ազդանշանի մշակման մեթոդների հետազոտություն (համակարգի անվանումը).

21. Տեղեկատվական կապի տեխնոլոգիաների և օբյեկտների կառավարման համակարգի մշակում (օբյեկտի անվանումը).

22. Պարամետրի չափման անլար համակարգի մշակում (պարամետրի անվանումը):

23. Վիրտուալ սերվերների նախագծում` հիմնված գործիքների (վիրտուալացման գործիքների անվանումը) և ձեռնարկության համար տվյալների փոխանցման ուղիների վրա (ձեռնարկության անվանումը):

Վերջնական որակավորման աշխատանքների առարկաները

միջին մասնագիտական կրթության կրթական ծրագրի համաձայն

մասնագիտություն 09.02.01 «Համակարգչային համակարգեր և համալիրներ»

Մասնագիտական մոդուլներ.

PM.01 Թվային սարքերի նախագծում,

PM.02 Միկրոպրոցեսորային համակարգերի կիրառում, ծայրամասային ուսուցման տեղադրում և կոնֆիգուրացիա,

ՊՄ.03 Համակարգչային համակարգերի և համալիրների սպասարկում և վերանորոգում.

1. Խափանումների ախտորոշում և սարքավորումների տեխնիկական վիճակի մոնիտորինգ (համակարգչային տեխնիկայի կամ համակարգչային ցանցի ապարատային և ծրագրային ապահովման անվանումը).

2. Գործիքների հավաքում, կարգավորում և տեղադրում (համակարգչային սարքավորումների և ծրագրային ապահովման կամ համակարգչային ցանցի անվանումը):

3. Ձեռնարկության համակարգչային ցանցի տեղեկատվական անվտանգության ապահովման միջոցառումների համալիրի մշակում (ձեռնարկության անվանումը).

4. Ձեռնարկության անկոնտակտ նույնականացման համակարգի մշակում (ձեռնարկության անվանումը).

5. Ձեռնարկության տեղեկատվական համակարգի սպասարկում և կառավարում (ձեռնարկության անվանումը).

6. Ձեռնարկության համակարգչային ցանցի սպասարկում և կառավարում (ձեռնարկության անվանումը).

7. Սարքավորումների և ծրագրային ապահովման սպասարկում և աջակցություն (համակարգչային սարքավորումների կամ համակարգչային ցանցի անվանումը):

8. Ծրագրային ապահովման տեղադրում, հարմարեցում և սպասարկում (ծրագրի անվանումը):

9. Թվային (միկրոպրոցեսորային) սարքի (մոդուլի) մշակում և հետազոտություն (սարքի անվանումը, մոդուլը).

10. Փորձարկման տեխնոլոգիայի մշակում և ծրագրային ապահովման համապարփակ կարգաբերում (ծրագրի անվանումը):

Շրջանավարտների համար ավարտական որակավորման աշխատանքների թեմաներ

ֆոկուս (պրոֆիլ) «Համակարգչային տեխնոլոգիաների և տեղեկատվական համակարգերի տարրեր և սարքեր»

վերապատրաստման ոլորտներ 09.04.01 «Ինֆորմատիկա և համակարգչային գիտություն».

Մասնագիտական գործունեության տեսակները.
դիզայն,
գիտական հետազոտություն.

1. Տեղեկատվության փոխանցման ցանցային արձանագրությունների մոդելավորում և հետազոտություն (նշված է տեղեկատվության տեսակը):

2. Համակարգի պարամետրերի բարելավման համակարգչային մեթոդների հետազոտություն և մշակում (նշված են պարամետրերը կամ պարամետրերը և համակարգի տեսակը):

3. Տեղեկատվական կամ հեռահաղորդակցության համակարգերի համակարգչային մոդելավորում, հետազոտություն և օպտիմալացում (նշված է համակարգերի դասը).

4. Անլար սենսորային ցանցերի կառուցման հետազոտություն և օպտիմալացում:

5. Իրերի անլար ինտերնետ ցանցերի կառուցման հետազոտություն և վերլուծություն:

6. Արդյունավետության չափանիշների մշակում և ամպային ենթակառուցվածքում վիրտուալ մեքենաների բաշխման ուսումնասիրություն:

7. Բաշխված տեղեկատվական (կամ տեղեկատվական-չափիչ) համակարգերի արդյունավետության մշակում, հետազոտություն և գնահատում (նշված է կիրառման տարածքը կամ համակարգերի տեսակը):

8. Սարքավորման համար անլար ինտերֆեյսի մշակում և հետազոտություն (սարքավորումների անվանումը):

9. Օբյեկտների հետագծման սարքի մշակում և հետազոտություն (օբյեկտների անվանումը):

10. Օբյեկտի վիճակի մոնիտորինգի սարքերի մշակում և հետազոտություն (օբյեկտի անվանումը).

11. Սարքերի ապարատային և ծրագրային ախտորոշիչ գործիքների մշակում (սարքերի անվանումը).

12. Անլար սենսորի մշակում և հետազոտություն (չափված պարամետրի անվանումը):

13. Պարամետրի (պարամետրի անվանումը) կոդի փոխարկիչների ուղղման ալգորիթմների ուսումնասիրություն:

14. Օբյեկտի կառավարման համակարգի պարամետրերի մոնիտորինգի ալգորիթմների և ծրագրային ապահովման մշակում (օբյեկտի անվանումը).

15. Օբյեկտի համար անլար կառավարման սարքերի մշակում և հետազոտություն (օբյեկտի անվանումը):

16. Պարամետրերի փոխարկիչների մոդելավորում և հետազոտություն (պարամետրերի անվանումը).

17. Ծրագրային ապահովման որակի գնահատման մեթոդներ (նշված է ծրագրային ապահովման նպատակը).

18. Պայմաններում սարքերի (սարքերի անվանումը) աշխատանքի ուսումնասիրություն (նշված են պայմանները)` բնութագրերը բարելավելու նպատակով (նշված են բնութագրերը):

19. Սարքերի (սարքերի անվանումը) վերլուծության և սինթեզի մեթոդների մշակում` բնութագրերը բարելավելու նպատակով (նշված են բնութագրերը):

Վերջնական որակավորման աշխատանքների առարկաները

ակադեմիական մագիստրատուրայում

ֆոկուս (պրոֆիլ) «Ծրագրային և տեղեկատվական համակարգերի մշակում»
վերապատրաստման ոլորտներ 09.04.04 «Ծրագրային ճարտարագիտություն»

Մասնագիտական գործունեության տեսակները:
հետազոտություն,
դիզայն

1. Բարձրագույն ուսումնական հաստատություններում գրաֆիկների ցուցադրման REST ծառայության մշակում և հետազոտություն։

2. Բջջային օպերատորների համար ծրագրային ապահովման փորձարկման գործիքների հետազոտություն և մշակում:

3. Պատահական կառուցվածք ունեցող համակարգերի տեսության հիման վրա մարդու ֆիզիոլոգիական վիճակի ճանաչում.

4. Վաճառքի ավտոմատացման տեղեկատվական համակարգի (ձեռնարկության անվանումը) նախագծում MDA մոտեցման հիման վրա:

5. Ծրագրային ապահովման որակի գնահատման ծրագրային տեղեկատվական համակարգի մշակում եւ հետազոտություն (նշվում է ծրագրային ապահովման անվանումը):

6. Բաշխված ծրագրային ապահովման և տեղեկատվական համակարգերի մշակում (նշված է համակարգի կիրառման շրջանակը) և արդյունավետության չափանիշների հիման վրա դրանց օպտիմալացման հնարավորությունների ուսումնասիրություն (չափանիշները նշված են):

7. Համակարգի համար մուտքային/ելքային սարքերին աջակցելու համար ծրագրային ապահովման մշակում (համակարգի անվանումը):

8. Ծրագրային տեղեկատվական համակարգի բաղադրիչների անվտանգության ուսումնասիրություն (համակարգի անվանումը).

Ներածություն

Գլուխ 1. Որդեգրման և տեղեկատվական անվտանգության տեսական ասպեկտները

1.1Տեղեկատվական անվտանգության հայեցակարգը

3 Տեղեկատվության անվտանգության մեթոդներ

Գլուխ 2. Տեղեկատվական անվտանգության համակարգի վերլուծություն

1 Ընկերության գործունեության շրջանակը և ֆինանսական ցուցանիշների վերլուծությունը

2 Ընկերության տեղեկատվական անվտանգության համակարգի նկարագրությունը

3 Գործող տեղեկատվական անվտանգության համակարգի արդիականացման միջոցառումների համալիրի մշակում

Եզրակացություն

Մատենագիտություն

Դիմում

Հավելված 1. Հաշվեկշիռ 2010 թ

Ներածություն

Թեզի թեմայի արդիականությունը որոշվում է տեղեկատվական անվտանգության խնդիրների բարձր մակարդակով, նույնիսկ տվյալների պաշտպանության տեխնոլոգիաների և գործիքների արագ աճի համատեքստում: Անհնար է ապահովել կորպորատիվ տեղեկատվական համակարգերի պաշտպանվածության 100% մակարդակ՝ միաժամանակ տվյալների պաշտպանության խնդիրները ճիշտ առաջնահերթություն տալով՝ հաշվի առնելով տեղեկատվական տեխնոլոգիաներին հատկացվող բյուջեի սահմանափակ բաժինը:

Հաշվողական և ցանցային կորպորատիվ ենթակառուցվածքի հուսալի պաշտպանությունը ցանկացած ընկերության համար տեղեկատվական անվտանգության հիմնական խնդիրն է: Ձեռնարկության բիզնեսի աճի և աշխարհագրորեն բաշխված կազմակերպության անցման հետ մեկտեղ այն սկսում է դուրս գալ մեկ շենքի սահմաններից:

ՏՏ ենթակառուցվածքների և կորպորատիվ կիրառական համակարգերի արդյունավետ պաշտպանությունն այսօր անհնար է առանց ցանցային մուտքի վերահսկման ժամանակակից տեխնոլոգիաների ներդրման: Արժեքավոր բիզնես տեղեկատվություն պարունակող լրատվամիջոցների գողության դեպքերի աճը գնալով ստիպում է ձեռնարկել կազմակերպչական միջոցառումներ:

Այս աշխատանքի նպատակը կլինի գնահատել կազմակերպությունում առկա տեղեկատվական անվտանգության համակարգը և մշակել այն կատարելագործելու միջոցառումներ:

Այս նպատակը սահմանում է թեզի հետևյալ նպատակները.

) դիտարկել տեղեկատվական անվտանգության հայեցակարգը.

) դիտարկել տեղեկատվական համակարգերի համար հնարավոր սպառնալիքների տեսակները և կազմակերպությունում տեղեկատվության արտահոսքի հնարավոր սպառնալիքներից պաշտպանվելու տարբերակները:

) բացահայտել տեղեկատվական ռեսուրսների ցանկը, որոնց ամբողջականության կամ գաղտնիության խախտումը կհանգեցնի ձեռնարկությանն ամենամեծ վնասի.

) դրանց հիման վրա մշակել միջոցառումների շարք՝ բարելավելու առկա տեղեկատվական անվտանգության համակարգը:

Աշխատանքը բաղկացած է ներածությունից, երկու գլուխներից, եզրակացությունից, օգտագործված աղբյուրների ցանկից և կիրառություններից:

Ներածությունը հիմնավորում է հետազոտական թեմայի արդիականությունը և ձևակերպում աշխատանքի նպատակն ու խնդիրները:

Առաջին գլխում քննարկվում են կազմակերպությունում տեղեկատվական անվտանգության հայեցակարգի տեսական ասպեկտները:

Երկրորդ գլխում տրված է ընկերության գործունեության համառոտ նկարագրությունը, կատարողականի հիմնական ցուցանիշները, նկարագրվում է տեղեկատվական անվտանգության համակարգի ներկա վիճակը և առաջարկվում են այն բարելավելու միջոցներ:

Եզրափակելով՝ ձևակերպվում են աշխատանքի հիմնական արդյունքներն ու եզրակացությունները։

Ատենախոսության մեթոդական և տեսական հիմքը տեղեկատվական անվտանգության ոլորտում տեղական և արտասահմանյան փորձագետների աշխատանքն էր, որի ընթացքում օգտագործվել են տեղեկություններ, որոնք արտացոլում են օրենքների, օրենսդրական ակտերի և կանոնակարգերի, ՀՀ կառավարության որոշումների բովանդակությունը: Ռուսաստանի Դաշնությունը կարգավորում է տեղեկատվական անվտանգությունը, տեղեկատվական անվտանգության միջազգային ստանդարտները:

Թեզի հետազոտության տեսական նշանակությունը տեղեկատվական անվտանգության քաղաքականության մշակման ժամանակ ինտեգրված մոտեցման ներդրման մեջ է:

Աշխատանքի գործնական նշանակությունը որոշվում է նրանով, որ դրա արդյունքները հնարավորություն են տալիս բարձրացնել ձեռնարկությունում տեղեկատվության պաշտպանության աստիճանը տեղեկատվական անվտանգության քաղաքականության իրավասու նախագծման միջոցով:

Գլուխ 1. Որդեգրման և տեղեկատվական անվտանգության տեսական ասպեկտները

1.1 Տեղեկատվական անվտանգության հայեցակարգ

Տեղեկատվական անվտանգությունը վերաբերում է տեղեկատվության և դրա աջակցող ենթակառուցվածքի անվտանգությանը ցանկացած պատահական կամ վնասակար ազդեցությունից, որը կարող է վնաս հասցնել հենց տեղեկատվությանը, դրա սեփականատերերին կամ օժանդակ ենթակառուցվածքին: Տեղեկատվական անվտանգության նպատակները հանգում են վնասը նվազագույնի հասցնելուն, ինչպես նաև նման ազդեցությունների կանխատեսմանը և կանխմանը:

Պաշտպանության կարիք ունեցող տեղեկատվական համակարգերի պարամետրերը կարելի է բաժանել հետևյալ կատեգորիաների՝ տեղեկատվական ռեսուրսների ամբողջականության, մատչելիության և գաղտնիության ապահովում:

մատչելիությունը կարճ ժամանակահատվածում անհրաժեշտ տեղեկատվական ծառայություն ստանալու հնարավորությունն է.

ամբողջականությունը տեղեկատվության համապատասխանությունն ու հետևողականությունն է, դրա պաշտպանությունը ոչնչացումից և չարտոնված փոփոխություններից.

գաղտնիություն - պաշտպանություն տեղեկատվության չարտոնված մուտքից:

Տեղեկատվական համակարգերը հիմնականում ստեղծվում են որոշակի տեղեկատվական ծառայություններ ստանալու համար: Եթե որևէ պատճառով տեղեկատվություն ստանալն անհնար է դառնում, դա վնաս է հասցնում տեղեկատվական հարաբերությունների բոլոր սուբյեկտներին: Այստեղից մենք կարող ենք որոշել, որ տեղեկատվության հասանելիությունն առաջին տեղում է:

Ամբողջականությունը տեղեկատվական անվտանգության հիմնական ասպեկտն է, երբ ճշգրտությունն ու ճշմարտացիությունը տեղեկատվության հիմնական պարամետրերն են: Օրինակ, բժշկական դեղերի դեղատոմսեր կամ բաղադրիչների հավաքածու և բնութագրեր:

Մեր երկրում տեղեկատվական անվտանգության ամենազարգացած բաղադրիչը գաղտնիությունն է։ Բայց ժամանակակից տեղեկատվական համակարգերի գաղտնիությունն ապահովելու միջոցառումների գործնական իրականացումը Ռուսաստանում մեծ դժվարությունների է հանդիպում։ Նախ, տեղեկատվության արտահոսքի տեխնիկական ուղիների մասին տեղեկատվությունը փակ է, ուստի օգտվողների մեծ մասը չի կարողանում պատկերացում կազմել հնարավոր ռիսկերի մասին: Երկրորդ, կան բազմաթիվ օրենսդրական խոչընդոտներ և տեխնիկական մարտահրավերներ, որոնք խոչընդոտում են մաքսային ծածկագրմանը՝ որպես գաղտնիության ապահովման առաջնային միջոց:

Գործողությունները, որոնք կարող են վնաս հասցնել տեղեկատվական համակարգին, կարելի է բաժանել մի քանի կատեգորիաների.

աշխատակայանի կամ սերվերի տվյալների նպատակային գողություն կամ ոչնչացում.

Անզգույշ գործողությունների հետևանքով օգտագործողի կողմից տվյալների վնասում:

. Հաքերների կողմից իրականացվող ազդեցության «էլեկտրոնային» մեթոդներ.

Հաքերները հասկացվում են որպես մարդիկ, ովքեր զբաղվում են համակարգչային հանցագործություններով և՛ մասնագիտորեն (ներառյալ որպես մրցակցության մաս), և՛ պարզապես հետաքրքրասիրությունից դրդված: Այս մեթոդները ներառում են.

չարտոնված մուտք համակարգչային ցանցեր;

Արտաքինից ձեռնարկատիրական ցանց չարտոնված մուտքի նպատակը կարող է լինել վնաս պատճառելը (տվյալների ոչնչացումը), գաղտնի տեղեկատվությունը գողանալը և օգտագործել այն անօրինական նպատակներով, օգտագործել ցանցային ենթակառուցվածքը երրորդ կողմի հանգույցների վրա հարձակումներ կազմակերպելու, հաշիվներից միջոցներ գողանալը: և այլն։

DOS հարձակումը (կրճատվում է Denial of Service-ից) արտաքին հարձակում է ձեռնարկության ցանցի հանգույցների վրա, որոնք պատասխանատու են դրա անվտանգ և արդյունավետ աշխատանքի համար (ֆայլեր, փոստային սերվերներ): Հարձակվողները կազմակերպում են տվյալների փաթեթների զանգվածային ուղարկում այս հանգույցներին՝ դրանք ծանրաբեռնելու և արդյունքում դրանք որոշ ժամանակով դուրս թողնելու համար: Սա, որպես կանոն, ենթադրում է տուժող ընկերության բիզնես գործընթացների խաթարումներ, հաճախորդների կորուստ, հեղինակության վնաս և այլն:

Համակարգչային վիրուսներ. Էլեկտրոնային ազդեցության մեթոդների առանձին կատեգորիա են համակարգչային վիրուսները և այլ վնասակար ծրագրերը։ Դրանք իրական վտանգ են ներկայացնում ժամանակակից բիզնեսների համար, որոնք լայնորեն օգտվում են համակարգչային ցանցերից, ինտերնետից և էլեկտրոնային փոստից: Վիրուսի ներթափանցումը կորպորատիվ ցանցի հանգույցներ կարող է հանգեցնել դրանց աշխատանքի խաթարման, աշխատաժամանակի կորստի, տվյալների կորստի, գաղտնի տեղեկատվության գողության և նույնիսկ ֆինանսական ռեսուրսների ուղղակի հափշտակության: Կորպորատիվ ցանց ներթափանցած վիրուսային ծրագիրը կարող է հարձակվողներին մասնակի կամ ամբողջական վերահսկողություն տալ ընկերության գործունեության վրա:

Սպամ. Ընդամենը մի քանի տարվա ընթացքում սպամը փոքր գրգռումից վերածվել է անվտանգության ամենալուրջ սպառնալիքներից մեկի.

փոստը վերջերս դարձել է չարամիտ ծրագրերի տարածման հիմնական ալիքը.

սպամը շատ ժամանակ է պահանջում հաղորդագրությունները դիտելու և հետագայում ջնջելու համար՝ աշխատակիցների մոտ առաջացնելով հոգեբանական անհանգստության զգացում.

և՛ անհատները, և՛ կազմակերպությունները դառնում են սպամերի կողմից իրականացվող խարդախ սխեմաների զոհ (զոհերը հաճախ փորձում են չբացահայտել նման իրադարձությունները).

կարևոր նամակագրությունը հաճախ ջնջվում է սպամի հետ միասին, ինչը կարող է հանգեցնել հաճախորդների կորստի, պայմանագրերի խզման և այլ տհաճ հետևանքների. նամակագրությունը կորցնելու վտանգը հատկապես մեծանում է RBL սև ցուցակների և սպամի զտման այլ «կոպիտ» մեթոդների կիրառման ժամանակ:

«Բնական» սպառնալիքներ. Ընկերության տեղեկատվական անվտանգության վրա կարող են ազդել մի շարք արտաքին գործոններ. տվյալների կորուստը կարող է առաջանալ ոչ պատշաճ պահպանման, համակարգիչների և լրատվամիջոցների գողության, ֆորսմաժորների և այլնի հետևանքով:

Տեղեկատվական անվտանգության կառավարման համակարգը (ISMS կամ Տեղեկատվական անվտանգության կառավարման համակարգ) թույլ է տալիս կառավարել մի շարք միջոցառումներ, որոնք իրականացնում են որոշակի նախատեսված ռազմավարություն, այս դեպքում՝ կապված տեղեկատվական անվտանգության հետ: Նկատենք, որ խոսքը ոչ միայն գոյություն ունեցող համակարգի կառավարման, այլ նորը կառուցելու/հինը վերանախագծելու մասին է։

Միջոցառումների շարքը ներառում է կազմակերպչական, տեխնիկական, ֆիզիկական և այլն: Տեղեկատվական անվտանգության կառավարումը բարդ գործընթաց է, որը թույլ է տալիս ձեռնարկությունում իրականացնել տեղեկատվական անվտանգության ամենաարդյունավետ և համապարփակ կառավարումը:

Տեղեկատվական անվտանգության կառավարման նպատակն է պահպանել տեղեկատվության գաղտնիությունը, ամբողջականությունը և մատչելիությունը: Հարցը միայն այն է, թե ինչպիսի տեղեկատվությունը պետք է պաշտպանվի, և ինչ ջանքեր պետք է գործադրվեն դրա անվտանգությունն ապահովելու համար։

Ցանկացած կառավարում հիմնված է իրավիճակի իրազեկման վրա, որում դա տեղի է ունենում: Ռիսկերի վերլուծության առումով իրավիճակի իրազեկումն արտահայտվում է կազմակերպության ակտիվների և դրանց միջավայրի գույքագրման և գնահատման մեջ, այսինքն՝ այն ամենն, ինչ ապահովում է ձեռնարկատիրական գործունեության իրականացումը: Տեղեկատվական անվտանգության ռիսկերի վերլուծության տեսանկյունից հիմնական ակտիվները ներառում են տեղեկատվությունը, ենթակառուցվածքը, անձնակազմը, ընկերության իմիջը և հեղինակությունը: Առանց ձեռնարկատիրական գործունեության մակարդակով ակտիվների գույքագրման, անհնար է պատասխանել այն հարցին, թե կոնկրետ ինչն է պետք պաշտպանել: Կարևոր է հասկանալ, թե ինչ տեղեկատվություն է մշակվում կազմակերպության ներսում և որտեղ է այն մշակվում:

Ժամանակակից խոշոր կազմակերպությունում տեղեկատվական ակտիվների թիվը կարող է շատ մեծ լինել: Եթե կազմակերպության գործունեությունը ավտոմատացված է ERP համակարգի միջոցով, ապա կարելի է ասել, որ այս գործունեության մեջ օգտագործվող գրեթե ցանկացած նյութական օբյեկտ համապատասխանում է ինչ-որ տեղեկատվական օբյեկտի: Հետևաբար, ռիսկերի կառավարման առաջնային խնդիրն ամենակարևոր ակտիվների բացահայտումն է:

Անհնար է լուծել այս խնդիրը՝ առանց կազմակերպության հիմնական գործունեության՝ ինչպես միջին, այնպես էլ բարձր մակարդակի ղեկավարների ներգրավման։ Օպտիմալ իրավիճակն այն է, երբ կազմակերպության բարձրագույն ղեկավարությունն անձամբ է սահմանում գործունեության ամենակարևոր ոլորտները, որոնց համար չափազանց կարևոր է տեղեկատվական անվտանգության ապահովումը: Տեղեկատվական անվտանգության ապահովման առաջնահերթությունների վերաբերյալ բարձր ղեկավարության կարծիքը շատ կարևոր և արժեքավոր է ռիսկերի վերլուծության գործընթացում, բայց ամեն դեպքում այն պետք է պարզաբանվի ընկերության կառավարման միջին մակարդակում ակտիվների կարևորության մասին տեղեկատվության հավաքագրմամբ: Միևնույն ժամանակ, նպատակահարմար է հետագա վերլուծություններ կատարել հենց բարձրագույն ղեկավարության կողմից նշանակված բիզնես գործունեության ոլորտներում: Ստացված տեղեկատվությունը մշակվում, համախմբվում և փոխանցվում է բարձրագույն ղեկավարությանը` իրավիճակի համապարփակ գնահատման համար:

Տեղեկատվությունը կարող է նույնականացվել և տեղայնացվել՝ հիմնվելով բիզնես գործընթացների նկարագրության վրա, որտեղ տեղեկատվությունը համարվում է ռեսուրսների տեսակներից մեկը: Խնդիրը որոշ չափով պարզեցված է, եթե կազմակերպությունը որդեգրել է բիզնես գործունեության կարգավորման մոտեցում (օրինակ՝ որակի կառավարման և բիզնես գործընթացների օպտիմալացման նպատակով): Բիզնես գործընթացների պաշտոնական նկարագրությունները լավ մեկնարկային կետ են ակտիվների գույքագրման համար: Եթե նկարագրություններ չկան, կարող եք բացահայտել ակտիվները՝ հիմնվելով կազմակերպության աշխատակիցներից ստացված տեղեկատվության վրա: Ակտիվները հայտնաբերելուց հետո դրանց արժեքը պետք է որոշվի:

Ամբողջ կազմակերպությունում տեղեկատվական ակտիվների արժեքը որոշելու աշխատանքը և՛ ամենակարևորն է, և՛ բարդը: Հենց տեղեկատվական ակտիվների գնահատումը հնարավորություն կտա տեղեկատվական անվտանգության վարչության պետին ընտրել տեղեկատվական անվտանգության ապահովման գործունեության հիմնական ուղղությունները։

Սակայն տեղեկատվական անվտանգության կառավարման գործընթացի տնտեսական արդյունավետությունը մեծապես կախված է այն գիտակցությունից, թե ինչ է պետք պաշտպանվել և ինչ ջանքեր կպահանջվեն դրա համար, քանի որ շատ դեպքերում կիրառվող ջանքերի քանակն ուղիղ համեմատական է ծախսված գումարի և գործառնական ծախսերի քանակին: Ռիսկերի կառավարումը թույլ է տալիս պատասխանել այն հարցին, թե որտեղ կարող եք ռիսկի դիմել, և որտեղ ոչ: Տեղեկատվական անվտանգության դեպքում «ռիսկ» տերմինը նշանակում է, որ որոշակի ոլորտում հնարավոր է էական ջանքեր չգործադրել տեղեկատվական ակտիվների պաշտպանության համար, և միևնույն ժամանակ, անվտանգության խախտման դեպքում կազմակերպությունը չի տուժի։ զգալի կորուստներ։ Այստեղ մենք կարող ենք անալոգիա անել ավտոմատացված համակարգերի պաշտպանության դասերի հետ. որքան մեծ են ռիսկերը, այնքան ավելի խիստ պետք է լինեն պաշտպանության պահանջները:

Անվտանգության խախտման հետևանքները որոշելու համար դուք պետք է կամ տեղեկատվություն ունենաք նմանատիպ բնույթի գրանցված միջադեպերի մասին, կամ կատարեք սցենարի վերլուծություն: Սցենարների վերլուծությունը ուսումնասիրում է ակտիվների անվտանգության իրադարձությունների և այդ իրադարձությունների հետևանքների միջև պատճառահետևանքային կապերը կազմակերպության բիզնես գործունեության վրա: Սցենարների հետևանքները պետք է գնահատվեն մի քանի մարդկանց կողմից՝ կրկնվող կամ դիտավորյալ: Հարկ է նշել, որ նման սցենարների մշակումն ու գնահատումը չի կարող լիովին անջատվել իրականությունից։ Պետք է միշտ հիշել, որ սցենարը պետք է հավանական լինի։ Արժեքի որոշման չափանիշներն ու սանդղակները անհատական են յուրաքանչյուր կազմակերպության համար: Սցենարների վերլուծության արդյունքների հիման վրա կարելի է տեղեկատվություն ստանալ ակտիվների արժեքի մասին:

Եթե հայտնաբերվեն ակտիվները և որոշվի դրանց արժեքը, կարելի է ասել, որ տեղեկատվական անվտանգության ապահովման նպատակները մասնակիորեն հաստատված են. որոշվում են պաշտպանության օբյեկտները և կազմակերպության համար տեղեկատվական անվտանգության վիճակում դրանց պահպանման կարևորությունը: Թերևս մնում է միայն որոշել, թե ումից է պետք պաշտպանվել:

Տեղեկատվական անվտանգության կառավարման նպատակները որոշելուց հետո դուք պետք է վերլուծեք այն խնդիրները, որոնք խանգարում են ձեզ մոտենալ թիրախային վիճակին: Այս մակարդակում ռիսկերի վերլուծության գործընթացը իջնում է տեղեկատվական ենթակառուցվածքի և տեղեկատվական անվտանգության ավանդական հասկացությունների՝ ներխուժողների, սպառնալիքների և խոցելիության վրա:

Ռիսկերը գնահատելու համար բավական չէ ներդնել խախտողի ստանդարտ մոդել, որը բաժանում է բոլոր խախտողներին՝ ըստ ակտիվի հասանելիության տեսակի և ակտիվի կառուցվածքի մասին գիտելիքների: Այս բաժանումը օգնում է որոշել, թե ինչ սպառնալիքներ կարող են ուղղված լինել ակտիվի վրա, բայց չի պատասխանում այն հարցին, թե արդյոք այդ սպառնալիքները սկզբունքորեն կարող են իրականացվել:

Ռիսկի վերլուծության գործընթացում անհրաժեշտ է գնահատել խախտողների մոտիվացիան սպառնալիքների իրականացման հարցում: Տվյալ դեպքում խախտողը նկատի ունի ոչ թե վերացական արտաքին հաքեր կամ ինսայդեր, այլ ակտիվի անվտանգությունը խախտելու միջոցով օգուտներ ստանալու շահագրգռված կողմ:

Ցանկալի է նախնական տեղեկատվություն ստանալ իրավախախտի մոդելի մասին, ինչպես տեղեկատվական անվտանգության գործունեության սկզբնական ուղղությունների ընտրության դեպքում, բարձրագույն ղեկավարությունից, ով հասկանում է կազմակերպության դիրքը շուկայում, ունի տեղեկատվություն մրցակիցների մասին և ազդեցության ինչպիսի մեթոդներ կարող է լինել։ նրանցից սպասելի։ Ներխուժողի մոդելի մշակման համար անհրաժեշտ տեղեկատվությունը կարելի է ստանալ նաև համակարգչային անվտանգության խախտումների վերաբերյալ մասնագիտացված հետազոտությունից այն բիզնես ոլորտում, որի համար իրականացվում է ռիսկերի վերլուծություն: Պատշաճ կերպով մշակված ներխուժողի մոդելը լրացնում է տեղեկատվական անվտանգության նպատակները, որոնք որոշվել են կազմակերպության ակտիվները գնահատելիս:

Սպառնալիքի մոդելի մշակումը և խոցելիության բացահայտումը անքակտելիորեն կապված են կազմակերպության տեղեկատվական ակտիվների միջավայրի գույքագրման հետ: Ինֆորմացիան ինքնին չի պահվում կամ մշակվում: Դրան հասանելիությունը տրամադրվում է տեղեկատվական ենթակառուցվածքի միջոցով, որն ավտոմատացնում է կազմակերպության բիզնես գործընթացները: Կարևոր է հասկանալ, թե ինչպես են կազմակերպության տեղեկատվական ենթակառուցվածքը և տեղեկատվական ակտիվները կապված միմյանց հետ: Տեղեկատվական անվտանգության կառավարման տեսանկյունից տեղեկատվական ենթակառուցվածքի կարևորությունը կարող է հաստատվել միայն տեղեկատվական ակտիվների և ենթակառուցվածքների միջև կապը որոշելուց հետո: Եթե կազմակերպությունում տեղեկատվական ենթակառուցվածքի պահպանման և շահագործման գործընթացները կանոնակարգված են և թափանցիկ, ապա սպառնալիքները բացահայտելու և խոցելիությունները գնահատելու համար անհրաժեշտ տեղեկատվության հավաքագրումը զգալիորեն պարզեցվում է:

Սպառնալիքի մոդելի մշակումը աշխատանք է տեղեկատվական անվտանգության մասնագետների համար, ովքեր լավ հասկանում են, թե ինչպես հարձակվողը կարող է չարտոնված մուտք ստանալ տեղեկատվություն՝ խախտելով անվտանգության պարագիծը կամ օգտագործելով սոցիալական ինժեներական մեթոդները: Սպառնալիքների մոդելը մշակելիս կարելի է խոսել նաև սցենարների մասին՝ որպես հաջորդական քայլերի, որոնց համաձայն կարող են իրականացվել սպառնալիքները։ Շատ հազվադեպ է պատահում, որ սպառնալիքներն իրականացվում են մեկ քայլով՝ օգտագործելով համակարգի մեկ խոցելի կետը։

Սպառնալիքների մոդելը պետք է ներառի բոլոր սպառնալիքները, որոնք հայտնաբերված են տեղեկատվական անվտանգության կառավարման գործընթացների միջոցով, ինչպիսիք են խոցելիությունը և միջադեպերի կառավարումը: Պետք է հիշել, որ սպառնալիքները պետք է դասակարգվեն միմյանց նկատմամբ՝ ըստ դրանց իրականացման հավանականության աստիճանի: Դա անելու համար յուրաքանչյուր սպառնալիքի համար սպառնալիքի մոդելի մշակման գործընթացում անհրաժեշտ է նշել առավել նշանակալից գործոնները, որոնց առկայությունը ազդում է դրա իրականացման վրա:

Անվտանգության քաղաքականությունը հիմնված է ռիսկերի վերլուծության վրա, որոնք իրական են ճանաչվում կազմակերպության տեղեկատվական համակարգի համար: Ռիսկերը վերլուծելուց և պաշտպանության ռազմավարությունը որոշելուց հետո կազմվում է տեղեկատվական անվտանգության ծրագիր: Այս ծրագրի համար հատկացվում են ռեսուրսներ, նշանակվում են պատասխանատուներ, որոշվում է ծրագրի կատարման մոնիտորինգի կարգը և այլն։

Լայն իմաստով անվտանգության քաղաքականությունը սահմանվում է որպես փաստաթղթավորված կառավարման որոշումների համակարգ՝ ապահովելու կազմակերպության անվտանգությունը: Նեղ իմաստով, անվտանգության քաղաքականությունը սովորաբար հասկացվում է որպես տեղական կարգավորող փաստաթուղթ, որը սահմանում է անվտանգության պահանջները, միջոցառումների համակարգը կամ ընթացակարգը, ինչպես նաև կազմակերպության աշխատակիցների պարտականությունները և վերահսկման մեխանիզմները անվտանգության որոշակի ոլորտի համար:

Նախքան ինքնին տեղեկատվական անվտանգության քաղաքականության ձևակերպումը սկսելը, անհրաժեշտ է հասկանալ այն հիմնական հասկացությունները, որոնցով մենք գործելու ենք:

Տեղեկատվություն - տեղեկատվություն (հաղորդագրություններ, տվյալներ) անկախ դրանց ներկայացման ձևից:

Տեղեկատվության գաղտնիությունը պարտադիր պահանջ է այն անձի համար, ով հասանելի է դարձել որոշակի տեղեկատվությանը, չփոխանցել այդ տեղեկատվությունը երրորդ անձանց առանց դրա սեփականատիրոջ համաձայնության:

Տեղեկատվական անվտանգությունը (ՏԱ) հասարակության տեղեկատվական միջավայրի անվտանգության վիճակն է, որն ապահովում է դրա ձևավորումը, օգտագործումը և զարգացումը` ի շահ քաղաքացիների, կազմակերպությունների և պետությունների:

«Տեղեկություն» հասկացությունն այսօր օգտագործվում է բավականին լայնորեն և բազմակողմանիորեն:

Տեղեկատվական անվտանգության ապահովումը չի կարող լինել մեկանգամյա գործողություն։ Սա շարունակական գործընթաց է, որը բաղկացած է անվտանգության համակարգի կատարելագործման և զարգացման առավել ռացիոնալ մեթոդների, մեթոդների և ուղիների հիմնավորումից և իրականացումից, դրա վիճակի շարունակական մոնիտորինգից, թույլ կողմերի և անօրինական գործողությունների բացահայտումից:

Տեղեկատվական անվտանգությունը կարող է ապահովվել միայն արտադրական համակարգի բոլոր կառուցվածքային տարրերում և տեղեկատվության մշակման տեխնոլոգիական ցիկլի բոլոր փուլերում առկա անվտանգության միջոցների ողջ տեսականու ինտեգրված օգտագործման միջոցով: Ամենամեծ ազդեցությունը ձեռք է բերվում, երբ օգտագործվող բոլոր միջոցները, մեթոդները և միջոցները միավորվում են մեկ ամբողջական մեխանիզմի մեջ՝ տեղեկատվական անվտանգության համակարգում: Միևնույն ժամանակ, համակարգի գործունեությունը պետք է վերահսկվի, թարմացվի և լրացվի՝ կախված արտաքին և ներքին պայմանների փոփոխություններից:

ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408:2005 ստանդարտի համաձայն՝ կարելի է առանձնացնել անվտանգության պահանջների հետևյալ տեսակները.

ֆունկցիոնալ, որը համապատասխանում է պաշտպանության ակտիվ կողմին, անվտանգության գործառույթներին ներկայացվող պահանջներին և դրանք իրականացնող մեխանիզմներին.

վստահության պահանջներ, որոնք համապատասխանում են տեխնոլոգիայի վրա պարտադրված պասիվ ասպեկտին և զարգացման ու շահագործման գործընթացին:

Շատ կարևոր է, որ այս ստանդարտում անվտանգությունը դիտարկվի ոչ թե ստատիկորեն, այլ գնահատվող օբյեկտի կյանքի ցիկլի հետ կապված: Առանձնացվում են հետևյալ փուլերը.

նպատակի, օգտագործման պայմանների, նպատակների և անվտանգության պահանջների որոշում.

նախագծում և զարգացում;

թեստավորում, գնահատում և սերտիֆիկացում;

իրականացում և շահագործում։

Այսպիսով, եկեք ավելի սերտ նայենք ֆունկցիոնալ անվտանգության պահանջներին: Դրանք ներառում են.

օգտագործողի տվյալների պաշտպանություն;

անվտանգության գործառույթների պաշտպանություն (պահանջները վերաբերում են այդ անվտանգության ծառայությունների ամբողջականությանը և վերահսկմանը և դրանք իրականացնող մեխանիզմներին).

անվտանգության կառավարում (այս դասի պահանջները վերաբերում են անվտանգության հատկանիշների և պարամետրերի կառավարմանը);

անվտանգության աուդիտ (նույնականացում, գրանցում, պահպանում, գնահատվող օբյեկտի անվտանգության վրա ազդող տվյալների վերլուծություն, անվտանգության հնարավոր խախտման պատասխան);

գաղտնիություն (օգտագործողին պաշտպանել իր նույնականացման տվյալների բացահայտումից և չարտոնված օգտագործումից);

ռեսուրսների օգտագործում (տեղեկատվության մատչելիության պահանջներ);

հաղորդակցություն (տվյալների փոխանակման մեջ ներգրավված կողմերի նույնականացում);

վստահելի երթուղի/ալիք (անվտանգության ծառայությունների հետ կապի համար):

Այս պահանջներին համապատասխան՝ անհրաժեշտ է ձևակերպել կազմակերպության տեղեկատվական անվտանգության համակարգը:

Կազմակերպության տեղեկատվական անվտանգության համակարգը ներառում է հետևյալ ոլորտները.

կարգավորող;

կազմակերպչական (վարչական);

տեխնիկական;

ծրագրային ապահովում;

Անվտանգության բոլոր ոլորտներում ձեռնարկությունում իրավիճակը լիարժեք գնահատելու համար անհրաժեշտ է մշակել տեղեկատվական անվտանգության հայեցակարգ, որը համակարգված մոտեցում կստեղծի տեղեկատվական ռեսուրսների անվտանգության խնդրին և կներկայացնի նպատակների, խնդիրների, նախագծման սկզբունքների և սկզբունքների համակարգված հայտարարություն: ձեռնարկությունում տեղեկատվական անվտանգության ապահովման միջոցառումների մի շարք.

Կորպորատիվ ցանցի կառավարման համակարգը պետք է հիմնված լինի հետևյալ սկզբունքների (առաջադրանքների) վրա.

ձեռնարկության առկա տեղեկատվական ենթակառուցվածքի պաշտպանությունը ներխուժողներից.

պայմանների ապահովում հնարավոր վնասը տեղայնացնելու և նվազագույնի հասցնելու համար.

սկզբնական փուլում վերացնելով սպառնալիքների աղբյուրները.

տեղեկատվության պաշտպանվածության ապահովում երեք հիմնական տեսակի առաջացող սպառնալիքներից (առկայություն, ամբողջականություն, գաղտնիություն).

Վերոնշյալ խնդիրների լուծումը ձեռք է բերվում.

Տեղեկատվական համակարգի հետ աշխատելիս օգտագործողների գործողությունների կարգավորումը.

տվյալների բազայի հետ աշխատելիս օգտագործողի գործողությունների կարգավորումը.

ապարատային և ծրագրային ապահովման հուսալիության միասնական պահանջներ.

տեղեկատվական համակարգի գործունեության մոնիտորինգի ընթացակարգեր (իրադարձությունների գրանցում, արձանագրությունների վերլուծություն, ցանցային տրաֆիկի վերլուծություն, տեխնիկական սարքավորումների շահագործման վերլուծություն);

Տեղեկատվական անվտանգության քաղաքականությունը ներառում է.

հիմնական փաստաթուղթը «Անվտանգության քաղաքականությունն» է։ Այն ընդհանուր առմամբ նկարագրում է կազմակերպության անվտանգության քաղաքականությունը, ընդհանուր դրույթները, ինչպես նաև նշում է համապատասխան փաստաթղթերը քաղաքականության բոլոր ասպեկտների համար.

օգտագործողների աշխատանքը կարգավորելու հրահանգներ.

տեղական ցանցի ադմինիստրատորի աշխատանքի նկարագրությունը.

տվյալների բազայի ադմինիստրատորի աշխատանքի նկարագրությունը.

Ինտերնետային ռեսուրսների հետ աշխատելու հրահանգներ;

գաղտնաբառի պաշտպանության կազմակերպման հրահանգներ;

հակավիրուսային պաշտպանության կազմակերպման հրահանգներ.

Անվտանգության քաղաքականության փաստաթուղթը պարունակում է հիմնական դրույթները. Դրա հիման վրա կառուցվում է տեղեկատվական անվտանգության ծրագիր, կառուցվում են աշխատանքի նկարագրություններ և առաջարկություններ։

Կազմակերպության տեղական ցանցից օգտվողների աշխատանքը կարգավորելու հրահանգները կարգավորում են կազմակերպության տեղական համակարգչային ցանցում օգտատերերին աշխատելու թույլտվության կարգը, ինչպես նաև կազմակերպությունում մշակված, պահվող և փոխանցված պաշտպանված տեղեկատվության հետ աշխատելու կանոնները:

Տեղական ցանցի ադմինիստրատորի աշխատանքի նկարագրությունը նկարագրում է տեղական ցանցի ադմինիստրատորի պարտականությունները տեղեկատվական անվտանգության վերաբերյալ:

Տվյալների բազայի ադմինիստրատորի աշխատանքի նկարագրությունը սահմանում է տվյալների բազայի ադմինիստրատորի հիմնական պարտականությունները, գործառույթներն ու իրավունքները: Այն շատ մանրամասն նկարագրում է տվյալների բազայի ադմինիստրատորի բոլոր աշխատանքային պարտականություններն ու գործառույթները, ինչպես նաև իրավունքներն ու պարտականությունները:

Ինտերնետային ռեսուրսների հետ աշխատելու հրահանգները արտացոլում են ինտերնետի հետ անվտանգ աշխատանքի հիմնական կանոնները, ինչպես նաև պարունակում են ընդունելի և անընդունելի գործողությունների ցանկ ինտերնետ ռեսուրսների հետ աշխատելիս:

Հակավիրուսային պաշտպանության կազմակերպման հրահանգները սահմանում են կազմակերպության տեղեկատվական համակարգի հակավիրուսային պաշտպանության կազմակերպման հիմնական դրույթները, պահանջները, հակավիրուսային ծրագրերի շահագործման հետ կապված բոլոր ասպեկտները, ինչպես նաև պատասխանատվությունը հակավիրուսային համակարգի խախտման դեպքում: -պաշտպանություն վիրուսից.

Գաղտնաբառերի պաշտպանության կազմակերպման հրահանգները կարգավորում են գաղտնաբառերի ստեղծման, փոփոխման և դադարեցման գործընթացների կազմակերպչական և տեխնիկական աջակցությունը (օգտատերերի հաշիվների ջնջում): Կարգավորվում են նաև օգտագործողների և սպասարկող անձնակազմի գործողությունները համակարգի հետ աշխատելիս։

Այսպիսով, տեղեկատվության պաշտպանության գործընթացի կազմակերպման հիմքում ընկած է անվտանգության քաղաքականությունը, որը ձևակերպված է որոշելու, թե ինչ սպառնալիքներից և ինչպես է պաշտպանված տեղեկատվական համակարգում առկա տեղեկատվությունը:

Անվտանգության քաղաքականությունը վերաբերում է որոշակի կազմակերպությունում ընդունված տեղեկատվության պաշտպանությանն ուղղված իրավական, կազմակերպչական և տեխնիկական միջոցների մի շարքին: Այսինքն՝ անվտանգության քաղաքականությունը պարունակում է բազմաթիվ պայմաններ, որոնց դեպքում օգտվողները մուտք են ստանում համակարգի ռեսուրսներ՝ չկորցնելով այս համակարգի տեղեկատվական անվտանգության հատկությունները:

Տեղեկատվական անվտանգության ապահովման խնդիրը պետք է համակարգված լուծվի. Սա նշանակում է, որ տարբեր պաշտպանություններ (ապարատային, ծրագրային, ֆիզիկական, կազմակերպչական և այլն) պետք է կիրառվեն միաժամանակ և կենտրոնացված վերահսկողության ներքո:

Այսօր տեղեկատվական անվտանգության ապահովման մեթոդների մեծ զինանոց կա.

օգտագործողների նույնականացման և նույնականացման միջոցներ.

համակարգիչներում պահվող և ցանցերի միջոցով փոխանցվող տեղեկատվության կոդավորման միջոցներ.

firewalls;

վիրտուալ մասնավոր ցանցեր;

բովանդակության զտման գործիքներ;

սկավառակի բովանդակության ամբողջականությունը ստուգելու գործիքներ.

հակավիրուսային պաշտպանության գործիքներ;

ցանցի խոցելիության հայտնաբերման համակարգեր և ցանցային հարձակումների անալիզատորներ:

Թվարկված գործիքներից յուրաքանչյուրը կարող է օգտագործվել ինչպես ինքնուրույն, այնպես էլ մյուսների հետ ինտեգրված: Սա հնարավորություն է տալիս ստեղծել տեղեկատվական անվտանգության համակարգեր ցանկացած բարդության և կոնֆիգուրացիայի ցանցերի համար՝ անկախ օգտագործվող հարթակներից:

Նույնականացման (կամ նույնականացման), թույլտվության և կառավարման համակարգ: Նույնականացումը և թույլտվությունը տեղեկատվական անվտանգության հիմնական տարրերն են: Թույլտվության գործառույթը պատասխանատու է այն ռեսուրսների համար, որոնց հասանելի է կոնկրետ օգտվողը: Ադմինիստրացիայի գործառույթն է օգտատիրոջը տրամադրել որոշակի նույնականացման բնութագրեր տվյալ ցանցում և որոշել նրա համար թույլատրված գործողությունների շրջանակը:

Գաղտնագրման համակարգերը հնարավորություն են տալիս նվազագույնի հասցնել կորուստները կոշտ սկավառակի կամ այլ կրիչների վրա պահվող տվյալների չարտոնված մուտքի դեպքում, ինչպես նաև տեղեկատվության գաղտնալսման դեպքում, երբ ուղարկվում է էլ.փոստով կամ փոխանցվում ցանցային արձանագրությունների միջոցով: Այս պաշտպանության գործիքի նպատակն է ապահովել գաղտնիությունը: Գաղտնագրման համակարգերին ներկայացվող հիմնական պահանջներն են գաղտնագրման ուժի բարձր մակարդակը և Ռուսաստանի (կամ այլ պետությունների) տարածքում օգտագործման օրինականությունը:

Firewall-ը համակարգ կամ համակարգերի համակցություն է, որը պաշտպանիչ պատնեշ է ստեղծում երկու կամ ավելի ցանցերի միջև՝ կանխելու չարտոնված տվյալների փաթեթների մուտքը կամ դուրս գալը ցանց:

Firewall-ի հիմնական գործառնական սկզբունքը յուրաքանչյուր տվյալների փաթեթի ստուգումն է մուտքային և ելքային IP հասցեների համապատասխանության համար թույլատրված հասցեների տվյալների բազայի հետ: Այսպիսով, firewalls-ը զգալիորեն ընդլայնում է տեղեկատվական ցանցերի հատվածավորման և տվյալների շրջանառությունը վերահսկելու հնարավորությունները։

Կրիպտոգրաֆիայի և firewalls-ի մասին խոսելիս պետք է նշել անվտանգ վիրտուալ մասնավոր ցանցերը (VPN): Դրանց օգտագործումը հնարավորություն է տալիս լուծել տվյալների գաղտնիության և ամբողջականության խնդիրները, երբ դրանք փոխանցվում են բաց կապի ուղիներով: VPN-ի օգտագործումը կարող է կրճատվել երեք հիմնական խնդիրների լուծման համար.

Ընկերության տարբեր գրասենյակների միջև տեղեկատվական հոսքերի պաշտպանություն (տեղեկատվությունը կոդավորված է միայն արտաքին ցանցի ելքի ժամանակ).

հեռավոր ցանցի օգտվողների անվտանգ մուտք դեպի ընկերության տեղեկատվական ռեսուրսներ, որոնք սովորաբար իրականացվում են ինտերնետի միջոցով.

կորպորատիվ ցանցերում անհատական հավելվածների միջև տեղեկատվական հոսքերի պաշտպանություն (այս ասպեկտը նույնպես շատ կարևոր է, քանի որ հարձակումների մեծ մասն իրականացվում է ներքին ցանցերից):

Գաղտնի տեղեկատվության կորստից պաշտպանվելու արդյունավետ միջոց է մուտքային և ելքային էլ.փոստի բովանդակության զտումը: Կազմակերպության կողմից սահմանված կանոնների հիման վրա էլեկտրոնային փոստի հաղորդագրությունների և դրանց հավելվածների ստուգումը նաև օգնում է ընկերություններին պաշտպանել դատական հայցերի պատասխանատվությունից և պաշտպանել նրանց աշխատակիցներին սպամից: Բովանդակության զտման գործիքները թույլ են տալիս սկանավորել բոլոր սովորական ձևաչափերի ֆայլերը, ներառյալ սեղմված և գրաֆիկական ֆայլերը: Միևնույն ժամանակ, ցանցի թողունակությունը գործնականում մնում է անփոփոխ:

Աշխատանքային կայանի կամ սերվերի բոլոր փոփոխությունները կարող են վերահսկվել ցանցի ադմինիստրատորի կամ այլ լիազորված օգտագործողի կողմից՝ շնորհիվ կոշտ սկավառակի բովանդակության ամբողջականությունը ստուգելու տեխնոլոգիայի (ամբողջականության ստուգում): Սա թույլ է տալիս հայտնաբերել ֆայլերի հետ կապված ցանկացած գործողություն (փոփոխել, ջնջել կամ պարզապես բացել) և բացահայտել վիրուսի ակտիվությունը, չարտոնված մուտքը կամ տվյալների գողությունը լիազորված օգտատերերի կողմից: Վերահսկողությունն իրականացվում է ֆայլերի ստուգման գումարների վերլուծության հիման վրա (CRC sums):

Ժամանակակից հակավիրուսային տեխնոլոգիաները հնարավորություն են տալիս նույնականացնել գրեթե բոլոր արդեն հայտնի վիրուսային ծրագրերը՝ համեմատելով կասկածելի ֆայլի կոդը հակավիրուսային տվյալների բազայում պահվող նմուշների հետ։ Բացի այդ, մշակվել են վարքագծի մոդելավորման տեխնոլոգիաներ, որոնք հնարավորություն են տալիս հայտնաբերել նոր ստեղծված վիրուսային ծրագրերը։ Հայտնաբերված օբյեկտները կարող են բուժվել, մեկուսացվել (կարանտին) կամ ջնջվել: Վիրուսային պաշտպանությունը կարող է տեղադրվել աշխատանքային կայանների, ֆայլերի և փոստի սերվերների, firewalls-ի վրա, որոնք աշխատում են գրեթե ցանկացած ընդհանուր օպերացիոն համակարգի (Windows, Unix և Linux համակարգեր, Novell) տարբեր տեսակի պրոցեսորների վրա:

Սպամի զտիչները զգալիորեն նվազեցնում են անարդյունավետ աշխատանքային ծախսերը, որոնք կապված են սպամի վերլուծության հետ, նվազեցնում են երթևեկի և սերվերի ծանրաբեռնվածությունը, բարելավում են թիմի հոգեբանական ֆոնը և նվազեցնում ընկերության աշխատակիցների խարդախ գործարքների մեջ ներգրավվելու ռիսկը: Բացի այդ, սպամի զտիչները նվազեցնում են նոր վիրուսներով վարակվելու վտանգը, քանի որ վիրուսներ պարունակող հաղորդագրությունները (նույնիսկ նրանք, որոնք դեռ ներառված չեն հակավիրուսային ծրագրերի տվյալների բազայում) հաճախ ունենում են սպամի նշաններ և զտվում են: Ճիշտ է, սպամի զտման դրական ազդեցությունը կարող է չեղարկվել, եթե զտիչը, անպետք հաղորդագրությունների հետ մեկտեղ, հեռացնի կամ նշի որպես սպամ և օգտակար հաղորդագրություններ՝ բիզնես կամ անձնական:

Վիրուսների և հաքերային հարձակումների հետևանքով ընկերություններին հասցված հսկայական վնասը հիմնականում օգտագործվող ծրագրաշարի թուլությունների հետևանք է: Նրանք կարող են նախապես նույնականացվել՝ չսպասելով իրական հարձակման՝ օգտագործելով համակարգչային ցանցի խոցելիության հայտնաբերման համակարգերը և ցանցային հարձակումների անալիզատորները։ Նման ծրագրաշարը ապահով կերպով նմանեցնում է սովորական հարձակումները և ներխուժման մեթոդները և որոշում, թե ինչ կարող է ցանցահենը տեսնել ցանցում և ինչպես կարող է օգտագործել դրա ռեսուրսները:

Տեղեկատվական անվտանգությանը սպառնացող բնական սպառնալիքներին դիմակայելու համար ընկերությունը պետք է մշակի և իրականացնի մի շարք ընթացակարգեր՝ կանխելու արտակարգ իրավիճակները (օրինակ՝ ապահովելու տվյալների ֆիզիկական պաշտպանությունը հրդեհից) և նվազագույնի հասցնելու վնասը, եթե այդպիսի իրավիճակ ստեղծվի: Տվյալների կորստից պաշտպանվելու հիմնական մեթոդներից մեկը կրկնօրինակումն է՝ սահմանված ընթացակարգերի խստիվ պահպանմամբ (կանոնավորություն, լրատվամիջոցների տեսակներ, պատճենների պահպանման մեթոդներ և այլն):

Տեղեկատվական անվտանգության քաղաքականությունը աշխատողների աշխատանքը կարգավորող փաստաթղթերի փաթեթ է, որը նկարագրում է տեղեկատվության, տեղեկատվական համակարգերի, տվյալների բազաների, տեղական ցանցերի և ինտերնետային ռեսուրսների հետ աշխատելու հիմնական կանոնները: Կարևոր է հասկանալ, թե ինչ տեղ է զբաղեցնում տեղեկատվական անվտանգության քաղաքականությունը կազմակերպության ընդհանուր կառավարման համակարգում: Ստորև ներկայացված են անվտանգության քաղաքականության հետ կապված ընդհանուր կազմակերպչական միջոցառումները:

Ընթացակարգային մակարդակում կարելի է առանձնացնել միջոցառումների հետևյալ դասերը.

անձնակազմի կառավարում;

ֆիզիկական պաշտպանություն;

կատարողականի պահպանում;

արձագանքել անվտանգության խախտումներին;

վերականգնողական աշխատանքների պլանավորում։

Մարդկային ռեսուրսների կառավարումը սկսվում է աշխատանքի ընդունելուց, բայց նույնիսկ մինչ այդ պետք է որոշել պաշտոնի հետ կապված համակարգչային արտոնությունները։ Պետք է հիշել երկու ընդհանուր սկզբունք.

պարտականությունների տարանջատումը;

արտոնությունների նվազագույնի հասցնելը.

Պարտականությունների տարանջատման սկզբունքը սահմանում է, թե ինչպես բաշխել դերերն ու պարտականությունները, որպեսզի մեկ անձ չկարողանա խաթարել կազմակերպության համար կարևոր գործընթաց: Օրինակ, անցանկալի է, որ մեկ անձը խոշոր վճարումներ կատարի կազմակերպության անունից։ Ավելի անվտանգ է հանձնարարել մեկ աշխատակցին մշակել նման վճարումների համար դիմումները, իսկ մյուսին` հավաստագրել այդ դիմումները: Մեկ այլ օրինակ է գերօգտագործողի գործողությունների ընթացակարգային սահմանափակումները: Դուք կարող եք արհեստականորեն «բաժանել» գերօգտագործողի գաղտնաբառը՝ դրա առաջին մասը կիսելով մեկ աշխատակցի հետ, իսկ երկրորդը՝ մյուսի հետ: Այնուհետև նրանք կարող են կրիտիկական գործողություններ կատարել տեղեկատվական համակարգը միայն միասին կառավարելու համար, ինչը նվազեցնում է սխալների և չարաշահումների հավանականությունը:

Նվազագույն արտոնության սկզբունքը պահանջում է, որ օգտատերերին տրվեն միայն մուտքի այն իրավունքները, որոնք նրանց անհրաժեշտ են իրենց աշխատանքային պարտականությունները կատարելու համար: Այս սկզբունքի նպատակն ակնհայտ է՝ նվազեցնել պատահական կամ դիտավորյալ սխալ գործողություններից ստացված վնասը:

Աշխատանքի նկարագրության նախնական պատրաստումը թույլ է տալիս գնահատել դրա կարևորությունը և պլանավորել թեկնածուների զննման և ընտրության ընթացակարգը: Որքան պատասխանատու է պաշտոնը, այնքան ավելի ուշադիր պետք է ստուգել թեկնածուներին՝ հարցումներ կատարել նրանց մասին, գուցե զրուցել նախկին գործընկերների հետ և այլն: Նման ընթացակարգը կարող է երկար և թանկ լինել, ուստի իմաստ չունի այն ավելի բարդացնել: Միևնույն ժամանակ, խելամիտ չէ ամբողջությամբ հրաժարվել նախնական զննումից՝ քրեական անցյալով կամ հոգեկան հիվանդությամբ մեկին պատահաբար աշխատանքի չընդունելու համար:

Հենց որ թեկնածուն բացահայտվի, նա, հավանաբար, պետք է վերապատրաստվի. առնվազն նա պետք է մանրակրկիտ ծանոթ լինի աշխատանքային պարտականություններին և տեղեկատվական անվտանգության կանոնակարգերին ու ընթացակարգերին: Ցանկալի է, որ նա հասկանա անվտանգության միջոցները նախքան պաշտոնը ստանձնելը և նախքան իր համակարգային հաշիվը մուտքի անունով, գաղտնաբառով և արտոնություններով ստեղծելը:

Տեղեկատվական համակարգի անվտանգությունը կախված է այն միջավայրից, որտեղ այն գործում է: Անհրաժեշտ է միջոցներ ձեռնարկել շենքերը և հարակից տարածքները, օժանդակ ենթակառուցվածքները, համակարգչային սարքավորումները և պահեստային միջոցները պաշտպանելու համար:

Դիտարկենք ֆիզիկական պաշտպանության հետևյալ ոլորտները.

ֆիզիկական մուտքի վերահսկում;

օժանդակ ենթակառուցվածքների պաշտպանություն;

շարժական համակարգերի պաշտպանություն.

Ֆիզիկական մուտքի վերահսկման միջոցները թույլ են տալիս վերահսկել և, անհրաժեշտության դեպքում, սահմանափակել աշխատակիցների և այցելուների մուտքն ու ելքը: Կազմակերպության ողջ շենքը կարելի է կառավարել, ինչպես նաև առանձին սենյակներ, օրինակ՝ նրանք, որտեղ տեղակայված են սերվերներ, կապի սարքավորումներ և այլն։

Օժանդակ ենթակառուցվածքները ներառում են էլեկտրական, ջրամատակարարման և ջերմամատակարարման համակարգեր, օդորակիչ և կապ: Սկզբունքորեն, նրանց նկատմամբ կիրառվում են նույն ամբողջականության և մատչելիության պահանջները, ինչ տեղեկատվական համակարգերը: Ամբողջականությունը ապահովելու համար սարքավորումները պետք է պաշտպանված լինեն գողությունից և վնասից: Հասանելիությունը պահպանելու համար դուք պետք է ընտրեք սարքավորում առավելագույն MTBF-ով, կրկնօրինակեք կարևոր բաղադրիչները և միշտ ձեռքի տակ ունենաք պահեստամասեր:

Ընդհանուր առմամբ, ֆիզիկական պաշտպանիչ սարքավորումներ ընտրելիս պետք է իրականացվի ռիսկի վերլուծություն: Այսպիսով, անխափան էլեկտրամատակարարում գնելու որոշում կայացնելիս անհրաժեշտ է հաշվի առնել կազմակերպության կողմից զբաղեցրած շենքում էլեկտրամատակարարման որակը (սակայն, գրեթե անկասկած, վատ կստացվի), բնույթն ու տևողությունը. էլեկտրաէներգիայի խափանումները, մատչելի աղբյուրների արժեքը և վթարներից հնարավոր կորուստները (սարքավորումների խափանում, կազմակերպության աշխատանքի կասեցում և այլն):

Դիտարկենք տեղեկատվական համակարգերի ֆունկցիոնալության պահպանմանն ուղղված մի շարք միջոցառումներ։ Հենց այս ոլորտում է թաքնված ամենամեծ վտանգը։ Համակարգի ադմինիստրատորների և օգտատերերի ոչ միտումնավոր սխալները կարող են հանգեցնել կատարողականի կորստի, մասնավորապես սարքավորումների վնասման, ծրագրերի և տվյալների ոչնչացման: Սա ամենավատ սցենարն է։ Լավագույն դեպքում նրանք ստեղծում են անվտանգության անցքեր, որոնք թույլ են տալիս առաջանալ համակարգի անվտանգության սպառնալիքներ:

Շատ կազմակերպությունների հիմնական խնդիրը ամենօրյա աշխատանքում անվտանգության գործոնների թերագնահատումն է: Անվտանգության թանկարժեք գործառույթներն անիմաստ են, եթե դրանք վատ փաստաթղթավորված են, հակասում են այլ ծրագրերի հետ, և համակարգի ադմինիստրատորի գաղտնաբառը չի փոխվել տեղադրումից հետո:

Տեղեկատվական համակարգի ֆունկցիոնալության պահպանմանն ուղղված ամենօրյա գործունեության համար կարելի է առանձնացնել հետևյալ գործողությունները.

օգտագործողի աջակցություն;

ծրագրային ապահովման աջակցություն;

կոնֆիգուրացիայի կառավարում;

կրկնօրինակում;

լրատվամիջոցների կառավարում;

փաստաթղթեր;

սովորական սպասարկում.

Օգտատիրոջ աջակցությունը նախ և առաջ ենթադրում է խորհրդատվություն և օգնություն տարբեր տեսակի խնդիրների լուծման գործում: Շատ կարևոր է, որպեսզի կարողանանք հարցերի հոսքում բացահայտել տեղեկատվական անվտանգության հետ կապված խնդիրները: Այսպիսով, անհատական համակարգիչների վրա աշխատող օգտատերերի համար շատ դժվարություններ կարող են լինել վիրուսով վարակվելու հետևանք: Ցանկալի է ձայնագրել օգտատերերի հարցերը՝ նրանց ընդհանուր սխալները բացահայտելու և սովորական իրավիճակների վերաբերյալ առաջարկություններով հիշեցումներ տալու համար:

Ծրագրային ապահովման աջակցությունը տեղեկատվության ամբողջականությունն ապահովելու կարևորագույն միջոցներից մեկն է: Առաջին հերթին, դուք պետք է հետևեք, թե ինչ ծրագրեր են տեղադրված ձեր համակարգիչների վրա: Եթե օգտվողները ծրագրեր են տեղադրում իրենց հայեցողությամբ, դա կարող է հանգեցնել վիրուսներով վարակվելու, ինչպես նաև պաշտպանական միջոցները շրջանցող կոմունալ ծառայությունների առաջացմանը: Հավանական է նաև, որ օգտատերերի «անկախ գործունեությունը» աստիճանաբար կհանգեցնի նրանց համակարգիչների քաոսի, և համակարգի ադմինիստրատորը ստիպված կլինի շտկել իրավիճակը:

Ծրագրային ապահովման երկրորդ ասպեկտը վերահսկումն է ծրագրերում չարտոնված փոփոխությունների և դրանց մուտքի իրավունքների բացակայության նկատմամբ: Սա ներառում է նաև ծրագրային համակարգերի տեղեկատու պատճենների աջակցություն: Վերահսկումը սովորաբար ձեռք է բերվում ֆիզիկական և տրամաբանական մուտքի վերահսկման, ինչպես նաև ստուգման և ամբողջականության կոմունալ ծառայությունների օգտագործման միջոցով:

Կազմաձևման կառավարումը թույլ է տալիս վերահսկել և գրանցել ծրագրաշարի կազմաձևում կատարված փոփոխությունները: Առաջին հերթին, դուք պետք է ապահովագրվեք ձեզ պատահական կամ վատ մտածված փոփոխություններից և կարողանաք գոնե վերադառնալ նախկին, աշխատանքային տարբերակին: Փոփոխությունների կատարումը հեշտացնում է ընթացիկ տարբերակը վերականգնելը աղետից հետո:

Սովորական աշխատանքում սխալները նվազեցնելու լավագույն միջոցը հնարավորինս ավտոմատացնելն է: Ավտոմատացումը և անվտանգությունը կախված են միմյանցից, քանի որ նա, ով առաջին հերթին մտածում է իր խնդիրը հեշտացնելու մասին, իրականում նա է, ով օպտիմալ ձևավորում է տեղեկատվական անվտանգության ռեժիմը:

Կրկնօրինակումն անհրաժեշտ է աղետներից հետո ծրագրերն ու տվյալները վերականգնելու համար: Եվ այստեղ նպատակահարմար է ավտոմատացնել աշխատանքը, նվազագույնը, ստեղծելով համակարգչային գրաֆիկ՝ ամբողջական և աստիճանական պատճենների ստեղծման համար, իսկ առավելագույնը՝ օգտագործելով համապատասխան ծրագրային արտադրանք: Անհրաժեշտ է նաև կազմակերպել պատճենների տեղադրումը ապահով վայրում՝ պաշտպանված չարտոնված մուտքից, հրդեհից, արտահոսքից, այսինքն՝ այն ամենից, ինչը կարող է հանգեցնել գողության կամ լրատվամիջոցի վնասմանը: Ցանկալի է ունենալ կրկնօրինակների մի քանի օրինակ և դրանցից մի քանիսը պահել կայքից դուրս՝ այդպիսով պաշտպանելով խոշոր վթարներից և նմանատիպ միջադեպերից: Ժամանակ առ ժամանակ, թեստային նպատակներով, դուք պետք է ստուգեք պատճեններից տեղեկատվությունը վերականգնելու հնարավորությունը:

Մեդիա կառավարումն անհրաժեշտ է անգործունյա սկավառակների, ժապավենների, տպագիր արտադրանքի և այլնի ֆիզիկական անվտանգություն և հաշվառում ապահովելու համար: Լրատվամիջոցների կառավարումը պետք է ապահովի համակարգչային համակարգերից դուրս պահվող տեղեկատվության գաղտնիությունը, ամբողջականությունը և հասանելիությունը: Ֆիզիկական պաշտպանությունն այստեղ նշանակում է ոչ միայն չարտոնված մուտքի փորձերի ետ մղում, այլև պաշտպանություն շրջակա միջավայրի վնասակար ազդեցություններից (ջերմություն, ցուրտ, խոնավություն, մագնիսականություն): Լրատվամիջոցների կառավարումը պետք է ընդգրկի ողջ կյանքի ցիկլը՝ գնումներից մինչև շահագործումից հանելը:

Փաստաթղթերը տեղեկատվական անվտանգության անբաժանելի մասն են: Գրեթե ամեն ինչ փաստաթղթավորված է փաստաթղթերի տեսքով՝ անվտանգության քաղաքականությունից մինչև լրատվամիջոցների մատյան: Կարևոր է, որ փաստաթղթերը լինեն արդիական և արտացոլեն գործերի ներկա վիճակը և հետևողական կերպով:

Գաղտնիության պահանջները կիրառվում են որոշ փաստաթղթերի պահպանման նկատմամբ (որոնք պարունակում են, օրինակ, համակարգի խոցելիության և սպառնալիքների վերլուծություն), մինչդեռ մյուսները, օրինակ՝ աղետի վերականգնման պլանը, ենթակա են ամբողջականության և մատչելիության պահանջներին (կրիտիկական իրավիճակում ծրագիրը պետք է. գտնել և կարդալ):

Սովորական աշխատանքը անվտանգության շատ լուրջ վտանգ է: Սովորական սպասարկում իրականացնող աշխատակիցը ստանում է բացառիկ մուտք դեպի համակարգ, և գործնականում շատ դժվար է վերահսկել, թե կոնկրետ ինչ գործողություններ է նա կատարում: Այստեղ է, որ առաջին պլան է մղվում աշխատանքը կատարողների նկատմամբ վստահության աստիճանը։

Կազմակերպության կողմից ընդունված անվտանգության քաղաքականությունը պետք է նախատեսի օպերատիվ միջոցառումների մի շարք, որոնք ուղղված են տեղեկատվական անվտանգության ռեժիմի խախտումների հայտնաբերմանը և չեզոքացմանը: Կարևոր է, որ նման դեպքերում գործողությունների հաջորդականությունը նախապես պլանավորվի, քանի որ անհրաժեշտ է միջոցներ ձեռնարկել հրատապ և համակարգված։

Անվտանգության խախտումներին արձագանքելը երեք հիմնական նպատակ ունի.

միջադեպի տեղայնացում և վնասի նվազեցում.

կրկնվող խախտումների կանխարգելում.

Հաճախ միջադեպը տեղայնացնելու և վնասը նվազեցնելու պահանջը հակասում է հանցագործին նույնականացնելու ցանկությանը: Կազմակերպության անվտանգության քաղաքականությանը պետք է վաղաժամ առաջնահերթություն տրվի: Քանի որ, ինչպես ցույց է տալիս պրակտիկան, հարձակվողին նույնականացնելը շատ դժվար է, մեր կարծիքով, նախ և առաջ պետք է հոգ տանել վնասը նվազեցնելու համար:

Ոչ մի կազմակերպություն պաշտպանված չէ բնական պատճառներով, չարամիտ գործողություններով, անփութության կամ անգործունակության հետևանքով առաջացած լուրջ վթարներից: Միևնույն ժամանակ, յուրաքանչյուր կազմակերպություն ունի գործառույթներ, որոնք ղեկավարությունը համարում է կարևոր և պետք է կատարվեն անկախ ամեն ինչից: Վերականգնողական աշխատանքների պլանավորումը թույլ է տալիս պատրաստվել դժբախտ պատահարներին, նվազեցնել դրանցից հասցված վնասը և պահպանել առնվազն նվազագույն չափով գործելու կարողությունը:

Նշենք, որ տեղեկատվական անվտանգության միջոցները կարելի է բաժանել երեք խմբի՝ կախված նրանից, թե դրանք ուղղված են հարձակումների կանխարգելմանը, բացահայտմանը կամ վերացմանը։ Միջոցառումների մեծ մասը նախազգուշական բնույթ ունի:

Վերականգնման պլանավորման գործընթացը կարելի է բաժանել հետևյալ փուլերի.

կազմակերպության կարևորագույն գործառույթների բացահայտում, առաջնահերթությունների սահմանում.

կարևորագույն գործառույթներ կատարելու համար անհրաժեշտ ռեսուրսների նույնականացում.

հնարավոր վթարների ցանկի որոշում.

վերականգնման ռազմավարության մշակում;

ընտրված ռազմավարության իրականացման նախապատրաստում.

ռազմավարության ստուգում.

Վերականգնման աշխատանքները պլանավորելիս պետք է տեղյակ լինել, որ միշտ չէ, որ հնարավոր է ամբողջությամբ պահպանել կազմակերպության գործունեությունը: Անհրաժեշտ է բացահայտել կրիտիկական գործառույթները, առանց որոնց կազմակերպությունը կորցնում է իր դեմքը, և նույնիսկ կարևորագույն գործառույթների շարքում առաջնահերթություն տալ՝ վթարից հետո աշխատանքը հնարավորինս արագ և նվազագույն ծախսերով վերսկսելու համար:

Կրիտիկական գործառույթներ կատարելու համար անհրաժեշտ ռեսուրսները բացահայտելիս հիշեք, որ դրանցից շատերն իրենց բնույթով ոչ համակարգչային են: Այս փուլում նպատակահարմար է աշխատանքին ներգրավել տարբեր պրոֆիլների մասնագետների։

Այսպիսով, տեղեկատվական անվտանգության ապահովման մեծ թվով տարբեր մեթոդներ կան։ Ամենաարդյունավետը այս բոլոր մեթոդների օգտագործումն է մեկ համալիրում: Այսօր անվտանգության ժամանակակից շուկան հագեցած է տեղեկատվական անվտանգության գործիքներով։ Անընդհատ ուսումնասիրելով անվտանգության շուկայի առկա առաջարկները՝ շատ ընկերություններ տեսնում են տեղեկատվական անվտանգության համակարգերում նախկինում ներդրված միջոցների անբավարարությունը, օրինակ՝ սարքավորումների և ծրագրաշարի հնացման պատճառով: Ուստի այս խնդրին լուծումներ են փնտրում։ Նման երկու տարբերակ կարող է լինել՝ մի կողմից՝ կորպորատիվ տեղեկատվության պաշտպանության համակարգի ամբողջական փոխարինում, որը կպահանջի մեծ ներդրումներ, մյուս կողմից՝ գործող անվտանգության համակարգերի արդիականացում։ Այս խնդրի լուծման վերջին տարբերակը ամենաթանկն է, բայց այն բերում է նոր խնդիրներ, օրինակ՝ պահանջում է պատասխանել հետևյալ հարցերի պատասխանը. տեղեկատվական անվտանգության համակարգ; ինչպես ապահովել անվտանգության տարասեռ գործիքների կենտրոնացված կառավարում; ինչպես գնահատել և, անհրաժեշտության դեպքում, վերագնահատել ընկերության տեղեկատվական ռիսկերը:

Գլուխ 2. Տեղեկատվական անվտանգության համակարգի վերլուծություն

1 Ընկերության գործունեության շրջանակը և ֆինանսական ցուցանիշների վերլուծությունը

«Գազպրոմ» ԲԲԸ-ն համաշխարհային էներգետիկ ընկերություն է: Հիմնական գործունեությունը երկրաբանական հետախուզումն է, արտադրությունը, փոխադրումը, պահեստավորումը, վերամշակումը և գազի, գազի կոնդենսատի և նավթի իրացումը, ինչպես նաև ջերմության և էլեկտրաէներգիայի արտադրությունն ու վաճառքը։

«Գազպրոմն» իր առաքելությունը տեսնում է սպառողների բնական գազով, այլ տեսակի էներգետիկ ռեսուրսներով և դրանց վերամշակված արտադրանքով ապահովելու մեջ:

«Գազպրոմն» ունի բնական գազի աշխարհի ամենահարուստ պաշարները։ Նրա մասնաբաժինը գազի համաշխարհային պաշարներում կազմում է 18%, ռուսերենում՝ 70%։ Գազպրոմին բաժին է ընկնում համաշխարհային գազի արդյունահանման 15%-ը և ռուսական գազի 78%-ը։ Ներկայումս ընկերությունն ակտիվորեն իրականացնում է Յամալի թերակղզու, Արկտիկայի շելֆի, Արևելյան Սիբիրի և Հեռավոր Արևելքի գազային ռեսուրսների զարգացման լայնածավալ նախագծեր, ինչպես նաև արտերկրում ածխաջրածինների որոնման և արտադրության մի շարք նախագծեր:

«Գազպրոմը» վստահելի գազ մատակարար է ռուս և արտասահմանյան սպառողներին։ Ընկերությանն է պատկանում աշխարհի ամենամեծ գազատրանսպորտային ցանցը՝ Ռուսաստանի միասնական գազամատակարարման համակարգը, որի երկարությունը գերազանցում է 161 հազար կմ-ը։ «Գազպրոմը» իր վաճառած գազի կեսից ավելին վաճառում է ներքին շուկայում։ Բացի այդ, ընկերությունը գազ է մատակարարում մերձավոր և հեռավոր արտասահմանի 30 երկրների։

«Գազպրոմ»-ը հեղուկ բնական գազի միակ արտադրողն ու արտահանողն է Ռուսաստանում և ապահովում է համաշխարհային LNG արդյունահանման մոտ 5%-ը:

Ընկերությունը Ռուսաստանի Դաշնության հինգ խոշորագույն նավթ արդյունահանողներից մեկն է, ինչպես նաև իր տարածքում գեներացնող ակտիվների ամենամեծ սեփականատերն է: Դրանց ընդհանուր դրվածքային հզորությունը կազմում է ռուսական էներգահամակարգի ընդհանուր դրվածքային հզորության 17%-ը։

Ռազմավարական նպատակն է OAO «Գազպրոմը» հաստատել որպես առաջատար էներգետիկ ընկերությունների շարքում՝ նոր շուկաների զարգացման, գործունեության դիվերսիֆիկացման և մատակարարումների հուսալիության ապահովման միջոցով:

Դիտարկենք ընկերության ֆինանսական ցուցանիշները վերջին երկու տարիների ընթացքում։ Ընկերության գործունեության արդյունքները ներկայացված են Հավելված 1-ում:

2010 թվականի դեկտեմբերի 31-ի դրությամբ վաճառքից հասույթը կազմել է 2,495,557 միլիոն ռուբլի, այս ցուցանիշը շատ ավելի ցածր է 2011 թվականի տվյալների համեմատ, այսինքն՝ 3,296,656 միլիոն ռուբլի:

2011 թվականի սեպտեմբերի 30-ին ավարտված ինն ամիսների ընթացքում վաճառքից հասույթը (ակցիզային հարկից, ԱԱՀ-ից և մաքսատուրքերից զուտ) ավելացել է 801,099 միլիոն ռուբլով կամ 32 տոկոսով, նախորդ տարվա նույն ժամանակահատվածի համեմատ, կազմելով 3,296 656 միլիոն ռուբլի:

2011 թվականի արդյունքներով գազի վաճառքից ստացված զուտ հասույթը կազմել է վաճառքից զուտ հասույթի 60%-ը (նախորդ տարվա նույն ժամանակահատվածի 60%-ը):

Գազի վաճառքից զուտ եկամուտն աճել է 1,495,335 միլիոն ռուբլով: տարվա համար մինչև 1,987,330 միլիոն ռուբլի: 2011 թվականի նույն ժամանակահատվածի համար կամ 33%-ով։

Եվրոպա և այլ երկրներ գազի վաճառքից զուտ եկամուտը նախորդ տարվա նույն ժամանակահատվածի համեմատ աճել է 258,596 միլիոն ռուբլով կամ 34 տոկոսով և կազմել 1,026,451 միլիոն ռուբլի: Եվրոպա և այլ երկրներ գազի վաճառքի ընդհանուր աճը պայմանավորված է միջին գների աճով։ Ռուբլով միջին գինը (ներառյալ մաքսատուրքերը) 2011 թվականի սեպտեմբերի 30-ին ավարտված ինն ամիսների ընթացքում 2010 թվականի նույն ժամանակահատվածի համեմատ աճել է 21%-ով: Բացի այդ, գազի վաճառքի ծավալները նախորդ տարվա նույն ժամանակահատվածի համեմատ աճել են 8%-ով:

Նախկին Խորհրդային Միության երկրներին գազի վաճառքից զուտ եկամուտը 2010 թվականի նույն ժամանակահատվածի համեմատ աճել է 168 538 միլիոն ռուբլով կամ 58 տոկոսով և կազմել 458 608 միլիոն ռուբլի։ Փոփոխությունը հիմնականում պայմանավորված է 2011 թվականի սեպտեմբերի 30-ին ավարտված ինն ամիսների ընթացքում նախկին Խորհրդային Միություն գազի վաճառքի 33 տոկոս աճով՝ նախորդ տարվա նույն ժամանակահատվածի համեմատ: Բացի այդ, ռուբլով միջին գինը (ներառյալ մաքսատուրքերը՝ ԱԱՀ-ից պակաս) նախորդ տարվա նույն ժամանակահատվածի համեմատ աճել է 15%-ով։

Ռուսաստանի Դաշնությունում գազի վաճառքից զուտ հասույթը նախորդ տարվա նույն ժամանակահատվածի համեմատ աճել է 64,861 մլն ռուբլով կամ 15%-ով և կազմել 502,271 մլն ռուբլի։ Դա հիմնականում պայմանավորված է նախորդ տարվա նույն ժամանակահատվածի համեմատ գազի միջին գնի 13%-ով բարձրացմամբ, ինչը կապված է Դաշնային սակագնային ծառայության (FTS) սահմանած սակագների բարձրացման հետ։

Նավթի և գազի արտադրանքի վաճառքից ստացված զուտ եկամուտը (հանած ակցիզային հարկը, ԱԱՀ և մաքսատուրքերը) աճել է 213,012 մլն ռուբլով կամ 42%-ով և կազմել 717,723 մլն ռուբլի։ նախորդ տարվա նույն ժամանակահատվածի համեմատ։ Այս աճը հիմնականում բացատրվում է նավթի և գազի ապրանքների համաշխարհային գների աճով և նախորդ տարվա նույն ժամանակահատվածի համեմատ իրացման ծավալների աճով։ «Գազպրոմ Նեֆտ» խմբի հասույթը կազմել է նավթի և գազի արտադրանքի վաճառքից ստացված ընդհանուր մաքուր հասույթի համապատասխանաբար 85%-ը և 84%-ը:

Էլեկտրական և ջերմային էներգիայի վաճառքից զուտ հասույթը (առանց ԱԱՀ-ի) աճել է 38,097 մլն ռուբլով կամ 19%-ով և կազմել 237,545 մլն ռուբլի: Էլեկտրական և ջերմային էներգիայի վաճառքից եկամուտների աճը հիմնականում պայմանավորված է էլեկտրաէներգիայի և ջերմային էներգիայի սակագների բարձրացմամբ, ինչպես նաև էլեկտրաէներգիայի և ջերմային էներգիայի վաճառքի ծավալների ավելացմամբ։

Հում նավթի և գազի կոնդենսատի վաճառքից զուտ հասույթը (հանած ակցիզային հարկը, ԱԱՀ-ն և մաքսատուրքերը) աճել է 23,072 մլն ռուբլով կամ 16%-ով և կազմել 164,438 մլն ռուբլի։ 141,366 միլիոն ռուբլու դիմաց: նախորդ տարվա նույն ժամանակահատվածի համար։ Փոփոխությունը հիմնականում պայմանավորված է նավթի և գազային կոնդենսատի գների աճով։ Բացի այդ, փոփոխությունը պայմանավորված է գազի կոնդենսատի վաճառքի աճով։ Հում նավթի վաճառքից ստացված հասույթը կազմել է 133,368 մլն ռուբլի։ եւ 121675 մլն ռուբլի։ 2011 և 2010 թվականներին հում նավթի և գազային կոնդենսատի (հանած ակցիզային հարկի, ԱԱՀ-ի և մաքսատուրքերի) վաճառքից ստացված զուտ հասույթը:

Գազի փոխադրման ծառայությունների վաճառքից ստացված զուտ եկամուտը (ԱԱՀ-ից զուտ) աճել է 15,306 մլն ռուբլով կամ 23%-ով և կազմել 82,501 մլն ռուբլի՝ 67,195 մլն ռուբլու դիմաց: նախորդ տարվա նույն ժամանակահատվածի համար։ Այս աճը հիմնականում պայմանավորված է անկախ մատակարարների համար գազի փոխադրման սակագների բարձրացմամբ, ինչպես նաև գազի ծավալների ավելացմամբ։ ѐ Նախորդ տարվա նույն ժամանակահատվածի համեմատ անկախ մատակարարների համար գազի փոխադրման շարժը։

Այլ եկամուտներն աճել են 19,617 միլիոն ռուբլով կամ 22 տոկոսով և կազմել 107,119 միլիոն ռուբլի: 87,502 միլիոն ռուբլու համեմատ: նախորդ տարվա նույն ժամանակահատվածի համար։

Առանց փաստացի առաքման առևտրային գործառնությունների ծախսերը կազմել են 837 մլն ռուբլի: 5786 մլն ռուբլու եկամուտի համեմատ։ նախորդ տարվա նույն ժամանակահատվածի համար։

Ինչ վերաբերում է գործառնական ծախսերին, ապա դրանք աճել են 23%-ով և կազմել 2,119,289 մլն ռուբլի։ 1,726,604 միլիոն ռուբլու համեմատ: նախորդ տարվա նույն ժամանակահատվածի համար։ Վաճառքից հասույթում գործառնական ծախսերի տեսակարար կշիռը 69%-ից նվազել է մինչև 64%:

Աշխատուժի ծախսերն աճել են 18%-ով և կազմել 267,377 մլն ռուբլի: 227,500 միլիոն ռուբլու համեմատ: նախորդ տարվա նույն ժամանակահատվածի համար։ Աճը հիմնականում պայմանավորված է միջին աշխատավարձի բարձրացմամբ։

Վերլուծված ժամանակահատվածում արժեզրկումն աճել է 9%-ով կամ 17026 մլն ռուբլով և կազմել 201636 մլն ռուբլի՝ 184610 մլն ռուբլու դիմաց։ նախորդ տարվա նույն ժամանակահատվածի համար։ Աճը հիմնականում պայմանավորված է եղել հիմնական միջոցների բազայի ընդլայնմամբ։

Վերոնշյալ գործոնների արդյունքում վաճառքից շահույթն աճել է 401,791 միլիոն ռուբլով կամ 52 տոկոսով և կազմել 1,176,530 միլիոն ռուբլի: 774,739 միլիոն ռուբլու համեմատ: նախորդ տարվա նույն ժամանակահատվածի համար։ Վաճառքից շահույթի մարժան աճել է 31%-ից մինչև 36% 2011 թվականի սեպտեմբերի 30-ին ավարտված ինն ամիսների ընթացքում:

Այսպիսով, «Գազպրոմ» ԲԲԸ-ն համաշխարհային էներգետիկ ընկերություն է։ Հիմնական գործունեությունը երկրաբանական հետախուզումն է, արտադրությունը, փոխադրումը, պահեստավորումը, վերամշակումը և գազի, գազի կոնդենսատի և նավթի իրացումը, ինչպես նաև ջերմության և էլեկտրաէներգիայի արտադրությունն ու վաճառքը։ Ընկերության ֆինանսական վիճակը կայուն է։ Կատարողականի ցուցանիշները դրական դինամիկա են ցույց տալիս։

2 Ընկերության տեղեկատվական անվտանգության համակարգի նկարագրությունը

Դիտարկենք «Գազպրոմ» ԲԲԸ-ի կորպորատիվ պաշտպանության ծառայության ստորաբաժանումների գործունեության հիմնական ոլորտները.

OAO «Գազպրոմի» և նրա դուստր ձեռնարկությունների և կազմակերպությունների ինժեներական և տեխնիկական անվտանգության սարքավորումների համակարգերի և համալիրների (ITSE), տեղեկատվական անվտանգության համակարգերի (IS) զարգացման նպատակային ծրագրերի մշակում, մասնակցություն ներդրումային ծրագրի ձևավորմանը, որն ուղղված է տեղեկատվական և տեխնիկական ապահովմանը. անվտանգություն;

Հաճախորդի լիազորությունների իրականացում տեղեկատվական անվտանգության համակարգերի, ինչպես նաև ITSO համակարգերի և համալիրների զարգացման համար.

Տեղեկատվական անվտանգության համակարգերի, ITSO համակարգերի և համալիրների զարգացման միջոցառումների իրականացման, ինչպես նաև տեղեկատվական անվտանգության համակարգերի առումով ՏՏ ստեղծման համար բյուջետային հայտերի և բյուջեների քննարկում և հաստատում.

Տեղեկատվական անվտանգության համակարգերի, ITSO համակարգերի և համալիրների մշակման նախագծային և նախանախագծային փաստաթղթերի վերանայում և հաստատում, ինչպես նաև տեղեկատվական անվտանգության պահանջների առումով տեղեկատվական համակարգերի, կապի և հեռահաղորդակցության համակարգերի ստեղծման (արդիականացման) տեխնիկական բնութագրերը.

ITSO համակարգերի և համալիրների, տեղեկատվական անվտանգության համակարգերի (ինչպես նաև դրանց ստեղծման աշխատանքների և ծառայությունների) համապատասխանությունը սահմանված պահանջներին գնահատելու աշխատանքների կազմակերպում.

տեխնիկական տեղեկատվության անվտանգության հետ կապված աշխատանքների համակարգում և վերահսկում.

«Գազպրոմը» ստեղծել է անձնական տվյալների պաշտպանությունն ապահովող համակարգ։ Այնուամենայնիվ, դաշնային գործադիր իշխանությունների կողմից մի շարք կարգավորող իրավական ակտերի ընդունումը գոյություն ունեցող օրենքների և կառավարական կանոնակարգերի մշակման համար պահանջում է բարելավել անձնական տվյալների պաշտպանության ներկայիս համակարգը: Այս խնդրի լուծման շահերից ելնելով գիտահետազոտական աշխատանքների շրջանակներում մշակվել և հաստատվում են մի շարք փաստաթղթեր։ Նախ, սրանք Գազպրոմի զարգացման կազմակերպության ստանդարտների նախագծերն են.

«OAO Գազպրոմի, նրա դուստր ձեռնարկությունների և կազմակերպությունների անձնական տվյալների տեղեկատվական համակարգերի դասակարգման մեթոդիկա».

«ՕԱՕ Գազպրոմի, նրա դուստր ձեռնարկությունների և կազմակերպությունների անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալներին սպառնացող վտանգի մոդելը»:

Այս փաստաթղթերը մշակվել են՝ հաշվի առնելով Ռուսաստանի Դաշնության Կառավարության 2007 թվականի նոյեմբերի 17-ի թիվ 781 «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգության ապահովման կանոնակարգերը հաստատելու մասին» որոշման պահանջները: կապված հատուկ համակարգերի դասի հետ, որոնք ներառում են «Գազպրոմ» ԲԲԸ ISPDn-ի մեծ մասը:

Բացի այդ, ներկայումս ընթացքի մեջ է «ՕԱՕ Գազպրոմի, նրա դուստր ձեռնարկությունների և կազմակերպությունների անձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալների անվտանգության կազմակերպման և տեխնիկական աջակցության կանոնակարգի մշակումը»:

Նշենք, որ «Գազպրոմ» ԲԲԸ ստանդարտացման համակարգի շրջանակներում մշակվել են տեղեկատվական անվտանգության համակարգի ստանդարտներ, որոնք հնարավորություն կտան լուծել նաև «Գազպրոմ» ԲԲԸ տեղեկատվական համակարգերում մշակված անձնական տվյալների պաշտպանության խնդիրները։

Տեղեկատվական անվտանգության համակարգին առնչվող յոթ չափորոշիչներ հաստատվել և ուժի մեջ են մտնում այս տարի։

Ստանդարտները սահմանում են OAO Գազպրոմի և նրա դուստր ձեռնարկությունների տեղեկատվական անվտանգության համակարգերի կառուցման հիմնական պահանջները:

Կատարված աշխատանքի արդյունքները հնարավորություն կտան առավել ռացիոնալ օգտագործել նյութական, ֆինանսական և մտավոր ռեսուրսները, ստեղծել անհրաժեշտ կարգավորող և մեթոդական աջակցություն, ներդնել պաշտպանության արդյունավետ միջոցներ և արդյունքում ապահովել տեղեկատվության մեջ մշակված անձնական տվյալների անվտանգությունը։ OAO Գազպրոմի համակարգեր.

«Գազպրոմ» ԲԲԸ տեղեկատվական անվտանգության վերլուծության արդյունքում բացահայտվել են տեղեկատվական անվտանգության ապահովման հետևյալ թերությունները.

կազմակերպությունը չունի անվտանգության համապարփակ քաղաքականությունը կարգավորող մեկ փաստաթուղթ.

Հաշվի առնելով ցանցի չափը և օգտվողների թիվը (ավելի քան 100), հարկ է նշել, որ մեկ անձ պատասխանատու է համակարգի կառավարման, տեղեկատվական անվտանգության և տեխնիկական սպասարկման համար.

չկա տեղեկատվական ակտիվների դասակարգում ըստ կարևորության.

Տեղեկատվական անվտանգության դերերն ու պարտականությունները ներառված չեն աշխատանքի նկարագրություններում.

աշխատողի հետ կնքված աշխատանքային պայմանագրում կետ չկա ինչպես աշխատողների, այնպես էլ հենց կազմակերպության տեղեկատվական անվտանգության պարտականությունների մասին.

Տեղեկատվական անվտանգության ոլորտում անձնակազմի վերապատրաստում չի իրականացվում.

արտաքին սպառնալիքներից պաշտպանվելու տեսանկյունից. արտաքին և շրջակա միջավայրի սպառնալիքների հետևանքով տեղի ունեցած վթարներից հետո տվյալների վերականգնման բնորոշ վարքագծի ընթացակարգեր չեն մշակվել.

սերվերի սենյակը առանձին սենյակ չէ, սենյակին տրվում է երկու բաժանմունքի կարգավիճակ (ևս մեկ հոգի, բացի համակարգի ադմինիստրատորից, մուտք ունի սերվերի սենյակ);

մալուխներին միացված չարտոնված սարքերի տեխնիկական զոնդավորում և ֆիզիկական փորձաքննություն չի իրականացվում.

չնայած այն հանգամանքին, որ մուտքն իրականացվում է էլեկտրոնային անցագրերի միջոցով, և ամբողջ տեղեկատվությունը մուտքագրվում է հատուկ տվյալների բազա, դրա վերլուծությունը չի իրականացվում.

չարամիտ ծրագրերից պաշտպանվելու առումով. չկա որևէ պաշտոնական քաղաքականություն պաշտպանելու վտանգներից, որոնք կապված են ֆայլերի ստացման հետ կապված արտաքին ցանցերից կամ դրանց միջոցով, կամ պարունակվող շարժական կրիչներում.

չարամիտ ծրագրերից պաշտպանվելու առումով. տեղական ցանցը վնասակար կոդից պաշտպանելու ուղեցույցներ չկան.

չկա երթևեկության հսկողություն, կա մուտք դեպի արտաքին ցանցերի փոստի սերվերներ.

բոլոր կրկնօրինակները պահվում են սերվերի սենյակում.

օգտագործվում են անապահով, հեշտ հիշվող գաղտնաբառեր.

Օգտագործողների կողմից գաղտնաբառերի ստացումը որևէ կերպ չի հաստատվում.

գաղտնաբառերը պահվում են ադմինիստրատորի կողմից հստակ տեքստով.

գաղտնաբառերը չեն փոխվում;

Տեղեկատվական անվտանգության իրադարձությունների հաղորդման ընթացակարգ չկա:

Այսպիսով, այս թերությունների հիման վրա մշակվել է տեղեկատվական անվտանգության քաղաքականության վերաբերյալ մի շարք կանոնակարգեր, որոնք ներառում են.

Համակարգի ռեսուրսներ մուտք գործելու համար աշխատողներին աշխատանքի ընդունելու (ազատում) և տրամադրելու (զրկելու) քաղաքականություն.

քաղաքականություն ցանցի օգտագործողների աշխատանքի վերաբերյալ իր գործունեության ընթացքում.

գաղտնաբառի պաշտպանության քաղաքականություն;

ֆիզիկական պաշտպանության կազմակերպման քաղաքականություն.

Ինտերնետային քաղաքականություն;

ինչպես նաև վարչական անվտանգության միջոցառումներ:

Այս կանոնակարգերը պարունակող փաստաթղթերը գտնվում են կազմակերպության ղեկավարության քննարկման փուլում:

3 Գործող տեղեկատվական անվտանգության համակարգի արդիականացման միջոցառումների համալիրի մշակում

«Գազպրոմ» ԲԲԸ տեղեկատվական անվտանգության համակարգի վերլուծության արդյունքում հայտնաբերվել են համակարգի էական խոցելիություններ։ Անվտանգության համակարգի հայտնաբերված թերությունները վերացնելու համար միջոցներ մշակելու համար մենք ընդգծում ենք տեղեկատվության հետևյալ խմբերը, որոնք ենթակա են պաշտպանության.

տեղեկատվություն աշխատողների անձնական կյանքի մասին, որը թույլ է տալիս նրանց նույնականացնել (անձնական տվյալներ).

մասնագիտական գործունեությանը վերաբերող և բանկային, աուդիտորական և հաղորդակցության գաղտնիք կազմող տեղեկատվություն.

մասնագիտական գործունեությանն առնչվող տեղեկատվություն և նշվում է որպես «պաշտոնական օգտագործման համար» տեղեկատվություն.

տեղեկատվություն, որի ոչնչացումը կամ փոփոխումը բացասաբար կանդրադառնա գործառնական արդյունավետության վրա, իսկ վերականգնումը կպահանջի լրացուցիչ ծախսեր:

Վարչական միջոցառումների տեսանկյունից մշակվել են հետևյալ առաջարկությունները.

տեղեկատվական անվտանգության համակարգը պետք է համապատասխանի Ռուսաստանի Դաշնության օրենսդրությանը և պետական ստանդարտներին.

շենքերը և տարածքները, որտեղ տեղադրված կամ պահվում են տեղեկատվության մշակման միջոցները, աշխատանքներն իրականացվում են պաշտպանված տեղեկություններով, պետք է պահպանվեն և պաշտպանված լինեն ազդանշանային և մուտքի վերահսկման միջոցներով.

Աշխատակից վարձելիս պետք է կազմակերպվի անձնակազմի վերապատրաստում տեղեկատվական անվտանգության հարցերի վերաբերյալ (բացատրելով գաղտնաբառի պաշտպանության և գաղտնաբառի պահանջների կարևորությունը, հակավիրուսային ծրագրերի վերաբերյալ ուսուցում և այլն).

6-12 ամիսը մեկ անցկացնել վերապատրաստումներ՝ ուղղված տեղեկատվական անվտանգության ոլորտում աշխատողների գրագիտության բարձրացմանը.

Համակարգի աուդիտ և մշակված կանոնակարգերի ճշգրտումներ պետք է իրականացվեն ամեն տարի՝ հոկտեմբերի 1-ին կամ ձեռնարկության կառուցվածքում լուրջ փոփոխությունների ներդրումից անմիջապես հետո.

Տեղեկատվական ռեսուրսների նկատմամբ յուրաքանչյուր օգտագործողի մուտքի իրավունքը պետք է փաստաթղթավորվի (անհրաժեշտության դեպքում մուտքը կառավարչից գրավոր պահանջվում է).

տեղեկատվական անվտանգության քաղաքականությունը պետք է ապահովվի ծրագրային ապահովման ադմինիստրատորի և ապարատային ադմինիստրատորի կողմից, նրանց գործողությունները համակարգվում են խմբի ղեկավարի կողմից:

Եկեք ձևակերպենք գաղտնաբառի քաղաքականություն.

մի պահեք դրանք չգաղտնագրված տեսքով (մի գրեք դրանք թղթի վրա, սովորական տեքստային ֆայլում և այլն);

փոխել գաղտնաբառը, եթե այն բացահայտված է կամ կասկածվում է բացահայտման մեջ.

երկարությունը պետք է լինի առնվազն 8 նիշ;

Գաղտնաբառը պետք է պարունակի մեծ և փոքրատառ տառեր, թվեր և հատուկ նիշեր, գաղտնաբառը չպետք է պարունակի նիշերի հեշտությամբ հաշվարկվող հաջորդականություն (անուններ, կենդանիների անուններ, ամսաթվեր).

փոխել 6 ամիսը մեկ անգամ (գաղտնաբառի չնախատեսված փոփոխությունը պետք է կատարվի անմիջապես փոփոխությունն առաջացրած միջադեպի մասին ծանուցում ստանալուց հետո);

Գաղտնաբառերը փոխելիս չեք կարող ընտրել նախկինում օգտագործվածները (գաղտնաբառերը պետք է տարբերվեն առնվազն 6 դիրքով):

Եկեք ձևակերպենք քաղաքականություն հակավիրուսային ծրագրերի և վիրուսների հայտնաբերման վերաբերյալ.

Լիցենզավորված հակավիրուսային ծրագրակազմը պետք է տեղադրվի յուրաքանչյուր աշխատակայանում.

Ինտերնետ հասանելիությամբ աշխատանքային կայանների հակավիրուսային տվյալների բազաների թարմացում՝ օրական մեկ անգամ, առանց ինտերնետ հասանելիության՝ առնվազն շաբաթը մեկ անգամ.

տեղադրել աշխատատեղերի ավտոմատ սկանավորում վիրուսի հայտնաբերման համար (ստուգումների հաճախականությունը՝ շաբաթը մեկ անգամ՝ ուրբաթ, 12:00);

Միայն ադմինիստրատորը կարող է ընդհատել հակավիրուսային տվյալների բազայի թարմացումը կամ վիրուսների սկանավորումը (գաղտնաբառի պաշտպանությունը պետք է սահմանվի օգտագործողի կողմից նշված գործողության համար):

Ձևակերպենք ֆիզիկական պաշտպանության քաղաքականություն.

մալուխներին միացված չթույլատրված սարքերի տեխնիկական զոնդավորում և ֆիզիկական զննում պետք է իրականացվի 1-2 ամիսը մեկ.

ցանցային մալուխները պետք է պաշտպանված լինեն տվյալների չարտոնված գաղտնալսումից.

Սարքավորման հետ տեղի ունեցած բոլոր կասկածելի և փաստացի խափանումների գրառումները պետք է պահվեն մատյանում

Յուրաքանչյուր աշխատակայան պետք է հագեցած լինի անխափան սնուցմամբ:

Սահմանենք տեղեկատվության ամրագրման քաղաքականություն.

Պահուստային պատճենների համար պետք է հատկացվի առանձին սենյակ, որը գտնվում է վարչական շենքից դուրս (սենյակը պետք է հագեցած լինի էլեկտրոնային կողպեքով և ահազանգով).

Տեղեկատվության ամրագրումը պետք է կատարել ամեն ուրբաթ ժամը 16:00-ին:

Աշխատակիցներին աշխատանքի ընդունելու/ազատելու քաղաքականությունը պետք է լինի հետևյալը.

Ցանկացած կադրային փոփոխություն (աշխատողի աշխատանքի ընդունում, առաջխաղացում, աշխատանքից ազատում և այլն) պետք է 24 ժամվա ընթացքում տեղեկացվի ադմինիստրատորին, որն իր հերթին կես աշխատանքային օրվա ընթացքում պետք է համապատասխան փոփոխություններ կատարի մուտքի իրավունքի սահմանազատման համակարգում։ ձեռնարկության ռեսուրսներին;

նոր աշխատակիցը պետք է վերապատրաստում անցնի ադմինիստրատորի կողմից՝ ներառյալ ծանոթանալով անվտանգության քաղաքականությանը և բոլոր անհրաժեշտ հրահանգներին, նոր աշխատակցի համար տեղեկատվության հասանելիության մակարդակը նշանակվում է ղեկավարի կողմից.

Երբ աշխատողը լքում է համակարգը, նրա ID-ն և գաղտնաբառը ջնջվում են, աշխատատեղը ստուգվում է վիրուսների համար, և վերլուծվում է այն տվյալների ամբողջականությունը, որոնց հասանելի է եղել աշխատողը:

Տեղական ներքին ցանցի (LAN) և տվյալների բազաների (DB) հետ աշխատելու քաղաքականություն.

իր աշխատավայրում և LAN-ում աշխատելիս աշխատողը պետք է կատարի միայն իր պաշտոնական գործունեության հետ անմիջականորեն կապված առաջադրանքներ.

Աշխատակիցը պետք է տեղեկացնի ադմինիստրատորին հակավիրուսային ծրագրերից վիրուսների հայտնվելու մասին հաղորդագրությունների մասին.

Ոչ ոք, բացի ադմինիստրատորներից, իրավունք չունի փոփոխություններ կատարել աշխատանքային կայանների և այլ LAN հանգույցների նախագծման կամ կազմաձևման մեջ, տեղադրել որևէ ծրագիր, թողնել աշխատակայանը առանց վերահսկողության կամ թույլ տալ չարտոնված անձանց մուտք գործել այնտեղ.

Ադմինիստրատորներին առաջարկվում է մշտապես գործարկել երկու ծրագիր՝ ARP կեղծող հարձակումների հայտնաբերման գործիք և sniffer, որոնց օգտագործումը թույլ կտա նրանց տեսնել ցանցը պոտենցիալ ներխուժողի աչքերով և բացահայտել անվտանգության քաղաքականության խախտողներին.

Դուք պետք է տեղադրեք ծրագրակազմ, որը թույլ չի տալիս այլ ծրագրերի գործարկումը, բացառությամբ ադմինիստրատորի կողմից նշանակված ծրագրերի, ելնելով «Ցանկացած անձին տրվում են հատուկ առաջադրանքներ կատարելու համար անհրաժեշտ արտոնություններ»: Բոլոր չօգտագործված համակարգչային պորտերը պետք է անջատված լինեն ապարատային կամ ծրագրային ապահովման միջոցով.

Ծրագիրը պետք է պարբերաբար թարմացվի:

Ինտերնետային քաղաքականություն.

ադմինիստրատորներին իրավունք է տրվում սահմանափակել մուտքը ռեսուրսներ, որոնց բովանդակությունը կապված չէ ծառայողական պարտականությունների կատարման հետ, ինչպես նաև այն ռեսուրսներին, որոնց բովանդակությունը և կենտրոնացումը արգելված են միջազգային և Ռուսաստանի օրենսդրությամբ.

աշխատակցին արգելվում է ներբեռնել և բացել ֆայլեր՝ առանց վիրուսների նախնական ստուգման.

Ընկերության աշխատակիցների այցելած ռեսուրսների մասին բոլոր տեղեկությունները պետք է պահվեն գրանցամատյանում և, անհրաժեշտության դեպքում, կարող են տրամադրվել ստորաբաժանման ղեկավարներին, ինչպես նաև ղեկավարությանը:

էլեկտրոնային նամակագրության և գրասենյակային փաստաթղթերի գաղտնիությունն ու ամբողջականությունն ապահովվում է թվային ստորագրությունների կիրառմամբ։

Բացի այդ, մենք կձևակերպենք ԲԲԸ «Գազպրոմ» ընկերության աշխատակիցների համար գաղտնաբառեր ստեղծելու հիմնական պահանջները:

Գաղտնաբառը նման է տան բանալին, միայն այն տեղեկատվության բանալին է: Սովորական բանալիների համար չափազանց անցանկալի է կորցնելը, գողանալը կամ օտարին հանձնելը: Նույնը վերաբերում է գաղտնաբառը: Իհարկե, տեղեկատվության անվտանգությունը կախված է ոչ միայն գաղտնաբառից, այն ապահովելու համար անհրաժեշտ է մի շարք հատուկ կարգավորումներ սահմանել և, հնարավոր է, նույնիսկ գրել հաքերներից պաշտպանող ծրագիր։ Սակայն գաղտնաբառ ընտրելը հենց այն գործողությունն է, որտեղ կախված է միայն օգտատերից, թե որքան ուժեղ կլինի այս կապը տեղեկատվության պաշտպանությանն ուղղված միջոցառումների շղթայում:

) գաղտնաբառը պետք է լինի երկար (8-12-15 նիշ);

) չպետք է լինի բառ բառարանից (ցանկացած բառարան, նույնիսկ հատուկ տերմինների և ժարգոնների բառարան), պատշաճ անուն կամ կիրիլիցայով լատիներեն դասավորությամբ մուտքագրված բառ (լատիներեն - kfnsym);

) այն չի կարող կապված լինել սեփականատիրոջ հետ.

) այն փոփոխվում է պարբերաբար կամ ըստ անհրաժեշտության.

) այս հզորությամբ չի օգտագործվում տարբեր ռեսուրսների վրա (այսինքն, յուրաքանչյուր ռեսուրսի համար՝ փոստարկղ, օպերացիոն համակարգ կամ տվյալների բազա մուտք գործելու համար, պետք է օգտագործվի այլ գաղտնաբառ);

) դա հնարավոր է հիշել։

Բառարանից բառեր ընտրելն անցանկալի է, քանի որ բառարանային հարձակում կատարող հարձակվողը կօգտագործի ծրագրեր, որոնք կարող են վայրկյանում մինչև հարյուր հազարավոր բառեր որոնել:

Սեփականատիրոջ հետ կապված ցանկացած տեղեկություն (լինի դա ծննդյան տարեթիվը, շան անունը, մոր օրիորդական անունը և նմանատիպ «գաղտնաբառեր») կարելի է հեշտությամբ ճանաչել և գուշակել:

Մեծ և փոքրատառ տառերի, ինչպես նաև թվերի օգտագործումը մեծապես բարդացնում է հարձակվողի՝ գաղտնաբառը գուշակելու խնդիրը:

Գաղտնաբառը պետք է գաղտնի մնա, և եթե կասկածում եք, որ գաղտնաբառը հայտնի է դարձել ինչ-որ մեկին, փոխեք այն։ Շատ օգտակար է նաև դրանք ժամանակ առ ժամանակ փոխելը։

Եզրակացություն

Ուսումնասիրությունը թույլ տվեց մեզ անել հետևյալ եզրակացությունները և առաջարկություններ ձևակերպել.

Սահմանվել է, որ տեղեկատվական անվտանգության ոլորտում ձեռնարկության խնդիրների հիմնական պատճառը տեղեկատվական անվտանգության քաղաքականության բացակայությունն է, որը կներառի կազմակերպչական, տեխնիկական, ֆինանսական լուծումներ՝ դրանց իրականացման հետագա մոնիտորինգով և արդյունավետության գնահատմամբ:

Տեղեկատվական անվտանգության քաղաքականության սահմանումը ձևակերպված է որպես փաստաթղթավորված որոշումների մի շարք, որի նպատակն է ապահովել տեղեկատվության պաշտպանությունը և դրա հետ կապված տեղեկատվական ռիսկերը:

Տեղեկատվական անվտանգության համակարգի վերլուծությունը բացահայտեց էական թերություններ, այդ թվում.

պահուստային պատճենների պահպանում սերվերի սենյակում, պահուստային սերվերը գտնվում է հիմնական սերվերների հետ նույն սենյակում.

գաղտնաբառի պաշտպանության վերաբերյալ պատշաճ կանոնների բացակայություն (գաղտնաբառի երկարությունը, այն ընտրելու և պահելու կանոնները);

ցանցի կառավարումն իրականացնում է մեկ անձ:

Ձեռնարկությունների տեղեկատվական անվտանգության կառավարման ոլորտում միջազգային և ռուսական պրակտիկայի ընդհանրացումը մեզ թույլ տվեց եզրակացնել, որ այն ապահովելու համար անհրաժեշտ է.

Անվտանգության սպառնալիքների, պատճառների և պայմանների կանխատեսում և ժամանակին բացահայտում, որոնք նպաստում են ֆինանսական, նյութական և բարոյական վնասներին.

աշխատանքային պայմանների ստեղծում տեղեկատվական ռեսուրսների անվտանգության սպառնալիքների իրականացման և տարբեր տեսակի վնասներ պատճառելու նվազագույն ռիսկով.

իրավական, կազմակերպչական և տեխնիկական միջոցների հիման վրա տեղեկատվական անվտանգության սպառնալիքներին արդյունավետ արձագանքելու մեխանիզմի և պայմանների ստեղծում:

Աշխատանքի առաջին գլխում քննարկվում են հիմնական տեսական ասպեկտները: Տրված է տեղեկատվական անվտանգության ոլորտում մի քանի ստանդարտների ակնարկ: Եզրակացություններ են արվում յուրաքանչյուրի և ընդհանուր առմամբ, և ընտրվում է տեղեկատվական անվտանգության քաղաքականության ձևավորման ամենահարմար չափորոշիչը:

Երկրորդ գլխում ուսումնասիրվում է կազմակերպության կառուցվածքը և վերլուծվում տեղեկատվական անվտանգության հետ կապված հիմնական խնդիրները: Արդյունքում ձևավորվել են առաջարկություններ՝ ապահովելու տեղեկատվական անվտանգության պատշաճ մակարդակը։ Դիտարկվում են նաև տեղեկատվական անվտանգության խախտումների հետ կապված հետագա միջադեպերը կանխելուն ուղղված միջոցառումներ։

Անշուշտ, կազմակերպության տեղեկատվական անվտանգության ապահովումը շարունակական գործընթաց է, որը պահանջում է մշտական մոնիտորինգ: Իսկ բնականորեն ձեւավորված քաղաքականությունը պաշտպանության երկաթյա երաշխավոր չէ։ Բացի քաղաքականության իրականացումից, պահանջվում է դրա որակի իրականացման մշտական մոնիտորինգ, ինչպես նաև բարելավում ընկերությունում որևէ փոփոխության կամ նախադեպերի դեպքում: Կազմակերպությանը առաջարկվել է աշխատանքի ընդունել աշխատողի, ում գործունեությունն անմիջականորեն կապված կլինի այդ գործառույթների հետ (անվտանգության ադմինիստրատոր):

Մատենագիտություն

տեղեկատվական անվտանգության ֆինանսական վնաս

1. Բելով Է.Բ. Տեղեկատվական անվտանգության հիմունքներ. Է.Բ. Բելով, Վ.Պ. Լոս, Ռ.Վ. Մեշչերյակովը, Ա.Ա. Շելուպանով. -Մ.: Թեժ գիծ - Տելեկոմ, 2006. - 544ս

Գալատենկո Վ.Ա. Տեղեկատվական անվտանգության ստանդարտներ. դասախոսությունների դասընթաց. Ուսումնական

նպաստ. - 2-րդ հրատարակություն. M.: INTUIT.RU «Տեղեկատվական տեխնոլոգիաների ինտերնետ համալսարան», 2009. - 264 էջ.

Գլատենկո Վ.Ա. Տեղեկատվական անվտանգության ստանդարտներ / Բաց համակարգեր 2006.- 264c

Դոլժենկո Ա.Ի. Տեղեկատվական համակարգերի կառավարում. Դասընթաց. - Դոնի Ռոստով: RGEU, 2008.-125 p.

Կալաշնիկով Ա. Ներքին տեղեկատվական անվտանգության կորպորատիվ քաղաքականության ձևավորում #«արդարացնել»>. Մալյուկ Ա.Ա. Տեղեկատվական անվտանգություն. տեղեկատվության պաշտպանության հայեցակարգային և մեթոդական հիմունքներ / Մ.2009-280-ական թթ

Մեյվոլդ Է., Ցանցային անվտանգություն: Ինքնուսուցման ձեռնարկ // Ekom, 2009.-528 p.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Տեղեկատվական օբյեկտների տեղեկատվական անվտանգության կազմակերպչական աջակցության հիմունքները // Helios ARV, 2008, 192 pp.