სადიპლომო ნაშრომები ინფორმაციული უსაფრთხოების შესახებ (საინფორმაციო სისტემების უსაფრთხოება). საინფორმაციო უსაფრთხოების სისტემა ინფორმაციული უსაფრთხოების შესახებ WRC თემების სია

მსგავსი დოკუმენტები

ინფორმაციული უსაფრთხოების საკითხების აქტუალობა. პროგრამული უზრუნველყოფა და აპარატურა შპს მინერალური ქსელისთვის. კორპორატიული უსაფრთხოების მოდელის შექმნა და დაცვა არაავტორიზებული წვდომისგან. ტექნიკური გადაწყვეტილებები საინფორმაციო სისტემის დაცვისთვის.

ნაშრომი, დამატებულია 19/01/2015

საინფორმაციო სისტემის უსაფრთხოება არის მისი უნარი გაუძლოს სხვადასხვა გავლენებს. კომპიუტერული საფრთხეების სახეები, არაავტორიზებული წვდომის კონცეფცია. ვირუსები და მავნე პროგრამები. საინფორმაციო სისტემების დაცვის მეთოდები და საშუალებები.

რეზიუმე, დამატებულია 14/11/2010

ინფორმაციული უსაფრთხოების საფრთხეების კლასიფიკაცია. შეცდომები კომპიუტერული სისტემების, პროგრამული უზრუნველყოფის და აპარატურის შემუშავებაში. ინფორმაციაზე არასანქცირებული წვდომის (UNA) მოპოვების ძირითადი მეთოდები. NSD-ისგან დაცვის მეთოდები. ვირტუალური კერძო ქსელები.

კურსის სამუშაო, დამატებულია 26/11/2013

ინფორმაციული უსაფრთხოების გარე საფრთხეები, მათი გამოვლენის ფორმები. სამრეწველო შპიონაჟისგან დაცვის მეთოდები და საშუალებები, მისი მიზნები: კონკურენტის შესახებ ინფორმაციის მოპოვება, ინფორმაციის განადგურება. კონფიდენციალურ ინფორმაციაზე არაავტორიზებული წვდომის მეთოდები.

ტესტი, დამატებულია 09/18/2016

ინფორმაციაზე არასანქცირებული წვდომის ყველაზე გავრცელებული გზები, მისი გაჟონვის არხები. ინფორმაციის დაცვის მეთოდები ბუნებრივი (გადაუდებელი) საფრთხეებისგან და შემთხვევითი საფრთხეებისგან. კრიპტოგრაფია, როგორც ინფორმაციის დაცვის საშუალება. სამრეწველო ჯაშუშობა.

რეზიუმე, დამატებულია 06/04/2013

ინფორმაციული უსაფრთხოების კონცეფცია, მნიშვნელობა და მიმართულებები. სისტემური მიდგომა ინფორმაციული უსაფრთხოების ორგანიზებისთვის, ინფორმაციის დაცვა არაავტორიზებული წვდომისგან. ინფორმაციის უსაფრთხოების ინსტრუმენტები. ინფორმაციის უსაფრთხოების მეთოდები და სისტემები.

რეზიუმე, დამატებულია 15/11/2011

ინფორმაციული უსაფრთხოების კონცეფცია და პრინციპები. კომპიუტერულ სისტემაზე საშიში ზემოქმედების ძირითადი ტიპების განხილვა. არხების კლასიფიკაცია კომპიუტერებზე არასანქცირებული წვდომისთვის. ტექნიკური და პროგრამული უზრუნველყოფის ინფორმაციული უსაფრთხოების ინსტრუმენტების მახასიათებლები.

პრეზენტაცია, დამატებულია 15/11/2011

ინფორმაციული უსაფრთხოება, მისი მიზნები და ამოცანები. ინფორმაციის გაჟონვის არხები. პროგრამული და ტექნიკის მეთოდები და საშუალებები ინფორმაციის არაავტორიზებული წვდომისგან დასაცავად. კომპიუტერულ დაწესებულებაში დამუშავებული ინფორმაციის უსაფრთხოების საფრთხის მოდელი.

ნაშრომი, დამატებულია 19/02/2017

საწარმოს საქმიანობის ტიპის გავლენა ინფორმაციული უსაფრთხოების ყოვლისმომცველი სისტემის ორგანიზებაზე. დაცული ინფორმაციის შემადგენლობა. ორგანიზაციულ ინფორმაციაზე არაავტორიზებული წვდომის პოტენციური არხები. ინფორმაციული უსაფრთხოების სისტემის ეფექტურობა.

პრაქტიკის ანგარიში, დამატებულია 10/31/2013

ინფორმაციული უსაფრთხოების გაჩენისა და განვითარების ისტორიული ასპექტები. ინფორმაციის უსაფრთხოების საშუალებები და მათი კლასიფიკაცია. კომპიუტერული ვირუსების მუშაობის სახეები და პრინციპები. ინფორმაციის არაავტორიზებული წვდომისგან დაცვის სამართლებრივი საფუძველი.

ფოკუსი (პროფილი) „საინფორმაციო სისტემები და ტექნოლოგიები“

ტრენინგის სფეროები 09.03.02 „საინფორმაციო სისტემები და ტექნოლოგიები“

დიზაინი და ტექნოლოგიური,

მომსახურება და ოპერატიული.

1. საწარმოს საინფორმაციო ინფრასტრუქტურის ვირტუალიზაცია (საწარმოს დასახელება).

2. საწარმოს საინფორმაციო სისტემების ინტეგრაცია Linux OS-ზე და თავისუფლად გავრცელებულ DBMS-ზე.

3. საწარმოს კორპორატიული საინფორმაციო სისტემის მოდერნიზაცია და ადმინისტრირება (საწარმოს დასახელება).

4. საწარმოს საინფორმაციო ქსელის მოდერნიზაცია, ადმინისტრირება და მოვლა-პატრონობა (საწარმოს დასახელება).

5. საწარმოს (პროცესის) საინფორმაციო და მართვის სისტემის (საწარმოს ან პროცესის დასახელება) მოდერნიზაცია და მხარდაჭერის ღონისძიებების შემუშავება.

6. საწარმოსთვის ინტრანეტის პორტალის შემუშავება (საწარმოს დასახელება).

7. საწარმოს საინფორმაციო ქსელის დიზაინი (საწარმოს დასახელება).

8. საწარმოს კორპორატიული საინფორმაციო სისტემის დიზაინი (საწარმოს დასახელება).

9. საწარმოს კორპორატიული ვებ პორტალის (საწარმოს დასახელება) შემუშავება და ტექნიკური მომსახურება.

10. საწარმოსთვის ინფორმაციის დამუშავების ავტომატური სისტემის შემუშავება (საწარმოს დასახელება).

11. საწარმოს საინფორმაციო სისტემის პროტოტიპის შემუშავება პროცესის მართვისთვის (პროცესის დასახელება ან ობიექტი).

12. საწარმოს საინფორმაციო სისტემის ვებ სერვისის შემუშავება (საწარმოს დასახელება).

13. საწარმოს საცნობარო საინფორმაციო სისტემის შემუშავება (საწარმოს დასახელება).

14. საწარმოს ინფორმაციის მართვის სისტემის მოდელისა და დიზაინის შემუშავება (საწარმოს დასახელება).

15. სისტემის მოვლა-პატრონობის ტექნოლოგიური პროგრამული უზრუნველყოფის შემუშავება (სისტემის დასახელება).

16. მიკროპროცესორული მოწყობილობის პროგრამული უზრუნველყოფის შემუშავება (მოწყობილობის დასახელება).

17. საწარმოს საინფორმაციო სისტემისთვის მობილური კლიენტის აპლიკაციის შემუშავება (საწარმოს დასახელება).

18. სიმულაციური მოდელის შემუშავება წარმოების პროცესის პარამეტრების ოპტიმიზაციის მიზნით.

19. ინსტრუმენტების (ვირტუალიზაციის ხელსაწყოების სახელწოდება) და საწარმოს მონაცემთა გადაცემის არხების (საწარმოს სახელწოდება) საფუძველზე ვირტუალური სერვერების დიზაინი.

20. საწარმოს საინფორმაციო (კორპორატიული ინფორმაციის) სისტემის მოდულის (ქვესისტემის) (განხორციელებული ფუნქციის დასახელება) შემუშავება (საწარმოს დასახელება).

გამოყენებითი ბაკალავრის საგანმანათლებლო პროგრამაში

ტრენინგის სფეროები 03/09/04 "პროგრამული ინჟინერია"

პროფესიული საქმიანობის სახეები:
საწარმოო და ტექნოლოგიური,
ორგანიზაციული და მენეჯერული,
მომსახურება და ოპერატიული.

1. ვებგვერდის, სოციალური ქსელის, პორტალის აპლიკაციის შემუშავება.

2. საინფორმაციო (საინფორმაციო და საცნობარო) სისტემის (სისტემის დანიშნულება ან ფუნქცია) დიზაინი და პროგრამული დანერგვა.

3. მოწყობილობისთვის firmware-ის შემუშავება (მოწყობილობის დასახელება).

4. სისტემისთვის აპლიკაციური პროგრამული უზრუნველყოფის შემუშავება (სისტემის დასახელება).

5. პროგრამული უზრუნველყოფის საინფორმაციო სისტემის შემუშავება (გამოყენების სფეროს დასახელება ან განხორციელებული პროცესი).

6. პროგრამული უზრუნველყოფის ტესტირებისა და გამართვის მეთოდების შემუშავება (პროგრამული უზრუნველყოფის დასახელება).

7. პროგრამული მოდულის შემუშავება (მოდულის დასახელება) 1C: Enterprise სისტემისთვის (საწარმოს დასახელება).

8. საწარმოს ინფორმაციის მართვის სისტემის ვებ სერვისის შემუშავება (საწარმოს დასახელება).

9. საინფორმაციო-საზომი სისტემის მხარდაჭერის აპლიკაციის შემუშავება (სისტემის დანიშნულება).

10. 1C:Enterprise სისტემის ვებ სერვისების ინფორმაციული უსაფრთხოების შესწავლა.

11. საწარმოს საინფორმაციო (კორპორატიული ინფორმაციის) სისტემის მოდულის (ქვესისტემის) (განხორციელებული ფუნქციის დასახელება) შემუშავება (საწარმოს დასახელება).

12. სისტემისთვის სერვერული (კლიენტი) პროგრამული უზრუნველყოფის შემუშავება (სისტემის დასახელება).

დასკვნითი შესარჩევი სამუშაოების თემები

გამოყენებითი ბაკალავრის საგანმანათლებლო პროგრამაში

ფოკუსირება (პროფილი) „საინფორმაციო სერვისი“

:
მომსახურება,

1. საწარმოს ლოკალური ქსელის მოდერნიზაცია, ადმინისტრირება და მოვლა-პატრონობა (საწარმოს დასახელება).

2. საწარმოს საინფორმაციო სისტემის მოდერნიზაცია და ადმინისტრირება (საწარმოს დასახელება).

3. საწარმოს საინფორმაციო სისტემის დიზაინი (საწარმოს დასახელება).

4. საწარმოს ლოკალური ქსელის ოპერირების ტექნოლოგიის დიზაინი და განვითარება (საწარმოს დასახელება).

5. საწარმოს საინფორმაციო სისტემის აპარატურული და პროგრამული დაცვის დიზაინი (საწარმოს დასახელება).

6. მოწყობილობის დიაგნოსტიკის, შეკეთების და ტექნიკური ტექნოლოგიის შემუშავება (მოწყობილობის დასახელება, მოწყობილობათა ჯგუფი, საზომი მოწყობილობა, კომპიუტერული ბლოკი, კომპიუტერული ან მიკროპროცესორული სისტემა, ლოკალური ქსელი).

7. კომპანიის ვებგვერდის (კომპანიის დასახელება) შემუშავება და ადმინისტრირება.

8. საწარმოს მონაცემთა გადაცემის ქსელის სერვერის კონფიგურაციის შემუშავება (საწარმოს დასახელება).

9. საწარმოს საინფორმაციო სისტემის მონაცემთა ბაზის შემუშავება და ადმინისტრირება (საწარმოს დასახელება).

10. საწარმოსთვის ინტრანეტის პორტალის შემუშავება (საწარმოს დასახელება).

11. 1C:Enterprise პლატფორმაზე წარმოების პროცესების მონიტორინგის ქვესისტემის შემუშავება.

12. საწარმოს (საწარმოს დასახელება) განაწილებული საინფორმაციო სისტემის (სისტემის დასახელება) პროექტის შემუშავება.

13. საინფორმაციო და საცნობარო აღრიცხვის სისტემის შემუშავება (აღრიცხვის ობიექტის დასახელება).

14. WCF სერვისის შემუშავება საწარმოს საინფორმაციო სისტემისთვის.

15. საწარმოს საინფორმაციო სისტემის მოდელის შემუშავება (საწარმოს დასახელება ან საქმიანობის სფერო).

16. პროგრამული უზრუნველყოფის ტესტირებისა და გამართვის მეთოდების შემუშავება (პროგრამული უზრუნველყოფის დასახელება).

17. პროგრამული უზრუნველყოფის საინფორმაციო სისტემის ადმინისტრირებისა და ტექნიკური უზრუნველყოფის ღონისძიებების ერთობლიობის შემუშავება (გამოყენების არეალის ან განხორციელებული პროცესის დასახელება).

18. მონაცემთა გადაცემის სისტემის მოდელირება და კვლევა (სისტემის დასახელება).

19. 1C:Enterprise პლატფორმაზე განაწილებული საინფორმაციო სისტემის პარამეტრების კვლევა და ოპტიმიზაცია.

20. საწარმოს (საწარმოს დასახელება) ელექტრონული (კომპიუტერული) ტექნიკის შეკეთებისა და ტექნიკური მომსახურების განყოფილების პროექტირება და ტექნიკური აღჭურვილობის ექსპლუატაციის ორგანიზება.

21. ინსტრუმენტებზე (ვირტუალიზაციის ხელსაწყოების სახელწოდება) და საწარმოსთვის მონაცემთა გადაცემის არხების (საწარმოს სახელწოდება) ვირტუალური სერვერების დიზაინი.

22. სისტემისთვის სერვერული (კლიენტი) პროგრამული უზრუნველყოფის შემუშავება (სისტემის დასახელება).

დასკვნითი შესარჩევი სამუშაოების თემები

გამოყენებითი ბაკალავრის საგანმანათლებლო პროგრამაში

მიმართულება (პროფილი) "ელექტრონული აღჭურვილობის სერვისი"

ტრენინგის სფეროები 03.43.01 „სერვისი“

პროფესიული საქმიანობის სახეები:
მომსახურება,
საწარმოო და ტექნოლოგიური.

1. მოწყობილობის დიაგნოსტიკის, შეკეთების და ტექნიკური ტექნოლოგიის შემუშავება (ელექტრონული მოწყობილობის, მიკროპროცესორის ან ტელეკომუნიკაციის სისტემის, საზომი მოწყობილობების, მონაცემთა გადაცემის ქსელის დასახელება).

2. საწარმოს ელექტრონული სისტემის (სისტემის დასახელება) შემუშავება (საწარმოს დასახელება, სავაჭრო და საოფისე ცენტრი, გასართობი კომპლექსი).

3. ინფორმაციის შემავალი/გამომავალი მოწყობილობის შემუშავება (მოწყობილობის დასახელება).

4. მიკროპროცესორული მოწყობილობის პროგრამული უზრუნველყოფის შემუშავება (მოწყობილობის დასახელება).

5. საწარმოსთვის კორპორატიული სატელეკომუნიკაციო ქსელის განვითარება (საწარმოს დასახელება).

6. ციფრული მოწყობილობის (მოდულის) შემუშავება (მოდულის დასახელება, მოდული; განხორციელებული ფუნქციის დასახელება).

7. ელექტრო მოწყობილობების ელექტრომომარაგების მოწყობილობის შემუშავება (აღჭურვილობის დასახელება).

8. ობიექტების მონიტორინგის (საკონტროლო პარამეტრების) ტექნოლოგიის შემუშავება (ობიექტების დასახელება).

9. უკაბელო სენსორის შემუშავება და კვლევა (გაზომილი პარამეტრის დასახელება).

10. საწარმოს (საწარმოს დასახელება) განყოფილების პროექტირება ელექტრონული (კომპიუტერული) მოწყობილობების შეკეთება-შენახვა და ტექნიკური აღჭურვილობის ექსპლუატაციის ორგანიზაცია.

11. საწარმოს უსაფრთხოების ინტეგრირებული სისტემის ქვესისტემის (ქვესისტემის დასახელება) შემუშავება (საწარმოს დასახელება).

დასკვნითი შესარჩევი სამუშაოების თემები

გამოყენებითი ბაკალავრის საგანმანათლებლო პროგრამაში

მიმართულება (პროფილი) "რადიოინჟინერიის საშუალებები სიგნალების გადაცემის, მიღებისა და დამუშავებისთვის"
ტრენინგის სფეროები 03/11/01 "რადიო ინჟინერია"

პროფესიული საქმიანობის სახეები:
დიზაინი და ინჟინერია,
მომსახურება და ოპერატიული.

1. მოწყობილობის (ბლოკი, მოდული; მიმღები, გადამცემი, გადამცემი) სისტემის შემუშავება (სისტემის დასახელება).

2. ელექტრონული აღჭურვილობის უსადენო ინტერფეისის შემუშავება (აღჭურვილობის დასახელება).

3. მოწყობილობის ვირტუალური მოდელის შესწავლა (მიუთითეთ მოწყობილობის ტიპი) გარემოში (პროგრამული გარემოს დასახელება).

4. საწარმოს უსაფრთხოების ინტეგრირებული სისტემის ქვესისტემის (ქვესისტემის დასახელება) შემუშავება (საწარმოს დასახელება.

დასკვნითი შესარჩევი სამუშაოების თემები

გამოყენებითი ბაკალავრის საგანმანათლებლო პროგრამაში

მიმართულება (პროფილი) "მობილური საკომუნიკაციო სისტემები"

ტრენინგის სფეროები 11.03.02 „საინფორმაციო საკომუნიკაციო ტექნოლოგიები და საკომუნიკაციო სისტემები“

პროფესიული საქმიანობის სახეები:
დიზაინი

1. საწარმოსთვის სატელეკომუნიკაციო ქსელის დიზაინი (საწარმოს დასახელება).

2. საწარმოს სატელეკომუნიკაციო ქსელის ადმინისტრირება და მოვლა (საწარმოს დასახელება).

3. ციფრული სატელეკომუნიკაციო სისტემის ბლოკის (კოდეკი, ვოკოდერი, სინქრონიზაციის მოწყობილობა, შესატყვისი მოწყობილობა) შემუშავება.

4. უკაბელო ინტერფეისის ადაპტერის შემუშავება (ინტერფეისების დასახელება).

5. ინფორმაციის დამუშავების მოწყობილობის (მოწყობილობის ტიპი) სისტემის შემუშავება (სისტემის სახელწოდება).

6. ინტერფეისის სისტემების მოწყობილობის შემუშავება (სისტემების დასახელება).

7. სისტემის კონტროლერის შემუშავება (სისტემის სახელწოდება).

8. სატელეკომუნიკაციო სისტემის სინქრონიზაციის მოწყობილობის დამუშავება (სისტემის დასახელება).

9. სატელეკომუნიკაციო აღჭურვილობის ტესტირების ტექნოლოგიური მოწყობილობის შემუშავება (აღჭურვილობის დასახელება).

10. ტექნოლოგიაზე დაფუძნებული უკაბელო საკომუნიკაციო ქსელის (ქსელის სეგმენტის) განვითარება (ტექნოლოგიის დასახელება).

11. ობიექტის პარამეტრების დისტანციური მონიტორინგის ტექნოლოგიის შემუშავება (პარამეტრების დასახელება).

12. ობიექტის მდგომარეობის მონიტორინგის სენსორული ქსელის შემუშავება (ობიექტის დასახელება).

13. სატელეკომუნიკაციო მოწყობილობის დიაგნოსტიკისა და პარამეტრების გაზომვის ტექნოლოგიის შემუშავება (მოწყობილობის დასახელება, სისტემა, ქსელი, გარემო).

14. სისტემისთვის გადამცემი მოწყობილობის შემუშავება (სისტემის დასახელება).

15. ობიექტის დისტანციური მართვის სატელეკომუნიკაციო მოწყობილობების დამუშავება (ობიექტის დასახელება).

16. სატელეკომუნიკაციო აღჭურვილობის კომპონენტების პარამეტრის შემუშავება (კომპონენტების დასახელება).

17. უსადენო ინფორმაციის შემავალი/გამომავალი მოწყობილობის დამუშავება (მოწყობილობის დასახელება).

18. საინფორმაციო საკომუნიკაციო ტექნოლოგიების ტექნიკისა და პროგრამული უზრუნველყოფის შემუშავება (ტექნოლოგიის დასახელება).

19. სისტემაში ინფორმაციის გადაცემის პროტოკოლების შესწავლა (სისტემის დასახელება).

20. სისტემის ციფრული სიგნალის დამუშავების მეთოდების კვლევა (სისტემის დასახელება).

21. საინფორმაციო საკომუნიკაციო ტექნოლოგიებისა და ობიექტების მართვის სისტემის შემუშავება (ობიექტის დასახელება).

22. პარამეტრის გაზომვის უკაბელო სისტემის შემუშავება (პარამეტრის დასახელება).

23. ინსტრუმენტებზე (ვირტუალიზაციის ხელსაწყოების სახელწოდება) და საწარმოს მონაცემთა გადაცემის არხების (საწარმოს სახელწოდება) ვირტუალური სერვერების დიზაინი.

დასკვნითი შესარჩევი სამუშაოების თემები

საშუალო პროფესიული განათლების საგანმანათლებლო პროგრამის მიხედვით

სპეციალობა 09.02.01 "კომპიუტერული სისტემები და კომპლექსები"

პროფესიონალური მოდულები:

PM.01 ციფრული მოწყობილობების დიზაინი,

PM.02 მიკროპროცესორული სისტემების გამოყენება, პერიფერიული ტრენინგის ინსტალაცია და კონფიგურაცია,

PM.03 კომპიუტერული სისტემების და კომპლექსების მოვლა-შეკეთება.

1. ხარვეზების დიაგნოსტიკა და აღჭურვილობის ტექნიკური მდგომარეობის მონიტორინგი (კომპიუტერული ტექნოლოგიების ან კომპიუტერული ქსელის აპარატურის და პროგრამული უზრუნველყოფის დასახელება).

2. ხელსაწყოების აწყობა, კონფიგურაცია და დაყენება (კომპიუტერის აპარატურის და პროგრამული უზრუნველყოფის ან კომპიუტერული ქსელის დასახელება).

3. საწარმოს კომპიუტერული ქსელის ინფორმაციული უსაფრთხოების უზრუნველყოფის ღონისძიებათა კომპლექსის შემუშავება (საწარმოს დასახელება).

4. საწარმოს უკონტაქტო იდენტიფიკაციის სისტემის შემუშავება (საწარმოს დასახელება).

5. საწარმოს საინფორმაციო სისტემის (საწარმოს დასახელება) მოვლა და ადმინისტრირება.

6. საწარმოს კომპიუტერული ქსელის მოვლა და ადმინისტრირება (საწარმოს დასახელება).

7. ტექნიკის და პროგრამული უზრუნველყოფის ტექნიკური უზრუნველყოფა და მხარდაჭერა (კომპიუტერის აპარატურის ან კომპიუტერული ქსელის დასახელება).

8. პროგრამული უზრუნველყოფის ინსტალაცია, ადაპტაცია და ტექნიკური მომსახურება (პროგრამული უზრუნველყოფის დასახელება).

9. ციფრული (მიკროპროცესორული) მოწყობილობის (მოდულის) შემუშავება და კვლევა (მოწყობილობის დასახელება, მოდული).

10. ტესტირების ტექნოლოგიის შემუშავება და პროგრამული უზრუნველყოფის ყოვლისმომცველი გამართვა (პროგრამული უზრუნველყოფის სახელწოდება).

კურსდამთავრებულთა დასკვნითი შესარჩევი სამუშაოების თემები

ფოკუსი (პროფილი) "კომპიუტერული ტექნოლოგიებისა და საინფორმაციო სისტემების ელემენტები და მოწყობილობები"

ტრენინგის მიმართულებები 09.04.01 „ინფორმატიკა და კომპიუტერული მეცნიერება“

პროფესიული საქმიანობის სახეები:
დიზაინი,
სამეცნიერო გამოკვლევა.

1. ინფორმაციის გადაცემისათვის ქსელური პროტოკოლების მოდელირება და კვლევა (მითითებულია ინფორმაციის ტიპი).

2. სისტემის პარამეტრების გაუმჯობესების კომპიუტერული მეთოდების კვლევა და შემუშავება (მითითებულია პარამეტრები ან პარამეტრები და სისტემის ტიპი).

3. საინფორმაციო ან სატელეკომუნიკაციო სისტემების კომპიუტერული მოდელირება, კვლევა და ოპტიმიზაცია (მითითებულია სისტემების კლასი).

4. უსადენო სენსორული ქსელების აგების კვლევა და ოპტიმიზაცია.

5. საგნების უსადენო ინტერნეტის ქსელების კონსტრუქციის კვლევა და ანალიზი.

6. ეფექტურობის კრიტერიუმების შემუშავება და ვირტუალური მანქანების განაწილების შესწავლა ღრუბლოვან ინფრასტრუქტურაში.

7. განაწილებული საინფორმაციო (ან საინფორმაციო-საზომი) სისტემების ეფექტურობის შემუშავება, კვლევა და შეფასება (მითითებულია გამოყენების სფერო ან სისტემების ტიპი).

8. აღჭურვილობის უსადენო ინტერფეისის შემუშავება და კვლევა (აღჭურვილობის დასახელება).

9. ობიექტის თვალთვალის მოწყობილობის შემუშავება და კვლევა (ობიექტების დასახელება).

10. ობიექტის მდგომარეობის მონიტორინგის მოწყობილობების შემუშავება და კვლევა (ობიექტის დასახელება).

11. მოწყობილობების აპარატურული და პროგრამული დიაგნოსტიკური ხელსაწყოების შემუშავება (მოწყობილობების დასახელება).

12. უკაბელო სენსორის შემუშავება და კვლევა (გაზომილი პარამეტრის დასახელება).

13. პარამეტრის (პარამეტრის სახელწოდება) კოდში გადამყვანის კორექტირების ალგორითმების შესწავლა.

14. ობიექტის მართვის სისტემის პარამეტრების მონიტორინგის ალგორითმებისა და პროგრამული უზრუნველყოფის შემუშავება (დაწესებულების დასახელება).

15. ობიექტის უსადენო მართვის მოწყობილობების შემუშავება და კვლევა (ობიექტის დასახელება).

16. პარამეტრების გადამყვანების მოდელირება და კვლევა (პარამეტრების დასახელება).

17. პროგრამული უზრუნველყოფის ხარისხის შეფასების მეთოდები (მითითებულია პროგრამული უზრუნველყოფის დანიშნულება).

18. მოწყობილობების (მოწყობილობის დასახელება) ფუნქციონირების შესწავლა პირობებში (მითითებულია პირობები) მახასიათებლების გაუმჯობესების მიზნით (მითითებულია მახასიათებლები).

19. მახასიათებლების გაუმჯობესების მიზნით მოწყობილობების ანალიზისა და სინთეზის მეთოდების შემუშავება (მითითებულია მახასიათებლები).

დასკვნითი შესარჩევი სამუშაოების თემები

აკადემიურ სამაგისტრო პროგრამაში

ფოკუსი (პროფილი) „პროგრამული უზრუნველყოფის და საინფორმაციო სისტემების შემუშავება“
ტრენინგის სფეროები 09.04.04 "პროგრამული ინჟინერია"

პროფესიული საქმიანობის სახეები:
კვლევა,
დიზაინი

1. უმაღლეს სასწავლებლებში განრიგის ჩვენების REST სერვისის შემუშავება და კვლევა.

2. ფიჭური ოპერატორებისთვის პროგრამული უზრუნველყოფის ტესტირების ხელსაწყოების კვლევა და განვითარება.

3. შემთხვევითი სტრუქტურის მქონე სისტემების თეორიის საფუძველზე ადამიანის ფიზიოლოგიური მდგომარეობის ამოცნობა.

4. გაყიდვების ავტომატიზაციის საინფორმაციო სისტემის (საწარმოს დასახელება) დიზაინი MDA მიდგომაზე დაყრდნობით.

5. პროგრამული უზრუნველყოფის ხარისხის შეფასების პროგრამული უზრუნველყოფის საინფორმაციო სისტემის შემუშავება და კვლევა (მითითებულია პროგრამული უზრუნველყოფის დასახელება).

6. განაწილებული პროგრამული უზრუნველყოფის და საინფორმაციო სისტემების შემუშავება (მითითებულია სისტემის გამოყენების ფარგლები) და მათი ოპტიმიზაციის შესაძლებლობების კვლევა ეფექტურობის კრიტერიუმებით (მითითებულია კრიტერიუმები).

7. პროგრამული უზრუნველყოფის შემუშავება სისტემაში შემავალი/გამომავალი მოწყობილობების მხარდასაჭერად (სისტემის დასახელება).

8. პროგრამული საინფორმაციო სისტემის კომპონენტების უსაფრთხოების შესწავლა (სისტემის დასახელება).

შესავალი

თავი 1. შვილად აყვანის თეორიული ასპექტები და ინფორმაციული უსაფრთხოება

1.1ინფორმაციული უსაფრთხოების კონცეფცია

3 ინფორმაციის უსაფრთხოების მეთოდები

თავი 2. ინფორმაციული უსაფრთხოების სისტემის ანალიზი

1 კომპანიის საქმიანობის სფერო და ფინანსური მაჩვენებლების ანალიზი

2 კომპანიის საინფორმაციო უსაფრთხოების სისტემის აღწერა

3 ინფორმაციული უსაფრთხოების არსებული სისტემის მოდერნიზაციის ღონისძიებების კომპლექსის შემუშავება

დასკვნა

ბიბლიოგრაფია

განაცხადი

დანართი 1. ბალანსი 2010 წ

შესავალი

დისერტაციის თემის აქტუალობა განისაზღვრება ინფორმაციული უსაფრთხოების პრობლემების გაზრდილი დონით, მონაცემთა დაცვის ტექნოლოგიებისა და ინსტრუმენტების სწრაფი ზრდის პირობებშიც კი. შეუძლებელია კორპორატიული საინფორმაციო სისტემების დაცვის 100%-იანი დონის უზრუნველყოფა, ხოლო მონაცემთა დაცვის ამოცანების სწორად პრიორიტეტიზაცია, ინფორმაციული ტექნოლოგიებისთვის გამოყოფილი ბიუჯეტის შეზღუდული წილის გათვალისწინებით.

კომპიუტერული და ქსელური კორპორატიული ინფრასტრუქტურის საიმედო დაცვა ნებისმიერი კომპანიისთვის საინფორმაციო უსაფრთხოების ძირითადი ამოცანაა. საწარმოს ბიზნესის ზრდასთან და გეოგრაფიულად განაწილებულ ორგანიზაციაზე გადასვლასთან ერთად, იგი იწყებს გასვლას ერთი შენობის საზღვრებს.

IT ინფრასტრუქტურისა და კორპორატიული აპლიკაციების სისტემების ეფექტური დაცვა დღეს შეუძლებელია ქსელში წვდომის კონტროლის თანამედროვე ტექნოლოგიების დანერგვის გარეშე. ღირებული ბიზნეს ინფორმაციის შემცველი მედიის ქურდობის მზარდი შემთხვევები სულ უფრო აიძულებს ორგანიზაციული ზომების მიღებას.

ამ სამუშაოს მიზანი იქნება ორგანიზაციაში არსებული ინფორმაციული უსაფრთხოების სისტემის შეფასება და მის გასაუმჯობესებლად ღონისძიებების შემუშავება.

ეს მიზანი განსაზღვრავს დისერტაციის შემდეგ მიზნებს:

) ინფორმაციული უსაფრთხოების კონცეფციის განხილვა;

) განიხილოს საინფორმაციო სისტემების შესაძლო საფრთხის ტიპები და ორგანიზაციაში ინფორმაციის გაჟონვის შესაძლო საფრთხეებისგან დაცვის ვარიანტები.

) იდენტიფიცირება საინფორმაციო რესურსების ჩამონათვალი, რომელთა მთლიანობის ან კონფიდენციალურობის დარღვევა საწარმოს ყველაზე დიდ ზიანს მიაყენებს;

) მათ საფუძველზე შეიმუშავონ ღონისძიებების კომპლექსი ინფორმაციული უსაფრთხოების არსებული სისტემის გასაუმჯობესებლად.

ნაშრომი შედგება შესავლისგან, ორი თავისგან, დასკვნისგან, გამოყენებული წყაროების ჩამონათვალსა და აპლიკაციებისგან.

შესავალი ასაბუთებს საკვლევი თემის აქტუალურობას და აყალიბებს სამუშაოს მიზანსა და ამოცანებს.

პირველ თავში განხილულია ორგანიზაციაში ინფორმაციული უსაფრთხოების კონცეფციების თეორიული ასპექტები.

მეორე თავში მოცემულია კომპანიის საქმიანობის მოკლე აღწერა, შესრულების ძირითადი ინდიკატორები, აღწერილია ინფორმაციული უსაფრთხოების სისტემის ამჟამინდელი მდგომარეობა და შემოთავაზებულია ზომები მის გასაუმჯობესებლად.

დასასრულს, ჩამოყალიბებულია სამუშაოს ძირითადი შედეგები და დასკვნები.

ნაშრომის მეთოდოლოგიურ და თეორიულ საფუძველს წარმოადგენდა ინფორმაციული უსაფრთხოების სფეროში ადგილობრივი და უცხოელი ექსპერტების ნაშრომები, ნაშრომზე მუშაობისას გამოყენებული იქნა ინფორმაცია, რომელიც ასახავდა კანონების, საკანონმდებლო აქტებისა და დებულებების, საქართველოს მთავრობის დადგენილებებს. რუსეთის ფედერაცია არეგულირებს საინფორმაციო უსაფრთხოებას, ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტებს.

დისერტაციის კვლევის თეორიული მნიშვნელობა მდგომარეობს ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავებისას ინტეგრირებული მიდგომის განხორციელებაში.

სამუშაოს პრაქტიკული მნიშვნელობა განისაზღვრება იმით, რომ მისი შედეგები შესაძლებელს ხდის საწარმოში ინფორმაციის დაცვის ხარისხის გაზრდას ინფორმაციული უსაფრთხოების პოლიტიკის კომპეტენტური დიზაინის მეშვეობით.

თავი 1. შვილად აყვანის თეორიული ასპექტები და ინფორმაციული უსაფრთხოება

1.1 ინფორმაციული უსაფრთხოების კონცეფცია

ინფორმაციის უსაფრთხოება გულისხმობს ინფორმაციის და მისი დამხმარე ინფრასტრუქტურის უსაფრთხოებას ნებისმიერი შემთხვევითი ან მავნე ზემოქმედებისგან, რამაც შეიძლება ზიანი მიაყენოს თავად ინფორმაციას, მის მფლობელებს ან დამხმარე ინფრასტრუქტურას. ინფორმაციული უსაფრთხოების მიზნები მიდის ზიანის მინიმიზაციაზე, ასევე ასეთი ზემოქმედების პროგნოზირებასა და თავიდან აცილებაზე.

საინფორმაციო სისტემების პარამეტრები, რომლებიც საჭიროებენ დაცვას, შეიძლება დაიყოს შემდეგ კატეგორიებად: საინფორმაციო რესურსების მთლიანობის, ხელმისაწვდომობისა და კონფიდენციალურობის უზრუნველყოფა.

ხელმისაწვდომობა არის საჭირო ინფორმაციის სერვისის მოკლე დროში მოპოვების შესაძლებლობა;

მთლიანობა არის ინფორმაციის შესაბამისობა და თანმიმდევრულობა, მისი დაცვა განადგურებისა და არაავტორიზებული ცვლილებებისგან;

კონფიდენციალობა - დაცვა ინფორმაციაზე არაავტორიზებული წვდომისგან.

საინფორმაციო სისტემები, უპირველეს ყოვლისა, იქმნება გარკვეული საინფორმაციო სერვისების მისაღებად. თუ რაიმე მიზეზით ინფორმაციის მოპოვება შეუძლებელი ხდება, ეს ზიანს აყენებს საინფორმაციო ურთიერთობის ყველა სუბიექტს. აქედან შეგვიძლია განვსაზღვროთ, რომ ინფორმაციის ხელმისაწვდომობა პირველ რიგში მოდის.

მთლიანობა ინფორმაციული უსაფრთხოების მთავარი ასპექტია, როდესაც სიზუსტე და სინამდვილე ინფორმაციის მთავარი პარამეტრია. მაგალითად, სამედიცინო მედიკამენტების რეცეპტები ან კომპონენტების ნაკრები და მახასიათებლები.

ჩვენს ქვეყანაში ინფორმაციული უსაფრთხოების ყველაზე განვითარებული კომპონენტი კონფიდენციალობაა. მაგრამ თანამედროვე საინფორმაციო სისტემების კონფიდენციალურობის უზრუნველსაყოფად ზომების პრაქტიკული განხორციელება რუსეთში დიდ სირთულეებს აწყდება. პირველ რიგში, ინფორმაცია ინფორმაციის გაჟონვის ტექნიკური არხების შესახებ დახურულია, ამიტომ მომხმარებელთა უმეტესობა ვერ ახერხებს წარმოდგენას პოტენციური რისკების შესახებ. მეორეც, არსებობს მრავალი საკანონმდებლო დაბრკოლება და ტექნიკური გამოწვევა, რომელიც დგას საბაჟო კრიპტოგრაფიის, როგორც კონფიდენციალურობის უზრუნველსაყოფად, უპირველეს საშუალებას.

ქმედებები, რომლებმაც შეიძლება ზიანი მიაყენონ საინფორმაციო სისტემას, შეიძლება დაიყოს რამდენიმე კატეგორიად.

სამუშაო სადგურზე ან სერვერზე მონაცემების მიზანმიმართული ქურდობა ან განადგურება;

მომხმარებლის მიერ მონაცემების დაზიანება გაუფრთხილებელი ქმედებების შედეგად.

. ჰაკერების მიერ განხორციელებული გავლენის „ელექტრონული“ მეთოდები.

ჰაკერები გაგებულია, როგორც ადამიანები, რომლებიც ჩართულნი არიან კომპიუტერულ დანაშაულში როგორც პროფესიონალურად (მათ შორის, როგორც კონკურენციის ნაწილი) ასევე უბრალოდ ცნობისმოყვარეობის გამო. ეს მეთოდები მოიცავს:

კომპიუტერულ ქსელებში უნებართვო შესვლა;

საწარმოს ქსელში გარედან არასანქცირებული შესვლის მიზანი შეიძლება იყოს ზიანის მიყენება (მონაცემების განადგურება), კონფიდენციალური ინფორმაციის მოპარვა და მისი უკანონო მიზნებისთვის გამოყენება, ქსელის ინფრასტრუქტურის გამოყენება მესამე მხარის კვანძებზე თავდასხმების ორგანიზებისთვის, სახსრების მოპარვა ანგარიშებიდან. და ა.შ.

DOS შეტევა (შემოკლებით Denial of Service) არის გარე შეტევა საწარმოს ქსელის კვანძებზე, რომლებიც პასუხისმგებელნი არიან მის უსაფრთხო და ეფექტურ მუშაობაზე (ფაილი, ფოსტის სერვერები). თავდამსხმელები აწყობენ მონაცემთა პაკეტების მასიურ გაგზავნას ამ კვანძებში, რათა გადატვირთონ ისინი და, შედეგად, გარკვეული დროით დატოვონ ისინი მოქმედებიდან. ეს, როგორც წესი, იწვევს დაზარალებული კომპანიის ბიზნეს პროცესების დარღვევას, კლიენტების დაკარგვას, რეპუტაციის დაზიანებას და ა.შ.

კომპიუტერული ვირუსები. გავლენის ელექტრონული მეთოდების ცალკე კატეგორიაა კომპიუტერული ვირუსები და სხვა მავნე პროგრამები. ისინი რეალურ საფრთხეს უქმნიან თანამედროვე ბიზნესს, რომელიც ფართოდ იყენებს კომპიუტერულ ქსელებს, ინტერნეტს და ელ.ფოსტას. ვირუსის შეღწევამ კორპორატიული ქსელის კვანძებში შეიძლება გამოიწვიოს მათი ფუნქციონირების დარღვევა, სამუშაო დროის დაკარგვა, მონაცემთა დაკარგვა, კონფიდენციალური ინფორმაციის ქურდობა და ფინანსური რესურსების პირდაპირი ქურდობაც კი. ვირუსის პროგრამამ, რომელმაც შეაღწია კორპორატიულ ქსელში, შეუძლია თავდამსხმელებს ნაწილობრივ ან სრულ კონტროლს მისცეს კომპანიის საქმიანობაზე.

Სპამი. სულ რამდენიმე წელიწადში სპამი უმნიშვნელო გაღიზიანებიდან გადაიქცა უსაფრთხოების ერთ-ერთ ყველაზე სერიოზულ საფრთხედ:

ელფოსტა ბოლო დროს გახდა მავნე პროგრამების გავრცელების მთავარი არხი;

სპამს დიდი დრო სჭირდება შეტყობინებების ნახვას და შემდგომ წაშლას, რაც თანამშრომლებს ფსიქოლოგიური დისკომფორტის განცდას უქმნის;

როგორც ინდივიდები, ასევე ორგანიზაციები ხდებიან სპამერების მიერ განხორციელებული თაღლითური სქემების მსხვერპლნი (მსხვერპლები ხშირად ცდილობენ არ გაამჟღავნონ ასეთი მოვლენები);

მნიშვნელოვანი კორესპონდენცია ხშირად იშლება სპამთან ერთად, რამაც შეიძლება გამოიწვიოს მომხმარებლების დაკარგვა, კონტრაქტების დარღვევა და სხვა უსიამოვნო შედეგები; კორესპონდენციის დაკარგვის საშიშროება განსაკუთრებით იზრდება RBL შავი სიების და სხვა „უხეში“ სპამის ფილტრაციის მეთოდების გამოყენებისას.

"ბუნებრივი" საფრთხეები. კომპანიის ინფორმაციულ უსაფრთხოებაზე შეიძლება გავლენა იქონიოს სხვადასხვა გარე ფაქტორებმა: მონაცემთა დაკარგვა შეიძლება გამოწვეული იყოს არასათანადო შენახვით, კომპიუტერებისა და მედიის ქურდობით, ფორსმაჟორით და ა.შ.

ინფორმაციული უსაფრთხოების მართვის სისტემა (ISMS ან ინფორმაციული უსაფრთხოების მართვის სისტემა) საშუალებას გაძლევთ მართოთ ღონისძიებების ნაკრები, რომელიც ახორციელებს გარკვეულ განზრახ სტრატეგიას, ამ შემთხვევაში ინფორმაციის უსაფრთხოებასთან დაკავშირებით. გაითვალისწინეთ, რომ საუბარია არა მხოლოდ არსებული სისტემის მართვაზე, არამედ ახლის აშენებაზე/ძველის გადამუშავებაზე.

ღონისძიებების კომპლექსში შედის ორგანიზაციული, ტექნიკური, ფიზიკური და სხვა. ინფორმაციული უსაფრთხოების მენეჯმენტი რთული პროცესია, რომელიც საშუალებას იძლევა განხორციელდეს კომპანიაში ინფორმაციული უსაფრთხოების ყველაზე ეფექტური და ყოვლისმომცველი მენეჯმენტი.

ინფორმაციული უსაფრთხოების მართვის მიზანია ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის შენარჩუნება. ერთადერთი საკითხია, რა სახის ინფორმაციის დაცვაა საჭირო და რა ძალისხმევაა საჭირო მისი უსაფრთხოების უზრუნველსაყოფად.

ნებისმიერი მენეჯმენტი ემყარება სიტუაციის გაცნობიერებას, რომელშიც ის ხდება. რისკის ანალიზის კუთხით სიტუაციის გაცნობიერება გამოიხატება ორგანიზაციის აქტივების და მათი გარემოს ინვენტარიზაციასა და შეფასებაში, ანუ ყველაფერს, რაც უზრუნველყოფს ბიზნეს საქმიანობის წარმართვას. ინფორმაციული უსაფრთხოების რისკის ანალიზის თვალსაზრისით, ძირითადი აქტივები მოიცავს ინფორმაციას, ინფრასტრუქტურას, პერსონალს, კომპანიის იმიჯს და რეპუტაციას. ბიზნეს საქმიანობის დონეზე აქტივების ინვენტარიზაციის გარეშე შეუძლებელია პასუხის გაცემა კითხვაზე, კონკრეტულად რისი დაცვაა საჭირო. მნიშვნელოვანია იმის გაგება, თუ რა ინფორმაცია მუშავდება ორგანიზაციაში და სად მუშავდება.

დიდ თანამედროვე ორგანიზაციაში ინფორმაციული აქტივების რაოდენობა შეიძლება იყოს ძალიან დიდი. თუ ორგანიზაციის საქმიანობა ავტომატიზირებულია ERP სისტემის გამოყენებით, მაშინ შეგვიძლია ვთქვათ, რომ ამ საქმიანობაში გამოყენებული თითქმის ნებისმიერი მატერიალური ობიექტი შეესაბამება რაიმე სახის საინფორმაციო ობიექტს. აქედან გამომდინარე, რისკის მართვის უპირველესი ამოცანაა ყველაზე მნიშვნელოვანი აქტივების იდენტიფიცირება.

ამ პრობლემის გადაჭრა შეუძლებელია ორგანიზაციის ძირითადი საქმიანობის მენეჯერების ჩართულობის გარეშე, როგორც საშუალო, ისე უფროსი დონის. ოპტიმალური სიტუაციაა, როდესაც ორგანიზაციის უმაღლესი მენეჯმენტი პირადად ადგენს საქმიანობის ყველაზე კრიტიკულ სფეროებს, რისთვისაც ძალზე მნიშვნელოვანია ინფორმაციის უსაფრთხოების უზრუნველყოფა. მაღალი მენეჯმენტის მოსაზრება ინფორმაციული უსაფრთხოების უზრუნველყოფის პრიორიტეტებთან დაკავშირებით ძალიან მნიშვნელოვანია და ღირებულია რისკის ანალიზის პროცესში, მაგრამ ნებისმიერ შემთხვევაში ის უნდა დაზუსტდეს კომპანიის მენეჯმენტის საშუალო დონეზე აქტივების კრიტიკულობის შესახებ ინფორმაციის შეგროვებით. ამავდროულად, მიზანშეწონილია შემდგომი ანალიზის ჩატარება სწორედ უმაღლესი მენეჯმენტის მიერ განსაზღვრულ ბიზნეს საქმიანობის სფეროებში. მიღებული ინფორმაცია მუშავდება, გროვდება და გადაეცემა უფროს მენეჯმენტს სიტუაციის ყოვლისმომცველი შეფასებისთვის.

ინფორმაციის იდენტიფიცირება და ლოკალიზება შესაძლებელია ბიზნეს პროცესების აღწერის საფუძველზე, რომელშიც ინფორმაცია განიხილება როგორც რესურსის ერთ-ერთი სახეობა. ამოცანა გარკვეულწილად გამარტივებულია, თუ ორგანიზაციამ დაამყარა მიდგომა ბიზნეს საქმიანობის რეგულირებისადმი (მაგალითად, ხარისხის მართვისა და ბიზნეს პროცესების ოპტიმიზაციის მიზნით). ბიზნეს პროცესების ფორმალიზებული აღწერილობები კარგი საწყისი წერტილია აქტივების ინვენტარიზაციისთვის. თუ არ არის აღწერილობები, შეგიძლიათ აქტივების იდენტიფიცირება ორგანიზაციის თანამშრომლებისგან მიღებული ინფორმაციის საფუძველზე. აქტივების იდენტიფიცირების შემდეგ, მათი ღირებულება უნდა განისაზღვროს.

ინფორმაციული აქტივების ღირებულების განსაზღვრის სამუშაო მთელ ორგანიზაციაში არის ყველაზე მნიშვნელოვანი და რთული. სწორედ ინფორმაციული აქტივების შეფასება საშუალებას მისცემს ინფორმაციული უსაფრთხოების დეპარტამენტის ხელმძღვანელს აირჩიოს საქმიანობის ძირითადი მიმართულებები ინფორმაციის უსაფრთხოების უზრუნველსაყოფად.

მაგრამ ინფორმაციული უსაფრთხოების მართვის პროცესის ეკონომიკური ეფექტურობა დიდწილად დამოკიდებულია იმაზე, თუ რა სჭირდება დაცვას და რა ძალისხმევას მოითხოვს ამას, რადგან უმეტეს შემთხვევაში გამოყენებული ძალისხმევის ოდენობა პირდაპირპროპორციულია დახარჯული თანხისა და საოპერაციო ხარჯების ოდენობისა. რისკების მენეჯმენტი საშუალებას გაძლევთ უპასუხოთ კითხვას, სად შეიძლება რისკების აღება და სად არა. ინფორმაციული უსაფრთხოების შემთხვევაში, ტერმინი „რისკი“ ნიშნავს, რომ გარკვეულ სფეროში შესაძლებელია არ მოხდეს მნიშვნელოვანი ძალისხმევა ინფორმაციული აქტივების დასაცავად და ამავდროულად, უსაფრთხოების დარღვევის შემთხვევაში, ორგანიზაცია არ დაზარალდეს. მნიშვნელოვანი დანაკარგები. აქ ჩვენ შეგვიძლია გავატაროთ ანალოგია ავტომატური სისტემების დაცვის კლასებთან: რაც უფრო მნიშვნელოვანი იქნება რისკები, მით უფრო მკაცრი უნდა იყოს დაცვის მოთხოვნები.

უსაფრთხოების დარღვევის შედეგების დასადგენად, თქვენ ან უნდა გქონდეთ ინფორმაცია მსგავსი ხასიათის ჩაწერილი ინციდენტების შესახებ, ან ჩაატაროთ სცენარის ანალიზი. სცენარის ანალიზი იკვლევს მიზეზ-შედეგობრივ კავშირებს აქტივების უსაფრთხოების მოვლენებსა და ამ მოვლენების შედეგებს შორის ორგანიზაციის ბიზნეს საქმიანობაზე. სცენარების შედეგები უნდა შეფასდეს რამდენიმე ადამიანმა, განმეორებით ან განზრახ. უნდა აღინიშნოს, რომ მსგავსი სცენარების შემუშავება და შეფასება არ შეიძლება მთლიანად განშორდეს რეალობას. ყოველთვის უნდა გახსოვდეთ, რომ სცენარი სავარაუდო უნდა იყოს. ღირებულების განსაზღვრის კრიტერიუმები და მასშტაბები ინდივიდუალურია თითოეული ორგანიზაციისთვის. სცენარის ანალიზის შედეგების საფუძველზე შესაძლებელია ინფორმაციის მიღება აქტივების ღირებულების შესახებ.

თუ აქტივები იდენტიფიცირებულია და მათი ღირებულება განისაზღვრება, შეგვიძლია ვთქვათ, რომ ინფორმაციული უსაფრთხოების უზრუნველყოფის მიზნები ნაწილობრივ არის დადგენილი: განისაზღვრება დაცვის ობიექტები და მათი ორგანიზაციისთვის ინფორმაციული უსაფრთხოების მდგომარეობაში შენარჩუნების მნიშვნელობა. ალბათ რჩება მხოლოდ იმის დადგენა, ვისგან უნდა იყოს დაცული.

ინფორმაციული უსაფრთხოების მენეჯმენტის მიზნების განსაზღვრის შემდეგ უნდა გაანალიზოთ ის პრობლემები, რომლებიც ხელს გიშლით სამიზნე მდგომარეობასთან მიახლოებაში. ამ დონეზე, რისკების ანალიზის პროცესი ეშვება ინფორმაციულ ინფრასტრუქტურასა და ინფორმაციული უსაფრთხოების ტრადიციულ კონცეფციებზე - შემოჭრილი, საფრთხეები და დაუცველობა.

რისკების შესაფასებლად საკმარისი არ არის დამრღვევის სტანდარტული მოდელის შემოღება, რომელიც ყოფს ყველა დამრღვევს აქტივზე წვდომის ტიპისა და აქტივების სტრუქტურის ცოდნის მიხედვით. ეს დაყოფა გვეხმარება იმის დადგენაში, თუ რა საფრთხეები შეიძლება იყოს მიმართული აქტივზე, მაგრამ არ პასუხობს კითხვას, შეიძლება თუ არა ეს საფრთხეები, პრინციპში, განხორციელდეს.

რისკის ანალიზის პროცესში აუცილებელია დამრღვევთა მოტივაციის შეფასება საფრთხეების განხორციელებისას. ამ შემთხვევაში დამრღვევი არ გულისხმობს აბსტრაქტულ გარე ჰაკერს ან ინსაიდერს, არამედ მხარეს, რომელიც დაინტერესებულია სარგებლის მოპოვებით აქტივის უსაფრთხოების დარღვევით.

მიზანშეწონილია მიიღოთ თავდაპირველი ინფორმაცია დამნაშავის მოდელის შესახებ, როგორც ინფორმაციული უსაფრთხოების საქმიანობის საწყისი მიმართულებების არჩევისას, უმაღლესი მენეჯმენტისგან, რომელსაც ესმის ორგანიზაციის პოზიცია ბაზარზე, აქვს ინფორმაცია კონკურენტების შესახებ და გავლენის რა მეთოდები შეიძლება იყოს. მათგან მოსალოდნელია. შეჭრის მოდელის შემუშავებისთვის საჭირო ინფორმაცია ასევე შეიძლება მოიპოვოს კომპიუტერული უსაფრთხოების დარღვევების სპეციალიზებული კვლევებიდან ბიზნეს სფეროში, რომლისთვისაც ტარდება რისკის ანალიზი. სწორად შემუშავებული თავდამსხმელი მოდელი ავსებს ინფორმაციული უსაფრთხოების მიზნებს, რომლებიც განსაზღვრულია ორგანიზაციის აქტივების შეფასებისას.

საფრთხის მოდელის შემუშავება და მოწყვლადობის იდენტიფიცირება განუყოფლად არის დაკავშირებული ორგანიზაციის ინფორმაციული აქტივების გარემოს ინვენტართან. თავად ინფორმაცია არ ინახება ან მუშავდება. მასზე წვდომა უზრუნველყოფილია საინფორმაციო ინფრასტრუქტურის გამოყენებით, რომელიც ავტომატიზირებს ორგანიზაციის ბიზნეს პროცესებს. მნიშვნელოვანია გვესმოდეს, თუ როგორ არის დაკავშირებული ორგანიზაციის საინფორმაციო ინფრასტრუქტურა და საინფორმაციო აქტივები ერთმანეთთან. ინფორმაციული უსაფრთხოების მენეჯმენტის პერსპექტივიდან ინფორმაციული ინფრასტრუქტურის მნიშვნელობის დადგენა შესაძლებელია მხოლოდ საინფორმაციო აქტივებსა და ინფრასტრუქტურას შორის ურთიერთკავშირის დადგენის შემდეგ. თუ ორგანიზაციაში ინფორმაციული ინფრასტრუქტურის შენარჩუნებისა და ექსპლუატაციის პროცესები მოწესრიგებული და გამჭვირვალეა, საფრთხის იდენტიფიცირებისთვის და მოწყვლადობის შესაფასებლად საჭირო ინფორმაციის შეგროვება მნიშვნელოვნად გამარტივდება.

საფრთხის მოდელის შემუშავება არის სამუშაო ინფორმაციული უსაფრთხოების პროფესიონალებისთვის, რომლებსაც კარგად ესმით, თუ როგორ შეუძლია თავდამსხმელმა მოიპოვოს ინფორმაციაზე არაავტორიზებული წვდომა უსაფრთხოების პერიმეტრის დარღვევით ან სოციალური ინჟინერიის მეთოდების გამოყენებით. საფრთხის მოდელის შემუშავებისას, თქვენ ასევე შეგიძლიათ ისაუბროთ სცენარებზე, როგორც თანმიმდევრულ ნაბიჯებზე, რომლის მიხედვითაც შესაძლებელია საფრთხეების რეალიზება. ძალიან იშვიათად ხდება, რომ საფრთხეები განხორციელდეს ერთი ნაბიჯით სისტემის ერთი დაუცველი წერტილის გამოყენებით.

საფრთხის მოდელი უნდა მოიცავდეს ყველა საფრთხეს, რომელიც იდენტიფიცირებულია დაკავშირებული ინფორმაციული უსაფრთხოების მართვის პროცესებით, როგორიცაა დაუცველობა და ინციდენტების მართვა. უნდა გვახსოვდეს, რომ საფრთხეები უნდა დაფასდეს ერთმანეთთან შედარებით მათი განხორციელების ალბათობის დონის მიხედვით. ამისათვის, თითოეული საფრთხის მოდელის შემუშავების პროცესში, აუცილებელია მიუთითოთ ყველაზე მნიშვნელოვანი ფაქტორები, რომელთა არსებობა გავლენას ახდენს მის განხორციელებაზე.

უსაფრთხოების პოლიტიკა ეფუძნება რისკების ანალიზს, რომლებიც აღიარებულია როგორც რეალური ორგანიზაციის საინფორმაციო სისტემისთვის. რისკების გაანალიზების და დაცვის სტრატეგიის დადგენის შემდეგ, დგება ინფორმაციული უსაფრთხოების პროგრამა. ამ პროგრამისთვის გამოიყოფა რესურსები, ინიშნებიან პასუხისმგებელი პირები, განისაზღვრება პროგრამის განხორციელების მონიტორინგის პროცედურა და ა.შ.

ფართო გაგებით, უსაფრთხოების პოლიტიკა განისაზღვრება, როგორც დოკუმენტირებული მართვის გადაწყვეტილებების სისტემა ორგანიზაციის უსაფრთხოების უზრუნველსაყოფად. ვიწრო გაგებით, უსაფრთხოების პოლიტიკა ჩვეულებრივ გაგებულია, როგორც ადგილობრივი მარეგულირებელი დოკუმენტი, რომელიც განსაზღვრავს უსაფრთხოების მოთხოვნებს, ზომების სისტემას ან პროცედურას, ასევე ორგანიზაციის თანამშრომლების პასუხისმგებლობებს და კონტროლის მექანიზმებს უსაფრთხოების გარკვეული სფეროსთვის.

სანამ თავად დავიწყებთ ინფორმაციული უსაფრთხოების პოლიტიკის ფორმულირებას, აუცილებელია გავიგოთ ძირითადი ცნებები, რომლითაც ვიმოქმედებთ.

ინფორმაცია - ინფორმაცია (შეტყობინებები, მონაცემები) მიუხედავად მათი წარმოდგენის ფორმისა.

ინფორმაციის კონფიდენციალურობა არის სავალდებულო მოთხოვნა იმ პირისთვის, რომელმაც მოიპოვა წვდომა გარკვეულ ინფორმაციაზე, არ გადასცეს ასეთი ინფორმაცია მესამე პირებს მისი მფლობელის თანხმობის გარეშე.

ინფორმაციული უსაფრთხოება (IS) არის საზოგადოების ინფორმაციული გარემოს უსაფრთხოების მდგომარეობა, რომელიც უზრუნველყოფს მის ჩამოყალიბებას, გამოყენებას და განვითარებას მოქალაქეების, ორგანიზაციებისა და სახელმწიფოების ინტერესებიდან გამომდინარე.

„ინფორმაციის“ კონცეფცია დღეს საკმაოდ ფართოდ და მრავალმხრივ გამოიყენება.

ინფორმაციის უსაფრთხოების უზრუნველყოფა არ შეიძლება იყოს ერთჯერადი აქტი. ეს არის უწყვეტი პროცესი, რომელიც შედგება უსაფრთხოების სისტემის გაუმჯობესებისა და განვითარების ყველაზე რაციონალური მეთოდების, მეთოდებისა და გზების დასაბუთებასა და განხორციელებაზე, მისი მდგომარეობის მუდმივ მონიტორინგზე, სისუსტეებისა და უკანონო ქმედებების გამოვლენისგან.

ინფორმაციის უსაფრთხოება შეიძლება უზრუნველყოფილი იყოს მხოლოდ ხელმისაწვდომი უსაფრთხოების საშუალებების მთელი სპექტრის ინტეგრირებული გამოყენებით წარმოების სისტემის ყველა სტრუქტურულ ელემენტში და ინფორმაციის დამუშავების ტექნოლოგიური ციკლის ყველა ეტაპზე. ყველაზე დიდი ეფექტი მიიღწევა მაშინ, როდესაც გამოყენებული ყველა საშუალება, მეთოდი და ღონისძიება გაერთიანებულია ერთ ჰოლისტურ მექანიზმში - ინფორმაციული უსაფრთხოების სისტემაში. ამავდროულად, სისტემის ფუნქციონირება უნდა იყოს მონიტორინგი, განახლებული და დამატებული გარე და შიდა პირობების ცვლილების მიხედვით.

GOST R ISO/IEC 15408:2005 სტანდარტის მიხედვით შეიძლება გამოიყოს უსაფრთხოების მოთხოვნების შემდეგი ტიპები:

ფუნქციური, დაცვის აქტიური ასპექტის შესაბამისი, უსაფრთხოების ფუნქციების მოთხოვნები და მათი განმახორციელებელი მექანიზმები;

ნდობის მოთხოვნები, რომლებიც შეესაბამება ტექნოლოგიაზე დაწესებულ პასიურ ასპექტს და განვითარებისა და ექსპლუატაციის პროცესს.

ძალიან მნიშვნელოვანია, რომ ამ სტანდარტში უსაფრთხოება არ განიხილებოდეს სტატიკურად, არამედ შეფასებული ობიექტის სასიცოცხლო ციკლთან მიმართებაში. გამოირჩევა შემდეგი ეტაპები:

მიზნის, გამოყენების პირობების, მიზნებისა და უსაფრთხოების მოთხოვნების განსაზღვრა;

დიზაინი და განვითარება;

ტესტირება, შეფასება და სერტიფიცირება;

განხორციელება და ექსპლუატაცია.

ასე რომ, მოდით უფრო ახლოს მივხედოთ უსაფრთხოების ფუნქციონალურ მოთხოვნებს. Ისინი შეიცავენ:

მომხმარებლის მონაცემების დაცვა;

უსაფრთხოების ფუნქციების დაცვა (მოთხოვნები ეხება ამ უსაფრთხოების სამსახურების მთლიანობასა და კონტროლს და მათ განმახორციელებელ მექანიზმებს);

უსაფრთხოების მენეჯმენტი (ამ კლასის მოთხოვნები ეხება უსაფრთხოების ატრიბუტებისა და პარამეტრების მართვას);

უსაფრთხოების აუდიტი (იდენტიფიკაცია, რეგისტრაცია, შენახვა, მონაცემთა ანალიზი, რომელიც გავლენას ახდენს შეფასებული ობიექტის უსაფრთხოებაზე, პასუხი უსაფრთხოების შესაძლო დარღვევაზე);

კონფიდენციალურობა (მომხმარებლის დაცვა მისი საიდენტიფიკაციო მონაცემების გამჟღავნებისა და არაავტორიზებული გამოყენებისგან);

რესურსების გამოყენება (ინფორმაციის ხელმისაწვდომობის მოთხოვნები);

კომუნიკაცია (მონაცემთა გაცვლაში ჩართული მხარეების ავთენტიფიკაცია);

სანდო მარშრუტი/არხი (უსაფრთხოების სამსახურებთან კომუნიკაციისთვის).

ამ მოთხოვნების შესაბამისად აუცილებელია ორგანიზაციის ინფორმაციული უსაფრთხოების სისტემის ჩამოყალიბება.

ორგანიზაციის ინფორმაციული უსაფრთხოების სისტემა მოიცავს შემდეგ სფეროებს:

მარეგულირებელი;

ორგანიზაციული (ადმინისტრაციული);

ტექნიკური;

პროგრამული უზრუნველყოფა;

საწარმოში ვითარების სრულად შესაფასებლად უსაფრთხოების ყველა სფეროში, აუცილებელია შეიმუშაოს ინფორმაციული უსაფრთხოების კონცეფცია, რომელიც ჩამოაყალიბებს სისტემატურ მიდგომას საინფორმაციო რესურსების უსაფრთხოების პრობლემასთან და წარმოადგენს მიზნების, ამოცანების, დიზაინის პრინციპების და სისტემურ განცხადებას. ღონისძიებების ერთობლიობა საწარმოში ინფორმაციის უსაფრთხოების უზრუნველსაყოფად.

კორპორატიული ქსელის მართვის სისტემა უნდა ეფუძნებოდეს შემდეგ პრინციპებს (დავალებებს):

საწარმოს არსებული საინფორმაციო ინფრასტრუქტურის შემოჭრისაგან დაცვის უზრუნველყოფა;

პირობების უზრუნველყოფა შესაძლო ზიანის ლოკალიზაციისა და მინიმიზაციისათვის;

საწყის ეტაპზე საფრთხეების წყაროების აღმოფხვრა;

ინფორმაციის დაცვის უზრუნველყოფა სამი ძირითადი ტიპის წარმოქმნილი საფრთხეებისგან (ხელმისაწვდომობა, მთლიანობა, კონფიდენციალობა);

ზემოაღნიშნული პრობლემების გადაწყვეტა მიიღწევა იმით;

საინფორმაციო სისტემასთან მუშაობისას მომხმარებლის ქმედებების რეგულირება;

მონაცემთა ბაზასთან მუშაობისას მომხმარებლის ქმედებების რეგულირება;

ტექნიკისა და პროგრამული უზრუნველყოფის საიმედოობის ერთიანი მოთხოვნები;

საინფორმაციო სისტემის მუშაობის მონიტორინგის პროცედურები (მოვლენების აღრიცხვა, პროტოკოლების ანალიზი, ქსელის ტრაფიკის ანალიზი, ტექნიკური აღჭურვილობის მუშაობის ანალიზი);

ინფორმაციის უსაფრთხოების პოლიტიკა მოიცავს:

მთავარი დოკუმენტი არის „უსაფრთხოების პოლიტიკა“. ის ზოგადად აღწერს ორგანიზაციის უსაფრთხოების პოლიტიკას, ზოგად დებულებებს და ასევე მიუთითებს შესაბამის დოკუმენტებზე პოლიტიკის ყველა ასპექტისთვის;

მომხმარებელთა მუშაობის რეგულირების ინსტრუქციები;

სამუშაოს აღწერა ლოკალური ქსელის ადმინისტრატორისთვის;

მონაცემთა ბაზის ადმინისტრატორის სამუშაოს აღწერა;

ინტერნეტ რესურსებთან მუშაობის ინსტრუქციები;

პაროლის დაცვის ორგანიზების ინსტრუქციები;

ინსტრუქციები ანტივირუსული დაცვის ორგანიზებისთვის.

უსაფრთხოების პოლიტიკის დოკუმენტი შეიცავს ძირითად დებულებებს. მის საფუძველზე აგებულია ინფორმაციული უსაფრთხოების პროგრამა, აგებულია სამუშაო აღწერილობები და რეკომენდაციები.

ორგანიზაციის ლოკალური ქსელის მომხმარებელთა მუშაობის რეგულირების ინსტრუქციები არეგულირებს ორგანიზაციის ლოკალურ კომპიუტერულ ქსელში მომხმარებლების მუშაობის დაშვების პროცედურას, ასევე ორგანიზაციაში დამუშავებული, შენახული და გადაცემული დაცული ინფორმაციის დამუშავების წესებს.

ადგილობრივი ქსელის ადმინისტრატორის სამუშაოს აღწერა აღწერს ადგილობრივი ქსელის ადმინისტრატორის პასუხისმგებლობებს ინფორმაციის უსაფრთხოებასთან დაკავშირებით.

მონაცემთა ბაზის ადმინისტრატორის სამუშაო აღწერილობა განსაზღვრავს მონაცემთა ბაზის ადმინისტრატორის ძირითად მოვალეობებს, ფუნქციებსა და უფლებებს. იგი დეტალურად აღწერს მონაცემთა ბაზის ადმინისტრატორის ყველა სამუშაო პასუხისმგებლობას და ფუნქციას, ასევე უფლებებსა და მოვალეობებს.

ინტერნეტ რესურსებთან მუშაობის ინსტრუქციები ასახავს ინტერნეტთან უსაფრთხო მუშაობის ძირითად წესებს და ასევე შეიცავს მისაღები და მიუღებელი ქმედებების ჩამონათვალს ინტერნეტ რესურსებთან მუშაობისას.

ანტივირუსული დაცვის ორგანიზების ინსტრუქციები განსაზღვრავს ძირითად დებულებებს, ორგანიზაციის საინფორმაციო სისტემის ანტივირუსული დაცვის ორგანიზების მოთხოვნებს, ანტივირუსული პროგრამის მუშაობასთან დაკავშირებულ ყველა ასპექტს, აგრეთვე პასუხისმგებლობას ანტივირუსული სისტემის დარღვევის შემთხვევაში. -ვირუსისგან დაცვა.

პაროლის დაცვის ორგანიზების ინსტრუქციები არეგულირებს პაროლების გენერირების, შეცვლისა და შეწყვეტის პროცესების ორგანიზაციულ და ტექნიკურ მხარდაჭერას (მომხმარებლის ანგარიშების წაშლა). ასევე რეგულირდება მომხმარებელთა და ტექნიკური პერსონალის ქმედებები სისტემასთან მუშაობისას.

ამრიგად, ინფორმაციის დაცვის პროცესის ორგანიზების საფუძველია უსაფრთხოების პოლიტიკა, რომელიც ჩამოყალიბებულია იმისთვის, რომ განისაზღვროს რა საფრთხეებისგან და როგორ არის დაცული ინფორმაცია საინფორმაციო სისტემაში.

უსაფრთხოების პოლიტიკა გულისხმობს სამართლებრივი, ორგანიზაციული და ტექნიკური ზომების ერთობლიობას კონკრეტულ ორგანიზაციაში მიღებული ინფორმაციის დასაცავად. ანუ, უსაფრთხოების პოლიტიკა შეიცავს ბევრ პირობას, რომლითაც მომხმარებლები იღებენ წვდომას სისტემის რესურსებზე ამ სისტემის ინფორმაციის უსაფრთხოების თვისებების დაკარგვის გარეშე.

ინფორმაციული უსაფრთხოების უზრუნველყოფის პრობლემა სისტემატურად უნდა გადაწყდეს. ეს ნიშნავს, რომ სხვადასხვა დაცვა (ტექნიკა, პროგრამული უზრუნველყოფა, ფიზიკური, ორგანიზაციული და ა.შ.) უნდა იქნას გამოყენებული ერთდროულად და ცენტრალიზებული კონტროლის ქვეშ.

დღესდღეობით არსებობს ინფორმაციული უსაფრთხოების უზრუნველსაყოფად მეთოდების დიდი არსენალი:

მომხმარებელთა იდენტიფიკაციისა და ავთენტიფიკაციის საშუალებები;

კომპიუტერებზე შენახული და ქსელებით გადაცემული ინფორმაციის დაშიფვრის საშუალებები;

firewalls;

ვირტუალური კერძო ქსელები;

შინაარსის ფილტრაციის ხელსაწყოები;

ინსტრუმენტები დისკის შიგთავსის მთლიანობის შესამოწმებლად;

ანტივირუსული დაცვის საშუალებები;

ქსელის დაუცველობის გამოვლენის სისტემები და ქსელის თავდასხმის ანალიზატორები.

თითოეული ჩამოთვლილი ინსტრუმენტი შეიძლება გამოყენებულ იქნას როგორც დამოუკიდებლად, ასევე სხვებთან ინტეგრაციაში. ეს შესაძლებელს ხდის ინფორმაციული უსაფრთხოების სისტემების შექმნას ნებისმიერი სირთულისა და კონფიგურაციის ქსელებისთვის, გამოყენებული პლატფორმებისგან დამოუკიდებლად.

ავტორიზაციის (ან იდენტიფიკაციის), ავტორიზაციისა და ადმინისტრირების სისტემა. იდენტიფიკაცია და ავტორიზაცია ინფორმაციული უსაფრთხოების ძირითადი ელემენტებია. ავტორიზაციის ფუნქცია პასუხისმგებელია იმაზე, თუ რომელ რესურსებზე აქვს წვდომა კონკრეტულ მომხმარებელს. ადმინისტრაციის ფუნქცია არის მომხმარებლისთვის გარკვეული საიდენტიფიკაციო მახასიათებლების მიწოდება მოცემულ ქსელში და განსაზღვროს მისთვის დაშვებული მოქმედებების ფარგლები.

დაშიფვრის სისტემები შესაძლებელს ხდის მინიმუმამდე დაიყვანოს დანაკარგები მყარ დისკზე ან სხვა მედიაში შენახულ მონაცემებზე არასანქცირებული წვდომის შემთხვევაში, აგრეთვე ინფორმაციის ჩაჭრა ელექტრონული ფოსტით გაგზავნისას ან ქსელის პროტოკოლებით გადაცემისას. ამ დაცვის ინსტრუმენტის მიზანია კონფიდენციალურობის უზრუნველყოფა. დაშიფვრის სისტემების ძირითადი მოთხოვნები არის კრიპტოგრაფიული სიძლიერის მაღალი დონე და გამოყენების კანონიერება რუსეთის (ან სხვა სახელმწიფოების) ტერიტორიაზე.

Firewall არის სისტემა ან სისტემების კომბინაცია, რომელიც ქმნის დამცავ ბარიერს ორ ან მეტ ქსელს შორის, რათა თავიდან აიცილოს მონაცემთა არაავტორიზებული პაკეტების ქსელში შესვლა ან გასვლა.

Firewall-ის ძირითადი ოპერაციული პრინციპია მონაცემთა თითოეული პაკეტის შემოწმება შემომავალი და გამავალი IP მისამართების დაშვებული მისამართების მონაცემთა ბაზასთან შესაბამისობისთვის. ამრიგად, firewalls მნიშვნელოვნად აფართოებს საინფორმაციო ქსელების სეგმენტირებისა და მონაცემთა მიმოქცევის კონტროლის შესაძლებლობებს.

კრიპტოგრაფიასა და ფაიერვოლებზე საუბრისას უნდა აღვნიშნოთ უსაფრთხო ვირტუალური კერძო ქსელები (VPN). მათი გამოყენება შესაძლებელს ხდის გადაიჭრას მონაცემთა კონფიდენციალურობისა და მთლიანობის პრობლემები ღია საკომუნიკაციო არხებით გადაცემისას. VPN-ის გამოყენება შეიძლება შემცირდეს სამი ძირითადი პრობლემის გადაჭრამდე:

კომპანიის სხვადასხვა ოფისებს შორის ინფორმაციის ნაკადების დაცვა (ინფორმაცია დაშიფრულია მხოლოდ გარე ქსელში გასასვლელში);

დისტანციური ქსელის მომხმარებლების უსაფრთხო წვდომა კომპანიის საინფორმაციო რესურსებზე, როგორც წესი, ინტერნეტის საშუალებით;

კორპორატიულ ქსელებში ინდივიდუალურ აპლიკაციებს შორის ინფორმაციის ნაკადების დაცვა (ეს ასპექტი ასევე ძალიან მნიშვნელოვანია, რადგან თავდასხმების უმეტესობა ხორციელდება შიდა ქსელებიდან).

კონფიდენციალური ინფორმაციის დაკარგვისგან დაცვის ეფექტური საშუალებაა შემომავალი და გამავალი ელფოსტის შინაარსის გაფილტვრა. თავად ელ.ფოსტის შეტყობინებების და მათი დანართების სკრინინგი ორგანიზაციის მიერ დადგენილ წესებზე დაყრდნობით ასევე ეხმარება კომპანიების დაცვას სასამართლო პროცესებში პასუხისმგებლობისგან და იცავს მათ თანამშრომლებს სპამისგან. კონტენტის ფილტრაციის ხელსაწყოები საშუალებას გაძლევთ სკანიროთ ყველა გავრცელებული ფორმატის ფაილი, მათ შორის შეკუმშული და გრაფიკული ფაილები. ამავდროულად, ქსელის გამტარუნარიანობა პრაქტიკულად უცვლელი რჩება.

სამუშაო სადგურზე ან სერვერზე ყველა ცვლილება შეიძლება კონტროლდებოდეს ქსელის ადმინისტრატორის ან სხვა ავტორიზებული მომხმარებლის მიერ, მყარი დისკის შინაარსის მთლიანობის შემოწმების ტექნოლოგიის წყალობით (ინტეგრაციის შემოწმება). ეს საშუალებას გაძლევთ აღმოაჩინოთ ფაილებთან დაკავშირებული ნებისმიერი ქმედება (შეცვლა, წაშლა ან უბრალოდ გახსნა) და ამოიცნოთ ვირუსის აქტივობა, არაავტორიზებული წვდომა ან მონაცემების ქურდობა ავტორიზებული მომხმარებლების მიერ. კონტროლი ხორციელდება ფაილების შემოწმების (CRC sums) ანალიზის საფუძველზე.

თანამედროვე ანტივირუსული ტექნოლოგიები შესაძლებელს ხდის თითქმის ყველა უკვე ცნობილი ვირუსის პროგრამის იდენტიფიცირებას საეჭვო ფაილის კოდის შედარებით ანტივირუსულ მონაცემთა ბაზაში შენახულ ნიმუშებთან. გარდა ამისა, შემუშავებულია ქცევის მოდელირების ტექნოლოგიები, რომლებიც შესაძლებელს ხდის ახლად შექმნილი ვირუსული პროგრამების აღმოჩენას. აღმოჩენილი ობიექტები შეიძლება იყოს დამუშავებული, იზოლირებული (კარანტინი) ან წაშლა. ვირუსებისგან დაცვა შეიძლება დაინსტალირდეს სამუშაო სადგურებზე, ფაილების და ფოსტის სერვერებზე, ფეიერვოლებზე, რომლებიც მუშაობენ თითქმის ნებისმიერი საერთო ოპერაციული სისტემის ქვეშ (Windows, Unix და Linux სისტემები, Novell) სხვადასხვა ტიპის პროცესორებზე.

სპამის ფილტრები მნიშვნელოვნად ამცირებს არაპროდუქტიულ შრომის ხარჯებს, რომლებიც დაკავშირებულია სპამის ანალიზთან, ამცირებს ტრაფიკს და სერვერის დატვირთვას, აუმჯობესებს გუნდში ფსიქოლოგიურ ფონს და ამცირებს კომპანიის თანამშრომლების თაღლითურ ტრანზაქციებში ჩართვის რისკს. გარდა ამისა, სპამის ფილტრები ამცირებენ ახალი ვირუსებით ინფექციის რისკს, რადგან ვირუსების შემცველი შეტყობინებები (თუნდაც ისინი ჯერ კიდევ არ არის შეტანილი ანტივირუსული პროგრამების მონაცემთა ბაზაში) ხშირად აქვთ სპამის ნიშნები და იფილტრება. მართალია, სპამის ფილტრაციის დადებითი ეფექტი შეიძლება აღმოიფხვრას, თუ ფილტრი, უსარგებლო შეტყობინებებთან ერთად, წაშლის ან მონიშნავს სპამად და სასარგებლო შეტყობინებებს, საქმიან თუ პერსონალურს.

ვირუსებითა და ჰაკერების შეტევებით კომპანიებისთვის მიყენებული უზარმაზარი ზიანი ძირითადად გამოყენებული პროგრამული უზრუნველყოფის სისუსტეების შედეგია. მათი იდენტიფიცირება შესაძლებელია წინასწარ, რეალური თავდასხმის მოლოდინის გარეშე, კომპიუტერული ქსელის დაუცველობის აღმოჩენის სისტემებისა და ქსელური თავდასხმის ანალიზატორების გამოყენებით. ასეთი პროგრამული უზრუნველყოფა უსაფრთხოდ ახდენს საერთო თავდასხმებისა და შეჭრის მეთოდებს და განსაზღვრავს, თუ რა შეუძლია ჰაკერს ნახოს ქსელში და როგორ გამოიყენოს მისი რესურსები.

ინფორმაციული უსაფრთხოებისთვის ბუნებრივი საფრთხეების დასაძლევად კომპანიამ უნდა შეიმუშაოს და განახორციელოს პროცედურების კომპლექტი საგანგებო სიტუაციების თავიდან ასაცილებლად (მაგალითად, ხანძრისგან მონაცემების ფიზიკური დაცვის უზრუნველსაყოფად) და მინიმუმამდე დაიყვანოს ზიანი, თუ ასეთი სიტუაცია წარმოიქმნება. მონაცემთა დაკარგვისგან დაცვის ერთ-ერთი მთავარი მეთოდი არის სარეზერვო ასლის შექმნა დადგენილი პროცედურების მკაცრი დაცვით (რეგულარულობა, მედიის ტიპები, ასლების შენახვის მეთოდები და ა.შ.).

ინფორმაციული უსაფრთხოების პოლიტიკა არის თანამშრომლების მუშაობის მარეგულირებელი დოკუმენტების პაკეტი, რომელიც აღწერს ინფორმაციასთან, საინფორმაციო სისტემებთან, მონაცემთა ბაზებთან, ადგილობრივ ქსელებთან და ინტერნეტ რესურსებთან მუშაობის ძირითად წესებს. მნიშვნელოვანია გვესმოდეს, რა ადგილი უჭირავს ინფორმაციული უსაფრთხოების პოლიტიკას ორგანიზაციის მართვის საერთო სისტემაში. ქვემოთ მოცემულია ზოგადი ორგანიზაციული ზომები, რომლებიც დაკავშირებულია უსაფრთხოების პოლიტიკასთან.

პროცედურულ დონეზე შეიძლება განვასხვავოთ ზომების შემდეგი კლასები:

პერსონალის მენეჯმენტი;

ფიზიკური დაცვა;

შესრულების შენარჩუნება;

უსაფრთხოების დარღვევებზე რეაგირება;

აღდგენითი სამუშაოების დაგეგმვა.

ადამიანური რესურსების მენეჯმენტი დაქირავებით იწყება, მაგრამ მანამდე კი თქვენ უნდა განსაზღვროთ თანამდებობასთან დაკავშირებული კომპიუტერის პრივილეგიები. გასათვალისწინებელია ორი ზოგადი პრინციპი:

მოვალეობების გამიჯვნა;

პრივილეგიების მინიმიზაცია.

მოვალეობების გამიჯვნის პრინციპი განსაზღვრავს როლებისა და პასუხისმგებლობების განაწილებას ისე, რომ ერთმა ადამიანმა ვერ შეაფერხოს ორგანიზაციისთვის კრიტიკული პროცესი. მაგალითად, არასასურველია ერთი პირის მიერ ორგანიზაციის სახელით დიდი გადასახადების გადახდა. უფრო უსაფრთხოა დაავალოთ ერთ თანამშრომელს, დაამუშავოს განაცხადები ასეთი გადახდებისთვის, მეორეს კი ამ განაცხადების დამოწმება. კიდევ ერთი მაგალითია სუპერმომხმარებლის მოქმედებების პროცედურული შეზღუდვები. თქვენ შეგიძლიათ ხელოვნურად „გაყოთ“ სუპერმომხმარებლის პაროლი მისი პირველი ნაწილის ერთ თანამშრომელთან და მეორე ნაწილის მეორესთან გაზიარებით. შემდეგ მათ შეუძლიათ განახორციელონ კრიტიკული მოქმედებები საინფორმაციო სისტემის ადმინისტრირებისთვის მხოლოდ ერთად, რაც ამცირებს შეცდომების და ბოროტად გამოყენების ალბათობას.

მინიმალური პრივილეგიის პრინციპი მოითხოვს, რომ მომხმარებლებს მიენიჭონ მხოლოდ ის წვდომის უფლებები, რაც მათ სჭირდებათ სამუშაო პასუხისმგებლობის შესასრულებლად. ამ პრინციპის მიზანი აშკარაა - შემცირდეს ზარალი შემთხვევითი ან განზრახ არასწორი ქმედებებით.

სამუშაოს აღწერილობის წინასწარი მომზადება საშუალებას გაძლევთ შეაფასოთ მისი კრიტიკულობა და დაგეგმოთ კანდიდატების შემოწმებისა და შერჩევის პროცედურა. რაც უფრო საპასუხისმგებლოა თანამდებობა, მით უფრო ფრთხილად უნდა შეამოწმოთ კანდიდატები: მიმართეთ მათ, შესაძლოა ისაუბროთ ყოფილ კოლეგებთან და ა.შ. ასეთი პროცედურა შეიძლება იყოს ხანგრძლივი და ძვირი, ამიტომ მის შემდგომ გართულებას აზრი არ აქვს. ამავდროულად, დაუსაბუთებელია წინასწარ სკრინინგზე სრული უარის თქმა, რათა თავიდან იქნას აცილებული კრიმინალური წარსულის ან ფსიქიკური დაავადების მქონე პირის შემთხვევით დაქირავება.

კანდიდატის იდენტიფიცირების შემდეგ, სავარაუდოდ, მას დასჭირდება ტრენინგის გავლა; სულ მცირე, ის საფუძვლიანად უნდა გაეცნოს სამუშაო პასუხისმგებლობებს და ინფორმაციული უსაფრთხოების რეგულაციებსა და პროცედურებს. მიზანშეწონილია, რომ მან გააცნობიეროს უსაფრთხოების ზომები თანამდებობის დაკავებამდე და სისტემაში შესვლის სახელით, პაროლითა და პრივილეგიებით დაარსებამდე.

საინფორმაციო სისტემის უსაფრთხოება დამოკიდებულია გარემოზე, რომელშიც ის მუშაობს. აუცილებელია ზომების მიღება შენობებისა და მიმდებარე ტერიტორიების, დამხმარე ინფრასტრუქტურის, კომპიუტერული აღჭურვილობისა და შენახვის საშუალებების დასაცავად.

განვიხილოთ ფიზიკური დაცვის შემდეგი სფეროები:

ფიზიკური წვდომის კონტროლი;

დამხმარე ინფრასტრუქტურის დაცვა;

მობილური სისტემების დაცვა.

ფიზიკური წვდომის კონტროლის ზომები საშუალებას გაძლევთ გააკონტროლოთ და, საჭიროების შემთხვევაში, შეზღუდოთ თანამშრომლებისა და ვიზიტორების შესვლა და გამოსვლა. შესაძლებელია ორგანიზაციის მთელი შენობის კონტროლი, ასევე ინდივიდუალური შენობები, მაგალითად, ის, სადაც განთავსებულია სერვერები, საკომუნიკაციო აღჭურვილობა და ა.შ.

დამხმარე ინფრასტრუქტურა მოიცავს ელექტრო, წყალმომარაგების და თბომომარაგების სისტემებს, კონდიცირებას და კომუნიკაციებს. პრინციპში, მათზე ვრცელდება იგივე მთლიანობისა და ხელმისაწვდომობის მოთხოვნები, რაც საინფორმაციო სისტემებზე. მთლიანობის უზრუნველსაყოფად, აღჭურვილობა დაცული უნდა იყოს ქურდობისა და დაზიანებისგან. ხელმისაწვდომობის შესანარჩუნებლად, თქვენ უნდა აირჩიოთ აღჭურვილობა მაქსიმალური MTBF-ით, კრიტიკული კომპონენტების დუბლიკატით და ყოველთვის ხელთ გქონდეთ სათადარიგო ნაწილები.

ზოგადად, ფიზიკური დამცავი აღჭურვილობის შერჩევისას უნდა ჩატარდეს რისკის ანალიზი. ამრიგად, უწყვეტი ელექტრომომარაგების შეძენის გადაწყვეტილების მიღებისას, აუცილებელია გავითვალისწინოთ ორგანიზაციის მიერ დაკავებულ შენობაში ელექტრომომარაგების ხარისხი (თუმცა, ის თითქმის ნამდვილად ცუდი აღმოჩნდება), ბუნება და ხანგრძლივობა. ელექტროენერგიის გათიშვა, ხელმისაწვდომი წყაროების ღირებულება და შესაძლო დანაკარგები უბედური შემთხვევებისგან (აღჭურვილობის გაფუჭება, ორგანიზაციის მუშაობის შეჩერება და ა.შ.).

განვიხილოთ მთელი რიგი ღონისძიებები, რომლებიც მიმართულია საინფორმაციო სისტემების ფუნქციონირების შენარჩუნებაზე. სწორედ ამ სფეროში იმალება ყველაზე დიდი საფრთხე. სისტემის ადმინისტრატორებისა და მომხმარებლების უნებლიე შეცდომებმა შეიძლება გამოიწვიოს შესრულების დაკარგვა, კერძოდ, აღჭურვილობის დაზიანება, პროგრამებისა და მონაცემების განადგურება. ეს ყველაზე უარესი სცენარია. საუკეთესო შემთხვევაში, ისინი ქმნიან უსაფრთხოების ხვრელებს, რაც იძლევა სისტემის უსაფრთხოების საფრთხეების წარმოქმნის საშუალებას.

მრავალი ორგანიზაციის მთავარი პრობლემა არის უსაფრთხოების ფაქტორების არასაკმარისი შეფასება ყოველდღიურ მუშაობაში. უსაფრთხოების ძვირადღირებული ფუნქციები აზრი არ აქვს, თუ ისინი ცუდად არის დოკუმენტირებული, კონფლიქტი სხვა პროგრამულ უზრუნველყოფასთან და სისტემის ადმინისტრატორის პაროლი არ შეცვლილა ინსტალაციის შემდეგ.

ყოველდღიური საქმიანობისთვის, რომელიც მიზნად ისახავს საინფორმაციო სისტემის ფუნქციონირების შენარჩუნებას, შეიძლება განვასხვავოთ შემდეგი მოქმედებები:

მომხმარებლის მხარდაჭერა;

პროგრამული უზრუნველყოფის მხარდაჭერა;

კონფიგურაციის მართვა;

სარეზერვო;

მედიის მენეჯმენტი;

დოკუმენტაცია;

რუტინული მოვლა.

მომხმარებლის მხარდაჭერა, პირველ რიგში, გულისხმობს კონსულტაციას და დახმარებას სხვადასხვა სახის პრობლემების გადაჭრაში. ძალზე მნიშვნელოვანია კითხვების ნაკადში ინფორმაციის უსაფრთხოებასთან დაკავშირებული პრობლემების ამოცნობა. ამრიგად, პერსონალურ კომპიუტერებზე მომუშავე მომხმარებლებისთვის მრავალი სირთულე შეიძლება იყოს ვირუსული ინფექციის შედეგი. მიზანშეწონილია ჩაწეროთ მომხმარებლის კითხვები, რათა მოხდეს მათი საერთო შეცდომების იდენტიფიცირება და შეხსენებების გაცემა რეკომენდაციებით საერთო სიტუაციებისთვის.

პროგრამული უზრუნველყოფის მხარდაჭერა ინფორმაციის მთლიანობის უზრუნველსაყოფად ერთ-ერთი ყველაზე მნიშვნელოვანი საშუალებაა. უპირველეს ყოვლისა, თქვენ უნდა აკონტროლოთ რა პროგრამული უზრუნველყოფაა დაინსტალირებული თქვენს კომპიუტერებზე. თუ მომხმარებლები დააინსტალირებენ პროგრამებს საკუთარი შეხედულებისამებრ, ამან შეიძლება გამოიწვიოს ვირუსებით ინფექცია, ისევე როგორც კომუნალური საშუალებების გაჩენა, რომლებიც გვერდს უვლიან დაცვის ზომებს. ასევე სავარაუდოა, რომ მომხმარებელთა „დამოუკიდებელ საქმიანობამ“ თანდათანობით გამოიწვიოს ქაოსი მათ კომპიუტერებზე და სისტემის ადმინისტრატორს მოუწევს სიტუაციის გამოსწორება.

პროგრამული უზრუნველყოფის მხარდაჭერის მეორე ასპექტი არის კონტროლი პროგრამებში არაავტორიზებული ცვლილებებისა და მათზე წვდომის უფლებების არარსებობაზე. ეს ასევე მოიცავს პროგრამული სისტემების საცნობარო ასლების მხარდაჭერას. კონტროლი, როგორც წესი, მიიღწევა ფიზიკური და ლოგიკური წვდომის კონტროლის კომბინაციით, ასევე ვერიფიკაციისა და მთლიანობის კომუნალური საშუალებების გამოყენებით.

კონფიგურაციის მენეჯმენტი საშუალებას გაძლევთ აკონტროლოთ და ჩაწეროთ ცვლილებები პროგრამული უზრუნველყოფის კონფიგურაციაში. უპირველეს ყოვლისა, თქვენ უნდა დაიზღვიოთ თავი შემთხვევითი ან გაუაზრებელი ცვლილებებისგან და შეგეძლოთ მაინც დაუბრუნდეთ წინა, სამუშაო ვერსიას. ცვლილებების განხორციელება გაადვილებს მიმდინარე ვერსიის აღდგენას კატასტროფის შემდეგ.

რუტინულ მუშაობაში შეცდომების შესამცირებლად საუკეთესო გზაა მისი მაქსიმალურად ავტომატიზაცია. ავტომატიზაცია და უსაფრთხოება ერთმანეთზეა დამოკიდებული, რადგან ის, ვინც პირველ რიგში ზრუნავს თავისი ამოცანის გამარტივებაზე, სინამდვილეში არის ის, ვინც ოპტიმალურად აყალიბებს ინფორმაციული უსაფრთხოების რეჟიმს.

სარეზერვო ასლი აუცილებელია პროგრამებისა და მონაცემების აღსადგენად კატასტროფის შემდეგ. და აქ მიზანშეწონილია სამუშაოს ავტომატიზაცია, მინიმუმ, კომპიუტერული გრაფიკის შექმნით სრული და დამატებითი ასლების შესაქმნელად და მაქსიმუმ შესაბამისი პროგრამული პროდუქტების გამოყენებით. ასევე აუცილებელია ასლების განთავსება უსაფრთხო ადგილას, დაცული არაავტორიზებული წვდომისგან, ხანძრისგან, გაჟონვისგან, ანუ ყველაფრისგან, რამაც შეიძლება გამოიწვიოს ქურდობა ან მედიის დაზიანება. მიზანშეწონილია გქონდეთ სარეზერვო ასლების რამდენიმე ასლი და შეინახოთ ზოგიერთი მათგანი ადგილზე, რითაც დაიცვათ დიდი ავარიებისა და მსგავსი შემთხვევებისგან. დროდადრო, სატესტო მიზნებისთვის, თქვენ უნდა შეამოწმოთ ასლებიდან ინფორმაციის აღდგენის შესაძლებლობა.

მედიის მენეჯმენტი აუცილებელია ფიზიკური უსაფრთხოების უზრუნველსაყოფად და ფლოპი დისკების, ლენტების, დაბეჭდილი გამოსავლის და ა.შ. მედია მენეჯმენტმა უნდა უზრუნველყოს კომპიუტერული სისტემების გარეთ შენახული ინფორმაციის კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობა. ფიზიკური დაცვა აქ გულისხმობს არა მხოლოდ არასანქცირებული დაშვების მცდელობების მოგერიებას, არამედ დაცვას გარემოს მავნე ზემოქმედებისგან (სითბო, სიცივე, ტენიანობა, მაგნეტიზმი). მედიის მენეჯმენტმა უნდა მოიცვას მთელი სასიცოცხლო ციკლი, შესყიდვიდან დეკომისიამდე.

დოკუმენტაცია ინფორმაციული უსაფრთხოების განუყოფელი ნაწილია. თითქმის ყველაფერი დოკუმენტირებულია დოკუმენტების სახით - უსაფრთხოების პოლიტიკიდან მედიის ჟურნალამდე. მნიშვნელოვანია, რომ დოკუმენტაცია იყოს უახლესი და ასახავდეს საქმის მიმდინარე მდგომარეობას და თანმიმდევრულად.

კონფიდენციალურობის მოთხოვნები ვრცელდება ზოგიერთი დოკუმენტის შესანახად (რომელიც შეიცავს, მაგალითად, სისტემის დაუცველობისა და საფრთხეების ანალიზს), ხოლო სხვები, როგორიცაა კატასტროფის აღდგენის გეგმა, ექვემდებარება მთლიანობისა და ხელმისაწვდომობის მოთხოვნებს (კრიტიკულ სიტუაციაში, გეგმა უნდა იპოვონ და წაიკითხონ).

რუტინული მუშაობა უსაფრთხოების ძალიან სერიოზული საფრთხეა. თანამშრომელი, რომელიც ახორციელებს რუტინულ მოვლა-პატრონობას, იღებს ექსკლუზიურ წვდომას სისტემაზე და პრაქტიკაში ძალიან რთულია იმის გაკონტროლება, თუ რა მოქმედებებს ასრულებს ის. სწორედ აქ ჩნდება ნდობის ხარისხი იმ ადამიანების მიმართ, ვინც საქმეს აკეთებს.

ორგანიზაციის მიერ მიღებული უსაფრთხოების პოლიტიკა უნდა ითვალისწინებდეს ოპერატიული ღონისძიებების ერთობლიობას, რომელიც მიზნად ისახავს ინფორმაციული უსაფრთხოების რეჟიმის დარღვევის გამოვლენას და განეიტრალებას. მნიშვნელოვანია, რომ ასეთ შემთხვევებში მოქმედებების თანმიმდევრობა წინასწარ დაიგეგმოს, ვინაიდან ზომების მიღება საჭიროა სასწრაფოდ და კოორდინირებულად.

უსაფრთხოების დარღვევებზე რეაგირებას სამი ძირითადი მიზანი აქვს:

ინციდენტის ლოკალიზაცია და ზიანის შემცირება;

განმეორებითი დარღვევების პრევენცია.

ხშირად ინციდენტის ლოკალიზაციისა და ზიანის შემცირების მოთხოვნა ეწინააღმდეგება დამნაშავის იდენტიფიცირების სურვილს. ორგანიზაციის უსაფრთხოების პოლიტიკას ადრეული პრიორიტეტი უნდა მიეცეს. ვინაიდან, როგორც პრაქტიკა გვიჩვენებს, ძალიან რთულია თავდამსხმელის იდენტიფიცირება, ჩვენი აზრით, უპირველეს ყოვლისა, ზიანის შემცირებაზე უნდა ვიზრუნოთ.

არცერთი ორგანიზაცია არ არის დაცული ბუნებრივი მიზეზების, მავნე ქმედებების, დაუდევრობის ან არაკომპეტენტურობის შედეგად გამოწვეული სერიოზული უბედური შემთხვევებისგან. ამავდროულად, ყველა ორგანიზაციას აქვს ფუნქციები, რომლებსაც მენეჯმენტი კრიტიკულად მიიჩნევს და უნდა შესრულდეს რაც არ უნდა მოხდეს. აღდგენითი სამუშაოების დაგეგმვა საშუალებას გაძლევთ მოემზადოთ უბედური შემთხვევებისთვის, შეამციროთ მათგან მიყენებული ზიანი და მინიმუმამდე შეინარჩუნოთ ფუნქციონირების უნარი.

გაითვალისწინეთ, რომ ინფორმაციული უსაფრთხოების ზომები შეიძლება დაიყოს სამ ჯგუფად, იმისდა მიხედვით, არის თუ არა ისინი მიმართული თავდასხმების შედეგების თავიდან აცილებაზე, გამოვლენაზე ან აღმოფხვრაზე. ზომების უმეტესობა პრევენციული ხასიათისაა.

აღდგენის დაგეგმვის პროცესი შეიძლება დაიყოს შემდეგ ეტაპებად:

ორგანიზაციის კრიტიკული ფუნქციების განსაზღვრა, პრიორიტეტების დადგენა;

კრიტიკული ფუნქციების შესასრულებლად საჭირო რესურსების იდენტიფიცირება;

შესაძლო ავარიების სიის განსაზღვრა;

აღდგენის სტრატეგიის შემუშავება;

არჩეული სტრატეგიის განსახორციელებლად მომზადება;

სტრატეგიის შემოწმება.

სარესტავრაციო სამუშაოების დაგეგმვისას უნდა იცოდეთ, რომ ყოველთვის არ არის შესაძლებელი ორგანიზაციის ფუნქციონირების სრულად შენარჩუნება. აუცილებელია კრიტიკული ფუნქციების იდენტიფიცირება, რომელთა გარეშეც ორგანიზაცია კარგავს თავის სახეს, და პრიორიტეტიც კი მიენიჭოს კრიტიკულ ფუნქციებს შორის, რათა განაახლოს მუშაობა ავარიის შემდეგ რაც შეიძლება სწრაფად და მინიმალური ხარჯებით.

კრიტიკული ფუნქციების შესასრულებლად საჭირო რესურსების იდენტიფიცირებისას გახსოვდეთ, რომ ბევრი მათგანი არაკომპიუტერული ხასიათისაა. ამ ეტაპზე მიზანშეწონილია სამუშაოებში სხვადასხვა პროფილის სპეციალისტების ჩართვა.

ამრიგად, არსებობს უამრავი სხვადასხვა მეთოდი ინფორმაციის უსაფრთხოების უზრუნველსაყოფად. ყველაზე ეფექტურია ყველა ამ მეთოდის გამოყენება ერთ კომპლექსში. დღეს უსაფრთხოების თანამედროვე ბაზარი გაჯერებულია ინფორმაციული უსაფრთხოების ინსტრუმენტებით. მუდმივად სწავლობს უსაფრთხოების ბაზარზე არსებულ შეთავაზებებს, ბევრი კომპანია ხედავს ადრე დაბანდებული სახსრების არაადეკვატურობას ინფორმაციული უსაფრთხოების სისტემებში, მაგალითად, აღჭურვილობისა და პროგრამული უზრუნველყოფის მოძველების გამო. ამიტომ ისინი ეძებენ ამ პრობლემის გადაწყვეტას. შეიძლება არსებობდეს ორი ასეთი ვარიანტი: ერთის მხრივ, კორპორატიული ინფორმაციის დაცვის სისტემის სრული ჩანაცვლება, რაც მოითხოვს დიდ ინვესტიციებს და მეორეს მხრივ, არსებული უსაფრთხოების სისტემების მოდერნიზაცია. ამ პრობლემის გადაჭრის ბოლო ვარიანტი ყველაზე ნაკლებად ძვირია, მაგრამ მას ახალი პრობლემები მოაქვს, მაგალითად, მოითხოვს პასუხს შემდეგ კითხვებზე: როგორ უზრუნველვყოთ ძველი, არსებული ტექნიკისა და პროგრამული უზრუნველყოფის უსაფრთხოების ინსტრუმენტებისგან დაცული თავსებადობა და ახალი ელემენტები. ინფორმაციული უსაფრთხოების სისტემა; როგორ უზრუნველვყოთ უსაფრთხოების ჰეტეროგენული ინსტრუმენტების ცენტრალიზებული მართვა; როგორ შეაფასოს და საჭიროების შემთხვევაში გადააფასოს კომპანიის საინფორმაციო რისკები.

თავი 2. ინფორმაციული უსაფრთხოების სისტემის ანალიზი

1 კომპანიის საქმიანობის სფერო და ფინანსური მაჩვენებლების ანალიზი

OJSC Gazprom არის გლობალური ენერგეტიკული კომპანია. ძირითადი საქმიანობაა გეოლოგიური ძიება, წარმოება, ტრანსპორტირება, შენახვა, გადამუშავება და რეალიზაცია გაზის, გაზის კონდენსატისა და ნავთობის, აგრეთვე სითბოს და ელექტროენერგიის წარმოება-რეალიზაცია.

გაზპრომი თავის მისიას ხედავს მომხმარებლების საიმედო, ეფექტურ და დაბალანსებულ მიწოდებაში ბუნებრივი აირით, სხვა სახის ენერგორესურსებით და მათი გადამუშავებული პროდუქტებით.

გაზპრომს აქვს მსოფლიოში ყველაზე მდიდარი ბუნებრივი აირის მარაგი. მისი წილი გაზის მსოფლიო მარაგებში 18%-ია, რუსულად - 70%. გაზპრომზე მოდის გლობალური გაზის 15%, ხოლო რუსული გაზის 78%. ამჟამად კომპანია აქტიურად ახორციელებს ფართომასშტაბიან პროექტებს იამალის ნახევარკუნძულის, არქტიკული შელფის, აღმოსავლეთ ციმბირისა და შორეული აღმოსავლეთის გაზის რესურსების განვითარებისათვის, აგრეთვე რიგ პროექტებს საზღვარგარეთ ნახშირწყალბადების მოძიებისა და წარმოებისთვის.

გაზპრომი არის სანდო გაზის მიმწოდებელი რუსი და უცხოელი მომხმარებლებისთვის. კომპანია ფლობს მსოფლიოში ყველაზე დიდ გაზსატრანსპორტო ქსელს - რუსეთის გაზმომარაგების ერთიან სისტემას, რომლის სიგრძე 161 ათას კილომეტრს აჭარბებს. გაზპრომი შიდა ბაზარზე გაყიდული გაზის ნახევარზე მეტს ყიდის. გარდა ამისა, კომპანია გაზს აწვდის ახლო და შორს საზღვარგარეთის 30 ქვეყანას.

გაზპრომი არის თხევადი ბუნებრივი აირის ერთადერთი მწარმოებელი და ექსპორტიორი რუსეთში და უზრუნველყოფს გლობალური LNG წარმოების დაახლოებით 5%-ს.

კომპანია რუსეთის ფედერაციის ნავთობის ხუთ უმსხვილეს მწარმოებელთაგან ერთ-ერთია და ასევე არის აქტივების გენერირების უმსხვილესი მფლობელი მის ტერიტორიაზე. მათი ჯამური დადგმული სიმძლავრე შეადგენს რუსეთის ენერგოსისტემის მთლიანი დადგმული სიმძლავრის 17%-ს.

სტრატეგიული მიზანია OAO Gazprom-ის დამკვიდრება, როგორც ლიდერი გლობალურ ენერგეტიკულ კომპანიებს შორის ახალი ბაზრების განვითარების, საქმიანობის დივერსიფიკაციისა და მიწოდების საიმედოობის უზრუნველყოფის გზით.

განვიხილოთ კომპანიის ფინანსური მაჩვენებლები ბოლო ორი წლის განმავლობაში. კომპანიის საოპერაციო შედეგები წარმოდგენილია დანართ 1-ში.

2010 წლის 31 დეკემბრის მდგომარეობით, გაყიდვების შემოსავალმა შეადგინა 2,495,557 მილიონი რუბლი, ეს მაჩვენებელი გაცილებით დაბალია 2011 წლის მონაცემებთან შედარებით, ანუ 3,296,656 მილიონი რუბლი.

გაყიდვებიდან შემოსავალი (აქციზის, დღგ-ის და საბაჟო გადასახადის გარეშე) გაიზარდა 801,099 მილიონი რუბლით, ანუ 32%-ით 2011 წლის 30 სექტემბერს დასრულებული ცხრა თვის განმავლობაში გასული წლის ანალოგიურ პერიოდთან შედარებით, შეადგინა 3,296 656 მილიონი რუბლი.

2011 წლის შედეგების მიხედვით, გაზის გაყიდვიდან მიღებულმა წმინდა შემოსავალმა შეადგინა მთლიანი წმინდა გაყიდვების შემოსავლის 60% (60% გასული წლის ანალოგიური პერიოდისთვის).

გაზის გაყიდვიდან წმინდა შემოსავალი გაიზარდა 1,495,335 მილიონი რუბლიდან. წლის განმავლობაში 1,987,330 მილიონ რუბლამდე. 2011 წლის ანალოგიურ პერიოდზე, ანუ 33%-ით.

ევროპასა და სხვა ქვეყნებში გაზის გაყიდვიდან მიღებული წმინდა შემოსავალი გაიზარდა 258,596 მილიონი რუბლით, ანუ 34%-ით, გასული წლის ანალოგიურ პერიოდთან შედარებით და შეადგინა 1,026,451 მილიონი რუბლი. ევროპასა და სხვა ქვეყნებში გაზის გაყიდვების საერთო ზრდა განპირობებული იყო საშუალო ფასების ზრდით. 2011 წლის 30 სექტემბერს დასრულებული ცხრა თვის განმავლობაში საშუალო ფასი რუბლებში (საბაჟო გადასახადის ჩათვლით) 21%-ით გაიზარდა 2010 წლის ანალოგიურ პერიოდთან შედარებით. გარდა ამისა, გაზის გაყიდვების მოცულობა 8%-ით გაიზარდა გასული წლის ანალოგიურ პერიოდთან შედარებით.

ყოფილი საბჭოთა კავშირის ქვეყნებში გაზის გაყიდვიდან მიღებული წმინდა შემოსავალი 2010 წლის ანალოგიურ პერიოდთან შედარებით გაიზარდა 168,538 მილიონი რუბლით, ანუ 58%-ით და შეადგინა 458,608 მილიონი რუბლი. ცვლილება ძირითადად გამოწვეული იყო ყოფილ საბჭოთა კავშირში გაზის გაყიდვების 33%-ით ზრდით 2011 წლის 30 სექტემბერს დასრულებული ცხრა თვის განმავლობაში გასული წლის ანალოგიურ პერიოდთან შედარებით. გარდა ამისა, გასული წლის ანალოგიურ პერიოდთან შედარებით 15%-ით გაიზარდა საშუალო ფასი რუბლებში (საბაჟო გადასახადის ჩათვლით, დღგ-ს ნაკლები).

წმინდა შემოსავალი რუსეთის ფედერაციაში გაზის გაყიდვიდან გაიზარდა 64,861 მილიონი რუბლით, ანუ 15%, გასული წლის ანალოგიურ პერიოდთან შედარებით და შეადგინა 502,271 მილიონი რუბლი. ეს ძირითადად გასული წლის ანალოგიურ პერიოდთან შედარებით გაზის საშუალო ფასის 13%-ით გაზრდით არის განპირობებული, რაც ფედერალური სატარიფო სამსახურის (FTS) მიერ დადგენილი ტარიფების ზრდას უკავშირდება.

ნავთობისა და გაზის პროდუქტების რეალიზაციიდან მიღებული წმინდა შემოსავალი (აქციზის, დღგ-ის და საბაჟო გადასახადის გამოკლებით) გაიზარდა 213,012 მილიონი რუბლით, ანუ 42%-ით და შეადგინა 717,723 მილიონი რუბლი. გასული წლის ანალოგიურ პერიოდთან შედარებით. ეს ზრდა ძირითადად ნავთობისა და გაზის პროდუქტებზე მსოფლიო ფასების ზრდით და გასული წლის ანალოგიურ პერიოდთან შედარებით გაყიდვების მოცულობის ზრდით აიხსნება. გაზპრომ ნეფტის ჯგუფის შემოსავალმა შეადგინა ნავთობისა და გაზის პროდუქტების რეალიზაციიდან მიღებული მთლიანი წმინდა შემოსავლის შესაბამისად 85% და 84%.

წმინდა შემოსავალი ელექტრო და თერმული ენერგიის გაყიდვიდან (დღგ-ს გარეშე) გაიზარდა 38,097 მილიონი რუბლით, ანუ 19%-ით და შეადგინა 237,545 მილიონი რუბლი. ელექტრო და თბოენერგიის რეალიზაციიდან მიღებული შემოსავლის ზრდა ძირითადად განპირობებულია ელექტრო და თბოენერგიის ტარიფების ზრდით, ასევე ელექტრო და თერმული ენერგიის გაყიდვების მოცულობის ზრდით.

ნედლი ნავთობისა და გაზის კონდენსატის რეალიზაციიდან მიღებული წმინდა შემოსავალი (აქციზის, დღგ-ის და საბაჟო გადასახადების გამოკლებით) გაიზარდა 23,072 მილიონი რუბლით, ანუ 16%-ით და შეადგინა 164,438 მილიონი რუბლი. 141,366 მილიონ რუბლთან შედარებით. გასული წლის ანალოგიური პერიოდისთვის. ცვლილება ძირითადად ნავთობისა და გაზის კონდენსატზე ფასების მატებით არის გამოწვეული. გარდა ამისა, ცვლილება გაზის კონდენსატის გაყიდვის ზრდამ გამოიწვია. ნედლი ნავთობის გაყიდვიდან შემოსავალმა შეადგინა 133,368 მილიონი რუბლი. და 121,675 მილიონი რუბლი. 2011 და 2010 წლებში ნედლი ნავთობისა და გაზის კონდენსატის (აქციზის, დღგ-ს და საბაჟო გადასახადების გამოკლებით) წმინდა შემოსავალში.

გაზის ტრანსპორტირების სერვისების გაყიდვიდან წმინდა შემოსავალი (დღგ-ს გარეშე) გაიზარდა 15,306 მილიონი რუბლით, ანუ 23%-ით და შეადგინა 82,501 მილიონი რუბლი, 67,195 მილიონი რუბლის შედარებით. გასული წლის ანალოგიური პერიოდისთვის. ეს ზრდა ძირითადად განპირობებულია დამოუკიდებელი მომწოდებლებისთვის გაზის ტრანსპორტირების ტარიფების ზრდით, ასევე გაზის მოცულობის ზრდით. ѐ დამოუკიდებელი მომწოდებლების გაზის ტრანსპორტირების მოძრაობა გასული წლის ანალოგიურ პერიოდთან შედარებით.

სხვა შემოსავალი გაიზარდა 19,617 მილიონი რუბლით, ანუ 22%, და შეადგინა 107,119 მილიონი რუბლი. 87,502 მილიონ რუბლთან შედარებით. გასული წლის ანალოგიური პერიოდისთვის.

ფაქტობრივი მიწოდების გარეშე სავაჭრო ოპერაციების ხარჯებმა შეადგინა 837 მილიონი რუბლი. 5,786 მილიონი რუბლის შემოსავალთან შედარებით. გასული წლის ანალოგიური პერიოდისთვის.

რაც შეეხება საოპერაციო ხარჯებს, ისინი გაიზარდა 23%-ით და შეადგინა 2,119,289 მილიონი რუბლი. 1,726,604 მილიონ რუბლთან შედარებით. გასული წლის ანალოგიური პერიოდისთვის. საოპერაციო ხარჯების წილი გაყიდვებიდან შემოსავალში 69%-დან 64%-მდე შემცირდა.

შრომის ხარჯები გაიზარდა 18%-ით და შეადგინა 267,377 მილიონი რუბლი. 227,500 მილიონი რუბლის შედარებით. გასული წლის ანალოგიური პერიოდისთვის. ზრდა ძირითადად გამოწვეულია საშუალო ხელფასის ზრდით.

ცვეთა გაანალიზებული პერიოდისთვის გაიზარდა 9%-ით ან 17,026 მილიონი რუბლით და შეადგინა 201,636 მილიონი რუბლი, 184,610 მილიონი რუბლის შედარებით. გასული წლის ანალოგიური პერიოდისთვის. ზრდა ძირითადად განპირობებული იყო ძირითადი საშუალებების ბაზის გაფართოებით.

ზემოაღნიშნული ფაქტორების შედეგად, გაყიდვების მოგება გაიზარდა 401,791 მილიონი რუბლით, ანუ 52%, და შეადგინა 1,176,530 მილიონი რუბლი. 774,739 მილიონ რუბლთან შედარებით. გასული წლის ანალოგიური პერიოდისთვის. გაყიდვების მოგების მარჟა გაიზარდა 31%-დან 36%-მდე 2011 წლის 30 სექტემბერს დასრულებული ცხრა თვის განმავლობაში.

ამრიგად, OJSC Gazprom არის გლობალური ენერგეტიკული კომპანია. ძირითადი საქმიანობაა გეოლოგიური ძიება, წარმოება, ტრანსპორტირება, შენახვა, გადამუშავება და რეალიზაცია გაზის, გაზის კონდენსატისა და ნავთობის, აგრეთვე სითბოს და ელექტროენერგიის წარმოება-რეალიზაცია. კომპანიის ფინანსური მდგომარეობა სტაბილურია. შესრულების მაჩვენებლები დადებით დინამიკას აჩვენებს.

2 კომპანიის საინფორმაციო უსაფრთხოების სისტემის აღწერა

განვიხილოთ OJSC გაზპრომის კორპორაციული დაცვის სამსახურის განყოფილებების საქმიანობის ძირითადი სფეროები:

მიზნობრივი პროგრამების შემუშავება საინჟინრო და ტექნიკური უსაფრთხოების აღჭურვილობის სისტემებისა და კომპლექსების (ITSE), ინფორმაციული უსაფრთხოების სისტემების (IS) OAO Gazprom-ის და მისი შვილობილი კომპანიებისა და ორგანიზაციების განვითარებისათვის, მონაწილეობა საინვესტიციო პროგრამის ფორმირებაში, რომელიც მიზნად ისახავს ინფორმაციის და ტექნიკური უზრუნველყოფას. უსაფრთხოება;

მომხმარებლის უფლებამოსილების განხორციელება ინფორმაციული უსაფრთხოების სისტემების, ასევე ITSO სისტემებისა და კომპლექსების განვითარებისთვის;

საბიუჯეტო მოთხოვნებისა და ბიუჯეტების განხილვა და დამტკიცება ინფორმაციული უსაფრთხოების სისტემების, ITSO სისტემებისა და კომპლექსების განვითარების ღონისძიებების განსახორციელებლად, აგრეთვე ინფორმაციული უსაფრთხოების სისტემების მხრივ IT-ის შესაქმნელად;

ინფორმაციული უსაფრთხოების სისტემების, ITSO სისტემებისა და კომპლექსების განვითარების საპროექტო და წინასწარი საპროექტო დოკუმენტაციის განხილვა და დამტკიცება, აგრეთვე ინფორმაციული უსაფრთხოების მოთხოვნების თვალსაზრისით საინფორმაციო სისტემების, საკომუნიკაციო და სატელეკომუნიკაციო სისტემების შექმნის (მოდერნიზაციის) ტექნიკური სპეციფიკაციები;

სამუშაოს ორგანიზება ITSO სისტემებისა და კომპლექსების, ინფორმაციული უსაფრთხოების სისტემების (ასევე მათი შექმნის სამუშაოებისა და სერვისების) შესაბამისობის შესაფასებლად დადგენილ მოთხოვნებთან;

ტექნიკური ინფორმაციის დაცვაზე მუშაობის კოორდინაცია და კონტროლი.

გაზპრომმა შექმნა სისტემა პერსონალური მონაცემების დაცვის უზრუნველსაყოფად. თუმცა, ფედერალური აღმასრულებელი ხელისუფლების მიერ რიგი მარეგულირებელი სამართლებრივი აქტების მიღება არსებული კანონებისა და სამთავრობო რეგულაციების შემუშავებისას საჭიროებს პერსონალური მონაცემების დაცვის არსებული სისტემის გაუმჯობესებას. ამ პრობლემის მოგვარების ინტერესებიდან გამომდინარე, კვლევითი სამუშაოების ფარგლებში შემუშავდა და მტკიცდება არაერთი დოკუმენტი. პირველ რიგში, ეს არის გაზპრომის განვითარების ორგანიზაციის სტანდარტების პროექტები:

„OAO Gazprom-ის, მისი შვილობილი კომპანიების და ორგანიზაციების პერსონალური მონაცემების საინფორმაციო სისტემების კლასიფიკაციის მეთოდოლოგია“;

„პერსონალურ მონაცემებზე საფრთხის მოდელი OAO Gazprom-ის, მისი შვილობილი კომპანიებისა და ორგანიზაციების პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას“.

ეს დოკუმენტები შემუშავდა რუსეთის ფედერაციის მთავრობის 2007 წლის 17 ნოემბრის №781 დადგენილების მოთხოვნების გათვალისწინებით, „პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის დებულების დამტკიცების შესახებ“ ქ. მიმართება სპეციალური სისტემების კლასს, რომელიც მოიცავს OJSC ISPDn "გაზპრომის" უმეტესობას.

გარდა ამისა, ამჟამად მიმდინარეობს „OAO Gazprom-ის, მისი შვილობილი კომპანიებისა და ორგანიზაციების პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების უსაფრთხოების ორგანიზაციისა და ტექნიკური მხარდაჭერის რეგლამენტის შემუშავება“.

აღსანიშნავია, რომ OJSC Gazprom-ის სტანდარტიზაციის სისტემის ფარგლებში შემუშავდა ინფორმაციული უსაფრთხოების სისტემის სტანდარტები, რაც ასევე შესაძლებელს გახდის OJSC Gazprom-ის საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების დაცვის პრობლემების გადაჭრას.

ინფორმაციული უსაფრთხოების სისტემასთან დაკავშირებული შვიდი სტანდარტი დამტკიცდა და წელს ამოქმედდება.

სტანდარტები განსაზღვრავს OAO Gazprom-ისა და მისი შვილობილი კომპანიებისთვის ინფორმაციული უსაფრთხოების სისტემების მშენებლობის ძირითად მოთხოვნებს.

შესრულებული სამუშაოს შედეგები შესაძლებელს გახდის უფრო რაციონალურად გამოიყენოს მატერიალური, ფინანსური და ინტელექტუალური რესურსები, შექმნას საჭირო მარეგულირებელი და მეთოდოლოგიური მხარდაჭერა, დანერგოს დაცვის ეფექტური საშუალებები და, შედეგად, უზრუნველყოს ინფორმაციაში დამუშავებული პერსონალური მონაცემების უსაფრთხოება. OAO Gazprom-ის სისტემები.

OJSC Gazprom-ის ინფორმაციული უსაფრთხოების ანალიზის შედეგად გამოვლინდა შემდეგი ხარვეზები ინფორმაციული უსაფრთხოების უზრუნველსაყოფად:

ორგანიზაციას არ გააჩნია უსაფრთხოების ყოვლისმომცველი პოლიტიკის მარეგულირებელი ერთიანი დოკუმენტი;

ქსელის მოცულობისა და მომხმარებელთა რაოდენობის (100-ზე მეტი) გათვალისწინებით, უნდა აღინიშნოს, რომ სისტემის ადმინისტრირებაზე, ინფორმაციის უსაფრთხოებაზე და ტექნიკურ მხარდაჭერაზე პასუხისმგებელია ერთი ადამიანი;

არ არსებობს ინფორმაციული აქტივების კლასიფიკაცია მნიშვნელობის მიხედვით;

ინფორმაციული უსაფრთხოების როლები და პასუხისმგებლობები არ შედის სამუშაოს აღწერილობაში;

დასაქმებულთან დადებულ შრომით ხელშეკრულებაში არ არის გათვალისწინებული პუნქტი როგორც დასაქმებულთა, ისე თავად ორგანიზაციის ინფორმაციული უსაფრთხოების პასუხისმგებლობის შესახებ;

არ არის გათვალისწინებული პერსონალის მომზადება ინფორმაციული უსაფრთხოების სფეროში;

გარე საფრთხეებისგან დაცვის თვალსაზრისით: არ არის შემუშავებული ტიპიური ქცევის პროცედურები მონაცემთა აღდგენისთვის გარე და გარემოს საფრთხის შედეგად მომხდარი ავარიების შემდეგ;

სერვერის ოთახი არ არის ცალკე ოთახი, ოთახს ენიჭება ორი დეპარტამენტის სტატუსი (სერვერის ოთახში წვდომა აქვს კიდევ ერთ ადამიანს, სისტემის ადმინისტრატორის გარდა);

არ ტარდება კაბელებთან დაკავშირებული არაავტორიზებული მოწყობილობების ტექნიკური გამოკვლევა და ფიზიკური გამოკვლევა;

მიუხედავად იმისა, რომ შესვლა ხორციელდება ელექტრონული საშვის გამოყენებით და ყველა ინფორმაცია შეტანილია სპეციალურ მონაცემთა ბაზაში, მისი ანალიზი არ ტარდება;

მავნე პროგრამებისგან დაცვის თვალსაზრისით: არ არსებობს ფორმალური პოლიტიკა, რომელიც დაიცავს რისკებს, რომლებიც დაკავშირებულია ფაილების მიღებასთან გარე ქსელებიდან ან გარე ქსელებიდან ან მოხსნადი მედიის საშუალებით;

მავნე პროგრამებისგან დაცვის თვალსაზრისით: არ არსებობს ინსტრუქციები ადგილობრივი ქსელის მავნე კოდისგან დაცვის შესახებ;

არ არის ტრაფიკის კონტროლი, არის წვდომა გარე ქსელების ფოსტის სერვერებზე;

ყველა სარეზერვო ასლი ინახება სერვერის ოთახში;

გამოიყენება დაუცველი, ადვილად დასამახსოვრებელი პაროლები;

მომხმარებლების მიერ პაროლების მიღება არანაირად არ დასტურდება;

პაროლები ინახება მკაფიო ტექსტში ადმინისტრატორის მიერ;

პაროლები არ იცვლება;

არ არსებობს ინფორმაციული უსაფრთხოების მოვლენების მოხსენების პროცედურა.

ამრიგად, ამ ხარვეზებიდან გამომდინარე, შემუშავდა ინფორმაციული უსაფრთხოების პოლიტიკასთან დაკავშირებული რეგულაციების ნაკრები, მათ შორის:

სისტემის რესურსებზე წვდომისათვის თანამშრომლებისთვის საჭირო უფლებამოსილების დაქირავების (გათავისუფლებისა) და მინიჭების (ჩამორთმევის) პოლიტიკა;

პოლიტიკა ქსელის მომხმარებელთა მუშაობასთან დაკავშირებით მისი მუშაობის დროს;

პაროლის დაცვის პოლიტიკა;

ფიზიკური დაცვის ორგანიზების პოლიტიკა;

ინტერნეტის პოლიტიკა;

ასევე ადმინისტრაციული უსაფრთხოების ზომები.

ამ რეგლამენტის შემცველი დოკუმენტები ორგანიზაციის ხელმძღვანელობის განხილვის ეტაპზეა.

OJSC Gazprom-ის ინფორმაციული უსაფრთხოების სისტემის ანალიზის შედეგად გამოვლინდა სისტემის მნიშვნელოვანი მოწყვლადობა. უსაფრთხოების სისტემის იდენტიფიცირებული ხარვეზების აღმოსაფხვრელად ზომების შესამუშავებლად, ჩვენ გამოვყოფთ ინფორმაციის შემდეგ ჯგუფებს, რომლებიც ექვემდებარება დაცვას:

ინფორმაცია დასაქმებულთა პირადი ცხოვრების შესახებ, რაც მათ იდენტიფიცირების საშუალებას იძლევა (პერსონალური მონაცემები);

ინფორმაცია, რომელიც დაკავშირებულია პროფესიულ საქმიანობასთან და წარმოადგენს საბანკო, აუდიტორულ და საკომუნიკაციო საიდუმლოებას;

ინფორმაცია, რომელიც დაკავშირებულია პროფესიულ საქმიანობასთან და მონიშნულია როგორც ინფორმაცია „ოფიციალური გამოყენებისათვის“;

ინფორმაცია, რომლის განადგურება ან მოდიფიკაცია უარყოფითად იმოქმედებს საოპერაციო ეფექტურობაზე, ხოლო აღდგენა საჭიროებს დამატებით ხარჯებს.

ადმინისტრაციული ღონისძიებების კუთხით შემუშავდა შემდეგი რეკომენდაციები:

ინფორმაციული უსაფრთხოების სისტემა უნდა შეესაბამებოდეს რუსეთის ფედერაციის კანონმდებლობას და სახელმწიფო სტანდარტებს;

შენობები და შენობები, სადაც დამონტაჟებულია ან ინახება ინფორმაციის დამუშავების საშუალებები, სამუშაოები ხორციელდება დაცული ინფორმაციით, დაცული და დაცული უნდა იყოს განგაშისა და დაშვების კონტროლის საშუალებებით;

თანამშრომლის აყვანისას უნდა მოეწყოს პერსონალის ტრენინგი ინფორმაციული უსაფრთხოების საკითხებზე (პაროლით დაცვისა და პაროლის მოთხოვნების მნიშვნელობის ახსნა, ანტივირუსულ პროგრამაზე ტრენინგის ჩატარება და ა.შ.);

6-12 თვეში ერთხელ ჩაატაროს ტრენინგები, რომლებიც მიზნად ისახავს ინფორმაციული უსაფრთხოების სფეროში თანამშრომელთა წიგნიერების ამაღლებას;

სისტემის აუდიტი და შემუშავებული რეგულაციების კორექტირება უნდა ჩატარდეს ყოველწლიურად, 1 ოქტომბერს ან საწარმოს სტრუქტურაში მნიშვნელოვანი ცვლილებების შეტანისთანავე;

თითოეული მომხმარებლის წვდომის უფლება საინფორმაციო რესურსებზე უნდა იყოს დოკუმენტირებული (საჭიროების შემთხვევაში, წვდომა ითხოვს მენეჯერს წერილობით);

ინფორმაციის უსაფრთხოების პოლიტიკა უნდა უზრუნველყოფილი იყოს პროგრამული უზრუნველყოფის ადმინისტრატორისა და აპარატურის ადმინისტრატორის მიერ, მათ ქმედებებს კოორდინაციას უწევს ჯგუფის ხელმძღვანელი.

მოდით ჩამოვაყალიბოთ პაროლის პოლიტიკა:

არ შეინახოთ ისინი დაშიფრული სახით (არ ჩაიწეროთ ისინი ქაღალდზე, ჩვეულებრივ ტექსტურ ფაილში და ა.შ.);

შეცვალეთ პაროლი, თუ ის გამჟღავნებულია ან ეჭვმიტანილია გამჟღავნებაში;

სიგრძე უნდა იყოს მინიმუმ 8 სიმბოლო;

პაროლი უნდა შეიცავდეს დიდ და პატარა ასოებს, ციფრებს და სპეციალურ სიმბოლოებს; პაროლი არ უნდა შეიცავდეს სიმბოლოების ადვილად გამოთვლილ თანმიმდევრობას (სახელები, ცხოველების სახელები, თარიღები);

ყოველ 6 თვეში ერთხელ შეცვლა (პაროლის დაუგეგმავი შეცვლა უნდა განხორციელდეს დაუყოვნებლივ შეტყობინების მიღების შემდეგ, რამაც გამოიწვია ცვლილება);

პაროლების შეცვლისას თქვენ არ შეგიძლიათ აირჩიოთ ის, რაც ადრე იყო გამოყენებული (პაროლები უნდა განსხვავდებოდეს მინიმუმ 6 პოზიციით).

მოდით ჩამოვაყალიბოთ პოლიტიკა ანტივირუსულ პროგრამებთან და ვირუსების გამოვლენასთან დაკავშირებით:

ლიცენზირებული ანტივირუსული პროგრამა უნდა იყოს დაინსტალირებული თითოეულ სამუშაო სადგურზე;

ანტივირუსული მონაცემთა ბაზის განახლება სამუშაო სადგურებზე ინტერნეტით წვდომით - დღეში ერთხელ, ინტერნეტის გარეშე - კვირაში ერთხელ მაინც;

სამუშაო სადგურების ავტომატური სკანირების დაყენება ვირუსის აღმოსაჩენად (შემოწმების სიხშირე - კვირაში ერთხელ: პარასკევი, 12:00);

მხოლოდ ადმინისტრატორს შეუძლია შეაჩეროს ანტივირუსული მონაცემთა ბაზის განახლება ან ვირუსის სკანირება (პაროლის დაცვა უნდა იყოს მითითებული მომხმარებლის ქმედებისთვის).

მოდით ჩამოვაყალიბოთ პოლიტიკა ფიზიკურ დაცვასთან დაკავშირებით:

კაბელებთან დაკავშირებული არაავტორიზებული მოწყობილობების ტექნიკური გამოკვლევა და ფიზიკური გამოკვლევა უნდა ჩატარდეს ყოველ 1-2 თვეში ერთხელ;

ქსელის კაბელები დაცული უნდა იყოს მონაცემთა არასანქცირებული ჩარევისგან;

აღჭურვილობის ყველა საეჭვო და ფაქტობრივი გაუმართაობის ჩანაწერები უნდა ინახებოდეს ჟურნალში

თითოეული სამუშაო სადგური აღჭურვილი უნდა იყოს უწყვეტი ელექტრომომარაგებით.

მოდით განვსაზღვროთ პოლიტიკა ინფორმაციის დაჯავშნასთან დაკავშირებით:

სარეზერვო ასლისთვის უნდა გამოიყოს ცალკე ოთახი, რომელიც მდებარეობს ადმინისტრაციული შენობის გარეთ (ოთახი აღჭურვილი უნდა იყოს ელექტრონული საკეტით და სიგნალიზაცია);

ინფორმაციის დაჯავშნა უნდა მოხდეს ყოველ პარასკევს 16:00 საათზე.

თანამშრომლების აყვანის/გათავისუფლების პოლიტიკა უნდა იყოს შემდეგი:

ნებისმიერი საკადრო ცვლილება (თანამშრომლის დაქირავება, დაწინაურება, გათავისუფლება და ა.შ.) უნდა ეცნობოს ადმინისტრატორს 24 საათის განმავლობაში, რომელმაც, თავის მხრივ, ნახევარი სამუშაო დღის განმავლობაში უნდა შეიტანოს შესაბამისი ცვლილებები წვდომის უფლებების დელიმიტაციის სისტემაში. საწარმოს რესურსებზე;

ახალმა თანამშრომელმა უნდა გაიაროს ტრენინგი ადმინისტრატორისგან, უსაფრთხოების პოლიტიკისა და ყველა საჭირო ინსტრუქციის გაცნობის ჩათვლით, ახალი თანამშრომლისთვის ინფორმაციის ხელმისაწვდომობის დონეს ანიჭებს მენეჯერი;

როდესაც თანამშრომელი ტოვებს სისტემას, მისი პირადობის მოწმობა და პაროლი იშლება, სამუშაო სადგური მოწმდება ვირუსებზე და გაანალიზებულია იმ მონაცემების მთლიანობა, რომლებზეც თანამშრომელს ჰქონდა წვდომა.

ადგილობრივ შიდა ქსელთან (LAN) და მონაცემთა ბაზებთან (DB) მუშაობის პოლიტიკა:

სამუშაო სადგურზე და LAN-ზე მუშაობისას თანამშრომელმა უნდა შეასრულოს მხოლოდ დავალებები, რომლებიც უშუალოდ არის დაკავშირებული მის ოფიციალურ საქმიანობასთან;

თანამშრომელმა უნდა აცნობოს ადმინისტრატორს ანტივირუსული პროგრამების შეტყობინებების შესახებ ვირუსების გაჩენის შესახებ;

ადმინისტრატორების გარდა არავის აქვს უფლება შეიტანოს ცვლილებები სამუშაო სადგურების და სხვა LAN კვანძების დიზაინში ან კონფიგურაციაში, დააინსტალიროს რაიმე პროგრამა, დატოვოს სამუშაო სადგური კონტროლის გარეშე ან დაუშვას მასზე წვდომა არაავტორიზებული პირებისთვის;

ადმინისტრატორებს რეკომენდირებულია მუდამ გაშვებული ორი პროგრამა: ARP-გაყალბებული თავდასხმის გამოვლენის უტილიტა და სნიფერი, რომელთა გამოყენება მათ საშუალებას მისცემს დაინახონ ქსელი პოტენციური დამრღვევის თვალით და დაადგინონ უსაფრთხოების პოლიტიკის დამრღვევები;

თქვენ უნდა დააინსტალიროთ პროგრამული უზრუნველყოფა, რომელიც ხელს უშლის ადმინისტრატორის მიერ დანიშნული პროგრამების გაშვებას, პრინციპზე დაყრდნობით: „ნებისმიერ პირს ენიჭება პრივილეგიები, რომლებიც აუცილებელია კონკრეტული ამოცანების შესასრულებლად“. ყველა გამოუყენებელი კომპიუტერული პორტი უნდა იყოს გამორთული ტექნიკით ან პროგრამული უზრუნველყოფით;

პროგრამული უზრუნველყოფა რეგულარულად უნდა განახლდეს.

ინტერნეტის პოლიტიკა:

ადმინისტრატორებს ენიჭებათ უფლება შეზღუდონ წვდომა რესურსებზე, რომელთა შინაარსი არ არის დაკავშირებული სამსახურებრივი მოვალეობის შესრულებასთან, აგრეთვე რესურსებზე, რომელთა შინაარსი და ფოკუსირება აკრძალულია საერთაშორისო და რუსული კანონმდებლობით;

თანამშრომელს ეკრძალება ფაილების ჩამოტვირთვა და გახსნა ვირუსების წინასწარი შემოწმების გარეშე;

კომპანიის თანამშრომლების მიერ მონახულებული რესურსების შესახებ ყველა ინფორმაცია უნდა ინახებოდეს ჟურნალში და, საჭიროების შემთხვევაში, შეიძლება მიეწოდოს დეპარტამენტის ხელმძღვანელებს, ასევე მენეჯმენტს.

ელექტრონული კორესპონდენციისა და საოფისე დოკუმენტების კონფიდენციალობა და მთლიანობა უზრუნველყოფილია ციფრული ხელმოწერების გამოყენებით.

გარდა ამისა, ჩვენ ჩამოვაყალიბებთ ძირითად მოთხოვნებს პაროლების შესაქმნელად OJSC გაზპრომის კომპანიის თანამშრომლებისთვის.

პაროლი სახლის გასაღებს ჰგავს, მხოლოდ ის არის ინფორმაციის გასაღები. ჩვეულებრივი გასაღებებისთვის უკიდურესად არასასურველია დაკარგვა, მოპარვა ან უცხოისთვის გადაცემა. იგივე ეხება პაროლს. რა თქმა უნდა, ინფორმაციის უსაფრთხოება დამოკიდებულია არა მხოლოდ პაროლზე; მის უზრუნველსაყოფად, თქვენ უნდა დააყენოთ რამდენიმე სპეციალური პარამეტრი და, შესაძლოა, დაწეროთ პროგრამა, რომელიც იცავს ჰაკერებისგან. მაგრამ პაროლის არჩევა სწორედ ის ქმედებაა, სადაც მხოლოდ მომხმარებელზეა დამოკიდებული, რამდენად ძლიერი იქნება ეს ბმული ინფორმაციის დაცვისკენ მიმართული ღონისძიებების ჯაჭვში.

) პაროლი უნდა იყოს გრძელი (8-12-15 სიმბოლო);

) არ უნდა იყოს სიტყვა ლექსიკონიდან (ნებისმიერი ლექსიკონი, თუნდაც სპეციალური ტერმინებისა და ჟარგონის ლექსიკონი), შესაბამისი სახელი ან სიტყვა კირილიცით, ლათინური განლაგებით აკრეფილი (ლათინური - kfnsym);

) არ შეიძლება ასოცირებული იყოს მფლობელთან;

) იცვლება პერიოდულად ან საჭიროებისამებრ;

) არ გამოიყენება ამ კუთხით სხვადასხვა რესურსებზე (ანუ, თითოეული რესურსისთვის - საფოსტო ყუთში, ოპერაციულ სისტემაში ან მონაცემთა ბაზაში შესასვლელად - უნდა იყოს გამოყენებული სხვა პაროლი);

) შესაძლებელია მისი გახსენება.

ლექსიკონიდან სიტყვების არჩევა არასასურველია, რადგან თავდამსხმელი, რომელიც ახორციელებს ლექსიკონის შეტევას, გამოიყენებს პროგრამებს, რომლებსაც შეუძლიათ წამში ასობით ათასი სიტყვის ძიება.

მფლობელთან დაკავშირებული ნებისმიერი ინფორმაცია (იქნება ეს დაბადების თარიღი, ძაღლის სახელი, დედის ქალიშვილობის გვარი და მსგავსი „პაროლები“) ადვილად ამოსაცნობი და გამოცნობაა.

დიდი და პატარა ასოების, ასევე ციფრების გამოყენება მნიშვნელოვნად ართულებს თავდამსხმელის ამოცანას პაროლის გამოცნობას.

პაროლი გასაიდუმლოებული უნდა იყოს და თუ ეჭვი გაქვთ, რომ პაროლი ვინმესთვის გახდა ცნობილი, შეცვალეთ იგი. ასევე ძალიან სასარგებლოა მათი დროდადრო შეცვლა.

დასკვნა

კვლევამ მოგვცა შემდეგი დასკვნების გაკეთების და რეკომენდაციების ჩამოყალიბების საშუალება.

დადგინდა, რომ საწარმოს პრობლემების ძირითადი მიზეზი ინფორმაციული უსაფრთხოების სფეროში არის ინფორმაციული უსაფრთხოების პოლიტიკის არარსებობა, რომელიც მოიცავდა ორგანიზაციულ, ტექნიკურ, ფინანსურ გადაწყვეტილებებს მათი განხორციელების შემდგომი მონიტორინგისა და ეფექტურობის შეფასებასთან ერთად.

ინფორმაციული უსაფრთხოების პოლიტიკის დეფინიცია ჩამოყალიბებულია როგორც დოკუმენტირებული გადაწყვეტილებების ერთობლიობა, რომლის მიზანია ინფორმაციის დაცვა და მასთან დაკავშირებული საინფორმაციო რისკები.

ინფორმაციული უსაფრთხოების სისტემის ანალიზმა გამოავლინა მნიშვნელოვანი ხარვეზები, მათ შორის:

სარეზერვო ასლების შენახვა სერვერის ოთახში, სარეზერვო სერვერი მდებარეობს იმავე ოთახში, სადაც მთავარი სერვერები;

პაროლის დაცვასთან დაკავშირებით სათანადო წესების არარსებობა (პაროლის სიგრძე, მისი არჩევისა და შენახვის წესები);

ქსელის ადმინისტრირებას ახორციელებს ერთი ადამიანი.

საწარმოთა ინფორმაციული უსაფრთხოების მართვის სფეროში საერთაშორისო და რუსული პრაქტიკის განზოგადებამ საშუალება მოგვცა დავასკვნათ, რომ მის უზრუნველსაყოფად აუცილებელია:

ფინანსური, მატერიალური და მორალური ზიანის მომტანი უსაფრთხოების საფრთხეების, მიზეზებისა და პირობების პროგნოზირება და დროული იდენტიფიცირება;

საინფორმაციო რესურსების უსაფრთხოების საფრთხის განხორციელებისა და სხვადასხვა სახის ზიანის მიყენების საოპერაციო პირობების შექმნა მინიმალური რისკით;

სამართლებრივი, ორგანიზაციული და ტექნიკური საშუალებების საფუძველზე ინფორმაციული უსაფრთხოების საფრთხეებზე ეფექტური რეაგირების მექანიზმისა და პირობების შექმნა.

ნაშრომის პირველ თავში განხილულია ძირითადი თეორიული ასპექტები. მოცემულია ინფორმაციული უსაფრთხოების სფეროში რამდენიმე სტანდარტის მიმოხილვა. კეთდება დასკვნები თითოეული და მთლიანობაში და შეირჩევა ინფორმაციული უსაფრთხოების პოლიტიკის ფორმირებისთვის ყველაზე შესაფერისი სტანდარტი.

მეორე თავში განხილულია ორგანიზაციის სტრუქტურა და გაანალიზებულია ინფორმაციული უსაფრთხოებასთან დაკავშირებული ძირითადი პრობლემები. შედეგად, ჩამოყალიბდა რეკომენდაციები ინფორმაციის უსაფრთხოების სათანადო დონის უზრუნველსაყოფად. ასევე განიხილება ინფორმაციული უსაფრთხოების დარღვევებთან დაკავშირებული შემდგომი ინციდენტების თავიდან აცილების ღონისძიებები.

რა თქმა უნდა, ორგანიზაციის ინფორმაციული უსაფრთხოების უზრუნველყოფა არის უწყვეტი პროცესი, რომელიც მოითხოვს მუდმივ მონიტორინგს. და ბუნებრივად ჩამოყალიბებული პოლიტიკა არ არის დაცვის რკინით შემოსილი გარანტი. პოლიტიკის განხორციელების გარდა, საჭიროა მისი ხარისხის განხორციელების მუდმივი მონიტორინგი, ასევე გაუმჯობესება კომპანიაში რაიმე ცვლილების ან პრეცედენტების შემთხვევაში. ორგანიზაციისთვის რეკომენდირებული იყო თანამშრომლის დაქირავება, რომლის საქმიანობაც უშუალოდ იქნებოდა დაკავშირებული ამ ფუნქციებთან (უსაფრთხოების ადმინისტრატორი).

ბიბლიოგრაფია

ინფორმაციული უსაფრთხოების ფინანსური ზიანი

1. ბელოვი ე.ბ. ინფორმაციული უსაფრთხოების საფუძვლები. ე.ბ. ბელოვი, ვ.პ. ლოს, რ.ვ. მეშჩერიაკოვი, ა.ა. შელუპანოვი. -მ.: ცხელი ხაზი - ტელეკომი, 2006 წ. - 544წ

გალატენკო V.A. ინფორმაციის უსაფრთხოების სტანდარტები: ლექციების კურსი. საგანმანათლებლო

შემწეობა. - მე-2 გამოცემა. M.: INTUIT.RU "ინფორმაციული ტექნოლოგიების ინტერნეტ უნივერსიტეტი", 2009. - 264 გვ.

გლატენკო V.A. ინფორმაციის უსაფრთხოების სტანდარტები / ღია სისტემები 2006.- 264c

დოლჟენკო ა.ი. საინფორმაციო სისტემების მენეჯმენტი: სასწავლო კურსი. - როსტოვ-დონ: RGEU, 2008.-125 გვ.

კალაშნიკოვი ა. შიდა ინფორმაციის უსაფრთხოების კორპორატიული პოლიტიკის ფორმირება #"გამართლება">. მალიუკი ა.ა. ინფორმაციული უსაფრთხოება: ინფორმაციის დაცვის კონცეპტუალური და მეთოდოლოგიური საფუძვლები / M.2009-280-იანი წლები

Mayvold E., ქსელის უსაფრთხოება. თვითინსტრუქციის სახელმძღვანელო // Ekom, 2009.-528 გვ.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., საინფორმაციო ობიექტების ინფორმაციული უსაფრთხოების ორგანიზაციული მხარდაჭერის საფუძვლები // Helios ARV, 2008, 192 გვ.