Avgangsoppgaver om informasjonssikkerhet (Informasjonssystemsikkerhet). Informasjonssikkerhetssystem Liste over WRC-emner om informasjonssikkerhet
Lignende dokumenter
Relevans av informasjonssikkerhetsspørsmål. Programvare og maskinvare for Mineral LLC-nettverket. Bygge en modell for bedriftssikkerhet og beskyttelse mot uautorisert tilgang. Tekniske løsninger for beskyttelse av informasjonssystem.
avhandling, lagt til 19.01.2015
Sikkerheten til et informasjonssystem er dets evne til å motstå ulike påvirkninger. Typer datamaskintrusler, begrepet uautorisert tilgang. Virus og skadelig programvare. Metoder og midler for å beskytte informasjonssystemer.
sammendrag, lagt til 14.11.2010
Klassifisering av trusler om informasjonssikkerhet. Feil i utviklingen av datasystemer, programvare og maskinvare. De viktigste metodene for å få uautorisert tilgang (UNA) til informasjon. Metoder for beskyttelse mot NSD. Virtuelle private nettverk.
kursarbeid, lagt til 26.11.2013
Eksterne trusler mot informasjonssikkerhet, former for deres manifestasjon. Metoder og midler for beskyttelse mot industrispionasje, dens mål: skaffe informasjon om en konkurrent, ødelegge informasjon. Metoder for uautorisert tilgang til konfidensiell informasjon.
test, lagt til 18.09.2016
De vanligste måtene for uautorisert tilgang til informasjon, kanaler for lekkasje. Metoder for å beskytte informasjon mot naturlige (nød)trusler og fra tilfeldige trusler. Kryptografi som et middel til å beskytte informasjon. Industriell spionasje.
sammendrag, lagt til 06.04.2013
Konsept, betydning og retninger for informasjonssikkerhet. En systematisk tilnærming til å organisere informasjonssikkerhet, beskytte informasjon mot uautorisert tilgang. Informasjonssikkerhetsverktøy. Informasjonssikkerhetsmetoder og systemer.
sammendrag, lagt til 15.11.2011
Konsept og prinsipper for informasjonssikkerhet. Betraktning av hovedtyper av farlige effekter på et datasystem. Klassifisering av kanaler for uautorisert tilgang til datamaskiner. Kjennetegn på informasjonssikkerhetsverktøy for maskinvare og programvare.
presentasjon, lagt til 15.11.2011
Informasjonssikkerhet, dens mål og mål. Informasjonslekkasjekanaler. Programvare og maskinvare metoder og midler for å beskytte informasjon mot uautorisert tilgang. Modell av sikkerhetstrusler mot informasjon behandlet på et dataanlegg.
avhandling, lagt til 19.02.2017
Påvirkningen av typen virksomhet til et foretak på organiseringen av et omfattende informasjonssikkerhetssystem. Sammensetning av beskyttet informasjon. Potensielle kanaler for uautorisert tilgang til organisasjonsinformasjon. Effektivitet av informasjonssikkerhetssystemet.
praksisrapport, lagt til 31.10.2013
Historiske aspekter ved fremveksten og utviklingen av informasjonssikkerhet. Informasjonssikkerhetsmidler og deres klassifisering. Typer og prinsipper for drift av datavirus. Rettslig grunnlag for å beskytte informasjon mot uautorisert tilgang.
fokus (profil) "Informasjonssystemer og teknologier"
opplæringsområder 09.03.02 "Informasjonssystemer og teknologier"
design og teknologisk,
service og drift.
1. Virtualisering av informasjonsinfrastrukturen til virksomheten (navnet på virksomheten).
2. Integrasjon av bedriftsinformasjonssystemer basert på Linux OS og et fritt distribuert DBMS.
3. Modernisering og administrasjon av bedriftens informasjonssystem til foretaket (navnet på foretaket).
4. Modernisering, administrasjon og vedlikehold av informasjonsnettverket til foretaket (navnet på foretaket).
5. Modernisering av informasjons- og styringssystemet til foretaket (prosess) (navnet på foretaket eller prosessen) og utvikling av tiltak for å støtte det.
6. Utvikling av en intranettportal for virksomheten (navn på virksomheten).
7. Design av et bedriftsinformasjonsnettverk (navn på bedrift).
8. Utforming av et bedriftsinformasjonssystem for en virksomhet (navn på virksomhet).
9. Utvikling og vedlikehold av bedriftens webportal til foretaket (navnet på foretaket).
10. Utvikling av et automatisert informasjonsbehandlingssystem for virksomheten (navn på virksomheten).
11. Utvikling av en prototype av et bedriftsinformasjonssystem for prosessstyring (navn på prosessen eller objektet).
12. Utvikling av en webtjeneste for informasjonssystemet til virksomheten (navnet på virksomheten).
13. Utvikling av et referanseinformasjonssystem for virksomheten (navn på virksomheten).
14. Utvikling av en modell og design av et virks(navn på virksomhet).
15. Utvikling av teknologisk programvare for systemvedlikehold (navn på system).
16. Utvikling av programvare for en mikroprosessorenhet (navn på enhet).
17. Utvikling av en mobil klientapplikasjon for bedriftens informasjonssystem (navnet på bedriften).
18. Utvikling av en simuleringsmodell for å optimalisere produksjonsprosessparametere.
19. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).
20. Utvikling av en modul (delsystem) (navnet på den implementerte funksjonen) av informasjonssystemet (bedriftsinformasjon) til foretaket (navnet på foretaket).
i utdanningsprogrammet anvendt bachelorgrad
opplæringsområder 03/09/04 "Software Engineering"
produksjon og teknologi,
organisatorisk og ledelsesmessig,
service og drift.
1. Utvikling av en applikasjon for å analysere et nettsted, sosialt nettverk, portal.
2. Design og programvareimplementering av et informasjonssystem (informasjons- og referansesystem) (systemets formål eller funksjon).
3. Utvikling av fastvare for enheten (navnet på enheten).
4. Utvikling av applikasjonsprogramvare for systemet (navn på systemet).
5. Utvikling av et programvareinformasjonssystem (navnet på bruksområdet eller prosessen som implementeres).
6. Utvikling av metoder for testing og feilsøking av programvare (navn på programvare).
7. Utvikling av en programvaremodul (navnet på modulen) for 1C: Enterprise-systemet (navnet på bedriften).
8. Utvikling av en webtjeneste for bedr(navnet på bedriften).
9. Utvikling av en applikasjon for å støtte informasjonsmålesystemet (formålet med systemet).
10. Studie av informasjonssikkerhet for webtjenester til 1C:Enterprise-systemet.
11. Utvikling av en modul (delsystem) (navnet på den implementerte funksjonen) av informasjonssystemet (bedriftsinformasjon) til foretaket (navnet på foretaket).
12. Utvikling av server (klient) programvare for systemet (navn på systemet).
Emner for endelige kvalifiseringsverk
i utdanningsprogrammet anvendt bachelorgrad
fokus (profil) "Informasjonstjeneste"
:service,
1. Modernisering, administrasjon og vedlikehold av bedriftens lokale nettverk (navnet på bedriften).
2. Modernisering og administrasjon av bedriftsinformasjonssystemet (foretakets navn).
3. Design av et virksomhetsinformasjonssystem (navn på virksomhet).
4. Design og utvikling av teknologi for drift av et lokalt nettverk til en virksomhet (navn på virksomhet).
5. Design av maskinvare- og programvarebeskyttelse av informasjonssystemet til bedriften (navnet på bedriften).
6. Utvikling av teknologi for diagnostikk, reparasjon og vedlikehold av enheten (navn på enheten, gruppe av enheter, måleutstyr, dataenhet, datamaskin eller mikroprosessorsystem, lokalt nettverk).
7. Utvikling og administrasjon av selskapets hjemmeside (navn på selskapet).
8. Utvikling av serverkonfigurasjonen for dataoverføringsnettverket til virksomheten (navnet på virksomheten).
9. Utvikling og administrasjon av virksomhetens informasjonssystemdatabase (navn på virksomheten).
10. Utvikling av en intranettportal for virksomheten (navn på virksomheten).
11. Utvikling av et delsystem for overvåking av produksjonsprosesser på 1C:Enterprise-plattformen.
12. Utvikling av et prosjekt for et distribuert informasjonssystem (navnet på systemet) til virksomheten (navnet på virksomheten).
13. Utvikling av et informasjons- og referanseregnskapssystem (navn på regnskapsobjektet).
14. Utvikling av en WCF-tjeneste for et bedriftsinformasjonssystem.
15. Utvikling av en modell av et virksomhetsinformasjonssystem (navn eller virksomhetsområde til virksomheten).
16. Utvikling av metoder for testing og feilsøking av programvare (navn på programvare).
17. Utvikling av et sett med tiltak for administrasjon og vedlikehold av et programvareinformasjonssystem (navnet på bruksområdet eller prosessen som implementeres).
18. Modellering og forskning av dataoverføringssystemet (navnet på systemet).
19. Forskning og optimalisering av parametere for et distribuert informasjonssystem på 1C:Enterprise-plattformen.
20. Design av en avdeling av foretaket (navnet på foretaket) for reparasjon og vedlikehold av elektronisk (datamaskin) utstyr og organisering av drift av teknisk utstyr.
21. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).
22. Utvikling av server (klient) programvare for systemet (navn på systemet).
Emner for endelige kvalifiseringsverk
i utdanningsprogrammet anvendt bachelorgrad
direktivitet (profil) "Elektronisk utstyrstjeneste"
opplæringsområder 03.43.01 "Service"
Typer profesjonelle aktiviteter:service,
produksjon og teknologisk.
1. Utvikling av teknologi for diagnostikk, reparasjon og vedlikehold av enheten (navn på elektronisk enhet, mikroprosessor eller telekommunikasjonssystem, måleutstyr, dataoverføringsnettverk).
2. Utvikling av et elektronisk system (navnet på systemet) til bedriften (navnet på bedriften, kjøpesenter og kontorsenter, underholdningskompleks).
3. Utvikling av en informasjonsinn-/utdataenhet (navnet på enheten).
4. Utvikling av programvare for en mikroprosessorenhet (navn på enhet).
5. Utvikling av bedriftens telekommunikasjonsnettverk for en bedrift (foretaksnavn).
6. Utvikling av en digital enhet (modul) (navn på enheten, modul; navn på funksjonen som implementeres).
7. Utvikling av en strømforsyningsenhet for elektronisk utstyr (navn på utstyr).
8. Utvikling av teknologi for overvåking (kontrollerende parametere) av objekter (navn på objekter).
9. Utvikling og forskning av en trådløs sensor (navnet på den målte parameteren).
10. Design av en avdeling av foretaket (navnet på foretaket) for reparasjon og vedlikehold av elektronisk (datamaskin) utstyr og organisering av drift av teknisk utstyr.
11. Utvikling av et delsystem (navn på delsystemet) av et integrert sikkerhetssystem for virksomheten (navn på virksomheten).
Emner for endelige kvalifiseringsverk
i utdanningsprogrammet anvendt bachelorgrad
direktivitet (profil) "Radiotekniske midler for å sende, motta og behandle signaler"
opplæringsområder 03/11/01 "Radio Engineering"
design og prosjektering,
service og drift.
1. Utvikling av en enhet (blokk, modul; mottaker, sender, sender/mottaker) system (navnet på systemet).
2. Utvikling av trådløst grensesnitt for elektronisk utstyr (navn på utstyr).
3. Studie av den virtuelle modellen til enheten (spesifiser enhetstypen) i miljøet (navnet på programvaremiljøet).
4. Utvikling av et undersystem (navnet på undersystemet) av et integrert virksomhetssikkerhetssystem (navnet på virksomheten.
Emner for endelige kvalifiseringsverk
i utdanningsprogrammet anvendt bachelorgrad
direktivitet (profil) "Mobile kommunikasjonssystemer"
opplæringsområder 11.03.02 "Infokommunikasjonsteknologier og kommunikasjonssystemer"
Typer profesjonelle aktiviteter:design
1. Utforming av et telenett for en virksomhet (navn på virksomhet).
2. Administrasjon og vedlikehold av foretakets telenett (foretakets navn).
3. Utvikling av en blokk (kodek, vokoder, synkroniseringsenhet, matchende enhet) av et digitalt telekommunikasjonssystem.
4. Utvikling av en trådløs grensesnittadapter (navn på grensesnitt).
5. Utvikling av et informasjonsbehandlingsenhet (enhetstype) system (systemnavn).
6. Utvikling av en enhet for grensesnittsystemer (navn på systemer).
7. Utvikling av en systemkontroller (systemnavn).
8. Utvikling av en synkroniseringsenhet for et telekommunikasjonssystem (systemnavn).
9. Utvikling av en teknologisk enhet for testing av telekommunikasjonsutstyr (navn på utstyr).
10. Utvikling av et trådløst kommunikasjonsnettverk (nettverkssegment) basert på teknologi (navn på teknologi).
11. Utvikling av teknologi for fjernovervåking av objektparametere (navn på parametere).
12. Utvikling av et sensornettverk for overvåking av tilstanden til et objekt (navn på objektet).
13. Utvikling av teknologi for diagnostikk og måling av parametere til en telekommunikasjonsenhet (navn på enhet, system, nettverk, miljø).
14. Utvikling av en transceiver-enhet for systemet (navnet på systemet).
15. Utvikling av telekommunikasjonsenheter for fjernstyring av et objekt (navn på objekt).
16. Utvikling av parametermåler for teleutstyrskomponenter (navn på komponenter).
17. Utvikling av en trådløs informasjonsinn-/utdataenhet (navn på enhet).
18. Utvikling av maskinvare og programvare for infokommunikasjonsteknologi (navn på teknologi).
19. Studie av informasjonsoverføringsprotokoller i systemet (navn på systemet).
20. Forskning av digitale signalbehandlingsmetoder for systemet (navnet på systemet).
21. Utvikling av infokommunikasjonsteknologi og facility management system (navn på anlegget).
22. Utvikling av et trådløst system for måling av en parameter (navn på parameter).
23. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).
Emner for endelige kvalifiseringsverk
i henhold til utdanningsprogrammet for videregående opplæring
spesialitet 09.02.01 "Datasystemer og komplekser"
Profesjonelle moduler:PM.01 Design av digitale enheter,
PM.02 Anvendelse av mikroprosessorsystemer, installasjon og konfigurering av perifer trening,
PM.03 Vedlikehold og reparasjon av datasystemer og komplekser.
1. Diagnostikk av feil og overvåking av utstyrets tekniske tilstand (navn på maskinvare og programvare for datateknologi eller datanettverk).
2. Sette sammen, konfigurere og sette opp verktøy (navn på maskinvare og programvare eller datanettverk).
3. Utvikling av et sett med tiltak for å sikre informasjonssikkerheten til foretakets datanettverk (navnet på foretaket).
4. Utvikling av et kontaktløst identifikasjonssystem for virksomheten (navn på virksomheten).
5. Vedlikehold og administrasjon av virksomhetens informasjonssystem (navn på virksomheten).
6. Vedlikehold og administrasjon av foretakets datanettverk (foretakets navn).
7. Vedlikehold og støtte for maskinvare og programvare (navn på maskinvare eller datanettverk).
8. Installasjon, tilpasning og vedlikehold av programvare (navn på programvare).
9. Utvikling og forskning av en digital (mikroprosessor) enhet (modul) (navn på enhet, modul).
10. Utvikling av testteknologi og omfattende feilsøking av programvare (navn på programvare).
Emner for endelige kvalifiserende arbeider for nyutdannede
fokus (profil) "Elementer og enheter av datateknologi og informasjonssystemer"
opplæringsområder 09.04.01 "Informatikk og informatikk"
Typer profesjonelle aktiviteter:design,
Vitenskapelig forskning.
1. Modellering og forskning av nettverksprotokoller for informasjonsoverføring (type informasjon er angitt).
2. Forskning og utvikling av datamaskinmetoder for å forbedre systemparametere (parametere eller parametere og systemtype er angitt).
3. Datamodellering, forskning og optimalisering av informasjons- eller telekommunikasjonssystemer (klassen av systemer er angitt).
4. Forskning og optimalisering av bygging av trådløse sensornettverk.
5. Forskning og analyse av konstruksjonen av trådløse Internet of Things-nettverk.
6. Utvikling av effektivitetskriterier og studie av distribusjon av virtuelle maskiner innenfor skyinfrastrukturen.
7. Utvikling, forskning og evaluering av effektiviteten til distribuerte informasjonssystemer (eller informasjonsmålende) systemer (anvendelsesområdet eller typen systemer er angitt).
8. Utvikling og forskning av trådløst grensesnitt for utstyr (navn på utstyr).
9. Utvikling og forskning av en objektsporingsenhet (navn på objekter).
10. Utvikling og forskning av enheter for å overvåke tilstanden til et objekt (navn på objekt).
11. Utvikling av maskinvare- og programvarediagnoseverktøy for enheter (navn på enheter).
12. Utvikling og forskning av en trådløs sensor (navnet på den målte parameteren).
13. Studie av korreksjonsalgoritmer for omformere av en parameter (parameternavn) til kode.
14. Utvikling av algoritmer og programvare for overvåking av parametrene til anleggsstyringssystemet (navn på anlegget).
15. Utvikling og forskning av trådløse kontrollenheter for objektet (navn på objektet).
16. Modellering og forskning av parameteromformere (navn på parametere).
17. Metoder for å vurdere kvaliteten på programvare (hensikten med programvaren er angitt).
18. Studie av funksjonen til enheter (navn på enheter) under forhold (forhold er angitt) for å forbedre egenskapene (egenskapene er angitt).
19. Utvikling av metoder for analyse og syntese av enheter (navn på enheter) for å forbedre egenskaper (karakteristikker er angitt).
Emner for endelige kvalifiseringsverk
i det akademiske masterprogrammet
fokus (profil) "Utvikling av programvare og informasjonssystemer"
opplæringsområder 09.04.04 "Software Engineering"
forskning,
design
1. Utvikling og forskning av en REST-tjeneste for visning av timeplaner i høyere utdanningsinstitusjoner.
2. Forskning og utvikling av programvaretestingsverktøy for mobiloperatører.
3. Anerkjennelse av den fysiologiske tilstanden til en person basert på teorien om systemer med en tilfeldig struktur.
4. Design av et salgsa(navn på bedrift) basert på MDA-tilnærmingen.
5. Utvikling og forskning av et programvareinformasjonssystem for å vurdere kvaliteten på programvare (navnet på programvaren er angitt).
6. Utvikling av distribuert programvare og informasjonssystemer (systemets anvendelsesområde er angitt) og forskning på mulighetene for deres optimering basert på effektivitetskriterier (kriteriene er angitt).
7. Utvikling av programvare for å støtte input/output enheter for systemet (navn på systemet).
8. Studie av sikkerheten til komponenter i programvareinformasjonssystemet (navnet på systemet).
Introduksjon
Kapittel 1. Teoretiske aspekter ved adopsjon og informasjonssikkerhet
1.1Begrepet informasjonssikkerhet 3 Informasjonssikkerhetsmetoder Kapittel 2. Analyse av informasjonssikkerhetssystemet 1 Omfang av virksomheten til selskapet og analyse av finansielle indikatorer 2 Beskrivelse av selskapets informasjonssikkerhetssystem 3 Utvikling av et sett med tiltak for å modernisere eksisterende informasjonssikkerhetssystem Konklusjon Bibliografi applikasjon Vedlegg 1. Balanse for 2010 Vedlegg 1. Balanse for 2010 Introduksjon Relevansen til emnet for oppgaven bestemmes av det økte nivået av informasjonssikkerhetsproblemer, selv i sammenheng med den raske veksten av teknologier og verktøy for databeskyttelse. Det er umulig å sikre et 100 % beskyttelsesnivå for bedriftens informasjonssystemer samtidig som databeskyttelsesoppgaver prioriteres riktig gitt den begrensede andelen av budsjettet som er allokert til informasjonsteknologi. Pålitelig beskyttelse av data- og nettverksbedriftens infrastruktur er en grunnleggende informasjonssikkerhetsoppgave for enhver bedrift. Med veksten av en bedrifts virksomhet og overgangen til en geografisk distribuert organisasjon, begynner den å gå utover grensene til en enkelt bygning. Effektiv beskyttelse av IT-infrastruktur og bedriftsapplikasjonssystemer i dag er umulig uten introduksjonen av modernegier. Økende tilfeller av tyveri av medier som inneholder verdifull forretningsinformasjon, tvinger i økende grad til organisatoriske tiltak. Formålet med dette arbeidet vil være å evaluere eksisterende informasjonssikkerhetssystem i organisasjonen og utvikle tiltak for å forbedre det. Dette målet bestemmer følgende mål for oppgaven: ) vurdere begrepet informasjonssikkerhet; ) vurdere typer mulige trusler mot informasjonssystemer og alternativer for beskyttelse mot mulige trusler om informasjonslekkasje i organisasjonen. ) identifisere en liste over informasjonsressurser, hvis brudd på integriteten eller konfidensialiteten vil føre til den største skaden for bedriften; ) utvikle på grunnlag av et sett med tiltak for å forbedre det eksisterende informasjonssikkerhetssystemet. Arbeidet består av en introduksjon, to kapitler, en konklusjon, en kildeliste og anvendelser. Innledningen underbygger relevansen av forskningstemaet og formulerer formål og målsettinger med arbeidet. Det første kapittelet diskuterer de teoretiske aspektene ved begrepene informasjonssikkerhet i en organisasjon. Det andre kapittelet gir en kort beskrivelse av virksomhetens aktiviteter, nøkkelindikatorer, beskriver dagens tilstand av informasjonssikkerhetssystemet og foreslår tiltak for å forbedre det. Avslutningsvis formuleres hovedresultatene og konklusjonene av arbeidet. Det metodologiske og teoretiske grunnlaget for oppgaven var arbeidet til innenlandske og utenlandske eksperter innen informasjonssikkerhet. Under arbeidet med oppgaven ble det brukt informasjon som reflekterte innholdet i lover, lover og forskrifter, dekreter fra Regjeringen av Den russiske føderasjonen regulerer informasjonssikkerhet, internasjonale standarder for informasjonssikkerhet. Den teoretiske betydningen av oppgaveforskningen ligger i implementeringen av en integrert tilnærming ved utvikling av en informasjonssikkerhetspolicy. Den praktiske betydningen av arbeidet bestemmes av det faktum at resultatene gjør det mulig å øke graden av informasjonsbeskyttelse i en virksomhet gjennom kompetent utforming av en informasjonssikkerhetspolicy. Kapittel 1. Teoretiske aspekter ved adopsjon og informasjonssikkerhet 1.1 Konsept for informasjonssikkerhet Informasjonssikkerhet refererer til sikkerheten til informasjon og dens støttende infrastruktur fra enhver utilsiktet eller ondsinnet påvirkning som kan føre til skade på selve informasjonen, dens eiere eller støttende infrastruktur. Målene for informasjonssikkerhet handler om å minimere skader, samt å forutsi og forhindre slike påvirkninger. Parametre for informasjonssystemer som trenger beskyttelse kan deles inn i følgende kategorier: sikring av integritet, tilgjengelighet og konfidensialitet til informasjonsressurser. tilgjengelighet er evnen til å få den nødvendige informasjonstjenesten på kort tid; integritet er relevansen og konsistensen av informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer; konfidensialitet - beskyttelse mot uautorisert tilgang til informasjon. Informasjonssystemer er primært laget for å skaffe visse informasjonstjenester. Hvis det av en eller annen grunn blir umulig å skaffe informasjon, forårsaker dette skade på alle emner av informasjonsforhold. Ut fra dette kan vi fastslå at tilgjengeligheten av informasjon kommer først. Integritet er hovedaspektet ved informasjonssikkerhet når nøyaktighet og sannferdighet er hovedparametrene for informasjon. For eksempel resepter på medisinske legemidler eller et sett og egenskaper av komponenter. Den mest utviklede komponenten av informasjonssikkerhet i vårt land er konfidensialitet. Men den praktiske implementeringen av tiltak for å sikre konfidensialiteten til moderne informasjonssystemer står overfor store vanskeligheter i Russland. For det første er informasjon om tekniske kanaler for informasjonslekkasje stengt, slik at de fleste brukere ikke kan få en ide om de potensielle risikoene. For det andre er det mange lovgivningsmessige hindringer og tekniske utfordringer som står i veien for tilpasset kryptografi som et primært middel for å sikre personvern. Handlinger som kan forårsake skade på et informasjonssystem kan deles inn i flere kategorier. målrettet tyveri eller ødeleggelse av data på en arbeidsstasjon eller server; Skade på data fra brukeren som følge av uforsiktige handlinger. . "Elektroniske" påvirkningsmetoder utført av hackere. Hackere forstås som mennesker som driver med datakriminalitet både profesjonelt (inkludert som en del av konkurransen) og rett og slett av nysgjerrighet. Disse metodene inkluderer: uautorisert adgang til datanettverk; Formålet med uautorisert inntreden i et bedriftsnettverk fra utsiden kan være å forårsake skade (ødeleggelse av data), stjele konfidensiell informasjon og bruke den til ulovlige formål, bruke nettverksinfrastrukturen til å organisere angrep på tredjepartsnoder, stjele midler fra kontoer , etc. Et DOS-angrep (forkortet fra Denial of Service) er et eksternt angrep på bedriftsnettverksnoder som er ansvarlige for sikker og effektiv drift (fil, e-postservere). Angripere organiserer massiv sending av datapakker til disse nodene for å overbelaste dem og som et resultat sette dem ut av spill i en stund. Dette medfører som regel forstyrrelser i forretningsprosessene til offerselskapet, tap av kunder, skade på omdømme mv. Datavirus. En egen kategori av elektroniske påvirkningsmetoder er datavirus og andre skadelige programmer. De utgjør en reell fare for moderne virksomheter som i stor grad bruker datanettverk, Internett og e-post. Inntrengning av et virus inn i bedriftens nettverksnoder kan føre til forstyrrelser i deres funksjon, tap av arbeidstid, tap av data, tyveri av konfidensiell informasjon og til og med direkte tyveri av økonomiske ressurser. Et virusprogram som har penetrert et bedriftsnettverk kan gi angripere delvis eller fullstendig kontroll over virksomhetens aktiviteter. Spam. På bare noen få år har spam vokst fra en liten irritasjon til en av de mest alvorlige sikkerhetstruslene: e-post har nylig blitt hovedkanalen for spredning av skadelig programvare; spam tar mye tid å se og deretter slette meldinger, noe som forårsaker ansatte en følelse av psykologisk ubehag; både enkeltpersoner og organisasjoner blir ofre for uredelige ordninger utført av spammere (ofre prøver ofte å ikke avsløre slike hendelser); viktig korrespondanse blir ofte slettet sammen med spam, noe som kan føre til tap av kunder, brutte kontrakter og andre ubehagelige konsekvenser; faren for å miste korrespondanse øker spesielt ved bruk av RBL-svartelister og andre "grove" spamfiltreringsmetoder. «Naturlige» trusler. Et selskaps informasjonssikkerhet kan påvirkes av en rekke eksterne faktorer: tap av data kan være forårsaket av feil lagring, tyveri av datamaskiner og medier, force majeure, etc. Et styringssystem for informasjonssikkerhet (ISMS eller Information Security Management System) lar deg administrere et sett med tiltak som implementerer en bestemt tiltenkt strategi, i dette tilfellet i forhold til informasjonssikkerhet. Merk at vi ikke bare snakker om å administrere et eksisterende system, men også om å bygge et nytt/redesigne et gammelt. Tiltakssettet omfatter organisatoriske, tekniske, fysiske og andre. Informasjonssikkerhetsstyring er en kompleks prosess som gjør det mulig å implementere den mest effektive og omfattende informasjonssikkerhetsstyringen i et selskap. Målet med informasjonssikkerhetsstyring er å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Spørsmålet er bare hva slags informasjon som må beskyttes og hvilken innsats som bør gjøres for å ivareta sikkerheten. Enhver ledelse er basert på bevissthet om situasjonen der den oppstår. Når det gjelder risikoanalyse, kommer bevissthet om situasjonen til uttrykk i inventar og vurdering av organisasjonens eiendeler og deres miljø, det vil si alt som sikrer gjennomføringen av forretningsaktiviteter. Fra synspunktet om infinkluderer de viktigste eiendelene informasjon, infrastruktur, personell, image og omdømme til selskapet. Uten en inventar av eiendeler på næringsaktivitetsnivå er det umulig å svare på spørsmålet om hva som skal beskyttes. Det er viktig å forstå hvilken informasjon som behandles i en organisasjon og hvor den behandles. I en stor moderne organisasjon kan antallet informasjonsressurser være svært stort. Hvis aktivitetene til en organisasjon er automatisert ved hjelp av et ERP-system, kan vi si at nesten alle materielle objekter som brukes i denne aktiviteten, tilsvarer en slags informasjonsobjekt. Derfor er den primære oppgaven til risikostyring å identifisere de viktigste eiendelene. Det er umulig å løse dette problemet uten involvering av ledere av organisasjonens hovedaktivitet, både mellom- og seniornivå. Den optimale situasjonen er når toppledelsen i organisasjonen personlig setter de mest kritiske aktivitetsområdene, som det er ekstremt viktig å sikre informasjonssikkerhet for. Den øverste ledelsens mening om prioriteringer for å ivareta informasjonssikkerhet er svært viktig og verdifull i risikoanalyseprosessen, men den bør uansett avklares ved å samle inn informasjon om hvor kritiske eiendeler er på gjennomsnittlig ledelsesnivå. Samtidig er det tilrådelig å utføre ytterligere analyser nøyaktig på områdene for forretningsaktivitet utpekt av toppledelsen. Informasjonen som mottas blir behandlet, aggregert og overført til toppledelsen for en helhetlig vurdering av situasjonen. Informasjon kan identifiseres og lokaliseres basert på en beskrivelse av forretningsprosesser hvor informasjon anses som en av ressurstypene. Oppgaven forenkles noe dersom organisasjonen har tatt i bruk en tilnærming til å regulere virksomheten (for eksempel med henblikk på kvalitetsstyring og optimalisering av forretningsprosesser). Formaliserte beskrivelser av forretningsprosesser er et godt utgangspunkt for aktivabeholdning. Hvis det ikke finnes beskrivelser, kan du identifisere eiendeler basert på informasjon mottatt fra organisasjonens ansatte. Når eiendeler er identifisert, må verdien bestemmes. Arbeidet med å bestemme verdien av informasjonsmidler på tvers av hele organisasjonen er både det mest betydningsfulle og komplekse. Det er vurderingen av informasjonsmidlene som skal gjøre det mulig for avdelingsleder for informasjonssikkerhet å velge hovedaktivitetsområder for å ivareta informasjonssikkerheten. Men den økonomiske effektiviteten til styringsprosessen for informasjonssikkerhet avhenger i stor grad av bevisstheten om hva som må beskyttes og hvilken innsats dette vil kreve, siden innsatsen som brukes i de fleste tilfeller er direkte proporsjonal med mengden penger som brukes og driftskostnadene. Risikostyring lar deg svare på spørsmålet om hvor du kan ta risiko og hvor du ikke kan. Når det gjelder informasjonssikkerhet, betyr begrepet "risiko" at det på et bestemt område er mulig å ikke gjøre betydelige anstrengelser for å beskytte informasjonsmidler, og samtidig vil organisasjonen ved et sikkerhetsbrudd ikke lide betydelige tap. Her kan vi trekke en analogi med beskyttelsesklassene til automatiserte systemer: jo større risikoen er, desto strengere bør beskyttelseskravene være. For å fastslå konsekvensene av et sikkerhetsbrudd må du enten ha informasjon om registrerte hendelser av lignende karakter, eller gjennomføre en scenarioanalyse. Scenarioanalyse undersøker årsak-og-virkning-forhold mellom aktivasikkerhetshendelser og konsekvensene av disse hendelsene på organisasjonens forretningsaktiviteter. Konsekvensene av scenarier bør vurderes av flere personer, iterativt eller bevisst. Det skal bemerkes at utvikling og evaluering av slike scenarier ikke kan skilles helt fra virkeligheten. Du må alltid huske at scenarioet må være sannsynlig. Kriteriene og skalaene for å bestemme verdi er individuelle for hver organisasjon. Basert på resultatene av scenarioanalyse kan informasjon om verdien av eiendeler innhentes. Hvis eiendeler identifiseres og verdien bestemmes, kan vi si at målene for å gi informasjonssikkerhet er delvis etablert: beskyttelsesobjektene og viktigheten av å opprettholde dem i en tilstand av informasjonssikkerhet for organisasjonen bestemmes. Kanskje gjenstår det bare å finne ut hvem som må beskyttes mot. Etter å ha bestemt målene for informasjonssikkerhetsstyring, bør du analysere problemene som hindrer deg i å nærme deg måltilstanden. På dette nivået går risikoanalyseprosessen ned til informasjonsinfrastrukturen og tradisjonelle informasjonssikkerhetskonsepter – inntrengere, trusler og sårbarheter. For å vurdere risiko er det ikke nok å innføre en standard overtredelsesmodell som deler opp alle overtredere etter type tilgang til eiendelen og kunnskap om eiendelsstrukturen. Denne inndelingen er med på å avgjøre hvilke trusler som kan rettes mot en eiendel, men svarer ikke på spørsmålet om disse truslene i prinsippet kan realiseres. I prosessen med risikoanalyse er det nødvendig å vurdere motivasjonen til overtredere for å implementere trusler. I dette tilfellet mener overtrederen ikke en abstrakt ekstern hacker eller innsider, men en part som er interessert i å oppnå fordeler ved å krenke sikkerheten til en eiendel. Det er tilrådelig å innhente innledende informasjon om lovbryterens modell, som ved valg av innledende retninger forr, fra toppledelsen, som forstår organisasjonens posisjon i markedet, har informasjon om konkurrenter og hvilke metoder for påvirkning som kan være forventet av dem. Informasjonen som er nødvendig for å utvikle en modell av en inntrenger kan også hentes fra spesialisert forskning på datasikkerhetsbrudd i forretningsområdet som risikoanalysen utføres for. En riktig utviklet inntrengermodell utfyller informasjonssikkerhetsmålene som er fastsatt ved vurdering av organisasjonens eiendeler. Utviklingen av en trusselmodell og identifisering av sårbarheter er uløselig knyttet til en oversikt over miljøet til organisasjonens informasjonsressurser. Informasjonen i seg selv blir ikke lagret eller behandlet. Tilgang til det gis ved hjelp av en informasjonsinfrastruktur som automatiserer organisasjonens forretningsprosesser. Det er viktig å forstå hvordan en organisasjons informasjonsinfrastruktur og informasjonsressurser er relatert til hverandre. Fra perspektivet til informasjonssikkerhetsstyring kan viktigheten av informasjonsinfrastruktur kun fastslås etter å ha bestemt forholdet mellom informasjonsressurser og infrastruktur. Dersom prosessene for vedlikehold og drift av informasjonsinfrastrukturen i en organisasjon er regulerte og transparente, forenkles innsamlingen av informasjon som er nødvendig for å identifisere trusler og vurdere sårbarheter kraftig. Å utvikle en trusselmodell er en jobb for informasjonssikkerhetseksperter som har god forståelse for hvordan en angriper kan få uautorisert tilgang til informasjon ved å bryte sikkerhetsperimeteren eller bruke sosiale ingeniørmetoder. Når man utvikler en trusselmodell kan man også snakke om scenarier som sekvensielle trinn i henhold til hvilke trusler som kan realiseres. Det skjer svært sjelden at trusler implementeres i ett trinn ved å utnytte et enkelt sårbart punkt i systemet. Trusselmodellen bør inkludere alle trusler identifisert gjennom relatertesjonsprosesser, for eksempel sårbarhet og hendelseshåndtering. Det må huskes at trusler må rangeres i forhold til hverandre i henhold til sannsynlighetsnivået for implementering. For å gjøre dette, i prosessen med å utvikle en trusselmodell for hver trussel, er det nødvendig å indikere de viktigste faktorene, hvis eksistens påvirker implementeringen. Sikkerhetspolicyen er basert på en analyse av risikoer som er anerkjent som reelle for organisasjonens informasjonssystem. Når risikoene er analysert og beskyttelsesstrategien er bestemt, utarbeides et informasjonssikkerhetsprogram. Ressurser tildeles dette programmet, ansvarlige personer utnevnes, prosedyren for å overvåke gjennomføringen av programmet bestemmes, etc. I vid forstand er sikkerhetspolitikk definert som et system med dokumenterte ledelsesbeslutninger for å sikre sikkerheten til en organisasjon. I en snever forstand forstås en sikkerhetspolicy vanligvis som et lokalt forskriftsdokument som definerer sikkerhetskrav, et tiltakssystem eller en prosedyre, samt ansvaret til organisasjonens ansatte og kontrollmekanismer for et visst sikkerhetsområde. Før vi begynner å formulere selve, er det nødvendig å forstå de grunnleggende konseptene vi skal operere med. Informasjon - informasjon (meldinger, data) uavhengig av presentasjonsformen. Konfidensialitet av informasjon er et obligatorisk krav for en person som har fått tilgang til visse opplysninger om ikke å overføre slik informasjon til tredjeparter uten samtykke fra eieren. Informasjonssikkerhet (IS) er sikkerheten til samfunnets informasjonsmiljø, som sikrer dannelse, bruk og utvikling i interessene til borgere, organisasjoner og stater. Begrepet "informasjon" i dag brukes ganske mye og allsidig. Å sikre informasjonssikkerhet kan ikke være en engangshandling. Dette er en kontinuerlig prosess som består av begrunnelse og implementering av de mest rasjonelle metodene, metodene og måtene for å forbedre og utvikle sikkerhetssystemet, kontinuerlig overvåking av dets tilstand, identifisering av svakheter og ulovlige handlinger. Informasjonssikkerhet kan kun sikres gjennom integrert bruk av hele spekteret av tilgjengelige sikkerhetsmidler i alle strukturelle elementer i produksjonssystemet og i alle stadier av den teknologiske syklusen for informasjonsbehandling. Størst effekt oppnås når alle virkemidler, metoder og tiltak som brukes, kombineres til en enkelt helhetlig mekanisme – et informasjonssikkerhetssystem. Samtidig skal funksjonen til systemet overvåkes, oppdateres og suppleres avhengig av endringer i ytre og interne forhold. I henhold til GOST R ISO/IEC 15408:2005-standarden kan følgende typer sikkerhetskrav skilles: funksjonelle, tilsvarende det aktive aspektet av beskyttelse, krav til sikkerhetsfunksjoner og mekanismene som implementerer dem; tillitskrav tilsvarende det passive aspektet som stilles til teknologien og utviklings- og driftsprosessen. Det er svært viktig at sikkerheten i denne standarden ikke vurderes statisk, men i forhold til livssyklusen til objektet som vurderes. Følgende stadier skilles ut: bestemmelse av formål, bruksbetingelser, mål og sikkerhetskrav; design og utvikling; testing, evaluering og sertifisering; implementering og drift. Så la oss se nærmere på de funksjonelle sikkerhetskravene. De inkluderer: beskyttelse av brukerdata; beskyttelse av sikkerhetsfunksjoner (krav knyttet til integriteten og kontrollen til disse sikkerhetstjenestene og mekanismene som implementerer dem); sikkerhetsstyring (kravene til denne klassen er knyttet til styring av sikkerhetsattributter og -parametere); sikkerhetsrevisjon (identifikasjon, registrering, lagring, analyse av data som påvirker sikkerheten til objektet som vurderes, respons på et mulig sikkerhetsbrudd); personvern (beskytte brukeren mot avsløring og uautorisert bruk av hans identifikasjonsdata); bruk av ressurser (krav til informasjonstilgjengelighet); kommunikasjon (autentisering av parter involvert i datautveksling); klarert rute/kanal (for kommunikasjon med sikkerhetstjenester). I samsvar med disse kravene er det nødvendig å formulere en organisasjons informasjonssikkerhetssystem. Organisasjonens informasjonssikkerhetssystem inkluderer følgende områder: regulatoriske; organisatorisk (administrativt); teknisk; programvare; For å fullt ut vurdere situasjonen i en virksomhet på alle områder av sikkerhet, er det nødvendig å utvikle et informasjonssikkerhetskonsept som vil etablere en systematisk tilnærming til problemet med sikkerhet for informasjonsressurser og representere en systematisk uttalelse av mål, mål, designprinsipper og et sett med tiltak for å sikre informasjonssikkerhet i en virksomhet. Bbør være basert på følgende prinsipper (oppgaver): å sikre beskyttelsen av den eksisterende informasjonsinfrastrukturen til bedriften mot inntrengere; gi betingelser for å lokalisere og minimere mulig skade; eliminere fremveksten av kilder til trusler i den innledende fasen; sikre beskyttelse av informasjon mot tre hovedtyper av nye trusler (tilgjengelighet, integritet, konfidensialitet); Løsningen på problemene ovenfor oppnås ved; regulering av brukerhandlinger når du arbeider med informasjonssystemet; regulering av brukerhandlinger når du arbeider med databasen; enhetlige krav til påliteligheten til maskinvare og programvare; prosedyrer for å overvåke driften av informasjonssystemet (logging av hendelser, analysere protokoller, analysere nettverkstrafikk, analysere driften av teknisk utstyr); Informasjonssikkerhetspolicyen inkluderer: hoveddokumentet er "Sikkerhetspolicyen". Den beskriver generelt organisasjonens sikkerhetspolicy, generelle bestemmelser, og indikerer også relevante dokumenter for alle aspekter av policyen; instruksjoner for regulering av brukernes arbeid; stillingsbeskrivelse for lokal nettverksadministrator; jobbbeskrivelse for databaseadministratoren; instruksjoner for arbeid med Internett-ressurser; instruksjoner for organisering av passordbeskyttelse; instruksjoner for organisering av antivirusbeskyttelse. Sikkerhetspolicydokumentet inneholder hovedbestemmelsene. På bakgrunn av det bygges et informasjonssikkerhetsprogram, jobbbeskrivelser og anbefalinger bygges. Instrukser for regulering av arbeidet til brukere av en organisasjons lokale nettverk regulerer prosedyren for å tillate brukere å arbeide i organisasjonens lokale datanettverk, samt reglene for håndtering av beskyttet informasjon som behandles, lagres og overføres i organisasjonen. Stillingsbeskrivelsen til en lokal nettverksadministrator beskriver ansvaret til en lokal nettverksadministrator når det gjelder informasjonssikkerhet. Stillingsbeskrivelsen til en databaseadministrator definerer hovedansvarene, funksjonene og rettighetene til en databaseadministrator. Den beskriver i detalj alle jobbansvar og funksjoner til en databaseadministrator, samt rettigheter og ansvar. Instruksjoner for arbeid med Internett-ressurser gjenspeiler de grunnleggende reglene for sikkert arbeid med Internett, og inneholder også en liste over akseptable og uakseptable handlinger når du arbeider med Internett-ressurser. Instruksjonene for organisering av antivirusbeskyttelse definerer de grunnleggende bestemmelsene, krav til organisering av antivirusbeskyttelse av en organisasjons informasjonssystem, alle aspekter knyttet til driften av antivirusprogramvare, samt ansvar i tilfelle brudd på antivirusprogrammet -virusbeskyttelse. Instruksjonene for organisering av passordbeskyttelse regulerer den organisatoriske og tekniske støtten for prosessene med å generere, endre og avslutte passord (slette brukerkontoer). Handlingene til brukere og vedlikeholdspersonell når de arbeider med systemet er også regulert. Grunnlaget for organisering av ier således sikkerhetspolitikken, utformet for å fastslå fra hvilke trusler og hvordan informasjonen i informasjonssystemet er beskyttet. Sikkerhetspolicy refererer til et sett med juridiske, organisatoriske og tekniske tiltak for å beskytte informasjon som er vedtatt i en bestemt organisasjon. Det vil si at sikkerhetspolicyen inneholder mange forhold der brukere får tilgang til systemressurser uten å miste itil dette systemet. Problemet med å sikre informasjonssikkerhet må løses systematisk. Dette betyr at ulike beskyttelser (maskinvare, programvare, fysiske, organisatoriske, etc.) må brukes samtidig og under sentralisert kontroll. I dag finnes det et stort arsenal av metoder for å sikre informasjonssikkerhet: midler for identifikasjon og autentisering av brukere; midler for å kryptere informasjon lagret på datamaskiner og overført over nettverk; brannmurer; virtuelle private nettverk; innholdsfiltreringsverktøy; verktøy for å sjekke integriteten til diskinnhold; antivirus verktøy; nettverkssårbarhetsdeteksjonssystemer og nettverksangrepsanalysatorer. Hvert av de listede verktøyene kan brukes enten uavhengig eller i integrasjon med andre. Dette gjør det mulig å lage informasjonssikkerhetssystemer for nettverk av enhver kompleksitet og konfigurasjon, uavhengig av plattformene som brukes. System for autentisering (eller identifikasjon), autorisasjon og administrasjon. Identifikasjon og autorisasjon er sentrale elementer i informasjonssikkerhet. Autorisasjonsfunksjonen er ansvarlig for hvilke ressurser en spesifikk bruker har tilgang til. Administrasjonsfunksjonen er å gi brukeren visse identifikasjonsegenskaper innenfor et gitt nettverk og bestemme omfanget av handlinger som er tillatt for ham. Krypteringssystemer gjør det mulig å minimere tap ved uautorisert tilgang til data som er lagret på en harddisk eller andre medier, samt avskjæring av informasjon når den sendes på e-post eller overføres via nettverksprotokoller. Formålet med dette beskyttelsesverktøyet er å sikre konfidensialitet. Hovedkravene til krypteringssystemer er et høyt nivå av kryptografisk styrke og lovlighet av bruk på territoriet til Russland (eller andre stater). En brannmur er et system eller en kombinasjon av systemer som danner en beskyttende barriere mellom to eller flere nettverk for å forhindre at uautoriserte datapakker kommer inn eller ut av nettverket. Det grunnleggende driftsprinsippet for brannmurer er å sjekke hver datapakke for samsvar med innkommende og utgående IP-adresser med en database med tillatte adresser. Dermed utvider brannmurer betydelig mulighetene til å segmentere informasjonsnettverk og kontrollere sirkulasjonen av data. Når vi snakker om kryptografi og brannmurer, bør vi nevne sikre virtuelle private nettverk (VPN). Bruken deres gjør det mulig å løse problemer med konfidensialitet og integritet til data når de overføres over åpne kommunikasjonskanaler. Bruk av en VPN kan reduseres til å løse tre hovedproblemer: beskyttelse av informasjonsstrømmer mellom forskjellige kontorer i selskapet (informasjon krypteres bare ved utgangen til det eksterne nettverket); sikker tilgang for eksterne nettverksbrukere til selskapets informasjonsressurser, vanligvis utført via Internett; beskyttelse av informasjonsstrømmer mellom individuelle applikasjoner innenfor bedriftsnettverk (dette aspektet er også svært viktig, siden de fleste angrep utføres fra interne nettverk). En effektiv måte å beskytte mot tap av konfidensiell informasjon er å filtrere innholdet i innkommende og utgående e-post. Screening av selve e-postmeldingene og vedleggene deres basert på reglene etablert av organisasjonen bidrar også til å beskytte selskaper mot ansvar i søksmål og beskytter deres ansatte mot spam. Innholdsfiltreringsverktøy lar deg skanne filer i alle vanlige formater, inkludert komprimerte og grafiske filer. Samtidig forblir nettverkets gjennomstrømning praktisk talt uendret. Alle endringer på en arbeidsstasjon eller server kan overvåkes av nettverksadministratoren eller annen autorisert bruker takket være teknologien for å sjekke integriteten til innholdet på harddisken (integritetskontroll). Dette lar deg oppdage alle handlinger med filer (endre, sletting eller bare åpning) og identifisere virusaktivitet, uautorisert tilgang eller datatyveri av autoriserte brukere. Kontroll utføres basert på analyse av filsjekksummer (CRC-summer). Moderne antivirusteknologier gjør det mulig å identifisere nesten alle allerede kjente virusprogrammer ved å sammenligne koden til en mistenkelig fil med prøver som er lagret i antivirusdatabasen. I tillegg er det utviklet atferdsmodelleringsteknologier som gjør det mulig å oppdage nyopprettede virusprogrammer. Oppdagede objekter kan behandles, isoleres (karantene) eller slettes. Virusbeskyttelse kan installeres på arbeidsstasjoner, fil- og e-postservere, brannmurer som kjører under nesten alle vanlige operativsystemer (Windows, Unix og Linux-systemer, Novell) på ulike typer prosessorer. Spamfiltre reduserer uproduktive arbeidskostnader forbundet med å analysere spam betydelig, reduserer trafikk og serverbelastning, forbedrer den psykologiske bakgrunnen i teamet og reduserer risikoen for at selskapets ansatte blir involvert i uredelige transaksjoner. I tillegg reduserer spamfiltre risikoen for infeksjon med nye virus, siden meldinger som inneholder virus (selv de som ennå ikke er inkludert i databasene til antivirusprogrammer) ofte har tegn på spam og blir filtrert ut. Riktignok kan den positive effekten av spamfiltrering negeres hvis filteret, sammen med søppelmeldinger, fjerner eller merker som spam og nyttige meldinger, forretningsmessige eller personlige. De enorme skadene som påføres bedrifter av virus og hackerangrep er i stor grad en konsekvens av svakheter i programvaren som brukes. De kan identifiseres på forhånd, uten å vente på et reelt angrep, ved hjelp av datanettverkssårbarhetsdeteksjonssystemer og nettverksangrepsanalysatorer. Slik programvare simulerer på en sikker måte vanlige angrep og inntrengningsmetoder og bestemmer hva en hacker kan se på nettverket og hvordan han kan utnytte ressursene. For å motvirke naturlige trusler mot informasjonssikkerheten, må selskapet utvikle og implementere et sett med prosedyrer for å forhindre nødsituasjoner (for eksempel for å sikre fysisk beskyttelse av data mot brann) og for å minimere skade dersom en slik situasjon oppstår. En av hovedmetodene for å beskytte mot tap av data er sikkerhetskopiering med streng overholdelse av etablerte prosedyrer (regelmessighet, typer medier, metoder for lagring av kopier, etc.). Informasjonssikkerhetspolicyen er en pakke med dokumenter som regulerer ansattes arbeid, og beskriver de grunnleggende reglene for arbeid med informasjon, informasjonssystemer, databaser, lokale nettverk og internettressurser. Det er viktig å forstå hvilken plass opptar i det overordnede styringssystemet til en organisasjon. Følgende er generelle organisatoriske tiltak knyttet til sikkerhetspolitikk. På det prosedyremessige nivået kan følgende klasser av tiltak skilles: personalledelse; fysisk beskyttelse; opprettholde ytelsen; reagere på sikkerhetsbrudd; planlegging av restaureringsarbeid. Personalledelse begynner med ansettelse, men selv før det bør du bestemme datamaskinprivilegiene knyttet til stillingen. Det er to generelle prinsipper å huske på: ansvarsfordeling; minimering av privilegier. Prinsippet om oppgavedeling foreskriver hvordan roller og ansvar skal fordeles slik at én person ikke kan forstyrre en organisasjonskritisk prosess. For eksempel er det uønsket at én person foretar store betalinger på vegne av en organisasjon. Det er tryggere å instruere en ansatt til å behandle søknader om slike utbetalinger, og en annen å attestere disse søknadene. Et annet eksempel er prosedyrerestriksjoner på superbrukerhandlinger. Du kan kunstig "dele" superbrukerpassordet ved å dele den første delen av det med en ansatt og den andre delen med en annen. Da kan de utføre kritiske handlinger for å administrere informasjonssystemet kun sammen, noe som reduserer sannsynligheten for feil og misbruk. Prinsippet om minste privilegium krever at brukere kun gis de tilgangsrettighetene de trenger for å utføre jobbansvaret. Formålet med dette prinsippet er åpenbart - å redusere skade fra utilsiktede eller tilsiktede feilhandlinger. Foreløpig utarbeidelse av en stillingsbeskrivelse lar deg vurdere dens kritikalitet og planlegge prosedyren for screening og valg av kandidater. Jo mer ansvarlig stillingen er, jo mer nøye må du sjekke kandidatene: forespørre dem, kanskje snakke med tidligere kolleger osv. En slik prosedyre kan være langvarig og kostbar, så det er ingen vits i å komplisere den ytterligere. Samtidig er det urimelig helt å nekte forhåndskontroll for å unngå å ved et uhell ansette noen med kriminelt rulleblad eller psykisk sykdom. Når en kandidat er identifisert, vil han eller hun sannsynligvis trenge opplæring; i det minste bør han være grundig kjent med jobbansvar og inog prosedyrer. Det anbefales at han forstår sikkerhetstiltakene før han tiltrer og før han etablerer systemkontoen sin med påloggingsnavn, passord og privilegier. Sikkerheten til et informasjonssystem avhenger av miljøet det opererer i. Det er nødvendig å iverksette tiltak for å beskytte bygninger og omkringliggende områder, støttende infrastruktur, datautstyr og lagringsmedier. La oss vurdere følgende områder for fysisk beskyttelse: fysisk tilgangskontroll; beskyttelse av støttende infrastruktur; beskyttelse av mobile systemer. Fysiske tilgangskontrolltiltak lar deg kontrollere og om nødvendig begrense inn- og utreise for ansatte og besøkende. Hele bygningen til en organisasjon kan kontrolleres, så vel som individuelle lokaler, for eksempel de hvor servere, kommunikasjonsutstyr etc. er plassert. Støttende infrastruktur inkluderer elektriske, vann- og varmeforsyningssystemer, klimaanlegg og kommunikasjon. I prinsippet gjelder de samme krav til integritet og tilgjengelighet for dem som for informasjonssystemer. For å sikre integritet må utstyr beskyttes mot tyveri og skade. For å opprettholde tilgjengeligheten bør du velge utstyr med maksimal MTBF, duplisere kritiske komponenter og alltid ha reservedeler tilgjengelig. Generelt sett bør det utføres en risikoanalyse ved valg av fysisk verneutstyr. Når du bestemmer deg for å kjøpe en avbruddsfri strømforsyning, er det derfor nødvendig å ta hensyn til kvaliteten på strømforsyningen i bygningen okkupert av organisasjonen (men det vil nesten helt sikkert vise seg å være dårlig), arten og varigheten av strømbrudd, kostnadene for tilgjengelige kilder og mulige tap fra ulykker (havari av utstyr, stans av organisasjonens arbeid og så videre.) La oss vurdere en rekke tiltak rettet mot å opprettholde funksjonaliteten til informasjonssystemene. Det er i dette området den største faren lurer. Utilsiktede feil fra systemadministratorer og brukere kan føre til tap av ytelse, nemlig skade på utstyr, ødeleggelse av programmer og data. Dette er det verste scenarioet. I beste fall skaper de sikkerhetshull som gjør at systemsikkerhetstrusler kan oppstå. Hovedproblemet til mange organisasjoner er undervurderingen av sikkerhetsfaktorer i det daglige arbeidet. Dyre sikkerhetsfunksjoner er meningsløse hvis de er dårlig dokumentert, i konflikt med annen programvare, og systemadministratorpassordet ikke er endret siden installasjonen. For daglige aktiviteter rettet mot å opprettholde funksjonaliteten til informasjonssystemet, kan følgende handlinger skilles: brukerstøtte; programvarestøtte; konfigurasjonsstyring; sikkerhetskopiering; mediehåndtering; dokumentasjon; rutinemessig vedlikehold. Brukerstøtte innebærer først og fremst konsultasjon og hjelp til å løse ulike typer problemer. Det er svært viktig å kunne identifisere problemer knyttet til informasjonssikkerhet i en strøm av spørsmål. Derfor kan mange problemer for brukere som arbeider på personlige datamaskiner være et resultat av virusinfeksjon. Det er tilrådelig å registrere brukerspørsmål for å identifisere deres vanlige feil og gi påminnelser med anbefalinger for vanlige situasjoner. Programvarestøtte er et av de viktigste virkemidlene for å sikre informasjonsintegritet. Først av alt må du holde styr på hvilken programvare som er installert på datamaskinene dine. Hvis brukere installerer programmer etter eget skjønn, kan dette føre til infeksjon med virus, samt fremveksten av verktøy som omgår beskyttelsestiltak. Det er også sannsynlig at "uavhengige aktiviteter" til brukere gradvis vil føre til kaos på datamaskinene deres, og systemadministratoren må rette opp situasjonen. Det andre aspektet ved programvarestøtte er kontroll over fraværet av uautoriserte endringer i programmer og tilgangsrettigheter til dem. Dette inkluderer også støtte for referansekopier av programvaresystemer. Kontroll oppnås vanligvis gjennom en kombinasjon av fysiske og logiske tilgangskontroller, samt bruk av verifikasjons- og integritetsverktøy. Konfigurasjonsadministrasjon lar deg kontrollere og registrere endringer som er gjort i programvarekonfigurasjonen. Først av alt må du forsikre deg mot utilsiktede eller dårlig gjennomtenkte endringer, og i det minste kunne gå tilbake til en tidligere, fungerende versjon. Å foreta endringer vil gjøre det enkelt å gjenopprette gjeldende versjon etter en katastrofe. Den beste måten å redusere feil i rutinearbeid er å automatisere det så mye som mulig. Automatisering og sikkerhet er avhengig av hverandre, fordi den som først og fremst bryr seg om å gjøre oppgaven sin enklere, faktisk er den som former informasjonssikkerhetsregimet optimalt. Sikkerhetskopiering er nødvendig for å gjenopprette programmer og data etter katastrofer. Og her er det tilrådelig å automatisere arbeidet, som et minimum, ved å lage en datamaskinplan for å lage hele og inkrementelle kopier, og maksimalt ved å bruke de riktige programvareproduktene. Det er også nødvendig å sørge for plassering av kopier på et trygt sted, beskyttet mot uautorisert tilgang, brann, lekkasjer, det vil si fra alt som kan føre til tyveri eller skade på media. Det er lurt å ha flere kopier av sikkerhetskopier og lagre noen av dem utenfor stedet, og dermed beskytte mot større ulykker og lignende hendelser. Fra tid til annen, for testformål, bør du sjekke muligheten for å gjenopprette informasjon fra kopier. Medieadministrasjon er nødvendig for å gi fysisk sikkerhet og regnskap for disketter, kassetter, utskrifter osv. Medieadministrasjon må sikre konfidensialitet, integritet og tilgjengelighet for informasjon som er lagret utenfor datasystemer. Fysisk beskyttelse betyr her ikke bare å avvise uautoriserte tilgangsforsøk, men også beskyttelse mot skadelige miljøpåvirkninger (varme, kulde, fuktighet, magnetisme). Mediehåndtering skal dekke hele livssyklusen, fra innkjøp til avvikling. Dokumentasjon er en integrert del av informasjonssikkerhet. Nesten alt er dokumentert i form av dokumenter – fra sikkerhetspolitikken til medieloggen. Det er viktig at dokumentasjonen er oppdatert og gjenspeiler dagens tilstand, og på en konsistent måte. Konfidensialitetskrav gjelder for lagring av noen dokumenter (som inneholder for eksempel en analyse av systemsårbarheter og trusler), mens andre, for eksempel en katastrofegjenopprettingsplan, er underlagt krav til integritet og tilgjengelighet (i en kritisk situasjon må planen bli funnet og lest). Rutinearbeid er en svært alvorlig sikkerhetsrisiko. En ansatt som utfører rutinemessig vedlikehold får eksklusiv tilgang til systemet, og i praksis er det svært vanskelig å kontrollere nøyaktig hvilke handlinger han utfører. Det er her graden av tillit til de som utfører arbeidet kommer i forgrunnen. Sikkerhetspolitikken vedtatt av organisasjonen må gi et sett med operasjonelle tiltak rettet mot å oppdage og nøytralisere brudd på informasjonssikkerhetsregimet. Det er viktig at handlingsrekkefølgen i slike tilfeller planlegges på forhånd, siden tiltak må iverksettes raskt og på en koordinert måte. Respons på sikkerhetsbrudd har tre hovedmål: lokalisere hendelsen og redusere skade; forebygging av gjentatte brudd. Ofte kommer kravet om å lokalisere en hendelse og redusere skader i konflikt med ønsket om å identifisere lovbryteren. Organisasjonens sikkerhetspolitikk må prioriteres tidlig. Siden det, som praksis viser, er svært vanskelig å identifisere en angriper, bør man etter vår mening først og fremst passe på å redusere skaden. Ingen organisasjon er immun mot alvorlige ulykker forårsaket av naturlige årsaker, ondsinnede handlinger, uaktsomhet eller inkompetanse. Samtidig har enhver organisasjon funksjoner som ledelsen anser som kritiske og må utføres uansett. Planlegging av restaureringsarbeid lar deg forberede deg på ulykker, redusere skader fra dem og opprettholde funksjonsevnen i det minste til et minimum. Merk at informasjonssikkerhetstiltak kan deles inn i tre grupper, avhengig av om de er rettet mot å forebygge, oppdage eller eliminere konsekvensene av angrep. De fleste tiltakene er av føre-var karakter. Rekan deles inn i følgende stadier: identifisere kritiske funksjoner i organisasjonen, sette prioriteringer; identifikasjon av ressurser som trengs for å utføre kritiske funksjoner; fastsettelse av listen over mulige ulykker; utvikling av en restaureringsstrategi; forberedelse til implementering av den valgte strategien; sjekke strategien. Når du planlegger restaureringsarbeid, bør du være klar over at det ikke alltid er mulig å opprettholde funksjonen til organisasjonen fullt ut. Det er nødvendig å identifisere kritiske funksjoner, uten hvilke organisasjonen mister ansiktet, og til og med prioritere blant kritiske funksjoner for å gjenoppta arbeidet etter en ulykke så raskt som mulig og til minimale kostnader. Når du identifiserer ressursene som trengs for å utføre kritiske funksjoner, husk at mange av dem er ikke-datamaskiner. På dette stadiet er det tilrådelig å involvere spesialister med ulike profiler i arbeidet. Det finnes således en lang rekke ulike metoder for å sikre informasjonssikkerhet. Det mest effektive er å bruke alle disse metodene i et enkelt kompleks. I dag er det moderne sikkerhetsmarkedet mettet med informasjonssikkerhetsverktøy. Ved kontinuerlig å studere eksisterende sikkerhetsmarkedstilbud ser mange selskaper utilstrekkeligheten til tidligere investerte midler i informasjonssikkerhetssystemer, for eksempel på grunn av foreldelse av utstyr og programvare. Derfor leter de etter løsninger på dette problemet. Det kan være to slike alternativer: på den ene siden, en fullstendig erstatning av bedriftens informasjonsbeskyttelsessystem, som vil kreve store investeringer, og på den andre siden modernisering av eksisterende sikkerhetssystemer. Det siste alternativet for å løse dette problemet er det minst kostbare, men det gir nye problemer, for eksempel krever det svar på følgende spørsmål: hvordan sikre kompatibilitet av gamle, beholdt fra eksisterende maskinvare- og programvaresikkerhetsverktøy, og nye elementer av informasjonssikkerhetssystemet; hvordan gi sentralisert styring av heterogene sikkerhetsverktøy; hvordan vurdere og om nødvendig revurdere selskapets informasjonsrisiko. Kapittel 2. Analyse av informasjonssikkerhetssystemet 1 Omfang av virksomheten til selskapet og analyse av finansielle indikatorer OJSC Gazprom er et globalt energiselskap. Hovedaktivitetene er geologisk leting, produksjon, transport, lagring, prosessering og salg av gass, gasskondensat og olje, samt produksjon og salg av varme og elektrisitet. Gazprom ser sitt oppdrag i pålitelig, effektiv og balansert levering av naturgass, andre typer energiressurser og deres bearbeidede produkter til forbrukere. Gazprom har verdens rikeste naturgassreserver. Dens andel av verdens gassreserver er 18%, på russisk - 70%. Gazprom står for 15 % av den globale og 78 % av russisk gassproduksjon. For tiden gjennomfører selskapet aktivt storskalaprosjekter for utvikling av gassressurser på Yamal-halvøya, den arktiske sokkelen, Øst-Sibir og Fjernøsten, samt en rekke prosjekter for leting og produksjon av hydrokarboner i utlandet. Gazprom er en pålitelig gassleverandør til russiske og utenlandske forbrukere. Selskapet eier verdens største gasstransportnettverk - Unified Gas Supply System of Russia, hvis lengde overstiger 161 tusen km. Gazprom selger mer enn halvparten av gassen de selger på hjemmemarkedet. I tillegg leverer selskapet gass til 30 land i nær og fjern utland. Gazprom er Russlands eneste produsent og eksportør av flytende naturgass og står for omtrent 5 % av den globale LNG-produksjonen. Selskapet er en av de fem største oljeprodusentene i Russland, og er også den største eieren av å generere eiendeler på sitt territorium. Deres totale installerte kapasitet er 17 % av den totale installerte kapasiteten til det russiske energisystemet. Det strategiske målet er å etablere OAO Gazprom som en leder blant globale energiselskaper gjennom utvikling av nye markeder, diversifisering av aktiviteter og sikring av forsyningssikkerhet. La oss vurdere selskapets økonomiske resultater de siste to årene. Selskapets driftsresultater er presentert i vedlegg 1. Per 31. desember 2010 utgjorde salgsinntektene 2.495.557 millioner rubler, dette tallet er mye lavere sammenlignet med 2011-data, det vil si 3.296.656 millioner rubler. Salgsinntekter (fratrukket særavgifter, merverdiavgift og toll) økte med 801 099 millioner RUB, eller 32 %, for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i fjor, og beløp seg til 3 296 656 millioner rubler. Basert på resultatene for 2011, utgjorde nettoinntekter fra gasssalg 60 % av totale netto salgsinntekter (60 % for samme periode i fjor). Nettoinntekter fra gasssalg økte fra RUB 1.495.335 millioner. for året opp til 1 987 330 millioner rubler. for samme periode i 2011, eller med 33 %. Nettoinntekter fra gasssalg til Europa og andre land økte med RUB 258.596 millioner, eller 34 %, sammenlignet med samme periode i fjor, og utgjorde RUB 1.026.451 millioner. Den samlede økningen i gassalget til Europa og andre land skyldtes en økning i gjennomsnittsprisene. Gjennomsnittsprisen i rubler (inkludert toll) økte med 21 % for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i 2010. I tillegg økte gasssalgsvolumet med 8 % sammenlignet med samme periode i fjor. Nettoinntekter fra gassalg til landene i det tidligere Sovjetunionen økte i samme periode i 2010 med 168 538 millioner rubler, eller 58 %, og utgjorde 458 608 millioner rubler. Endringen var primært drevet av en økning på 33 % i gassalget til det tidligere Sovjetunionen for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i fjor. I tillegg økte gjennomsnittsprisen i rubler (inkludert toll, minus moms) med 15 % sammenlignet med samme periode i fjor. Nettoinntekter fra gasssalg i Russland økte med RUB 64.861 millioner, eller 15 %, sammenlignet med samme periode i fjor, og utgjorde RUB 502.271 millioner. Dette skyldes hovedsakelig en økning i gjennomsnittsprisen på gass med 13 % sammenlignet med samme periode i fjor, som er forbundet med en økning i tariffer fastsatt av Federal Tariff Service (FTS). Nettoinntekter fra salg av olje- og gassprodukter (minus særavgifter, moms og toll) økte med 213 012 millioner rubler, eller 42 %, og utgjorde 717 723 millioner rubler. sammenlignet med samme periode i fjor. Denne økningen forklares i hovedsak av en økning i verdenspriser på olje- og gassprodukter og en økning i salgsvolum sammenlignet med samme periode i fjor. Gazprom Neft Groups inntekter utgjorde henholdsvis 85 % og 84 % av de totale nettoinntektene fra salg av olje- og gassprodukter. Nettoinntekter fra salg av elektrisk og termisk energi (eksklusiv merverdiavgift) økte med RUB 38.097 millioner, eller 19 %, og utgjorde RUB 237.545 millioner. Økningen i inntekter fra salg av elektrisk og termisk energi skyldes i hovedsak økte tariffer for elektrisk og termisk energi, samt økning i volumet av salg av elektrisk og termisk energi. Nettoinntekter fra salg av råolje og gasskondensat (minus særavgifter, moms og toll) økte med RUB 23.072 millioner, eller 16 %, og utgjorde RUB 164.438 millioner. sammenlignet med RUB 141.366 millioner. for samme periode i fjor. Endringen skyldes hovedsakelig stigende priser på olje- og gasskondensat. I tillegg var endringen forårsaket av økt salg av gasskondensat. Inntekter fra salg av råolje beløp seg til RUB 133.368 millioner. og 121 675 millioner rubler. i nettoproveny fra salg av råolje og gasskondensat (fratrukket særavgifter, merverdiavgift og toll) i henholdsvis 2011 og 2010. Nettoinntekter fra salg av gasstransporttjenester (netto med merverdiavgift) økte med RUB 15.306 millioner, eller 23 %, og utgjorde RUB 82.501 millioner, sammenlignet med RUB 67.195 millioner. for samme periode i fjor. Denne veksten skyldes hovedsakelig en økning i gasstransporttariffer for uavhengige leverandører, samt en økning i gassvolumer. ѐ mov av gasstransport for uavhengige leverandører sammenlignet med samme periode i fjor. Andre inntekter økte med 19 617 millioner RUB, eller 22 %, og utgjorde 107 119 millioner RUB. sammenlignet med RUB 87.502 millioner. for samme periode i fjor. Utgifter til handelsoperasjoner uten faktisk levering utgjorde RUB 837 millioner. sammenlignet med en inntekt på RUB 5.786 millioner. for samme periode i fjor. Når det gjelder driftsutgifter, økte de med 23 % og utgjorde 2.119.289 millioner RUB. sammenlignet med RUB 1.726.604 millioner. for samme periode i fjor. Andelen driftskostnader av salgsinntekter gikk ned fra 69 % til 64 %. Arbeidskostnadene økte med 18 % og beløp seg til 267 377 millioner RUB. sammenlignet med RUB 227.500 millioner. for samme periode i fjor. Økningen skyldes i hovedsak en økning i gjennomsnittslønnen. Avskrivninger for den analyserte perioden økte med 9% eller med 17.026 millioner rubler, og utgjorde 201.636 millioner rubler, sammenlignet med 184.610 millioner rubler. for samme periode i fjor. Økningen skyldtes hovedsakelig utvidelse av anleggsmiddelbasen. Som et resultat av de ovennevnte faktorene økte salgsresultatet med RUB 401.791 millioner, eller 52 %, og beløp seg til RUB 1.176.530 millioner. sammenlignet med RUB 774.739 millioner. for samme periode i fjor. Salgsfortjenestemarginen økte fra 31 % til 36 % for de ni månedene som ble avsluttet 30. september 2011. Dermed er OJSC Gazprom et globalt energiselskap. Hovedaktivitetene er geologisk leting, produksjon, transport, lagring, prosessering og salg av gass, gasskondensat og olje, samt produksjon og salg av varme og elektrisitet. Den økonomiske tilstanden til selskapet er stabil. Ytelsesindikatorer viser positiv dynamikk. 2 Beskrivelse av selskapets informasjonssikkerhetssystem La oss vurdere hovedaktivitetsområdene til divisjonene til Corporate Protection Service til OJSC Gazprom: utvikling av målrettede programmer for utvikling av systemer og komplekser av teknisk og teknisk sikkerhetsutstyr (ITSE), informasjonssikkerhetssystemer (IS) til OAO Gazprom og dets datterselskaper og organisasjoner, deltakelse i dannelsen av et investeringsprogram rettet mot å sikre informasjon og teknisk sikkerhet; implementering av kreftene til kunden for utvikling av informasjonssikkerhetssystemer, samt ITSO-systemer og komplekser; behandling og godkjenning av budsjettforespørsler og budsjetter for gjennomføring av tiltak for utvikling av informasjonssikkerhetssystemer, ITSO-systemer og komplekser, samt for opprettelse av IT når det gjelder informasjonssikkerhetssystemer; gjennomgang og godkjenning av design- og forprosjektdokumentasjon for utvikling av informasjonssikkerhetssystemer, ITSO-systemer og komplekser, samt tekniske spesifikasjoner for opprettelse (modernisering) av informasjonssystemer, kommunikasjons- og telekommunikasjonssystemer når det gjelder krav til informasjonssikkerhet; organisering av arbeidet for å vurdere overholdelse av ITSO-systemer og komplekser, informasjonssikkerhetssystemer (samt verk og tjenester for deres opprettelse) med de etablerte kravene; koordinering og kontroll av arbeidet med teknisk informasjonsbeskyttelse. Gazprom har laget et system for å sikre beskyttelse av personopplysninger. Imidlertid nødvendiggjør vedtakelsen av en rekke regulatoriske rettsakter i utviklingen av eksisterende lover og myndighetsbestemmelser behovet for å forbedre dagens system for beskyttelse av personopplysninger. For å løse dette problemet er det utviklet en rekke dokumenter som godkjennes innenfor rammen av forskningsarbeid. Først av alt er dette utkast til standarder fra Gazprom Development Organization: "Metodologi for klassifisering av informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner"; "Modell for trusler mot personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner." Disse dokumentene ble utviklet under hensyntagen til kravene i dekretet fra regjeringen i den russiske føderasjonen av 17. november 2007 nr. 781 "Om godkjenning av forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger" i forhold til klassen av spesialsystemer, som inkluderer det meste av OJSC ISPDn " Gazprom". I tillegg pågår utviklingen av "Forskrifter om organisering og teknisk støtte for sikkerheten til personopplysninger som behandles i informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner". Det skal bemerkes at innenfor rammen av standardiseringssystemet til OJSC Gazprom er det utviklet standarder for informasjonssikkerhetssystemet, som også vil gjøre det mulig å løse problemene med å beskytte personopplysninger som behandles i informasjonssystemene til OJSC Gazprom. Sju standarder knyttet til informasjonssikkerhetssystemet er godkjent og settes i kraft i år. Standardene definerer de grunnleggende kravene for å bygge informasjonssikkerhetssystemer for OAO Gazprom og dets datterselskaper. Resultatene av arbeidet som gjøres vil gjøre det mulig å bruke materielle, økonomiske og intellektuelle ressurser mer rasjonelt, skape nødvendig regulatorisk og metodisk støtte, innføre effektive beskyttelsesmidler og som et resultat sikre sikkerheten til personopplysninger som behandles i informasjonen. systemer til OAO Gazprom. Som et resultat av analysen av informasjonssikkerheten til OJSC Gazprom, ble følgende mangler ved å sikre informasjonssikkerhet identifisert: organisasjonen har ikke et enkelt dokument som regulerer en omfattende sikkerhetspolicy; Med tanke på størrelsen på nettverket og antall brukere (mer enn 100), bør det bemerkes at én person er ansvarlig for systemadministrasjon, informasjonssikkerhet og teknisk støtte; det er ingen klassifisering av informasjonsmidler etter grad av betydning; informasjonssikkerhetsroller og -ansvar er ikke inkludert i stillingsbeskrivelser; i arbeidsavtalen som er inngått med den ansatte, er det ingen klausul om informasjonssikkerhetsansvaret til både de ansatte og organisasjonen selv; personell opplæring innen informasjonssikkerhet er ikke gitt; fra et synspunkt om beskyttelse mot eksterne trusler: ingen typiske atferdsprosedyrer er utviklet for datagjenoppretting etter ulykker som har skjedd som følge av eksterne og miljømessige trusler; serverrommet er ikke et eget rom, rommet er tildelt statusen til to avdelinger (en person til, i tillegg til systemadministratoren, har tilgang til serverrommet); teknisk sondering og fysisk undersøkelse for uautoriserte enheter koblet til kabler utføres ikke; til tross for at oppføringen utføres ved hjelp av elektroniske pass og all informasjon legges inn i en spesiell database, blir analysen ikke utført; når det gjelder beskyttelse mot skadelig programvare: det er ingen formell policy for å beskytte mot risiko forbundet med mottak av filer verken fra eller gjennom eksterne nettverk eller på flyttbare medier; når det gjelder beskyttelse mot skadelig programvare: det er ingen retningslinjer for å beskytte det lokale nettverket mot ondsinnet kode; det er ingen trafikkkontroll, det er tilgang til e-postservere til eksterne nettverk; alle sikkerhetskopier lagres i serverrommet; usikre passord som er enkle å huske, brukes; mottak av passord av brukere er ikke bekreftet på noen måte; passord lagres i klartekst av administratoren; passord endres ikke; Det er ingen prosedyre for rapportering av informasjonssikkerhetshendelser. Basert på disse manglene ble det derfor utviklet et sett med forskrifter angående informasjonssikkerhetspolitikk, inkludert: retningslinjer angående ansettelse (oppsigelse) og tildeling (fratakelse) av ansatte av nødvendig myndighet for å få tilgang til systemressurser; retningslinjer for arbeidet til nettverksbrukere under driften; retningslinjer for passordbeskyttelse; politikk for organisering av fysisk beskyttelse; Internett-policy; samt administrative sikkerhetstiltak. Dokumenter som inneholder disse forskriftene er på behandlingsstadiet av ledelsen i organisasjonen. 3 Utvikling av et sett med tiltak for å modernisere eksisterende informasjonssikkerhetssystem Som et resultat av analysen av informasjonssikkerhetssystemet til OJSC Gazprom, ble betydelige systemsårbarheter identifisert. For å utvikle tiltak for å eliminere identifiserte sikkerhetssystemmangler, vil vi fremheve følgende grupper av informasjon som er underlagt beskyttelse: informasjon om ansattes privatliv som gjør at de kan identifiseres (personopplysninger); informasjon knyttet til profesjonell virksomhet og som utgjør bank-, revisjons- og kommunikasjonshemmeligheter; informasjon relatert til profesjonelle aktiviteter og merket som informasjon "for offisiell bruk"; informasjon, hvis ødeleggelse eller endring vil påvirke driftseffektiviteten negativt, og restaurering vil kreve ekstra kostnader. Fra et synspunkt av administrative tiltak ble følgende anbefalinger utviklet: informasjonssikkerhetssystemet må være i samsvar med lovgivningen i Den russiske føderasjonen og statlige standarder; bygninger og lokaler hvor informasjonsbehandlingsanlegg er installert eller lagret, arbeid utføres med beskyttet informasjon, skal være voktet og beskyttet med alarm- og adgangskontrollmidler; opplæring av personell i informasjonssikkerhetsspørsmål (forklarer viktigheten av passordbeskyttelse og passordkrav, gjennomføring av opplæring i antivirusprogramvare osv.) bør organiseres ved ansettelse av en ansatt; gjennomføre opplæring hver 6.-12. måned med sikte på å forbedre leseferdighetene til ansatte innen informasjonssikkerhet; en revisjon av systemet og justeringer av de utviklede forskriftene bør utføres årlig, 1. oktober, eller umiddelbart etter innføringen av store endringer i bedriftsstrukturen; hver brukers tilgangsrettigheter til informasjonsressurser må dokumenteres (om nødvendig kreves tilgang skriftlig fra lederen); må sikres av programvareadministratoren og maskinvareadministratoren, deres handlinger koordineres av lederen for gruppen. La oss formulere en passordpolicy: ikke lagre dem i ukryptert form (ikke skriv dem ned på papir, i en vanlig tekstfil, etc.); endre passordet hvis det avsløres eller mistenkes for avsløring; lengden må være minst 8 tegn; Passordet må inneholde store og små bokstaver, tall og spesialtegn, passordet må ikke inneholde lett beregnede tegnsekvenser (navn, dyrenavn, datoer); endre en gang hver 6. måned (en uplanlagt passordendring må gjøres umiddelbart etter å ha mottatt melding om hendelsen som utløste endringen); Når du endrer passord, kan du ikke velge de som ble brukt tidligere (passordene må avvike med minst 6 posisjoner). La oss formulere en policy angående antivirusprogrammer og virusdeteksjon: Lisensiert antivirusprogramvare må være installert på hver arbeidsstasjon; oppdatering av antivirusdatabaser på arbeidsstasjoner med Internett-tilgang - en gang om dagen, uten Internett-tilgang - minst en gang i uken; sette opp automatisk skanning av arbeidsstasjoner for virusdeteksjon (hyppighet av kontroller - en gang i uken: fredag, 12:00); Bare administratoren kan avbryte antivirusdatabaseoppdateringen eller virusskanningen (passordbeskyttelse bør angis for den angitte brukerhandlingen). La oss formulere en policy angående fysisk beskyttelse: teknisk sondering og fysisk undersøkelse for uautoriserte enheter koblet til kabler bør utføres hver 1-2 måned; nettverkskabler må beskyttes mot uautorisert avskjæring av data; registreringer av alle mistenkte og faktiske feil som har oppstått med utstyret skal lagres i en logg Hver arbeidsstasjon skal være utstyrt med en avbruddsfri strømforsyning. La oss definere en policy for informasjonsreservasjon: for sikkerhetskopier bør det tildeles et eget rom, plassert utenfor administrasjonsbygningen (rommet skal være utstyrt med en elektronisk lås og alarm); Informasjonsreservasjon bør gjøres hver fredag kl 16:00. Retningslinjene for ansettelse/oppsigelse av ansatte bør være som følger: eventuelle personalendringer (ansettelser, forfremmelse, oppsigelse av en ansatt osv.) skal meldes til administrator innen 24 timer, som igjen innen en periode på en halv arbeidsdag må gjøre passende endringer i systemet for avgrensing av tilgangsrettigheter til bedriftens ressurser; en ny ansatt må gjennomgå opplæring fra administratoren, inkludert kjennskap til sikkerhetspolicyen og alle nødvendige instruksjoner; tilgangsnivået til informasjon for den nye ansatte er tildelt av lederen; Når en ansatt forlater systemet, slettes hans ID og passord, arbeidsstasjonen sjekkes for virus, og integriteten til dataene som den ansatte hadde tilgang til analyseres. Retningslinjer for arbeid med lokalt internt nettverk (LAN) og databaser (DB): når han arbeider på arbeidsstasjonen og på LAN, må den ansatte bare utføre oppgaver som er direkte relatert til hans offisielle aktiviteter; Den ansatte skal varsle administrator om meldinger fra antivirusprogrammer om opptreden av virus; ingen andre enn administratorer har lov til å gjøre endringer i utformingen eller konfigurasjonen av arbeidsstasjoner og andre LAN-noder, installere programvare, la arbeidsstasjonen være uten kontroll eller la uautoriserte personer få tilgang til den; Administratorer anbefales å holde to programmer i gang til enhver tid: et ARP-forfalskningsangrepsdeteksjonsverktøy og en sniffer, hvis bruk vil tillate dem å se nettverket gjennom øynene til en potensiell inntrenger og identifisere brudd på sikkerhetspolitikken; Du bør installere programvare som forhindrer lansering av andre programmer enn de som er utpekt av administratoren, basert på prinsippet: "Enhver person gis rettighetene som er nødvendige for å utføre spesifikke oppgaver." Alle ubrukte dataporter må deaktiveres av maskinvare eller programvare; Programvaren bør oppdateres regelmessig. Internett-policy: administratorer tildeles rett til å begrense tilgangen til ressurser, hvis innhold ikke er relatert til utførelsen av offisielle oppgaver, samt til ressurser, hvis innhold og fokus er forbudt av internasjonal og russisk lovgivning; den ansatte har forbud mot å laste ned og åpne filer uten først å sjekke for virus; all informasjon om ressurser besøkt av bedriftens ansatte skal lagres i en logg og om nødvendig gis til avdelingsledere, samt ledelsen konfidensialitet og integritet for elektronisk korrespondanse og kontordokumenter sikres gjennom bruk av digitale signaturer. I tillegg vil vi formulere de grunnleggende kravene for å lage passord for ansatte i OJSC Gazprom-selskapet. Et passord er som en husnøkkel, bare det er nøkkelen til informasjon. For vanlige nøkler er det ekstremt uønsket å bli mistet, stjålet eller overlevert til en fremmed. Det samme gjelder passordet. Selvfølgelig avhenger informasjonssikkerheten ikke bare av passordet; for å sikre det, må du angi en rekke spesielle innstillinger og kanskje til og med skrive et program som beskytter mot hacking. Men å velge et passord er akkurat handlingen der det bare avhenger av brukeren hvor sterk denne lenken vil være i kjeden av tiltak som tar sikte på å beskytte informasjon. ) passordet må være langt (8-12-15 tegn); ) bør ikke være et ord fra en ordbok (enhver ordbok, til og med en ordbok med spesielle termer og slang), et egennavn eller et ord i kyrillisk alfabet skrevet i det latinske oppsettet (latin - kfnsym); ) den kan ikke knyttes til eieren; ) den endres med jevne mellomrom eller etter behov; ) brukes ikke i denne egenskapen på forskjellige ressurser (dvs. for hver ressurs - for å logge inn i en postboks, operativsystem eller database - må et annet passord brukes); ) er det mulig å huske det. Å velge ord fra ordboken er uønsket, siden en angriper som utfører et ordbokangrep vil bruke programmer som er i stand til å søke opptil hundretusenvis av ord per sekund. All informasjon knyttet til eieren (det være seg fødselsdato, hundens navn, mors pikenavn og lignende "passord") kan lett gjenkjennes og gjettes. Bruken av store og små bokstaver, så vel som tall, kompliserer angriperens oppgave med å gjette passordet. Passordet bør holdes hemmelig, og hvis du mistenker at passordet er blitt kjent for noen, endre det. Det er også veldig nyttig å endre dem fra tid til annen. Konklusjon Studien tillot oss å trekke følgende konklusjoner og formulere anbefalinger. Det er fastslått at hovedårsaken til virksomhetens problemer innen informasjonssikkerhet er mangelen på en informasjonssikkerhetspolicy, som vil omfatte organisatoriske, tekniske, økonomiske løsninger med påfølgende overvåking av implementeringen og evaluering av effektiviteten. Definisjonen av informasjonssikkerhetspolitikk er formulert som et sett med dokumenterte beslutninger, hvis formål er å sikre beskyttelse av informasjon og tilhørende informasjonsrisiko. Analysen av informasjonssikkerhetssystemet avdekket betydelige mangler, inkludert: lagring av sikkerhetskopier i serverrommet, backupserveren er plassert i samme rom som hovedserverne; mangel på ordentlige regler angående passordbeskyttelse (passordlengde, regler for valg og lagring av det); nettverksadministrasjon håndteres av én person. En generalisering av internasjonal og russisk praksis innen informasjonssikkerhetsstyring av virksomheter tillot oss å konkludere med at for å sikre det, er det nødvendig: prognoser og rettidig identifisering av sikkerhetstrusler, årsaker og forhold som bidrar til økonomisk, materiell og moralsk skade; skape driftsforhold med minst mulig risiko for å implementere sikkerhetstrusler mot informasjonsressurser og forårsake ulike typer skader; skape en mekanisme og betingelser for effektivt å reagere på trusler mot informasjonssikkerhet basert på juridiske, organisatoriske og tekniske midler. Det første kapittelet i arbeidet diskuterer de viktigste teoretiske aspektene. Det gis en oversikt over flere standarder innen informasjonssikkerhet. Det trekkes konklusjoner for hver og en helhet, og den mest hensiktsmessige standarden for utforming av informasjonssikkerhetspolitikk er valgt. Det andre kapittelet undersøker strukturen i organisasjonen og analyserer hovedproblemene knyttet til informasjonssikkerhet. Som et resultat er det utarbeidet anbefalinger for å sikre riktig nivå av informasjonssikkerhet. Tiltak for å forhindre ytterligere hendelser knyttet til informasjonssikkerhetsbrudd vurderes også. Å sikre en organisasjons informasjonssikkerhet er selvfølgelig en kontinuerlig prosess som krever konstant overvåking. Og en naturlig utformet politikk er ikke en jernkledd garantist for beskyttelse. I tillegg til implementeringen av policyen, kreves det konstant overvåking av kvalitetsimplementeringen, samt forbedring i tilfelle endringer i selskapet eller presedenser. Det ble anbefalt for organisasjonen å ansette en ansatt hvis aktiviteter ville være direkte relatert til disse funksjonene (sikkerhetsadministrator). Bibliografi informasjonssikkerhet økonomisk skade 1. Belov E.B. Grunnleggende om informasjonssikkerhet. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Hotline - Telecom, 2006. - 544s Galatenko V.A. Informasjonssikkerhetsstandarder: et kurs med forelesninger. Pedagogisk godtgjørelse. - 2. utgave. M.: INTUIT.RU "Internet University of Information Technologies", 2009. - 264 s. Glatenko V.A. Informasjonssikkerhetsstandarder / Åpne systemer 2006.- 264c Dolzhenko A.I. Informasjonssystemstyring: Opplæringskurs. - Rostov ved Don: RGEU, 2008.-125 s. Kalashnikov A. Dannelse av en bedriftspolicy for intern informasjonssikkerhet #"justify">. Malyuk A.A. Informasjonssikkerhet: konseptuelle og metodiske grunnlag for informasjonsbeskyttelse / M.2009-280s Mayvold E., Nettverkssikkerhet. Egenbruksanvisning // Ekom, 2009.-528 s. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Fundamentals of organisatorisk støtte for informasjonssikkerhet for informatiseringsobjekter // Helios ARV, 2008, 192 pp.
