Informasjonssikkerhet forstås vanligvis som et sett med tiltak rettet mot å implementere det nødvendige nivået av programvare- og maskinvaresikkerhet mot ulovlig og uautorisert penetrering av inntrengere. I dag får omfattende informasjonsbeskyttelse i en bedrift maksimal popularitet, inkludert alle mulige sikkerhetsteknikker og verktøy som er tilgjengelige for implementering. Hvis vi vurderer et vitnemål i informasjonssikkerhet, vil vi absolutt finne en analyse av hvert slikt middel for å beskytte informasjon i IP i det, nemlig:

• Fysiske beskyttelsesmidler, bestående av installerte sikkerhetskameraer, ulike låseanordninger (låser), dører, stenger, metallskap, safer, etc. Designet primært for å skape en naturlig barriere for en angriper;
• Maskinvaresikkerhet, som inkluderer ulike enheter, sensorer, detektorer, skannere og krypteringer, som mest effektivt bidrar til å opprettholde datakonfidensialitet og sikkerheten til systemer og nettverk (det vanligste bruksområdet er informasjonsbeskyttelse i lokale nettverk, samt kryptografisk informasjonsbeskyttelse) ;
• Programvarebeskyttelsesverktøy, som primært er representert av ulike brannmurer, antivirussystemer, brannmurer, sikkerhetspolicyer osv., dvs. diverse programvare som på en eller annen måte utvider mulighetene til standard sikkerhetsverktøy og takler oppgaven relativt vellykket. Den eneste nyansen som er verdt å fremheve er at hvis du forfølger et diplom i utviklingen av et persondatabeskyttelsessystem, er det bedre å foretrekke maskinvarebeskyttelse, siden de blir mye mer effektive og ikke er så utsatt for hacking;
• Organisatoriske beskyttelsestiltak, som er representert ved ulike charter, regler og tekniske forskrifter for arbeid med spesifikke kategorier av data. Organiseringen og teknologien for informasjonsbeskyttelse i dette tilfellet er som følger - alle ansatte overholder strengt regelverket og kravene som er knyttet til arbeid med data klassifisert som "konfidensiell" eller "personlig". Unnlatelse av å overholde kravene vil resultere i straffer, administrativt eller strafferettslig ansvar.

Databeskyttelsesmetodene beskrevet ovenfor er selvfølgelig ikke de eneste, men hver av dem spiller en viktig rolle i prosessen med å gjennomføre envisjon.

La oss fremheve nøkkeltrekkene som kjennetegner nesten alle vitnemål innen informasjonssikkerhet:

• Et klart definert og begrunnet mål for prosjektet, den høye relevansen av forskningen som utføres og et klart ønsket resultat ved fullført alt arbeid;
• En riktig formulert hovedoppgave, som inneholder en trinn-for-trinn-liste over alle nødvendige handlinger, som, hvis de er fullført, fører til det nødvendige sluttresultatet;
• Identifisering av flere tilgjengelige løsninger på et gitt problem, tatt i betraktning alle krav og betingelser for databeskyttelse, videre valg av det mest passende (i form av tid og kostnad) mulig alternativ og begrunnelse for valget som er gjort. Den grunnleggende faktoren i dette tilfellet er effektivitet og overholdelse av alle databeskyttelseskrav;
• Bestemme den mest tilgjengelige og forståelige presentasjonen av forskningsresultatet for større klarhet under forsvaret.

Det er ikke vanskelig å gjette at vitnemål i informasjonssikkerhet i en bedrift er ganske komplekse og dekker et bredt spekter av områder, og for å kunne utvikle et personvernsystem på riktig måte er det viktig å ha god teoretisk og praktisk kunnskap. Men denne betingelsen er ikke alltid oppfylt.

Mer enn en gang lurte elevene på hva de skulle gjøre hvis jeg selv ikke har tid til å fullføre hele arbeidsmengden. Svaret er ganske enkelt - du må kontakte nettbutikken vår på forhånd, hvor et stort antall forskjellige informasjonssikkerhetsverk presenteres. Bare noen få eksempler vil være tilstrekkelig:

• Arbeid med å organisere informasjonssikkerhet;
• Avhandling om informasjonssikkerhet;
• Vurdering av problemer med å sikre informasjonssikkerhet.

Og vi er helt sikre på at hver av dere vil kunne velge et diplom fra oss i henhold til dine krav, og hvis det ikke er noe valgt emne, kan du enkelt bestille det fra våre spesialister.

Denne kategorien presenterer arbeid knyttet til å sikre informasjonssikkerheten til bedrifter, informasjonssystemer og lokale datanettverk, inkludert:

1. dokumentflytsikkerhet;
2. sikkerhet for operativsystemer og databaser;
3. sikkerhet for datasystemer;
4. sikkerhet for Internett-ressurser;
5. ingeniør- og teknisk informasjonsbeskyttelse.

Arbeidene er utarbeidet for spesialister innen følgende spesialiteter:

090000 INFORMASJONSSIKKERHET

090100 Informasjonssikkerhet

090101 Kryptografi

090102 Datasikkerhet

.

E Hvis du ikke har funnet et passende ferdig verk, kan du bestille et nytt som skal skrives, som vil bli ferdigstilt i tide og i full overensstemmelse med dine krav. Bestillingsskjema innen .

fokus (profil) "Informasjonssystemer og teknologier"

opplæringsområder 09.03.02 "Informasjonssystemer og teknologier"

design og teknologisk,

service og drift.

1. Virtualisering av informasjonsinfrastrukturen til virksomheten (navnet på virksomheten).

2. Integrasjon av bedriftsinformasjonssystemer basert på Linux OS og et fritt distribuert DBMS.

3. Modernisering og administrasjon av bedriftens informasjonssystem til foretaket (navnet på foretaket).

4. Modernisering, administrasjon og vedlikehold av informasjonsnettverket til foretaket (navnet på foretaket).

5. Modernisering av informasjons- og styringssystemet til foretaket (prosess) (navnet på foretaket eller prosessen) og utvikling av tiltak for å støtte det.

6. Utvikling av en intranettportal for virksomheten (navn på virksomheten).

7. Design av et bedriftsinformasjonsnettverk (navn på bedrift).

8. Utforming av et bedriftsinformasjonssystem for en virksomhet (navn på virksomhet).

9. Utvikling og vedlikehold av bedriftens webportal til foretaket (navnet på foretaket).

10. Utvikling av et automatisert informasjonsbehandlingssystem for virksomheten (navn på virksomheten).

11. Utvikling av en prototype av et bedriftsinformasjonssystem for prosessstyring (navn på prosessen eller objektet).

12. Utvikling av en webtjeneste for informasjonssystemet til virksomheten (navnet på virksomheten).

13. Utvikling av et referanseinformasjonssystem for virksomheten (navn på virksomheten).

14. Utvikling av en modell og design av et virks(navn på virksomhet).

15. Utvikling av teknologisk programvare for systemvedlikehold (navn på system).

16. Utvikling av programvare for en mikroprosessorenhet (navn på enhet).

17. Utvikling av en mobil klientapplikasjon for bedriftens informasjonssystem (navnet på bedriften).

18. Utvikling av en simuleringsmodell for å optimalisere produksjonsprosessparametere.

19. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).

20. Utvikling av en modul (delsystem) (navnet på den implementerte funksjonen) av informasjonssystemet (bedriftsinformasjon) til foretaket (navnet på foretaket).

i utdanningsprogrammet anvendt bachelorgrad

opplæringsområder 03/09/04 "Software Engineering"

Typer profesjonelle aktiviteter:
produksjon og teknologi,
organisatorisk og ledelsesmessig,
service og drift.

1. Utvikling av en applikasjon for å analysere et nettsted, sosialt nettverk, portal.

2. Design og programvareimplementering av et informasjonssystem (informasjons- og referansesystem) (systemets formål eller funksjon).

3. Utvikling av fastvare for enheten (navnet på enheten).

4. Utvikling av applikasjonsprogramvare for systemet (navn på systemet).

5. Utvikling av et programvareinformasjonssystem (navnet på bruksområdet eller prosessen som implementeres).

6. Utvikling av metoder for testing og feilsøking av programvare (navn på programvare).

7. Utvikling av en programvaremodul (navnet på modulen) for 1C: Enterprise-systemet (navnet på bedriften).

8. Utvikling av en webtjeneste for bedr(navnet på bedriften).

9. Utvikling av en applikasjon for å støtte informasjonsmålesystemet (formålet med systemet).

10. Studie av informasjonssikkerhet for webtjenester til 1C:Enterprise-systemet.

11. Utvikling av en modul (delsystem) (navnet på den implementerte funksjonen) av informasjonssystemet (bedriftsinformasjon) til foretaket (navnet på foretaket).

12. Utvikling av server (klient) programvare for systemet (navn på systemet).

Emner for endelige kvalifiseringsverk

i utdanningsprogrammet anvendt bachelorgrad

fokus (profil) "Informasjonstjeneste"

:
service,

1. Modernisering, administrasjon og vedlikehold av bedriftens lokale nettverk (navnet på bedriften).

2. Modernisering og administrasjon av bedriftsinformasjonssystemet (foretakets navn).

3. Design av et virksomhetsinformasjonssystem (navn på virksomhet).

4. Design og utvikling av teknologi for drift av et lokalt nettverk til en virksomhet (navn på virksomhet).

5. Design av maskinvare- og programvarebeskyttelse av informasjonssystemet til bedriften (navnet på bedriften).

6. Utvikling av teknologi for diagnostikk, reparasjon og vedlikehold av enheten (navn på enheten, gruppe av enheter, måleutstyr, dataenhet, datamaskin eller mikroprosessorsystem, lokalt nettverk).

7. Utvikling og administrasjon av selskapets hjemmeside (navn på selskapet).

8. Utvikling av serverkonfigurasjonen for dataoverføringsnettverket til virksomheten (navnet på virksomheten).

9. Utvikling og administrasjon av virksomhetens informasjonssystemdatabase (navn på virksomheten).

10. Utvikling av en intranettportal for virksomheten (navn på virksomheten).

11. Utvikling av et delsystem for overvåking av produksjonsprosesser på 1C:Enterprise-plattformen.

12. Utvikling av et prosjekt for et distribuert informasjonssystem (navnet på systemet) til virksomheten (navnet på virksomheten).

13. Utvikling av et informasjons- og referanseregnskapssystem (navn på regnskapsobjektet).

14. Utvikling av en WCF-tjeneste for et bedriftsinformasjonssystem.

15. Utvikling av en modell av et virksomhetsinformasjonssystem (navn eller virksomhetsområde til virksomheten).

16. Utvikling av metoder for testing og feilsøking av programvare (navn på programvare).

17. Utvikling av et sett med tiltak for administrasjon og vedlikehold av et programvareinformasjonssystem (navnet på bruksområdet eller prosessen som implementeres).

18. Modellering og forskning av dataoverføringssystemet (navnet på systemet).

19. Forskning og optimalisering av parametere for et distribuert informasjonssystem på 1C:Enterprise-plattformen.

20. Design av en avdeling av foretaket (navnet på foretaket) for reparasjon og vedlikehold av elektronisk (datamaskin) utstyr og organisering av drift av teknisk utstyr.

21. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).

22. Utvikling av server (klient) programvare for systemet (navn på systemet).

Emner for endelige kvalifiseringsverk

i utdanningsprogrammet anvendt bachelorgrad

direktivitet (profil) "Elektronisk utstyrstjeneste"

opplæringsområder 03.43.01 "Service"

Typer profesjonelle aktiviteter:
service,
produksjon og teknologisk.

1. Utvikling av teknologi for diagnostikk, reparasjon og vedlikehold av enheten (navn på elektronisk enhet, mikroprosessor eller telekommunikasjonssystem, måleutstyr, dataoverføringsnettverk).

2. Utvikling av et elektronisk system (navnet på systemet) til bedriften (navnet på bedriften, kjøpesenter og kontorsenter, underholdningskompleks).

3. Utvikling av en informasjonsinn-/utdataenhet (navnet på enheten).

4. Utvikling av programvare for en mikroprosessorenhet (navn på enhet).

5. Utvikling av bedriftens telekommunikasjonsnettverk for en bedrift (foretaksnavn).

6. Utvikling av en digital enhet (modul) (navn på enheten, modul; navn på funksjonen som implementeres).

7. Utvikling av en strømforsyningsenhet for elektronisk utstyr (navn på utstyr).

8. Utvikling av teknologi for overvåking (kontrollerende parametere) av objekter (navn på objekter).

9. Utvikling og forskning av en trådløs sensor (navnet på den målte parameteren).

10. Design av en avdeling av foretaket (navnet på foretaket) for reparasjon og vedlikehold av elektronisk (datamaskin) utstyr og organisering av drift av teknisk utstyr.

11. Utvikling av et delsystem (navn på delsystemet) av et integrert sikkerhetssystem for virksomheten (navn på virksomheten).

Emner for endelige kvalifiseringsverk

i utdanningsprogrammet anvendt bachelorgrad

direktivitet (profil) "Radiotekniske midler for å sende, motta og behandle signaler"
opplæringsområder 03/11/01 "Radio Engineering"

Typer profesjonelle aktiviteter:
design og prosjektering,
service og drift.

1. Utvikling av en enhet (blokk, modul; mottaker, sender, sender/mottaker) system (navnet på systemet).

2. Utvikling av trådløst grensesnitt for elektronisk utstyr (navn på utstyr).

3. Studie av den virtuelle modellen til enheten (spesifiser typen enhet) i miljøet (navnet på programvaremiljøet).

4. Utvikling av et undersystem (navnet på undersystemet) av et integrert virksomhetssikkerhetssystem (navnet på virksomheten.

Emner for endelige kvalifiseringsverk

i utdanningsprogrammet anvendt bachelorgrad

direktivitet (profil) "Mobile kommunikasjonssystemer"

opplæringsområder 11.03.02 "Infokommunikasjonsteknologier og kommunikasjonssystemer"

Typer profesjonelle aktiviteter:
design

1. Utforming av et telenett for en virksomhet (navn på virksomhet).

2. Administrasjon og vedlikehold av foretakets telenett (foretakets navn).

3. Utvikling av en blokk (kodek, vokoder, synkroniseringsenhet, matchende enhet) av et digitalt telekommunikasjonssystem.

4. Utvikling av en trådløs grensesnittadapter (navn på grensesnitt).

5. Utvikling av et informasjonsbehandlingsenhet (enhetstype) system (systemnavn).

6. Utvikling av en enhet for grensesnittsystemer (navn på systemer).

7. Utvikling av en systemkontroller (systemnavn).

8. Utvikling av en synkroniseringsenhet for et telekommunikasjonssystem (systemnavn).

9. Utvikling av en teknologisk enhet for testing av telekommunikasjonsutstyr (navn på utstyr).

10. Utvikling av et trådløst kommunikasjonsnettverk (nettverkssegment) basert på teknologi (navn på teknologi).

11. Utvikling av teknologi for fjernovervåking av objektparametere (navn på parametere).

12. Utvikling av et sensornettverk for overvåking av tilstanden til et objekt (navn på objektet).

13. Utvikling av teknologi for diagnostikk og måling av parametere til en telekommunikasjonsenhet (navn på enhet, system, nettverk, miljø).

14. Utvikling av en transceiver-enhet for systemet (navnet på systemet).

15. Utvikling av telekommunikasjonsenheter for fjernstyring av et objekt (navn på objekt).

16. Utvikling av parametermåler for teleutstyrskomponenter (navn på komponenter).

17. Utvikling av en trådløs informasjonsinn-/utdataenhet (navn på enhet).

18. Utvikling av maskinvare og programvare for infokommunikasjonsteknologi (navn på teknologi).

19. Studie av informasjonsoverføringsprotokoller i systemet (navn på systemet).

20. Forskning av digitale signalbehandlingsmetoder for systemet (navnet på systemet).

21. Utvikling av infokommunikasjonsteknologi og facility management system (navn på anlegget).

22. Utvikling av et trådløst system for måling av en parameter (navn på parameter).

23. Design av virtuelle servere basert på verktøy (navn på virtualiseringsverktøy) og dataoverføringskanaler for en virksomhet (navn på virksomhet).

Emner for endelige kvalifiseringsverk

i henhold til utdanningsprogrammet for videregående opplæring

spesialitet 09.02.01 "Datasystemer og komplekser"

Profesjonelle moduler:

PM.01 Design av digitale enheter,

PM.02 Anvendelse av mikroprosessorsystemer, installasjon og konfigurering av perifer trening,

PM.03 Vedlikehold og reparasjon av datasystemer og komplekser.

1. Diagnostikk av feil og overvåking av utstyrets tekniske tilstand (navn på maskinvare og programvare for datateknologi eller datanettverk).

2. Sette sammen, konfigurere og sette opp verktøy (navn på maskinvare og programvare eller datanettverk).

3. Utvikling av et sett med tiltak for å sikre informasjonssikkerheten til foretakets datanettverk (navnet på foretaket).

4. Utvikling av et kontaktløst identifikasjonssystem for virksomheten (navn på virksomheten).

5. Vedlikehold og administrasjon av virksomhetens informasjonssystem (navn på virksomheten).

6. Vedlikehold og administrasjon av foretakets datanettverk (foretakets navn).

7. Vedlikehold og støtte for maskinvare og programvare (navn på maskinvare eller datanettverk).

8. Installasjon, tilpasning og vedlikehold av programvare (navn på programvare).

9. Utvikling og forskning av en digital (mikroprosessor) enhet (modul) (navn på enhet, modul).

10. Utvikling av testteknologi og omfattende feilsøking av programvare (navn på programvare).

Emner for endelige kvalifiserende arbeider for nyutdannede

fokus (profil) "Elementer og enheter av datateknologi og informasjonssystemer"

opplæringsområder 09.04.01 "Informatikk og informatikk"

Typer profesjonelle aktiviteter:
design,
Vitenskapelig forskning.

1. Modellering og forskning av nettverksprotokoller for informasjonsoverføring (type informasjon er angitt).

2. Forskning og utvikling av datamaskinmetoder for å forbedre systemparametere (parametere eller parametere og systemtype er angitt).

3. Datamodellering, forskning og optimalisering av informasjons- eller telekommunikasjonssystemer (klassen av systemer er angitt).

4. Forskning og optimalisering av bygging av trådløse sensornettverk.

5. Forskning og analyse av konstruksjonen av trådløse Internet of Things-nettverk.

6. Utvikling av effektivitetskriterier og studie av distribusjon av virtuelle maskiner innenfor skyinfrastrukturen.

7. Utvikling, forskning og evaluering av effektiviteten til distribuerte informasjonssystemer (eller informasjonsmålende) systemer (anvendelsesområdet eller typen systemer er angitt).

8. Utvikling og forskning av trådløst grensesnitt for utstyr (navn på utstyr).

9. Utvikling og forskning av en objektsporingsenhet (navn på objekter).

10. Utvikling og forskning av enheter for å overvåke tilstanden til et objekt (navn på objekt).

11. Utvikling av maskinvare- og programvarediagnoseverktøy for enheter (navn på enheter).

12. Utvikling og forskning av en trådløs sensor (navnet på den målte parameteren).

13. Studie av korreksjonsalgoritmer for omformere av en parameter (parameternavn) til kode.

14. Utvikling av algoritmer og programvare for overvåking av parametrene til anleggsstyringssystemet (navn på anlegget).

15. Utvikling og forskning av trådløse kontrollenheter for objektet (navn på objektet).

16. Modellering og forskning av parameteromformere (navn på parametere).

17. Metoder for å vurdere kvaliteten på programvare (hensikten med programvaren er angitt).

18. Studie av funksjonen til enheter (navn på enheter) under forhold (forhold er angitt) for å forbedre egenskapene (egenskapene er angitt).

19. Utvikling av metoder for analyse og syntese av enheter (navn på enheter) for å forbedre egenskaper (karakteristikker er angitt).

Emner for endelige kvalifiseringsverk

i det akademiske masterprogrammet

fokus (profil) "Utvikling av programvare og informasjonssystemer"
opplæringsområder 09.04.04 "Software Engineering"

Typer profesjonelle aktiviteter:
forskning,
design

1. Utvikling og forskning av en REST-tjeneste for visning av timeplaner i høyere utdanningsinstitusjoner.

2. Forskning og utvikling av programvaretestingsverktøy for mobiloperatører.

3. Anerkjennelse av den fysiologiske tilstanden til en person basert på teorien om systemer med en tilfeldig struktur.

4. Design av et salgsa(navn på bedrift) basert på MDA-tilnærmingen.

5. Utvikling og forskning av et programvareinformasjonssystem for å vurdere kvaliteten på programvare (navnet på programvaren er angitt).

6. Utvikling av distribuert programvare og informasjonssystemer (systemets anvendelsesområde er angitt) og forskning på mulighetene for deres optimering basert på effektivitetskriterier (kriteriene er angitt).

7. Utvikling av programvare for å støtte input/output enheter for systemet (navn på systemet).

8. Studie av sikkerheten til komponenter i programvareinformasjonssystemet (navnet på systemet).

Metodiske anbefalinger er ment for studenter i alle former for spesialitetstrening 10.02.01 (090905) og representerer et sett med krav for organisering, implementering og forsvar av endelige kvalifiserende arbeider (GQR).

• Føderal statlig utdanningsstandard for grunnleggende og avansert opplæring i spesialiteten 10.02.01 (090905) Organisering og teknologi for informasjonssikkerhet,
• Føderal lov av 29. desember 2012 nr. 273-FZ "On Education in the Russian Federation",
• prosedyren for å gjennomføre statlig endelig sertifisering for utdanningsprogrammer for videregående yrkesutdanning, godkjent. etter ordre fra Utdannings- og vitenskapsdepartementet i Den russiske føderasjonen datert 16. august 2013 nr. 968 (heretter referert til som prosedyren for gjennomføring av statsundersøkelsen),
• bestemmelser fra den statlige budsjettmessige utdanningsinstitusjonen "Teknologisk høyskole nr. 34" "Om prosedyren for å gjennomføre statlig endelig sertifisering for utdanningsprogrammer for videregående yrkesutdanning",
• kvalitetsstyringssystemer.

1. GENERELLE BESTEMMELSER

Statlig endelig sertifisering av en utdannet ved Moscow State Budgetary Education Institution "Technological College No. 34" i spesialiteter 10.02.01(090905)Organisering og teknologi for informasjonssikkerhetinkluderer utarbeidelse og forsvar av en avsluttende kvalifiserende oppgave.

Kvalitetskontroll Graduate opplæring utføres i to hovedområder:

• vurdering av mestringsnivået i akademiske disipliner, MDK og PM;
• vurdering av graden av mestring av kompetanse.

Område med faglig aktivitetnyutdannede. Informasjonssikkerhetsspesialist etter spesialitet 10.02.01(090905) utfører arbeid knyttet til å sikre helhetlig informasjonsbeskyttelse basert på utviklede programmer og teknikker. Samler inn og analyserer materiale fra institusjoner, organisasjoner og industribedrifter for å utvikle og ta beslutninger og tiltak for å sikre beskyttelse av informasjon og effektiv bruk av automatiske kontrollverktøy, oppdage mulige kanaler for lekkasje av informasjon som representerer stat, militær, offisiell og kommersiell hemmeligheter. Analyserer eksisterende metoder og midler som brukes for å kontrollere og beskytte informasjon og utvikler forslag for å forbedre dem og øke effektiviteten av denne beskyttelsen. Deltar i inspeksjon av verneobjekter, deres sertifisering og kategorisering. Utvikler og utarbeider for godkjenning utkast til normativt og metodisk materiale som regulerer arbeidet med informasjonsvern, samt forskrifter, instrukser og andre organisatoriske og administrative dokumenter. Organiserer utvikling og rettidig innsending av forslag for inkludering i relevante deler av langsiktige og gjeldende arbeidsplaner og tiltaksprogrammer for kontroll og beskyttelse av informasjon. Gir tilbakemeldinger og konklusjoner på prosjekter av nyoppførte og rekonstruerte bygninger og strukturer og annen utvikling på spørsmål om å sikre informasjonssikkerhet. Deltar i gjennomgangen av tekniske spesifikasjoner for design, foreløpige, tekniske og detaljerte design, sikrer deres samsvar med gjeldende regulatoriske og metodiske dokumenter, samt i utviklingen av nye grunnleggende diagrammer av kontrollutstyr, kontrollautomatiseringsverktøy, modeller og informasjonssikkerhetssystemer , vurdering av det tekniske og økonomiske nivået og effektiviteten til de foreslåtte og implementerte organisatoriske og tekniske løsningene: organisere innsamling og analyse av materialer for å utvikle og iverksette tiltak for å sikre databeskyttelse og identifisere mulige kanaler for informasjonslekkasje som representerer offisielle, kommersielle , militære og statshemmeligheter.

Gjenstander for profesjonell aktivitetnyutdannede er:

• deltakelse i planlegging og organisering av arbeidet for å sikre beskyttelse av anlegget;
• organisere arbeid med dokumentasjon, inkludert konfidensiell;
• bruk av programvare, maskinvare og tekniske midler for informasjonssikkerhet;
• deltakelse i implementeringen av et omfattende anleggsbeskyttelsessystem;
• deltakelse i innsamling og behandling av materialer for å utvikle løsninger for å sikre informasjonssikkerhet og effektiv bruk av midler for å oppdage mulige kanaler for lekkasje av konfidensiell informasjon;
• deltakelse i utvikling av programmer og metoder for organisering av informasjonssikkerhet ved anlegget;
• overvåke personells overholdelse av kravene i informasjonssikkerhetsregimet;
• deltakelse i utarbeidelse av organisatoriske og administrative dokumenter som regulerer arbeidet med informasjonsbeskyttelse;
• organisering av dokumentflyt, inkludert elektronisk, under hensyntagen til konfidensialiteten til informasjon.

Avsluttende kvalifiseringsarbeidhar som mål å systematisere og utdype kunnskap, forbedre ferdighetene og evnene til kandidaten til å løse komplekse komplekse vitenskapelige og tekniske problemer med elementer av vitenskapelig forskning, samt demonstrere graden av faglig beredskap til kandidaten og dens samsvar med denne utdanningsstandarden. Forsknings- og utviklingsarbeidet for kvalifikasjonen «informasjonssikkerhetsspesialist» utføres i form av en oppgave eller avgangsprosjekt. Fagstoffet for utdanningskvalifikasjonene for den grunnleggende opplæringsformen forutsetter samsvar med innholdet i en eller flere faglige moduler.

Profesjonell syklus av spesialitet10.02.01(090905) Organisering og teknologi for informasjonssikkerhetinkluderer 4 profesjonelle moduler:

1. Deltakelse i planlegging og organisering av arbeid for å sikre vern av anlegget.
2. Organisering og teknologi for arbeid med konfidensielle dokumenter.
3. Anvendelse av programvare, maskinvare og tekniske midler for informasjonssikkerhet.
4. Utføre arbeid i ett eller flere arbeideryrker eller kontorstillinger.

Det endelige kvalifiseringsarbeidet må oppfylle en rekke obligatoriske krav:

• demonstrere utviklingsnivået for generell og profesjonell kompetanse;
• være relevant og praksisorientert;
• overholde den utviklede oppgaven;
• inkludere en analyse av kilder om temaet med generaliseringer og konklusjoner, sammenligninger og vurdering av ulike synspunkter;
• demonstrere kandidatens nivå av beredskap for en/flere type(r) yrkesaktivitet;
• konsistens i presentasjonen, overtalelsesevnen til det presenterte faktamaterialet;
• begrunnede konklusjoner og generaliseringer.

I det avsluttende kvalifiseringsarbeidet skal studenten demonstrere mestring av generell og faglig kompetanse, herunder evne til å:

OK 1. Forstå essensen og den sosiale betydningen av ditt fremtidige yrke, ha høy motivasjon for å utføre profesjonelle aktiviteter innen informasjonssikkerhet.

OK 2. Organiser dine egne aktiviteter, velg standardmetoder og måter å utføre faglige oppgaver på, vurder deres effektivitet og kvalitet.

OK 3. Ta beslutninger i standard og ikke-standard situasjoner og ta ansvar for dem.

OK 4. Søk og bruk informasjon som er nødvendig for effektiv utførelse av faglige oppgaver, faglig og personlig utvikling.

OK 5.

OK 6. Arbeid i team og team, kommuniser effektivt med kolleger, ledelse og forbrukere.

OK 7. Ta ansvar for arbeidet til teammedlemmer (underordnede), resultatet av å fullføre oppgaver.

OK 8. Bestem selvstendig oppgavene for faglig og personlig utvikling, delta i selvutdanning, planlegg faglig utvikling bevisst.

OK 9. Å navigere i betingelsene for hyppige endringer i teknologi i profesjonelle aktiviteter.

OK 10.

OK 11. Bruk matematiske verktøy for å løse faglige problemer.

OK 12. Vurdere betydningen av dokumenter som brukes i faglig virksomhet.

OK 13. Finn dine peilinger i strukturen til føderale utøvende myndigheter som sikrer informasjonssikkerhet.

PM 01 Medvirkning i planlegging og organisering av arbeid for å sikre vern av anlegget.

PC 1.1. Delta i innsamling og behandling av materialer for å utvikle løsninger for å sikre beskyttelse av informasjon og effektiv bruk av midler for å oppdage mulige kanaler for lekkasje av konfidensiell informasjon.

PC 1.2. Delta i utvikling av programmer og metoder for organisering av informasjonssikkerhet ved anlegget.

PC 1.3. Planlegge og organisere gjennomføringen av informasjonssikkerhetstiltak.

PC 1.4. Delta i implementering av utviklede organisatoriske løsninger på profesjonelle steder.

PC 1.5. Oppbevare journaler, behandling, lagring, overføring, bruk av ulike medier med konfidensiell informasjon.

PC 1.6. Sørg for sikkerhetstiltak under organisatoriske og tekniske aktiviteter.

PC 1.7. Delta i organisering og gjennomføring av inspeksjoner av beskyttelsespliktige informasjonsteknologiobjekter.

PC 1.8. Overvåke personalets overholdelse av krav til informasjonssikkerhetsregimet.

PC 1.9. Være med på å vurdere kvaliteten på anleggsvern.

PM 02 Organisering og teknologi for arbeid med konfidensielle dokumenter.

PC 2.1. Delta i utarbeidelse av organisatoriske og administrative dokumenter som regulerer arbeidet med informasjonsvern.

PC 2.2. Delta i organisasjonen og gi teknologi for journalføring, med hensyn til konfidensialiteten til informasjon.

PC 2.3. Organiser dokumentflyt, inkludert elektronisk, med hensyn til konfidensialiteten til informasjon.

PC 2.4. Organiser arkivlagring av konfidensielle dokumenter.

PC 2.5. Utarbeide dokumentasjon for operativ styring av informasjonssikkerhetsverktøy og personell.

PC 2.6. Hold oversikt over arbeid og gjenstander som skal beskyttes.

PC 2.7. Utarbeide rapporteringsdokumentasjon knyttet til drift av kontroll- og informasjonssikkerhetsverktøy.

PC 2.8. Dokumentere fremdriften og resultatene av den interne granskingen.

PC 2.9. Bruk regulatoriske rettsakter, regulatoriske og metodiske dokumenter om informasjonsbeskyttelse.

PM 03 Anvendelse av programvare, maskinvare og tekniske midler for informasjonssikkerhet.

PC 3.1. Bruk programvare, maskinvare og tekniske midler for å beskytte informasjon om beskyttede objekter.

PC 3.2. Delta i driften av systemer og midler for å beskytte informasjon om beskyttede objekter.

PC 3.3. Utfør rutinemessig vedlikehold og registrer feil på verneutstyr.

PC 3.4. Identifisere og analysere mulige trusler mot informasjonssikkerheten til objekter.

PM 04 Utføre arbeid i ett eller flere arbeideryrker, arbeidstakerstillinger.

21299 "Klerk"

OK 1.
OK 2.
OK 3.
OK 4.
OK 5.	Bruk informasjons- og kommunikasjonsteknologi i faglige aktiviteter.
OK 6.
OK 7.	Utføre militære oppgaver, inkludert bruk av ervervet faglig kunnskap (for unge menn).
PC 4.1	Motta og registrere innkommende korrespondanse og videresende den til organisasjonens strukturelle avdelinger.
PC 4.2	Gjennomgå dokumenter og send dem til utførelse, under hensyntagen til beslutningen til organisasjonens ledere.
PC 4.3	Klargjør registreringskort og opprett en databank.
PC 4.4	Opprettholde en fil med registreringer av passering av dokumentarmateriale.
PC 4.5	Overvåke passering av dokumenter.
PC 4.6.	Send utfylt dokumentasjon til mottakere ved hjelp av moderne typer organisasjonsteknologi.
PC 4.7.	Kompiler og utfør offisielle dokumenter og materialer ved å bruke skjemaer for spesifikke typer dokumenter.
PC 4.8	Skjema saker.
PC 4.9	Gi et raskt søk etter dokumenter i organisasjonens vitenskapelige referanseapparat (kortfiler).
PC 4.10	Sikre sikkerheten til løpende offisiell dokumentasjon.

16199 "Operator av elektroniske datamaskiner og datamaskiner"

OK 1.	Forstå essensen og den sosiale betydningen av ditt fremtidige yrke, vis vedvarende interesse for det.
OK 2.	Organiser dine egne aktiviteter basert på målet og metodene for å oppnå det, bestemt av lederen.
OK 3.	Analysere arbeidssituasjonen, gjennomføre nåværende og endelig overvåking, evaluering og korrigering av egne aktiviteter, og være ansvarlig for resultatene av sitt arbeid.
OK 4.	Søk etter informasjon som er nødvendig for å effektivt utføre profesjonelle oppgaver.
OK 5.	Bruk informasjons- og kommunikasjonsteknologi i faglige aktiviteter.
OK 6.	Arbeid i et team, kommuniser effektivt med kolleger, ledelse og kunder.
OK 7.	Utføre militære oppgaver, inkludert bruk av ervervet faglig kunnskap (for unge menn).
PC 4.1	Forbered og konfigurer maskinvare, periferiutstyr, operativsystemer for personlige datamaskiner og multimedieutstyr.
PC 4.2	Legg inn digital og analog informasjon i en personlig datamaskin fra ulike medier.
PC 4.3	Konverter filer med digital informasjon til ulike formater.
PC 4.4	Behandle lyd- og visuelt innhold ved hjelp av lyd-, grafikk- og videoredigerere.
PC 4.5	Lag og spill av videoer og presentasjoner. lysbildefremvisninger, mediefiler og andre sluttprodukter fra de originale lyd-, visuelle og multimediekomponentene ved hjelp av en personlig datamaskin og multimedieutstyr.
PC 4.6	Lag mediebiblioteker for strukturert lagring og katalogisering av digital informasjon.
PC 4.7	Administrer plassering av digital informasjon på diskene til en personlig datamaskin, samt disklagring på et lokalt og globalt datanettverk.
PC 4.8	Repliker multimedieinnhold på ulike flyttbare lagringsmedier.
PC 4.9	Publiser multimedieinnhold på Internett.

1. UTFØRELSE AV KVALIFIKASJONSARBEID

Avsluttende kvalifiserende arbeid (FQR) er det avsluttende arbeidet av utdannings- og forskningskarakter under høyskoleutdanningen.Utarbeidelse av avsluttende kvalifiseringsarbeider det siste stadiet av en elevs utdanning og samtidig en test av hans evne til selvstendig å løse utdanningsproblemer. Studentens selvstendige arbeid med det valgte emnet begynner under pre-graduation praksis. Samtidig er det en ytterligere utdyping av hans teoretiske kunnskap, systematisering av dem, utvikling av anvendte ferdigheter og praktiske ferdigheter, og en økning i generell og faglig lærdom.

Oppgaven (oppgaven) har noen likhetstrekk med kursarbeid, for eksempel arbeid med teoretiske kilder eller deres utforming. Imidlertid er oppgaven (oppgaven) en teoretisk og (eller) eksperimentell studie av et av de aktuelle problemene med informasjonssikkerhet i kandidatens spesialitet. Forskning kan omfatte utvikling av ulike metoder, metoder, programvare og maskinvare, modeller, systemer, teknikker osv. som tjener til å nå oppgavens mål. Resultatene av oppgaven presenteres i form av et forklarende notat med vedlagt grafer, tabeller, tegninger, kart, diagrammer etc.

Når du utfører forsknings- og utviklingsarbeid, bør informasjon om de siste innenlandske og utenlandske prestasjonene innen vitenskap og teknologi innen informasjonssikkerhet brukes. Perioden med forberedelse og forsvar av oppgaven (oppgaven) innledes med praksis før eksamen. Vilkårene for praksis før diplom, samt vilkårene for forberedelse og forsvar av avhandlingen bestemmes av planen for organisering av utdanningsprosessen, godkjent av høgskolens ordre før starten av inneværende studieår. Avgangsarbeidet må utføres av kandidaten ved å bruke materialer samlet inn av ham personlig under pre-graduation internship, samt under skrivingen av kursarbeidet.

Emnene for endelige kvalifiserende arbeider bestemmes under utviklingen av det statlige eksamensprogrammet. Når du bestemmer temaet for WRC, bør det tas i betraktning at innholdet kan være basert på:

• om å oppsummere resultatene av kursarbeid tidligere utført av studenter;
• bruke resultatene av tidligere utførte praktiske oppgaver.

Tildelingen av emner for avsluttende kvalifiserende arbeider til studentene er formalisertsenest 1. novembersiste studieår. Samtidig blir studentene tildelt veiledere. Veilederen hjelper studenten med å utvikle forskningsområder, bestemme omfanget av teoretiske problemstillinger som skal studeres, og utvikle den praktiske delen av studiet. Hver leder kan ikke tildeles mer enn 8 elever.

1. STRUKTUR AV KVALIFIKASJONSARBEID

Oppbygningen av den teoretiske delen av den kvalifiserende oppgaven: innledning, teoretisk del, praktisk del, konklusjon, referanseliste, søknader.

Volumet av diplomprosjektet er på 40-50 sider med trykt tekst og inkluderer:

1. Tittelside (vedlegg 1).
2. Innhold. Innholdet i WRC opprettes automatisk i form av lenker for å lette arbeidet medstore mengder tekstmateriale. Bruk av elektronisk innholdsfortegnelse demonstrerer også mestring av den generelle kompetansen OK 5 (Bruk informasjons- og kommunikasjonsteknologi i yrkesvirksomhet).
3. Introduksjon. Det er nødvendig å begrunne relevansen og den praktiske betydningen av det valgte emnet, formulere mål og mål, formål og emne for forskningsprosjektet, og spekteret av problemstillinger som vurderes.

4. Hoveddelen av WRCinkluderer seksjoner i samsvar med presentasjonens logiske struktur. Tittelen på seksjonen skal ikke duplisere tittelen på emnet, og tittelen på avsnittene skal ikke duplisere tittelen på seksjonene.

Hoveddelen av forslaget skal inneholde to avsnitt.

• Seksjon I er viet de teoretiske aspektene ved objektet og emnet som studeres. Den inneholder en oversikt over informasjonskildene som brukes, regelverket rundt temaet WRC, og kan også inneholde statistiske data i form av tabeller og grafer.

Seksjon II er viet til analyse av praktisk materiale oppnådd under industriell (pre-graduate) internship. Denne delen inneholder:

analyse av spesifikt materiale om det valgte emnet;

• beskrivelse av identifiserte problemer og utviklingstrender for objektet og emnet for studien;
• beskrivelse av måter å løse identifiserte problemer ved hjelp av beregninger, analyse av eksperimentelle data, og produktet av kreativ aktivitet.

Under analysen kan analytiske tabeller, beregninger, formler, diagrammer, diagrammer og grafer brukes.

5. Konklusjon - bør inneholde konklusjoner og anbefalinger om muligheten for bruk eller praktisk anvendelse av forskningsresultatene. Bør ikke inneholde mer enn 5 sider med tekst.

6. Referanserutarbeidet i samsvar med GOST.

7. Søknader er plassert i slutten av arbeidet og er trukket opp iht Med

Innledningen, hvert kapittel, konklusjon og kildelisten begynner på en ny side.

Gi ut.Presentasjonen er ledsaget av en demonstrasjon av materialer fra søknadene.

For å gjøre dette må du forberede en elektronisk presentasjon. Men det kan også være en presentasjon på papir - utdelingsark til kommisjonen i egne mapper eller plakater hengt opp før talen.

Under studentens tale blir kommisjonen kjent med oppgaven, utdelingsark utstedt av studenten og videopresentasjon.

Elektronisk versjon av arbeidvedlagt WRC på papir. Platen skal legges i en konvolutt og signeres.

2.2. STATER I FORBEREDELSEN AV KVALIFIKASJONSARBEID

Trinn I: Engasjement i aktiviteter innebærer:

• velge et forskningstema;
• utvalg, studie, analyse og syntese av materialer om emnet;
• utvikling av en arbeidsplan.

Trinn II: Å fastsette arbeidsnivået innebærer en teoretisk studie av litteraturen og problemformulering.

Trinn III: Konstruksjon av forskningslogikk. Dataene fra dette stadiet gjenspeiles i innledningen.

Innledningen kan sammenlignes med et abstrakt til en bok: den diskuterer det teoretiske grunnlaget for vitnemålet, diskuterer dets struktur, stadier og arbeidsmetoder. Derfor bør innledningen skrives så kompetent og kort som mulig (2-3 sider). Innledningen skal forberede leseren til å oppfatte verkets hovedtekst. Den består av obligatoriske elementer som skal være riktig formulert.

1. Forskningens relevans- en forklaring på hvorfor temaet ditt er viktig og hvem som er etterspurt. (Svarer på spørsmålet: hvorfor bør dette studeres?) På dette tidspunktet er det nødvendig å avsløre essensen av problemet som studeres. Det er logisk å starte dette introduksjonspunktet med definisjonen av det økonomiske fenomenet som forskningsaktiviteten er rettet mot. Her kan du liste opp informasjonskildene som er brukt til forskningen. (Informasjonsgrunnlaget til studien kan inkluderes i første kapittel). Du må imidlertid forstå at det er noen objektive problemer som kan løses ved å skrive oppgaven. Disse vanskelighetene, det vil si ulempene som finnes utenfra, gjenspeiler diplomproblem.
2. Forskningsproblem(svarer på spørsmålet: hva bør studeres?) Et forskningsproblem viser en komplikasjon, et uløst problem eller faktorer som forstyrrer løsningen. Definert av 1 - 2 termer. (Eksempelforskningsproblemer: «...motsetningen mellom organisasjonens behov for pålitelig informasjonsbeskyttelse og selve organiseringen av arbeidet for å sikre informasjonsvern i organisasjonen»).

3. Formålet med studien– det er dette du til syvende og sist skal få, altså det endelige resultatet av vitnemålet. (Målet forutsetter svar på spørsmålet: hvilket resultat vil oppnås?) Målet bør være å løse problemet som studeres gjennom dets analyse og praktiske gjennomføring. Målet er alltid rettet mot objektet. For eksempel:

• Utvikle et prosjekt (anbefalinger)...
• Identifiser forhold, relasjoner...
• Bestem avhengigheten til noe av noe...

4. Studieobjekt(hva skal studeres?). Innebærer arbeid med konsepter. Denne paragrafen gir en definisjon av det økonomiske fenomenet som forskningsaktiviteten er rettet mot. Objektet kan være en person, miljø, prosess, struktur, økonomisk aktivitet til en bedrift (organisasjon).

1. Studieemne(hvordan og gjennom hva vil søket gå?) Her er det nødvendig å definere de spesifikke egenskapene til objektet som planlegges for forskning eller metodene for å studere det økonomiske fenomenet. Temaet for forskningen er rettet mot praksis og reflekteres gjennom resultatene av praksisoppholdet.

6. Forskningsmål- dette er trinn for å nå dine mål (vis hvordan du går til resultatet?), måter å nå målet. De samsvarer med hypotesen. Bestemmes ut fra målene for arbeidet. Formuleringen av problemer må gjøres så nøye som mulig, siden beskrivelsen av deres løsning bør utgjøre innholdet i underavsnittene og punktene i arbeidet. Som regel formuleres 3-4 oppgaver.

Hver oppgave må begynne med et infinitivverb. Oppgaver beskrives gjennom et system med sekvensielle handlinger, For eksempel:

• analysere...;
• studere...;

• forskning...;
• avsløre...;
• definere...;
• utvikle...

Som regel skilles det ut 5-7 oppgaver i oppgaven (oppgavearbeid).

Hver oppgave skal reflekteres i en av underdelene av den teoretiske eller praktiske delen. Oppgaver bør gjenspeiles i innholdsfortegnelsen. Dersom oppgaven er oppgitt i innledningen, men den ikke er synlig i innholdsfortegnelsen og i oppgaveteksten, er dette en alvorlig feil.

Liste over nødvendige oppgaver:

1. «Basert på en teoretisk analyse av litteratur, utvikle...» (nøkkelbegreper, grunnleggende begreper).
2. "Bestemme ..." (fremhev hovedforholdene, faktorene, årsakene som påvirker studieobjektet).
3. "Utvid ..." (fremhev de viktigste forholdene, faktorene, årsakene som påvirker emnet for studien).
4. «Utvikle...» (midler, betingelser, former, programmer).
5. "Test (det vi har utviklet) og kom med anbefalinger ...

8. Teoretisk og praktisk betydning av studiet:
«Resultatene av studien vil tillate oss å implementere...; vil bidra

utvikling...; vil tillate oss å forbedre... Tilstedeværelsen av formulerte retningslinjer for gjennomføring av de oppnådde konklusjonene og forslagene gir arbeidet stor praktisk betydning. Det er ikke obligatorisk.

9. Forskningsmetoder:En kort liste er gitt.Forskningsmetodikk- dette er metodene som studenten brukte i prosessen med å skrive et vitnemål. Forskningsmetoder inkluderer: teoretiske metoder (analysemetoder, syntese, sammenligning) og empiriske metoder (observasjon, undersøkelsesmetode, eksperiment).

1. Forskningsbase- dette er navnet på foretaket, organisasjonen som forskningen ble utført på grunnlag av. Oftest er forskningsbasen studentens pre-diplom praksis.

Den siste setningen i introduksjonen er en beskrivelse av strukturen og antall sider i oppgaven: «Arbeidets struktur samsvarer med studiens logikk og inkluderer en introduksjon, en teoretisk del, en praktisk del, en konklusjon, en liste over referanser og søknader." Her er det tillatt å gi en mer detaljert struktur av WRC og kort skissere innholdet i avsnittene.

Dermed skal innledningen forberede leseren til å oppfatte verkets hovedtekst.

Trinn IV: arbeid med hoveddelen av WRC.

Hoveddelen av oppgaven bør inneholde seksjoner, underavsnitt og avsnitt som skisserer de teoretiske og praktiske sidene ved emnet basert på en analyse av publisert litteratur, diskuterer kontroversielle problemstillinger og formulerer forfatterens posisjon og synspunkt; observasjoner og eksperimenter utført av studenten, forskningsmetodikk, beregninger, analyse av eksperimentelle data og oppnådde resultater beskrives. Når du deler inn teksten i underavsnitt og avsnitt, er det nødvendig at hvert avsnitt inneholder fullstendig informasjon.

Den teoretiske delen innebærer en analyse av studieobjektet og bør inneholde sentrale begreper, problemstillingens historie, problemstillingens utviklingsnivå i teori og praksis. For å kompetent skrive en teoretisk del, er det nødvendig å studere et tilstrekkelig stort antall vitenskapelige, vitenskapelig-metodologiske og andre kilder om emnetDiplom Som regel - ikke mindre enn 10.

Del 1 bør vies beskrivelse av forskningsobjektet, del 2 - beskrivelse av forskningsemnet utgjør hoveddelen av forskningsarbeidet og bør være logisk forbundet med hverandre.

Hoveddelen av WRC bør inneholde tabeller, diagrammer, grafer med passende lenker og kommentarer. Seksjoner bør ha overskrifter som gjenspeiler innholdet. I dette tilfellet bør ikke seksjonsoverskrifter gjenta tittelen på verket. La oss vurdere mer detaljert innholdet i hver av delene av WRC.

Seksjon 1 er av teoretisk, pedagogisk karakter og er viet en beskrivelse av de grunnleggende teoretiske prinsipper, metoder, metoder, tilnærminger og maskin- og programvare som brukes for å løse problemet eller oppgaver som ligner problemet. Denne delen inkluderer kun det som er nødvendig som et innledende teoretisk grunnlag for å forstå arten av forskningen og utviklingen som utføres, beskrevet i de følgende avsnittene. Teoretiske problemstillinger presenteres: metoder, metoder, algoritmer for å løse problemet, informasjonsflyter analyseres, etc. Den siste av hoveddelene gir vanligvis en beskrivelse av resultatene av eksperimentering med de foreslåtte (utviklede) metodene, metodene, maskinvaren, programvaren og systemene, og en sammenlignende analyse av de oppnådde resultatene utføres. Spesiell oppmerksomhet bør rettes mot diskusjonen av resultatene oppnådd i WRC og deres illustrasjon. Når du presenterer innholdet i publikasjoner av andre forfattere, er det nødvendig Nødvendigvis gi lenker til dem som angir sidetallene til disse informasjonskildene. I den første delen anbefales det å analysere den nåværende tilstanden til problemet og identifisere trender i utviklingen av prosessen som studeres. Til dette formål brukes gjeldende forskriftsdokumenter, offisiell statistikk, materiale fra analytiske oversikter og tidsskriftartikler. Konsekvensanalyse av regelverk bør inneholde konklusjoner om deres innvirkning på problemet under utredning og anbefalinger for forbedringer. Ved utarbeidelse av statistisk materiale i teksten til arbeidet i påbudt, bindende I rekkefølge henvises det til datakilden.

I den første delen er det tilrådelig å ta hensyn til historien (stadier) av utviklingen av prosessen som studeres og analyse av utenlandsk erfaring i organisasjonen. Resultatet av analysen av utenlandsk praksis bør være en sammenligning av prosessen som studeres med innenlandsk praksis og anbefalinger om mulighetene for anvendelse i Russland.

Denne delen skal også gi en komparativ analyse av eksisterende tilnærminger og metoder for å løse problemet. Det er nødvendig å begrunne valget av metode for å løse problemet som studeres og presentere det i detalj. Du kan også foreslå din egen metode.

I prosessen med å studere teoretiske kilder, må du markere og merke teksten som er viktig for denne delen av vitnemålet. Disse tekstfragmentene kan plasseres i oppgaveforskningen din som et sitat, som en illustrasjon for din analyse og sammenligning. Den teoretiske delen av oppgaven kan ikke omfatte hele avsnitt og kapitler fra lærebøker, bøker og artikler.

Ethvert arbeid må inneholde teoretiske, metodiske og praktiske aspekter ved problemstillingen som studeres.

Seksjon 2 må være av rent anvendt karakter. Det er nødvendig å kvantitativt beskrive et spesifikt studieobjekt, gi resultatene av praktiske beregninger og instruksjoner for deres bruk, samt formulere retninger for å forbedre aktiviteter i organiseringen og teknologien for informasjonssikkerhet. For å skrive den andre delen brukes som regel materialer samlet inn av studenten under praktisk opplæring. Denne delen av WRC inneholder en beskrivelse av de praktiske resultatene av forskningen. Den kan beskrive eksperimentet og metodene som er brukt for å gjennomføre det, oppnådde resultater og mulighetene for å bruke forskningsresultatene i praksis.

Tilnærmet struktur på den praktiske delen av oppgaven

Tittelen på den praktiske delen formulerer som regel forskningsproblemet ved å bruke eksemplet til en spesifikk organisasjon.

1. Formålet med studien- er gitt i første setning.

Tekniske og økonomiske egenskaper ved bedriften,på grunnlag av hvilken forskningen utføres (bedriftens status, morfologiske trekk ved organisasjonen, organisasjons- og ledelsesstruktur, trekk ved den teknologiske prosessen, etc.).

1. Forskningsmetoder.
2. Studiens fremdrift.Etter å ha formulert navnet på hver metode, er formålet gitt hans bruk og en beskrivelse er gitt. Deretter avsløres anvendelsen av forskningsmetoden i en spesifikk organisasjon. Alt materiale om anvendelse av forskningsmetoder (spørreskjemaskjemaer, interne dokumenter for å sikre beskyttelse av data til en organisasjon/bedrift) er plassert i vedleggene. Resultatene som er oppnådd analyseres og en konklusjon trekkes. For å oppnå mer nøyaktige resultater, bruk ikke én, menflere forskningsmetoder.
3. Generelle konklusjoner. På slutten av studien trekkes generelle resultater (konklusjoner) over hele temaet. Metodikken som brukes skal bekrefte eller avkrefte forskningshypotesen. Hvis hypotesen tilbakevises, gis anbefalinger for mulig forbedring av organisasjonsaktiviteter og databeskyttelsesteknologi til organisasjonen/bedriften i lys av problemstillingen som studeres.
4. I varetekt En kort liste over resultatene som er oppnådd i arbeidet bør presenteres. Hovedhensikten med konklusjonen er å oppsummere innholdet i arbeidet, å oppsummere resultatene av forskningen. Avslutningsvis presenteres de oppnådde konklusjonene, deres forhold til formålet med arbeidet og de spesifikke oppgavene som er satt og formulert i innledningen, analyseres, detdanner grunnlaget for studentens forsvarsrapport og skal ikke være på mer enn 5 sider med tekst.

3. GENERELLE REGLER FOR REGISTRERING AV KVALIFIKASJONSARBEID

3.1 DESIGN AV TEKSTMATERIALE

Tekstdelen av verket skal utføres i dataversjon på A 4-papir på den ene siden av arket. Font - Times New Roman, skriftstørrelse - 14, stil - vanlig, halvannen mellomrom, rettferdiggjort. Sidene må ha marger (anbefalt): bunn - 2; topp - 2; venstre - 2; høyre - 1. Volumet på forslaget skal være på 40-50 sider. Følgende andel av hovedelementene i det totale volumet av det endelige kvalifiseringsarbeidet anbefales: introduksjon - opptil 10 %; deler av hoveddelen - 80%; konklusjon – opptil 10 %.

Hele teksten til WRC må brytes ned i dets komponenter. Teksten brytes ned ved å dele den inn i seksjoner og underseksjoner. I verkets innhold skal det ikke være sammenfall i ordlyden av tittelen på en av komponentene med tittelen på selve verket, samt tilfeldighet i navn på avsnitt og underavsnitt. Navnene på seksjoner og underseksjoner skal gjenspeile hovedinnholdet og avsløre temaet for WRC.

Seksjoner og underavsnitt skal ha overskrifter. Som regel har avsnitt ikke overskrifter. Overskrifter på seksjoner, underavsnitt og avsnitt skal skrives ut med et avsnittsinnrykk på 1,25 cm, med stor bokstav uten punktum på slutten, uten understreking, skrift nr. 14 "Times New Roman". Hvis tittelen består av to setninger, er de atskilt med et punktum. Overskrifter skal klart og konsist gjenspeile innholdet i avsnitt og underavsnitt.

Når du deler VKR i seksjoner i samsvar med GOST 2.105-95, er betegnelsen laget av serienumre - arabiske tall uten prikk. Om nødvendig kan underavsnitt deles inn i avsnitt. Varenummeret skal bestå av seksjons-, underseksjons- og varenumre atskilt med prikker. Det er ingen prikk på slutten av seksjons- (underavsnitt) eller avsnitt (underavsnitt) nummer. Hver seksjon må begynne på et nytt ark (side).

Hvis et avsnitt eller underavsnitt består av ett avsnitt, skal det ikke nummereres. Poeng, om nødvendig, kan deles inn i underpunkter, som må nummereres innenfor hvert punkt, for eksempel:

1 Typer og hovedstørrelser

Oppføringer kan gis innenfor klausuler eller underklausuler. Hver oppføring må innledes med en bindestrek eller liten bokstav etterfulgt av en parentes. For ytterligere detaljer om overføringene, er det nødvendig å bruke arabiske tall, etterfulgt av en parentes.

Eksempel:

EN)_____________

b)_______________

1) ________

2) ________

V) _______________

Sidenummereringen av hovedteksten og vedleggene skal være fortløpende. Sidenummeret er plassert i midten av bunnen av arket uten prikk. Tittelsiden er inkludert i den samlede sidenummereringen til WRC. Sidenummeret er ikke angitt på tittelsiden og innholdet.

Avhandlingsarbeidet skal bruke vitenskapelige og spesielle begreper, betegnelser og definisjoner fastsatt av relevante standarder, og i deres fravær - allment akseptert i spesial- og vitenskapelig litteratur. Hvis spesifikk terminologi tas i bruk, bør referanselisten innledes med en liste over aksepterte termer med passende forklaringer. Listen inngår i verkets innhold.

3.2 DESIGN AV ILLUSTRASJONER

Alle illustrasjoner plassert i det endelige kvalifiseringsarbeidet skal være nøye utvalgt, klart og presist utført. Figurer og diagrammer skal være direkte relatert til teksten, uten unødvendige bilder og data som ikke er forklart noe sted. Antallet illustrasjoner i WRC bør være tilstrekkelig til å forklare teksten som presenteres.

Illustrasjoner bør plasseres umiddelbart etter teksten de først er nevnt i, eller på neste side.

Illustrasjoner plassert i teksten skal nummereres med arabiske tall, For eksempel:

Figur 1, Figur 2

Det er tillatt å nummerere illustrasjoner innenfor et avsnitt (kapittel). I dette tilfellet må illustrasjonsnummeret bestå av seksjonsnummeret (kapittel) og illustrasjonens serienummer, atskilt med en prikk.

Illustrasjoner kan om nødvendig ha navn og forklarende data (tekst under figuren).

Ordet "Figur" og navnet er plassert etter forklaringsdataene, midt på linjen, for eksempel:

Figur 1 – Dokumentrute

3. 3 GENERELLE REGLER FOR PRESENTERING AV FORMLER

I formler og ligninger må symboler, bilder eller tegn samsvare med betegnelsene som er vedtatt i gjeldende statlige standarder. I teksten, før parameterbetegnelsen, er det gitt en forklaring, for eksempel:Midlertidig strekkfasthet.

Dersom det er nødvendig å bruke symboler, bilder eller skilt som ikke er etablert etter gjeldende standarder, bør de forklares i teksten eller i symbollisten.

Formler og ligninger skilles fra teksten på en egen linje. Minst én fri linje må stå over og under hver formel eller ligning.

En forklaring av betydningen av symboler og numeriske koeffisienter bør gis rett under formelen i samme rekkefølge som de er gitt i formelen.

Formler skal nummereres sekvensielt gjennom hele arbeidet ved å bruke arabiske tall i parentes helt til høyre på formelnivå.

For eksempel:

Hvis en organisasjon moderniserer et eksisterende system, tas de nåværende kostnadene ved driften i betraktning ved beregning av effektivitet:

E r = (P1-P2)+ΔP p, (3.2)

hvor P1 og P2 er henholdsvis driftskostnader før og etter implementeringen av det utviklede programmet;

ΔР s - besparelser fra økt produktivitet for flere brukere.

Formler og ligninger kan nummereres innenfor hver seksjon med doble tall atskilt med en prikk, som indikerer seksjonsnummeret og serienummeret til formelen eller ligningen, for eksempel: (2.3), (3.12) etc.

Å flytte deler av formler til en annen linje er tillatt på likhetstegn, multiplikasjon, addisjon, subtraksjon og forholdstegn (>;), og tegnet i begynnelsen av neste linje gjentas. Rekkefølgen for presentasjon av matematiske ligninger er den samme som for formler.

Numeriske verdier av mengder med betegnelsen enheter av fysiske mengder og telleenheter skal skrives i tall, og tall uten betegnelse på enheter av fysiske mengder og enheter for telling fra en til ni - i ord, for eksempel:test fem rør, hver 5 m lange.

Når du siterer de største eller minste verdiene av mengder, bør uttrykket "ikke være mer (ikke mindre)" brukes.

3.4 DESIGN AV BORD

Tabeller brukes for bedre klarhet og enklere sammenligning av indikatorer. Tittelen på tabellen, hvis den er tilgjengelig, bør gjenspeile innholdet, være nøyaktig og kortfattet. Tittelen på tabellen skal plasseres over tabellen til venstre, uten innrykk, på én linje med nummeret atskilt med en strek.

Når du flytter en del av en tabell, plasseres tittelen bare over den første delen av bordet; den nedre horisontale linjen som begrenser bordet er ikke tegnet.

Tabellen skal plasseres umiddelbart etter teksten den er nevnt i for første gang, eller på neste side.

En tabell med et stort antall rader kan overføres til et annet ark (side). Når du overfører en del av en tabell til et annet ark, er ordet "Tabell" og dets nummer indikert én gang til høyre over den første delen av tabellen, over de andre delene er ordet "Fortsettelse" skrevet og tabellnummeret er indikert, for eksempel: «Fortsettelse av tabell 1». Når du overfører et bord til et annet ark, plasseres overskriften bare over den første delen.

Hvis digitale eller andre data ikke er gitt i noen rad i tabellen, plasseres en strek i den.

Eksempel på borddesign:

Tabeller i hele forklaringsnotatet er nummerert med arabiske tall med kontinuerlig nummerering, før ordet "Tabell" er skrevet.. Det er tillatt å nummerere tabeller innenfor en seksjon. I dette tilfellet består tabellnummeret av seksjonsnummeret og tabellsekvensnummeret, atskilt med prikken "Tabell 1.2".

Tabellene for hver applikasjon er utpekt med separat nummerering i arabiske tall med tillegg av applikasjonsbetegnelsen foran nummeret.

Overskrifter på kolonner og tabellrader skal skrives med stor bokstav i entall, og kolonneoverskrifter med liten bokstav hvis de danner én setning med overskriften, eller med stor bokstav hvis de har en selvstendig betydning. Det er ingen punktum på slutten av overskrifter og underoverskrifter av tabeller.

Det er tillatt å bruke en skriftstørrelse i tabellen som er mindre enn i teksten.

Kolonneoverskrifter skrives parallelt eller vinkelrett på radene i tabellen. I tabellkolonner er det ikke tillatt å tegne diagonale linjer med vertikale kapitteloverskrifter oppsatt på begge sider av diagonalen.

1. 5 DESIGN AV REFERANSELISTEN

Referanselisten er satt sammen under hensyntagen til litteraturlistens regler(Vedlegg 5). Referanselisten skal inneholde minst 20 kilder (minst 10 bøker og 10-15 tidsskrifter) som forfatteren av oppgaven arbeidet med. Litteraturen i listen er ordnet etter seksjoner i følgende rekkefølge:

• Føderale lover (i rekkefølge fra siste adopsjonsår til de forrige);
• dekreter fra presidenten i Den russiske føderasjonen (i samme sekvens);
• resolusjoner fra regjeringen i Den russiske føderasjonen (i samme rekkefølge)
• andre regulatoriske rettsakter;
• annet offisielt materiale (vedtak og anbefalinger fra internasjonale organisasjoner og konferanser, offisielle rapporter, offisielle rapporter, etc.)
• monografier, lærebøker, læremidler (i alfabetisk rekkefølge);
• utenlandsk litteratur;
• Internett-ressurser.

Kilder i hver seksjon er plassert i alfabetisk rekkefølge. Kontinuerlig nummerering brukes for hele referanselisten.

Når du refererer til litteratur i teksten til det forklarende notatet, bør du ikke skrive tittelen på boken (artikkelen), men serienummeret som er tildelt den i "Referanseliste"-indeksen i hakeparenteser. Referanser til litteraturen er nummerert i rekkefølgen de vises i teksten til WRC. Kontinuerlig nummerering eller nummerering etter seksjoner (kapitler) brukes.

Prosedyren for å velge litteratur om temaet forsknings- og utviklingsarbeid og utarbeide en liste over brukt litteratur

I listen over brukt litteratur inkluderer kilder studert av studenten i prosessen med å utarbeide oppgaven, inkludert de han refererer til.

Forut for skrivingen av oppgaven skjer en fordypning i litterære kilder om verkets tema. For å gjøre dette må du først kontakte høyskolebiblioteket. Her kommer bibliotekets referanse- og søkeapparat til studentene til hjelp, hvor hoveddelen er kataloger og kartoteker.

En katalog er en liste over dokumentariske informasjonskilder (bøker) tilgjengelig i bibliotekets samlinger.

Hvis studenten vet nøyaktig navnene på de nødvendige bøkene eller i det minste navnene på forfatterne deres, er det nødvendig å bruke den alfabetiske katalogen.

Dersom det er nødvendig å finne ut hvilke bøker om et spesifikt tema (emne) som finnes i et gitt bibliotek, må studenten også konsultere den systematiske katalogen.

En systematisk katalog avslører biblioteksamlingen etter innhold. For enkel bruk av den systematiske katalogen har den en alfabetisk emneindeks (ASU). I de listede katalogene kan en student bare finne titlene på bøker, mens for å skrive en oppgave trenger han også materiale publisert i magasiner, aviser og ulike samlinger. Til dette formålet organiserer bibliotekene bibliografiske filer der beskrivelser av magasin- og avisartikler og materiale fra samlinger er plassert.

Når du skriver en forskningsoppgave, bruker studenten mye referanselitteratur for å klargjøre og avklare ulike alternativer, fakta, konsepter og begreper. Referanselitteratur inkluderer forskjellige oppslagsverk, ordbøker, oppslagsbøker og statistiske samlinger.

Registrering av bibliografiske referanser

Når man skriver en oppgave, må en student ofte referere til ulike forfatteres verk og bruke statistisk materiale. I dette tilfellet er det nødvendig å gi en lenke til en eller annen kilde.

I tillegg til å følge de grunnleggende reglene for sitering (du kan ikke rive ut setninger fra teksten, forvrenge den med vilkårlige forkortelser, sitater må plasseres i anførselstegn osv.), bør du også være oppmerksom på den nøyaktige indikasjonen av kildene til sitater.

1. I fotnoterlenker (fotnoter) er plassert nederst på siden som det siterte materialet er plassert på. For å gjøre dette, plasseres et nummer på slutten av tilbudet, som indikerer serienummeret til tilbudet på denne siden. Nederst på siden, under linjen som skiller fotnoten (lenken) fra teksten, gjentas dette nummeret, og det etterfølges av navnet på boken som sitatet er hentet fra, med obligatorisk angivelse av antall den siterte siden. For eksempel:

"Shipunov M.Z. Grunnleggende om ledelsesaktiviteter. - M.: INFRA - M, 2012, s. 39.

1. Linker i tekstenbrukes i tilfeller der informasjon om kilden som analyseres er en organisk del av hovedteksten. De er praktiske fordi de ikke tar oppmerksomheten fra teksten. Beskrivelsen i slike lenker begynner med forfatterens initialer og etternavn, tittelen på boken eller artikkelen er angitt i anførselstegn, og utdataene er gitt i parentes.
2. Utover tekstlenker- dette er indikasjoner på sitatkilder med referanse til den nummererte referanselisten plassert på slutten av oppgaven. En referanse til en litterær kilde gjøres på slutten av setningen ved å sette serienummeret til dokumentet som brukes i rette parentes, som indikerer siden.

For eksempel: "For øyeblikket er hoveddokumentet som regulerer privatisering av statlig og kommunal eiendom på territoriet til den russiske føderasjonen loven "om privatisering av statlig og kommunal eiendom" datert 21. desember 2001 nr. 178-FZ (som endret 31. desember 2005, som endret 01.05.2006).

På slutten av arbeidet (på en egen side) skal det gis en alfabetisk liste over litteraturen som faktisk er brukt.

3.6 DESIGN AV APPLIKASJONER

applikasjoner utstedes om nødvendig. Søknader til arbeidet kan bestå av tilleggsreferansemateriale av hjelpeverdi, for eksempel: kopier av dokumenter, utdrag fra rapporteringsmateriell, statistiske data, diagrammer, tabeller, diagrammer, programmer, forskrifter mv.

Vedleggene inneholder også det materiellet som kan spesifisere de praktiske eller teoretiske delene av vitnemålet. For eksempel kan søknaden inneholde: spørreskjematekster, spørreskjemaer og andre metoder som ble brukt i forskningsprosessen, eksempler på respondentenes svar, fotografisk materiale, diagrammer og tabeller som ikke er relatert til de teoretiske konklusjonene i oppgaven.

Alle søknader skal refereres i hovedteksten.

For eksempel: Avledede enheter av SI-systemet (vedlegg 1, 2, 5).

Søknader er ordnet i en sekvens av lenker til dem i teksten. Hver søknad må begynne på et nytt ark (side) med ordene Søknad i øvre høyre hjørne av siden.og dens betegnelser i arabiske tall, unntatt tallet 0.

4. FORSVAR AV DETTE ARBEID

4.1 OVERVÅKKE KLARHETEN TIL SCR

Hver student får tildelt en anmelder av det endelige kvalifiseringsarbeidet blant eksterne spesialister som er godt kjent med problemstillinger knyttet til dette emnet.

På godkjente emner utvikles vitenskapelige veiledere for avsluttende kvalifiseringsarbeidindividuelle oppdragfor studenter som vurderes av PCC "Information Technologies" er signert av den faglige veilederen og styrelederen for PCC.

Oppgaver for avsluttende kvalifiserende arbeider godkjennes av underdirektør for studieretninger og utstedes til studentene senest to uker før oppstart av pregradueringspraksis.

På godkjente temaer utarbeider vitenskapelige veiledere individuelle konsultasjonsplaner,i henhold til hvilken prosessen med å fullføre endelige kvalifiserende arbeider kontrolleres.

Overvåking av beredskapsgraden til WRC utføres i henhold til følgende tidsplan:

Tabell 3

Nei.	beredskap		Begrep	Merk
	Nivå beredskap VKR, i %	Det er indikert hvilken komponent av WRC, hvilket strukturelt element av det skal være klart på et gitt tidspunkt.	Kontrollperiode	Kontrollformen er angitt
			Kontrollperiode

Etter endt forberedelse av arbeidet kontrollerer lederen kvaliteten på arbeidet, signerer det og gir det sammen med oppgaven og hans skriftlige tilbakemelding videre til nestleder i aktivitetsområdet.

For å bestemme graden av beredskap for det endelige kvalifiseringsarbeidet og identifisere eksisterende mangler, gjennomfører lærere i spesielle disipliner et foreløpig forsvar i den siste uken av forberedelsene til statseksamenen. Resultatene av foreløpig beskyttelse registreres.

4.2 KRAV TIL SCR-BESKYTTELSE

Forsvaret av det endelige kvalifiseringsarbeidet utføres på et åpent møte i den statlige sertifiseringskommisjonen for spesialiteten, som er opprettet på grunnlag av forskriften om endelig statlig sertifisering av nyutdannede ved utdanningsinstitusjoner for videregående yrkesutdanning i Den russiske føderasjonen (Resolusjon fra Statens komité for høyere utdanning i Russland datert 27. desember 1995 nr. 10).

Under forsvaret stilles følgende krav til VRC:

• dyp teoretisk studie av problemene som studeres basert på litteraturanalyse;
• dyktig systematisering av digitale data i form av tabeller og grafer med nødvendig analyse, generalisering og identifisering av utviklingstrender;
• en kritisk tilnærming til faktamaterialet som studeres for å finne områder for å forbedre aktiviteter;
• begrunnede konklusjoner, gyldigheten av forslag og anbefalinger;

• logisk konsistent og uavhengig presentasjon av materialet;
• design av materiale i samsvar med etablerte krav;

• Det er obligatorisk å ha en veileders gjennomgang av oppgaven og en gjennomgang av en praktisk arbeider som representerer en tredjepartsorganisasjon.

Ved utarbeidelse av sammendrag er det nødvendig å ta hensyn til omtrentlig tidspunkt for presentasjonen ved disputasen, som er 8-10 minutter.Det er lurt å lage en rapportikke ved å presentere innholdet i arbeidet i kapitler, men etter oppgave, - avsløre logikken bak å oppnå meningsfulle resultater. Rapporten skal inneholde henvisning til illustrasjonsmateriale som vil bli brukt under forsvaret av verket. Rapportvolumet bør være 7-8 sider med tekst i Word-format, skriftstørrelse 14, halvannen mellomrom.

Tabell 4

	Rapportens struktur	Volum	Tid
	Presentasjon av arbeidsemnet.	Opptil 1,5 sider	Opptil 2 minutter
	Temaets relevans.
	Målet med arbeidet.
	Redegjørelse av problemet, resultatene av løsningen og konklusjonene som ble trukket (for hver av oppgavene som ble satt for å nå målet med oppgaven).	Opptil 6 sider	Opptil 7 minutter
	Utsikter og retninger for videre forskning på dette emnet.	Opptil 0,5 sider	Opptil 1 minutt

For å tale ved disputasen må studentene selvstendig utarbeide og avtale med veileder abstracts av rapporten og illustrasjonsmaterialet.

Illustrasjoner skal gjenspeile hovedresultatene som er oppnådd i arbeidet og være i samsvar med rapportens teser.

Presentasjonsformer for illustrasjonsmateriale:

1. Trykt materiale for hvert medlem av Statens eksamenskomité(etter skjønn fra den vitenskapelige veilederen for forsknings- og utviklingsprosjektet). Trykt materiale for SAC-medlemmer kan omfatte:

• empiriske data;
• utdrag fra forskriftsdokumenter som forskningen ble utført på grunnlag av;

• utdrag fra arbeidsgivernes ønsker formulert i kontrakter;

• andre data som ikke er inkludert i lysbildepresentasjonen, men bekrefter riktigheten av beregningene.

1. Lysbilde - presentasjoner(for demonstrasjon på en projektor).

Å ledsage presentasjonen av arbeidsresultater med presentasjonsmateriell er en obligatorisk betingelse for forsvar av arbeidet.

Veileder skriver en gjennomgang av det endelige kvalifiseringsarbeidet studenten har gjennomført.

Forsvaret av endelige kvalifiserende verk utføres på et åpent møte i Statens attestasjonskommisjon i et spesielt utpekt publikum, utstyrt med nødvendig utstyr for å demonstrere presentasjoner. Inntil 20 minutter er avsatt til å forsvare det kvalifiserte arbeidet. Forsvarsprosedyren inkluderer en studentrapport (ikke mer enn 10 minutter), lesing av en anmeldelse og anmeldelse, spørsmål fra komitémedlemmer og studentsvar. Talen til lederen for det endelige kvalifiseringsarbeidet, samt anmelderen, hvis de er til stede på møtet i Statens eksamenskomité, kan høres.

Beslutninger i Statens eksekutivkomité fattes på lukkede møter med alminnelig flertall av stemmene blant de kommisjonsmedlemmer som deltar i møtet. Ved likt antall stemmer er formannens stemme avgjørende. Resultatene kunngjøres studentene på dagen for disputasen.

4.3 KRITERIER FOR EVALUERING AV WRC

Forsvaret av det avsluttende kvalifiserende arbeidet avsluttes med tildeling av karakterer.

"Utmerket" vurdering tildeles for oppgaven dersom oppgaven er av forskningskarakter, har et godt presentert teoretisk kapittel, en dyp teoretisk analyse, en kritisk gjennomgang av praksis, en logisk, konsistent presentasjon av materialet med passende konklusjoner og fornuftige forslag; har positive anmeldelser fra veileder og anmelder.

Når han forsvarer en avhandling med "excellence", demonstrerer en utdannet student dyp kunnskap om emnet, opererer fritt med forskningsdata, kommer med informerte forslag og bruker i løpet av rapporten visuelle hjelpemidler (Power Point-presentasjon, tabeller, diagrammer, grafer, etc. ) eller utdelingsmateriale, svarer enkelt på spørsmålene som stilles.

Rangering "bra" Oppgaven tildeles dersom oppgaven er av forskningskarakter, har et godt presentert teoretisk kapittel, den presenterer en tilstrekkelig detaljert analyse og kritisk analyse av praktiske aktiviteter, en konsistent presentasjon av stoffet med passende konklusjoner, men studentens forslag er ikke tilstrekkelig begrunnet. Oppgaven har positiv omtale fra veileder og bedømmer. I forsvaret viser den nyutdannede kunnskap om problemstillingene i emnet, opererer med forskningsdata, kommer med forslag til forskningstemaet, og bruker i løpet av rapporten visuelle hjelpemidler (Power Point-presentasjon, tabeller, diagrammer, grafer, etc.) eller utdelinger, uten store problemer med å svare på spørsmålene som stilles.

Karakter "Tilfredsstillende"Det tildeles oppgaven dersom oppgaven er av forskningskarakter, har et teoretisk kapittel, er basert på praktisk materiale, men har en overfladisk analyse og utilstrekkelig kritisk analyse, det er inkonsekvens i presentasjonen av materialet, og ubegrunnede forslag er presentert. Bedømmernes anmeldelser inneholder kommentarer til arbeidets innhold og analysemetodikken. Ved forsvar av en slik oppgave viser den nyutdannede usikkerhet, viser dårlig kjennskap til problemstillingene rundt temaet, og gir ikke alltid utfyllende, begrunnede svar på spørsmålene som stilles.

Karakter "Utilfredsstillende"Oppgaven tildeles dersom oppgaven ikke er av forskningskarakter, ikke har en analyse, og ikke oppfyller kravene i disse retningslinjene. Det er ingen konklusjoner i arbeidet, eller de er deklarative av natur. Det er kritiske kommentarer i vurderingene til veileder og anmelder. Når en doktorgradsstudent forsvarer en avhandling, synes han det er vanskelig å svare på spørsmålene som stilles om emnet, kjenner ikke teorien til spørsmålet og gjør betydelige feil når de svarer. Visuelle hjelpemidler og utdelinger er ikke forberedt for forsvaret.

Derfor, når de fastsetter den endelige vurderingen for eksamen, tar medlemmer av den statlige eksamenskomiteen hensyn til:

• kvaliteten på graduate rapporten;
• det illustrative materialet presentert av ham;
• mobiliteten til kandidaten og hans leseferdighet til å svare på spørsmål;
• vurdering av oppgaven av anmelderen;
• gjennomgang fra lederen av forsknings- og utviklingsteamet.

VEDLEGG 1

(Eksempel på tittelsidedesign)

MOSKVA UTDANNINGSDEPARTEMENT

STATS BUDGETTÆRENDE UTDANNINGSINSTITUSJON

"TEKNOLOGISK HØGSKOLE Nr. 34"

KAPITALARBEID

Emne:

Gruppeelev / /

Spesialitet

Veileder / /

Tillat beskyttelse:

Underdirektør for ledelse og utvikling/ _ /

Vurderingsdato

Formann i staten

sertifiseringskommisjon/ /

Moskva 2016

VEDLEGG 2

Avtalt

Styreleder i PCC "Information Technologies"

Dzyuba T.S.

Trening

å fullføre en avhandling

elev(er)________________________________________________________________________________

(fullt navn)

Oppgavens tema __________________________________________________________________

_______________________________________________________________________________

Frist for innlevering av oppgaven til forsvar (dato)____________________________

1. Introduksjon

Relevans av det valgte emnet;

Hensikten og målene med å skrive en oppgave;

Navn på bedriften, organisasjonen, kilder for å skrive arbeidet.

2. - Del I (teoretisk del)

Del II (praktisk del)

(frist for innsending til vurdering) ________________________________________________

Konklusjon ______________________________________________________________

Leder __________________ __________ «___» _______ 20__

Fullt navn Signatur

Student ____________________ __________ «____» ________20___

Fullt navn Signatur

VEDLEGG 3

(referanseskjema for oppgaveveileder)

GBPOU "Technological College No. 34"

Anmeldelse

For studentens oppgave (fullt navn)

1. Temaets relevans.

2. Vitenskapelig nyhet og praktisk betydning.

3. Kjennetegn på studentens forretningskvaliteter.

4. Positive sider ved arbeid.

5. Ulemper, kommentarer.

Veileder __________________________________

"_____" __________ 2016

VEDLEGG 4

(gjennomgangsskjema)

Anmeldelse

For studentens oppgave (fullt navn) ____________________________

Fullført om emnet _________________________________________________

1. Relevans, nyhet
2. Stillingsinnholdsvurdering

1. Særpregede, positive sider ved arbeidet
2. Arbeidets praktiske betydning
3. Ulemper, kommentarer

1. Anbefalt vurdering av utført arbeid ____________________________

_________________________________________________________________________

Anmelder (fullt navn, akademisk tittel, stilling, arbeidssted)

VEDLEGG 5

(Eksempel på en liste over brukt litteratur)

Liste over brukt litteratur

Reguleringsmateriale

1. "Den russiske føderasjonens grunnlov" (vedtatt ved folkelig avstemning 12. desember 1993) (under hensyntagen til endringer gjort av lovene i Den russiske føderasjonen om endringer i den russiske føderasjonens grunnlov datert 30. desember 2008 N 6-FKZ, datert 30. desember 2008 N 7-FKZ)
2. Føderal lov "On Information, Information Technologies and Information Protection" datert 27. juli 2006 N 149-FZ (som endret 28. desember 2013)

Vitenskapelige, tekniske og pedagogiske publikasjoner

1. Automatiserte arbeidsplasser og datasystemer i internvirksomhet. M., 2010.
2. Andreev B.V., Bushuev G.I. Modellering for å løse strafferett og kriminologiske problemer. M., 2012.
3. Kontorarbeid i utdanningsinstitusjoner (ved hjelp av informasjonsteknologi): lærebok. håndbok for universiteter MO Rep. Hviterussland / E.M. Kravchenya, T.A. Tsesarskaya. - Minsk: TetraSystems, 2013
4. Informasjonssikkerhet og informasjonsbeskyttelse: lærebok. manual / Stepanov E.A., Korneev I.K. - M.: INFRA-M, 2011. -
5. Informasjonssystemer i økonomi: lærebok. for universiteter, utdanning i henhold til spesielle økonomi og ledelse (060000) rek. RF Forsvarsdepartementet / G.A. Titorenko, B.E. Odintsov, V.V. Braga et al.; redigert av G.A. Titorenko. - 2. utg., revidert. og tillegg - M.: UNITY, 2011. - 463 s.
6. Informasjonssystemer og deres sikkerhet: lærebok. godtgjørelse d / Vasilkov A.V. Vasilkov A.A., Vasilkov I.A.. - M: FORUM, 2010.
7. Informasjonsteknologi for ledelse: lærebok. håndbok for universiteter RF Forsvarsdepartementet / G.A. Titorenko, I.A. Konopleva, G.L. Makarova og andre; redigert av G.A. Titorenko. - 2. utg., legg til. - M.: UNITY, 2009.
8. Bedriftsdokumenthåndtering. Prinsipper, teknologier, implementeringsmetoder. Michael J.D. Sutton. Azbuka Publishing House, St. Petersburg, 2012
9. Ostreykovsky V.A. Informatikk: Lærebok. For universiteter. – M.: Høyere. skole, 2008.
10. Elektroniske dokumenter i bedriftsnettverk Klimenko S.V., Krokhin I.V., Kushch V.M., Lagutin Yu.L.M.: Radio and Communication, ITC Eco-Trends, 2011

Internett-ressurser

http://www.security.ru/ - Midler for beskyttelse av kryptografisk informasjon: nettstedet til Moskva-avdelingen til PNIEI;

www.fstec.ru – offisiell nettside til FSTEC i Russland

VEDLEGG 6

Omtrentlig struktur av en rapport for å forsvare en avhandling

Krav til presentasjon av oppgaveforsvaret

1. Problemets relevans.
2. Formål, objekt, gjenstand for forskning.
3. Forskningsmål (3 hovedmål).
4. Forskningsalgoritme (forskningssekvens).
5. Korte økonomiske kjennetegn ved bedriften (organisasjon, institusjon, etc.).
6. Korte resultater av analysen av problemet som studeres.
7. Mangler identifisert under analysen.
8. Retninger (veier) for å løse de identifiserte manglene ved problemet som studeres.
9. Økonomisk vurdering, effektivitet, praktisk betydning av de foreslåtte aktivitetene.

VEDLEGG 6

(Kalenderskjema for å skrive oppgave)

Jeg godkjenner

Oppgaveveileder

"_____" _____________20 __g.

RUTE

skrive en oppgave om emnet __________________________________________

Utarbeide innholdet i oppgaven og avtale det med veileder.

veileder

Innledning med begrunnelse for relevansen av valgt tema, mål og mål for arbeidet.

veileder

Fullføre den teoretiske delen og levere den til testing.

Konsulent

Fullfør den praktiske delen og send den til vurdering.

Konsulent

Koordinering av konklusjoner og forslag med leder

veileder

Utarbeidelse av oppgaven

veileder

Motta tilbakemelding fra lederen din

veileder

Får en anmeldelse

anmelder

10.

Forsvar av oppgaven

Leder, konsulent

11.

Forsvar av oppgaven

veileder

Student-(utdannet) ________________________________________________

(signatur, dato, utskrift av signatur)

Avhandlingsveileder_________________________________________________________________

VEDLEGG 8

(Eksempel på formatering av innholdet i en avhandling)

Innhold

Introduksjon………………………………………………………………………………………………..3

1. Tekniske og økonomiske egenskaper ved fagområdet og virksomheten......5

1. Generelle kjennetegn ved fagområdet…………………………5
2. Organisatorisk og funksjonell struktur for bedriften…………………………6
3. Informasjonssikkerhetsrisikoanalyse………………………………...8

2. Begrunnelse for behovet for å forbedre systemet for å sikre informasjonssikkerhet og informasjonsbeskyttelse ved virksomheten………..25

1. Velge et sett med informasjonssikkerhetsoppgaver………29
2. Bestemme stedet for det prosjekterte settet med oppgaver i komplekset av bedriftsoppgaver, detaljert informasjonssikkerhet og informasjonsbeskyttelse………………………………………………………………………… …………………35
3. Valg av beskyttelsestiltak……………………………………………………………….39

3. Et sett med organisatoriske tiltak for å sikre informasjonssikkerhet og beskyttelse av bedriftsinformasjon…………………………………………………..43

1. Et sett med utviklet programvare- og maskinvareverktøy for å sikre informasjonssikkerhet og beskytte bedriftsinformasjon...48
2. Strukturen til programvare- og maskinvarekomplekset for informasjonssikkerhet og informasjonsbeskyttelse for bedriften…………………………………51
3. Et eksempel på prosjektgjennomføring og dens beskrivelse…………………………………………...54
4. Beregning av prosjektøkonomiske effektivitetsindikatorer…………………57

4. Konklusjon……………………………………………………………………………………………… 62
5. Liste over referanser………………………………………………………………………..65

Introduksjon

Kapittel 1. Teoretiske aspekter ved adopsjon og informasjonssikkerhet

1.1Begrepet informasjonssikkerhet

3 Informasjonssikkerhetsmetoder

Kapittel 2. Analyse av informasjonssikkerhetssystemet

1 Omfang av virksomheten til selskapet og analyse av finansielle indikatorer

2 Beskrivelse av selskapets informasjonssikkerhetssystem

3 Utvikling av et sett med tiltak for å modernisere eksisterende informasjonssikkerhetssystem

Konklusjon

Bibliografi

applikasjon

Vedlegg 1. Balanse for 2010

Vedlegg 1. Balanse for 2010

Introduksjon

Relevansen til emnet for oppgaven bestemmes av det økte nivået av informasjonssikkerhetsproblemer, selv i sammenheng med den raske veksten av teknologier og verktøy for databeskyttelse. Det er umulig å sikre et 100 % beskyttelsesnivå for bedriftens informasjonssystemer samtidig som databeskyttelsesoppgaver prioriteres riktig gitt den begrensede andelen av budsjettet som er allokert til informasjonsteknologi.

Pålitelig beskyttelse av data- og nettverksbedriftens infrastruktur er en grunnleggende informasjonssikkerhetsoppgave for enhver bedrift. Med veksten av en bedrifts virksomhet og overgangen til en geografisk distribuert organisasjon, begynner den å gå utover grensene til en enkelt bygning.

Effektiv beskyttelse av IT-infrastruktur og bedriftsapplikasjonssystemer i dag er umulig uten introduksjonen av modernegier. Økende tilfeller av tyveri av medier som inneholder verdifull forretningsinformasjon, tvinger i økende grad til organisatoriske tiltak.

Formålet med dette arbeidet vil være å evaluere eksisterende informasjonssikkerhetssystem i organisasjonen og utvikle tiltak for å forbedre det.

Dette målet bestemmer følgende mål for oppgaven:

) vurdere begrepet informasjonssikkerhet;

) vurdere typer mulige trusler mot informasjonssystemer og alternativer for beskyttelse mot mulige trusler om informasjonslekkasje i organisasjonen.

) identifisere en liste over informasjonsressurser, hvis brudd på integriteten eller konfidensialiteten vil føre til den største skaden for bedriften;

) utvikle på grunnlag av et sett med tiltak for å forbedre det eksisterende informasjonssikkerhetssystemet.

Arbeidet består av en introduksjon, to kapitler, en konklusjon, kildeliste og anvendelser.

Innledningen underbygger relevansen av forskningstemaet og formulerer formål og målsettinger med arbeidet.

Det første kapittelet diskuterer de teoretiske aspektene ved begrepene informasjonssikkerhet i en organisasjon.

Det andre kapittelet gir en kort beskrivelse av virksomhetens aktiviteter, nøkkelindikatorer, beskriver dagens tilstand av informasjonssikkerhetssystemet og foreslår tiltak for å forbedre det.

Avslutningsvis formuleres hovedresultatene og konklusjonene av arbeidet.

Det metodologiske og teoretiske grunnlaget for oppgaven var arbeidet til innenlandske og utenlandske eksperter innen informasjonssikkerhet. Under arbeidet med oppgaven ble det brukt informasjon som reflekterte innholdet i lover, lover og forskrifter, dekreter fra Regjeringen av Den russiske føderasjonen regulerer informasjonssikkerhet, internasjonale standarder for informasjonssikkerhet.

Den teoretiske betydningen av oppgaveforskningen ligger i implementeringen av en integrert tilnærming ved utvikling av en informasjonssikkerhetspolicy.

Den praktiske betydningen av arbeidet bestemmes av det faktum at resultatene gjør det mulig å øke graden av informasjonsbeskyttelse i en virksomhet gjennom kompetent utforming av en informasjonssikkerhetspolicy.

Kapittel 1. Teoretiske aspekter ved adopsjon og informasjonssikkerhet

1.1 Konsept for informasjonssikkerhet

Informasjonssikkerhet refererer til sikkerheten til informasjon og dens støttende infrastruktur fra enhver utilsiktet eller ondsinnet påvirkning som kan føre til skade på selve informasjonen, dens eiere eller støttende infrastruktur. Målene for informasjonssikkerhet handler om å minimere skader, samt å forutsi og forhindre slike påvirkninger.

Parametre for informasjonssystemer som trenger beskyttelse kan deles inn i følgende kategorier: sikring av integritet, tilgjengelighet og konfidensialitet til informasjonsressurser.

tilgjengelighet er evnen til å få den nødvendige informasjonstjenesten på kort tid;

integritet er relevansen og konsistensen av informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer;

konfidensialitet - beskyttelse mot uautorisert tilgang til informasjon.

Informasjonssystemer er primært laget for å skaffe visse informasjonstjenester. Hvis det av en eller annen grunn blir umulig å skaffe informasjon, forårsaker dette skade på alle emner av informasjonsforhold. Ut fra dette kan vi fastslå at tilgjengeligheten av informasjon kommer først.

Integritet er hovedaspektet ved informasjonssikkerhet når nøyaktighet og sannferdighet er hovedparametrene for informasjon. For eksempel resepter på medisinske legemidler eller et sett og egenskaper av komponenter.

Den mest utviklede komponenten av informasjonssikkerhet i vårt land er konfidensialitet. Men den praktiske implementeringen av tiltak for å sikre konfidensialiteten til moderne informasjonssystemer står overfor store vanskeligheter i Russland. For det første er informasjon om tekniske kanaler for informasjonslekkasje stengt, slik at de fleste brukere ikke kan få en ide om de potensielle risikoene. For det andre er det mange lovgivningsmessige hindringer og tekniske utfordringer som står i veien for tilpasset kryptografi som et primært middel for å sikre personvern.

Handlinger som kan forårsake skade på et informasjonssystem kan deles inn i flere kategorier.

målrettet tyveri eller ødeleggelse av data på en arbeidsstasjon eller server;

Skade på data fra brukeren som følge av uforsiktige handlinger.

. "Elektroniske" påvirkningsmetoder utført av hackere.

Hackere forstås som personer som driver med datakriminalitet både profesjonelt (inkludert som en del av konkurransen) og rett og slett av nysgjerrighet. Disse metodene inkluderer:

uautorisert adgang til datanettverk;

Formålet med uautorisert inntreden i et bedriftsnettverk fra utsiden kan være å forårsake skade (ødeleggelse av data), stjele konfidensiell informasjon og bruke den til ulovlige formål, bruke nettverksinfrastrukturen til å organisere angrep på tredjepartsnoder, stjele midler fra kontoer , etc.

Et DOS-angrep (forkortet fra Denial of Service) er et eksternt angrep på bedriftsnettverksnoder som er ansvarlige for sikker og effektiv drift (fil, e-postservere). Angripere organiserer massiv sending av datapakker til disse nodene for å overbelaste dem og som et resultat sette dem ut av spill i en stund. Dette medfører som regel forstyrrelser i forretningsprosessene til offerselskapet, tap av kunder, skade på omdømme mv.

Datavirus. En egen kategori av elektroniske påvirkningsmetoder er datavirus og andre skadelige programmer. De utgjør en reell fare for moderne virksomheter som i stor grad bruker datanettverk, Internett og e-post. Inntrengning av et virus inn i bedriftens nettverksnoder kan føre til forstyrrelser i deres funksjon, tap av arbeidstid, tap av data, tyveri av konfidensiell informasjon og til og med direkte tyveri av økonomiske ressurser. Et virusprogram som har penetrert et bedriftsnettverk kan gi angripere delvis eller fullstendig kontroll over virksomhetens aktiviteter.

Spam. På bare noen få år har spam vokst fra en liten irritasjon til en av de mest alvorlige sikkerhetstruslene:

e-post har nylig blitt hovedkanalen for spredning av skadelig programvare;

spam tar mye tid å se og deretter slette meldinger, noe som forårsaker ansatte en følelse av psykologisk ubehag;

både enkeltpersoner og organisasjoner blir ofre for uredelige ordninger utført av spammere (ofre prøver ofte å ikke avsløre slike hendelser);

viktig korrespondanse blir ofte slettet sammen med spam, noe som kan føre til tap av kunder, brutte kontrakter og andre ubehagelige konsekvenser; faren for å miste korrespondanse øker spesielt ved bruk av RBL-svartelister og andre "grove" spamfiltreringsmetoder.

«Naturlige» trusler. Et selskaps informasjonssikkerhet kan påvirkes av en rekke eksterne faktorer: tap av data kan være forårsaket av feil lagring, tyveri av datamaskiner og medier, force majeure, etc.

Et styringssystem for informasjonssikkerhet (ISMS eller Information Security Management System) lar deg administrere et sett med tiltak som implementerer en bestemt tiltenkt strategi, i dette tilfellet i forhold til informasjonssikkerhet. Merk at vi ikke bare snakker om å administrere et eksisterende system, men også om å bygge et nytt/redesigne et gammelt.

Tiltakssettet omfatter organisatoriske, tekniske, fysiske og andre. Informasjonssikkerhetsstyring er en kompleks prosess som gjør det mulig å implementere den mest effektive og omfattende informasjonssikkerhetsstyringen i et selskap.

Målet med informasjonssikkerhetsstyring er å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Spørsmålet er bare hva slags informasjon som må beskyttes og hvilken innsats som bør gjøres for å ivareta sikkerheten.

Enhver ledelse er basert på bevissthet om situasjonen der den oppstår. Når det gjelder risikoanalyse, kommer bevissthet om situasjonen til uttrykk i inventar og vurdering av organisasjonens eiendeler og deres miljø, det vil si alt som sikrer gjennomføringen av forretningsaktiviteter. Fra synspunktet om infinkluderer de viktigste eiendelene informasjon, infrastruktur, personell, image og omdømme til selskapet. Uten en inventar av eiendeler på næringsaktivitetsnivå er det umulig å svare på spørsmålet om hva som skal beskyttes. Det er viktig å forstå hvilken informasjon som behandles i en organisasjon og hvor den behandles.

I en stor moderne organisasjon kan antallet informasjonsressurser være svært stort. Hvis aktivitetene til en organisasjon er automatisert ved hjelp av et ERP-system, kan vi si at nesten alle materielle objekter som brukes i denne aktiviteten, tilsvarer en slags informasjonsobjekt. Derfor er den primære oppgaven til risikostyring å identifisere de viktigste eiendelene.

Det er umulig å løse dette problemet uten involvering av ledere av organisasjonens hovedaktivitet, både mellom- og seniornivå. Den optimale situasjonen er når toppledelsen i organisasjonen personlig setter de mest kritiske aktivitetsområdene, som det er ekstremt viktig å sikre informasjonssikkerhet for. Den øverste ledelsens mening om prioriteringer for å ivareta informasjonssikkerhet er svært viktig og verdifull i risikoanalyseprosessen, men den bør uansett avklares ved å samle inn informasjon om hvor kritiske eiendeler er på gjennomsnittlig ledelsesnivå. Samtidig er det tilrådelig å utføre ytterligere analyser nøyaktig på områdene for forretningsaktivitet utpekt av toppledelsen. Informasjonen som mottas blir behandlet, aggregert og overført til toppledelsen for en helhetlig vurdering av situasjonen.

Informasjon kan identifiseres og lokaliseres basert på en beskrivelse av forretningsprosesser hvor informasjon anses som en av ressurstypene. Oppgaven forenkles noe dersom organisasjonen har tatt i bruk en tilnærming til å regulere virksomheten (for eksempel med henblikk på kvalitetsstyring og optimalisering av forretningsprosesser). Formaliserte beskrivelser av forretningsprosesser er et godt utgangspunkt for aktivabeholdning. Hvis det ikke finnes beskrivelser, kan du identifisere eiendeler basert på informasjon mottatt fra organisasjonens ansatte. Når eiendeler er identifisert, må verdien bestemmes.

Arbeidet med å bestemme verdien av informasjonsmidler på tvers av hele organisasjonen er både det mest betydningsfulle og komplekse. Det er vurderingen av informasjonsmidlene som skal gjøre det mulig for avdelingsleder for informasjonssikkerhet å velge hovedaktivitetsområder for å ivareta informasjonssikkerheten.

Men den økonomiske effektiviteten til styringsprosessen for informasjonssikkerhet avhenger i stor grad av bevisstheten om hva som må beskyttes og hvilken innsats dette vil kreve, siden innsatsen som brukes i de fleste tilfeller er direkte proporsjonal med mengden penger som brukes og driftskostnadene. Risikostyring lar deg svare på spørsmålet om hvor du kan ta risiko og hvor du ikke kan. Når det gjelder informasjonssikkerhet, betyr begrepet "risiko" at det på et bestemt område er mulig å ikke gjøre betydelige anstrengelser for å beskytte informasjonsmidler, og samtidig vil organisasjonen ved et sikkerhetsbrudd ikke lide betydelige tap. Her kan vi trekke en analogi med beskyttelsesklassene til automatiserte systemer: jo større risikoene er, desto strengere bør beskyttelseskravene være.

For å fastslå konsekvensene av et sikkerhetsbrudd må du enten ha informasjon om registrerte hendelser av lignende karakter, eller gjennomføre en scenarioanalyse. Scenarioanalyse undersøker årsak-og-virkning-forhold mellom aktivasikkerhetshendelser og konsekvensene av disse hendelsene på organisasjonens forretningsaktiviteter. Konsekvensene av scenarier bør vurderes av flere personer, iterativt eller bevisst. Det skal bemerkes at utvikling og evaluering av slike scenarier ikke kan skilles helt fra virkeligheten. Du må alltid huske at scenarioet må være sannsynlig. Kriteriene og skalaene for å bestemme verdi er individuelle for hver organisasjon. Basert på resultatene av scenarioanalyse kan informasjon om verdien av eiendeler innhentes.

Hvis eiendeler identifiseres og verdien bestemmes, kan vi si at målene for å gi informasjonssikkerhet er delvis etablert: beskyttelsesobjektene og viktigheten av å opprettholde dem i en tilstand av informasjonssikkerhet for organisasjonen bestemmes. Kanskje gjenstår det bare å finne ut hvem som må beskyttes mot.

Etter å ha bestemt målene for informasjonssikkerhetsstyring, bør du analysere problemene som hindrer deg i å nærme deg måltilstanden. På dette nivået går risikoanalyseprosessen ned til informasjonsinfrastrukturen og tradisjonelle informasjonssikkerhetskonsepter – inntrengere, trusler og sårbarheter.

For å vurdere risiko er det ikke nok å innføre en standard overtredelsesmodell som deler opp alle overtredere etter type tilgang til eiendelen og kunnskap om eiendelsstrukturen. Denne inndelingen er med på å avgjøre hvilke trusler som kan rettes mot en eiendel, men svarer ikke på spørsmålet om disse truslene i prinsippet kan realiseres.

I prosessen med risikoanalyse er det nødvendig å vurdere motivasjonen til overtredere for å implementere trusler. I dette tilfellet mener overtrederen ikke en abstrakt ekstern hacker eller innsider, men en part som er interessert i å oppnå fordeler ved å krenke sikkerheten til en eiendel.

Det er tilrådelig å innhente innledende informasjon om lovbryterens modell, som ved valg av innledende retninger forr, fra toppledelsen, som forstår organisasjonens posisjon i markedet, har informasjon om konkurrenter og hvilke metoder for påvirkning som kan være forventet av dem. Informasjonen som er nødvendig for å utvikle en modell av en inntrenger kan også hentes fra spesialisert forskning på datasikkerhetsbrudd i forretningsområdet som risikoanalysen utføres for. En riktig utviklet inntrengermodell utfyller informasjonssikkerhetsmålene som er fastsatt ved vurdering av organisasjonens eiendeler.

Utviklingen av en trusselmodell og identifisering av sårbarheter er uløselig knyttet til en oversikt over miljøet til organisasjonens informasjonsressurser. Informasjonen i seg selv blir ikke lagret eller behandlet. Tilgang til det gis ved hjelp av en informasjonsinfrastruktur som automatiserer organisasjonens forretningsprosesser. Det er viktig å forstå hvordan en organisasjons informasjonsinfrastruktur og informasjonsressurser er relatert til hverandre. Fra perspektivet til informasjonssikkerhetsstyring kan viktigheten av informasjonsinfrastruktur kun fastslås etter å ha bestemt forholdet mellom informasjonsressurser og infrastruktur. Dersom prosessene for vedlikehold og drift av informasjonsinfrastrukturen i en organisasjon er regulerte og transparente, forenkles innsamlingen av informasjon som er nødvendig for å identifisere trusler og vurdere sårbarheter kraftig.

Å utvikle en trusselmodell er en jobb for informasjonssikkerhetseksperter som har god forståelse for hvordan en angriper kan få uautorisert tilgang til informasjon ved å bryte sikkerhetsperimeteren eller bruke sosiale ingeniørmetoder. Når man utvikler en trusselmodell kan man også snakke om scenarier som sekvensielle trinn i henhold til hvilke trusler som kan realiseres. Det skjer svært sjelden at trusler implementeres i ett trinn ved å utnytte et enkelt sårbart punkt i systemet.

Trusselmodellen bør inkludere alle trusler identifisert gjennom relatertesjonsprosesser, for eksempel sårbarhet og hendelseshåndtering. Det må huskes at trusler må rangeres i forhold til hverandre i henhold til sannsynlighetsnivået for implementering. For å gjøre dette, i prosessen med å utvikle en trusselmodell for hver trussel, er det nødvendig å indikere de viktigste faktorene, hvis eksistens påvirker implementeringen.

Sikkerhetspolicyen er basert på en analyse av risikoer som er anerkjent som reelle for organisasjonens informasjonssystem. Når risikoene er analysert og beskyttelsesstrategien er bestemt, utarbeides et informasjonssikkerhetsprogram. Ressurser tildeles dette programmet, ansvarlige personer utnevnes, prosedyren for å overvåke gjennomføringen av programmet bestemmes, etc.

I vid forstand er sikkerhetspolitikk definert som et system med dokumenterte ledelsesbeslutninger for å sikre sikkerheten til en organisasjon. I en snever forstand forstås en sikkerhetspolicy vanligvis som et lokalt forskriftsdokument som definerer sikkerhetskrav, et tiltakssystem eller en prosedyre, samt ansvaret til organisasjonens ansatte og kontrollmekanismer for et visst sikkerhetsområde.

Før vi begynner å formulere selve, er det nødvendig å forstå de grunnleggende konseptene vi skal operere med.

Informasjon - informasjon (meldinger, data) uavhengig av presentasjonsformen.

Konfidensialitet av informasjon er et obligatorisk krav for en person som har fått tilgang til visse opplysninger om ikke å overføre slik informasjon til tredjeparter uten samtykke fra eieren.

Informasjonssikkerhet (IS) er sikkerheten til samfunnets informasjonsmiljø, som sikrer dannelse, bruk og utvikling i interessene til borgere, organisasjoner og stater.

Begrepet "informasjon" i dag brukes ganske mye og allsidig.

Å sikre informasjonssikkerhet kan ikke være en engangshandling. Dette er en kontinuerlig prosess som består av begrunnelse og implementering av de mest rasjonelle metodene, metodene og måtene for å forbedre og utvikle sikkerhetssystemet, kontinuerlig overvåking av dets tilstand, identifisering av svakheter og ulovlige handlinger.

Informasjonssikkerhet kan kun sikres gjennom integrert bruk av hele spekteret av tilgjengelige sikkerhetsmidler i alle strukturelle elementer i produksjonssystemet og i alle stadier av den teknologiske syklusen for informasjonsbehandling. Den største effekten oppnås når alle midlene, metodene og tiltakene som brukes er kombinert i en enkelt integrert mekanisme - et informasjonssikkerhetssystem. Samtidig skal funksjonen til systemet overvåkes, oppdateres og suppleres avhengig av endringer i ytre og interne forhold.

I henhold til GOST R ISO/IEC 15408:2005-standarden kan følgende typer sikkerhetskrav skilles:

funksjonelle, tilsvarende det aktive aspektet av beskyttelse, krav til sikkerhetsfunksjoner og mekanismene som implementerer dem;

tillitskrav tilsvarende det passive aspektet som stilles til teknologien og utviklings- og driftsprosessen.

Det er svært viktig at sikkerheten i denne standarden ikke vurderes statisk, men i forhold til livssyklusen til objektet som vurderes. Følgende stadier skilles ut:

bestemmelse av formål, bruksbetingelser, mål og sikkerhetskrav;

design og utvikling;

testing, evaluering og sertifisering;

implementering og drift.

Så la oss se nærmere på de funksjonelle sikkerhetskravene. De inkluderer:

beskyttelse av brukerdata;

beskyttelse av sikkerhetsfunksjoner (krav knyttet til integriteten og kontrollen til disse sikkerhetstjenestene og mekanismene som implementerer dem);

sikkerhetsstyring (kravene til denne klassen er knyttet til styring av sikkerhetsattributter og -parametere);

sikkerhetsrevisjon (identifikasjon, registrering, lagring, analyse av data som påvirker sikkerheten til objektet som vurderes, respons på et mulig sikkerhetsbrudd);

personvern (beskytte brukeren mot avsløring og uautorisert bruk av hans identifikasjonsdata);

bruk av ressurser (krav til informasjonstilgjengelighet);

kommunikasjon (autentisering av parter involvert i datautveksling);

klarert rute/kanal (for kommunikasjon med sikkerhetstjenester).

I samsvar med disse kravene er det nødvendig å formulere en organisasjons informasjonssikkerhetssystem.

Organisasjonens informasjonssikkerhetssystem inkluderer følgende områder:

regulatoriske;

organisatorisk (administrativt);

teknisk;

programvare;

For å fullt ut vurdere situasjonen i en virksomhet på alle områder av sikkerhet, er det nødvendig å utvikle et informasjonssikkerhetskonsept som vil etablere en systematisk tilnærming til problemet med sikkerhet for informasjonsressurser og representere en systematisk uttalelse av mål, mål, designprinsipper og et sett med tiltak for å sikre informasjonssikkerhet i en virksomhet.

Bbør være basert på følgende prinsipper (oppgaver):

å sikre beskyttelsen av den eksisterende informasjonsinfrastrukturen til bedriften mot inntrengere;

gi betingelser for å lokalisere og minimere mulig skade;

eliminere fremveksten av kilder til trusler i den innledende fasen;

sikre beskyttelse av informasjon mot tre hovedtyper av nye trusler (tilgjengelighet, integritet, konfidensialitet);

Løsningen på problemene ovenfor oppnås ved;

regulering av brukerhandlinger når du arbeider med informasjonssystemet;

regulering av brukerhandlinger når du arbeider med databasen;

enhetlige krav til påliteligheten til maskinvare og programvare;

prosedyrer for å overvåke driften av informasjonssystemet (logging av hendelser, analysere protokoller, analysere nettverkstrafikk, analysere driften av teknisk utstyr);

Informasjonssikkerhetspolicyen inkluderer:

hoveddokumentet er "Sikkerhetspolicyen". Den beskriver generelt organisasjonens sikkerhetspolicy, generelle bestemmelser, og indikerer også relevante dokumenter for alle aspekter av policyen;

instruksjoner for regulering av brukernes arbeid;

stillingsbeskrivelse for lokal nettverksadministrator;

jobbbeskrivelse for databaseadministratoren;

instruksjoner for arbeid med Internett-ressurser;

instruksjoner for organisering av passordbeskyttelse;

instruksjoner for organisering av antivirusbeskyttelse.

Sikkerhetspolicydokumentet inneholder hovedbestemmelsene. På bakgrunn av det bygges et informasjonssikkerhetsprogram, jobbbeskrivelser og anbefalinger bygges.

Instrukser for regulering av arbeidet til brukere av en organisasjons lokale nettverk regulerer prosedyren for å tillate brukere å arbeide i organisasjonens lokale datanettverk, samt reglene for håndtering av beskyttet informasjon som behandles, lagres og overføres i organisasjonen.

Stillingsbeskrivelsen til en lokal nettverksadministrator beskriver ansvaret til en lokal nettverksadministrator når det gjelder informasjonssikkerhet.

Stillingsbeskrivelsen til en databaseadministrator definerer hovedansvarene, funksjonene og rettighetene til en databaseadministrator. Den beskriver i detalj alle jobbansvar og funksjoner til en databaseadministrator, samt rettigheter og ansvar.

Instruksjoner for arbeid med Internett-ressurser gjenspeiler de grunnleggende reglene for sikkert arbeid med Internett, og inneholder også en liste over akseptable og uakseptable handlinger når du arbeider med Internett-ressurser.

Instruksjonene for organisering av antivirusbeskyttelse definerer de grunnleggende bestemmelsene, krav til organisering av antivirusbeskyttelse av en organisasjons informasjonssystem, alle aspekter knyttet til driften av antivirusprogramvare, samt ansvar i tilfelle brudd på antivirusprogrammet -virusbeskyttelse.

Instruksjonene for organisering av passordbeskyttelse regulerer den organisatoriske og tekniske støtten for prosessene med å generere, endre og avslutte passord (slette brukerkontoer). Handlingene til brukere og vedlikeholdspersonell når de arbeider med systemet er også regulert.

Grunnlaget for organisering av ier således sikkerhetspolitikken, utformet for å fastslå fra hvilke trusler og hvordan informasjonen i informasjonssystemet er beskyttet.

Sikkerhetspolicy refererer til et sett med juridiske, organisatoriske og tekniske tiltak for å beskytte informasjon vedtatt i en spesifikk organisasjon. Det vil si at sikkerhetspolicyen inneholder mange forhold der brukere får tilgang til systemressurser uten å miste itil dette systemet.

Problemet med å sikre informasjonssikkerhet må løses systematisk. Dette betyr at ulike beskyttelser (maskinvare, programvare, fysiske, organisatoriske, etc.) må brukes samtidig og under sentralisert kontroll.

I dag finnes det et stort arsenal av metoder for å sikre informasjonssikkerhet:

midler for identifikasjon og autentisering av brukere;

midler for å kryptere informasjon lagret på datamaskiner og overført over nettverk;

brannmurer;

virtuelle private nettverk;

innholdsfiltreringsverktøy;

verktøy for å sjekke integriteten til diskinnhold;

antivirus verktøy;

nettverkssårbarhetsdeteksjonssystemer og nettverksangrepsanalysatorer.

Hvert av de listede verktøyene kan brukes enten uavhengig eller i integrasjon med andre. Dette gjør det mulig å lage informasjonssikkerhetssystemer for nettverk av enhver kompleksitet og konfigurasjon, uavhengig av plattformene som brukes.

System for autentisering (eller identifikasjon), autorisasjon og administrasjon. Identifikasjon og autorisasjon er sentrale elementer i informasjonssikkerhet. Autorisasjonsfunksjonen er ansvarlig for hvilke ressurser en spesifikk bruker har tilgang til. Administrasjonsfunksjonen er å gi brukeren visse identifikasjonsegenskaper innenfor et gitt nettverk og bestemme omfanget av handlinger som er tillatt for ham.

Krypteringssystemer gjør det mulig å minimere tap ved uautorisert tilgang til data som er lagret på en harddisk eller andre medier, samt avskjæring av informasjon når den sendes på e-post eller overføres via nettverksprotokoller. Formålet med dette beskyttelsesverktøyet er å sikre konfidensialitet. Hovedkravene til krypteringssystemer er et høyt nivå av kryptografisk styrke og lovlighet av bruk på territoriet til Russland (eller andre stater).

En brannmur er et system eller en kombinasjon av systemer som danner en beskyttende barriere mellom to eller flere nettverk for å forhindre at uautoriserte datapakker kommer inn eller ut av nettverket.

Det grunnleggende driftsprinsippet for brannmurer er å sjekke hver datapakke for samsvar med innkommende og utgående IP-adresser med en database med tillatte adresser. Dermed utvider brannmurer betydelig mulighetene til å segmentere informasjonsnettverk og kontrollere sirkulasjonen av data.

Når vi snakker om kryptografi og brannmurer, bør vi nevne sikre virtuelle private nettverk (VPN). Bruken deres gjør det mulig å løse problemer med konfidensialitet og integritet til data når de overføres over åpne kommunikasjonskanaler. Bruk av en VPN kan reduseres til å løse tre hovedproblemer:

beskyttelse av informasjonsstrømmer mellom forskjellige kontorer i selskapet (informasjon krypteres bare ved utgangen til det eksterne nettverket);

sikker tilgang for eksterne nettverksbrukere til selskapets informasjonsressurser, vanligvis utført via Internett;

beskyttelse av informasjonsstrømmer mellom individuelle applikasjoner innenfor bedriftsnettverk (dette aspektet er også svært viktig, siden de fleste angrep utføres fra interne nettverk).

En effektiv måte å beskytte mot tap av konfidensiell informasjon er å filtrere innholdet i innkommende og utgående e-post. Screening av selve e-postmeldingene og vedleggene deres basert på reglene etablert av organisasjonen bidrar også til å beskytte selskaper mot ansvar i søksmål og beskytter deres ansatte mot spam. Innholdsfiltreringsverktøy lar deg skanne filer i alle vanlige formater, inkludert komprimerte og grafiske filer. Samtidig forblir nettverkets gjennomstrømning praktisk talt uendret.

Alle endringer på en arbeidsstasjon eller server kan overvåkes av nettverksadministratoren eller annen autorisert bruker takket være teknologien for å sjekke integriteten til innholdet på harddisken (integritetskontroll). Dette lar deg oppdage alle handlinger med filer (endre, sletting eller bare åpning) og identifisere virusaktivitet, uautorisert tilgang eller datatyveri av autoriserte brukere. Kontroll utføres basert på analyse av filsjekksummer (CRC-summer).

Moderne antivirusteknologier gjør det mulig å identifisere nesten alle allerede kjente virusprogrammer ved å sammenligne koden til en mistenkelig fil med prøver som er lagret i antivirusdatabasen. I tillegg er det utviklet atferdsmodelleringsteknologier som gjør det mulig å oppdage nyopprettede virusprogrammer. Oppdagede objekter kan behandles, isoleres (karantene) eller slettes. Virusbeskyttelse kan installeres på arbeidsstasjoner, fil- og e-postservere, brannmurer som kjører under nesten alle vanlige operativsystemer (Windows, Unix og Linux-systemer, Novell) på ulike typer prosessorer.

Spamfiltre reduserer uproduktive arbeidskostnader forbundet med å analysere spam betydelig, reduserer trafikk og serverbelastning, forbedrer den psykologiske bakgrunnen i teamet og reduserer risikoen for at selskapets ansatte blir involvert i uredelige transaksjoner. I tillegg reduserer spamfiltre risikoen for infeksjon med nye virus, siden meldinger som inneholder virus (selv de som ennå ikke er inkludert i databasene til antivirusprogrammer) ofte har tegn på spam og blir filtrert ut. Riktignok kan den positive effekten av spamfiltrering negeres hvis filteret, sammen med søppelmeldinger, fjerner eller merker som spam og nyttige meldinger, forretningsmessige eller personlige.

De enorme skadene som påføres bedrifter av virus og hackerangrep er i stor grad en konsekvens av svakheter i programvaren som brukes. De kan identifiseres på forhånd, uten å vente på et reelt angrep, ved hjelp av datanettverkssårbarhetsdeteksjonssystemer og nettverksangrepsanalysatorer. Slik programvare simulerer på en sikker måte vanlige angrep og inntrengningsmetoder og bestemmer hva en hacker kan se på nettverket og hvordan han kan utnytte ressursene.

For å motvirke naturlige trusler mot informasjonssikkerheten, må selskapet utvikle og implementere et sett med prosedyrer for å forhindre nødsituasjoner (for eksempel for å sikre fysisk beskyttelse av data mot brann) og for å minimere skade dersom en slik situasjon oppstår. En av hovedmetodene for å beskytte mot tap av data er sikkerhetskopiering med streng overholdelse av etablerte prosedyrer (regelmessighet, typer medier, metoder for lagring av kopier, etc.).

Informasjonssikkerhetspolicyen er en pakke med dokumenter som regulerer ansattes arbeid, og beskriver de grunnleggende reglene for arbeid med informasjon, informasjonssystemer, databaser, lokale nettverk og internettressurser. Det er viktig å forstå hvilken plass opptar i det overordnede styringssystemet til en organisasjon. Følgende er generelle organisatoriske tiltak knyttet til sikkerhetspolitikk.

På det prosedyremessige nivået kan følgende klasser av tiltak skilles:

personalledelse;

fysisk beskyttelse;

opprettholde ytelsen;

reagere på sikkerhetsbrudd;

planlegging av restaureringsarbeid.

Personalledelse begynner med ansettelse, men selv før det bør du bestemme datamaskinprivilegiene knyttet til stillingen. Det er to generelle prinsipper å huske på:

ansvarsfordeling;

minimering av privilegier.

Prinsippet om oppgavedeling foreskriver hvordan roller og ansvar skal fordeles slik at én person ikke kan forstyrre en organisasjonskritisk prosess. For eksempel er det uønsket at én person foretar store betalinger på vegne av en organisasjon. Det er tryggere å instruere en ansatt til å behandle søknader om slike utbetalinger, og en annen å attestere disse søknadene. Et annet eksempel er prosedyrerestriksjoner på superbrukerhandlinger. Du kan kunstig "dele" superbrukerpassordet ved å dele den første delen av det med en ansatt og den andre delen med en annen. Da kan de utføre kritiske handlinger for å administrere informasjonssystemet kun sammen, noe som reduserer sannsynligheten for feil og misbruk.

Prinsippet om minste privilegium krever at brukere kun gis de tilgangsrettighetene de trenger for å utføre jobbansvaret. Formålet med dette prinsippet er åpenbart - å redusere skade fra utilsiktede eller bevisste feilhandlinger.

Foreløpig utarbeidelse av en stillingsbeskrivelse lar deg vurdere dens kritikalitet og planlegge prosedyren for screening og valg av kandidater. Jo mer ansvarlig stillingen er, jo mer nøye må du sjekke kandidatene: forespørre dem, kanskje snakke med tidligere kolleger osv. En slik prosedyre kan være langvarig og kostbar, så det er ingen vits i å komplisere den ytterligere. Samtidig er det urimelig helt å nekte forhåndskontroll for å unngå å ved et uhell ansette noen med kriminelt rulleblad eller psykisk sykdom.

Når en kandidat er identifisert, vil han eller hun sannsynligvis trenge opplæring; i det minste bør han være grundig kjent med jobbansvar og inog prosedyrer. Det anbefales at han forstår sikkerhetstiltakene før han tiltrer og før han etablerer systemkontoen sin med påloggingsnavn, passord og privilegier.

Sikkerheten til et informasjonssystem avhenger av miljøet det opererer i. Det er nødvendig å iverksette tiltak for å beskytte bygninger og omkringliggende områder, støttende infrastruktur, datautstyr og lagringsmedier.

La oss vurdere følgende områder for fysisk beskyttelse:

fysisk tilgangskontroll;

beskyttelse av støttende infrastruktur;

beskyttelse av mobile systemer.

Fysiske tilgangskontrolltiltak lar deg kontrollere og om nødvendig begrense inn- og utreise for ansatte og besøkende. Hele bygningen til en organisasjon kan kontrolleres, så vel som individuelle lokaler, for eksempel de hvor servere, kommunikasjonsutstyr etc. er plassert.

Støttende infrastruktur inkluderer elektriske, vann- og varmeforsyningssystemer, klimaanlegg og kommunikasjon. I prinsippet gjelder de samme krav til integritet og tilgjengelighet for dem som for informasjonssystemer. For å sikre integritet må utstyr beskyttes mot tyveri og skade. For å opprettholde tilgjengeligheten bør du velge utstyr med maksimal MTBF, duplisere kritiske komponenter og alltid ha reservedeler tilgjengelig.

Generelt sett bør det utføres en risikoanalyse ved valg av fysisk verneutstyr. Når du bestemmer deg for å kjøpe en avbruddsfri strømforsyning, er det derfor nødvendig å ta hensyn til kvaliteten på strømforsyningen i bygningen okkupert av organisasjonen (men det vil nesten helt sikkert vise seg å være dårlig), arten og varigheten av strømbrudd, kostnadene for tilgjengelige kilder og mulige tap fra ulykker (havari av utstyr, stans av organisasjonens arbeid og så videre.)

La oss vurdere en rekke tiltak rettet mot å opprettholde funksjonaliteten til informasjonssystemene. Det er i dette området den største faren lurer. Utilsiktede feil fra systemadministratorer og brukere kan føre til tap av ytelse, nemlig skade på utstyr, ødeleggelse av programmer og data. Dette er det verste scenarioet. I beste fall skaper de sikkerhetshull som gjør at systemsikkerhetstrusler kan oppstå.

Hovedproblemet til mange organisasjoner er undervurderingen av sikkerhetsfaktorer i det daglige arbeidet. Dyre sikkerhetsfunksjoner er meningsløse hvis de er dårlig dokumentert, i konflikt med annen programvare, og systemadministratorpassordet ikke er endret siden installasjonen.

For daglige aktiviteter rettet mot å opprettholde funksjonaliteten til informasjonssystemet, kan følgende handlinger skilles:

brukerstøtte;

programvarestøtte;

konfigurasjonsstyring;

sikkerhetskopiering;

mediehåndtering;

dokumentasjon;

rutinemessig vedlikehold.

Brukerstøtte innebærer først og fremst konsultasjon og hjelp til å løse ulike typer problemer. Det er svært viktig å kunne identifisere problemer knyttet til informasjonssikkerhet i en strøm av spørsmål. Dermed kan mange vanskeligheter for brukere som arbeider på personlige datamaskiner være et resultat av virusinfeksjon. Det er tilrådelig å registrere brukerspørsmål for å identifisere deres vanlige feil og gi påminnelser med anbefalinger for vanlige situasjoner.

Programvarestøtte er et av de viktigste virkemidlene for å sikre informasjonsintegritet. Først av alt må du holde styr på hvilken programvare som er installert på datamaskinene dine. Hvis brukere installerer programmer etter eget skjønn, kan dette føre til infeksjon med virus, samt fremveksten av verktøy som omgår beskyttelsestiltak. Det er også sannsynlig at "uavhengige aktiviteter" til brukere gradvis vil føre til kaos på datamaskinene deres, og systemadministratoren må rette opp situasjonen.

Det andre aspektet ved programvarestøtte er kontroll over fraværet av uautoriserte endringer i programmer og tilgangsrettigheter til dem. Dette inkluderer også støtte for referansekopier av programvaresystemer. Kontroll oppnås vanligvis gjennom en kombinasjon av fysiske og logiske tilgangskontroller, samt bruk av verifikasjons- og integritetsverktøy.

Konfigurasjonsadministrasjon lar deg kontrollere og registrere endringer som er gjort i programvarekonfigurasjonen. Først av alt må du forsikre deg mot utilsiktede eller dårlig gjennomtenkte endringer, og i det minste kunne gå tilbake til en tidligere, fungerende versjon. Å foreta endringer vil gjøre det enkelt å gjenopprette gjeldende versjon etter en katastrofe.

Den beste måten å redusere feil i rutinearbeid er å automatisere det så mye som mulig. Automatisering og sikkerhet er avhengig av hverandre, fordi den som først og fremst bryr seg om å gjøre oppgaven sin enklere, faktisk er den som former informasjonssikkerhetsregimet optimalt.

Sikkerhetskopiering er nødvendig for å gjenopprette programmer og data etter katastrofer. Og her er det tilrådelig å automatisere arbeidet, som et minimum, ved å lage en datamaskinplan for å lage hele og inkrementelle kopier, og maksimalt ved å bruke de riktige programvareproduktene. Det er også nødvendig å sørge for plassering av kopier på et trygt sted, beskyttet mot uautorisert tilgang, brann, lekkasjer, det vil si fra alt som kan føre til tyveri eller skade på media. Det er lurt å ha flere kopier av sikkerhetskopier og lagre noen av dem utenfor stedet, og dermed beskytte mot større ulykker og lignende hendelser. Fra tid til annen, for testformål, bør du sjekke muligheten for å gjenopprette informasjon fra kopier.

Medieadministrasjon er nødvendig for å gi fysisk sikkerhet og regnskap for disketter, kassetter, utskrifter osv. Medieadministrasjon må sikre konfidensialitet, integritet og tilgjengelighet for informasjon som er lagret utenfor datasystemer. Fysisk beskyttelse betyr her ikke bare å avvise uautoriserte tilgangsforsøk, men også beskyttelse mot skadelige miljøpåvirkninger (varme, kulde, fuktighet, magnetisme). Mediehåndtering skal dekke hele livssyklusen, fra innkjøp til avvikling.

Dokumentasjon er en integrert del av informasjonssikkerhet. Nesten alt er dokumentert i form av dokumenter – fra sikkerhetspolitikken til medieloggen. Det er viktig at dokumentasjonen er oppdatert og gjenspeiler dagens tilstand, og på en konsistent måte.

Konfidensialitetskrav gjelder for lagring av noen dokumenter (som inneholder for eksempel en analyse av systemsårbarheter og trusler), mens andre, for eksempel en katastrofegjenopprettingsplan, er underlagt krav til integritet og tilgjengelighet (i en kritisk situasjon må planen bli funnet og lest).

Rutinearbeid er en svært alvorlig sikkerhetsrisiko. En ansatt som utfører rutinemessig vedlikehold får eksklusiv tilgang til systemet, og i praksis er det svært vanskelig å kontrollere nøyaktig hvilke handlinger han utfører. Det er her graden av tillit til de som utfører arbeidet kommer i forgrunnen.

Sikkerhetspolitikken vedtatt av organisasjonen må gi et sett med operasjonelle tiltak rettet mot å oppdage og nøytralisere brudd på informasjonssikkerhetsregimet. Det er viktig at handlingsrekkefølgen i slike tilfeller planlegges på forhånd, siden tiltak må iverksettes raskt og på en koordinert måte.

Respons på sikkerhetsbrudd har tre hovedmål:

lokalisere hendelsen og redusere skade;

forebygging av gjentatte brudd.

Ofte kommer kravet om å lokalisere en hendelse og redusere skader i konflikt med ønsket om å identifisere lovbryteren. Organisasjonens sikkerhetspolitikk må prioriteres tidlig. Siden det, som praksis viser, er svært vanskelig å identifisere en angriper, bør man etter vår mening først og fremst passe på å redusere skaden.

Ingen organisasjon er immun mot alvorlige ulykker forårsaket av naturlige årsaker, ondsinnede handlinger, uaktsomhet eller inkompetanse. Samtidig har enhver organisasjon funksjoner som ledelsen anser som kritiske og må utføres uansett. Planlegging av restaureringsarbeid lar deg forberede deg på ulykker, redusere skader fra dem og opprettholde funksjonsevnen i det minste til et minimum.

Merk at informasjonssikkerhetstiltak kan deles inn i tre grupper, avhengig av om de er rettet mot å forebygge, oppdage eller eliminere konsekvensene av angrep. De fleste tiltakene er av føre-var karakter.

Rekan deles inn i følgende stadier:

identifisere kritiske funksjoner i organisasjonen, sette prioriteringer;

identifikasjon av ressurser som trengs for å utføre kritiske funksjoner;

fastsettelse av listen over mulige ulykker;

utvikling av en restaureringsstrategi;

forberedelse til implementering av den valgte strategien;

sjekke strategien.

Når du planlegger restaureringsarbeid, bør du være klar over at det ikke alltid er mulig å opprettholde funksjonen til organisasjonen fullt ut. Det er nødvendig å identifisere kritiske funksjoner, uten hvilke organisasjonen mister ansiktet, og til og med prioritere blant kritiske funksjoner for å gjenoppta arbeidet etter en ulykke så raskt som mulig og til minimale kostnader.

Når du identifiserer ressursene som trengs for å utføre kritiske funksjoner, husk at mange av dem er ikke-datamaskiner. På dette stadiet er det tilrådelig å involvere spesialister med ulike profiler i arbeidet.

Det finnes således en lang rekke ulike metoder for å sikre informasjonssikkerhet. Det mest effektive er å bruke alle disse metodene i et enkelt kompleks. I dag er det moderne sikkerhetsmarkedet mettet med informasjonssikkerhetsverktøy. Ved kontinuerlig å studere eksisterende sikkerhetsmarkedstilbud ser mange selskaper utilstrekkeligheten til tidligere investerte midler i informasjonssikkerhetssystemer, for eksempel på grunn av foreldelse av utstyr og programvare. Derfor leter de etter løsninger på dette problemet. Det kan være to slike alternativer: på den ene siden, en fullstendig erstatning av bedriftens informasjonsbeskyttelsessystem, som vil kreve store investeringer, og på den andre siden modernisering av eksisterende sikkerhetssystemer. Det siste alternativet for å løse dette problemet er det minst kostbare, men det gir nye problemer, for eksempel krever det svar på følgende spørsmål: hvordan sikre kompatibilitet av gamle, beholdt fra eksisterende maskinvare- og programvaresikkerhetsverktøy, og nye elementer av informasjonssikkerhetssystemet; hvordan gi sentralisert styring av heterogene sikkerhetsverktøy; hvordan vurdere og om nødvendig revurdere selskapets informasjonsrisiko.

Kapittel 2. Analyse av informasjonssikkerhetssystemet

1 Omfang av virksomheten til selskapet og analyse av finansielle indikatorer

OJSC Gazprom er et globalt energiselskap. Hovedaktivitetene er geologisk leting, produksjon, transport, lagring, prosessering og salg av gass, gasskondensat og olje, samt produksjon og salg av varme og elektrisitet.

Gazprom ser sitt oppdrag i pålitelig, effektiv og balansert levering av naturgass, andre typer energiressurser og deres bearbeidede produkter til forbrukere.

Gazprom har verdens rikeste naturgassreserver. Dens andel av verdens gassreserver er 18%, på russisk - 70%. Gazprom står for 15 % av den globale og 78 % av russisk gassproduksjon. For tiden gjennomfører selskapet aktivt storskalaprosjekter for utvikling av gassressurser på Yamal-halvøya, den arktiske sokkelen, Øst-Sibir og Fjernøsten, samt en rekke prosjekter for leting og produksjon av hydrokarboner i utlandet.

Gazprom er en pålitelig gassleverandør til russiske og utenlandske forbrukere. Selskapet eier verdens største gasstransportnettverk - Unified Gas Supply System of Russia, hvis lengde overstiger 161 tusen km. Gazprom selger mer enn halvparten av gassen de selger på hjemmemarkedet. I tillegg leverer selskapet gass til 30 land i nær og fjern utland.

Gazprom er Russlands eneste produsent og eksportør av flytende naturgass og står for omtrent 5 % av den globale LNG-produksjonen.

Selskapet er en av de fem største oljeprodusentene i den russiske føderasjonen, og er også den største eieren av å generere eiendeler på sitt territorium. Deres totale installerte kapasitet er 17 % av den totale installerte kapasiteten til det russiske energisystemet.

Det strategiske målet er å etablere OAO Gazprom som en leder blant globale energiselskaper gjennom utvikling av nye markeder, diversifisering av aktiviteter og sikring av forsyningssikkerhet.

La oss vurdere selskapets økonomiske resultater de siste to årene. Selskapets driftsresultater er presentert i vedlegg 1.

Per 31. desember 2010 utgjorde salgsinntektene 2.495.557 millioner rubler, dette tallet er mye lavere sammenlignet med 2011-data, det vil si 3.296.656 millioner rubler.

Salgsinntekter (fratrukket særavgifter, moms og toll) økte med 801 099 millioner RUB, eller 32 %, for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i fjor, og beløp seg til 3 296 656 millioner rubler.

Basert på resultatene for 2011, utgjorde nettoinntekter fra gasssalg 60 % av totale netto salgsinntekter (60 % for samme periode i fjor).

Nettoinntekter fra gasssalg økte fra RUB 1.495.335 millioner. for året opp til 1 987 330 millioner rubler. for samme periode i 2011, eller med 33 %.

Nettoinntekter fra gasssalg til Europa og andre land økte med RUB 258.596 millioner, eller 34 %, sammenlignet med samme periode i fjor, og utgjorde RUB 1.026.451 millioner. Den samlede økningen i gassalget til Europa og andre land skyldtes en økning i gjennomsnittsprisene. Gjennomsnittsprisen i rubler (inkludert toll) økte med 21 % for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i 2010. I tillegg økte gasssalgsvolumet med 8 % sammenlignet med samme periode i fjor.

Nettoinntekter fra gassalg til landene i det tidligere Sovjetunionen økte i samme periode i 2010 med 168 538 millioner rubler, eller 58 %, og utgjorde 458 608 millioner rubler. Endringen var primært drevet av en økning på 33 % i gassalget til det tidligere Sovjetunionen for de ni månedene som ble avsluttet 30. september 2011 sammenlignet med samme periode i fjor. I tillegg økte gjennomsnittsprisen i rubler (inkludert toll, minus moms) med 15 % sammenlignet med samme periode i fjor.

Nettoinntekter fra gasssalg i Russland økte med RUB 64.861 millioner, eller 15 %, sammenlignet med samme periode i fjor, og utgjorde RUB 502.271 millioner. Dette skyldes hovedsakelig en økning i gjennomsnittsprisen på gass med 13 % sammenlignet med samme periode i fjor, som er forbundet med en økning i tariffer fastsatt av Federal Tariff Service (FTS).

Nettoinntekter fra salg av olje- og gassprodukter (minus særavgifter, moms og toll) økte med 213 012 millioner rubler, eller 42 %, og utgjorde 717 723 millioner rubler. sammenlignet med samme periode i fjor. Denne økningen forklares i hovedsak av en økning i verdenspriser på olje- og gassprodukter og en økning i salgsvolum sammenlignet med samme periode i fjor. Gazprom Neft Groups inntekter utgjorde henholdsvis 85 % og 84 % av de totale nettoinntektene fra salg av olje- og gassprodukter.

Nettoinntekter fra salg av elektrisk og termisk energi (eksklusiv merverdiavgift) økte med RUB 38.097 millioner, eller 19 %, og utgjorde RUB 237.545 millioner. Økningen i inntekter fra salg av elektrisk og termisk energi skyldes i hovedsak økte tariffer for elektrisk og termisk energi, samt økning i volumet av salg av elektrisk og termisk energi.

Nettoinntekter fra salg av råolje og gasskondensat (minus særavgifter, moms og toll) økte med RUB 23.072 millioner, eller 16 %, og utgjorde RUB 164.438 millioner. sammenlignet med RUB 141.366 millioner. for samme periode i fjor. Endringen skyldes hovedsakelig stigende priser på olje- og gasskondensat. I tillegg var endringen forårsaket av økt salg av gasskondensat. Inntekter fra salg av råolje beløp seg til RUB 133.368 millioner. og 121 675 millioner rubler. i nettoproveny fra salg av råolje og gasskondensat (fratrukket særavgifter, merverdiavgift og toll) i henholdsvis 2011 og 2010.

Nettoinntekter fra salg av gasstransporttjenester (netto med merverdiavgift) økte med RUB 15.306 millioner, eller 23 %, og utgjorde RUB 82.501 millioner, sammenlignet med RUB 67.195 millioner. for samme periode i fjor. Denne veksten skyldes hovedsakelig en økning i gasstransporttariffer for uavhengige leverandører, samt en økning i gassvolumer. ѐ mov av gasstransport for uavhengige leverandører sammenlignet med samme periode i fjor.

Andre inntekter økte med 19 617 millioner RUB, eller 22 %, og utgjorde 107 119 millioner RUB. sammenlignet med RUB 87.502 millioner. for samme periode i fjor.

Utgifter til handelsoperasjoner uten faktisk levering utgjorde RUB 837 millioner. sammenlignet med en inntekt på RUB 5.786 millioner. for samme periode i fjor.

Når det gjelder driftsutgifter, økte de med 23 % og utgjorde 2.119.289 millioner RUB. sammenlignet med RUB 1.726.604 millioner. for samme periode i fjor. Andelen driftskostnader av salgsinntekter gikk ned fra 69 % til 64 %.

Arbeidskostnadene økte med 18 % og beløp seg til 267 377 millioner RUB. sammenlignet med RUB 227.500 millioner. for samme periode i fjor. Økningen skyldes i hovedsak en økning i gjennomsnittslønnen.

Avskrivninger for den analyserte perioden økte med 9% eller med 17.026 millioner rubler, og utgjorde 201.636 millioner rubler, sammenlignet med 184.610 millioner rubler. for samme periode i fjor. Økningen skyldtes hovedsakelig utvidelse av anleggsmiddelbasen.

Som et resultat av de ovennevnte faktorene økte salgsresultatet med RUB 401.791 millioner, eller 52 %, og beløp seg til RUB 1.176.530 millioner. sammenlignet med RUB 774.739 millioner. for samme periode i fjor. Salgsfortjenestemarginen økte fra 31 % til 36 % for de ni månedene som ble avsluttet 30. september 2011.

Dermed er OJSC Gazprom et globalt energiselskap. Hovedaktivitetene er geologisk leting, produksjon, transport, lagring, prosessering og salg av gass, gasskondensat og olje, samt produksjon og salg av varme og elektrisitet. Den økonomiske tilstanden til selskapet er stabil. Ytelsesindikatorer viser positiv dynamikk.

2 Beskrivelse av selskapets informasjonssikkerhetssystem

La oss vurdere hovedaktivitetsområdene til divisjonene til Corporate Protection Service til OJSC Gazprom:

utvikling av målrettede programmer for utvikling av systemer og komplekser av teknisk og teknisk sikkerhetsutstyr (ITSE), informasjonssikkerhetssystemer (IS) til OAO Gazprom og dets datterselskaper og organisasjoner, deltakelse i dannelsen av et investeringsprogram rettet mot å sikre informasjon og teknisk sikkerhet;

implementering av kreftene til kunden for utvikling av informasjonssikkerhetssystemer, samt ITSO-systemer og komplekser;

behandling og godkjenning av budsjettforespørsler og budsjetter for gjennomføring av tiltak for utvikling av informasjonssikkerhetssystemer, ITSO-systemer og komplekser, samt for opprettelse av IT når det gjelder informasjonssikkerhetssystemer;

gjennomgang og godkjenning av design- og forprosjektdokumentasjon for utvikling av informasjonssikkerhetssystemer, ITSO-systemer og komplekser, samt tekniske spesifikasjoner for opprettelse (modernisering) av informasjonssystemer, kommunikasjons- og telekommunikasjonssystemer når det gjelder krav til informasjonssikkerhet;

organisering av arbeidet for å vurdere overholdelse av ITSO-systemer og komplekser, informasjonssikkerhetssystemer (samt verk og tjenester for deres opprettelse) med de etablerte kravene;

koordinering og kontroll av arbeid med teknisk informasjonssikkerhet.

Gazprom har laget et system for å sikre beskyttelse av personopplysninger. Imidlertid nødvendiggjør vedtakelsen av en rekke regulatoriske rettsakter i utviklingen av eksisterende lover og myndighetsbestemmelser behovet for å forbedre dagens system for beskyttelse av personopplysninger. For å løse dette problemet er det utviklet en rekke dokumenter som godkjennes innenfor rammen av forskningsarbeid. Først av alt er dette utkast til standarder fra Gazprom Development Organization:

"Metodologi for klassifisering av informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner";

"Modell for trusler mot personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner."

Disse dokumentene ble utviklet under hensyntagen til kravene i dekretet fra regjeringen i den russiske føderasjonen av 17. november 2007 nr. 781 "Om godkjenning av forskriften om å sikre sikkerheten til personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger" i forhold til klassen av spesialsystemer, som inkluderer det meste av OJSC ISPDn " Gazprom".

I tillegg pågår utviklingen av "Forskrifter om organisering og teknisk støtte for sikkerheten til personopplysninger som behandles i informasjonssystemer for personopplysninger til OAO Gazprom, dets datterselskaper og organisasjoner".

Det skal bemerkes at innenfor rammen av standardiseringssystemet til OJSC Gazprom er det utviklet standarder for informasjonssikkerhetssystemet, som også vil gjøre det mulig å løse problemene med å beskytte personopplysninger som behandles i informasjonssystemene til OJSC Gazprom.

Sju standarder knyttet til informasjonssikkerhetssystemet er godkjent og settes i kraft i år.

Standardene definerer de grunnleggende kravene for å bygge informasjonssikkerhetssystemer for OAO Gazprom og dets datterselskaper.

Resultatene av arbeidet som gjøres vil gjøre det mulig å bruke materielle, økonomiske og intellektuelle ressurser mer rasjonelt, skape nødvendig regulatorisk og metodisk støtte, innføre effektive beskyttelsesmidler og som et resultat sikre sikkerheten til personopplysninger som behandles i informasjonen. systemer til OAO Gazprom.

Som et resultat av analysen av informasjonssikkerheten til OJSC Gazprom, ble følgende mangler ved å sikre informasjonssikkerhet identifisert:

organisasjonen har ikke et enkelt dokument som regulerer en omfattende sikkerhetspolicy;

Med tanke på størrelsen på nettverket og antall brukere (mer enn 100), bør det bemerkes at én person er ansvarlig for systemadministrasjon, informasjonssikkerhet og teknisk støtte;

det er ingen klassifisering av informasjonsmidler etter grad av betydning;

informasjonssikkerhetsroller og -ansvar er ikke inkludert i stillingsbeskrivelser;

i arbeidsavtalen som er inngått med den ansatte, er det ingen klausul om informasjonssikkerhetsansvaret til både de ansatte og organisasjonen selv;

personell opplæring innen informasjonssikkerhet er ikke gitt;

fra et synspunkt om beskyttelse mot eksterne trusler: ingen typiske atferdsprosedyrer er utviklet for datagjenoppretting etter ulykker som har skjedd som følge av eksterne og miljømessige trusler;

serverrommet er ikke et eget rom, rommet er tildelt statusen til to avdelinger (en person til, i tillegg til systemadministratoren, har tilgang til serverrommet);

teknisk sondering og fysisk undersøkelse for uautoriserte enheter koblet til kabler utføres ikke;

til tross for at oppføringen utføres ved hjelp av elektroniske pass og all informasjon legges inn i en spesiell database, blir analysen ikke utført;

når det gjelder beskyttelse mot skadelig programvare: det er ingen formell policy for å beskytte mot risiko forbundet med mottak av filer verken fra eller gjennom eksterne nettverk eller på flyttbare medier;

når det gjelder beskyttelse mot skadelig programvare: det er ingen retningslinjer for å beskytte det lokale nettverket mot ondsinnet kode;

det er ingen trafikkkontroll, det er tilgang til e-postservere til eksterne nettverk;

alle sikkerhetskopier lagres i serverrommet;

usikre passord som er enkle å huske, brukes;

mottak av passord av brukere er ikke bekreftet på noen måte;

passord lagres i klartekst av administratoren;

passord endres ikke;

Det er ingen prosedyre for rapportering av informasjonssikkerhetshendelser.

Basert på disse manglene ble det derfor utviklet et sett med forskrifter angående informasjonssikkerhetspolitikk, inkludert:

retningslinjer angående ansettelse (oppsigelse) og tildeling (fratakelse) av ansatte av nødvendig myndighet for å få tilgang til systemressurser;

retningslinjer for arbeidet til nettverksbrukere under driften;

retningslinjer for passordbeskyttelse;

politikk for organisering av fysisk beskyttelse;

Internett-policy;

samt administrative sikkerhetstiltak.

Dokumenter som inneholder disse forskriftene er på behandlingsstadiet av ledelsen i organisasjonen.

3 Utvikling av et sett med tiltak for å modernisere eksisterende informasjonssikkerhetssystem

Som et resultat av analysen av informasjonssikkerhetssystemet til OJSC Gazprom, ble betydelige systemsårbarheter identifisert. For å utvikle tiltak for å eliminere identifiserte sikkerhetssystemmangler, vil vi fremheve følgende grupper av informasjon som er underlagt beskyttelse:

informasjon om ansattes privatliv som gjør at de kan identifiseres (personopplysninger);

informasjon knyttet til profesjonell virksomhet og som utgjør bank-, revisjons- og kommunikasjonshemmeligheter;

informasjon relatert til profesjonelle aktiviteter og merket som informasjon "for offisiell bruk";

informasjon, hvis ødeleggelse eller endring vil påvirke driftseffektiviteten negativt, og restaurering vil kreve ekstra kostnader.

Fra et synspunkt av administrative tiltak ble følgende anbefalinger utviklet:

informasjonssikkerhetssystemet må være i samsvar med lovgivningen i Den russiske føderasjonen og statlige standarder;

bygninger og lokaler hvor informasjonsbehandlingsanlegg er installert eller lagret, arbeid utføres med beskyttet informasjon, skal være voktet og beskyttet med alarm- og adgangskontrollmidler;

opplæring av personell i informasjonssikkerhetsspørsmål (forklarer viktigheten av passordbeskyttelse og passordkrav, gjennomføring av opplæring i antivirusprogramvare osv.) bør organiseres ved ansettelse av en ansatt;

gjennomføre opplæring hver 6.-12. måned med sikte på å forbedre leseferdighetene til ansatte innen informasjonssikkerhet;

en revisjon av systemet og justeringer av de utviklede forskriftene bør utføres årlig, 1. oktober, eller umiddelbart etter innføringen av store endringer i bedriftsstrukturen;

hver brukers tilgangsrettigheter til informasjonsressurser må dokumenteres (om nødvendig kreves tilgang skriftlig fra lederen);

må sikres av programvareadministratoren og maskinvareadministratoren, deres handlinger koordineres av lederen for gruppen.

La oss formulere en passordpolicy:

ikke lagre dem i ukryptert form (ikke skriv dem ned på papir, i en vanlig tekstfil, etc.);

endre passordet hvis det avsløres eller mistenkes for avsløring;

lengden må være minst 8 tegn;

Passordet må inneholde store og små bokstaver, tall og spesialtegn, passordet må ikke inneholde lett beregnede tegnsekvenser (navn, dyrenavn, datoer);

endre en gang hver 6. måned (en uplanlagt passordendring må gjøres umiddelbart etter å ha mottatt melding om hendelsen som utløste endringen);

Når du endrer passord, kan du ikke velge de som ble brukt tidligere (passordene må avvike med minst 6 posisjoner).

La oss formulere en policy angående antivirusprogrammer og virusdeteksjon:

Lisensiert antivirusprogramvare må være installert på hver arbeidsstasjon;

oppdatering av antivirusdatabaser på arbeidsstasjoner med Internett-tilgang - en gang om dagen, uten Internett-tilgang - minst en gang i uken;

sette opp automatisk skanning av arbeidsstasjoner for virusdeteksjon (hyppighet av kontroller - en gang i uken: fredag, 12:00);

Bare administratoren kan avbryte antivirusdatabaseoppdateringen eller virusskanningen (passordbeskyttelse bør angis for den angitte brukerhandlingen).

La oss formulere en policy angående fysisk beskyttelse:

teknisk sondering og fysisk undersøkelse for uautoriserte enheter koblet til kabler bør utføres hver 1-2 måned;

nettverkskabler må beskyttes mot uautorisert avskjæring av data;

registreringer av alle mistenkte og faktiske feil som har oppstått med utstyret skal lagres i en logg

Hver arbeidsstasjon skal være utstyrt med en avbruddsfri strømforsyning.

La oss definere en policy for informasjonsreservasjon:

for sikkerhetskopier bør det tildeles et eget rom, plassert utenfor administrasjonsbygningen (rommet skal være utstyrt med en elektronisk lås og alarm);

Informasjonsreservasjon bør gjøres hver fredag ​​kl 16:00.

Retningslinjene for ansettelse/oppsigelse av ansatte bør være som følger:

eventuelle personalendringer (ansettelser, forfremmelse, oppsigelse av en ansatt osv.) skal meldes til administrator innen 24 timer, som igjen innen en periode på en halv arbeidsdag må gjøre passende endringer i systemet for avgrensing av tilgangsrettigheter til bedriftens ressurser;

en ny ansatt må gjennomgå opplæring fra administratoren, inkludert kjennskap til sikkerhetspolicyen og alle nødvendige instruksjoner; tilgangsnivået til informasjon for den nye ansatte er tildelt av lederen;

Når en ansatt forlater systemet, slettes hans ID og passord, arbeidsstasjonen sjekkes for virus, og integriteten til dataene som den ansatte hadde tilgang til analyseres.

Retningslinjer for arbeid med lokalt internt nettverk (LAN) og databaser (DB):

når han arbeider på arbeidsstasjonen og på LAN, må den ansatte bare utføre oppgaver som er direkte relatert til hans offisielle aktiviteter;

Den ansatte skal varsle administrator om meldinger fra antivirusprogrammer om opptreden av virus;

ingen andre enn administratorer har lov til å gjøre endringer i utformingen eller konfigurasjonen av arbeidsstasjoner og andre LAN-noder, installere programvare, la arbeidsstasjonen være uten kontroll eller la uautoriserte personer få tilgang til den;

Administratorer anbefales å holde to programmer i gang til enhver tid: et ARP-forfalskningsangrepsdeteksjonsverktøy og en sniffer, hvis bruk vil tillate dem å se nettverket gjennom øynene til en potensiell inntrenger og identifisere brudd på sikkerhetspolitikken;

Du bør installere programvare som forhindrer lansering av andre programmer enn de som er utpekt av administratoren, basert på prinsippet: "Enhver person gis rettighetene som er nødvendige for å utføre spesifikke oppgaver." Alle ubrukte dataporter må deaktiveres av maskinvare eller programvare;

Programvaren bør oppdateres regelmessig.

Internett-policy:

administratorer tildeles rett til å begrense tilgangen til ressurser, hvis innhold ikke er relatert til utførelsen av offisielle oppgaver, samt til ressurser, hvis innhold og fokus er forbudt av internasjonal og russisk lovgivning;

den ansatte har forbud mot å laste ned og åpne filer uten først å sjekke for virus;

all informasjon om ressurser besøkt av bedriftens ansatte skal lagres i en logg og om nødvendig gis til avdelingsledere, samt ledelsen

konfidensialitet og integritet for elektronisk korrespondanse og kontordokumenter sikres gjennom bruk av digitale signaturer.

I tillegg vil vi formulere de grunnleggende kravene for å lage passord for ansatte i OJSC Gazprom-selskapet.

Et passord er som en husnøkkel, bare det er nøkkelen til informasjon. For vanlige nøkler er det ekstremt uønsket å bli mistet, stjålet eller overlevert til en fremmed. Det samme gjelder passordet. Selvfølgelig avhenger informasjonssikkerheten ikke bare av passordet; for å sikre det, må du angi en rekke spesielle innstillinger og kanskje til og med skrive et program som beskytter mot hacking. Men å velge et passord er akkurat handlingen der det bare avhenger av brukeren hvor sterk denne lenken vil være i kjeden av tiltak som tar sikte på å beskytte informasjon.

) passordet må være langt (8-12-15 tegn);

) bør ikke være et ord fra en ordbok (enhver ordbok, til og med en ordbok med spesielle termer og slang), et egennavn eller et ord i kyrillisk alfabet skrevet i det latinske oppsettet (latin - kfnsym);

) den kan ikke knyttes til eieren;

) den endres med jevne mellomrom eller etter behov;

) brukes ikke i denne egenskapen på ulike ressurser (dvs. for hver ressurs - for å logge inn i en postboks, operativsystem eller database - må et annet passord brukes);

) er det mulig å huske det.

Å velge ord fra ordboken er uønsket, siden en angriper som utfører et ordbokangrep vil bruke programmer som er i stand til å søke opptil hundretusenvis av ord per sekund.

All informasjon knyttet til eieren (det være seg fødselsdato, hundens navn, mors pikenavn og lignende "passord") kan lett gjenkjennes og gjettes.

Bruken av store og små bokstaver, så vel som tall, kompliserer angriperens oppgave med å gjette passordet.

Passordet bør holdes hemmelig, og hvis du mistenker at passordet er blitt kjent for noen, endre det. Det er også veldig nyttig å endre dem fra tid til annen.

Konklusjon

Studien tillot oss å trekke følgende konklusjoner og formulere anbefalinger.

Det er fastslått at hovedårsaken til virksomhetens problemer innen informasjonssikkerhet er mangelen på en informasjonssikkerhetspolicy, som vil omfatte organisatoriske, tekniske, økonomiske løsninger med påfølgende overvåking av implementeringen og evaluering av effektiviteten.

Definisjonen av informasjonssikkerhetspolitikk er formulert som et sett med dokumenterte beslutninger, hvis formål er å sikre beskyttelse av informasjon og tilhørende informasjonsrisiko.

Analysen av informasjonssikkerhetssystemet avdekket betydelige mangler, inkludert:

lagring av sikkerhetskopier i serverrommet, backupserveren er plassert i samme rom som hovedserverne;

mangel på ordentlige regler angående passordbeskyttelse (passordlengde, regler for valg og lagring av det);

nettverksadministrasjon håndteres av én person.

En generalisering av internasjonal og russisk praksis innen informasjonssikkerhetsstyring av virksomheter tillot oss å konkludere med at for å sikre det, er det nødvendig:

prognoser og rettidig identifisering av sikkerhetstrusler, årsaker og forhold som bidrar til økonomisk, materiell og moralsk skade;

skape driftsforhold med minst mulig risiko for å implementere sikkerhetstrusler mot informasjonsressurser og forårsake ulike typer skader;

skape en mekanisme og betingelser for effektivt å reagere på trusler mot informasjonssikkerhet basert på juridiske, organisatoriske og tekniske midler.

Det første kapittelet i arbeidet diskuterer de viktigste teoretiske aspektene. Det gis en oversikt over flere standarder innen informasjonssikkerhet. Det trekkes konklusjoner for hver og en helhet, og den mest hensiktsmessige standarden for utforming av informasjonssikkerhetspolitikk er valgt.

Det andre kapittelet undersøker strukturen i organisasjonen og analyserer hovedproblemene knyttet til informasjonssikkerhet. Som et resultat er det utarbeidet anbefalinger for å sikre riktig nivå av informasjonssikkerhet. Tiltak for å forhindre ytterligere hendelser knyttet til informasjonssikkerhetsbrudd vurderes også.

Å sikre en organisasjons informasjonssikkerhet er selvfølgelig en kontinuerlig prosess som krever konstant overvåking. Og en naturlig utformet politikk er ikke en jernkledd garantist for beskyttelse. I tillegg til implementeringen av policyen, kreves det konstant overvåking av kvalitetsimplementeringen, samt forbedring i tilfelle endringer i selskapet eller presedenser. Det ble anbefalt for organisasjonen å ansette en ansatt hvis aktiviteter ville være direkte relatert til disse funksjonene (sikkerhetsadministrator).

Bibliografi

informasjonssikkerhet økonomisk skade

1. Belov E.B. Grunnleggende om informasjonssikkerhet. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Hotline - Telecom, 2006. - 544s

Galatenko V.A. Informasjonssikkerhetsstandarder: et kurs med forelesninger. Pedagogisk

godtgjørelse. - 2. utgave. M.: INTUIT.RU "Internet University of Information Technologies", 2009. - 264 s.

Glatenko V.A. Informasjonssikkerhetsstandarder / Åpne systemer 2006.- 264c

Dolzhenko A.I. Informasjonssystemstyring: Opplæringskurs. - Rostov ved Don: RGEU, 2008.-125 s.

Kalashnikov A. Dannelse av en bedriftspolicy for intern informasjonssikkerhet #"justify">. Malyuk A.A. Informasjonssikkerhet: konseptuelle og metodiske grunnlag for informasjonsbeskyttelse / M.2009-280s

Mayvold E., Nettverkssikkerhet. Egenbruksanvisning // Ekom, 2009.-528 s.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Fundamentals of organisatorisk støtte for informasjonssikkerhet for informatiseringsobjekter // Helios ARV, 2008, 192 pp.

Hvordan velge et relevant tema for en avhandling innen spesialiteten informasjonssikkerhetssystemer. Relevansen av diplom-emnet på informasjonssikkerhetssystemer, ekspertanbefalinger, eksempler på oppgavetemaer.

Temaer diplom i spesialiteten informasjonssikkerhetssystemer er viet til å løse ulike forsknings- og praktiske problemer rettet mot å sikre informasjonssikkerheten til objektet som studeres. Problemene med slikt arbeid skyldes det økende antallet informasjonssikkerhetsangrep på informasjonssystemer av ulike typer og deres komponenter.

Studieobjektet kan være et datasystem, en systemkomponent, en forretningsprosess, en bedrift, et lokaler eller sirkulerende data.

Temaet for forskning kan være metoder for informasjonsbeskyttelse, metoder for trusselanalyse, eller vurdering av effektiviteten til et informasjonssikkerhetssystem.

Som et mål diplomarbeid innen spesialiteten informasjonssikkerhetssystemer Du kan fremheve konstruksjonen eller studien av muligheten for å bruke risikomodeller og en beskyttelsesalgoritme (mer om dette).

Arbeidsoppgaver knyttet til avhandlingsemner innen spesialiteten informasjonssikkerhetssystemer, kan bestemmes av følgende liste:

1. Utvelgelse og forskning av statistiske data, inkludert formulering av hypoteser og deres bevis for tilfeldige variabler.

2. Begrunnelse av skadetyper og funksjoner, utvikling av analytisk risikomodell.

3. Dannelse av en dynamisk risikomodell basert på sensitivitetskoeffisienter.

Følgende hovedbestemmelser kan fremmes til forsvar: diplomoppgaver innen spesialiteten informasjonssikkerhetssystemer:

1. Påliteligheten til bevisene til hypotesene som er fremsatt om områdene for effektiv anvendelse av loven for informasjonssikkerhetsoppgaver.

2. Analytiske risikomodeller for systemkomponenter hvor skader har en gitt fordeling.

3. Analytiske risikomodeller for systemer hvis komponenter er utsatt for felles eller ikke-felles effekter av identifiserte angrep.

4. Dynamiske modeller, systemfølsomhetsfunksjoner.

5. Algoritmer for å håndtere systemrisiko.

Den vitenskapelige nyheten til forskning på avhandlinger om lignende emner kan formaliseres i følgende liste.

1. For første gang er områder for effektiv lovanvendelse for informasjonssikkerhetsoppgaver utredet.

2. Tidligere ustuderte analytiske risikomodeller av komponenter hvor skader har en gitt fordeling vurderes.

3. Analytiske risikomodeller av distribuerte systemer utsatt for identifiserte informasjonssikkerhetsangrep er studert.

4. For første gang ble det utført en algoritme for risikostyring av systemer for dedikert distribusjon og informasjonssikkerhetsangrep.

Praktisk verdi kan omfatte følgende:

1. Bevis på de fremsatte hypotesene gjør at vi på en rimelig måte kan bruke forskningsresultatene til å løse informasjonssikkerhetsproblemer.

2. De resulterende analytiske risikomodellene vil i fremtiden gjøre det mulig å utvikle komplekse modeller som er i stand til å analysere hele spekteret av informasjonssikkerhetsangrep.

3. Dynamiske modeller og sensitivitetsfunksjoner til datasystemer gjør det mulig å løse informasjonssikkerhetsproblemer med varierende risikonivå.

De mest relevante temaene for avsluttende kvalifiserende arbeider (GQR) og vitenskapelige forskningsarbeider (FoU), samt Diplomemner i informasjonssikkerhetssystemer kan angis i følgende tabell.

1. Beskyttelse av informasjon om kontrollkanalene til flyplassens automatiserte system	2. Implementering av et inntrengningsdeteksjonssystem ved å bruke eksemplet med falske informasjonssystemer
3. Design og utvikling av informasjonssikkerhetssystemer	4. Beskyttelse mot DDOS-angrep
5. Beskytte bedriftsinformasjon på e-postnivå	6. Informasjonssikkerhet for en geografisk distribuert virksomhet
7. Omfattende informasjonsbeskyttelse ved en industribedrift	8. Informasjonssikkerhet for et datasystem ved trusler om uautorisert tilgang
9. Utvikling av en risikomodell for et styringssystem for informasjonssikkerhet under usikkerhetsforhold	10. Modernisering av sikkerhetssystemet for informasjons- og telenett
11. Sikre informasjonssikkerhet for mobile automatiserte arbeidsstasjoner	12. Organisering av personopplysningsbeskyttelse i forbindelse med virusangrep
13. Organisering av motarbeid mot trusler mot sikkerheten til en organisasjon basert på Petri-nett	14. Hovedretninger, prinsipper og metoder for å sikre informasjonssikkerhet i datanettverk
15. Konstruksjon av en typisk handlingsmodell for en angriper som implementerer eksterne angrep	16. Problemer med informasjonssikkerhet i banker basert på skjønnsmessige modeller
17. Utvikling av en algoritme for å motvirke bruk av skjulte kommunikasjonskanaler	18. Utvikling av et sett med sikkerhetstiltak for sikkerhet av informasjon under samspillet mellom M2M-komponenter
19. Utvikling av et informasjonssikkerhetssystem for en sensitiv strategisk virksomhet	20. Utvikling av system for beskyttelse av konfidensiell informasjon i banksystemer
21. VKR: Automatisering og sikring av informasjonssikkerhet på arbeidsplassen til bedriftens kundeservicesjef	22. Oppgave: Organisering av informasjonssikkerhet av elektronisk arkiv til eiendomsregisteret i BTI
23. Bacheloroppgave: Utvikling av en informasjonssikkerhetspolicy i en handels- og produksjonsbedrift	24. Avhandling: Utvikling av en bedrifts informasjonssikkerhetspolicy
25. Diplom: Sikring av informasjonssikkerhet i et investeringsselskap	26. Diplom: Informasjonssikkerhetsrevisjon i bankens informasjonssikkerhetssystem
27. Bacheloroppgave: Utvikling og levering av informasjonssikkerhet for en automatisert sekretærarbeidsstasjon	28. Avhandling: Utvikling av et sett med informasjonssikkerhet og sikkerhetstiltak i offentlige avdelinger. institusjoner
29. Oppgave: Implementering av et omfattende informasjonssikkerhetssystem i en bedrift	30. Oppgave: Modernisering av informasjonssikkerhetssystemet i virksomheten
31. Masteroppgave: Modernisering av eksisterende informasjonssikkerhetssystem for å øke sikkerheten	32. Diplom: Modernisering av et eksisterende system for å forbedre informasjonssikkerheten
33. Diplom: Sikre informasjonssikkerhet under implementering og drift av elektroniske betalingsbehandlingssystemer	34. Masteroppgave: Øke nivået av informasjonssikkerhet i en virksomhet gjennom implementering av tilgangskontrollsystemer
35. Diplom: Utvikling av informasjonssikkerhetspolitikk i en bedrift	36. Diploma: Sikre informasjonssikkerhet i en kommersiell organisasjon