Prace magisterskie z zakresu bezpieczeństwa informacji (Bezpieczeństwo systemów informatycznych). System bezpieczeństwa informacji Lista tematów WRC dotyczących bezpieczeństwa informacji
Podobne dokumenty
Znaczenie kwestii bezpieczeństwa informacji. Oprogramowanie i sprzęt dla sieci Mineral LLC. Budowa modelu bezpieczeństwa korporacyjnego i ochrony przed nieuprawnionym dostępem. Rozwiązania techniczne ochrony systemów informatycznych.
praca magisterska, dodana 19.01.2015
Bezpieczeństwo systemu informatycznego to jego odporność na różne wpływy. Rodzaje zagrożeń komputerowych, koncepcja nieuprawnionego dostępu. Wirusy i złośliwe oprogramowanie. Metody i środki ochrony systemów informatycznych.
streszczenie, dodano 14.11.2010
Klasyfikacja zagrożeń bezpieczeństwa informacji. Błędy w rozwoju systemów komputerowych, oprogramowania i sprzętu komputerowego. Główne metody uzyskiwania nieautoryzowanego dostępu (UNA) do informacji. Metody ochrony przed NSD. Wirtualne sieci prywatne.
praca na kursie, dodano 26.11.2013
Zewnętrzne zagrożenia bezpieczeństwa informacji, formy ich manifestacji. Metody i środki ochrony przed szpiegostwem przemysłowym, jego cele: uzyskanie informacji o konkurencji, zniszczenie informacji. Metody nieuprawnionego dostępu do informacji poufnych.
test, dodano 18.09.2016
Najczęstsze sposoby nieuprawnionego dostępu do informacji, kanały jej wycieku. Metody ochrony informacji przed zagrożeniami naturalnymi (awaryjnymi) i przypadkowymi. Kryptografia jako sposób ochrony informacji. Szpiegostwo przemysłowe.
streszczenie, dodano 06.04.2013
Pojęcie, znaczenie i kierunki bezpieczeństwa informacji. Systematyczne podejście do organizacji bezpieczeństwa informacji, chroniące informacje przed nieuprawnionym dostępem. Narzędzia bezpieczeństwa informacji. Metody i systemy bezpieczeństwa informacji.
streszczenie, dodano 15.11.2011
Pojęcie i zasady bezpieczeństwa informacji. Rozważenie głównych rodzajów niebezpiecznych skutków w systemie komputerowym. Klasyfikacja kanałów nieuprawnionego dostępu do komputerów. Charakterystyka sprzętowych i programowych narzędzi bezpieczeństwa informacji.
prezentacja, dodano 15.11.2011
Bezpieczeństwo informacji, jego cele i zadania. Kanały wycieku informacji. Metody i środki programowe i sprzętowe zabezpieczające informacje przed nieuprawnionym dostępem. Model zagrożeń bezpieczeństwa informacji przetwarzanych w obiekcie komputerowym.
praca magisterska, dodana 19.02.2017
Wpływ rodzaju działalności przedsiębiorstwa na organizację kompleksowego systemu bezpieczeństwa informacji. Skład informacji chronionych. Potencjalne kanały nieuprawnionego dostępu do informacji organizacyjnych. Efektywność systemu bezpieczeństwa informacji.
raport z praktyki, dodano 31.10.2013
Historyczne aspekty powstania i rozwoju bezpieczeństwa informacji. Środki bezpieczeństwa informacji i ich klasyfikacja. Rodzaje i zasady działania wirusów komputerowych. Podstawa prawna ochrony informacji przed nieuprawnionym dostępem.
fokus (profil) „Systemy i technologie informacyjne”
obszary szkoleń 09.03.02 „Systemy i technologie informacyjne”
projektowe i technologiczne,
serwisowe i operacyjne.
1. Wirtualizacja infrastruktury informatycznej przedsiębiorstwa (nazwa przedsiębiorstwa).
2. Integracja systemów informatycznych przedsiębiorstwa opartych na systemie operacyjnym Linux i swobodnie rozpowszechnianym systemie DBMS.
3. Modernizacja i administracja systemem informacji korporacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).
4. Modernizacja, administracja i utrzymanie sieci informatycznej przedsiębiorstwa (nazwa przedsiębiorstwa).
5. Modernizacja systemu informacji i zarządzania przedsiębiorstwa (procesu) (nazwa przedsiębiorstwa lub procesu) oraz rozwój środków jego wsparcia.
6. Opracowanie portalu intranetowego dla przedsiębiorstwa (nazwa przedsiębiorstwa).
7. Projekt sieci informacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).
8. Projekt systemu informacji korporacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).
9. Rozwój i utrzymanie korporacyjnego portalu internetowego przedsiębiorstwa (nazwa przedsiębiorstwa).
10. Opracowanie systemu zautomatyzowanego przetwarzania informacji dla przedsiębiorstwa (nazwa przedsiębiorstwa).
11. Opracowanie prototypu przedsiębiorstwa systemu informatycznego do zarządzania procesami (nazwa procesu lub obiektu).
12. Opracowanie serwisu WWW dla systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).
13. Opracowanie systemu informacji referencyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).
14. Opracowanie modelu i projekt systemu zarządzania informacją w przedsiębiorstwie (nazwa przedsiębiorstwa).
15. Opracowanie oprogramowania technologicznego do utrzymania systemu (nazwa systemu).
16. Opracowanie oprogramowania urządzenia mikroprocesorowego (nazwa urządzenia).
17. Opracowanie mobilnej aplikacji klienckiej dla systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).
18. Opracowanie modelu symulacyjnego w celu optymalizacji parametrów procesu produkcyjnego.
19. Projektowanie serwerów wirtualnych w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).
20. Opracowanie modułu (podsystemu) (nazwa realizowanej funkcji) systemu informacyjnego (informacji korporacyjnej) przedsiębiorstwa (nazwa przedsiębiorstwa).
w programie kształcenia stosowanego licencjata
obszary szkoleń 03.09.04 „Inżynieria oprogramowania”
produkcyjno-technologiczną,
organizacyjno-menedżerskie,
serwisowe i operacyjne.
1. Opracowanie aplikacji do analizowania strony internetowej, sieci społecznościowej, portalu.
2. Projektowanie i oprogramowanie systemu informacyjnego (informacyjnego i referencyjnego) (cel lub funkcja systemu).
3. Opracowanie oprogramowania sprzętowego urządzenia (nazwa urządzenia).
4. Opracowanie oprogramowania aplikacyjnego dla systemu (nazwa systemu).
5. Opracowanie systemu informatycznego oprogramowania (nazwa obszaru zastosowania lub realizowanego procesu).
6. Opracowanie metod testowania i debugowania oprogramowania (nazwa oprogramowania).
7. Opracowanie modułu oprogramowania (nazwa modułu) dla systemu 1C: Enterprise (nazwa przedsiębiorstwa).
8. Opracowanie serwisu internetowego systemu zarządzania informacją w przedsiębiorstwie (nazwa przedsiębiorstwa).
9. Opracowanie aplikacji wspierającej system informacyjno-pomiarowy (cel systemu).
10. Badanie bezpieczeństwa informacji usług sieciowych systemu 1C:Enterprise.
11. Opracowanie modułu (podsystemu) (nazwa realizowanej funkcji) systemu informacyjnego (informacji korporacyjnej) przedsiębiorstwa (nazwa przedsiębiorstwa).
12. Opracowanie oprogramowania serwerowego (klienckiego) dla systemu (nazwa systemu).
Tematy końcowych prac kwalifikacyjnych
w programie kształcenia stosowanego licencjata
fokus (profil) „Serwis informacyjny”
:praca,
1. Modernizacja, administracja i utrzymanie sieci lokalnej przedsiębiorstwa (nazwa przedsiębiorstwa).
2. Modernizacja i administracja systemem informatycznym przedsiębiorstwa (nazwa przedsiębiorstwa).
3. Projekt systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).
4. Projektowanie i rozwój technologii obsługi sieci lokalnej przedsiębiorstwa (nazwa przedsiębiorstwa).
5. Projekt ochrony sprzętowej i programowej systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).
6. Opracowanie technologii diagnostyki, naprawy i konserwacji urządzenia (nazwa urządzenia, grupa urządzeń, sprzęt pomiarowy, jednostka komputerowa, system komputerowy lub mikroprocesorowy, sieć lokalna).
7. Rozwój i administracja strony internetowej firmy (nazwa firmy).
8. Opracowanie konfiguracji serwerowej dla sieci transmisji danych przedsiębiorstwa (nazwa przedsiębiorstwa).
9. Tworzenie i administrowanie bazą danych przedsiębiorstwa (nazwa przedsiębiorstwa).
10. Opracowanie portalu intranetowego dla przedsiębiorstwa (nazwa przedsiębiorstwa).
11. Opracowanie podsystemu monitorowania procesów produkcyjnych na platformie 1C:Enterprise.
12. Opracowanie projektu rozproszonego systemu informatycznego (nazwa systemu) przedsiębiorstwa (nazwa przedsiębiorstwa).
13. Opracowanie informacyjnego i referencyjnego systemu księgowego (nazwa przedmiotu księgowego).
14. Rozwój usługi WCF dla systemu informatycznego przedsiębiorstwa.
15. Opracowanie modelu systemu informacyjnego przedsiębiorstwa (nazwa lub obszar działalności przedsiębiorstwa).
16. Opracowywanie metod testowania i debugowania oprogramowania (nazwa oprogramowania).
17. Opracowanie zestawu środków do administrowania i konserwacji systemu informatycznego oprogramowania (nazwa obszaru użytkowania lub wdrażanego procesu).
18. Modelowanie i badania systemu transmisji danych (nazwa systemu).
19. Badanie i optymalizacja parametrów rozproszonego systemu informatycznego na platformie 1C:Enterprise.
20. Projekt działu przedsiębiorstwa (nazwa przedsiębiorstwa) zajmującego się naprawą i konserwacją sprzętu elektronicznego (komputerowego) oraz organizacją pracy urządzeń technicznych.
21. Projektowanie serwerów wirtualnych w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).
22. Opracowanie oprogramowania serwerowego (klienckiego) dla systemu (nazwa systemu).
Tematy końcowych prac kwalifikacyjnych
w programie kształcenia stosowanego licencjata
kierunkowość (profil) „Serwis sprzętu elektronicznego”
obszary szkoleń 03.43.01 „Serwis”
Rodzaje działalności zawodowej:praca,
produkcyjno-technologiczną.
1. Opracowanie technologii diagnostyki, naprawy i konserwacji urządzenia (nazwa urządzenia elektronicznego, mikroprocesora lub systemu telekomunikacyjnego, sprzętu pomiarowego, sieci transmisji danych).
2. Opracowanie systemu elektronicznego (nazwa systemu) przedsiębiorstwa (nazwa przedsiębiorstwa, centrum handlowo-biurowego, kompleksu rozrywkowego).
3. Opracowanie urządzenia wejścia/wyjścia informacji (nazwa urządzenia).
4. Opracowanie oprogramowania urządzenia mikroprocesorowego (nazwa urządzenia).
5. Rozwój korporacyjnej sieci telekomunikacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).
6. Opracowanie urządzenia cyfrowego (modułu) (nazwa urządzenia, modułu; nazwa realizowanej funkcji).
7. Opracowanie urządzenia zasilającego sprzęt elektroniczny (nazwa sprzętu).
8. Opracowanie technologii monitorowania (kontroli parametrów) obiektów (nazwa obiektów).
9. Opracowanie i badania czujnika bezprzewodowego (nazwa mierzonego parametru).
10. Projekt działu przedsiębiorstwa (nazwa przedsiębiorstwa) zajmującego się naprawą i konserwacją sprzętu elektronicznego (komputerowego) oraz organizacją pracy urządzeń technicznych.
11. Opracowanie podsystemu (nazwa podsystemu) zintegrowanego systemu bezpieczeństwa dla przedsiębiorstwa (nazwa przedsiębiorstwa).
Tematy końcowych prac kwalifikacyjnych
w programie kształcenia stosowanego licencjata
kierunkowość (profil) „Środki inżynierii radiowej służące do nadawania, odbierania i przetwarzania sygnałów”
obszary szkolenia 03.11.01 „Inżynieria radiowa”
projektowanie i inżynieria,
serwisowe i operacyjne.
1. Opracowanie układu urządzenia (bloku, modułu; odbierającego, nadawczego, nadawczo-odbiorczego) (nazwa systemu).
2. Opracowanie interfejsu bezprzewodowego dla sprzętu elektronicznego (nazwa sprzętu).
3. Badanie wirtualnego modelu urządzenia (podać typ urządzenia) w środowisku (nazwa środowiska programowego).
4. Opracowanie podsystemu (nazwa podsystemu) zintegrowanego korporacyjnego systemu bezpieczeństwa (nazwa przedsiębiorstwa.
Tematy końcowych prac kwalifikacyjnych
w programie kształcenia stosowanego licencjata
kierunkowość (profil) „Systemy komunikacji mobilnej”
obszary szkoleń 11.03.02 „Technologie informacyjno-komunikacyjne i systemy komunikacyjne”
Rodzaje działalności zawodowej:projekt
1. Projekt sieci telekomunikacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).
2. Administracja i utrzymanie sieci telekomunikacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).
3. Opracowanie bloku (kodek, wokoder, urządzenie synchronizujące, urządzenie dopasowujące) cyfrowego systemu telekomunikacyjnego.
4. Opracowanie adaptera interfejsu bezprzewodowego (nazwa interfejsów).
5. Opracowanie systemu urządzenia przetwarzającego informację (typ urządzenia) (nazwa systemu).
6. Opracowanie urządzenia do łączenia systemów (nazwa systemów).
7. Opracowanie sterownika systemu (nazwa systemu).
8. Opracowanie urządzenia synchronizującego dla systemu telekomunikacyjnego (nazwa systemu).
9. Opracowanie urządzenia technologicznego do badania sprzętu telekomunikacyjnego (nazwa sprzętu).
10. Rozwój sieci komunikacji bezprzewodowej (segment sieci) w oparciu o technologię (nazwa technologii).
11. Opracowanie technologii zdalnego monitorowania parametrów obiektu (nazwa parametrów).
12. Opracowanie sieci czujników do monitorowania stanu obiektu (nazwa obiektu).
13. Opracowanie technologii diagnostyki i pomiaru parametrów urządzenia telekomunikacyjnego (nazwa urządzenia, systemu, sieci, środowiska).
14. Opracowanie urządzenia nadawczo-odbiorczego dla systemu (nazwa systemu).
15. Rozwój urządzeń telekomunikacyjnych do zdalnego sterowania obiektem (nazwa obiektu).
16. Opracowanie miernika parametrów elementów sprzętu telekomunikacyjnego (nazwa elementów).
17. Opracowanie bezprzewodowego urządzenia wejścia/wyjścia informacji (nazwa urządzenia).
18. Rozwój sprzętu i oprogramowania dla technologii informacyjno-komunikacyjnej (nazwa technologii).
19. Badanie protokołów przesyłania informacji w systemie (nazwa systemu).
20. Badania metod cyfrowego przetwarzania sygnałów dla systemu (nazwa systemu).
21. Rozwój technologii informacyjno-komunikacyjnej i systemu zarządzania obiektem (nazwa obiektu).
22. Opracowanie bezprzewodowego systemu pomiaru parametru (nazwa parametru).
23. Projektowanie serwerów wirtualnych w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).
Tematy końcowych prac kwalifikacyjnych
zgodnie z programem nauczania szkoły średniej zawodowej
specjalność 09.02.01 „Systemy i zespoły komputerowe”
Moduły profesjonalne:PM.01 Projektowanie urządzeń cyfrowych,
PM.02 Zastosowanie systemów mikroprocesorowych, instalacja i konfiguracja urządzeń peryferyjnych,
PM.03 Konserwacja i naprawa systemów i zespołów komputerowych.
1. Diagnostyka usterek i monitorowanie stanu technicznego sprzętu (nazwa sprzętu i oprogramowania techniki komputerowej lub sieci komputerowej).
2. Montaż, konfiguracja i konfiguracja narzędzi (nazwa sprzętu i oprogramowania komputerowego lub sieć komputerowa).
3. Opracowanie zestawu środków zapewniających bezpieczeństwo informacji w sieci komputerowej przedsiębiorstwa (nazwa przedsiębiorstwa).
4. Opracowanie bezdotykowego systemu identyfikacji przedsiębiorstwa (nazwa przedsiębiorstwa).
5. Utrzymanie i administracja zakładowym systemem informatycznym (nazwa przedsiębiorstwa).
6. Utrzymanie i administracja siecią komputerową przedsiębiorstwa (nazwa przedsiębiorstwa).
7. Konserwacja i wsparcie sprzętu i oprogramowania (nazwa sprzętu komputerowego lub sieci komputerowej).
8. Instalacja, adaptacja i konserwacja oprogramowania (nazwa oprogramowania).
9. Opracowanie i badania urządzenia (modułu) cyfrowego (mikroprocesorowego) (nazwa urządzenia, modułu).
10. Opracowanie technologii testowania i kompleksowego debugowania oprogramowania (nazwa oprogramowania).
Tematyka końcowych prac kwalifikacyjnych dla absolwentów
fokus (profil) „Elementy i urządzenia techniki komputerowej i systemów informatycznych”
obszary kształcenia 09.04.01 „Informatyka i Informatyka”
Rodzaje działalności zawodowej:projekt,
badania naukowe.
1. Modelowanie i badanie protokołów sieciowych przesyłania informacji (ze wskazaniem rodzaju informacji).
2. Badania i rozwój komputerowych metod poprawy parametrów układu (wskazane są parametry lub parametry oraz rodzaj układu).
3. Komputerowe modelowanie, badania i optymalizacja systemów informatycznych lub telekomunikacyjnych (wskazana jest klasa systemów).
4. Badania i optymalizacja budowy bezprzewodowych sieci sensorowych.
5. Badania i analizy budowy bezprzewodowych sieci Internetu Rzeczy.
6. Opracowanie kryteriów efektywnościowych i badanie rozmieszczenia maszyn wirtualnych w infrastrukturze chmurowej.
7. Rozwój, badania i ocena efektywności rozproszonych systemów informacyjnych (lub informacyjno-pomiarowych) (ze wskazaniem obszaru zastosowania lub rodzaju systemów).
8. Opracowanie i badania interfejsu bezprzewodowego dla sprzętu (nazwa sprzętu).
9. Opracowanie i badania urządzenia do śledzenia obiektów (nazwa obiektu).
10. Opracowanie i badania urządzeń do monitorowania stanu obiektu (nazwa obiektu).
11. Opracowywanie narzędzi diagnostycznych sprzętu i oprogramowania urządzeń (nazwa urządzeń).
12. Opracowanie i badania czujnika bezprzewodowego (nazwa mierzonego parametru).
13. Badanie algorytmów korekcyjnych konwerterów parametru (nazwy parametru) na kod.
14. Opracowanie algorytmów i oprogramowania do monitorowania parametrów systemu zarządzania obiektem (nazwa obiektu).
15. Opracowanie i badania bezprzewodowych urządzeń sterujących dla obiektu (nazwa obiektu).
16. Modelowanie i badanie przetworników parametrów (nazwa parametrów).
17. Metody oceny jakości oprogramowania (wskazano przeznaczenie oprogramowania).
18. Badanie funkcjonowania urządzeń (nazwa urządzeń) w warunkach (wskazano warunki) w celu poprawy właściwości (wskazano cechy).
19. Opracowywanie metod analizy i syntezy urządzeń (nazwy urządzeń) w celu poprawy właściwości (wskazane są cechy).
Tematy końcowych prac kwalifikacyjnych
w akademickim programie magisterskim
fokus (profil) „Rozwój oprogramowania i systemów informatycznych”
obszary szkoleń 09.04.04 „Inżynieria oprogramowania”
badania,
projekt
1. Opracowanie i badania usługi REST służącej do wyświetlania planów zajęć w szkołach wyższych.
2. Badania i rozwój narzędzi do testowania oprogramowania dla operatorów komórkowych.
3. Rozpoznawanie stanu fizjologicznego człowieka w oparciu o teorię układów o strukturze losowej.
4. Projekt systemu informatycznego automatyzacji sprzedaży (nazwa przedsiębiorstwa) w oparciu o podejście MDA.
5. Opracowanie i badania systemu informacji o oprogramowaniu do oceny jakości oprogramowania (podana jest nazwa oprogramowania).
6. Rozwój rozproszonego oprogramowania i systemów informatycznych (wskazano zakres zastosowania systemu) oraz badanie możliwości ich optymalizacji w oparciu o kryteria efektywnościowe (wskazano kryteria).
7. Opracowanie oprogramowania do obsługi urządzeń wejścia/wyjścia dla systemu (nazwa systemu).
8. Badanie bezpieczeństwa elementów oprogramowania systemu informatycznego (nazwa systemu).
Wstęp
Rozdział 1. Teoretyczne aspekty adopcji i bezpieczeństwa informacji
1.1Pojęcie bezpieczeństwa informacji 3 Metody bezpieczeństwa informacji Rozdział 2. Analiza systemu bezpieczeństwa informacji 1 Zakres działalności spółki i analiza wskaźników finansowych 2 Opis systemu bezpieczeństwa informacji w firmie 3 Opracowanie zestawu działań modernizujących istniejący system bezpieczeństwa informacji Wniosek Bibliografia Aplikacja Załącznik nr 1. Bilans za rok 2010 Załącznik nr 1. Bilans za rok 2010 Wstęp O trafności tematu pracy decyduje rosnący poziom problemów związanych z bezpieczeństwem informacji, nawet w kontekście szybkiego rozwoju technologii i narzędzi ochrony danych. Niemożliwe jest zapewnienie 100% poziomu ochrony korporacyjnych systemów informatycznych przy jednoczesnym prawidłowym ustaleniu priorytetów zadań związanych z ochroną danych, biorąc pod uwagę ograniczoną część budżetu przeznaczonego na technologie informacyjne. Niezawodna ochrona infrastruktury informatycznej i sieciowej przedsiębiorstwa jest podstawowym zadaniem bezpieczeństwa informacji dla każdej firmy. Wraz z rozwojem działalności przedsiębiorstwa i przejściem do organizacji rozproszonej geograficznie zaczyna ona wykraczać poza ramy jednego budynku. Skuteczna ochrona infrastruktury IT i systemów aplikacji korporacyjnych jest dziś niemożliwa bez wprowadzenia nowoczesnych technologii kontroli dostępu do sieci. Coraz częstsze przypadki kradzieży nośników zawierających cenne informacje biznesowe coraz częściej wymuszają podjęcie działań organizacyjnych. Celem tej pracy będzie ocena istniejącego systemu bezpieczeństwa informacji w organizacji i opracowanie środków jego doskonalenia. Cel ten wyznacza następujące cele pracy: ) rozważyć koncepcję bezpieczeństwa informacji; ) rozważyć rodzaje możliwych zagrożeń dla systemów informatycznych i możliwości zabezpieczenia przed możliwymi zagrożeniami wycieku informacji w organizacji. ) wskazać listę zasobów informacyjnych, których naruszenie integralności lub poufności spowoduje największą szkodę dla przedsiębiorstwa; ) opracować na ich podstawie zestaw środków usprawniających istniejący system bezpieczeństwa informacji. Praca składa się ze wstępu, dwóch rozdziałów, zakończenia, wykazu wykorzystanych źródeł i zastosowań. We wstępie uzasadniono aktualność tematu badawczego oraz sformułowano cel i zadania pracy. W pierwszym rozdziale omówiono teoretyczne aspekty koncepcji bezpieczeństwa informacji w organizacji. Rozdział drugi zawiera krótki opis działalności firmy, kluczowe wskaźniki efektywności, opisuje aktualny stan systemu bezpieczeństwa informacji oraz proponuje działania mające na celu jego poprawę. W podsumowaniu sformułowano główne wyniki i wnioski płynące z pracy. Podstawą metodologiczną i teoretyczną pracy były prace krajowych i zagranicznych ekspertów z zakresu bezpieczeństwa informacji.W trakcie pracy nad pracą wykorzystano informacje odzwierciedlające treść ustaw, aktów prawnych i rozporządzeń, dekretów Rządu RP Federacja Rosyjska regulująca bezpieczeństwo informacji, międzynarodowe standardy bezpieczeństwa informacji. Teoretyczne znaczenie badań dyplomowych polega na wdrażaniu zintegrowanego podejścia przy opracowywaniu polityki bezpieczeństwa informacji. O praktycznym znaczeniu pracy decyduje fakt, że jej wyniki pozwalają na podniesienie stopnia ochrony informacji w przedsiębiorstwie poprzez kompetentne zaprojektowanie polityki bezpieczeństwa informacji. Rozdział 1. Teoretyczne aspekty adopcji i bezpieczeństwa informacji 1.1 Pojęcie bezpieczeństwa informacji Bezpieczeństwo informacji odnosi się do bezpieczeństwa informacji i towarzyszącej jej infrastruktury przed przypadkowymi lub złośliwymi wpływami, które mogą skutkować uszkodzeniem samych informacji, ich właścicieli lub infrastruktury pomocniczej. Cele bezpieczeństwa informacji sprowadzają się do minimalizacji szkód, a także przewidywania i zapobiegania takim skutkom. Parametry systemów informatycznych wymagające ochrony można podzielić na następujące kategorie: zapewnienie integralności, dostępności i poufności zasobów informacyjnych. dostępność to możliwość uzyskania w krótkim czasie wymaganej usługi informacyjnej; integralność to istotność i spójność informacji, jej ochrona przed zniszczeniem i nieuprawnionymi zmianami; poufność - ochrona przed nieuprawnionym dostępem do informacji. Systemy informacyjne tworzone są przede wszystkim w celu uzyskania określonych usług informacyjnych. Jeśli uzyskanie informacji z jakiegokolwiek powodu stanie się niemożliwe, powoduje to szkodę dla wszystkich podmiotów relacji informacyjnych. Na tej podstawie możemy stwierdzić, że dostępność informacji jest najważniejsza. Integralność jest głównym aspektem bezpieczeństwa informacji, gdy głównymi parametrami informacji są dokładność i prawdziwość. Na przykład recepty na leki lub zestaw i charakterystykę składników. Najbardziej rozwiniętym elementem bezpieczeństwa informacji w naszym kraju jest poufność. Jednak praktyczne wdrożenie środków zapewniających poufność nowoczesnych systemów informatycznych napotyka w Rosji ogromne trudności. Po pierwsze, informacje o technicznych kanałach wycieku informacji są zamknięte, więc większość użytkowników nie jest w stanie zorientować się w potencjalnych zagrożeniach. Po drugie, istnieje wiele przeszkód legislacyjnych i wyzwań technicznych stojących na drodze niestandardowej kryptografii jako podstawowego sposobu zapewnienia prywatności. Działania mogące spowodować uszkodzenie systemu informatycznego można podzielić na kilka kategorii. ukierunkowana kradzież lub zniszczenie danych na stacji roboczej lub serwerze; Uszkodzenie danych przez użytkownika w wyniku nieostrożnych działań. . „Elektroniczne” metody wpływu prowadzone przez hakerów. Przez hakerów rozumie się osoby, które dokonują przestępstw komputerowych zarówno zawodowo (w tym w ramach rywalizacji), jak i po prostu z ciekawości. Metody te obejmują: nieuprawnione wejście do sieci komputerowych; Celem nieuprawnionego wejścia do sieci firmowej z zewnątrz może być wyrządzenie szkody (zniszczenie danych), kradzież poufnych informacji i wykorzystanie ich do celów niezgodnych z prawem, wykorzystanie infrastruktury sieciowej do organizowania ataków na obce węzły, kradzież środków z kont itp. Atak DOS (w skrócie Denial of Service) to atak zewnętrzny na węzły sieciowe przedsiębiorstwa odpowiedzialne za jego bezpieczne i wydajne działanie (serwery plików, poczty). Atakujący organizują masowe wysyłanie pakietów danych do tych węzłów, aby je przeciążyć i w rezultacie na jakiś czas wyłączyć z działania. Z reguły pociąga to za sobą zakłócenia w procesach biznesowych firmy ofiary, utratę klientów, utratę reputacji itp. Wirusy komputerowe. Odrębną kategorią elektronicznych metod oddziaływania są wirusy komputerowe i inne szkodliwe programy. Stanowią realne zagrożenie dla współczesnych przedsiębiorstw, które szeroko korzystają z sieci komputerowych, Internetu i poczty elektronicznej. Przedostanie się wirusa do węzłów sieci korporacyjnej może doprowadzić do zakłóceń w ich funkcjonowaniu, utraty czasu pracy, utraty danych, kradzieży poufnych informacji, a nawet bezpośredniej kradzieży zasobów finansowych. Program wirusowy, który przedostał się do sieci firmowej, może dać atakującym częściową lub całkowitą kontrolę nad działaniami firmy. Spam. W ciągu zaledwie kilku lat spam przekształcił się z drobnej irytacji w jedno z najpoważniejszych zagrożeń bezpieczeństwa: poczta elektroniczna stała się ostatnio głównym kanałem rozprzestrzeniania się szkodliwego oprogramowania; przeglądanie, a następnie usuwanie wiadomości zajmuje dużo czasu, powodując u pracowników uczucie dyskomfortu psychicznego; zarówno osoby fizyczne, jak i organizacje padają ofiarą oszukańczych programów spamerów (ofiary często starają się nie ujawniać takich zdarzeń); ważna korespondencja jest często usuwana wraz ze spamem, co może prowadzić do utraty klientów, zerwania umów i innych przykrych konsekwencji; ryzyko utraty korespondencji wzrasta szczególnie w przypadku korzystania z czarnych list RBL i innych „prymitywnych” metod filtrowania spamu. Zagrożenia „naturalne”. Na bezpieczeństwo informacji firmy może mieć wpływ wiele czynników zewnętrznych: utrata danych może być spowodowana niewłaściwym przechowywaniem, kradzieżą komputerów i nośników, działaniem siły wyższej itp. System zarządzania bezpieczeństwem informacji (SZBI lub System Zarządzania Bezpieczeństwem Informacji) pozwala zarządzać zestawem środków realizujących określoną zamierzoną strategię, w tym przypadku w odniesieniu do bezpieczeństwa informacji. Należy pamiętać, że mówimy nie tylko o zarządzaniu istniejącym systemem, ale także o budowie nowego/przeprojektowaniu starego. Zestaw środków obejmuje środki organizacyjne, techniczne, fizyczne i inne. Zarządzanie bezpieczeństwem informacji to złożony proces, który pozwala na wdrożenie najbardziej efektywnego i kompleksowego zarządzania bezpieczeństwem informacji w przedsiębiorstwie. Celem zarządzania bezpieczeństwem informacji jest zachowanie poufności, integralności i dostępności informacji. Pytanie tylko, jakiego rodzaju informacje należy chronić i jakie wysiłki należy podjąć, aby zapewnić ich bezpieczeństwo. Każde zarządzanie opiera się na świadomości sytuacji, w której ma miejsce. W zakresie analizy ryzyka świadomość sytuacji wyraża się w inwentaryzacji i ocenie majątku organizacji oraz jej otoczenia, czyli wszystkiego, co zapewnia prowadzenie działalności gospodarczej. Z punktu widzenia analizy ryzyka bezpieczeństwa informacji głównymi aktywami są informacja, infrastruktura, personel, wizerunek i reputacja firmy. Bez inwentaryzacji majątku na poziomie działalności gospodarczej nie da się odpowiedzieć na pytanie, co dokładnie należy chronić. Ważne jest, aby zrozumieć, jakie informacje są przetwarzane w organizacji i gdzie są przetwarzane. W dużej, nowoczesnej organizacji liczba zasobów informacyjnych może być bardzo duża. Jeśli działania organizacji są zautomatyzowane za pomocą systemu ERP, wówczas możemy powiedzieć, że prawie każdy przedmiot materialny używany w tej działalności odpowiada pewnego rodzaju obiektowi informacyjnemu. Dlatego też podstawowym zadaniem zarządzania ryzykiem jest identyfikacja najważniejszych aktywów. Nie da się rozwiązać tego problemu bez zaangażowania menedżerów głównej działalności organizacji, zarówno średniego, jak i wyższego szczebla. Optymalna sytuacja ma miejsce, gdy najwyższe kierownictwo organizacji osobiście wyznacza najbardziej krytyczne obszary działania, dla których niezwykle ważne jest zapewnienie bezpieczeństwa informacji. Opinia wyższej kadry kierowniczej dotycząca priorytetów w zapewnieniu bezpieczeństwa informacji jest bardzo ważna i cenna w procesie analizy ryzyka, jednak w każdym przypadku powinna zostać doprecyzowana poprzez zebranie informacji o krytyczności aktywów na średnim szczeblu zarządzania firmą. Jednocześnie wskazane jest przeprowadzenie dalszej analizy właśnie w obszarach działalności biznesowej wyznaczonych przez najwyższe kierownictwo. Otrzymane informacje są przetwarzane, agregowane i przekazywane kierownictwu wyższego szczebla w celu kompleksowej oceny sytuacji. Informacje można identyfikować i lokalizować na podstawie opisu procesów biznesowych, w których informacja jest traktowana jako jeden z rodzajów zasobów. Zadanie jest nieco uproszczone, jeśli organizacja przyjęła podejście do regulowania działalności biznesowej (na przykład na potrzeby zarządzania jakością i optymalizacji procesów biznesowych). Sformalizowane opisy procesów biznesowych są dobrym punktem wyjścia do inwentaryzacji aktywów. W przypadku braku opisów aktywa można zidentyfikować na podstawie informacji uzyskanych od pracowników organizacji. Po zidentyfikowaniu aktywów należy określić ich wartość. Praca polegająca na określeniu wartości zasobów informacyjnych w całej organizacji jest najbardziej znacząca i złożona. To właśnie ocena aktywów informacyjnych pozwoli kierownikowi działu bezpieczeństwa informacji wybrać główne obszary działania zapewniające bezpieczeństwo informacji. Jednak efektywność ekonomiczna procesu zarządzania bezpieczeństwem informacji w dużej mierze zależy od świadomości tego, co należy chronić i jakich wysiłków będzie to wymagać, gdyż w większości przypadków wielkość włożonego wysiłku jest wprost proporcjonalna do ilości wydanych pieniędzy i wydatków operacyjnych. Zarządzanie ryzykiem pozwala odpowiedzieć na pytanie, gdzie można podejmować ryzyko, a gdzie nie. W przypadku bezpieczeństwa informacji termin „ryzyko” oznacza, że w danym obszarze nie można podejmować znaczących wysiłków w celu ochrony aktywów informacyjnych, a jednocześnie w przypadku naruszenia bezpieczeństwa organizacja nie ucierpi znaczne straty. Można tu dokonać analogii z klasami ochrony systemów zautomatyzowanych: im większe ryzyko, tym bardziej rygorystyczne powinny być wymagania dotyczące ochrony. Aby określić konsekwencje naruszenia bezpieczeństwa, należy albo posiadać informacje o zarejestrowanych zdarzeniach o podobnym charakterze, albo przeprowadzić analizę scenariuszy. Analiza scenariuszy bada związki przyczynowo-skutkowe pomiędzy zdarzeniami związanymi z bezpieczeństwem aktywów oraz konsekwencjami tych zdarzeń dla działalności biznesowej organizacji. Konsekwencje scenariuszy powinny być oceniane przez kilka osób, iteracyjnie lub przemyślanie. Należy zaznaczyć, że opracowania i oceny takich scenariuszy nie można całkowicie oddzielić od rzeczywistości. Zawsze należy pamiętać, że scenariusz musi być prawdopodobny. Kryteria i skale ustalania wartości są indywidualne dla każdej organizacji. Na podstawie wyników analizy scenariuszy można uzyskać informację o wartości aktywów. Po zidentyfikowaniu aktywów i określeniu ich wartości można powiedzieć, że cele zapewnienia bezpieczeństwa informacji są częściowo ustalone: określone są przedmioty ochrony i znaczenie utrzymania ich w stanie bezpieczeństwa informacji dla organizacji. Być może jedyne, co pozostaje, to określić, przed kim należy chronić. Po określeniu celów zarządzania bezpieczeństwem informacji należy przeanalizować problemy, które uniemożliwiają osiągnięcie stanu docelowego. Na tym poziomie proces analizy ryzyka schodzi do infrastruktury informacyjnej i tradycyjnych koncepcji bezpieczeństwa informacji – intruzów, zagrożeń i podatności. Do oceny ryzyka nie wystarczy wprowadzenie standardowego modelu naruszającego, który dzieli wszystkich sprawców naruszenia ze względu na rodzaj dostępu do aktywa i znajomość struktury aktywa. Podział ten pozwala określić, jakie zagrożenia można skierować na dobro, ale nie daje odpowiedzi na pytanie, czy zagrożenia te w zasadzie mogą zostać zrealizowane. W procesie analizy ryzyka konieczna jest ocena motywacji sprawców w realizacji zagrożeń. W tym przypadku sprawca naruszenia nie oznacza abstrakcyjnego zewnętrznego hakera lub insidera, ale stronę zainteresowaną uzyskaniem korzyści poprzez naruszenie bezpieczeństwa mienia. Wskazane jest uzyskanie wstępnej informacji o modelu sprawcy, gdyż w przypadku wyboru wstępnych kierunków działań związanych z bezpieczeństwem informacji, od najwyższego kierownictwa, które rozumie pozycję organizacji na rynku, ma informacje o konkurencji i możliwych metodach oddziaływania. od nich oczekiwać. Informacje niezbędne do opracowania modelu intruza można także pozyskać ze specjalistycznych badań dotyczących naruszeń bezpieczeństwa komputerowego w obszarze biznesowym, dla którego przeprowadzana jest analiza ryzyka. Odpowiednio opracowany model intruza uzupełnia cele bezpieczeństwa informacji wyznaczone przy ocenie majątku organizacji. Opracowanie modelu zagrożeń i identyfikacja podatności są nierozerwalnie związane z inwentaryzacją środowiska zasobów informacyjnych organizacji. Same informacje nie są przechowywane ani przetwarzane. Dostęp do niego zapewnia infrastruktura informatyczna automatyzująca procesy biznesowe organizacji. Ważne jest, aby zrozumieć, w jaki sposób infrastruktura informacyjna organizacji i zasoby informacyjne są ze sobą powiązane. Z punktu widzenia zarządzania bezpieczeństwem informacji znaczenie infrastruktury informacyjnej można określić dopiero po ustaleniu relacji pomiędzy zasobami informacyjnymi a infrastrukturą. Jeśli procesy utrzymania i eksploatacji infrastruktury informatycznej w organizacji są uregulowane i przejrzyste, gromadzenie informacji niezbędnych do identyfikacji zagrożeń i oceny podatności jest znacznie uproszczone. Opracowanie modelu zagrożenia to zadanie dla specjalistów ds. bezpieczeństwa informacji, którzy dobrze rozumieją, w jaki sposób osoba atakująca może uzyskać nieautoryzowany dostęp do informacji poprzez naruszenie granic bezpieczeństwa lub zastosowanie metod socjotechniki. Opracowując model zagrożeń, można także mówić o scenariuszach jako o kolejnych krokach, zgodnie z którymi zagrożenia mogą zostać zrealizowane. Bardzo rzadko zdarza się, że zagrożenia są wdrażane jednoetapowo, wykorzystując pojedynczy słaby punkt systemu. Model zagrożeń powinien obejmować wszystkie zagrożenia zidentyfikowane w ramach powiązanych procesów zarządzania bezpieczeństwem informacji, takich jak zarządzanie podatnościami i incydentami. Należy pamiętać, że zagrożenia trzeba będzie uszeregować względem siebie według poziomu prawdopodobieństwa ich realizacji. Aby tego dokonać, w procesie opracowywania modelu zagrożenia dla każdego zagrożenia należy wskazać najważniejsze czynniki, których istnienie wpływa na jego realizację. Polityka bezpieczeństwa opiera się na analizie ryzyk, które uznaje się za realne dla systemu informatycznego organizacji. Po analizie zagrożeń i ustaleniu strategii ochrony tworzony jest program bezpieczeństwa informacji. Na ten program przydzielane są środki, wyznaczane są osoby odpowiedzialne, ustalana jest procedura monitorowania realizacji programu itp. W szerokim rozumieniu politykę bezpieczeństwa definiuje się jako system udokumentowanych decyzji zarządczych mających na celu zapewnienie bezpieczeństwa organizacji. W wąskim znaczeniu polityka bezpieczeństwa jest zwykle rozumiana jako lokalny dokument regulacyjny, który określa wymagania bezpieczeństwa, system środków lub procedurę, a także obowiązki pracowników organizacji i mechanizmy kontrolne dla określonego obszaru bezpieczeństwa. Zanim zaczniemy formułować samą politykę bezpieczeństwa informacji, konieczne jest zrozumienie podstawowych pojęć, według których będziemy działać. Informacja – informacja (wiadomości, dane) niezależnie od formy ich prezentacji. Poufność informacji stanowi obowiązkowy wymóg, aby osoba, która uzyskała dostęp do określonych informacji, nie przekazywała ich osobom trzecim bez zgody ich właściciela. Bezpieczeństwo informacji (IS) to stan bezpieczeństwa środowiska informacyjnego społeczeństwa, zapewniający jego tworzenie, wykorzystanie i rozwój w interesie obywateli, organizacji i państw. Pojęcie „informacji” jest dziś stosowane dość szeroko i wszechstronnie. Zapewnienie bezpieczeństwa informacji nie może być działaniem jednorazowym. Jest to proces ciągły, polegający na uzasadnianiu i wdrażaniu najbardziej racjonalnych metod, metod i sposobów doskonalenia i rozwoju systemu bezpieczeństwa, ciągłym monitorowaniu jego stanu, identyfikowaniu jego słabych stron i działań nielegalnych. Bezpieczeństwo informacji można zapewnić jedynie poprzez zintegrowane wykorzystanie całej gamy dostępnych środków bezpieczeństwa we wszystkich elementach konstrukcyjnych systemu produkcyjnego i na wszystkich etapach cyklu technologicznego przetwarzania informacji. Największy efekt osiąga się, gdy wszystkie stosowane środki, metody i środki zostaną połączone w jeden integralny mechanizm - system bezpieczeństwa informacji. Jednocześnie funkcjonowanie systemu musi być monitorowane, aktualizowane i uzupełniane w zależności od zmian warunków zewnętrznych i wewnętrznych. Zgodnie z normą GOST R ISO/IEC 15408:2005 można wyróżnić następujące rodzaje wymagań bezpieczeństwa: funkcjonalne, odpowiadające aktywnemu aspektowi ochrony, wymagania dotyczące funkcji bezpieczeństwa i mechanizmów je realizujących; wymagania zaufania odpowiadające pasywnemu aspektowi nałożonemu na technologię oraz proces rozwoju i eksploatacji. Bardzo ważne jest, aby bezpieczeństwo w tej normie nie było rozpatrywane statycznie, ale w odniesieniu do cyklu życia ocenianego obiektu. Wyróżnia się następujące etapy: określenie celu, warunków stosowania, celów i wymagań bezpieczeństwa; projektowanie i rozwój; testowanie, ocena i certyfikacja; wdrożenie i działanie. Przyjrzyjmy się zatem bliżej wymaganiom bezpieczeństwa funkcjonalnego. Zawierają: ochrona danych użytkowników; ochrona funkcji bezpieczeństwa (wymagania dotyczą integralności i kontroli tych usług bezpieczeństwa oraz mechanizmów je realizujących); zarządzanie bezpieczeństwem (wymagania tej klasy dotyczą zarządzania atrybutami i parametrami bezpieczeństwa); audyt bezpieczeństwa (identyfikacja, rejestracja, przechowywanie, analiza danych mających wpływ na bezpieczeństwo ocenianego obiektu, reakcja na ewentualne naruszenie bezpieczeństwa); prywatność (ochrona użytkownika przed ujawnieniem i nieuprawnionym wykorzystaniem jego danych identyfikacyjnych); wykorzystanie zasobów (wymagania dotyczące dostępności informacji); komunikacja (uwierzytelnianie stron biorących udział w wymianie danych); zaufana trasa/kanał (do komunikacji ze służbami bezpieczeństwa). Zgodnie z tymi wymaganiami konieczne jest sformułowanie systemu bezpieczeństwa informacji organizacji. System bezpieczeństwa informacji organizacji obejmuje następujące obszary: regulacyjne; organizacyjne (administracyjne); techniczny; oprogramowanie; Aby w pełni ocenić sytuację w przedsiębiorstwie we wszystkich obszarach bezpieczeństwa, konieczne jest opracowanie koncepcji bezpieczeństwa informacji, która ustalałaby systematyczne podejście do problemu bezpieczeństwa zasobów informacyjnych i stanowiłaby systematyczne zestawienie celów, założeń, zasad projektowania i zespół środków zapewniających bezpieczeństwo informacji w przedsiębiorstwie. System zarządzania siecią korporacyjną powinien opierać się na następujących zasadach (zadaniach): zapewnienie ochrony istniejącej infrastruktury informatycznej przedsiębiorstwa przed intruzami; zapewnienie warunków lokalizacji i minimalizacji ewentualnych uszkodzeń; eliminowanie pojawiania się źródeł zagrożeń na początkowym etapie; zapewnienie ochrony informacji przed trzema głównymi rodzajami pojawiających się zagrożeń (dostępność, integralność, poufność); Rozwiązanie powyższych problemów osiąga się poprzez; regulacja działań użytkownika podczas pracy z systemem informatycznym; regulacja działań użytkownika podczas pracy z bazą danych; jednolite wymagania dotyczące niezawodności sprzętu i oprogramowania; procedury monitorowania pracy systemu informatycznego (rejestrowanie zdarzeń, analiza protokołów, analiza ruchu sieciowego, analiza pracy urządzeń technicznych); Polityka bezpieczeństwa informacji obejmuje: głównym dokumentem jest „Polityka Bezpieczeństwa”. Ogólnie opisuje politykę bezpieczeństwa organizacji, postanowienia ogólne, a także wskazuje odpowiednie dokumenty dla wszystkich aspektów polityki; instrukcje regulujące pracę użytkowników; opis stanowiska administratora sieci lokalnej; opis stanowiska administratora bazy danych; instrukcje dotyczące pracy z zasobami internetowymi; instrukcje dotyczące organizacji ochrony hasłem; instrukcje dotyczące organizacji ochrony antywirusowej. Dokument Polityki Bezpieczeństwa zawiera główne postanowienia. Na jego podstawie budowany jest program bezpieczeństwa informacji, budowane są opisy stanowisk pracy i rekomendacje. Instrukcje regulujące pracę użytkowników sieci lokalnej organizacji regulują tryb dopuszczania użytkowników do pracy w lokalnej sieci komputerowej organizacji, a także zasady postępowania z informacjami chronionymi przetwarzanymi, przechowywanymi i przesyłanymi w organizacji. Opis stanowiska administratora sieci lokalnej opisuje obowiązki administratora sieci lokalnej w zakresie bezpieczeństwa informacji. Opis stanowiska administratora bazy danych określa główne obowiązki, funkcje i uprawnienia administratora bazy danych. Opisuje szczegółowo wszystkie obowiązki i funkcje administratora bazy danych, a także prawa i obowiązki. Instrukcje pracy z zasobami internetowymi odzwierciedlają podstawowe zasady bezpiecznej pracy z Internetem, a także zawierają listę akceptowalnych i niedopuszczalnych działań podczas pracy z zasobami internetowymi. Instrukcje organizacji ochrony antywirusowej określają podstawowe postanowienia, wymagania dotyczące organizacji ochrony antywirusowej systemu informatycznego organizacji, wszystkie aspekty związane z działaniem oprogramowania antywirusowego, a także odpowiedzialność w przypadku naruszenia zasad ochrony antywirusowej. -wirus ochrona. Instrukcje organizacji ochrony hasłem regulują obsługę organizacyjną i techniczną procesów generowania, zmiany i wygaśnięcia haseł (usuwania kont użytkowników). Regulowane są także działania użytkowników i personelu konserwacyjnego podczas pracy z systemem. Zatem podstawą organizacji procesu ochrony informacji jest polityka bezpieczeństwa, sformułowana w celu określenia przed jakimi zagrożeniami i w jaki sposób chroniona jest informacja w systemie informatycznym. Polityka bezpieczeństwa to zbiór środków prawnych, organizacyjnych i technicznych mających na celu ochronę informacji przyjętych w danej organizacji. Oznacza to, że polityka bezpieczeństwa zawiera wiele warunków, pod którymi użytkownicy uzyskują dostęp do zasobów systemu bez utraty właściwości bezpieczeństwa informacji tego systemu. Problem zapewnienia bezpieczeństwa informacji należy rozwiązywać systematycznie. Oznacza to, że różne zabezpieczenia (sprzętowe, programowe, fizyczne, organizacyjne itp.) muszą być stosowane jednocześnie i pod scentralizowaną kontrolą. Obecnie istnieje duży arsenał metod zapewniających bezpieczeństwo informacji: środki identyfikacji i uwierzytelniania użytkowników; środki do szyfrowania informacji przechowywanych na komputerach i przesyłanych przez sieci; zapory ogniowe; wirtualne sieci prywatne; narzędzia do filtrowania treści; narzędzia do sprawdzania integralności zawartości dysku; narzędzia ochrony antywirusowej; systemy wykrywania podatności sieci i analizatory ataków sieciowych. Każde z wymienionych narzędzi może być wykorzystywane samodzielnie lub w integracji z innymi. Dzięki temu możliwe jest tworzenie systemów bezpieczeństwa informacji dla sieci o dowolnej złożoności i konfiguracji, niezależnie od wykorzystywanych platform. System uwierzytelniania (lub identyfikacji), autoryzacji i administracji. Identyfikacja i autoryzacja to kluczowe elementy bezpieczeństwa informacji. Funkcja autoryzacji odpowiada za to, do jakich zasobów ma dostęp konkretny użytkownik. Funkcja administracyjna polega na zapewnieniu użytkownikowi określonych cech identyfikacyjnych w ramach danej sieci oraz ustaleniu zakresu dozwolonych mu działań. Systemy szyfrowania pozwalają zminimalizować straty w przypadku nieuprawnionego dostępu do danych przechowywanych na dysku twardym lub innym nośniku, a także przechwycenia informacji przesyłanych pocztą elektroniczną lub przesyłanych za pośrednictwem protokołów sieciowych. Celem tego narzędzia ochrony jest zapewnienie poufności. Główne wymagania stawiane systemom szyfrowania to wysoki poziom siły kryptograficznej i legalność stosowania na terytorium Rosji (lub innych państw). Zapora sieciowa to system lub kombinacja systemów tworząca barierę ochronną pomiędzy dwiema lub większą liczbą sieci, zapobiegającą przedostawaniu się i opuszczaniu sieci przez nieautoryzowane pakiety danych. Podstawową zasadą działania zapór sieciowych jest sprawdzanie każdego pakietu danych pod kątem zgodności przychodzących i wychodzących adresów IP z bazą dozwolonych adresów. Tym samym firewalle znacznie poszerzają możliwości segmentacji sieci informatycznych i kontroli przepływu danych. Mówiąc o kryptografii i zaporach ogniowych, powinniśmy wspomnieć o bezpiecznych wirtualnych sieciach prywatnych (VPN). Ich zastosowanie pozwala rozwiązać problemy poufności i integralności danych przesyłanych otwartymi kanałami komunikacji. Korzystanie z VPN można sprowadzić do rozwiązania trzech głównych problemów: ochrona przepływu informacji pomiędzy różnymi biurami firmy (informacje są szyfrowane jedynie na wyjściu do sieci zewnętrznej); bezpieczny dostęp zdalnych użytkowników sieci do zasobów informacyjnych firmy, realizowany najczęściej za pośrednictwem Internetu; ochrona przepływu informacji pomiędzy poszczególnymi aplikacjami w sieciach korporacyjnych (ten aspekt jest również bardzo ważny, ponieważ większość ataków przeprowadzana jest z sieci wewnętrznych). Skutecznym sposobem zabezpieczenia się przed utratą poufnych informacji jest filtrowanie treści poczty przychodzącej i wychodzącej. Sprawdzanie samych wiadomości e-mail i ich załączników w oparciu o zasady ustalone przez organizację pomaga również chronić firmy przed odpowiedzialnością w procesach sądowych i chroni ich pracowników przed spamem. Narzędzia do filtrowania treści umożliwiają skanowanie plików we wszystkich popularnych formatach, w tym plików skompresowanych i graficznych. Jednocześnie przepustowość sieci pozostaje praktycznie niezmieniona. Wszelkie zmiany na stacji roboczej lub serwerze mogą być monitorowane przez administratora sieci lub innego uprawnionego użytkownika dzięki technologii sprawdzania integralności zawartości dysku twardego (kontrola integralności). Pozwala to wykryć wszelkie działania na plikach (zmiany, usunięcie lub po prostu otwarcie) i zidentyfikować aktywność wirusów, nieautoryzowany dostęp lub kradzież danych przez autoryzowanych użytkowników. Kontrola odbywa się w oparciu o analizę sum kontrolnych plików (sum CRC). Nowoczesne technologie antywirusowe umożliwiają identyfikację niemal wszystkich znanych już programów wirusowych poprzez porównanie kodu podejrzanego pliku z próbkami przechowywanymi w antywirusowej bazie danych. Ponadto opracowano technologie modelowania zachowań, które umożliwiają wykrywanie nowo tworzonych programów wirusowych. Wykryte obiekty można leczyć, izolować (poddawać kwarantannie) lub usuwać. Ochronę antywirusową można zainstalować na stacjach roboczych, serwerach plików i poczty, zaporach sieciowych działających pod niemal każdym popularnym systemem operacyjnym (systemy Windows, Unix i Linux, Novell) na różnych typach procesorów. Filtry spamu znacznie redukują nieproduktywne koszty pracy związane z analizą spamu, zmniejszają ruch i obciążenie serwera, poprawiają zaplecze psychologiczne w zespole i zmniejszają ryzyko zaangażowania pracowników firmy w oszukańcze transakcje. Ponadto filtry antyspamowe zmniejszają ryzyko infekcji nowymi wirusami, ponieważ wiadomości zawierające wirusy (nawet te, które nie znajdują się jeszcze w bazach danych programów antywirusowych) często noszą oznaki spamu i są filtrowane. To prawda, że pozytywny efekt filtrowania spamu można zniweczyć, jeśli filtr wraz ze wiadomościami-śmieciami usunie lub oznaczy jako spam oraz przydatne wiadomości biznesowe lub osobiste. Ogromne szkody wyrządzone firmom przez wirusy i ataki hakerów są w dużej mierze konsekwencją słabości wykorzystywanego oprogramowania. Można je zidentyfikować z wyprzedzeniem, bez czekania na realny atak, wykorzystując systemy wykrywania podatności sieci komputerowych i analizatory ataków sieciowych. Takie oprogramowanie w bezpieczny sposób symuluje typowe ataki i metody włamań oraz określa, co haker może zobaczyć w sieci i w jaki sposób może wykorzystać jej zasoby. Aby przeciwdziałać naturalnym zagrożeniom bezpieczeństwa informacji, firma musi opracować i wdrożyć zestaw procedur, które pozwolą zapobiegać sytuacjom awaryjnym (np. zapewnić fizyczną ochronę danych przed pożarem) i minimalizować szkody w przypadku ich wystąpienia. Jedną z głównych metod ochrony przed utratą danych jest tworzenie kopii zapasowych przy ścisłym przestrzeganiu ustalonych procedur (regularność, rodzaje nośników, sposoby przechowywania kopii itp.). Polityka bezpieczeństwa informacji to pakiet dokumentów regulujących pracę pracowników, opisujących podstawowe zasady pracy z informacjami, systemami informacyjnymi, bazami danych, sieciami lokalnymi i zasobami Internetu. Ważne jest, aby zrozumieć, jakie miejsce zajmuje polityka bezpieczeństwa informacji w ogólnym systemie zarządzania organizacją. Poniżej przedstawiono ogólne środki organizacyjne związane z polityką bezpieczeństwa. Na poziomie proceduralnym można wyróżnić następujące klasy środków: zarządzanie personelem; ochrona fizyczna; utrzymanie wydajności; reagowanie na naruszenia bezpieczeństwa; planowanie prac renowacyjnych. Zarządzanie zasobami ludzkimi rozpoczyna się od zatrudnienia, ale jeszcze wcześniej należy określić uprawnienia komputerowe powiązane ze stanowiskiem. Należy pamiętać o dwóch ogólnych zasadach: podział obowiązków; minimalizacja przywilejów. Zasada rozdziału obowiązków nakazuje taki podział ról i odpowiedzialności, aby jedna osoba nie mogła zakłócić procesu krytycznego dla organizacji. Na przykład niepożądane jest, aby jedna osoba dokonywała dużych płatności w imieniu organizacji. Bezpieczniej jest zlecić jednemu pracownikowi obsługę wniosków o takie płatności, a drugiemu poświadczanie tych wniosków. Innym przykładem są ograniczenia proceduralne dotyczące działań administratora. Możesz sztucznie „podzielić” hasło superużytkownika, udostępniając jego pierwszą część jednemu pracownikowi, a drugą część innemu. Mogą wówczas podejmować krytyczne działania w zakresie administrowania systemem informatycznym tylko wspólnie, co zmniejsza prawdopodobieństwo wystąpienia błędów i nadużyć. Zasada najmniejszych uprawnień wymaga, aby użytkownicy otrzymali tylko te prawa dostępu, których potrzebują do wykonywania swoich obowiązków służbowych. Cel tej zasady jest oczywisty - zmniejszenie szkód spowodowanych przypadkowymi lub celowymi nieprawidłowymi działaniami. Wstępne przygotowanie opisu stanowiska pozwala ocenić jego krytyczność i zaplanować procedurę selekcji i selekcji kandydatów. Im bardziej odpowiedzialne stanowisko, tym dokładniej należy sprawdzać kandydatów: zadawać pytania na ich temat, być może rozmawiać z byłymi współpracownikami itp. Taka procedura może być długotrwała i kosztowna, dlatego nie ma sensu jej dodatkowo komplikować. Jednocześnie nieuzasadniona jest całkowita rezygnacja z wstępnej selekcji, aby uniknąć przypadkowego zatrudnienia osoby z przeszłością kryminalną lub chorobą psychiczną. Po zidentyfikowaniu kandydata prawdopodobnie będzie on musiał przejść szkolenie; powinien przynajmniej dokładnie zapoznać się z obowiązkami służbowymi oraz przepisami i procedurami dotyczącymi bezpieczeństwa informacji. Zaleca się, aby przed objęciem urzędu i założeniem konta systemowego z nazwą użytkownika, hasłem i uprawnieniami zapoznał się ze środkami bezpieczeństwa. Bezpieczeństwo systemu informatycznego zależy od środowiska, w którym on działa. Konieczne jest podjęcie działań mających na celu ochronę budynków i terenów otaczających, infrastruktury towarzyszącej, sprzętu komputerowego i nośników danych. Rozważmy następujące obszary ochrony fizycznej: fizyczna kontrola dostępu; ochrona infrastruktury pomocniczej; ochrona systemów mobilnych. Środki fizycznej kontroli dostępu pozwalają kontrolować, a w razie potrzeby ograniczać wejścia i wyjścia pracowników i gości. Można sterować całym budynkiem organizacji, a także pojedynczymi pomieszczeniami, np. tymi, w których znajdują się serwery, sprzęt komunikacyjny itp. Infrastruktura towarzysząca obejmuje systemy zaopatrzenia w energię elektryczną, wodę i ciepło, klimatyzację i komunikację. W zasadzie obowiązują je te same wymagania dotyczące integralności i dostępności, co w przypadku systemów informatycznych. Aby zapewnić integralność, sprzęt należy chronić przed kradzieżą i uszkodzeniem. Aby zachować dostępność, należy wybierać sprzęt o maksymalnym MTBF, powielać najważniejsze komponenty i zawsze mieć pod ręką części zamienne. Ogólnie rzecz biorąc, przy wyborze sprzętu ochrony fizycznej należy przeprowadzić analizę ryzyka. Zatem decydując się na zakup zasilacza awaryjnego należy wziąć pod uwagę jakość zasilania w budynku zajmowanym przez organizację (jednak prawie na pewno okaże się ona słaba), charakter i czas trwania awarie prądu, koszt dostępnych źródeł i możliwe straty w wyniku wypadków (awaria sprzętu, zawieszenie pracy organizacji i tak dalej). Rozważmy szereg środków mających na celu utrzymanie funkcjonalności systemów informatycznych. To właśnie w tym obszarze czai się największe niebezpieczeństwo. Niezamierzone błędy administratorów systemu i użytkowników mogą prowadzić do utraty wydajności, a mianowicie uszkodzenia sprzętu, zniszczenia programów i danych. To najgorszy scenariusz. W najlepszym razie tworzą luki w zabezpieczeniach, które umożliwiają wystąpienie zagrożeń bezpieczeństwa systemu. Głównym problemem wielu organizacji jest niedocenianie czynników bezpieczeństwa w codziennej pracy. Drogie funkcje bezpieczeństwa nie mają żadnego znaczenia, jeśli są słabo udokumentowane, kolidują z innym oprogramowaniem, a hasło administratora systemu nie zostało zmienione od czasu instalacji. W przypadku codziennych czynności mających na celu utrzymanie funkcjonalności systemu informatycznego można wyróżnić następujące działania: wsparcie użytkownika; wsparcie oprogramowania; Zarządzanie konfiguracją; kopia zapasowa; zarządzanie mediami; dokumentacja; rutynowa konserwacja. Wsparcie użytkowników to przede wszystkim konsultacje i pomoc w rozwiązywaniu różnego rodzaju problemów. Bardzo ważne jest, aby w strumieniu pytań móc zidentyfikować problemy związane z bezpieczeństwem informacji. Dlatego wiele trudności dla użytkowników pracujących na komputerach osobistych może wynikać z infekcji wirusowej. Wskazane jest nagrywanie pytań użytkowników w celu zidentyfikowania ich typowych błędów i wydawania przypomnień z zaleceniami dotyczącymi typowych sytuacji. Wsparcie oprogramowania jest jednym z najważniejszych sposobów zapewnienia integralności informacji. Przede wszystkim musisz śledzić, jakie oprogramowanie jest zainstalowane na Twoich komputerach. Jeśli użytkownicy instalują programy według własnego uznania, może to prowadzić do infekcji wirusami, a także pojawienia się narzędzi omijających środki ochrony. Prawdopodobne jest również, że „niezależne działania” użytkowników stopniowo doprowadzą do chaosu na ich komputerach, a administrator systemu będzie musiał naprawić sytuację. Drugim aspektem wsparcia oprogramowania jest kontrola braku nieautoryzowanych zmian w programach i praw dostępu do nich. Obejmuje to również wsparcie dla kopii referencyjnych systemów oprogramowania. Kontrolę zwykle osiąga się poprzez połączenie fizycznej i logicznej kontroli dostępu, a także poprzez wykorzystanie narzędzi do weryfikacji i integralności. Zarządzanie konfiguracją pozwala kontrolować i rejestrować zmiany wprowadzone w konfiguracji oprogramowania. Przede wszystkim trzeba zabezpieczyć się przed przypadkowymi lub nieprzemyślanymi modyfikacjami i móc przynajmniej wrócić do poprzedniej, działającej wersji. Zatwierdzenie zmian ułatwi przywrócenie bieżącej wersji po awarii. Najlepszym sposobem na ograniczenie błędów w rutynowej pracy jest jej maksymalna automatyzacja. Automatyzacja i bezpieczeństwo są od siebie zależne, gdyż ten, komu zależy przede wszystkim na ułatwieniu sobie zadania, tak naprawdę jest tym, który optymalnie kształtuje reżim bezpieczeństwa informacji. Kopia zapasowa jest niezbędna do przywracania programów i danych po katastrofach. I tutaj wskazane jest co najmniej zautomatyzowanie pracy poprzez utworzenie komputerowego harmonogramu tworzenia kopii pełnych i przyrostowych, a maksymalnie poprzez użycie odpowiedniego oprogramowania. Należy także zadbać o umieszczenie kopii w bezpiecznym miejscu, chronionym przed nieuprawnionym dostępem, pożarem, wyciekiem, czyli przed wszystkim, co mogłoby doprowadzić do kradzieży lub uszkodzenia nośnika. Wskazane jest posiadanie kilku kopii zapasowych i przechowywanie części z nich poza siedzibą firmy, co chroni przed poważnymi awariami i podobnymi zdarzeniami. Od czasu do czasu, w celach testowych, warto sprawdzić możliwość przywrócenia informacji z kopii. Zarządzanie nośnikami jest niezbędne do zapewnienia fizycznego bezpieczeństwa i rozliczania dyskietek, taśm, wydruków itp. Zarządzanie mediami musi zapewniać poufność, integralność i dostępność informacji przechowywanych poza systemami komputerowymi. Ochrona fizyczna oznacza tu nie tylko odparcie prób nieuprawnionego dostępu, ale także ochronę przed szkodliwym wpływem środowiska (ciepło, zimno, wilgoć, magnetyzm). Zarządzanie mediami musi obejmować cały cykl życia, od zakupu po likwidację. Dokumentacja jest integralną częścią bezpieczeństwa informacji. Prawie wszystko jest dokumentowane w formie dokumentów – od polityki bezpieczeństwa po dziennik multimediów. Ważne jest, aby dokumentacja była aktualna i odzwierciedlała aktualny stan rzeczy oraz w sposób spójny. Wymogi poufności dotyczą przechowywania niektórych dokumentów (zawierających np. analizę podatności i zagrożeń systemu), inne zaś, jak np. plan odtwarzania po awarii, podlegają wymogom integralności i dostępności (w sytuacji krytycznej plan musi znaleźć i przeczytać). Rutynowa praca stwarza bardzo poważne zagrożenie bezpieczeństwa. Pracownik wykonujący rutynową konserwację otrzymuje wyłączny dostęp do systemu, a w praktyce bardzo trudno jest dokładnie kontrolować, jakie czynności wykonuje. Tutaj na pierwszy plan wysuwa się stopień zaufania do osób wykonujących pracę. Przyjęta przez organizację polityka bezpieczeństwa musi przewidywać zestaw środków operacyjnych mających na celu wykrywanie i neutralizowanie naruszeń reżimu bezpieczeństwa informacji. Ważne jest, aby w takich przypadkach kolejność działań została zaplanowana z wyprzedzeniem, ponieważ środki należy podjąć pilnie i w sposób skoordynowany. Reakcja na naruszenia bezpieczeństwa ma trzy główne cele: zlokalizowanie zdarzenia i ograniczenie szkód; zapobieganie powtarzającym się naruszeniom. Często wymóg zlokalizowania zdarzenia i ograniczenia szkód wchodzi w konflikt z chęcią zidentyfikowania sprawcy. Polityce bezpieczeństwa organizacji należy nadać priorytet już na wczesnym etapie. Ponieważ, jak pokazuje praktyka, bardzo trudno jest zidentyfikować napastnika, naszym zdaniem przede wszystkim należy zadbać o zmniejszenie szkód. Żadna organizacja nie jest odporna na poważne wypadki spowodowane przyczynami naturalnymi, złymi działaniami, zaniedbaniem lub niekompetencją. Jednocześnie każda organizacja ma funkcje, które kierownictwo uważa za krytyczne i które należy wykonywać bez względu na wszystko. Planowanie prac renowacyjnych pozwala przygotować się na wypadki, zmniejszyć szkody z nich wynikające i zachować zdolność do funkcjonowania przynajmniej w minimalnym stopniu. Należy pamiętać, że środki bezpieczeństwa informacji można podzielić na trzy grupy, w zależności od tego, czy mają na celu zapobieganie, wykrywanie czy eliminowanie skutków ataków. Większość środków ma charakter zapobiegawczy. Proces planowania renowacji można podzielić na następujące etapy: identyfikacja funkcji krytycznych organizacji, ustalanie priorytetów; identyfikacja zasobów potrzebnych do wykonywania funkcji krytycznych; ustalenie listy możliwych wypadków; opracowanie strategii renaturyzacji; przygotowanie do realizacji wybranej strategii; sprawdzenie strategii. Planując prace renowacyjne należy mieć świadomość, że nie zawsze możliwe jest pełne utrzymanie funkcjonowania organizacji. Należy zidentyfikować funkcje krytyczne, bez których organizacja traci swoje oblicze, a nawet ustalić priorytety wśród funkcji krytycznych, aby po wypadku jak najszybciej i przy minimalnych kosztach wznowić pracę. Identyfikując zasoby potrzebne do wykonywania funkcji krytycznych, należy pamiętać, że wiele z nich nie ma charakteru komputerowego. Na tym etapie wskazane jest zaangażowanie w pracę specjalistów o różnych profilach. Istnieje zatem wiele różnych metod zapewnienia bezpieczeństwa informacji. Najbardziej efektywne jest zastosowanie wszystkich tych metod w jednym kompleksie. Współczesny rynek bezpieczeństwa jest dziś nasycony narzędziami zapewniającymi bezpieczeństwo informacji. Stale badając istniejącą ofertę rynku bezpieczeństwa, wiele firm dostrzega nieadekwatność wcześniej zainwestowanych środków w systemy bezpieczeństwa informacji, na przykład ze względu na starzenie się sprzętu i oprogramowania. Dlatego szukają rozwiązań tego problemu. Opcje takie mogą być dwie: z jednej strony całkowita wymiana korporacyjnego systemu ochrony informacji, co będzie wymagało dużych inwestycji, a z drugiej modernizacja istniejących systemów bezpieczeństwa. Ostatnia możliwość rozwiązania tego problemu jest najtańsza, ale niesie za sobą nowe problemy, wymaga np. odpowiedzi na następujące pytania: jak zapewnić kompatybilność starych, zachowanych z istniejących narzędzi bezpieczeństwa sprzętu i oprogramowania oraz nowych elementów system bezpieczeństwa informacji; jak zapewnić scentralizowane zarządzanie heterogenicznymi narzędziami bezpieczeństwa; jak ocenić i, jeśli to konieczne, ponownie ocenić ryzyko informacyjne firmy. Rozdział 2. Analiza systemu bezpieczeństwa informacji 1 Zakres działalności spółki i analiza wskaźników finansowych OJSC Gazprom to globalna firma energetyczna. Podstawową działalnością spółki są poszukiwania geologiczne, wydobycie, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej, a także produkcja i sprzedaż energii cieplnej i elektrycznej. Gazprom swoją misję widzi w niezawodnym, efektywnym i zrównoważonym zaopatrzeniu odbiorców w gaz ziemny, inne rodzaje surowców energetycznych oraz ich przetworzone produkty. Gazprom posiada najbogatsze na świecie zasoby gazu ziemnego. Jego udział w światowych zasobach gazu wynosi 18%, w Rosji - 70%. Gazprom odpowiada za 15% światowej i 78% rosyjskiej produkcji gazu. Obecnie spółka aktywnie realizuje zakrojone na szeroką skalę projekty zagospodarowania zasobów gazu Półwyspu Jamalskiego, szelfu arktycznego, Syberii Wschodniej i Dalekiego Wschodu, a także szereg projektów w zakresie poszukiwania i wydobycia węglowodorów za granicą. Gazprom jest niezawodnym dostawcą gazu dla odbiorców rosyjskich i zagranicznych. Firma jest właścicielem największej na świecie sieci przesyłu gazu - Jednolitego Systemu Dostaw Gazu Rosji, którego długość przekracza 161 tys. Km. Ponad połowę sprzedawanego przez siebie gazu Gazprom sprzedaje na rynku krajowym. Ponadto firma dostarcza gaz do 30 krajów bliższej i dalszej zagranicy. Gazprom jest jedynym producentem i eksporterem skroplonego gazu ziemnego w Rosji i zapewnia około 5% światowej produkcji LNG. Spółka jest jednym z pięciu największych producentów ropy naftowej w Federacji Rosyjskiej, a także największym właścicielem aktywów wytwórczych na swoim terytorium. Ich łączna moc zainstalowana stanowi 17% całkowitej mocy zainstalowanej rosyjskiego systemu energetycznego. Celem strategicznym jest ugruntowanie pozycji OAO Gazprom na pozycji lidera wśród światowych koncernów energetycznych poprzez rozwój nowych rynków, dywersyfikację działalności i zapewnienie niezawodności dostaw. Przyjrzyjmy się wynikom finansowym firmy za ostatnie dwa lata. Wyniki operacyjne spółki przedstawiono w załączniku nr 1. Na dzień 31 grudnia 2010 roku przychody ze sprzedaży wyniosły 2 495 557 mln rubli, jest to liczba znacznie niższa w porównaniu z danymi za 2011 rok, czyli 3 296 656 mln rubli. Przychody ze sprzedaży (bez podatku akcyzowego, VAT i ceł) wzrosły o 801 099 mln RUB, czyli o 32%, za okres dziewięciu miesięcy zakończony 30 września 2011 r. w porównaniu do tego samego okresu roku ubiegłego i wyniosły 3 296 656 mln RUB. Na podstawie wyników roku 2011 przychody netto ze sprzedaży gazu stanowiły 60% ogółu przychodów netto ze sprzedaży (60% w analogicznym okresie ubiegłego roku). Przychody netto ze sprzedaży gazu wzrosły z 1 495 335 mln RUB. za rok do 1 987 330 milionów rubli. w tym samym okresie 2011 r., czyli o 33%. Przychody netto ze sprzedaży gazu do Europy i innych krajów wzrosły o 258 596 mln RUB, czyli o 34% w porównaniu do analogicznego okresu roku ubiegłego i wyniosły 1 026 451 mln RUB. Ogólny wzrost sprzedaży gazu do Europy i pozostałych krajów wynikał ze wzrostu średnich cen. Średnia cena w rublach (uwzględniająca cła) wzrosła o 21% za okres dziewięciu miesięcy zakończony 30 września 2011 roku w porównaniu do tego samego okresu 2010 roku. Ponadto wolumen sprzedaży gazu wzrósł o 8% w porównaniu do analogicznego okresu roku ubiegłego. Przychody netto ze sprzedaży gazu do krajów byłego Związku Radzieckiego wzrosły w tym samym okresie 2010 roku o 168 538 mln rubli, tj. o 58%, i wyniosły 458 608 mln rubli. Zmiana ta wynikała przede wszystkim ze wzrostu sprzedaży gazu do byłego Związku Radzieckiego o 33% w okresie dziewięciu miesięcy zakończonym 30 września 2011 r. w porównaniu z tym samym okresem ubiegłego roku. Ponadto średnia cena w rublach (z cłami, pomniejszona o VAT) wzrosła o 15% w porównaniu z analogicznym okresem ubiegłego roku. Przychody netto ze sprzedaży gazu w Federacji Rosyjskiej wzrosły o 64 861 mln RUB, tj. o 15%, w porównaniu do analogicznego okresu roku ubiegłego i wyniosły 502 271 mln RUB. Wynika to głównie ze wzrostu średniej ceny gazu o 13% w porównaniu do analogicznego okresu ubiegłego roku, co wiąże się ze wzrostem stawek ustalanych przez Federalną Służbę Taryfową (FTS). Przychody netto ze sprzedaży produktów naftowych i gazowych (pomniejszone o podatek akcyzowy, VAT i cła) wzrosły o 213 012 mln rubli, czyli o 42%, i wyniosły 717 723 mln rubli. w porównaniu z tym samym okresem ubiegłego roku. Wzrost ten wynika głównie ze wzrostu światowych cen produktów naftowych i gazowych oraz wzrostu wolumenu sprzedaży w porównaniu z analogicznym okresem ubiegłego roku. Przychody Grupy Gazprom Neft wyniosły odpowiednio 85% i 84% całkowitych przychodów netto ze sprzedaży produktów naftowych i gazowych. Przychody netto ze sprzedaży energii elektrycznej i cieplnej (bez VAT) wzrosły o 38 097 mln RUB, tj. o 19% i wyniosły 237 545 mln RUB. Wzrost przychodów ze sprzedaży energii elektrycznej i cieplnej wynika głównie ze wzrostu stawek za energię elektryczną i cieplną oraz wzrostu wolumenu sprzedaży energii elektrycznej i cieplnej. Przychody netto ze sprzedaży ropy naftowej i kondensatu gazowego (pomniejszone o podatek akcyzowy, VAT i cła) wzrosły o 23 072 mln RUB, tj. o 16% i wyniosły 164 438 mln RUB. w porównaniu do 141 366 mln RUB. za ten sam okres ubiegłego roku. Zmiana wynika głównie ze wzrostu cen ropy naftowej i kondensatu gazowego. Dodatkowo zmiana spowodowana była wzrostem sprzedaży kondensatu gazowego. Przychody ze sprzedaży ropy naftowej wyniosły 133 368 mln RUB. i 121 675 milionów rubli. w przychodach netto ze sprzedaży ropy naftowej i kondensatu gazowego (pomniejszonych o podatek akcyzowy, VAT i cło) odpowiednio w latach 2011 i 2010. Przychody netto ze sprzedaży usług transportu gazu (bez VAT) wzrosły o 15 306 mln RUB, tj. o 23% i wyniosły 82 501 mln RUB wobec 67 195 mln RUB. za ten sam okres ubiegłego roku. Wzrost ten wynika głównie ze wzrostu stawek za przesył gazu dla niezależnych dostawców oraz wzrostu wolumenów gazu. ѐ przeniesienia transportu gazu dla niezależnych dostawców w porównaniu do analogicznego okresu ubiegłego roku. Pozostałe przychody wzrosły o 19 617 mln RUB, tj. o 22% i wyniosły 107 119 mln RUB. w porównaniu do 87,502 mln RUB. za ten sam okres ubiegłego roku. Wydatki na działalność handlową bez faktycznej dostawy wyniosły 837 mln RUB. w porównaniu do dochodów w wysokości 5 786 mln RUB. za ten sam okres ubiegłego roku. Koszty operacyjne wzrosły o 23% i wyniosły 2 119 289 mln RUB. w porównaniu do 1 726 604 mln RUB. za ten sam okres ubiegłego roku. Udział kosztów operacyjnych w przychodach ze sprzedaży spadł z 69% do 64%. Koszty pracy wzrosły o 18% i wyniosły 267 377 mln RUB. w porównaniu do 227,500 mln RUB. za ten sam okres ubiegłego roku. Wzrost wynika głównie ze wzrostu przeciętnego wynagrodzenia. Amortyzacja za analizowany okres wzrosła o 9%, czyli o 17 026 mln rubli i wyniosła 201 636 mln rubli w porównaniu do 184 610 mln rubli. za ten sam okres ubiegłego roku. Wzrost wynikał głównie z rozbudowy bazy środków trwałych. W wyniku działania powyższych czynników zysk ze sprzedaży wzrósł o 401 791 mln RUB, tj. o 52% i wyniósł 1 176 530 mln RUB. w porównaniu do 774 739 mln RUB. za ten sam okres ubiegłego roku. Marża zysku ze sprzedaży wzrosła z 31% do 36% za dziewięć miesięcy zakończonych 30 września 2011 r. Zatem OJSC Gazprom jest globalną firmą energetyczną. Podstawową działalnością spółki są poszukiwania geologiczne, wydobycie, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej, a także produkcja i sprzedaż energii cieplnej i elektrycznej. Sytuacja finansowa spółki jest stabilna. Wskaźniki wydajności wykazują pozytywną dynamikę. 2 Opis systemu bezpieczeństwa informacji w firmie Rozważmy główne obszary działalności oddziałów Służby Ochrony Korporacyjnej OJSC Gazprom: opracowanie ukierunkowanych programów rozwoju systemów i kompleksów inżynierii i sprzętu bezpieczeństwa technicznego (ITSE), systemów bezpieczeństwa informacji (IS) OAO Gazprom oraz jego spółek zależnych i organizacji, udział w tworzeniu programu inwestycyjnego mającego na celu zapewnienie informacji i technologii bezpieczeństwo; realizacja uprawnień Klienta w zakresie rozwoju systemów bezpieczeństwa informacji, a także systemów i kompleksów ITSO; rozpatrywanie i zatwierdzanie wniosków budżetowych i budżetów na realizację działań w zakresie rozwoju systemów bezpieczeństwa informacji, systemów i kompleksów ITSO, a także tworzenia IT w zakresie systemów bezpieczeństwa informacji; opiniowanie i zatwierdzanie dokumentacji projektowej i przedprojektowej rozwoju systemów bezpieczeństwa informacji, systemów i zespołów ITSO oraz specyfikacji technicznych tworzenia (modernizacji) systemów informatycznych, systemów łączności i telekomunikacji pod kątem wymagań bezpieczeństwa informacji; organizacja prac mających na celu ocenę zgodności systemów i kompleksów ITSO, systemów bezpieczeństwa informacji (oraz robót i usług związanych z ich tworzeniem) z ustalonymi wymaganiami; koordynacja i kontrola prac nad ochroną informacji technicznych. Gazprom stworzył system zapewniający ochronę danych osobowych. Jednakże przyjęcie przez federalne władze wykonawcze szeregu regulacyjnych aktów prawnych w ramach rozwoju istniejących ustaw i rozporządzeń rządowych powoduje konieczność udoskonalenia obecnego systemu ochrony danych osobowych. W celu rozwiązania tego problemu opracowano i zatwierdza się w ramach prac badawczych szereg dokumentów. Przede wszystkim są to projekty standardów Organizacji Rozwoju Gazpromu: „Metodologia klasyfikacji systemów informatycznych danych osobowych OAO Gazprom, jego spółek zależnych i organizacji”; „Model zagrożeń danych osobowych podczas ich przetwarzania w systemach informatycznych OAO Gazprom, jej spółek zależnych i organizacji.” Dokumenty te zostały opracowane z uwzględnieniem wymogów Dekretu Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. Nr 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” w w odniesieniu do klasy systemów specjalnych, do których zalicza się większość OJSC ISPDn „Gazprom”. Ponadto obecnie trwają prace nad „Regulaminem organizacji i wsparcia technicznego bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych OAO Gazprom, jej spółek zależnych i organizacji”. Należy zauważyć, że w ramach systemu standaryzacji OJSC Gazprom opracowano standardy systemu bezpieczeństwa informacji, które umożliwią także rozwiązanie problemów ochrony danych osobowych przetwarzanych w systemach informatycznych OJSC Gazprom. Zatwierdzono i wchodzi w życie w tym roku siedem standardów związanych z systemem bezpieczeństwa informacji. Normy określają podstawowe wymagania dotyczące budowy systemów bezpieczeństwa informacji dla OAO Gazprom i jego spółek zależnych. Wyniki przeprowadzonych prac pozwolą na bardziej racjonalne wykorzystanie zasobów materialnych, finansowych i intelektualnych, stworzą niezbędne wsparcie regulacyjne i metodyczne, wprowadzą skuteczne środki ochrony, a w efekcie zapewnią bezpieczeństwo danych osobowych przetwarzanych w systemie informacyjnym systemów OAO Gazprom. W wyniku analizy bezpieczeństwa informacji OJSC Gazprom zidentyfikowano następujące niedociągnięcia w zapewnieniu bezpieczeństwa informacji: organizacja nie posiada jednego dokumentu regulującego kompleksową politykę bezpieczeństwa; Biorąc pod uwagę wielkość sieci i liczbę użytkowników (ponad 100), należy zauważyć, że za administrację systemem, bezpieczeństwo informacji i wsparcie techniczne odpowiada jedna osoba; nie ma klasyfikacji aktywów informacyjnych według stopnia ważności; role i obowiązki związane z bezpieczeństwem informacji nie są zawarte w opisach stanowisk; w umowie o pracę zawartej z pracownikiem nie ma klauzuli dotyczącej odpowiedzialności za bezpieczeństwo informacji zarówno zatrudnionych, jak i samej organizacji; nie zapewnia się szkolenia personelu w zakresie bezpieczeństwa informacji; z punktu widzenia ochrony przed zagrożeniami zewnętrznymi: nie opracowano typowych procedur postępowania w zakresie odzyskiwania danych po wypadkach, które nastąpiły na skutek zagrożeń zewnętrznych i środowiskowych; serwerownia nie jest odrębnym pomieszczeniem, pomieszczeniu przypisano status dwóch działów (do serwerowni, oprócz administratora systemu, ma dostęp jeszcze jedna osoba); nie przeprowadza się sondowań technicznych i badań fizycznych pod kątem nieautoryzowanych urządzeń podłączonych do kabli; pomimo tego, że wpis odbywa się za pomocą przepustek elektronicznych, a wszystkie informacje wprowadzane są do specjalnej bazy danych, nie przeprowadza się ich analizy; w zakresie ochrony przed złośliwym oprogramowaniem: nie istnieje formalna polityka chroniąca przed zagrożeniami związanymi z otrzymywaniem plików z lub za pośrednictwem sieci zewnętrznych lub znajdujących się na nośnikach wymiennych; w zakresie ochrony przed złośliwym oprogramowaniem: nie ma wytycznych dotyczących ochrony sieci lokalnej przed złośliwym kodem; nie ma kontroli ruchu, jest dostęp do serwerów pocztowych sieci zewnętrznych; wszystkie kopie zapasowe przechowywane są w serwerowni; używane są niepewne, łatwe do zapamiętania hasła; otrzymanie haseł przez użytkowników nie jest w żaden sposób potwierdzane; hasła są przechowywane przez administratora w postaci zwykłego tekstu; hasła nie ulegają zmianie; Nie istnieje procedura raportowania zdarzeń związanych z bezpieczeństwem informacji. Tym samym, w oparciu o te braki, opracowano zbiór przepisów dotyczących polityki bezpieczeństwa informacji, obejmujący: polityki dotyczące zatrudniania (zwalniania) i nadawania (pozbawiania) pracowników niezbędnych uprawnień dostępu do zasobów systemowych; politykę dotyczącą pracy użytkowników sieci w trakcie jej funkcjonowania; polityka ochrony haseł; polityka dotycząca organizacji ochrony fizycznej; Polityka internetowa; a także administracyjne środki bezpieczeństwa. Dokumenty zawierające niniejszy regulamin są na etapie rozpatrywania przez kierownictwo organizacji. 3 Opracowanie zestawu działań modernizujących istniejący system bezpieczeństwa informacji W wyniku analizy systemu bezpieczeństwa informacji OJSC Gazprom zidentyfikowano istotne luki w systemie. W celu opracowania działań eliminujących zidentyfikowane braki w systemie bezpieczeństwa wyróżnimy następujące grupy informacji, które podlegają ochronie: informacje o życiu prywatnym pracowników umożliwiające ich identyfikację (dane osobowe); informacje związane z działalnością zawodową i stanowiące tajemnicę bankową, audytorską i komunikacyjną; informacje związane z działalnością zawodową i oznaczone jako informacje „do użytku służbowego”; informacji, których zniszczenie lub modyfikacja będzie miała negatywny wpływ na efektywność operacyjną, a odtworzenie będzie wymagało dodatkowych kosztów. Z punktu widzenia działań administracyjnych opracowano następujące zalecenia: system bezpieczeństwa informacji musi być zgodny z ustawodawstwem Federacji Rosyjskiej i standardami państwowymi; budynki i pomieszczenia, w których są zainstalowane lub przechowywane urządzenia do przetwarzania informacji, w których prowadzona jest praca z informacjami chronionymi, muszą być strzeżone i chronione za pomocą środków alarmowych i kontroli dostępu; przy zatrudnianiu pracownika należy zorganizować szkolenie personelu w zakresie bezpieczeństwa informacji (wyjaśnienie znaczenia ochrony hasłem i wymagań dotyczących haseł, przeprowadzenie szkoleń z oprogramowania antywirusowego itp.); przeprowadzać co 6-12 miesięcy szkolenia mające na celu podniesienie poziomu wiedzy pracowników w zakresie bezpieczeństwa informacji; audyt systemu i dostosowania do opracowanych przepisów należy przeprowadzać corocznie, 1 października lub bezpośrednio po wprowadzeniu istotnych zmian w strukturze przedsiębiorstwa; uprawnienia dostępu każdego użytkownika do zasobów informacyjnych muszą być udokumentowane (w razie potrzeby należy uzyskać dostęp od kierownika na piśmie); politykę bezpieczeństwa informacji musi zapewnić administrator oprogramowania i administrator sprzętu, ich działania koordynuje kierownik grupy. Sformułujmy politykę haseł: nie przechowuj ich w postaci niezaszyfrowanej (nie zapisuj ich na papierze, w zwykłym pliku tekstowym itp.); zmienić hasło w przypadku jego ujawnienia lub podejrzenia o ujawnienie; długość musi wynosić co najmniej 8 znaków; Hasło musi zawierać duże i małe litery, cyfry oraz znaki specjalne, hasło nie może zawierać łatwych do obliczenia ciągów znaków (imiona, imiona zwierząt, daty); zmieniać raz na 6 miesięcy (nieplanowana zmiana hasła musi zostać dokonana niezwłocznie po otrzymaniu powiadomienia o zdarzeniu, które spowodowało zmianę); Zmieniając hasła, nie można wybrać tych, które były wcześniej używane (hasła muszą różnić się co najmniej o 6 pozycji). Sformułujmy politykę dotyczącą programów antywirusowych i wykrywania wirusów: Na każdej stacji roboczej musi być zainstalowane licencjonowane oprogramowanie antywirusowe; aktualizacja antywirusowych baz danych na stacjach roboczych z dostępem do Internetu – raz dziennie, bez dostępu do Internetu – co najmniej raz w tygodniu; ustawić automatyczne skanowanie stacji roboczych w poszukiwaniu wirusów (częstotliwość kontroli – raz w tygodniu: piątek, godz. 12:00); Tylko administrator może przerwać aktualizację antywirusowej bazy danych lub skanowanie antywirusowe (dla określonej akcji użytkownika należy ustawić ochronę hasłem). Sformułujmy politykę dotyczącą ochrony fizycznej: sondowanie techniczne i badanie fizykalne pod kątem nieautoryzowanych urządzeń podłączonych do kabli należy przeprowadzać co 1-2 miesiące; kable sieciowe muszą być chronione przed nieuprawnionym przechwyceniem danych; zapisy wszystkich podejrzewanych i rzeczywistych awarii, które wystąpiły w sprzęcie, muszą być przechowywane w dzienniku Każde stanowisko pracy musi być wyposażone w zasilacz awaryjny. Zdefiniujmy politykę dotyczącą rezerwacji informacji: na kopie zapasowe należy wydzielić osobne pomieszczenie, zlokalizowane na zewnątrz budynku administracyjnego (pomieszczenie powinno być wyposażone w zamek elektroniczny i alarm); Rezerwacji informacyjnych należy dokonać w każdy piątek o godzinie 16:00. Polityka dotycząca zatrudniania/zwalniania pracowników powinna wyglądać następująco: wszelkie zmiany personalne (zatrudnienie, awans, zwolnienie pracownika itp.) należy zgłosić administratorowi w ciągu 24 godzin, który z kolei w ciągu pół dnia roboczego musi dokonać odpowiednich zmian w systemie rozgraniczenia uprawnień do zasobów przedsiębiorstwa; nowy pracownik musi przejść szkolenie prowadzone przez administratora, obejmujące zapoznanie się z polityką bezpieczeństwa i wszelkimi niezbędnymi instrukcjami, poziom dostępu do informacji nowemu pracownikowi wyznacza przełożony; Gdy pracownik opuści system, jego identyfikator i hasło są usuwane, stacja robocza jest sprawdzana pod kątem obecności wirusów i analizowana jest integralność danych, do których pracownik miał dostęp. Polityka dotycząca pracy z lokalną siecią wewnętrzną (LAN) i bazami danych (DB): podczas pracy na swoim stanowisku pracy i w sieci LAN pracownik może wykonywać wyłącznie zadania bezpośrednio związane z jego czynnościami służbowymi; Pracownik ma obowiązek powiadamiać administratora o komunikatach programów antywirusowych o pojawieniu się wirusów; nikt poza administratorami nie może wprowadzać zmian w projekcie lub konfiguracji stacji roboczych i innych węzłów sieci LAN, instalować żadnego oprogramowania, pozostawiać stacji roboczej bez kontroli ani umożliwiać dostępu do niej osobom nieupoważnionym; Administratorom zaleca się, aby przez cały czas mieli uruchomione dwa programy: narzędzie do wykrywania ataków fałszujących ARP i sniffer, których użycie pozwoli im zobaczyć sieć oczami potencjalnego intruza i zidentyfikować osoby naruszające zasady bezpieczeństwa; Należy zainstalować oprogramowanie uniemożliwiające uruchomienie programów innych niż wyznaczone przez administratora, kierując się zasadą: „Każda osoba otrzymuje uprawnienia niezbędne do wykonywania określonych zadań”. Wszystkie nieużywane porty komputera muszą być wyłączone sprzętowo lub programowo; Oprogramowanie powinno być regularnie aktualizowane. Polityka internetowa: administratorom przysługuje prawo do ograniczenia dostępu do zasobów, których treść nie jest związana z wykonywaniem obowiązków służbowych, a także do zasobów, których treść i zakres są zabronione przez ustawodawstwo międzynarodowe i rosyjskie; pracownikowi nie wolno pobierać i otwierać plików bez uprzedniego sprawdzenia pod kątem wirusów; wszelkie informacje o zasobach odwiedzanych przez pracowników firmy powinny być zapisywane w logu i w razie potrzeby udostępniane kierownikom działów i kierownictwu poufność i integralność korespondencji elektronicznej oraz dokumentów biurowych zapewniana jest poprzez stosowanie podpisów cyfrowych. Ponadto sformułowamy podstawowe wymagania dotyczące tworzenia haseł dla pracowników firmy OJSC Gazprom. Hasło jest jak klucz do domu, tyle że jest kluczem do informacji. W przypadku zwykłych kluczy niezwykle niepożądane jest zgubienie, kradzież lub przekazanie nieznajomemu. To samo tyczy się hasła. Oczywiście bezpieczeństwo informacji nie zależy tylko od hasła, aby je zapewnić, należy ustawić szereg specjalnych ustawień, a być może nawet napisać program chroniący przed włamaniem. Ale wybór hasła to właśnie działanie, w którym tylko od użytkownika zależy, jak silne będzie to ogniwo w łańcuchu działań mających na celu ochronę informacji. ) hasło musi być długie (8-12-15 znaków); ) nie powinno być słowem ze słownika (jakiegokolwiek słownika, nawet słownika terminów specjalnych i slangu), nazwą własną ani słowem zapisanym cyrylicą w układzie łacińskim (łac. kfnsym); ) nie można go powiązać z właścicielem; ) zmienia się okresowo lub w miarę potrzeb; ) nie jest wykorzystywana w tej roli na różnych zasobach (tzn. dla każdego zasobu – aby zalogować się do skrzynki pocztowej, systemu operacyjnego czy bazy danych – należy zastosować inne hasło); ) da się to zapamiętać. Wybieranie słów ze słownika jest niepożądane, ponieważ osoba atakująca przeprowadzająca atak słownikowy użyje programów zdolnych przeszukiwać do setek tysięcy słów na sekundę. Wszelkie informacje powiązane z właścicielem (data urodzenia, imię psa, nazwisko panieńskie matki i podobne „hasła”) można łatwo rozpoznać i odgadnąć. Użycie wielkich i małych liter oraz cyfr znacznie komplikuje zadanie atakującemu polegające na odgadnięciu hasła. Hasło należy zachować w tajemnicy, a jeśli podejrzewasz, że ktoś je poznał, zmień je. Bardzo przydatne jest również ich zmienianie od czasu do czasu. Wniosek Badanie pozwoliło wyciągnąć następujące wnioski i sformułować rekomendacje. Ustalono, że główną przyczyną problemów przedsiębiorstwa w zakresie bezpieczeństwa informacji jest brak polityki bezpieczeństwa informacji, która obejmowałaby rozwiązania organizacyjne, techniczne, finansowe z późniejszym monitorowaniem ich wdrożenia i oceną efektywności. Definicja polityki bezpieczeństwa informacji formułowana jest jako zbiór udokumentowanych decyzji, których celem jest zapewnienie ochrony informacji i związanych z nią zagrożeń informacyjnych. Analiza systemu bezpieczeństwa informacji ujawniła istotne niedociągnięcia, do których zaliczają się: przechowywanie kopii zapasowych w serwerowni, serwer zapasowy znajduje się w tym samym pomieszczeniu, co serwery główne; brak odpowiednich zasad dotyczących ochrony hasłem (długość hasła, zasady jego wyboru i przechowywania); administracją siecią zajmuje się jedna osoba. Uogólnienie międzynarodowej i rosyjskiej praktyki w zakresie zarządzania bezpieczeństwem informacji w przedsiębiorstwach pozwoliło stwierdzić, że aby to zapewnić, konieczne jest: prognozowanie i terminowa identyfikacja zagrożeń bezpieczeństwa, przyczyn i warunków sprzyjających wyrządzeniu szkód finansowych, materialnych i moralnych; tworzenie warunków działania przy jak najmniejszym ryzyku wprowadzenia zagrożeń bezpieczeństwa zasobów informacyjnych i spowodowania różnego rodzaju szkód; stworzenie mechanizmu i warunków skutecznego reagowania na zagrożenia bezpieczeństwa informacji w oparciu o środki prawne, organizacyjne i techniczne. W pierwszym rozdziale pracy omówiono główne aspekty teoretyczne. Podano przegląd kilku standardów z zakresu bezpieczeństwa informacji. Wyciągane są wnioski dla każdego z nich i jako całość oraz wybierany jest najwłaściwszy standard kształtowania polityki bezpieczeństwa informacji. Rozdział drugi bada strukturę organizacji i analizuje główne problemy związane z bezpieczeństwem informacji. W efekcie powstały rekomendacje mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa informacji. Rozważane są również środki zapobiegające dalszym incydentom związanym z naruszeniami bezpieczeństwa informacji. Oczywiście zapewnienie bezpieczeństwa informacji organizacji to proces ciągły, który wymaga stałego monitorowania. A naturalnie uformowana polityka nie jest żelazną gwarancją ochrony. Oprócz realizacji polityki wymagane jest stałe monitorowanie jakości jej realizacji, a także doskonalenia w przypadku jakichkolwiek zmian w firmie lub precedensów. Zalecono organizacji zatrudnienie pracownika, którego działalność będzie bezpośrednio związana z tymi funkcjami (administrator bezpieczeństwa). Bibliografia bezpieczeństwo informacji, szkody finansowe 1. Belov E.B. Podstawy bezpieczeństwa informacji. E.B. Biełow, V.P. Los, R.V. Meshcheryakov, A.A. Szelupanow. -M.: Infolinia - Telekomunikacja, 2006. - 544s Galatenko V.A. Standardy bezpieczeństwa informacji: cykl wykładów. Edukacyjny dodatek. - II edycja. M.: INTUIT.RU „Internetowy Uniwersytet Technologii Informacyjnych”, 2009. - 264 s. Glatenko V.A. Standardy Bezpieczeństwa Informacji / Systemy Otwarte 2006.- 264c Dołżenko A.I. Zarządzanie systemami informatycznymi: Szkolenie. - Rostów nad Donem: RGEU, 2008.-125 s. Kałasznikow A. Stworzenie korporacyjnej polityki wewnętrznego bezpieczeństwa informacji #"uzasadnij">. Malyuk A.A. Bezpieczeństwo informacji: koncepcyjne i metodologiczne podstawy ochrony informacji / M.2009-280s Mayvold E., Bezpieczeństwo sieci. Instrukcja samokształcenia // Ekom, 2009.-528 s. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Podstawy wsparcia organizacyjnego dla bezpieczeństwa informacji obiektów informatyzacji // Helios ARV, 2008, 192 s.
