Teze de licență privind securitatea informației (Securitatea sistemelor informaționale). Sistemul de securitate a informațiilor Lista subiectelor WRC privind securitatea informațiilor
Documente similare
Relevanța problemelor de securitate a informațiilor. Software și hardware pentru rețeaua Mineral LLC. Construirea unui model de securitate corporativă și protecție împotriva accesului neautorizat. Solutii tehnice pentru protectia sistemului informatic.
teză, adăugată 19.01.2015
Securitatea unui sistem informatic este capacitatea acestuia de a rezista la diferite influențe. Tipuri de amenințări informatice, conceptul de acces neautorizat. Viruși și programe malware. Metode si mijloace de protectie a sistemelor informatice.
rezumat, adăugat 14.11.2010
Clasificarea amenințărilor la securitatea informațiilor. Erori în dezvoltarea sistemelor informatice, a software-ului și a hardware-ului. Principalele metode de obținere a accesului neautorizat (UNA) la informații. Metode de protecție împotriva NSD. Rețele private virtuale.
lucrare de curs, adăugată 26.11.2013
Amenințări externe la adresa securității informațiilor, forme de manifestare a acestora. Metode și mijloace de protecție împotriva spionajului industrial, scopurile acestuia: obținerea de informații despre un concurent, distrugerea informațiilor. Metode de acces neautorizat la informații confidențiale.
test, adaugat 18.09.2016
Cele mai comune modalități de acces neautorizat la informații, canale de scurgere a acesteia. Metode de protecție a informațiilor împotriva amenințărilor naturale (de urgență) și a amenințărilor aleatorii. Criptografia ca mijloc de protejare a informațiilor. Spionaj industrial.
rezumat, adăugat 06.04.2013
Conceptul, sensul și direcțiile de securitate a informațiilor. O abordare sistematică a organizării securității informațiilor, protejând informațiile împotriva accesului neautorizat. Instrumente de securitate a informațiilor. Metode și sisteme de securitate a informațiilor.
rezumat, adăugat 15.11.2011
Conceptul și principiile securității informațiilor. Luarea în considerare a principalelor tipuri de efecte periculoase asupra unui sistem informatic. Clasificarea canalelor de acces neautorizat la computere. Caracteristicile instrumentelor hardware și software de securitate a informațiilor.
prezentare, adaugat 15.11.2011
Securitatea informațiilor, scopurile și obiectivele acesteia. Canale de scurgere de informații. Metode software și hardware și mijloace de protejare a informațiilor împotriva accesului neautorizat. Model de amenințări de securitate la adresa informațiilor procesate la o unitate informatică.
teză, adăugată 19.02.2017
Influența tipului de activitate a unei întreprinderi asupra organizării unui sistem cuprinzător de securitate a informațiilor. Compoziția informațiilor protejate. Canale potențiale pentru accesul neautorizat la informațiile organizaționale. Eficiența sistemului de securitate a informațiilor.
raport de practică, adăugat la 31.10.2013
Aspecte istorice ale apariției și dezvoltării securității informațiilor. Mijloacele de securitate a informațiilor și clasificarea acestora. Tipuri și principii de funcționare a virușilor informatici. Temei juridic pentru protejarea informațiilor împotriva accesului neautorizat.
focus (profil) „Sisteme și tehnologii informaționale”
domenii de formare 09.03.02 „Sisteme și tehnologii informaționale”
design și tehnologic,
service si operational.
1. Virtualizarea infrastructurii informaționale a întreprinderii (denumirea întreprinderii).
2. Integrarea sistemelor informatice ale întreprinderii bazate pe sistemul de operare Linux și un SGBD distribuit gratuit.
3. Modernizarea și administrarea sistemului informațional corporativ al întreprinderii (denumirea întreprinderii).
4. Modernizarea, administrarea și întreținerea rețelei informaționale a întreprinderii (denumirea întreprinderii).
5. Modernizarea sistemului informațional și de management al întreprinderii (proces) (denumirea întreprinderii sau procesului) și dezvoltarea măsurilor de sprijinire a acestuia.
6. Dezvoltarea unui portal Intranet pentru întreprindere (numele întreprinderii).
7. Proiectarea unei rețele de informații ale întreprinderii (numele întreprinderii).
8. Proiectarea unui sistem informatic corporativ pentru o întreprindere (numele întreprinderii).
9. Dezvoltarea și întreținerea portalului web corporativ al întreprinderii (numele întreprinderii).
10. Dezvoltarea unui sistem automat de procesare a informațiilor pentru întreprindere (denumirea întreprinderii).
11. Dezvoltarea unui prototip de sistem informatic al întreprinderii pentru managementul procesului (denumirea procesului sau obiectului).
12. Dezvoltarea unui serviciu web pentru sistemul informatic al întreprinderii (denumirea întreprinderii).
13. Dezvoltarea unui sistem informatic de referință pentru întreprindere (denumirea întreprinderii).
14. Elaborarea unui model și proiectarea unui sistem de management al informațiilor întreprinderii (numele întreprinderii).
15. Dezvoltarea de software tehnologic pentru întreținerea sistemului (denumirea sistemului).
16. Dezvoltarea de software pentru un dispozitiv cu microprocesor (numele dispozitivului).
17. Dezvoltarea unei aplicatii client mobil pentru sistemul informatic al intreprinderii (numele intreprinderii).
18. Dezvoltarea unui model de simulare pentru optimizarea parametrilor procesului de producție.
19. Proiectarea serverelor virtuale pe baza instrumentelor (numele instrumentelor de virtualizare) și a canalelor de transmitere a datelor pentru o întreprindere (numele întreprinderii).
20. Dezvoltarea unui modul (subsistem) (denumirea funcției implementate) a sistemului de informații (informații corporative) al întreprinderii (numele întreprinderii).
în programul educaţional de licenţă aplicată
domenii de formare 03/09/04 „Inginerie software”
producție și tehnologic,
organizatorice si manageriale,
service si operational.
1. Dezvoltarea unei aplicații pentru analizarea unui site web, rețea socială, portal.
2. Proiectarea și implementarea software a unui sistem de informații (informații și referințe) (scopul sau funcția sistemului).
3. Dezvoltarea firmware-ului pentru dispozitiv (numele dispozitivului).
4. Dezvoltarea de aplicații software pentru sistem (denumirea sistemului).
5. Dezvoltarea unui sistem informatic software (denumirea zonei de utilizare sau a procesului în curs de implementare).
6. Dezvoltarea metodelor de testare și depanare a software-ului (denumirea software-ului).
7. Dezvoltarea unui modul software (numele modulului) pentru sistemul 1C: Enterprise (numele întreprinderii).
8. Dezvoltarea unui serviciu web pentru sistemul de management al informației întreprinderii (numele întreprinderii).
9. Dezvoltarea unei aplicații care să susțină sistemul de măsurare a informațiilor (scopul sistemului).
10. Studiul securității informaționale a serviciilor web ale sistemului 1C:Enterprise.
11. Dezvoltarea unui modul (subsistem) (denumirea funcției implementate) a sistemului informațional (informații corporative) al întreprinderii (numele întreprinderii).
12. Dezvoltarea software-ului server (client) pentru sistem (numele sistemului).
Subiectele lucrărilor finale de calificare
în programul educaţional de licenţă aplicată
focus (profil) „Serviciul de informații”
:serviciu,
1. Modernizarea, administrarea și întreținerea rețelei locale a întreprinderii (denumirea întreprinderii).
2. Modernizarea și administrarea sistemului informațional al întreprinderii (denumirea întreprinderii).
3. Proiectarea unui sistem informatic al întreprinderii (denumirea întreprinderii).
4. Proiectarea și dezvoltarea tehnologiei pentru operarea unei rețele locale a unei întreprinderi (numele întreprinderii).
5. Proiectarea protecției hardware și software a sistemului informațional al întreprinderii (denumirea întreprinderii).
6. Dezvoltarea tehnologiei de diagnosticare, reparare și întreținere a dispozitivului (denumirea dispozitivului, grupul de dispozitive, echipamentul de măsurare, unitatea computerizată, computerul sau sistemul cu microprocesor, rețeaua locală).
7. Dezvoltarea și administrarea site-ului web al companiei (numele companiei).
8. Dezvoltarea configurației serverului pentru rețeaua de transmisie a datelor a întreprinderii (numele întreprinderii).
9. Dezvoltarea și administrarea bazei de date a sistemului informațional al întreprinderii (denumirea întreprinderii).
10. Dezvoltarea unui portal Intranet pentru întreprindere (numele întreprinderii).
11. Dezvoltarea unui subsistem de monitorizare a proceselor de producție pe platforma 1C:Enterprise.
12. Elaborarea unui proiect pentru un sistem informatic distribuit (numele sistemului) al întreprinderii (numele întreprinderii).
13. Dezvoltarea unui sistem de contabilitate informativă și de referință (denumirea obiectului contabil).
14. Dezvoltarea unui serviciu WCF pentru un sistem informatic de întreprindere.
15. Dezvoltarea unui model de sistem informatic al întreprinderii (numele sau domeniul de activitate al întreprinderii).
16. Dezvoltarea metodelor de testare și depanare a software-ului (denumirea software-ului).
17. Elaborarea unui set de măsuri pentru administrarea și întreținerea unui sistem informatic software (denumirea zonei de utilizare sau a procesului în curs de implementare).
18. Modelarea și cercetarea sistemului de transmisie a datelor (denumirea sistemului).
19. Cercetarea si optimizarea parametrilor unui sistem informatic distribuit pe platforma 1C:Enterprise.
20. Proiectarea unei divizii a întreprinderii (numele întreprinderii) pentru repararea și întreținerea echipamentelor electronice (calculatoare) și organizarea funcționării echipamentelor tehnice.
21. Proiectarea serverelor virtuale pe baza instrumentelor (numele instrumentelor de virtualizare) și a canalelor de transmitere a datelor pentru o întreprindere (numele întreprinderii).
22. Dezvoltarea software-ului server (client) pentru sistem (numele sistemului).
Subiectele lucrărilor finale de calificare
în programul educaţional de licenţă aplicată
directivitate (profil) „Serviciul de echipamente electronice”
domenii de formare 03.43.01 „Serviciul”
Tipuri de activități profesionale:serviciu,
producție și tehnologică.
1. Dezvoltarea tehnologiei de diagnosticare, reparare și întreținere a dispozitivului (denumirea dispozitivului electronic, microprocesor sau sistem de telecomunicații, echipament de măsură, rețea de transmisie a datelor).
2. Dezvoltarea unui sistem electronic (denumirea sistemului) al întreprinderii (numele întreprinderii, centru comercial și de birouri, complex de divertisment).
3. Dezvoltarea unui dispozitiv de intrare/ieșire a informațiilor (denumirea dispozitivului).
4. Dezvoltarea de software pentru un dispozitiv cu microprocesor (numele dispozitivului).
5. Dezvoltarea unei rețele de telecomunicații corporative pentru o întreprindere (numele întreprinderii).
6. Dezvoltarea unui dispozitiv digital (modul) (denumirea dispozitivului, modul; denumirea funcției care se implementează).
7. Dezvoltarea unui dispozitiv de alimentare cu energie electrică pentru echipamente electronice (denumirea echipamentului).
8. Dezvoltarea tehnologiei de monitorizare (controlul parametrilor) a obiectelor (denumirea obiectelor).
9. Dezvoltarea și cercetarea unui senzor wireless (denumirea parametrului măsurat).
10. Proiectarea unei divizii a întreprinderii (numele întreprinderii) pentru repararea și întreținerea echipamentelor electronice (calculatoare) și organizarea funcționării echipamentelor tehnice.
11. Dezvoltarea unui subsistem (denumirea subsistemului) a unui sistem integrat de securitate pentru întreprindere (numele întreprinderii).
Subiectele lucrărilor finale de calificare
în programul educaţional de licenţă aplicată
directivitate (profil) „Mijloace de inginerie radio de transmitere, recepție și procesare a semnalelor”
domenii de formare 03/11/01 „Inginerie radio”
proiectare și inginerie,
service si operational.
1. Dezvoltarea unui sistem dispozitiv (bloc, modul; recepție, transmisie, transceiver) (denumirea sistemului).
2. Dezvoltarea unei interfețe fără fir pentru echipamente electronice (denumirea echipamentului).
3. Studiul modelului virtual al dispozitivului (precizați tipul dispozitivului) în mediu (denumirea mediului software).
4. Dezvoltarea unui subsistem (numele subsistemului) al unui sistem integrat de securitate al întreprinderii (numele întreprinderii.
Subiectele lucrărilor finale de calificare
în programul educaţional de licenţă aplicată
directivitate (profil) „Sisteme de comunicații mobile”
domenii de formare 11.03.02 „Tehnologii de informare și sisteme de comunicații”
Tipuri de activități profesionale:proiecta
1. Proiectarea unei rețele de telecomunicații pentru o întreprindere (numele întreprinderii).
2. Administrarea și întreținerea rețelei de telecomunicații a întreprinderii (denumirea întreprinderii).
3. Dezvoltarea unui bloc (codec, vocoder, dispozitiv de sincronizare, dispozitiv de potrivire) al unui sistem digital de telecomunicații.
4. Dezvoltarea unui adaptor de interfață wireless (numele interfețelor).
5. Dezvoltarea unui sistem dispozitiv de procesare a informațiilor (tipul dispozitivului) (numele sistemului).
6. Dezvoltarea unui dispozitiv pentru interfatarea sistemelor (denumirea sistemelor).
7. Dezvoltarea unui controler de sistem (numele sistemului).
8. Dezvoltarea unui dispozitiv de sincronizare pentru un sistem de telecomunicații (denumirea sistemului).
9. Dezvoltarea unui dispozitiv tehnologic pentru testarea echipamentelor de telecomunicații (denumirea echipamentului).
10. Dezvoltarea unei rețele de comunicații fără fir (segment de rețea) bazată pe tehnologie (numele tehnologiei).
11. Dezvoltarea tehnologiei pentru monitorizarea de la distanță a parametrilor obiectului (denumirea parametrilor).
12. Dezvoltarea unei rețele de senzori pentru monitorizarea stării unui obiect (denumirea obiectului).
13. Dezvoltarea tehnologiei de diagnosticare și măsurare a parametrilor unui dispozitiv de telecomunicații (nume dispozitiv, sistem, rețea, mediu).
14. Dezvoltarea unui dispozitiv transceiver pentru sistem (denumirea sistemului).
15. Dezvoltarea dispozitivelor de telecomunicații pentru controlul de la distanță a unui obiect (denumirea obiectului).
16. Dezvoltarea unui parametru pentru componentele echipamentelor de telecomunicații (denumirea componentelor).
17. Dezvoltarea unui dispozitiv wireless de intrare/ieșire a informațiilor (numele dispozitivului).
18. Dezvoltarea hardware și software pentru tehnologia infocomunicațiilor (denumirea tehnologiei).
19. Studiul protocoalelor de transfer de informații în sistem (denumirea sistemului).
20. Cercetarea metodelor de procesare a semnalului digital pentru sistem (denumirea sistemului).
21. Dezvoltarea tehnologiei infocomunicațiilor și a sistemului de management al instalației (denumirea unității).
22. Dezvoltarea unui sistem wireless pentru măsurarea unui parametru (denumirea parametrului).
23. Proiectarea serverelor virtuale pe baza instrumentelor (numele instrumentelor de virtualizare) și a canalelor de transmitere a datelor pentru o întreprindere (numele întreprinderii).
Subiectele lucrărilor finale de calificare
conform programului educaţional al învăţământului secundar profesional
specialitatea 09.02.01 „Sisteme și complexe informatice”
Module profesionale:PM.01 Proiectarea dispozitivelor digitale,
PM.02 Aplicarea sistemelor cu microprocesoare, instalarea și configurarea antrenamentului periferic,
PM.03 Întreținerea și repararea sistemelor și complexelor informatice.
1. Diagnosticarea defecțiunilor și monitorizarea stării tehnice a echipamentelor (denumirea hardware-ului și software-ului tehnologiei informatice sau rețelei de calculatoare).
2. Asamblarea, configurarea și configurarea instrumentelor (denumirea hardware-ului și software-ului computerului sau a rețelei de calculatoare).
3. Elaborarea unui set de măsuri pentru asigurarea securității informaționale a rețelei de calculatoare a întreprinderii (denumirea întreprinderii).
4. Dezvoltarea unui sistem de identificare contactless pentru întreprindere (numele întreprinderii).
5. Întreținerea și administrarea sistemului informațional al întreprinderii (denumirea întreprinderii).
6. Întreținerea și administrarea rețelei de calculatoare a întreprinderii (denumirea întreprinderii).
7. Întreținere și asistență hardware și software (numele hardware-ului sau rețelei de calculatoare).
8. Instalarea, adaptarea și întreținerea software-ului (denumirea software-ului).
9. Dezvoltarea și cercetarea unui dispozitiv (modul) digital (microprocesor) (denumirea dispozitivului, modul).
10. Dezvoltarea tehnologiei de testare și depanarea completă a software-ului (numele software-ului).
Subiecte lucrărilor de calificare finală pentru absolvenți
focus (profil) „Elemente și dispozitive ale tehnologiei informatice și ale sistemelor informaționale”
domenii de formare 09.04.01 „Informatică și informatică”
Tipuri de activități profesionale:proiecta,
cercetare științifică.
1. Modelarea și cercetarea protocoalelor de rețea pentru transferul de informații (se indică tipul de informații).
2. Cercetare și dezvoltare de metode informatice de îmbunătățire a parametrilor sistemului (se indică parametrii sau parametrii și tipul de sistem).
3. Modelarea computerizată, cercetarea și optimizarea sistemelor informaționale sau de telecomunicații (se indică clasa de sisteme).
4. Cercetarea și optimizarea construcției rețelelor de senzori wireless.
5. Cercetare și analiza construcției rețelelor wireless Internet of Things.
6. Dezvoltarea criteriilor de eficiență și studiul distribuției mașinilor virtuale în cadrul infrastructurii cloud.
7. Dezvoltarea, cercetarea și evaluarea eficacității sistemelor de informații distribuite (sau de măsurare a informațiilor) (se indică domeniul de aplicare sau tipul de sisteme).
8. Dezvoltarea și cercetarea unei interfețe wireless pentru echipamente (denumirea echipamentului).
9. Dezvoltarea și cercetarea unui dispozitiv de urmărire a obiectelor (numele obiectelor).
10. Dezvoltarea și cercetarea dispozitivelor de monitorizare a stării unui obiect (denumirea obiectului).
11. Dezvoltarea instrumentelor de diagnosticare hardware și software pentru dispozitive (denumirea dispozitivelor).
12. Dezvoltarea și cercetarea unui senzor wireless (denumirea parametrului măsurat).
13. Studiul algoritmilor de corecție pentru convertoarele unui parametru (numele parametrului) în cod.
14. Dezvoltarea de algoritmi și software pentru monitorizarea parametrilor sistemului de management al unității (denumirea unității).
15. Dezvoltarea și cercetarea dispozitivelor de control fără fir pentru obiect (denumirea obiectului).
16. Modelarea și cercetarea convertoarelor de parametri (denumirea parametrilor).
17. Metode de evaluare a calității software-ului (este indicat scopul software-ului).
18. Studiul funcționării dispozitivelor (denumirea dispozitivelor) în condiții (se indică condițiile) în vederea îmbunătățirii caracteristicilor (se indică caracteristicile).
19. Elaborarea metodelor de analiză și sinteză a dispozitivelor (denumirea dispozitivelor) în vederea îmbunătățirii caracteristicilor (sunt indicate caracteristicile).
Subiectele lucrărilor finale de calificare
în programul de master academic
focus (profil) „Dezvoltare software și sisteme informatice”
domenii de formare 09.04.04 „Inginerie software”
cercetare,
proiecta
1. Dezvoltarea si cercetarea unui serviciu REST pentru afisarea orarelor in institutiile de invatamant superior.
2. Cercetare și dezvoltare de instrumente de testare software pentru operatorii de telefonie celulară.
3. Recunoașterea stării fiziologice a unei persoane pe baza teoriei sistemelor cu structură aleatorie.
4. Proiectarea unui sistem informatic de automatizare a vânzărilor (numele întreprinderii) bazat pe abordarea MDA.
5. Dezvoltarea și cercetarea unui sistem informatic software pentru evaluarea calității software-ului (se indică denumirea software-ului).
6. Dezvoltarea de software și sisteme informatice distribuite (se indică domeniul de aplicare al sistemului) și cercetarea posibilităților de optimizare a acestora pe baza criteriilor de eficiență (se indică criteriile).
7. Dezvoltarea de software pentru suportul dispozitivelor de intrare/ieșire pentru sistem (numele sistemului).
8. Studiul securității componentelor sistemului informatic software (denumirea sistemului).
Introducere
Capitolul 1. Aspecte teoretice ale adoptării și securității informațiilor
1.1Conceptul de securitate a informațiilor 3 Metode de securitate a informațiilor Capitolul 2. Analiza sistemului de securitate a informaţiei 1 Domeniul de activitate al companiei și analiza indicatorilor financiari 2 Descrierea sistemului de securitate a informațiilor companiei 3 Elaborarea unui set de măsuri pentru modernizarea sistemului de securitate a informațiilor existent Concluzie Bibliografie Aplicație Anexa 1. Bilanțul pe anul 2010 Anexa 1. Bilanțul pe anul 2010 Introducere Relevanța temei tezei este determinată de nivelul crescut al problemelor de securitate a informațiilor, chiar și în contextul creșterii rapide a tehnologiilor și instrumentelor de protecție a datelor. Este imposibil să se asigure un nivel de protecție de 100% pentru sistemele informaționale corporative în timp ce se prioritizează corect sarcinile de protecție a datelor, având în vedere ponderea limitată din bugetul alocat tehnologiei informației. Protecția de încredere a infrastructurii de calcul și a rețelei corporative este o sarcină de bază de securitate a informațiilor pentru orice companie. Odată cu creșterea afacerii unei întreprinderi și tranziția către o organizație distribuită geografic, aceasta începe să depășească limitele unei singure clădiri. Protecția eficientă a infrastructurii IT și a sistemelor de aplicații corporative astăzi este imposibilă fără introducerea tehnologiilor moderne de control al accesului la rețea. Creșterea cazurilor de furt de medii care conțin informații comerciale valoroase obligă tot mai mult să se ia măsuri organizaționale. Scopul acestei lucrări va fi evaluarea sistemului de securitate a informațiilor existent în organizație și elaborarea măsurilor de îmbunătățire a acestuia. Acest scop determină următoarele obiective ale tezei: ) iau în considerare conceptul de securitate a informațiilor; ) ia în considerare tipurile de posibile amenințări la adresa sistemelor informaționale și opțiunile de protecție împotriva posibilelor amenințări de scurgere de informații în organizație. ) identifică o listă de resurse informaționale, a căror încălcare a integrității sau confidențialității va duce la cel mai mare prejudiciu întreprinderii; ) dezvoltă pe baza acestora un set de măsuri pentru îmbunătățirea sistemului de securitate a informațiilor existent. Lucrarea constă dintr-o introducere, două capitole, o concluzie, o listă de surse utilizate și aplicații. Introducerea fundamentează relevanța temei de cercetare și formulează scopul și obiectivele lucrării. Primul capitol discută aspectele teoretice ale conceptelor de securitate a informațiilor într-o organizație. Al doilea capitol oferă o scurtă descriere a activităților companiei, indicatorii cheie de performanță, descrie starea actuală a sistemului de securitate a informațiilor și propune măsuri pentru îmbunătățirea acestuia. În concluzie, sunt formulate principalele rezultate și concluzii ale lucrării. Baza metodologică și teoretică a tezei au constituit-o lucrările experților autohtoni și străini în domeniul securității informațiilor.În timpul lucrării tezei s-au folosit informații care reflectau conținutul legilor, actelor legislative și regulamentelor, decretelor Guvernului Federația Rusă care reglementează securitatea informațiilor, standardele internaționale pentru securitatea informațiilor. Semnificația teoretică a cercetării tezei constă în implementarea unei abordări integrate în elaborarea unei politici de securitate a informațiilor. Semnificația practică a lucrării este determinată de faptul că rezultatele acesteia fac posibilă creșterea gradului de protecție a informațiilor într-o întreprindere prin proiectarea competentă a unei politici de securitate a informațiilor. Capitolul 1. Aspecte teoretice ale adoptării și securității informațiilor 1.1 Conceptul de securitate a informațiilor Securitatea informațiilor se referă la securitatea informațiilor și a infrastructurii sale de suport împotriva oricăror influențe accidentale sau rău intenționate care ar putea duce la deteriorarea informațiilor în sine, a proprietarilor sau a infrastructurii de sprijin. Obiectivele securității informațiilor se rezumă la minimizarea daunelor, precum și la anticiparea și prevenirea unor astfel de impacturi. Parametrii sistemelor informatice care au nevoie de protecție pot fi împărțiți în următoarele categorii: asigurarea integrității, disponibilității și confidențialității resurselor informaționale. accesibilitatea este capacitatea de a obține, într-o perioadă scurtă de timp, serviciul de informare solicitat; integritatea este relevanța și consistența informațiilor, protecția acesteia împotriva distrugerii și modificărilor neautorizate; confidențialitate - protecție împotriva accesului neautorizat la informații. Sistemele informaționale sunt create în primul rând pentru a obține anumite servicii de informare. Dacă obținerea de informații din orice motiv devine imposibilă, acest lucru provoacă daune tuturor subiecților relațiilor informaționale. Din aceasta putem determina că disponibilitatea informațiilor este pe primul loc. Integritatea este principalul aspect al securității informațiilor atunci când acuratețea și veridicitatea sunt principalii parametri ai informațiilor. De exemplu, prescripții pentru medicamente medicale sau un set și caracteristicile componentelor. Cea mai dezvoltată componentă a securității informațiilor în țara noastră este confidențialitatea. Dar implementarea practică a măsurilor pentru asigurarea confidențialității sistemelor informatice moderne se confruntă cu mari dificultăți în Rusia. În primul rând, informațiile despre canalele tehnice de scurgere de informații sunt închise, astfel încât majoritatea utilizatorilor nu își pot face o idee despre riscurile potențiale. În al doilea rând, există numeroase obstacole legislative și provocări tehnice care stau în calea criptografiei personalizate ca mijloc principal de asigurare a confidențialității. Acțiunile care pot provoca daune unui sistem informațional pot fi împărțite în mai multe categorii. furtul sau distrugerea țintită a datelor de pe o stație de lucru sau un server; Deteriorarea datelor de către utilizator ca urmare a unor acțiuni neglijente. . Metode „electronice” de influență efectuate de hackeri. Hackerii sunt înțeleși ca oameni care se implică în infracțiuni informatice atât profesional (inclusiv ca parte a competiției), cât și pur și simplu din curiozitate. Aceste metode includ: intrare neautorizată în rețele de calculatoare; Scopul intrării neautorizate într-o rețea a întreprinderii din exterior poate fi acela de a provoca prejudicii (distrugerea datelor), de a fura informații confidențiale și de a le folosi în scopuri ilegale, de a folosi infrastructura rețelei pentru a organiza atacuri asupra nodurilor terților, de a fura fonduri din conturi. , etc. Un atac DOS (abreviat de la Denial of Service) este un atac extern asupra nodurilor rețelei întreprinderii responsabile pentru funcționarea sa sigură și eficientă (fișier, servere de e-mail). Atacatorii organizează trimiterea masivă de pachete de date către aceste noduri pentru a le supraîncărca și, ca urmare, a le scoate din acțiune pentru o perioadă de timp. Aceasta, de regulă, implică întreruperi în procesele de afaceri ale companiei victime, pierderea clienților, deteriorarea reputației etc. Virușii informatici. O categorie separată de metode electronice de influență sunt virușii informatici și alte programe rău intenționate. Ele reprezintă un pericol real pentru întreprinderile moderne care folosesc pe scară largă rețelele de calculatoare, internetul și e-mailul. Pătrunderea unui virus în nodurile rețelei corporative poate duce la întreruperea funcționării acestora, la pierderea timpului de lucru, la pierderea datelor, la furtul de informații confidențiale și chiar la furtul direct de resurse financiare. Un program de virus care a pătruns într-o rețea corporativă poate oferi atacatorilor control parțial sau complet asupra activităților companiei. Spam. În doar câțiva ani, spam-ul a crescut de la o iritare minoră la una dintre cele mai grave amenințări de securitate: e-mailul a devenit recent principalul canal de răspândire a malware; spam-ul necesită mult timp pentru a vizualiza și, ulterior, șterge mesajele, provocând angajaților un sentiment de disconfort psihologic; atât persoanele, cât și organizațiile devin victime ale schemelor frauduloase desfășurate de spammeri (victimele încearcă adesea să nu dezvăluie astfel de evenimente); corespondența importantă este adesea ștearsă împreună cu spam-ul, ceea ce poate duce la pierderea clienților, contractele încălcate și alte consecințe neplăcute; pericolul pierderii corespondenței crește în special atunci când se utilizează liste negre RBL și alte metode „brute” de filtrare a spam-ului. Amenințări „naturale”. Securitatea informațiilor unei companii poate fi afectată de o varietate de factori externi: pierderea datelor poate fi cauzată de stocarea necorespunzătoare, furtul computerelor și mediilor, forță majoră etc. Un sistem de management al securității informațiilor (ISMS sau Information Security Management System) vă permite să gestionați un set de măsuri care implementează o anumită strategie intenționată, în acest caz în legătură cu securitatea informațiilor. Rețineți că nu vorbim doar despre gestionarea unui sistem existent, ci și despre construirea unuia nou/reproiectarea unuia vechi. Setul de măsuri include organizatorice, tehnice, fizice și altele. Managementul securității informațiilor este un proces complex, care permite implementarea celui mai eficient și cuprinzător management al securității informațiilor dintr-o companie. Scopul managementului securității informațiilor este de a menține confidențialitatea, integritatea și disponibilitatea informațiilor. Singura întrebare este ce fel de informații trebuie protejate și ce eforturi ar trebui depuse pentru a le asigura siguranța. Orice management se bazează pe conștientizarea situației în care apare. În ceea ce privește analiza riscului, conștientizarea situației se exprimă în inventarierea și evaluarea activelor organizației și a mediului acestora, adică tot ceea ce asigură desfășurarea activităților de afaceri. Din punct de vedere al analizei riscului de securitate a informatiilor, principalele active includ informatii, infrastructura, personal, imaginea si reputatia companiei. Fără un inventar al activelor la nivelul activității afacerii, este imposibil să se răspundă la întrebarea ce anume trebuie protejat. Este important să înțelegeți ce informații sunt procesate în cadrul unei organizații și unde sunt procesate. Într-o organizație modernă mare, numărul de active informaționale poate fi foarte mare. Dacă activitățile unei organizații sunt automatizate folosind un sistem ERP, atunci putem spune că aproape orice obiect material folosit în această activitate corespunde unui fel de obiect informațional. Prin urmare, sarcina principală a managementului riscului este identificarea celor mai semnificative active. Este imposibil de rezolvat această problemă fără implicarea managerilor activității principale a organizației, atât la nivel mediu, cât și la nivel superior. Situația optimă este atunci când conducerea de vârf a organizației stabilește personal cele mai critice domenii de activitate, pentru care este extrem de important să se asigure securitatea informației. Opinia conducerii superioare cu privire la prioritățile în asigurarea securității informațiilor este foarte importantă și valoroasă în procesul de analiză a riscurilor, dar în orice caz ar trebui clarificată prin colectarea de informații despre criticitatea activelor la nivelul mediu de management al companiei. În același timp, este indicat să se efectueze analize ulterioare tocmai în domeniile de activitate ale afacerii desemnate de managementul de vârf. Informațiile primite sunt procesate, agregate și transmise conducerii superioare pentru o evaluare cuprinzătoare a situației. Informațiile pot fi identificate și localizate pe baza unei descrieri a proceselor de afaceri în care informațiile sunt considerate ca unul dintre tipurile de resurse. Sarcina este oarecum simplificată dacă organizația a adoptat o abordare a reglementării activităților de afaceri (de exemplu, în scopul managementului calității și al optimizării proceselor de afaceri). Descrierile formalizate ale proceselor de afaceri sunt un bun punct de plecare pentru inventarul de active. Dacă nu există descrieri, puteți identifica activele pe baza informațiilor primite de la angajații organizației. Odată ce activele au fost identificate, valoarea acestora trebuie determinată. Munca de determinare a valorii activelor informaționale în întreaga organizație este atât cea mai semnificativă, cât și cea mai complexă. Evaluarea activelor informaționale este cea care va permite șefului departamentului de securitate a informațiilor să aleagă principalele domenii de activitate pentru asigurarea securității informațiilor. Dar eficiența economică a procesului de management al securității informațiilor depinde în mare măsură de conștientizarea a ceea ce trebuie protejat și de ce eforturi va necesita acest lucru, deoarece în majoritatea cazurilor volumul de efort aplicat este direct proporțional cu suma de bani cheltuită și cu cheltuielile de funcționare. Managementul riscurilor vă permite să răspundeți la întrebarea unde vă puteți asuma riscuri și unde nu. În cazul securității informațiilor, termenul „risc” înseamnă că într-o anumită zonă este posibil să nu se depună eforturi semnificative pentru a proteja activele informaționale și, în același timp, în cazul unei breșe de securitate, organizația nu va suferi pierderi semnificative. Aici putem face o analogie cu clasele de protecție ale sistemelor automate: cu cât riscurile sunt mai semnificative, cu atât cerințele de protecție ar trebui să fie mai stricte. Pentru a determina consecințele unei încălcări de securitate, trebuie fie să aveți informații despre incidente înregistrate de natură similară, fie să efectuați o analiză de scenariu. Analiza scenariului examinează relațiile cauză-efect dintre evenimentele de securitate a activelor și consecințele acestor evenimente asupra activităților de afaceri ale organizației. Consecințele scenariilor ar trebui să fie evaluate de mai multe persoane, iterativ sau deliberativ. Trebuie remarcat faptul că dezvoltarea și evaluarea unor astfel de scenarii nu pot fi complet divorțate de realitate. Trebuie să vă amintiți întotdeauna că scenariul trebuie să fie probabil. Criteriile și scalele pentru determinarea valorii sunt individuale pentru fiecare organizație. Pe baza rezultatelor analizei scenariilor se pot obține informații despre valoarea activelor. Dacă activele sunt identificate și se determină valoarea acestora, putem spune că obiectivele asigurării securității informațiilor sunt parțial stabilite: sunt determinate obiectele de protecție și importanța menținerii acestora într-o stare de securitate a informațiilor pentru organizație. Poate că tot ce rămâne este să se determine de cine trebuie să fie protejat. După ce ați determinat obiectivele managementului securității informațiilor, ar trebui să analizați problemele care vă împiedică să vă apropiați de starea țintă. La acest nivel, procesul de analiză a riscurilor coboară către infrastructura informațională și conceptele tradiționale de securitate a informațiilor - intruși, amenințări și vulnerabilități. Pentru a evalua riscurile, nu este suficientă introducerea unui model standard de încălcare care să împartă toți infractorii în funcție de tipul de acces la activ și cunoașterea structurii activelor. Această diviziune ajută la determinarea amenințărilor care pot fi direcționate asupra unui activ, dar nu răspunde la întrebarea dacă aceste amenințări pot fi, în principiu, realizate. În procesul de analiză a riscurilor, este necesar să se evalueze motivația contravenienților în implementarea amenințărilor. În acest caz, contravenientul nu înseamnă un hacker extern abstract sau din interior, ci o parte interesată să obțină beneficii prin încălcarea securității unui bun. Este indicat să se obțină informații inițiale despre modelul infractorului, ca și în cazul alegerii direcțiilor inițiale ale activităților de securitate a informațiilor, de la conducerea de vârf, care înțelege poziția organizației pe piață, are informații despre concurenți și ce metode de influență pot fi. asteptat de la ei. Informațiile necesare dezvoltării unui model de intrus pot fi obținute și din cercetările de specialitate privind încălcările securității informatice din zona de afaceri pentru care se efectuează analiza de risc. Un model de intrus dezvoltat corespunzător completează obiectivele de securitate a informațiilor determinate la evaluarea activelor organizației. Dezvoltarea unui model de amenințare și identificarea vulnerabilităților sunt indisolubil legate de un inventar al mediului în care se află activele informaționale ale organizației. Informațiile în sine nu sunt stocate sau procesate. Accesul la acesta este asigurat folosind o infrastructură informațională care automatizează procesele de afaceri ale organizației. Este important să înțelegeți modul în care infrastructura informațională și activele informaționale ale unei organizații sunt legate între ele. Din perspectiva managementului securității informațiilor, importanța infrastructurii informaționale poate fi stabilită numai după determinarea relației dintre activele informaționale și infrastructură. Dacă procesele de întreținere și operare a infrastructurii informaționale dintr-o organizație sunt reglementate și transparente, colectarea informațiilor necesare identificării amenințărilor și evaluării vulnerabilităților este mult simplificată. Dezvoltarea unui model de amenințare este o sarcină pentru profesioniștii în securitatea informațiilor care au o bună înțelegere a modului în care un atacator poate obține acces neautorizat la informații prin încălcarea perimetrului de securitate sau folosind metode de inginerie socială. Atunci când dezvoltați un model de amenințare, puteți vorbi și despre scenarii ca pași secvențiali în funcție de care amenințările pot fi realizate. Foarte rar se întâmplă ca amenințările să fie implementate într-un singur pas prin exploatarea unui singur punct vulnerabil din sistem. Modelul de amenințare ar trebui să includă toate amenințările identificate prin procesele aferente de gestionare a securității informațiilor, cum ar fi gestionarea vulnerabilităților și a incidentelor. Trebuie amintit că amenințările vor trebui clasificate unele față de altele în funcție de nivelul de probabilitate a implementării lor. Pentru a face acest lucru, în procesul de dezvoltare a unui model de amenințare pentru fiecare amenințare, este necesar să se indice cei mai semnificativi factori, a căror existență influențează implementarea acestuia. Politica de securitate se bazează pe o analiză a riscurilor care sunt recunoscute ca reale pentru sistemul informațional al organizației. Odată analizate riscurile și determinată strategia de protecție, se întocmește un program de securitate a informațiilor. Pentru acest program sunt alocate resurse, sunt desemnate persoane responsabile, se determină procedura de monitorizare a implementării programului etc. Într-un sens larg, politica de securitate este definită ca un sistem de decizii de management documentate pentru a asigura securitatea unei organizații. Într-un sens restrâns, o politică de securitate este de obicei înțeleasă ca un document de reglementare local care definește cerințele de securitate, un sistem de măsuri sau o procedură, precum și responsabilitățile angajaților organizației și mecanismele de control pentru o anumită zonă de securitate. Înainte de a începe să formulăm în sine politica de securitate a informațiilor, este necesar să înțelegem conceptele de bază cu care vom opera. Informații - informații (mesaje, date) indiferent de forma de prezentare a acestora. Confidențialitatea informațiilor este o cerință obligatorie pentru ca o persoană care a obținut acces la anumite informații să nu transfere astfel de informații către terți fără acordul proprietarului acesteia. Securitatea informației (SI) este starea de securitate a mediului informațional al societății, asigurând formarea, utilizarea și dezvoltarea acestuia în interesul cetățenilor, organizațiilor și statelor. Conceptul de „informație” astăzi este folosit destul de larg și versatil. Asigurarea securității informațiilor nu poate fi un act unic. Acesta este un proces continuu constând în justificarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire și dezvoltare a sistemului de securitate, monitorizarea continuă a stării acestuia, identificarea punctelor slabe și acțiunilor ilegale ale acestuia. Securitatea informației poate fi asigurată numai prin utilizarea integrată a întregii game de mijloace de securitate disponibile în toate elementele structurale ale sistemului de producție și în toate etapele ciclului tehnologic de prelucrare a informațiilor. Cel mai mare efect este obținut atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism integral - un sistem de securitate a informațiilor. Totodată, funcționarea sistemului trebuie monitorizată, actualizată și completată în funcție de schimbările din condițiile externe și interne. Conform standardului GOST R ISO/IEC 15408:2005, se pot distinge următoarele tipuri de cerințe de siguranță: funcționale, corespunzătoare aspectului activ al protecției, cerințelor pentru funcțiile de securitate și mecanismelor care le implementează; cerințe de încredere corespunzătoare aspectului pasiv impus tehnologiei și procesului de dezvoltare și exploatare. Este foarte important ca securitatea în acest standard să nu fie considerată static, ci în raport cu ciclul de viață al obiectului evaluat. Se disting următoarele etape: determinarea scopului, condițiilor de utilizare, scopurilor și cerințelor de siguranță; design și dezvoltare; testare, evaluare și certificare; implementare și exploatare. Deci, să aruncăm o privire mai atentă la cerințele de securitate funcțională. Ei includ: protecția datelor utilizatorilor; protecția funcțiilor de securitate (cerințele se referă la integritatea și controlul acestor servicii de securitate și mecanismele care le implementează); managementul securității (cerințele acestei clase se referă la gestionarea atributelor și parametrilor de securitate); audit de securitate (identificare, înregistrare, stocare, analiza datelor care afectează securitatea obiectului evaluat, răspuns la o posibilă încălcare a securității); confidențialitate (protejarea utilizatorului împotriva dezvăluirii și utilizării neautorizate a datelor sale de identificare); utilizarea resurselor (cerințe privind disponibilitatea informațiilor); comunicare (autentificarea părților implicate în schimbul de date); rută/canal de încredere (pentru comunicarea cu serviciile de securitate). În conformitate cu aceste cerințe, este necesar să se formuleze sistemul de securitate a informațiilor unei organizații. Sistemul de securitate a informațiilor al organizației include următoarele domenii: de reglementare; organizatoric (administrativ); tehnic; software; Pentru a evalua pe deplin situația unei întreprinderi în toate domeniile de securitate, este necesar să se elaboreze un concept de securitate a informațiilor care să stabilească o abordare sistematică a problemei securității resurselor informaționale și să reprezinte o declarație sistematică a scopurilor, obiectivelor, principiilor de proiectare și un set de măsuri pentru asigurarea securității informațiilor într-o întreprindere. Sistemul de management al rețelei corporative ar trebui să se bazeze pe următoarele principii (sarcini): asigurarea protecției infrastructurii informaționale existente a întreprinderii de intruși; asigurarea condițiilor de localizare și minimizare a eventualelor daune; eliminarea apariției surselor de amenințări în stadiul inițial; asigurarea protecției informațiilor împotriva a trei tipuri principale de amenințări emergente (disponibilitate, integritate, confidențialitate); Rezolvarea problemelor de mai sus se realizează prin; reglementarea acțiunilor utilizatorilor atunci când lucrează cu sistemul informațional; reglementarea acțiunilor utilizatorului atunci când lucrează cu baza de date; cerințe uniforme pentru fiabilitatea hardware și software; proceduri de monitorizare a funcționării sistemului informațional (înregistrarea evenimentelor, analiza protocoalelor, analiza traficului de rețea, analiza funcționării echipamentelor tehnice); Politica de securitate a informațiilor include: documentul principal este „Politica de securitate”. Acesta descrie în general politica de securitate a organizației, prevederile generale și, de asemenea, indică documentele relevante pentru toate aspectele politicii; instrucțiuni pentru reglementarea muncii utilizatorilor; fișa postului pentru administrator de rețea locală; fișa postului administratorului bazei de date; instrucțiuni pentru lucrul cu resursele de internet; instrucțiuni pentru organizarea protecției prin parolă; instrucțiuni pentru organizarea protecției antivirus. Documentul privind politica de securitate conține principalele prevederi. Pe baza acestuia se construiește un program de securitate a informațiilor, se construiesc fișe de post și recomandări. Instrucțiunile pentru reglementarea activității utilizatorilor rețelei locale a unei organizații reglementează procedura pentru a permite utilizatorilor să lucreze în rețeaua locală de calculatoare a organizației, precum și regulile de manipulare a informațiilor protejate procesate, stocate și transmise în organizație. Descrierea postului unui administrator de rețea locală descrie responsabilitățile unui administrator de rețea locală în ceea ce privește securitatea informațiilor. Descrierea postului unui administrator de baze de date definește principalele responsabilități, funcții și drepturi ale unui administrator de baze de date. Descrie în detaliu toate responsabilitățile și funcțiile unui administrator de baze de date, precum și drepturile și responsabilitățile. Instrucțiunile pentru lucrul cu resursele de Internet reflectă regulile de bază pentru lucrul în siguranță cu Internetul și, de asemenea, conțin o listă de acțiuni acceptabile și inacceptabile atunci când lucrați cu resursele de Internet. Instrucțiunile pentru organizarea protecției antivirus definesc prevederile de bază, cerințele pentru organizarea protecției antivirus a sistemului informațional al unei organizații, toate aspectele legate de funcționarea software-ului antivirus, precum și responsabilitatea în cazul încălcării normelor antivirus. -protecție contra virus. Instrucțiunile de organizare a protecției prin parole reglementează suportul organizatoric și tehnic pentru procesele de generare, modificare și terminare a parolelor (ștergerea conturilor de utilizator). Sunt reglementate și acțiunile utilizatorilor și ale personalului de întreținere atunci când lucrează cu sistemul. Astfel, la baza organizării procesului de protecție a informațiilor se află politica de securitate, formulată pentru a determina de ce amenințări și cum sunt protejate informațiile din sistemul informațional. Politica de securitate se referă la un set de măsuri legale, organizatorice și tehnice pentru a proteja informațiile adoptate într-o anumită organizație. Adică, politica de securitate conține multe condiții în care utilizatorii obțin acces la resursele sistemului fără a pierde proprietățile de securitate a informațiilor ale acestui sistem. Problema asigurării securității informației trebuie rezolvată sistematic. Aceasta înseamnă că diferite protecții (hardware, software, fizice, organizaționale etc.) trebuie aplicate simultan și sub control centralizat. Astăzi există un arsenal mare de metode pentru asigurarea securității informațiilor: mijloace de identificare și autentificare a utilizatorilor; Mijloace de criptare a informațiilor stocate pe computere și transmise prin rețele; firewall-uri; rețele private virtuale; instrumente de filtrare a conținutului; instrumente pentru verificarea integrității conținutului discului; instrumente de protecție antivirus; sisteme de detectare a vulnerabilităților de rețea și analizoare de atacuri de rețea. Fiecare dintre instrumentele enumerate poate fi utilizat fie independent, fie în integrare cu altele. Acest lucru face posibilă crearea sistemelor de securitate a informațiilor pentru rețele de orice complexitate și configurație, independent de platformele utilizate. Sistem de autentificare (sau identificare), autorizare și administrare. Identificarea și autorizarea sunt elemente cheie ale securității informațiilor. Funcția de autorizare este responsabilă pentru resursele la care are acces un anumit utilizator. Funcția de administrare este de a oferi utilizatorului anumite caracteristici de identificare în cadrul unei rețele date și de a determina sfera acțiunilor permise pentru acesta. Sistemele de criptare fac posibilă reducerea la minimum a pierderilor în cazul accesului neautorizat la datele stocate pe un hard disk sau alte medii, precum și interceptarea informațiilor atunci când sunt trimise prin e-mail sau transmise prin protocoale de rețea. Scopul acestui instrument de protecție este de a asigura confidențialitatea. Principalele cerințe pentru sistemele de criptare sunt un nivel ridicat de putere criptografică și legalitatea utilizării pe teritoriul Rusiei (sau a altor state). Un firewall este un sistem sau o combinație de sisteme care formează o barieră de protecție între două sau mai multe rețele pentru a împiedica pachetele de date neautorizate să intre sau să iasă din rețea. Principiul de funcționare de bază al firewall-urilor este verificarea fiecărui pachet de date pentru conformitatea adreselor IP de intrare și de ieșire cu o bază de date de adrese permise. Astfel, firewall-urile extind semnificativ capacitățile de segmentare a rețelelor de informații și de control al circulației datelor. Când vorbim despre criptografie și firewall-uri, ar trebui să menționăm rețelele private virtuale securizate (VPN). Utilizarea lor face posibilă rezolvarea problemelor de confidențialitate și integritate a datelor atunci când sunt transmise prin canale de comunicare deschise. Utilizarea unui VPN se poate reduce la rezolvarea a trei probleme principale: protecția fluxurilor de informații între diferitele sedii ale companiei (informațiile sunt criptate doar la ieșirea în rețeaua externă); accesul securizat al utilizatorilor rețelei de la distanță la resursele informaționale ale companiei, de obicei realizat prin internet; protecția fluxurilor de informații între aplicațiile individuale din cadrul rețelelor corporative (acest aspect este, de asemenea, foarte important, deoarece majoritatea atacurilor sunt efectuate din rețele interne). Un mijloc eficient de protecție împotriva pierderii informațiilor confidențiale este filtrarea conținutului e-mailurilor primite și trimise. Verificarea mesajelor de e-mail în sine și a atașamentelor acestora pe baza regulilor stabilite de organizație ajută, de asemenea, la protejarea companiilor de răspunderea în procese și la protejarea angajaților lor de spam. Instrumentele de filtrare a conținutului vă permit să scanați fișiere de toate formatele obișnuite, inclusiv fișiere comprimate și grafice. În același timp, debitul rețelei rămâne practic neschimbat. Toate modificările de pe o stație de lucru sau server pot fi monitorizate de administratorul de rețea sau alt utilizator autorizat datorită tehnologiei de verificare a integrității conținutului hard disk-ului (verificarea integrității). Acest lucru vă permite să detectați orice acțiuni cu fișiere (modificare, ștergere sau pur și simplu deschidere) și să identificați activitatea virușilor, accesul neautorizat sau furtul de date de către utilizatorii autorizați. Controlul se realizează pe baza analizei sumelor de verificare a fișierelor (sume CRC). Tehnologiile antivirus moderne fac posibilă identificarea aproape a tuturor programelor viruși deja cunoscute prin compararea codului unui fișier suspect cu mostrele stocate în baza de date antivirus. În plus, au fost dezvoltate tehnologii de modelare a comportamentului care fac posibilă detectarea programelor viruși nou create. Obiectele detectate pot fi tratate, izolate (puse în carantină) sau șterse. Protecția antivirus poate fi instalată pe stații de lucru, servere de fișiere și e-mail, firewall-uri care rulează sub aproape orice sistem de operare obișnuit (sisteme Windows, Unix și Linux, Novell) pe diverse tipuri de procesoare. Filtrele de spam reduc semnificativ costurile neproductive ale forței de muncă asociate cu analiza spam-ului, reduc traficul și încărcarea serverului, îmbunătățesc fundalul psihologic în echipă și reduc riscul ca angajații companiei să fie implicați în tranzacții frauduloase. În plus, filtrele de spam reduc riscul de infectare cu viruși noi, deoarece mesajele care conțin viruși (chiar și cei care nu sunt încă incluși în bazele de date ale programelor antivirus) au adesea semne de spam și sunt filtrate. Este adevărat, efectul pozitiv al filtrării spam-ului poate fi anulat dacă filtrul, împreună cu mesajele nedorite, elimină sau marchează ca spam și mesaje utile, de afaceri sau personale. Daunele enorme cauzate companiilor de viruși și atacurile hackerilor sunt în mare parte o consecință a deficiențelor software-ului utilizat. Aceștia pot fi identificați în prealabil, fără a aștepta un atac real, folosind sisteme de detectare a vulnerabilităților rețelei de calculatoare și analizoare de atac de rețea. Un astfel de software simulează în siguranță atacurile comune și metodele de intruziune și determină ce poate vedea un hacker în rețea și cum poate exploata resursele acesteia. Pentru a contracara amenințările naturale la adresa securității informațiilor, compania trebuie să dezvolte și să implementeze un set de proceduri pentru a preveni situațiile de urgență (de exemplu, pentru a asigura protecția fizică a datelor împotriva incendiilor) și pentru a minimiza daunele în cazul în care apare o astfel de situație. Una dintre principalele metode de protecție împotriva pierderii datelor este backup-ul cu respectarea strictă a procedurilor stabilite (regularitate, tipuri de suporturi, metode de stocare a copiilor etc.). Politica de securitate a informațiilor este un pachet de documente care reglementează munca angajaților, descriind regulile de bază pentru lucrul cu informații, sisteme informatice, baze de date, rețele locale și resurse de Internet. Este important să înțelegem ce loc ocupă politica de securitate a informațiilor în sistemul general de management al unei organizații. Următoarele sunt măsuri organizatorice generale legate de politicile de securitate. La nivel procedural se pot distinge următoarele clase de măsuri: managementul personalului; protectie fizica; menținerea performanței; răspuns la încălcările securității; planificarea lucrărilor de restaurare. Managementul resurselor umane începe cu angajarea, dar chiar înainte de asta, ar trebui să determinați privilegiile computerului asociate postului. Există două principii generale de reținut: separarea atribuțiilor; minimizarea privilegiilor. Principiul separării sarcinilor prescrie modul de distribuire a rolurilor și responsabilităților astfel încât o persoană să nu poată perturba un proces esențial pentru organizație. De exemplu, nu este de dorit ca o persoană să facă plăți mari în numele unei organizații. Este mai sigur să instruiți un angajat să proceseze cererile pentru astfel de plăți, iar altul să certifice aceste cereri. Un alt exemplu sunt restricțiile procedurale privind acțiunile superutilizatorului. Puteți „diviza” în mod artificial parola superutilizatorului, partajând prima parte a acesteia cu un angajat și a doua parte cu altul. Apoi pot efectua acțiuni critice pentru a administra sistemul informațional numai împreună, ceea ce reduce probabilitatea erorilor și abuzurilor. Principiul cel mai mic privilegiu impune ca utilizatorilor să li se acorde doar acele drepturi de acces de care au nevoie pentru a-și îndeplini responsabilitățile profesionale. Scopul acestui principiu este evident - de a reduce daunele cauzate de acțiuni incorecte accidentale sau intenționate. Pregătirea preliminară a fișei postului vă permite să evaluați criticitatea acesteia și să planificați procedura de selecție și selecție a candidaților. Cu cât funcția este mai responsabilă, cu atât mai atent trebuie să verificați candidații: faceți întrebări despre ei, poate vorbiți cu foștii colegi etc. O astfel de procedură poate fi lungă și costisitoare, așa că nu are rost să o complicăm și mai mult. În același timp, este nerezonabil să refuzi complet pre-screening-ul pentru a evita angajarea accidentală a unei persoane cu antecedente penale sau boală mintală. Odată ce un candidat a fost identificat, el sau ea va trebui probabil să urmeze formare; cel puțin, el ar trebui să fie bine familiarizat cu responsabilitățile postului și cu reglementările și procedurile de securitate a informațiilor. Este indicat să înțeleagă măsurile de securitate înainte de a-și prelua mandatul și înainte de a-și stabili contul de sistem cu nume de autentificare, parolă și privilegii. Securitatea unui sistem informatic depinde de mediul în care operează. Este necesar să se ia măsuri pentru a proteja clădirile și zonele înconjurătoare, susținând infrastructura, echipamentele informatice și mediile de stocare. Să luăm în considerare următoarele domenii de protecție fizică: controlul accesului fizic; protecția infrastructurii suport; protectia sistemelor mobile. Măsurile de control al accesului fizic vă permit să controlați și, dacă este necesar, să restricționați intrarea și ieșirea angajaților și vizitatorilor. Întreaga clădire a unei organizații poate fi controlată, precum și încăperile individuale, de exemplu, cele în care se află servere, echipamente de comunicație etc. Infrastructura de sprijin include sisteme electrice, de alimentare cu apă și căldură, aer condiționat și comunicații. În principiu, li se aplică aceleași cerințe de integritate și disponibilitate ca și sistemelor informaționale. Pentru a asigura integritatea, echipamentul trebuie protejat de furt și deteriorare. Pentru a menține disponibilitatea, ar trebui să selectați echipamente cu MTBF maxim, să duplicați componentele critice și să aveți întotdeauna piese de schimb la îndemână. În general, trebuie efectuată o analiză de risc la selectarea echipamentului fizic de protecție. Astfel, atunci când decideți să achiziționați o sursă de alimentare neîntreruptibilă, este necesar să luați în considerare calitatea sursei de alimentare din clădirea ocupată de organizație (cu toate acestea, aproape sigur se va dovedi a fi slabă), natura și durata întreruperile de curent, costul surselor disponibile și posibilele pierderi din accidente (defecțiunea echipamentelor, suspendarea activității organizației și așa mai departe.) Să luăm în considerare o serie de măsuri care vizează menținerea funcționalității sistemelor informaționale. În această zonă se ascunde cel mai mare pericol. Greșelile neintenționate ale administratorilor de sistem și ale utilizatorilor pot duce la pierderea performanței, și anume deteriorarea echipamentelor, distrugerea programelor și datelor. Acesta este cel mai rău scenariu. În cel mai bun caz, ele creează găuri de securitate care permit să apară amenințări la securitatea sistemului. Principala problemă a multor organizații este subestimarea factorilor de siguranță în munca de zi cu zi. Caracteristicile de securitate scumpe sunt lipsite de sens dacă sunt prost documentate, sunt în conflict cu alt software și parola administratorului de sistem nu a fost modificată de la instalare. Pentru activitățile zilnice care vizează menținerea funcționalității sistemului informațional se pot distinge următoarele acțiuni: suport pentru utilizatori; suport software; managementul configurației; backup; management media; documentație; intretinere de rutina. Suportul utilizatorilor presupune, în primul rând, consultarea și asistența în rezolvarea diferitelor tipuri de probleme. Este foarte important să poți identifica problemele legate de securitatea informațiilor într-un flux de întrebări. Astfel, multe dificultăți pentru utilizatorii care lucrează pe computere personale pot fi rezultatul infecției cu virus. Este recomandabil să înregistrați întrebările utilizatorilor pentru a identifica greșelile lor frecvente și pentru a emite mementouri cu recomandări pentru situații comune. Suportul software este unul dintre cele mai importante mijloace de asigurare a integrității informațiilor. În primul rând, trebuie să urmăriți ce software este instalat pe computerele dvs. Dacă utilizatorii instalează programe la discreția lor, acest lucru poate duce la infectarea cu viruși, precum și la apariția unor utilități care ocolesc măsurile de protecție. De asemenea, este probabil ca „activitățile independente” ale utilizatorilor să ducă treptat la haos pe computerele lor, iar administratorul de sistem va trebui să corecteze situația. Al doilea aspect al suportului software este controlul asupra absenței modificărilor neautorizate ale programelor și asupra drepturilor de acces la acestea. Aceasta include, de asemenea, suport pentru copiile de referință ale sistemelor software. Controlul se realizează de obicei printr-o combinație de controale de acces fizice și logice, precum și prin utilizarea utilităților de verificare și integritate. Gestionarea configurației vă permite să controlați și să înregistrați modificările aduse configurației software. În primul rând, trebuie să vă asigurați împotriva modificărilor accidentale sau prost concepute și să puteți măcar să reveniți la o versiune anterioară, funcțională. Realizarea modificărilor va facilita restabilirea versiunii curente după un dezastru. Cea mai bună modalitate de a reduce erorile în munca de rutină este să o automatizezi cât mai mult posibil. Automatizarea și securitatea depind una de alta, pentru că cel căruia îi pasă în primul rând să-și ușureze sarcina este de fapt cel care modelează optim regimul de securitate a informațiilor. Backup-ul este necesar pentru a restaura programele și datele după dezastre. Și aici este recomandabil să automatizezi munca, cel puțin, prin crearea unui program computerizat pentru crearea de copii complete și incrementale și, la maximum, prin utilizarea produselor software corespunzătoare. De asemenea, este necesar să se aranjeze plasarea copiilor într-un loc sigur, ferit de accesul neautorizat, incendii, scurgeri, adică de orice ar putea duce la furt sau deteriorarea suportului. Este recomandabil să aveți mai multe copii ale copiilor de rezervă și să stocați unele dintre ele în afara locației, protejând astfel împotriva accidentelor majore și incidentelor similare. Din când în când, în scopuri de testare, ar trebui să verificați posibilitatea de a restaura informațiile din copii. Managementul media este necesar pentru a oferi securitate fizică și contabilitate pentru dischete, benzi, ieșiri tipărite etc. Managementul media trebuie să asigure confidențialitatea, integritatea și disponibilitatea informațiilor stocate în afara sistemelor informatice. Protecția fizică înseamnă aici nu numai respingerea încercărilor de acces neautorizat, ci și protecția împotriva influențelor nocive ale mediului (căldură, frig, umiditate, magnetism). Managementul media trebuie să acopere întregul ciclu de viață, de la achiziție până la dezafectare. Documentația este o parte integrantă a securității informațiilor. Aproape totul este documentat sub formă de documente - de la politica de securitate până la jurnalul media. Este important ca documentația să fie actualizată și să reflecte situația actuală și într-o manieră consecventă. Cerințele de confidențialitate se aplică stocării unor documente (conținând, de exemplu, o analiză a vulnerabilităților și amenințărilor sistemului), în timp ce altele, cum ar fi un plan de recuperare în caz de dezastru, sunt supuse cerințelor de integritate și disponibilitate (într-o situație critică, planul trebuie fi găsit și citit). Munca de rutină reprezintă un pericol foarte grav pentru siguranță. Un angajat care efectuează întreținere de rutină primește acces exclusiv la sistem, iar în practică este foarte dificil să controlezi exact ce acțiuni efectuează. Aici iese în prim plan gradul de încredere în cei care fac munca. Politica de securitate adoptată de organizație trebuie să prevadă un set de măsuri operaționale care vizează detectarea și neutralizarea încălcărilor regimului de securitate a informațiilor. Este important ca, în astfel de cazuri, succesiunea acțiunilor să fie planificată în avans, deoarece măsurile trebuie luate de urgență și într-o manieră coordonată. Răspunsul la breșele de securitate are trei obiective principale: localizarea incidentului și reducerea daunelor; prevenirea încălcărilor repetate. Adesea, cerința de a localiza un incident și de a reduce prejudiciul intră în conflict cu dorința de a identifica infractorul. Politica de securitate a organizației trebuie să fie prioritizată din timp. Deoarece, după cum arată practica, este foarte dificil să identifici un atacator, în opinia noastră, în primul rând, trebuie avut grijă pentru a reduce daunele. Nicio organizație nu este imună la accidente grave cauzate de cauze naturale, acțiuni rău intenționate, neglijență sau incompetență. În același timp, fiecare organizație are funcții pe care managementul le consideră critice și care trebuie îndeplinite indiferent de situație. Planificarea lucrărilor de restaurare vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți capacitatea de funcționare cel puțin într-o măsură minimă. Rețineți că măsurile de securitate a informațiilor pot fi împărțite în trei grupe, în funcție de faptul că acestea vizează prevenirea, detectarea sau eliminarea consecințelor atacurilor. Majoritatea măsurilor sunt de natură preventivă. Procesul de planificare a restaurării poate fi împărțit în următoarele etape: identificarea funcțiilor critice ale organizației, stabilirea priorităților; identificarea resurselor necesare îndeplinirii funcțiilor critice; stabilirea listei de posibile accidente; dezvoltarea unei strategii de restaurare; pregătirea pentru implementarea strategiei alese; verificarea strategiei. Atunci când planificați lucrările de restaurare, trebuie să fiți conștienți de faptul că nu este întotdeauna posibilă menținerea completă a funcționării organizației. Este necesar să se identifice funcțiile critice, fără de care organizația își pierde fața, și chiar să se prioritizeze printre funcțiile critice pentru a relua munca după un accident cât mai repede și cu costuri minime. Când identificați resursele necesare pentru a îndeplini funcții critice, amintiți-vă că multe dintre ele nu sunt de natură informatică. În această etapă, este indicat să implicați în muncă specialiști de diferite profiluri. Astfel, există un număr mare de metode diferite pentru asigurarea securității informațiilor. Cel mai eficient este să folosiți toate aceste metode într-un singur complex. Astăzi, piața modernă de securitate este saturată de instrumente de securitate a informațiilor. Studiind în mod constant ofertele existente pe piața de securitate, multe companii văd inadecvarea fondurilor investite anterior în sistemele de securitate a informațiilor, de exemplu, din cauza învechirii echipamentelor și software-ului. Prin urmare, ei caută soluții la această problemă. Pot exista două astfel de opțiuni: pe de o parte, înlocuirea completă a sistemului de protecție a informațiilor corporative, care va necesita investiții mari și, pe de altă parte, modernizarea sistemelor de securitate existente. Ultima opțiune de rezolvare a acestei probleme este cea mai puțin costisitoare, dar aduce noi probleme, de exemplu, necesită un răspuns la următoarele întrebări: cum se asigură compatibilitatea instrumentelor de securitate vechi, reținute de hardware și software existente și elemente noi de sistemul de securitate a informațiilor; cum să ofere un management centralizat al instrumentelor de securitate eterogene; cum se evaluează și, dacă este necesar, se reevaluează riscurile informaționale ale companiei. Capitolul 2. Analiza sistemului de securitate a informaţiei 1 Domeniul de activitate al companiei și analiza indicatorilor financiari OJSC Gazprom este o companie globală de energie. Activitățile principale sunt explorarea geologică, producția, transportul, depozitarea, prelucrarea și vânzarea de gaze, gaze condensate și petrol, precum și producția și vânzarea de energie termică și energie electrică. Gazprom își vede misiunea în furnizarea fiabilă, eficientă și echilibrată a consumatorilor cu gaze naturale, alte tipuri de resurse energetice și produsele lor prelucrate. Gazprom are cele mai bogate rezerve de gaze naturale din lume. Ponderea sa în rezervele mondiale de gaze este de 18%, în rusă - 70%. Gazprom reprezintă 15% din producția mondială de gaze și 78% din producția rusă de gaz. În prezent, compania implementează în mod activ proiecte la scară largă pentru dezvoltarea resurselor de gaze din Peninsula Yamal, raftul arctic, Siberia de Est și Orientul Îndepărtat, precum și o serie de proiecte de explorare și producție de hidrocarburi în străinătate. Gazprom este un furnizor de încredere de gaz pentru consumatorii ruși și străini. Compania deține cea mai mare rețea de transport de gaze din lume - Sistemul unificat de aprovizionare cu gaz al Rusiei, a cărui lungime depășește 161 mii km. Gazprom vinde mai mult de jumătate din gazul pe care îl vinde pe piața internă. În plus, compania furnizează gaz în 30 de țări din străinătate apropiată și îndepărtată. Gazprom este singurul producător și exportator de gaz natural lichefiat din Rusia și asigură aproximativ 5% din producția globală de GNL. Compania este unul dintre cei mai mari cinci producători de petrol din Federația Rusă și este, de asemenea, cel mai mare proprietar de active generatoare de pe teritoriul său. Capacitatea totală instalată a acestora este de 17% din capacitatea totală instalată a sistemului energetic rus. Scopul strategic este de a stabili OAO Gazprom ca lider printre companiile energetice globale prin dezvoltarea de noi piețe, diversificarea activităților și asigurarea fiabilității aprovizionărilor. Să luăm în considerare performanța financiară a companiei în ultimii doi ani. Rezultatele operaționale ale companiei sunt prezentate în Anexa 1. La 31 decembrie 2010, veniturile din vânzări se ridicau la 2.495.557 milioane de ruble, această cifră este mult mai mică comparativ cu datele din 2011, adică 3.296.656 milioane de ruble. Veniturile din vânzări (net de accize, TVA și taxe vamale) au crescut cu 801.099 milioane RUB, sau 32%, pentru cele nouă luni încheiate la 30 septembrie 2011, comparativ cu aceeași perioadă a anului trecut, în valoare de 3.296.656 milioane RUB. Pe baza rezultatelor anului 2011, veniturile nete din vânzările de gaze au reprezentat 60% din totalul veniturilor nete din vânzări (60% pentru aceeași perioadă a anului trecut). Venitul net din vânzările de gaze naturale a crescut de la 1.495.335 milioane RUB. pentru anul până la 1.987.330 de milioane de ruble. pentru aceeași perioadă din 2011, sau cu 33%. Venitul net din vânzările de gaze către Europa și alte țări a crescut cu 258.596 milioane RUB, sau 34%, comparativ cu aceeași perioadă a anului trecut și s-au ridicat la 1.026.451 milioane RUB. Creșterea globală a vânzărilor de gaze către Europa și alte țări s-a datorat creșterii prețurilor medii. Prețul mediu în ruble (inclusiv taxele vamale) a crescut cu 21% pentru cele nouă luni încheiate la 30 septembrie 2011 față de aceeași perioadă din 2010. În plus, volumele vânzărilor de gaze au crescut cu 8% față de aceeași perioadă a anului trecut. Venitul net din vânzările de gaze către țările din fosta Uniune Sovietică au crescut în aceeași perioadă din 2010 cu 168.538 milioane de ruble, sau 58%, și s-au ridicat la 458.608 milioane de ruble. Schimbarea a fost determinată în primul rând de o creștere cu 33% a vânzărilor de gaze către fosta Uniune Sovietică pentru cele nouă luni încheiate la 30 septembrie 2011, comparativ cu aceeași perioadă a anului trecut. În plus, prețul mediu în ruble (inclusiv taxe vamale, mai puțin TVA) a crescut cu 15% față de aceeași perioadă a anului trecut. Venitul net din vânzările de gaze în Federația Rusă a crescut cu 64.861 milioane RUB, sau 15%, comparativ cu aceeași perioadă a anului trecut, și s-a ridicat la 502.271 milioane RUB. Acest lucru se datorează în principal unei creșteri a prețului mediu la gaze cu 13% față de aceeași perioadă a anului trecut, care este asociată cu o creștere a tarifelor stabilite de Serviciul Federal de Tarife (FTS). Venitul net din vânzarea de produse petroliere și gaze (mai puțin accize, TVA și taxe vamale) a crescut cu 213 012 milioane de ruble, sau 42%, și s-au ridicat la 717 723 milioane de ruble. comparativ cu aceeași perioadă a anului trecut. Această creștere se explică în principal prin creșterea prețurilor mondiale la produsele petroliere și gaze și o creștere a volumelor vânzărilor față de aceeași perioadă a anului trecut. Veniturile Grupului Gazprom Neft s-au ridicat la 85%, respectiv 84% din totalul veniturilor nete din vânzarea de produse petroliere și gaze. Venitul net din vânzarea de energie electrică și termică (fără TVA) a crescut cu 38.097 milioane RUB, sau 19%, și s-a ridicat la 237.545 milioane RUB. Creșterea veniturilor din vânzarea de energie electrică și termică se datorează în principal creșterii tarifelor la energia electrică și termică, precum și creșterii volumului vânzărilor de energie electrică și termică. Venitul net din vânzarea de țiței și gaze condensate (mai puțin accize, TVA și taxe vamale) a crescut cu 23 072 milioane RUB, sau 16%, și s-au ridicat la 164 438 milioane RUB. comparativ cu 141 366 milioane RUB. pentru aceeași perioadă a anului trecut. Schimbarea este cauzată în principal de creșterea prețurilor la petrol și gaze condensate. În plus, schimbarea a fost cauzată de o creștere a vânzărilor de gaz condensat. Veniturile din vânzarea țițeiului s-au ridicat la 133 368 milioane RUB. și 121.675 milioane de ruble. în veniturile nete din vânzarea de țiței și gaze condensate (mai puțin accize, TVA și taxe vamale) în 2011 și, respectiv, 2010. Venitul net din vânzarea serviciilor de transport de gaze (fără TVA) a crescut cu 15 306 milioane RUB, sau 23%, și s-a ridicat la 82 501 milioane RUB, comparativ cu 67 195 milioane RUB. pentru aceeași perioadă a anului trecut. Această creștere se datorează în principal creșterii tarifelor de transport al gazelor pentru furnizorii independenți, precum și creșterii volumelor de gaze. ѐ mov de transport gaze pentru furnizori independenți comparativ cu aceeași perioadă a anului trecut. Alte venituri au crescut cu 19.617 milioane RUB, sau 22%, și s-au ridicat la 107.119 milioane RUB. comparativ cu 87 502 milioane RUB. pentru aceeași perioadă a anului trecut. Cheltuielile pentru operațiuni comerciale fără livrare efectivă s-au ridicat la 837 milioane RUB. comparativ cu veniturile de 5.786 milioane RUB. pentru aceeași perioadă a anului trecut. În ceea ce privește cheltuielile de exploatare, acestea au crescut cu 23% și s-au ridicat la 2.119.289 milioane RUB. comparativ cu 1.726.604 milioane RUB. pentru aceeași perioadă a anului trecut. Ponderea cheltuielilor de exploatare în veniturile din vânzări a scăzut de la 69% la 64%. Costurile cu forța de muncă au crescut cu 18% și s-au ridicat la 267 377 milioane RUB. comparativ cu 227.500 milioane RUB. pentru aceeași perioadă a anului trecut. Creșterea se datorează în principal creșterii salariilor medii. Amortizarea pentru perioada analizată a crescut cu 9% sau cu 17.026 milioane de ruble și s-a ridicat la 201.636 milioane de ruble, față de 184.610 milioane de ruble. pentru aceeași perioadă a anului trecut. Creșterea sa datorat în principal extinderii bazei de active fixe. Ca urmare a factorilor de mai sus, profitul din vânzări a crescut cu 401.791 milioane RUB, sau 52%, și sa ridicat la 1.176.530 milioane RUB. comparativ cu 774.739 milioane RUB. pentru aceeași perioadă a anului trecut. Marja de profit din vânzări a crescut de la 31% la 36% pentru cele nouă luni încheiate la 30 septembrie 2011. Astfel, OJSC Gazprom este o companie energetică globală. Activitățile principale sunt explorarea geologică, producția, transportul, depozitarea, prelucrarea și vânzarea de gaze, gaze condensate și petrol, precum și producția și vânzarea de energie termică și energie electrică. Situația financiară a companiei este stabilă. Indicatorii de performanță arată o dinamică pozitivă. 2 Descrierea sistemului de securitate a informațiilor companiei Să luăm în considerare principalele domenii de activitate ale diviziilor Serviciului de Protecție Corporativă al OJSC Gazprom: dezvoltarea de programe țintite pentru dezvoltarea de sisteme și complexe de echipamente de inginerie și securitate tehnică (ITSE), sisteme de securitate a informațiilor (IS) ale OAO Gazprom și ale filialelor și organizațiilor sale, participarea la formarea unui program de investiții care vizează asigurarea informațiilor și tehnice Securitate; implementarea competențelor clientului pentru dezvoltarea sistemelor de securitate a informațiilor, precum și a sistemelor și complexelor ITSO; luarea în considerare și aprobarea cererilor de buget și a bugetelor pentru implementarea măsurilor de dezvoltare a sistemelor de securitate a informațiilor, sistemelor și complexelor ITSO, precum și pentru realizarea de IT în materie de sisteme de securitate a informațiilor; revizuirea și aprobarea documentației de proiectare și anteproiect pentru dezvoltarea sistemelor de securitate a informațiilor, a sistemelor și complexelor ITSO, precum și a specificațiilor tehnice pentru realizarea (modernizarea) sistemelor informaționale, a sistemelor de comunicații și telecomunicații în ceea ce privește cerințele de securitate a informațiilor; organizarea muncii pentru evaluarea conformității sistemelor și complexelor ITSO, sistemelor de securitate a informațiilor (precum și lucrărilor și serviciilor pentru realizarea acestora) cu cerințele stabilite; coordonarea și controlul lucrărilor privind protecția informațiilor tehnice. Gazprom a creat un sistem care să asigure protecția datelor cu caracter personal. Cu toate acestea, adoptarea de către autoritățile executive federale a unui număr de acte juridice de reglementare în dezvoltarea legilor și reglementărilor guvernamentale existente necesită necesitatea îmbunătățirii sistemului actual de protecție a datelor cu caracter personal. În scopul soluționării acestei probleme, au fost elaborate o serie de documente și sunt în curs de aprobare în cadrul lucrărilor de cercetare. În primul rând, acestea sunt proiectele de standarde ale Organizației de Dezvoltare Gazprom: „Metodologie de clasificare a sistemelor informaționale a datelor cu caracter personal ale OAO Gazprom, filialele și organizațiile acesteia”; „Model de amenințări la adresa datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice ale datelor cu caracter personal ale OAO Gazprom, filialele și organizațiile sale.” Aceste documente au fost elaborate ținând cont de cerințele Decretului Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” în raportat la clasa sistemelor speciale, care includ majoritatea OJSC ISPDn „Gazprom”. În plus, este în curs de desfășurare elaborarea „Regulamentului privind organizarea și suportul tehnic al securității datelor cu caracter personal prelucrate în sistemele informatice ale datelor cu caracter personal ale OAO Gazprom, filialele și organizațiile sale”. De menționat că în cadrul sistemului de standardizare al OJSC Gazprom au fost elaborate standarde pentru sistemul de securitate a informațiilor, care vor face posibilă și rezolvarea problemelor de protecție a datelor cu caracter personal prelucrate în sistemele informaționale ale OJSC Gazprom. Șapte standarde legate de sistemul de securitate a informațiilor au fost aprobate și intră în vigoare în acest an. Standardele definesc cerințele de bază pentru construirea sistemelor de securitate a informațiilor pentru OAO Gazprom și filialele sale. Rezultatele muncii depuse vor face posibilă utilizarea mai rațională a resurselor materiale, financiare și intelectuale, crearea suportului normativ și metodologic necesar, introducerea unor mijloace eficiente de protecție și, ca urmare, asigurarea securității datelor cu caracter personal prelucrate în informații. sistemele OAO Gazprom. În urma analizei securității informaționale a OJSC Gazprom, au fost identificate următoarele neajunsuri în asigurarea securității informațiilor: organizația nu are un singur document care să reglementeze o politică cuprinzătoare de securitate; Având în vedere dimensiunea rețelei și numărul de utilizatori (mai mult de 100), trebuie menționat că o singură persoană este responsabilă de administrarea sistemului, securitatea informațiilor și suportul tehnic; nu există o clasificare a activelor informaționale după gradul de importanță; rolurile și responsabilitățile în materie de securitate a informațiilor nu sunt incluse în fișele postului; in contractul de munca incheiat cu salariatul nu exista nicio clauza privind raspunderile de securitate a informatiilor atat ale celor angajati, cat si ale organizatiei in sine; nu se asigură pregătirea personalului în domeniul securității informațiilor; din punct de vedere al protecției împotriva amenințărilor externe: nu au fost elaborate proceduri tipice de comportament pentru recuperarea datelor în urma accidentelor survenite ca urmare a amenințărilor externe și de mediu; camera serverului nu este o cameră separată, camerei i se atribuie statutul a două departamente (încă o persoană, pe lângă administratorul de sistem, are acces la camera serverului); nu se efectuează sondajele tehnice și examinarea fizică pentru dispozitivele neautorizate conectate la cabluri; în ciuda faptului că intrarea se face cu permise electronice și toate informațiile sunt introduse într-o bază de date specială, analiza acesteia nu este efectuată; în ceea ce privește protecția împotriva programelor malware: nu există o politică oficială de protecție împotriva riscurilor asociate cu primirea de fișiere fie din sau prin rețele externe, fie conținute pe medii amovibile; în ceea ce privește protecția împotriva programelor malware: nu există linii directoare pentru protejarea rețelei locale de coduri rău intenționate; nu există control al traficului, există acces la serverele de mail ale rețelelor externe; toate copiile de rezervă sunt stocate în camera serverului; sunt folosite parole nesigure, ușor de reținut; primirea parolelor de către utilizatori nu este confirmată în niciun fel; parolele sunt stocate în text clar de către administrator; parolele nu se schimbă; Nu există nicio procedură de raportare a evenimentelor de securitate a informațiilor. Astfel, pe baza acestor neajunsuri, a fost elaborat un set de reglementări privind politica de securitate a informațiilor, printre care: politici privind angajarea (concedierea) și acordarea (privarea) angajaților de autoritatea necesară pentru a accesa resursele sistemului; politica privind activitatea utilizatorilor rețelei în timpul funcționării acesteia; politica de protectie prin parola; politica de organizare a protecției fizice; politica de internet; precum şi măsurile administrative de securitate. Documentele care conțin aceste reglementări sunt în faza de examinare de către conducerea organizației. 3 Elaborarea unui set de măsuri pentru modernizarea sistemului de securitate a informațiilor existent În urma analizei sistemului de securitate a informațiilor al OJSC Gazprom, au fost identificate vulnerabilități semnificative ale sistemului. Pentru a dezvolta măsuri pentru eliminarea deficiențelor identificate ale sistemului de securitate, vom evidenția următoarele grupuri de informații care fac obiectul protecției: informatii despre viata privata a angajatilor care permit identificarea acestora (date cu caracter personal); informatii legate de activitati profesionale si care constituie secret bancar, de audit si comunicatii; informații legate de activități profesionale și marcate ca informații „pentru uz oficial”; informații, a căror distrugere sau modificare va afecta negativ eficiența operațională, iar restaurarea va necesita costuri suplimentare. Din punct de vedere al măsurilor administrative, au fost elaborate următoarele recomandări: sistemul de securitate a informațiilor trebuie să respecte legislația Federației Ruse și standardele de stat; clădirile și spațiile în care sunt instalate sau depozitate instalații de prelucrare a informațiilor, lucrările se desfășoară cu informații protejate, trebuie să fie păzite și protejate prin mijloace de alarmă și control acces; instruirea personalului cu privire la problemele de securitate a informațiilor (explicarea importanței protecției cu parolă și a cerințelor de parolă, desfășurarea de instruire privind software-ul antivirus etc.) ar trebui organizată la angajarea unui angajat; desfășoară cursuri de formare la fiecare 6-12 luni care au ca scop îmbunătățirea alfabetizării angajaților în domeniul securității informațiilor; un audit al sistemului și ajustări ale reglementărilor elaborate ar trebui efectuate anual, la 1 octombrie sau imediat după introducerea unor modificări majore în structura întreprinderii; drepturile de acces ale fiecărui utilizator la resursele informaționale trebuie documentate (dacă este necesar, accesul este solicitat de la manager în scris); politica de securitate a informatiilor trebuie asigurata de administratorul software si administratorul hardware, actiunile acestora fiind coordonate de seful grupului. Să formulăm o politică de parole: nu le stocați în formă necriptată (nu le notați pe hârtie, într-un fișier text obișnuit etc.); schimba parola dacă este dezvăluită sau suspectată de dezvăluire; lungimea trebuie să fie de cel puțin 8 caractere; Parola trebuie să conțină litere mari și mici, cifre și caractere speciale; parola nu trebuie să includă secvențe de caractere ușor de calculat (nume, nume de animale, date); schimbare o dată la 6 luni (o schimbare neprogramată a parolei trebuie făcută imediat după primirea notificării incidentului care a declanșat schimbarea); La schimbarea parolelor, nu le puteți selecta pe cele care au fost folosite anterior (parolele trebuie să difere cu cel puțin 6 poziții). Să formulăm o politică privind programele antivirus și detectarea virușilor: Software-ul antivirus licențiat trebuie să fie instalat pe fiecare stație de lucru; actualizarea bazelor de date antivirus pe stațiile de lucru cu acces la Internet - o dată pe zi, fără acces la Internet - cel puțin o dată pe săptămână; configurați scanarea automată a stațiilor de lucru pentru detectarea virușilor (frecvența verificărilor - o dată pe săptămână: vineri, ora 12:00); Doar administratorul poate întrerupe actualizarea bazei de date antivirus sau scanarea antivirus (protecția prin parolă trebuie setată pentru acțiunea specificată a utilizatorului). Să formulăm o politică privind protecția fizică: sondarea tehnică și examinarea fizică pentru dispozitivele neautorizate conectate la cabluri trebuie efectuate la fiecare 1-2 luni; cablurile de rețea trebuie protejate împotriva interceptării neautorizate a datelor; înregistrările tuturor defecțiunilor suspectate și reale care au apărut cu echipamentul trebuie să fie stocate într-un jurnal Fiecare stație de lucru trebuie să fie echipată cu o sursă de alimentare neîntreruptibilă. Să definim o politică privind rezervarea informațiilor: pentru copiile de rezervă trebuie alocată o cameră separată, situată în afara clădirii administrative (camera trebuie să fie echipată cu încuietoare electronică și alarmă); Rezervările pentru informații trebuie făcute în fiecare vineri la ora 16:00. Politica privind angajarea/concedierea angajaților ar trebui să fie următoarea: orice modificare de personal (angajare, promovare, concediere a unui angajat etc.) trebuie raportata administratorului in termen de 24 de ore, care, la randul sau, intr-un termen de jumatate de zi lucratoare trebuie sa efectueze modificari corespunzatoare sistemului de delimitare a drepturilor de acces. la resursele întreprinderii; un nou angajat trebuie să urmeze instruire de la administrator, inclusiv familiarizarea cu politica de securitate și toate instrucțiunile necesare; nivelul de acces la informații pentru noul angajat este atribuit de către manager; Când un angajat părăsește sistemul, ID-ul și parola îi sunt șterse, stația de lucru este verificată pentru viruși și este analizată integritatea datelor la care a avut acces angajatul. Politica privind lucrul cu rețeaua internă locală (LAN) și bazele de date (DB): atunci când lucrează la postul său de lucru și pe LAN, angajatul trebuie să îndeplinească numai sarcini legate direct de activitățile sale oficiale; Angajatul trebuie să anunțe administratorul despre mesajele din programele antivirus despre apariția virușilor; nimeni altul decât administratorii nu are voie să facă modificări în designul sau configurația stațiilor de lucru și a altor noduri LAN, să instaleze orice software, să părăsească stația de lucru fără control sau să permită accesul persoanelor neautorizate la ea; Administratorilor li se recomandă să mențină în funcțiune în permanență două programe: un utilitar de detectare a atacurilor ARP-spoofing și un sniffer, a cărui utilizare le va permite să vadă rețeaua prin ochii unui potențial intrus și să identifice violatorii politicii de securitate; Ar trebui să instalați software care împiedică rularea altor programe decât cele desemnate de administrator, pe baza principiului: „Orice persoană are privilegiile necesare pentru a efectua anumite sarcini”. Toate porturile de computer neutilizate trebuie să fie dezactivate de hardware sau software; Software-ul trebuie actualizat regulat. Politica de internet: administratorilor li se atribuie dreptul de a restricționa accesul la resurse, al căror conținut nu este legat de îndeplinirea atribuțiilor oficiale, precum și de resurse, al căror conținut și focalizare sunt interzise de legislația internațională și rusă; angajatului îi este interzis să descarce și să deschidă fișiere fără a verifica mai întâi virușii; toate informațiile despre resursele vizitate de angajații companiei ar trebui să fie stocate într-un jurnal și, dacă este necesar, pot fi furnizate șefilor de departament, precum și conducerii confidențialitatea și integritatea corespondenței electronice și a documentelor de birou este asigurată prin utilizarea semnăturilor digitale. În plus, vom formula cerințele de bază pentru crearea parolelor pentru angajații companiei OJSC Gazprom. O parolă este ca o cheie a casei, doar că este cheia informațiilor. Pentru cheile obișnuite, este extrem de nedorit să fie pierdute, furate sau predate unui străin. Același lucru este valabil și pentru parola. Desigur, securitatea informațiilor depinde nu numai de parolă; pentru a o asigura, trebuie să setați o serie de setări speciale și, poate, chiar să scrieți un program care să protejeze împotriva hackingului. Dar alegerea unei parole este exact acțiunea în care depinde doar de utilizator cât de puternică va fi această legătură în lanțul de măsuri care vizează protejarea informațiilor. ) parola trebuie să fie lungă (8-12-15 caractere); ) nu trebuie să fie un cuvânt dintr-un dicționar (orice dicționar, chiar și un dicționar de termeni speciali și argou), un nume propriu sau un cuvânt în alfabet chirilic tastat în format latin (latină - kfnsym); ) nu poate fi asociat cu proprietarul; ) se modifică periodic sau la nevoie; ) nu este utilizat în această calitate pe diverse resurse (adică, pentru fiecare resursă - pentru a vă autentifica într-o cutie poștală, sistem de operare sau bază de date - trebuie utilizată o parolă diferită); ) este posibil să-l amintim. Selectarea cuvintelor din dicționar nu este de dorit, deoarece un atacator care efectuează un atac de dicționar va folosi programe capabile să caute până la sute de mii de cuvinte pe secundă. Orice informații asociate cu proprietarul (fie că este data nașterii, numele câinelui, numele de fată a mamei și „parole”) pot fi ușor recunoscute și ghicite. Utilizarea literelor mari și mici, precum și a numerelor, complică foarte mult sarcina atacatorului de a ghici parola. Parola ar trebui să fie păstrată secretă, iar dacă bănuiți că parola a devenit cunoscută de cineva, schimbați-o. De asemenea, este foarte util să le schimbi din când în când. Concluzie Studiul ne-a permis să tragem următoarele concluzii și să formulăm recomandări. S-a stabilit că principalul motiv al problemelor întreprinderii în domeniul securității informației este lipsa unei politici de securitate a informațiilor, care să includă soluții organizatorice, tehnice, financiare cu monitorizarea ulterioară a implementării acestora și evaluarea eficacității acestora. Definiția politicii de securitate a informațiilor este formulată ca un set de decizii documentate, al căror scop este asigurarea protecției informațiilor și a riscurilor informaționale asociate. Analiza sistemului de securitate a informațiilor a relevat deficiențe semnificative, printre care: stocarea copiilor de rezervă în camera serverului, serverul de rezervă este situat în aceeași cameră cu serverele principale; lipsa unor reguli adecvate privind protecția cu parolă (lungimea parolei, reguli de alegere și stocare); administrarea rețelei este gestionată de o singură persoană. O generalizare a practicii internaționale și rusești în domeniul managementului securității informaționale a întreprinderilor ne-a permis să concluzionam că pentru a o asigura, este necesar: prognozarea și identificarea în timp util a amenințărilor la securitate, cauzelor și condițiilor care conduc la producerea unor daune financiare, materiale și morale; crearea condițiilor de funcționare cu cel mai mic risc de implementare a amenințărilor de securitate la adresa resurselor informaționale și de a provoca diverse tipuri de daune; crearea unui mecanism și a condițiilor de răspuns eficient la amenințările la adresa securității informațiilor pe baza mijloacelor legale, organizaționale și tehnice. Primul capitol al lucrării discută principalele aspecte teoretice. Este oferită o privire de ansamblu asupra mai multor standarde în domeniul securității informațiilor. Se trag concluzii pentru fiecare și în ansamblu și este selectat cel mai potrivit standard pentru formarea politicii de securitate a informațiilor. Al doilea capitol examinează structura organizației și analizează principalele probleme asociate securității informațiilor. Ca urmare, s-au format recomandări pentru a asigura nivelul adecvat de securitate a informațiilor. De asemenea, sunt luate în considerare măsuri de prevenire a incidentelor ulterioare legate de încălcările securității informațiilor. Desigur, asigurarea securității informațiilor unei organizații este un proces continuu care necesită monitorizare constantă. Iar o politică formată în mod natural nu este un garant de fier al protecției. Pe lângă implementarea politicii, este necesară monitorizarea constantă a implementării calității acesteia, precum și îmbunătățirea în eventualitatea oricăror schimbări în companie sau precedente. S-a recomandat organizației să angajeze un angajat ale cărui activități ar fi direct legate de aceste funcții (administrator de securitate). Bibliografie prejudiciu financiar pentru securitatea informatiei 1. Belov E.B. Fundamentele securității informațiilor. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Hotline - Telecom, 2006. - 544s Galatenko V.A. Standarde de securitate a informațiilor: un curs de prelegeri. Educational indemnizatie. - editia a 2-a. M.: INTUIT.RU „Internet University of Information Technologies”, 2009. - 264 p. Glatenko V.A. Standarde de securitate a informațiilor / Sisteme deschise 2006.- 264c Doljenko A.I. Managementul sistemelor informatice: Curs de formare. - Rostov-pe-Don: RGEU, 2008.-125 p. Kalashnikov A. Formarea unei politici corporative de securitate internă a informațiilor #"justifica">. Malyuk A.A. Securitatea informației: fundamente conceptuale și metodologice ale protecției informațiilor / M.2009-280s Mayvold E., Securitatea rețelei. Manual de autoinstruire // Ekom, 2009.-528 p. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Fundamentele suportului organizațional pentru securitatea informațională a obiectelor de informatizare // Helios ARV, 2008, 192 p.
