Diplomová práca o informačnej bezpečnosti (Bezpečnosť informačných systémov). Systém informačnej bezpečnosti Zoznam tém WRC o informačnej bezpečnosti
Podobné dokumenty
Relevantnosť otázok bezpečnosti informácií. Softvér a hardvér pre sieť Mineral LLC. Budovanie modelu podnikovej bezpečnosti a ochrany pred neoprávneným prístupom. Technické riešenia ochrany informačného systému.
práca, pridané 19.01.2015
Bezpečnosť informačného systému je jeho schopnosť odolávať rôznym vplyvom. Typy počítačových hrozieb, koncept neoprávneného prístupu. Vírusy a malvér. Metódy a prostriedky ochrany informačných systémov.
abstrakt, pridaný 14.11.2010
Klasifikácia hrozieb informačnej bezpečnosti. Chyby vo vývoji počítačových systémov, softvéru a hardvéru. Hlavné metódy získania neoprávneného prístupu (UNA) k informáciám. Spôsoby ochrany pred NSD. Virtuálne privátne siete.
kurzová práca, pridané 26.11.2013
Vonkajšie ohrozenia informačnej bezpečnosti, formy ich prejavu. Metódy a prostriedky ochrany pred priemyselnou špionážou, jej ciele: získavanie informácií o konkurentovi, ničenie informácií. Metódy neoprávneného prístupu k dôverným informáciám.
test, pridané 18.09.2016
Najbežnejšie spôsoby neoprávneného prístupu k informáciám, kanály ich úniku. Metódy ochrany informácií pred prírodnými (núdzovými) hrozbami a pred náhodnými hrozbami. Kryptografia ako prostriedok ochrany informácií. Priemyselná špionáž.
abstrakt, pridaný 06.04.2013
Pojem, význam a smery informačnej bezpečnosti. Systematický prístup k organizácii informačnej bezpečnosti, ktorá chráni informácie pred neoprávneným prístupom. Nástroje informačnej bezpečnosti. Metódy a systémy informačnej bezpečnosti.
abstrakt, pridaný 15.11.2011
Pojem a princípy informačnej bezpečnosti. Zváženie hlavných typov nebezpečných účinkov na počítačový systém. Klasifikácia kanálov pre neoprávnený prístup k počítačom. Charakteristika hardvérových a softvérových nástrojov informačnej bezpečnosti.
prezentácia, pridané 15.11.2011
Informačná bezpečnosť, jej ciele a zámery. Kanály úniku informácií. Softvérové a hardvérové metódy a prostriedky na ochranu informácií pred neoprávneným prístupom. Model bezpečnostných hrozieb pre informácie spracovávané v počítačovom zariadení.
práca, pridané 19.02.2017
Vplyv druhu činnosti podniku na organizáciu komplexného systému informačnej bezpečnosti. Zloženie chránených informácií. Potenciálne kanály pre neoprávnený prístup k organizačným informáciám. Efektívnosť systému informačnej bezpečnosti.
správa z praxe, doplnená 31.10.2013
Historické aspekty vzniku a vývoja informačnej bezpečnosti. Prostriedky informačnej bezpečnosti a ich klasifikácia. Druhy a princípy fungovania počítačových vírusov. Právny základ na ochranu informácií pred neoprávneným prístupom.
zameranie (profil) “Informačné systémy a technológie”
oblasti školenia 09.03.02 „Informačné systémy a technológie“
dizajnové a technologické,
servisné a prevádzkové.
1. Virtualizácia informačnej infraštruktúry podniku (názov podniku).
2. Integrácia podnikových informačných systémov založených na OS Linux a voľne distribuovanom DBMS.
3. Modernizácia a správa podnikového informačného systému podniku (názov podniku).
4. Modernizácia, správa a údržba informačnej siete podniku (názov podniku).
5. Modernizácia informačného a riadiaceho systému podniku (procesu) (názov podniku alebo procesu) a rozvoj opatrení na jeho podporu.
6. Vývoj intranetového portálu pre podnik (názov podniku).
7. Návrh podnikovej informačnej siete (názov podniku).
8. Návrh podnikového informačného systému pre podnik (názov podniku).
9. Vývoj a údržba podnikového webového portálu podniku (názov podniku).
10. Vývoj automatizovaného systému spracovania informácií pre podnik (názov podniku).
11. Vývoj prototypu podnikového informačného systému pre riadenie procesov (názov procesu alebo objektu).
12. Vývoj webovej služby pre informačný systém podniku (názov podniku).
13. Vývoj referenčného informačného systému pre podnik (názov podniku).
14. Vývoj modelu a návrhu systému riadenia podnikových informácií (názov podniku).
15. Vývoj technologického softvéru pre údržbu systému (názov systému).
16. Vývoj softvéru pre mikroprocesorové zariadenie (názov zariadenia).
17. Vývoj mobilnej klientskej aplikácie pre informačný systém podniku (názov podniku).
18. Vývoj simulačného modelu na optimalizáciu parametrov výrobného procesu.
19. Návrh virtuálnych serverov na základe nástrojov (názov virtualizačných nástrojov) a kanálov prenosu dát pre podnik (názov podniku).
20. Vývoj modulu (subsystému) (názov implementovanej funkcie) informačného (podnikového informačného) systému podniku (názov podniku).
vo vzdelávacom programe aplikovaného bakalárskeho stupňa
oblasti školenia 03/09/04 “Softvérové inžinierstvo”
výrobné a technologické,
organizačné a manažérske,
servisné a prevádzkové.
1. Vývoj aplikácie na parsovanie webovej stránky, sociálnej siete, portálu.
2. Návrh a softvérová implementácia informačného (informačného a referenčného) systému (účel alebo funkcia systému).
3. Vývoj firmvéru pre zariadenie (názov zariadenia).
4. Vývoj aplikačného softvéru pre systém (názov systému).
5. Vývoj softvérového informačného systému (názov oblasti použitia alebo implementovaného procesu).
6. Vývoj metód na testovanie a ladenie softvéru (názov softvéru).
7. Vývoj softvérového modulu (názov modulu) pre systém 1C: Enterprise (názov podniku).
8. Vývoj webovej služby pre systém riadenia podnikových informácií (názov podniku).
9. Vývoj aplikácie na podporu informačno-meracieho systému (účel systému).
10. Štúdium informačnej bezpečnosti webových služieb systému 1C:Enterprise.
11. Vývoj modulu (subsystému) (názov implementovanej funkcie) informačného (podnikového informačného) systému podniku (názov podniku).
12. Vývoj serverového (klientskeho) softvéru pre systém (názov systému).
Témy záverečných kvalifikačných prác
vo vzdelávacom programe aplikovaného bakalárskeho stupňa
zameranie (profil) “Informačná služba”
:služba,
1. Modernizácia, správa a údržba lokálnej siete podniku (názov podniku).
2. Modernizácia a správa podnikového informačného systému (názov podniku).
3. Návrh podnikového informačného systému (názov podniku).
4. Návrh a vývoj technológie pre prevádzku lokálnej siete podniku (názov podniku).
5. Návrh hardvérovej a softvérovej ochrany informačného systému podniku (názov podniku).
6. Vývoj techniky na diagnostiku, opravu a údržbu zariadenia (názov zariadenia, skupina prístrojov, meracia technika, počítačová jednotka, počítačový alebo mikroprocesorový systém, lokálna sieť).
7. Vývoj a správa webovej stránky spoločnosti (názov spoločnosti).
8. Vývoj konfigurácie servera pre sieť podniku na prenos údajov (názov podniku).
9. Vývoj a správa databázy podnikového informačného systému (názov podniku).
10. Vývoj intranetového portálu pre podnik (názov podniku).
11. Vývoj subsystému pre sledovanie výrobných procesov na platforme 1C:Enterprise.
12. Vypracovanie projektu distribuovaného informačného systému (názov systému) podniku (názov podniku).
13. Vývoj informačného a referenčného účtovného systému (názov účtovného objektu).
14. Vývoj služby WCF pre podnikový informačný systém.
15. Vývoj modelu podnikového informačného systému (názov alebo oblasť činnosti podniku).
16. Vývoj metód na testovanie a ladenie softvéru (názov softvéru).
17. Vypracovanie súboru opatrení na správu a údržbu softvérového informačného systému (názov oblasti použitia alebo implementovaného procesu).
18. Modelovanie a výskum systému prenosu dát (názov systému).
19. Výskum a optimalizácia parametrov distribuovaného informačného systému na platforme 1C:Enterprise.
20. Návrh divízie podniku (názov podniku) na opravu a údržbu elektronických (počítačových) zariadení a organizáciu prevádzky technických zariadení.
21. Návrh virtuálnych serverov na základe nástrojov (názov virtualizačných nástrojov) a kanálov prenosu dát pre podnik (názov podniku).
22. Vývoj serverového (klientskeho) softvéru pre systém (názov systému).
Témy záverečných kvalifikačných prác
vo vzdelávacom programe aplikovaného bakalárskeho stupňa
smerovosť (profil) "Servis elektronických zariadení"
oblasti školenia 03.43.01 „Servis“
Druhy odborných činností:služba,
výrobné a technologické.
1. Vývoj technológie na diagnostiku, opravu a údržbu zariadenia (názov elektronického zariadenia, mikroprocesor alebo telekomunikačný systém, meracie zariadenie, sieť na prenos dát).
2. Vývoj elektronického systému (názov systému) podniku (názov podniku, obchodné a kancelárske centrum, zábavný komplex).
3. Vývoj zariadenia na vstup/výstup informácií (názov zariadenia).
4. Vývoj softvéru pre mikroprocesorové zariadenie (názov zariadenia).
5. Rozvoj podnikovej telekomunikačnej siete pre podnik (názov podniku).
6. Vývoj digitálneho zariadenia (modulu) (názov zariadenia, modulu; názov implementovanej funkcie).
7. Vývoj napájacieho zariadenia pre elektronické zariadenia (názov zariadenia).
8. Vývoj technológie na monitorovanie (riadenie parametrov) objektov (názvov objektov).
9. Vývoj a výskum bezdrôtového senzora (názov meraného parametra).
10. Návrh divízie podniku (názov podniku) na opravu a údržbu elektronických (počítačových) zariadení a organizáciu prevádzky technických zariadení.
11. Vývoj subsystému (názov subsystému) integrovaného bezpečnostného systému pre podnik (názov podniku).
Témy záverečných kvalifikačných prác
vo vzdelávacom programe aplikovaného bakalárskeho stupňa
smerovosť (profil) „Prostriedky rádiového inžinierstva na prenos, príjem a spracovanie signálov“
oblasti školenia 03/11/01 “Rádiotechnika”
dizajn a inžinierstvo,
servisné a prevádzkové.
1. Vývoj zariadenia (blok, modul; prijímací, vysielací, transceiver) systému (názov systému).
2. Vývoj bezdrôtového rozhrania pre elektronické zariadenia (názov zariadenia).
3. Štúdium virtuálneho modelu zariadenia (uveďte typ zariadenia) v prostredí (názov softvérového prostredia).
4. Vývoj subsystému (názov subsystému) integrovaného podnikového bezpečnostného systému (názov podniku.
Témy záverečných kvalifikačných prác
vo vzdelávacom programe aplikovaného bakalárskeho stupňa
smerovosť (profil) "Mobilné komunikačné systémy"
oblasti školenia 11.03.02 „Infokomunikačné technológie a komunikačné systémy“
Druhy odborných činností:dizajn
1. Návrh telekomunikačnej siete pre podnik (názov podniku).
2. Správa a údržba telekomunikačnej siete podniku (názov podniku).
3. Vývoj bloku (kodek, vokodér, synchronizačné zariadenie, párovacie zariadenie) digitálneho telekomunikačného systému.
4. Vývoj adaptéra bezdrôtového rozhrania (názov rozhraní).
5. Vývoj systému zariadenia na spracovanie informácií (typ zariadenia) (názov systému).
6. Vývoj zariadenia na prepojenie systémov (názov systémov).
7. Vývoj systémového radiča (názov systému).
8. Vývoj synchronizačného zariadenia pre telekomunikačný systém (názov systému).
9. Vývoj technologického zariadenia na testovanie telekomunikačných zariadení (názov zariadenia).
10. Vývoj bezdrôtovej komunikačnej siete (segmentu siete) založenej na technológii (názov technológie).
11. Vývoj technológie pre vzdialené monitorovanie parametrov objektu (názov parametrov).
12. Vývoj senzorovej siete na monitorovanie stavu objektu (názov objektu).
13. Vývoj technológie na diagnostiku a meranie parametrov telekomunikačného zariadenia (názov zariadenia, systému, siete, prostredia).
14. Vývoj transceiveru pre systém (názov systému).
15. Vývoj telekomunikačných zariadení na diaľkové ovládanie objektu (názov objektu).
16. Vývoj merača parametrov pre komponenty telekomunikačných zariadení (názov komponentov).
17. Vývoj bezdrôtového informačného vstupno/výstupného zariadenia (názov zariadenia).
18. Vývoj hardvéru a softvéru pre infokomunikačné technológie (názov technológie).
19. Štúdium protokolov prenosu informácií v systéme (názov systému).
20. Výskum metód digitálneho spracovania signálov pre systém (názov systému).
21. Rozvoj infokomunikačnej techniky a systému facility managementu (názov zariadenia).
22. Vývoj bezdrôtového systému na meranie parametra (názov parametra).
23. Návrh virtuálnych serverov na základe nástrojov (názov virtualizačných nástrojov) a kanálov prenosu dát pre podnik (názov podniku).
Témy záverečných kvalifikačných prác
podľa vzdelávacieho programu stredného odborného vzdelávania
špecialita 09.02.01 „Počítačové systémy a komplexy“
Profesionálne moduly:PM.01 Dizajn digitálnych zariadení,
PM.02 Aplikácia mikroprocesorových systémov, inštalácia a konfigurácia periférneho školenia,
PM.03 Údržba a opravy počítačových systémov a komplexov.
1. Diagnostika porúch a sledovanie technického stavu zariadení (názov hardvéru a softvéru výpočtovej techniky alebo počítačovej siete).
2. Zostavenie, konfigurácia a nastavenie nástrojov (názov počítačového hardvéru a softvéru alebo počítačovej siete).
3. Vypracovanie súboru opatrení na zabezpečenie informačnej bezpečnosti počítačovej siete podniku (názov podniku).
4. Vývoj bezkontaktného identifikačného systému pre podnik (názov podniku).
5. Údržba a správa podnikového informačného systému (názov podniku).
6. Údržba a správa počítačovej siete podniku (názov podniku).
7. Údržba a podpora hardvéru a softvéru (názov počítačového hardvéru alebo počítačovej siete).
8. Inštalácia, prispôsobenie a údržba softvéru (názov softvéru).
9. Vývoj a výskum digitálneho (mikroprocesorového) zariadenia (modulu) (názov zariadenia, modulu).
10. Vývoj testovacej technológie a komplexné ladenie softvéru (názov softvéru).
Témy záverečných kvalifikačných prác pre absolventov
zameranie (profil) „Prvky a zariadenia výpočtovej techniky a informačných systémov“
oblasti vzdelávania 09.04.01 „Informatika a informatika“
Druhy odborných činností:dizajn,
vedecký výskum.
1. Modelovanie a výskum sieťových protokolov na prenos informácií (označuje sa typ informácie).
2. Výskum a vývoj počítačových metód na zlepšenie parametrov systému (uvádzajú sa parametre alebo parametre a typ systému).
3. Počítačové modelovanie, výskum a optimalizácia informačných alebo telekomunikačných systémov (uvádza sa trieda systémov).
4. Výskum a optimalizácia konštrukcie bezdrôtových senzorových sietí.
5. Výskum a analýza konštrukcie bezdrôtových sietí internetu vecí.
6. Vývoj kritérií efektívnosti a štúdia distribúcie virtuálnych strojov v rámci cloudovej infraštruktúry.
7. Vývoj, výskum a hodnotenie efektívnosti distribuovaných informačných (alebo informačno-meracích) systémov (uvádza sa oblasť použitia alebo typ systémov).
8. Vývoj a výskum bezdrôtového rozhrania pre zariadenia (názov zariadenia).
9. Vývoj a výskum zariadenia na sledovanie objektov (názov objektov).
10. Vývoj a výskum zariadení na monitorovanie stavu objektu (názov objektu).
11. Vývoj hardvérových a softvérových diagnostických nástrojov pre zariadenia (názvy zariadení).
12. Vývoj a výskum bezdrôtového senzora (názov meraného parametra).
13. Štúdium korekčných algoritmov pre prevodníky parametra (názov parametra) do kódu.
14. Vývoj algoritmov a softvéru na sledovanie parametrov systému facility managementu (názov zariadenia).
15. Vývoj a výskum bezdrôtových ovládacích zariadení pre objekt (názov objektu).
16. Modelovanie a výskum prevodníkov parametrov (názov parametrov).
17. Metódy hodnotenia kvality softvéru (je uvedený účel softvéru).
18. Štúdium fungovania zariadení (názvy zariadení) za podmienok (uvedené sú podmienky) s cieľom zlepšiť charakteristiky (uvedené sú charakteristiky).
19. Vývoj metód analýzy a syntézy zariadení (názvy zariadení) s cieľom zlepšiť charakteristiky (uvedené sú charakteristiky).
Témy záverečných kvalifikačných prác
v akademickom magisterskom programe
zameranie (profil) „Vývoj softvéru a informačných systémov“
oblasti školenia 09.04.04 “Softvérové inžinierstvo”
výskum,
dizajn
1. Vývoj a výskum služby REST na zobrazovanie rozvrhov na vysokých školách.
2. Výskum a vývoj nástrojov na testovanie softvéru pre mobilných operátorov.
3. Rozpoznanie fyziologického stavu človeka na základe teórie systémov s náhodnou štruktúrou.
4. Návrh informačného systému automatizácie predaja (názov podniku) na základe prístupu MDA.
5. Vývoj a výskum softvérového informačného systému na hodnotenie kvality softvéru (je uvedený názov softvéru).
6. Vývoj distribuovaného softvéru a informačných systémov (uvedený rozsah použitia systému) a výskum možností ich optimalizácie na základe kritérií efektívnosti (uvedené kritériá).
7. Vývoj softvéru na podporu vstupných/výstupných zariadení pre systém (názov systému).
8. Štúdia bezpečnosti komponentov softvérového informačného systému (názov systému).
Úvod
Kapitola 1. Teoretické aspekty osvojenia a informačnej bezpečnosti
1.1Pojem informačnej bezpečnosti 3 Metódy informačnej bezpečnosti Kapitola 2. Analýza systému informačnej bezpečnosti 1 Predmet činnosti spoločnosti a analýza finančných ukazovateľov 2 Popis systému informačnej bezpečnosti spoločnosti 3 Vypracovanie súboru opatrení na modernizáciu existujúceho systému informačnej bezpečnosti Záver Bibliografia Aplikácia Príloha 1. Súvaha za rok 2010 Príloha 1. Súvaha za rok 2010 Úvod Relevantnosť témy diplomovej práce je daná zvýšenou mierou problémov informačnej bezpečnosti, a to aj v kontexte rýchleho rastu technológií a nástrojov na ochranu dát. Vzhľadom na obmedzený podiel rozpočtu vyčleneného na informačné technológie nie je možné zabezpečiť 100 % úroveň ochrany podnikových informačných systémov pri správnom stanovení priorít úloh ochrany údajov. Spoľahlivá ochrana výpočtovej a sieťovej podnikovej infraštruktúry je základnou úlohou informačnej bezpečnosti každej spoločnosti. S rastom podnikania podniku a prechodom na geograficky distribuovanú organizáciu začína expandovať za hranice jedinej budovy. Efektívna ochrana IT infraštruktúry a podnikových aplikačných systémov je dnes nemožná bez zavedenia moderných technológií riadenia prístupu do siete. Narastajúce prípady krádeží médií obsahujúcich cenné obchodné informácie si čoraz viac vynucujú prijatie organizačných opatrení. Cieľom tejto práce bude zhodnotiť existujúci systém informačnej bezpečnosti v organizácii a vypracovať opatrenia na jeho zlepšenie. Tento cieľ určuje nasledujúce ciele diplomovej práce: ) zvážiť koncepciu informačnej bezpečnosti; ) zvážiť typy možných ohrození informačných systémov a možnosti ochrany pred možnými hrozbami úniku informácií v organizácii. ) identifikovať zoznam informačných zdrojov, ktorých porušenie integrity alebo dôvernosti povedie k najväčšej škode podniku; ) na ich základe vypracovať súbor opatrení na zlepšenie existujúceho systému informačnej bezpečnosti. Práca pozostáva z úvodu, dvoch kapitol, záveru, zoznamu použitých zdrojov a aplikácií. Úvod zdôvodňuje relevantnosť výskumnej témy a formuluje účel a ciele práce. Prvá kapitola rozoberá teoretické aspekty koncepcií informačnej bezpečnosti v organizácii. Druhá kapitola poskytuje stručný popis činnosti spoločnosti, kľúčové ukazovatele výkonnosti, popisuje súčasný stav systému informačnej bezpečnosti a navrhuje opatrenia na jeho zlepšenie. Na záver sú formulované hlavné výsledky a závery práce. Metodologickým a teoretickým východiskom diplomovej práce boli práce domácich a zahraničných odborníkov v oblasti informačnej bezpečnosti.Pri práci na diplomovej práci boli použité informácie, ktoré reflektovali obsah zákonov, legislatívnych aktov a nariadení, nariadení vlády č. Ruská federácia regulujúca informačnú bezpečnosť, medzinárodné štandardy informačnej bezpečnosti . Teoretický význam dizertačnej práce spočíva v implementácii integrovaného prístupu pri tvorbe politiky informačnej bezpečnosti. Praktický význam práce je daný tým, že jej výsledky umožňujú zvýšiť stupeň ochrany informácií v podniku prostredníctvom kompetentného návrhu politiky informačnej bezpečnosti. Kapitola 1. Teoretické aspekty osvojenia a informačnej bezpečnosti 1.1 Koncepcia informačnej bezpečnosti Informačná bezpečnosť sa vzťahuje na bezpečnosť informácií a ich podpornej infraštruktúry pred akýmikoľvek náhodnými alebo škodlivými vplyvmi, ktoré môžu viesť k poškodeniu samotných informácií, ich vlastníkov alebo podpornej infraštruktúry. Ciele informačnej bezpečnosti spočívajú v minimalizácii škôd, ako aj v predvídaní a predchádzaní takýmto dopadom. Parametre informačných systémov, ktoré potrebujú ochranu, možno rozdeliť do nasledujúcich kategórií: zabezpečenie integrity, dostupnosti a dôvernosti informačných zdrojov. dostupnosť je schopnosť získať v krátkom čase požadovanú informačnú službu; integrita je relevantnosť a konzistentnosť informácií, ich ochrana pred zničením a neoprávnenými zmenami; dôvernosť – ochrana pred neoprávneným prístupom k informáciám. Informačné systémy sú primárne vytvorené na získanie určitých informačných služieb. Ak sa získanie informácií z akéhokoľvek dôvodu stane nemožným, spôsobuje to škodu všetkým subjektom informačných vzťahov. Z toho môžeme určiť, že dostupnosť informácií je na prvom mieste. Integrita je hlavným aspektom informačnej bezpečnosti, keď presnosť a pravdivosť sú hlavnými parametrami informácií. Napríklad recepty na lieky alebo súbor a charakteristiky komponentov. Najrozvinutejšou zložkou informačnej bezpečnosti je u nás dôvernosť. Ale praktické vykonávanie opatrení na zabezpečenie dôvernosti moderných informačných systémov čelí v Rusku veľkým ťažkostiam. Po prvé, informácie o technických kanáloch úniku informácií sú uzavreté, takže väčšina používateľov nemôže získať predstavu o možných rizikách. Po druhé, existuje množstvo legislatívnych prekážok a technických problémov, ktoré stoja v ceste zákazkovej kryptografii ako primárnemu prostriedku na zabezpečenie súkromia. Činnosti, ktoré môžu spôsobiť poškodenie informačného systému, možno rozdeliť do niekoľkých kategórií. cielená krádež alebo zničenie údajov na pracovnej stanici alebo serveri; Poškodenie údajov používateľom v dôsledku neopatrných akcií. . „Elektronické“ metódy ovplyvňovania vykonávané hackermi. Hackeri sú chápaní ako ľudia, ktorí sa zapájajú do počítačových zločinov profesionálne (aj ako súčasť súťaže) a jednoducho zo zvedavosti. Tieto metódy zahŕňajú: neoprávnený vstup do počítačových sietí; Účelom neoprávneného vstupu do podnikovej siete zvonku môže byť spôsobenie škody (zničenie údajov), odcudzenie dôverných informácií a ich použitie na nezákonné účely, použitie sieťovej infraštruktúry na organizovanie útokov na uzly tretích strán, krádeže finančných prostriedkov z účtov , atď. Útok DOS (skrátene od Denial of Service) je externý útok na uzly podnikovej siete zodpovedný za jej bezpečnú a efektívnu prevádzku (súbor, poštové servery). Útočníci organizujú masívne posielanie dátových paketov do týchto uzlov, aby ich preťažili a v dôsledku toho na nejaký čas vyradili z činnosti. To spravidla znamená narušenie obchodných procesov spoločnosti, ktorá je obeťou, stratu zákazníkov, poškodenie dobrého mena atď. Počítačové vírusy. Samostatnou kategóriou elektronických metód ovplyvňovania sú počítačové vírusy a iné škodlivé programy. Predstavujú skutočné nebezpečenstvo pre moderné podniky, ktoré vo veľkej miere využívajú počítačové siete, internet a e-mail. Preniknutie vírusu do uzlov podnikovej siete môže viesť k narušeniu ich fungovania, strate pracovného času, strate dát, krádeži dôverných informácií a dokonca aj priamej krádeži finančných prostriedkov. Vírusový program, ktorý prenikol do podnikovej siete, môže útočníkom poskytnúť čiastočnú alebo úplnú kontrolu nad aktivitami spoločnosti. Nevyžiadaná pošta. Za pár rokov sa spam rozrástol z drobného podráždenia na jednu z najzávažnejších bezpečnostných hrozieb: e-mail sa nedávno stal hlavným kanálom na šírenie škodlivého softvéru; spam si vyžaduje veľa času na prezeranie a následné mazanie správ, čo spôsobuje zamestnancom pocit psychickej nepohody; jednotlivci aj organizácie sa stávajú obeťami podvodných schém, ktoré vykonávajú spameri (obete sa často snažia takéto udalosti nezverejniť); dôležitá korešpondencia sa často odstraňuje spolu so spamom, čo môže viesť k strate zákazníkov, porušeniu zmlúv a iným nepríjemným následkom; nebezpečenstvo straty korešpondencie sa zvyšuje najmä pri používaní čiernych zoznamov RBL a iných „hrubých“ metód filtrovania spamu. "Prirodzené" hrozby. Bezpečnosť informácií spoločnosti môže byť ovplyvnená rôznymi vonkajšími faktormi: strata údajov môže byť spôsobená nesprávnym ukladaním, krádežou počítačov a médií, vyššou mocou atď. Systém riadenia informačnej bezpečnosti (ISMS alebo Information Security Management System) umožňuje riadiť súbor opatrení, ktoré implementujú určitú zamýšľanú stratégiu, v tomto prípade vo vzťahu k informačnej bezpečnosti. Všimnite si, že nehovoríme len o správe existujúceho systému, ale aj o vybudovaní nového/prerobení starého. Súbor opatrení zahŕňa organizačné, technické, fyzické a iné. Riadenie informačnej bezpečnosti je komplexný proces, ktorý umožňuje zaviesť čo najefektívnejšie a najkomplexnejšie riadenie informačnej bezpečnosti v spoločnosti. Cieľom riadenia informačnej bezpečnosti je zachovať dôvernosť, integritu a dostupnosť informácií. Jedinou otázkou je, aký druh informácií je potrebné chrániť a aké úsilie treba vynaložiť na zaistenie ich bezpečnosti. Akékoľvek riadenie je založené na uvedomení si situácie, v ktorej sa vyskytuje. Z hľadiska analýzy rizík sa informovanosť o situácii prejavuje inventarizáciou a hodnotením majetku organizácie a jej prostredia, teda všetkého, čo zabezpečuje výkon podnikateľskej činnosti. Z hľadiska analýzy rizík informačnej bezpečnosti patria medzi hlavné aktíva informácie, infraštruktúra, personál, imidž a reputácia spoločnosti. Bez inventarizácie majetku na úrovni podnikateľskej činnosti nie je možné odpovedať na otázku, čo presne je potrebné chrániť. Je dôležité pochopiť, aké informácie sa spracúvajú v rámci organizácie a kde sa spracúvajú. Vo veľkej modernej organizácii môže byť počet informačných aktív veľmi veľký. Ak sú aktivity organizácie automatizované pomocou ERP systému, potom môžeme povedať, že takmer každý materiálny objekt použitý v tejto činnosti zodpovedá nejakému druhu informačného objektu. Prvoradou úlohou riadenia rizík je preto identifikovať najvýznamnejšie aktíva. Nie je možné vyriešiť tento problém bez zapojenia manažérov hlavnej činnosti organizácie, strednej aj vyššej úrovne. Optimálna situácia je, keď vrcholový manažment organizácie osobne nastavuje najkritickejšie oblasti činnosti, pre ktoré je mimoriadne dôležité zabezpečiť informačnú bezpečnosť. Názor vrcholového manažmentu na priority pri zabezpečovaní informačnej bezpečnosti je veľmi dôležitý a cenný v procese analýzy rizík, no v každom prípade by mal byť objasnený zberom informácií o kritickosti aktív na priemernej úrovni riadenia spoločnosti. Zároveň je vhodné vykonať ďalšiu analýzu práve v oblastiach podnikateľskej činnosti určených vrcholovým manažmentom. Prijaté informácie sú spracované, agregované a odoslané vrcholovému manažmentu na komplexné posúdenie situácie. Informácie možno identifikovať a lokalizovať na základe opisu obchodných procesov, v ktorých sa informácie považujú za jeden z typov zdrojov. Úloha je o niečo zjednodušená, ak organizácia prijala prístup k regulácii obchodných aktivít (napríklad na účely riadenia kvality a optimalizácie obchodných procesov). Formalizované popisy obchodných procesov sú dobrým východiskovým bodom pre inventarizáciu majetku. Ak neexistujú žiadne popisy, môžete majetok identifikovať na základe informácií získaných od zamestnancov organizácie. Po identifikácii aktív je potrebné určiť ich hodnotu. Práca na určovaní hodnoty informačných aktív v rámci celej organizácie je najvýznamnejšia a zároveň komplexná. Práve posudzovanie informačných aktív umožní vedúcemu oddelenia informačnej bezpečnosti vybrať si hlavné oblasti činnosti na zabezpečenie informačnej bezpečnosti. Ekonomická efektívnosť procesu riadenia informačnej bezpečnosti však do značnej miery závisí od uvedomenia si toho, čo je potrebné chrániť a aké úsilie to bude vyžadovať, pretože vo väčšine prípadov je vynaložené úsilie priamo úmerné množstvu vynaložených peňazí a prevádzkových nákladov. Riadenie rizík vám umožňuje odpovedať na otázku, kde môžete riskovať a kde nie. V prípade informačnej bezpečnosti pojem „riziko“ znamená, že v určitej oblasti je možné nevynakladať značné úsilie na ochranu informačných aktív a zároveň v prípade narušenia bezpečnosti organizácia neutrpí značné straty. Tu môžeme nakresliť analógiu s ochrannými triedami automatizovaných systémov: čím výraznejšie sú riziká, tým prísnejšie by mali byť požiadavky na ochranu. Ak chcete určiť dôsledky narušenia bezpečnosti, musíte mať buď informácie o zaznamenaných incidentoch podobného charakteru, alebo vykonať analýzu scenára. Analýza scenárov skúma vzťahy príčin a následkov medzi udalosťami zabezpečenia majetku a dôsledkami týchto udalostí na obchodné aktivity organizácie. Dôsledky scenárov by malo posúdiť niekoľko ľudí, iteračne alebo zámerne. Treba poznamenať, že vývoj a hodnotenie takýchto scenárov nemožno úplne oddeliť od reality. Vždy si musíte pamätať, že scenár musí byť pravdepodobný. Kritériá a stupnice na určenie hodnoty sú individuálne pre každú organizáciu. Na základe výsledkov analýzy scenárov možno získať informácie o hodnote aktív. Ak sa identifikujú aktíva a určí sa ich hodnota, môžeme povedať, že ciele poskytovania informačnej bezpečnosti sú čiastočne stanovené: sú určené predmety ochrany a dôležitosť ich udržiavania v stave informačnej bezpečnosti pre organizáciu. Zostáva snáď už len určiť, pred kým treba byť chránený. Po určení cieľov riadenia informačnej bezpečnosti by ste mali analyzovať problémy, ktoré vám bránia priblížiť sa k cieľovému stavu. Na tejto úrovni proces analýzy rizík klesá k informačnej infraštruktúre a tradičným konceptom informačnej bezpečnosti – votrelci, hrozby a zraniteľnosti. Na posúdenie rizík nestačí zaviesť štandardný model porušovateľa, ktorý rozdelí všetkých porušovateľov podľa typu prístupu k majetku a znalosti štruktúry majetku. Toto rozdelenie pomáha určiť, aké hrozby môžu byť zamerané na aktívum, ale neodpovedá na otázku, či sa tieto hrozby dajú v zásade realizovať. V procese analýzy rizík je potrebné posúdiť motiváciu porušovateľov pri implementácii hrozieb. V tomto prípade sa porušovateľom nemyslí abstraktný externý hacker alebo insider, ale strana, ktorá má záujem získať výhody narušením zabezpečenia majetku. Prvotné informácie o modeli páchateľa je vhodné získať, rovnako ako v prípade výberu počiatočných smerov aktivít informačnej bezpečnosti, od vrcholového manažmentu, ktorý rozumie pozícii organizácie na trhu, má informácie o konkurentoch a o tom, aké metódy ovplyvňovania môžu byť očakávané od nich. Informácie potrebné na vytvorenie modelu narušiteľa možno získať aj zo špecializovaného výskumu narušení počítačovej bezpečnosti v obchodnej oblasti, pre ktorú sa vykonáva analýza rizík. Správne vyvinutý model narušiteľa dopĺňa ciele informačnej bezpečnosti stanovené pri hodnotení aktív organizácie. Vývoj modelu hrozby a identifikácia slabých miest sú neoddeliteľne spojené s inventarizáciou prostredia informačných aktív organizácie. Samotné informácie sa neukladajú ani nespracúvajú. Prístup k nemu je zabezpečený pomocou informačnej infraštruktúry, ktorá automatizuje obchodné procesy organizácie. Je dôležité pochopiť, ako spolu súvisia informačná infraštruktúra organizácie a informačné aktíva. Z pohľadu riadenia informačnej bezpečnosti možno význam informačnej infraštruktúry konštatovať až po určení vzťahu medzi informačnými aktívami a infraštruktúrou. Ak sú procesy údržby a prevádzky informačnej infraštruktúry v organizácii regulované a transparentné, zber informácií potrebných na identifikáciu hrozieb a hodnotenie zraniteľností sa výrazne zjednoduší. Vývoj modelu hrozby je úlohou pre profesionálov v oblasti informačnej bezpečnosti, ktorí dobre rozumejú tomu, ako môže útočník získať neoprávnený prístup k informáciám prelomením bezpečnostného perimetra alebo použitím metód sociálneho inžinierstva. Pri vývoji modelu hrozby môžete hovoriť aj o scenároch ako o postupných krokoch, podľa ktorých je možné hrozby realizovať. Veľmi zriedkavo sa stáva, že hrozby sú implementované v jednom kroku s využitím jediného zraniteľného bodu v systéme. Model hrozby by mal zahŕňať všetky hrozby identifikované prostredníctvom súvisiacich procesov riadenia informačnej bezpečnosti, ako je riadenie zraniteľnosti a incidentov. Je potrebné mať na pamäti, že hrozby bude potrebné zoradiť voči sebe navzájom podľa úrovne pravdepodobnosti ich implementácie. Na to je potrebné v procese vývoja modelu hrozby pre každú hrozbu uviesť najvýznamnejšie faktory, ktorých existencia ovplyvňuje jej implementáciu. Bezpečnostná politika je založená na analýze rizík, ktoré sú pre informačný systém organizácie uznané ako reálne. Po analýze rizík a stanovení stratégie ochrany sa vypracuje program informačnej bezpečnosti. Na tento program sa vyčleňujú zdroje, určujú sa zodpovedné osoby, určuje sa postup kontroly plnenia programu atď. V širšom zmysle je bezpečnostná politika definovaná ako systém zdokumentovaných manažérskych rozhodnutí na zaistenie bezpečnosti organizácie. V užšom zmysle sa bezpečnostná politika zvyčajne chápe ako miestny regulačný dokument, ktorý definuje bezpečnostné požiadavky, systém opatrení alebo postup, ako aj zodpovednosti zamestnancov organizácie a kontrolné mechanizmy pre určitú oblasť bezpečnosti. Skôr ako začneme formulovať samotnú politiku informačnej bezpečnosti, je potrebné pochopiť základné pojmy, s ktorými budeme operovať. Informácie – informácie (správy, údaje) bez ohľadu na formu ich prezentácie. Dôvernosť informácií je povinnou požiadavkou pre osobu, ktorá získala prístup k určitým informáciám, aby tieto informácie neprenášala tretím stranám bez súhlasu ich vlastníka. Informačná bezpečnosť (IS) je stav bezpečnosti informačného prostredia spoločnosti, ktorý zabezpečuje jeho formovanie, využívanie a rozvoj v záujme občanov, organizácií a štátov. Pojem „informácie“ sa dnes používa pomerne široko a všestranne. Zabezpečenie informačnej bezpečnosti nemôže byť jednorazový úkon. Ide o nepretržitý proces pozostávajúci z odôvodňovania a implementácie najracionálnejších metód, metód a spôsobov zlepšovania a rozvoja bezpečnostného systému, neustáleho monitorovania jeho stavu, zisťovania jeho slabých stránok a protiprávneho konania. Informačnú bezpečnosť je možné zabezpečiť len integrovaným využitím celej škály dostupných bezpečnostných prostriedkov vo všetkých konštrukčných prvkoch výrobného systému a vo všetkých etapách technologického cyklu spracovania informácií. Najväčší efekt sa dosiahne vtedy, keď sa všetky použité prostriedky, metódy a opatrenia spoja do jediného integrálneho mechanizmu – systému informačnej bezpečnosti. Fungovanie systému je zároveň potrebné sledovať, aktualizovať a dopĺňať v závislosti od zmien vonkajších a vnútorných podmienok. Podľa normy GOST R ISO/IEC 15408:2005 možno rozlíšiť nasledujúce typy bezpečnostných požiadaviek: funkčné, zodpovedajúce aktívnemu aspektu ochrany, požiadavky na bezpečnostné funkcie a mechanizmy, ktoré ich realizujú; požiadavky dôvery zodpovedajúce pasívnemu aspektu kladenému na technológiu a proces vývoja a prevádzky. Je veľmi dôležité, aby sa bezpečnosť v tomto štandarde neuvažovala staticky, ale vo vzťahu k životnému cyklu posudzovaného objektu. Rozlišujú sa tieto stupne: určenie účelu, podmienok používania, cieľov a bezpečnostných požiadaviek; dizajn a vývoj; testovanie, hodnotenie a certifikácia; implementáciu a prevádzku. Pozrime sa teda bližšie na požiadavky na funkčnú bezpečnosť. Zahŕňajú: ochrana údajov používateľa; ochrana bezpečnostných funkcií (požiadavky sa týkajú integrity a kontroly týchto bezpečnostných služieb a mechanizmov, ktoré ich implementujú); riadenie bezpečnosti (požiadavky tejto triedy sa týkajú riadenia bezpečnostných atribútov a parametrov); bezpečnostný audit (identifikácia, evidencia, uchovávanie, analýza údajov ovplyvňujúcich bezpečnosť hodnoteného objektu, reakcia na možné porušenie bezpečnosti); súkromie (ochrana užívateľa pred zverejnením a neoprávneným použitím jeho identifikačných údajov); využívanie zdrojov (požiadavky na dostupnosť informácií); komunikácia (overenie osôb zapojených do výmeny údajov); dôveryhodná cesta/kanál (na komunikáciu s bezpečnostnými službami). V súlade s týmito požiadavkami je potrebné formulovať systém informačnej bezpečnosti organizácie. Systém informačnej bezpečnosti organizácie zahŕňa tieto oblasti: regulačné; organizačný (administratívny); technické; softvér; Na úplné zhodnotenie situácie v podniku vo všetkých oblastiach bezpečnosti je potrebné vypracovať koncepciu informačnej bezpečnosti, ktorá by stanovila systematický prístup k problému bezpečnosti informačných zdrojov a predstavovala systematické stanovovanie cieľov, zámerov, princípov návrhu a súbor opatrení na zabezpečenie informačnej bezpečnosti v podniku. Systém riadenia podnikovej siete by mal byť založený na nasledujúcich princípoch (úlohách): zabezpečenie ochrany existujúcej informačnej infraštruktúry podniku pred narušiteľmi; zabezpečenie podmienok na lokalizáciu a minimalizáciu možných škôd; eliminácia vzniku zdrojov hrozieb v počiatočnej fáze; zabezpečenie ochrany informácií pred tromi hlavnými typmi vznikajúcich hrozieb (dostupnosť, integrita, dôvernosť); Vyriešenie vyššie uvedených problémov sa dosiahne: regulácia akcií používateľa pri práci s informačným systémom; regulácia akcií používateľa pri práci s databázou; jednotné požiadavky na spoľahlivosť hardvéru a softvéru; postupy pri monitorovaní prevádzky informačného systému (logovanie udalostí, analýza protokolov, analýza sieťovej prevádzky, analýza prevádzky technických zariadení); Politika informačnej bezpečnosti zahŕňa: hlavným dokumentom je „Bezpečnostná politika“. Vo všeobecnosti popisuje bezpečnostnú politiku organizácie, všeobecné ustanovenia a uvádza aj príslušné dokumenty pre všetky aspekty politiky; pokyny na reguláciu práce používateľov; popis práce pre správcu lokálnej siete; popis práce správcu databázy; pokyny na prácu s internetovými zdrojmi; pokyny na organizáciu ochrany heslom; pokyny na organizáciu antivírusovej ochrany. Dokument Bezpečnostná politika obsahuje hlavné ustanovenia. Na jeho základe sa buduje program informačnej bezpečnosti, stavajú sa popisy práce a odporúčania. Pokyny na reguláciu práce používateľov lokálnej siete organizácie upravujú postup pri umožňovaní používateľom pracovať v lokálnej počítačovej sieti organizácie, ako aj pravidlá nakladania s chránenými informáciami spracúvanými, uchovávanými a prenášanými v organizácii. Popis úlohy správcu lokálnej siete popisuje povinnosti správcu lokálnej siete týkajúce sa informačnej bezpečnosti. Popis práce správcu databázy definuje hlavné zodpovednosti, funkcie a práva správcu databázy. Veľmi podrobne popisuje všetky pracovné povinnosti a funkcie správcu databázy, ako aj práva a povinnosti. Pokyny na prácu s internetovými zdrojmi odrážajú základné pravidlá bezpečnej práce s internetom a obsahujú aj zoznam prijateľných a neprijateľných činností pri práci s internetovými zdrojmi. Pokyny na organizáciu antivírusovej ochrany definujú základné ustanovenia, požiadavky na organizáciu antivírusovej ochrany informačného systému organizácie, všetky aspekty súvisiace s prevádzkou antivírusového softvéru, ako aj zodpovednosť v prípade porušenia antivírusovej ochrany. -ochrana pred vírusom. Pokyny na organizáciu ochrany heslom upravujú organizačnú a technickú podporu procesov generovania, zmeny a ukončenia hesiel (vymazanie používateľských účtov). Regulované sú aj činnosti používateľov a personálu údržby pri práci so systémom. Základom organizácie procesu ochrany informácií je teda bezpečnostná politika, formulovaná s cieľom určiť, pred akými hrozbami a akým spôsobom sú informácie v informačnom systéme chránené. Bezpečnostná politika sa vzťahuje na súbor právnych, organizačných a technických opatrení na ochranu informácií prijatých v konkrétnej organizácii. To znamená, že bezpečnostná politika obsahuje mnoho podmienok, za ktorých užívatelia získajú prístup k systémovým prostriedkom bez straty vlastností informačnej bezpečnosti tohto systému. Problém zabezpečenia informačnej bezpečnosti je potrebné riešiť systémovo. To znamená, že rôzne ochrany (hardvérová, softvérová, fyzická, organizačná atď.) musia byť aplikované súčasne a pod centralizovanou kontrolou. Dnes existuje veľký arzenál metód na zabezpečenie informačnej bezpečnosti: prostriedky identifikácie a autentifikácie používateľov; Prostriedky na šifrovanie informácií uložených v počítačoch a prenášaných cez siete; brány firewall; virtuálne súkromné siete; nástroje na filtrovanie obsahu; nástroje na kontrolu integrity obsahu disku; nástroje antivírusovej ochrany; systémy na detekciu zraniteľnosti siete a analyzátory sieťových útokov. Každý z uvedených nástrojov môže byť použitý buď samostatne, alebo v integrácii s ostatnými. To umožňuje vytvárať systémy informačnej bezpečnosti pre siete akejkoľvek zložitosti a konfigurácie, nezávisle od použitých platforiem. Systém autentifikácie (alebo identifikácie), autorizácie a správy. Identifikácia a autorizácia sú kľúčovými prvkami informačnej bezpečnosti. Funkcia autorizácie je zodpovedná za to, ku ktorým zdrojom má konkrétny používateľ prístup. Funkciou správy je poskytnúť používateľovi určité identifikačné charakteristiky v rámci danej siete a určiť rozsah akcií, ktoré sú pre neho povolené. Šifrovacie systémy umožňujú minimalizovať straty v prípade neoprávneného prístupu k údajom uloženým na pevnom disku alebo inom médiu, ako aj zachytenie informácií pri odosielaní e-mailom alebo prenose prostredníctvom sieťových protokolov. Účelom tohto ochranného nástroja je zabezpečiť dôvernosť. Hlavnými požiadavkami na šifrovacie systémy sú vysoká úroveň kryptografickej sily a legálnosť používania na území Ruska (alebo iných štátov). Firewall je systém alebo kombinácia systémov, ktoré tvoria ochrannú bariéru medzi dvoma alebo viacerými sieťami, aby zabránili neoprávneným dátovým paketom vstúpiť do siete alebo ju opustiť. Základným princípom fungovania firewallov je kontrola každého dátového paketu na zhodu prichádzajúcich a odchádzajúcich IP adries s databázou povolených adries. Firewally tak výrazne rozširujú možnosti segmentovania informačných sietí a riadenia obehu dát. Keď hovoríme o kryptografii a firewalloch, mali by sme spomenúť bezpečné virtuálne privátne siete (VPN). Ich použitie umožňuje riešiť problémy dôvernosti a integrity údajov pri prenose cez otvorené komunikačné kanály. Používanie VPN možno zredukovať na riešenie troch hlavných problémov: ochrana informačných tokov medzi rôznymi kanceláriami spoločnosti (informácie sú šifrované iba na výstupe do vonkajšej siete); bezpečný prístup používateľov vzdialenej siete k informačným zdrojom spoločnosti, zvyčajne prostredníctvom internetu; ochrana informačných tokov medzi jednotlivými aplikáciami v rámci podnikových sietí (tento aspekt je tiež veľmi dôležitý, keďže väčšina útokov prebieha z interných sietí). Účinným prostriedkom ochrany pred stratou dôverných informácií je filtrovanie obsahu prichádzajúcich a odchádzajúcich e-mailov. Preverovanie samotných e-mailových správ a ich príloh na základe pravidiel stanovených organizáciou tiež pomáha chrániť spoločnosti pred zodpovednosťou v súdnych sporoch a chráni ich zamestnancov pred spamom. Nástroje na filtrovanie obsahu umožňujú skenovať súbory všetkých bežných formátov vrátane komprimovaných a grafických súborov. Priepustnosť siete zároveň zostáva prakticky nezmenená. Všetky zmeny na pracovnej stanici alebo serveri môže sledovať správca siete alebo iný oprávnený používateľ vďaka technológii kontroly integrity obsahu pevného disku (kontrola integrity). To vám umožní zistiť akékoľvek akcie so súbormi (zmena, vymazanie alebo jednoduché otvorenie) a identifikovať vírusovú aktivitu, neoprávnený prístup alebo krádež údajov oprávnenými používateľmi. Kontrola sa vykonáva na základe analýzy kontrolných súčtov súborov (CRC súčtov). Moderné antivírusové technológie umožňujú identifikovať takmer všetky už známe vírusové programy porovnaním kódu podozrivého súboru so vzorkami uloženými v antivírusovej databáze. Okrem toho boli vyvinuté technológie modelovania správania, ktoré umožňujú odhaliť novovytvorené vírusové programy. Zistené objekty môžu byť ošetrené, izolované (umiestnené do karantény) alebo vymazané. Antivírusovú ochranu je možné nainštalovať na pracovné stanice, súborové a poštové servery, firewally bežiace pod takmer akýmkoľvek bežným operačným systémom (systémy Windows, Unix a Linux, Novell) na rôznych typoch procesorov. Spamové filtre výrazne znižujú neproduktívne mzdové náklady spojené s analýzou spamu, znižujú návštevnosť a zaťaženie servera, zlepšujú psychologické zázemie v tíme a znižujú riziko zapletenia zamestnancov spoločnosti do podvodných transakcií. Filtre nevyžiadanej pošty navyše znižujú riziko infekcie novými vírusmi, pretože správy obsahujúce vírusy (aj tie, ktoré ešte nie sú zahrnuté v databázach antivírusových programov) majú často známky spamu a sú odfiltrované. Je pravda, že pozitívny účinok filtrovania nevyžiadanej pošty môže byť negovaný, ak filter spolu s nevyžiadanými správami odstráni alebo označí ako spam a užitočné správy, obchodné alebo osobné. Obrovské škody, ktoré firmám spôsobujú vírusy a hackerské útoky, sú do značnej miery dôsledkom nedostatkov v používanom softvéri. Môžu byť identifikované vopred, bez čakania na skutočný útok, pomocou systémov na detekciu zraniteľnosti počítačovej siete a analyzátorov sieťových útokov. Takýto softvér bezpečne simuluje bežné útoky a metódy prieniku a určuje, čo môže hacker v sieti vidieť a ako môže využiť jej zdroje. Na boj proti prírodným hrozbám informačnej bezpečnosti musí spoločnosť vyvinúť a implementovať súbor postupov na predchádzanie núdzovým situáciám (napríklad na zabezpečenie fyzickej ochrany údajov pred požiarom) a na minimalizáciu škôd, ak takáto situácia nastane. Jednou z hlavných metód ochrany pred stratou dát je zálohovanie s prísnym dodržiavaním stanovených postupov (pravidelnosť, typy médií, spôsoby ukladania kópií a pod.). Politika informačnej bezpečnosti je balík dokumentov upravujúcich prácu zamestnancov, popisujúcich základné pravidlá pre prácu s informáciami, informačnými systémami, databázami, lokálnymi sieťami a internetovými zdrojmi. Je dôležité pochopiť, aké miesto zaujíma politika informačnej bezpečnosti v celkovom systéme riadenia organizácie. Nasledujú všeobecné organizačné opatrenia súvisiace s bezpečnostnou politikou. Na procesnej úrovni možno rozlíšiť tieto triedy opatrení: personálny manažment; fyzická ochrana; udržiavanie výkonu; reagovať na porušenia bezpečnosti; plánovanie reštaurátorských prác. Riadenie ľudských zdrojov začína náborom, ale ešte predtým by ste si mali určiť počítačové privilégiá spojené s pozíciou. Je potrebné mať na pamäti dve všeobecné zásady: segregácia povinností; minimalizácia privilégií. Princíp oddelenia povinností predpisuje, ako rozdeliť úlohy a zodpovednosti tak, aby jedna osoba nemohla narušiť proces kritický pre organizáciu. Napríklad je nežiaduce, aby jedna osoba uskutočňovala veľké platby v mene organizácie. Je bezpečnejšie dať pokyn jednému zamestnancovi, aby spracoval žiadosti o takéto platby, a druhému, aby tieto žiadosti certifikoval. Ďalším príkladom sú procedurálne obmedzenia akcií superužívateľa. Heslo superužívateľa môžete umelo „rozdeliť“ zdieľaním jeho prvej časti s jedným zamestnancom a druhej časti s iným. Potom môžu vykonávať kritické akcie na správu informačného systému iba spoločne, čo znižuje pravdepodobnosť chýb a zneužitia. Zásada najmenšieho privilégia vyžaduje, aby používatelia dostali iba tie prístupové práva, ktoré potrebujú na vykonávanie svojich pracovných povinností. Účel tohto princípu je zrejmý – znížiť škody spôsobené náhodným alebo úmyselným nesprávnym konaním. Predbežná príprava popisu práce vám umožňuje posúdiť jej kritickosť a naplánovať postup preverovania a výberu kandidátov. Čím zodpovednejšia je pozícia, tým dôkladnejšie musíte kandidátov kontrolovať: pýtajte sa na nich, možno sa porozprávajte s bývalými kolegami atď. Takýto postup môže byť zdĺhavý a nákladný, takže nemá zmysel ho ďalej komplikovať. Zároveň je nerozumné úplne odmietnuť predbežnú previerku, aby sa predišlo náhodnému prijatiu niekoho so záznamom v registri trestov alebo duševnou chorobou. Keď je kandidát identifikovaný, pravdepodobne bude musieť absolvovať školenie; prinajmenšom by mal byť dôkladne oboznámený s pracovnými povinnosťami a predpismi a postupmi informačnej bezpečnosti. Odporúča sa, aby pred nástupom do funkcie a pred založením svojho systémového účtu s prihlasovacím menom, heslom a privilégiami porozumel bezpečnostným opatreniam. Bezpečnosť informačného systému závisí od prostredia, v ktorom funguje. Je potrebné prijať opatrenia na ochranu budov a okolia, podpornej infraštruktúry, počítačového vybavenia a pamäťových médií. Uvažujme o nasledujúcich oblastiach fyzickej ochrany: kontrola fyzického prístupu; ochrana podpornej infraštruktúry; ochrana mobilných systémov. Opatrenia na kontrolu fyzického vstupu umožňujú kontrolovať a v prípade potreby obmedziť vstup a výstup zamestnancov a návštevníkov. Ovládať je možné celú budovu organizácie, ale aj jednotlivé priestory, napríklad tie, kde sú umiestnené servery, komunikačné zariadenia atď. Podporná infraštruktúra zahŕňa elektrické, vodovodné a tepelné systémy, klimatizáciu a komunikácie. V zásade sa na ne vzťahujú rovnaké požiadavky na integritu a dostupnosť ako na informačné systémy. Aby sa zabezpečila integrita, zariadenie musí byť chránené pred krádežou a poškodením. Ak chcete zachovať dostupnosť, mali by ste si vybrať zariadenie s maximálnym MTBF, duplikovať kritické komponenty a mať vždy po ruke náhradné diely. Vo všeobecnosti by sa pri výbere fyzických ochranných prostriedkov mala vykonať analýza rizík. Pri rozhodovaní o kúpe neprerušiteľného zdroja energie je teda potrebné vziať do úvahy kvalitu napájania v budove obývanej organizáciou (takmer určite sa však ukáže, že je nekvalitná), charakter a trvanie výpadky napájania, náklady na dostupné zdroje a možné straty z havárií (porucha zariadení, prerušenie práce organizácie a pod.) Uvažujme o množstve opatrení zameraných na zachovanie funkčnosti informačných systémov. Práve v tejto oblasti číha najväčšie nebezpečenstvo. Neúmyselné chyby systémových administrátorov a používateľov môžu viesť k strate výkonu, a to k poškodeniu zariadenia, zničeniu programov a dát. Toto je najhorší možný scenár. V najlepšom prípade vytvárajú bezpečnostné diery, ktoré umožňujú výskyt bezpečnostných hrozieb systému. Hlavným problémom mnohých organizácií je podceňovanie bezpečnostných faktorov pri každodennej práci. Drahé bezpečnostné funkcie nemajú zmysel, ak sú zle zdokumentované, sú v konflikte s iným softvérom a heslo správcu systému nebolo od inštalácie zmenené. Pri každodenných činnostiach zameraných na zachovanie funkčnosti informačného systému možno rozlíšiť tieto úkony: užívateľská podpora; softvérová podpora; správa konfigurácií; zálohovanie; správa médií; dokumentácia; rutinná práca. Užívateľská podpora zahŕňa predovšetkým konzultácie a pomoc pri riešení rôznych druhov problémov. Je veľmi dôležité vedieť identifikovať problémy súvisiace s informačnou bezpečnosťou v prúde otázok. Mnohé ťažkosti používateľov pracujúcich na osobných počítačoch teda môžu byť výsledkom vírusovej infekcie. Odporúča sa zaznamenávať otázky používateľov, aby sa identifikovali ich bežné chyby a vydávali pripomienky s odporúčaniami pre bežné situácie. Softvérová podpora je jedným z najdôležitejších prostriedkov na zabezpečenie integrity informácií. Najprv musíte sledovať, aký softvér je nainštalovaný na vašich počítačoch. Ak používatelia inštalujú programy podľa vlastného uváženia, môže to viesť k infekcii vírusmi, ako aj k vzniku nástrojov, ktoré obchádzajú ochranné opatrenia. Je tiež pravdepodobné, že „nezávislé aktivity“ používateľov postupne povedú k chaosu na ich počítačoch a správca systému bude musieť situáciu napraviť. Druhým aspektom softvérovej podpory je kontrola nad absenciou neoprávnených zmien programov a prístupových práv k nim. To zahŕňa aj podporu referenčných kópií softvérových systémov. Kontrola sa zvyčajne dosahuje kombináciou fyzických a logických kontrol prístupu, ako aj pomocou nástrojov na overenie a integritu. Správa konfigurácie vám umožňuje kontrolovať a zaznamenávať zmeny vykonané v konfigurácii softvéru. V prvom rade sa treba poistiť proti náhodným alebo nedomysleným úpravám a vedieť sa aspoň vrátiť k predchádzajúcej, fungujúcej verzii. Potvrdenie zmien uľahčí obnovenie aktuálnej verzie po katastrofe. Najlepším spôsobom, ako znížiť chyby v rutinnej práci, je čo najviac ju zautomatizovať. Automatizácia a bezpečnosť sú na sebe závislé, pretože ten, komu ide predovšetkým o uľahčenie svojej úlohy, je vlastne ten, kto optimálne formuje režim informačnej bezpečnosti. Zálohovanie je potrebné na obnovenie programov a údajov po katastrofách. A tu je vhodné automatizovať prácu minimálne vytvorením počítačového plánu na vytváranie úplných a prírastkových kópií a maximálne použitím vhodných softvérových produktov. Taktiež je potrebné zabezpečiť umiestnenie kópií na bezpečnom mieste, chránenom pred neoprávneným prístupom, požiarom, zatečením, teda pred všetkým, čo by mohlo viesť ku krádeži alebo poškodeniu nosiča. Odporúča sa mať niekoľko kópií záložných kópií a niektoré z nich uložiť mimo pracoviska, čím sa ochráni pred veľkými nehodami a podobnými incidentmi. Z času na čas by ste na testovacie účely mali skontrolovať možnosť obnovenia informácií z kópií. Správa médií je potrebná na zabezpečenie fyzickej bezpečnosti a účtovania diskiet, pások, tlačených výstupov atď. Správa médií musí zabezpečiť dôvernosť, integritu a dostupnosť informácií uložených mimo počítačových systémov. Fyzická ochrana tu znamená nielen odpudzovanie pokusov o neoprávnený prístup, ale aj ochranu pred škodlivými vplyvmi prostredia (teplo, chlad, vlhkosť, magnetizmus). Správa médií musí pokrývať celý životný cyklus, od obstarávania až po vyradenie z prevádzky. Dokumentácia je neoddeliteľnou súčasťou informačnej bezpečnosti. Takmer všetko je zdokumentované vo forme dokumentov – od bezpečnostnej politiky až po denník médií. Je dôležité, aby dokumentácia bola aktuálna, odrážala aktuálny stav a konzistentne. Požiadavky na dôvernosť sa vzťahujú na uchovávanie niektorých dokumentov (obsahujúcich napríklad analýzu systémových zraniteľností a hrozieb), zatiaľ čo iné, ako napríklad plán obnovy po havárii, podliehajú požiadavkám na integritu a dostupnosť (v kritickej situácii musí plán nájsť a prečítať). Rutinná práca predstavuje veľmi vážne bezpečnostné riziko. Zamestnanec vykonávajúci bežnú údržbu získava výhradný prístup do systému a v praxi je veľmi ťažké presne kontrolovať, aké úkony vykonáva. Tu sa dostáva do popredia miera dôvery v tých, ktorí prácu vykonávajú. Bezpečnostná politika prijatá organizáciou musí zabezpečiť súbor operačných opatrení zameraných na odhaľovanie a neutralizáciu porušení režimu informačnej bezpečnosti. Je dôležité, aby sa v takýchto prípadoch postupnosť činností naplánovala vopred, pretože opatrenia je potrebné prijať urýchlene a koordinovane. Reakcia na narušenia bezpečnosti má tri hlavné ciele: lokalizácia incidentu a zníženie škôd; predchádzanie opakovaným porušeniam. Požiadavka lokalizovať incident a znížiť škody sa často dostáva do konfliktu s túžbou identifikovať páchateľa. Bezpečnostná politika organizácie musí byť prioritou včas. Keďže, ako ukazuje prax, je veľmi ťažké identifikovať útočníka, podľa nášho názoru by sa v prvom rade malo postarať o zníženie škôd. Žiadna organizácia nie je imúnna voči vážnym nehodám spôsobeným prírodnými príčinami, zlomyseľným konaním, nedbalosťou alebo nekompetentnosťou. Každá organizácia má zároveň funkcie, ktoré manažment považuje za kritické a musia sa vykonávať bez ohľadu na to, čo. Plánovanie reštaurátorských prác umožňuje pripraviť sa na havárie, znížiť škody z nich a udržať schopnosť fungovať aspoň v minimálnej miere. Upozorňujeme, že opatrenia informačnej bezpečnosti možno rozdeliť do troch skupín podľa toho, či sú zamerané na predchádzanie, odhaľovanie alebo elimináciu následkov útokov. Väčšina opatrení má preventívny charakter. Proces plánovania obnovy možno rozdeliť do nasledujúcich etáp: identifikácia kritických funkcií organizácie, stanovenie priorít; identifikácia zdrojov potrebných na vykonávanie kritických funkcií; určenie zoznamu možných nehôd; vypracovanie stratégie obnovy; príprava na implementáciu zvolenej stratégie; kontrola stratégie. Pri plánovaní reštaurátorských prác by ste si mali uvedomiť, že nie vždy je možné úplne zachovať fungovanie organizácie. Je potrebné identifikovať kritické funkcie, bez ktorých organizácia stráca svoju tvár, a dokonca uprednostniť medzi kritickými funkciami, aby sa po nehode čo najrýchlejšie a s minimálnymi nákladmi obnovila práca. Pri identifikácii zdrojov potrebných na vykonávanie kritických funkcií nezabudnite, že mnohé z nich nemajú počítačovú povahu. V tejto fáze je vhodné zapojiť do práce špecialistov rôznych profilov. Existuje teda veľké množstvo rôznych metód na zabezpečenie informačnej bezpečnosti. Najefektívnejšie je použiť všetky tieto metódy v jedinom komplexe. V súčasnosti je moderný bezpečnostný trh presýtený nástrojmi informačnej bezpečnosti. Mnoho spoločností neustále študuje existujúce ponuky na trhu s bezpečnosťou a vidí nedostatočnosť predtým investovaných prostriedkov do systémov informačnej bezpečnosti, napríklad z dôvodu zastaranosti vybavenia a softvéru. Preto hľadajú riešenia tohto problému. Takéto možnosti môžu byť dve: na jednej strane kompletná výmena systému ochrany podnikových informácií, ktorá si vyžiada veľké investície, a na druhej modernizácia existujúcich bezpečnostných systémov. Posledná možnosť riešenia tohto problému je najmenej nákladná, prináša však nové problémy, vyžaduje si napríklad odpoveď na otázky: ako zabezpečiť kompatibilitu starých, zachovaných z existujúcich hardvérových a softvérových bezpečnostných nástrojov a nových prvkov informačný bezpečnostný systém; ako zabezpečiť centralizovanú správu heterogénnych bezpečnostných nástrojov; ako posúdiť a v prípade potreby prehodnotiť informačné riziká spoločnosti. Kapitola 2. Analýza systému informačnej bezpečnosti 1 Predmet činnosti spoločnosti a analýza finančných ukazovateľov OJSC Gazprom je globálna energetická spoločnosť. Hlavnými činnosťami sú geologický prieskum, výroba, preprava, skladovanie, spracovanie a predaj plynu, plynového kondenzátu a ropy, ako aj výroba a predaj tepla a elektriny. Gazprom vidí svoje poslanie v spoľahlivom, efektívnom a vyváženom zásobovaní spotrebiteľov zemným plynom, inými druhmi energetických zdrojov a ich spracovanými produktmi. Gazprom má najbohatšie zásoby zemného plynu na svete. Jeho podiel na svetových zásobách plynu je 18%, v ruštine - 70%. Gazprom predstavuje 15 % celosvetovej a 78 % ruskej produkcie plynu. V súčasnosti spoločnosť aktívne realizuje rozsiahle projekty rozvoja zdrojov plynu na polostrove Jamal, arktického šelfu, východnej Sibíri a Ďalekého východu, ako aj množstvo projektov na prieskum a ťažbu uhľovodíkov v zahraničí. Gazprom je spoľahlivým dodávateľom plynu pre ruských a zahraničných spotrebiteľov. Spoločnosť vlastní najväčšiu sieť na prepravu plynu na svete - Jednotný systém zásobovania plynom v Rusku, ktorého dĺžka presahuje 161 tisíc km. Gazprom predáva viac ako polovicu plynu, ktorý predáva na domácom trhu. Okrem toho spoločnosť dodáva plyn do 30 krajín blízkeho i vzdialeného zahraničia. Gazprom je jediným ruským výrobcom a vývozcom skvapalneného zemného plynu a zabezpečuje približne 5 % celosvetovej produkcie LNG. Spoločnosť je jedným z piatich najväčších producentov ropy v Ruskej federácii a zároveň je najväčším vlastníkom výrobných aktív na jej území. Ich celkový inštalovaný výkon predstavuje 17 % z celkového inštalovaného výkonu ruského energetického systému. Strategickým cieľom je vybudovať OAO Gazprom ako lídra medzi globálnymi energetickými spoločnosťami prostredníctvom rozvoja nových trhov, diverzifikácie aktivít a zabezpečenia spoľahlivosti dodávok. Zoberme si finančnú výkonnosť spoločnosti za posledné dva roky. Prevádzkové výsledky spoločnosti sú uvedené v prílohe 1. K 31. decembru 2010 dosiahli tržby z predaja 2 495 557 miliónov rubľov, toto číslo je oveľa nižšie v porovnaní s údajmi za rok 2011, tj 3 296 656 miliónov rubľov. Tržby z predaja (bez spotrebnej dane, DPH a cla) vzrástli o 801 099 miliónov RUB alebo 32 % za deväť mesiacov končiacich 30. septembra 2011 v porovnaní s rovnakým obdobím minulého roka, čo predstavuje 3 296 656 miliónov rubľov. Na základe výsledkov za rok 2011 čistý výnos z predaja plynu predstavoval 60 % celkových čistých výnosov z predaja (60 % za rovnaké obdobie minulého roka). Čistý príjem z predaja plynu sa zvýšil z 1 495 335 miliónov RUB. za rok až 1 987 330 miliónov rubľov. za rovnaké obdobie roku 2011, resp. o 33 %. Čistý výnos z predaja plynu do Európy a iných krajín vzrástol o 258 596 miliónov RUB alebo 34 % v porovnaní s rovnakým obdobím minulého roka a dosiahol 1 026 451 miliónov RUB. Celkový nárast predaja plynu do Európy a iných krajín bol spôsobený zvýšením priemerných cien. Priemerná cena v rubľoch (vrátane ciel) sa za deväť mesiacov končiacich 30. septembra 2011 zvýšila o 21 % v porovnaní s rovnakým obdobím roku 2010. Okrem toho sa objem predaja plynu zvýšil o 8 % v porovnaní s rovnakým obdobím minulého roka. Čistý príjem z predaja plynu do krajín bývalého Sovietskeho zväzu sa v rovnakom období v roku 2010 zvýšil o 168 538 miliónov rubľov alebo 58 % a dosiahol 458 608 miliónov rubľov. Táto zmena bola primárne spôsobená 33% nárastom predaja plynu do bývalého Sovietskeho zväzu za deväť mesiacov končiacich 30. septembra 2011 v porovnaní s rovnakým obdobím minulého roka. Okrem toho sa priemerná cena v rubľoch (vrátane cla, bez DPH) zvýšila o 15 % v porovnaní s rovnakým obdobím minulého roka. Čistý príjem z predaja plynu v Ruskej federácii vzrástol o 64 861 miliónov RUB alebo 15 % v porovnaní s rovnakým obdobím minulého roka a dosiahol 502 271 miliónov RUB. Je to spôsobené najmä zvýšením priemernej ceny plynu o 13 % v porovnaní s rovnakým obdobím minulého roka, s čím súvisí zvýšenie taríf stanovených Federálnou tarifnou službou (FTS). Čistý príjem z predaja ropných a plynových produktov (po odpočítaní spotrebnej dane, DPH a ciel) vzrástol o 213 012 miliónov rubľov alebo 42 % a dosiahol 717 723 miliónov rubľov. v porovnaní s rovnakým obdobím minulého roka. Tento nárast sa vysvetľuje najmä zvýšením svetových cien ropných a plynových produktov a zvýšením objemu predaja v porovnaní s rovnakým obdobím minulého roka. Príjmy skupiny Gazprom Neft dosiahli 85 % a 84 % celkových čistých príjmov z predaja ropných a plynových produktov. Čistý výnos z predaja elektrickej a tepelnej energie (bez DPH) vzrástol o 38 097 miliónov RUB alebo 19 % a dosiahol 237 545 miliónov RUB. Nárast tržieb z predaja elektrickej a tepelnej energie je spôsobený najmä zvýšením taríf za elektrickú a tepelnú energiu, ako aj nárastom objemu predaja elektrickej a tepelnej energie. Čistý príjem z predaja kondenzátu ropy a zemného plynu (po odpočítaní spotrebnej dane, DPH a cla) vzrástol o 23 072 miliónov RUB alebo 16 % a dosiahol 164 438 miliónov RUB. v porovnaní so 141 366 miliónmi RUB. za rovnaké obdobie minulého roka. Zmenu spôsobujú najmä rastúce ceny kondenzátu ropy a plynu. Zmenu navyše spôsobil nárast predaja kondenzátu plynu. Výnosy z predaja ropy dosiahli 133 368 miliónov RUB. a 121 675 miliónov rubľov. v čistých príjmoch z predaja ropy a plynového kondenzátu (po odpočítaní spotrebnej dane, DPH a cla) v roku 2011, resp. Čistý výnos z predaja služieb prepravy plynu (bez DPH) vzrástol o 15 306 miliónov RUB alebo 23 % a dosiahol 82 501 miliónov RUB v porovnaní so 67 195 miliónmi RUB. za rovnaké obdobie minulého roka. Tento rast je spôsobený najmä zvýšením taríf za prepravu plynu pre nezávislých dodávateľov, ako aj nárastom objemov plynu. ѐ mov prepravy plynu pre nezávislých dodávateľov v porovnaní s rovnakým obdobím minulého roka. Ostatné výnosy vzrástli o 19 617 miliónov RUB alebo 22 % a dosiahli 107 119 miliónov RUB. v porovnaní s 87 502 miliónmi RUB. za rovnaké obdobie minulého roka. Náklady na obchodné operácie bez skutočného dodania dosiahli 837 miliónov RUB. v porovnaní s príjmom 5 786 miliónov RUB. za rovnaké obdobie minulého roka. Prevádzkové náklady vzrástli o 23 % a dosiahli 2 119 289 miliónov RUB. v porovnaní s 1 726 604 miliónmi RUB. za rovnaké obdobie minulého roka. Podiel prevádzkových nákladov na tržbách sa znížil zo 69 % na 64 %. Mzdové náklady sa zvýšili o 18 % a dosiahli 267 377 miliónov RUB. v porovnaní s 227 500 miliónmi RUB. za rovnaké obdobie minulého roka. Nárast je spôsobený najmä rastom priemerných miezd. Odpisy za analyzované obdobie sa zvýšili o 9% alebo o 17 026 miliónov rubľov a dosiahli 201 636 miliónov rubľov v porovnaní so 184 610 miliónmi rubľov. za rovnaké obdobie minulého roka. Nárast bol spôsobený najmä rozšírením základne fixných aktív. V dôsledku vyššie uvedených faktorov sa zisk z predaja zvýšil o 401 791 miliónov RUB alebo 52 % a dosiahol 1 176 530 miliónov RUB. v porovnaní so 774 739 miliónmi RUB. za rovnaké obdobie minulého roka. Zisková marža z predaja sa za deväť mesiacov končiacich 30. septembra 2011 zvýšila z 31 % na 36 %. OJSC Gazprom je teda globálna energetická spoločnosť. Hlavnými činnosťami sú geologický prieskum, výroba, preprava, skladovanie, spracovanie a predaj plynu, plynového kondenzátu a ropy, ako aj výroba a predaj tepla a elektriny. Finančná situácia spoločnosti je stabilná. Ukazovatele výkonnosti vykazujú pozitívnu dynamiku. 2 Popis systému informačnej bezpečnosti spoločnosti Uvažujme o hlavných oblastiach činnosti divízií Corporate Protection Service OJSC Gazprom: vypracovanie cielených programov rozvoja systémov a komplexov inžiniersko-technického zabezpečenia (ITSE), systémov informačnej bezpečnosti (IS) OAO Gazprom a jeho dcérskych spoločností a organizácií, účasť na tvorbe investičného programu zameraného na zabezpečenie informačno-technických bezpečnosť; implementácia právomocí zákazníka na vývoj systémov informačnej bezpečnosti, ako aj systémov a komplexov ITSO; posudzovanie a schvaľovanie rozpočtových požiadaviek a rozpočtov na realizáciu opatrení na rozvoj systémov informačnej bezpečnosti, ITSO systémov a komplexov, ako aj na tvorbu IT z hľadiska systémov informačnej bezpečnosti; preskúmanie a schválenie projektovej a predprojektovej dokumentácie vývoja systémov informačnej bezpečnosti, systémov a komplexov ITSO, ako aj technických špecifikácií tvorby (modernizácie) informačných systémov, komunikačných a telekomunikačných systémov z hľadiska požiadaviek informačnej bezpečnosti; organizácia práce na posúdenie súladu systémov a komplexov ITSO, systémov informačnej bezpečnosti (ako aj prác a služieb na ich vytvorenie) so stanovenými požiadavkami; koordinácia a kontrola prác na technickej ochrane informácií. Gazprom vytvoril systém na zabezpečenie ochrany osobných údajov. Prijatie množstva regulačných právnych aktov federálnymi výkonnými orgánmi pri vývoji existujúcich zákonov a vládnych nariadení si však vyžaduje zlepšenie súčasného systému ochrany osobných údajov. V záujme riešenia tohto problému bolo vypracovaných a v rámci výskumných prác schvaľovaných množstvo dokumentov. V prvom rade ide o návrhy noriem Organizácie pre rozvoj Gazpromu: „Metodika klasifikácie informačných systémov osobných údajov spoločnosti OAO Gazprom, jej dcérskych spoločností a organizácií“; "Model ohrozenia osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov spoločnosti OAO Gazprom, jej dcérskych spoločností a organizácií." Tieto dokumenty boli vypracované s prihliadnutím na požiadavky nariadenia vlády Ruskej federácie zo 17. novembra 2007 č.781 „O schválení Nariadení o zaistení bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ v r. vzťah k triede špeciálnych systémov, medzi ktoré patrí väčšina OJSC ISPDn „Gazprom“. Okrem toho v súčasnosti prebieha príprava „Nariadení o organizácii a technickej podpore bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov spoločnosti OAO Gazprom, jej dcérskych spoločností a organizácií“. Je potrebné poznamenať, že v rámci štandardizačného systému OJSC Gazprom boli vyvinuté štandardy pre systém informačnej bezpečnosti, ktoré tiež umožnia riešiť problémy ochrany osobných údajov spracúvaných v informačných systémoch OJSC Gazprom. V tomto roku bolo schválených sedem štandardov súvisiacich so systémom informačnej bezpečnosti, ktoré sú uvedené do platnosti. Štandardy definujú základné požiadavky na budovanie systémov informačnej bezpečnosti pre OAO Gazprom a jej dcérske spoločnosti. Výsledky vykonanej práce umožnia racionálnejšie využívať materiálne, finančné a duševné zdroje, vytvoriť potrebnú regulačnú a metodickú podporu, zaviesť účinné prostriedky ochrany a v dôsledku toho zabezpečiť bezpečnosť osobných údajov spracúvaných v informačnom systéme. systémy OAO Gazprom. V dôsledku analýzy informačnej bezpečnosti OJSC Gazprom boli zistené tieto nedostatky pri zabezpečovaní informačnej bezpečnosti: organizácia nemá jediný dokument upravujúci komplexnú bezpečnostnú politiku; Vzhľadom na veľkosť siete a počet používateľov (viac ako 100) je potrebné poznamenať, že za správu systému, informačnú bezpečnosť a technickú podporu zodpovedá jedna osoba; neexistuje klasifikácia informačných aktív podľa stupňa dôležitosti; úlohy a zodpovednosti v oblasti bezpečnosti informácií nie sú zahrnuté v popisoch práce; v pracovnej zmluve uzatvorenej so zamestnancom nie je ustanovenie o povinnostiach zamestnancov a samotnej organizácie v oblasti informačnej bezpečnosti; neposkytuje sa školenie personálu v oblasti informačnej bezpečnosti; z hľadiska ochrany pred vonkajšími hrozbami: neboli vyvinuté žiadne typické postupy správania pre obnovu dát po haváriách, ku ktorým došlo v dôsledku vonkajších a environmentálnych hrozieb; serverovňa nie je samostatnou miestnosťou, miestnosti je priradený status dvoch oddelení (do serverovne má prístup ešte jedna osoba okrem správcu systému); nevykonáva sa technické skúmanie a fyzická kontrola nepovolených zariadení pripojených ku káblom; napriek skutočnosti, že vstup sa vykonáva pomocou elektronických preukazov a všetky informácie sa vkladajú do špeciálnej databázy, jej analýza sa nevykonáva; pokiaľ ide o ochranu pred škodlivým softvérom: neexistuje žiadna formálna politika na ochranu pred rizikami spojenými s prijímaním súborov z alebo cez externé siete alebo na vymeniteľných médiách; z hľadiska ochrany pred škodlivým softvérom: neexistujú žiadne pokyny na ochranu lokálnej siete pred škodlivým kódom; neexistuje žiadna kontrola prevádzky, existuje prístup k poštovým serverom externých sietí; všetky zálohy sú uložené v serverovni; používajú sa nezabezpečené, ľahko zapamätateľné heslá; príjem hesiel používateľmi nie je žiadnym spôsobom potvrdený; heslá sú uložené ako čistý text správcom; heslá sa nemenia; Neexistuje žiadny postup na hlásenie udalostí týkajúcich sa bezpečnosti informácií. Na základe týchto nedostatkov bol teda vyvinutý súbor predpisov týkajúcich sa politiky informačnej bezpečnosti, vrátane: politiky týkajúce sa prijímania (prepúšťania) a udeľovania (zbavovania) zamestnancov potrebného oprávnenia na prístup k systémovým zdrojom; politika týkajúca sa práce používateľov siete počas jej prevádzky; politika ochrany heslom; politika organizácie fyzickej ochrany; Internetová politika; ako aj administratívne bezpečnostné opatrenia. Dokumenty obsahujúce tieto predpisy sú v štádiu posudzovania vedením organizácie. 3 Vypracovanie súboru opatrení na modernizáciu existujúceho systému informačnej bezpečnosti V dôsledku analýzy systému informačnej bezpečnosti OJSC Gazprom boli identifikované významné systémové zraniteľnosti. Pre vypracovanie opatrení na odstránenie zistených nedostatkov bezpečnostného systému poukážeme na tieto skupiny informácií, ktoré sú predmetom ochrany: informácie o súkromnom živote zamestnancov, ktoré umožňujú ich identifikáciu (osobné údaje); informácie týkajúce sa odborných činností, ktoré tvoria bankové, audítorské a komunikačné tajomstvo; informácie týkajúce sa odborných činností a označené ako informácie „na úradné použitie“; informácie, ktorých zničenie alebo úprava negatívne ovplyvní prevádzkovú efektívnosť a obnova si vyžiada dodatočné náklady. Z hľadiska administratívnych opatrení boli vypracované tieto odporúčania: systém informačnej bezpečnosti musí byť v súlade s právnymi predpismi Ruskej federácie a štátnymi normami; budovy a priestory, kde sú inštalované alebo skladované zariadenia na spracovanie informácií, kde sa pracuje s chránenými informáciami, musia byť strážené a chránené poplachom a prostriedkami na kontrolu prístupu; pri prijímaní zamestnanca by sa malo zorganizovať školenie personálu o otázkach bezpečnosti informácií (vysvetlenie dôležitosti ochrany heslom a požiadaviek na heslo, vedenie školenia o antivírusovom softvéri atď.); vykonávať školenia každých 6-12 mesiacov zamerané na zlepšenie gramotnosti zamestnancov v oblasti informačnej bezpečnosti; audit systému a úpravy vypracovaných predpisov by sa mal vykonávať každoročne k 1. októbru alebo bezprostredne po zavedení zásadných zmien v štruktúre podniku; prístupové práva každého používateľa k informačným zdrojom musia byť zdokumentované (v prípade potreby je potrebné písomne požiadať o prístup manažéra); politiku informačnej bezpečnosti musí zabezpečiť správca softvéru a správca hardvéru, ich kroky koordinuje vedúci skupiny. Sformulujme politiku hesiel: neuchovávajte ich v nezašifrovanej podobe (nezapisujte si ich na papier, do bežného textového súboru a pod.); zmeniť heslo, ak je prezradené alebo existuje podozrenie z prezradenia; dĺžka musí byť aspoň 8 znakov; Heslo musí obsahovať veľké a malé písmená, čísla a špeciálne znaky, heslo nesmie obsahovať ľahko vypočítateľné sekvencie znakov (mená, mená zvierat, dátumy); zmeniť raz za 6 mesiacov (neplánovaná zmena hesla musí byť vykonaná ihneď po prijatí oznámenia o incidente, ktorý spustil zmenu); Pri zmene hesiel nemôžete vybrať tie, ktoré boli predtým použité (heslá sa musia líšiť aspoň o 6 pozícií). Sformulujme politiku týkajúcu sa antivírusových programov a detekcie vírusov: Na každej pracovnej stanici musí byť nainštalovaný licencovaný antivírusový softvér; aktualizácia antivírusových databáz na pracovných staniciach s prístupom na internet - raz denne, bez prístupu na internet - aspoň raz týždenne; nastaviť automatickú kontrolu pracovných staníc na detekciu vírusov (frekvencia kontrol - 1x týždenne: piatok, 12:00); Aktualizáciu antivírusovej databázy alebo antivírusovú kontrolu môže prerušiť iba administrátor (pre zadanú akciu používateľa by mala byť nastavená ochrana heslom). Sformulujme politiku týkajúcu sa fyzickej ochrany: každé 1-2 mesiace by sa malo vykonávať technické sondovanie a fyzická kontrola nepovolených zariadení pripojených ku káblom; sieťové káble musia byť chránené pred neoprávneným zachytením údajov; záznamy o všetkých podozrivých a skutočných poruchách, ktoré sa vyskytli na zariadení, musia byť uložené v denníku Každá pracovná stanica musí byť vybavená neprerušiteľným zdrojom napájania. Definujme zásady týkajúce sa rezervácie informácií: pre záložné kópie by mala byť pridelená samostatná miestnosť umiestnená mimo administratívnej budovy (miestnosť by mala byť vybavená elektronickým zámkom a alarmom); Informačné rezervácie je potrebné robiť každý piatok o 16:00. Zásady týkajúce sa prijímania/prepúšťania zamestnancov by mali byť nasledovné: akékoľvek personálne zmeny (prijatie, povýšenie, prepustenie zamestnanca a pod.) je potrebné nahlásiť do 24 hodín správcovi, ktorý následne v lehote pol pracovného dňa vykoná príslušné zmeny v systéme na vymedzenie prístupových práv k podnikovým zdrojom ; nový zamestnanec musí prejsť školením od správcu vrátane oboznámenia sa s bezpečnostnou politikou a všetkými potrebnými pokynmi, úroveň prístupu k informáciám pre nového zamestnanca prideľuje vedúci; Keď zamestnanec opustí systém, jeho ID a heslo sa vymaže, pracovná stanica sa skontroluje na prítomnosť vírusov a analyzuje sa integrita údajov, ku ktorým mal zamestnanec prístup. Zásady týkajúce sa práce s lokálnou internou sieťou (LAN) a databázami (DB): pri práci na svojom pracovisku a na LAN musí zamestnanec vykonávať len úlohy, ktoré priamo súvisia s jeho služobnou činnosťou; Zamestnanec je povinný upozorniť správcu na správy z antivírusových programov o výskyte vírusov; nikto iný okrem administrátorov nesmie vykonávať zmeny v dizajne alebo konfigurácii pracovných staníc a iných uzlov LAN, inštalovať akýkoľvek softvér, ponechať pracovnú stanicu bez kontroly alebo umožniť neoprávneným osobám prístup k nej; Správcom sa odporúča, aby mali neustále spustené dva programy: pomôcku na detekciu útokov spoofing ARP a sniffer, ktorých použitie im umožní vidieť sieť očami potenciálneho narušiteľa a identifikovať porušovateľov bezpečnostnej politiky; Mali by ste nainštalovať softvér, ktorý bráni spusteniu iných programov ako tých, ktoré určil správca, a to na základe zásady: „Každá osoba má udelené oprávnenia potrebné na vykonávanie konkrétnych úloh.“ Všetky nepoužívané počítačové porty musia byť deaktivované hardvérom alebo softvérom; Softvér by sa mal pravidelne aktualizovať. Pravidlá internetu: správcom je pridelené právo obmedziť prístup k zdrojom, ktorých obsah nesúvisí s plnením služobných povinností, ako aj k zdrojom, ktorých obsah a zameranie zakazuje medzinárodná a ruská legislatíva; zamestnanec má zakázané sťahovať a otvárať súbory bez predchádzajúcej kontroly vírusov; všetky informácie o zdrojoch navštívených zamestnancami spoločnosti by mali byť uložené v denníku a v prípade potreby môžu byť poskytnuté vedúcim oddelení, ako aj manažmentu dôvernosť a integrita elektronickej korešpondencie a kancelárskych dokumentov je zabezpečená použitím digitálnych podpisov. Okrem toho sformulujeme základné požiadavky na vytváranie hesiel pre zamestnancov spoločnosti OJSC Gazprom. Heslo je ako kľúč od domu, len je kľúčom k informáciám. Pre bežné kľúče je mimoriadne nežiaduce stratiť, ukradnúť alebo odovzdať cudziemu človeku. To isté platí pre heslo. Bezpečnosť informácií samozrejme nezávisí len od hesla, na jeho zabezpečenie je potrebné nastaviť množstvo špeciálnych nastavení a možno aj napísať program, ktorý chráni pred hackovaním. Voľba hesla je však presne tá akcia, pri ktorej záleží len na používateľovi, ako silný bude tento článok v reťazci opatrení zameraných na ochranu informácií. ) heslo musí byť dlhé (8-12-15 znakov); ) by nemalo byť slovo zo slovníka (akéhokoľvek slovníka, dokonca ani slovníka špeciálnych pojmov a slangu), vlastné meno alebo slovo v azbuke napísané v latinke (latinka - kfnsym); ) nemožno ho spájať s vlastníkom; ) mení sa pravidelne alebo podľa potreby; ) sa v tejto funkcii nepoužíva na rôznych zdrojoch (t. j. pre každý zdroj – na prihlásenie do poštovej schránky, operačného systému alebo databázy – je potrebné použiť iné heslo); ) je možné si to zapamätať. Výber slov zo slovníka je nežiaduci, pretože útočník, ktorý zaútočí na slovník, použije programy schopné vyhľadať až stovky tisíc slov za sekundu. Akékoľvek informácie spojené s majiteľom (či už je to dátum narodenia, meno psa, rodné priezvisko matky a podobné „heslá“) sa dajú ľahko rozpoznať a uhádnuť. Použitie veľkých a malých písmen, ako aj čísel, značne komplikuje útočníkovu úlohu uhádnuť heslo. Heslo by malo byť utajené a ak máte podozrenie, že sa heslo niekomu stalo známe, zmeňte ho. Je tiež veľmi užitočné ich z času na čas zmeniť. Záver Štúdia nám umožnila vyvodiť nasledujúce závery a sformulovať odporúčania. Zistilo sa, že hlavnou príčinou problémov podniku v oblasti informačnej bezpečnosti je chýbajúca politika informačnej bezpečnosti, ktorá by zahŕňala organizačné, technické, finančné riešenia s následným monitorovaním ich implementácie a vyhodnocovaním efektívnosti. Definícia politiky informačnej bezpečnosti je formulovaná ako súbor zdokumentovaných rozhodnutí, ktorých účelom je zabezpečiť ochranu informácií a súvisiacich informačných rizík. Analýza systému informačnej bezpečnosti odhalila významné nedostatky, medzi ktoré patria: uloženie záložných kópií v serverovni, záložný server je umiestnený v rovnakej miestnosti ako hlavné servery; nedostatok správnych pravidiel týkajúcich sa ochrany heslom (dĺžka hesla, pravidlá pre jeho výber a ukladanie); Správu siete má na starosti jedna osoba. Zovšeobecnenie medzinárodnej a ruskej praxe v oblasti riadenia informačnej bezpečnosti podnikov nám umožnilo dospieť k záveru, že na jej zabezpečenie je potrebné: predpovedanie a včasná identifikácia bezpečnostných hrozieb, príčin a podmienok vedúcich k finančným, materiálnym a morálnym škodám; vytváranie prevádzkových podmienok s najmenším rizikom implementácie bezpečnostných ohrození informačných zdrojov a spôsobenia rôznych druhov škôd; vytváranie mechanizmu a podmienok na efektívne reagovanie na ohrozenia informačnej bezpečnosti na základe právnych, organizačných a technických prostriedkov. Prvá kapitola práce rozoberá hlavné teoretické aspekty. Uvádza sa prehľad niekoľkých štandardov v oblasti informačnej bezpečnosti. Pre každý a ako celok sa vyvodia závery a vyberie sa najvhodnejší štandard pre tvorbu politiky informačnej bezpečnosti. Druhá kapitola skúma štruktúru organizácie a analyzuje hlavné problémy súvisiace s informačnou bezpečnosťou. V dôsledku toho boli vytvorené odporúčania na zabezpečenie správnej úrovne informačnej bezpečnosti. Zvažujú sa aj opatrenia na zabránenie ďalším incidentom súvisiacim s narušením informačnej bezpečnosti. Samozrejme, zaistenie informačnej bezpečnosti organizácie je nepretržitý proces, ktorý si vyžaduje neustále monitorovanie. A prirodzene formovaná politika nie je železným garantom ochrany. Okrem implementácie politiky je potrebné neustále sledovanie jej kvalitnej implementácie, ako aj zlepšovanie v prípade akýchkoľvek zmien v spoločnosti alebo precedensov. Organizácii bolo odporúčané prijať zamestnanca, ktorého činnosť bude priamo súvisieť s týmito funkciami (bezpečnostný správca). Bibliografia informačná bezpečnosť finančná škoda 1. Belov E.B. Základy informačnej bezpečnosti. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Šelupanov. -M.: Horúca linka - Telekom, 2006. - 544s Galatenko V.A. Štandardy informačnej bezpečnosti: kurz prednášok. Vzdelávacie príspevok. - 2. vydanie. M.: INTUIT.RU "Internetová univerzita informačných technológií", 2009. - 264 s. Glatenko V.A. Štandardy informačnej bezpečnosti / otvorené systémy 2006.- 264c Dolzhenko A.I. Manažment informačných systémov: Školiaci kurz. - Rostov na Done: RGEU, 2008.-125 s. Kalašnikov A. Formovanie podnikovej politiky vnútornej informačnej bezpečnosti #"justify">. Malyuk A.A. Informačná bezpečnosť: koncepčné a metodické základy ochrany informácií / M.2009-280 Mayvold E., sieťová bezpečnosť. Samoobslužná príručka // Ekom, 2009.-528 s. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Základy organizačného zabezpečenia informačnej bezpečnosti objektov informatizácie // Helios ARV, 2008, 192 s.
