Temat e diplomës për sigurinë e informacionit (Siguria e sistemeve të informacionit). Sistemi i sigurisë së informacionit Lista e temave të WRC për sigurinë e informacionit
Dokumente të ngjashme
Rëndësia e çështjeve të sigurisë së informacionit. Software dhe pajisje për rrjetin Mineral LLC. Ndërtimi i një modeli të sigurisë së korporatës dhe mbrojtjes nga aksesi i paautorizuar. Zgjidhje teknike për mbrojtjen e sistemit të informacionit.
tezë, shtuar 19.01.2015
Siguria e një sistemi informacioni është aftësia e tij për t'i bërë ballë ndikimeve të ndryshme. Llojet e kërcënimeve kompjuterike, koncepti i aksesit të paautorizuar. Viruset dhe malware. Metodat dhe mjetet e mbrojtjes së sistemeve të informacionit.
abstrakt, shtuar më 14.11.2010
Klasifikimi i kërcënimeve të sigurisë së informacionit. Gabime në zhvillimin e sistemeve kompjuterike, softuerit dhe harduerit. Metodat kryesore të marrjes së aksesit të paautorizuar (UNA) në informacion. Metodat e mbrojtjes kundër NSD. Rrjetet private virtuale.
puna e kursit, shtuar 26.11.2013
Kërcënimet e jashtme për sigurinë e informacionit, format e shfaqjes së tyre. Metodat dhe mjetet e mbrojtjes kundër spiunazhit industrial, qëllimet e tij: marrja e informacionit për një konkurrent, shkatërrimi i informacionit. Metodat e aksesit të paautorizuar në informacionin konfidencial.
test, shtuar 18.09.2016
Mënyrat më të zakonshme të aksesit të paautorizuar në informacion, kanalet e rrjedhjes së tij. Metodat e mbrojtjes së informacionit nga kërcënimet natyrore (emergjente) dhe nga kërcënimet e rastësishme. Kriptografia si mjet për mbrojtjen e informacionit. Spiunazhi industrial.
abstrakt, shtuar 06/04/2013
Koncepti, kuptimi dhe drejtimet e sigurisë së informacionit. Një qasje sistematike për organizimin e sigurisë së informacionit, mbrojtjen e informacionit nga aksesi i paautorizuar. Mjetet e sigurisë së informacionit. Metodat dhe sistemet e sigurisë së informacionit.
abstrakt, shtuar më 15.11.2011
Koncepti dhe parimet e sigurisë së informacionit. Shqyrtimi i llojeve kryesore të efekteve të rrezikshme në një sistem kompjuterik. Klasifikimi i kanaleve për akses të paautorizuar në kompjuter. Karakteristikat e mjeteve të sigurisë së informacionit të harduerit dhe softuerit.
prezantim, shtuar 15.11.2011
Siguria e informacionit, qëllimet dhe objektivat e saj. Kanalet e rrjedhjes së informacionit. Metodat dhe mjetet softuerike dhe harduerike për mbrojtjen e informacionit nga aksesi i paautorizuar. Modeli i kërcënimeve të sigurisë ndaj informacionit të përpunuar në një strukturë kompjuterike.
tezë, shtuar 19.02.2017
Ndikimi i llojit të veprimtarisë së një ndërmarrje në organizimin e një sistemi gjithëpërfshirës të sigurisë së informacionit. Përbërja e informacionit të mbrojtur. Kanalet e mundshme për akses të paautorizuar në informacionin e organizatës. Efikasiteti i sistemit të sigurisë së informacionit.
raport praktik, shtuar 10/31/2013
Aspektet historike të shfaqjes dhe zhvillimit të sigurisë së informacionit. Mjetet e sigurisë së informacionit dhe klasifikimi i tyre. Llojet dhe parimet e funksionimit të viruseve kompjuterike. Baza ligjore për mbrojtjen e informacionit nga aksesi i paautorizuar.
fokusi (profili) "Sistemet dhe teknologjitë e informacionit"
fushat e trajnimit 09.03.02 “Sistemet dhe teknologjitë e informacionit”
dizajni dhe teknologjik,
shërbimi dhe operacional.
1. Virtualizimi i infrastrukturës informative të ndërmarrjes (emri i ndërmarrjes).
2. Integrimi i sistemeve të informacionit të ndërmarrjeve bazuar në Linux OS dhe një DBMS të shpërndarë lirisht.
3. Modernizimi dhe administrimi i sistemit informativ të korporatës së ndërmarrjes (emri i ndërmarrjes).
4. Modernizimi, administrimi dhe mirëmbajtja e rrjetit informativ të ndërmarrjes (emri i ndërmarrjes).
5. Modernizimi i sistemit të informacionit dhe menaxhimit të ndërmarrjes (procesit) (emri i ndërmarrjes ose procesi) dhe zhvillimi i masave për mbështetjen e tij.
6. Zhvillimi i një portali Intranet për ndërmarrjen (emri i ndërmarrjes).
7. Projektimi i një rrjeti informativ të ndërmarrjes (emri i ndërmarrjes).
8. Projektimi i një sistemi informacioni të korporatës për një ndërmarrje (emri i ndërmarrjes).
9. Zhvillimi dhe mirëmbajtja e ueb portalit korporativ të ndërmarrjes (emri i ndërmarrjes).
10. Zhvillimi i një sistemi të automatizuar të përpunimit të informacionit për ndërmarrjen (emri i ndërmarrjes).
11. Zhvillimi i një prototipi të një sistemi informacioni të ndërmarrjes për menaxhimin e procesit (emri i procesit ose objektit).
12. Zhvillimi i një ueb shërbimi për sistemin informativ të ndërmarrjes (emri i ndërmarrjes).
13. Zhvillimi i një sistemi informacioni referues për ndërmarrjen (emri i ndërmarrjes).
14. Zhvillimi i një modeli dhe dizajni i një sistemi të menaxhimit të informacionit të ndërmarrjes (emri i ndërmarrjes).
15. Zhvillimi i softuerit teknologjik për mirëmbajtjen e sistemit (emri i sistemit).
16. Zhvillimi i softuerit për një pajisje mikroprocesori (emri i pajisjes).
17. Zhvillimi i një aplikacioni klient celular për sistemin informativ të ndërmarrjes (emri i ndërmarrjes).
18. Zhvillimi i një modeli simulimi për të optimizuar parametrat e procesit të prodhimit.
19. Dizajnimi i serverëve virtualë të bazuar në mjete (emri i mjeteve të virtualizimit) dhe kanaleve të transmetimit të të dhënave për një ndërmarrje (emri i ndërmarrjes).
20. Zhvillimi i një moduli (nënsistemi) (emri i funksionit të zbatuar) të sistemit informativ (informacionit të korporatës) të ndërmarrjes (emri i ndërmarrjes).
në programin arsimor të diplomës bachelor të aplikuar
fushat e trajnimit 03/09/04 "Inxhinieri Softuerike"
prodhimi dhe teknologjik,
organizative dhe menaxheriale,
shërbimi dhe operacional.
1. Zhvillimi i një aplikacioni për analizimin e një faqe interneti, rrjeti social, portal.
2. Projektimi dhe zbatimi i softuerit të një sistemi informacioni (informativ dhe referues) (qëllimi ose funksioni i sistemit).
3. Zhvillimi i firmuerit për pajisjen (emri i pajisjes).
4. Zhvillimi i softuerit aplikativ për sistemin (emri i sistemit).
5. Zhvillimi i një sistemi informacioni softuerik (emri i zonës së përdorimit ose procesi që po zbatohet).
6. Zhvillimi i metodave për testimin dhe korrigjimin e softuerit (emri i softuerit).
7. Zhvillimi i një moduli softuerësh (emri i modulit) për sistemin 1C: Enterprise (emri i ndërmarrjes).
8. Zhvillimi i një ueb shërbimi për sistemin e menaxhimit të informacionit të ndërmarrjes (emri i ndërmarrjes).
9. Zhvillimi i një aplikacioni për të mbështetur sistemin informativ-matës (qëllimi i sistemit).
10. Studimi i sigurisë së informacionit të shërbimeve në internet të sistemit 1C: Enterprise.
11. Zhvillimi i një moduli (nënsistemi) (emri i funksionit të implementuar) të sistemit informativ (informacionit të korporatës) të ndërmarrjes (emri i ndërmarrjes).
12. Zhvillimi i softuerit server (klient) për sistemin (emri i sistemit).
Subjektet e punimeve finale kualifikuese
në programin arsimor të diplomës bachelor të aplikuar
fokusi (profili) "Shërbimi i informacionit"
:shërbimi,
1. Modernizimi, administrimi dhe mirëmbajtja e rrjetit lokal të ndërmarrjes (emri i ndërmarrjes).
2. Modernizimi dhe administrimi i sistemit informativ të ndërmarrjes (emri i ndërmarrjes).
3. Projektimi i një sistemi informativ të ndërmarrjes (emri i ndërmarrjes).
4. Projektimi dhe zhvillimi i teknologjisë për funksionimin e një rrjeti lokal të një ndërmarrje (emri i ndërmarrjes).
5. Projektimi i mbrojtjes harduerike dhe softuerike të sistemit informativ të ndërmarrjes (emri i ndërmarrjes).
6. Zhvillimi i teknologjisë për diagnostikimin, riparimin dhe mirëmbajtjen e pajisjes (emri i pajisjes, grupi i pajisjeve, pajisjet matëse, njësia kompjuterike, sistemi kompjuterik ose mikroprocesori, rrjeti lokal).
7. Zhvillimi dhe administrimi i faqes së internetit të kompanisë (emri i kompanisë).
8. Zhvillimi i konfigurimit të serverit për rrjetin e transmetimit të të dhënave të ndërmarrjes (emri i ndërmarrjes).
9. Zhvillimi dhe administrimi i bazës së të dhënave të sistemit informativ të ndërmarrjes (emri i ndërmarrjes).
10. Zhvillimi i një portali Intranet për ndërmarrjen (emri i ndërmarrjes).
11. Zhvillimi i një nënsistemi për monitorimin e proceseve të prodhimit në platformën 1C:Enterprise.
12. Zhvillimi i një projekti për një sistem informacioni të shpërndarë (emri i sistemit) të ndërmarrjes (emri i ndërmarrjes).
13. Zhvillimi i një sistemi kontabiliteti informacioni dhe referencë (emri i objektit kontabël).
14. Zhvillimi i një shërbimi WCF për një sistem informacioni të ndërmarrjes.
15. Zhvillimi i një modeli të një sistemi informacioni të ndërmarrjes (emri ose fusha e veprimtarisë së ndërmarrjes).
16. Zhvillimi i metodave për testimin dhe debugimin e softuerit (emri i softuerit).
17. Zhvillimi i një sërë masash për administrimin dhe mirëmbajtjen e një sistemi informacioni softuerik (emri i zonës së përdorimit ose procesi që zbatohet).
18. Modelimi dhe hulumtimi i sistemit të transmetimit të të dhënave (emri i sistemit).
19. Hulumtimi dhe optimizimi i parametrave të një sistemi informacioni të shpërndarë në platformën 1C: Enterprise.
20. Projektimi i një divizioni të ndërmarrjes (emri i ndërmarrjes) për riparimin dhe mirëmbajtjen e pajisjeve elektronike (kompjuterike) dhe organizimin e funksionimit të pajisjeve teknike.
21. Dizajnimi i serverëve virtualë të bazuar në mjete (emri i mjeteve të virtualizimit) dhe kanaleve të transmetimit të të dhënave për një ndërmarrje (emri i ndërmarrjes).
22. Zhvillimi i softuerit server (klient) për sistemin (emri i sistemit).
Subjektet e punimeve finale kualifikuese
në programin arsimor të diplomës bachelor të aplikuar
drejtimi (profili) "Shërbimi i pajisjeve elektronike"
fushat e trajnimit 03.43.01 "Shërbimi"
Llojet e aktiviteteve profesionale:shërbimi,
prodhuese dhe teknologjike.
1. Zhvillimi i teknologjisë për diagnostikimin, riparimin dhe mirëmbajtjen e pajisjes (emri i pajisjes elektronike, mikroprocesori ose sistemi i telekomunikacionit, pajisjet matëse, rrjeti i transmetimit të të dhënave).
2. Zhvillimi i një sistemi elektronik (emri i sistemit) të ndërmarrjes (emri i ndërmarrjes, qendra tregtare dhe zyra, kompleksi argëtues).
3. Zhvillimi i një pajisjeje hyrëse/dalëse informacioni (emri i pajisjes).
4. Zhvillimi i softuerit për një pajisje mikroprocesori (emri i pajisjes).
5. Zhvillimi i një rrjeti korporativ telekomunikacioni për një ndërmarrje (emri i ndërmarrjes).
6. Zhvillimi i një pajisjeje dixhitale (moduli) (emri i pajisjes, moduli; emri i funksionit që zbatohet).
7. Zhvillimi i një pajisjeje furnizimi me energji elektrike për pajisjet elektronike (emri i pajisjes).
8. Zhvillimi i teknologjisë për monitorimin (parametrat kontrollues) të objekteve (emri i objekteve).
9. Zhvillimi dhe hulumtimi i një sensori me valë (emri i parametrit të matur).
10. Projektimi i një divizioni të ndërmarrjes (emri i ndërmarrjes) për riparimin dhe mirëmbajtjen e pajisjeve elektronike (kompjuterike) dhe organizimin e funksionimit të pajisjeve teknike.
11. Zhvillimi i një nënsistemi (emri i nënsistemit) i një sistemi të integruar sigurie për ndërmarrjen (emri i ndërmarrjes).
Subjektet e punimeve finale kualifikuese
në programin arsimor të diplomës bachelor të aplikuar
drejtimi (profili) "Mjete radio-inxhinierike për transmetimin, marrjen dhe përpunimin e sinjaleve"
fushat e trajnimit 03/11/01 “Radio Inxhinieri”
dizajn dhe inxhinieri,
shërbimi dhe operacional.
1. Zhvillimi i një sistemi pajisjeje (blloku, moduli; marrës, transmetues, marrës) (emri i sistemit).
2. Zhvillimi i një ndërfaqeje wireless për pajisjet elektronike (emri i pajisjes).
3. Studimi i modelit virtual të pajisjes (specifikoni llojin e pajisjes) në mjedis (emri i mjedisit të softuerit).
4. Zhvillimi i një nënsistemi (emri i nënsistemit) i një sistemi të integruar të sigurisë së ndërmarrjes (emri i ndërmarrjes.
Subjektet e punimeve finale kualifikuese
në programin arsimor të diplomës bachelor të aplikuar
drejtimi (profili) "Sistemet e komunikimit celular"
fushat e trajnimit 11.03.02 “Teknologjitë e informacionit dhe sistemet e komunikimit”
Llojet e aktiviteteve profesionale:dizajni
1. Projektimi i një rrjeti telekomunikacioni për një ndërmarrje (emri i ndërmarrjes).
2. Administrimi dhe mirëmbajtja e rrjetit telekomunikues të ndërmarrjes (emri i ndërmarrjes).
3. Zhvillimi i një blloku (kodeku, vokoderi, pajisje sinkronizimi, pajisje përputhëse) të një sistemi telekomunikacioni dixhital.
4. Zhvillimi i një përshtatësi të ndërfaqes me valë (emri i ndërfaqeve).
5. Zhvillimi i një sistemi të pajisjes së përpunimit të informacionit (lloji i pajisjes) (emri i sistemit).
6. Zhvillimi i një pajisjeje për sistemet ndërlidhëse (emri i sistemeve).
7. Zhvillimi i një kontrolluesi të sistemit (emri i sistemit).
8. Zhvillimi i një pajisjeje sinkronizimi për një sistem telekomunikacioni (emri i sistemit).
9. Zhvillimi i një pajisjeje teknologjike për testimin e pajisjeve të telekomunikacionit (emri i pajisjes).
10. Zhvillimi i një rrjeti komunikimi pa tela (segment rrjeti) i bazuar në teknologji (emri i teknologjisë).
11. Zhvillimi i teknologjisë për monitorimin në distancë të parametrave të objektit (emri i parametrave).
12. Zhvillimi i një rrjeti sensor për monitorimin e gjendjes së një objekti (emri i objektit).
13. Zhvillimi i teknologjisë për diagnostikimin dhe matjen e parametrave të një pajisjeje telekomunikuese (emri i pajisjes, sistemi, rrjeti, mjedisi).
14. Zhvillimi i një pajisjeje transmetuese për sistemin (emri i sistemit).
15. Zhvillimi i pajisjeve telekomunikuese për telekomandimin e një objekti (emri i objektit).
16. Zhvillimi i një parametri matësi për komponentët e pajisjeve të telekomunikacionit (emri i komponentëve).
17. Zhvillimi i një pajisjeje hyrëse/dalëse të informacionit me valë (emri i pajisjes).
18. Zhvillimi i harduerit dhe softuerit për teknologjinë e infokomunikacionit (emri i teknologjisë).
19. Studimi i protokolleve të transferimit të informacionit në sistem (emri i sistemit).
20. Hulumtimi i metodave të përpunimit të sinjalit dixhital për sistemin (emri i sistemit).
21. Zhvillimi i teknologjisë së informacionit dhe sistemit të menaxhimit të objektit (emri i objektit).
22. Zhvillimi i një sistemi wireless për matjen e një parametri (emri i parametrit).
23. Dizajnimi i serverëve virtualë të bazuar në mjete (emri i mjeteve të virtualizimit) dhe kanaleve të transmetimit të të dhënave për një ndërmarrje (emri i ndërmarrjes).
Subjektet e punimeve finale kualifikuese
sipas programit arsimor të arsimit të mesëm profesional
specialiteti 09.02.01 "Sistemet dhe komplekset kompjuterike"
Modulet profesionale:PM.01 Projektimi i pajisjeve dixhitale,
PM.02 Aplikimi i sistemeve mikroprocesorike, instalimi dhe konfigurimi i trajnimit periferik,
PM.03 Mirëmbajtja dhe riparimi i sistemeve dhe komplekseve kompjuterike.
1. Diagnostifikimi i defekteve dhe monitorimi i gjendjes teknike të pajisjeve (emri i harduerit dhe softuerit të teknologjisë kompjuterike ose rrjetit kompjuterik).
2. Montimi, konfigurimi dhe vendosja e mjeteve (emri i harduerit dhe softuerit të kompjuterit ose i rrjetit kompjuterik).
3. Zhvillimi i një sërë masash për të siguruar sigurinë e informacionit të rrjetit kompjuterik të ndërmarrjes (emri i ndërmarrjes).
4. Zhvillimi i një sistemi identifikimi pa kontakt për ndërmarrjen (emri i ndërmarrjes).
5. Mirëmbajtja dhe administrimi i sistemit informativ të ndërmarrjes (emri i ndërmarrjes).
6. Mirëmbajtja dhe administrimi i rrjetit kompjuterik të ndërmarrjes (emri i ndërmarrjes).
7. Mirëmbajtja dhe mbështetja e harduerit dhe softuerit (emri i harduerit kompjuterik ose i rrjetit kompjuterik).
8. Instalimi, përshtatja dhe mirëmbajtja e softuerit (emri i softuerit).
9. Zhvillimi dhe hulumtimi i pajisjes (modulit) dixhital (mikroprocesor) (emri i pajisjes, moduli).
10. Zhvillimi i teknologjisë së testimit dhe debugimi gjithëpërfshirës i softuerit (emri i softuerit).
Temat e punimeve finale kualifikuese për maturantët
fokusi (profili) "Elementet dhe pajisjet e teknologjisë kompjuterike dhe sistemeve të informacionit"
fushat e trajnimit 09.04.01 “Informatikë dhe Shkenca Kompjuterike”
Llojet e aktiviteteve profesionale:dizajni,
kërkimin shkencor.
1. Modelimi dhe hulumtimi i protokolleve të rrjetit për transferimin e informacionit (tregohet lloji i informacionit).
2. Hulumtimi dhe zhvillimi i metodave kompjuterike për përmirësimin e parametrave të sistemit (tregohen parametrat ose parametrat dhe lloji i sistemit).
3. Modelimi kompjuterik, kërkimi dhe optimizimi i sistemeve të informacionit ose telekomunikacionit (tregohet klasa e sistemeve).
4. Hulumtimi dhe optimizimi i ndërtimit të rrjeteve të sensorëve pa tela.
5. Hulumtimi dhe analiza e ndërtimit të rrjeteve pa tela të Internetit të Gjërave.
6. Zhvillimi i kritereve të efikasitetit dhe studimi i shpërndarjes së makinave virtuale brenda infrastrukturës cloud.
7. Zhvillimi, hulumtimi dhe vlerësimi i efektivitetit të sistemeve të informacionit të shpërndarë (ose matjes së informacionit) (tregohet zona e aplikimit ose lloji i sistemeve).
8. Zhvillimi dhe hulumtimi i një ndërfaqeje wireless për pajisjet (emri i pajisjes).
9. Zhvillimi dhe hulumtimi i një pajisjeje gjurmuese të objekteve (emri i objekteve).
10. Zhvillimi dhe hulumtimi i pajisjeve për monitorimin e gjendjes së një objekti (emri i objektit).
11. Zhvillimi i mjeteve diagnostikuese harduerike dhe softuerike për pajisjet (emri i pajisjeve).
12. Zhvillimi dhe hulumtimi i një sensori me valë (emri i parametrit të matur).
13. Studimi i algoritmeve të korrigjimit për konvertuesit e një parametri (emri i parametrit) në kod.
14. Zhvillimi i algoritmeve dhe softuerit për monitorimin e parametrave të sistemit të menaxhimit të objektit (emri i objektit).
15. Zhvillimi dhe hulumtimi i pajisjeve të kontrollit me valë për objektin (emri i objektit).
16. Modelimi dhe hulumtimi i konvertuesve të parametrave (emri i parametrave).
17. Metodat për vlerësimin e cilësisë së softuerit (tregohet qëllimi i softuerit).
18. Studimi i funksionimit të pajisjeve (emri i pajisjeve) në kushte (tregohen kushtet) me qëllim përmirësimin e karakteristikave (tregohen karakteristikat).
19. Zhvillimi i metodave për analizën dhe sintezën e pajisjeve (emri i pajisjeve) me qëllim të përmirësimit të karakteristikave (tregohen karakteristikat).
Subjektet e punimeve finale kualifikuese
në programin e masterit akademik
fokusi (profili) "Zhvillimi i softuerit dhe sistemeve të informacionit"
fushat e trajnimit 09.04.04 “Inxhinieri Softuerike”
kërkime,
dizajni
1. Zhvillimi dhe kërkimi i një shërbimi REST për paraqitjen e orareve në institucionet e arsimit të lartë.
2. Hulumtimi dhe zhvillimi i mjeteve të testimit të softuerit për operatorët celularë.
3. Njohja e gjendjes fiziologjike të një personi bazuar në teorinë e sistemeve me strukturë të rastësishme.
4. Projektimi i një sistemi informacioni për automatizimin e shitjeve (emri i ndërmarrjes) bazuar në qasjen MDA.
5. Zhvillimi dhe hulumtimi i një sistemi informacioni softuerik për vlerësimin e cilësisë së softuerit (tregohet emri i softuerit).
6. Zhvillimi i softuerit të shpërndarë dhe sistemeve të informacionit (tregohet fusha e aplikimit të sistemit) dhe hulumtimi i mundësive të optimizimit të tyre bazuar në kriteret e efikasitetit (kriteret janë të shënuara).
7. Zhvillimi i softuerit për të mbështetur pajisjet hyrëse/dalëse për sistemin (emri i sistemit).
8. Studimi i sigurisë së komponentëve të sistemit informativ të softuerit (emri i sistemit).
Prezantimi
Kapitulli 1. Aspekte teorike të adoptimit dhe sigurisë së informacionit
1.1Koncepti i sigurisë së informacionit 3 Metodat e sigurisë së informacionit Kapitulli 2. Analiza e sistemit të sigurisë së informacionit 1 Fusha e veprimtarisë së shoqërisë dhe analiza e treguesve financiarë 2 Përshkrimi i sistemit të sigurisë së informacionit të kompanisë 3 Zhvillimi i një sërë masash për modernizimin e sistemit ekzistues të sigurisë së informacionit konkluzioni Bibliografi Aplikacion Shtojca 1. Bilanci i gjendjes për vitin 2010 Shtojca 1. Bilanci i gjendjes për vitin 2010 Prezantimi Rëndësia e temës së tezës përcaktohet nga niveli i rritur i problemeve të sigurisë së informacionit, edhe në kontekstin e rritjes së shpejtë të teknologjive dhe mjeteve për mbrojtjen e të dhënave. Është e pamundur të sigurohet një nivel 100% i mbrojtjes për sistemet e informacionit të korporatave, ndërkohë që prioritizon saktë detyrat e mbrojtjes së të dhënave duke pasur parasysh pjesën e kufizuar të buxhetit të alokuar për teknologjinë e informacionit. Mbrojtja e besueshme e infrastrukturës së korporatës kompjuterike dhe rrjetit është një detyrë bazë e sigurisë së informacionit për çdo kompani. Me rritjen e biznesit të një ndërmarrje dhe kalimin në një organizatë të shpërndarë gjeografikisht, ajo fillon të shkojë përtej kufijve të një ndërtese të vetme. Mbrojtja efektive e infrastrukturës së TI-së dhe sistemeve të aplikimit të korporatave sot është e pamundur pa futjen e teknologjive moderne të kontrollit të aksesit në rrjet. Rritja e rasteve të vjedhjeve të mediave që përmbajnë informacione të vlefshme biznesi detyrojnë gjithnjë e më shumë marrjen e masave organizative. Qëllimi i kësaj pune do të jetë vlerësimi i sistemit ekzistues të sigurisë së informacionit në organizatë dhe zhvillimi i masave për përmirësimin e tij. Ky qëllim përcakton objektivat e mëposhtëm të tezës: ) të shqyrtojë konceptin e sigurisë së informacionit; ) konsideroni llojet e kërcënimeve të mundshme për sistemet e informacionit dhe opsionet për mbrojtje nga kërcënimet e mundshme të rrjedhjes së informacionit në organizatë. ) të identifikojë një listë të burimeve të informacionit, shkelja e integritetit ose konfidencialitetit të të cilave do të çojë në dëmin më të madh të ndërmarrjes; ) zhvillojnë mbi bazën e tyre një sërë masash për të përmirësuar sistemin ekzistues të sigurisë së informacionit. Puna përbëhet nga një hyrje, dy kapituj, një përfundim, një listë e burimeve të përdorura dhe aplikime. Hyrja vërteton rëndësinë e temës së kërkimit dhe formulon qëllimin dhe objektivat e punës. Kapitulli i parë diskuton aspektet teorike të koncepteve të sigurisë së informacionit në një organizatë. Kapitulli i dytë jep një përshkrim të shkurtër të aktiviteteve të kompanisë, treguesit kryesorë të performancës, përshkruan gjendjen aktuale të sistemit të sigurisë së informacionit dhe propozon masa për përmirësimin e tij. Si përfundim, formulohen rezultatet dhe përfundimet kryesore të punës. Baza metodologjike dhe teorike e punimit ishin punimet e eksperteve vendas dhe te huaj ne fushen e sigurise se informacionit.Gjate punimit te temes jane perdorur informacione qe pasqyronin permbajtjen e ligjeve, akteve legjislative dhe rregulloreve, dekreteve te Qeverise se Federata Ruse që rregullon sigurinë e informacionit, standardet ndërkombëtare për sigurinë e informacionit. Rëndësia teorike e hulumtimit të tezës qëndron në zbatimin e një qasjeje të integruar gjatë zhvillimit të një politike të sigurisë së informacionit. Rëndësia praktike e punës përcaktohet nga fakti se rezultatet e saj bëjnë të mundur rritjen e shkallës së mbrojtjes së informacionit në një ndërmarrje përmes hartimit kompetent të një politike të sigurisë së informacionit. Kapitulli 1. Aspekte teorike të adoptimit dhe sigurisë së informacionit 1.1 Koncepti i sigurisë së informacionit Siguria e informacionit i referohet sigurisë së informacionit dhe infrastrukturës së tij mbështetëse nga çdo ndikim aksidental ose keqdashës që mund të rezultojë në dëmtim të vetë informacionit, pronarëve të tij ose infrastrukturës mbështetëse. Objektivat e sigurisë së informacionit zbresin në minimizimin e dëmeve, si dhe në parashikimin dhe parandalimin e ndikimeve të tilla. Parametrat e sistemeve të informacionit që kanë nevojë për mbrojtje mund të ndahen në kategoritë e mëposhtme: sigurimi i integritetit, disponueshmërisë dhe konfidencialitetit të burimeve të informacionit. aksesueshmëria është aftësia për të marrë, në një periudhë të shkurtër kohe, shërbimin e kërkuar të informacionit; integriteti është rëndësia dhe konsistenca e informacionit, mbrojtja e tij nga shkatërrimi dhe ndryshimet e paautorizuara; konfidencialiteti - mbrojtja nga aksesi i paautorizuar në informacion. Sistemet e informacionit krijohen kryesisht për të marrë shërbime të caktuara informacioni. Nëse marrja e informacionit për ndonjë arsye bëhet e pamundur, kjo dëmton të gjitha subjektet e marrëdhënieve të informacionit. Nga kjo mund të përcaktojmë se disponueshmëria e informacionit është e para. Integriteti është aspekti kryesor i sigurisë së informacionit kur saktësia dhe vërtetësia janë parametrat kryesorë të informacionit. Për shembull, receta për barna mjekësore ose një grup dhe karakteristika përbërësish. Komponenti më i zhvilluar i sigurisë së informacionit në vendin tonë është konfidencialiteti. Por zbatimi praktik i masave për të siguruar konfidencialitetin e sistemeve moderne të informacionit përballet me vështirësi të mëdha në Rusi. Së pari, informacioni në lidhje me kanalet teknike të rrjedhjes së informacionit është i mbyllur, kështu që shumica e përdoruesve nuk janë në gjendje të marrin një ide për rreziqet e mundshme. Së dyti, ka pengesa të shumta legjislative dhe sfida teknike që qëndrojnë në rrugën e kriptografisë me porosi si një mjet kryesor për të siguruar privatësinë. Veprimet që mund të shkaktojnë dëme në një sistem informacioni mund të ndahen në disa kategori. vjedhja ose shkatërrimi i synuar i të dhënave në një stacion pune ose server; Dëmtimi i të dhënave nga përdoruesi si rezultat i veprimeve të pakujdesshme. . Metodat "elektronike" të ndikimit të kryera nga hakerat. Hakerët kuptohen si njerëz që përfshihen në krime kompjuterike si profesionalisht (përfshirë si pjesë të konkurrencës) ashtu edhe thjesht nga kurioziteti. Këto metoda përfshijnë: hyrje e paautorizuar në rrjetet kompjuterike; Qëllimi i hyrjes së paautorizuar në një rrjet të ndërmarrjes nga jashtë mund të jetë shkaktimi i dëmtimit (shkatërrimi i të dhënave), vjedhja e informacionit konfidencial dhe përdorimi i tyre për qëllime të paligjshme, përdorimi i infrastrukturës së rrjetit për të organizuar sulme ndaj nyjeve të palëve të treta, vjedhja e fondeve nga llogaritë , etj. Një sulm DOS (shkurtuar nga Mohimi i Shërbimit) është një sulm i jashtëm në nyjet e rrjetit të ndërmarrjeve përgjegjëse për funksionimin e tij të sigurt dhe efikas (skedarë, serverë poste). Sulmuesit organizojnë dërgimin masiv të paketave të të dhënave në këto nyje në mënyrë që t'i mbingarkojnë ato dhe, si rezultat, t'i lënë jashtë veprimit për disa kohë. Kjo, si rregull, sjell ndërprerje në proceset e biznesit të kompanisë viktimë, humbje të klientëve, dëmtim të reputacionit, etj. Viruset kompjuterike. Një kategori e veçantë e metodave elektronike të ndikimit janë viruset kompjuterike dhe programet e tjera me qëllim të keq. Ato paraqesin një rrezik real për bizneset moderne që përdorin gjerësisht rrjetet kompjuterike, internetin dhe postën elektronike. Depërtimi i një virusi në nyjet e rrjetit të korporatave mund të çojë në ndërprerje të funksionimit të tyre, humbje të kohës së punës, humbje të të dhënave, vjedhje të informacionit konfidencial dhe madje vjedhje të drejtpërdrejtë të burimeve financiare. Një program virusi që ka depërtuar në një rrjet të korporatës mund t'u japë sulmuesve kontroll të pjesshëm ose të plotë mbi aktivitetet e kompanisë. Të bllokuara. Në vetëm pak vite, posta e padëshiruar është rritur nga një acarim i vogël në një nga kërcënimet më serioze të sigurisë: emaili është bërë kohët e fundit kanali kryesor për përhapjen e malware; spamit kërkon shumë kohë për të parë dhe për të fshirë më pas mesazhet, duke u shkaktuar punonjësve një ndjenjë shqetësimi psikologjik; si individët ashtu edhe organizatat bëhen viktima të skemave mashtruese të kryera nga spammers (viktimat shpesh përpiqen të mos zbulojnë ngjarje të tilla); korrespodenca e rëndësishme shpesh fshihet së bashku me spam, të cilat mund të çojnë në humbjen e klientëve, kontratat e prishura dhe pasoja të tjera të pakëndshme; Rreziku i humbjes së korrespondencës rritet veçanërisht kur përdoren listat e zeza RBL dhe metoda të tjera të filtrimit "të papërpunuara" të spamit. Kërcënime "të natyrshme". Siguria e informacionit të një kompanie mund të ndikohet nga një sërë faktorësh të jashtëm: humbja e të dhënave mund të shkaktohet nga ruajtja e gabuar, vjedhja e kompjuterëve dhe mediave, forca madhore, etj. Një sistem i menaxhimit të sigurisë së informacionit (ISMS ose Sistemi i Menaxhimit të Sigurisë së Informacionit) ju lejon të menaxhoni një sërë masash që zbatojnë një strategji të caktuar të synuar, në këtë rast në lidhje me sigurinë e informacionit. Vini re se ne po flasim jo vetëm për menaxhimin e një sistemi ekzistues, por edhe për ndërtimin e një të ri/ridizajnimi të një të vjetri. Grupi i masave përfshin organizative, teknike, fizike dhe të tjera. Menaxhimi i sigurisë së informacionit është një proces kompleks, i cili mundëson zbatimin e menaxhimit më efektiv dhe gjithëpërfshirës të sigurisë së informacionit në një kompani. Qëllimi i menaxhimit të sigurisë së informacionit është ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Pyetja e vetme është se çfarë lloj informacioni duhet të mbrohet dhe çfarë përpjekjesh duhet të bëhen për të garantuar sigurinë e tij. Çdo menaxhim bazohet në vetëdijen për situatën në të cilën ndodh. Për sa i përket analizës së rrezikut, ndërgjegjësimi për situatën shprehet në inventarizimin dhe vlerësimin e aseteve të organizatës dhe mjedisit të tyre, domethënë gjithçka që siguron zhvillimin e aktiviteteve të biznesit. Nga pikëpamja e analizës së rrezikut të sigurisë së informacionit, asetet kryesore përfshijnë informacionin, infrastrukturën, personelin, imazhin dhe reputacionin e kompanisë. Pa një inventar të aseteve në nivelin e aktivitetit të biznesit, është e pamundur t'i përgjigjemi pyetjes se çfarë saktësisht duhet të mbrohet. Është e rëndësishme të kuptohet se çfarë informacioni përpunohet brenda një organizate dhe ku përpunohet. Në një organizatë të madhe moderne, numri i aseteve të informacionit mund të jetë shumë i madh. Nëse aktivitetet e një organizate janë të automatizuara duke përdorur një sistem ERP, atëherë mund të themi se pothuajse çdo objekt material i përdorur në këtë aktivitet korrespondon me një lloj objekti informacioni. Prandaj, detyra kryesore e menaxhimit të rrezikut është të identifikojë asetet më të rëndësishme. Është e pamundur të zgjidhet ky problem pa përfshirjen e menaxherëve të veprimtarisë kryesore të organizatës, të nivelit të mesëm dhe të lartë. Situata optimale është kur menaxhmenti i lartë i organizatës përcakton personalisht fushat më kritike të veprimtarisë, për të cilat është jashtëzakonisht e rëndësishme të sigurohet siguria e informacionit. Opinioni i menaxhmentit të lartë në lidhje me prioritetet në ofrimin e sigurisë së informacionit është shumë i rëndësishëm dhe i vlefshëm në procesin e analizës së riskut, por në çdo rast ai duhet të qartësohet duke mbledhur informacione për kritikën e aseteve në nivelin mesatar të menaxhimit të kompanisë. Në të njëjtën kohë, këshillohet që të kryhen analiza të mëtejshme pikërisht në fushat e veprimtarisë së biznesit të përcaktuara nga menaxhmenti i lartë. Informacioni i marrë përpunohet, grumbullohet dhe i transmetohet menaxhmentit të lartë për një vlerësim gjithëpërfshirës të situatës. Informacioni mund të identifikohet dhe lokalizohet bazuar në një përshkrim të proceseve të biznesit në të cilat informacioni konsiderohet si një nga llojet e burimeve. Detyra thjeshtohet disi nëse organizata ka adoptuar një qasje për rregullimin e aktiviteteve të biznesit (për shembull, për qëllime të menaxhimit të cilësisë dhe optimizimit të proceseve të biznesit). Përshkrimet e formalizuara të proceseve të biznesit janë një pikënisje e mirë për inventarin e aseteve. Nëse nuk ka përshkrime, mund të identifikoni asetet bazuar në informacionin e marrë nga punonjësit e organizatës. Pasi të jenë identifikuar asetet, duhet të përcaktohet vlera e tyre. Puna e përcaktimit të vlerës së aseteve të informacionit në të gjithë organizatën është më e rëndësishmja dhe komplekse. Është vlerësimi i aseteve të informacionit që do t'i lejojë drejtuesit të departamentit të sigurisë së informacionit të zgjedhë fushat kryesore të veprimtarisë për të garantuar sigurinë e informacionit. Por efikasiteti ekonomik i procesit të menaxhimit të sigurisë së informacionit varet kryesisht nga vetëdija se çfarë duhet të mbrohet dhe çfarë përpjekjesh do të kërkojë kjo, pasi në shumicën e rasteve sasia e përpjekjeve të aplikuara është drejtpërdrejt proporcionale me sasinë e parave të shpenzuara dhe shpenzimet operative. Menaxhimi i rrezikut ju lejon t'i përgjigjeni pyetjes se ku mund të rrezikoni dhe ku jo. Në rastin e sigurisë së informacionit, termi "rrezik" do të thotë se në një fushë të caktuar është e mundur të mos bëhen përpjekje të konsiderueshme për mbrojtjen e aseteve të informacionit dhe në të njëjtën kohë, në rast të një shkeljeje të sigurisë, organizata nuk do të vuajë. humbje të konsiderueshme. Këtu mund të bëjmë një analogji me klasat e mbrojtjes së sistemeve të automatizuara: sa më të rëndësishme të jenë rreziqet, aq më të rrepta duhet të jenë kërkesat e mbrojtjes. Për të përcaktuar pasojat e një shkeljeje të sigurisë, ose duhet të keni informacion për incidente të regjistruara të një natyre të ngjashme, ose të bëni një analizë skenari. Analiza e skenarit shqyrton marrëdhëniet shkak-pasojë midis ngjarjeve të sigurisë së aseteve dhe pasojave të këtyre ngjarjeve në aktivitetet e biznesit të organizatës. Pasojat e skenarëve duhet të vlerësohen nga disa njerëz, në mënyrë të përsëritur ose me qëllim. Duhet theksuar se zhvillimi dhe vlerësimi i skenarëve të tillë nuk mund të shkëputet plotësisht nga realiteti. Duhet të mbani mend gjithmonë se skenari duhet të jetë i mundshëm. Kriteret dhe shkallët për përcaktimin e vlerës janë individuale për çdo organizatë. Bazuar në rezultatet e analizës së skenarit, mund të merret informacion për vlerën e aseteve. Nëse identifikohen asetet dhe përcaktohet vlera e tyre, mund të themi se qëllimet e sigurimit të sigurisë së informacionit janë përcaktuar pjesërisht: përcaktohen objektet e mbrojtjes dhe rëndësia e mbajtjes së tyre në një gjendje sigurie informacioni për organizatën. Ndoshta gjithçka që mbetet është të përcaktohet se nga kush duhet të mbrohet. Pas përcaktimit të qëllimeve të menaxhimit të sigurisë së informacionit, duhet të analizoni problemet që ju pengojnë t'i afroheni shtetit të synuar. Në këtë nivel, procesi i analizës së rrezikut zbret në infrastrukturën e informacionit dhe konceptet tradicionale të sigurisë së informacionit - ndërhyrës, kërcënime dhe dobësi. Për të vlerësuar rreziqet, nuk mjafton të prezantohet një model standard i shkelësit që i ndan të gjithë shkelësit sipas llojit të aksesit në aktiv dhe njohurive për strukturën e aktivit. Kjo ndarje ndihmon në përcaktimin se cilat kërcënime mund të drejtohen ndaj një aktivi, por nuk i përgjigjet pyetjes nëse këto kërcënime, në parim, mund të realizohen. Në procesin e analizës së rrezikut, është e nevojshme të vlerësohet motivimi i shkelësve në zbatimin e kërcënimeve. Në këtë rast, dhunuesi nuk nënkupton një haker abstrakt të jashtëm ose të brendshëm, por një palë e interesuar për të përfituar përfitime duke cenuar sigurinë e një aseti. Këshillohet që informacioni fillestar për modelin e shkelësit, si në rastin e zgjedhjes së drejtimeve fillestare të aktiviteteve të sigurisë së informacionit, të merret nga menaxhmenti i lartë, i cili kupton pozicionin e organizatës në treg, ka informacion për konkurrentët dhe cilat metoda të ndikimit mund të jenë. pritet prej tyre. Informacioni i nevojshëm për të zhvilluar një model të një ndërhyrës mund të merret gjithashtu nga kërkimet e specializuara mbi shkeljet e sigurisë kompjuterike në fushën e biznesit për të cilën po kryhet analiza e rrezikut. Një model ndërhyrës i zhvilluar siç duhet plotëson objektivat e sigurisë së informacionit të përcaktuara gjatë vlerësimit të aseteve të organizatës. Zhvillimi i një modeli kërcënimi dhe identifikimi i dobësive janë të lidhura pazgjidhshmërisht me një inventar të mjedisit të aseteve të informacionit të organizatës. Informacioni në vetvete nuk ruhet apo përpunohet. Qasja në të sigurohet duke përdorur një infrastrukturë informacioni që automatizon proceset e biznesit të organizatës. Është e rëndësishme të kuptohet se si infrastruktura e informacionit dhe asetet e informacionit të një organizate janë të lidhura me njëra-tjetrën. Nga këndvështrimi i menaxhimit të sigurisë së informacionit, rëndësia e infrastrukturës së informacionit mund të përcaktohet vetëm pasi të përcaktohet marrëdhënia midis aseteve të informacionit dhe infrastrukturës. Nëse proceset për mirëmbajtjen dhe funksionimin e infrastrukturës së informacionit në një organizatë janë të rregulluara dhe transparente, mbledhja e informacionit të nevojshëm për të identifikuar kërcënimet dhe për të vlerësuar dobësitë thjeshtohet shumë. Zhvillimi i një modeli kërcënimi është një punë për profesionistët e sigurisë së informacionit të cilët kanë një kuptim të mirë se si një sulmues mund të fitojë akses të paautorizuar në informacion duke shkelur perimetrin e sigurisë ose duke përdorur metoda të inxhinierisë sociale. Kur zhvilloni një model kërcënimi, mund të flisni edhe për skenarë si hapa vijues sipas të cilëve mund të realizohen kërcënimet. Shumë rrallë ndodh që kërcënimet të zbatohen në një hap duke shfrytëzuar një pikë të vetme të cenueshme në sistem. Modeli i kërcënimit duhet të përfshijë të gjitha kërcënimet e identifikuara përmes proceseve të lidhura me menaxhimin e sigurisë së informacionit, të tilla si menaxhimi i cenueshmërisë dhe incidenteve. Duhet mbajtur mend se kërcënimet do të duhet të renditen në raport me njëri-tjetrin sipas nivelit të mundësisë së zbatimit të tyre. Për ta bërë këtë, në procesin e zhvillimit të një modeli kërcënimi për secilin kërcënim, është e nevojshme të tregohen faktorët më domethënës, ekzistenca e të cilëve ndikon në zbatimin e tij. Politika e sigurisë bazohet në një analizë të rreziqeve që njihen si reale për sistemin e informacionit të organizatës. Pasi të jenë analizuar rreziqet dhe të përcaktohet strategjia e mbrojtjes, hartohet një program për sigurinë e informacionit. Për këtë program ndahen burime, caktohen persona përgjegjës, përcaktohet procedura e monitorimit të zbatimit të programit etj. Në një kuptim të gjerë, politika e sigurisë përkufizohet si një sistem vendimesh të dokumentuara të menaxhimit për të garantuar sigurinë e një organizate. Në një kuptim të ngushtë, një politikë sigurie zakonisht kuptohet si një dokument rregullator lokal që përcakton kërkesat e sigurisë, një sistem masash ose një procedurë, si dhe përgjegjësitë e punonjësve të organizatës dhe mekanizmat e kontrollit për një zonë të caktuar sigurie. Përpara se të fillojmë të formulojmë vetë politikën e sigurisë së informacionit, është e nevojshme të kuptojmë konceptet bazë me të cilat do të operojmë. Informacion - informacion (mesazhe, të dhëna) pavarësisht nga forma e paraqitjes së tyre. Konfidencialiteti i informacionit është një kërkesë e detyrueshme për një person që ka fituar akses në informacione të caktuara për të mos transferuar një informacion të tillë te palët e treta pa pëlqimin e pronarit të tij. Siguria e informacionit (IS) është gjendja e sigurisë së mjedisit informativ të shoqërisë, duke siguruar formimin, përdorimin dhe zhvillimin e tij në interes të qytetarëve, organizatave dhe shteteve. Koncepti i "informacionit" sot përdoret mjaft gjerësisht dhe në mënyrë të gjithanshme. Sigurimi i sigurisë së informacionit nuk mund të jetë një akt një herë. Ky është një proces i vazhdueshëm që konsiston në justifikimin dhe zbatimin e metodave, metodave dhe mënyrave më racionale të përmirësimit dhe zhvillimit të sistemit të sigurisë, monitorimit të vazhdueshëm të gjendjes së tij, identifikimit të dobësive dhe veprimeve të paligjshme. Siguria e informacionit mund të sigurohet vetëm përmes përdorimit të integruar të të gjithë gamës së mjeteve të disponueshme të sigurisë në të gjithë elementët strukturorë të sistemit të prodhimit dhe në të gjitha fazat e ciklit teknologjik të përpunimit të informacionit. Efekti më i madh arrihet kur të gjitha mjetet, metodat dhe masat e përdorura kombinohen në një mekanizëm të vetëm holistik - një sistem sigurie informacioni. Në të njëjtën kohë, funksionimi i sistemit duhet të monitorohet, përditësohet dhe plotësohet në varësi të ndryshimeve në kushtet e jashtme dhe të brendshme. Sipas standardit GOST R ISO/IEC 15408:2005, mund të dallohen llojet e mëposhtme të kërkesave të sigurisë: funksionale, që korrespondon me aspektin aktiv të mbrojtjes, kërkesat për funksionet e sigurisë dhe mekanizmat që i zbatojnë ato; kërkesat e besimit që korrespondojnë me aspektin pasiv të imponuar në teknologji dhe në procesin e zhvillimit dhe funksionimit. Është shumë e rëndësishme që siguria në këtë standard të mos merret parasysh në mënyrë statike, por në lidhje me ciklin e jetës së objektit që vlerësohet. Dallohen fazat e mëposhtme: përcaktimi i qëllimit, kushteve të përdorimit, qëllimeve dhe kërkesave të sigurisë; projektimi dhe zhvillimi; testimi, vlerësimi dhe certifikimi; zbatimin dhe funksionimin. Pra, le të hedhim një vështrim më të afërt në kërkesat funksionale të sigurisë. Ato përfshijnë: mbrojtja e të dhënave të përdoruesit; mbrojtjen e funksioneve të sigurisë (kërkesat kanë të bëjnë me integritetin dhe kontrollin e këtyre shërbimeve të sigurisë dhe mekanizmat që i zbatojnë ato); menaxhimi i sigurisë (kërkesat e kësaj klase lidhen me menaxhimin e atributeve dhe parametrave të sigurisë); auditimi i sigurisë (identifikimi, regjistrimi, ruajtja, analiza e të dhënave që ndikojnë në sigurinë e objektit që vlerësohet, reagimi ndaj një shkeljeje të mundshme të sigurisë); privatësia (mbrojtja e përdoruesit nga zbulimi dhe përdorimi i paautorizuar i të dhënave të tij të identifikimit); përdorimi i burimeve (kërkesat për disponueshmërinë e informacionit); komunikimi (autentikimi i palëve të përfshira në shkëmbimin e të dhënave); rrugë/kanal i besuar (për komunikim me shërbimet e sigurisë). Në përputhje me këto kërkesa, është e nevojshme të formulohet sistemi i sigurisë së informacionit të një organizate. Sistemi i sigurisë së informacionit të organizatës përfshin fushat e mëposhtme: rregullatore; organizative (administrative); teknike; softuer; Për të vlerësuar plotësisht situatën në një ndërmarrje në të gjitha fushat e sigurisë, është e nevojshme të zhvillohet një koncept i sigurisë së informacionit që do të krijonte një qasje sistematike ndaj problemit të sigurisë së burimeve të informacionit dhe do të përfaqësonte një deklaratë sistematike të qëllimeve, objektivave, parimeve të projektimit dhe një grup masash për të garantuar sigurinë e informacionit në një ndërmarrje. Sistemi i menaxhimit të rrjetit të korporatës duhet të bazohet në parimet (detyrat) e mëposhtme: sigurimi i mbrojtjes së infrastrukturës ekzistuese të informacionit të ndërmarrjes nga ndërhyrës; sigurimi i kushteve për lokalizimin dhe minimizimin e dëmeve të mundshme; eliminimi i shfaqjes së burimeve të kërcënimeve në fazën fillestare; sigurimi i mbrojtjes së informacionit kundër tre llojeve kryesore të kërcënimeve në zhvillim (disponueshmëria, integriteti, konfidencialiteti); Zgjidhja e problemeve të mësipërme arrihet me; rregullimi i veprimeve të përdoruesve gjatë punës me sistemin e informacionit; rregullimi i veprimeve të përdoruesve gjatë punës me bazën e të dhënave; kërkesat uniforme për besueshmërinë e harduerit dhe softuerit; procedurat për monitorimin e funksionimit të sistemit të informacionit (regjistrimi i ngjarjeve, analizimi i protokolleve, analizimi i trafikut të rrjetit, analizimi i funksionimit të pajisjeve teknike); Politika e sigurisë së informacionit përfshin: dokumenti kryesor është “Politika e Sigurisë”. Ai përshkruan përgjithësisht politikën e sigurisë së organizatës, dispozitat e përgjithshme, dhe gjithashtu tregon dokumentet përkatëse për të gjitha aspektet e politikës; udhëzime për rregullimin e punës së përdoruesve; përshkrimi i punës për administratorin e rrjetit lokal; përshkrimi i punës së administratorit të bazës së të dhënave; udhëzime për të punuar me burimet e Internetit; udhëzime për organizimin e mbrojtjes me fjalëkalim; udhëzime për organizimin e mbrojtjes antivirus. Dokumenti i Politikës së Sigurisë përmban dispozitat kryesore. Mbi bazën e tij ndërtohet një program sigurie informacioni, ndërtohen përshkrimet e punës dhe rekomandimet. Udhëzimet për rregullimin e punës së përdoruesve të rrjetit lokal të një organizate rregullojnë procedurën për lejimin e përdoruesve të punojnë në rrjetin kompjuterik lokal të organizatës, si dhe rregullat për trajtimin e informacionit të mbrojtur të përpunuar, ruajtur dhe transmetuar në organizatë. Përshkrimi i punës së një administratori të rrjetit lokal përshkruan përgjegjësitë e një administratori të rrjetit lokal në lidhje me sigurinë e informacionit. Përshkrimi i punës së një administratori të bazës së të dhënave përcakton përgjegjësitë, funksionet dhe të drejtat kryesore të një administratori të bazës së të dhënave. Ai përshkruan me shumë detaje të gjitha përgjegjësitë e punës dhe funksionet e një administratori të bazës së të dhënave, si dhe të drejtat dhe përgjegjësitë. Udhëzimet për të punuar me burimet e Internetit pasqyrojnë rregullat themelore për punë të sigurt me internetin, dhe gjithashtu përmbajnë një listë të veprimeve të pranueshme dhe të papranueshme kur punoni me burimet e Internetit. Udhëzimet për organizimin e mbrojtjes antivirus përcaktojnë dispozitat themelore, kërkesat për organizimin e mbrojtjes antivirus të sistemit të informacionit të një organizate, të gjitha aspektet që lidhen me funksionimin e softuerit antivirus, si dhe përgjegjësinë në rast të shkeljes së antivirusit. -mbrojtje nga virusi. Udhëzimet për organizimin e mbrojtjes me fjalëkalim rregullojnë mbështetjen organizative dhe teknike për proceset e gjenerimit, ndryshimit dhe përfundimit të fjalëkalimeve (fshirja e llogarive të përdoruesve). Veprimet e përdoruesve dhe personelit të mirëmbajtjes kur punojnë me sistemin janë gjithashtu të rregulluara. Pra, baza për organizimin e procesit të mbrojtjes së informacionit është politika e sigurisë, e formuluar për të përcaktuar se nga cilat kërcënime dhe si mbrohet informacioni në sistemin e informacionit. Politika e sigurisë i referohet një sërë masash ligjore, organizative dhe teknike për të mbrojtur informacionin e miratuar në një organizatë të caktuar. Kjo do të thotë, politika e sigurisë përmban shumë kushte në të cilat përdoruesit fitojnë akses në burimet e sistemit pa humbur vetitë e sigurisë së informacionit të këtij sistemi. Problemi i sigurimit të sigurisë së informacionit duhet të zgjidhet në mënyrë sistematike. Kjo do të thotë se mbrojtje të ndryshme (hardware, software, fizike, organizative etj.) duhet të aplikohen njëkohësisht dhe nën kontroll të centralizuar. Sot ekziston një arsenal i madh metodash për të siguruar sigurinë e informacionit: mjetet e identifikimit dhe autentifikimit të përdoruesve; mjetet e enkriptimit të informacionit të ruajtur në kompjuter dhe të transmetuar përmes rrjeteve; muret e zjarrit; rrjete private virtuale; mjete për filtrimin e përmbajtjes; mjete për kontrollimin e integritetit të përmbajtjes së diskut; mjete mbrojtëse antivirus; sistemet e zbulimit të cenueshmërisë së rrjetit dhe analizuesit e sulmeve në rrjet. Secili nga mjetet e listuara mund të përdoret ose në mënyrë të pavarur ose në integrim me të tjerët. Kjo bën të mundur krijimin e sistemeve të sigurisë së informacionit për rrjete të çdo kompleksiteti dhe konfigurimi, pavarësisht nga platformat e përdorura. Sistemi i vërtetimit (ose identifikimit), autorizimit dhe administrimit. Identifikimi dhe autorizimi janë elementë kyç të sigurisë së informacionit. Funksioni i autorizimit është përgjegjës për cilat burime ka akses një përdorues specifik. Funksioni i administrimit është t'i sigurojë përdoruesit karakteristika të caktuara identifikimi brenda një rrjeti të caktuar dhe të përcaktojë fushën e veprimeve të lejuara për të. Sistemet e enkriptimit bëjnë të mundur minimizimin e humbjeve në rast të aksesit të paautorizuar në të dhënat e ruajtura në një hard disk ose media të tjera, si dhe përgjimin e informacionit kur dërgohet me email ose transmetohet nëpërmjet protokolleve të rrjetit. Qëllimi i këtij mjeti mbrojtës është të sigurojë konfidencialitet. Kërkesat kryesore për sistemet e kriptimit janë një nivel i lartë i fuqisë kriptografike dhe ligjshmëria e përdorimit në territorin e Rusisë (ose shteteve të tjera). Një mur zjarri është një sistem ose kombinim sistemesh që formon një barrierë mbrojtëse midis dy ose më shumë rrjeteve për të parandaluar hyrjen ose daljen e paketave të të dhënave të paautorizuara nga rrjeti. Parimi themelor i funksionimit të mureve të zjarrit është të kontrollojnë çdo paketë të dhënash për përputhjen e adresave IP hyrëse dhe dalëse me një bazë të dhënash të adresave të lejuara. Kështu, muret e zjarrit zgjerojnë ndjeshëm aftësitë e segmentimit të rrjeteve të informacionit dhe kontrollit të qarkullimit të të dhënave. Kur flasim për kriptografinë dhe muret e zjarrit, duhet të përmendim rrjetet e sigurta private virtuale (VPN). Përdorimi i tyre bën të mundur zgjidhjen e problemeve të konfidencialitetit dhe integritetit të të dhënave kur transmetohen përmes kanaleve të hapura të komunikimit. Përdorimi i një VPN mund të reduktohet në zgjidhjen e tre problemeve kryesore: mbrojtja e flukseve të informacionit ndërmjet zyrave të ndryshme të kompanisë (informacioni është i koduar vetëm në dalje në rrjetin e jashtëm); akses i sigurt i përdoruesve të rrjetit në distancë në burimet e informacionit të kompanisë, zakonisht i kryer nëpërmjet internetit; mbrojtja e rrjedhave të informacionit ndërmjet aplikacioneve individuale brenda rrjeteve të korporatave (ky aspekt është gjithashtu shumë i rëndësishëm, pasi shumica e sulmeve kryhen nga rrjetet e brendshme). Një mjet efektiv për t'u mbrojtur nga humbja e informacionit konfidencial është filtrimi i përmbajtjes së emailit në hyrje dhe në dalje. Kontrollimi i vetë mesazheve të emailit dhe bashkëngjitjeve të tyre bazuar në rregullat e vendosura nga organizata gjithashtu ndihmon në mbrojtjen e kompanive nga përgjegjësia në padi dhe mbron punonjësit e tyre nga postat e padëshiruara. Mjetet e filtrimit të përmbajtjes ju lejojnë të skanoni skedarë të të gjitha formateve të zakonshme, duke përfshirë skedarët e ngjeshur dhe grafikë. Në të njëjtën kohë, xhiroja e rrjetit mbetet praktikisht e pandryshuar. Të gjitha ndryshimet në një stacion pune ose server mund të monitorohen nga administratori i rrjetit ose përdoruesi tjetër i autorizuar falë teknologjisë së kontrollit të integritetit të përmbajtjes së diskut (kontrolli i integritetit). Kjo ju lejon të zbuloni çdo veprim me skedarë (ndryshim, fshirje ose thjesht hapje) dhe të identifikoni aktivitetin e virusit, aksesin e paautorizuar ose vjedhjen e të dhënave nga përdoruesit e autorizuar. Kontrolli kryhet në bazë të analizës së shumave të kontrollit të dosjeve (shumat CRC). Teknologjitë moderne antivirus bëjnë të mundur identifikimin e pothuajse të gjitha programeve të virusit tashmë të njohur duke krahasuar kodin e një skedari të dyshimtë me mostrat e ruajtura në bazën e të dhënave antivirus. Përveç kësaj, janë zhvilluar teknologji të modelimit të sjelljes që bëjnë të mundur zbulimin e programeve të viruseve të krijuara rishtazi. Objektet e zbuluara mund të trajtohen, të izolohen (të karantinohen) ose të fshihen. Mbrojtja nga viruset mund të instalohet në stacionet e punës, serverët e skedarëve dhe postës, muret e zjarrit që funksionojnë pothuajse nën çdo sistem operativ të zakonshëm (sistemet Windows, Unix dhe Linux, Novell) në lloje të ndryshme procesorësh. Filtrat e postës së padëshiruar reduktojnë ndjeshëm kostot joproduktive të punës që lidhen me analizimin e mesazheve të padëshiruara, zvogëlojnë trafikun dhe ngarkesën e serverit, përmirësojnë sfondin psikologjik në ekip dhe zvogëlojnë rrezikun e përfshirjes së punonjësve të kompanisë në transaksione mashtruese. Për më tepër, filtrat e spamit zvogëlojnë rrezikun e infektimit me viruse të reja, pasi mesazhet që përmbajnë viruse (madje edhe ato që nuk janë përfshirë ende në bazat e të dhënave të programeve antivirus) shpesh kanë shenja spam dhe filtrohen. Vërtetë, efekti pozitiv i filtrimit të spamit mund të mohohet nëse filtri, së bashku me mesazhet e padëshiruara, heq ose shënon si mesazhe të padëshiruara dhe të dobishme, biznesi ose personale. Dëmi i madh i shkaktuar kompanive nga viruset dhe sulmet e hakerëve është kryesisht pasojë e dobësive në softuerin e përdorur. Ato mund të identifikohen paraprakisht, pa pritur një sulm të vërtetë, duke përdorur sistemet e zbulimit të cenueshmërisë së rrjetit kompjuterik dhe analizuesit e sulmeve në rrjet. Një softuer i tillë simulon në mënyrë të sigurt sulmet e zakonshme dhe metodat e ndërhyrjes dhe përcakton se çfarë mund të shohë një haker në rrjet dhe si mund të shfrytëzojë burimet e tij. Për t'iu kundërvënë kërcënimeve natyrore ndaj sigurisë së informacionit, kompania duhet të zhvillojë dhe zbatojë një sërë procedurash për të parandaluar situatat emergjente (për shembull, për të siguruar mbrojtjen fizike të të dhënave nga zjarri) dhe për të minimizuar dëmet nëse lind një situatë e tillë. Një nga metodat kryesore të mbrojtjes nga humbja e të dhënave është rezervimi me respektim të rreptë të procedurave të vendosura (rregullsia, llojet e mediave, metodat e ruajtjes së kopjeve, etj.). Politika e sigurisë së informacionit është një paketë dokumentesh që rregullojnë punën e punonjësve, duke përshkruar rregullat themelore për të punuar me informacionin, sistemet e informacionit, bazat e të dhënave, rrjetet lokale dhe burimet e Internetit. Është e rëndësishme të kuptohet se çfarë vendi zë politika e sigurisë së informacionit në sistemin e përgjithshëm të menaxhimit të një organizate. Më poshtë janë masat e përgjithshme organizative që lidhen me politikat e sigurisë. Në nivelin procedural, mund të dallohen klasat e mëposhtme të masave: Menaxhimi i personelit; mbrojtje fizike; ruajtja e performancës; reagimi ndaj shkeljeve të sigurisë; planifikimi i punës restauruese. Menaxhimi i burimeve njerëzore fillon me punësimin, por edhe para kësaj, ju duhet të përcaktoni privilegjet e kompjuterit që lidhen me pozicionin. Ka dy parime të përgjithshme që duhen mbajtur parasysh: ndarjen e detyrave; minimizimi i privilegjeve. Parimi i ndarjes së detyrave përshkruan se si të shpërndahen rolet dhe përgjegjësitë në mënyrë që një person të mos mund të prishë një proces kritik për organizatën. Për shembull, është e padëshirueshme që një person të bëjë pagesa të mëdha në emër të një organizate. Është më e sigurt të udhëzosh një punonjës që të përpunojë aplikimet për pagesa të tilla dhe një tjetër t'i certifikojë këto aplikacione. Një shembull tjetër janë kufizimet procedurale mbi veprimet e superpërdoruesit. Ju mund ta "ndani" artificialisht fjalëkalimin e superpërdoruesit duke ndarë pjesën e parë të tij me një punonjës dhe pjesën e dytë me një tjetër. Më pas ata mund të kryejnë veprime kritike për të administruar sistemin e informacionit vetëm së bashku, gjë që redukton gjasat e gabimeve dhe abuzimeve. Parimi i privilegjit më të vogël kërkon që përdoruesve t'u jepen vetëm ato të drejta aksesi që u nevojiten për të kryer përgjegjësitë e tyre të punës. Qëllimi i këtij parimi është i qartë - të zvogëlojë dëmin nga veprimet e gabuara aksidentale ose të qëllimshme. Përgatitja paraprake e një përshkrimi të punës ju lejon të vlerësoni kritikën e tij dhe të planifikoni procedurën për shqyrtimin dhe përzgjedhjen e kandidatëve. Sa më i përgjegjshëm të jetë pozicioni, aq më me kujdes duhet të kontrolloni kandidatët: bëni pyetje rreth tyre, ndoshta bisedoni me ish-kolegët, etj. Një procedurë e tillë mund të jetë e gjatë dhe e shtrenjtë, kështu që nuk ka kuptim ta ndërlikojmë më tej. Në të njëjtën kohë, është e paarsyeshme të refuzohet plotësisht ekzaminimi paraprak për të shmangur punësimin aksidental të dikujt me precedentë penalë ose sëmundje mendore. Pasi të jetë identifikuar një kandidat, ai ose ajo ka të ngjarë t'i nënshtrohet trajnimit; së paku, ai duhet të njihet tërësisht me përgjegjësitë e punës dhe rregulloret dhe procedurat e sigurisë së informacionit. Këshillohet që ai të kuptojë masat e sigurisë përpara se të marrë detyrën dhe përpara se të krijojë llogarinë e tij të sistemit me emrin e hyrjes, fjalëkalimin dhe privilegjet. Siguria e një sistemi informacioni varet nga mjedisi në të cilin ai operon. Është e nevojshme të merren masa për të mbrojtur ndërtesat dhe zonat përreth, infrastrukturën mbështetëse, pajisjet kompjuterike dhe mjetet e ruajtjes. Le të shqyrtojmë fushat e mëposhtme të mbrojtjes fizike: kontrolli fizik i aksesit; mbrojtja e infrastrukturës mbështetëse; mbrojtjen e sistemeve celulare. Masat e kontrollit fizik të aksesit ju lejojnë të kontrolloni dhe, nëse është e nevojshme, të kufizoni hyrjen dhe daljen e punonjësve dhe vizitorëve. E gjithë ndërtesa e një organizate mund të kontrollohet, si dhe dhoma individuale, për shembull, ato ku ndodhen serverët, pajisjet e komunikimit, etj. Infrastruktura mbështetëse përfshin sistemet e furnizimit me energji elektrike, ujë dhe ngrohje, ajër të kondicionuar dhe komunikim. Në parim, të njëjtat kërkesa për integritet dhe disponueshmëri zbatohen për to si për sistemet e informacionit. Për të siguruar integritetin, pajisjet duhet të mbrohen nga vjedhja dhe dëmtimi. Për të ruajtur disponueshmërinë, duhet të zgjidhni pajisje me MTBF maksimale, të dyfishoni komponentë kritikë dhe të keni gjithmonë pjesë rezervë në dorë. Në përgjithësi, duhet të bëhet një analizë e rrezikut gjatë zgjedhjes së pajisjeve mbrojtëse fizike. Kështu, kur vendosni të blini një furnizim me energji të pandërprerë, është e nevojshme të merret parasysh cilësia e furnizimit me energji elektrike në ndërtesën e zënë nga organizata (megjithatë, pothuajse me siguri do të dalë e dobët), natyra dhe kohëzgjatja e dështimet e energjisë, kostoja e burimeve të disponueshme dhe humbjet e mundshme nga aksidentet (prishja e pajisjeve, pezullimi i punës së organizatës etj.) Le të shqyrtojmë një sërë masash që synojnë ruajtjen e funksionalitetit të sistemeve të informacionit. Pikërisht në këtë zonë qëndron rreziku më i madh. Gabimet e paqëllimshme të administratorëve dhe përdoruesve të sistemit mund të çojnë në humbje të performancës, përkatësisht dëmtim të pajisjeve, shkatërrim të programeve dhe të dhënave. Ky është skenari më i keq. Në rastin më të mirë, ato krijojnë vrima sigurie që mundësojnë shfaqjen e kërcënimeve të sigurisë së sistemit. Problemi kryesor i shumë organizatave është nënvlerësimi i faktorëve të sigurisë në punën e përditshme. Veçoritë e shtrenjta të sigurisë janë të pakuptimta nëse janë të dokumentuara dobët, në konflikt me softuer të tjerë dhe fjalëkalimi i administratorit të sistemit nuk është ndryshuar që nga instalimi. Për aktivitetet e përditshme që synojnë ruajtjen e funksionalitetit të sistemit të informacionit, mund të dallohen veprimet e mëposhtme: mbështetje për përdoruesit; mbështetje softuerike; menaxhimi i konfigurimit; rezervë; menaxhimi i medias; dokumentacion; mirëmbajtje rutinore. Mbështetja e përdoruesit nënkupton, para së gjithash, konsultim dhe ndihmë në zgjidhjen e llojeve të ndryshme të problemeve. Është shumë e rëndësishme të jesh në gjendje të identifikosh problemet që lidhen me sigurinë e informacionit në një rrjedhë pyetjesh. Kështu, shumë vështirësi për përdoruesit që punojnë në kompjuterë personalë mund të jenë rezultat i infektimit me virus. Këshillohet që të regjistrohen pyetjet e përdoruesve në mënyrë që të identifikohen gabimet e tyre të zakonshme dhe të lëshohen përkujtues me rekomandime për situata të zakonshme. Mbështetja e softuerit është një nga mjetet më të rëndësishme për të siguruar integritetin e informacionit. Para së gjithash, ju duhet të mbani gjurmët e softuerit të instaluar në kompjuterët tuaj. Nëse përdoruesit instalojnë programe sipas gjykimit të tyre, kjo mund të çojë në infeksion me viruse, si dhe në shfaqjen e shërbimeve që anashkalojnë masat e mbrojtjes. Ka gjithashtu të ngjarë që "aktivitetet e pavarura" të përdoruesve gradualisht të çojnë në kaos në kompjuterët e tyre dhe administratori i sistemit do të duhet të korrigjojë situatën. Aspekti i dytë i mbështetjes së softuerit është kontrolli mbi mungesën e ndryshimeve të paautorizuara në programe dhe të drejtat e aksesit në to. Kjo përfshin gjithashtu mbështetjen për kopjet referuese të sistemeve softuerike. Kontrolli zakonisht arrihet nëpërmjet një kombinimi të kontrolleve fizike dhe logjike të aksesit, si dhe përdorimit të shërbimeve të verifikimit dhe integritetit. Menaxhimi i konfigurimit ju lejon të kontrolloni dhe regjistroni ndryshimet e bëra në konfigurimin e softuerit. Para së gjithash, ju duhet të siguroheni kundër modifikimeve aksidentale ose të konceptuara keq dhe të jeni në gjendje të paktën të ktheheni në një version të mëparshëm, funksional. Kryerja e ndryshimeve do ta bëjë të lehtë rikthimin e versionit aktual pas një fatkeqësie. Mënyra më e mirë për të reduktuar gabimet në punën rutinë është ta automatizoni atë sa më shumë që të jetë e mundur. Automatizimi dhe siguria varen nga njëra-tjetra, sepse ai që kujdeset kryesisht për lehtësimin e detyrës së tij është në fakt ai që formëson në mënyrë optimale regjimin e sigurisë së informacionit. Rezervimi është i nevojshëm për të rivendosur programet dhe të dhënat pas fatkeqësive. Dhe këtu është e këshillueshme që të automatizoni punën, minimalisht, duke krijuar një program kompjuterik për krijimin e kopjeve të plota dhe në rritje, dhe, në maksimum, duke përdorur produktet e duhura softuerike. Është gjithashtu e nevojshme të organizohet vendosja e kopjeve në një vend të sigurt, të mbrojtur nga aksesi i paautorizuar, zjarret, rrjedhjet, domethënë nga çdo gjë që mund të çojë në vjedhje ose dëmtim të medias. Këshillohet që të keni disa kopje të kopjeve rezervë dhe të ruani disa prej tyre jashtë vendit, duke mbrojtur kështu nga aksidente të mëdha dhe incidente të ngjashme. Herë pas here, për qëllime testimi, duhet të kontrolloni mundësinë e rikthimit të informacionit nga kopjet. Menaxhimi i medias është i nevojshëm për të ofruar siguri fizike dhe kontabilitet për disketat, shiritat, daljet e printuara, etj. Menaxhimi i medias duhet të sigurojë konfidencialitetin, integritetin dhe disponueshmërinë e informacionit të ruajtur jashtë sistemeve kompjuterike. Mbrojtja fizike këtu nënkupton jo vetëm zmbrapsjen e përpjekjeve për akses të paautorizuar, por edhe mbrojtjen nga ndikimet e dëmshme mjedisore (nxehtësia, i ftohti, lagështia, magnetizmi). Menaxhimi i medias duhet të mbulojë të gjithë ciklin e jetës, nga prokurimi deri te çaktivizimi. Dokumentacioni është një pjesë integrale e sigurisë së informacionit. Pothuajse gjithçka është e dokumentuar në formën e dokumenteve - nga politika e sigurisë deri te regjistri i medias. Është e rëndësishme që dokumentacioni të jetë i përditësuar dhe të pasqyrojë gjendjen aktuale të punëve dhe në mënyrë konsistente. Kërkesat e konfidencialitetit zbatohen për ruajtjen e disa dokumenteve (që përmbajnë, për shembull, një analizë të dobësive dhe kërcënimeve të sistemit), ndërsa të tjerat, si plani i rimëkëmbjes nga fatkeqësitë, i nënshtrohen kërkesave të integritetit dhe disponueshmërisë (në një situatë kritike, plani duhet të gjendet dhe të lexohet). Puna rutinë është një rrezik shumë serioz i sigurisë. Një punonjës që kryen mirëmbajtje rutinë merr akses ekskluziv në sistem dhe në praktikë është shumë e vështirë të kontrollosh saktësisht se çfarë veprimesh kryen. Këtu del në pah shkalla e besimit tek ata që bëjnë punën. Politika e sigurisë e miratuar nga organizata duhet të parashikojë një sërë masash operacionale që synojnë zbulimin dhe neutralizimin e shkeljeve të regjimit të sigurisë së informacionit. Është e rëndësishme që në raste të tilla sekuenca e veprimeve të planifikohet paraprakisht, pasi masat duhet të merren urgjentisht dhe në mënyrë të koordinuar. Reagimi ndaj shkeljeve të sigurisë ka tre qëllime kryesore: lokalizimi i incidentit dhe zvogëlimi i dëmit; parandalimi i shkeljeve të përsëritura. Shpesh kërkesa për të lokalizuar një incident dhe për të zvogëluar dëmin bie në konflikt me dëshirën për të identifikuar shkelësin. Politika e sigurisë e organizatës duhet t'i jepet prioritet herët. Meqenëse, siç tregon praktika, është shumë e vështirë të identifikohet një sulmues, për mendimin tonë, para së gjithash duhet pasur kujdes për të zvogëluar dëmin. Asnjë organizatë nuk është e imunizuar nga aksidentet e rënda të shkaktuara nga shkaqe natyrore, veprime keqdashëse, neglizhencë ose paaftësia. Në të njëjtën kohë, çdo organizatë ka funksione që menaxhmenti i konsideron kritike dhe duhet të kryhen pa marrë parasysh çfarë. Planifikimi i punës së restaurimit ju lejon të përgatiteni për aksidente, të zvogëloni dëmet prej tyre dhe të ruani aftësinë për të funksionuar të paktën në një masë minimale. Vini re se masat e sigurisë së informacionit mund të ndahen në tre grupe, në varësi të faktit nëse ato synojnë parandalimin, zbulimin ose eliminimin e pasojave të sulmeve. Shumica e masave janë të natyrës paraprake. Procesi i planifikimit të restaurimit mund të ndahet në fazat e mëposhtme: identifikimi i funksioneve kritike të organizatës, përcaktimi i prioriteteve; identifikimi i burimeve të nevojshme për kryerjen e funksioneve kritike; përcaktimi i listës së aksidenteve të mundshme; zhvillimi i një strategjie restaurimi; përgatitja për zbatimin e strategjisë së zgjedhur; duke kontrolluar strategjinë. Kur planifikoni punën e restaurimit, duhet të jeni të vetëdijshëm se nuk është gjithmonë e mundur të ruhet plotësisht funksionimi i organizatës. Është e nevojshme të identifikohen funksionet kritike, pa të cilat organizata humbet fytyrën e saj, dhe madje të jepet përparësi midis funksioneve kritike, në mënyrë që të rifillojë punën pas një aksidenti sa më shpejt të jetë e mundur dhe me kosto minimale. Kur identifikoni burimet e nevojshme për të kryer funksione kritike, mbani mend se shumë prej tyre nuk janë të natyrës kompjuterike. Në këtë fazë, këshillohet që në punë të përfshihen specialistë të profileve të ndryshme. Kështu, ekziston një numër i madh i metodave të ndryshme për të siguruar sigurinë e informacionit. Më efektive është përdorimi i të gjitha këtyre metodave në një kompleks të vetëm. Sot, tregu modern i sigurisë është i ngopur me mjete të sigurisë së informacionit. Duke studiuar vazhdimisht ofertat ekzistuese të tregut të sigurisë, shumë kompani shohin pamjaftueshmërinë e fondeve të investuara më parë në sistemet e sigurisë së informacionit, për shembull, për shkak të vjetërsimit të pajisjeve dhe softuerit. Prandaj, ata po kërkojnë zgjidhje për këtë problem. Mund të ketë dy opsione të tilla: nga njëra anë, një zëvendësim i plotë i sistemit të mbrojtjes së informacionit të korporatës, i cili do të kërkojë investime të mëdha, dhe nga ana tjetër, modernizimi i sistemeve ekzistuese të sigurisë. Opsioni i fundit për zgjidhjen e këtij problemi është më pak i kushtueshëm, por sjell probleme të reja, për shembull, kërkon një përgjigje për pyetjet e mëposhtme: si të sigurohet përputhshmëria e mjeteve të sigurisë së vjetër, të ruajtur nga hardueri dhe softueri ekzistues dhe elementet e reja të sistemi i sigurisë së informacionit; si të sigurohet një menaxhim i centralizuar i mjeteve heterogjene të sigurisë; si të vlerësohen dhe, nëse është e nevojshme, të rivlerësohen rreziqet e informacionit të kompanisë. Kapitulli 2. Analiza e sistemit të sigurisë së informacionit 1 Fusha e veprimtarisë së shoqërisë dhe analiza e treguesve financiarë OJSC Gazprom është një kompani globale e energjisë. Aktivitetet kryesore janë kërkimi gjeologjik, prodhimi, transporti, magazinimi, përpunimi dhe shitja e gazit, kondensatës së gazit dhe naftës, si dhe prodhimi dhe shitja e nxehtësisë dhe energjisë elektrike. Gazprom e sheh misionin e tij në sigurimin e besueshëm, efikas dhe të balancuar të konsumatorëve me gaz natyror, lloje të tjera burimesh energjetike dhe produkte të tyre të përpunuara. Gazprom ka rezervat më të pasura të gazit natyror në botë. Pjesa e saj në rezervat botërore të gazit është 18%, në rusisht - 70%. Gazprom përbën 15% të prodhimit global dhe 78% të gazit rus. Aktualisht, kompania po zbaton në mënyrë aktive projekte në shkallë të gjerë për zhvillimin e burimeve të gazit të Gadishullit Yamal, raftit Arktik, Siberisë Lindore dhe Lindjes së Largët, si dhe një sërë projektesh për eksplorimin dhe prodhimin e hidrokarbureve jashtë vendit. Gazprom është një furnizues i besueshëm i gazit për konsumatorët rusë dhe të huaj. Kompania zotëron rrjetin më të madh të transportit të gazit në botë - Sistemin e Unifikuar të Furnizimit me Gaz të Rusisë, gjatësia e të cilit tejkalon 161 mijë km. Gazprom shet më shumë se gjysmën e gazit që shet në tregun vendas. Përveç kësaj, kompania furnizon me gaz 30 vende të jashtme të afërta dhe të largëta. Gazprom është prodhuesi dhe eksportuesi i vetëm i gazit natyror të lëngshëm në Rusi dhe siguron rreth 5% të prodhimit global të LNG. Kompania është një nga pesë prodhuesit më të mëdhenj të naftës në Federatën Ruse, dhe është gjithashtu pronari më i madh i aseteve gjeneruese në territorin e saj. Kapaciteti total i tyre i instaluar është 17% e kapacitetit total të instaluar të sistemit energjetik rus. Qëllimi strategjik është të vendosë OAO Gazprom si një lider midis kompanive globale të energjisë përmes zhvillimit të tregjeve të reja, diversifikimit të aktiviteteve dhe sigurimit të besueshmërisë së furnizimeve. Le të shqyrtojmë performancën financiare të kompanisë gjatë dy viteve të fundit. Rezultatet operative të kompanisë janë paraqitur në Shtojcën 1. Më 31 dhjetor 2010, të ardhurat nga shitjet arritën në 2,495,557 milion rubla, kjo shifër është shumë më e ulët në krahasim me të dhënat e vitit 2011, domethënë 3,296,656 milion rubla. Të ardhurat nga shitjet (neto nga akciza, TVSH dhe detyrimet doganore) u rritën me 801,099 milion rubla, ose 32%, për nëntë muajt e përfunduar më 30 shtator 2011, krahasuar me të njëjtën periudhë të vitit të kaluar, duke arritur në 3,296 656 milion rubla. Bazuar në rezultatet e vitit 2011, të ardhurat neto nga shitja e gazit përbënin 60% të totalit të të ardhurave neto nga shitjet (60% për të njëjtën periudhë të vitit të kaluar). Të ardhurat neto nga shitja e gazit u rritën nga 1,495,335 milion rubla. për vitin deri në 1,987,330 milion rubla. për të njëjtën periudhë të vitit 2011, ose me 33%. Të ardhurat neto nga shitjet e gazit në Evropë dhe vende të tjera u rritën me 258,596 milionë rubla, ose 34%, krahasuar me të njëjtën periudhë të vitit të kaluar, dhe arritën në 1,026,451 milionë rubla. Rritja e përgjithshme e shitjeve të gazit në Evropë dhe vende të tjera ishte për shkak të rritjes së çmimeve mesatare. Çmimi mesatar në rubla (përfshirë detyrimet doganore) u rrit me 21% për nëntë muajt e përfunduar më 30 shtator 2011 krahasuar me të njëjtën periudhë të vitit 2010. Përveç kësaj, vëllimet e shitjeve të gazit u rritën me 8% krahasuar me të njëjtën periudhë të vitit të kaluar. Të ardhurat neto nga shitja e gazit në vendet e ish-Bashkimit Sovjetik u rritën gjatë së njëjtës periudhë të vitit 2010 me 168,538 milionë rubla, ose 58%, dhe arritën në 458,608 milionë rubla. Ndryshimi u nxit kryesisht nga një rritje prej 33% në shitjet e gazit në ish-Bashkimin Sovjetik për nëntë muajt e përfunduar më 30 shtator 2011 krahasuar me të njëjtën periudhë të vitit të kaluar. Për më tepër, çmimi mesatar në rubla (përfshirë detyrimet doganore, më pak TVSH) u rrit me 15% në krahasim me të njëjtën periudhë të vitit të kaluar. Të ardhurat neto nga shitja e gazit në Federatën Ruse u rritën me 64,861 milionë rubla, ose 15%, krahasuar me të njëjtën periudhë të vitit të kaluar, dhe arritën në 502,271 milionë rubla. Kjo është kryesisht për shkak të rritjes së çmimit mesatar të gazit me 13% në krahasim me të njëjtën periudhë të vitit të kaluar, e cila shoqërohet me një rritje të tarifave të vendosura nga Shërbimi Federal i Tarifave (FTS). Të ardhurat neto nga shitja e produkteve të naftës dhe gazit (pa akcizë, TVSH dhe detyrime doganore) u rritën me 213,012 milion rubla, ose 42%, dhe arritën në 717,723 milion rubla. krahasuar me të njëjtën periudhë të vitit të kaluar. Kjo rritje shpjegohet kryesisht me rritjen e çmimeve botërore të produkteve të naftës dhe gazit dhe me rritjen e vëllimit të shitjeve në krahasim me të njëjtën periudhë të vitit të kaluar. Të ardhurat e Gazprom Neft Group arritën përkatësisht në 85% dhe 84% të të ardhurave totale neto nga shitja e produkteve të naftës dhe gazit. Të ardhurat neto nga shitja e energjisë elektrike dhe termike (pa TVSH) u rritën me 38,097 milion rubla, ose 19%, dhe arritën në 237,545 milion rubla. Rritja e të ardhurave nga shitja e energjisë elektrike dhe termike është kryesisht për shkak të rritjes së tarifave për energjinë elektrike dhe termike, si dhe rritjes së vëllimit të shitjeve të energjisë elektrike dhe termike. Të ardhurat neto nga shitja e naftës së papërpunuar dhe kondensatës së gazit (pa akcizën, TVSH-në dhe detyrimet doganore) u rritën me 23,072 milionë rubla, ose 16%, dhe arritën në 164,438 milionë rubla. krahasuar me 141,366 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Ndryshimi është shkaktuar kryesisht nga rritja e çmimeve të naftës dhe kondensatës së gazit. Përveç kësaj, ndryshimi u shkaktua nga një rritje në shitjet e kondensatës së gazit. Të ardhurat nga shitja e naftës së papërpunuar arritën në 133,368 milion rubla. dhe 121,675 milion rubla. në të ardhurat neto nga shitja e naftës bruto dhe kondensatës së gazit (pa akcizën, TVSH-në dhe detyrimet doganore) përkatësisht në vitin 2011 dhe 2010. Të ardhurat neto nga shitja e shërbimeve të transportit të gazit (neto nga TVSH) u rritën me 15,306 milionë rubla, ose 23%, dhe arritën në 82,501 milionë rubla, krahasuar me 67,195 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Kjo rritje është kryesisht për shkak të rritjes së tarifave të transportit të gazit për furnizuesit e pavarur, si dhe rritjes së vëllimeve të gazit. ѐ lëvizja e transportit të gazit për furnizues të pavarur krahasuar me të njëjtën periudhë të vitit të kaluar. Të ardhurat e tjera u rritën me 19,617 milion rubla, ose 22%, dhe arritën në 107,119 milion rubla. krahasuar me 87,502 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Shpenzimet për operacionet tregtare pa dorëzim aktual arritën në 837 milion rubla. krahasuar me të ardhurat prej 5,786 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Sa i përket shpenzimeve operative, ato u rritën me 23% dhe arritën në 2,119,289 milion rubla. krahasuar me 1,726,604 milion rubla. për të njëjtën periudhë të vitit të kaluar. Pjesa e shpenzimeve operative në të ardhurat nga shitjet u ul nga 69% në 64%. Kostot e punës u rritën me 18% dhe arritën në 267,377 milion rubla. krahasuar me 227,500 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Rritja është kryesisht për shkak të rritjes së pagave mesatare. Zhvlerësimi për periudhën e analizuar u rrit me 9% ose me 17,026 milion rubla, dhe arriti në 201,636 milion rubla, krahasuar me 184,610 milion rubla. për të njëjtën periudhë të vitit të kaluar. Rritja ka ardhur kryesisht nga zgjerimi i bazës së aktiveve fikse. Si rezultat i faktorëve të mësipërm, fitimi nga shitjet u rrit me 401,791 milion rubla, ose 52%, dhe arriti në 1,176,530 milion rubla. krahasuar me 774,739 milionë rubla. për të njëjtën periudhë të vitit të kaluar. Marzhi i fitimit nga shitjet u rrit nga 31% në 36% për nëntë muajt e përfunduar më 30 shtator 2011. Kështu, OJSC Gazprom është një kompani globale e energjisë. Aktivitetet kryesore janë kërkimi gjeologjik, prodhimi, transporti, magazinimi, përpunimi dhe shitja e gazit, kondensatës së gazit dhe naftës, si dhe prodhimi dhe shitja e nxehtësisë dhe energjisë elektrike. Gjendja financiare e kompanisë është e qëndrueshme. Treguesit e performancës po shfaqin dinamikë pozitive. 2 Përshkrimi i sistemit të sigurisë së informacionit të kompanisë Le të shqyrtojmë fushat kryesore të veprimtarisë së divizioneve të Shërbimit të Mbrojtjes së Korporatave të OJSC Gazprom: zhvillimi i programeve të synuara për zhvillimin e sistemeve dhe komplekseve të pajisjeve inxhinierike dhe teknike të sigurisë (ITSE), sistemeve të sigurisë së informacionit (IS) të OAO Gazprom dhe filialeve dhe organizatave të tij, pjesëmarrje në formimin e një programi investimi që synon sigurimin e informacionit dhe teknikës siguria; zbatimi i kompetencave të klientit për zhvillimin e sistemeve të sigurisë së informacionit, si dhe sistemeve dhe komplekseve ITSO; shqyrtimin dhe miratimin e kërkesave buxhetore dhe të buxheteve për zbatimin e masave për zhvillimin e sistemeve të sigurisë së informacionit, sistemeve dhe komplekseve ITSO, si dhe për krijimin e TI-së në drejtim të sistemeve të sigurisë së informacionit; shqyrtimi dhe miratimi i dokumentacionit të projektimit dhe paraprojektit për zhvillimin e sistemeve të sigurisë së informacionit, sistemeve dhe komplekseve ITSO, si dhe specifikimeve teknike për krijimin (modernizimin) e sistemeve të informacionit, sistemeve të komunikimit dhe telekomunikacionit përsa i përket kërkesave të sigurisë së informacionit; organizimi i punës për të vlerësuar përputhshmërinë e sistemeve dhe komplekseve të ITSO, sistemeve të sigurisë së informacionit (si dhe punimeve dhe shërbimeve për krijimin e tyre) me kërkesat e vendosura; koordinimi dhe kontrolli i punës për mbrojtjen e informacionit teknik. Gazprom ka krijuar një sistem për të siguruar mbrojtjen e të dhënave personale. Megjithatë, miratimi nga autoritetet ekzekutive federale të një numri aktesh ligjore rregullatore në zhvillimin e ligjeve ekzistuese dhe rregulloreve qeveritare kërkon nevojën për të përmirësuar sistemin aktual të mbrojtjes së të dhënave personale. Në interes të zgjidhjes së këtij problemi, në kuadër të punës kërkimore janë zhvilluar dhe miratohen një sërë dokumentesh. Para së gjithash, këto janë draft standardet e Organizatës së Zhvillimit Gazprom: "Metodologjia për klasifikimin e sistemeve të informacionit të të dhënave personale të OAO Gazprom, filialeve dhe organizatave të tij"; "Modeli i kërcënimeve ndaj të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale të OAO Gazprom, filialeve dhe organizatave të tij." Këto dokumente janë zhvilluar duke marrë parasysh kërkesat e Dekretit të Qeverisë së Federatës Ruse të datës 17 nëntor 2007 Nr. 781 "Për miratimin e rregulloreve për sigurimin e sigurisë së të dhënave personale gjatë përpunimit të tyre në sistemet e informacionit të të dhënave personale" në lidhje me klasën e sistemeve speciale, të cilat përfshijnë shumicën e OJSC ISPDn " Gazprom". Për më tepër, aktualisht është duke u zhvilluar "Rregullorja për organizimin dhe mbështetjen teknike të sigurisë së të dhënave personale të përpunuara në sistemet e informacionit të të dhënave personale të OAO Gazprom, filialeve dhe organizatave të saj". Duhet të theksohet se në kuadër të sistemit të standardizimit të OJSC Gazprom, janë zhvilluar standarde për sistemin e sigurisë së informacionit, të cilat gjithashtu do të bëjnë të mundur zgjidhjen e problemeve të mbrojtjes së të dhënave personale të përpunuara në sistemet e informacionit të OJSC Gazprom. Shtatë standarde në lidhje me sistemin e sigurisë së informacionit janë miratuar dhe janë duke u vënë në fuqi këtë vit. Standardet përcaktojnë kërkesat bazë për ndërtimin e sistemeve të sigurisë së informacionit për OAO Gazprom dhe filialet e tij. Rezultatet e punës së bërë do të bëjnë të mundur përdorimin më racional të burimeve materiale, financiare dhe intelektuale, krijimin e mbështetjes së nevojshme rregullatore dhe metodologjike, futjen e mjeteve efektive të mbrojtjes dhe, si rezultat, garantimin e sigurisë së të dhënave personale të përpunuara në informacion. sistemet e OAO Gazprom. Si rezultat i analizës së sigurisë së informacionit të OJSC Gazprom, u identifikuan mangësitë e mëposhtme në sigurimin e sigurisë së informacionit: organizata nuk ka një dokument të vetëm që rregullon një politikë gjithëpërfshirëse të sigurisë; Duke marrë parasysh madhësinë e rrjetit dhe numrin e përdoruesve (më shumë se 100), duhet theksuar se një person është përgjegjës për administrimin e sistemit, sigurinë e informacionit dhe mbështetjen teknike; nuk ka klasifikim të aseteve të informacionit sipas shkallës së rëndësisë; rolet dhe përgjegjësitë e sigurisë së informacionit nuk përfshihen në përshkrimet e punës; në kontratën e punës të lidhur me punonjësin nuk ka asnjë klauzolë për përgjegjësitë e sigurisë së informacionit si të të punësuarve ashtu edhe të vetë organizatës; trajnimi i personelit në fushën e sigurisë së informacionit nuk ofrohet; nga pikëpamja e mbrojtjes nga kërcënimet e jashtme: nuk janë zhvilluar procedura tipike të sjelljes për rikuperimin e të dhënave pas aksidenteve që kanë ndodhur si rezultat i kërcënimeve të jashtme dhe mjedisore; dhoma e serverit nuk është një dhomë e veçantë, dhomës i është caktuar statusi i dy departamenteve (një person tjetër, përveç administratorit të sistemit, ka qasje në dhomën e serverit); nuk kryhen hetime teknike dhe ekzaminime fizike për pajisjet e paautorizuara të lidhura me kabllo; përkundër faktit se hyrja kryhet duke përdorur leje elektronike dhe të gjitha informacionet futen në një bazë të dhënash të veçantë, analiza e saj nuk kryhet; për sa i përket mbrojtjes kundër malware: nuk ka asnjë politikë formale për të mbrojtur nga rreziqet që lidhen me marrjen e skedarëve qoftë nga ose nëpërmjet rrjeteve të jashtme ose të përfshira në media të lëvizshme; për sa i përket mbrojtjes kundër malware: nuk ka udhëzime për mbrojtjen e rrjetit lokal nga kodet me qëllim të keq; nuk ka kontroll të trafikut, ka qasje në serverët e postës së rrjeteve të jashtme; të gjitha kopjet rezervë ruhen në dhomën e serverit; përdoren fjalëkalime të pasigurta dhe të lehta për t'u mbajtur mend; marrja e fjalëkalimeve nga përdoruesit nuk konfirmohet në asnjë mënyrë; fjalëkalimet ruhen në tekst të qartë nga administratori; fjalëkalimet nuk ndryshojnë; Nuk ka asnjë procedurë për raportimin e ngjarjeve të sigurisë së informacionit. Kështu, bazuar në këto mangësi, u zhvillua një sërë rregulloresh në lidhje me politikën e sigurisë së informacionit, duke përfshirë: politikat në lidhje me punësimin (largimin nga puna) dhe dhënien (privimin) e punonjësve të autoritetit të nevojshëm për të hyrë në burimet e sistemit; politika në lidhje me punën e përdoruesve të rrjetit gjatë funksionimit të tij; politika e mbrojtjes së fjalëkalimit; politika për organizimin e mbrojtjes fizike; Politika e internetit; si dhe masat administrative të sigurisë. Dokumentet që përmbajnë këto rregullore janë në fazën e shqyrtimit nga menaxhmenti i organizatës. 3 Zhvillimi i një sërë masash për modernizimin e sistemit ekzistues të sigurisë së informacionit Si rezultat i analizës së sistemit të sigurisë së informacionit të OJSC Gazprom, u identifikuan dobësi të rëndësishme të sistemit. Për të zhvilluar masa për të eliminuar mangësitë e identifikuara të sistemit të sigurisë, ne do të theksojmë grupet e mëposhtme të informacionit që i nënshtrohen mbrojtjes: informacion për jetën private të punonjësve që lejon identifikimin e tyre (të dhëna personale); informacione në lidhje me veprimtaritë profesionale dhe që përbëjnë sekretin bankar, auditues dhe të komunikimit; informacione lidhur me aktivitetet profesionale dhe të shënuara si informacion “për përdorim zyrtar”; informacione, shkatërrimi ose modifikimi i të cilave do të ndikojë negativisht në efikasitetin operacional dhe restaurimi do të kërkojë kosto shtesë. Nga pikëpamja e masave administrative, janë zhvilluar rekomandimet e mëposhtme: sistemi i sigurisë së informacionit duhet të përputhet me legjislacionin e Federatës Ruse dhe standardet shtetërore; ndërtesat dhe ambientet ku janë instaluar ose ruajtur objektet e përpunimit të informacionit, puna kryhet me informacion të mbrojtur, duhet të ruhen dhe të mbrohen me mjete alarmi dhe kontrolli të aksesit; Trajnimi i personelit për çështjet e sigurisë së informacionit (duke shpjeguar rëndësinë e mbrojtjes me fjalëkalim dhe kërkesat e fjalëkalimit, kryerja e trajnimeve për softuerët antivirus, etj.) duhet të organizohet gjatë punësimit të një punonjësi; të zhvillojë trajnime çdo 6-12 muaj që synojnë përmirësimin e shkrim-leximit të punonjësve në fushën e sigurisë së informacionit; një auditim i sistemit dhe rregullime të rregulloreve të zhvilluara duhet të kryhet çdo vit, më 1 tetor, ose menjëherë pas futjes së ndryshimeve të mëdha në strukturën e ndërmarrjes; të drejtat e aksesit të çdo përdoruesi në burimet e informacionit duhet të dokumentohen (nëse është e nevojshme, qasja kërkohet nga menaxheri me shkrim); politika e sigurisë së informacionit duhet të sigurohet nga administratori i softuerit dhe administratori i harduerit, veprimet e tyre koordinohen nga kreu i grupit. Le të formulojmë një politikë fjalëkalimi: mos i ruani në formë të pakriptuar (mos i shkruani në letër, në një skedar teksti të rregullt, etj.); ndryshoni fjalëkalimin nëse zbulohet ose dyshohet për zbulim; gjatësia duhet të jetë së paku 8 karaktere; Fjalëkalimi duhet të përmbajë shkronja të mëdha dhe të vogla, numra dhe karaktere speciale; fjalëkalimi nuk duhet të përfshijë sekuenca karakteresh të llogaritura lehtësisht (emrat, emrat e kafshëve, datat); ndryshimi një herë në 6 muaj (një ndryshim i paplanifikuar i fjalëkalimit duhet të bëhet menjëherë pas marrjes së njoftimit për incidentin që shkaktoi ndryshimin); Kur ndryshoni fjalëkalimet, nuk mund të zgjidhni ato që janë përdorur më parë (fjalëkalimet duhet të ndryshojnë për të paktën 6 pozicione). Le të formulojmë një politikë në lidhje me programet antivirus dhe zbulimin e viruseve: Softueri antivirus i licencuar duhet të instalohet në çdo stacion pune; përditësimi i bazave të të dhënave antivirus në stacionet e punës me akses në internet - një herë në ditë, pa qasje në internet - të paktën një herë në javë; vendosja e skanimit automatik të stacioneve të punës për zbulimin e virusit (frekuenca e kontrolleve - një herë në javë: e premte, ora 12:00); Vetëm administratori mund të ndërpresë përditësimin e bazës së të dhënave antivirus ose skanimin e viruseve (mbrojtja me fjalëkalim duhet të vendoset për veprimin e specifikuar të përdoruesit). Le të formulojmë një politikë në lidhje me mbrojtjen fizike: hetimi teknik dhe ekzaminimi fizik për pajisjet e paautorizuara të lidhura me kabllo duhet të kryhen çdo 1-2 muaj; kabllot e rrjetit duhet të mbrohen nga përgjimi i paautorizuar i të dhënave; të dhënat e të gjitha dështimeve të dyshuara dhe aktuale që kanë ndodhur me pajisjen duhet të ruhen në një regjistër Çdo stacion pune duhet të jetë i pajisur me një furnizim me energji të pandërprerë. Le të përcaktojmë një politikë në lidhje me rezervimin e informacionit: për kopje rezervë, duhet të ndahet një dhomë e veçantë, e vendosur jashtë ndërtesës administrative (dhoma duhet të jetë e pajisur me një bllokim elektronik dhe alarm); Rezervimet e informacionit duhet të bëhen çdo të premte në orën 16:00. Politika në lidhje me punësimin/ largimin nga puna të punonjësve duhet të jetë si më poshtë: çdo ndryshim i personelit (punësimi, promovimi, shkarkimi i një punonjësi, etj.) duhet t'i raportohet administratorit brenda 24 orëve, i cili, nga ana tjetër, brenda një periudhe gjysmë dite pune duhet të bëjë ndryshimet e duhura në sistemin për kufizimin e të drejtave të aksesit. për burimet e ndërmarrjes; një punonjës i ri duhet t'i nënshtrohet trajnimit nga administratori, duke përfshirë njohjen me politikën e sigurisë dhe të gjitha udhëzimet e nevojshme; niveli i aksesit në informacion për punonjësin e ri caktohet nga menaxheri; Kur një punonjës largohet nga sistemi, ID-ja dhe fjalëkalimi i tij fshihen, stacioni i punës kontrollohet për viruse dhe analizohet integriteti i të dhënave në të cilat punonjësi kishte akses. Politika në lidhje me punën me rrjetin e brendshëm lokal (LAN) dhe bazat e të dhënave (DB): Kur punon në stacionin e tij të punës dhe në LAN, punonjësi duhet të kryejë vetëm detyra që lidhen drejtpërdrejt me aktivitetet e tij zyrtare; Punonjësi duhet të njoftojë administratorin për mesazhet nga programet antivirus për shfaqjen e viruseve; Askush tjetër përveç administratorëve nuk lejohet të bëjë ndryshime në dizajnin ose konfigurimin e stacioneve të punës dhe nyjeve të tjera LAN, të instalojë ndonjë softuer, të lërë stacionin e punës pa kontroll ose të lejojë persona të paautorizuar të hyjnë në të; Administratorëve u rekomandohet të mbajnë dy programe të funksionojnë në çdo kohë: një mjet për zbulimin e sulmeve të mashtrimit ARP dhe një sniffer, përdorimi i të cilave do t'i lejojë ata të shohin rrjetin përmes syve të një ndërhyrësi të mundshëm dhe të identifikojnë shkelësit e politikave të sigurisë; Ju duhet të instaloni softuer që parandalon ekzekutimin e programeve të ndryshme nga ato të përcaktuara nga administratori, bazuar në parimin: "Çdo personi i jepen privilegjet e nevojshme për të kryer detyra specifike." Të gjitha portat e kompjuterit të papërdorura duhet të çaktivizohen nga hardueri ose softueri; Softueri duhet të përditësohet rregullisht. Politika e Internetit: administratorëve u është caktuar e drejta për të kufizuar aksesin në burime, përmbajtja e të cilave nuk lidhet me kryerjen e detyrave zyrtare, si dhe në burime, përmbajtja dhe fokusi i të cilave janë të ndaluara nga legjislacioni ndërkombëtar dhe rus; punonjësit i ndalohet të shkarkojë dhe hapë skedarë pa kontrolluar më parë për viruse; të gjitha informacionet në lidhje me burimet e vizituara nga punonjësit e kompanisë duhet të ruhen në një regjistër dhe, nëse është e nevojshme, mund t'u jepen drejtuesve të departamenteve, si dhe menaxhmentit. konfidencialiteti dhe integriteti i korrespondencës elektronike dhe dokumenteve të zyrës sigurohet nëpërmjet përdorimit të nënshkrimeve dixhitale. Për më tepër, ne do të formulojmë kërkesat themelore për krijimin e fjalëkalimeve për punonjësit e kompanisë OJSC Gazprom. Një fjalëkalim është si një çelës shtëpie, vetëm ai është çelësi i informacionit. Për çelësat e zakonshëm, është jashtëzakonisht e padëshirueshme të humbasësh, të vidhen ose t'i dorëzohen një të huaji. E njëjta gjë vlen edhe për fjalëkalimin. Sigurisht, siguria e informacionit nuk varet vetëm nga fjalëkalimi; për ta siguruar atë, duhet të vendosni një numër cilësimesh të veçanta dhe, ndoshta, edhe të shkruani një program që mbron nga hakerimi. Por zgjedhja e një fjalëkalimi është pikërisht veprimi ku varet vetëm nga përdoruesi se sa e fortë do të jetë kjo hallkë në zinxhirin e masave që synojnë mbrojtjen e informacionit. ) fjalëkalimi duhet të jetë i gjatë (8-12-15 karaktere); ) nuk duhet të jetë një fjalë nga një fjalor (ndonjë fjalor, qoftë edhe një fjalor me terma dhe zhargon të veçantë), një emër i duhur ose një fjalë me alfabet cirilik të shtypur në paraqitjen latine (latinisht - kfnsym); ) nuk mund të lidhet me pronarin; ) ndryshon periodikisht ose sipas nevojës; ) nuk përdoret në këtë kapacitet në burime të ndryshme (d.m.th., për çdo burim - për t'u identifikuar në një kuti postare, sistem operativ ose bazë të dhënash - duhet të përdoret një fjalëkalim i ndryshëm); ) është e mundur ta mbani mend atë. Përzgjedhja e fjalëve nga fjalori është e padëshirueshme, pasi një sulmues që kryen një sulm fjalori do të përdorë programe të afta për të kërkuar deri në qindra mijëra fjalë në sekondë. Çdo informacion që lidhet me pronarin (qoftë data e lindjes, emri i qenit, emri i vajzërisë së nënës dhe "fjalëkalime" të ngjashme) mund të njihet dhe merret me mend lehtësisht. Përdorimi i shkronjave të mëdha dhe të vogla, si dhe numrave, e ndërlikon shumë detyrën e sulmuesit për të gjetur fjalëkalimin. Fjalëkalimi duhet të mbahet i fshehtë dhe nëse dyshoni se fjalëkalimi është bërë i njohur për dikë, ndryshojeni atë. Është gjithashtu shumë e dobishme t'i ndryshoni ato herë pas here. konkluzioni Studimi na lejoi të nxjerrim përfundimet e mëposhtme dhe të formulojmë rekomandime. Është konstatuar se arsyeja kryesore e problemeve të ndërmarrjes në fushën e sigurisë së informacionit është mungesa e një politike të sigurisë së informacionit, e cila do të përfshinte zgjidhje organizative, teknike, financiare me monitorim të mëvonshëm të zbatimit të tyre dhe vlerësimin e efektivitetit. Përkufizimi i politikës së sigurisë së informacionit formulohet si një grup vendimesh të dokumentuara, qëllimi i të cilave është të sigurojë mbrojtjen e informacionit dhe rreziqet e lidhura me informacionin. Analiza e sistemit të sigurisë së informacionit zbuloi mangësi të rëndësishme, duke përfshirë: ruajtja e kopjeve rezervë në dhomën e serverit, serveri rezervë ndodhet në të njëjtën dhomë me serverët kryesorë; mungesa e rregullave të duhura në lidhje me mbrojtjen e fjalëkalimit (gjatësia e fjalëkalimit, rregullat për zgjedhjen dhe ruajtjen e tij); Administrimi i rrjetit trajtohet nga një person. Një përgjithësim i praktikës ndërkombëtare dhe ruse në fushën e menaxhimit të sigurisë së informacionit të ndërmarrjeve na lejoi të konkludojmë se për ta siguruar atë, është e nevojshme: parashikimi dhe identifikimi në kohë i kërcënimeve të sigurisë, shkaqeve dhe kushteve që sjellin dëme financiare, materiale dhe morale; krijimi i kushteve të funksionimit me rrezikun më të vogël të zbatimit të kërcënimeve të sigurisë ndaj burimeve të informacionit dhe shkaktimit të llojeve të ndryshme të dëmeve; krijimin e një mekanizmi dhe kushteve për t'iu përgjigjur efektivisht kërcënimeve ndaj sigurisë së informacionit bazuar në mjete ligjore, organizative dhe teknike. Kapitulli i parë i punës diskuton aspektet kryesore teorike. Jepet një pasqyrë e disa standardeve në fushën e sigurisë së informacionit. Konkluzionet nxirren për secilin dhe në tërësi dhe zgjidhet standardi më i përshtatshëm për formimin e politikës së sigurisë së informacionit. Kapitulli i dytë shqyrton strukturën e organizatës dhe analizon problemet kryesore që lidhen me sigurinë e informacionit. Si rezultat, janë formuar rekomandime për të siguruar nivelin e duhur të sigurisë së informacionit. Masat për parandalimin e incidenteve të mëtejshme në lidhje me shkeljet e sigurisë së informacionit janë marrë gjithashtu në konsideratë. Sigurisht, sigurimi i sigurisë së informacionit të një organizate është një proces i vazhdueshëm që kërkon monitorim të vazhdueshëm. Dhe një politikë e formuar natyrshëm nuk është një garantues i hekurt i mbrojtjes. Krahas zbatimit të politikës, kërkohet monitorim i vazhdueshëm i zbatimit cilësor të saj, si dhe përmirësim në rast të ndonjë ndryshimi në kompani apo precedentë. U rekomandua që organizata të punësonte një punonjës, aktivitetet e të cilit do të lidheshin drejtpërdrejt me këto funksione (administratori i sigurisë). Bibliografi siguria e informacionit dëm financiar 1. Belov E.B. Bazat e sigurisë së informacionit. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Linja telefonike - Telekom, 2006. - 544s Galatenko V.A. Standardet e sigurisë së informacionit: një kurs leksionesh. arsimore kompensim. - Botimi i 2-të. M.: INTUIT.RU "Universiteti i Internetit i Teknologjive të Informacionit", 2009. - 264 f. Glatenko V.A. Standardet e Sigurisë së Informacionit / Sistemet e Hapura 2006.- 264c Dolzhenko A.I. Menaxhimi i sistemeve të informacionit: Kurs trajnimi. - Rostov-on-Don: RGEU, 2008.-125 f. Kallashnikov A. Formimi i një politike korporative të sigurisë së brendshme të informacionit #"justifikoj">. Malyuk A.A. Siguria e informacionit: bazat konceptuale dhe metodologjike të mbrojtjes së informacionit / M.2009-280 Mayvold E., Siguria e Rrjetit. Manual për vetë-udhëzim // Ekom, 2009.-528 f. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Bazat e mbështetjes organizative për sigurinë e informacionit të objekteve të informatizimit // Helios ARV, 2008, 192 f.
