Magtapos ng mga thesis sa seguridad ng impormasyon (Seguridad ng mga sistema ng impormasyon). Sistema ng seguridad ng impormasyon Listahan ng mga paksa ng WRC sa seguridad ng impormasyon
Mga katulad na dokumento
Kaugnayan ng mga isyu sa seguridad ng impormasyon. Software at hardware para sa network ng Mineral LLC. Pagbuo ng modelo ng seguridad ng korporasyon at proteksyon laban sa hindi awtorisadong pag-access. Mga teknikal na solusyon para sa proteksyon ng sistema ng impormasyon.
thesis, idinagdag noong 01/19/2015
Ang seguridad ng isang sistema ng impormasyon ay ang kakayahan nitong makatiis sa iba't ibang impluwensya. Mga uri ng pagbabanta sa computer, ang konsepto ng hindi awtorisadong pag-access. Mga virus at malware. Mga pamamaraan at paraan ng pagprotekta sa mga sistema ng impormasyon.
abstract, idinagdag noong 11/14/2010
Pag-uuri ng mga banta sa seguridad ng impormasyon. Mga error sa pagbuo ng mga computer system, software, at hardware. Ang mga pangunahing paraan ng pagkuha ng hindi awtorisadong pag-access (UNA) sa impormasyon. Mga paraan ng proteksyon laban sa NSD. Virtual pribadong network.
course work, idinagdag noong 11/26/2013
Mga panlabas na banta sa seguridad ng impormasyon, mga anyo ng kanilang pagpapakita. Mga pamamaraan at paraan ng proteksyon laban sa pang-industriyang paniniktik, mga layunin nito: pagkuha ng impormasyon tungkol sa isang katunggali, pagsira ng impormasyon. Mga paraan ng hindi awtorisadong pag-access sa kumpidensyal na impormasyon.
pagsubok, idinagdag noong 09/18/2016
Ang pinakakaraniwang paraan ng hindi awtorisadong pag-access sa impormasyon, mga channel para sa pagtagas nito. Mga paraan ng pagprotekta ng impormasyon mula sa natural (emergency) na mga banta at mula sa mga random na pagbabanta. Cryptography bilang isang paraan ng pagprotekta ng impormasyon. Pang-industriya na paniniktik.
abstract, idinagdag 06/04/2013
Konsepto, kahulugan at direksyon ng seguridad ng impormasyon. Isang sistematikong diskarte sa pag-aayos ng seguridad ng impormasyon, pagprotekta sa impormasyon mula sa hindi awtorisadong pag-access. Mga tool sa seguridad ng impormasyon. Mga pamamaraan at sistema ng seguridad ng impormasyon.
abstract, idinagdag noong 11/15/2011
Konsepto at prinsipyo ng seguridad ng impormasyon. Pagsasaalang-alang sa mga pangunahing uri ng mga mapanganib na epekto sa isang computer system. Pag-uuri ng mga channel para sa hindi awtorisadong pag-access sa mga computer. Mga katangian ng mga tool sa seguridad ng impormasyon ng hardware at software.
pagtatanghal, idinagdag noong 11/15/2011
Seguridad ng impormasyon, mga layunin at layunin nito. Mga channel ng pagtagas ng impormasyon. Mga pamamaraan ng software at hardware at paraan ng pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access. Modelo ng mga banta sa seguridad sa impormasyong naproseso sa pasilidad ng computer.
thesis, idinagdag noong 02/19/2017
Ang impluwensya ng uri ng aktibidad ng isang negosyo sa organisasyon ng isang komprehensibong sistema ng seguridad ng impormasyon. Komposisyon ng protektadong impormasyon. Mga potensyal na channel para sa hindi awtorisadong pag-access sa impormasyon ng organisasyon. Ang kahusayan ng sistema ng seguridad ng impormasyon.
ulat ng pagsasanay, idinagdag noong 10/31/2013
Mga makasaysayang aspeto ng paglitaw at pag-unlad ng seguridad ng impormasyon. Ang ibig sabihin ng seguridad ng impormasyon at ang kanilang pag-uuri. Mga uri at prinsipyo ng pagpapatakbo ng mga virus sa computer. Legal na batayan para sa pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access.
focus (profile) "Mga sistema at teknolohiya ng impormasyon"
mga lugar ng pagsasanay 09.03.02 "Mga sistema ng impormasyon at teknolohiya"
disenyo at teknolohiya,
serbisyo at pagpapatakbo.
1. Virtualization ng imprastraktura ng impormasyon ng enterprise (pangalan ng enterprise).
2. Pagsasama-sama ng mga sistema ng impormasyon ng negosyo batay sa Linux OS at isang malayang ipinamahagi na DBMS.
3. Modernisasyon at pangangasiwa ng corporate information system ng enterprise (pangalan ng enterprise).
4. Modernisasyon, pangangasiwa at pagpapanatili ng network ng impormasyon ng enterprise (pangalan ng enterprise).
5. Modernisasyon ng impormasyon at sistema ng pamamahala ng negosyo (proseso) (pangalan ng negosyo o proseso) at pagbuo ng mga hakbang upang suportahan ito.
6. Pagbuo ng isang Intranet portal para sa enterprise (pangalan ng enterprise).
7. Disenyo ng network ng impormasyon ng enterprise (pangalan ng enterprise).
8. Disenyo ng isang corporate information system para sa isang enterprise (pangalan ng enterprise).
9. Pag-unlad at pagpapanatili ng corporate web portal ng enterprise (pangalan ng enterprise).
10. Pagbuo ng isang awtomatikong sistema ng pagproseso ng impormasyon para sa enterprise (pangalan ng enterprise).
11. Pagbuo ng isang prototype ng isang enterprise information system para sa pamamahala ng proseso (pangalan ng proseso o bagay).
12. Pagbuo ng isang serbisyo sa web para sa sistema ng impormasyon ng enterprise (pangalan ng enterprise).
13. Pagbuo ng isang reference information system para sa enterprise (pangalan ng enterprise).
14. Pagbuo ng isang modelo at disenyo ng isang enterprise information management system (pangalan ng enterprise).
15. Pagbuo ng teknolohikal na software para sa pagpapanatili ng system (pangalan ng system).
16. Pagbuo ng software para sa isang microprocessor device (pangalan ng device).
17. Pagbuo ng isang mobile client application para sa information system ng enterprise (pangalan ng enterprise).
18. Pagbuo ng isang modelo ng simulation upang ma-optimize ang mga parameter ng proseso ng produksyon.
19. Disenyo ng mga virtual server batay sa mga tool (pangalan ng mga tool sa virtualization) at mga channel ng paghahatid ng data para sa isang enterprise (pangalan ng enterprise).
20. Pagbuo ng isang module (subsystem) (pangalan ng ipinatupad na function) ng impormasyon (corporate information) system ng enterprise (pangalan ng enterprise).
sa programang pang-edukasyon ng inilapat na bachelor's degree
mga lugar ng pagsasanay 03/09/04 “Software Engineering”
produksyon at teknolohiya,
organisasyonal at pamamahala,
serbisyo at pagpapatakbo.
1. Pagbuo ng isang application para sa pag-parse ng isang website, social network, portal.
2. Disenyo at pagpapatupad ng software ng isang sistema ng impormasyon (impormasyon at sanggunian) (layunin o function ng system).
3. Pagbuo ng firmware para sa device (pangalan ng device).
4. Pagbuo ng software ng application para sa system (pangalan ng system).
5. Pagbuo ng isang sistema ng impormasyon ng software (pangalan ng lugar ng paggamit o ang prosesong ipinapatupad).
6. Pagbuo ng mga pamamaraan para sa pagsubok at pag-debug ng software (pangalan ng software).
7. Pagbuo ng software module (pangalan ng module) para sa 1C: Enterprise system (pangalan ng enterprise).
8. Pagbuo ng isang web service para sa enterprise information management system (pangalan ng enterprise).
9. Pagbuo ng isang application upang suportahan ang sistema ng pagsukat ng impormasyon (layunin ng system).
10. Pag-aaral ng seguridad ng impormasyon ng mga serbisyo sa web ng 1C:Enterprise system.
11. Pagbuo ng isang module (subsystem) (pangalan ng ipinatupad na function) ng impormasyon (corporate information) system ng enterprise (pangalan ng enterprise).
12. Pagbuo ng server (client) software para sa system (pangalan ng system).
Mga paksa ng pangwakas na mga gawaing kwalipikado
sa programang pang-edukasyon ng inilapat na bachelor's degree
focus (profile) "Serbisyo ng impormasyon"
:serbisyo,
1. Modernisasyon, pangangasiwa at pagpapanatili ng lokal na network ng enterprise (pangalan ng enterprise).
2. Modernisasyon at pangangasiwa ng sistema ng impormasyon ng negosyo (pangalan ng negosyo).
3. Disenyo ng isang enterprise information system (pangalan ng enterprise).
4. Disenyo at pagpapaunlad ng teknolohiya para sa pagpapatakbo ng isang lokal na network ng isang enterprise (pangalan ng enterprise).
5. Disenyo ng proteksyon ng hardware at software ng sistema ng impormasyon ng enterprise (pangalan ng enterprise).
6. Pag-unlad ng teknolohiya para sa mga diagnostic, pagkumpuni at pagpapanatili ng aparato (pangalan ng aparato, pangkat ng mga aparato, kagamitan sa pagsukat, yunit ng computer, computer o microprocessor system, lokal na network).
7. Pagbuo at pangangasiwa ng website ng kumpanya (pangalan ng kumpanya).
8. Pagbuo ng configuration ng server para sa network ng paghahatid ng data ng enterprise (pangalan ng enterprise).
9. Pagbuo at pangangasiwa ng database ng sistema ng impormasyon ng enterprise (pangalan ng enterprise).
10. Pagbuo ng isang Intranet portal para sa enterprise (pangalan ng enterprise).
11. Pagbuo ng isang subsystem para sa pagsubaybay sa mga proseso ng produksyon sa 1C:Enterprise platform.
12. Pagbuo ng isang proyekto para sa isang distributed information system (pangalan ng system) ng enterprise (pangalan ng enterprise).
13. Pagbuo ng isang impormasyon at reference accounting system (pangalan ng accounting object).
14. Pagbuo ng isang serbisyo ng WCF para sa isang sistema ng impormasyon ng negosyo.
15. Pag-unlad ng isang modelo ng isang sistema ng impormasyon ng negosyo (pangalan o lugar ng aktibidad ng negosyo).
16. Pagbuo ng mga pamamaraan para sa pagsubok at pag-debug ng software (pangalan ng software).
17. Pag-unlad ng isang hanay ng mga hakbang para sa pangangasiwa at pagpapanatili ng isang sistema ng impormasyon ng software (pangalan ng lugar ng paggamit o ang prosesong ipinapatupad).
18. Pagmomodelo at pagsasaliksik ng data transmission system (pangalan ng system).
19. Pananaliksik at pag-optimize ng mga parameter ng isang distributed information system sa 1C:Enterprise platform.
20. Disenyo ng isang dibisyon ng enterprise (pangalan ng enterprise) para sa pagkumpuni at pagpapanatili ng electronic (computer) na kagamitan at organisasyon ng pagpapatakbo ng mga teknikal na kagamitan.
21. Disenyo ng mga virtual server batay sa mga tool (pangalan ng mga tool sa virtualization) at mga channel ng paghahatid ng data para sa isang enterprise (pangalan ng enterprise).
22. Pagbuo ng server (client) software para sa system (pangalan ng system).
Mga paksa ng pangwakas na mga gawaing kwalipikado
sa programang pang-edukasyon ng inilapat na bachelor's degree
direktiba (profile) "Serbisyo ng kagamitang elektroniko"
mga lugar ng pagsasanay 03.43.01 "Serbisyo"
Mga uri ng propesyonal na aktibidad:serbisyo,
produksyon at teknolohiya.
1. Pag-unlad ng teknolohiya para sa mga diagnostic, pagkumpuni at pagpapanatili ng aparato (pangalan ng elektronikong aparato, microprocessor o sistema ng telekomunikasyon, kagamitan sa pagsukat, network ng paghahatid ng data).
2. Pag-unlad ng isang elektronikong sistema (pangalan ng sistema) ng negosyo (pangalan ng negosyo, shopping at office center, entertainment complex).
3. Pagbuo ng impormasyon input/output device (pangalan ng device).
4. Pagbuo ng software para sa isang microprocessor device (pangalan ng device).
5. Pagbuo ng isang corporate telecommunications network para sa isang enterprise (pangalan ng enterprise).
6. Pagbuo ng isang digital device (module) (pangalan ng device, module; pangalan ng function na ipinapatupad).
7. Pagbuo ng isang power supply device para sa mga elektronikong kagamitan (pangalan ng kagamitan).
8. Pag-unlad ng teknolohiya para sa pagsubaybay (pagkontrol ng mga parameter) ng mga bagay (pangalan ng mga bagay).
9. Pag-unlad at pananaliksik ng isang wireless sensor (pangalan ng sinusukat na parameter).
10. Disenyo ng isang dibisyon ng enterprise (pangalan ng enterprise) para sa pagkumpuni at pagpapanatili ng electronic (computer) na kagamitan at organisasyon ng pagpapatakbo ng mga teknikal na kagamitan.
11. Pagbuo ng isang subsystem (pangalan ng subsystem) ng isang pinagsamang sistema ng seguridad para sa enterprise (pangalan ng enterprise).
Mga paksa ng pangwakas na mga gawaing kwalipikado
sa programang pang-edukasyon ng inilapat na bachelor's degree
direktiba (profile) "Ang radio engineering ay paraan ng pagpapadala, pagtanggap at pagproseso ng mga signal"
mga lugar ng pagsasanay 03/11/01 “Radio Engineering”
disenyo at engineering,
serbisyo at pagpapatakbo.
1. Pagbuo ng isang device (block, module; receiving, transmitting, transceiver) system (pangalan ng system).
2. Pagbuo ng isang wireless interface para sa mga elektronikong kagamitan (pangalan ng kagamitan).
3. Pag-aaral ng virtual na modelo ng device (tukuyin ang uri ng device) sa kapaligiran (pangalan ng software environment).
4. Pagbuo ng isang subsystem (pangalan ng subsystem) ng isang pinagsamang sistema ng seguridad ng enterprise (pangalan ng enterprise.
Mga paksa ng pangwakas na mga gawaing kwalipikado
sa programang pang-edukasyon ng inilapat na bachelor's degree
direktiba (profile) "Mga sistema ng komunikasyon sa mobile"
mga lugar ng pagsasanay 11.03.02 "Mga teknolohiya ng impormasyon at mga sistema ng komunikasyon"
Mga uri ng propesyonal na aktibidad:disenyo
1. Disenyo ng isang network ng telekomunikasyon para sa isang enterprise (pangalan ng enterprise).
2. Pangangasiwa at pagpapanatili ng network ng telekomunikasyon ng enterprise (pangalan ng enterprise).
3. Pagbuo ng block (codec, vocoder, synchronization device, matching device) ng digital telecommunication system.
4. Pagbuo ng isang wireless interface adapter (pangalan ng mga interface).
5. Pagbuo ng isang device sa pagpoproseso ng impormasyon (uri ng device) system (pangalan ng system).
6. Pagbuo ng isang aparato para sa mga interfacing system (pangalan ng mga system).
7. Pagbuo ng isang system controller (pangalan ng system).
8. Pagbuo ng isang aparato sa pag-synchronize para sa isang sistema ng telekomunikasyon (pangalan ng system).
9. Pagbuo ng isang teknolohikal na aparato para sa pagsubok ng mga kagamitan sa telekomunikasyon (pangalan ng kagamitan).
10. Pagbuo ng isang wireless na network ng komunikasyon (segment ng network) batay sa teknolohiya (pangalan ng teknolohiya).
11. Pag-unlad ng teknolohiya para sa malayuang pagsubaybay ng mga parameter ng bagay (pangalan ng mga parameter).
12. Pagbuo ng isang sensor network para sa pagsubaybay sa estado ng isang bagay (pangalan ng bagay).
13. Pag-unlad ng teknolohiya para sa mga diagnostic at pagsukat ng mga parameter ng isang telecommunication device (pangalan ng device, system, network, environment).
14. Pagbuo ng isang transceiver device para sa system (pangalan ng system).
15. Pagbuo ng mga aparatong telekomunikasyon para sa malayuang kontrol ng isang bagay (pangalan ng bagay).
16. Pagbuo ng isang parameter meter para sa mga bahagi ng kagamitan sa telekomunikasyon (pangalan ng mga bahagi).
17. Pagbuo ng isang wireless na impormasyon input/output device (pangalan ng device).
18. Pagbuo ng hardware at software para sa teknolohiya ng infocommunication (pangalan ng teknolohiya).
19. Pag-aaral ng mga protocol ng paglilipat ng impormasyon sa system (pangalan ng system).
20. Pananaliksik ng mga digital signal processing method para sa system (pangalan ng system).
21. Pagbuo ng teknolohiya ng infocommunication at sistema ng pamamahala ng pasilidad (pangalan ng pasilidad).
22. Pagbuo ng wireless system para sa pagsukat ng parameter (pangalan ng parameter).
23. Disenyo ng mga virtual server batay sa mga tool (pangalan ng virtualization tool) at mga channel ng paghahatid ng data para sa isang enterprise (pangalan ng enterprise).
Mga paksa ng pangwakas na mga gawaing kwalipikado
ayon sa programang pang-edukasyon ng pangalawang bokasyonal na edukasyon
espesyalidad 09.02.01 "Mga sistema at complex ng computer"
Mga propesyonal na module:PM.01 Disenyo ng mga digital device,
PM.02 Application ng microprocessor system, pag-install at pagsasaayos ng peripheral na pagsasanay,
PM.03 Pagpapanatili at pagkukumpuni ng mga computer system at complex.
1. Diagnostics ng mga pagkakamali at pagsubaybay sa teknikal na kondisyon ng kagamitan (pangalan ng hardware at software ng computer technology o computer network).
2. Pagtitipon, pag-configure at pag-set up ng mga tool (pangalan ng computer hardware at software o computer network).
3. Pagbuo ng isang hanay ng mga hakbang upang matiyak ang seguridad ng impormasyon ng network ng computer ng enterprise (pangalan ng enterprise).
4. Pagbuo ng isang contactless identification system para sa enterprise (pangalan ng enterprise).
5. Pagpapanatili at pangangasiwa ng sistema ng impormasyon ng enterprise (pangalan ng enterprise).
6. Pagpapanatili at pangangasiwa ng computer network ng enterprise (pangalan ng enterprise).
7. Pagpapanatili at suporta ng hardware at software (pangalan ng computer hardware o computer network).
8. Pag-install, pagbagay at pagpapanatili ng software (pangalan ng software).
9. Pagbuo at pagsasaliksik ng isang digital (microprocessor) device (module) (pangalan ng device, module).
10. Pagbuo ng teknolohiya sa pagsubok at komprehensibong pag-debug ng software (pangalan ng software).
Mga paksa ng panghuling qualifying works para sa mga nagtapos
focus (profile) "Mga elemento at device ng teknolohiya ng computer at mga sistema ng impormasyon"
mga lugar ng pagsasanay 09.04.01 "Informatics at Computer Science"
Mga uri ng propesyonal na aktibidad:disenyo,
siyentipikong pananaliksik.
1. Pagmomodelo at pagsasaliksik ng mga protocol ng network para sa paglilipat ng impormasyon (ipinahiwatig ang uri ng impormasyon).
2. Pananaliksik at pagpapaunlad ng mga pamamaraan ng computer para sa pagpapabuti ng mga parameter ng system (mga parameter o parameter at uri ng system ay ipinahiwatig).
3. Pagmomodelo ng kompyuter, pagsasaliksik at pag-optimize ng impormasyon o mga sistema ng telekomunikasyon (ang klase ng mga sistema ay ipinahiwatig).
4. Pananaliksik at pag-optimize ng pagbuo ng mga wireless sensor network.
5. Pananaliksik at pagsusuri ng pagbuo ng wireless Internet of Things networks.
6. Pagbuo ng pamantayan sa kahusayan at pag-aaral ng pamamahagi ng mga virtual machine sa loob ng imprastraktura ng ulap.
7. Pag-unlad, pagsasaliksik at pagsusuri ng pagiging epektibo ng ipinamamahaging impormasyon (o pagsukat ng impormasyon) na mga sistema (ang lugar ng aplikasyon o uri ng mga sistema ay ipinahiwatig).
8. Pagbuo at pagsasaliksik ng wireless interface para sa kagamitan (pangalan ng kagamitan).
9. Pagbuo at pagsasaliksik ng isang object tracking device (pangalan ng mga bagay).
10. Pag-unlad at pananaliksik ng mga aparato para sa pagsubaybay sa kondisyon ng isang bagay (pangalan ng bagay).
11. Pagbuo ng hardware at software diagnostic tool para sa mga device (pangalan ng mga device).
12. Pag-unlad at pananaliksik ng isang wireless sensor (pangalan ng sinusukat na parameter).
13. Pag-aaral ng mga algorithm ng pagwawasto para sa mga nagko-convert ng isang parameter (pangalan ng parameter) sa code.
14. Pagbuo ng mga algorithm at software para sa pagsubaybay sa mga parameter ng sistema ng pamamahala ng pasilidad (pangalan ng pasilidad).
15. Pagbuo at pagsasaliksik ng mga wireless control device para sa bagay (pangalan ng bagay).
16. Pagmomodelo at pagsasaliksik ng mga parameter converter (pangalan ng mga parameter).
17. Mga pamamaraan para sa pagtatasa ng kalidad ng software (ipinahiwatig ang layunin ng software).
18. Pag-aaral ng paggana ng mga device (pangalan ng mga device) sa ilalim ng mga kondisyon (ipinahiwatig ang mga kundisyon) upang mapabuti ang mga katangian (ipinahiwatig ang mga katangian).
19. Pagbuo ng mga pamamaraan para sa pagsusuri at synthesis ng mga aparato (pangalan ng mga aparato) upang mapabuti ang mga katangian (ang mga katangian ay ipinahiwatig).
Mga paksa ng pangwakas na mga gawaing kwalipikado
sa programa ng pang-akademikong master
focus (profile) "Pagbuo ng software at mga sistema ng impormasyon"
mga lugar ng pagsasanay 09.04.04 "Software Engineering"
pananaliksik,
disenyo
1. Pagbuo at pagsasaliksik ng isang serbisyo ng REST para sa pagpapakita ng mga iskedyul sa mga institusyong mas mataas na edukasyon.
2. Pananaliksik at pagpapaunlad ng mga tool sa pagsubok ng software para sa mga cellular operator.
3. Pagkilala sa pisyolohikal na estado ng isang tao batay sa teorya ng mga sistema na may random na istraktura.
4. Disenyo ng isang sales automation information system (pangalan ng enterprise) batay sa diskarte ng MDA.
5. Pagbuo at pagsasaliksik ng isang software information system para sa pagtatasa ng kalidad ng software (ang pangalan ng software ay ipinahiwatig).
6. Pagbuo ng mga ipinamahagi na software at mga sistema ng impormasyon (ang saklaw ng aplikasyon ng system ay ipinahiwatig) at pananaliksik sa mga posibilidad ng kanilang pag-optimize batay sa pamantayan ng kahusayan (ang pamantayan ay ipinahiwatig).
7. Pagbuo ng software upang suportahan ang mga input/output device para sa system (pangalan ng system).
8. Pag-aaral ng kaligtasan ng mga bahagi ng software information system (pangalan ng system).
Panimula
Kabanata 1. Teoretikal na aspeto ng pag-aampon at seguridad ng impormasyon
1.1Ang konsepto ng seguridad ng impormasyon 3 Mga paraan ng seguridad ng impormasyon Kabanata 2. Pagsusuri ng sistema ng seguridad ng impormasyon 1 Saklaw ng aktibidad ng kumpanya at pagsusuri ng mga tagapagpahiwatig ng pananalapi 2 Paglalarawan ng sistema ng seguridad ng impormasyon ng kumpanya 3 Pagbuo ng isang hanay ng mga hakbang upang gawing makabago ang umiiral na sistema ng seguridad ng impormasyon Konklusyon Bibliograpiya Aplikasyon Appendix 1. Balance sheet para sa 2010 Appendix 1. Balance sheet para sa 2010 Panimula Ang kaugnayan ng paksa ng thesis ay tinutukoy ng tumaas na antas ng mga problema sa seguridad ng impormasyon, kahit na sa konteksto ng mabilis na paglago ng mga teknolohiya at mga tool para sa proteksyon ng data. Imposibleng matiyak ang isang 100% na antas ng proteksyon para sa mga sistema ng impormasyon ng kumpanya habang wastong inuuna ang mga gawain sa proteksyon ng data dahil sa limitadong bahagi ng badyet na inilalaan sa teknolohiya ng impormasyon. Ang maaasahang proteksyon ng computing at network corporate infrastructure ay isang pangunahing gawain sa seguridad ng impormasyon para sa anumang kumpanya. Sa paglago ng negosyo ng isang enterprise at ang paglipat sa isang organisasyong naipamahagi sa heograpiya, nagsisimula itong lumampas sa mga hangganan ng isang gusali. Ang epektibong proteksyon ng imprastraktura ng IT at mga corporate application system ngayon ay imposible nang walang pagpapakilala ng mga makabagong teknolohiya ng network access control. Ang pagdami ng mga kaso ng pagnanakaw ng media na naglalaman ng mahalagang impormasyon ng negosyo ay lalong nagpipilit na gawin ang mga hakbang sa organisasyon. Ang layunin ng gawaing ito ay suriin ang umiiral na sistema ng seguridad ng impormasyon sa organisasyon at bumuo ng mga hakbang upang mapabuti ito. Tinutukoy ng layuning ito ang mga sumusunod na layunin ng thesis: ) isaalang-alang ang konsepto ng seguridad ng impormasyon; ) isaalang-alang ang mga uri ng posibleng banta sa mga sistema ng impormasyon at mga opsyon para sa proteksyon laban sa mga posibleng banta ng pagtagas ng impormasyon sa organisasyon. ) tukuyin ang isang listahan ng mga mapagkukunan ng impormasyon, paglabag sa integridad o pagiging kompidensiyal na kung saan ay hahantong sa pinakamalaking pinsala sa negosyo; ) bumuo sa kanilang batayan ng isang hanay ng mga hakbang upang mapabuti ang umiiral na sistema ng seguridad ng impormasyon. Ang gawain ay binubuo ng isang panimula, dalawang kabanata, isang konklusyon, isang listahan ng mga mapagkukunang ginamit at mga aplikasyon. Ang panimula ay nagpapatunay sa kaugnayan ng paksa ng pananaliksik at bumubuo ng layunin at layunin ng gawain. Tinatalakay ng unang kabanata ang mga teoretikal na aspeto ng mga konsepto ng seguridad ng impormasyon sa isang organisasyon. Ang ikalawang kabanata ay nagbibigay ng isang maikling paglalarawan ng mga aktibidad ng kumpanya, mga pangunahing tagapagpahiwatig ng pagganap, inilalarawan ang kasalukuyang estado ng sistema ng seguridad ng impormasyon at nagmumungkahi ng mga hakbang upang mapabuti ito. Sa konklusyon, ang mga pangunahing resulta at konklusyon ng trabaho ay nabuo. Ang metodolohikal at teoretikal na batayan ng thesis ay ang mga gawa ng mga dalubhasa sa loob at dayuhan sa larangan ng seguridad ng impormasyon. Sa panahon ng paggawa sa thesis, ginamit ang impormasyon na sumasalamin sa nilalaman ng mga batas, batas at regulasyon, mga utos ng Pamahalaan ng ang Russian Federation na kumokontrol sa seguridad ng impormasyon, mga internasyonal na pamantayan para sa seguridad ng impormasyon . Ang teoretikal na kahalagahan ng thesis na pananaliksik ay nakasalalay sa pagpapatupad ng isang pinagsamang diskarte kapag bumubuo ng isang patakaran sa seguridad ng impormasyon. Ang praktikal na kahalagahan ng trabaho ay tinutukoy ng katotohanan na ang mga resulta nito ay ginagawang posible upang madagdagan ang antas ng proteksyon ng impormasyon sa isang negosyo sa pamamagitan ng karampatang disenyo ng isang patakaran sa seguridad ng impormasyon. Kabanata 1. Teoretikal na aspeto ng pag-aampon at seguridad ng impormasyon 1.1 Konsepto ng seguridad ng impormasyon Ang seguridad ng impormasyon ay tumutukoy sa seguridad ng impormasyon at ang mga sumusuportang imprastraktura nito mula sa anumang hindi sinasadya o malisyosong impluwensya na maaaring magresulta sa pinsala sa mismong impormasyon, mga may-ari nito o sumusuportang imprastraktura. Ang mga layunin ng seguridad ng impormasyon ay bumababa sa pagliit ng pinsala, pati na rin ang paghula at pagpigil sa mga naturang epekto. Ang mga parameter ng mga sistema ng impormasyon na nangangailangan ng proteksyon ay maaaring nahahati sa mga sumusunod na kategorya: pagtiyak ng integridad, pagkakaroon at pagiging kumpidensyal ng mga mapagkukunan ng impormasyon. Ang accessibility ay ang kakayahang makuha, sa maikling panahon, ang kinakailangang serbisyo ng impormasyon; ang integridad ay ang kaugnayan at pagkakapare-pareho ng impormasyon, ang proteksyon nito mula sa pagkasira at hindi awtorisadong mga pagbabago; pagiging kompidensiyal - proteksyon mula sa hindi awtorisadong pag-access sa impormasyon. Pangunahing nilikha ang mga sistema ng impormasyon upang makakuha ng ilang serbisyo ng impormasyon. Kung ang pagkuha ng impormasyon sa anumang kadahilanan ay nagiging imposible, ito ay nagdudulot ng pinsala sa lahat ng paksa ng mga relasyon sa impormasyon. Mula dito matutukoy natin na ang pagkakaroon ng impormasyon ang mauna. Ang integridad ay ang pangunahing aspeto ng seguridad ng impormasyon kapag ang katumpakan at katotohanan ang pangunahing mga parameter ng impormasyon. Halimbawa, ang mga reseta para sa mga medikal na gamot o isang set at katangian ng mga bahagi. Ang pinaka-binuo na bahagi ng seguridad ng impormasyon sa ating bansa ay pagiging kumpidensyal. Ngunit ang praktikal na pagpapatupad ng mga hakbang upang matiyak ang pagiging kompidensiyal ng mga modernong sistema ng impormasyon ay nahaharap sa malalaking paghihirap sa Russia. Una, ang impormasyon tungkol sa mga teknikal na channel ng pagtagas ng impormasyon ay sarado, kaya karamihan sa mga gumagamit ay hindi makakuha ng ideya ng mga potensyal na panganib. Pangalawa, maraming mga hadlang sa pambatasan at teknikal na hamon ang humahadlang sa custom na cryptography bilang pangunahing paraan ng pagtiyak ng privacy. Ang mga aksyon na maaaring magdulot ng pinsala sa isang sistema ng impormasyon ay maaaring nahahati sa ilang mga kategorya. naka-target na pagnanakaw o pagsira ng data sa isang workstation o server; Pinsala ng user sa data bilang resulta ng mga walang ingat na pagkilos. . "Electronic" na mga paraan ng impluwensya na isinasagawa ng mga hacker. Ang mga hacker ay nauunawaan bilang mga taong nakikibahagi sa mga krimen sa computer nang propesyonal (kabilang ang bilang bahagi ng kumpetisyon) at dahil lamang sa kuryusidad. Kasama sa mga pamamaraang ito ang: hindi awtorisadong pagpasok sa mga network ng computer; Ang layunin ng hindi awtorisadong pagpasok sa isang network ng enterprise mula sa labas ay maaaring magdulot ng pinsala (pagkasira ng data), magnakaw ng kumpidensyal na impormasyon at gamitin ito para sa mga iligal na layunin, gamitin ang imprastraktura ng network upang ayusin ang mga pag-atake sa mga third-party na node, magnakaw ng mga pondo mula sa mga account , atbp. Ang pag-atake ng DOS (pinaikling mula sa Denial of Service) ay isang panlabas na pag-atake sa mga node ng network ng enterprise na responsable para sa ligtas at mahusay na operasyon nito (file, mail server). Inaayos ng mga attacker ang napakalaking pagpapadala ng mga packet ng data sa mga node na ito upang ma-overload ang mga ito at, bilang resulta, maalis ang mga ito sa pagkilos nang ilang panahon. Ito, bilang panuntunan, ay nangangailangan ng mga pagkagambala sa mga proseso ng negosyo ng kumpanya ng biktima, pagkawala ng mga customer, pinsala sa reputasyon, atbp. Mga virus sa computer. Ang isang hiwalay na kategorya ng mga elektronikong paraan ng impluwensya ay ang mga virus ng computer at iba pang malisyosong programa. Nagdulot sila ng tunay na panganib sa mga modernong negosyo na malawakang gumagamit ng mga network ng computer, Internet at e-mail. Ang pagtagos ng virus sa mga corporate network node ay maaaring humantong sa pagkagambala sa kanilang paggana, pagkawala ng oras ng pagtatrabaho, pagkawala ng data, pagnanakaw ng kumpidensyal na impormasyon at kahit direktang pagnanakaw ng mga mapagkukunang pinansyal. Ang isang virus program na tumagos sa isang corporate network ay maaaring magbigay sa mga umaatake ng bahagyang o kumpletong kontrol sa mga aktibidad ng kumpanya. Spam. Sa loob lamang ng ilang taon, ang spam ay lumago mula sa isang maliit na pangangati tungo sa isa sa mga pinakaseryosong banta sa seguridad: ang email ay naging pangunahing channel kamakailan para sa pagkalat ng malware; ang spam ay tumatagal ng maraming oras upang tingnan at pagkatapos ay tanggalin ang mga mensahe, na nagiging sanhi ng mga empleyado ng pakiramdam ng sikolohikal na kakulangan sa ginhawa; parehong mga indibidwal at organisasyon ay nagiging biktima ng mga mapanlinlang na pamamaraan na isinasagawa ng mga spammer (madalas na sinusubukan ng mga biktima na huwag ibunyag ang mga naturang kaganapan); ang mahalagang sulat ay madalas na tinatanggal kasama ng spam, na maaaring humantong sa pagkawala ng mga customer, sirang kontrata at iba pang hindi kasiya-siyang kahihinatnan; ang panganib ng pagkawala ng sulat lalo na kapag gumagamit ng mga RBL blacklist at iba pang mga paraan ng pag-filter ng spam. "Natural" na pagbabanta. Ang seguridad ng impormasyon ng kumpanya ay maaaring maapektuhan ng iba't ibang panlabas na salik: ang pagkawala ng data ay maaaring sanhi ng hindi tamang pag-iimbak, pagnanakaw ng mga computer at media, force majeure, atbp. Ang isang sistema ng pamamahala ng seguridad ng impormasyon (ISMS o Sistema ng Pamamahala ng Seguridad ng Impormasyon) ay nagbibigay-daan sa iyo na pamahalaan ang isang hanay ng mga hakbang na nagpapatupad ng isang tiyak na nilalayon na diskarte, sa kasong ito na may kaugnayan sa seguridad ng impormasyon. Tandaan na pinag-uusapan natin hindi lamang ang tungkol sa pamamahala ng isang umiiral na sistema, kundi pati na rin ang tungkol sa pagbuo ng bago/pagdidisenyo ng isang luma. Kasama sa hanay ng mga panukala ang organisasyon, teknikal, pisikal at iba pa. Ang pamamahala sa seguridad ng impormasyon ay isang kumplikadong proseso, na nagbibigay-daan para sa pinakamabisa at komprehensibong pamamahala sa seguridad ng impormasyon sa isang kumpanya na maipatupad. Ang layunin ng pamamahala sa seguridad ng impormasyon ay upang mapanatili ang pagiging kompidensiyal, integridad at pagkakaroon ng impormasyon. Ang tanging tanong ay kung anong uri ng impormasyon ang kailangang protektahan at kung anong mga pagsisikap ang dapat gawin upang matiyak ang kaligtasan nito. Ang anumang pamamahala ay batay sa kamalayan sa sitwasyon kung saan ito nangyayari. Sa mga tuntunin ng pagsusuri sa panganib, ang kamalayan sa sitwasyon ay ipinahayag sa imbentaryo at pagtatasa ng mga pag-aari ng organisasyon at kanilang kapaligiran, iyon ay, lahat ng bagay na nagsisiguro sa pagsasagawa ng mga aktibidad sa negosyo. Mula sa pananaw ng pagsusuri sa panganib sa seguridad ng impormasyon, ang mga pangunahing asset ay kinabibilangan ng impormasyon, imprastraktura, tauhan, imahe at reputasyon ng kumpanya. Kung walang imbentaryo ng mga asset sa antas ng aktibidad ng negosyo, imposibleng sagutin ang tanong kung ano ang eksaktong kailangang protektahan. Mahalagang maunawaan kung anong impormasyon ang pinoproseso sa loob ng isang organisasyon at kung saan ito pinoproseso. Sa isang malaking modernong organisasyon, ang bilang ng mga asset ng impormasyon ay maaaring napakalaki. Kung ang mga aktibidad ng isang organisasyon ay awtomatiko gamit ang isang ERP system, maaari nating sabihin na halos anumang materyal na bagay na ginamit sa aktibidad na ito ay tumutugma sa ilang uri ng object ng impormasyon. Samakatuwid, ang pangunahing gawain ng pamamahala ng peligro ay upang matukoy ang pinakamahalagang mga pag-aari. Imposibleng malutas ang problemang ito nang walang paglahok ng mga tagapamahala ng pangunahing aktibidad ng samahan, parehong gitna at senior na antas. Ang pinakamainam na sitwasyon ay kapag ang nangungunang pamamahala ng organisasyon ay personal na nagtatakda ng mga pinaka-kritikal na lugar ng aktibidad, kung saan napakahalaga na matiyak ang seguridad ng impormasyon. Ang opinyon ng senior management tungkol sa mga priyoridad sa pagbibigay ng seguridad ng impormasyon ay napakahalaga at mahalaga sa proseso ng pagsusuri ng panganib, ngunit sa anumang kaso dapat itong linawin sa pamamagitan ng pagkolekta ng impormasyon tungkol sa pagiging kritikal ng mga asset sa average na antas ng pamamahala ng kumpanya. Kasabay nito, ipinapayong magsagawa ng karagdagang pagsusuri nang tumpak sa mga lugar ng aktibidad ng negosyo na itinalaga ng nangungunang pamamahala. Ang impormasyong natanggap ay pinoproseso, pinagsama-sama at ipinapadala sa senior management para sa isang komprehensibong pagtatasa ng sitwasyon. Ang impormasyon ay maaaring matukoy at ma-localize batay sa isang paglalarawan ng mga proseso ng negosyo kung saan ang impormasyon ay itinuturing na isa sa mga uri ng mga mapagkukunan. Ang gawain ay medyo pinasimple kung ang organisasyon ay nagpatibay ng isang diskarte sa pag-regulate ng mga aktibidad sa negosyo (halimbawa, para sa mga layunin ng pamamahala ng kalidad at pag-optimize ng mga proseso ng negosyo). Ang mga pormal na paglalarawan ng mga proseso ng negosyo ay isang magandang panimulang punto para sa imbentaryo ng asset. Kung walang mga paglalarawan, maaari mong tukuyin ang mga asset batay sa impormasyong natanggap mula sa mga empleyado ng organisasyon. Kapag natukoy na ang mga asset, dapat matukoy ang halaga ng mga ito. Ang gawain ng pagtukoy sa halaga ng mga asset ng impormasyon sa buong organisasyon ay pareho ang pinakamahalaga at kumplikado. Ito ay ang pagtatasa ng mga asset ng impormasyon na magpapahintulot sa pinuno ng departamento ng seguridad ng impormasyon na pumili ng mga pangunahing lugar ng aktibidad upang matiyak ang seguridad ng impormasyon. Ngunit ang kahusayan sa ekonomiya ng proseso ng pamamahala ng seguridad ng impormasyon ay higit na nakasalalay sa kamalayan ng kung ano ang kailangang protektahan at kung anong mga pagsisikap ang kakailanganin nito, dahil sa karamihan ng mga kaso ang halaga ng pagsisikap na inilapat ay direktang proporsyonal sa halaga ng pera na ginugol at mga gastos sa pagpapatakbo. Ang pamamahala sa peligro ay nagbibigay-daan sa iyo na sagutin ang tanong kung saan ka maaaring makipagsapalaran at kung saan hindi mo magagawa. Sa kaso ng seguridad ng impormasyon, ang terminong "panganib" ay nangangahulugan na sa isang partikular na lugar posible na huwag gumawa ng makabuluhang pagsisikap upang protektahan ang mga asset ng impormasyon, at sa parehong oras, sa kaganapan ng isang paglabag sa seguridad, ang organisasyon ay hindi magdurusa. makabuluhang pagkalugi. Dito maaari tayong gumuhit ng pagkakatulad sa mga klase ng proteksyon ng mga automated system: kung mas makabuluhan ang mga panganib, mas mahigpit ang mga kinakailangan sa proteksyon. Upang matukoy ang mga kahihinatnan ng isang paglabag sa seguridad, dapat ay mayroon kang impormasyon tungkol sa mga naitalang insidente na may katulad na kalikasan, o magsagawa ng pagsusuri ng senaryo. Sinusuri ng pagsusuri ng senaryo ang sanhi-at-epekto na mga ugnayan sa pagitan ng mga kaganapan sa seguridad ng asset at ang mga kahihinatnan ng mga kaganapang ito sa mga aktibidad ng negosyo ng organisasyon. Ang mga kahihinatnan ng mga sitwasyon ay dapat na tasahin ng maraming tao, paulit-ulit o sinasadya. Dapat pansinin na ang pagbuo at pagsusuri ng mga ganitong sitwasyon ay hindi maaaring ganap na mahiwalay sa katotohanan. Dapat mong laging tandaan na ang senaryo ay dapat na malamang. Ang pamantayan at sukat para sa pagtukoy ng halaga ay indibidwal para sa bawat organisasyon. Batay sa mga resulta ng pagsusuri ng senaryo, maaaring makuha ang impormasyon tungkol sa halaga ng mga asset. Kung ang mga asset ay natukoy at ang kanilang halaga ay natukoy, maaari nating sabihin na ang mga layunin ng pagbibigay ng seguridad ng impormasyon ay bahagyang itinatag: ang mga bagay ng proteksyon at ang kahalagahan ng pagpapanatili ng mga ito sa isang estado ng seguridad ng impormasyon para sa organisasyon ay natutukoy. Marahil ang natitira na lang ay upang matukoy kung kanino dapat protektahan. Pagkatapos matukoy ang mga layunin ng pamamahala ng seguridad ng impormasyon, dapat mong pag-aralan ang mga problema na pumipigil sa iyo sa paglapit sa target na estado. Sa antas na ito, ang proseso ng pagsusuri sa panganib ay bumaba sa imprastraktura ng impormasyon at tradisyonal na mga konsepto ng seguridad ng impormasyon - mga nanghihimasok, pagbabanta at kahinaan. Upang masuri ang mga panganib, hindi sapat na magpakilala ng karaniwang modelo ng lumalabag na naghahati sa lahat ng lumalabag ayon sa uri ng pag-access sa asset at kaalaman sa istruktura ng asset. Tinutulungan ng dibisyong ito na matukoy kung anong mga banta ang maaaring idirekta sa isang asset, ngunit hindi sinasagot ang tanong kung ang mga banta na ito, sa prinsipyo, ay maaaring maisakatuparan. Sa proseso ng pagtatasa ng panganib, kinakailangan upang masuri ang pagganyak ng mga lumalabag sa pagpapatupad ng mga pagbabanta. Sa kasong ito, ang lumabag ay hindi nangangahulugan ng abstract na panlabas na hacker o insider, ngunit isang partido na interesadong makakuha ng mga benepisyo sa pamamagitan ng paglabag sa seguridad ng isang asset. Maipapayo na makakuha ng paunang impormasyon tungkol sa modelo ng nagkasala, tulad ng sa kaso ng pagpili ng mga paunang direksyon ng mga aktibidad sa seguridad ng impormasyon, mula sa nangungunang pamamahala, na nakakaunawa sa posisyon ng organisasyon sa merkado, ay may impormasyon tungkol sa mga kakumpitensya at kung anong mga paraan ng impluwensya ang maaaring inaasahan mula sa kanila. Ang impormasyong kinakailangan upang bumuo ng isang modelo ng isang nanghihimasok ay maaari ding makuha mula sa dalubhasang pananaliksik sa mga paglabag sa seguridad ng computer sa lugar ng negosyo kung saan isinasagawa ang pagsusuri sa panganib. Ang isang maayos na binuong modelo ng panghihimasok ay umaakma sa mga layunin sa seguridad ng impormasyon na tinutukoy kapag tinatasa ang mga asset ng organisasyon. Ang pagbuo ng isang modelo ng pagbabanta at ang pagtukoy ng mga kahinaan ay hindi mapaghihiwalay na nauugnay sa isang imbentaryo ng kapaligiran ng mga asset ng impormasyon ng organisasyon. Ang impormasyon mismo ay hindi iniimbak o pinoproseso. Ang pag-access dito ay ibinibigay gamit ang isang imprastraktura ng impormasyon na nag-automate sa mga proseso ng negosyo ng organisasyon. Mahalagang maunawaan kung paano nauugnay sa isa't isa ang imprastraktura ng impormasyon at mga asset ng impormasyon ng organisasyon. Mula sa pananaw ng pamamahala sa seguridad ng impormasyon, ang kahalagahan ng imprastraktura ng impormasyon ay maitatag lamang pagkatapos matukoy ang kaugnayan sa pagitan ng mga asset ng impormasyon at imprastraktura. Kung ang mga proseso para sa pagpapanatili at pagpapatakbo ng imprastraktura ng impormasyon sa isang organisasyon ay kinokontrol at transparent, ang koleksyon ng impormasyong kinakailangan upang matukoy ang mga banta at masuri ang mga kahinaan ay lubos na pinasimple. Ang pagbuo ng modelo ng pagbabanta ay isang trabaho para sa mga propesyonal sa seguridad ng impormasyon na may mahusay na pag-unawa sa kung paano makakakuha ang isang umaatake ng hindi awtorisadong pag-access sa impormasyon sa pamamagitan ng paglabag sa perimeter ng seguridad o paggamit ng mga pamamaraan ng social engineering. Kapag bumubuo ng isang modelo ng pagbabanta, maaari mo ring pag-usapan ang mga senaryo bilang sunud-sunod na mga hakbang ayon sa kung aling mga banta ang maaaring maisakatuparan. Napakabihirang mangyari na ang mga banta ay ipinatupad sa isang hakbang sa pamamagitan ng pagsasamantala sa isang bulnerable na punto sa system. Dapat isama ng modelo ng pagbabanta ang lahat ng banta na natukoy sa pamamagitan ng mga nauugnay na proseso ng pamamahala sa seguridad ng impormasyon, tulad ng kahinaan at pamamahala ng insidente. Dapat alalahanin na ang mga banta ay kailangang i-ranggo nang may kaugnayan sa isa't isa ayon sa antas ng posibilidad ng kanilang pagpapatupad. Upang gawin ito, sa proseso ng pagbuo ng isang modelo ng pagbabanta para sa bawat pagbabanta, kinakailangan upang ipahiwatig ang pinaka makabuluhang mga kadahilanan, ang pagkakaroon nito ay nakakaimpluwensya sa pagpapatupad nito. Ang patakaran sa seguridad ay batay sa pagsusuri ng mga panganib na kinikilalang totoo para sa sistema ng impormasyon ng organisasyon. Kapag nasuri na ang mga panganib at natukoy na ang diskarte sa proteksyon, bubuo ng programa sa seguridad ng impormasyon. Ang mga mapagkukunan ay inilalaan para sa programang ito, ang mga responsableng tao ay hinirang, ang pamamaraan para sa pagsubaybay sa pagpapatupad ng programa ay tinutukoy, atbp. Sa isang malawak na kahulugan, ang patakaran sa seguridad ay tinukoy bilang isang sistema ng mga dokumentadong desisyon sa pamamahala upang matiyak ang seguridad ng isang organisasyon. Sa isang makitid na kahulugan, ang isang patakaran sa seguridad ay karaniwang nauunawaan bilang isang lokal na dokumento ng regulasyon na tumutukoy sa mga kinakailangan sa seguridad, isang sistema ng mga hakbang o isang pamamaraan, pati na rin ang mga responsibilidad ng mga empleyado ng organisasyon at mga mekanismo ng kontrol para sa isang tiyak na lugar ng seguridad. Bago tayo magsimulang bumalangkas sa mismong patakaran sa seguridad ng impormasyon, kinakailangan na maunawaan ang mga pangunahing konsepto kung saan tayo magpapatakbo. Impormasyon - impormasyon (mensahe, data) anuman ang anyo ng kanilang presentasyon. Ang pagiging kompidensyal ng impormasyon ay isang ipinag-uutos na kinakailangan para sa isang tao na nakakuha ng access sa ilang partikular na impormasyon na huwag ilipat ang naturang impormasyon sa mga ikatlong partido nang walang pahintulot ng may-ari nito. Ang seguridad ng impormasyon (IS) ay ang estado ng seguridad ng kapaligiran ng impormasyon ng lipunan, tinitiyak ang pagbuo, paggamit at pag-unlad nito sa interes ng mga mamamayan, organisasyon, at estado. Ang konsepto ng "impormasyon" ngayon ay ginagamit nang malawakan at maraming nalalaman. Ang pagtiyak sa seguridad ng impormasyon ay hindi maaaring isang beses na pagkilos. Ito ay isang tuluy-tuloy na proseso na binubuo ng pagbibigay-katwiran at pagpapatupad ng mga pinaka-makatuwirang pamamaraan, pamamaraan at paraan ng pagpapabuti at pagpapaunlad ng sistema ng seguridad, patuloy na pagsubaybay sa kalagayan nito, pagtukoy sa mga kahinaan nito at mga ilegal na aksyon. Ang seguridad ng impormasyon ay masisiguro lamang sa pamamagitan ng pinagsama-samang paggamit ng buong hanay ng mga magagamit na paraan ng seguridad sa lahat ng mga elemento ng istruktura ng sistema ng produksyon at sa lahat ng mga yugto ng teknolohikal na cycle ng pagproseso ng impormasyon. Ang pinakamalaking epekto ay makakamit kapag ang lahat ng paraan, pamamaraan at hakbang na ginamit ay pinagsama sa isang holistic na mekanismo - isang sistema ng seguridad ng impormasyon. Kasabay nito, ang paggana ng system ay dapat na subaybayan, i-update at dagdagan depende sa mga pagbabago sa panlabas at panloob na mga kondisyon. Ayon sa pamantayan ng GOST R ISO/IEC 15408:2005, ang mga sumusunod na uri ng mga kinakailangan sa kaligtasan ay maaaring makilala: functional, naaayon sa aktibong aspeto ng proteksyon, mga kinakailangan para sa mga function ng seguridad at ang mga mekanismo na nagpapatupad ng mga ito; mga kinakailangan sa tiwala na naaayon sa passive na aspeto na ipinataw sa teknolohiya at ang proseso ng pag-unlad at pagpapatakbo. Napakahalaga na ang seguridad sa pamantayang ito ay hindi itinuturing na static, ngunit may kaugnayan sa ikot ng buhay ng bagay na sinusuri. Ang mga sumusunod na yugto ay nakikilala: pagpapasiya ng layunin, mga kondisyon ng paggamit, mga layunin at mga kinakailangan sa kaligtasan; disenyo at pag-unlad; pagsubok, pagsusuri at sertipikasyon; pagpapatupad at operasyon. Kaya, tingnan natin nang maigi ang mga kinakailangan sa functional na seguridad. Kabilang sa mga ito ang: proteksyon ng data ng gumagamit; proteksyon ng mga function ng seguridad (ang mga kinakailangan ay nauugnay sa integridad at kontrol ng mga serbisyong pangseguridad na ito at ang mga mekanismo na nagpapatupad ng mga ito); pamamahala ng seguridad (ang mga kinakailangan ng klase na ito ay nauugnay sa pamamahala ng mga katangian at parameter ng seguridad); pag-audit sa seguridad (pagkilala, pagpaparehistro, pag-iimbak, pagsusuri ng data na nakakaapekto sa seguridad ng bagay na tinatasa, tugon sa isang posibleng paglabag sa seguridad); privacy (pagprotekta sa gumagamit mula sa pagsisiwalat at hindi awtorisadong paggamit ng kanyang data ng pagkakakilanlan); paggamit ng mga mapagkukunan (mga kinakailangan para sa pagkakaroon ng impormasyon); komunikasyon (pagpapatunay ng mga partido na kasangkot sa pagpapalitan ng data); pinagkakatiwalaang ruta/channel (para sa komunikasyon sa mga serbisyo sa seguridad). Alinsunod sa mga kinakailangang ito, kinakailangan na bumalangkas ng sistema ng seguridad ng impormasyon ng isang organisasyon. Kasama sa sistema ng seguridad ng impormasyon ng organisasyon ang mga sumusunod na lugar: regulasyon; organisasyon (administratibo); teknikal; software; Upang ganap na masuri ang sitwasyon sa isang negosyo sa lahat ng mga lugar ng seguridad, kinakailangan na bumuo ng isang konsepto ng seguridad ng impormasyon na magtatatag ng isang sistematikong diskarte sa problema ng seguridad ng mga mapagkukunan ng impormasyon at kumakatawan sa isang sistematikong pahayag ng mga layunin, layunin, mga prinsipyo ng disenyo at isang hanay ng mga hakbang upang matiyak ang seguridad ng impormasyon sa isang negosyo. Ang corporate network management system ay dapat na nakabatay sa mga sumusunod na prinsipyo (mga gawain): tinitiyak ang proteksyon ng umiiral na imprastraktura ng impormasyon ng negosyo mula sa mga nanghihimasok; pagbibigay ng mga kondisyon para sa pag-localize at pagliit ng posibleng pinsala; pag-aalis ng paglitaw ng mga mapagkukunan ng mga banta sa paunang yugto; pagtiyak ng proteksyon ng impormasyon laban sa tatlong pangunahing uri ng mga umuusbong na banta (availability, integridad, confidentiality); Ang solusyon sa mga problema sa itaas ay nakakamit sa pamamagitan ng; regulasyon ng mga aksyon ng gumagamit kapag nagtatrabaho sa sistema ng impormasyon; regulasyon ng mga aksyon ng gumagamit kapag nagtatrabaho sa database; pare-parehong mga kinakailangan para sa pagiging maaasahan ng hardware at software; mga pamamaraan para sa pagsubaybay sa pagpapatakbo ng sistema ng impormasyon (mga kaganapan sa pag-log, pagsusuri ng mga protocol, pagsusuri ng trapiko sa network, pagsusuri sa pagpapatakbo ng mga teknikal na kagamitan); Kasama sa patakaran sa seguridad ng impormasyon ang: ang pangunahing dokumento ay ang "Patakaran sa Seguridad". Karaniwang inilalarawan nito ang patakaran sa seguridad ng organisasyon, mga pangkalahatang probisyon, at isinasaad din ang mga nauugnay na dokumento para sa lahat ng aspeto ng patakaran; mga tagubilin para sa pag-regulate ng gawain ng mga gumagamit; paglalarawan ng trabaho para sa administrator ng lokal na network; paglalarawan ng trabaho ng administrator ng database; mga tagubilin para sa pagtatrabaho sa mga mapagkukunan ng Internet; mga tagubilin para sa pag-aayos ng proteksyon ng password; mga tagubilin para sa pag-aayos ng proteksyon laban sa virus. Ang dokumento ng Patakaran sa Seguridad ay naglalaman ng mga pangunahing probisyon. Sa batayan nito, ang isang programa sa seguridad ng impormasyon ay binuo, ang mga paglalarawan ng trabaho at mga rekomendasyon ay binuo. Ang mga tagubilin para sa pag-regulate ng gawain ng mga gumagamit ng lokal na network ng isang organisasyon ay kinokontrol ang pamamaraan para sa pagpayag sa mga user na magtrabaho sa lokal na network ng computer ng organisasyon, pati na rin ang mga patakaran para sa paghawak ng protektadong impormasyon na naproseso, nakaimbak at ipinadala sa organisasyon. Ang paglalarawan ng trabaho ng isang administrator ng lokal na network ay naglalarawan sa mga responsibilidad ng isang administrator ng lokal na network tungkol sa seguridad ng impormasyon. Ang paglalarawan ng trabaho ng isang database administrator ay tumutukoy sa mga pangunahing responsibilidad, function at karapatan ng isang database administrator. Inilalarawan nito nang detalyado ang lahat ng mga responsibilidad at tungkulin sa trabaho ng isang administrator ng database, pati na rin ang mga karapatan at responsibilidad. Ang mga tagubilin para sa pagtatrabaho sa mga mapagkukunan ng Internet ay sumasalamin sa mga pangunahing patakaran para sa ligtas na pagtatrabaho sa Internet, at naglalaman din ng isang listahan ng mga katanggap-tanggap at hindi katanggap-tanggap na mga aksyon kapag nagtatrabaho sa mga mapagkukunan ng Internet. Ang mga tagubilin para sa pag-aayos ng proteksyon ng anti-virus ay tumutukoy sa mga pangunahing probisyon, mga kinakailangan para sa pag-aayos ng proteksyon laban sa virus ng sistema ng impormasyon ng isang organisasyon, lahat ng aspeto na nauugnay sa pagpapatakbo ng anti-virus software, pati na rin ang responsibilidad kung sakaling may paglabag sa anti-virus. -proteksyon laban sa virus. Ang mga tagubilin para sa pag-aayos ng proteksyon ng password ay kinokontrol ang pang-organisasyon at teknikal na suporta para sa mga proseso ng pagbuo, pagbabago at pagwawakas ng mga password (pagtanggal ng mga user account). Ang mga aksyon ng mga gumagamit at mga tauhan ng pagpapanatili kapag nagtatrabaho sa system ay kinokontrol din. Kaya, ang batayan para sa pag-aayos ng proseso ng proteksyon ng impormasyon ay ang patakaran sa seguridad, na binuo upang matukoy mula sa kung anong mga banta at kung paano pinoprotektahan ang impormasyon sa sistema ng impormasyon. Ang patakaran sa seguridad ay tumutukoy sa isang hanay ng mga legal, organisasyonal at teknikal na mga hakbang upang protektahan ang impormasyong pinagtibay sa isang partikular na organisasyon. Iyon ay, ang patakaran sa seguridad ay naglalaman ng maraming mga kundisyon kung saan ang mga gumagamit ay nakakakuha ng access sa mga mapagkukunan ng system nang hindi nawawala ang mga katangian ng seguridad ng impormasyon ng system na ito. Ang problema sa pagtiyak ng seguridad ng impormasyon ay dapat na malutas sa sistematikong paraan. Nangangahulugan ito na ang iba't ibang mga proteksyon (hardware, software, pisikal, organisasyon, atbp.) ay dapat ilapat nang sabay-sabay at sa ilalim ng sentralisadong kontrol. Ngayon mayroong isang malaking arsenal ng mga pamamaraan para sa pagtiyak ng seguridad ng impormasyon: paraan ng pagkakakilanlan at pagpapatunay ng mga gumagamit; paraan ng pag-encrypt ng impormasyon na nakaimbak sa mga computer at ipinadala sa mga network; mga firewall; virtual pribadong network; mga tool sa pag-filter ng nilalaman; mga tool para sa pagsuri sa integridad ng mga nilalaman ng disk; mga tool sa proteksyon ng antivirus; network vulnerability detection system at network attack analyzers. Ang bawat isa sa mga nakalistang tool ay maaaring gamitin nang nakapag-iisa o sa pagsasama sa iba. Ginagawa nitong posible na lumikha ng mga sistema ng seguridad ng impormasyon para sa mga network ng anumang kumplikado at pagsasaayos, na independyente sa mga platform na ginamit. Sistema ng pagpapatunay (o pagkakakilanlan), awtorisasyon at pangangasiwa. Ang pagkakakilanlan at awtorisasyon ay mga pangunahing elemento ng seguridad ng impormasyon. Ang pagpapaandar ng awtorisasyon ay responsable para sa kung aling mga mapagkukunan ang may access sa isang partikular na user. Ang function ng pangangasiwa ay upang bigyan ang user ng ilang partikular na katangian ng pagkakakilanlan sa loob ng isang partikular na network at matukoy ang saklaw ng mga pagkilos na pinapayagan para sa kanya. Ginagawang posible ng mga sistema ng pag-encrypt na mabawasan ang mga pagkalugi sa kaganapan ng hindi awtorisadong pag-access sa data na nakaimbak sa isang hard drive o iba pang media, pati na rin ang pagharang ng impormasyon kapag ipinadala sa pamamagitan ng email o ipinadala sa pamamagitan ng mga protocol ng network. Ang layunin ng tool sa proteksyon na ito ay upang matiyak ang pagiging kumpidensyal. Ang mga pangunahing kinakailangan para sa mga sistema ng pag-encrypt ay isang mataas na antas ng lakas ng cryptographic at legalidad ng paggamit sa teritoryo ng Russia (o iba pang mga estado). Ang firewall ay isang sistema o kumbinasyon ng mga system na bumubuo ng isang proteksiyon na hadlang sa pagitan ng dalawa o higit pang mga network upang maiwasan ang mga hindi awtorisadong data packet na pumasok o umalis sa network. Ang pangunahing prinsipyo ng pagpapatakbo ng mga firewall ay upang suriin ang bawat packet ng data para sa pagsunod sa mga papasok at papalabas na IP address sa isang database ng mga pinapayagang address. Kaya, ang mga firewall ay makabuluhang nagpapalawak ng mga kakayahan ng pagse-segment ng mga network ng impormasyon at pagkontrol sa sirkulasyon ng data. Kapag pinag-uusapan ang cryptography at firewall, dapat nating banggitin ang mga secure na virtual private network (VPN). Ang kanilang paggamit ay ginagawang posible upang malutas ang mga problema sa pagiging kumpidensyal at integridad ng data kapag ipinadala sa bukas na mga channel ng komunikasyon. Ang paggamit ng VPN ay maaaring mabawasan sa paglutas ng tatlong pangunahing problema: proteksyon ng mga daloy ng impormasyon sa pagitan ng iba't ibang mga tanggapan ng kumpanya (ang impormasyon ay naka-encrypt lamang sa exit sa panlabas na network); secure na pag-access ng mga remote na gumagamit ng network sa mga mapagkukunan ng impormasyon ng kumpanya, karaniwang isinasagawa sa pamamagitan ng Internet; proteksyon ng mga daloy ng impormasyon sa pagitan ng mga indibidwal na aplikasyon sa loob ng mga corporate network (ang aspetong ito ay napakahalaga rin, dahil ang karamihan sa mga pag-atake ay isinasagawa mula sa mga panloob na network). Ang isang epektibong paraan ng pagprotekta laban sa pagkawala ng kumpidensyal na impormasyon ay ang pagsala sa mga nilalaman ng papasok at papalabas na email. Ang pag-screen sa mga email message mismo at ang kanilang mga attachment batay sa mga panuntunang itinatag ng organisasyon ay nakakatulong din na protektahan ang mga kumpanya mula sa pananagutan sa mga demanda at pinoprotektahan ang kanilang mga empleyado mula sa spam. Nagbibigay-daan sa iyo ang mga tool sa pag-filter ng nilalaman na mag-scan ng mga file ng lahat ng karaniwang format, kabilang ang mga naka-compress at graphic na file. Kasabay nito, ang throughput ng network ay nananatiling halos hindi nagbabago. Ang lahat ng mga pagbabago sa isang workstation o server ay maaaring masubaybayan ng administrator ng network o iba pang awtorisadong gumagamit salamat sa teknolohiya ng pagsuri sa integridad ng mga nilalaman ng hard drive (pagsusuri ng integridad). Binibigyang-daan ka nitong makita ang anumang mga aksyon na may mga file (pagbabago, pagtanggal o pagbubukas lamang) at tukuyin ang aktibidad ng virus, hindi awtorisadong pag-access o pagnanakaw ng data ng mga awtorisadong user. Ang kontrol ay isinasagawa batay sa pagsusuri ng mga file checksum (CRC sums). Ginagawang posible ng mga modernong teknolohiyang anti-virus na matukoy ang halos lahat ng kilalang program ng virus sa pamamagitan ng paghahambing ng code ng isang kahina-hinalang file sa mga sample na nakaimbak sa database ng anti-virus. Bilang karagdagan, ang mga teknolohiya sa pagmomolde ng pag-uugali ay binuo na ginagawang posible na makita ang mga bagong likhang programa ng virus. Ang mga natukoy na bagay ay maaaring gamutin, ihiwalay (i-quarantine), o tanggalin. Maaaring mai-install ang proteksyon ng virus sa mga workstation, file at mail server, mga firewall na tumatakbo sa ilalim ng halos anumang karaniwang operating system (Windows, Unix at Linux system, Novell) sa iba't ibang uri ng mga processor. Ang mga filter ng spam ay makabuluhang binabawasan ang hindi produktibong mga gastos sa paggawa na nauugnay sa pag-parse ng spam, binabawasan ang trapiko at pag-load ng server, pinapabuti ang sikolohikal na background sa koponan at binabawasan ang panganib ng mga empleyado ng kumpanya na masangkot sa mga mapanlinlang na transaksyon. Bilang karagdagan, binabawasan ng mga filter ng spam ang panganib ng impeksyon sa mga bagong virus, dahil ang mga mensaheng naglalaman ng mga virus (kahit ang mga hindi pa kasama sa mga database ng mga programang anti-virus) ay kadalasang may mga palatandaan ng spam at na-filter out. Totoo, maaaring balewalain ang positibong epekto ng pag-filter ng spam kung ang filter, kasama ng mga junk na mensahe, ay nag-aalis o mamarkahan bilang spam at mga kapaki-pakinabang na mensahe, negosyo o personal. Ang napakalaking pinsalang dulot sa mga kumpanya ng mga virus at pag-atake ng hacker ay higit sa lahat ay bunga ng mga kahinaan sa software na ginamit. Maaari silang matukoy nang maaga, nang hindi naghihintay ng isang tunay na pag-atake, gamit ang mga sistema ng pagtuklas ng kahinaan sa network ng computer at mga tagasuri ng pag-atake sa network. Ang nasabing software ay ligtas na ginagaya ang mga karaniwang pag-atake at paraan ng panghihimasok at tinutukoy kung ano ang makikita ng isang hacker sa network at kung paano niya magagamit ang mga mapagkukunan nito. Upang kontrahin ang mga likas na banta sa seguridad ng impormasyon, ang kumpanya ay dapat bumuo at magpatupad ng isang hanay ng mga pamamaraan upang maiwasan ang mga sitwasyong pang-emergency (halimbawa, upang matiyak ang pisikal na proteksyon ng data mula sa sunog) at upang mabawasan ang pinsala kung ang ganoong sitwasyon ay lumitaw. Ang isa sa mga pangunahing paraan ng pagprotekta laban sa pagkawala ng data ay ang backup na may mahigpit na pagsunod sa mga itinatag na pamamaraan (regularidad, mga uri ng media, mga paraan ng pag-iimbak ng mga kopya, atbp.). Ang patakaran sa seguridad ng impormasyon ay isang pakete ng mga dokumento na kumokontrol sa gawain ng mga empleyado, na naglalarawan sa mga pangunahing patakaran para sa pagtatrabaho sa impormasyon, mga sistema ng impormasyon, mga database, mga lokal na network at mga mapagkukunan ng Internet. Mahalagang maunawaan kung anong lugar ang nasasakupan ng patakaran sa seguridad ng impormasyon sa pangkalahatang sistema ng pamamahala ng isang organisasyon. Ang mga sumusunod ay pangkalahatang mga hakbang sa organisasyon na nauugnay sa mga patakaran sa seguridad. Sa antas ng pamamaraan, ang mga sumusunod na klase ng mga hakbang ay maaaring makilala: Pamamahala ng tauhan; pisikal na proteksyon; pagpapanatili ng pagganap; pagtugon sa mga paglabag sa seguridad; pagpaplano ng gawaing pagpapanumbalik. Ang pamamahala ng human resource ay nagsisimula sa pagkuha, ngunit bago pa man iyon, dapat mong matukoy ang mga pribilehiyo ng computer na nauugnay sa posisyon. Mayroong dalawang pangkalahatang prinsipyo na dapat tandaan: paghihiwalay ng mga tungkulin; pagliit ng mga pribilehiyo. Ang prinsipyo ng paghihiwalay ng mga tungkulin ay nag-uutos kung paano ipamahagi ang mga tungkulin at responsibilidad upang ang isang tao ay hindi makagambala sa isang prosesong kritikal sa organisasyon. Halimbawa, hindi kanais-nais para sa isang tao na gumawa ng malalaking pagbabayad sa ngalan ng isang organisasyon. Mas ligtas na turuan ang isang empleyado na iproseso ang mga aplikasyon para sa mga naturang pagbabayad, at isa pa na patunayan ang mga aplikasyong ito. Ang isa pang halimbawa ay ang mga paghihigpit sa pamamaraan sa mga pagkilos ng superuser. Maaari mong artipisyal na "hatiin" ang superuser na password sa pamamagitan ng pagbabahagi ng unang bahagi nito sa isang empleyado at ang pangalawang bahagi sa isa pa. Pagkatapos ay maaari silang magsagawa ng mga kritikal na aksyon upang pangasiwaan ang sistema ng impormasyon nang magkasama, na binabawasan ang posibilidad ng mga pagkakamali at pang-aabuso. Ang prinsipyo ng hindi bababa sa pribilehiyo ay nangangailangan na ang mga user ay bibigyan lamang ng mga karapatan sa pag-access na kailangan nila upang maisagawa ang kanilang mga responsibilidad sa trabaho. Ang layunin ng prinsipyong ito ay malinaw - upang mabawasan ang pinsala mula sa hindi sinasadya o sinasadyang mga maling aksyon. Ang paunang paghahanda ng isang paglalarawan ng trabaho ay nagbibigay-daan sa iyo upang masuri ang pagiging kritikal nito at planuhin ang pamamaraan para sa screening at pagpili ng mga kandidato. Kung mas responsable ang posisyon, mas maingat na kailangan mong suriin ang mga kandidato: magtanong tungkol sa kanila, marahil makipag-usap sa mga dating kasamahan, atbp. Ang ganitong pamamaraan ay maaaring mahaba at magastos, kaya walang saysay na palubhain pa ito. Kasabay nito, hindi makatwiran na ganap na tanggihan ang pre-screening upang maiwasan ang aksidenteng pagkuha ng isang taong may rekord ng kriminal o sakit sa isip. Kapag natukoy na ang isang kandidato, malamang na kailangan niyang sumailalim sa pagsasanay; sa pinakamaliit, dapat siyang lubusang pamilyar sa mga responsibilidad sa trabaho at mga regulasyon at pamamaraan sa seguridad ng impormasyon. Maipapayo na maunawaan niya ang mga hakbang sa seguridad bago manungkulan at bago itatag ang kanyang system account na may login name, password at mga pribilehiyo. Ang seguridad ng isang sistema ng impormasyon ay nakasalalay sa kapaligiran kung saan ito gumagana. Kinakailangang gumawa ng mga hakbang upang protektahan ang mga gusali at mga nakapaligid na lugar, pagsuporta sa imprastraktura, kagamitan sa kompyuter, at storage media. Isaalang-alang natin ang mga sumusunod na bahagi ng pisikal na proteksyon: pisikal na kontrol sa pag-access; proteksyon ng pagsuporta sa imprastraktura; proteksyon ng mga mobile system. Ang mga hakbang sa pagkontrol sa pisikal na pag-access ay nagpapahintulot sa iyo na kontrolin at, kung kinakailangan, paghigpitan ang pagpasok at paglabas ng mga empleyado at bisita. Ang buong gusali ng isang organisasyon ay maaaring kontrolin, pati na rin ang mga indibidwal na silid, halimbawa, ang mga kung saan matatagpuan ang mga server, kagamitan sa komunikasyon, atbp. Kasama sa pagsuporta sa imprastraktura ang mga sistema ng suplay ng kuryente, tubig at init, air conditioning at mga komunikasyon. Sa prinsipyo, ang parehong mga kinakailangan sa integridad at kakayahang magamit sa kanila ay nalalapat sa mga sistema ng impormasyon. Upang matiyak ang integridad, ang kagamitan ay dapat protektahan mula sa pagnanakaw at pinsala. Upang mapanatili ang kakayahang magamit, dapat kang pumili ng kagamitan na may pinakamataas na MTBF, dobleng mga kritikal na bahagi, at laging may mga ekstrang bahagi na nasa kamay. Sa pangkalahatan, ang pagsusuri sa panganib ay dapat isagawa kapag pumipili ng pisikal na kagamitan sa proteksyon. Kaya, kapag nagpasya na bumili ng isang walang tigil na supply ng kuryente, kinakailangang isaalang-alang ang kalidad ng supply ng kuryente sa gusali na inookupahan ng organisasyon (gayunpaman, ito ay halos tiyak na magiging mahirap), ang kalikasan at tagal ng mga pagkasira ng kuryente, ang halaga ng magagamit na mga mapagkukunan at posibleng pagkalugi mula sa mga aksidente (pagkasira ng kagamitan, pagsususpinde ng trabaho ng organisasyon at iba pa.) Isaalang-alang natin ang ilang mga hakbang na naglalayong mapanatili ang paggana ng mga sistema ng impormasyon. Dito sa lugar na ito nagkukubli ang pinakamalaking panganib. Ang mga hindi sinasadyang pagkakamali ng mga tagapangasiwa ng system at mga gumagamit ay maaaring humantong sa pagkawala ng pagganap, katulad ng pinsala sa kagamitan, pagkasira ng mga programa at data. Ito ang pinakamasamang sitwasyon. Sa pinakamahusay, lumikha sila ng mga butas sa seguridad na nagbibigay-daan sa mga banta sa seguridad ng system na mangyari. Ang pangunahing problema ng maraming mga organisasyon ay ang pagmamaliit ng mga kadahilanan sa kaligtasan sa araw-araw na trabaho. Ang mga mamahaling feature ng seguridad ay walang kabuluhan kung ang mga ito ay hindi maayos na naidokumento, sumasalungat sa iba pang software, at ang password ng administrator ng system ay hindi nabago mula noong i-install. Para sa mga pang-araw-araw na aktibidad na naglalayong mapanatili ang pag-andar ng sistema ng impormasyon, ang mga sumusunod na aksyon ay maaaring makilala: suporta ng gumagamit; suporta sa software; pamamahala ng pagsasaayos; backup; pamamahala ng media; dokumentasyon; regular na pagpapanatili. Ang suporta sa gumagamit ay nagpapahiwatig, una sa lahat, konsultasyon at tulong sa paglutas ng iba't ibang uri ng mga problema. Napakahalaga na matukoy ang mga problemang nauugnay sa seguridad ng impormasyon sa isang stream ng mga tanong. Kaya, maraming mga paghihirap para sa mga gumagamit na nagtatrabaho sa mga personal na computer ay maaaring resulta ng impeksyon sa virus. Maipapayo na itala ang mga tanong ng user upang matukoy ang kanilang mga karaniwang pagkakamali at magbigay ng mga paalala na may mga rekomendasyon para sa mga karaniwang sitwasyon. Ang suporta sa software ay isa sa pinakamahalagang paraan ng pagtiyak ng integridad ng impormasyon. Una sa lahat, kailangan mong subaybayan kung anong software ang naka-install sa iyong mga computer. Kung ang mga gumagamit ay nag-install ng mga programa sa kanilang sariling paghuhusga, maaari itong humantong sa impeksyon sa mga virus, pati na rin ang paglitaw ng mga utility na lumalampas sa mga hakbang sa proteksyon. Malamang din na ang "mga independiyenteng aktibidad" ng mga gumagamit ay unti-unting hahantong sa kaguluhan sa kanilang mga computer, at kailangang itama ng system administrator ang sitwasyon. Ang pangalawang aspeto ng suporta sa software ay ang kontrol sa kawalan ng mga hindi awtorisadong pagbabago sa mga programa at mga karapatan sa pag-access sa kanila. Kasama rin dito ang suporta para sa mga reference na kopya ng mga software system. Karaniwang nakakamit ang kontrol sa pamamagitan ng kumbinasyon ng mga pisikal at lohikal na kontrol sa pag-access, pati na rin ang paggamit ng mga kagamitan sa pag-verify at integridad. Binibigyang-daan ka ng pamamahala ng configuration na kontrolin at itala ang mga pagbabagong ginawa sa configuration ng software. Una sa lahat, kailangan mong i-insure ang iyong sarili laban sa hindi sinasadya o hindi inaakala na mga pagbabago, at makabalik man lang sa isang dating, gumaganang bersyon. Ang paggawa ng mga pagbabago ay magpapadali sa pagpapanumbalik ng kasalukuyang bersyon pagkatapos ng sakuna. Ang pinakamahusay na paraan upang mabawasan ang mga error sa nakagawiang gawain ay ang pag-automate nito hangga't maaari. Ang automation at seguridad ay nakasalalay sa isa't isa, dahil ang isa na pangunahing nagmamalasakit sa pagpapadali ng kanyang gawain ay talagang ang isa na mahusay na humuhubog sa rehimen ng seguridad ng impormasyon. Ang pag-backup ay kinakailangan upang maibalik ang mga programa at data pagkatapos ng mga sakuna. At dito ipinapayong i-automate ang trabaho, sa pinakamababa, sa pamamagitan ng paglikha ng iskedyul ng computer para sa paglikha ng buo at incremental na mga kopya, at, sa maximum, sa pamamagitan ng paggamit ng naaangkop na mga produkto ng software. Kinakailangan din na ayusin ang paglalagay ng mga kopya sa isang ligtas na lugar, protektado mula sa hindi awtorisadong pag-access, sunog, pagtagas, iyon ay, mula sa anumang bagay na maaaring humantong sa pagnanakaw o pinsala sa media. Maipapayo na magkaroon ng ilang kopya ng mga backup na kopya at iimbak ang ilan sa mga ito sa labas ng site, kaya nagpoprotekta laban sa mga malalaking aksidente at katulad na mga insidente. Paminsan-minsan, para sa mga layunin ng pagsubok, dapat mong suriin ang posibilidad ng pagpapanumbalik ng impormasyon mula sa mga kopya. Ang pamamahala ng media ay kinakailangan upang magbigay ng pisikal na seguridad at accounting para sa mga floppy disk, tape, naka-print na output, atbp. Dapat tiyakin ng pamamahala ng media ang pagiging kumpidensyal, integridad, at pagkakaroon ng impormasyong nakaimbak sa labas ng mga computer system. Ang ibig sabihin ng pisikal na proteksyon dito ay hindi lamang pagtataboy sa mga hindi awtorisadong pagtatangka sa pag-access, kundi pati na rin sa proteksyon mula sa mga nakakapinsalang impluwensya sa kapaligiran (init, lamig, kahalumigmigan, magnetism). Dapat saklawin ng pamamahala ng media ang buong lifecycle, mula sa pagkuha hanggang sa pag-decommissioning. Ang dokumentasyon ay isang mahalagang bahagi ng seguridad ng impormasyon. Halos lahat ay dokumentado sa anyo ng mga dokumento - mula sa patakaran sa seguridad hanggang sa media log. Mahalaga na ang dokumentasyon ay napapanahon at sumasalamin sa kasalukuyang estado ng mga gawain, at sa isang pare-parehong paraan. Nalalapat ang mga kinakailangan sa pagiging kumpidensyal sa pag-iimbak ng ilang mga dokumento (naglalaman, halimbawa, isang pagsusuri ng mga kahinaan at pagbabanta ng system), habang ang iba, tulad ng isang plano sa pagbawi ng sakuna, ay napapailalim sa mga kinakailangan sa integridad at kakayahang magamit (sa isang kritikal na sitwasyon, ang plano ay dapat mahanap at basahin). Ang karaniwang gawain ay isang napakaseryosong panganib sa kaligtasan. Ang isang empleyado na nagsasagawa ng regular na pagpapanatili ay tumatanggap ng eksklusibong pag-access sa system, at sa pagsasanay ay napakahirap kontrolin kung ano mismo ang mga aksyon na kanyang ginagawa. Dito nauuna ang antas ng pagtitiwala sa mga gumagawa ng trabaho. Ang patakaran sa seguridad na pinagtibay ng organisasyon ay dapat magbigay para sa isang hanay ng mga hakbang sa pagpapatakbo na naglalayong makita at neutralisahin ang mga paglabag sa rehimen ng seguridad ng impormasyon. Mahalaga na sa ganitong mga kaso ang pagkakasunud-sunod ng mga aksyon ay pinaplano nang maaga, dahil ang mga hakbang ay kailangang gawin nang madalian at sa isang coordinated na paraan. Ang pagtugon sa mga paglabag sa seguridad ay may tatlong pangunahing layunin: pag-localize ng insidente at pagbabawas ng pinsala; pag-iwas sa paulit-ulit na paglabag. Kadalasan ang pangangailangan upang i-localize ang isang insidente at bawasan ang pinsala ay sumasalungat sa pagnanais na makilala ang nagkasala. Dapat maagang unahin ang patakaran sa seguridad ng organisasyon. Dahil, tulad ng ipinapakita ng kasanayan, napakahirap makilala ang isang umaatake, sa aming opinyon, una sa lahat, dapat gawin ang pangangalaga upang mabawasan ang pinsala. Walang organisasyon ang immune mula sa malubhang aksidente na dulot ng natural na mga sanhi, malisyosong pagkilos, kapabayaan o kawalan ng kakayahan. Kasabay nito, ang bawat organisasyon ay may mga tungkulin na itinuturing ng pamamahala na kritikal at dapat gampanan anuman ang mangyari. Ang pagpaplano ng pagpapanumbalik ng trabaho ay nagpapahintulot sa iyo na maghanda para sa mga aksidente, bawasan ang pinsala mula sa kanila at mapanatili ang kakayahang gumana nang hindi bababa sa isang minimum na lawak. Tandaan na ang mga hakbang sa seguridad ng impormasyon ay maaaring hatiin sa tatlong grupo, depende sa kung ang mga ito ay naglalayong pigilan, tuklasin o alisin ang mga kahihinatnan ng mga pag-atake. Karamihan sa mga hakbang ay likas na pag-iingat. Ang proseso ng pagpaplano ng pagpapanumbalik ay maaaring nahahati sa mga sumusunod na yugto: pagkilala sa mga kritikal na tungkulin ng organisasyon, pagtatakda ng mga priyoridad; pagkakakilanlan ng mga mapagkukunan na kailangan upang maisagawa ang mga kritikal na function; pagpapasiya ng listahan ng mga posibleng aksidente; pagbuo ng isang diskarte sa pagpapanumbalik; paghahanda para sa pagpapatupad ng napiling diskarte; sinusuri ang diskarte. Kapag nagpaplano ng gawaing pagpapanumbalik, dapat mong malaman na hindi laging posible na ganap na mapanatili ang paggana ng organisasyon. Kinakailangang tukuyin ang mga kritikal na pag-andar, kung wala ang organisasyon ay nawawala ang mukha nito, at kahit na unahin ang mga kritikal na pag-andar upang maipagpatuloy ang trabaho pagkatapos ng isang aksidente sa lalong madaling panahon at sa minimal na gastos. Kapag tinutukoy ang mga mapagkukunang kailangan upang maisagawa ang mga kritikal na function, tandaan na marami sa mga ito ay hindi computer sa kalikasan. Sa yugtong ito, ipinapayong isali ang mga espesyalista ng iba't ibang profile sa trabaho. Kaya, mayroong isang malaking bilang ng iba't ibang mga pamamaraan para sa pagtiyak ng seguridad ng impormasyon. Ang pinaka-epektibo ay ang paggamit ng lahat ng mga pamamaraang ito sa isang solong kumplikado. Ngayon, ang modernong merkado ng seguridad ay puspos ng mga tool sa seguridad ng impormasyon. Patuloy na pinag-aaralan ang umiiral na mga handog sa merkado ng seguridad, nakikita ng maraming kumpanya ang kakulangan ng dating namuhunan na mga pondo sa mga sistema ng seguridad ng impormasyon, halimbawa, dahil sa pagkaluma ng kagamitan at software. Kaya naman, naghahanap sila ng solusyon sa problemang ito. Maaaring mayroong dalawang ganoong opsyon: sa isang banda, isang kumpletong pagpapalit ng sistema ng proteksyon ng impormasyon ng korporasyon, na mangangailangan ng malalaking pamumuhunan, at sa kabilang banda, ang modernisasyon ng mga umiiral na sistema ng seguridad. Ang huling opsyon para sa paglutas ng problemang ito ay ang hindi bababa sa mahal, ngunit nagdudulot ito ng mga bagong problema, halimbawa, nangangailangan ito ng sagot sa mga sumusunod na tanong: kung paano matiyak ang pagiging tugma ng luma, napanatili mula sa umiiral na mga tool sa seguridad ng hardware at software, at mga bagong elemento ng ang sistema ng seguridad ng impormasyon; kung paano magbigay ng sentralisadong pamamahala ng magkakaibang mga tool sa seguridad; kung paano tasahin at, kung kinakailangan, muling suriin ang mga panganib sa impormasyon ng kumpanya. Kabanata 2. Pagsusuri ng sistema ng seguridad ng impormasyon 1 Saklaw ng aktibidad ng kumpanya at pagsusuri ng mga tagapagpahiwatig ng pananalapi Ang OJSC Gazprom ay isang pandaigdigang kumpanya ng enerhiya. Ang mga pangunahing aktibidad ay geological exploration, produksyon, transportasyon, imbakan, pagproseso at pagbebenta ng gas, gas condensate at langis, gayundin ang produksyon at pagbebenta ng init at kuryente. Nakikita ng Gazprom ang misyon nito sa maaasahan, mahusay at balanseng pagkakaloob ng mga mamimili ng natural na gas, iba pang mga uri ng mapagkukunan ng enerhiya at kanilang mga naprosesong produkto. Ang Gazprom ay may pinakamayamang likas na reserbang gas sa mundo. Ang bahagi nito sa mga reserbang gas sa mundo ay 18%, sa Russian - 70%. Ang Gazprom ay bumubuo ng 15% ng global at 78% ng produksyon ng gas ng Russia. Sa kasalukuyan, ang kumpanya ay aktibong nagpapatupad ng mga malalaking proyekto para sa pagbuo ng mga mapagkukunan ng gas ng Yamal Peninsula, ang istante ng Arctic, Eastern Siberia at ang Malayong Silangan, pati na rin ang isang bilang ng mga proyekto para sa paggalugad at paggawa ng mga hydrocarbon sa ibang bansa. Ang Gazprom ay isang maaasahang tagapagtustos ng gas sa mga Ruso at dayuhang mamimili. Ang kumpanya ay nagmamay-ari ng pinakamalaking network ng transportasyon ng gas sa mundo - ang Unified Gas Supply System ng Russia, ang haba nito ay lumampas sa 161 libong km. Ang Gazprom ay nagbebenta ng higit sa kalahati ng gas na ibinebenta nito sa domestic market. Bilang karagdagan, ang kumpanya ay nagbibigay ng gas sa 30 mga bansa sa malapit at malayo sa ibang bansa. Ang Gazprom ay ang tanging producer at exporter ng liquefied natural gas ng Russia at nagbibigay ng humigit-kumulang 5% ng pandaigdigang produksyon ng LNG. Ang kumpanya ay isa sa limang pinakamalaking producer ng langis sa Russian Federation, at ito rin ang pinakamalaking may-ari ng pagbuo ng mga asset sa teritoryo nito. Ang kanilang kabuuang naka-install na kapasidad ay 17% ng kabuuang naka-install na kapasidad ng sistema ng enerhiya ng Russia. Ang estratehikong layunin ay itatag ang OAO Gazprom bilang isang pinuno sa mga pandaigdigang kumpanya ng enerhiya sa pamamagitan ng pagbuo ng mga bagong merkado, sari-saring mga aktibidad, at pagtiyak ng pagiging maaasahan ng mga supply. Isaalang-alang natin ang pinansiyal na pagganap ng kumpanya sa nakalipas na dalawang taon. Ang mga resulta ng pagpapatakbo ng kumpanya ay ipinakita sa Appendix 1. Noong Disyembre 31, 2010, ang kita ng mga benta ay umabot sa 2,495,557 milyong rubles, ang figure na ito ay mas mababa kumpara sa 2011 data, iyon ay, 3,296,656 milyong rubles. Ang kita sa pagbebenta (net ng excise tax, VAT at mga tungkulin sa customs) ay tumaas ng RUB 801,099 milyon, o 32%, para sa siyam na buwang natapos noong Setyembre 30, 2011 kumpara sa parehong panahon noong nakaraang taon, na nagkakahalaga ng RUB 3,296,656 milyong rubles. Batay sa mga resulta ng 2011, ang netong kita mula sa mga benta ng gas ay umabot sa 60% ng kabuuang kita ng netong benta (60% para sa parehong panahon noong nakaraang taon). Ang netong kita mula sa mga benta ng gas ay tumaas mula sa RUB 1,495,335 milyon. para sa taon hanggang sa 1,987,330 milyong rubles. para sa parehong panahon noong 2011, o ng 33%. Ang netong kita mula sa mga benta ng gas sa Europa at iba pang mga bansa ay tumaas ng RUB 258,596 milyon, o 34%, kumpara sa parehong panahon noong nakaraang taon, at umabot sa RUB 1,026,451 milyon. Ang pangkalahatang pagtaas sa mga benta ng gas sa Europa at iba pang mga bansa ay dahil sa pagtaas ng mga average na presyo. Ang average na presyo sa rubles (kabilang ang mga tungkulin sa customs) ay tumaas ng 21% para sa siyam na buwan na natapos noong Setyembre 30, 2011 kumpara sa parehong panahon noong 2010. Bilang karagdagan, ang mga volume ng benta ng gas ay tumaas ng 8% kumpara sa parehong panahon noong nakaraang taon. Ang netong kita mula sa mga benta ng gas sa mga bansa ng dating Unyong Sobyet ay tumaas sa parehong panahon noong 2010 ng 168,538 milyong rubles, o 58%, at umabot sa 458,608 milyong rubles. Ang pagbabago ay pangunahing hinihimok ng 33% na pagtaas sa mga benta ng gas sa dating Unyong Sobyet para sa siyam na buwang natapos noong Setyembre 30, 2011 kumpara sa parehong panahon noong nakaraang taon. Bilang karagdagan, ang average na presyo sa rubles (kabilang ang mga tungkulin sa customs, mas kaunting VAT) ay tumaas ng 15% kumpara sa parehong panahon noong nakaraang taon. Ang netong kita mula sa mga benta ng gas sa Russian Federation ay tumaas ng RUB 64,861 milyon, o 15%, kumpara sa parehong panahon noong nakaraang taon, at umabot sa RUB 502,271 milyon. Ito ay higit sa lahat dahil sa pagtaas ng average na presyo ng gas ng 13% kumpara sa parehong panahon noong nakaraang taon, na nauugnay sa pagtaas ng mga taripa na itinakda ng Federal Tariff Service (FTS). Ang netong kita mula sa pagbebenta ng mga produktong langis at gas (mas kaunting excise tax, VAT at mga tungkulin sa customs) ay tumaas ng 213,012 milyong rubles, o 42%, at umabot sa 717,723 milyong rubles. kumpara sa parehong panahon noong nakaraang taon. Ang pagtaas na ito ay pangunahing ipinaliwanag sa pamamagitan ng pagtaas ng mga presyo sa mundo para sa mga produktong langis at gas at isang pagtaas sa mga volume ng benta kumpara sa parehong panahon noong nakaraang taon. Ang kita ng Gazprom Neft Group ay umabot sa 85% at 84% ng kabuuang netong kita mula sa pagbebenta ng mga produktong langis at gas, ayon sa pagkakabanggit. Ang netong kita mula sa pagbebenta ng elektrikal at thermal energy (hindi kasama ang VAT) ay tumaas ng RUB 38,097 milyon, o 19%, at umabot sa RUB 237,545 milyon. Ang pagtaas ng kita mula sa pagbebenta ng elektrikal at thermal na enerhiya ay higit sa lahat dahil sa pagtaas ng mga taripa para sa elektrikal at thermal energy, pati na rin ang pagtaas sa dami ng mga benta ng elektrikal at thermal energy. Ang netong kita mula sa pagbebenta ng krudo at gas condensate (mas kaunting excise tax, VAT at customs duties) ay tumaas ng RUB 23,072 milyon, o 16%, at umabot sa RUB 164,438 milyon. kumpara sa RUB 141,366 milyon. para sa parehong panahon noong nakaraang taon. Ang pagbabago ay pangunahing sanhi ng pagtaas ng mga presyo para sa condensate ng langis at gas. Bilang karagdagan, ang pagbabago ay sanhi ng pagtaas sa mga benta ng condensate ng gas. Ang kita mula sa pagbebenta ng krudo ay umabot sa RUB 133,368 milyon. at 121,675 milyong rubles. sa mga netong kita mula sa pagbebenta ng krudo at gas condensate (mas mababa ang excise tax, VAT at customs duties) noong 2011 at 2010, ayon sa pagkakabanggit. Ang netong kita mula sa pagbebenta ng mga serbisyo sa transportasyon ng gas (net ng VAT) ay tumaas ng RUB 15,306 milyon, o 23%, at umabot sa RUB 82,501 milyon, kumpara sa RUB 67,195 milyon. para sa parehong panahon noong nakaraang taon. Ang paglago na ito ay higit sa lahat dahil sa pagtaas ng mga taripa sa transportasyon ng gas para sa mga independiyenteng supplier, pati na rin ang pagtaas ng dami ng gas. ѐ paglipat ng transportasyon ng gas para sa mga independiyenteng supplier kumpara sa parehong panahon noong nakaraang taon. Ang iba pang kita ay tumaas ng RUB 19,617 milyon, o 22%, at umabot sa RUB 107,119 milyon. kumpara sa RUB 87,502 milyon. para sa parehong panahon noong nakaraang taon. Ang mga gastos para sa mga operasyon ng kalakalan nang walang aktwal na paghahatid ay umabot sa RUB 837 milyon. kumpara sa kita na RUB 5,786 milyon. para sa parehong panahon noong nakaraang taon. Tulad ng para sa mga gastos sa pagpapatakbo, tumaas sila ng 23% at umabot sa RUB 2,119,289 milyon. kumpara sa RUB 1,726,604 milyon. para sa parehong panahon noong nakaraang taon. Ang bahagi ng mga gastos sa pagpapatakbo sa kita ng mga benta ay bumaba mula 69% hanggang 64%. Ang mga gastos sa paggawa ay tumaas ng 18% at umabot sa RUB 267,377 milyon. kumpara sa RUB 227,500 milyon. para sa parehong panahon noong nakaraang taon. Ang pagtaas ay pangunahin dahil sa pagtaas ng karaniwang sahod. Ang pamumura para sa nasuri na panahon ay tumaas ng 9% o ng 17,026 milyong rubles, at umabot sa 201,636 milyong rubles, kumpara sa 184,610 milyong rubles. para sa parehong panahon noong nakaraang taon. Ang pagtaas ay higit sa lahat dahil sa pagpapalawak ng fixed asset base. Bilang resulta ng mga salik sa itaas, ang kita sa benta ay tumaas ng RUB 401,791 milyon, o 52%, at umabot sa RUB 1,176,530 milyon. kumpara sa RUB 774,739 milyon. para sa parehong panahon noong nakaraang taon. Ang margin ng kita sa pagbebenta ay tumaas mula 31% hanggang 36% para sa siyam na buwang natapos noong Setyembre 30, 2011. Kaya, ang OJSC Gazprom ay isang pandaigdigang kumpanya ng enerhiya. Ang mga pangunahing aktibidad ay geological exploration, produksyon, transportasyon, imbakan, pagproseso at pagbebenta ng gas, gas condensate at langis, gayundin ang produksyon at pagbebenta ng init at kuryente. Stable ang financial condition ng kumpanya. Ang mga tagapagpahiwatig ng pagganap ay nagpapakita ng positibong dinamika. 2 Paglalarawan ng sistema ng seguridad ng impormasyon ng kumpanya Isaalang-alang natin ang mga pangunahing lugar ng aktibidad ng mga dibisyon ng Corporate Protection Service ng OJSC Gazprom: pagbuo ng mga naka-target na programa para sa pagbuo ng mga system at complex ng engineering at teknikal na kagamitan sa seguridad (ITSE), mga sistema ng seguridad ng impormasyon (IS) ng OAO Gazprom at mga subsidiary at organisasyon nito, pakikilahok sa pagbuo ng isang programa sa pamumuhunan na naglalayong tiyakin ang impormasyon at teknikal seguridad; pagpapatupad ng mga kapangyarihan ng customer para sa pagbuo ng mga sistema ng seguridad ng impormasyon, pati na rin ang mga sistema at complex ng ITSO; pagsasaalang-alang at pag-apruba ng mga kahilingan sa badyet at badyet para sa pagpapatupad ng mga hakbang para sa pagbuo ng mga sistema ng seguridad ng impormasyon, mga sistema at kumplikadong ITSO, pati na rin para sa paglikha ng IT sa mga tuntunin ng mga sistema ng seguridad ng impormasyon; pagsusuri at pag-apruba ng disenyo at dokumentasyon ng pre-proyekto para sa pagbuo ng mga sistema ng seguridad ng impormasyon, mga sistema at kumplikadong ITSO, pati na rin ang mga teknikal na pagtutukoy para sa paglikha (modernisasyon) ng mga sistema ng impormasyon, mga sistema ng komunikasyon at telekomunikasyon sa mga tuntunin ng mga kinakailangan sa seguridad ng impormasyon; organisasyon ng trabaho upang masuri ang pagsunod ng mga sistema at complex ng ITSO, mga sistema ng seguridad ng impormasyon (pati na rin ang mga gawa at serbisyo para sa kanilang paglikha) sa mga itinatag na kinakailangan; koordinasyon at kontrol ng trabaho sa proteksyon ng teknikal na impormasyon. Ang Gazprom ay lumikha ng isang sistema upang matiyak ang proteksyon ng personal na data. Gayunpaman, ang pag-ampon ng mga pederal na ehekutibong awtoridad ng isang bilang ng mga regulasyong legal na aksyon sa pagbuo ng mga umiiral na batas at regulasyon ng pamahalaan ay nangangailangan ng pangangailangan na pahusayin ang kasalukuyang sistema ng proteksyon ng personal na data. Sa mga interes ng paglutas ng problemang ito, maraming mga dokumento ang binuo at inaprubahan sa loob ng balangkas ng gawaing pananaliksik. Una sa lahat, ito ang mga draft na pamantayan ng Gazprom Development Organization: "Methodology para sa pag-uuri ng mga sistema ng impormasyon ng personal na data ng OAO Gazprom, mga subsidiary at organisasyon nito"; "Modelo ng mga banta sa personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data ng OAO Gazprom, mga subsidiary at organisasyon nito." Ang mga dokumentong ito ay binuo na isinasaalang-alang ang mga kinakailangan ng Decree of the Government of the Russian Federation ng Nobyembre 17, 2007 No. 781 "Sa pag-apruba ng Mga Regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data" sa kaugnayan sa klase ng mga espesyal na sistema, na kinabibilangan ng karamihan sa OJSC ISPDn " Gazprom". Bilang karagdagan, ang pagbuo ng "Mga Regulasyon sa organisasyon at teknikal na suporta ng seguridad ng personal na data na naproseso sa mga sistema ng impormasyon ng personal na data ng OAO Gazprom, mga subsidiary at organisasyon nito" ay kasalukuyang isinasagawa. Dapat pansinin na sa loob ng balangkas ng sistema ng standardisasyon ng OJSC Gazprom, ang mga pamantayan para sa sistema ng seguridad ng impormasyon ay binuo, na gagawing posible upang malutas ang mga problema sa pagprotekta sa personal na data na naproseso sa mga sistema ng impormasyon ng OJSC Gazprom. Pitong pamantayan na may kaugnayan sa sistema ng seguridad ng impormasyon ang naaprubahan at ipinapatupad ngayong taon. Tinutukoy ng mga pamantayan ang mga pangunahing kinakailangan para sa pagbuo ng mga sistema ng seguridad ng impormasyon para sa OAO Gazprom at mga subsidiary nito. Ang mga resulta ng gawaing ginawa ay magiging posible na mas makatwiran na gumamit ng materyal, pinansiyal at intelektwal na mapagkukunan, lumikha ng kinakailangang suporta sa regulasyon at pamamaraan, ipakilala ang epektibong paraan ng proteksyon at, bilang isang resulta, matiyak ang seguridad ng personal na data na naproseso sa impormasyon mga sistema ng OAO Gazprom. Bilang resulta ng pagsusuri ng seguridad ng impormasyon ng OJSC Gazprom, ang mga sumusunod na pagkukulang sa pagtiyak ng seguridad ng impormasyon ay nakilala: ang organisasyon ay walang iisang dokumento na kumokontrol sa isang komprehensibong patakaran sa seguridad; Isinasaalang-alang ang laki ng network at ang bilang ng mga gumagamit (higit sa 100), dapat tandaan na ang isang tao ay responsable para sa pangangasiwa ng system, seguridad ng impormasyon at teknikal na suporta; walang pag-uuri ng mga asset ng impormasyon ayon sa antas ng kahalagahan; ang mga tungkulin at responsibilidad sa seguridad ng impormasyon ay hindi kasama sa mga paglalarawan ng trabaho; sa kontrata sa pagtatrabaho na natapos sa empleyado ay walang sugnay sa mga responsibilidad sa seguridad ng impormasyon ng parehong mga nagtatrabaho at ng organisasyon mismo; pagsasanay ng mga tauhan sa larangan ng seguridad ng impormasyon ay hindi ibinigay; mula sa punto ng view ng proteksyon mula sa mga panlabas na banta: walang tipikal na pamamaraan ng pag-uugali ang binuo para sa pagbawi ng data pagkatapos ng mga aksidente na naganap bilang resulta ng panlabas at kapaligiran na mga banta; ang silid ng server ay hindi isang hiwalay na silid, ang silid ay itinalaga ang katayuan ng dalawang departamento (isa pang tao, bilang karagdagan sa administrator ng system, ay may access sa silid ng server); hindi isinasagawa ang teknikal na probing at pisikal na pagsusuri para sa mga hindi awtorisadong device na konektado sa mga cable; sa kabila ng katotohanan na ang pagpasok ay isinasagawa gamit ang mga electronic pass at lahat ng impormasyon ay ipinasok sa isang espesyal na database, ang pagsusuri nito ay hindi isinasagawa; sa mga tuntunin ng proteksyon laban sa malware: walang pormal na patakaran upang maprotektahan laban sa mga panganib na nauugnay sa pagtanggap ng mga file mula sa o sa pamamagitan ng mga panlabas na network o nasa naaalis na media; sa mga tuntunin ng proteksyon laban sa malware: walang mga alituntunin para sa pagprotekta sa lokal na network mula sa malisyosong code; walang kontrol sa trapiko, may access sa mga mail server ng mga panlabas na network; lahat ng mga backup ay naka-imbak sa silid ng server; hindi secure, madaling tandaan na mga password ay ginagamit; ang pagtanggap ng mga password ng mga gumagamit ay hindi nakumpirma sa anumang paraan; ang mga password ay naka-imbak sa malinaw na teksto ng administrator; hindi nagbabago ang mga password; Walang pamamaraan para sa pag-uulat ng mga kaganapan sa seguridad ng impormasyon. Kaya, batay sa mga pagkukulang na ito, binuo ang isang hanay ng mga regulasyon tungkol sa patakaran sa seguridad ng impormasyon, kabilang ang: mga patakaran tungkol sa pagkuha (dismissal) at pagbibigay (deprivation) ng mga empleyado ng kinakailangang awtoridad upang ma-access ang mga mapagkukunan ng system; patakaran tungkol sa gawain ng mga gumagamit ng network sa panahon ng operasyon nito; patakaran sa proteksyon ng password; patakaran sa organisasyon ng pisikal na proteksyon; Patakaran sa Internet; pati na rin ang mga administratibong hakbang sa seguridad. Ang mga dokumentong naglalaman ng mga regulasyong ito ay nasa yugto ng pagsasaalang-alang ng pamamahala ng organisasyon. 3 Pagbuo ng isang hanay ng mga hakbang upang gawing makabago ang umiiral na sistema ng seguridad ng impormasyon Bilang resulta ng pagsusuri ng sistema ng seguridad ng impormasyon ng OJSC Gazprom, natukoy ang mga makabuluhang kahinaan ng system. Upang bumuo ng mga hakbang upang maalis ang mga natukoy na kakulangan sa sistema ng seguridad, i-highlight namin ang mga sumusunod na grupo ng impormasyon na napapailalim sa proteksyon: impormasyon tungkol sa pribadong buhay ng mga empleyado na nagpapahintulot sa kanila na makilala (personal na data); impormasyon na may kaugnayan sa mga propesyonal na aktibidad at bumubuo sa pagbabangko, pag-audit at lihim ng komunikasyon; impormasyon na may kaugnayan sa mga propesyonal na aktibidad at minarkahan bilang impormasyon "para sa opisyal na paggamit"; impormasyon, ang pagkasira o pagbabago nito ay negatibong makakaapekto sa kahusayan ng pagpapatakbo, at ang pagpapanumbalik ay mangangailangan ng mga karagdagang gastos. Mula sa punto ng view ng mga administratibong hakbang, ang mga sumusunod na rekomendasyon ay binuo: ang sistema ng seguridad ng impormasyon ay dapat sumunod sa batas ng Russian Federation at mga pamantayan ng estado; mga gusali at lugar kung saan ang mga pasilidad sa pagpoproseso ng impormasyon ay naka-install o nakaimbak, ang trabaho ay isinasagawa gamit ang protektadong impormasyon, dapat na bantayan at protektahan ng alarma at mga paraan ng kontrol sa pag-access; pagsasanay ng mga tauhan sa mga isyu sa seguridad ng impormasyon (ipinapaliwanag ang kahalagahan ng proteksyon ng password at mga kinakailangan sa password, pagsasagawa ng pagsasanay sa anti-virus software, atbp.) ay dapat ayusin kapag kumukuha ng empleyado; magsagawa ng mga pagsasanay tuwing 6-12 buwan na naglalayong mapabuti ang literacy ng mga empleyado sa larangan ng seguridad ng impormasyon; ang isang pag-audit ng sistema at mga pagsasaayos sa mga binuo na regulasyon ay dapat isagawa taun-taon, sa Oktubre 1, o kaagad pagkatapos ng pagpapakilala ng mga pangunahing pagbabago sa istraktura ng negosyo; ang mga karapatan sa pag-access ng bawat gumagamit sa mga mapagkukunan ng impormasyon ay dapat na dokumentado (kung kinakailangan, ang pag-access ay hinihiling mula sa manager nang nakasulat); ang patakaran sa seguridad ng impormasyon ay dapat tiyakin ng administrator ng software at ng administrator ng hardware, ang kanilang mga aksyon ay pinag-ugnay ng pinuno ng grupo. Bumuo tayo ng patakaran sa password: huwag iimbak ang mga ito sa hindi naka-encrypt na anyo (huwag isulat ang mga ito sa papel, sa isang regular na text file, atbp.); baguhin ang password kung ito ay isiwalat o pinaghihinalaang ng pagbubunyag; ang haba ay dapat na hindi bababa sa 8 mga character; Ang password ay dapat maglaman ng malaki at maliit na titik, numero at espesyal na character; ang password ay hindi dapat magsama ng madaling kalkulahin na pagkakasunud-sunod ng mga character (pangalan, pangalan ng hayop, petsa); baguhin ang isang beses bawat 6 na buwan (isang hindi nakaiskedyul na pagbabago ng password ay dapat gawin kaagad pagkatapos matanggap ang abiso ng insidente na nag-trigger ng pagbabago); Kapag nagpapalit ng mga password, hindi mo mapipili ang mga ginamit dati (dapat mag-iba ang mga password ng hindi bababa sa 6 na posisyon). Bumuo tayo ng isang patakaran tungkol sa mga antivirus program at pagtuklas ng virus: Dapat na naka-install ang lisensyadong anti-virus software sa bawat workstation; pag-update ng mga database ng anti-virus sa mga workstation na may access sa Internet - isang beses sa isang araw, nang walang access sa Internet - kahit isang beses sa isang linggo; mag-set up ng awtomatikong pag-scan ng mga workstation para sa pagtuklas ng virus (dalas ng mga pagsusuri - isang beses sa isang linggo: Biyernes, 12:00); Tanging ang administrator lamang ang maaaring makagambala sa pag-update ng database ng anti-virus o pag-scan ng virus (dapat itakda ang proteksyon ng password para sa tinukoy na pagkilos ng user). Bumuo tayo ng isang patakaran tungkol sa pisikal na proteksyon: Ang teknikal na probing at pisikal na pagsusuri para sa mga hindi awtorisadong aparato na konektado sa mga cable ay dapat isagawa bawat 1-2 buwan; ang mga kable ng network ay dapat protektahan mula sa hindi awtorisadong pagharang ng data; Ang mga talaan ng lahat ng pinaghihinalaang at aktwal na mga pagkabigo na naganap sa kagamitan ay dapat na nakaimbak sa isang log Ang bawat workstation ay dapat na nilagyan ng isang walang tigil na supply ng kuryente. Tukuyin natin ang isang patakaran tungkol sa pagpapareserba ng impormasyon: para sa mga backup na kopya, ang isang hiwalay na silid ay dapat ilaan, na matatagpuan sa labas ng administratibong gusali (ang silid ay dapat na nilagyan ng electronic lock at alarma); Ang mga pagpapareserba ng impormasyon ay dapat gawin tuwing Biyernes sa 16:00. Ang patakaran tungkol sa pagkuha/pagtanggal ng mga empleyado ay dapat na ang mga sumusunod: anumang pagbabago sa tauhan (pag-hire, pag-promote, pagtanggal ng empleyado, atbp.) ay dapat iulat sa administrator sa loob ng 24 na oras, na, sa loob naman ng kalahating araw ng trabaho, dapat gumawa ng mga naaangkop na pagbabago sa system para sa pagtanggal ng mga karapatan sa pag-access sa mga mapagkukunan ng negosyo; ang isang bagong empleyado ay dapat sumailalim sa pagsasanay mula sa administrator, kabilang ang pamilyar sa patakaran sa seguridad at lahat ng kinakailangang mga tagubilin, ang antas ng pag-access sa impormasyon para sa bagong empleyado ay itinalaga ng manager; Kapag ang isang empleyado ay umalis sa system, ang kanyang ID at password ay tatanggalin, ang workstation ay susuriin para sa mga virus, at ang integridad ng data kung saan ang empleyado ay may access ay sinusuri. Patakaran tungkol sa pagtatrabaho sa lokal na panloob na network (LAN) at mga database (DB): kapag nagtatrabaho sa kanyang workstation at sa LAN, ang empleyado ay dapat magsagawa lamang ng mga gawain na direktang nauugnay sa kanyang mga opisyal na aktibidad; Dapat abisuhan ng empleyado ang administrator tungkol sa mga mensahe mula sa mga programang anti-virus tungkol sa paglitaw ng mga virus; walang sinuman maliban sa mga administrador ang pinapayagang gumawa ng mga pagbabago sa disenyo o pagsasaayos ng mga workstation at iba pang mga LAN node, mag-install ng anumang software, iwanan ang workstation nang walang kontrol o payagan ang mga hindi awtorisadong tao na ma-access ito; Inirerekomenda ng mga administrator na panatilihing tumatakbo ang dalawang programa sa lahat ng oras: isang ARP-spoofing attack detection utility at isang sniffer, ang paggamit nito ay magbibigay-daan sa kanila na makita ang network sa pamamagitan ng mga mata ng isang potensyal na nanghihimasok at makilala ang mga lumalabag sa patakaran sa seguridad; Dapat kang mag-install ng software na pumipigil sa mga programa na tumakbo maliban sa mga itinalaga ng administrator, batay sa prinsipyong: "Ang sinumang tao ay binibigyan ng mga pribilehiyong kinakailangan upang maisagawa ang mga partikular na gawain." Ang lahat ng hindi nagamit na mga port ng computer ay dapat na hindi pinagana ng hardware o software; Dapat na regular na i-update ang software. Patakaran sa Internet: ang mga administrador ay itinalaga ng karapatang higpitan ang pag-access sa mga mapagkukunan, ang nilalaman nito ay hindi nauugnay sa pagganap ng mga opisyal na tungkulin, pati na rin sa mga mapagkukunan, ang nilalaman at pokus na kung saan ay ipinagbabawal ng internasyonal at Russian na batas; ang empleyado ay ipinagbabawal na mag-download at magbukas ng mga file nang hindi muna sinusuri ang mga virus; lahat ng impormasyon tungkol sa mga mapagkukunan na binisita ng mga empleyado ng kumpanya ay dapat na naka-imbak sa isang talaan at, kung kinakailangan, ay maaaring ibigay sa mga pinuno ng departamento, pati na rin ang pamamahala ang pagiging kompidensiyal at integridad ng mga elektronikong sulat at mga dokumento ng opisina ay sinisiguro sa pamamagitan ng paggamit ng mga digital na lagda. Bilang karagdagan, bubuo kami ng mga pangunahing kinakailangan para sa paglikha ng mga password para sa mga empleyado ng kumpanya ng OJSC Gazprom. Ang password ay parang susi ng bahay, ito lang ang susi sa impormasyon. Para sa mga ordinaryong susi, lubhang hindi kanais-nais na mawala, ninakaw, o ibigay sa isang estranghero. Ganun din sa password. Siyempre, ang seguridad ng impormasyon ay nakasalalay hindi lamang sa password; upang matiyak ito, kailangan mong magtakda ng isang bilang ng mga espesyal na setting at, marahil, kahit na magsulat ng isang programa na nagpoprotekta laban sa pag-hack. Ngunit ang pagpili ng isang password ay eksaktong aksyon kung saan nakasalalay lamang sa gumagamit kung gaano katibay ang link na ito sa hanay ng mga hakbang na naglalayong protektahan ang impormasyon. ) ang password ay dapat mahaba (8-12-15 character); ) ay hindi dapat isang salita mula sa isang diksyunaryo (anumang diksyunaryo, kahit na isang diksyunaryo ng mga espesyal na termino at slang), isang wastong pangalan o isang salita sa Cyrillic alphabet na nai-type sa Latin na layout (Latin - kfnsym); ) hindi ito maiugnay sa may-ari; ) ito ay nagbabago sa pana-panahon o kung kinakailangan; ) ay hindi ginagamit sa kapasidad na ito sa iba't ibang mapagkukunan (i.e., para sa bawat mapagkukunan - upang mag-log in sa isang mailbox, operating system o database - dapat gumamit ng ibang password); ) posibleng maalala ito. Ang pagpili ng mga salita mula sa diksyunaryo ay hindi kanais-nais, dahil ang isang umaatake na nagsasagawa ng pag-atake sa diksyunaryo ay gagamit ng mga program na may kakayahang maghanap ng hanggang daan-daang libong salita bawat segundo. Ang anumang impormasyong nauugnay sa may-ari (maging ito ay petsa ng kapanganakan, pangalan ng aso, pangalan ng pagkadalaga ng ina, at katulad na "mga password") ay madaling makilala at mahulaan. Ang paggamit ng malalaking titik at maliliit na titik, pati na rin ang mga numero, ay lubos na nagpapalubha sa gawain ng umaatake na hulaan ang password. Ang password ay dapat na panatilihing lihim, at kung pinaghihinalaan mo na ang password ay nalaman ng isang tao, baguhin ito. Ito rin ay lubhang kapaki-pakinabang upang baguhin ang mga ito sa pana-panahon. Konklusyon Ang pag-aaral ay nagpapahintulot sa amin na gumuhit ng mga sumusunod na konklusyon at magbalangkas ng mga rekomendasyon. Ito ay itinatag na ang pangunahing dahilan para sa mga problema ng negosyo sa larangan ng seguridad ng impormasyon ay ang kakulangan ng isang patakaran sa seguridad ng impormasyon, na kinabibilangan ng mga solusyon sa organisasyon, teknikal, pinansyal na may kasunod na pagsubaybay sa kanilang pagpapatupad at pagsusuri ng pagiging epektibo. Ang kahulugan ng patakaran sa seguridad ng impormasyon ay nabuo bilang isang hanay ng mga dokumentadong desisyon, ang layunin nito ay upang matiyak ang proteksyon ng impormasyon at nauugnay na mga panganib sa impormasyon. Ang pagsusuri ng sistema ng seguridad ng impormasyon ay nagsiwalat ng mga makabuluhang pagkukulang, kabilang ang: imbakan ng mga backup na kopya sa silid ng server, ang backup na server ay matatagpuan sa parehong silid bilang pangunahing mga server; kakulangan ng wastong mga tuntunin tungkol sa proteksyon ng password (haba ng password, mga panuntunan para sa pagpili at pag-iimbak nito); Ang pangangasiwa ng network ay pinangangasiwaan ng isang tao. Ang isang pangkalahatan ng internasyonal at Russian na kasanayan sa larangan ng pamamahala ng seguridad ng impormasyon ng mga negosyo ay nagpapahintulot sa amin na tapusin na upang matiyak ito, kinakailangan: pagtataya at napapanahong pagkilala sa mga banta sa seguridad, sanhi at kundisyon na nakakatulong sa pinansiyal, materyal at moral na pinsala; paglikha ng mga kondisyon sa pagpapatakbo na may pinakamababang panganib ng pagpapatupad ng mga banta sa seguridad sa mga mapagkukunan ng impormasyon at magdulot ng iba't ibang uri ng pinsala; paglikha ng mekanismo at kundisyon para sa epektibong pagtugon sa mga banta sa seguridad ng impormasyon batay sa legal, organisasyonal at teknikal na paraan. Ang unang kabanata ng gawain ay tumatalakay sa mga pangunahing teoretikal na aspeto. Ang isang pangkalahatang-ideya ng ilang mga pamantayan sa larangan ng seguridad ng impormasyon ay ibinigay. Ang mga konklusyon ay iginuhit para sa bawat isa at sa kabuuan, at ang pinakaangkop na pamantayan para sa pagbuo ng patakaran sa seguridad ng impormasyon ay pinili. Sinusuri ng ikalawang kabanata ang istruktura ng organisasyon at sinusuri ang mga pangunahing problema na nauugnay sa seguridad ng impormasyon. Bilang resulta, ang mga rekomendasyon ay nabuo upang matiyak ang wastong antas ng seguridad ng impormasyon. Isinasaalang-alang din ang mga hakbang upang maiwasan ang karagdagang mga insidente na may kaugnayan sa mga paglabag sa seguridad ng impormasyon. Siyempre, ang pagtiyak sa seguridad ng impormasyon ng isang organisasyon ay isang tuluy-tuloy na proseso na nangangailangan ng patuloy na pagsubaybay. At ang isang natural na nabuong patakaran ay hindi isang bakal na garantiya ng proteksyon. Bilang karagdagan sa pagpapatupad ng patakaran, ang patuloy na pagsubaybay sa pagpapatupad ng kalidad nito, pati na rin ang pagpapabuti sa kaganapan ng anumang mga pagbabago sa kumpanya o mga nauna, ay kinakailangan. Inirerekomenda para sa organisasyon na kumuha ng empleyado na ang mga aktibidad ay direktang nauugnay sa mga function na ito (administrator ng seguridad). Bibliograpiya pinsala sa pananalapi sa seguridad ng impormasyon 1. Belov E.B. Mga pangunahing kaalaman sa seguridad ng impormasyon. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Hotline - Telecom, 2006. - 544s Galatenko V.A. Mga pamantayan sa seguridad ng impormasyon: isang kurso ng mga lektura. Pang-edukasyon allowance. - 2nd edition. M.: INTUIT.RU "Internet University of Information Technologies", 2009. - 264 p. Glatenko V.A. Mga Pamantayan sa Seguridad ng Impormasyon / Mga Open System 2006.- 264c Dolzhenko A.I. Pamamahala ng mga sistema ng impormasyon: Kurso sa pagsasanay. - Rostov-on-Don: RGEU, 2008.-125 p. Kalashnikov A. Pagbuo ng isang corporate policy ng panloob na seguridad ng impormasyon #"justify">. Maliuk A.A. Seguridad ng impormasyon: konsepto at metodolohikal na pundasyon ng proteksyon ng impormasyon / M.2009-280s Mayvold E., Network Security. Manwal sa pagtuturo sa sarili // Ekom, 2009.-528 p. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Mga Batayan ng suporta sa organisasyon para sa seguridad ng impormasyon ng mga bagay sa impormasyon // Helios ARV, 2008, 192 pp.
