Дипломні роботи з інформаційної безпеки (Безпека інформаційних систем). Система інформаційної безпеки Список тем вкр з інформаційної безпеки
Подібні документи
Актуальність питань інформаційної безпеки. Програмне та апаратне забезпечення мережі ТОВ "Мінерал". Побудова моделі корпоративної безпеки та захисту від несанкціонованого доступу. Технічні рішення щодо захисту інформаційної системи.
дипломна робота, доданий 19.01.2015
Безпека інформаційної системи як її здатність протистояти різним впливам. Види комп'ютерних загроз, концепція несанкціонованого доступу. Віруси та шкідливе програмне забезпечення. Методи та засоби захисту інформаційних систем.
реферат, доданий 14.11.2010
Класифікація загроз інформаційній безпеці. Помилки розробки комп'ютерних систем, програмного, апаратного забезпечення. Основні засоби отримання несанкціонованого доступу (НСД) до інформації. Методи захисту від НСД. Віртуальні приватні мережі.
курсова робота, доданий 26.11.2013
Зовнішні загрози інформаційної безпеки, форми їхнього прояву. Методи та засоби захисту від промислового шпигунства, його цілі: отримання інформації про конкурента, знищення інформації. Способи несанкціонованого доступу до конфіденційної інформації
контрольна робота, доданий 18.09.2016
Найбільш поширені шляхи несанкціонованого доступу до інформації, канали її витоку. Методи захисту від загроз природного (аварійного) характеру, від випадкових загроз. Криптографія як засіб захисту інформації. Промислове шпигунство.
реферат, доданий 04.06.2013
Поняття, значення та напрями інформаційної безпеки. Системний підхід до організації інформаційної безпеки; захист інформації від несанкціонованого доступу. Засоби захисту. Методи та системи інформаційної безпеки.
реферат, доданий 15.11.2011
Поняття та принципи забезпечення інформаційної безпеки. Розгляд основних видів небезпечного впливу на комп'ютерну систему. Класифікація каналів несанкціонованого доступу до ЕОМ. Характеристика апаратно-програмних засобів захисту.
презентація, додано 15.11.2011
Інформаційна безпека, її цілі та завдання. Канали витоку інформації. Програмно-технічні методи та засоби захисту інформації від несанкціонованого доступу. Модель загроз безпеки інформації, що обробляється на об'єкті обчислювальної техніки.
дипломна робота, доданий 19.02.2017
Вплив виду діяльності підприємства на організацію комплексної системи захисту. Склад інформації, що захищається. Потенційні канали несанкціонованого доступу до інформації організації. Ефективність системи інформаційної безпеки.
звіт з практики, доданий 31.10.2013
Історичні аспекти виникнення та розвитку інформаційної безпеки. Засоби забезпечення захисту та їх класифікація. Види та принцип дії комп'ютерних вірусів. Правові основи захисту від несанкціонованого доступу.
спрямованості (профілю) «Інформаційні системи та технології»
напрями підготовки 09.03.02 «Інформаційні системи та технології»
проектно-технологічна,
сервісно-експлуатаційна.
1. Віртуалізація інформаційної інфраструктури підприємства (найменування підприємства).
2. Інтеграція інформаційних систем підприємства на базі ОС сімейства Linux і СУБД, що вільно розповсюджується.
3. Модернізація та адміністрування корпоративної інформаційної системи підприємства (найменування підприємства).
4. Модернізація, адміністрування та супровід інформаційної мережі підприємства (найменування підприємства).
5. Модернізація інформаційно-керуючої системи підприємства (процесу) (найменування підприємства чи процесу) та розробка заходів щодо її супроводу.
6. Розробка Intranet-порталу підприємства (найменування підприємства).
7. Проектування інформаційної мережі підприємства (найменування підприємства).
8. Проектування корпоративної інформаційної системи підприємства (найменування підприємства).
9. Розробка та супровід корпоративного web-порталу підприємства (найменування підприємства).
10. Розробка автоматизованої інформаційної системи обробки даних підприємства (найменування підприємства).
11. Розробка прототипу інформаційної системи підприємства управління процесом (найменування процесу чи об'єкта).
12. Розробка web-сервісу для інформаційної системи підприємства (найменування підприємства).
13. Розробка довідково-інформаційної системи підприємства (найменування підприємства).
14. Розробка моделі та проектування інформаційно-керуючої системи підприємства (найменування підприємства).
15. Розробка технологічного програмного забезпечення технічного обслуговування системи (найменування системи).
16. Розробка програмного забезпечення мікропроцесорного устрою (найменування пристрою).
17. Розробка мобільного клієнтського додатку для інформаційної системи підприємства (найменування підприємства).
18. Розробка імітаційної моделі оптимізації параметрів виробничого процесу.
19. Проектування віртуальних серверів на основі засобів (найменування засобів віртуалізації) та каналів передачі даних для підприємства (найменування підприємства).
20. Розробка модуля (підсистеми) (найменування реалізованої функції) інформаційної (корпоративної інформаційної) системи підприємства (найменування підприємства).
за освітньою програмою прикладного бакалаврату
напрями підготовки 09.03.04 «Програмна інженерія»
виробничо-технологічна,
організаційно-управлінська,
сервісно-експлуатаційна.
1. Розробка програми для парсингу сайту, соціальної мережі, порталу.
2. Проектування та програмна реалізація інформаційної (інформаційно-довідкової) системи (призначення чи функція системи).
3. Розробка вбудованого програмного забезпечення пристрою (найменування пристрою).
4. Розробка прикладного програмного забезпечення системи (найменування системи).
5. Розробка програмно-інформаційної системи (найменування галузі використання чи реалізованого процесу).
6. Розробка методики тестування та налагодження програмного забезпечення (найменування програмного забезпечення).
7. Розробка програмного модуля (найменування модуля) для системи 1С: Підприємство підприємства (найменування підприємства).
8. Розробка web-служби для інформаційно-керівної системи підприємства (найменування підприємства).
9. Розробка програми підтримки інформаційно-вимірювальної системи (призначення системи).
10. Дослідження інформаційної безпеки веб-сервісів системи 1С: Підприємство.
11. Розробка модуля (підсистеми) (найменування реалізованої функції) інформаційної (корпоративної інформаційної) системи підприємства (найменування підприємства).
12. Розробка серверного (клієнтського) програмного забезпечення системи (найменування системи).
Тематика випускних кваліфікаційних робіт
за освітньою програмою прикладного бакалаврату
спрямованості (профілю) «Інформаційний сервіс»
:сервісна,
1. Модернізація, адміністрування та супровід локальної мережі підприємства (найменування підприємства).
2. Модернізація та адміністрування інформаційної системи підприємства (найменування підприємства).
3. Проектування інформаційної системи підприємства (найменування підприємства).
4. Проектування та розробка технології експлуатації локальної мережі підприємства (найменування підприємства).
5. Проектування апаратно-програмного захисту інформаційної системи підприємства (найменування підприємства).
6. Розробка технології діагностики, ремонту та обслуговування пристрою (найменування пристрою, групи пристроїв, вимірювального обладнання, блоку комп'ютера, комп'ютерної чи мікропроцесорної системи, локальної мережі).
7. Розробка та адміністрування веб-сайту підприємства (найменування підприємства).
8. Розробка конфігурації сервера мережі передачі даних підприємства (найменування підприємства).
9. Розробка та адміністрування бази даних інформаційної системи підприємства (найменування підприємства).
10. Розробка Intranet-порталу підприємства (найменування підприємства).
11. Розробка підсистеми контролю виробничих процесів на платформі 1С: Підприємство.
12. Розробка проекту розподіленої інформаційної системи (найменування системи) підприємства (найменування підприємства).
13. Розробка інформаційно-довідкової системи обліку (найменування об'єкта обліку).
14. Розробка WCF-сервісу для інформаційної системи підприємства.
15. Розробка моделі інформаційної системи підприємства (найменування чи сфера діяльності підприємства).
16. Розробка методики тестування та налагодження програмного забезпечення (найменування програмного забезпечення).
17. Розробка комплексу заходів з адміністрування та супроводу програмно-інформаційної системи (найменування галузі використання або реалізованого процесу).
18. Моделювання та дослідження системи передачі даних (найменування системи).
19. Дослідження та оптимізація параметрів розподіленої інформаційної системи на платформі 1С:Підприємство.
20. Проектування підрозділу підприємства (найменування підприємства) з ремонту та технічного обслуговування електронної (комп'ютерної) техніки та організація експлуатації технічних засобів.
21. Проектування віртуальних серверів на основі засобів (найменування засобів віртуалізації) та каналів передачі даних для підприємства (найменування підприємства).
22. Розробка серверного (клієнтського) програмного забезпечення системи (найменування системи).
Тематика випускних кваліфікаційних робіт
за освітньою програмою прикладного бакалаврату
спрямованості (профілю) "Сервіс електронної техніки"
напрями підготовки 43.03.01 «Сервіс»
Види професійної діяльності:сервісна,
виробничо-технологічна.
1. Розробка технології діагностики, ремонту та обслуговування пристрою (найменування електронного пристрою, мікропроцесорної або телекомунікаційної системи, вимірювального обладнання, мережі передачі даних).
2. Розробка електронної системи (найменування системи) підприємства (найменування підприємства, торгово-офісного центру, розважального комплексу).
3. Розробка пристрою введення-виведення інформації (найменування пристрою).
4. Розробка програмного забезпечення мікропроцесорного устрою (найменування пристрою).
5. Розробка корпоративної телекомунікаційної мережі підприємства (найменування підприємства).
6. Розробка цифрового пристрою (модуля) (найменування пристрою, модуля; найменування реалізованої функції).
7. Розробка пристрою живлення електронної апаратури (найменування апаратури).
8. Розробка технології моніторингу (контролю параметрів) об'єктів (найменування об'єктів).
9. Розробка та дослідження бездротового датчика (найменування вимірюваного параметра).
10. Проектування підрозділу підприємства (найменування підприємства) з ремонту та технічного обслуговування електронної (комп'ютерної) техніки та організація експлуатації технічних засобів.
11. Розробка підсистеми (найменування підсистеми) інтегрованої системи охорони підприємства (найменування підприємства).
Тематика випускних кваліфікаційних робіт
за освітньою програмою прикладного бакалаврату
спрямованості (профілю) «Радіотехнічні засоби передачі, прийому та обробки сигналів»
напрями підготовки 11.03.01 «Радіотехніка»
проектно-конструкторська,
сервісно-експлуатаційна.
1. Розробка пристрою (блоку, модуля; приймального, передаючого, приймально-передавального) системи (найменування системи).
2. Розробка бездротового інтерфейсу для радіоелектронної апаратури (найменування апаратури).
3. Дослідження віртуальної моделі пристрою (вказати тип пристрою) у середовищі (найменування програмного середовища).
4. Розробка підсистеми (найменування підсистеми) інтегрованої системи охорони підприємства (найменування підприємства).
Тематика випускних кваліфікаційних робіт
за освітньою програмою прикладного бакалаврату
спрямованості (профілю) "Системи мобільного зв'язку"
напрями підготовки 11.03.02 «Інфокомунікаційні технології та системи зв'язку»
Види професійної діяльності:проектна.
1. Проектування телекомунікаційної мережі підприємства (найменування підприємства).
2. Адміністрування та супровід телекомунікаційної мережі підприємства (найменування підприємства).
3. Розробка блоку (кодека, вокодера, устрою синхронізації, узгоджувального пристрою) цифрової телекомунікаційної системи.
4. Розробка бездротового адаптера інтерфейсів (найменування інтерфейсів).
5. Розробка пристрою обробки інформації (тип пристрою) системи (найменування системи).
6. Розробка пристрою сполучення систем (найменування систем).
7. Розробка контролера системи (найменування системи).
8. Розробка устрою синхронізації телекомунікаційної системи (найменування системи).
9. Розробка технологічного устрою для тестування телекомунікаційної апаратури (найменування апаратури).
10. Розробка бездротової мережі (сегменту мережі) зв'язку з урахуванням технології (найменування технології).
11. Розробка технології дистанційного моніторингу параметрів об'єктів (найменування параметрів).
12. Розробка сенсорної мережі контролю стану об'єкта (найменування об'єкта).
13. Розробка технології діагностики та вимірювання параметрів телекомунікаційного пристрою (найменування пристрою, системи, мережі, середовища).
14. Розробка приймально-передавального пристрою системи (найменування системи).
15. Розробка телекомунікаційних пристроїв для дистанційного керування об'єктом (найменування об'єкта).
16. Розробка вимірювача параметрів компонентів телекомунікаційної апаратури (найменування компонентів).
17. Розробка бездротового пристрою введення-виведення інформації (найменування пристрою).
18. Розробка апаратно-програмних засобів інфокомунікаційної технології (найменування технології).
19. Дослідження протоколів передачі у системі (найменування системи).
20. Дослідження методів цифрової обробки сигналів системи (найменування системи).
21. Розробка інфокомунікаційної технології та системи управління об'єктом (найменування об'єкта).
22. Розробка бездротової системи вимірювання параметра (найменування параметра).
23. Проектування віртуальних серверів на основі засобів (найменування засобів віртуалізації) та каналів передачі даних для підприємства (найменування підприємства).
Тематика випускних кваліфікаційних робіт
за освітньою програмою середньої професійної освіти
спеціальності 09.02.01 «Комп'ютерні системи та комплекси»
Професійні модулі:ПМ.01 Проектування цифрових пристроїв,
ПМ.02 Застосування мікропроцесорних систем, встановлення та налаштування периферійного навчання,
ПМ.03 Технічне обслуговування та ремонт комп'ютерних систем та комплексів.
1. Діагностика несправностей та контроль технічного стану засобів (найменування апаратно-програмних засобів обчислювальної техніки або комп'ютерної мережі).
2. Комплектування, конфігурування та настроювання засобів (найменування апаратно-програмних засобів обчислювальної техніки або комп'ютерної мережі).
3. Розробка комплексу заходів щодо забезпечення інформаційної безпеки комп'ютерної мережі підприємства (найменування підприємства).
4. Розробка системи безконтактної ідентифікації підприємства (найменування підприємства).
5. Супровід та адміністрування інформаційної системи підприємства (найменування підприємства).
6. Супровід та адміністрування комп'ютерної мережі підприємства (найменування підприємства).
7. Сервісне апаратно-програмне обслуговування та супровід засобів (найменування апаратних засобів обчислювальної техніки або комп'ютерної мережі).
8. Встановлення, адаптація та супровід програмного забезпечення (найменування програмного забезпечення).
9. Розробка та дослідження цифрового (мікропроцесорного) пристрою (модуля) (найменування пристрою, модуля).
10. Розробка технології тестування та комплексне налагодження програмного забезпечення (найменування програмного забезпечення).
Тематика випускних кваліфікаційних робіт для випускників
спрямованості (профілю) «Елементи та пристрої обчислювальної техніки та інформаційних систем»
напрями підготовки 09.04.01 «Інформатика та обчислювальна техніка»
Види професійної діяльності:проектна,
науково-дослідницька.
1. Моделювання та дослідження мережевих протоколів передачі інформації (зазначений вид інформації).
2. Дослідження та розробка комп'ютерних методів покращення параметрів систем (зазначені параметри або параметри та вид системи).
3. Комп'ютерне моделювання, дослідження та оптимізація інформаційних чи телекомунікаційних систем (зазначений клас систем).
4. Дослідження та оптимізація побудови бездротових сенсорних мереж.
5. Дослідження та аналіз побудови бездротових мереж Інтернету речей.
6. Розробка критеріїв ефективності та дослідження розподілу віртуальних машин усередині хмарної інфраструктури.
7. Розробка, дослідження та оцінка ефективності розподілених інформаційних (або інформаційно-вимірювальних) систем (зазначена сфера застосування або вид систем).
8. Розробка та вивчення бездротового інтерфейсу апаратури (найменування апаратури).
9. Розробка та дослідження пристрою трекінгу об'єктів (найменування об'єктів).
10. Розробка та дослідження пристроїв моніторингу стану об'єкта (найменування об'єкта).
11. Розробка апаратно-програмних засобів діагностики пристроїв (найменування пристроїв).
12. Розробка та дослідження бездротового датчика (найменування вимірюваного параметра).
13. Дослідження алгоритмів корекції для перетворювачів параметра (найменування параметра) код.
14. Розробка алгоритмів та програмного забезпечення для контролю параметрів системи управління об'єктом (найменування об'єкта).
15. Розробка та вивчення бездротових пристроїв управління об'єктом (найменування об'єкта).
16. Моделювання та дослідження перетворювачів параметрів (найменування параметрів).
17. Методики оцінки якості програмного забезпечення (зазначено призначення програмного забезпечення).
18. Дослідження функціонування пристроїв (найменування пристроїв) в умовах (зазначені умови) з метою покращення характеристик (зазначені характеристики).
19. Розробка методів аналізу та синтезу пристроїв (найменування пристроїв) з метою покращення характеристик (зазначені характеристики).
Тематика випускних кваліфікаційних робіт
за освітньою програмою академічної магістратури
спрямованості (профілю) «Розробка програмно-інформаційних систем»
напрями підготовки 09.04.04 «Програмна інженерія»
науково-дослідна,
проектна.
1. Розробка та дослідження REST-сервісу для відображення розкладів у вищих навчальних закладах.
2. Дослідження та розробка засобів тестування програмних продуктів для операторів стільникового зв'язку.
3. Розпізнавання фізіологічного стану людини на основі теорії систем із випадковою структурою.
4. Проектування інформаційної системи автоматизації продажів (найменування підприємства) на основі MDA підходу.
5. Розробка та дослідження програмно-інформаційної системи для оцінки якості програмних засобів (зазначено найменування програмних засобів).
6. Розробка розподілених програмно-інформаційних систем (зазначена сфера застосування системи) та дослідження можливостей їх оптимізації на основі критеріїв ефективності (зазначені критерії).
7. Розробка програмних засобів підтримки пристроїв вводу/виводу для системи (найменування системи).
8. Дослідження безпеки компонентів програмно-інформаційної системи (найменування системи).
Вступ
Глава 1. Теоретичні аспекти прийняття та інформаційна безпека
1.1Поняття інформаційної безпеки 3 Методи забезпечення інформаційної безпеки Розділ 2. Аналіз системи інформаційної безпеки 1 Сфера діяльності фірми та аналіз фінансових показників 2 Опис системи інформаційної безпеки фірми 3 Розробка комплексу заходів щодо модернізації існуючої системи інформаційної безпеки Висновок Список літератури додаток Додаток 1. Бухгалтерський баланс за 2010р. Додаток 1. Бухгалтерський баланс за 2010р. Вступ Актуальність теми дипломної роботи визначається зростаючим рівнем проблем інформаційної безпеки навіть в умовах стрімкого зростання технологій та інструментальної бази для захисту даних. Неможливо забезпечити стовідсотковий рівень захисту корпоративних інформаційних систем, при цьому коректно розставляючи пріоритети у задачах захисту даних в умовах обмеженості частки бюджету, спрямованої на інформаційні технології. Надійний захист обчислювальної та мережевої корпоративної інфраструктури є базовим завданням у сфері інформаційної безпеки для будь-якої компанії. Зі зростанням бізнесу підприємства та переходу до територіально-розподіленої організації вона починає виходити за межі окремої будівлі. Ефективний захист IT-інфраструктури та прикладних корпоративних систем сьогодні неможливий без впровадження сучасних технологій контролю мережевого доступу. Випадки крадіжки носіїв, що містять цінну інформацію ділового характеру, все більше змушують вживати організаційних заходів. Метою даної роботи буде оцінити існуючу в організації систему інформаційної безпеки та розробити заходи щодо її вдосконалення. Поставлена мета зумовлює такі завдання дипломної роботи: ) розглянути поняття інформаційної безпеки; ) розглянути види потенційних небезпек інформаційним системам варіанти захисту від потенційних небезпек витоку інформації у організації. ) виявити перелік інформаційних ресурсів, порушення цілісності чи конфіденційності яких призведе до завдання найбільших збитків підприємству; ) розробити на їх основі комплекс заходів щодо удосконалення існуючої системи інформаційної безпеки. Робота складається з вступу, двох розділів, висновків, списку використаних джерел та додатків. У вступі обґрунтовується актуальність теми дослідження, формулюються мета та завдання роботи. У першому розділі розглядаються теоретичні аспекти понять, інформаційна безпека в організації. У другому розділі дається коротка характеристика діяльності фірми, основні показники діяльності, описується поточний стан системи інформаційної безпеки та пропонуються заходи щодо її удосконалення. У висновку сформульовано основні результати та висновки щодо роботи. Методологічною і теоретичною основою дипломної роботи з'явилися праці вітчизняних та зарубіжних фахівців у галузі інформаційної безпеки. . Теоретична значущість дипломного дослідження полягає у реалізації комплексного підходу розробки політики інформаційної безпеки. Практична значущість роботи залежить від того, що її результати дозволяють підвищити рівень захисту інформації для підприємства шляхом грамотного проектування політики інформаційної безпеки. Глава 1. Теоретичні аспекти прийняття та інформаційна безпека 1.1 Поняття інформаційної безпеки Під інформаційною безпекою розуміється захищеність інформації та інфраструктури, що її підтримує, від будь-яких випадкових або зловмисних впливів, результатом яких може стати шкода самої інформації, її власникам або підтримуючій інфраструктурі. Завдання інформаційної безпеки зводяться до мінімізації збитків, а також до прогнозування та запобігання таким впливам. Параметри інформаційних систем, що потребують захисту, можна розділити на такі категорії: забезпечення цілісності, доступності та конфіденційності інформаційних ресурсів. доступність - це можливість отримання за короткий проміжок часу необхідної інформаційної послуги; цілісність - це актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни; конфіденційність - захист від несанкціонованого доступу до інформації. Інформаційні системи, передусім, створюються щоб одержати певних інформаційних послуг. Якщо отримання інформації з якихось причин стає неможливим, це шкодить усім суб'єктам інформаційних відносин. З цього можна визначити, що доступність інформації стоїть першому місці. Цілісність є основним аспектом інформаційної безпеки тоді, коли точність та правдивість будуть головними параметрами інформації. Наприклад, рецепти медичних ліків або набір та характеристики комплектуючих виробів. Найбільш опрацьованою складовою інформаційної безпеки нашій країні є конфіденційність. Але практична реалізація заходів для забезпечення конфіденційності сучасних інформаційних систем стикається в Росії з великими труднощами. По-перше, відомості про технічні канали витоку інформації є закритими, тому більшість користувачів позбавлені можливості скласти уявлення про потенційні ризики. По-друге, на шляху користувальницької криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перешкоди та технічні проблеми. Дії, які можуть завдати шкоди інформаційній системі, можна поділити на кілька категорій. цілеспрямована крадіжка або знищення даних на робочій станції чи сервері; пошкодження даних користувачем внаслідок необережних дій. . "Електронні" методи впливу, що здійснюються хакерами. Під хакерами розуміються люди, котрі займаються комп'ютерними злочинами як професійно (зокрема у межах конкурентної боротьби), і просто з цікавості. До таких методів належать: несанкціоноване проникнення у комп'ютерні мережі; Метою несанкціонованого проникнення ззовні в мережу підприємства може бути завдання шкоди (знищення даних), крадіжка конфіденційної інформації та використання її в незаконних цілях, використання мережевої інфраструктури для організації атак на вузли третіх фірм, крадіжка коштів з рахунків тощо. Атака типу DOS (скор. від Denial of Service - "відмова в обслуговуванні") - це зовнішня атака на вузли мережі підприємства, які відповідають за її безпечну та ефективну роботу (файлові, поштові сервери). Зловмисники організують масоване відправлення пакетів даних на ці вузли, щоб викликати їхнє навантаження і, в результаті, на якийсь час вивести їх з ладу. Це, як правило, спричиняє порушення в бізнес-процесах компанії-жертви, втрату клієнтів, збитки репутації тощо. Комп'ютерні віруси Окрема категорія електронних методів впливу – комп'ютерні віруси та інші шкідливі програми. Вони є реальною небезпекою для сучасного бізнесу, що широко використовує комп'ютерні мережі, інтернет та електронну пошту. Проникнення вірусу на вузли корпоративної мережі може призвести до порушення їх функціонування, втрат робочого часу, втрати даних, крадіжки конфіденційної інформації і навіть прямих розкрадань фінансових коштів. Вірусна програма, що проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль за діяльністю компанії. Спам. За кілька років спам із незначного дратівливого чинника перетворився на одну з найсерйозніших загроз безпеці: електронна пошта останнім часом стала головним каналом розповсюдження шкідливих програм; спам забирає багато часу на перегляд і подальше видалення повідомлень, викликає у співробітників почуття психологічного дискомфорту; як приватні особи, так і організації стають жертвами шахрайських схем, що реалізуються спамерами (часто подібні події потерпілі намагаються не розголошувати); разом зі спамом нерідко видаляється важлива кореспонденція, що може призвести до втрати клієнтів, зриву контрактів та інших неприємних наслідків; небезпека втрати кореспонденції особливо зростає під час використання чорних списків RBL та інших " грубих " методів фільтрації спаму. . "Природні" загрози. На інформаційну безпеку компанії можуть впливати різноманітні зовнішні чинники: причиною втрати даних може стати неправильне зберігання, крадіжка комп'ютерів та носіїв, форс-мажорні обставини тощо. Система управління інформаційною безпекою (ISMS або Information Security Management System) дозволяє керувати комплексом заходів, що реалізують певну задуману стратегію, у цьому випадку щодо інформаційної безпеки. Зазначимо, що йдеться не лише про управління вже існуючою системою, а й про побудову нового/перепроектування старою. Комплекс заходів включає організаційні, технічні, фізичні та інші. Управління інформаційною безпекою - процес саме комплексний, що дозволяє реалізовувати якомога ефективніше і всебічне управління ІБ в компанії. Мета управління ІБ полягає у збереженні конфіденційності, цілісності та доступності інформації. Питання лише тому, яку саме інформацію необхідно охороняти і які зусилля докладати задля її збереження. Будь-яке управління грунтується на усвідомленні ситуації, у якій відбувається. У термінах аналізу ризиків усвідомлення ситуації виявляється у інвентаризації та оцінці активів організації та його оточення, т. е. всього те, що забезпечує ведення бізнес-діяльності. З точки зору аналізу ризиків ІБ до основних активів належать безпосередньо інформація, інфраструктура, персонал, імідж та репутація компанії. Без інвентаризації активів на рівні бізнес-діяльності неможливо відповісти на запитання, що потрібно захищати. Дуже важливо зрозуміти, яка інформація обробляється в організації та де виконується її обробка. У разі великої сучасної організації кількість інформаційних активів то, можливо дуже велика. Якщо діяльність організації автоматизована за допомогою ERP-системи, можна говорити, що будь-якому матеріальному об'єкту, використовується у цій діяльності, відповідає будь-який інформаційний об'єкт. Тому першочерговим завданням управління ризиками стає визначення найзначніших активів. Вирішити це завдання неможливо без залучення менеджерів основного напряму діяльності організації як середньої, і вищої ланки. Оптимальна ситуація, коли вищий менеджмент організації особисто ставить найбільш критичні напрями діяльності, для яких дуже важливо забезпечити інформаційну безпеку. Думка вищого керівництва щодо пріоритетів у забезпеченні ІБ дуже важлива і цінна в процесі аналізу ризиків, але в будь-якому випадку воно має уточнюватися шляхом збору відомостей про критичність активів на середньому рівні управління компанією. При цьому подальший аналіз доцільно проводити саме за зазначеними вищим менеджментом напрямами бізнес-діяльності. Отримана інформація обробляється, агрегується та передається вищому менеджменту для комплексної оцінки ситуації. Ідентифікувати та локалізувати інформацію можна на підставі опису бізнес-процесів, в рамках яких інформація розглядається як один із типів ресурсів. Завдання дещо спрощується, якщо в організації прийнято підхід регламентації бізнес-діяльності (наприклад, з метою управління якістю та оптимізації бізнес-процесів). Формалізовані описи бізнес-процесів є хорошою стартовою точкою для інвентаризації активів. Якщо опису немає, можна ідентифікувати активи на підставі відомостей, отриманих від співробітників організації. Після того, як активи ідентифіковані, необхідно визначити їхню цінність. p align="justify"> Робота з визначення цінності інформаційних активів у розрізі всієї організації одночасно найбільш значуща і складна. Саме оцінка інформаційних активів дозволить начальнику відділу ІБ обрати основні напрямки діяльності із забезпечення інформаційної безпеки. Але економічна ефективність процесу управління ІБ багато в чому залежить саме від усвідомлення того, що потрібно захищати і які зусилля для цього знадобляться, так як у більшості випадків обсяг зусиль, що докладаються, прямо пропорційний обсягу затрачуваних грошей і операційних витрат. Управління ризиками дозволяє відповісти на питання, де можна ризикувати, а де не можна. У випадку ІБ термін «ризикувати» означає, що у певній галузі можна не докладати значних зусиль для захисту інформаційних активів і при цьому у разі порушення безпеки організація не зазнає значних втрат. Тут можна провести аналогію з класами захисту автоматизованих систем: чим значнішими є ризики, тим жорсткішими повинні бути вимоги до захисту. Щоб визначити наслідки порушення безпеки, потрібно мати відомості про зафіксовані інциденти аналогічного характеру, або провести сценарний аналіз. В рамках сценарного аналізу вивчаються причинно-наслідкові зв'язки між подіями порушення безпеки активів та наслідками цих подій для бізнес-діяльності організації. Наслідки сценаріїв мають оцінюватися кількома людьми, ітераційним чи дорадчим методом. Слід зазначити, що розробка та оцінка таких сценаріїв не може бути повністю відірваною від реальності. Завжди слід пам'ятати, що сценарій має бути ймовірним. Критерії та шкали визначення цінності індивідуальні для кожної організації. За результатами сценарного аналізу можна отримати інформацію про цінність активів. Якщо активи ідентифіковані та визначено їхню цінність, можна говорити про те, що цілі забезпечення ІБ частково встановлені: визначено об'єкти захисту та значущість підтримки їх у стані інформаційної безпеки для організації. Мабуть, залишилося лише визначити, від кого необхідно захищатись. Після визначення цілей управління ІБ слід проаналізувати проблеми, які заважають наблизитись до цільового стану. На цьому рівні процес аналізу ризиків спускається до інформаційної інфраструктури та традиційних понять ІБ – порушників, загроз та вразливостей. Для оцінки ризиків недостатньо ввести стандартну модель порушника, що розділяє всіх порушників на кшталт доступу до активу та знання структуру активів. Такий поділ допомагає визначити, які загрози можуть бути спрямовані на актив, але не дає відповіді на питання, чи можуть бути ці загрози в принципі реалізовані. У процесі аналізу ризиків необхідно оцінити мотивованість порушників під час реалізації загроз. При цьому під порушником мається на увазі не абстрактний зовнішній хакер або інсайдер, а сторона, яка зацікавлена в отриманні вигоди шляхом порушення безпеки активу. Початкову інформацію про моделі порушника, як і у випадку з вибором початкових напрямів діяльності із забезпечення ІБ, доцільно отримати у вищого менеджменту, що представляє собі становище організації на ринку, що має відомості про конкурентів і про те, яких методів впливу можна від них очікувати. Відомості, необхідні для розробки моделі порушника, можна отримати зі спеціалізованих досліджень щодо порушень у галузі комп'ютерної безпеки в тій сфері бізнесу, для якої проводиться аналіз ризиків. Правильно опрацьована модель порушника доповнює цілі забезпечення ІБ, визначені в оцінці активів організації. Розробка моделі загроз та ідентифікація вразливостей нерозривно пов'язані з інвентаризацією оточення інформаційних активів організації. Сама собою інформація не зберігається та не обробляється. Доступ до неї забезпечується за допомогою інформаційної інфраструктури, що автоматизує бізнес-процеси організації. Важливо зрозуміти, як інформаційна інфраструктура та інформаційні активи організації пов'язані між собою. З позиції управління ІБ значимість інформаційної інфраструктури може бути встановлена лише після визначення зв'язку між інформаційними активами та інфраструктурою. Якщо процеси підтримки та експлуатації інформаційної інфраструктури в організації регламентовані та прозорі, збір інформації, необхідний для ідентифікації загроз та оцінки вразливостей, значно спрощується. Розробка моделі загроз - робота для професіоналів у галузі ІБ, які добре уявляють собі, яким чином порушник може отримати неавторизований доступ до інформації, порушуючи периметр захисту або діючи методами соціальної інженерії. При розробці моделі загроз можна також говорити про сценарії як послідовні кроки, відповідно до яких можуть бути реалізовані загрози. Дуже рідко трапляється, що загрози реалізуються одним кроком шляхом експлуатації єдиного вразливого місця системи. У модель загроз слід включити всі загрози, виявлені за наслідками суміжних процесів управління ІБ, таких як управління вразливістю та інцидентами. Потрібно пам'ятати, що загрози необхідно буде ранжувати одна щодо одної за рівнем ймовірності їхньої реалізації. Для цього в процесі розробки моделі загроз для кожної загрози необхідно вказати найбільш значущі фактори, існування яких впливає на її реалізацію. Політика безпеки будується з урахуванням аналізу ризиків, які визнаються реальними для інформаційної системи організації. Коли ризики проаналізовано та стратегію захисту визначено, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю за виконанням програми тощо. У широкому значенні політика безпеки визначається як система документованих управлінських рішень щодо забезпечення безпеки організації. У вузькому розумінні під політикою безпеки зазвичай розуміють локальний нормативний документ, що визначає вимоги безпеки, систему заходів, або порядок дій, а також відповідальність співробітників організації та механізми контролю для певної галузі безпеки. Перед тим, як почати формувати саму політику інформаційної безпеки, необхідно розібратися в основних поняттях, якими ми оперуватимемо. Інформація – відомості (повідомлення, дані) незалежно від форми їх подання. Конфіденційність інформації - обов'язкова до виконання особою, який отримав доступом до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника. Інформаційна безпека (ІБ) - це стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання та розвиток на користь громадян, організацій, держав. Поняття "інформація" сьогодні використовується досить широко та різнобічно. Забезпечення безпеки інформації може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення та розвитку системи захисту, безперервному контролі її стану, виявленні її слабких місць та протиправних дій. Безпека інформації може бути забезпечена лише при комплексному використанні всього асортименту наявних засобів захисту у всіх структурних елементах виробничої системи та на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі використовувані засоби, методи та заходи поєднуються в єдиний цілісний механізм системи захисту інформації. При цьому функціонування системи має контролюватись, оновлюватись та доповнюватись в залежності від зміни зовнішніх та внутрішніх умов. Відповідно до стандарту ГОСТ Р ІСО/МЕК 15408:2005 можна виділити такі види вимог до безпеки: функціональні, що відповідають активному аспекту захисту, що пред'являються до функцій безпеки та механізмів, що їх реалізують; вимоги довіри, що відповідають пасивному аспекту, що висуваються до технології та процесу розробки та експлуатації. Дуже важливо, що безпека у цьому стандарті розглядається не статично, а у прив'язці до життєвого циклу об'єкта оцінки. Виділяються такі етапи: визначення призначення, умов застосування, цілей та вимог безпеки; проектування та розробка; випробування, оцінка та сертифікація; використання та експлуатація. Отже, докладніше зупинимося на функціональних вимогах безпеки. Вони включають: захист даних користувача; захист функцій безпеки (вимоги відносяться до цілісності та контролю даних сервісів безпеки та реалізують їх механізмів); управління безпекою (вимоги цього класу відносяться до управління атрибутами та параметрами безпеки); аудит безпеки (виявлення, реєстрація, зберігання, аналіз даних, що стосуються безпеки об'єкта оцінки, реагування на можливе порушення безпеки); приватність (захист користувача від розкриття та несанкціонованого використання його ідентифікаційних даних); використання ресурсів (вимоги до доступності інформації); зв'язок (аутентифікація сторін, що у обміні даними); довірений маршрут/канал (для зв'язку із сервісами безпеки). Відповідно до цих вимог потрібно формувати систему інформаційної безпеки організації. Система інформаційної безпеки організації включає напрями: нормативні; організаційні (адміністративні); технічні; програмні; Для повної оцінки ситуації на підприємстві за всіма напрямами забезпечення безпеки необхідна розробка концепції інформаційної безпеки, яка б встановлювала системний підхід до проблеми безпеки інформаційних ресурсів та була систематизованим викладом цілей, завдань, принципів проектування та комплексу заходів щодо забезпечення інформаційної безпеки на підприємстві. В основі системи управління корпоративною мережею повинні лежати такі принципи (завдання): забезпечення захисту існуючої інформаційної інфраструктури підприємства від втручання зловмисників; забезпечення умов для локалізації та мінімізації можливої шкоди; виключення появи на початковій стадії причин виникнення джерел загроз; забезпечення захисту інформації по трьох основних видах загроз (доступність, цілісність, конфіденційність); Розв'язання вищезгаданих завдань досягається шляхом; регламентація дій користувачів роботи з інформаційною системою; регламентація дій користувачів роботи з базою даних; єдині вимоги до надійності технічних засобів та програмного забезпечення; - процедури контролю роботи інформаційної системи (протоколування подій, аналіз протоколів, аналіз мережевого трафіку, аналіз роботи технічних засобів); Політика інформаційної безпеки включає: основний документ – «Політика безпеки». У ньому в цілому описано політику безпеки організації, загальні положення, а також за всіма аспектами політики вказано відповідні документи; інструкція щодо регламентації роботи користувачів; посадова інструкція адміністратора локальної мережі; посадова інструкція адміністратора бази даних; інструкція щодо роботи з ресурсами Інтернет; інструкція щодо організації парольного захисту; інструкція щодо організації антивірусного захисту. Документ "Політика безпеки" містить основні положення. На основі нього будується програма забезпечення інформаційної безпеки, будуються посадові інструкції та рекомендації. Інструкція з регламентації роботи користувачів локальної мережі організації регулює порядок допуску користувачів до роботи в локальній обчислювальній мережі організації, а також правила поводження з інформацією, що захищається, оброблюваної, що зберігається і передається в організації. Посадова інструкція адміністратора локальної мережі описує обов'язки адміністратора локальної мережі щодо забезпечення інформаційної безпеки. Посадова інструкція адміністратора бази даних визначає основні обов'язки, функції та права адміністратора бази даних. У ній дуже докладно описані всі посадові обов'язки та функції адміністратора бази даних, а також права та відповідальність. Інструкція по роботі з ресурсами Інтернет відображає основні правила безпечної роботи з Інтернетом, так само містить перелік допустимих і недопустимих дій при роботі з ресурсами Інтернет. Інструкція з організації антивірусного захисту визначає основні положення, вимоги до організації антивірусного захисту інформаційної системи організації, всі аспекти пов'язані з роботою антивірусного програмного забезпечення, а також відповідальність у разі порушення антивірусного захисту. Інструкція з організації парольного захисту регламентує організаційно-технічне забезпечення процесів генерації, зміни та припинення дії паролів (видалення облікових записів користувачів). А також регламентовані дії користувачів та обслуговуючого персоналу під час роботи з системою. Таким чином, основою для організації процесу захисту інформації є безпекова політика, формульована для того, щоб визначити, від яких загроз і яким чином захищається інформація в інформаційній системі. Під політикою безпеки розуміється набір правових, організаційних і технічних заходів захисту інформації, прийнятий у конкретній організації. Тобто, політика безпеки містить безліч умов, за яких користувачі отримують доступ до ресурсів системи без втрати властивості інформаційної безпеки цієї системи. Завдання забезпечення інформаційної безпеки має вирішуватися системно. Це означає, що різні засоби захисту (апаратні, програмні, фізичні, організаційні тощо) повинні застосовуватися одночасно під централізованим управлінням. На сьогоднішній день існує великий арсенал методів забезпечення інформаційної безпеки: засоби ідентифікації та аутентифікації користувачів; засоби шифрування інформації, що зберігається на комп'ютерах та передається по мережах; міжмережеві екрани; віртуальні приватні мережі; засоби контентної фільтрації; інструменти перевірки цілісності вмісту дисків; засоби антивірусного захисту; системи виявлення вразливостей мереж та аналізатори мережевих атак Кожен із перерахованих коштів може бути використаний як самостійно, так і в інтеграції з іншими. Це робить можливим створення систем інформаційного захисту для мереж будь-якої складності та конфігурації, які не залежать від використовуваних платформ. Система аутентифікації (або ідентифікації), авторизації та адміністрування. Ідентифікація та авторизація – це ключові елементи інформаційної безпеки. Функція авторизації відповідає тому, яких ресурсів конкретний користувач має доступ. Функція адміністрування полягає в наділенні користувача певними ідентифікаційними особливостями в рамках цієї мережі та визначенні обсягу допустимих для нього дій. Системи шифрування дозволяють мінімізувати втрати у разі несанкціонованого доступу до даних, що зберігаються на жорсткому диску або іншому носії, а також перехоплення інформації при її пересиланні електронною поштою або передачі мережевими протоколами. Завдання засобу захисту - забезпечення конфіденційності. Основні вимоги до систем шифрування - високий рівень криптостійкості і легальність використання на території Росії (або інших держав). Міжмережевий екран є системою або комбінацією систем, що утворює між двома або більше мережами захисний бар'єр, що оберігає від несанкціонованого попадання в мережу або виходу з неї пакетів даних. Основний принцип дії міжмережевих екранів - перевірка кожного пакета даних на відповідність вхідної та вихідної IP-адреси на базі дозволених адрес. Таким чином, міжмережові екрани значно розширюють можливості сегментування інформаційних мереж та контролю за циркулюванням даних. Говорячи про криптографію та міжмережевих екранах, слід згадати про захищені віртуальні приватні мережі (Virtual Private Network - VPN). Їх використання дозволяє вирішити проблеми конфіденційності та цілісності даних при їх передачі по відкритих комунікаційних каналах. Використання VPN можна звести до вирішення трьох основних завдань: захист інформаційних потоків між різними офісами компанії (шифрування інформації провадиться тільки на виході у зовнішню мережу); захищений доступ віддалених користувачів мережі до інформаційних ресурсів компанії, що зазвичай здійснюється через інтернет; захист інформаційних потоків між окремими додатками всередині корпоративних мереж (цей аспект також дуже важливий, оскільки більшість атак здійснюється із внутрішніх мереж). Ефективний засіб захисту від втрати конфіденційної інформації - фільтрація вмісту вхідної та вихідної електронної пошти. Перевірка самих поштових повідомлень та вкладень у них на основі правил, встановлених в організації, дозволяє також убезпечити компанії від відповідальності за судовими позовами та захистити їх від спаму. Засоби контентної фільтрації дозволяють перевіряти файли всіх поширених форматів, зокрема стислі та графічні. У цьому пропускна спроможність мережі мало змінюється. Всі зміни на робочій станції або сервері можуть бути відстежені адміністратором мережі або іншим авторизованим користувачем завдяки технології перевірки цілісності вмісту жорсткого диска (integrity checking). Це дозволяє виявляти будь-які дії з файлами (зміна, видалення або просто відкриття) та ідентифікувати активність вірусів, несанкціонований доступ або крадіжку даних авторизованими користувачами. Контроль складає основі аналізу контрольних сум файлів (CRC-сум). Сучасні антивірусні технології дозволяють виявити практично всі вже відомі вірусні програми через порівняння коду підозрілого файлу із зразками, що зберігаються в антивірусній базі. Крім того, розроблені технології моделювання поведінки, що дозволяють виявляти новостворені вірусні програми. Об'єкти, що виявляються, можуть піддаватися лікуванню, ізолюватися (поміщатися в карантин) або видалятися. Захист від вірусів може бути встановлений на робочі станції, файлові та поштові сервери, міжмережеві екрани, що працюють під практично будь-якої з поширених операційних систем (Windows, Unix-і Linux-системи, Novell) на процесорах різних типів. Фільтри спаму значно зменшують непродуктивні трудовитрати, пов'язані з розбором спаму, знижують трафік та завантаження серверів, покращують психологічний фон у колективі та зменшують ризик залучення співробітників компанії до шахрайських операцій. Крім того, фільтри спаму зменшують ризик зараження новими вірусами, оскільки повідомлення, що містять віруси (навіть не ввійшли до баз антивірусних програм) часто мають ознаки спаму і відфільтровуються. Правда, позитивний ефект від фільтрації спаму може бути перекреслено, якщо фільтр поряд зі сміттєвими видаляє або маркує як спам та корисні повідомлення, ділові чи особисті. Величезна шкода компаніям, завдана вірусами і хакерськими атаками, - великою мірою наслідок слабких місць у програмному забезпеченні. Визначити їх можна завчасно, не чекаючи на реальний напад, за допомогою систем виявлення вразливостей комп'ютерних мереж та аналізаторів мережевих атак. Подібні програмні засоби безпечно моделюють поширені атаки та способи вторгнення та визначають, що саме хакер може побачити у мережі та як він може використовувати її ресурси. Для протидії природним загрозам інформаційної безпеки в компанії повинен бути розроблений та реалізований набір процедур із запобігання надзвичайним ситуаціям (наприклад, щодо забезпечення фізичного захисту даних від пожежі) та мінімізації збитків у тому випадку, якщо така ситуація все-таки виникне. Один із основних методів захисту від втрати даних – резервне копіювання з чітким дотриманням встановлених процедур (регулярність, типи носіїв, методи зберігання копій тощо). Політика інформаційної безпеки є пакет документів, що регламентує роботу співробітників, що описує основні правила роботи з інформацією, інформаційною системою, базами даних, локальною мережею та ресурсами Інтернет. Важливо розуміти, яке політика інформаційної безпеки займає у загальній системі управління організацією. Нижче наведено загальні організаційні заходи, пов'язані з політикою безпеки. На процедурному рівні можна виділити такі класи заходів: управління персоналом; фізичний захист; підтримка працездатності; реагування на порушення режиму безпеки; планування відновлювальних робіт. Управління персоналом починається з прийому працювати, проте ще до цього слід визначити комп'ютерні привілеї, пов'язані з посадою. Існує два загальні принципи, які слід мати на увазі: розподіл обов'язків; мінімізація привілеїв. Принцип поділу обов'язків наказує як розподіляти ролі та відповідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, небажана ситуація, коли великі платежі від імені організації виконує одна людина. Надійніше доручити одному співробітнику оформлення заявок на такі платежі, а іншому - завіряти ці заявки. Інший приклад – процедурні обмеження дій суперкористувача. Можна штучно "розщепити" пароль суперкористувача, повідомивши першу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії щодо адміністрування інформаційної системи вони зможуть виконати лише вдвох, що знижує ймовірність помилок та зловживань. Принцип мінімізації привілеїв наказує виділяти користувачам ті права доступу, які необхідні їм для виконання службових обов'язків. Призначення цього принципу очевидне – зменшити збитки від випадкових чи навмисних некоректних дій. Попереднє складання опису посади дозволяє оцінити її критичність та спланувати процедуру перевірки та відбору кандидатів. Чим відповідальніша посада, тим ретельніше треба перевіряти кандидатів: навести про них довідки, можливо, поговорити з колишніми товаришами по службі тощо. Подібна процедура може бути тривалою та дорогою, тому немає сенсу додатково ускладнювати її. У той же час, нерозумно і зовсім відмовлятися від попередньої перевірки, аби випадково не прийняти на роботу людину із кримінальним минулим чи психічним захворюванням. Коли кандидата визначено, він, ймовірно, повинен пройти навчання; принаймні його слід детально ознайомити зі службовими обов'язками, а також з нормами та процедурами інформаційної безпеки. Бажано, щоб заходи безпеки були ним засвоєні до вступу на посаду та до заведення його системного рахунку з вхідним ім'ям, паролем та привілеями. Безпека інформаційної системи залежить від оточення, де вона функціонує. Необхідно вжити заходів для захисту будівель та прилеглої території, що підтримує інфраструктуру, обчислювальну техніку, носії даних. Розглянемо такі напрями фізичного захисту: фізичне керування доступом; захист підтримуючої інфраструктури; захист мобільних систем Заходи фізичного управління доступом дозволяють контролювати і за необхідності обмежувати вхід та вихід співробітників та відвідувачів. Контролюватись може вся будівля організації, а також окремі приміщення, наприклад, ті, де розташовані сервери, комунікаційна апаратура тощо. До підтримуючої інфраструктури можна віднести системи електро-, водо- та теплопостачання, кондиціонери та засоби комунікацій. У принципі, до них застосовні самі вимоги цілісності і доступності, як і до інформаційних систем. Для забезпечення цілісності необхідно захищати обладнання від крадіжок та пошкоджень. Для підтримки доступності слід вибирати обладнання з максимальним часом напрацювання на відмову, дублювати відповідальні вузли та завжди мати під рукою запчастини. Взагалі, при виборі засобів фізичного захисту слід проводити аналіз ризиків. Так, приймаючи рішення про закупівлю джерела безперебійного живлення, необхідно врахувати якість електроживлення в будівлі, що займається організацією (втім, майже напевно вона виявиться поганою), характер і тривалість збоїв електроживлення, вартість доступних джерел та можливі втрати від аварій (поломка техніки, призупинення роботи організації) і т.п.) Розглянемо низку заходів, вкладених у підтримку працездатності інформаційних систем. Саме в цій галузі таїться найбільша небезпека. До втрати працездатності, а саме пошкодження апаратури, руйнування програм і даних можуть призвести до ненавмисних помилок системних адміністраторів і користувачів. Це в найгіршому випадку. У кращому випадку вони створюють проломи у захисті, які уможливлюють реалізацію загроз безпеці систем. Основна проблема багатьох організацій – недооцінка факторів безпеки у повсякденній роботі. Дорогі засоби безпеки втрачають сенс, якщо вони погано документовані, конфліктують з іншим програмним забезпеченням, а пароль системного адміністратора не змінювався з моменту встановлення. Для повсякденної діяльності, спрямованої підтримки працездатності інформаційної системи можна назвати такі действия: підтримка користувачів; підтримка програмного забезпечення; конфігураційне управління; резервне копіювання; керування носіями; документування; Регламентні роботи. Підтримка користувачів має на увазі, перш за все, консультування та надання допомоги при вирішенні різноманітних проблем. Дуже важливо у потоці питань вміти виявляти проблеми, пов'язані з інформаційною безпекою. Так, багато труднощів користувачів, які працюють на персональних комп'ютерах, можуть бути наслідком зараження вірусами. Доцільно фіксувати питання користувачів, щоб виявляти їх типові помилки та випускати пам'ятки з рекомендаціями щодо поширених ситуацій. Підтримка програмного забезпечення - один із найважливіших засобів забезпечення цілісності інформації. Перш за все необхідно стежити за тим, яке програмне забезпечення встановлено на комп'ютерах. Якщо користувачі встановлюватимуть програми на свій розсуд, це може призвести до зараження вірусами, а також появи утиліт, що діють в обхід захисних засобів. Цілком імовірно також, що "самодіяльність" користувачів поступово призведе до хаосу на їх комп'ютерах, а виправляти ситуацію доведеться системному адміністратору. Другий аспект підтримки програмного забезпечення – контроль за відсутністю неавторизованої зміни програм та прав доступу до них. Сюди можна віднести підтримку еталонних копій програмних систем. Зазвичай контроль досягається комбінуванням засобів фізичного та логічного управління доступом, а також використанням утиліт перевірки та забезпечення цілісності. Конфігураційне керування дозволяє контролювати та фіксувати зміни, що вносяться до програмної конфігурації. Насамперед, необхідно застрахуватися від випадкових чи непродуманих модифікацій, вміти як мінімум повертатися до минулої, працюючої версії. Фіксація змін дозволить легко відновити поточну версію після аварії. Найкращий спосіб зменшити кількість помилок у рутинній роботі – максимально автоматизувати її. Автоматизація та безпека залежать один від одного, адже той, хто піклується в першу чергу про полегшення свого завдання, насправді оптимально формує режим інформаційної безпеки. Резервне копіювання необхідне відновлення програм та даних після аварій. І тут доцільно автоматизувати роботу, як мінімум, сформувавши комп'ютерний розклад створення повних та інкрементальних копій, а як максимум – скориставшись відповідними програмними продуктами. Потрібно також налагодити розміщення копій у безпечному місці, захищеному від несанкціонованого доступу, пожеж, протікання, тобто від усього, що може призвести до крадіжки чи пошкодження носіїв. Доцільно мати кілька екземплярів резервних копій та частину з них зберігати поза територією організації, захищаючись таким чином від великих аварій та аналогічних інцидентів. Іноді у тестових цілях слід перевіряти можливість відновлення інформації з копій. Керувати носіями необхідно для забезпечення фізичного захисту та обліку дискет, стрічок, друкованих видач тощо. Керування носіями має забезпечувати конфіденційність, цілісність та доступність інформації, що зберігається поза комп'ютерними системами. Під фізичним захистом тут розуміється як відображення спроб несанкціонованого доступу, а й запобігання шкідливих впливів довкілля (спеки, холоду, вологи, магнетизму). Управління носіями має охоплювати весь життєвий цикл – від закупівлі до виведення з експлуатації. Документування – невід'ємна частина інформаційної безпеки. У вигляді документів оформляється майже все – від політики безпеки до журналу обліку носіїв. Важливо, щоб документація була актуальною, відображала саме поточний стан справ, причому у несуперечливому вигляді. До зберігання одних документів (що містять, наприклад, аналіз уразливих місць системи та загроз) застосовні вимоги забезпечення конфіденційності, до інших, таких як план відновлення після аварій - вимоги цілісності та доступності (у критичній ситуації план необхідно знайти та прочитати). Регламентні роботи – дуже серйозна загроза безпеці. Співробітник, який здійснює регламентні роботи, отримує винятковий доступ до системи, і на практиці дуже важко проконтролювати, які саме дії він робить. Тут першому плані виходить ступінь довіри до тих, хто виконує роботу. Політика безпеки, прийнята в організації, має передбачати набір оперативних заходів, спрямованих на виявлення та нейтралізацію порушень режиму інформаційної безпеки. Важливо, щоб у таких випадках послідовність дій була спланована заздалегідь, оскільки заходи потрібно вживати термінових та скоординованих. Реакція на порушення режиму безпеки має три головні цілі: локалізація інциденту та зменшення шкоди, що завдається; запобігання повторним порушенням. Нерідко вимога локалізації інциденту і зменшення шкоди, що завдається, вступає в конфлікт з бажанням виявити порушника. У безпековій політиці організації пріоритети мають бути розставлені заздалегідь. Оскільки, як показує практика, виявити зловмисника дуже складно, на наш погляд, насамперед слід дбати про зменшення шкоди. Жодна організація не застрахована від серйозних аварій, спричинених природними причинами, діями зловмисника, недбалістю чи некомпетентністю. У той самий час, кожна організація має функції, які керівництво вважає критично важливими, вони мають виконуватися попри що. Планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити збитки від них та зберегти здатність до функціонування хоча б у мінімальному обсязі. Зазначимо, що заходи інформаційної безпеки можна поділити на три групи, залежно від того, чи спрямовані вони на попередження, виявлення чи ліквідацію наслідків атак. Більшість заходів має запобіжний характер. Процес планування відновлювальних робіт можна поділити на такі етапи: виявлення критично важливих функцій організації; встановлення пріоритетів; ідентифікація ресурсів, необхідні виконання критично важливих функцій; визначення переліку можливих аварій; розробка стратегії відновлювальних робіт; підготовка до реалізації обраної стратегії; перевірка стратегії. Плануючи відновлювальні роботи, слід усвідомлювати, що повністю зберегти функціонування організації який завжди можливо. Необхідно виявити критично важливі функції, без яких організація втрачає своє обличчя, і навіть серед критичних функцій розставити пріоритети, щоб якнайшвидше та з мінімальними витратами відновити роботу після аварії. Ідентифікуючи ресурси, необхідні виконання критично важливих функцій, слід пам'ятати, що з них мають некомп'ютерний характер. На цьому етапі бажано підключати до роботи фахівців різного профілю. Таким чином, існує велика кількість різних методів забезпечення інформаційної безпеки. Найбільш ефективним застосування всіх даних методів в єдиному комплексі. Сьогодні сучасний ринок безпеки насичений засобами забезпечення інформаційної безпеки. Постійно вивчаючи існуючі пропозиції ринку безпеки, багато компаній бачать неадекватність раніше вкладених коштів у системи інформаційної безпеки, наприклад, через моральне старіння обладнання та програмне забезпечення. Тому вони шукають варіанти вирішення цієї проблеми. Таких варіантів може бути два: з одного боку – це повна заміна системи корпоративного захисту інформації, що вимагатиме великих капіталовкладень, а з іншого – модернізація існуючих систем безпеки. Останній варіант вирішення цієї проблеми є найменш витратним, але несе нові проблеми, наприклад, вимагає відповіді на такі питання: як забезпечити сумісність старих, що залишаються з наявних апаратно-програмних засобів безпеки, та нових елементів системи захисту інформації; як забезпечити централізоване керування різнорідними засобами забезпечення безпеки; як оцінити, а за потреби і переоцінити інформаційні ризики компанії. Розділ 2. Аналіз системи інформаційної безпеки 1 Сфера діяльності фірми та аналіз фінансових показників ВАТ "Газпром" - глобальна енергетична компанія. Основні напрямки діяльності - геологорозвідка, видобуток, транспортування, зберігання, переробка та реалізація газу, газового конденсату та нафти, а також виробництво та збут тепло- та електроенергії. «Газпром» бачить свою місію у надійному, ефективному та збалансованому забезпеченні споживачів природним газом, іншими видами енергоресурсів та продуктів їх переробки. «Газпром» має у своєму розпорядженні найбагатші у світі запаси природного газу. Його частка у світових запасах газу становить 18%, у російських – 70%. На «Газпром» припадає 15% світового та 78% російського видобутку газу. В даний час компанія активно реалізує масштабні проекти з освоєння газових ресурсів півострова Ямал, арктичного шельфу, Східного Сибіру та Далекого Сходу, а також низку проектів з розвідки та видобутку вуглеводнів за кордоном. "Газпром" - надійний постачальник газу російським та закордонним споживачам. Компанії належить найбільша у світі газотранспортна мережа - Єдина система газопостачання Росії, довжина якої перевищує 161 тис. км. На внутрішньому ринку «Газпром» реалізує понад половину газу, що продається. Крім того, компанія постачає газ до 30 країн ближнього та далекого зарубіжжя. «Газпром» є єдиним у Росії виробником та експортером зрідженого природного газу та забезпечує близько 5% світового виробництва ЗПГ. Компанія входить до п'ятірки найбільших виробників нафти в РФ, а також є найбільшим власником активів, що генерують, на її території. Їхня сумарна встановлена потужність становить 17% від загальної встановленої потужності російської енергосистеми. Стратегічною метою є становлення ВАТ «Газпром» як лідера серед глобальних енергетичних компаній у вигляді освоєння нових ринків, диверсифікації видів діяльності, забезпечення надійності постачання. Розглянемо фінансові показники діяльності компанії за останні два роки. Результати діяльності компанії представлені у додатку 1. Станом на 31.12.2010 рік, виторг від продажів склав 2495557 млн. руб., цей показник набагато нижчий, порівняно з даними 2011 року, тобто 3296656 млн. руб. Виручка від продажів (за вирахуванням акцизу, ПДВ та мит) збільшилася на 801 099 млн. руб., або на 32%, за дев'ять місяців, що закінчилися 30 вересня 2011 р., порівняно з аналогічним періодом минулого року, і склала 3 296 656 млн. руб. За результатами 2011 р., на частку чистого виторгу від продажу газу припадало 60% від загального обсягу чистого виторгу від продажу (60% за аналогічний період минулого року). Чиста виручка від продажу газу збільшилася з 1495335 млн. руб. за рік до 1987330 млн. руб. за аналогічний період 2011 р. або на 33%. Чиста виручка від продажу газу до Європи та інших країн збільшилася на 258 596 млн. руб., або на 34%, в порівнянні з аналогічним періодом минулого року, і склала 1026451 млн. руб. Загальне збільшення продажу газу до Європи та інших країн було зумовлено зростанням середніх цін. Середня ціна в рублях (включаючи мита) збільшилася на 21% за дев'ять місяців, що закінчилися 30 вересня 2011 р., порівняно з аналогічним періодом 2010 р. На додаток, обсяг продажу газу зріс на 8% порівняно з аналогічним періодом минулого року. Чиста виручка від продажу газу до країн колишнього Радянського Союзу зросла за порівняно з аналогічним періодом 2010 р. на 168 538 млн. руб., або на 58%, і склала 458 608 млн. руб. Зміна в основному була зумовлена зростанням обсягів продажу газу до країн колишнього Радянського Союзу на 33% за дев'ять місяців, що закінчилися 30 вересня 2011 р., порівняно з аналогічним періодом минулого року. На додаток, середня ціна в рублях (включаючи мита, за вирахуванням ПДВ) зросла на 15% порівняно з аналогічним періодом минулого року. Чиста виручка від продажу газу в Російській Федерації зросла на 64 861 млн. руб., або на 15%., Порівняно з аналогічним періодом минулого року, і склала 502 271 млн. руб. В основному це пояснюється зростанням середньої ціни на газ на 13% порівняно з аналогічним періодом минулого року, що пов'язано зі зростанням тарифів, що встановлюються Федеральною службою з тарифів (ФСТ). Чиста виручка від продажу продуктів нафтогазопереробки (за вирахуванням акцизу, ПДВ та мит) зросла на 213 012 млн. руб., або на 42%, і склала 717 723 млн. руб. в порівнянні з аналогічним періодом минулого року. Здебільшого, це збільшення пояснюється зростанням світових цін на продукти нафтогазопереробки та збільшенням реалізованих обсягів порівняно з аналогічним періодом минулого року. Виручка Групи Газпром нафту склала 85% і 84% у загальній сумі чистого виторгу від продажу продуктів нафтогазопереробки, відповідно. Чистий виторг від продажу електричної та теплової енергії (за вирахуванням ПДВ) зріс на 38 097 млн. руб., або на 19% і склав 237 545 млн. руб. Збільшення виручки від продажу електричної та теплової енергії здебільшого пояснюється зростанням тарифів на електричну та теплову енергію, а також збільшенням обсягом реалізації електричної та теплової енергії. Чиста виручка від продажу сирої нафти та газового конденсату (за вирахуванням акцизу, ПДВ і мит) зросла на 23 072 млн. руб., або на 16%, і склала 164 438 млн. руб. проти 141 366 млн. крб. за аналогічний період торік. Здебільшого зміна викликана зростанням ціни на нафту та газовий конденсат. Крім цього, зміна була спричинена збільшенням обсягу продажу газового конденсату. Виручка від продажу сирої нафти склала 133368 млн. руб. та 121 675 млн. руб. у чистому виторгу від продажу сирої нафти та газового конденсату (за вирахуванням акцизу, ПДВ та мит) 2011 та 2010 рр., відповідно. Чистий виторг від продажу послуг з транспортування газу (за вирахуванням ПДВ) зріс на 15 306 млн. руб., або на 23%, і склав 82 501 млн. руб., Порівняно з 67 195 млн. руб. за аналогічний період торік. Таке зростання пояснюється, головним чином, збільшенням тарифів на транспортування газу для незалежних постачальників, а також збільшенням ѐ мов транспортування газу для незалежних постачальників у порівнянні з аналогічним періодом минулого року Інша виручка зросла на 19617 млн. руб., або на 22%, і склала 107119 млн. руб. проти 87 502 млн. крб. за аналогічний період торік. Витрата торговими операціями без фактичної поставки становив 837 млн. крб. проти доходом у вигляді 5 786 млн. крб. за аналогічний період торік. Що стосується операційних витрат, вони збільшилися на 23% і склали 2119289 млн. руб. проти 1 726 604 млн. крб. за аналогічний період торік. Частка операційних витрат у виручці від продажу зменшилася з 69% до 64%. Витрати оплату праці збільшилися на 18% і дорівнювали 267 377 млн. крб. проти 227 500 млн. крб. за аналогічний період торік. Збільшення переважно пояснюється зростанням середньої заробітної плати. Амортизація за аналізований період збільшилася на 9% чи 17 026 млн. крб., і становить 201 636 млн. крб., проти 184 610 млн. крб. за аналогічний період торік. Збільшення, переважно, було з розширенням бази основних засобів. Через війну зазначених вище чинників прибуток від продажу зросла на 401 791 млн. крб., чи 52%, і становить 1 176 530 млн. крб. проти 774 739 млн. крб. за аналогічний період торік. Маржа прибутку від продажу збільшилася з 31% до 36% за дев'ять місяців, що закінчилися 30 вересня 2011 р. Таким чином, ВАТ "Газпром" - глобальна енергетична компанія. Основні напрямки діяльності - геологорозвідка, видобуток, транспортування, зберігання, переробка та реалізація газу, газового конденсату та нафти, а також виробництво та збут тепло- та електроенергії. Фінансове становище компанії стабільно. Показники діяльності мають позитивну динаміку. 2 Опис системи інформаційної безпеки фірми Розглянемо основні напрямки діяльності підрозділів Служби корпоративного захисту ВАТ "Газпром": розробка цільових програм з розвитку систем та комплексів інженерно-технічних засобів охорони (ІТСО), систем забезпечення інформаційної безпеки (ІБ) ВАТ "Газпром" та його дочірніх товариств та організацій, участь у формуванні інвестиційної програми, спрямованої на забезпечення інформаційно-технічної безпеки; реалізація повноважень замовника робіт з розвитку систем забезпечення ІБ, а також систем та комплексів ІТСО; розгляд та погодження бюджетних заявок та бюджетів на здійснення заходів щодо розвитку систем забезпечення ІБ, систем та комплексів ІТСО, а також на створення ІТ у частині систем захисту інформації; розгляд та погодження проектної та передпроектної документації щодо розвитку систем забезпечення ІБ, систем та комплексів ІТСО, а також технічних завдань на створення (модернізацію) інформаційних систем, систем зв'язку та телекомунікацій у частині вимог щодо забезпечення інформаційної безпеки; організація робіт з оцінки відповідності систем та комплексів ІТСО, систем забезпечення І.Б (а також робіт та послуг з їх створення) встановленим вимогам; координація та контроль виконання робіт з технічного захисту інформації. У "Газпромі" створено систему, що забезпечує захист персональних даних. Проте прийняття федеральними органами виконавчої низки нормативних правових актів у розвиток чинних законів і постанов уряду зумовлює необхідність вдосконалення чинної системи захисту ПД. В інтересах вирішення зазначеної задачі в рамках науково-дослідних робіт розроблено та проходить узгодження цілу низку документів. Насамперед, це проекти стандартів організації Розвитку Газпром: "Методика проведення класифікації інформаційних систем персональних даних ВАТ "Газпром", його дочірніх товариств та організацій"; "Модель загроз персональним даним при їх обробці в інформаційних системах персональних даних ВАТ "Газпром", його дочірніх товариств та організацій". Дані документи розроблені з урахуванням вимог Постанови Уряду Російської Федерації від 17 листопада 2007 р. № 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" стосовно класу спеціальних систем, до яких належить більшість ІСПДн ВАТ " "Газпром". Крім того, наразі ведеться розробка "Положення щодо організації та технічного забезпечення безпеки персональних даних, що обробляються в інформаційних системах персональних даних ВАТ "Газпром", його дочірніх товариств та організацій". Слід зазначити, що у рамках системи стандартизації ВАТ «Газпром» розроблено стандарти системи забезпечення інформаційної безпеки, які також дозволять вирішувати завдання захисту ПД, що обробляються в інформаційних системах ВАТ «Газпром». Сім стандартів, що належать до системи забезпечення інформаційної безпеки, затверджені та вводяться в дію цього року. У стандартах визначено основні вимоги щодо побудови систем забезпечення інформаційної безпеки ВАТ «Газпром» та його дочірніх організацій. Результати виконаної роботи дозволять раціональніше використовувати матеріальні, фінансові та інтелектуальні ресурси, сформувати необхідне нормативно-методичне забезпечення, впровадити ефективні засоби захисту і, як наслідок, забезпечити захищеність персональних даних, що обробляються в інформаційних системах ВАТ «Газпром». В результаті проведення аналізу інформаційної безпеки ВАТ «Газпром» було виявлено такі недоліки у забезпеченні безпеки інформації: в організації немає єдиного документа, що регулює комплексну безпекову політику; враховуючи розміри мережі та кількість користувачів (понад 100), слід зазначити, що системним адмініструванням, забезпеченням інформаційної безпеки та технічної підтримки займається одна людина; відсутня класифікація інформаційних активів за рівнем ваги; ролі та обов'язки з інформаційної безпеки не включені до посадових інструкцій; у трудовому договорі, що укладається зі співробітником, відсутній пункт про обов'язки з інформаційної безпеки як працевлаштованих, так і самої організації; навчання персоналу у сфері захисту інформації не проводиться; з погляду захисту від зовнішніх загроз: не розроблено типових процедур поведінки для відновлення даних після нещасних випадків, що сталися внаслідок зовнішніх та екологічних загроз; серверна не є окремим приміщенням, за приміщенням закріплений статус двох відділів (до серверної, крім системного адміністратора, має доступ ще одна людина); не проводиться технічне зондування та фізичне обстеження щодо несанкціонованих пристроїв, підключених до кабелів; незважаючи на те, що вхід здійснюється за електронними перепустками і вся інформація надходить у спеціальну базу даних, її аналіз не проводиться; з точки зору захисту від шкідливих програм: відсутня формальна політика щодо захисту від ризиків, пов'язаних з отриманням файлів як із зовнішніх мереж або за допомогою них, так і на змінних носіях; з погляду захисту від шкідливих програм: відсутні керівні процедури захисту локальної мережі від шкідливого коду; відсутній контроль трафіку, доступ до поштових серверів зовнішніх мереж; всі резервні копії зберігаються у серверній; використовуються небезпечні паролі, що легко запам'ятовуються; отримання паролів користувачами не підтверджується; паролі у відкритому вигляді зберігаються у адміністратора; паролі не змінюються; немає порядку повідомлення про події інформаційної безпеки. Таким чином, на підставі цих недоліків було розроблено набір регламентів щодо політики інформаційної безпеки, що включає: політику щодо прийому на роботу (звільнення) та наділення (позбавлення) співробітників необхідними повноваженнями щодо доступу до ресурсів системи; політику щодо роботи користувачів мережі у процесі її експлуатації; політику щодо організації парольного захисту; політику щодо організації фізичного захисту; політику роботи з мережею Інтернет; а також адміністративні заходи щодо забезпечення безпеки. Документи, містять зазначені регламенти, перебувають у стадії розгляду керівництвом організації. 3 Розробка комплексу заходів щодо модернізації існуючої системи інформаційної безпеки Внаслідок аналізу системи інформаційної безпеки ВАТ «Газпром» було виявлено суттєві вразливості системи. Для розробки заходів з метою усунення виявлених недоліків системи безпеки виділимо такі групи відомостей, що підлягають захисту: відомості про приватне життя працівників, що дозволяють ідентифікувати їхню особу (персональні дані); відомості, пов'язані з професійною діяльністю та складові банківську, аудиторську та таємницю зв'язку; відомості, пов'язані з професійною діяльністю та зазначені як відомості «для службового користування»; інформація, знищення чи зміна якої негативно позначаться ефективності роботи, а відновлення вимагатиме додаткових витрат. З погляду адміністративних заходів було розроблено такі рекомендації: система захисту інформації має відповідати законодавству Російської Федерації та державним стандартам; будівлі та приміщення, де встановлені або зберігаються засоби обробки інформації, проводяться роботи з інформацією, що захищається, повинні охоронятися та бути захищені засобами сигналізації та пропускного контролю; проведення навчання персоналу з питань інформаційної безпеки (пояснювати важливість парольного захисту та вимог, що пред'являються до пароля, проводити інструктаж з антивірусного ПЗ тощо) слід організовувати при прийомі співробітника на роботу; кожні 6-12 місяців проводити тренінги, спрямовані на підвищення грамотності працівників у сфері інформаційної безпеки; аудит системи та коригування розроблених регламентів має проводитись щорічно, 1 жовтня, або негайно після впровадження серйозних змін до структури підприємства; права доступу кожного користувача до інформаційних ресурсів повинні оформлятися документально (за потреби доступ запитується у керівника письмовою заявою); забезпечення політики інформаційної безпеки повинні забезпечувати адміністратор із програмного забезпечення та адміністратор з апаратного забезпечення, їх дії координуються начальником групи. Сформулюємо політику щодо паролів: не зберігати їх у незашифрованому вигляді (не записувати їх на папір, у звичайний текстовий файл тощо); змінювати пароль у разі розголошення або підозри на розголошення; довжина має бути не менше 8 символів; у числі символів пароля повинні бути присутніми літери у верхньому і нижньому регістрах, цифри і спеціальні символи, пароль не повинен включати в себе послідовності символів, що легко обчислюються (імена, клички тварин, дати); міняти один раз на 6 місяців (позапланова заміна пароля повинна проводитися негайно після отримання повідомлення про подію, що ініціювала заміну); при зміні пароля не можна вибирати ті, які використовувалися раніше (паролі повинні відрізнятися щонайменше на 6 позицій). Сформулюємо політику щодо антивірусних програм та виявлення вірусів: на кожній робочій станції має бути встановлене ліцензійне антивірусне ПЗ; оновлення антивірусних баз на робочих станціях з виходом в Інтернет – 1 раз на добу, без виходу в Інтернет – не рідше 1 разу на тиждень; встановити автоматичну перевірку робочих станцій на виявлення вірусів (частота перевірок – 1 раз на тиждень: п'ятниця, 12:00); перервати оновлення антивірусних баз або перевірку на віруси може лише адміністратор (слід встановити на вказану дію користувача парольний захист). Сформулюємо політику щодо фізичного захисту: технічне зондування та фізичне обстеження щодо несанкціонованих пристроїв, підключених до кабелів, проводити кожні 1-2 місяці; мережеві кабелі мають бути захищені від несанкціонованого перехоплення даних; записи про всі передбачувані та дійсні збої, що відбулися з обладнанням повинні зберігатися в журналі кожна робоча станція має бути забезпечена джерелом безперебійного живлення. Визначимо політику щодо резервування інформації: для резервних копій слід відвести окреме приміщення, що знаходиться за межами адміністративної будівлі (приміщення має бути обладнане електронним замком та сигналізацією); резервування інформації слід проводити щоп'ятниці о 16:00. Політика щодо прийому/звільнення працівників повинна мати такий вигляд: про будь-які кадрові зміни (прийом, підвищення, звільнення співробітника тощо) має протягом 24 годин повідомлятися адміністратору, який, у свою чергу, у строк, що дорівнює половині робочого дня, повинен внести відповідні зміни до системи розмежування прав доступу до ресурсів підприємства ; новий співробітник повинен проходити інструктаж у адміністратора, що включає ознайомлення з політикою безпеки та всіма необхідними інструкціями; рівень доступу до інформації нового співробітника призначається керівником; при звільненні співробітника системи видаляються його ідентифікатор і пароль, проводиться перевірка робочої станції на наявність вірусів, аналіз цілісності даних, яких співробітника був доступ. Політика щодо роботи з локальною внутрішньою мережею (ЛВС) та базами даних (БД): при роботі на своїй робочій станції та в ЛОМ співробітник повинен виконувати лише завдання, що безпосередньо стосуються його службової діяльності; про повідомлення антивірусних програм про появу вірусів співробітник повинен повідомити адміністратора; нікому, крім адміністраторів, не дозволяється вносити зміни до конструкції або конфігурації робочих станцій та інших вузлів ЛОМ, проводити установку будь-якого програмного забезпечення, залишати без контролю робочу станцію або допускати до неї сторонніх осіб; адміністраторам рекомендується постійно тримати запущеними дві програми: утиліту виявлення атаки ARP-spoofing та сніффер, використання якого дозволить побачити мережу очима потенційного порушника; виявити порушників політики безпеки; слід встановити ПЗ, що перешкоджає запуску інших програм, крім призначених адміністратором, виходячи з принципу: «Будь-якій особі надаються привілеї, необхідні для виконання конкретних завдань». Усі порти комп'ютера, що не використовуються, повинні бути апаратно або програмно дезактивовані; ПЗ слід регулярно оновлювати. Політика щодо роботи з Інтернетом: за адміністраторами закріплюється право обмежувати доступ до ресурсів, зміст яких не має відношення до виконання службових обов'язків, а також до ресурсів, зміст та спрямованість яких заборонені міжнародним та Російським законодавством; співробітнику забороняється завантажувати та відкривати файли без попередньої перевірки на наявність вірусів; вся інформація про ресурси, які відвідують співробітники компанії, повинна зберігатися в журналі і, за необхідності, може бути надана керівникам відділів, а також керівництву конфіденційність та цілісність електронної кореспонденції та офісних документів забезпечується за рахунок використання ЕЦП. Крім цього, сформулюємо основні вимоги щодо складання паролів для співробітників компанії ВАТ «Газпром». Пароль - все одно, що ключі від будинку, тільки є ключем до інформації. Для звичайних ключів вкрай небажано бути втраченими, вкраденими, переданими до рук незнайомої людини. Те саме і з паролем. Звичайно, збереження інформації залежить не тільки від пароля, для її забезпечення потрібно встановити цілу низку спеціальних налаштувань і, можливо, навіть написати програму, що захищає від злому. Але вибір пароля - це саме та дія, де тільки від користувача залежить, наскільки сильною буде ця ланка в ланцюзі заходів, спрямованих на захист інформації. ) пароль має бути довгий (8-12-15 символів); ) не повинен бути словом зі словника (будь-якого, навіть словника спеціальних термінів і сленгу), власним ім'ям або словом кирилицею, набраним в латинській розкладці (латинь - kfnsym); ) його не можна пов'язати із власником; ) він змінюється періодично чи за необхідності; ) не використовується в цій якості на різних ресурсах (тобто для кожного ресурсу - для входу в поштову скриньку, операційну систему або базу даних - повинен використовуватися свій пароль, що відрізняється від інших); ) його можна запам'ятати. Вибирати слова зі словника небажано, оскільки зловмисник, проводячи атаку «за словником», користуватиметься програмами, здатними перебирати до сотень тисяч слів на секунду. Будь-яка інформація, пов'язана з власником (будь то дата народження, прізвисько собаки, дівоче прізвище матері і тому подібні «паролі»), може бути легко впізнана та вгадана. Використання великих та великих літер, а також цифр значно ускладнює завдання зловмисника щодо підбору пароля. Пароль слід зберігати в секреті, а якщо ви запідозрите, що пароль став комусь відомий, змініть його. Також дуже корисно змінювати їх іноді. Висновок Проведене дослідження дозволило зробити такі висновки та сформулювати рекомендації. Встановлено, що основною причиною проблем підприємства у галузі захисту інформації є відсутність політики забезпечення інформаційної безпеки, яка б включала організаційні, технічні, фінансові рішення з подальшим контролем їх реалізації та оцінкою ефективності. Сформульовано визначення політики інформаційної безпеки як сукупності закріплених документально рішень, які мають на меті забезпечення захисту інформації та пов'язаних з нею інформаційних ризиків. Проведений аналіз системи інформаційної безпеки виявив суттєві недоліки, серед яких: зберігання резервних копій у серверній; резервний сервер знаходиться в одному приміщенні з основними серверами; відсутність належних правил щодо парольного захисту (довжина пароля, правила його вибору та зберігання); адмініструванням мережі займається одна людина. Узагальнення міжнародної та російської практики в галузі управління інформаційною безпекою підприємств дозволило зробити висновок, що для її забезпечення необхідні: прогнозування та своєчасне виявлення загроз безпеці, причин та умов, що сприяють завданню фінансових, матеріальних та моральних збитків; створення умов діяльності з найменшим ризиком реалізації загроз безпеці інформаційних ресурсів та заподіяння різних видів збитків; створення механізму та умов для ефективного реагування на загрози інформаційної безпеки на основі правових, організаційних та технічних засобів. У першому розділі роботи розглянуто основні теоретичні аспекти. Дано огляд кількох стандартів у сфері інформаційної безпеки. Зроблено висновки щодо кожного та в цілому, і обрано найбільш підходящий стандарт для формування політики ІБ. У другому розділі розглянуто структуру організації, проаналізовано основні проблеми пов'язані з інформаційною безпекою. Як результат сформовано рекомендації щодо забезпечення належного рівня інформаційної безпеки. Також розглянуто заходи для запобігання подальшим інцидентам, пов'язаним з порушенням інформаційної безпеки. Звичайно, забезпечення інформаційної безпеки організації – це безперервний процес, що потребує постійного контролю. І, природно сформована політика, не є залізним гарантом захисту. Крім впровадження політики потрібен постійний контроль за її якісним виконанням, а також удосконаленням у разі будь-яких змін у компанії чи прецедентів. Для організації рекомендовано було взяти в штат так само співробітника, діяльність якого безпосередньо пов'язана з цими функціями (адміністратор захисту). Список літератури інформаційна безпека фінансова шкода 1. Бєлов Є.Б. Основи інформаційної безпеки. Є.Б. Бєлов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Гаряча лінія – Телеком, 2006. – 544с Галатенко В.О. Стандарти інформаційної безпеки: курс лекцій. Навчальне допомога. - Друге видання. М.: ІНТУІТ.РУ «Інтернет-університет Інформаційних Технологій», 2009. – 264 с. Глатенко В.О. Стандарти інформаційної безпеки / Відкриті системи 2006.- 264с Долженко О.І. Управління інформаційними системами: Навчальний курс. - Ростов-на-Дону: РДЕУ, 2008.-125 з Калашніков А. Формування корпоративної політики внутрішньої інформаційної безпеки # "justify">. Малюк О.О. Інформаційна безпека: концептуальні та методологічні основи захисту інформації / М.2009-280с Мейволд Е., Безпека мереж. Самовчитель // Еком, 2009.-528 з Сьомкін С.М., Беляков Е.В., Гребенєв С.В., Козачок В.І., Основи організаційного забезпечення інформаційної безпеки об'єктів інформатизації // Геліос АРВ, 2008, 192 с
