Axborot xavfsizligi (Axborot tizimlari xavfsizligi) bo'yicha bitiruv ishlari. Axborot xavfsizligi tizimi Axborot xavfsizligi bo'yicha WRC mavzulari ro'yxati
Shunga o'xshash hujjatlar
Axborot xavfsizligi masalalarining dolzarbligi. Mineral MChJ tarmog'i uchun dasturiy ta'minot va texnik vositalar. Korporativ xavfsizlik va ruxsatsiz kirishdan himoya qilish modelini yaratish. Axborot tizimini himoya qilish uchun texnik echimlar.
dissertatsiya, 19/01/2015 qo'shilgan
Axborot tizimining xavfsizligi uning turli ta'sirlarga qarshi turish qobiliyatidir. Kompyuter tahdidlarining turlari, ruxsatsiz kirish tushunchasi. Viruslar va zararli dasturlar. Axborot tizimlarini himoya qilish usullari va vositalari.
referat, 11/14/2010 qo'shilgan
Axborot xavfsizligi tahdidlarining tasnifi. Kompyuter tizimlari, dasturiy ta'minot va apparat vositalarini ishlab chiqishdagi xatolar. Axborotga ruxsatsiz kirishni (UNA) olishning asosiy usullari. NSDdan himoya qilish usullari. Virtual xususiy tarmoqlar.
kurs ishi, 26.11.2013 yil qo'shilgan
Axborot xavfsizligiga tashqi tahdidlar, ularning namoyon bo'lish shakllari. Sanoat josusligidan himoya qilish usullari va vositalari, uning maqsadlari: raqobatchi haqida ma'lumot olish, ma'lumotlarni yo'q qilish. Maxfiy ma'lumotlarga ruxsatsiz kirish usullari.
test, 2016-09-18 qo'shilgan
Axborotga ruxsatsiz kirishning eng keng tarqalgan usullari, uning chiqib ketish kanallari. Axborotni tabiiy (favqulodda) tahdidlardan va tasodifiy tahdidlardan himoya qilish usullari. Kriptografiya axborotni himoya qilish vositasi sifatida. Sanoat josusligi.
referat, 06/04/2013 qo'shilgan
Axborot xavfsizligi tushunchasi, ma'nosi va yo'nalishlari. Axborot xavfsizligini tashkil etishda tizimli yondashuv, axborotni ruxsatsiz kirishdan himoya qilish. Axborot xavfsizligi vositalari. Axborot xavfsizligi usullari va tizimlari.
referat, 11/15/2011 qo'shilgan
Axborot xavfsizligi tushunchasi va tamoyillari. Kompyuter tizimiga xavfli ta'sirlarning asosiy turlarini ko'rib chiqish. Kompyuterlarga ruxsatsiz kirish uchun kanallar tasnifi. Axborot xavfsizligi vositalarining apparat va dasturiy ta’minotining xususiyatlari.
taqdimot, 11/15/2011 qo'shilgan
Axborot xavfsizligi, uning maqsad va vazifalari. Axborot oqish kanallari. Axborotni ruxsatsiz kirishdan himoya qilishning dasturiy va apparat usullari va vositalari. Kompyuter ob'ektida qayta ishlangan ma'lumotlarning xavfsizligiga tahdidlar modeli.
dissertatsiya, 19/02/2017 qo'shilgan
Korxona faoliyati turining axborot xavfsizligini kompleks tizimini tashkil etishga ta'siri. Himoyalangan ma'lumotlarning tarkibi. Tashkilot ma'lumotlariga ruxsatsiz kirish uchun potentsial kanallar. Axborot xavfsizligi tizimining samaradorligi.
amaliyot hisoboti, 31/10/2013 qo'shilgan
Axborot xavfsizligining paydo bo'lishi va rivojlanishining tarixiy jihatlari. Axborot xavfsizligi vositalari va ularning tasnifi. Kompyuter viruslarining turlari va ishlash tamoyillari. Axborotni ruxsatsiz kirishdan himoya qilishning huquqiy asoslari.
fokus (profil) “Axborot tizimlari va texnologiyalari”
ta'lim yo'nalishlari 09.03.02 "Axborot tizimlari va texnologiyalari"
dizayn va texnologik,
xizmat ko'rsatish va operatsion.
1. Korxonaning axborot infratuzilmasini virtuallashtirish (korxona nomi).
2. Linux OT va erkin tarqatiladigan DBMS asosidagi korporativ axborot tizimlarini integratsiyalashuvi.
3. Korxonaning korporativ axborot tizimini modernizatsiya qilish va boshqarish (korxona nomi).
4. Korxonaning (korxona nomi) axborot tarmog'ini modernizatsiya qilish, boshqarish va ta'minlash.
5. Korxona (jarayon)ning axborot va boshqaruv tizimini modernizatsiya qilish (korxona yoki jarayonning nomi) va uni qo'llab-quvvatlash choralarini ishlab chiqish.
6. Korxona (korxona nomi) uchun intranet portalini ishlab chiqish.
7. Korxona axborot tarmog'ini loyihalash (korxona nomi).
8. Korxona (korxona nomi) uchun korporativ axborot tizimini loyihalash.
9. Korxonaning korporativ veb-portalini ishlab chiqish va yuritish (korxona nomi).
10. Korxona (korxona nomi) uchun axborotni qayta ishlashning avtomatlashtirilgan tizimini ishlab chiqish.
11. Jarayonni boshqarish uchun korxona axborot tizimining prototipini ishlab chiqish (jarayon yoki ob'ekt nomi).
12. Korxona (korxona nomi) axborot tizimi uchun veb-xizmatni ishlab chiqish.
13. Korxona (korxona nomi) uchun ma'lumotnoma axborot tizimini ishlab chiqish.
14. Korxona axborotini boshqarish tizimining modeli va loyihasini ishlab chiqish (korxona nomi).
15. Tizimga texnik xizmat ko'rsatish uchun texnologik dasturiy ta'minotni ishlab chiqish (tizim nomi).
16. Mikroprotsessorli qurilma uchun dasturiy ta'minotni ishlab chiqish (qurilma nomi).
17. Korxona (korxona nomi) axborot tizimi uchun mobil mijoz ilovasini ishlab chiqish.
18. Ishlab chiqarish jarayoni parametrlarini optimallashtirish uchun simulyatsiya modelini ishlab chiqish.
19. Korxona (korxona nomi) uchun vositalar (virtualizatsiya vositalari nomi) va ma’lumotlarni uzatish kanallari asosida virtual serverlarni loyihalash.
20. Korxonaning (korxona nomi) axborot (korporativ axborot) tizimining modulini (quyi tizimni) (amalga oshirilayotgan funksiya nomini) ishlab chiqish.
amaliy bakalavriat ta'lim dasturida
ta'lim yo'nalishlari 09.03.04 "Dasturiy ta'minot muhandisligi"
ishlab chiqarish va texnologik,
tashkiliy va boshqaruv,
xizmat ko'rsatish va operatsion.
1. Veb-sayt, ijtimoiy tarmoq, portalni tahlil qilish uchun dastur ishlab chiqish.
2. Axborot (axborot va ma'lumotnoma) tizimini loyihalash va dasturiy ta'minotni amalga oshirish (tizimning maqsadi yoki funktsiyasi).
3. Qurilma uchun proshivka ishlab chiqish (qurilma nomi).
4. Tizim uchun amaliy dasturlarni ishlab chiqish (tizim nomi).
5. Dasturiy ta'minotning axborot tizimini ishlab chiqish (foydalanish sohasi yoki amalga oshirilayotgan jarayonning nomi).
6. Dasturiy ta'minotni sinovdan o'tkazish va disk raskadrovka qilish usullarini ishlab chiqish (dasturiy ta'minotning nomi).
7. 1C: Enterprise tizimi uchun dasturiy modulni (modul nomi) ishlab chiqish (korxona nomi).
8. Korxona axborotini boshqarish tizimi uchun veb-xizmatni ishlab chiqish (korxona nomi).
9. Axborot-o'lchov tizimini qo'llab-quvvatlash uchun dasturni ishlab chiqish (tizimning maqsadi).
10. 1C: Enterprise tizimining veb-xizmatlarining axborot xavfsizligini o'rganish.
11. Korxonaning (korxona nomi) axborot (korporativ axborot) tizimining modulini (quyi tizimni) (amalga oshirilayotgan funksiya nomini) ishlab chiqish.
12. Tizim uchun server (mijoz) dasturiy ta'minotini ishlab chiqish (tizim nomi).
Yakuniy malakaviy ishlarning mavzulari
amaliy bakalavriat ta'lim dasturida
fokus (profil) “Axborot xizmati”
:xizmat,
1. Korxonaning mahalliy tarmog'ini modernizatsiya qilish, boshqarish va texnik xizmat ko'rsatish (korxona nomi).
2. Korxona axborot tizimini modernizatsiya qilish va boshqarish (korxona nomi).
3. Korxona axborot tizimini loyihalash (korxona nomi).
4. Korxonaning (korxona nomi) mahalliy tarmog'ini ishlatish texnologiyasini loyihalash va ishlab chiqish.
5. Korxona (korxona nomi) axborot tizimining apparat-dasturiy himoyasini loyihalash.
6. Qurilmani diagnostika qilish, ta'mirlash va texnik xizmat ko'rsatish texnologiyasini ishlab chiqish (qurilmaning nomi, qurilmalar guruhi, o'lchash uskunalari, kompyuter bloki, kompyuter yoki mikroprotsessor tizimi, mahalliy tarmoq).
7. Kompaniyaning veb-saytini ishlab chiqish va boshqarish (kompaniya nomi).
8. Korxonaning ma'lumotlarni uzatish tarmog'i uchun server konfiguratsiyasini ishlab chiqish (korxona nomi).
9. Korxona axborot tizimining ma'lumotlar bazasini ishlab chiqish va boshqarish (korxona nomi).
10. Korxona (korxona nomi) uchun intranet portalini ishlab chiqish.
11. 1C: Enterprise platformasida ishlab chiqarish jarayonlarini monitoring qilish uchun quyi tizimni ishlab chiqish.
12. Korxonaning (korxona nomi) taqsimlangan axborot tizimi (tizim nomi) loyihasini ishlab chiqish.
13. Axborot-ma'lumotnoma hisob tizimini ishlab chiqish (buxgalteriya hisobi ob'ektining nomi).
14. Korxona axborot tizimi uchun WCF xizmatini ishlab chiqish.
15. Korxona axborot tizimining modelini ishlab chiqish (korxona nomi yoki faoliyat sohasi).
16. Dasturiy ta'minotni sinovdan o'tkazish va disk raskadrovka qilish usullarini ishlab chiqish (dasturiy ta'minotning nomi).
17. Dasturiy ta'minotning axborot tizimini boshqarish va unga xizmat ko'rsatish bo'yicha chora-tadbirlar majmuasini ishlab chiqish (foydalanish sohasi yoki amalga oshirilayotgan jarayonning nomi).
18. Ma'lumotlarni uzatish tizimini modellashtirish va tadqiq qilish (tizimning nomi).
19. 1C: Enterprise platformasida taqsimlangan axborot tizimining parametrlarini tadqiq qilish va optimallashtirish.
20. Elektron (kompyuter) uskunalarni ta'mirlash va texnik xizmat ko'rsatish va texnik jihozlardan foydalanishni tashkil etish bo'yicha korxona (korxona nomi) bo'linmasini loyihalash.
21. Korxona (korxona nomi) uchun vositalar (virtualizatsiya vositalari nomi) va ma’lumotlarni uzatish kanallari asosida virtual serverlarni loyihalash.
22. Tizim uchun server (mijoz) dasturiy ta'minotini ishlab chiqish (tizim nomi).
Yakuniy malakaviy ishlarning mavzulari
amaliy bakalavriat ta'lim dasturida
yo'naltirish (profil) "Elektron uskunalarga xizmat ko'rsatish"
ta'lim yo'nalishlari 03.43.01 "Xizmat"
Kasbiy faoliyat turlari:xizmat,
ishlab chiqarish va texnologik.
1. Qurilmani diagnostika qilish, ta'mirlash va texnik xizmat ko'rsatish texnologiyasini ishlab chiqish (elektron qurilmaning nomi, mikroprotsessor yoki telekommunikatsiya tizimi, o'lchash uskunalari, ma'lumotlarni uzatish tarmog'i).
2. Korxonaning elektron tizimini (tizim nomi) ishlab chiqish (korxona nomi, savdo va ofis markazi, ko'ngilochar majmua).
3. Axborotni kiritish/chiqarish qurilmasini ishlab chiqish (qurilma nomi).
4. Mikroprotsessorli qurilma uchun dasturiy ta'minotni ishlab chiqish (qurilma nomi).
5. Korxona (korxona nomi) uchun korporativ telekommunikatsiya tarmog'ini rivojlantirish.
6. Raqamli qurilma (modul) ishlab chiqish (qurilma, modul nomi; amalga oshirilayotgan funksiya nomi).
7. Elektron uskunalar uchun elektr ta'minoti qurilmasini ishlab chiqish (uskunalar nomi).
8. Ob'ektlarning monitoringi (nazorat qiluvchi parametrlar) texnologiyasini ishlab chiqish (ob'ektlar nomi).
9. Simsiz sensorni ishlab chiqish va tadqiq qilish (o'lchangan parametrning nomi).
10. Elektron (kompyuter) uskunalarni ta'mirlash va texnik xizmat ko'rsatish va texnik jihozlardan foydalanishni tashkil etish bo'yicha korxona (korxona nomi) bo'linmasini loyihalash.
11. Korxona (korxona nomi) uchun integratsiyalashgan xavfsizlik tizimining quyi tizimini (quyi tizim nomi) ishlab chiqish.
Yakuniy malakaviy ishlarning mavzulari
amaliy bakalavriat ta'lim dasturida
yo'naltirish (profil) "Radiotexnika signallarini uzatish, qabul qilish va qayta ishlash vositalari"
ta'lim yo'nalishlari 03/11/01 "Radiotexnika"
dizayn va muhandislik,
xizmat ko'rsatish va operatsion.
1. Qurilma (blok, modul; qabul qiluvchi, uzatuvchi, qabul qiluvchi) tizimini ishlab chiqish (tizim nomi).
2. Elektron uskunalar uchun simsiz interfeysni ishlab chiqish (uskunalar nomi).
3. Qurilmaning virtual modelini (qurilma turini ko'rsating) muhitda o'rganish (dasturiy ta'minot muhitining nomi).
4. Korxonaning integratsiyalashgan xavfsizlik tizimining quyi tizimini (quyi tizim nomi) ishlab chiqish (korxona nomi.
Yakuniy malakaviy ishlarning mavzulari
amaliy bakalavriat ta'lim dasturida
yo'naltirish (profil) "Mobil aloqa tizimlari"
ta'lim yo'nalishlari 11.03.02 "Infokommunikatsiya texnologiyalari va aloqa tizimlari"
Kasbiy faoliyat turlari:dizayn
1. Korxona uchun telekommunikatsiya tarmog'ini loyihalash (korxona nomi).
2. Korxonaning (korxona nomi) telekommunikatsiya tarmog'ini boshqarish va xizmat ko'rsatish.
3. Raqamli telekommunikatsiya tizimining blokini (kodek, vokoder, sinxronlash moslamasi, mos keladigan qurilma) ishlab chiqish.
4. Simsiz interfeys adapterini ishlab chiqish (interfeyslar nomi).
5. Axborotni qayta ishlash qurilmasi (qurilma turi) tizimini ishlab chiqish (tizim nomi).
6. Interfeys tizimlari uchun qurilmani ishlab chiqish (tizimlar nomi).
7. Tizim boshqaruvchisini ishlab chiqish (tizim nomi).
8. Telekommunikatsiya tizimi uchun sinxronlash qurilmasini ishlab chiqish (tizim nomi).
9. Telekommunikatsiya uskunalarini sinovdan o'tkazish uchun texnologik qurilmani ishlab chiqish (uskunalar nomi).
10. Texnologiya (texnologiya nomi) asosida simsiz aloqa tarmog'ini (tarmoq segmentini) ishlab chiqish.
11. Ob'ekt parametrlarini masofadan kuzatish texnologiyasini ishlab chiqish (parametrlar nomi).
12. Ob'ektning holatini kuzatish uchun sensor tarmog'ini ishlab chiqish (ob'ekt nomi).
13. Telekommunikatsiya qurilmasining parametrlarini diagnostika qilish va o'lchash texnologiyasini ishlab chiqish (qurilma nomi, tizim, tarmoq, muhit).
14. Tizim uchun qabul qiluvchi qurilmani ishlab chiqish (tizim nomi).
15. Ob'ektni masofadan boshqarish uchun telekommunikatsiya qurilmalarini ishlab chiqish (ob'ekt nomi).
16. Telekommunikatsiya uskunalari komponentlari uchun parametr o'lchagichni ishlab chiqish (komponentlar nomi).
17. Simsiz axborot kiritish/chiqarish qurilmasini ishlab chiqish (qurilma nomi).
18. Infokommunikatsiya texnologiyalari uchun apparat va dasturiy ta’minotni ishlab chiqish (texnologiya nomi).
19. Tizimda axborot uzatish protokollarini o'rganish (tizim nomi).
20. Tizim uchun raqamli signallarni qayta ishlash usullarini tadqiq qilish (tizim nomi).
21. Infokommunikatsiya texnologiyalari va ob'ektni boshqarish tizimini ishlab chiqish (ob'ekt nomi).
22. Parametrni o'lchash uchun simsiz tizimni ishlab chiqish (parametr nomi).
23. Korxona (korxona nomi) uchun vositalar (virtualizatsiya vositalari nomi) va ma’lumotlarni uzatish kanallari asosida virtual serverlarni loyihalash.
Yakuniy malakaviy ishlarning mavzulari
o'rta kasb-hunar ta'limining o'quv dasturiga muvofiq
Mutaxassisligi 09.02.01 “Kompyuter tizimlari va komplekslari”
Professional modullar:PM.01 Raqamli qurilmalarni loyihalash,
PM.02 Mikroprotsessor tizimlarini qo'llash, periferik o'qitishni o'rnatish va sozlash,
PM.03 Kompyuter tizimlari va komplekslariga texnik xizmat ko'rsatish va ta'mirlash.
1. Nosozliklar diagnostikasi va uskunaning texnik holatini monitoring qilish (kompyuter texnikasi yoki kompyuter tarmog'ining apparat va dasturiy ta'minotining nomi).
2. Asboblarni yig'ish, sozlash va sozlash (kompyuter apparati va dasturiy ta'minoti yoki kompyuter tarmog'ining nomi).
3. Korxona (korxona nomi) kompyuter tarmog'ining axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar kompleksini ishlab chiqish.
4. Korxona (korxona nomi) uchun kontaktsiz identifikatsiya tizimini ishlab chiqish.
5. Korxonaning axborot tizimiga texnik xizmat ko'rsatish va boshqarish (korxona nomi).
6. Korxonaning kompyuter tarmog'iga texnik xizmat ko'rsatish va boshqaruvi (korxona nomi).
7. Uskuna va dasturiy ta'minotga texnik xizmat ko'rsatish va qo'llab-quvvatlash (kompyuter texnikasi yoki kompyuter tarmog'ining nomi).
8. Dasturiy ta'minotni o'rnatish, moslashtirish va texnik xizmat ko'rsatish (dasturiy ta'minotning nomi).
9. Raqamli (mikroprotsessorli) qurilma (modul)ni ishlab chiqish va tadqiq qilish (qurilma, modul nomi).
10. Sinov texnologiyasini ishlab chiqish va dasturiy ta'minotni kompleks tuzatish (dasturiy ta'minot nomi).
Bitiruvchilar uchun bitiruv malakaviy ishlarning mavzulari
fokus (profil) "Kompyuter texnologiyalari va axborot tizimlarining elementlari va qurilmalari"
ta'lim yo'nalishlari 09.04.01 "Informatika va informatika"
Kasbiy faoliyat turlari:dizayn,
ilmiy tadqiqot.
1. Axborot uzatish uchun tarmoq protokollarini modellashtirish va tadqiq qilish (axborot turi ko'rsatilgan).
2. Tizim parametrlarini yaxshilash uchun kompyuter usullarini tadqiq qilish va ishlab chiqish (tizimning parametrlari yoki parametrlari va turi ko'rsatilgan).
3. Axborot yoki telekommunikatsiya tizimlarini kompyuter modellashtirish, tadqiq qilish va optimallashtirish (tizimlar sinfi ko'rsatilgan).
4. Simsiz sensorli tarmoqlarni qurishni tadqiq qilish va optimallashtirish.
5. Simsiz Internet tarmoqlari qurilishini tadqiq qilish va tahlil qilish.
6. Samaradorlik mezonlarini ishlab chiqish va bulutli infratuzilma doirasida virtual mashinalarni taqsimlashni o'rganish.
7. Tarqalgan axborot (yoki axborot-o‘lchov) tizimlarini ishlab chiqish, tadqiq qilish va samaradorligini baholash (qo‘llash sohasi yoki tizimlar turi ko‘rsatilgan).
8. Uskunalar uchun simsiz interfeysni ishlab chiqish va tadqiq qilish (uskunalar nomi).
9. Ob'ektni kuzatish qurilmasini ishlab chiqish va tadqiq qilish (ob'ektlar nomi).
10. Ob'ekt (ob'ekt nomi) holatini kuzatish uchun asboblarni ishlab chiqish va tadqiq qilish.
11. Qurilmalar uchun apparat va dasturiy diagnostika vositalarini ishlab chiqish (qurilmalarning nomi).
12. Simsiz sensorni ishlab chiqish va tadqiq qilish (o'lchangan parametrning nomi).
13. Parametrni (parametr nomini) kodga o'zgartiruvchilar uchun tuzatish algoritmlarini o'rganish.
14. Ob'ektni boshqarish tizimining parametrlarini monitoring qilish algoritmlari va dasturiy ta'minotini ishlab chiqish (ob'ekt nomi).
15. Ob'ektni simsiz boshqarish qurilmalarini ishlab chiqish va tadqiq qilish (ob'ekt nomi).
16. Parametr konvertorlarini modellashtirish va tadqiq qilish (parametrlar nomi).
17. Dasturiy ta'minot sifatini baholash usullari (dasturiy ta'minotning maqsadi ko'rsatilgan).
18. Xususiyatlarini yaxshilash maqsadida qurilmalarning ishlashini (qurilmalarning nomi) sharoitlarda (shartlar ko'rsatilgan) o'rganish (belgilari ko'rsatilgan).
19. Xarakteristikalarni yaxshilash maqsadida qurilmalarni tahlil qilish va sintez qilish usullarini ishlab chiqish (qurilmalar nomi).
Yakuniy malakaviy ishlarning mavzulari
akademik magistratura dasturida
fokus (profil) "Dasturiy ta'minot va axborot tizimlarini ishlab chiqish"
ta'lim yo'nalishlari 09.04.04 "Dasturiy ta'minot muhandisligi"
tadqiqot,
dizayn
1. Oliy ta’lim muassasalarida jadvallarni aks ettirish uchun REST xizmatini ishlab chiqish va tadqiq qilish.
2. Uyali aloqa operatorlari uchun dasturiy ta'minotni sinovdan o'tkazish vositalarini tadqiq qilish va ishlab chiqish.
3. Tasodifiy tuzilishga ega tizimlar nazariyasi asosida insonning fiziologik holatini tan olish.
4. MDA yondashuvi asosida savdoni avtomatlashtirish axborot tizimini (korxona nomi) loyihalash.
5. Dasturiy ta'minot sifatini baholash uchun dasturiy ta'minot axborot tizimini ishlab chiqish va tadqiq qilish (dasturiy ta'minotning nomi ko'rsatilgan).
6. Tarqalgan dasturiy ta'minot va axborot tizimlarini ishlab chiqish (tizimni qo'llash sohasi ko'rsatilgan) va samaradorlik mezonlari asosida ularni optimallashtirish imkoniyatlarini o'rganish (mezonlar ko'rsatilgan).
7. Tizim uchun kiritish/chiqarish qurilmalarini qo'llab-quvvatlash uchun dasturiy ta'minotni ishlab chiqish (tizim nomi).
8. Dasturiy ta'minot axborot tizimining komponentlari xavfsizligini o'rganish (tizim nomi).
Kirish
1-bob. Asrab olishning nazariy jihatlari va axborot xavfsizligi
1.1Axborot xavfsizligi tushunchasi 3 Axborot xavfsizligi usullari 2-bob. Axborot xavfsizligi tizimini tahlil qilish 1 Kompaniyaning faoliyat doirasi va moliyaviy ko'rsatkichlar tahlili 2 Kompaniyaning axborot xavfsizligi tizimining tavsifi 3 Mavjud axborot xavfsizligi tizimini modernizatsiya qilish bo'yicha kompleks chora-tadbirlarni ishlab chiqish Xulosa Adabiyotlar ro'yxati Ilova Ilova 1. 2010 yil uchun buxgalteriya balansi Ilova 1. 2010 yil uchun buxgalteriya balansi Kirish Dissertatsiya mavzusining dolzarbligi ma'lumotlarni himoya qilish texnologiyalari va vositalarining jadal o'sishi sharoitida ham axborot xavfsizligi muammolari darajasining oshishi bilan belgilanadi. Axborot texnologiyalariga ajratilgan byudjetning cheklangan ulushini hisobga olgan holda, ma'lumotlarni himoya qilish vazifalarini to'g'ri belgilashda korporativ axborot tizimlarining 100% himoya darajasini ta'minlash mumkin emas. Hisoblash va tarmoq korporativ infratuzilmasini ishonchli himoya qilish har qanday kompaniya uchun axborot xavfsizligining asosiy vazifasi hisoblanadi. Korxona biznesining o'sishi va geografik jihatdan taqsimlangan tashkilotga o'tishi bilan u bitta bino doirasidan tashqariga chiqa boshlaydi. Bugungi kunda tarmoqqa kirishni boshqarishning zamonaviy texnologiyalarini joriy qilmasdan turib, AT infratuzilmasi va korporativ amaliy tizimlarni samarali himoya qilish mumkin emas. Qimmatli biznes ma'lumotlarini o'z ichiga olgan ommaviy axborot vositalarini o'g'irlash holatlarining ko'payishi tashkiliy choralarni ko'rishni talab qilmoqda. Ushbu ishning maqsadi tashkilotdagi mavjud axborot xavfsizligi tizimini baholash va uni takomillashtirish chora-tadbirlarini ishlab chiqishdan iborat bo'ladi. Ushbu maqsad dissertatsiyaning quyidagi vazifalarini belgilaydi: ) axborot xavfsizligi tushunchasini ko'rib chiqing; ) axborot tizimlariga mumkin bo'lgan tahdidlarning turlarini va tashkilotda ma'lumotlarning chiqib ketishining mumkin bo'lgan tahdidlaridan himoya qilish variantlarini ko'rib chiqing. ) yaxlitligi yoki maxfiyligi buzilishi korxonaga eng katta zarar yetkazilishiga olib keladigan axborot resurslari ro‘yxatini aniqlash; ) ular asosida mavjud axborot xavfsizligi tizimini takomillashtirish bo‘yicha chora-tadbirlar kompleksini ishlab chiqish. Ish kirish, ikki bob, xulosa, foydalanilgan manbalar ro'yxati va ilovalardan iborat. Kirish tadqiqot mavzusining dolzarbligini asoslaydi va ishning maqsadi va vazifalarini shakllantiradi. Birinchi bobda tashkilotda axborot xavfsizligi tushunchalarining nazariy jihatlari muhokama qilinadi. Ikkinchi bobda kompaniya faoliyatining qisqacha tavsifi, asosiy faoliyat ko‘rsatkichlari keltirilgan, axborot xavfsizligi tizimining joriy holati tavsiflanadi va uni takomillashtirish bo‘yicha chora-tadbirlar taklif etiladi. Xulosa qilib, ishning asosiy natijalari va xulosalari shakllantiriladi. Bitiruv malakaviy ishining uslubiy-nazariy asosini axborot xavfsizligi sohasidagi mahalliy va xorijiy mutaxassislarning ishlari tashkil etdi.Diplom ishi ustida ishlash davomida qonunlar, qonunchilik va me’yoriy hujjatlar, O‘zbekiston Respublikasi Hukumati qarorlari mazmunini aks ettiruvchi ma’lumotlardan foydalanildi. axborot xavfsizligini tartibga soluvchi Rossiya Federatsiyasi, axborot xavfsizligining xalqaro standartlari . Dissertatsiya tadqiqotining nazariy ahamiyati axborot xavfsizligi siyosatini ishlab chiqishda kompleks yondashuvni amalga oshirishdan iborat. Ishning amaliy ahamiyati shundan iboratki, uning natijalari axborot xavfsizligi siyosatini malakali ishlab chiqish orqali korxonada axborotni himoya qilish darajasini oshirishga imkon beradi. 1-bob. Asrab olishning nazariy jihatlari va axborot xavfsizligi 1.1 Axborot xavfsizligi tushunchasi Axborot xavfsizligi deganda axborot va uni qoʻllab-quvvatlovchi infratuzilmani axborotning oʻziga, uning egalariga yoki yordamchi infratuzilmaga zarar yetkazishi mumkin boʻlgan har qanday tasodifiy yoki zararli taʼsirlardan himoya qilish tushuniladi. Axborot xavfsizligining maqsadlari zararni minimallashtirish, shuningdek, bunday ta'sirlarni bashorat qilish va oldini olishdan iborat. Himoyaga muhtoj bo'lgan axborot tizimlarining parametrlarini quyidagi toifalarga bo'lish mumkin: axborot resurslarining yaxlitligini, mavjudligini va maxfiyligini ta'minlash. foydalanish imkoniyati - qisqa vaqt ichida kerakli axborot xizmatini olish imkoniyati; yaxlitlik - axborotning dolzarbligi va izchilligi, uni yo'q qilish va ruxsat etilmagan o'zgarishlardan himoya qilish; konfidensiallik - axborotga ruxsatsiz kirishdan himoya qilish. Axborot tizimlari birinchi navbatda ma'lum axborot xizmatlarini olish uchun yaratilgan. Agar biron-bir sababga ko'ra ma'lumot olish imkonsiz bo'lsa, bu axborot munosabatlarining barcha sub'ektlariga zarar etkazadi. Bundan biz ma'lumotlarning mavjudligi birinchi o'rinda ekanligini aniqlashimiz mumkin. Yaxlitlik axborot xavfsizligining asosiy jihati hisoblanadi, bunda aniqlik va haqqoniylik axborotning asosiy parametrlari hisoblanadi. Masalan, tibbiy preparatlar uchun retseptlar yoki komponentlar to'plami va xususiyatlari. Mamlakatimizda axborot xavfsizligining eng rivojlangan tarkibiy qismi bu maxfiylikdir. Ammo zamonaviy axborot tizimlarining maxfiyligini ta'minlash bo'yicha chora-tadbirlarni amaliy amalga oshirish Rossiyada katta qiyinchiliklarga duch kelmoqda. Birinchidan, axborot tarqalishining texnik kanallari haqidagi ma'lumotlar yopiq, shuning uchun ko'pchilik foydalanuvchilar potentsial xavflar haqida tasavvurga ega bo'lolmaydilar. Ikkinchidan, maxfiylikni ta'minlashning asosiy vositasi sifatida xususiy kriptografiya yo'lida ko'plab qonunchilik to'siqlari va texnik muammolar mavjud. Axborot tizimiga zarar etkazishi mumkin bo'lgan harakatlarni bir necha toifalarga bo'lish mumkin. ish stantsiyasi yoki serverdagi ma'lumotlarni maqsadli o'g'irlash yoki yo'q qilish; Ehtiyotsiz harakatlar natijasida foydalanuvchi tomonidan ma'lumotlarga zarar yetkazilishi. . Hackerlar tomonidan amalga oshiriladigan "elektron" ta'sir usullari. Xakerlar deganda ham professional (jumladan, raqobat doirasida) va shunchaki qiziquvchanlik tufayli kompyuter jinoyatlari bilan shug'ullanadigan odamlar tushuniladi. Bu usullarga quyidagilar kiradi: kompyuter tarmoqlariga ruxsatsiz kirish; Korxona tarmog'iga tashqaridan ruxsatsiz kirishning maqsadi zarar etkazish (ma'lumotlarni yo'q qilish), maxfiy ma'lumotlarni o'g'irlash va undan noqonuniy maqsadlarda foydalanish, uchinchi tomon tugunlariga hujumlarni tashkil qilish uchun tarmoq infratuzilmasidan foydalanish, hisoblardan mablag'larni o'g'irlash bo'lishi mumkin. , va boshqalar. DOS hujumi (qisqartirilgan "Xizmat ko'rsatishni rad etish") - bu uning xavfsiz va samarali ishlashi uchun mas'ul bo'lgan korporativ tarmoq tugunlariga tashqi hujum (fayl, pochta serverlari). Hujumchilar ushbu tugunlarga ma'lumotlar paketlarini haddan tashqari yuklash va natijada ularni bir muncha vaqt ishlamay qoldirish uchun ommaviy yuborishni tashkil qiladi. Bu, qoida tariqasida, jabrlanuvchi kompaniyaning biznes-jarayonlarida uzilishlar, mijozlarni yo'qotish, obro'siga putur etkazish va hk. Kompyuter viruslari. Elektron ta'sir qilish usullarining alohida toifasi kompyuter viruslari va boshqa zararli dasturlardir. Ular kompyuter tarmoqlari, Internet va elektron pochtadan keng foydalanadigan zamonaviy korxonalar uchun haqiqiy xavf tug'diradi. Virusning korporativ tarmoq tugunlariga kirib borishi ularning faoliyatining buzilishiga, ish vaqtining yo'qolishiga, ma'lumotlarning yo'qolishiga, maxfiy ma'lumotlarning o'g'irlanishiga va hatto moliyaviy resurslarning bevosita o'g'irlanishiga olib kelishi mumkin. Korporativ tarmoqqa kirgan virusli dastur tajovuzkorlarga kompaniya faoliyatini qisman yoki to‘liq nazorat qilish imkonini beradi. Spam. Bir necha yil ichida spam kichik tirnash xususiyatidan xavfsizlikning eng jiddiy tahdidlaridan biriga aylandi: elektron pochta yaqinda zararli dasturlarning tarqalishining asosiy kanaliga aylandi; spam xabarlarni ko'rish va keyinchalik o'chirish uchun ko'p vaqt talab etadi, bu esa xodimlarga psixologik noqulaylik hissi tug'diradi; shaxslar ham, tashkilotlar ham spamerlar tomonidan amalga oshirilgan firibgarlik sxemalari qurboniga aylanishadi (qurbonlar ko'pincha bunday hodisalarni oshkor qilmaslikka harakat qilishadi); muhim yozishmalar ko'pincha spam bilan birga o'chiriladi, bu esa mijozlarning yo'qolishiga, buzilgan shartnomalarga va boshqa noxush oqibatlarga olib kelishi mumkin; yozishmalarni yo'qotish xavfi, ayniqsa RBL qora ro'yxatlari va boshqa "xom" spam filtrlash usullaridan foydalanganda ortadi. "Tabiiy" tahdidlar. Kompaniyaning axborot xavfsizligiga turli xil tashqi omillar ta'sir ko'rsatishi mumkin: ma'lumotlarning yo'qolishi noto'g'ri saqlash, kompyuterlar va ommaviy axborot vositalarini o'g'irlash, fors-major holatlari va h.k. Axborot xavfsizligini boshqarish tizimi (AXBT yoki Axborot xavfsizligini boshqarish tizimi) ma'lum bir maqsadli strategiyani amalga oshiradigan chora-tadbirlar majmuini, bu holda axborot xavfsizligi bilan bog'liq holda boshqarish imkonini beradi. E'tibor bering, biz nafaqat mavjud tizimni boshqarish, balki yangisini qurish / eskisini qayta loyihalash haqida ham gapiramiz. Tadbirlar majmuasiga tashkiliy, texnik, jismoniy va boshqalar kiradi. Axborot xavfsizligini boshqarish murakkab jarayon bo'lib, kompaniyada axborot xavfsizligini eng samarali va keng qamrovli boshqarishni amalga oshirish imkonini beradi. Axborot xavfsizligini boshqarishning maqsadi ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlashdir. Bitta savol - qanday ma'lumotlarni himoya qilish kerak va uning xavfsizligini ta'minlash uchun qanday harakatlar qilish kerak. Har qanday boshqaruv u yuzaga kelgan vaziyatdan xabardorlikka asoslanadi. Xatarlarni tahlil qilish nuqtai nazaridan vaziyatdan xabardorlik tashkilotning aktivlari va ularning atrof-muhitini, ya'ni tadbirkorlik faoliyatini amalga oshirishni ta'minlaydigan barcha narsalarni inventarizatsiya qilish va baholashda ifodalanadi. Axborot xavfsizligi xavfini tahlil qilish nuqtai nazaridan, asosiy aktivlar ma'lumotlar, infratuzilma, xodimlar, kompaniyaning imiji va obro'sini o'z ichiga oladi. Tadbirkorlik faoliyati darajasida aktivlarni inventarizatsiya qilmasdan, aniq nimani himoya qilish kerakligi haqidagi savolga javob berish mumkin emas. Tashkilot ichida qanday ma'lumotlar qayta ishlanishi va qayerda qayta ishlanishini tushunish muhimdir. Katta zamonaviy tashkilotda axborot aktivlari soni juda ko'p bo'lishi mumkin. Agar tashkilot faoliyati ERP tizimidan foydalangan holda avtomatlashtirilgan bo'lsa, unda shuni aytishimiz mumkinki, ushbu faoliyatda ishlatiladigan deyarli har qanday moddiy ob'ekt ma'lum bir turdagi axborot ob'ektiga mos keladi. Shuning uchun risklarni boshqarishning asosiy vazifasi eng muhim aktivlarni aniqlashdir. Tashkilotning asosiy faoliyatining o'rta va yuqori darajadagi rahbarlarini jalb qilmasdan bu muammoni hal qilish mumkin emas. Tashkilotning yuqori rahbariyati shaxsan axborot xavfsizligini ta'minlash juda muhim bo'lgan faoliyatning eng muhim yo'nalishlarini belgilab qo'yganida optimal holat. Yuqori rahbariyatning axborot xavfsizligini ta'minlashning ustuvor yo'nalishlari to'g'risidagi fikri xavflarni tahlil qilish jarayonida juda muhim va qimmatlidir, ammo har qanday holatda ham kompaniya boshqaruvining o'rtacha darajasida aktivlarning tanqidiyligi to'g'risida ma'lumot to'plash orqali aniqlanishi kerak. Shu bilan birga, yuqori boshqaruv tomonidan belgilab qo'yilgan tadbirkorlik faoliyati sohalarida qo'shimcha tahlillarni o'tkazish tavsiya etiladi. Qabul qilingan ma'lumotlar qayta ishlanadi, umumlashtiriladi va vaziyatni har tomonlama baholash uchun yuqori rahbariyatga uzatiladi. Axborot resurslar turlaridan biri sifatida qaraladigan biznes-jarayonlarning tavsifi asosida ma'lumotni aniqlash va mahalliylashtirish mumkin. Agar tashkilot tadbirkorlik faoliyatini tartibga solishga yondashuvni qo'llagan bo'lsa (masalan, sifatni boshqarish va biznes jarayonlarini optimallashtirish maqsadlarida) vazifa biroz soddalashtirilgan. Biznes jarayonlarining rasmiylashtirilgan tavsiflari aktivlarni inventarizatsiya qilish uchun yaxshi boshlanish nuqtasidir. Agar tavsiflar bo'lmasa, siz tashkilot xodimlaridan olingan ma'lumotlarga asoslanib aktivlarni aniqlashingiz mumkin. Aktivlar aniqlangandan so'ng, ularning qiymatini aniqlash kerak. Butun tashkilot bo'ylab axborot aktivlarining qiymatini aniqlash bo'yicha ish eng muhim va murakkab hisoblanadi. Aynan axborot aktivlarini baholash axborot xavfsizligi boshqarmasi boshlig‘iga axborot xavfsizligini ta’minlash bo‘yicha faoliyatning asosiy yo‘nalishlarini tanlash imkonini beradi. Ammo axborot xavfsizligini boshqarish jarayonining iqtisodiy samaradorligi ko'p jihatdan nimani himoya qilish kerakligini va bu qanday harakatlarni talab qilishini bilishga bog'liq, chunki ko'p hollarda qo'llaniladigan harakatlar miqdori sarflangan pul va operatsion xarajatlarga to'g'ridan-to'g'ri proportsionaldir. Xatarlarni boshqarish sizga qayerda tavakkal qila olasiz va qayerda qila olmaysiz degan savolga javob berishga imkon beradi. Axborot xavfsizligi holatida "xavf" atamasi ma'lum bir sohada axborot aktivlarini himoya qilish uchun jiddiy harakatlar qilmaslik mumkinligini anglatadi va shu bilan birga, xavfsizlik buzilgan taqdirda tashkilot zarar ko'rmaydi. sezilarli yo'qotishlar. Bu erda biz avtomatlashtirilgan tizimlarning himoya sinflari bilan taqqoslashimiz mumkin: xavf qanchalik muhim bo'lsa, himoya talablari shunchalik qattiq bo'lishi kerak. Xavfsizlik buzilishi oqibatlarini aniqlash uchun siz shunga o'xshash xarakterdagi qayd etilgan hodisalar haqida ma'lumotga ega bo'lishingiz yoki stsenariy tahlilini o'tkazishingiz kerak. Stsenariy tahlili aktivlar xavfsizligi hodisalari va ushbu hodisalarning tashkilotning biznes faoliyatidagi oqibatlari o'rtasidagi sabab-ta'sir munosabatlarini o'rganadi. Stsenariylarning oqibatlari bir necha kishi tomonidan takroriy yoki qasddan baholanishi kerak. Shuni ta'kidlash kerakki, bunday stsenariylarni ishlab chiqish va baholashni haqiqatdan butunlay ajratib bo'lmaydi. Siz doimo esda tutishingiz kerakki, stsenariy ehtimoliy bo'lishi kerak. Qiymatni aniqlash mezonlari va shkalalari har bir tashkilot uchun individualdir. Stsenariy tahlili natijalariga ko'ra, aktivlarning qiymati haqida ma'lumot olish mumkin. Agar aktivlar aniqlansa va ularning qiymati aniqlansa, biz axborot xavfsizligini ta'minlash maqsadlari qisman belgilanadi, deyishimiz mumkin: himoya qilish ob'ektlari va ularni tashkilot uchun axborot xavfsizligi holatida saqlashning ahamiyati aniqlanadi. Ehtimol, faqat kimdan himoyalanish kerakligini aniqlash qoladi. Axborot xavfsizligini boshqarish maqsadlarini aniqlagandan so'ng, maqsadli holatga yaqinlashishingizga to'sqinlik qiladigan muammolarni tahlil qilishingiz kerak. Bu darajada risklarni tahlil qilish jarayoni axborot infratuzilmasi va an'anaviy axborot xavfsizligi tushunchalari - buzg'unchilar, tahdidlar va zaifliklarga tushadi. Xatarlarni baholash uchun barcha qoidabuzarlarni aktivga kirish turi va aktivlar tuzilishi haqidagi bilimlari bo'yicha ajratuvchi standart qoidabuzar modelini joriy etishning o'zi etarli emas. Ushbu bo'linma aktivga qanday tahdidlar yo'naltirilishi mumkinligini aniqlashga yordam beradi, lekin bu tahdidlar, qoida tariqasida, amalga oshirilishi mumkinmi degan savolga javob bermaydi. Xatarlarni tahlil qilish jarayonida qoidabuzarlarning tahdidlarni amalga oshirishdagi motivatsiyasini baholash kerak. Bunday holda, qoidabuzar mavhum tashqi xaker yoki insayderni anglatmaydi, balki aktivning xavfsizligini buzish orqali foyda olishdan manfaatdor tomonni anglatadi. Huquqbuzarning modeli to'g'risida dastlabki ma'lumotlarni olish tavsiya etiladi, chunki axborot xavfsizligi faoliyatining dastlabki yo'nalishlarini tanlashda tashkilotning bozordagi mavqeini tushunadigan, raqobatchilar va ta'sir qilish usullari haqida ma'lumotga ega bo'lgan yuqori rahbariyatdan olish tavsiya etiladi. ulardan kutilgan. Buzg'unchining modelini ishlab chiqish uchun zarur bo'lgan ma'lumotlarni, shuningdek, xavf tahlili olib borilayotgan biznes sohasida kompyuter xavfsizligi buzilishi bo'yicha ixtisoslashtirilgan tadqiqotlardan olish mumkin. To'g'ri ishlab chiqilgan buzg'unchi modeli tashkilot aktivlarini baholashda aniqlangan axborot xavfsizligi maqsadlarini to'ldiradi. Tahdid modelini ishlab chiqish va zaifliklarni aniqlash tashkilotning axborot aktivlari muhitini inventarizatsiya qilish bilan uzviy bog'liqdir. Ma'lumotlarning o'zi saqlanmaydi yoki qayta ishlanmaydi. Unga kirish tashkilotning biznes jarayonlarini avtomatlashtiradigan axborot infratuzilmasi yordamida amalga oshiriladi. Tashkilotning axborot infratuzilmasi va axborot aktivlari bir-biri bilan qanday bog'liqligini tushunish muhimdir. Axborot xavfsizligini boshqarish nuqtai nazaridan axborot infratuzilmasining ahamiyatini faqat axborot aktivlari va infratuzilma o'rtasidagi munosabatlar aniqlangandan keyingina aniqlash mumkin. Agar tashkilotda axborot infratuzilmasini saqlash va ulardan foydalanish jarayonlari tartibga solingan va shaffof bo'lsa, tahdidlarni aniqlash va zaifliklarni baholash uchun zarur bo'lgan ma'lumotlarni to'plash ancha soddalashtiriladi. Tahdid modelini ishlab chiqish - bu tajovuzkor xavfsizlik perimetrini buzish yoki ijtimoiy muhandislik usullaridan foydalangan holda ma'lumotlarga ruxsatsiz kirishni yaxshi tushunadigan axborot xavfsizligi bo'yicha mutaxassislar uchun ishdir. Tahdid modelini ishlab chiqishda siz tahdidlarni amalga oshirish mumkin bo'lgan ketma-ket qadamlar sifatida stsenariylar haqida ham gapirishingiz mumkin. Tizimdagi bitta zaif nuqtadan foydalangan holda tahdidlar bir bosqichda amalga oshirilishi kamdan-kam uchraydi. Tahdid modeli zaiflik va hodisalarni boshqarish kabi tegishli axborot xavfsizligini boshqarish jarayonlari orqali aniqlangan barcha tahdidlarni o'z ichiga olishi kerak. Shuni esda tutish kerakki, tahdidlarni amalga oshirish ehtimoli darajasiga qarab bir-biriga nisbatan tartiblash kerak bo'ladi. Buning uchun har bir tahdid uchun tahdid modelini ishlab chiqish jarayonida eng muhim omillarni ko'rsatish kerak, ularning mavjudligi uni amalga oshirishga ta'sir qiladi. Xavfsizlik siyosati tashkilotning axborot tizimi uchun haqiqiy deb tan olingan xatarlarni tahlil qilishga asoslanadi. Xatarlar tahlil qilinib, himoya qilish strategiyasi aniqlangach, axborot xavfsizligi dasturi tuziladi. Ushbu dastur uchun resurslar ajratiladi, mas'ul shaxslar tayinlanadi, dasturning bajarilishini nazorat qilish tartibi belgilanadi va hokazo. Keng ma'noda xavfsizlik siyosati tashkilot xavfsizligini ta'minlash uchun hujjatlashtirilgan boshqaruv qarorlari tizimi sifatida belgilanadi. Tor ma'noda xavfsizlik siyosati odatda xavfsizlik talablarini, chora-tadbirlar tizimi yoki tartibini, shuningdek, tashkilot xodimlarining mas'uliyatini va xavfsizlikning ma'lum bir sohasini nazorat qilish mexanizmlarini belgilaydigan mahalliy normativ hujjat sifatida tushuniladi. Axborot xavfsizligi siyosatining o'zini shakllantirishni boshlashdan oldin, biz ishlaydigan asosiy tushunchalarni tushunishimiz kerak. Axborot - taqdim etish shaklidan qat'i nazar, axborot (xabarlar, ma'lumotlar). Ma'lumotlarning maxfiyligi - bu ma'lum ma'lumotlarga kirish huquqiga ega bo'lgan shaxsning bunday ma'lumotlarni egasining roziligisiz uchinchi shaxslarga bermaslik haqidagi majburiy talabi. Axborot xavfsizligi (Axborot xavfsizligi) - bu fuqarolar, tashkilotlar va davlatlar manfaatlarini ko'zlab shakllantirish, foydalanish va rivojlantirishni ta'minlaydigan jamiyatning axborot muhitining xavfsizligi holati. Bugungi kunda "axborot" tushunchasi juda keng va ko'p qirrali qo'llaniladi. Axborot xavfsizligini ta'minlash bir martalik harakat bo'lishi mumkin emas. Bu xavfsizlik tizimini takomillashtirish va rivojlantirishning eng oqilona usullari, usullari va usullarini asoslash va amalga oshirish, uning holatini doimiy monitoring qilish, zaif tomonlarini va noqonuniy xatti-harakatlarini aniqlashdan iborat uzluksiz jarayondir. Axborot xavfsizligini faqat ishlab chiqarish tizimining barcha tarkibiy elementlarida va axborotni qayta ishlash texnologik tsiklining barcha bosqichlarida mavjud xavfsizlik vositalarining butun majmuasidan kompleks foydalanish orqali ta'minlash mumkin. Qo'llaniladigan barcha vositalar, usullar va choralar yagona yaxlit mexanizmga - axborot xavfsizligi tizimiga birlashtirilganda eng katta samaraga erishiladi. Shu bilan birga, tizimning ishlashi tashqi va ichki sharoitlarning o'zgarishiga qarab kuzatilishi, yangilanishi va to'ldirilishi kerak. GOST R ISO/IEC 15408:2005 standartiga muvofiq xavfsizlik talablarining quyidagi turlarini ajratish mumkin: himoyaning faol tomoniga mos keladigan funktsional, xavfsizlik funktsiyalari va ularni amalga oshirish mexanizmlariga qo'yiladigan talablar; texnologiya va ishlab chiqish va foydalanish jarayoniga qo'yiladigan passiv jihatga mos keladigan ishonch talablari. Ushbu standartdagi xavfsizlik statik jihatdan emas, balki baholanayotgan ob'ektning hayot aylanishi bilan bog'liq holda ko'rib chiqilishi juda muhimdir. Quyidagi bosqichlar ajralib turadi: maqsadi, foydalanish shartlari, maqsadlari va xavfsizlik talablarini aniqlash; dizayn va ishlab chiqish; sinov, baholash va sertifikatlash; amalga oshirish va ishlash. Shunday qilib, keling, funktsional xavfsizlik talablarini batafsil ko'rib chiqaylik. Ularga quyidagilar kiradi: foydalanuvchi ma'lumotlarini himoya qilish; xavfsizlik funktsiyalarini himoya qilish (talablar ushbu xavfsizlik xizmatlarining yaxlitligi va nazorati va ularni amalga oshiradigan mexanizmlarga tegishli); xavfsizlikni boshqarish (ushbu sinf talablari xavfsizlik atributlari va parametrlarini boshqarishga tegishli); xavfsizlik auditi (baholanayotgan ob'ekt xavfsizligiga ta'sir qiluvchi ma'lumotlarni aniqlash, ro'yxatga olish, saqlash, tahlil qilish, xavfsizlikning mumkin bo'lgan buzilishiga javob); maxfiylik (foydalanuvchini uning identifikatsiya ma'lumotlarini oshkor qilish va ruxsatsiz foydalanishdan himoya qilish); resurslardan foydalanish (axborot mavjudligiga qo'yiladigan talablar); aloqa (ma'lumotlar almashinuvida ishtirok etuvchi tomonlarning autentifikatsiyasi); ishonchli marshrut/kanal (xavfsizlik xizmatlari bilan aloqa qilish uchun). Ushbu talablarga muvofiq, tashkilotning axborot xavfsizligi tizimini shakllantirish kerak. Tashkilotning axborot xavfsizligi tizimi quyidagi yo'nalishlarni o'z ichiga oladi: tartibga soluvchi; tashkiliy (ma'muriy); texnik; dasturiy ta'minot; Korxonada xavfsizlikning barcha sohalaridagi vaziyatni to'liq baholash uchun axborot resurslari xavfsizligi muammosiga tizimli yondashuvni o'rnatadigan va maqsadlar, vazifalar, dizayn tamoyillari va tizimlarining tizimli bayonini ifodalovchi axborot xavfsizligi konsepsiyasini ishlab chiqish kerak. korxonada axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlar majmui. Korporativ tarmoqni boshqarish tizimi quyidagi printsiplarga (vazifalar) asoslanishi kerak: korxonaning mavjud axborot infratuzilmasini buzg'unchilardan himoya qilishni ta'minlash; mumkin bo'lgan zararni mahalliylashtirish va minimallashtirish uchun shart-sharoitlarni ta'minlash; dastlabki bosqichda tahdid manbalarining paydo bo'lishini bartaraf etish; axborotni paydo bo'ladigan tahdidlarning uchta asosiy turidan himoya qilishni ta'minlash (mavjudlik, yaxlitlik, maxfiylik); Yuqoridagi muammolarni hal qilish orqali erishiladi; axborot tizimi bilan ishlashda foydalanuvchi harakatlarini tartibga solish; ma'lumotlar bazasi bilan ishlashda foydalanuvchi harakatlarini tartibga solish; apparat va dasturiy ta'minotning ishonchliligiga yagona talablar; axborot tizimining ishlashini monitoring qilish tartiblari (hodisalar ro'yxatga olish, protokollarni tahlil qilish, tarmoq trafigini tahlil qilish, texnik jihozlarning ishlashini tahlil qilish); Axborot xavfsizligi siyosati quyidagilarni o'z ichiga oladi: asosiy hujjat - "Xavfsizlik siyosati". U umuman tashkilotning xavfsizlik siyosatini, umumiy qoidalarini tavsiflaydi, shuningdek siyosatning barcha jihatlari uchun tegishli hujjatlarni ko'rsatadi; foydalanuvchilarning ishini tartibga solish bo'yicha ko'rsatmalar; mahalliy tarmoq ma'muri uchun ish tavsifi; ma'lumotlar bazasi ma'murining ish tavsifi; internet resurslari bilan ishlash bo'yicha ko'rsatmalar; parol bilan himoya qilishni tashkil etish bo'yicha ko'rsatmalar; virusga qarshi himoyani tashkil etish bo'yicha ko'rsatmalar. Xavfsizlik siyosati hujjati asosiy qoidalarni o'z ichiga oladi. Uning asosida axborot xavfsizligi dasturi tuziladi, lavozim tavsiflari va tavsiyalar tuziladi. Tashkilotning mahalliy tarmog'idan foydalanuvchilarning ishini tartibga solish bo'yicha ko'rsatmalar foydalanuvchilarga tashkilotning mahalliy kompyuter tarmog'ida ishlashga ruxsat berish tartibini, shuningdek tashkilotda qayta ishlangan, saqlanadigan va uzatiladigan himoyalangan ma'lumotlar bilan ishlash qoidalarini tartibga soladi. Mahalliy tarmoq ma'murining ish tavsifi mahalliy tarmoq ma'murining axborot xavfsizligi bo'yicha mas'uliyatini tavsiflaydi. Ma'lumotlar bazasi ma'murining ish tavsifi ma'lumotlar bazasi ma'murining asosiy majburiyatlari, funktsiyalari va huquqlarini belgilaydi. Unda ma'lumotlar bazasi ma'murining barcha ish majburiyatlari va funktsiyalari, shuningdek, huquq va majburiyatlari batafsil tavsiflangan. Internet-resurslar bilan ishlash bo'yicha ko'rsatmalar Internet bilan xavfsiz ishlashning asosiy qoidalarini aks ettiradi, shuningdek, Internet-resurslar bilan ishlashda maqbul va qabul qilinishi mumkin bo'lmagan harakatlar ro'yxatini o'z ichiga oladi. Antivirusdan himoya qilishni tashkil etish bo'yicha ko'rsatmalar asosiy qoidalarni, tashkilotning axborot tizimini virusga qarshi himoya qilishni tashkil etishga qo'yiladigan talablarni, virusga qarshi dasturiy ta'minotning ishlashi bilan bog'liq barcha jihatlarni, shuningdek, antivirus qoidalari buzilgan taqdirda javobgarlikni belgilaydi. -virusdan himoyalanish. Parolni himoya qilishni tashkil etish bo'yicha ko'rsatmalar parollarni yaratish, o'zgartirish va tugatish (foydalanuvchi hisoblarini o'chirish) jarayonlarini tashkiliy va texnik qo'llab-quvvatlashni tartibga soladi. Tizim bilan ishlashda foydalanuvchilar va texnik xodimlarning harakatlari ham tartibga solinadi. Shunday qilib, axborotni himoya qilish jarayonini tashkil etishning asosi axborot tizimidagi axborot qanday tahdidlardan va qanday himoyalanganligini aniqlash maqsadida tuzilgan xavfsizlik siyosati hisoblanadi. Xavfsizlik siyosati ma'lum bir tashkilotda qabul qilingan ma'lumotlarni himoya qilish uchun huquqiy, tashkiliy va texnik chora-tadbirlar majmuini anglatadi. Ya'ni, xavfsizlik siyosati foydalanuvchilar ushbu tizimning axborot xavfsizligi xususiyatlarini yo'qotmasdan tizim resurslariga kirish huquqiga ega bo'lgan ko'plab shartlarni o'z ichiga oladi. Axborot xavfsizligini ta'minlash muammosi tizimli ravishda hal etilishi kerak. Bu shuni anglatadiki, turli xil himoya vositalari (apparat, dasturiy ta'minot, jismoniy, tashkiliy va boshqalar) bir vaqtning o'zida va markazlashtirilgan nazorat ostida qo'llanilishi kerak. Bugungi kunda axborot xavfsizligini ta'minlash usullarining katta arsenali mavjud: foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish vositalari; kompyuterlarda saqlanadigan va tarmoqlar orqali uzatiladigan axborotni shifrlash vositalari; xavfsizlik devorlari; virtual xususiy tarmoqlar; kontentni filtrlash vositalari; disk tarkibining yaxlitligini tekshirish vositalari; antivirus himoya vositalari; tarmoq zaifligini aniqlash tizimlari va tarmoq hujumi analizatorlari. Ro'yxatdagi vositalarning har biri mustaqil ravishda yoki boshqalar bilan integratsiyalashgan holda ishlatilishi mumkin. Bu foydalaniladigan platformalardan mustaqil ravishda har qanday murakkablikdagi va konfiguratsiyadagi tarmoqlar uchun axborot xavfsizligi tizimlarini yaratish imkonini beradi. Autentifikatsiya (yoki identifikatsiya), avtorizatsiya va boshqaruv tizimi. Identifikatsiya va avtorizatsiya axborot xavfsizligining asosiy elementlari hisoblanadi. Avtorizatsiya funktsiyasi ma'lum bir foydalanuvchi qaysi resurslarga kirishi uchun javobgardir. Ma'muriyat funktsiyasi foydalanuvchiga ma'lum tarmoq ichida ma'lum identifikatsiyalash xususiyatlarini taqdim etish va unga ruxsat etilgan harakatlar doirasini aniqlashdan iborat. Shifrlash tizimlari qattiq diskda yoki boshqa tashuvchilarda saqlangan ma'lumotlarga ruxsatsiz kirish, shuningdek, elektron pochta orqali yuborilgan yoki tarmoq protokollari orqali uzatilgan ma'lumotlarni ushlab qolish holatlarida yo'qotishlarni minimallashtirishga imkon beradi. Ushbu himoya vositasining maqsadi maxfiylikni ta'minlashdir. Shifrlash tizimlariga qo'yiladigan asosiy talablar yuqori darajadagi kriptografik kuch va Rossiya (yoki boshqa davlatlar) hududida foydalanishning qonuniyligidir. Xavfsizlik devori - bu ruxsatsiz ma'lumotlar paketlarining tarmoqqa kirishi yoki chiqishining oldini olish uchun ikki yoki undan ortiq tarmoqlar o'rtasida himoya to'sig'ini tashkil etuvchi tizim yoki tizimlar birikmasi. Xavfsizlik devorlarining asosiy ishlash printsipi har bir ma'lumot paketini kiruvchi va chiquvchi IP manzillarining ruxsat etilgan manzillar ma'lumotlar bazasiga muvofiqligini tekshirishdan iborat. Shunday qilib, xavfsizlik devorlari axborot tarmoqlarini segmentlash va ma'lumotlar aylanishini nazorat qilish imkoniyatlarini sezilarli darajada kengaytiradi. Kriptografiya va xavfsizlik devorlari haqida gapirganda, biz xavfsiz virtual xususiy tarmoqlarni (VPN) eslatib o'tishimiz kerak. Ulardan foydalanish ochiq aloqa kanallari orqali uzatilganda ma'lumotlarning maxfiyligi va yaxlitligi muammolarini hal qilish imkonini beradi. VPN-dan foydalanish uchta asosiy muammoni hal qilish uchun qisqartirilishi mumkin: kompaniyaning turli ofislari o'rtasidagi axborot oqimlarini himoya qilish (ma'lumotlar faqat tashqi tarmoqqa chiqishda shifrlangan); masofaviy tarmoq foydalanuvchilarining odatda Internet orqali amalga oshiriladigan kompaniyaning axborot resurslariga xavfsiz kirishi; korporativ tarmoqlar ichida individual ilovalar o'rtasida axborot oqimlarini himoya qilish (bu jihat ham juda muhim, chunki ko'pchilik hujumlar ichki tarmoqlardan amalga oshiriladi). Maxfiy ma'lumotlarni yo'qotishdan himoya qilishning samarali vositasi kiruvchi va chiquvchi elektron pochta tarkibini filtrlashdir. Tashkilot tomonidan belgilangan qoidalar asosida elektron pochta xabarlarini va ularning qo'shimchalarini tekshirish, shuningdek, kompaniyalarni sud jarayonlarida javobgarlikdan himoya qilishga yordam beradi va ularning xodimlarini spamlardan himoya qiladi. Kontentni filtrlash vositalari barcha keng tarqalgan formatdagi fayllarni, shu jumladan siqilgan va grafik fayllarni skanerlash imkonini beradi. Shu bilan birga, tarmoqning o'tkazuvchanligi deyarli o'zgarishsiz qolmoqda. Ish stantsiyasi yoki serveridagi barcha o'zgarishlar qattiq disk tarkibining yaxlitligini tekshirish texnologiyasi (yaxlitlikni tekshirish) tufayli tarmoq ma'muri yoki boshqa vakolatli foydalanuvchi tomonidan kuzatilishi mumkin. Bu sizga fayllar bilan har qanday harakatlarni (o'zgartirish, o'chirish yoki oddiygina ochish) aniqlash va virus faolligini, ruxsatsiz kirishni yoki vakolatli foydalanuvchilar tomonidan ma'lumotlarni o'g'irlashni aniqlash imkonini beradi. Nazorat fayl nazorat summalari (CRC summalari) tahlili asosida amalga oshiriladi. Zamonaviy antivirus texnologiyalari shubhali fayl kodini virusga qarshi ma'lumotlar bazasida saqlangan namunalar bilan taqqoslash orqali deyarli barcha ma'lum bo'lgan virus dasturlarini aniqlash imkonini beradi. Bundan tashqari, yangi yaratilgan virus dasturlarini aniqlash imkonini beruvchi xatti-harakatlarni modellashtirish texnologiyalari ishlab chiqilgan. Aniqlangan ob'ektlarni davolash, izolyatsiya qilish (karantin qilish) yoki o'chirish mumkin. Har xil turdagi protsessorlarda deyarli har qanday umumiy operatsion tizim (Windows, Unix va Linux tizimlari, Novell) ostida ishlaydigan ish stantsiyalari, fayl va pochta serverlari, xavfsizlik devorlari viruslardan himoyalanishni o'rnatish mumkin. Spam-filtrlar spamni tahlil qilish bilan bog'liq samarasiz mehnat xarajatlarini sezilarli darajada kamaytiradi, trafik va server yukini kamaytiradi, jamoadagi psixologik fonni yaxshilaydi va kompaniya xodimlarining firibgarlik tranzaktsiyalarida ishtirok etish xavfini kamaytiradi. Bundan tashqari, spam-filtrlar yangi viruslar bilan kasallanish xavfini kamaytiradi, chunki viruslarni o'z ichiga olgan xabarlar (hatto hali antivirus dasturlari ma'lumotlar bazasiga kiritilmaganlar ham) ko'pincha spam belgilariga ega va filtrlanadi. To'g'ri, agar filtr keraksiz xabarlar bilan birga spam va foydali xabarlar, biznes yoki shaxsiy xabarlarni olib tashlasa yoki belgilasa, spamni filtrlashning ijobiy ta'sirini inkor etish mumkin. Viruslar va xakerlik hujumlari natijasida kompaniyalarga yetkazilgan katta zarar asosan foydalaniladigan dasturiy ta'minotdagi zaifliklar natijasidir. Ularni oldindan, haqiqiy hujumni kutmasdan, kompyuter tarmog'idagi zaifliklarni aniqlash tizimlari va tarmoq hujumlari analizatorlari yordamida aniqlash mumkin. Bunday dasturiy ta'minot umumiy hujumlar va bosqin usullarini xavfsiz tarzda simulyatsiya qiladi va xaker tarmoqda nimani ko'rishi va uning resurslaridan qanday foydalanishi mumkinligini aniqlaydi. Axborot xavfsizligiga tabiiy tahdidlarga qarshi turish uchun kompaniya favqulodda vaziyatlarning oldini olish (masalan, ma'lumotlarni yong'indan jismoniy himoya qilishni ta'minlash) va bunday vaziyat yuzaga kelganda zararni minimallashtirish bo'yicha protseduralar majmuasini ishlab chiqishi va amalga oshirishi kerak. Ma'lumotlarni yo'qotishdan himoya qilishning asosiy usullaridan biri bu belgilangan tartiblarga (muntazamlik, ommaviy axborot vositalarining turlari, nusxalarni saqlash usullari va boshqalar) qat'iy rioya qilgan holda zaxiralashdir. Axborot xavfsizligi siyosati - bu axborot, axborot tizimlari, ma'lumotlar bazalari, mahalliy tarmoqlar va Internet resurslari bilan ishlashning asosiy qoidalarini tavsiflovchi xodimlarning ishini tartibga soluvchi hujjatlar to'plami. Axborot xavfsizligi siyosati tashkilotning umumiy boshqaruv tizimida qanday o'rin egallashini tushunish muhimdir. Quyida xavfsizlik siyosati bilan bog'liq umumiy tashkiliy chora-tadbirlar keltirilgan. Protsessual darajada quyidagi chora-tadbirlar sinflarini ajratish mumkin: xodimlarni boshqarish; jismoniy himoya qilish; samaradorlikni saqlash; xavfsizlik buzilishiga javob berish; restavratsiya ishlarini rejalashtirish. Inson resurslarini boshqarish ishga qabul qilish bilan boshlanadi, lekin undan oldin ham, siz lavozim bilan bog'liq kompyuter imtiyozlarini aniqlashingiz kerak. Yodda tutish kerak bo'lgan ikkita umumiy tamoyil mavjud: vazifalarni ajratish; imtiyozlarni minimallashtirish. Vazifalarni ajratish printsipi bir kishi tashkilot uchun muhim jarayonni buzmasligi uchun rol va mas'uliyatni qanday taqsimlashni belgilaydi. Misol uchun, bir shaxsning tashkilot nomidan katta to'lovlarni amalga oshirishi istalmagan. Bir xodimga bunday to'lovlar bo'yicha arizalarni ko'rib chiqish, boshqasiga esa ushbu arizalarni tasdiqlash uchun ko'rsatma berish xavfsizroqdir. Yana bir misol, superfoydalanuvchi harakatlariga protsessual cheklovlar. Siz superfoydalanuvchi parolini uning birinchi qismini bitta xodim bilan, ikkinchi qismini esa boshqasi bilan baham ko'rish orqali sun'iy ravishda "bo'lishingiz" mumkin. Shunda ular axborot tizimini boshqarish bo'yicha muhim harakatlarni faqat birgalikda bajarishlari mumkin, bu esa xato va suiiste'mollik ehtimolini kamaytiradi. Eng kam imtiyozlar printsipi foydalanuvchilarga faqat o'zlarining ish majburiyatlarini bajarishlari kerak bo'lgan kirish huquqlarini berishni talab qiladi. Ushbu tamoyilning maqsadi aniq - tasodifiy yoki qasddan noto'g'ri harakatlardan zararni kamaytirish. Ish tavsifini oldindan tayyorlash uning tanqidiyligini baholash va nomzodlarni saralash va tanlash tartibini rejalashtirish imkonini beradi. Lavozim qanchalik mas'uliyatli bo'lsa, nomzodlarni qanchalik ehtiyotkorlik bilan tekshirishingiz kerak: ular haqida so'rovlar qiling, ehtimol sobiq hamkasblar bilan gaplashing va hokazo. Bunday protsedura uzoq va qimmat bo'lishi mumkin, shuning uchun uni yanada murakkablashtirishning ma'nosi yo'q. Shu bilan birga, sudlangan yoki ruhiy kasallikka chalingan odamni tasodifan ishga qabul qilmaslik uchun oldindan tekshirishdan butunlay voz kechish mantiqsizdir. Nomzod aniqlangandan so'ng, u treningdan o'tishi kerak bo'ladi; hech bo'lmaganda, u ish majburiyatlari va axborot xavfsizligi qoidalari va tartiblari bilan to'liq tanishishi kerak. U lavozimga kirishdan oldin va login nomi, parol va imtiyozlar bilan tizim hisobini yaratishdan oldin xavfsizlik choralarini tushunishi tavsiya etiladi. Axborot tizimining xavfsizligi uning ishlayotgan muhitiga bog'liq. Binolar va ularning atrofidagi hududlarni, qo'llab-quvvatlovchi infratuzilmani, kompyuter uskunalarini va saqlash vositalarini himoya qilish choralarini ko'rish kerak. Jismoniy himoyaning quyidagi sohalarini ko'rib chiqaylik: jismoniy kirishni boshqarish; yordamchi infratuzilmani himoya qilish; mobil tizimlarni himoya qilish. Jismoniy kirishni nazorat qilish choralari xodimlar va tashrif buyuruvchilarning kirish va chiqishlarini nazorat qilish va kerak bo'lganda cheklash imkonini beradi. Tashkilotning butun binosi, shuningdek, alohida xonalar, masalan, serverlar, aloqa uskunalari va boshqalar joylashgan xonalarni nazorat qilish mumkin. Qo'llab-quvvatlovchi infratuzilmaga elektr, suv va issiqlik ta'minoti tizimlari, konditsionerlik va aloqa kiradi. Asosan, axborot tizimlariga nisbatan bir xil yaxlitlik va mavjudlik talablari ularga nisbatan qo'llaniladi. Butunlikni ta'minlash uchun jihozlar o'g'irlik va shikastlanishdan himoyalangan bo'lishi kerak. Mavjudlikni saqlab qolish uchun siz maksimal MTBF bilan jihozlarni tanlashingiz, muhim komponentlarni takrorlashingiz va har doim ehtiyot qismlarga ega bo'lishingiz kerak. Umuman olganda, jismoniy himoya vositalarini tanlashda xavf tahlilini o'tkazish kerak. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность сбоев электропитания, стоимость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации va h.k.) Axborot tizimlarining funksionalligini saqlashga qaratilgan bir qator chora-tadbirlarni ko'rib chiqamiz. Aynan shu hududda eng katta xavf yashiringan. Tizim ma'murlari va foydalanuvchilarining beixtiyor xatolari ishlashning yo'qolishiga, ya'ni uskunaning shikastlanishiga, dasturlar va ma'lumotlarning yo'q qilinishiga olib kelishi mumkin. Bu eng yomon stsenariy. Eng yaxshi holatda, ular tizim xavfsizligi tahdidlarining paydo bo'lishiga imkon beruvchi xavfsizlik teshiklarini yaratadilar. Ko'pgina tashkilotlarning asosiy muammosi - kundalik ishda xavfsizlik omillarini etarli darajada baholamaslik. Qimmatbaho xavfsizlik xususiyatlari, agar ular noto'g'ri hujjatlashtirilgan bo'lsa, boshqa dasturiy ta'minot bilan ziddiyatga ega bo'lsa va tizim ma'muri paroli o'rnatilgandan beri o'zgartirilmagan bo'lsa, ma'nosizdir. Axborot tizimining funksionalligini ta'minlashga qaratilgan kundalik faoliyat uchun quyidagi harakatlarni ajratib ko'rsatish mumkin: foydalanuvchini qo'llab-quvvatlash; dasturiy ta'minotni qo'llab-quvvatlash; konfiguratsiyani boshqarish; zaxira nusxasi; ommaviy axborot vositalarini boshqarish; hujjatlar; muntazam ish. Foydalanuvchilarni qo'llab-quvvatlash, birinchi navbatda, har xil turdagi muammolarni hal qilishda maslahat va yordamni nazarda tutadi. Savollar oqimida axborot xavfsizligi bilan bog'liq muammolarni aniqlay olish juda muhimdir. Shunday qilib, shaxsiy kompyuterlarda ishlaydigan foydalanuvchilar uchun ko'plab qiyinchiliklar virus infektsiyasining natijasi bo'lishi mumkin. Foydalanuvchilarning tez-tez uchraydigan xatolarini aniqlash va umumiy vaziyatlar bo'yicha tavsiyalar bilan eslatmalar berish uchun savollarni yozib olish tavsiya etiladi. Dasturiy ta'minotni qo'llab-quvvatlash axborotning yaxlitligini ta'minlashning eng muhim vositalaridan biridir. Avvalo, kompyuteringizda qanday dasturlar o'rnatilganligini kuzatib borishingiz kerak. Agar foydalanuvchilar dasturlarni o'z xohishlariga ko'ra o'rnatsalar, bu viruslar bilan kasallanishga, shuningdek, himoya choralarini chetlab o'tadigan yordamchi dasturlarning paydo bo'lishiga olib kelishi mumkin. Bundan tashqari, foydalanuvchilarning "mustaqil faoliyati" asta-sekin ularning kompyuterlarida tartibsizlikka olib kelishi mumkin va tizim ma'muri vaziyatni to'g'irlashi kerak. Dasturiy ta'minotni qo'llab-quvvatlashning ikkinchi jihati - dasturlarga ruxsatsiz o'zgartirishlar va ularga kirish huquqlarini nazorat qilish. Bu, shuningdek, dasturiy ta'minot tizimlarining mos yozuvlar nusxalarini qo'llab-quvvatlashni o'z ichiga oladi. Boshqarish odatda jismoniy va mantiqiy kirishni boshqarish vositalarining kombinatsiyasi, shuningdek, tekshirish va yaxlitlik utilitlaridan foydalanish orqali erishiladi. Konfiguratsiyani boshqarish dasturiy ta'minot konfiguratsiyasiga kiritilgan o'zgarishlarni nazorat qilish va yozib olish imkonini beradi. Avvalo, siz o'zingizni tasodifiy yoki noto'g'ri o'ylangan o'zgartirishlardan sug'urtalashingiz va hech bo'lmaganda oldingi, ishlaydigan versiyaga qaytishingiz kerak. O'zgartirishlar kiritish falokatdan keyin joriy versiyani tiklashni osonlashtiradi. Muntazam ishdagi xatolarni kamaytirishning eng yaxshi usuli uni iloji boricha avtomatlashtirishdir. Avtomatlashtirish va xavfsizlik bir-biriga bog'liq, chunki birinchi navbatda o'z vazifasini engillashtirish haqida qayg'uradigan kishi, aslida, axborot xavfsizligi rejimini optimal shakllantirgan kishidir. Favqulodda vaziyatlardan keyin dasturlar va ma'lumotlarni qayta tiklash uchun zaxira nusxasi zarur. Va bu erda, hech bo'lmaganda, to'liq va qo'shimcha nusxalarni yaratish uchun kompyuter jadvalini yaratish va maksimal darajada tegishli dasturiy mahsulotlardan foydalanish orqali ishni avtomatlashtirish maqsadga muvofiqdir. Shuningdek, nusxalarni ruxsatsiz kirishdan, yong'inlardan, sizib ketishdan, ya'ni ommaviy axborot vositalarining o'g'irlanishi yoki shikastlanishiga olib keladigan har qanday narsadan himoyalangan xavfsiz joyda joylashtirishni tashkil qilish kerak. Katta baxtsiz hodisalar va shunga o'xshash hodisalardan himoya qilish uchun zaxira nusxalarining bir nechta nusxasiga ega bo'lish va ularning ba'zilarini saytdan tashqarida saqlash tavsiya etiladi. Vaqti-vaqti bilan, sinov maqsadida siz nusxalardan ma'lumotni tiklash imkoniyatini tekshirishingiz kerak. Media boshqaruvi jismoniy xavfsizlikni ta'minlash va floppi disklar, lentalar, bosma nashrlar va boshqalarni hisobga olish uchun zarur. Media boshqaruvi kompyuter tizimlaridan tashqarida saqlanadigan ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlashi kerak. Bu erda jismoniy himoya nafaqat ruxsatsiz kirishga urinishlarni qaytarishni, balki atrof-muhitning zararli ta'siridan (issiqlik, sovuqlik, namlik, magnitlanish) himoya qilishni ham anglatadi. Ommaviy axborot vositalari boshqaruvi xariddan tortib to foydalanishdan chiqarishgacha bo'lgan butun hayot tsiklini qamrab olishi kerak. Hujjatlar axborot xavfsizligining ajralmas qismidir. Deyarli hamma narsa hujjatlar ko'rinishida - xavfsizlik siyosatidan tortib media jurnaligacha hujjatlashtirilgan. Hujjatlarning dolzarb bo'lishi va ishlarning joriy holatini aks ettirishi va izchilligi muhim ahamiyatga ega. Maxfiylik talablari ba'zi hujjatlarni (masalan, tizim zaifliklari va tahdidlarini tahlil qilishni o'z ichiga olgan) saqlash uchun qo'llaniladi, boshqalari, masalan, ofatni tiklash rejasi, yaxlitlik va mavjudlik talablari (muhim vaziyatda reja bo'lishi kerak). toping va o'qing). Muntazam ish juda jiddiy xavfsizlik xavfi hisoblanadi. Muntazam texnik xizmat ko'rsatadigan xodim tizimga eksklyuziv kirish huquqiga ega va amalda uning qanday harakatlarni bajarishini nazorat qilish juda qiyin. Bu erda ishni bajarayotganlarga ishonch darajasi birinchi o'ringa chiqadi. Tashkilot tomonidan qabul qilingan xavfsizlik siyosati axborot xavfsizligi rejimining buzilishini aniqlash va zararsizlantirishga qaratilgan tezkor chora-tadbirlar majmuini nazarda tutishi kerak. Bunday hollarda harakatlar ketma-ketligi oldindan rejalashtirilgan bo'lishi muhimdir, chunki choralar zudlik bilan va kelishilgan holda amalga oshirilishi kerak. Xavfsizlik buzilishiga javob berish uchta asosiy maqsadga ega: hodisani mahalliylashtirish va zararni kamaytirish; takroriy huquqbuzarliklarning oldini olish. Ko'pincha hodisani mahalliylashtirish va zararni kamaytirish talabi jinoyatchini aniqlash istagi bilan zid keladi. Tashkilotning xavfsizlik siyosatiga erta ustuvorlik berilishi kerak. Amaliyot shuni ko'rsatadiki, hujumchini aniqlash juda qiyin, bizning fikrimizcha, birinchi navbatda, zararni kamaytirishga e'tibor berish kerak. Hech bir tashkilot tabiiy sabablar, zararli harakatlar, beparvolik yoki malakasizlik natijasida yuzaga keladigan jiddiy baxtsiz hodisalardan immunitetga ega emas. Shu bilan birga, har bir tashkilot rahbariyat muhim deb hisoblaydigan va nima bo'lishidan qat'iy nazar bajarilishi kerak bo'lgan funktsiyalarga ega. Qayta tiklash ishlarini rejalashtirish baxtsiz hodisalarga tayyorgarlik ko'rish, ulardan zararni kamaytirish va hech bo'lmaganda minimal darajada ishlash qobiliyatini saqlab qolish imkonini beradi. E'tibor bering, axborot xavfsizligi choralari hujumlarning oldini olishga, aniqlashga yoki oqibatlarini bartaraf etishga qaratilganligiga qarab uch guruhga bo'linishi mumkin. Aksariyat chora-tadbirlar tabiatda ehtiyotkorlikdir. Qayta tiklashni rejalashtirish jarayonini quyidagi bosqichlarga bo'lish mumkin: tashkilotning muhim funktsiyalarini aniqlash, ustuvorliklarni belgilash; muhim funktsiyalarni bajarish uchun zarur bo'lgan resurslarni aniqlash; yuzaga kelishi mumkin bo'lgan baxtsiz hodisalar ro'yxatini aniqlash; qayta tiklash strategiyasini ishlab chiqish; tanlangan strategiyani amalga oshirishga tayyorgarlik; strategiyani tekshirish. Qayta tiklash ishlarini rejalashtirayotganda, tashkilotning faoliyatini to'liq saqlab qolish har doim ham mumkin emasligini bilishingiz kerak. Tashkilot o'z yuzini yo'qotadigan muhim funktsiyalarni aniqlash va hatto baxtsiz hodisadan keyin ishni iloji boricha tezroq va minimal xarajat bilan tiklash uchun muhim funktsiyalar orasida birinchi o'ringa qo'yish kerak. Muhim funktsiyalarni bajarish uchun zarur bo'lgan resurslarni aniqlashda, ularning ko'pchiligi tabiatda kompyuter bo'lmaganligini unutmang. Ushbu bosqichda turli xil profildagi mutaxassislarni ishga jalb qilish tavsiya etiladi. Shunday qilib, axborot xavfsizligini ta'minlash uchun juda ko'p turli xil usullar mavjud. Bu usullarning barchasini bitta kompleksda qo'llash eng samarali hisoblanadi. Bugungi kunda zamonaviy xavfsizlik bozori axborot xavfsizligi vositalari bilan to'yingan. Mavjud qimmatli qog'ozlar bozori takliflarini doimiy ravishda o'rganib, ko'plab kompaniyalar axborot xavfsizligi tizimlariga ilgari investitsiya qilingan mablag'larning etarli emasligini, masalan, uskunalar va dasturiy ta'minotning eskirganligi sababli ko'rishadi. Shuning uchun ular bu muammoga yechim izlamoqda. Bunday ikkita variant bo'lishi mumkin: bir tomondan, katta sarmoyalarni talab qiladigan korporativ axborotni himoya qilish tizimini to'liq almashtirish, ikkinchidan, mavjud xavfsizlik tizimlarini modernizatsiya qilish. Ushbu muammoni hal qilishning oxirgi varianti eng arzon, ammo u yangi muammolarni keltirib chiqaradi, masalan, u quyidagi savollarga javobni talab qiladi: eski, mavjud apparat va dasturiy ta'minotdan saqlanib qolgan xavfsizlik vositalari va yangi elementlarning muvofiqligini qanday ta'minlash kerak. axborot xavfsizligi tizimi; heterojen xavfsizlik vositalarini markazlashtirilgan boshqarishni qanday ta'minlash; kompaniyaning axborot risklarini qanday baholash va kerak bo'lganda qayta baholash. 2-bob. Axborot xavfsizligi tizimini tahlil qilish 1 Kompaniyaning faoliyat doirasi va moliyaviy ko'rsatkichlar tahlili "Gazprom" OAJ global energetika kompaniyasi. Faoliyatining asosiy turlari geologik qidiruv, qazib olish, tashish, saqlash, qayta ishlash va gaz, gaz kondensati va neftni sotish, shuningdek, issiqlik va elektr energiyasini ishlab chiqarish va sotishdan iborat. Gazprom o'z missiyasini iste'molchilarni tabiiy gaz, boshqa turdagi energiya resurslari va ularni qayta ishlangan mahsulotlar bilan ishonchli, samarali va muvozanatli ta'minlashda ko'radi. Gazprom dunyodagi eng boy tabiiy gaz zaxiralariga ega. Uning jahon gaz zahiralaridagi ulushi 18%, rus tilida - 70%. Gazprom global ishlab chiqarishning 15% va Rossiya gazining 78% ni tashkil qiladi. Ayni paytda kompaniya Yamal yarim oroli, Arktika shelfi, Sharqiy Sibir va Uzoq Sharqning gaz resurslarini o‘zlashtirish bo‘yicha keng ko‘lamli loyihalarni, shuningdek, xorijda uglevodorodlarni qidirish va qazib olish bo‘yicha qator loyihalarni faol amalga oshirmoqda. Gazprom Rossiya va xorijiy iste'molchilarga ishonchli gaz yetkazib beruvchi hisoblanadi. Kompaniya dunyodagi eng yirik gaz transport tarmog'iga - Rossiyaning yagona gaz ta'minoti tizimiga egalik qiladi, uning uzunligi 161 ming km dan oshadi. Gazprom o'zi sotayotgan gazning yarmidan ko'pini ichki bozorda sotadi. Bundan tashqari, kompaniya yaqin va uzoq xorijning 30 ta davlatiga gaz yetkazib beradi. Gazprom Rossiyadagi suyultirilgan gazning yagona ishlab chiqaruvchisi va eksportchisi bo'lib, jahon LNG ishlab chiqarishining qariyb 5 foizini ta'minlaydi. Kompaniya Rossiya Federatsiyasidagi eng yirik beshta neft ishlab chiqaruvchilardan biri bo'lib, shuningdek, o'z hududida ishlab chiqaruvchi aktivlarning eng yirik egasi hisoblanadi. Ularning umumiy o'rnatilgan quvvati Rossiya energetika tizimining umumiy o'rnatilgan quvvatining 17% ni tashkil qiladi. Strategik maqsad - yangi bozorlarni o'zlashtirish, faoliyatni diversifikatsiya qilish va etkazib berish ishonchliligini ta'minlash orqali "Gazprom" OAJni jahon energetika kompaniyalari orasida etakchiga aylantirish. Keling, kompaniyaning so'nggi ikki yildagi moliyaviy ko'rsatkichlarini ko'rib chiqaylik. Kompaniyaning faoliyat natijalari 1-ilovada keltirilgan. 2010 yil 31 dekabr holatiga savdo tushumi 2 495 557 million rublni tashkil etdi, bu ko'rsatkich 2011 yil ma'lumotlariga nisbatan ancha past, ya'ni 3 296 656 million rubl. 2011-yil 30-sentabrda yakunlangan to‘qqiz oyda o‘tgan yilning shu davriga nisbatan sotishdan tushgan tushum (aksiz solig‘i, QQS va bojxona to‘lovlarini hisobga olmaganda) 801,099 million rublga yoki 32 foizga oshib, 3296 million rublni tashkil etdi. 2011 yil yakunlariga ko‘ra, gaz sotishdan tushgan sof daromad umumiy sof sotishdan tushgan tushumning 60 foizini (o‘tgan yilning shu davriga nisbatan 60 foiz) tashkil etdi. Gaz sotishdan tushgan sof daromad 1 495 335 million rubldan oshdi. yil uchun 1 987 330 million rublgacha. 2011 yilning shu davri uchun yoki 33% ga. Yevropa va boshqa mamlakatlarga gaz sotishdan tushgan sof daromad o‘tgan yilning shu davriga nisbatan 258,596 million rublga yoki 34 foizga oshib, 1026,451 million rublni tashkil etdi. Yevropa va boshqa mamlakatlarga gaz sotishning umumiy o‘sishiga o‘rtacha narxlarning oshishi sabab bo‘ldi. Rubldagi o'rtacha narx (bojxona to'lovlarini hisobga olgan holda) 2011 yil 30 sentyabrda yakunlangan to'qqiz oyda 2010 yilning shu davriga nisbatan 21 foizga oshdi. Bundan tashqari, gaz sotish hajmi o'tgan yilning shu davriga nisbatan 8 foizga oshdi. Sobiq Ittifoq mamlakatlariga gaz sotishdan tushgan sof daromad 2010 yilning shu davriga nisbatan 168,538 million rublga yoki 58 foizga oshdi va 458,608 million rublni tashkil etdi. O‘zgarish, birinchi navbatda, 2011-yil 30-sentabrda yakunlangan to‘qqiz oy davomida sobiq Sovet Ittifoqiga gaz sotish hajmining o‘tgan yilning shu davriga nisbatan 33 foizga oshgani bilan bog‘liq. Bundan tashqari, rubldagi o'rtacha narx (bojxona to'lovlari, QQSni hisobga olgan holda) o'tgan yilning shu davriga nisbatan 15% ga oshdi. Rossiya Federatsiyasida gaz sotishdan tushgan sof daromad o'tgan yilning shu davriga nisbatan 64,861 million rublga yoki 15 foizga o'sdi va 502,271 million rublni tashkil etdi. Bu, asosan, o'tgan yilning shu davriga nisbatan gazning o'rtacha narxining 13 foizga oshishi bilan bog'liq, bu Federal Tarif Xizmati (FTS) tomonidan belgilangan tariflarning oshishi bilan bog'liq. Neft va gaz mahsulotlarini sotishdan tushgan sof tushum (aksiz solig'i, QQS va bojxona to'lovlarini hisobga olmaganda) 213,012 million rublga yoki 42 foizga o'sdi va 717,723 million rublni tashkil etdi. o'tgan yilning shu davriga nisbatan. Bu o‘sish, asosan, neft va gaz mahsulotlarining jahon narxlarining oshgani va o‘tgan yilning shu davriga nisbatan sotish hajmining oshishi bilan izohlanadi. Gazprom neft guruhining daromadi neft va gaz mahsulotlarini sotishdan tushgan umumiy sof daromadning mos ravishda 85% va 84% ni tashkil etdi. Elektr va issiqlik energiyasini sotishdan olingan sof daromad (QQSsiz) 38 097 million rublga yoki 19 foizga oshib, 237 545 million rublni tashkil etdi. Elektr va issiqlik energiyasini sotishdan tushgan tushumning o'sishi asosan elektr va issiqlik energiyasiga tariflarning oshishi, shuningdek, elektr va issiqlik energiyasini sotish hajmining oshishi bilan bog'liq. Xom neft va gaz kondensatini sotishdan olingan sof tushum (aksiz solig'i, QQS va bojxona to'lovlarini hisobga olmaganda) 23 072 million rublga yoki 16 foizga o'sdi va 164 438 million rublni tashkil etdi. 141 366 million rublga nisbatan. o'tgan yilning shu davri uchun. O‘zgarish, asosan, neft va gaz kondensati narxining oshishi bilan bog‘liq. Bundan tashqari, o'zgarish gaz kondensatini sotish hajmining oshishi bilan bog'liq. Xom neftni sotishdan tushgan daromad 133,368 million rublni tashkil etdi. va 121,675 million rubl. 2011 va 2010 yillarda xom neft va gaz kondensatini sotishdan tushgan sof tushumlarda (aksiz solig'i, QQS va bojxona to'lovlarini hisobga olmaganda). Gaz tashish xizmatlarini sotishdan olingan sof daromad (QQSni hisobga olmaganda) 67,195 million rublga nisbatan 15,306 million rublga yoki 23 foizga o'sdi va 82,501 million rublni tashkil etdi. o'tgan yilning shu davri uchun. Bu o'sish, asosan, mustaqil yetkazib beruvchilar uchun gazni tashish tariflarining oshishi, shuningdek, gaz hajmining oshishi bilan bog'liq. ѐ o'tgan yilning shu davriga nisbatan mustaqil etkazib beruvchilar uchun gaz tashish mov. Boshqa daromadlar 19 617 million rublga yoki 22 foizga oshdi va 107 119 million rublni tashkil etdi. 87 502 million rublga nisbatan. o'tgan yilning shu davri uchun. Haqiqiy etkazib berishsiz savdo operatsiyalari uchun xarajatlar 837 million rublni tashkil etdi. 5 786 million rubl daromadga nisbatan. o'tgan yilning shu davri uchun. Operatsion xarajatlarga kelsak, ular 23 foizga oshdi va 2 119 289 million rublni tashkil etdi. 1 726 604 million rublga nisbatan. o'tgan yilning shu davri uchun. Savdodan tushgan tushumdagi operatsion xarajatlarning ulushi 69% dan 64% gacha kamaydi. Mehnat xarajatlari 18 foizga oshdi va 267,377 million rublni tashkil etdi. 227 500 million rublga nisbatan. o'tgan yilning shu davri uchun. O'sish, asosan, o'rtacha ish haqining oshishi bilan bog'liq. Tahlil qilinayotgan davr uchun amortizatsiya 9 foizga yoki 17 026 million rublga o'sdi va 184 610 million rublga nisbatan 201 636 million rublni tashkil etdi. o'tgan yilning shu davri uchun. O'sish, asosan, asosiy fondlar bazasini kengaytirish hisobiga bo'ldi. Yuqoridagi omillar natijasida sotishdan olingan foyda 401,791 million rublga yoki 52 foizga oshdi va 1,176,530 million rublni tashkil etdi. 774,739 million rublga nisbatan. o'tgan yilning shu davri uchun. 2011-yil 30-sentabrda yakunlangan to‘qqiz oy davomida sotishdan olingan foyda marjasi 31 foizdan 36 foizga oshdi. Shunday qilib, "Gazprom" OAJ global energetika kompaniyasidir. Faoliyatining asosiy turlari geologik qidiruv, qazib olish, tashish, saqlash, qayta ishlash va gaz, gaz kondensati va neftni sotish, shuningdek, issiqlik va elektr energiyasini ishlab chiqarish va sotishdan iborat. Korxonaning moliyaviy ahvoli barqaror. Ishlash ko'rsatkichlari ijobiy dinamikani ko'rsatmoqda. 2 Kompaniyaning axborot xavfsizligi tizimining tavsifi Keling, "Gazprom" OAJ Korporativ himoya xizmati bo'linmalari faoliyatining asosiy yo'nalishlarini ko'rib chiqaylik: "Gazprom" OAJ va uning sho''ba korxonalari va tashkilotlarining muhandislik-texnik xavfsizlik uskunalari (ITSE), axborot xavfsizligi tizimlari (IS) tizimlari va komplekslarini rivojlantirish bo'yicha maqsadli dasturlarni ishlab chiqish, axborot-texnikaviy ta'minlashga qaratilgan investitsiya dasturini shakllantirishda ishtirok etish. xavfsizlik; buyurtmachining axborot xavfsizligi tizimlarini, shuningdek, ITSO tizimlari va komplekslarini ishlab chiqish bo'yicha vakolatlarini amalga oshirish; axborot xavfsizligi tizimlarini, ITSO tizimlari va komplekslarini rivojlantirish, shuningdek, axborot xavfsizligi tizimlari nuqtai nazaridan ATni yaratish bo‘yicha chora-tadbirlarni amalga oshirish uchun byudjet so‘rovlarini va byudjetlarni ko‘rib chiqish va tasdiqlash; axborot xavfsizligi tizimlari, ITSO tizimlari va komplekslarini ishlab chiqish bo‘yicha loyiha va loyihadan oldingi hujjatlarni, shuningdek axborot tizimlari, aloqa va telekommunikatsiya tizimlarini yaratish (modernizatsiya qilish) bo‘yicha texnik shartlarni axborot xavfsizligi talablari nuqtai nazaridan ko‘rib chiqish va tasdiqlash; ITSO tizimlari va majmualari, axborot xavfsizligi tizimlari (shuningdek, ularni yaratish bo'yicha ishlar va xizmatlar)ning belgilangan talablarga muvofiqligini baholash bo'yicha ishlarni tashkil etish; texnik axborotni muhofaza qilish bo'yicha ishlarni muvofiqlashtirish va nazorat qilish. Gazprom shaxsiy ma'lumotlarning himoyasini ta'minlash tizimini yaratdi. Biroq, federal ijro etuvchi hokimiyat organlari tomonidan amaldagi qonunlar va hukumat qarorlarini ishlab chiqishda bir qator me'yoriy-huquqiy hujjatlarning qabul qilinishi shaxsiy ma'lumotlarni himoya qilishning amaldagi tizimini takomillashtirish zarurligini taqozo etadi. Ushbu muammoni hal etish manfaatlaridan kelib chiqib, ilmiy-tadqiqot ishlari doirasida qator hujjatlar ishlab chiqilib, tasdiqlanmoqda. Birinchidan, bular Gazprom taraqqiyot tashkilotining standartlari loyihalari: "Gazprom" OAJ, uning sho''ba korxonalari va tashkilotlarining shaxsiy ma'lumotlarining axborot tizimlarini tasniflash metodologiyasi; "Gazprom" OAJ, uning sho''ba korxonalari va tashkilotlarining shaxsiy ma'lumotlar tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarga tahdidlar modeli. Ushbu hujjatlar Rossiya Federatsiyasi Hukumatining 2007 yil 17 noyabrdagi 781-sonli "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash to'g'risidagi nizomni tasdiqlash to'g'risida"gi qarori talablarini hisobga olgan holda ishlab chiqilgan. ISPDn "Gazprom" OAJning ko'p qismini o'z ichiga olgan maxsus tizimlar sinfiga nisbatan. Bundan tashqari, hozirda "Gazprom" OAJ, uning sho'ba korxonalari va tashkilotlarining shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlangan shaxsiy ma'lumotlar xavfsizligini tashkil etish va texnik ta'minlash to'g'risidagi nizomni ishlab chiqish davom etmoqda. Shuni ta'kidlash kerakki, "Gazprom" OAJ standartlashtirish tizimi doirasida axborot xavfsizligi tizimi standartlari ishlab chiqilgan bo'lib, ular "Gazprom" OAJ axborot tizimlarida qayta ishlangan shaxsiy ma'lumotlarni himoya qilish muammolarini hal qilishga imkon beradi. Axborot xavfsizligi tizimiga oid yettita standart tasdiqlandi va joriy yilda joriy etilmoqda. Standartlar "Gazprom" OAJ va uning sho''ba korxonalari uchun axborot xavfsizligi tizimlarini qurish uchun asosiy talablarni belgilaydi. Bajarilgan ishlar natijalari moddiy, moliyaviy va intellektual resurslardan yanada oqilona foydalanish, zarur me’yoriy-uslubiy ta’minotni yaratish, samarali himoya vositalarini joriy etish va natijada axborotda qayta ishlangan shaxsiy ma’lumotlar xavfsizligini ta’minlash imkonini beradi. "Gazprom" OAJ tizimlari. "Gazprom" OAJning axborot xavfsizligini tahlil qilish natijasida axborot xavfsizligini ta'minlashda quyidagi kamchiliklar aniqlandi: tashkilotda keng qamrovli xavfsizlik siyosatini tartibga soluvchi yagona hujjat yo'q; Tarmoq hajmi va foydalanuvchilar sonini (100 dan ortiq) hisobga olgan holda shuni ta'kidlash kerakki, tizim boshqaruvi, axborot xavfsizligi va texnik ta'minot uchun bir shaxs mas'uldir; muhimlik darajasi bo'yicha axborot aktivlarining tasnifi mavjud emas; axborot xavfsizligi bo'yicha rollar va mas'uliyatlar lavozim tavsiflariga kiritilmagan; xodim bilan tuzilgan mehnat shartnomasida ishlayotganlarning ham, tashkilotning ham axborot xavfsizligini ta'minlash majburiyatlari to'g'risida band yo'q; axborot xavfsizligi sohasida kadrlar tayyorlash ta'minlanmagan; tashqi tahdidlardan himoya qilish nuqtai nazaridan: tashqi va ekologik tahdidlar natijasida sodir bo'lgan baxtsiz hodisalardan keyin ma'lumotlarni qayta tiklash uchun odatiy xatti-harakatlar tartiblari ishlab chiqilmagan; server xonasi alohida xona emas, xonaga ikkita bo'lim maqomi berilgan (tizim ma'muridan tashqari yana bir kishi server xonasiga kirish huquqiga ega); kabellarga ulangan ruxsatsiz qurilmalarni texnik tekshirish va fizikaviy tekshirish o'tkazilmaydi; kirish elektron ruxsatnomalar yordamida amalga oshirilganiga va barcha ma'lumotlar maxsus ma'lumotlar bazasiga kiritilganiga qaramay, uning tahlili o'tkazilmaydi; zararli dasturlardan himoya qilish nuqtai nazaridan: tashqi tarmoqlardan yoki ular orqali fayllarni qabul qilish bilan bog'liq yoki olinadigan tashuvchida mavjud bo'lgan xavflardan himoya qilish uchun rasmiy siyosat mavjud emas; zararli dasturlardan himoya qilish nuqtai nazaridan: mahalliy tarmoqni zararli koddan himoya qilish bo'yicha ko'rsatmalar mavjud emas; trafikni boshqarish yo'q, tashqi tarmoqlarning pochta serverlariga kirish imkoniyati mavjud; barcha zaxira nusxalari server xonasida saqlanadi; ishonchsiz, eslab qolish oson parollardan foydalaniladi; foydalanuvchilar tomonidan parollarni olish hech qanday tarzda tasdiqlanmagan; parollar administrator tomonidan aniq matnda saqlanadi; parollar o'zgarmaydi; Axborot xavfsizligi hodisalari haqida xabar berish tartibi mavjud emas. Shunday qilib, ushbu kamchiliklardan kelib chiqib, axborot xavfsizligi siyosatiga oid me'yoriy hujjatlar to'plami ishlab chiqildi, jumladan: xodimlarni ishga olish (ishdan bo'shatish) va tizim resurslariga kirish uchun zarur vakolatlarni berish (mahrum qilish) bo'yicha siyosat; tarmoq foydalanuvchilarining ishlashi davomidagi ishiga oid siyosat; parolni himoya qilish siyosati; jismoniy himoyani tashkil etish siyosati; Internet siyosati; shuningdek, ma'muriy xavfsizlik choralari. Ushbu qoidalarni o'z ichiga olgan hujjatlar tashkilot rahbariyati tomonidan ko'rib chiqish bosqichida. 3 Mavjud axborot xavfsizligi tizimini modernizatsiya qilish bo'yicha kompleks chora-tadbirlarni ishlab chiqish "Gazprom" OAJning axborot xavfsizligi tizimini tahlil qilish natijasida tizimning sezilarli zaifliklari aniqlandi. Xavfsizlik tizimining aniqlangan kamchiliklarini bartaraf etish choralarini ishlab chiqish uchun biz himoya qilinishi kerak bo'lgan quyidagi ma'lumotlar guruhlarini ajratib ko'rsatamiz: xodimlarning shaxsiy hayoti to'g'risidagi ma'lumotlar, ularni aniqlash imkonini beradi (shaxsiy ma'lumotlar); kasbiy faoliyat bilan bog'liq va bank, audit va aloqa sirini tashkil etuvchi ma'lumotlar; kasbiy faoliyat bilan bog'liq va "rasmiy foydalanish uchun" ma'lumot sifatida belgilangan ma'lumotlar; yo'q qilinishi yoki o'zgartirilishi operatsion samaradorlikka salbiy ta'sir ko'rsatadigan ma'lumotlar va qayta tiklash qo'shimcha xarajatlarni talab qiladi. Ma'muriy choralar nuqtai nazaridan quyidagi tavsiyalar ishlab chiqildi: axborot xavfsizligi tizimi Rossiya Federatsiyasi qonunchiligiga va davlat standartlariga mos kelishi kerak; axborotni qayta ishlash vositalari o'rnatilgan yoki saqlanadigan, himoyalangan axborot bilan ish olib boriladigan binolar va binolar signalizatsiya va kirishni boshqarish vositalari bilan qo'riqlanishi va himoya qilinishi kerak; xodimni ishga qabul qilishda xodimlarni axborot xavfsizligi masalalari bo‘yicha o‘qitish (parol bilan himoyalanish va parol talablarining ahamiyatini tushuntirish, virusga qarshi dasturlar bo‘yicha treninglar o‘tkazish va h.k.) tashkil etilishi kerak; xodimlarning axborot xavfsizligi sohasidagi savodxonligini oshirishga qaratilgan har 6-12 oyda bir marta treninglar o‘tkazish; tizimning auditi va ishlab chiqilgan me'yoriy-huquqiy hujjatlarga tuzatishlar har yili, 1 oktyabrda yoki korxona tarkibiga katta o'zgartirishlar kiritilgandan so'ng darhol amalga oshirilishi kerak; har bir foydalanuvchining axborot resurslariga kirish huquqi hujjatlashtirilgan bo‘lishi kerak (agar kerak bo‘lsa, kirish huquqi menejerdan yozma ravishda so‘raladi); axborot xavfsizligi siyosati dasturiy ta'minot ma'muri va apparat administratori tomonidan ta'minlanishi kerak, ularning harakatlari guruh rahbari tomonidan muvofiqlashtiriladi. Keling, parol siyosatini tuzamiz: ularni shifrlanmagan shaklda saqlamang (ularni qog'ozga, oddiy matn fayliga va hokazolarga yozmang); agar parol oshkor etilsa yoki oshkor qilinganlikda gumon qilinsa, uni o'zgartirish; uzunligi kamida 8 ta belgidan iborat bo'lishi kerak; Parolda katta va kichik harflar, raqamlar va maxsus belgilar bo'lishi kerak, parol osongina hisoblangan belgilar ketma-ketligini (ismlari, hayvonlarning nomlari, sanalari) o'z ichiga olmaydi; har 6 oyda bir marta o'zgartirish (rejadan tashqari parolni o'zgartirishni o'zgartirishga sabab bo'lgan voqea haqida xabar olgandan so'ng darhol amalga oshirilishi kerak); Parollarni o'zgartirganda, siz ilgari ishlatilganlarini tanlay olmaysiz (parollar kamida 6 pozitsiyada farq qilishi kerak). Keling, antivirus dasturlari va viruslarni aniqlash siyosatini ishlab chiqaylik: Litsenziyalangan antivirus dasturlari har bir ish stantsiyasiga o'rnatilgan bo'lishi kerak; Internet tarmog‘iga ulangan ish stansiyalarida virusga qarshi ma’lumotlar bazasini yangilash – kuniga bir marta, Internetga ulanmagan holda – haftasiga kamida bir marta; viruslarni aniqlash uchun ish stantsiyalarini avtomatik skanerlashni o'rnatish (tekshirish chastotasi - haftada bir marta: juma, 12:00); Faqat ma'mur virusga qarshi ma'lumotlar bazasini yangilashni yoki virusni tekshirishni to'xtatishi mumkin (ko'rsatilgan foydalanuvchi harakati uchun parol himoyasi o'rnatilishi kerak). Keling, jismoniy himoyaga oid siyosatni shakllantiramiz: kabellarga ulangan ruxsatsiz qurilmalar uchun texnik tekshiruv va fizik tekshiruv har 1-2 oyda amalga oshirilishi kerak; tarmoq kabellari ma'lumotlarni ruxsatsiz ushlashdan himoyalangan bo'lishi kerak; uskunalar bilan sodir bo'lgan barcha shubhali va haqiqiy nosozliklar yozuvlari jurnalda saqlanishi kerak Har bir ish stantsiyasi uzluksiz quvvat manbai bilan jihozlangan bo'lishi kerak. Keling, ma'lumotni zahiraga olish siyosatini belgilaylik: zaxira nusxalari uchun ma'muriy binodan tashqarida joylashgan alohida xona ajratilishi kerak (xona elektron qulf va signalizatsiya bilan jihozlangan bo'lishi kerak); Ma'lumotni bron qilish har juma soat 16:00 da amalga oshirilishi kerak. Xodimlarni yollash/ishdan bo'shatish siyosati quyidagicha bo'lishi kerak: Har qanday kadrlar o'zgarishi (xodimni ishga olish, lavozimga ko'tarish, ishdan bo'shatish va h.k.) 24 soat ichida ma'murga xabar qilinishi kerak, u o'z navbatida yarim ish kuni ichida kirish huquqlarini chegaralash uchun tizimga tegishli o'zgartirishlar kiritishi kerak. korxona resurslariga; yangi xodim ma'mur tomonidan treningdan o'tishi kerak, shu jumladan xavfsizlik siyosati va barcha zarur ko'rsatmalar bilan tanishish; yangi xodim uchun ma'lumotlarga kirish darajasi menejer tomonidan belgilanadi; Xodim tizimni tark etganda, uning identifikatori va paroli o'chiriladi, ish stantsiyasida viruslar tekshiriladi va xodim kirish huquqiga ega bo'lgan ma'lumotlarning yaxlitligi tahlil qilinadi. Mahalliy ichki tarmoq (LAN) va ma'lumotlar bazalari (MB) bilan ishlash siyosati: o'z ish stantsiyasida va LANda ishlaganda, xodim faqat rasmiy faoliyati bilan bog'liq bo'lgan vazifalarni bajarishi kerak; Xodim ma'murni virusga qarshi dasturlardan viruslar paydo bo'lishi haqidagi xabarlar haqida xabardor qilishi kerak; ma'murlardan boshqa hech kimga ish stantsiyalari va boshqa LAN tugunlarining dizayni yoki konfiguratsiyasiga o'zgartirishlar kiritishga, har qanday dasturiy ta'minotni o'rnatishga, ish stantsiyasini nazoratsiz qoldirishga yoki ruxsat etilmagan shaxslarga kirishiga ruxsat berilmaydi; Administratorlarga har doim ikkita dasturning ishlashini ta'minlash tavsiya etiladi: ARP-spoofing hujumlarini aniqlash yordam dasturi va snayfer, ulardan foydalanish tarmoqni potentsial buzg'unchining ko'zi bilan ko'rish va xavfsizlik siyosatini buzganlarni aniqlash imkonini beradi; “Har qanday shaxsga ma’lum vazifalarni bajarish uchun zarur bo‘lgan imtiyozlar beriladi” tamoyili asosida administrator tomonidan belgilangan dasturlardan boshqa dasturlarni ishga tushirishga to‘sqinlik qiluvchi dasturiy ta’minotni o‘rnatishingiz kerak. Barcha foydalanilmagan kompyuter portlari apparat yoki dasturiy ta'minot tomonidan o'chirilgan bo'lishi kerak; Dasturiy ta'minot muntazam yangilanishi kerak. Internet siyosati: ma'murlarga mazmuni rasmiy vazifalarni bajarish bilan bog'liq bo'lmagan resurslarga, shuningdek mazmuni va yo'nalishi xalqaro va Rossiya qonunchiligi bilan taqiqlangan resurslarga kirishni cheklash huquqi berilgan; xodimga viruslarni avval tekshirmasdan fayllarni yuklab olish va ochish taqiqlanadi; Kompaniya xodimlari tashrif buyurgan resurslar to'g'risidagi barcha ma'lumotlar jurnalda saqlanishi kerak va agar kerak bo'lsa, bo'lim boshliqlariga, shuningdek rahbariyatga taqdim etilishi mumkin. elektron raqamli imzodan foydalanish orqali elektron yozishmalar va idoraviy hujjatlarning maxfiyligi va yaxlitligi ta’minlanadi. Bundan tashqari, biz "Gazprom" OAJ xodimlari uchun parollar yaratish uchun asosiy talablarni shakllantiramiz. Parol uy kalitiga o'xshaydi, faqat u ma'lumot kalitidir. Oddiy kalitlar uchun uni yo'qotish, o'g'irlash yoki begonaga topshirish juda istalmagan. Xuddi shu narsa parol uchun ham amal qiladi. Albatta, ma'lumotlarning xavfsizligi nafaqat parolga bog'liq, uni ta'minlash uchun siz bir qator maxsus sozlamalarni o'rnatishingiz va, ehtimol, hatto xakerlikdan himoya qiluvchi dastur yozishingiz kerak. Ammo parolni tanlash - bu faqat foydalanuvchining axborotni himoya qilishga qaratilgan chora-tadbirlar zanjirida qanchalik kuchli bo'lishiga bog'liq bo'lgan harakatdir. ) parol uzun bo'lishi kerak (8-12-15 belgilar); ) lug‘atdan (har qanday lug‘at, hatto maxsus atamalar va jargonlar lug‘atidan) olingan so‘z, tegishli nom yoki lotincha (lotincha – kfnsym) tartibida terilgan kirill alifbosidagi so‘z bo‘lmasligi kerak; ) uni egasi bilan bog'lash mumkin emas; ) vaqti-vaqti bilan yoki kerak bo'lganda o'zgaradi; ) turli xil resurslarda ushbu quvvatda ishlatilmaydi (ya'ni, har bir resurs uchun - pochta qutisiga, operatsion tizimga yoki ma'lumotlar bazasiga kirish uchun - boshqa paroldan foydalanish kerak); ) uni eslab qolish mumkin. Lug'atdan so'zlarni tanlash maqsadga muvofiq emas, chunki lug'at hujumini amalga oshiruvchi tajovuzkor soniyada yuz minglab so'zlarni qidirishga qodir dasturlardan foydalanadi. Egasi bilan bog'liq har qanday ma'lumotni (tug'ilgan sanasi, itning ismi, onaning qizlik ismi va shunga o'xshash "parollar") osongina tanib olish va taxmin qilish mumkin. Katta va kichik harflardan, shuningdek raqamlardan foydalanish tajovuzkorning parolni taxmin qilish vazifasini ancha murakkablashtiradi. Parol sir saqlanishi kerak va agar parol kimgadir ma'lum bo'lgan deb gumon qilsangiz, uni o'zgartiring. Ularni vaqti-vaqti bilan o'zgartirish ham juda foydali. Xulosa Tadqiqot bizga quyidagi xulosalar chiqarish va tavsiyalarni shakllantirish imkonini berdi. Korxonaning axborot xavfsizligi sohasidagi muammolarining asosiy sababi tashkiliy, texnik, moliyaviy echimlarni o'z ichiga olgan axborot xavfsizligi siyosatining yo'qligi, keyinchalik ularning amalga oshirilishi monitoringi va samaradorligini baholashi aniqlandi. Axborot xavfsizligi siyosatining ta'rifi hujjatlashtirilgan qarorlar majmui sifatida shakllantirilgan bo'lib, ularning maqsadi axborotni va ular bilan bog'liq axborot xavflarini himoya qilishni ta'minlashdir. Axborot xavfsizligi tizimini tahlil qilish muhim kamchiliklarni aniqladi, jumladan: server xonasida zaxira nusxalarini saqlash, zaxira server asosiy serverlar bilan bir xonada joylashgan; parolni himoya qilish bo'yicha tegishli qoidalarning yo'qligi (parol uzunligi, uni tanlash va saqlash qoidalari); tarmoq boshqaruvi bir kishi tomonidan amalga oshiriladi. Korxonalarning axborot xavfsizligini boshqarish sohasidagi xalqaro va Rossiya amaliyotini umumlashtirish uni ta'minlash uchun quyidagilar zarur degan xulosaga kelishimizga imkon berdi: xavfsizlikka tahdidlarni, moliyaviy, moddiy va ma'naviy zarar keltiruvchi sabablar va shart-sharoitlarni prognoz qilish va o'z vaqtida aniqlash; axborot resurslariga xavfsizlik tahdidlarini amalga oshirish va har xil turdagi zarar etkazish xavfi minimal bo'lgan ish sharoitlarini yaratish; axborot xavfsizligiga tahdidlarga huquqiy, tashkiliy va texnik vositalar asosida samarali javob berish mexanizmi va shart-sharoitlarini yaratish. Ishning birinchi bobida asosiy nazariy jihatlar muhokama qilinadi. Axborot xavfsizligi sohasidagi bir nechta standartlarning umumiy ko'rinishi berilgan. Ularning har biri bo'yicha xulosalar chiqariladi va axborot xavfsizligi siyosatini shakllantirish uchun eng mos standart tanlanadi. Ikkinchi bobda tashkilot tuzilmasi ko'rib chiqiladi va axborot xavfsizligi bilan bog'liq asosiy muammolar tahlil qilinadi. Natijada axborot xavfsizligini tegishli darajada ta’minlash bo‘yicha tavsiyalar shakllantirildi. Axborot xavfsizligini buzish bilan bog'liq keyingi hodisalarning oldini olish choralari ham ko'rib chiqiladi. Albatta, tashkilotning axborot xavfsizligini ta’minlash doimiy monitoringni talab qiladigan uzluksiz jarayondir. Va tabiiy ravishda shakllangan siyosat himoyaning temir bilan qoplangan kafolati emas. Siyosatni amalga oshirishdan tashqari, uning sifatli amalga oshirilishini doimiy monitoring qilish, shuningdek, kompaniya yoki pretsedentlarda har qanday o'zgarishlar yuz bergan taqdirda takomillashtirish talab etiladi. Tashkilotga faoliyati ushbu funktsiyalar bilan bevosita bog'liq bo'lgan xodimni (xavfsizlik ma'muri) yollash tavsiya etildi. Adabiyotlar ro'yxati axborot xavfsizligiga moliyaviy zarar 1. Belov E.B. Axborot xavfsizligi asoslari. E.B. Belov, V.P. Los, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Ishonch telefoni - Telekom, 2006. - 544s Galatenko V.A. Axborot xavfsizligi standartlari: ma'ruzalar kursi. Tarbiyaviy nafaqa. - 2-nashr. M.: INTUIT.RU "Internet axborot texnologiyalari universiteti", 2009. - 264 b. Glatenko V.A. Axborot xavfsizligi standartlari / Ochiq tizimlar 2006.- 264c Dolzhenko A.I. Axborot tizimlarini boshqarish: O'quv kursi. - Rostov-na-Donu: RGEU, 2008.-125 p. Kalashnikov A. Ichki axborot xavfsizligining korporativ siyosatini shakllantirish #"oqlash">. Malyuk A.A. Axborot xavfsizligi: axborotni himoya qilishning kontseptual va uslubiy asoslari / M.2009-280s Mayvold E., Tarmoq xavfsizligi. O'z-o'zidan foydalanish bo'yicha qo'llanma // Ekom, 2009.-528 b. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Axborotlashtirish ob'ektlarining axborot xavfsizligini tashkiliy qo'llab-quvvatlash asoslari // Helios ARV, 2008, 192 pp.
