- اطلاعات شخصی دانش آموزان f دقیق

پرونده های شخصی دانش آموزان؛

کارت های شخصی دانش آموزان؛

اسناد جاری؛

ارزش های مادی و فنی.

تهدیدها امنیت

- سرقت؛

- دسترسی غیرمجاز؛

- نقض یکپارچگی اطلاعات rmation;

خرابی نرم افزار و سخت افزار.

روش های حفاظت

- آئین نامه؛

- اقدامات و روش های سازمانی، فنی و امنیتی؛

- نرم افزار و سخت افزار اطاعت کردن

حفاظت سازمانی

منابع تهدید

- منابع انسانی (کارکنان، دانش آموزان، مزاحمان)؛

منابع فناورانه (نرم افزار و سخت افزار)؛

منابع طبیعی تهدید (آتش سوزی، سیل، زلزله و غیره).

نتیجه

در روند اجرای پروژه دوره، تحلیلی از ابزارهای امنیت اطلاعات شرکت LLC "UK" Ashatli " انجام شد. تجزیه و تحلیل از منابع اطلاعاتی شرکت، تجزیه و تحلیل تهدیدات برای امنیت اطلاعات، و کاستی های مربوطه شناسایی شد.

اجرای اقدامات اصلاحی پیشنهادی به شرکت اجازه می دهد تا اثربخشی اقدامات حفاظتی را افزایش دهد و خطر از دست دادن اطلاعات را کاهش دهد. لازم به ذکر است که فرآیند سازماندهی یا سازماندهی مجدد امنیت اطلاعات فرآیند پیچیده ای است که در آن برنامه ها، پرسنل و تجهیزات به طور همزمان با یکدیگر تعامل دارند.

برای حل مشکل تامین امنیت اطلاعات باید اقدامات قانونی، سازمانی و نرم افزاری و سخت افزاری اعمال شود که به طور کامل رفع شود.

فهرست ادبیات استفاده شده

Maklakov S.V. ایجاد سیستم های اطلاعاتی با AllFusion Modeling Suite. – M.: Dialogue-MEPhI, 2003. – 432 p.

www. ashatli-agro.ru

قانون فدرال شماره 231-F "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مورخ 18/12/2006.

قانون فدرال فدراسیون روسیه 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"

2. سیستم آنتی ویروس ESET NOD 32 برای محافظت در برابر ویروس های کامپیوتری.

پایگاه های داده به طور مرتب به روز می شوند و ایستگاه های کاری اسکن می شوند.

3. پشتیبان گیری داخلی ویندوز برای ایجاد آرشیو.

OS Backup Wizard برنامه ای است که برای ایجاد و بازیابی سریع نسخه پشتیبان ویندوز طراحی شده است. این به شما امکان می دهد یک کپی از کل ویندوز یا فقط فایل ها و پوشه های جداگانه ایجاد کنید.

4. رمزگذاری با کلید 2048 بیتی برای کانال vpn (اتصال به دفتر شرکت مدیریت برای پست و گردش کار).

فصل 2. بهبود NIS

2.1 ضعف در سیستم امنیت اطلاعات

هنگام تجزیه و تحلیل مسائل مربوط به امنیت اطلاعات، لازم است ویژگی های این جنبه از امنیت را در نظر گرفت، که شامل این واقعیت است که امنیت اطلاعات بخشی جدایی ناپذیر از فناوری اطلاعات است - حوزه ای که با سرعت بی سابقه ای در حال توسعه است. آنچه در اینجا مهم است نه راه حل های فردی (قوانین، دوره های آموزشی، محصولات نرم افزاری و سخت افزاری) که به روز هستند، بلکه مکانیسم هایی برای تولید راه حل های جدید است که به شما امکان می دهد با سرعت پیشرفت فنی زندگی کنید.

فن آوری های برنامه نویسی مدرن اجازه ایجاد برنامه های بدون خطا را نمی دهد، که به توسعه سریع ابزارهای امنیت اطلاعات کمک نمی کند.

پس از تجزیه و تحلیل امنیت اطلاعات شرکت، می توان نتیجه گرفت که توجه کافی به امنیت اطلاعات نمی شود:

عدم دسترسی به رمزهای عبور به سیستم؛

عدم وجود رمزهای عبور هنگام کار با برنامه با 1C: Enterprise، هنگام تغییر داده ها.

هیچ حفاظت اضافی از فایل ها و اطلاعات وجود ندارد (هنگام باز کردن یا تغییر اطلاعات در فایل ها، به غیر از ابزارهای رمزگذاری داده ها، هیچ درخواست رمز اولیه ای وجود ندارد).

به روز رسانی نامنظم پایگاه داده های برنامه ضد ویروس و اسکن ایستگاه های کاری.

تعداد زیادی از اسناد روی کاغذ عمدتاً در پوشه‌ها (گاهی بدون آنها) روی دسکتاپ کارمند قرار دارند که به مهاجمان اجازه می‌دهد به راحتی از این نوع اطلاعات برای اهداف خود استفاده کنند.

هیچ بحث منظمی در مورد مسائل امنیت اطلاعات در شرکت و مشکلات در حال ظهور در این زمینه وجود ندارد.

بررسی منظم عملکرد سیستم های اطلاعاتی شرکت سازماندهی نشده است ، اشکال زدایی فقط در صورت شکست آنها انجام می شود.

فقدان سیاست امنیت اطلاعات؛

عدم وجود مدیر سیستم

همه موارد فوق نقص بسیار مهمی در تضمین امنیت اطلاعات یک شرکت است.

2.2 هدف و اهداف سیستم امنیت اطلاعات

امنیت اطلاعات - وضعیت حفاظت از منابع اطلاعاتی در شبکه های کامپیوتری و سیستم های سازمانی از دسترسی غیرمجاز، تداخل تصادفی یا عمدی در عملکرد عادی سیستم ها، تلاش برای از بین بردن اجزای آن.

اهداف امنیت اطلاعات:

جلوگیری از تهدیدات امنیتی شرکت به دلیل اقدامات غیرمجاز برای تخریب، تغییر، تحریف، کپی، مسدود کردن اطلاعات یا سایر اشکال دخالت غیرقانونی در منابع اطلاعاتی و سیستم های اطلاعاتی؛

حفظ اسرار تجاری پردازش شده با استفاده از فناوری رایانه؛

حفاظت از حقوق قانونی شهروندان برای حفظ رازداری شخصی و محرمانه بودن داده های شخصی موجود در سیستم های اطلاعاتی.

برای دستیابی به اهداف حفاظت، باید از راه حل موثر وظایف زیر اطمینان حاصل شود:

محافظت در برابر مداخله در روند عملکرد شرکت توسط افراد غیر مجاز؛

محافظت در برابر اقدامات غیرمجاز با منابع اطلاعاتی شرکت توسط افراد غیرمجاز و کارمندانی که دارای اختیار مناسب نیستند.

اطمینان از کامل بودن، قابلیت اطمینان و کارایی پشتیبانی اطلاعات برای اتخاذ تصمیمات مدیریتی توسط مدیریت شرکت؛

حصول اطمینان از ایمنی فیزیکی ابزارها و نرم افزارهای فنی شرکت و محافظت از آنها در برابر اقدامات تهدیدات مصنوعی و طبیعی.

ثبت رویدادهایی که بر امنیت اطلاعات تأثیر می گذارد ، اطمینان از کنترل کامل و مسئولیت پذیری اجرای کلیه عملیات انجام شده در شرکت.

شناسایی، ارزیابی و پیش بینی به موقع منابع تهدید امنیت اطلاعات، علل و شرایطی که به آسیب به منافع افراد، اختلال در عملکرد عادی و توسعه شرکت کمک می کند.

تجزیه و تحلیل خطرات ناشی از اجرای تهدیدات برای امنیت اطلاعات و ارزیابی آسیب های احتمالی، جلوگیری از عواقب غیرقابل قبول نقض امنیت اطلاعات شرکت، ایجاد شرایط برای به حداقل رساندن و بومی سازی آسیب های ناشی از آن.

اطمینان از امکان بازگرداندن وضعیت فعلی شرکت در صورت نقض امنیت اطلاعات و از بین بردن عواقب این تخلفات.

· ایجاد و شکل گیری خط مشی امنیت اطلاعات هدفمند شرکت.

2.3 اقدامات و وسایل برای بهبود سیستم امنیت اطلاعات

برای دستیابی به اهداف تعیین شده و حل مشکلات، انجام فعالیت هایی در سطوح امنیت اطلاعات ضروری است.

سطح اداری امنیت اطلاعات

برای تشکیل سیستم امنیت اطلاعات، تدوین و تصویب خط مشی امنیت اطلاعات ضروری است.

سیاست امنیتی مجموعه ای از قوانین، قواعد و هنجارهای رفتاری است که با هدف حفاظت از اطلاعات و منابع مرتبط با آن انجام می شود.

لازم به ذکر است که خط مشی در حال تدوین باید با قوانین و مقررات موجود مربوط به سازمان، یعنی. این قوانین و مقررات باید شناسایی و در تدوین سیاست مورد توجه قرار گیرند.

هرچه سیستم قابل اعتمادتر باشد، سیاست امنیتی باید سختگیرانه تر و متنوع تر باشد.

بسته به خط مشی تدوین شده، می توانید مکانیسم های خاصی را انتخاب کنید که امنیت سیستم را تضمین می کند.

سطح سازمانی حفاظت از اطلاعات.

با توجه به کاستی هایی که در بخش قبل توضیح داده شد، می توان اقدامات زیر را برای بهبود امنیت اطلاعات پیشنهاد کرد:

سازماندهی کار بر روی آموزش کارکنان در مهارت های کار با محصولات نرم افزاری جدید با مشارکت متخصصان واجد شرایط.

توسعه اقدامات لازم با هدف بهبود سیستم اقتصادی، اجتماعی و امنیت اطلاعات شرکت.

ارائه آموزش به گونه ای که هر کارمند از اهمیت و محرمانه بودن اطلاعاتی که به او سپرده شده است آگاه باشد، زیرا به عنوان یک قاعده، دلیل افشای اطلاعات محرمانه، آگاهی ناکافی کارکنان از قوانین حفاظت از اسرار تجاری و سوء تفاهم است (یا سوء تفاهم) از نیاز به رعایت دقیق آنها.

کنترل دقیق بر رعایت قوانین کار با اطلاعات محرمانه توسط کارکنان؛

نظارت بر رعایت قوانین مربوط به ذخیره اسناد کاری کارکنان شرکت؛

جلسات برنامه ریزی شده، سمینارها، بحث در مورد مسائل امنیت اطلاعات سازمانی؛

بررسی و نگهداری منظم (برنامه ریزی شده) کلیه سیستم های اطلاعاتی و زیرساخت های اطلاعاتی برای عملکرد.

یک مدیر سیستم به صورت دائمی تعیین کنید.

اقدامات نرم افزاری و سخت افزاری برای محافظت از اطلاعات.

نرم افزار و سخت افزار یکی از مهم ترین مولفه های اجرای حفاظت اطلاعات یک بنگاه اقتصادی می باشد، بنابراین برای افزایش سطح حفاظت اطلاعات لازم است اقدامات زیر معرفی و اعمال شود:

وارد کردن رمزهای عبور کاربر؛

برای تنظیم دسترسی کاربران به منابع اطلاعاتی شرکت، باید لیستی از کاربرانی را وارد کنید که وارد سیستم می شوند. با نصب Windows Server 2003 Std بر روی سرور، می توانید لیستی از کاربران با رمزهای عبور مربوطه ایجاد کنید. گذرواژه‌ها را با دستورالعمل‌های مناسب برای استفاده کارمندان توزیع کنید. همچنین باید تاریخ انقضای رمز عبور را وارد کنید و پس از آن از کاربر خواسته می شود تا رمز عبور را تغییر دهد. تعداد تلاش برای ورود به سیستم با رمز عبور نادرست را محدود کنید (مثلاً به سه).

معرفی درخواست رمز عبور در برنامه 1C: Enterprise هنگام کار با پایگاه داده، هنگام تغییر داده ها. این کار را می توان با استفاده از ابزارها و نرم افزارهای نرم افزار رایانه شخصی انجام داد.

تمایز دسترسی به فایل ها، دایرکتوری ها، دیسک ها.

تمایز دسترسی به فایل‌ها و دایرکتوری‌ها توسط مدیر سیستم انجام می‌شود، که اجازه دسترسی به درایوها، پوشه‌ها و فایل‌های مربوطه را برای هر کاربر به طور خاص می‌دهد.

اسکن منظم ایستگاه های کاری و به روز رسانی پایگاه داده برنامه های آنتی ویروس.

به شما امکان می دهد برنامه های مخرب را شناسایی و خنثی کنید، علل عفونت را از بین ببرید. نصب، پیکربندی و نگهداری ابزارها و سیستم‌های حفاظت ضد ویروس ضروری است.

برای انجام این کار، باید برنامه آنتی ویروس را طوری پیکربندی کنید که به طور منظم رایانه شما را اسکن کند و به طور مرتب پایگاه داده ها را از سرور به روز کند.

نصب فایروال Agnitum Outpost FireWall بر روی کامپیوتر سرور، که حملات از طریق اینترنت را مسدود می کند.

مزایای استفاده از فایروال Agnitum Outpost:

¾ اتصالات رایانه شما با دیگران را کنترل می کند، هکرها را مسدود می کند و از دسترسی غیرمجاز به شبکه خارجی و داخلی جلوگیری می کند.

آسیب پذیرترین مکان در سیستم امنیتی را می توان کارکنان شرکت و نرم افزار و سخت افزار نامید. به ویژه، در صورت خرابی تجهیزات، از داده ها در رایانه های شخصی نسخه پشتیبان تهیه نمی شود، ممکن است برخی از داده های مهم از بین بروند. سیستم عامل MS Windows XP و نرم افزار مورد استفاده به روز نمی شوند، که ممکن است منجر به دسترسی غیرمجاز به اطلاعات ذخیره شده در رایانه شخصی یا آسیب آن به دلیل خطا در نرم افزار شود. دسترسی کارکنان به منابع اینترنتی کنترل نمی شود، که ممکن است منجر به نشت داده شود. مکاتبات ایمیل تجاری از طریق کانال های ناامن از طریق اینترنت انجام می شود، پیام های ایمیل در سرورهای خدمات پستی در اینترنت ذخیره می شود. برخی از کارکنان در کار با سیستم های خودکار مورد استفاده در آکادمی مهارت کافی ندارند، که می تواند منجر به نمایش داده های نادرست در سیستم شود. کارکنان به رایانه های شخصی همکاران خود دسترسی دارند که با سهل انگاری می تواند منجر به از دست دادن اطلاعات شود. همه اعضای هیئت علمی به آرشیو دسترسی دارند، در نتیجه ممکن است برخی از پرونده های شخصی گم شوند یا جستجوی آنها طولانی شود. هیچ مقررات ایمنی وجود ندارد

هدف اصلی سیستم امنیت اطلاعات اطمینان از عملکرد پایدار تاسیسات، جلوگیری از تهدیدات امنیتی آن، حفاظت از منافع قانونی شرکت در برابر تجاوزات غیرقانونی، جلوگیری از افشا، از دست دادن، نشت، تحریف و تخریب اطلاعات رسمی و شخصی است. اطلاعات، حصول اطمینان از فعالیت های تولید عادی تمام بخش های تاسیسات.

یکی دیگر از اهداف سیستم امنیت اطلاعات ارتقای کیفیت خدمات ارائه شده و تضمین های امنیتی است.

وظایف تشکیل یک سیستم امنیت اطلاعات در یک سازمان عبارتند از: یکپارچگی اطلاعات، قابلیت اطمینان اطلاعات و محرمانه بودن آن. زمانی که وظایف به پایان رسید، هدف محقق خواهد شد.

ایجاد سیستم های امنیت اطلاعات در IS و IT بر اساس اصول زیر است:

یک رویکرد سیستماتیک برای ساختن یک سیستم حفاظتی، که به معنای ترکیب بهینه از ویژگی های سازمانی، نرم افزاری، سخت افزاری، فیزیکی و سایر ویژگی های مرتبط با یکدیگر است که توسط عمل ایجاد سیستم های حفاظتی داخلی و خارجی تأیید شده و در تمام مراحل چرخه فناوری پردازش اطلاعات مورد استفاده قرار می گیرد. .

اصل توسعه مستمر سیستم. این اصل، که یکی از اصول اساسی برای سیستم های اطلاعات کامپیوتری است، حتی بیشتر برای NIS مرتبط است. راه‌های پیاده‌سازی تهدیدات علیه اطلاعات در فناوری اطلاعات دائماً در حال بهبود است و بنابراین اطمینان از امنیت IP نمی‌تواند یک اقدام یک‌باره باشد. این یک فرآیند مستمر است که شامل اثبات و اجرای منطقی‌ترین روش‌ها، روش‌ها و راه‌های بهبود ISS، نظارت مستمر، شناسایی تنگناها و نقاط ضعف آن، کانال‌های نشت اطلاعات احتمالی و روش‌های جدید دسترسی غیرمجاز است.

تفکیک و به حداقل رساندن اختیارات برای دسترسی به اطلاعات پردازش شده و فرآیندهای پردازش، یعنی. ارائه حداقل اختیارات کاملاً تعریف شده برای کاربران و کارمندان IS برای انجام وظایف رسمی خود کافی است.

کامل بودن کنترل و ثبت تلاش‌های دسترسی غیرمجاز، یعنی. لزوم تعیین دقیق هویت هر کاربر و ثبت اقدامات وی برای بررسی احتمالی و همچنین عدم امکان انجام هرگونه عملیات پردازش اطلاعات در فناوری اطلاعات بدون ثبت قبلی آن.

اطمینان از قابلیت اطمینان سیستم حفاظتی، به عنوان مثال. عدم امکان کاهش سطح اطمینان در صورت خرابی، خرابی، اقدامات عمدی هکر یا خطاهای غیرعمدی کاربران و پرسنل تعمیر و نگهداری در سیستم.

اطمینان از کنترل عملکرد سیستم حفاظتی، به عنوان مثال. ایجاد ابزار و روش هایی برای نظارت بر عملکرد مکانیسم های حفاظتی.

ارائه انواع ابزارهای ضد بدافزار.

اطمینان از امکان اقتصادی استفاده از سیستم حفاظتی، که در بیش از حد آسیب احتمالی به IS و IT ناشی از اجرای تهدیدها بیش از هزینه توسعه و راه اندازی ISS بیان می شود.

ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

میزبانی شده در http://www.allbest.ru/

پروژه دوره

در رشته "امنیت اطلاعات"

در مورد موضوع

«بهبود سیستم امنیت اطلاعات در

شرکت LLC "فر"

معرفی

صحبت از امنیت اطلاعات، در حال حاضر، در واقع به معنای امنیت رایانه است. در واقع، اطلاعات در مورد رسانه های الکترونیکی نقش مهمی را در زندگی جامعه مدرن ایفا می کند. آسیب پذیری چنین اطلاعاتی به دلیل عوامل متعددی است: حجم عظیم، دسترسی چند نقطه ای و ناشناس بودن احتمالی دسترسی، امکان "خرابکاری اطلاعاتی"... همه اینها وظیفه تضمین امنیت اطلاعات واقع در یک محیط کامپیوتری را بر عهده دارد. مشکلی بسیار دشوارتر از مثلا حفظ راز مکاتبات پستی سنتی.

اگر در مورد امنیت اطلاعات ذخیره شده در رسانه های سنتی (کاغذ، چاپ عکس و ...) صحبت کنیم، ایمنی آن با رعایت اقدامات حفاظتی فیزیکی (یعنی محافظت در برابر ورود غیرمجاز به فضای ذخیره سازی رسانه) حاصل می شود. جنبه های دیگر حفاظت از چنین اطلاعاتی مربوط به بلایای طبیعی و بلایای انسانی است. بنابراین، مفهوم امنیت اطلاعات "رایانه" به عنوان یک کل گسترده تر از امنیت اطلاعات در رابطه با رسانه های "سنتی" است.

اگر ما در مورد تفاوت در رویکردهای حل مشکل امنیت اطلاعات در سطوح مختلف (ایالتی، منطقه ای، سطح یک سازمان) صحبت کنیم، پس چنین تفاوت هایی به سادگی وجود ندارد. رویکرد تضمین امنیت سیستم خودکار دولتی "Vybory" با رویکرد تضمین امنیت یک شبکه محلی در یک شرکت کوچک تفاوتی ندارد. بنابراین اصول تضمین امنیت اطلاعات در این مقاله بر روی نمونه هایی از فعالیت های یک سازمان مجزا در نظر گرفته شده است.

هدف از پروژه دوره بهبود سیستم امنیت اطلاعات Oven LLC است. اهداف کار دوره این خواهد بود - تجزیه و تحلیل Oven LLC، منابع، ساختار و سیستم امنیت اطلاعات موجود در شرکت و جستجوی روش هایی برای بهبود آن.

در مرحله اول، تجزیه و تحلیل سیستم امنیت اطلاعات انجام خواهد شد. از نتایج به‌دست‌آمده، در مرحله دوم، جستجوی روش‌هایی برای بهبود حفاظت اطلاعات در صورت وجود نقاط ضعف در این سیستم انجام می‌شود.

1. تجزیه و تحلیل سیستم امنیت اطلاعات در Oven LLC

1.1 ویژگی های شرکت. ساختار سازمانی شرکت. خدمات مربوط به منابع اطلاعاتی و حفاظت از آنها

نام کامل شرکت، شرکت با مسئولیت محدود "آریس" است. نام اختصاری شرکت Oven LLC است. بیشتر در متن جامعه. این شرکت شعبه و دفاتر نمایندگی ندارد، تنها مرکز آن در منطقه پرم، منطقه سوکسونسکی، روستای مارتیانوو واقع شده است.

این انجمن در سال 1990 به عنوان یک مزرعه کوچک تأسیس شد و سه موسس داشت. پس از سازماندهی مجدد مزرعه به یک اقتصاد دهقانی در سال 1998، تنها موسس آن باقی ماند. آخرین سازماندهی مجدد در آوریل 2004 بود. از اول آوریل، این شرکت به عنوان شرکت با مسئولیت محدود آریس شناخته شد.

فعالیت اصلی این شرکت کشت محصولات کشاورزی، بذر، فروش محصولات کشاورزی می باشد. امروز در روسیه، این شرکت جایگاه سیزدهم را در بین مزارع سیب زمینی و اولین در منطقه پرم را اشغال می کند.

آدرس حقوقی: روسیه، 617553، منطقه پرم، سوکسونسکی، روستای مارتیانوو.

اهداف کل شرکت:

· دریافت سود از فعالیت اصلی.

· افزایش رقابت پذیری محصولات و گسترش بازارهای فروش.

· تمرکز سرمایه و افزایش منابع سرمایه گذاری برای اجرای سرمایه گذاری و سایر پروژه ها.

ماموریت شرکت:

1. به گرفتن موقعیت پیشرو در بازار ادامه دهید.

2. ایجاد مزرعه بذر.

ساختار سازمانی شرکت.

این شرکت از ساختار خطی-عملکردی استفاده می کند. در یک ساختار خطی-عملکردی، سلسله مراتبی از خدمات شکل می گیرد. در این ساختار، روسای واحدهای عملکردی این حق را دارند که در مورد مسائل عملکردی به سطوح بعدی مدیریت دستور دهند.

ساختار شرکت در شکل 1 نشان داده شده است.

میزبانی شده در http://www.allbest.ru/

میزبانی شده در http://www.allbest.ru/

شکل 1 - ساختار سازمانی Aries LLC

1.2 تجزیه و تحلیل و توصیف منابع اطلاعاتی شرکت

امروزه همه نگران امنیت اطلاعات شرکت ها هستند. برنامه های فردی و مجموعه های کاملی که برای محافظت از داده ها طراحی شده اند به طور فزاینده ای محبوب می شوند. با این حال، هیچ کس به این واقعیت فکر نمی کند که شما می توانید به اندازه دلخواه محافظت قابل اعتمادی داشته باشید، اما همچنان اطلاعات مهم را از دست بدهید. زیرا یکی از کارمندان شما آن را بی اهمیت می داند و در معرض دید عموم قرار می دهد. و اگر مطمئن هستید که از این مصون هستید، سخت در اشتباه هستید. در نگاه اول، این وضعیت مانند یک شوخی غیر واقعی به نظر می رسد. با این حال، این اتفاق می افتد، و اغلب اتفاق می افتد. در واقع، کارکنان فنی، که در اکثر موارد با مسائل امنیت اطلاعات سروکار دارند، همیشه نمی‌دانند چه داده‌هایی باید پنهان شوند و کدام‌ها نباید پنهان شوند. برای درک، باید تمام اطلاعات را به انواع مختلف تقسیم کنید که معمولاً به آنها انواع می گویند و مرزهای بین آنها را به وضوح مشخص کنید.

در واقع، تمام شرکت های متخصص در تامین سیستم های پیچیده برای اطمینان از امنیت اطلاعات کامپیوتری، تقسیم داده ها را به انواع مختلف در نظر می گیرند. اینجاست که باید مراقب باشید. واقعیت این است که محصولات غربی از استانداردهای بین المللی (به ویژه ISO 17799 و برخی دیگر) پیروی می کنند. به گفته آنها، همه داده ها به سه نوع تقسیم می شوند: باز، محرمانه و کاملا محرمانه. در همین حال، در کشور ما، طبق قوانین فعلی، از یک تمایز کمی متفاوت استفاده می شود: اطلاعات باز، برای استفاده داخلی و محرمانه.

باز به معنای هرگونه اطلاعاتی است که می تواند آزادانه به افراد دیگر منتقل شود و همچنین در رسانه ها قرار گیرد. اغلب در قالب بیانیه های مطبوعاتی، سخنرانی در کنفرانس ها، ارائه ها و نمایشگاه ها، عناصر جداگانه (طبیعی، مثبت) آمار ارائه می شود. علاوه بر این، این کرکس شامل تمام داده های به دست آمده از منابع خارجی باز است. و البته اطلاعات در نظر گرفته شده برای یک وب سایت شرکتی نیز عمومی در نظر گرفته می شود.

در نگاه اول به نظر می رسد که اطلاعات باز نیازی به محافظت ندارد. با این حال، مردم فراموش می کنند که داده ها نه تنها می توانند دزدیده شوند، بلکه می توانند جایگزین شوند. بنابراین، حفظ یکپارچگی اطلاعات باز یک وظیفه بسیار مهم است. در غیر این صورت، به جای یک بیانیه مطبوعاتی از قبل آماده شده، ممکن است غیرقابل درک باشد. یا صفحه اصلی سایت شرکتی با کتیبه های توهین آمیز جایگزین می شود. بنابراین اطلاعات عمومی نیز باید محافظت شود.

مانند هر شرکت دیگری، این شرکت دارای اطلاعات باز است که عمدتاً در ارائه هایی که به سرمایه گذاران بالقوه نشان داده می شود، موجود است.

اطلاعات برای استفاده داخلی شامل هر داده ای است که توسط کارکنان در انجام وظایف حرفه ای خود استفاده می شود. اما این همه ماجرا نیست. این دسته شامل کلیه اطلاعاتی است که توسط بخش ها یا شعب مختلف بین خود مبادله می شود تا از عملکرد آنها اطمینان حاصل شود. و در نهایت، آخرین نوع داده که در این دسته از داده ها قرار می گیرد، اطلاعاتی است که از منابع باز به دست آمده و در معرض پردازش (ساختار، ویرایش، شفاف سازی) قرار می گیرند.

در واقع تمام این اطلاعات حتی اگر به دست رقبا یا مزاحمان بیفتد، نمی تواند آسیب جدی به شرکت وارد کند. با این حال، آسیب های ناشی از ربوده شدن او هنوز هم می تواند باشد. فرض کنید کارمندان درباره موضوع مورد علاقه رئیس خود اخباری را برای رئیس خود جمع آوری کرده اند که از بین آنها مهمترین پیام ها را انتخاب کرده و علامت گذاری کرده اند. چنین خلاصه ای به وضوح اطلاعاتی برای استفاده داخلی است (اطلاعات به دست آمده از منابع باز و در معرض پردازش). در نگاه اول، به نظر می رسد که رقبا با به دست آوردن آن، نمی توانند از آن بهره مند شوند. اما در واقع، آنها می توانند حدس بزنند که مدیریت شرکت شما به چه جهتی علاقه دارد، و چه کسی می داند، ممکن است حتی بتوانند از شما جلو بزنند. بنابراین، اطلاعات برای استفاده داخلی باید نه تنها از جایگزینی، بلکه از دسترسی غیرمجاز نیز محافظت شود. درست است، در اکثریت قریب به اتفاق موارد، می توانید خود را به امنیت شبکه محلی محدود کنید، زیرا صرف هزینه های هنگفت در این مورد از نظر اقتصادی سودآور نیست.

این نوع اطلاعات نیز در شرکت ارائه می شود که در انواع گزارش ها، فهرست ها، عصاره ها و غیره موجود است.

اطلاعات محرمانه - اطلاعات مستندی که دسترسی به آنها مطابق با قوانین فدراسیون روسیه محدود شده است، که در دسترس عموم نیست و در صورت فاش شدن می تواند به حقوق و منافع قانونی محافظت شده شخصی که آن را ارائه کرده است آسیب برساند. فهرست داده های مربوط به این گردن توسط ایالت ایجاد شده است. در حال حاضر به شرح زیر است: اطلاعات شخصی، اطلاعات تشکیل دهنده یک راز تجاری، رسمی یا حرفه ای، اطلاعاتی که راز تحقیقات و کارهای اداری است. علاوه بر این، اخیراً اطلاعات مربوط به ماهیت یک اختراع یا اکتشاف علمی قبل از انتشار رسمی آنها به عنوان محرمانه طبقه بندی شده است.

اطلاعات محرمانه در یک شرکت شامل داده هایی مانند: طرح توسعه، کار تحقیقاتی، مستندات فنی، نقشه ها، توزیع سود، قراردادها، گزارش ها، منابع، شرکا، مذاکرات، قراردادها و همچنین اطلاعاتی با ماهیت مدیریتی و برنامه ریزی است.

این شرکت حدود بیست کامپیوتر دارد. در مورد حضور یک شبکه محلی در یک شرکت، رایانه های شخصی در جامعه در یک شبکه واحد متحد نیستند. علاوه بر این، همه رایانه ها به مجموعه استانداردی از برنامه های اداری و برنامه های حسابداری مجهز هستند. سه کامپیوتر از طریق مینی پورت WAN به اینترنت دسترسی دارند. در عین حال ، هیچ رایانه ای در شرکت به برنامه ضد ویروس مجهز نیست. تبادل اطلاعات از طریق رسانه ها انجام می شود: درایوهای فلش، فلاپی دیسک. تمام اطلاعات مربوط به رسانه های "سنتی" در کابینت هایی قرار دارد که قفل نیستند. مهمترین مدارک در گاوصندوقی نگهداری می شود که کلید آن نزد منشی نگهداری می شود.

ایمنی حفاظت از اطلاعات

1.3 تهدیدها و ابزارهای حفاظت از اطلاعات در شرکت

تهدید امنیت اطلاعات - مجموعه ای از شرایط و عواملی که باعث ایجاد خطر بالقوه یا واقعی مرتبط با نشت اطلاعات و / یا تأثیرات غیرمجاز و / یا غیرعمدی بر روی آن می شود.

با توجه به روش های تأثیرگذاری بر اشیاء امنیت اطلاعات، تهدیدات مربوط به جامعه مشمول طبقه بندی زیر می شوند: اطلاعاتی، نرم افزاری، فیزیکی، سازمانی و حقوقی.

تهدیدهای اطلاعاتی عبارتند از:

دسترسی غیرمجاز به منابع اطلاعاتی؛

سرقت اطلاعات از آرشیوها و پایگاه های اطلاعاتی؛

نقض فناوری پردازش اطلاعات؛

جمع آوری و استفاده غیرقانونی از اطلاعات؛

تهدیدات نرم افزاری عبارتند از:

ویروس ها و بدافزارهای کامپیوتری؛

تهدیدات فیزیکی عبارتند از:

تخریب یا تخریب امکانات پردازش اطلاعات و ارتباطات؛

سرقت رسانه های ذخیره سازی؛

تاثیر بر کارکنان

تهدیدهای سازمانی و قانونی عبارتند از:

تهیه فناوری‌های اطلاعاتی ناقص یا منسوخ و ابزارهای اطلاع‌رسانی؛

ابزارهای امنیت اطلاعات مجموعه ای از تجهیزات و دستگاه های مهندسی، الکتریکی، الکترونیکی، نوری و غیره، دستگاه ها و سیستم های فنی و همچنین سایر عناصر واقعی هستند که برای حل مشکلات مختلف حفاظت از اطلاعات، از جمله پیشگیری از نشت و اطلاعات حفاظت شده امنیتی استفاده می شوند.

ابزارهای امنیت اطلاعات مورد استفاده در سازمان را در نظر بگیرید. در مجموع چهار عدد (سخت افزار، نرم افزار، مختلط، سازمانی) وجود دارد.

حفاظت سخت افزاری- قفل ها، میله های روی پنجره ها، آلارم های امنیتی، فیلترهای شبکه، دوربین های نظارت تصویری.

حفاظت های نرم افزاری: از ابزارهای سیستم عامل مانند حفاظت، رمز عبور، حساب ها استفاده می شود.

وسایل حفاظت سازمانی: آماده سازی محل با رایانه.

2 بهبود سیستم امنیت اطلاعات

2.1 کاستی های شناسایی شده در سیستم امنیت اطلاعات

آسیب پذیرترین نقطه در حفاظت از اطلاعات در جامعه، حفاظت از امنیت رایانه است. در طول تجزیه و تحلیل حتی سطحی شرکت، می توان کاستی های زیر را شناسایی کرد:

§ از اطلاعات به ندرت پشتیبان گیری می شود.

§ سطح ناکافی نرم افزار امنیت اطلاعات.

§ برخی از کارکنان مهارت های کامپیوتری کافی ندارند.

§ کنترلی بر کارمندان وجود ندارد. اغلب کارمندان می توانند بدون خاموش کردن رایانه شخصی خود و داشتن یک درایو فلش با اطلاعات خدمات، محل کار را ترک کنند.

§ فقدان اسناد هنجاری در مورد امنیت اطلاعات.

§ همه رایانه ها از ابزارهای سیستم عامل مانند رمز عبور و حساب ها استفاده نمی کنند.

2.2 اهداف و اهداف تشکیل سیستم امنیت اطلاعات در شرکت

هدف اصلی سیستم امنیت اطلاعات تضمین عملکرد پایدار تأسیسات، جلوگیری از تهدیدات امنیتی آن، حفاظت از منافع قانونی شرکت در برابر تجاوزات غیرقانونی، جلوگیری از سرقت وجوه، افشاء، از دست دادن، نشت، تحریف و تخریب است. اطلاعات رسمی، حصول اطمینان از فعالیت های تولید عادی تمام بخش های تاسیسات. یکی دیگر از اهداف سیستم امنیت اطلاعات ارتقای کیفیت خدمات ارائه شده و تضمین امنیت حقوق و منافع مالکیت است.

وظایف تشکیل یک سیستم امنیت اطلاعات در یک سازمان عبارتند از: یکپارچگی اطلاعات، قابلیت اطمینان اطلاعات و محرمانه بودن آن. زمانی که وظایف به پایان رسید، هدف محقق خواهد شد.

ایجاد سیستم های امنیت اطلاعات (ISS) در IS و IT بر اساس اصول زیر است:

یک رویکرد سیستماتیک برای ساختن یک سیستم حفاظتی، که به معنای ترکیب بهینه از ویژگی های سازمانی، نرم افزاری، سخت افزاری، فیزیکی و سایر ویژگی های مرتبط با یکدیگر است که توسط عمل ایجاد سیستم های حفاظتی داخلی و خارجی تأیید شده و در تمام مراحل چرخه فناوری پردازش اطلاعات مورد استفاده قرار می گیرد. .

اصل توسعه مستمر سیستم. این اصل، که یکی از اصول اساسی برای سیستم های اطلاعات کامپیوتری است، حتی بیشتر برای NIS مرتبط است. راه‌های پیاده‌سازی تهدیدات علیه اطلاعات در فناوری اطلاعات دائماً در حال بهبود است و بنابراین اطمینان از امنیت IP نمی‌تواند یک اقدام یک‌باره باشد. این یک فرآیند مستمر است که شامل اثبات و اجرای منطقی‌ترین روش‌ها، روش‌ها و راه‌های بهبود ISS، نظارت مستمر، شناسایی تنگناها و نقاط ضعف آن، کانال‌های نشت اطلاعات احتمالی و روش‌های جدید دسترسی غیرمجاز است.

تفکیک و به حداقل رساندن اختیارات برای دسترسی به اطلاعات پردازش شده و رویه های پردازش، یعنی ارائه حداقل اختیارات کاملاً تعریف شده برای آنها برای انجام وظایف رسمی، هم برای کاربران و هم برای خود کارکنان IS.

کامل بودن کنترل و ثبت تلاش‌های دسترسی غیرمجاز، یعنی نیاز به تعیین دقیق هویت هر کاربر و ثبت اقدامات وی برای بررسی احتمالی و همچنین عدم امکان انجام هرگونه عملیات پردازش اطلاعات در فناوری اطلاعات بدون ثبت‌نام قبلی.

اطمینان از قابلیت اطمینان سیستم حفاظتی، یعنی عدم امکان کاهش سطح قابلیت اطمینان در صورت خرابی، خرابی، اقدامات عمدی هکر یا خطاهای غیرعمدی کاربران و پرسنل تعمیر و نگهداری در سیستم.

اطمینان از کنترل عملکرد سیستم حفاظتی، به عنوان مثال. ایجاد ابزار و روش هایی برای نظارت بر عملکرد مکانیسم های حفاظتی.

ارائه انواع ابزارهای ضد بدافزار.

اطمینان از امکان اقتصادی استفاده از سیستم حفاظتی، که در بیش از حد آسیب احتمالی به IS و IT ناشی از اجرای تهدیدها بیش از هزینه توسعه و راه اندازی ISS بیان می شود.

2.3 اقدامات پیشنهادی برای بهبود سیستم امنیت اطلاعات سازمان

کاستی های شناسایی شده در شرکت نیاز به رفع آنها دارد، بنابراین، اقدامات زیر پیشنهاد می شود.

§ پشتیبان گیری منظم از پایگاه داده با اطلاعات شخصی کارکنان شرکت، با داده های حسابداری و سایر پایگاه های داده موجود در شرکت. این از دست دادن اطلاعات به دلیل خرابی دیسک، قطع برق، ویروس ها و سایر حوادث جلوگیری می کند. برنامه‌ریزی دقیق و رویه‌های پشتیبان‌گیری منظم به شما امکان می‌دهد تا در صورت از دست رفتن داده‌ها را به سرعت بازیابی کنید.

§ استفاده از ابزارهای سیستم عامل در هر کامپیوتر. ایجاد حساب کاربری برای متخصصان و تغییر منظم رمز عبور برای این حساب ها.

§ آموزش پرسنل شرکت برای کار با کامپیوتر. شرط لازم برای عملکرد صحیح ایستگاه های کاری و جلوگیری از اتلاف و آسیب به اطلاعات. کار کل شرکت به مهارت های کارکنان PC از نظر اجرای صحیح بستگی دارد.

§ نصب برنامه های ضد ویروس بر روی کامپیوتر مانند: Avast، NOD، Doctor Web و .... با این کار از آلوده شدن رایانه ها به برنامه های مخرب مختلفی به نام ویروس جلوگیری می شود. که برای این شرکت بسیار مهم است، زیرا چندین رایانه شخصی به اینترنت دسترسی دارند و کارکنان از رسانه های فلش برای تبادل اطلاعات استفاده می کنند.

§ انجام کنترل بر کارکنان با استفاده از دوربین های فیلمبرداری. این موارد موارد عدم دقت در کار با تجهیزات، خطر سرقت تجهیزات و آسیب را کاهش می دهد و همچنین امکان کنترل "حذف" اطلاعات رسمی از قلمرو شرکت را فراهم می کند.

§ توسعه یک سند نظارتی "اقدامات حفاظت از اطلاعات در Oven LLC و مسئولیت تخلفات آنها"، که با قوانین فعلی فدراسیون روسیه مطابقت دارد و خطرات، تخلفات و مسئولیت این تخلفات (جریمه، مجازات) را تعیین می کند. همچنین ایجاد ستون مناسب در قرارداد کار شرکت که با آن آشنا بوده و متعهد به رعایت مفاد این سند می باشد.

2.4 اثربخشی اقدامات پیشنهادی

اقدامات پیشنهادی نه تنها دارای جنبه های مثبت، مانند حذف مشکلات اصلی در شرکت مربوط به امنیت اطلاعات است. اما در عین حال، آنها به سرمایه گذاری اضافی در آموزش پرسنل و توسعه اسناد نظارتی مربوط به سیاست امنیتی نیاز دارند. این به هزینه های نیروی کار اضافی نیاز دارد و خطرات را به طور کامل حذف نمی کند. همیشه یک عامل انسانی وجود خواهد داشت، فورس ماژور. اما اگر چنین اقداماتی انجام نشود، هزینه‌های بازیابی اطلاعات، فرصت‌های از دست رفته بیشتر از هزینه‌های مورد نیاز برای توسعه یک سیستم امنیتی خواهد بود.

نتایج اقدامات پیشنهادی را در نظر بگیرید:

1. افزایش قابلیت اطمینان سیستم امنیت اطلاعات سازمان;

2. افزایش سطح مهارت رایانه شخصی پرسنل.

3. کاهش خطر از دست دادن اطلاعات.

4. در دسترس بودن یک سند تنظیمی که خط مشی امنیتی را تعریف می کند.

5. احتمالاً خطر ورود/حذف اطلاعات از شرکت را کاهش دهید.

3 مدل امنیت اطلاعات

مدل ارائه شده از امنیت اطلاعات (شکل 2) مجموعه ای از عوامل عینی خارجی و داخلی و تأثیر آنها بر وضعیت امنیت اطلاعات در تأسیسات و ایمنی مواد یا منابع اطلاعاتی است.

شکل 2 - مدل سیستم امنیت اطلاعات

این مدل با اسناد نظارتی ویژه برای تضمین امنیت اطلاعات اتخاذ شده در فدراسیون روسیه، استاندارد بین المللی ISO / IEC 15408 "فناوری اطلاعات - روش های حفاظت - معیارهای ارزیابی امنیت اطلاعات"، استاندارد ISO / IEC 17799 "مدیریت امنیت اطلاعات" مطابقت دارد. "، و روند توسعه چارچوب نظارتی داخلی (به ویژه، کمیسیون فنی دولتی فدراسیون روسیه) را در مورد مسائل امنیت اطلاعات در نظر می گیرد.

نتیجه گیری و پیشنهادات

عصر اطلاعات تغییرات شگرفی در نحوه انجام وظایف افراد برای تعداد زیادی از مشاغل ایجاد کرده است. اکنون یک متخصص غیر فنی سطح متوسط ​​می تواند کاری را که یک برنامه نویس بسیار ماهر انجام می داد انجام دهد. کارمند آنقدر اطلاعات دقیق و به روز در اختیار دارد که هرگز نداشته است.

اما استفاده از رایانه و فناوری های خودکار مشکلات متعددی را برای مدیریت سازمان به دنبال دارد. کامپیوترها که اغلب با هم شبکه هستند، می توانند دسترسی به حجم عظیمی از طیف گسترده ای از داده ها را فراهم کنند. بنابراین، مردم نگران امنیت اطلاعات و خطرات مرتبط با خودکارسازی و دسترسی بیشتر به داده‌های محرمانه، شخصی یا سایر داده‌های حیاتی هستند. تعداد جرایم رایانه ای به طور مداوم در حال افزایش است که در نهایت می تواند منجر به تضعیف اقتصاد شود. و بنابراین باید واضح باشد که اطلاعات منبعی است که باید محافظت شود.

و از آنجایی که اتوماسیون منجر به این واقعیت شده است که اکنون عملیات رایانه توسط کارکنان عادی سازمان انجام می شود و نه توسط پرسنل فنی آموزش دیده خاص، کاربران نهایی باید از مسئولیت خود برای محافظت از اطلاعات آگاه باشند.

هیچ دستور العملی وجود ندارد که تضمین 100٪ ایمنی داده ها و عملکرد قابل اعتماد شبکه را ارائه دهد. با این حال، ایجاد یک مفهوم امنیتی جامع و اندیشیده شده که ویژگی های وظایف یک سازمان خاص را در نظر می گیرد، به به حداقل رساندن خطر از دست دادن اطلاعات ارزشمند کمک می کند. امنیت رایانه یک مبارزه دائمی با حماقت کاربران و هوش هکرها است.

در پایان می خواهم بگویم که حفاظت از اطلاعات به روش های فنی محدود نمی شود. مشکل بسیار گسترده تر است. فقدان اصلی حفاظت افراد است و بنابراین قابلیت اطمینان سیستم امنیتی عمدتاً به نگرش کارکنان شرکت نسبت به آن بستگی دارد. علاوه بر این، حفاظت باید به طور مداوم همراه با توسعه یک شبکه کامپیوتری بهبود یابد. فراموش نکنید که این سیستم امنیتی نیست که در کار دخالت می کند، بلکه نبود آن است.

همچنین می خواهم با جمع بندی نتایج این پروژه درسی متذکر شوم که پس از تجزیه و تحلیل سیستم امنیت اطلاعات شرکت Aries، پنج کاستی شناسایی شد. پس از جستجو، راه حل هایی برای از بین بردن آنها پیدا شد، این کاستی ها را می توان اصلاح کرد، که امنیت اطلاعات شرکت را به طور کلی بهبود می بخشد.

در طی اقدامات فوق، مهارت های عملی و نظری مطالعه سیستم امنیت اطلاعات کار شد، بنابراین هدف پروژه درسی محقق شد. به لطف راه حل های یافت شده، می توان گفت که تمام وظایف پروژه انجام شده است.

کتابشناسی - فهرست کتب

1. GOST 7.1-2003. سابقه کتابشناختی. شرح کتابشناختی. الزامات و قوانین عمومی برای تهیه پیش نویس (م.: انتشارات خانه استانداردها، 2004).

2. گالاتنکو، V.A. "مبانی امنیت اطلاعات". - M.: "Intuit"، 2003.

3. Zavgorodniy, V. I. "حفاظت یکپارچه اطلاعات در سیستم های کامپیوتری". - م.: "لوگوس"، 2001.

4. زگژدا، دی.پ.، ایواشک، ع.م. "مبانی امنیت سیستم های اطلاعاتی".

5. Nosov، V.A. دوره مقدماتی رشته "امنیت اطلاعات".

6. قانون فدرال فدراسیون روسیه 27 ژوئیه 2006 N 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"

میزبانی شده در Allbest.ru

اسناد مشابه

ویژگی های منابع اطلاعاتی هلدینگ کشاورزی «آشتلی». تهدیدات امنیت اطلاعات ویژه شرکت اقدامات، روش ها و وسایل حفاظت از اطلاعات. تجزیه و تحلیل کاستی های موجود و مزایای سیستم امنیتی به روز.

مقاله ترم، اضافه شده 02/03/2011


اطلاعات کلی در مورد فعالیت شرکت. اشیاء امنیت اطلاعات در شرکت. اقدامات و وسایل حفاظت از اطلاعات. کپی کردن داده ها در رسانه های قابل جابجایی نصب سرور پشتیبان داخلی کارایی بهبود سیستم IS.

تست، اضافه شده در 2013/08/29


مفهوم، معنا و جهت گیری امنیت اطلاعات. یک رویکرد سیستماتیک برای سازماندهی امنیت اطلاعات، محافظت از اطلاعات از دسترسی غیرمجاز. ابزار حفاظت از اطلاعات روش ها و سیستم های امنیت اطلاعات

چکیده، اضافه شده در 1390/11/15


سیستم تشکیل حالت امنیت اطلاعات. وظایف امنیت اطلاعات جامعه. ابزار حفاظت از اطلاعات: روش ها و سیستم های اساسی. حفاظت از اطلاعات در شبکه های کامپیوتری مفاد مهمترین قوانین قانونی روسیه.

چکیده، اضافه شده در 2014/01/20


تجزیه و تحلیل ریسک امنیت اطلاعات ارزیابی ابزارهای حفاظتی موجود و برنامه ریزی شده. مجموعه ای از اقدامات سازمانی برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات سازمانی. یک نمونه کنترلی از اجرای پروژه و شرح آن.

پایان نامه، اضافه شده 12/19/2012


یک استراتژی امنیت اطلاعات سازمانی در قالب سیستمی از سیاست های موثر که مجموعه ای موثر و کافی از الزامات امنیتی را تعریف می کند. شناسایی تهدیدات امنیت اطلاعات کنترل داخلی و مدیریت ریسک.

مقاله ترم، اضافه شده در 2015/06/14


شرح مجموعه وظایف و توجیه نیاز به بهبود سیستم برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات در شرکت. توسعه پروژه ای برای استفاده از DBMS، امنیت اطلاعات و حفاظت از داده های شخصی.

پایان نامه، اضافه شده 11/17/2012


اسناد نظارتی در زمینه امنیت اطلاعات در روسیه. تجزیه و تحلیل تهدیدات سیستم های اطلاعاتی ویژگی های سازماندهی سیستم حفاظت از داده های شخصی کلینیک. پیاده سازی سیستم احراز هویت با استفاده از کلیدهای الکترونیکی.

پایان نامه، اضافه شده در 1395/10/31


پیش نیازهای ایجاد یک سیستم امنیت داده های شخصی. تهدیدات امنیت اطلاعات منابع دسترسی غیرمجاز به ISPD. دستگاه سیستم های اطلاعات شخصی. ابزار حفاظت از اطلاعات خط مشی امنیتی.

مقاله ترم، اضافه شده 10/07/2016


وظایف، ساختار، اقدامات فیزیکی، نرم افزاری و سخت افزاری برای حفاظت از سیستم اطلاعاتی. انواع و علل جرایم رایانه ای، راه های بهبود سیاست امنیتی سازمان. هدف و عملکردهای اصلی پوشه "خاطرات" MS Outlook 97.

مشکلات حقوقی استفاده از فناوری های رایانه ای و بهبود قوانین

بهبود مکانیسم نهادی برای تضمین امنیت اطلاعات فدراسیون روسیه

بهبود مکانیسم نهادی برای تضمین امنیت اطلاعات فدراسیون روسیه

© یولیا الکساندرونا کوبلووا

یولیا A. Koblova

کاندیدای علوم اقتصادی، دانشیار گروه اقتصاد نهادی و امنیت اقتصادی، موسسه اجتماعی-اقتصادی ساراتوف (شعبه) G.V. پلخانف"

Cand. Sc. (اقتصاد)، دانشیار گروه اقتصاد نهادی، مؤسسه اقتصادی-اجتماعی ساراتوف (شعبه) دانشگاه اقتصاد روسیه پلخانف

پست الکترونیک: [ایمیل محافظت شده]

این مقاله به بررسی جنبه های نهادی تضمین امنیت اطلاعات دولت می پردازد. ماهیت و نقش مکانیسم نهادی در تضمین امنیت اطلاعات دولت آشکار می شود. یک ارزیابی از ارائه نهادی امنیت اطلاعات در روسیه انجام شده است. مشکلات شناسایی شده و سیستمی از اقدامات برای بهبود مکانیسم نهادی برای تضمین امنیت اطلاعات کشور پیشنهاد شده است.

کلیدواژه: نهادها، سازوکار نهادی، امنیت اطلاعات، فضای اینترنت.

این مقاله جنبه های نهادی تضمین امنیت اطلاعات دولت را بررسی می کند. نویسنده ماهیت و نقش مکانیسم نهادی در تضمین امنیت اطلاعات دولتی را آشکار می کند، مکانیسم نهادی تضمین امنیت اطلاعات در روسیه را ارزیابی می کند، چالش های عمده را برجسته می کند و سیستمی از اقدامات را برای بهبود مکانیسم نهادی برای تضمین امنیت اطلاعات پیشنهاد می کند.

واژه‌های کلیدی: نهادها، مکانیسم‌های نهادی، امنیت اطلاعات، فضای اینترنت.

تضمین امنیت اطلاعات ایالت یک عملکرد نسبتاً جدید دولت با حجم و محتوای روش ها و ابزارهایی است که هنوز ایجاد نشده است.

پلیس ها شکل گیری آن به دلیل نیاز به محافظت از جامعه و دولت در برابر تهدیدات اطلاعاتی مرتبط با توسعه آخرین فناوری اطلاعات و ارتباطات است.

فن آوری. مقیاس پیامدهای منفی این تهدیدها برای دولت ها، سازمان ها، مردم قبلاً توسط جامعه جهانی شناخته شده است، بنابراین مهمترین وظیفه دولت ایجاد سیستمی از اقدامات برای جلوگیری و خنثی کردن آنها است. نقش مهمی در دستیابی به امنیت اطلاعات دولت توسط مکانیسم نهادی برای تامین آن ایفا می شود. اثربخشی سیستم نهادی که منافع عمومی را اجرا می کند، کلید هماهنگی آنها به منظور تضمین عالی ترین منافع دولتی از جمله امنیت ملی و اطلاعاتی است.

به یاد بیاورید که نهادها قوانین تعاملات ("قواعد بازی") در جامعه هستند که توسط آگاهی و تجربه انسانی، محدودیت ها و پیش نیازهای توسعه در سیاست، حوزه اجتماعی و اقتصاد ایجاد می شوند. نهادهایی که از رشد بلندمدت اقتصادی حمایت می کنند قوانین و قوانینی هستند که مشوق ها و مکانیسم هایی را تشکیل می دهند. نهادها سیستمی از انگیزه های مثبت و منفی تنظیم می کنند، عدم اطمینان را کاهش می دهند و محیط اجتماعی را قابل پیش بینی تر می کنند. نهادهایی که امنیت اطلاعات را تضمین می کنند شناخته شده اند: حاکمیت قانون، دادگاه مستقل و صالح، عدم وجود فساد و غیره.

مکانیسم نهادی برای تضمین امنیت اطلاعات جزء ساختاری خاصی از سازوکار اقتصادی است که ایجاد هنجارها و قوانین حاکم بر تعامل نهادهای مختلف اقتصادی در حوزه اطلاعات را برای جلوگیری از تهدیدات امنیت اطلاعات تضمین می کند. مکانیسم نهادی نهادها (رسمی و غیررسمی) را به حرکت در می‌آورد، تعاملات سوژه‌ها را ساختار می‌دهد، بر انطباق با هنجارها و قوانین تعیین‌شده کنترل اعمال می‌کند.

ماهیت مکانیسم نهادی از طریق کارکردهای آن آشکار می شود. O.V. اینشاکوف و N.N. لبدف معتقد است که مکانیسم نهادی وظایف زیر را انجام می دهد که در مکانیسم امنیت اطلاعات نیز قابل استفاده است:

1) ادغام عوامل در یک موسسه به منظور انجام فعالیت های مشترک در چارچوب وضعیت ها و هنجارهای مشترک.

2) تمایز هنجارها و وضعیت ها و همچنین موضوعات و عوامل نهادهای مختلف به الزاماتی که آنها را جدا و نادیده می گیرند. تنظیم تعامل بین

ta و عوامل آن مطابق با الزامات تعیین شده؛

3) اجرای ترجمه الزامات جدید به عمل واقعی.

4) اطمینان از بازتولید نوآوری های معمول؛

5) تبعیت و هماهنگی روابط بین نهادهایی که به مؤسسات مختلف تعلق دارند.

6) آگاه کردن آزمودنی ها در مورد هنجارهای جدید و رفتار فرصت طلبانه.

7) تنظیم فعالیت اشخاصی که الزامات تعریف شده توسط موسسه را به اشتراک می گذارند و رد می کنند.

8) کنترل بر اجرای هنجارها، قوانین و توافقات.

بنابراین، مکانیسم نهادی برای تضمین امنیت اطلاعات شامل چارچوب قانونی و ساختارهای نهادی است که آن را تضمین می کند. بهبود این مکانیسم شامل سازماندهی مجدد چارچوب قانونی برای امنیت اطلاعات و ساختارهای نهادی برای مقابله با تهدیدات امنیت اطلاعات است.

مکانیسم نهادی برای تضمین امنیت اطلاعات شامل موارد زیر است: تصویب قوانین جدیدی که منافع همه افراد حوزه اطلاعات را در نظر می گیرد. رعایت تعادل عملکردهای خلاقانه و محدود کننده قوانین در حوزه اطلاعات. ادغام روسیه در فضای حقوقی جهانی؛ با در نظر گرفتن وضعیت حوزه فناوری اطلاعات داخلی.

تا به امروز، روسیه یک چارچوب قانونی در زمینه امنیت اطلاعات تشکیل داده است، از جمله:

1. قوانین فدراسیون روسیه: قانون اساسی فدراسیون روسیه، "در مورد امنیت". "در مورد ارگان های سرویس امنیت فدرال در فدراسیون روسیه"، "در مورد اسرار دولتی"، "در مورد اطلاعات خارجی"، "در مورد مشارکت در تبادل اطلاعات بین المللی"، "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"، "در مورد امضای دیجیتال" " و غیره.

2. قوانین قانونی نظارتی رئیس جمهور فدراسیون روسیه: دکترین امنیت اطلاعات فدراسیون روسیه. استراتژی امنیت ملی فدراسیون روسیه تا سال 2020، "در مورد مبانی سیاست دولتی در حوزه اطلاع رسانی"، "در فهرست اطلاعات طبقه بندی شده به عنوان اسرار دولتی"، و غیره.

3. اقدامات قانونی هنجاری دولت فدراسیون روسیه: "در مورد صدور گواهینامه

ابزار حفاظت از اطلاعات، "در مورد صدور مجوز فعالیت شرکت ها، موسسات و سازمان ها برای انجام کارهای مربوط به استفاده از اطلاعات تشکیل دهنده یک راز دولتی، ایجاد وسایل حفاظت از اطلاعات، و همچنین اجرای اقدامات و (یا) ) ارائه خدمات برای حفاظت از اسرار دولتی، "در مورد صدور مجوز برای انواع خاصی از فعالیت ها" و غیره.

4. قانون مدنی فدراسیون روسیه (قسمت چهارم).

5. قانون کیفری فدراسیون روسیه.

در سال های اخیر، روسیه اجرا کرده است

مجموعه ای از اقدامات برای بهبود امنیت اطلاعات آن. اقداماتی برای اطمینان از امنیت اطلاعات در ارگان های دولتی فدرال، نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه، در شرکت ها، مؤسسات و سازمان ها، صرف نظر از شکل مالکیت، اجرا شده است. کار برای حفاظت از اطلاعات ویژه و سیستم های مخابراتی در حال انجام است. سیستم دولتی حفاظت از اطلاعات، سیستم حفاظت از اسرار دولتی و سیستم های صدور گواهینامه ابزارهای امنیت اطلاعات به حل موثر مشکلات امنیت اطلاعات در فدراسیون روسیه کمک می کند.

کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه یک سیاست فنی واحد را دنبال می کند و کار را در زمینه امنیت اطلاعات هماهنگ می کند، در راس سیستم دولتی برای محافظت از اطلاعات در برابر اطلاعات فنی قرار دارد و از محافظت از اطلاعات در برابر نشت از طریق فنی اطمینان می دهد. کانال های روسیه، بر اثربخشی اقدامات حفاظتی انجام شده نظارت می کند.

نقش مهمی در سیستم امنیت اطلاعات کشور توسط سازمان های دولتی و عمومی ایفا می شود: آنها بر رسانه های گروهی دولتی و غیر دولتی کنترل دارند.

در عین حال، سطح امنیت اطلاعات در روسیه به طور کامل نیازهای جامعه و دولت را برآورده نمی کند. در شرایط جامعه اطلاعاتی، تضادها بین نیاز عمومی به گسترش و آزادی تبادل اطلاعات از یک سو و نیاز به حفظ محدودیت‌های تنظیم شده خاص در انتشار آن تشدید می‌شود.

در حال حاضر، هیچ حمایت نهادی از حقوق شهروندان مندرج در قانون اساسی فدراسیون روسیه در حوزه اطلاعات (حریم خصوصی، رازداری شخصی، محرمانه بودن مکاتبات و غیره) وجود ندارد. باقی مانده-

حفاظت از داده‌های شخصی که توسط مقامات فدرال جمع‌آوری می‌شود، جای تامل دارد.

هیچ وضوحی در اجرای سیاست دولتی در زمینه تشکیل فضای اطلاعاتی فدراسیون روسیه، رسانه ها، تبادل اطلاعات بین المللی و ادغام روسیه در فضای اطلاعات جهانی وجود ندارد.

بهبود مکانیسم نهادی امنیت اطلاعات دولت، به نظر ما، باید در جهت حل مشکلات مهم زیر باشد.

جهت گیری عملی ضعیف قوانین مدرن روسیه در حوزه اطلاعات مشکلاتی از ماهیت قانونی و روش شناختی ایجاد می کند. نظرات بیان شده است که دکترین امنیت اطلاعات فدراسیون روسیه هیچ ارزش کاربردی ندارد، حاوی بسیاری از نادرستی ها و اشتباهات روش شناختی است. بنابراین، اهداف امنیت اطلاعات در دکترین به عنوان منافع، فرد، جامعه، دولت - مفاهیمی که با یکدیگر قابل مقایسه نیستند شناخته می شوند. بسیاری از دانشمندان به غیرقابل قبول بودن حمایت از منافع به عنوان موضوع امنیت اطلاعات توجه کرده اند و نه حاملان آنها.

استفاده از این دسته بندی ها که محتوای آنها مبهم است، در یک سند تشریعی کاملاً نامناسب نیست. به عنوان مثال، مشمولان قانون عبارتند از اشخاص حقوقی و حقیقی، سازمان ها، افراد بدون تابعیت، مراجع اجرایی. طبقه بندی "دولت" شامل قلمرو کشور، جمعیت آن (ملت ها)، قدرت سیاسی، نظام قانون اساسی است.

دکترین امنیت اطلاعات فدراسیون روسیه منابع تهدید امنیت اطلاعات را به رسمیت می شناسد:

فعالیت های ساختارهای خارجی;

توسعه مفاهیم جنگ اطلاعاتی توسط تعدادی از دولت ها؛

تمایل تعدادی از کشورها به تسلط و غیره.

به گفته جی. آتامانوف، منبع می تواند یک شی یا موضوعی باشد که در فرآیند اطلاعات شرکت می کند یا می تواند تا حدی بر آن تأثیر بگذارد. به عنوان مثال، در قوانین ایالات متحده، منابع تهدیدات زیرساخت اطلاعاتی عبارتند از: هکرهای مخالف ایالات متحده؛ گروه های تروریستی؛ کشورهایی که ممکن است عملیات ضد تروریستی علیه آنها انجام شود.

هکرها، کنجکاو یا خودجوش.

کاستی ها و ویژگی چارچوب دکترین کارایی را کاهش می دهد و دامنه کاربرد آن را محدود می کند، جهت نادرستی را برای توسعه قوانین در حوزه اطلاعات تعیین می کند و آن را به طور فزاینده ای سردرگم می کند.

برای تضمین صحیح امنیت اطلاعات، ایجاد یک سیستم مناسب از روابط حقوقی ضروری است که به نوبه خود بدون تجدید نظر در دستگاه طبقه بندی، بنیاد اعتقادی و مفهومی قانون گذاری در حوزه اطلاعات غیرممکن است.

2. شکاف بین قانون و عمل در حوزه اطلاعات.

شکاف بزرگی بین قانون و عمل در حوزه اطلاعات به دلیل سرعت و مقیاس توسعه فناوری اطلاعات و اینترنت وجود دارد که فوراً باعث ایجاد تهدیدات جدید می شود. برعکس، روند قانونگذاری طولانی و خاردار است. بنابراین، در شرایط مدرن، سازوکارهایی برای هماهنگ کردن توسعه قوانین با واقعیت های توسعه فناوری اطلاعات و جامعه اطلاعاتی مورد نیاز است. مهم است که حجم عقب مانده خیلی زیاد نباشد، زیرا این امر مملو از کاهش یا از دست دادن امنیت اطلاعات است.

پر کردن شکاف بین عمل و قانون در حوزه اطلاعات برای کاهش و خنثی کردن تهدیدات امنیت اطلاعات ناشی از پیشی گرفتن از توسعه فناوری اطلاعات و ظهور خلاء در قوانین ضروری است.

3. نبود نهادهای فراملی که امنیت اطلاعات را تضمین کنند.

مقابله با جنایات ارتکاب یافته در اینترنت توسط نیروهای یک کشور غیرممکن است. اقدامات بازدارنده در سطح ملی موثر نخواهد بود، زیرا ممکن است متخلفان در خارج از کشور مستقر شوند. برای مبارزه با آنها، تجمیع تلاش ها در سطح بین المللی و اتخاذ قوانین بین المللی رفتار در فضای اینترنت ضروری است. تلاش های مشابهی انجام شده است. بنابراین، کنوانسیون بوداپست شورای اروپا اجازه پیگرد قانونی متخلفان را در قلمرو کشور دیگری بدون هشدار به مقامات آن داد. به همین دلیل است که بسیاری از کشورها تصویب این سند را غیرقابل قبول دانستند.

قانون نمونه «مبانی مقررات اینترنت» مصوب مجمع عمومی

نشست مجمع بین المجالس کشورهای عضو CIS، رویه ای را برای پشتیبانی دولتی و تنظیم اینترنت و همچنین قوانین تعیین مکان و زمان اقدامات قانونی مهم در شبکه را تعیین می کند. علاوه بر این، قانون فعالیت ها و مسئولیت های اپراتورهای خدمات را تنظیم می کند.

لازم است به تصویب سند اجازه تبادل اطلاعات محرمانه در خاک روسیه، بلاروس و قزاقستان توجه شود. این پروتکلی است که روش ارائه اطلاعات حاوی اطلاعات محرمانه را برای تحقیقات قبل از معرفی اقدامات حفاظتی، ضد دامپینگ و جبرانی ویژه در رابطه با کشورهای ثالث تعیین می کند. این یک توافقنامه بسیار مهم بین کشورهای عضو اتحادیه گمرکی است که به طور مشترک توسعه و ایجاد اقدامات حفاظتی ضد دامپینگ و جبرانی را ممکن می سازد. بنابراین، امروز یک چارچوب نظارتی محکم سازماندهی شده است، که یک نهاد فراملی اساساً جدید ایجاد می کند که مجاز است نه تنها تحقیقات، جمع آوری شواهد، بلکه از آن در برابر نشت محافظت کند، و روش ارائه آن را تعیین کند.

تشکیل نهادهای فراملی در حوزه اطلاعات، غلبه بر محدودیت های قوانین ملی در مبارزه با جرایم اطلاعاتی را ممکن می سازد.

4. کمبود نهادهای فضای اینترنت.

در حال حاضر چنین نهادهای جدیدی باید در حقوق بین الملل ظاهر شوند که تعامل موضوعات در فضای اینترنت را تنظیم می کنند، مانند «مرز الکترونیکی»، «حاکمیت الکترونیکی»، «مالیات الکترونیکی» و غیره. این به غلبه بر ماهیت نهفته جرایم سایبری کمک می کند. افزایش کشف جرایم سایبری

5. توسعه مشارکت عمومی و خصوصی در حوزه اطلاعات.

یک معضل جالب در رابطه با تمایل سازمان‌های دولتی برای انتشار گزارش‌هایی از وضعیت سیستم امنیت اطلاعات خود ایجاد می‌شود. از یک سو، این نشریات نشان دهنده تلاش دولت برای حفظ سیستم امنیت سایبری در سطح مناسب است. به نظر می رسد که چنین نتیجه ای باید به ساختار کارآمدتر هزینه در امنیت سایبری منجر شود. اما از سوی دیگر انتشار اطلاعاتی در مورد کاستی های سیستم امنیت سایبری

مجله علمی و عملی. ISSN 1995-5731

امنیت سازمان های دولتی به احتمال زیاد آنها را در برابر حملات هکرها آسیب پذیر می کند، که مستلزم نیاز به منابع بیشتر برای دفع و جلوگیری از آنها است.

بزرگترین مشکل در حصول اطمینان از همکاری و تبادل اطلاعات مربوط به امنیت بین سازمان های دولتی و شرکت های گوردون و لوب مشکل "رایگان سواری" (//tee-^et) را در نظر می گیرند. به نظر می رسد از آنجایی که امنیت شبکه های رایانه ای به اقدامات هر یک از شرکت کنندگان بستگی دارد، چنین همکاری بهترین راه برای افزایش اثربخشی سرمایه های صرف شده برای تضمین امنیت سایبری است. تبادل موفق اطلاعات و تجربه در زمینه امنیت سایبری می تواند هماهنگی این گونه فعالیت ها را در سطح ملی و بین المللی ممکن سازد. اما در واقع، ترس شرکت از از دست دادن مزیت های رقابتی با مشارکت در چنین همکاری شبکه ای و ارائه اطلاعات کامل در مورد خود منجر به

nenii از ارائه اطلاعات کامل. تنها توسعه مشارکت‌های دولتی و خصوصی مبتنی بر معرفی مشوق‌های اقتصادی قابل توجه می‌تواند وضعیت را در اینجا تغییر دهد.

بنابراین، مکانیسم نهادی برای تضمین امنیت اطلاعات دولت شامل تشکیل پایه های قانونی و ساختارهای نهادی است که آن را تضمین می کند. برای بهبود سازوکار نهادی و شکل‌گیری معماری جدید امنیت اقتصادی در شرایط اقتصاد اطلاعات، نظام اقداماتی پیشنهاد شده است که عبارتند از: غلبه بر ماهیت اعلامی قانون‌گذاری و کاهش شکاف بین قانون‌گذاری و عملکرد در حوزه اطلاعات، شکل گیری قوانین فراملی در حوزه اطلاعات، ایجاد نهادهای جدیدی که چارچوب تعامل و قوانین رفتار در فضای اینترنت را تعیین می کنند.

فهرست کتابشناختی (مراجع)

1. Inshakov O.V., Lebedeva N.N. مکانیسم های اقتصادی و نهادی: همبستگی و تعامل در شرایط تحول اجتماعی و بازار اقتصاد روسیه // بولتن سن پترزبورگ. حالت unta سر. 5. 2008. شماره. 4 (شماره 16).

2. Dzliev M.I., Romanovich A.L., Ursul A.D. مسائل ایمنی: جنبه های نظری و روش شناختی. م.، 2001.

3. Atamanov G. A. امنیت اطلاعات در جامعه مدرن روسیه (جنبه اجتماعی و فلسفی): دیس. ... کند. فلسفه علوم. ولگوگراد، 2006.

4. Kononov A. A.، Smolyan G. L. جامعه اطلاعاتی: جامعه خطر کل یا جامعه امنیت تضمین شده؟ // جامعه اطلاعاتی. 2002. شماره 1.

1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. می رود. unta سر. 5. Vyp. 4 (شماره 16).

2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) ایمنی مشکل: teoretiko-metodologicheskiye aspekty. م.

3. آتامانوف G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt). ولگوگراد

4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska or obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. شماره 1.