- öğrencilerin kişisel verileri f keskin;

Öğrencilerin kişisel dosyaları;

Öğrencilerin kişisel kartları;

mevcut belgeler;

Malzeme ve teknik değerler.

TEHDİTLER GÜVENLİK

- Çalınması;

- Yetkisiz Erişim;

- bilgi bütünlüğünün ihlali açıklama;

Yazılım ve donanım arızaları.

KORUMA YÖNTEMLERİ

- düzenlemeler;

- organizasyonel, teknik ve güvenlik önlemleri ve yöntemleri;

- yazılım ve donanım itaat;

Kurumsal koruma.

TEHDİT KAYNAKLARI

- antropojenik kaynaklar (personel, öğrenciler, davetsiz misafirler);

Teknolojik kaynaklar (yazılım ve donanım);

Doğal tehdit kaynakları (yangın, sel, deprem vb.).

Çözüm

Kurs projesini uygulama sürecinde, LLC "UK" Ashatli "kuruluşunun bilgi güvenliği araçlarının bir analizi yapıldı. İşletmenin bilgi kaynaklarının analizi, bilgi güvenliğine yönelik tehditlerin analizi yapılmış ve ilgili eksiklikler tespit edilmiştir.

Önerilen düzeltici eylemlerin uygulanması, kuruluşun koruma önlemlerinin etkinliğini artırmasına ve bilgi kaybı riskini azaltmasına izin verecektir. Bilgi güvenliğini düzenleme veya yeniden düzenleme sürecinin, programların, personelin ve ekipmanın aynı anda etkileşime girdiği karmaşık bir süreç olduğu belirtilmelidir.

Bilgi güvenliğini sağlama sorununu çözmek için, bunu tamamen ortadan kaldıracak yasal, organizasyonel ve yazılımsal ve donanımsal önlemlerin uygulanması gerekmektedir.

Kullanılan literatür listesi

Maklakov S.V. AllFusion Modeling Suite ile bilgi sistemlerinin oluşturulması. – M.: Dialogue-MEPhI, 2003. – 432 s.

www. ashatli-agro.ru

12/18/2006 tarihli ve 231-F sayılı "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" Federal Yasa.

27 Temmuz 2006 tarihli Rusya Federasyonu Federal Kanunu No. 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma"

2. Bilgisayar virüslerine karşı korumak için antivirüs sistemi ESET NOD 32.

Veritabanları düzenli olarak güncellenir ve iş istasyonları taranır.

3. Yerleşik Windows Yedekleme arşivleri oluşturmak için.

İşletim Sistemi Yedekleme Sihirbazı, bir Windows yedeğini hızlı bir şekilde oluşturmak ve geri yüklemek için tasarlanmış bir programdır. Tüm Windows'un veya yalnızca tek tek dosya ve klasörlerin bir kopyasını oluşturmanıza olanak tanır.

4. VPN kanalı için 2048 bitlik bir anahtarla şifreleme (posta ve iş akışı için yönetim şirketinin ofisine bağlantı).

Bölüm 2. NIS'nin İyileştirilmesi

2.1 Bilgi güvenliği sistemindeki zayıflıklar

Bilgi güvenliği ile ilgili konuları analiz ederken, bilgi güvenliğinin benzeri görülmemiş bir hızla gelişen bir alan olan bilgi teknolojisinin ayrılmaz bir parçası olduğu gerçeğinden oluşan güvenliğin bu yönünün özelliklerini dikkate almak gerekir. Burada önemli olan, güncel bireysel çözümler (yasalar, eğitim kursları, yazılım ve donanım ürünleri) değil, teknik ilerleme hızında yaşamanıza izin veren yeni çözümler üretme mekanizmalarıdır.

Modern programlama teknolojileri, bilgi güvenliği araçlarının hızlı gelişimine katkıda bulunmayan hatasız programlar oluşturmaya izin vermez.

İşletmenin bilgi güvenliğini analiz ettikten sonra, bilgi güvenliğine yeterince dikkat edilmediği sonucuna varabiliriz:

Sisteme erişim şifrelerinin olmaması;

1C: Enterprise ile programla çalışırken, verileri değiştirirken şifrelerin olmaması;

Dosyalar ve bilgiler için ek bir koruma yoktur (veri şifreleme araçları bir yana, dosyalardaki bilgileri açarken veya değiştirirken temel parola talebi yoktur);

Anti-virüs programı veritabanlarının düzensiz güncellenmesi ve iş istasyonlarının taranması;

Kağıt üzerindeki çok sayıda belge, esas olarak çalışanın masaüstündeki klasörlerde (bazen bunlar olmadan) bulunur ve bu, saldırganların bu tür bilgileri kendi amaçları için kolayca kullanmalarına olanak tanır;

İşletmede bilgi güvenliği sorunları ve bu alanda ortaya çıkan sorunlar hakkında düzenli bir tartışma yoktur;

İşletmenin bilgi sistemlerinin çalışabilirliğinin düzenli olarak kontrol edilmesi organize edilmemiştir, hata ayıklama yalnızca başarısız olduklarında gerçekleştirilir;

Bilgi güvenliği politikası eksikliği;

Sistem yöneticisi eksikliği.

Yukarıdakilerin hepsi bir işletmenin bilgi güvenliğini sağlamada çok önemli eksikliklerdir.

2.2 Bilgi güvenliği sisteminin amacı ve hedefleri

Bilgi güvenliği, bilgisayar ağlarındaki ve kurumsal sistemlerdeki bilgi kaynaklarının yetkisiz erişimden, sistemlerin normal işleyişine kazara veya kasıtlı müdahaleden, bileşenlerini yok etme girişimlerinden korunma durumudur.

Bilgi güvenliği hedefleri:

Bilgileri yok etmeye, değiştirmeye, bozmaya, kopyalamaya, bloke etmeye yönelik yetkisiz eylemler veya bilgi kaynaklarına ve bilgi sistemlerine diğer yasa dışı müdahale biçimleri nedeniyle kuruluşun güvenliğine yönelik tehditlerin önlenmesi;

bilgisayar teknolojisi kullanılarak işlenen ticari sırların korunması;

vatandaşların kişisel gizliliğini ve bilgi sistemlerinde bulunan kişisel verilerin gizliliğini korumaya yönelik anayasal haklarının korunması.

Koruma hedeflerine ulaşmak için, aşağıdaki görevlerin etkili bir şekilde çözülmesi sağlanmalıdır:

Yetkisiz kişiler tarafından işletmenin işleyişine müdahaleye karşı koruma;

yetkisiz kişiler ve uygun yetkiye sahip olmayan çalışanlar tarafından işletmenin bilgi kaynakları ile yetkisiz eylemlere karşı koruma;

İşletme yönetimi tarafından yönetsel kararların alınması için bilgi desteğinin eksiksizliğini, güvenilirliğini ve verimliliğini sağlamak;

İşletmenin teknik araçlarının ve yazılımının fiziksel güvenliğini sağlamak ve bunları insan yapımı ve doğal tehdit kaynaklarının eyleminden korumak;

bilgi güvenliğini etkileyen olayların kaydedilmesi, kuruluşta gerçekleştirilen tüm işlemlerin uygulanmasında tam kontrol ve hesap verebilirliğin sağlanması;

bilgi güvenliğine yönelik tehdit kaynaklarının, öznelerin çıkarlarına zarar vermeye, işletmenin normal işleyişini ve gelişimini bozmaya katkıda bulunan neden ve koşulların zamanında tanımlanması, değerlendirilmesi ve tahmin edilmesi;

bilgi güvenliğine yönelik tehditlerin uygulanması risklerinin analizi ve olası hasarın değerlendirilmesi, kurumsal bilgi güvenliği ihlalinin kabul edilemez sonuçlarının önlenmesi, neden olunan hasarın en aza indirilmesi ve yerelleştirilmesi için koşulların oluşturulması;

Bilgi güvenliğinin ihlali durumunda işletmenin mevcut durumuna geri getirilebilmesinin sağlanması ve bu ihlallerin sonuçlarının ortadan kaldırılması;

· İşletmenin amaca yönelik bir bilgi güvenliği politikasının oluşturulması ve oluşturulması.

2.3 Bilgi güvenliği sistemini iyileştirmeye yönelik önlemler ve araçlar

Belirlenen hedeflere ulaşmak ve sorunları çözmek için bilgi güvenliği seviyelerinde faaliyetler yürütmek gerekir.

İdari bilgi güvenliği düzeyi.

Bir bilgi güvenliği sistemi oluşturmak için bir bilgi güvenliği politikası geliştirmek ve onaylamak gerekir.

Güvenlik politikası, bilgileri ve ilişkili kaynakları korumayı amaçlayan bir dizi yasa, kural ve davranış normudur.

Geliştirilen politikanın, kuruluşla ilgili mevcut yasa ve yönetmeliklerle tutarlı olması gerektiğine dikkat edilmelidir, örn. bu yasa ve yönetmeliklerin belirlenmesi ve politika geliştirmede dikkate alınması gerekir.

Sistem ne kadar güvenilir olursa, güvenlik politikası da o kadar katı ve çeşitli olmalıdır.

Oluşturulan politikaya bağlı olarak, sistemin güvenliğini sağlayan belirli mekanizmaları seçebilirsiniz.

Kurumsal bilgi güvenliği düzeyi.

Önceki bölümde açıklanan eksikliklere dayanarak, bilgi güvenliğini iyileştirmek için aşağıdaki önlemler önerilebilir:

Nitelikli uzmanların katılımıyla yeni yazılım ürünleriyle çalışma becerilerinde eğitim personeli üzerinde çalışma organizasyonu;

İşletmenin ekonomik, sosyal ve bilgi güvenliği sistemini iyileştirmeyi amaçlayan gerekli önlemlerin geliştirilmesi.

Her çalışanın kendisine emanet edilen bilgilerin öneminin ve gizliliğinin farkında olması için eğitim verin, çünkü kural olarak, gizli bilgilerin ifşasının nedeni, çalışanların ticari sırları korumaya yönelik kurallar hakkında yetersiz bilgi sahibi olmaları ve yanlış anlamalardır (veya yanlış anlama) dikkatli bir şekilde gözetilme ihtiyacı.

Çalışanların gizli bilgilerle çalışma kurallarına uyumu üzerinde sıkı kontrol;

İşletme çalışanlarının çalışma belgelerini saklama kurallarına uygunluğun izlenmesi;

Kurumsal bilgi güvenliği konularında planlanmış toplantılar, seminerler, tartışmalar;

Tüm bilgi sistemlerinin ve bilgi altyapısının işlerlik için düzenli (programlı) kontrolü ve bakımı.

Kalıcı olarak bir sistem yöneticisi atayın.

Bilgileri korumak için yazılım ve donanım önlemleri.

Yazılım ve donanım, bir işletmenin bilgi korumasının uygulanmasındaki en önemli bileşenlerden biridir, bu nedenle bilgi koruma seviyesini artırmak için aşağıdaki önlemlerin alınması ve uygulanması gerekir:

Kullanıcı şifrelerinin girilmesi;

İşletmenin bilgi kaynaklarına kullanıcı erişimini düzenlemek için, oturum açma bilgileri altında sisteme girecek kullanıcıların bir listesini girmelisiniz. Sunucuda Windows Server 2003 Std kurulu olduğunda, karşılık gelen parolalara sahip bir kullanıcı listesi oluşturabilirsiniz. Parolaları, kullanımları için uygun talimatlarla birlikte çalışanlara dağıtın. Ayrıca parola son kullanma tarihini de girmeniz gerekir, bundan sonra kullanıcıdan parolayı değiştirmesi istenir. Yanlış bir parolayla oturum açma denemelerinin sayısını sınırlayın (örneğin, üç ile).

Bir veritabanıyla çalışırken, verileri değiştirirken 1C: Enterprise programında bir şifre talebinin tanıtılması. Bu, PC yazılım araçları ve yazılımı kullanılarak yapılabilir.

Dosyalara, dizinlere, disklere erişimin farklılaştırılması.

Dosyalara ve dizinlere erişimin farklılaştırılması, her kullanıcı için özel olarak ilgili sürücülere, klasörlere ve dosyalara erişime izin verecek olan sistem yöneticisi tarafından gerçekleştirilecektir.

İş istasyonlarının düzenli olarak taranması ve anti-virüs programı veritabanlarının güncellenmesi.

Kötü amaçlı programları tespit etmenizi ve etkisiz hale getirmenizi, bulaşma nedenlerini ortadan kaldırmanızı sağlar. Anti-virüs koruma araç ve sistemlerinin kurulumu, konfigürasyonu ve bakımının yapılması gerekmektedir.

Bunu yapmak için, virüsten koruma programını bilgisayarınızı düzenli olarak tarayacak ve veritabanlarını sunucudan düzenli olarak güncelleyecek şekilde yapılandırmanız gerekir.

İnternetten gelen saldırıları engelleyen Agnitum Outpost FireWall güvenlik duvarının sunucu bilgisayara kurulumu.

Agnitum Outpost Güvenlik Duvarı kullanmanın faydaları:

¾ bilgisayarınızın başkalarıyla olan bağlantılarını denetler, bilgisayar korsanlarını engeller ve yetkisiz harici ve dahili ağ erişimini engeller.

Güvenlik sistemindeki en savunmasız yer, işletmenin çalışanları ile yazılım ve donanım olarak adlandırılabilir. Özellikle donanım arızalarında kişisel bilgisayarlarda veriler yedeklenmez, bazı önemli veriler kaybolabilir; MS Windows XP işletim sistemi ve kullanılan yazılımın güncellenmemiş olması, PC'de saklanan bilgilere yetkisiz erişime veya yazılımdaki hatalardan dolayı zarar görmesine neden olabilir; çalışanların internet kaynaklarına erişimi kontrol edilmez, bu da veri sızıntısına neden olabilir; ticari e-posta yazışmaları İnternet üzerinden güvenli olmayan kanallar aracılığıyla yapılır, e-posta mesajları İnternet üzerindeki posta servislerinin sunucularında saklanır; bazı çalışanların akademide kullanılan otomatik sistemlerle çalışma becerileri yetersizdir ve bu da sistemde yanlış verilerin görünmesine neden olabilir; çalışanların ihmal nedeniyle veri kaybına yol açabilecek meslektaşlarının kişisel bilgisayarlarına erişimi vardır; tüm öğretim üyelerinin arşive erişimi vardır, bu nedenle bazı kişisel dosyalar kaybolabilir veya aranması uzun sürebilir; güvenlik düzenlemeleri yoktur.

Bilgi güvenliği sisteminin temel amacı, tesisin istikrarlı çalışmasını sağlamak, güvenliğine yönelik tehditleri önlemek, işletmenin meşru menfaatlerini hukuka aykırı tecavüzlerden korumak, hizmet bilgilerinin ve kişisel bilgilerin ifşasını, kaybını, sızmasını, bozulmasını ve imhasını önlemektir. bilgi, tesisin tüm bölümlerinin normal üretim faaliyetlerinin sağlanması.

Bilgi güvenliği sisteminin bir diğer amacı da verilen hizmetlerin kalitesini ve güvenlik garantilerini iyileştirmektir.

Bir kuruluşta bilgi güvenliği sistemi oluşturmanın görevleri şunlardır: bilginin bütünlüğü, bilginin güvenilirliği ve gizliliği. Görevler tamamlandığında hedef gerçekleştirilecektir.

IS ve IT'de bilgi güvenliği sistemlerinin oluşturulması aşağıdaki ilkelere dayanmaktadır:

Yerli ve yabancı koruma sistemleri oluşturma uygulamasıyla onaylanan ve teknolojik bilgi işleme döngüsünün tüm aşamalarında kullanılan, birbiriyle ilişkili organizasyonel, yazılım, donanım, fiziksel ve diğer özelliklerin optimum kombinasyonu anlamına gelen bir koruma sistemi oluşturmaya yönelik sistematik bir yaklaşım .

Sistemin sürekli geliştirilmesi ilkesi. Bilgisayar bilgi sistemleri için temel ilkelerden biri olan bu ilke, NIS için daha da geçerlidir. BT'deki bilgilere yönelik tehditleri uygulama yolları sürekli olarak geliştirilmektedir ve bu nedenle IP'nin güvenliğini sağlamak tek seferlik bir eylem olamaz. Bu, ISS'yi iyileştirmek için en rasyonel yöntemlerin, yöntemlerin ve yolların kanıtlanmasından ve uygulanmasından, sürekli izlemeden, darboğazlarını ve zayıflıklarını, potansiyel bilgi sızıntısı kanallarını ve yeni yetkisiz erişim yöntemlerini belirlemeyi içeren sürekli bir süreçtir.

İşlenen bilgilere erişim ve işleme prosedürleri için yetkilerin ayrılması ve en aza indirilmesi, yani; hem kullanıcılara hem de BS çalışanlarına, resmi görevlerini yerine getirmeleri için yeterli, kesin olarak tanımlanmış asgari yetkiler sağlamak.

Yetkisiz erişim girişimlerinin kontrolünün ve kaydının eksiksizliği, örn. her kullanıcının kimliğini doğru bir şekilde belirleme ve olası bir soruşturma için eylemlerini kaydetme ihtiyacı ve ayrıca önceden kayıt olmadan BT'de herhangi bir bilgi işleme işlemi gerçekleştirmenin imkansızlığı.

Koruma sisteminin güvenilirliğinin sağlanması, örn. arızalar, arızalar, bir bilgisayar korsanının kasıtlı eylemleri veya sistemdeki kullanıcıların ve bakım personelinin kasıtsız hataları durumunda güvenilirlik seviyesinin düşürülmesinin imkansızlığı.

Koruma sisteminin işleyişi üzerinde kontrolün sağlanması, örn. koruma mekanizmalarının performansını izlemek için araç ve yöntemlerin oluşturulması.

Her türlü kötü amaçlı yazılımdan koruma aracını sağlamak.

ISS'yi geliştirme ve işletme maliyeti üzerindeki tehditlerin uygulanmasından IS ve BT'ye olası zararın fazla olmasıyla ifade edilen koruma sistemini kullanmanın ekonomik fizibilitesinin sağlanması.

İyi çalışmalarınızı bilgi bankasına göndermek basittir. Aşağıdaki formu kullanın

Bilgi tabanını çalışmalarında ve işlerinde kullanan öğrenciler, lisansüstü öğrenciler, genç bilim adamları size çok minnettar olacaklar.

http://www.allbest.ru/ adresinde barındırılmaktadır

KURS PROJESİ

"Bilgi Güvenliği" disiplininde

konuyla ilgili

“Bilgi güvenliği sisteminin iyileştirilmesi

kurumsal LLC "Fırın"

giriiş

Bilgi güvenliğinden bahsetmişken, şu anda aslında bilgisayar güvenliğini kastediyorlar. Gerçekten de, elektronik ortamdaki bilgiler modern toplumun yaşamında giderek daha önemli bir rol oynamaktadır. Bu tür bilgilerin güvenlik açığı bir dizi faktörden kaynaklanmaktadır: büyük hacimler, çok noktalı ve olası erişim anonimliği, "bilgi sabotajı" olasılığı ... Tüm bunlar, bir bilgisayar ortamında bulunan bilgilerin güvenliğini sağlama görevini yapar. geleneksel posta yazışmalarının sırrını saklamaktan çok daha zor bir sorun.

Geleneksel ortamlarda (kağıt, fotoğraf baskıları vb.) saklanan bilgilerin güvenliğinden bahsedersek, güvenliği fiziksel koruma önlemlerine uyularak sağlanır (yani, medya depolama alanına yetkisiz girişlere karşı koruma). Bu tür bilgilerin korunmasının diğer yönleri, doğal afetler ve insan kaynaklı felaketlerle ilgilidir. Bu nedenle, bir bütün olarak "bilgisayar" bilgi güvenliği kavramı, "geleneksel" ortamla ilgili olarak bilgi güvenliğinden daha geniştir.

Bilgi güvenliği sorununu farklı düzeylerde (eyalet, bölge, bir kuruluşun düzeyi) çözme yaklaşımlarındaki farklılıklardan bahsedersek, bu tür farklılıklar basitçe mevcut değildir. "Vybory" Devlet Otomatik Sisteminin güvenliğini sağlama yaklaşımı, küçük bir şirkette yerel bir ağın güvenliğini sağlama yaklaşımından farklı değildir. Bu nedenle, bu çalışmada bilgi güvenliğini sağlama ilkeleri ayrı bir kuruluşun faaliyetlerinden örnekler üzerinde ele alınmıştır.

Kurs projesinin amacı, Oven LLC'nin bilgi güvenliği sistemini iyileştirmektir. Kurs çalışmasının hedefleri - Oven LLC'nin, kaynaklarının, yapısının ve işletmedeki mevcut bilgi güvenliği sisteminin analizi ve onu iyileştirme yöntemlerinin araştırılması olacaktır.

İlk aşamada bilgi güvenliği sisteminin analizi yapılacaktır. Elde edilen sonuçlardan ikinci aşamada bu sistemde zafiyetler varsa bilgilerin korunmasını iyileştirmeye yönelik yöntemler araştırılacaktır.

1. Oven LLC'deki bilgi güvenliği sisteminin analizi

1.1 İşletmenin özellikleri. İşletmenin organizasyon yapısı. Bilgi kaynakları ve bunların korunması ile ilgili hizmet

İşletmenin tam kurumsal adı, Limited Şirket "Koç" dur. Şirketin kısaltılmış adı Oven LLC'dir. Toplum metninde ayrıca. Şirketin şubesi ve temsilciliği yoktur, tek merkezi Perm bölgesi, Suksunsky bölgesi, Martyanovo köyündedir.

Dernek 1990 yılında küçük bir çiftlik olarak kuruldu ve üç kurucusu vardı. Çiftliğin 1998'de köylü ekonomisine dönüştürülmesinden sonra, tek kurucu kaldı. Son yeniden yapılanma Nisan 2004'te gerçekleşti. 1 Nisan'dan bu yana işletme Aries Limited Liability Company olarak tanındı.

Şirketin ana faaliyet konusu tarım ürünleri ekimi, tohumluk materyali, tarım ürünlerinin satışıdır. Bugün Rusya'da şirket, patates çiftlikleri arasında on üçüncü sırada ve Perm Bölgesi'nde birinci sırada yer alıyor.

Yasal adres: Rusya, 617553, Perm Bölgesi, Suksunsky, Martyanovo köyü.

İşletmenin bir bütün olarak hedefleri:

· Ana faaliyetten kar elde etmek.

· Ürünlerin rekabet gücünün artırılması ve satış pazarlarının genişletilmesi.

· Yatırım ve diğer projelerin uygulanması için sermayenin yoğunlaşması ve yatırım kaynaklarının artırılması.

Şirket kurumsal misyonu:

1. Pazarda lider konumda olmaya devam edin.

2. Bir tohum çiftliğinin oluşturulması.

İşletmenin organizasyon yapısı.

Şirket doğrusal-fonksiyonel bir yapı kullanıyor. Doğrusal işlevsel bir yapıda, bir hizmetler hiyerarşisi oluşur. Bu yapıda, fonksiyonel birimlerin başkanları, fonksiyonel konularda bir sonraki yönetim kademesine emir verme hakkına sahiptir.

İşletmenin yapısı Şekil 1'de gösterilmiştir.

http://www.allbest.ru/ adresinde barındırılmaktadır

http://www.allbest.ru/ adresinde barındırılmaktadır

Şekil 1 - Aries LLC'nin organizasyon yapısı

1.2 İşletmenin bilgi kaynaklarının analizi ve karakterizasyonu

Günümüzde herkes kurumsal bilgilerin güvenliği konusunda endişe duymaktadır. Verileri korumak için tasarlanmış bireysel programlar ve tüm kompleksler giderek daha popüler hale geliyor. Bununla birlikte, hiç kimse istediğiniz kadar güvenilir korumaya sahip olabileceğinizi, ancak yine de önemli bilgileri kaybedebileceğinizi düşünmez. Çünkü çalışanlarınızdan biri bunu önemsiz görüp herkesin gözü önünde sergileyecek. Ve bundan korunduğunuzdan eminseniz, o zaman çok yanılıyorsunuz. İlk bakışta bu durum gerçek dışı, şaka gibi görünüyor. Ancak, bu olur ve sıklıkla olur. Gerçekten de, vakaların büyük çoğunluğunda bilgi güvenliği konularıyla ilgilenen teknik personel, hangi verilerin saklanması ve hangilerinin saklanmaması gerektiğini her zaman anlamaz. Anlamak için, tüm bilgileri genel olarak türler olarak adlandırılan farklı türlere ayırmanız ve aralarındaki sınırları net bir şekilde tanımlamanız gerekir.

Aslında, bilgisayar bilgilerinin güvenliğini sağlamak için karmaşık sistemlerin tedarikinde uzmanlaşmış tüm şirketler, verilerin çeşitli türlere bölünmesini dikkate alır. Dikkatli olmanız gereken yer burasıdır. Gerçek şu ki, Batı ürünleri uluslararası standartları takip ediyor (özellikle ISO 17799 ve diğerleri). Onlara göre, tüm veriler üç türe ayrılır: açık, gizli ve kesinlikle gizli. Bu arada ülkemizde yürürlükteki mevzuata göre biraz farklı bir ayrım kullanılmaktadır: açık bilgi, dahili kullanım için ve gizli.

Açık, diğer kişilere serbestçe aktarılabilen ve ayrıca medyada yer alabilen herhangi bir bilgi anlamına gelir. Çoğu zaman, basın bültenleri, konferanslardaki konuşmalar, sunumlar ve sergiler, ayrı (doğal olarak olumlu) istatistik unsurları şeklinde sunulur. Ayrıca bu akbaba, açık dış kaynaklardan elde edilen tüm verileri içerir. Ve elbette, kurumsal bir web sitesine yönelik bilgiler de halka açık olarak kabul edilir.

İlk bakışta, açık bilgilerin korunmaya ihtiyacı yok gibi görünüyor. Ancak insanlar, verilerin yalnızca çalınabileceğini değil, aynı zamanda değiştirilebileceğini de unutuyor. Bu nedenle, açık bilgilerin bütünlüğünü korumak çok önemli bir görevdir. Aksi takdirde önceden hazırlanmış bir basın bülteni yerine anlaşılmaz hale gelebilir. Veya kurumsal sitenin ana sayfası rahatsız edici yazılarla değiştirilecektir. Dolayısıyla kamuya açık bilgilerin de korunması gerekir.

Diğer herhangi bir işletme gibi, şirket de esas olarak potansiyel yatırımcılara gösterilen sunumlarda yer alan açık bilgilere sahiptir.

Dahili kullanıma yönelik bilgiler, çalışanlar tarafından mesleki görevlerinin yerine getirilmesinde kullanılan tüm verileri içerir. Ama hepsi bu kadar değil. Bu kategori, performanslarını sağlamak için çeşitli departmanlar veya şubeler tarafından kendi aralarında değiş tokuş edilen tüm bilgileri içerir. Ve son olarak, bu veri kategorisine giren son veri türü, açık kaynaklardan elde edilen ve işlenmeye tabi tutulan (yapılandırma, düzenleme, açıklama) bilgilerdir.

Aslında tüm bu bilgiler rakiplerin veya davetsiz misafirlerin eline geçse bile şirkete ciddi zararlar veremez. Ancak, kaçırılmasından kaynaklanan bir miktar hasar hala olabilir. Çalışanların patronları için onu ilgilendiren bir konuda haberler topladıklarını ve aralarından en önemli mesajları seçip işaretlediklerini varsayalım. Böyle bir özet, açıkça dahili kullanım için bilgidir (açık kaynaklardan elde edilen ve işlenmeye tabi tutulan bilgiler). İlk bakışta, onu almış olan rakiplerin bundan faydalanamayacakları görülüyor. Ama aslında, şirketinizin yönetiminin hangi yöne ilgi duyduğunu tahmin edebilirler ve kim bilir belki de sizin önünüze bile geçebilirler. Bu nedenle, dahili kullanıma yönelik bilgiler yalnızca ikame edilmekten değil, aynı zamanda yetkisiz erişimden de korunmalıdır. Doğru, çoğu durumda, kendinizi yerel ağın güvenliğiyle sınırlayabilirsiniz, çünkü buna büyük meblağlar harcamak ekonomik olarak karlı değildir.

Bu tür bilgiler, çeşitli raporlarda, listelerde, özetlerde vb. yer alan işletmede de sunulur.

Gizli bilgi - Rusya Federasyonu mevzuatına göre erişimi kısıtlanmış, kamuya açık olmayan ve ifşa edilmesi halinde, onu sağlayan kişinin haklarına ve yasal olarak korunan çıkarlarına zarar verebilecek belgelenmiş bilgiler. Bu boyuna ilişkin veri listesi devlet tarafından belirlenir. Şu anda kişisel bilgiler, ticari, resmi veya mesleki sır teşkil eden bilgiler, soruşturma ve büro işleri sırrı niteliğindeki bilgiler şu şekildedir. Ayrıca, son zamanlarda, bir buluşun veya bilimsel keşfin özüne ilişkin veriler, resmi olarak yayınlanmadan önce gizli olarak sınıflandırılmıştır.

Bir kuruluştaki gizli bilgiler, geliştirme planı, araştırma çalışması, teknik belgeler, çizimler, kar dağıtımı, sözleşmeler, raporlar, kaynaklar, ortaklar, müzakereler, sözleşmeler gibi verileri ve ayrıca yönetimsel ve planlama niteliğindeki bilgileri içerir.

Şirketin yaklaşık yirmi bilgisayarı var. Bir işletmede yerel bir ağın varlığına gelince, toplumdaki PC'ler tek bir ağda birleştirilmemiştir. Ek olarak, tüm bilgisayarlar standart bir dizi ofis programı ve muhasebe programı ile donatılmıştır. Üç bilgisayarın WAN Miniport aracılığıyla İnternet erişimi vardır. Aynı zamanda, kuruluştaki tek bir bilgisayar bile bir virüsten koruma programı ile donatılmamıştır. Bilgi alışverişi medya aracılığıyla gerçekleştirilir: flash sürücüler, disketler. "Geleneksel" ortamlarla ilgili tüm bilgiler kilitli olmayan dolaplarda bulunur. En önemli belgeler, anahtarları sekreter tarafından saklanan bir kasada saklanır.

bilgi koruma güvenliği

1.3 Kuruluştaki bilgileri koruma tehditleri ve araçları

Bilgi güvenliği tehdidi - bilgi sızıntısı ve / veya yetkisiz ve / veya kasıtsız etkilerle ilişkili potansiyel veya gerçek bir tehlike oluşturan bir dizi koşul ve faktör

Bilgi güvenliği nesnelerini etkileme yöntemlerine göre, toplumla ilgili tehditler şu sınıflandırmaya tabidir: bilgi, yazılım, fiziksel, organizasyonel ve yasal.

Bilgi tehditleri şunları içerir:

Bilgi kaynaklarına yetkisiz erişim;

Arşivlerden ve veritabanlarından bilgi hırsızlığı;

Bilgi işleme teknolojisinin ihlali;

bilgilerin yasa dışı toplanması ve kullanılması;

Yazılım tehditleri şunları içerir:

bilgisayar virüsleri ve kötü amaçlı yazılım;

Fiziksel tehditler şunları içerir:

Bilgi işleme ve iletişim tesislerinin imhası veya imhası;

Depolama ortamının çalınması;

Personel üzerindeki etki

Kurumsal ve yasal tehditler şunları içerir:

Kusurlu veya eskimiş bilgi teknolojilerinin ve bilişim araçlarının satın alınması;

Bilgi güvenliği araçları, sızıntı önleme ve güvenlik korumalı bilgiler dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan bir dizi mühendislik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, cihazlar ve teknik sistemlerin yanı sıra diğer gerçek unsurlardır.

İşletmede kullanılan bilgi güvenliği araçlarını düşünün. Toplamda dört tane var (donanım, yazılım, karma, organizasyonel).

Donanım koruması- kilitler, pencerelerdeki parmaklıklar, güvenlik alarmları, ağ filtreleri, güvenlik kameraları.

Yazılım korumaları: Koruma, şifre, hesaplar gibi işletim sistemi araçları kullanılır.

Örgütsel koruma araçları: binaların bilgisayarlarla hazırlanması.

2 Bilgi güvenliği sisteminin iyileştirilmesi

2.1 Bilgi güvenliği sisteminde tespit edilen eksiklikler

Toplumda bilginin korunmasında en hassas nokta bilgisayar güvenliğinin korunmasıdır. İşletmenin yüzeysel bir analizi sırasında bile, aşağıdaki eksiklikler tespit edilebilir:

§ Bilgi nadiren yedeklenir;

§ Yetersiz düzeyde bilgi güvenliği yazılımı;

§ Bazı çalışanların bilgisayar becerileri yetersizdir;

§ Çalışanlar üzerinde kontrol yoktur. Çoğu zaman çalışanlar, bilgisayarlarını kapatmadan ve hizmet bilgilerini içeren bir flash sürücüye sahip olmadan iş yerinden ayrılabilirler.

§ Bilgi güvenliğine ilişkin normatif belgelerin eksikliği.

§ Tüm bilgisayarlar parolalar ve hesaplar gibi işletim sistemi araçlarını kullanmaz.

2.2 İşletmede bilgi güvenliği sisteminin oluşturulmasının amaç ve hedefleri

Bilgi güvenliği sisteminin temel amacı, tesisin istikrarlı bir şekilde çalışmasını sağlamak, güvenliğine yönelik tehditleri önlemek, işletmenin meşru çıkarlarını yasa dışı tecavüzlerden korumak, fonların çalınmasını, ifşasını, kaybını, sızmasını, bozulmasını ve imha edilmesini önlemektir. tesisin tüm departmanlarının normal üretim faaliyetlerini sağlayan resmi bilgiler. Bilgi güvenliği sisteminin bir diğer amacı da sunulan hizmetlerin kalitesini artırmak ve mülkiyet hak ve menfaatlerinin güvenliğini garanti altına almaktır.

Bir kuruluşta bilgi güvenliği sistemi oluşturmanın görevleri şunlardır: bilginin bütünlüğü, bilginin güvenilirliği ve gizliliği. Görevler tamamlandığında hedef gerçekleştirilecektir.

IS ve IT'de bilgi güvenliği sistemlerinin (ISS) oluşturulması aşağıdaki ilkelere dayanmaktadır:

Yerli ve yabancı koruma sistemleri oluşturma uygulamasıyla onaylanan ve teknolojik bilgi işleme döngüsünün tüm aşamalarında kullanılan, birbiriyle ilişkili organizasyonel, yazılım, donanım, fiziksel ve diğer özelliklerin optimum kombinasyonu anlamına gelen bir koruma sistemi oluşturmaya yönelik sistematik bir yaklaşım .

Sistemin sürekli geliştirilmesi ilkesi. Bilgisayar bilgi sistemleri için temel ilkelerden biri olan bu ilke, NIS için daha da geçerlidir. BT'deki bilgilere yönelik tehditleri uygulama yolları sürekli olarak geliştirilmektedir ve bu nedenle IP'nin güvenliğini sağlamak tek seferlik bir eylem olamaz. Bu, ISS'yi iyileştirmek için en rasyonel yöntemlerin, yöntemlerin ve yolların kanıtlanmasından ve uygulanmasından, sürekli izlemeden, darboğazlarını ve zayıflıklarını, potansiyel bilgi sızıntısı kanallarını ve yeni yetkisiz erişim yöntemlerini belirlemeyi içeren sürekli bir süreçtir.

İşlenen bilgilere erişim ve işleme prosedürleri için yetkilerin ayrılması ve en aza indirilmesi, yani hem kullanıcılara hem de BS çalışanlarına resmi görevlerini yerine getirmeleri için yeterli, kesin olarak tanımlanmış asgari yetkilerin sağlanması.

Yetkisiz erişim girişimlerinin kontrolünün ve kaydının eksiksizliği, yani her kullanıcının kimliğini doğru bir şekilde belirleme ve olası bir soruşturma için eylemlerini kaydetme ihtiyacı ve ayrıca önceden kayıt olmadan BT'de herhangi bir bilgi işleme işlemi gerçekleştirmenin imkansızlığı.

Koruma sisteminin güvenilirliğinin sağlanması, yani arızalar, arızalar, bir bilgisayar korsanının kasıtlı eylemleri veya sistemdeki kullanıcıların ve bakım personelinin kasıtsız hataları durumunda güvenilirlik seviyesinin düşürülmesinin imkansızlığı.

Koruma sisteminin işleyişi üzerinde kontrolün sağlanması, örn. koruma mekanizmalarının performansını izlemek için araç ve yöntemlerin oluşturulması.

Her türlü kötü amaçlı yazılımdan koruma aracını sağlamak.

ISS'yi geliştirme ve işletme maliyeti üzerindeki tehditlerin uygulanmasından IS ve BT'ye olası zararın fazla olmasıyla ifade edilen koruma sistemini kullanmanın ekonomik fizibilitesinin sağlanması.

2.3 Kuruluşun bilgi güvenliği sistemini iyileştirmek için önerilen eylemler

İşletmede tespit edilen eksiklikler bunların giderilmesini gerektirir, bu nedenle aşağıdaki önlemler önerilmektedir.

§ Şirket çalışanlarının kişisel verileri, muhasebe verileri ve işletmede bulunan diğer veritabanları ile veritabanının düzenli olarak yedeklenmesi. Bu, disk arızaları, elektrik kesintileri, virüsler ve diğer kazalardan kaynaklanan veri kaybını önleyecektir. Dikkatli planlama ve düzenli yedekleme prosedürleri, veri kaybı durumunda hızlı bir şekilde geri yüklemenizi sağlar.

§ Her bilgisayarda OS araçlarının kullanılması. Uzmanlar için hesapların oluşturulması ve bu hesaplar için düzenli şifre değişiklikleri.

§ İşletme personelinin bilgisayarlarla çalışması için eğitimi. İş istasyonlarının doğru çalışması ve bilgi kaybının ve hasarının önlenmesi için gerekli bir koşul. Tüm işletmenin çalışması, PC personelinin doğru uygulama açısından becerilerine bağlıdır.

§ Avast, NOD, Doctor Web vb. gibi bilgisayarlara anti-virüs programlarının kurulumu. Bu, bilgisayarlara virüs adı verilen çeşitli kötü amaçlı programların bulaşmasını önleyecektir. Bu işletme için çok önemli, çünkü birkaç bilgisayarda İnternet erişimi var ve çalışanlar bilgi alışverişinde bulunmak için flaş medya kullanıyor.

§ Video kameralar kullanarak çalışanlar üzerinde kontrol sağlamak. Bu, ekipmanın dikkatsizce kullanılması durumlarını, ekipman hırsızlığı ve hasar riskini azaltacak ve ayrıca resmi bilgilerin şirket bölgesinden "kaldırılmasının" kontrol edilmesini sağlayacaktır.

§ Rusya Federasyonu'nun yürürlükteki mevzuatına uyacak ve bu ihlallere ilişkin riskleri, ihlalleri ve yükümlülükleri (para cezaları, cezalar) belirleyecek olan “Oven LLC'de bilgilerin korunmasına yönelik önlemler ve ihlallerinin sorumluluğu” düzenleyici bir belgenin geliştirilmesi. Şirketin iş sözleşmesinde uygun sütunu oluşturmasının yanı sıra, bildiğini ve bu belgenin hükümlerine uymayı taahhüt eder.

2.4 Önerilen faaliyetlerin etkinliği

Önerilen önlemler, işletmedeki bilgi güvenliği ile ilgili temel sorunların ortadan kaldırılması gibi yalnızca olumlu yönler taşımaz. Ancak aynı zamanda, personel eğitimi ve güvenlik politikasına ilişkin düzenleyici belgelerin geliştirilmesi için ek yatırımlar gerektireceklerdir. Ek işçilik maliyeti gerektirecek ve riskleri tamamen ortadan kaldırmayacaktır. Her zaman bir insan faktörü, mücbir sebep olacaktır. Ancak bu tür önlemler alınmazsa, bilgiyi geri getirmenin maliyeti, kaybedilen fırsatların maliyeti, bir güvenlik sistemi geliştirmek için gerekenden daha pahalıya mal olacaktır.

Önerilen önlemlerin sonuçlarını göz önünde bulundurun:

1. Kuruluşun bilgi güvenliği sisteminin güvenilirliğini artırmak;

2. Personelin PC yeterlilik düzeyinin arttırılması;

3. Azaltılmış bilgi kaybı riski;

4. Güvenlik politikasını tanımlayan düzenleyici bir belgenin mevcudiyeti.

5. İşletmeden bilgi girme/çıkarma riskini muhtemelen azaltın.

3 Bilgi güvenliği modeli

Sunulan bilgi güvenliği modeli (Şekil 2), bir dizi nesnel dış ve iç faktör ve bunların tesisteki bilgi güvenliği durumu ve malzeme veya bilgi kaynaklarının güvenliği üzerindeki etkisidir.

Şekil 2 - Bilgi güvenliği sistem modeli

Bu model, Rusya Federasyonu'nda kabul edilen bilgi güvenliğini sağlamak için özel düzenleyici belgelere, uluslararası standart ISO / IEC 15408 "Bilgi teknolojisi - koruma yöntemleri - bilgi güvenliğini değerlendirme kriterleri", standart ISO / IEC 17799 "Bilgi güvenliği yönetimine uygundur. " ve bilgi güvenliği konularında yerel düzenleyici çerçevenin (özellikle Rusya Federasyonu Devlet Teknik Komisyonu) gelişme eğilimlerini dikkate alır.

Sonuçlar ve teklifler

Bilgi Çağı, insanların çok sayıda meslek için görevlerini yerine getirme biçimlerinde çarpıcı değişiklikler getirdi. Artık orta düzey teknik olmayan bir uzman, çok yetenekli bir programcının yaptığı işi yapabilir. Çalışan, hiç olmadığı kadar doğru ve güncel bilgiye sahiptir.

Ancak bilgisayarların ve otomatik teknolojilerin kullanımı, organizasyonun yönetimi için bir takım sorunlara yol açmaktadır. Genellikle ağa bağlı olan bilgisayarlar, çok çeşitli ve çok çeşitli verilere erişim sağlayabilir. Bu nedenle insanlar, bilgilerin güvenliği ve gizli, kişisel veya diğer kritik verilere otomatikleştirme ve bunlara çok daha fazla erişim sağlama ile ilgili riskler konusunda endişe duyuyorlar. Bilgisayar suçlarının sayısı sürekli olarak artıyor ve bu da sonunda ekonominin altını oymaya yol açabiliyor. Ve bu nedenle, bilginin korunması gereken bir kaynak olduğu açık olmalıdır.

Ve otomasyon, artık bilgisayar işlemlerinin özel olarak eğitilmiş teknik personel tarafından değil, kuruluşun sıradan çalışanları tarafından gerçekleştirilmesine yol açtığından, son kullanıcıların bilgileri koruma sorumluluklarının farkında olmaları gerekir.

%100 veri güvenliği ve güvenilir ağ işletimi garantisi sağlayan tek bir tarif yoktur. Bununla birlikte, belirli bir kuruluşun görevlerinin özelliklerini dikkate alan kapsamlı, iyi düşünülmüş bir güvenlik konseptinin oluşturulması, değerli bilgileri kaybetme riskini en aza indirmeye yardımcı olacaktır. Bilgisayar güvenliği, kullanıcıların aptallığına ve bilgisayar korsanlarının zekasına karşı sürekli bir mücadeledir.

Sonuç olarak, bilgilerin korunmasının teknik yöntemlerle sınırlı olmadığını söylemek isterim. Sorun çok daha geniş. Ana koruma eksikliği insanlardır ve bu nedenle güvenlik sisteminin güvenilirliği esas olarak şirket çalışanlarının buna karşı tutumuna bağlıdır. Ek olarak, bir bilgisayar ağının geliştirilmesiyle birlikte korumanın sürekli olarak iyileştirilmesi gerekir. Unutmayın ki işe müdahale eden güvenlik sistemi değil, yokluğudur.

Ayrıca, bu kurs projesinin sonuçlarını özetleyerek, Aries şirketinin bilgi güvenliği sistemini analiz ettikten sonra beş eksikliğin tespit edildiğini belirtmek isterim. Aramadan sonra bunları ortadan kaldıracak çözümler bulundu, bu eksiklikler giderilebilir, bu da bir bütün olarak işletmenin bilgi güvenliğini artıracak.

Yukarıdaki eylemler sırasında, bilgi güvenliği sistemini incelemenin pratik ve teorik becerileri üzerinde çalışıldı, bu nedenle kurs projesinin amacına ulaşıldı. Bulunan çözümler sayesinde projenin tüm görevleri tamamlandı diyebiliriz.

Kaynakça

1. GOST 7.1-2003. Bibliyografik kayıt. Bibliyografik açıklama. Taslak hazırlama için genel gereksinimler ve kurallar (M.: Yayınevi standartlar, 2004).

2. Galatenko, V.A. "Bilgi Güvenliğinin Temelleri". - M.: "Sezgi", 2003.

3. Zavgorodniy, V. I. “Bilgisayar sistemlerinde entegre bilgi koruması”. - M.: "Logolar", 2001.

4. Zegzhda, D.P., Ivashko, A.M. "Bilgi sistemleri güvenliğinin temelleri".

5. Nosov, V.A. "Bilgi Güvenliği" disiplinine giriş kursu.

6. 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Kanunu N 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma"

Allbest.ru'da barındırılıyor

Benzer Belgeler

"Aşatlı" tarım işletmesinin bilgi kaynaklarının özellikleri. Kuruma özel bilgi güvenliği tehditleri. Bilgi koruma önlemleri, yöntemleri ve araçları. Mevcut güvenlik sisteminin eksikliklerinin ve güncellenen güvenlik sisteminin avantajlarının analizi.

dönem ödevi, 02/03/2011 eklendi


İşletmenin faaliyetleri hakkında genel bilgiler. Kuruluşta bilgi güvenliği nesneleri. Bilgi koruma önlemleri ve araçları. Veriler çıkarılabilir ortama kopyalanıyor. Dahili bir yedekleme sunucusu kurma. IS sistemini iyileştirme verimliliği.

test, 29/08/2013 eklendi


Bilgi güvenliği kavramı, anlamı ve yönleri. Bilgi güvenliğini organize etmeye, bilgileri yetkisiz erişime karşı korumaya yönelik sistematik bir yaklaşım. Bilgi koruma araçları. Bilgi güvenliği yöntemleri ve sistemleri.

özet, 11/15/2011 eklendi


Bilgi güvenliği modu oluşturma sistemi. Toplumun bilgi güvenliğinin görevleri. Bilgi koruma araçları: temel yöntemler ve sistemler. Bilgisayar ağlarında bilgi koruması. Rusya'nın en önemli yasama işlemlerinin hükümleri.

özet, 01/20/2014 eklendi


Bilgi güvenliği risk analizi. Mevcut ve planlanan koruma araçlarının değerlendirilmesi. Bilgi güvenliğini ve kurumsal bilgilerin korunmasını sağlamak için bir dizi kurumsal önlem. Proje uygulamasının bir kontrol örneği ve açıklaması.

tez, 19.12.2012 eklendi


Etkili ve yeterli güvenlik gereksinimleri setini tanımlayacak etkili politikalar sistemi biçimindeki bir kurumsal bilgi güvenliği stratejisi. Bilgi güvenliğine yönelik tehditlerin belirlenmesi. İç kontrol ve risk yönetimi.

dönem ödevi, 06/14/2015 eklendi


Görev kompleksinin tanımı ve kuruluşta bilgi güvenliğini ve bilgi korumasını sağlamak için sistemi iyileştirme ihtiyacının gerekçesi. VTYS kullanımı, bilgi güvenliği ve kişisel verilerin korunması için bir projenin geliştirilmesi.

tez, 11/17/2012 eklendi


Rusya'da bilgi güvenliği alanındaki düzenleyici belgeler. Bilgi sistemleri tehditlerinin analizi. Kliniğin kişisel veri koruma sisteminin organizasyonunun özellikleri. Elektronik anahtarlar kullanılarak bir kimlik doğrulama sisteminin uygulanması.

tez, 31.10.2016 eklendi


Kişisel veri güvenliği sistemi oluşturmak için ön koşullar. Bilgi güvenliğine yönelik tehditler. ISPD'ye yetkisiz erişim kaynakları. Kişisel veri bilgi sistemlerinin cihazı. Bilgi koruma araçları. Güvenlik Politikası.

dönem ödevi, 10/07/2016 eklendi


Görevler, yapı, fiziksel, yazılım ve donanım bilgi sistemlerini korumak için önlemler. Bilgisayar suçlarının türleri ve nedenleri, kuruluşun güvenlik politikasını iyileştirme yolları. "Günlük" klasörünün amacı ve ana işlevleri MS Outlook 97.

BİLGİSAYAR TEKNOLOJİLERİNİN KULLANIMINDAKİ HUKUKİ SORUNLAR VE MEVZUATIN İYİLEŞTİRİLMESİ

RUSYA FEDERASYONUNUN BİLGİ GÜVENLİĞİNİ SAĞLAMAK İÇİN KURUMSAL MEKANİZMANIN GELİŞTİRİLMESİ

RUSYA FEDERASYONU BİLGİ GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK KURUMSAL MEKANİZMANIN GELİŞTİRİLMESİ

© Yulia Aleksandrovna Koblova

Yuliya A. Koblova

İktisadi Bilimler Adayı, Saratov Sosyo-Ekonomik Enstitüsü (şube) Kurumsal Ekonomi ve Ekonomik Güvenlik Bölümü Doçenti GV Plehanov"

Cand Sc. (Ekonomi), kurumsal ekonomi bölümünde doçent, Plehanov Rusya Ekonomi Üniversitesi Saratov sosyo-ekonomik enstitüsü (şubesi)

e-posta: [e-posta korumalı]

Makale, devletin bilgi güvenliğini sağlamanın kurumsal yönlerini incelemektedir. Devletin bilgi güvenliğini sağlamada kurumsal mekanizmanın özü ve rolü ortaya konulmuştur. Rusya'da bilgi güvenliğinin kurumsal olarak sağlanmasına ilişkin bir değerlendirme yapılmıştır. Sorunlar belirlenir ve ülkenin bilgi güvenliğini sağlamaya yönelik kurumsal mekanizmayı iyileştirmek için bir önlemler sistemi önerilir.

Anahtar kelimeler: kurumlar, kurumsal mekanizma, bilgi güvenliği, internet alanı.

Makale, devletin bilgi güvenliğini sağlamanın kurumsal yönlerini incelemektedir. Yazar, kurumsal mekanizmanın devlet bilgi güvenliğini sağlamadaki özünü ve rolünü ortaya koyuyor, Rusya'da bilgi güvenliğini sağlamaya yönelik kurumsal mekanizmayı değerlendiriyor, büyük zorlukları vurguluyor ve bilgi güvenliğini sağlamak için kurumsal mekanizmayı iyileştirmek için bir önlemler sistemi öneriyor.

Anahtar Kelimeler: kurumlar, kurumsal mekanizmalar, bilgi güvenliği, internet alanı.

Devletin bilgi güvenliğini sağlamak, henüz kurulmamış yöntem ve araçların hacmi ve içeriği ile oldukça yeni bir devlet işlevidir.

polisler. Oluşumu, toplumu ve devleti en son bilgi ve iletişim teknolojilerinin gelişmesiyle ilişkili bilgi tehditlerinden koruma ihtiyacından kaynaklanmaktadır.

teknoloji. Bu tehditlerin devletler, örgütler, insanlar için olumsuz sonuçlarının ölçeği dünya topluluğu tarafından zaten kabul edilmektedir, bu nedenle devletin en önemli görevi bunları önlemek ve etkisiz hale getirmek için bir önlemler sistemi geliştirmektir. Devletin bilgi güvenliğinin sağlanmasında önemli bir rol, sağlanması için kurumsal mekanizma tarafından oynanır. Ulusal ve bilgi güvenliği de dahil olmak üzere en yüksek devlet çıkarlarını sağlamak için kamu çıkarlarını uygulayan kurumsal sistemin etkinliği, bunların uyumlaştırılmasının anahtarıdır.

Kurumların, toplumdaki insan bilinci ve deneyimi tarafından oluşturulan etkileşim kuralları (“oyunun kuralları”), siyasette, sosyal alanda ve ekonomide gelişmenin sınırlamaları ve önkoşulları olduğunu hatırlayın. Uzun vadeli ekonomik büyümeyi destekleyen kurumlar, teşvik ve mekanizmaları oluşturan yasa ve kurallardır. Kurumlar olumlu ve olumsuz bir teşvik sistemi kurar, belirsizliği azaltır ve sosyal çevreyi daha öngörülebilir hale getirir. Bilgi güvenliğini garanti eden kurumlar bilinmektedir: hukukun üstünlüğü, bağımsız ve yetkili bir mahkeme, yolsuzluğun olmaması vb.

Bilgi güvenliğini sağlamaya yönelik kurumsal mekanizma, bilgi güvenliğine yönelik tehditleri önlemek için bilgi alanındaki çeşitli ekonomik varlıkların etkileşimini yöneten normların ve kuralların oluşturulmasını sağlayan ekonomik mekanizmanın özel bir yapısal bileşenidir. Kurumsal mekanizma, kurumları (resmi ve gayri resmi) harekete geçirir, öznelerin etkileşimlerini yapılandırır, yerleşik norm ve kurallara uygunluk üzerinde kontrol uygular.

Kurumsal mekanizmanın özü, işlevleri aracılığıyla kendini gösterir. O.V. Inshakov ve N.N. Lebedev, kurumsal mekanizmanın bilgi güvenliği mekanizması için de geçerli olan aşağıdaki işlevleri yerine getirdiğine inanmaktadır:

1) ortak statüler ve normlar çerçevesinde ortak faaliyetler yürütmek için temsilcilerin tek bir kuruma entegrasyonu;

2) normların ve statülerin yanı sıra farklı kurumların öznelerinin ve temsilcilerinin, onları ayıran ve görmezden gelen gereksinimlere göre farklılaşması; arasındaki etkileşimin düzenlenmesi

ta ve acenteleri belirlenen gerekliliklere uygun olarak;

3) yeni gerekliliklerin fiili uygulamaya dönüştürülmesinin uygulanması;

4) rutin yeniliklerin yeniden üretilmesini sağlamak;

5) farklı kurumlara ait kuruluşlar arasındaki ilişkilerin tabi kılınması ve koordinasyonu;

6) konuları yeni normlar ve fırsatçı davranışlar hakkında bilgilendirmek;

7) Enstitü tarafından tanımlanan gereksinimleri paylaşan ve reddeden kuruluşların faaliyetlerinin düzenlenmesi;

8) normların, kuralların ve anlaşmaların uygulanması üzerinde kontrol.

Dolayısıyla, bilgi güvenliğini sağlamaya yönelik kurumsal mekanizma, yasal çerçeveyi ve bunu sağlayan kurumsal yapıları içerir. Bu mekanizmanın iyileştirilmesi, bilgi güvenliğine yönelik yasal çerçevenin ve bilgi güvenliği tehditlerine karşı koymak için kurumsal yapıların yeniden düzenlenmesini içerir.

Bilgi güvenliğini sağlamaya yönelik kurumsal mekanizma şunları içerir: bilgi alanının tüm konularının çıkarlarını dikkate alacak yeni yasaların kabul edilmesi; bilgi alanındaki yasaların yaratıcı ve kısıtlayıcı işlevlerinin dengesinin gözetilmesi; Rusya'nın küresel hukuk alanına entegrasyonu; yerli bilgi teknolojileri alanının durumunu dikkate alarak.

Bugüne kadar Rusya, bilgi güvenliği alanında aşağıdakileri içeren bir yasal çerçeve oluşturmuştur:

1. Rusya Federasyonu Yasaları: Rusya Federasyonu Anayasası, "Güvenlik Üzerine"; “Rusya Federasyonu'ndaki Federal Güvenlik Teşkilatı Organları Hakkında”, “Devlet Sırları Hakkında”, “Dış İstihbarat Hakkında”, “Uluslararası Bilgi Alışverişine Katılım Hakkında”, “Bilgi, Bilgi Teknolojileri ve Bilgi Koruması Hakkında”, “Dijital İmza Hakkında” " ve benzeri.

2. Rusya Federasyonu Başkanının düzenleyici yasal işlemleri: Rusya Federasyonu bilgi güvenliği doktrini; Rusya Federasyonu'nun 2020 yılına kadar Ulusal Güvenlik Stratejisi, "Bilişim Alanında Devlet Politikasının Temelleri Üzerine", "Devlet Sırları Olarak Sınıflandırılan Bilgiler Listesi Üzerine" vb.

3. Rusya Federasyonu Hükümeti'nin normatif yasal düzenlemeleri: "Sertifika üzerine

bilgi koruma araçları”, “Devlet sırrı oluşturan bilgilerin kullanımı, bilgi koruma araçlarının oluşturulması ve önlemlerin uygulanması ile ilgili çalışmaları yürütmek için işletmelerin, kurum ve kuruluşların faaliyetlerinin lisanslanması hakkında ve (veya) ) devlet sırlarının korunmasına yönelik hizmetlerin sağlanması”, “Belirli faaliyet türlerinin ruhsatlandırılması hakkında” vb.

4. Rusya Federasyonu Medeni Kanunu (dördüncü bölüm).

5. Rusya Federasyonu Ceza Kanunu.

Rusya son yıllarda uygulamaya koydu.

bilgi güvenliğini artırmak için bir dizi önlem. Federal hükümet organlarında, Rusya Federasyonu'nun kurucu kuruluşlarının hükümet organlarında, mülkiyet biçimine bakılmaksızın işletmelerde, kurumlarda ve kuruluşlarda bilgi güvenliğini sağlamak için önlemler uygulanmıştır. Özel bilgi ve telekomünikasyon sistemlerinin korunmasına yönelik çalışmalar devam etmektedir. Devlet bilgi koruma sistemi, devlet sırlarını koruma sistemi ve bilgi güvenliği araçlarının sertifikalandırma sistemleri, Rusya Federasyonu'ndaki bilgi güvenliği sorunlarının etkili bir şekilde çözülmesine katkıda bulunur.

Rusya Federasyonu Başkanı'na bağlı Devlet Teknik Komisyonu, birleşik bir teknik politika izler ve bilgi güvenliği alanındaki çalışmaları koordine eder, bilgileri teknik istihbarattan korumak için devlet sisteminin başındadır ve bilgilerin teknik yoluyla sızıntıdan korunmasını sağlar. Rusya'daki kanallar, alınan koruma tedbirlerinin etkinliğini izler.

Ülkenin bilgi güvenliği sisteminde önemli bir rol devlet ve kamu kuruluşları tarafından oynanır: devlet ve devlet dışı kitle iletişim araçları üzerinde kontrol uygularlar.

Aynı zamanda, Rusya'daki bilgi güvenliği düzeyi, toplumun ve devletin ihtiyaçlarını tam olarak karşılamıyor. Bilgi toplumu koşullarında, bir yanda bilgi alışverişinin yayılması ve özgürlüğüne yönelik kamu ihtiyacı ile yayılmasına yönelik belirli düzenlenmiş kısıtlamaları sürdürme ihtiyacı arasındaki çelişkiler şiddetlenir.

Şu anda, Rusya Federasyonu Anayasasında yer alan vatandaşların bilgi alanındaki haklarına (mahremiyet, kişisel gizlilik, yazışma gizliliği vb.) Kurumsal bir destek yoktur. Dinlenmek-

Federal makamlar tarafından toplanan kişisel verilerin korunması arzulanan çok şey bırakıyor.

Rusya Federasyonu bilgi alanının oluşturulması, medya, uluslararası bilgi alışverişi ve Rusya'nın dünya bilgi alanına entegrasyonu alanındaki devlet politikasının uygulanmasında netlik yoktur.

Bize göre, devletin kurumsal bilgi güvenliği mekanizmasının iyileştirilmesi aşağıdaki önemli sorunları çözmeyi amaçlamalıdır.

Bilgi alanındaki modern Rus mevzuatının zayıf pratik yönelimi, yasal ve metodolojik nitelikte sorunlar yaratmaktadır. Rusya Federasyonu Bilgi Güvenliği Doktrini'nin uygulamalı bir değerinin olmadığı, birçok yanlışlık ve metodolojik hata içerdiği yönünde görüşler ifade edilmektedir. Bu nedenle, Doktrindeki bilgi güvenliği nesneleri, birbiriyle karşılaştırılamayan çıkarlar, birey, toplum, devlet kavramları olarak kabul edilmektedir. Birçok bilim adamı, çıkarların korunmasını taşıyıcılarının değil, bilgi güvenliğinin bir nesnesi olarak kabul etmenin kabul edilemez olduğuna dikkat çekti.

İçeriği belirsiz olan bu kategorilerin bir yasama belgesinde kullanılması tamamen uygunsuz değildir. Örneğin hukukun öznesi, tüzel ve gerçek kişiler, kuruluşlar, vatansız kişiler, icra makamlarıdır. "Devlet" kategorisi, ülkenin topraklarını, nüfusunu (uluslarını), siyasi gücünü, anayasal sistemini içerir.

Rusya Federasyonu Bilgi Güvenliği Doktrini, bilgi güvenliğine yönelik tehdit kaynakları olarak şunları kabul eder:

Yabancı yapıların faaliyetleri;

Bir dizi devlet tarafından bilgi savaşları kavramlarının geliştirilmesi;

Bir dizi ülkenin hakim olma arzusu vb.

G. Atamanov'a göre kaynak, bilgi sürecine katılan veya onu bir dereceye kadar etkileyebilen bir nesne veya konu olabilir. Örneğin, ABD yasalarında, bilgi altyapısı tehditlerinin kaynakları şunları içerir: ABD karşıtı bilgisayar korsanları; terörist gruplar; terörle mücadele operasyonunun yönlendirilebileceği devletler;

bilgisayar korsanları, meraklı veya kendini beğenmiş.

Doktrinin eksiklikleri ve çerçeve niteliği, etkinliği azaltmakta ve uygulama kapsamını sınırlandırmakta, bilgi alanındaki mevzuatın gelişimi için yanlış yön belirlemekte ve onu giderek daha fazla karıştırmaktadır.

Bilgi güvenliğini uygun şekilde sağlamak için, bilgi alanındaki mevzuatın kategorik aygıtı, doktrinel ve kavramsal temeli gözden geçirilmeden imkansız olan uygun bir yasal ilişkiler sistemi oluşturmak gerekir.

2. Bilgi alanında mevzuat ve uygulama arasındaki boşluk.

Anında yeni tehditlere yol açan bilgi teknolojilerinin ve internetin gelişiminin hızı ve ölçeği nedeniyle, bilgi alanındaki mevzuat ve uygulama arasında nesnel olarak büyük bir boşluk bulunmaktadır. Yasama süreci ise aksine uzun ve çetrefilli. Bu nedenle, modern koşullarda, yasaların gelişimini bilgi teknolojilerinin ve bilgi toplumunun gelişiminin gerçekleriyle uyumlu hale getirecek mekanizmalara ihtiyaç vardır. Bilgi güvenliğinde azalma veya kayıpla dolu olduğundan, biriktirme listesinin çok büyük olmaması önemlidir.

Bilgi alanında uygulama ile mevzuat arasındaki uçurumun kapatılması, bilgi teknolojilerinin gelişmesi ve mevzuatta boşluk oluşması nedeniyle bilgi güvenliğine yönelik tehditlerin azaltılması ve etkisiz hale getirilmesi için gereklidir.

3. Bilgi güvenliğini garanti eden uluslarüstü kurumların eksikliği.

İnternette işlenen suçlara tek bir ülkenin güçlerinin karşı koyması mümkün değil. İhlal edenler yurtdışında bulunabileceğinden, ulusal düzeyde getirilen yasaklayıcı önlemler etkili olmayacaktır. Onlarla mücadele etmek için, çabaları uluslararası düzeyde birleştirmek ve İnternet alanında uluslararası davranış kurallarını benimsemek gerekir. Benzer girişimlerde bulunuldu. Böylece, Avrupa Konseyi'nin Budapeşte Sözleşmesi, ihlal edenlerin başka bir devletin topraklarında yetkililerini uyarmadan kovuşturulmasına izin verdi. Bu nedenle birçok ülke bu belgeyi onaylamayı kabul edilemez bulmuştur.

Genel kurulda onaylanan "İnternet düzenlemesinin temelleri üzerine" model yasa

BDT Üye Devletlerinin Parlamentolar Arası Asamblesi toplantısı, devlet desteği ve İnternetin düzenlenmesi prosedürünün yanı sıra ağdaki yasal olarak önemli eylemlerin yer ve zamanını belirleme kurallarını belirler. Ayrıca kanun, hizmet işletmecilerinin faaliyet ve sorumluluklarını düzenlemektedir.

Rusya, Beyaz Rusya ve Kazakistan topraklarında gizli bilgi alışverişine izin veren belgenin onaylandığını not etmek gerekir. Bu, üçüncü ülkelerle ilgili olarak özel koruyucu, anti-damping ve telafi edici önlemlerin getirilmesinden önce soruşturmalar için gizli bilgiler içeren bilgilerin sağlanması prosedürünü belirleyen bir protokoldür. Bu, Gümrük Birliği'ne üye devletler arasında, anti-damping ve telafi edici önlemlerin ortaklaşa geliştirilmesini ve oluşturulmasını mümkün kılan çok önemli bir anlaşmadır. Böylece, bugün, yalnızca soruşturma yürütmeye, kanıt toplamaya değil, aynı zamanda onu sızıntılardan korumaya ve sağlama prosedürünü belirlemeye yetkili, temelde yeni bir uluslarüstü organ oluşturan sağlam bir düzenleyici çerçeve düzenlenmiştir.

Bilişim alanında uluslarüstü kurumların oluşması, bilgi suçlarıyla mücadelede ulusal mevzuattaki sınırlamaların aşılmasını mümkün kılacaktır.

4. İnternet alanı kurumlarının eksikliği.

Şu anda, "elektronik sınır", "elektronik egemenlik", "elektronik vergilendirme" ve diğerleri gibi konuların İnternet alanındaki etkileşimini düzenleyen bu tür yeni kurumlar uluslararası hukukta görünmelidir. Bu, siber suçun gizli doğasının üstesinden gelmeye yardımcı olacaktır, örn. siber suçların tespitinde artış.

5. Bilgi alanında kamu-özel ortaklığının geliştirilmesi.

Devlet kuruluşlarının bilgi güvenliği sistemlerinin durumu hakkında raporlar yayınlama isteğiyle bağlantılı olarak ilginç bir ikilem ortaya çıkıyor. Bu yayınlar bir yandan devletin siber güvenlik sistemini uygun seviyede tutma çabalarını yansıtıyor. Böyle bir sonucun siber güvenlik harcamalarında daha verimli bir yapıya yol açması gerektiği görülüyor. Ancak öte yandan siber güvenlik sisteminin eksiklikleri hakkında bilgilerin yayınlanması

Bilimsel ve pratik dergi. ISSN 1995-5731

Devlet kuruluşlarının güvenliğinin, onları bilgisayar korsanlarının saldırılarına karşı savunmasız hale getirme olasılığı daha yüksektir, bu da onları savuşturmak ve önlemek için daha fazla kaynağa ihtiyaç duyulmasını gerektirir.

Gordon ve Loeb, devlet kurumları ve şirketler arasında güvenlikle ilgili işbirliği ve bilgi alışverişinin sağlanmasındaki en büyük sorunu “bedavacılık” (//tee-^et) sorunu olarak görüyor. Görünüşe göre bilgisayar ağlarının güvenliği her katılımcının eylemlerine bağlı olduğundan, bu tür bir işbirliği siber güvenliğin sağlanması için harcanan fonların etkinliğini artırmanın en iyi yoludur. Siber güvenlik alanında başarılı bir bilgi ve deneyim alışverişi, bu tür faaliyetlerin ulusal ve uluslararası düzeyde koordine edilmesini mümkün kılabilir. Ancak gerçekte, firmanın bu tür bir ağ işbirliğine katılarak ve kendisi hakkında eksiksiz bilgi sağlayarak rekabet avantajlarını kaybetme korkusu,

tam bilgi sağlamaktan nenii. Yalnızca yeterince önemli ekonomik teşviklerin getirilmesine dayalı kamu-özel sektör ortaklıklarının geliştirilmesi buradaki durumu değiştirebilir.

Bu nedenle, devletin bilgi güvenliğini sağlamaya yönelik kurumsal mekanizma, bunu sağlayan yasal temellerin ve kurumsal yapıların oluşumunu içerir. Kurumsal mekanizmayı iyileştirmek ve bilgi ekonomisi koşullarında yeni bir ekonomik güvenlik mimarisi oluşturmak için, aşağıdakileri içeren bir önlemler sistemi önerilmiştir: mevzuatın beyan niteliğinin üstesinden gelinmesi ve bilgi alanında mevzuat ile uygulama arasındaki uçurumun daraltılması, bilgi alanında uluslarüstü mevzuatın oluşturulması, İnternet alanında etkileşim çerçevesini ve davranış kurallarını belirleyen yeni kurumların oluşturulması.

Bibliyografik liste (Referanslar)

1. Inshakov O.V., Lebedeva N.N. Ekonomik ve kurumsal mekanizmalar: Rus ekonomisinin sosyal ve piyasa dönüşümü koşullarında korelasyon ve etkileşim // St. Petersburg Bülteni. durum unta. Sör. 5. 2008. Sayı. 4 (No. 16).

2. Dzliev M.I., Romanovich A.L., Ursul A.D. Güvenlik sorunları: teorik ve metodolojik yönler. M., 2001.

3. Atamanov G. A. Modern Rus toplumunda bilgi güvenliği (sosyal ve felsefi yön): dis. ... şeker. Felsefe Bilimler. Volgograd, 2006.

4. Kononov A. A., Smolyan G. L. Bilgi Toplumu: Toplam Risk Toplumu mu, Garantili Güvenlik Toplumu mu? // Bilgi toplumu. 2002. 1 numara.

1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. gider. unta. Sör. 5. Başkan 4 (No. 16).

2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Sorunlu güvenlik: teoretiko-metodologicheskiye aspekty. M.

3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt) . Volgograd.

4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska or obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. No. 1.