- öğrencilerin kişisel verileri f keskin;

Öğrencilerin kişisel dosyaları;

Öğrencilerin kişisel kartları;

mevcut belgeler;

Malzeme ve teknik değerler.

TEHDİTLER GÜVENLİK

- Çalınması;

- Yetkisiz Erişim;

- bilgi bütünlüğünün ihlali açıklama;

Yazılım ve donanım arızaları.

KORUMA YÖNTEMLERİ

- düzenlemeler;

- organizasyonel, teknik ve güvenlik önlemleri ve yöntemleri;

- yazılım ve donanım itaat;

Kurumsal koruma.

TEHDİT KAYNAKLARI

- antropojenik kaynaklar (personel, öğrenciler, davetsiz misafirler);

Teknolojik kaynaklar (yazılım ve donanım);

Doğal tehdit kaynakları (yangın, sel, deprem vb.).

Çözüm

Kurs projesini uygulama sürecinde, LLC "UK" Ashatli "kuruluşunun bilgi güvenliği araçlarının bir analizi yapıldı. İşletmenin bilgi kaynaklarının analizi, bilgi güvenliğine yönelik tehditlerin analizi yapılmış ve ilgili eksiklikler tespit edilmiştir.

Önerilen düzeltici eylemlerin uygulanması, kuruluşun koruma önlemlerinin etkinliğini artırmasına ve bilgi kaybı riskini azaltmasına izin verecektir. Bilgi güvenliğini düzenleme veya yeniden düzenleme sürecinin, programların, personelin ve ekipmanın aynı anda etkileşime girdiği karmaşık bir süreç olduğu belirtilmelidir.

Bilgi güvenliğini sağlama sorununu çözmek için, bunu tamamen ortadan kaldıracak yasal, organizasyonel ve yazılımsal ve donanımsal önlemlerin uygulanması gerekmektedir.

Kullanılan literatür listesi

Maklakov S.V. AllFusion Modeling Suite ile bilgi sistemlerinin oluşturulması. – M.: Dialogue-MEPhI, 2003. – 432 s.

www. ashatli-agro.ru

12/18/2006 tarihli ve 231-F sayılı "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" Federal Yasa.

27 Temmuz 2006 tarihli Rusya Federasyonu Federal Kanunu No. 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma"

Alınan koruyucu önlemler, bu tür bir tehdidin meydana gelme olasılığına ve tehdidin gerçekleşmesi halinde (buna karşı korunma maliyetleri dahil) yol açabileceği potansiyel zarara yeterli olmalıdır.

Pek çok koruma önleminin, bilgi işleme sürecini önemli ölçüde etkileyen, yeterince büyük bilgi işlem kaynakları gerektirdiği unutulmamalıdır. Bu nedenle, bu sorunu çözmeye yönelik modern bir yaklaşım, otomatik kontrol sistemlerinde bilgi kaynaklarının güvenliğinin durumsal yönetimi ilkelerini uygulamaktır. Bu yaklaşımın özü, gerekli bilgi güvenliği seviyesinin, işlenen bilgilerin değeri ile maliyetler (otomatik kontrol sistemlerinin performansında azalma, ek tüketim) arasındaki oranı belirleyen duruma göre ayarlanması gerçeğinde yatmaktadır. Bu seviyeye ulaşmak için gerekli olan RAM vb.) ve bilgilerin çarpıtılmasından ve izinsiz kullanımından kaynaklanan olası toplam kayıplar (maddi, manevi vb.)

Bilgi kaynaklarının korunmasının gerekli özellikleri, mevcut durum dikkate alınarak güvenli bilgi işlemenin teknolojik sürecinin doğrudan hazırlanması sırasında ve ayrıca (azaltılmış bir hacimde) işleme süreci sırasında durumsal planlama sırasında belirlenir. Koruyucu önlemler seçilirken, yalnızca ekipman ve program satın almanın doğrudan maliyetleri değil, aynı zamanda yeni ürünlerin tanıtılması, personelin eğitimi ve yeniden eğitilmesi maliyetleri de dikkate alınmalıdır. Önemli bir durum, yeni aracın nesnenin mevcut donanım ve yazılım yapısıyla uyumlu olmasıdır.

Fikri mülkiyetin korunması alanındaki yabancı deneyimler ve devlet sırlarının korunmasındaki yerel deneyimler, yalnızca kapsamlı korumanın, hukuk, organizasyonel ve mühendislik gibi koruma alanlarını birleştirerek etkili olabileceğini göstermektedir.

Yasal yön bilgi güvenliği sistemindeki faaliyetleri kapsamında gereklilikleri zorunlu olan bir dizi yasal düzenleme, düzenleyici belge, yönetmelik, talimat, yönerge oluşturulmasını sağlar.

organizasyon yönü- bu, gizli bilgilere ifşa, sızıntı ve yetkisiz erişimi imkansız hale getirecek veya kurumsal önlemlerle önemli ölçüde engelleyecek şekilde, üretim faaliyetlerinin ve sanatçılar arasındaki ilişkinin yasal bir temelde düzenlenmesidir.

Uzmanlara göre, gizli bilgilerin yetkisiz kullanım olasılığı büyük ölçüde teknik yönlerden değil, kötü niyetli eylemlerden, ihmal, ihmal ve kullanıcıların veya güvenliğin ihmalinden kaynaklandığından, kurumsal önlemler bilgileri korumak için güvenilir bir mekanizma oluşturmada önemli bir rol oynamaktadır. personel.

Organizasyon faaliyetleri şunları içerir:

Büro ve endüstriyel bina ve tesislerin tasarımı, inşası ve donatılmasında yürütülen faaliyetler;

Personel seçiminde yürütülen faaliyetler;

Güvenilir bir erişim kontrolünün organizasyonu ve bakımı, bina ve bölge güvenliği, ziyaretçiler üzerinde kontrol;

Belgelerin ve gizli bilgilerin taşıyıcılarının saklanması ve kullanılması organizasyonu;

bilgi güvenliği organizasyonu;

Düzenli çalışan eğitiminin organizasyonu.

Şirketin kurumsal bilgi güvenliğinin ana bileşenlerinden biri Bilgi Güvenliği Hizmetidir (ISS - bilgi güvenliği sistemi yönetim organı). Bilgi güvenliği önlemlerinin etkinliği büyük ölçüde bilgi güvenliği hizmeti çalışanlarının mesleki eğitimine, cephaneliklerinde modern güvenlik yönetimi araçlarının mevcudiyetine bağlıdır. Personel yapısı, büyüklüğü ve bileşimi, şirketin gerçek ihtiyaçları, bilgilerinin gizlilik derecesi ve genel güvenlik durumu tarafından belirlenir.

ISS'nin işleyişinin temel amacı, kurumsal önlemler ve yazılım ve donanım kullanarak, son çare olarak güvenlik politikasını ihlal etme olasılığını önlemek veya en azından en aza indirmek, ihlalin sonuçlarını zamanında fark etmek ve ortadan kaldırmaktır.

SIS'in başarılı bir şekilde çalışmasını sağlamak için, tesisteki bilgilerin korunması konularında diğer birimlerle etkileşim kurallarının yanı sıra hak ve yükümlülüklerini belirlemek gerekir. Hizmet sayısı, kendisine atanan tüm işlevleri yerine getirmek için yeterli olmalıdır. Hizmet personelinin, korunan nesnenin işleyişi ile ilgili görevlerinin olmaması arzu edilir. Bilgi güvenliği hizmeti, işlevlerini yerine getirebilmesi için gerekli tüm koşullarla sağlanmalıdır.

çekirdek mühendislik ve teknik yön bilgilerin güvenliğini ve korunmasını sağlamak için tasarlanmış mekanik, elektromekanik, elektronik, optik, lazer, radyo ve radyo mühendisliği, radar ve diğer cihaz, sistem ve yapıları içeren yazılım ve donanım bilgi güvenliği araçlarıdır.

Bilgi güvenliği yazılımı, bilgi koruma işlevlerini ve çalışma modunu uygulayan bir dizi özel program olarak anlaşılmaktadır.

Oluşturulan yasal, organizasyonel ve mühendislik önlemleri seti, uygun bir güvenlik politikası ile sonuçlanır.

Güvenlik politikası, bilgi güvenliği sisteminin görünümünü, bilginin olası sonuçlarını ortadan kaldırmak veya en aza indirmek için tehditlere karşı koymayı amaçlayan bir dizi yasal norm, kurumsal (yasal) önlem, bir dizi yazılım ve donanım aracı ve prosedürel çözümler şeklinde belirler. etkiler. Güvenlik politikasının bir veya başka bir versiyonunun kabul edilmesinden sonra, bilgi sisteminin güvenlik seviyesinin değerlendirilmesi gerekir. Doğal olarak, güvenlik değerlendirmesi, başlıcaları maliyet, verimlilik ve fizibilite olan bir dizi göstergeye göre gerçekleştirilir.

Bir bilgi güvenliği sistemi oluşturma seçeneklerinin değerlendirilmesi, çok parametrik performans değerlendirmesi için modern matematiksel yöntemlerin kullanılmasını gerektiren oldukça karmaşık bir iştir. Bunlar şunları içerir: hiyerarşilerin analiz yöntemi, uzman yöntemler, ardışık tavizler yöntemi ve diğerleri.

Amaçlanan önlemler alındığında, etkinliklerinin kontrol edilmesi, yani artık risklerin kabul edilebilir hale geldiğinden emin olunması gerekir. Ancak o zaman bir sonraki yeniden değerlemenin tarihi belirlenebilir. Aksi takdirde, yapılan hataları analiz etmeniz ve koruma sistemindeki değişiklikleri dikkate alarak ikinci bir güvenlik açığı analizi oturumu gerçekleştirmeniz gerekecektir.

Davetsiz misafirin eylemlerinin oluşturulan olası senaryosu, bilgi güvenliği sisteminin doğrulanmasını gerektirir. Bu teste "sızma testi" denir. Amaç, yetkisiz bir kullanıcının güvenlik mekanizmalarını aşmasının kolay bir yolu olmadığına dair güvence sağlamaktır.

Bir sistemin güvenliğini kanıtlamanın olası bir yolu, bilgisayar korsanlarını ağ personeline haber vermeden bilgisayar korsanlarını bilgisayar korsanlığına davet etmektir. Bunun için mesleki eğitimi yüksek iki veya üç kişilik bir grup tahsis edilir. Bilgisayar korsanlarına korumalı otomatik bir sistem sağlanır ve grup, koruma mekanizmalarını atlamak için 1-3 ay boyunca güvenlik açıklarını bulmaya ve bunlara dayalı test araçları geliştirmeye çalışır. İşe alınan bilgisayar korsanları, bilgi kullanılabilirliği düzeyinin bir değerlendirmesini ve korumayı geliştirmeye yönelik önerileri içeren çalışmanın sonuçları hakkında gizli bir rapor sunar.

Bu yöntemle birlikte yazılım test araçları da kullanılmaktadır.

Sahnede bir koruma planı hazırlamak seçilen güvenlik politikasına uygun olarak, uygulanması için bir plan geliştirilir. Koruma planı, kuruluş başkanı tarafından onaylanan, bilgi koruma sistemini yürürlüğe koyan bir belgedir. Planlama, yalnızca tahsis edilen kaynaklar da dahil olmak üzere şirketin sahip olduğu tüm olanakların en iyi şekilde kullanılmasıyla değil, aynı zamanda bilgileri korumak için alınan önlemlerin etkinliğinin azalmasına yol açabilecek hatalı eylemlerin önlenmesiyle de bağlantılıdır.

Site bilgi güvenlik planı şunları içermelidir:

Korunan sistemin açıklaması (korunan nesnenin ana özellikleri: nesnenin amacı, çözülecek görevlerin listesi, donanım ve yazılımın konfigürasyonu, özellikleri ve yerleşimi, bilgi kategorilerinin listesi (paketler, dosyalar, korunacak kümeler ve veritabanları ve bu bilgi kategorilerinin erişimini, gizliliğini, bütünlüğünü, kullanıcıların bir listesini ve sistem kaynaklarına erişim yetkilerini vb. sağlamak için gereksinimler);

Sistemin korunma amacı ve otomatik sistemin ve içinde dolaşan bilgilerin güvenliğini sağlama yolları;

Korumanın gerekli olduğu otomatik bir sistemin güvenliğine yönelik önemli tehditlerin ve hasara yol açmanın en olası yollarının bir listesi;

Bilgi güvenliği politikası;

Tesiste fonların yerleştirilmesi ve bilgi güvenliği sisteminin işlevsel bir diyagramı için plan;

Bilgi güvenliği araçlarının özellikleri ve bunların uygulanması için maliyet tahminleri;

Bilgileri korumak için organizasyonel ve teknik önlemlerin uygulanmasına yönelik takvim planı, koruma araçlarını yürürlüğe koyma prosedürü;

Tesisin bilgi güvenliğini sağlama konularında personelin faaliyetlerini düzenleyen temel kurallar (otomatik sisteme hizmet veren yetkililerin özel görevleri);

Planı gözden geçirme ve koruma araçlarını yükseltme prosedürü.

Koruma planı, nesnenin aşağıdaki bileşenleri değiştirildiğinde revize edilir:

Bilgi sistemi mimarileri (diğer yerel ağlara bağlanmak, kullanılan bilgisayar ekipmanını veya yazılımını değiştirmek veya modifiye etmek);

Otomatik sistem bileşenlerinin bölgesel konumu.

Koruma planının bir parçası olarak, kritik durumlardaki personel için bir eylem planının olması gerekir, yani; tedarik planı sürekli çalışma ve bilgi kurtarma. Yansıtır:

Otomasyon sisteminin işleyiş sürecinin devamlılığının sağlanması, performansının eski haline getirilmesi ve buna ulaşmanın yolları;

Muhtemel kriz durumlarının listesi ve sınıflandırılması;

Bilgi işleme sürecinin sürekli çalışmasını ve restorasyonunu sağlamak için gereklilikler, önlemler ve araçlar (bilgilerin yedek kopyalarını oluşturma, saklama ve kullanma prosedürü, mevcut, uzun vadeli ve acil durum arşivlerini sürdürme; yedekleme ekipmanının bileşimi ve bunun için prosedür kullanım vb.);

Kriz durumlarında, sonuçlarının tasfiye edilmesi, verilen zararın en aza indirilmesi ve sistemin normal işleyişinin restorasyonu durumunda, sistemin çeşitli personel kategorilerinin eylemleri için sorumluluklar ve prosedür.

Kuruluş, tek siparişlerin yerine getirilmesi için ortaklarla elektronik belge alışverişinde bulunursa, koruma planına, aşağıdaki hususları yansıtan elektronik belge alışverişini organize etme prosedürü hakkında bir anlaşma dahil edilmesi gerekir:

Elektronik belge değişimi süreçlerine katılan kişilerin sorumluluk ayrımı;

Elektronik belgelerin özgünlüğünün ve bütünlüğünün hazırlanması, yürütülmesi, iletilmesi, kabulü, doğrulanması prosedürünün belirlenmesi;

Anahtar bilgileri (anahtarlar, parolalar, vb.) oluşturma, onaylama ve dağıtma prosedürü;

Çatışma durumunda anlaşmazlıkları çözme prosedürü.

Bilgi güvenliği planı, metinsel ve grafik belgelerden oluşan bir pakettir, dolayısıyla bu paketin yukarıdaki bileşenleriyle birlikte şunları içerebilir:

Ticari sır teşkil eden bilgilerin listesi ve belirlenme usulü ile ticari sırların korunmasına ilişkin yetkililerin görevlerini tanımlayan ticari sır yönetmeliği;

Güvenlik politikasının uygulanması için tüm faaliyet alanlarını düzenleyen bilgilerin korunmasına ilişkin düzenlemeler ve ayrıca koruma nesnesinin özelliklerine karşılık gelen bir dizi ek talimat, kural, düzenleme.

Koruma planının uygulanması (koruma sisteminin yönetimi) gerekli belgelerin geliştirilmesini, tedarikçilerle sözleşmelerin akdedilmesini, ekipmanın kurulmasını ve yapılandırılmasını vb. içerir. Bilgi güvenliği sisteminin oluşturulmasından sonra, etkin kullanım görevi, yani güvenlik yönetimi çözülür.

Yönetim, belirli bir programa göre işleyişini organize etmek için yürütülen bir nesne üzerinde amaçlı bir etki sürecidir.

Bilgi güvenliği yönetimi şöyle olmalıdır:

Davetsiz misafirin aktif müdahalesine karşı dirençli;

Sürekli, koruma süreci üzerinde sürekli bir etki sağlayan;

Gizli, bilgi güvenliği yönetiminin organizasyonunun açığa çıkmasına izin vermeyen;

Operasyonel, davetsiz misafirlerin eylemlerine zamanında ve yeterli şekilde yanıt verme ve belirli bir tarihe kadar yönetim kararlarını uygulama fırsatı sağlar.

Ek olarak, bilgi güvenliği kararları, görevi yerine getirme koşullarının kapsamlı bir şekilde değerlendirilmesi, çeşitli modellerin kullanımı, hesaplama ve bilgi görevleri, uzman sistemler, deneyim ve güvenilirliği artıran diğer veriler açısından gerekçelendirilmelidir. ilk bilgiler ve kararlar.

Bilgi güvenliği yönetiminin etkinliğinin bir göstergesi, belirli bir karar kalitesi için kontrol döngüsünün süresidir. Yönetim döngüsü, durumu değerlendirmek için gerekli bilgilerin toplanmasını, karar vermeyi, uygun komutların oluşturulmasını ve bunların uygulanmasını içerir. Verimlilik kriteri olarak, değerine göre bilgi eskime süresini geçmemesi gereken bir ihlale bilgi güvenliği sisteminin yanıt verme süresi kullanılabilir.

Gerçek otomatik kontrol sistemlerinin gelişiminin gösterdiği gibi, bilgi güvenliğini sağlamak için hiçbir yöntem (önlemler, araçlar ve faaliyetler) kesinlikle güvenilir değildir ve maksimum etki, tümü entegre bir bilgi koruma sisteminde birleştirildiğinde elde edilir. Yalnızca organizasyonel, teknik ve program önlemlerinin optimal kombinasyonu ve ayrıca koruma sistemini güncel tutmaya yönelik sürekli dikkat ve kontrol, kalıcı bir görevin en yüksek verimlilikle çözümlenmesini mümkün kılacaktır.

Bilgi güvenliğini sağlamaya yönelik metodolojik temeller, bu tür sistemlerin oluşturulmasında dünya deneyimine dayanan oldukça genel önerilerdir. Her bilgi güvenliği uzmanının görevi, soyut hükümleri her zaman kendine has özellikleri ve incelikleri olan kendi özel konu alanlarına (kuruluş, banka) uyarlamaktır.

Yerli ve yabancı deneyimin analizi, bir şirket için operasyonel, operasyonel, teknik ve organizasyonel koruma önlemlerini birbirine bağlayan entegre bir bilgi güvenliği sistemi oluşturma ihtiyacını ikna edici bir şekilde kanıtlıyor. Ayrıca, güvenlik sistemi, maliyetlerin oranı ve korunan kaynakların değeri açısından optimal olmalıdır. Sistem, kurumdaki hızla değişen çevresel faktörlere, organizasyonel ve sosyal koşullara esneklik ve uyum sağlama ihtiyacı duymaktadır. Mevcut tehditleri ve olası bilgi sızıntısı kanallarını analiz etmeden ve ayrıca kuruluşta bir bilgi güvenliği politikası geliştirmeden böyle bir güvenlik düzeyine ulaşmak imkansızdır. Sonuç olarak, güvenlik politikasında belirtilen ilkeleri uygulayan bir koruma planı oluşturulmalıdır.

Ancak kesinlikle dikkat etmeniz gereken başka zorluklar ve "tuzaklar" da var. Bunlar pratikte tanımlanmış ve formüle edilmesi zor sorunlardır: teknik veya teknolojik nitelikte değil, şu veya bu şekilde çözülen sorunlar, ancak sosyal ve politik nitelikte sorunlar.

Sorun 1. Orta ve alt kademedeki personel ve yöneticiler arasında, bilgi güvenliği seviyesini iyileştirmek için çalışma ihtiyacı konusunda anlayış eksikliği.

Yönetim merdiveninin bu basamağında, kural olarak, organizasyonun karşı karşıya olduğu stratejik görevler görünmez. Aynı zamanda, güvenlik sorunları tahrişe bile neden olabilir - "gereksiz" zorluklar yaratırlar.

Bilgi güvenliğini sağlamak için çalışmaya ve önlem almaya karşı genellikle aşağıdaki argümanlar verilir:

Son kullanıcılar ve departman uzmanları için otomatik organizasyon sistemini kullanmalarını zorlaştıran ek kısıtlamaların ortaya çıkması;

Hem bu tür işleri yürütmek hem de bilgi güvenliği sorunuyla ilgilenen uzmanların kadrosunu genişletmek için ek malzeme maliyetlerine duyulan ihtiyaç.

Bu sorun ana sorunlardan biridir. Diğer tüm sorular şu ya da bu şekilde onun sonucu olarak hareket eder. Bunun üstesinden gelmek için aşağıdaki görevlerin çözülmesi önemlidir: ilk olarak, özel toplantılar ve seminerler düzenleyerek personelin bilgi güvenliği alanındaki becerilerini geliştirmek; ikincisi, özellikle organizasyonun karşı karşıya olduğu stratejik görevler hakkında personelin farkındalık düzeyini artırmak.

Sorun 2 Otomasyon hizmeti ile kuruluşların güvenlik hizmeti arasındaki çatışma.

Bu sorun, faaliyet türü ve etki alanı ile bu yapıların işletme içindeki sorumluluğundan kaynaklanmaktadır. Koruma sisteminin uygulanması teknik uzmanların elindedir ve güvenliğinin sorumluluğu güvenlik hizmetine aittir. Güvenlik uzmanları, ne pahasına olursa olsun güvenlik duvarlarının yardımıyla tüm trafiği sınırlamak istiyor. Ancak otomasyon departmanlarında çalışan kişiler, özel aletlerin bakımıyla ilgili ek sorunlarla uğraşmak konusunda isteksizdir. Bu tür anlaşmazlıklar, tüm kuruluşun güvenlik düzeyi üzerinde en iyi etkiye sahip değildir.

Benzerlerinin çoğu gibi bu sorun da tamamen yönetimsel yöntemlerle çözülür. Öncelikle şirketin organizasyon yapısında bu tür uyuşmazlıkları çözecek bir mekanizmanın olması önemlidir. Örneğin, her iki hizmetin de etkileşim sorunlarını çözecek tek bir patronu olabilir. İkinci olarak, teknolojik ve organizasyonel dokümantasyon, bölümlerin etki ve sorumluluk alanlarını açık ve yetkin bir şekilde bölmelidir.

Sorun 3. Orta ve üst düzey yöneticiler düzeyinde kişisel hırslar ve ilişkiler.

Liderler arasındaki ilişkiler farklı olabilir. Bazen, bilgi güvenliği çalışması üzerinde çalışırken, bir veya başka bir yetkili, bu çalışmaların sonuçlarına aşırı ilgi gösterir. Gerçekten de araştırma, onların belirli sorunlarını çözmek ve hırslarını tatmin etmek için yeterince güçlü bir araçtır. Raporda kaydedilen sonuçlar ve tavsiyeler, bir veya başka bir bağlantının daha sonraki eylemleri için bir plan olarak kullanılır. Raporun sonuçlarının "özgür" bir yorumu, aşağıda açıklanan 5. sorunla birlikte de mümkündür. Bu durum, işin anlamını çarpıtması ve işletmenin üst yönetimi düzeyinde zamanında tespiti ve ortadan kaldırılmasını gerektirmesi nedeniyle son derece istenmeyen bir faktördür. En iyi seçenek, kişisel değil, kuruluşun çıkarlarının ön plana çıktığı bir iş ilişkisidir.

Sorun 4. Bir bilgi güvenliği sistemi oluşturmak için planlanan eylem programının düşük düzeyde uygulanması.

Bu, uygulama düzeyinde stratejik amaç ve hedeflerin kaybolduğu oldukça sıradan bir durumdur. Her şey mükemmel başlayabilir. Genel Müdür, bilgi güvenliği sisteminin iyileştirilmesi ihtiyacına karar verir. Mevcut bilgi güvenliği sistemini denetlemek için bağımsız bir danışmanlık firması işe alınır. Tamamlandıktan sonra, bilgileri korumak, bilgi güvenliği alanındaki mevcut iş akışını sonlandırmak, bilgileri korumak için teknik araçlar ve kurumsal önlemler getirmek ve oluşturulan sistemi daha fazla desteklemek için gerekli tüm önerileri içeren bir rapor oluşturulur. Koruma planı kısa vadeli ve uzun vadeli önlemleri içermektedir. Diğer tavsiyeler, uygulama için departmanlardan birine aktarılır. Ve burada bürokrasi, kişisel hırslar, personelin tembelliği ve bir düzine başka neden bataklığında boğulmamaları önemlidir. Yüklenici yetersiz bilgilendirilebilir, yeterince yetkin olmayabilir veya işi yapmakla ilgilenmeyebilir. CEO'nun, ilk olarak ilk aşamada güvenliğe yatırılan fonları kaybetmemek ve ikinci olarak da bu güvencenin olmaması nedeniyle kayıplara uğramamak için planlanan planın uygulanmasını izlemesi önemlidir. .

Sorun 5. Bilgi güvenliği uzmanlarının düşük nitelikleri.

Bu husus, bilgi güvenliği sisteminin oluşturulmasına engel değilse ciddi bir engel olarak değerlendirilemez. Gerçek şu ki, koruma planı, kural olarak, şirkette bilgi koruma alanında uzmanların ileri eğitimi gibi bir olayı içerir. Diğer hizmetlerden uzmanlar için bilgi güvenliği düzenlemenin temellerine ilişkin seminerler düzenlenebilir. Koruma planının uygulanmasında yer alan çalışanların gerçek niteliklerini doğru bir şekilde değerlendirmek gerekir. Genellikle, yanlış sonuçlar veya koruma yöntemlerinin pratikte uygulanamaması, önerilen önlemlerin uygulanmasında zorluklara yol açar. Bu tür durumlardan bir ipucu ile en doğru çıkış yolu, bunun için özel olarak oluşturulmuş eğitim merkezlerinde bilgi güvenliği uzmanlarının becerilerini geliştirmek olacaktır.

Bu nedenle, ekonomik ve bilgi güvenliğini iyileştirme alanındaki pratik faaliyetler, gerçek hayattaki bir bilgi güvenliği sisteminin oluşturulmasının büyük ölçüde bu sorunların zamanında çözülmesine bağlı olduğunu açıkça göstermektedir. Ancak birikmiş deneyimler, müşteri temsilcileri ile icracı şirketin yakın işbirliği içinde çalışması halinde tartışılan tüm konuların başarılı bir şekilde çözülebileceğini göstermektedir. Asıl mesele, bu tür işleri yürütmenin önemini anlamak, mevcut tehditleri zamanında tespit etmek ve kural olarak her bir işletmeye özgü olan yeterli karşı önlemleri uygulamaktır. Arzu ve fırsatların varlığı, amacı kuruluşun güvenliğini sağlamak için entegre bir sistem oluşturmak olan verimli çalışma için yeterli bir koşuldur.

İyi çalışmalarınızı bilgi bankasına göndermek basittir. Aşağıdaki formu kullanın

Bilgi tabanını çalışmalarında ve işlerinde kullanan öğrenciler, lisansüstü öğrenciler, genç bilim adamları size çok minnettar olacaklar.

http://www.allbest.ru/ adresinde barındırılmaktadır

KURS PROJESİ

"Bilgi Güvenliği" disiplininde

konuyla ilgili

“Bilgi güvenliği sisteminin iyileştirilmesi

kurumsal LLC "Fırın"

giriiş

Bilgi güvenliğinden bahsetmişken, şu anda aslında bilgisayar güvenliğini kastediyorlar. Gerçekten de, elektronik ortamdaki bilgiler modern toplumun yaşamında giderek daha önemli bir rol oynamaktadır. Bu tür bilgilerin güvenlik açığı bir dizi faktörden kaynaklanmaktadır: büyük hacimler, çok noktalı ve olası erişim anonimliği, "bilgi sabotajı" olasılığı ... Tüm bunlar, bir bilgisayar ortamında bulunan bilgilerin güvenliğini sağlama görevini yapar. geleneksel posta yazışmalarının sırrını saklamaktan çok daha zor bir sorun.

Geleneksel ortamlarda (kağıt, fotoğraf baskıları vb.) saklanan bilgilerin güvenliğinden bahsedersek, güvenliği fiziksel koruma önlemlerine uyularak sağlanır (yani, medya depolama alanına yetkisiz girişlere karşı koruma). Bu tür bilgilerin korunmasının diğer yönleri, doğal afetler ve insan kaynaklı felaketlerle ilgilidir. Bu nedenle, bir bütün olarak "bilgisayar" bilgi güvenliği kavramı, "geleneksel" ortamla ilgili olarak bilgi güvenliğinden daha geniştir.

Bilgi güvenliği sorununu farklı düzeylerde (eyalet, bölge, bir kuruluşun düzeyi) çözme yaklaşımlarındaki farklılıklardan bahsedersek, bu tür farklılıklar basitçe mevcut değildir. "Vybory" Devlet Otomatik Sisteminin güvenliğini sağlama yaklaşımı, küçük bir şirkette yerel bir ağın güvenliğini sağlama yaklaşımından farklı değildir. Bu nedenle, bu çalışmada bilgi güvenliğini sağlama ilkeleri ayrı bir kuruluşun faaliyetlerinden örnekler üzerinde ele alınmıştır.

Kurs projesinin amacı, Oven LLC'nin bilgi güvenliği sistemini iyileştirmektir. Kurs çalışmasının hedefleri - Oven LLC'nin, kaynaklarının, yapısının ve işletmedeki mevcut bilgi güvenliği sisteminin analizi ve onu iyileştirme yöntemlerinin araştırılması olacaktır.

İlk aşamada bilgi güvenliği sisteminin analizi yapılacaktır. Elde edilen sonuçlardan ikinci aşamada bu sistemde zafiyetler varsa bilgilerin korunmasını iyileştirmeye yönelik yöntemler araştırılacaktır.

1. Oven LLC'deki bilgi güvenliği sisteminin analizi

1.1 İşletmenin özellikleri. İşletmenin organizasyon yapısı. Bilgi kaynakları ve bunların korunması ile ilgili hizmet

İşletmenin tam kurumsal adı, Limited Şirket "Koç" dur. Şirketin kısaltılmış adı Oven LLC'dir. Toplum metninde ayrıca. Şirketin şubesi ve temsilciliği yoktur, tek merkezi Perm bölgesi, Suksunsky bölgesi, Martyanovo köyündedir.

Dernek 1990 yılında küçük bir çiftlik olarak kuruldu ve üç kurucusu vardı. Çiftliğin 1998'de köylü ekonomisine dönüştürülmesinden sonra, tek kurucu kaldı. Son yeniden yapılanma Nisan 2004'te gerçekleşti. 1 Nisan'dan bu yana işletme Aries Limited Liability Company olarak tanındı.

Şirketin ana faaliyet konusu tarım ürünleri ekimi, tohumluk materyali, tarım ürünlerinin satışıdır. Bugün Rusya'da şirket, patates çiftlikleri arasında on üçüncü sırada ve Perm Bölgesi'nde birinci sırada yer alıyor.

Yasal adres: Rusya, 617553, Perm Bölgesi, Suksunsky, Martyanovo köyü.

İşletmenin bir bütün olarak hedefleri:

· Ana faaliyetten kar elde etmek.

· Ürünlerin rekabet gücünün artırılması ve satış pazarlarının genişletilmesi.

· Yatırım ve diğer projelerin uygulanması için sermayenin yoğunlaşması ve yatırım kaynaklarının artırılması.

Şirket kurumsal misyonu:

1. Pazarda lider konumda olmaya devam edin.

2. Bir tohum çiftliğinin oluşturulması.

İşletmenin organizasyon yapısı.

Şirket doğrusal-fonksiyonel bir yapı kullanıyor. Doğrusal işlevsel bir yapıda, bir hizmetler hiyerarşisi oluşur. Bu yapıda, fonksiyonel birimlerin başkanları, fonksiyonel konularda bir sonraki yönetim kademesine emir verme hakkına sahiptir.

İşletmenin yapısı Şekil 1'de gösterilmiştir.

http://www.allbest.ru/ adresinde barındırılmaktadır

http://www.allbest.ru/ adresinde barındırılmaktadır

Şekil 1 - Aries LLC'nin organizasyon yapısı

1.2 İşletmenin bilgi kaynaklarının analizi ve karakterizasyonu

Günümüzde herkes kurumsal bilgilerin güvenliği konusunda endişe duymaktadır. Verileri korumak için tasarlanmış bireysel programlar ve tüm kompleksler giderek daha popüler hale geliyor. Bununla birlikte, hiç kimse istediğiniz kadar güvenilir korumaya sahip olabileceğinizi, ancak yine de önemli bilgileri kaybedebileceğinizi düşünmez. Çünkü çalışanlarınızdan biri bunu önemsiz görüp herkesin gözü önünde sergileyecek. Ve bundan korunduğunuzdan eminseniz, o zaman çok yanılıyorsunuz. İlk bakışta bu durum gerçek dışı, şaka gibi görünüyor. Ancak, bu olur ve sıklıkla olur. Gerçekten de, vakaların büyük çoğunluğunda bilgi güvenliği konularıyla ilgilenen teknik personel, hangi verilerin saklanması ve hangilerinin saklanmaması gerektiğini her zaman anlamaz. Anlamak için, tüm bilgileri genel olarak türler olarak adlandırılan farklı türlere ayırmanız ve aralarındaki sınırları net bir şekilde tanımlamanız gerekir.

Aslında, bilgisayar bilgilerinin güvenliğini sağlamak için karmaşık sistemlerin tedarikinde uzmanlaşmış tüm şirketler, verilerin çeşitli türlere bölünmesini dikkate alır. Dikkatli olmanız gereken yer burasıdır. Gerçek şu ki, Batı ürünleri uluslararası standartları takip ediyor (özellikle ISO 17799 ve diğerleri). Onlara göre, tüm veriler üç türe ayrılır: açık, gizli ve kesinlikle gizli. Bu arada ülkemizde yürürlükteki mevzuata göre biraz farklı bir ayrım kullanılmaktadır: açık bilgi, dahili kullanım için ve gizli.

Açık, diğer kişilere serbestçe aktarılabilen ve ayrıca medyada yer alabilen herhangi bir bilgi anlamına gelir. Çoğu zaman, basın bültenleri, konferanslardaki konuşmalar, sunumlar ve sergiler, ayrı (doğal olarak olumlu) istatistik unsurları şeklinde sunulur. Ayrıca bu akbaba, açık dış kaynaklardan elde edilen tüm verileri içerir. Ve elbette, kurumsal bir web sitesine yönelik bilgiler de halka açık olarak kabul edilir.

İlk bakışta, açık bilgilerin korunmaya ihtiyacı yok gibi görünüyor. Ancak insanlar, verilerin yalnızca çalınabileceğini değil, aynı zamanda değiştirilebileceğini de unutuyor. Bu nedenle, açık bilgilerin bütünlüğünü korumak çok önemli bir görevdir. Aksi takdirde önceden hazırlanmış bir basın bülteni yerine anlaşılmaz hale gelebilir. Veya kurumsal sitenin ana sayfası rahatsız edici yazılarla değiştirilecektir. Dolayısıyla kamuya açık bilgilerin de korunması gerekir.

Diğer herhangi bir işletme gibi, şirket de esas olarak potansiyel yatırımcılara gösterilen sunumlarda yer alan açık bilgilere sahiptir.

Dahili kullanıma yönelik bilgiler, çalışanlar tarafından mesleki görevlerinin yerine getirilmesinde kullanılan tüm verileri içerir. Ama hepsi bu kadar değil. Bu kategori, performanslarını sağlamak için çeşitli departmanlar veya şubeler tarafından kendi aralarında değiş tokuş edilen tüm bilgileri içerir. Ve son olarak, bu veri kategorisine giren son veri türü, açık kaynaklardan elde edilen ve işlenmeye tabi tutulan (yapılandırma, düzenleme, açıklama) bilgilerdir.

Aslında tüm bu bilgiler rakiplerin veya davetsiz misafirlerin eline geçse bile şirkete ciddi zararlar veremez. Ancak, kaçırılmasından kaynaklanan bir miktar hasar hala olabilir. Çalışanların patronları için onu ilgilendiren bir konuda haberler topladıklarını ve aralarından en önemli mesajları seçip işaretlediklerini varsayalım. Böyle bir özet, açıkça dahili kullanım için bilgidir (açık kaynaklardan elde edilen ve işlenmeye tabi tutulan bilgiler). İlk bakışta, onu almış olan rakiplerin bundan faydalanamayacakları görülüyor. Ama aslında, şirketinizin yönetiminin hangi yöne ilgi duyduğunu tahmin edebilirler ve kim bilir belki de sizin önünüze bile geçebilirler. Bu nedenle, dahili kullanıma yönelik bilgiler yalnızca ikame edilmekten değil, aynı zamanda yetkisiz erişimden de korunmalıdır. Doğru, çoğu durumda, kendinizi yerel ağın güvenliğiyle sınırlayabilirsiniz, çünkü buna büyük meblağlar harcamak ekonomik olarak karlı değildir.

Bu tür bilgiler, çeşitli raporlarda, listelerde, özetlerde vb. yer alan işletmede de sunulur.

Gizli bilgi - Rusya Federasyonu mevzuatına göre erişimi kısıtlanmış, kamuya açık olmayan ve ifşa edilmesi halinde, onu sağlayan kişinin haklarına ve yasal olarak korunan çıkarlarına zarar verebilecek belgelenmiş bilgiler. Bu boyuna ilişkin veri listesi devlet tarafından belirlenir. Şu anda kişisel bilgiler, ticari, resmi veya mesleki sır teşkil eden bilgiler, soruşturma ve büro işleri sırrı niteliğindeki bilgiler şu şekildedir. Ayrıca, son zamanlarda, bir buluşun veya bilimsel keşfin özüne ilişkin veriler, resmi olarak yayınlanmadan önce gizli olarak sınıflandırılmıştır.

Bir kuruluştaki gizli bilgiler, geliştirme planı, araştırma çalışması, teknik belgeler, çizimler, kar dağıtımı, sözleşmeler, raporlar, kaynaklar, ortaklar, müzakereler, sözleşmeler gibi verileri ve ayrıca yönetimsel ve planlama niteliğindeki bilgileri içerir.

Şirketin yaklaşık yirmi bilgisayarı var. Bir işletmede yerel bir ağın varlığına gelince, toplumdaki PC'ler tek bir ağda birleştirilmemiştir. Ek olarak, tüm bilgisayarlar standart bir dizi ofis programı ve muhasebe programı ile donatılmıştır. Üç bilgisayarın WAN Miniport aracılığıyla İnternet erişimi vardır. Aynı zamanda, kuruluştaki tek bir bilgisayar bile bir virüsten koruma programı ile donatılmamıştır. Bilgi alışverişi medya aracılığıyla gerçekleştirilir: flash sürücüler, disketler. "Geleneksel" ortamlarla ilgili tüm bilgiler kilitli olmayan dolaplarda bulunur. En önemli belgeler, anahtarları sekreter tarafından saklanan bir kasada saklanır.

bilgi koruma güvenliği

1.3 Kuruluştaki bilgileri koruma tehditleri ve araçları

Bilgi güvenliği tehdidi - bilgi sızıntısı ve / veya yetkisiz ve / veya kasıtsız etkilerle ilişkili potansiyel veya gerçek bir tehlike oluşturan bir dizi koşul ve faktör

Bilgi güvenliği nesnelerini etkileme yöntemlerine göre, toplumla ilgili tehditler şu sınıflandırmaya tabidir: bilgi, yazılım, fiziksel, organizasyonel ve yasal.

Bilgi tehditleri şunları içerir:

Bilgi kaynaklarına yetkisiz erişim;

Arşivlerden ve veritabanlarından bilgi hırsızlığı;

Bilgi işleme teknolojisinin ihlali;

bilgilerin yasa dışı toplanması ve kullanılması;

Yazılım tehditleri şunları içerir:

bilgisayar virüsleri ve kötü amaçlı yazılım;

Fiziksel tehditler şunları içerir:

Bilgi işleme ve iletişim tesislerinin imhası veya imhası;

Depolama ortamının çalınması;

Personel üzerindeki etki

Kurumsal ve yasal tehditler şunları içerir:

Kusurlu veya eskimiş bilgi teknolojilerinin ve bilişim araçlarının satın alınması;

Bilgi güvenliği araçları, sızıntı önleme ve güvenlik korumalı bilgiler dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan bir dizi mühendislik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, cihazlar ve teknik sistemlerin yanı sıra diğer gerçek unsurlardır.

İşletmede kullanılan bilgi güvenliği araçlarını düşünün. Toplamda dört tane var (donanım, yazılım, karma, organizasyonel).

Donanım koruması- kilitler, pencerelerdeki parmaklıklar, güvenlik alarmları, ağ filtreleri, güvenlik kameraları.

Yazılım korumaları: Koruma, şifre, hesaplar gibi işletim sistemi araçları kullanılır.

Örgütsel koruma araçları: binaların bilgisayarlarla hazırlanması.

2 Bilgi güvenliği sisteminin iyileştirilmesi

2.1 Bilgi güvenliği sisteminde tespit edilen eksiklikler

Toplumda bilginin korunmasında en hassas nokta bilgisayar güvenliğinin korunmasıdır. İşletmenin yüzeysel bir analizi sırasında bile, aşağıdaki eksiklikler tespit edilebilir:

§ Bilgi nadiren yedeklenir;

§ Yetersiz düzeyde bilgi güvenliği yazılımı;

§ Bazı çalışanların bilgisayar becerileri yetersizdir;

§ Çalışanlar üzerinde kontrol yoktur. Çoğu zaman çalışanlar, bilgisayarlarını kapatmadan ve hizmet bilgilerini içeren bir flash sürücüye sahip olmadan iş yerinden ayrılabilirler.

§ Bilgi güvenliğine ilişkin normatif belgelerin eksikliği.

§ Tüm bilgisayarlar parolalar ve hesaplar gibi işletim sistemi araçlarını kullanmaz.

2.2 İşletmede bilgi güvenliği sisteminin oluşturulmasının amaç ve hedefleri

Bilgi güvenliği sisteminin temel amacı, tesisin istikrarlı bir şekilde çalışmasını sağlamak, güvenliğine yönelik tehditleri önlemek, işletmenin meşru çıkarlarını yasa dışı tecavüzlerden korumak, fonların çalınmasını, ifşasını, kaybını, sızmasını, bozulmasını ve imha edilmesini önlemektir. tesisin tüm departmanlarının normal üretim faaliyetlerini sağlayan resmi bilgiler. Bilgi güvenliği sisteminin bir diğer amacı da sunulan hizmetlerin kalitesini artırmak ve mülkiyet hak ve menfaatlerinin güvenliğini garanti altına almaktır.

Bir kuruluşta bilgi güvenliği sistemi oluşturmanın görevleri şunlardır: bilginin bütünlüğü, bilginin güvenilirliği ve gizliliği. Görevler tamamlandığında hedef gerçekleştirilecektir.

IS ve IT'de bilgi güvenliği sistemlerinin (ISS) oluşturulması aşağıdaki ilkelere dayanmaktadır:

Yerli ve yabancı koruma sistemleri oluşturma uygulamasıyla onaylanan ve teknolojik bilgi işleme döngüsünün tüm aşamalarında kullanılan, birbiriyle ilişkili organizasyonel, yazılım, donanım, fiziksel ve diğer özelliklerin optimum kombinasyonu anlamına gelen bir koruma sistemi oluşturmaya yönelik sistematik bir yaklaşım .

Sistemin sürekli geliştirilmesi ilkesi. Bilgisayar bilgi sistemleri için temel ilkelerden biri olan bu ilke, NIS için daha da geçerlidir. BT'deki bilgilere yönelik tehditleri uygulama yolları sürekli olarak geliştirilmektedir ve bu nedenle IP'nin güvenliğini sağlamak tek seferlik bir eylem olamaz. Bu, ISS'yi iyileştirmek için en rasyonel yöntemlerin, yöntemlerin ve yolların kanıtlanmasından ve uygulanmasından, sürekli izlemeden, darboğazlarını ve zayıflıklarını, potansiyel bilgi sızıntısı kanallarını ve yeni yetkisiz erişim yöntemlerini belirlemeyi içeren sürekli bir süreçtir.

İşlenen bilgilere erişim ve işleme prosedürleri için yetkilerin ayrılması ve en aza indirilmesi, yani hem kullanıcılara hem de BS çalışanlarına resmi görevlerini yerine getirmeleri için yeterli, kesin olarak tanımlanmış asgari yetkilerin sağlanması.

Yetkisiz erişim girişimlerinin kontrolünün ve kaydının eksiksizliği, yani her kullanıcının kimliğini doğru bir şekilde belirleme ve olası bir soruşturma için eylemlerini kaydetme ihtiyacı ve ayrıca önceden kayıt olmadan BT'de herhangi bir bilgi işleme işlemi gerçekleştirmenin imkansızlığı.

Koruma sisteminin güvenilirliğinin sağlanması, yani arızalar, arızalar, bir bilgisayar korsanının kasıtlı eylemleri veya sistemdeki kullanıcıların ve bakım personelinin kasıtsız hataları durumunda güvenilirlik seviyesinin düşürülmesinin imkansızlığı.

Koruma sisteminin işleyişi üzerinde kontrolün sağlanması, örn. koruma mekanizmalarının performansını izlemek için araç ve yöntemlerin oluşturulması.

Her türlü kötü amaçlı yazılımdan koruma aracını sağlamak.

ISS'yi geliştirme ve işletme maliyeti üzerindeki tehditlerin uygulanmasından IS ve BT'ye olası zararın fazla olmasıyla ifade edilen koruma sistemini kullanmanın ekonomik fizibilitesinin sağlanması.

2.3 Kuruluşun bilgi güvenliği sistemini iyileştirmek için önerilen eylemler

İşletmede tespit edilen eksiklikler bunların giderilmesini gerektirir, bu nedenle aşağıdaki önlemler önerilmektedir.

§ Şirket çalışanlarının kişisel verileri, muhasebe verileri ve işletmede bulunan diğer veritabanları ile veritabanının düzenli olarak yedeklenmesi. Bu, disk arızaları, elektrik kesintileri, virüsler ve diğer kazalardan kaynaklanan veri kaybını önleyecektir. Dikkatli planlama ve düzenli yedekleme prosedürleri, veri kaybı durumunda hızlı bir şekilde geri yüklemenizi sağlar.

§ Her bilgisayarda OS araçlarının kullanılması. Uzmanlar için hesapların oluşturulması ve bu hesaplar için düzenli şifre değişiklikleri.

§ İşletme personelinin bilgisayarlarla çalışması için eğitimi. İş istasyonlarının doğru çalışması ve bilgi kaybının ve hasarının önlenmesi için gerekli bir koşul. Tüm işletmenin çalışması, PC personelinin doğru uygulama açısından becerilerine bağlıdır.

§ Avast, NOD, Doctor Web vb. gibi bilgisayarlara anti-virüs programlarının kurulumu. Bu, bilgisayarlara virüs adı verilen çeşitli kötü amaçlı programların bulaşmasını önleyecektir. Bu işletme için çok önemli, çünkü birkaç bilgisayarda İnternet erişimi var ve çalışanlar bilgi alışverişinde bulunmak için flaş medya kullanıyor.

§ Video kameralar kullanarak çalışanlar üzerinde kontrol sağlamak. Bu, ekipmanın dikkatsizce kullanılması durumlarını, ekipman hırsızlığı ve hasar riskini azaltacak ve ayrıca resmi bilgilerin şirket bölgesinden "kaldırılmasının" kontrol edilmesini sağlayacaktır.

§ Rusya Federasyonu'nun yürürlükteki mevzuatına uyacak ve bu ihlallere ilişkin riskleri, ihlalleri ve yükümlülükleri (para cezaları, cezalar) belirleyecek olan “Oven LLC'de bilgilerin korunmasına yönelik önlemler ve ihlallerinin sorumluluğu” düzenleyici bir belgenin geliştirilmesi. Şirketin iş sözleşmesinde uygun sütunu oluşturmasının yanı sıra, bildiğini ve bu belgenin hükümlerine uymayı taahhüt eder.

2.4 Önerilen faaliyetlerin etkinliği

Önerilen önlemler, işletmedeki bilgi güvenliği ile ilgili temel sorunların ortadan kaldırılması gibi yalnızca olumlu yönler taşımaz. Ancak aynı zamanda, personel eğitimi ve güvenlik politikasına ilişkin düzenleyici belgelerin geliştirilmesi için ek yatırımlar gerektireceklerdir. Ek işçilik maliyeti gerektirecek ve riskleri tamamen ortadan kaldırmayacaktır. Her zaman bir insan faktörü, mücbir sebep olacaktır. Ancak bu tür önlemler alınmazsa, bilgiyi geri getirmenin maliyeti, kaybedilen fırsatların maliyeti, bir güvenlik sistemi geliştirmek için gerekenden daha pahalıya mal olacaktır.

Önerilen önlemlerin sonuçlarını göz önünde bulundurun:

1. Kuruluşun bilgi güvenliği sisteminin güvenilirliğini artırmak;

2. Personelin PC yeterlilik düzeyinin arttırılması;

3. Azaltılmış bilgi kaybı riski;

4. Güvenlik politikasını tanımlayan düzenleyici bir belgenin mevcudiyeti.

5. İşletmeden bilgi girme/çıkarma riskini muhtemelen azaltın.

3 Bilgi güvenliği modeli

Sunulan bilgi güvenliği modeli (Şekil 2), bir dizi nesnel dış ve iç faktör ve bunların tesisteki bilgi güvenliği durumu ve malzeme veya bilgi kaynaklarının güvenliği üzerindeki etkisidir.

Şekil 2 - Bilgi güvenliği sistem modeli

Bu model, Rusya Federasyonu'nda kabul edilen bilgi güvenliğini sağlamak için özel düzenleyici belgelere, uluslararası standart ISO / IEC 15408 "Bilgi teknolojisi - koruma yöntemleri - bilgi güvenliğini değerlendirme kriterleri", standart ISO / IEC 17799 "Bilgi güvenliği yönetimine uygundur. " ve bilgi güvenliği konularında yerel düzenleyici çerçevenin (özellikle Rusya Federasyonu Devlet Teknik Komisyonu) gelişme eğilimlerini dikkate alır.

Sonuçlar ve teklifler

Bilgi Çağı, insanların çok sayıda meslek için görevlerini yerine getirme biçimlerinde çarpıcı değişiklikler getirdi. Artık orta düzey teknik olmayan bir uzman, çok yetenekli bir programcının yaptığı işi yapabilir. Çalışan, hiç olmadığı kadar doğru ve güncel bilgiye sahiptir.

Ancak bilgisayarların ve otomatik teknolojilerin kullanımı, organizasyonun yönetimi için bir takım sorunlara yol açmaktadır. Genellikle ağa bağlı olan bilgisayarlar, çok çeşitli ve çok çeşitli verilere erişim sağlayabilir. Bu nedenle insanlar, bilgilerin güvenliği ve gizli, kişisel veya diğer kritik verilere otomatikleştirme ve bunlara çok daha fazla erişim sağlama ile ilgili riskler konusunda endişe duyuyorlar. Bilgisayar suçlarının sayısı sürekli olarak artıyor ve bu da sonunda ekonominin altını oymaya yol açabiliyor. Ve bu nedenle, bilginin korunması gereken bir kaynak olduğu açık olmalıdır.

Ve otomasyon, artık bilgisayar işlemlerinin özel olarak eğitilmiş teknik personel tarafından değil, kuruluşun sıradan çalışanları tarafından gerçekleştirilmesine yol açtığından, son kullanıcıların bilgileri koruma sorumluluklarının farkında olmaları gerekir.

%100 veri güvenliği ve güvenilir ağ işletimi garantisi sağlayan tek bir tarif yoktur. Bununla birlikte, belirli bir kuruluşun görevlerinin özelliklerini dikkate alan kapsamlı, iyi düşünülmüş bir güvenlik konseptinin oluşturulması, değerli bilgileri kaybetme riskini en aza indirmeye yardımcı olacaktır. Bilgisayar güvenliği, kullanıcıların aptallığına ve bilgisayar korsanlarının zekasına karşı sürekli bir mücadeledir.

Sonuç olarak, bilgilerin korunmasının teknik yöntemlerle sınırlı olmadığını söylemek isterim. Sorun çok daha geniş. Ana koruma eksikliği insanlardır ve bu nedenle güvenlik sisteminin güvenilirliği esas olarak şirket çalışanlarının buna karşı tutumuna bağlıdır. Ek olarak, bir bilgisayar ağının geliştirilmesiyle birlikte korumanın sürekli olarak iyileştirilmesi gerekir. Unutmayın ki işe müdahale eden güvenlik sistemi değil, yokluğudur.

Ayrıca, bu kurs projesinin sonuçlarını özetleyerek, Aries şirketinin bilgi güvenliği sistemini analiz ettikten sonra beş eksikliğin tespit edildiğini belirtmek isterim. Aramadan sonra bunları ortadan kaldıracak çözümler bulundu, bu eksiklikler giderilebilir, bu da bir bütün olarak işletmenin bilgi güvenliğini artıracak.

Yukarıdaki eylemler sırasında, bilgi güvenliği sistemini incelemenin pratik ve teorik becerileri üzerinde çalışıldı, bu nedenle kurs projesinin amacına ulaşıldı. Bulunan çözümler sayesinde projenin tüm görevleri tamamlandı diyebiliriz.

Kaynakça

1. GOST 7.1-2003. Bibliyografik kayıt. Bibliyografik açıklama. Taslak hazırlama için genel gereksinimler ve kurallar (M.: Yayınevi standartlar, 2004).

2. Galatenko, V.A. "Bilgi Güvenliğinin Temelleri". - M.: "Sezgi", 2003.

3. Zavgorodniy, V. I. “Bilgisayar sistemlerinde entegre bilgi koruması”. - M.: "Logolar", 2001.

4. Zegzhda, D.P., Ivashko, A.M. "Bilgi sistemleri güvenliğinin temelleri".

5. Nosov, V.A. "Bilgi Güvenliği" disiplinine giriş kursu.

6. 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Kanunu N 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma"

Allbest.ru'da barındırılıyor

Benzer Belgeler

"Aşatlı" tarım işletmesinin bilgi kaynaklarının özellikleri. Kuruma özel bilgi güvenliği tehditleri. Bilgi koruma önlemleri, yöntemleri ve araçları. Mevcut güvenlik sisteminin eksikliklerinin ve güncellenen güvenlik sisteminin avantajlarının analizi.

dönem ödevi, 02/03/2011 eklendi


İşletmenin faaliyetleri hakkında genel bilgiler. Kuruluşta bilgi güvenliği nesneleri. Bilgi koruma önlemleri ve araçları. Veriler çıkarılabilir ortama kopyalanıyor. Dahili bir yedekleme sunucusu kurma. IS sistemini iyileştirme verimliliği.

test, 29/08/2013 eklendi


Bilgi güvenliği kavramı, anlamı ve yönleri. Bilgi güvenliğini organize etmeye, bilgileri yetkisiz erişime karşı korumaya yönelik sistematik bir yaklaşım. Bilgi koruma araçları. Bilgi güvenliği yöntemleri ve sistemleri.

özet, 11/15/2011 eklendi


Bilgi güvenliği modu oluşturma sistemi. Toplumun bilgi güvenliğinin görevleri. Bilgi koruma araçları: temel yöntemler ve sistemler. Bilgisayar ağlarında bilgi koruması. Rusya'nın en önemli yasama işlemlerinin hükümleri.

özet, 01/20/2014 eklendi


Bilgi güvenliği risk analizi. Mevcut ve planlanan koruma araçlarının değerlendirilmesi. Bilgi güvenliğini ve kurumsal bilgilerin korunmasını sağlamak için bir dizi kurumsal önlem. Proje uygulamasının bir kontrol örneği ve açıklaması.

tez, 19.12.2012 eklendi


Etkili ve yeterli güvenlik gereksinimleri setini tanımlayacak etkili politikalar sistemi biçimindeki bir kurumsal bilgi güvenliği stratejisi. Bilgi güvenliğine yönelik tehditlerin belirlenmesi. İç kontrol ve risk yönetimi.

dönem ödevi, 06/14/2015 eklendi


Görev kompleksinin tanımı ve kuruluşta bilgi güvenliğini ve bilgi korumasını sağlamak için sistemi iyileştirme ihtiyacının gerekçesi. VTYS kullanımı, bilgi güvenliği ve kişisel verilerin korunması için bir projenin geliştirilmesi.

tez, 11/17/2012 eklendi


Rusya'da bilgi güvenliği alanındaki düzenleyici belgeler. Bilgi sistemleri tehditlerinin analizi. Kliniğin kişisel veri koruma sisteminin organizasyonunun özellikleri. Elektronik anahtarlar kullanılarak bir kimlik doğrulama sisteminin uygulanması.

tez, 31.10.2016 eklendi


Kişisel veri güvenliği sistemi oluşturmak için ön koşullar. Bilgi güvenliğine yönelik tehditler. ISPD'ye yetkisiz erişim kaynakları. Kişisel veri bilgi sistemlerinin cihazı. Bilgi koruma araçları. Güvenlik Politikası.

dönem ödevi, 10/07/2016 eklendi


Görevler, yapı, fiziksel, yazılım ve donanım bilgi sistemlerini korumak için önlemler. Bilgisayar suçlarının türleri ve nedenleri, kuruluşun güvenlik politikasını iyileştirme yolları. "Günlük" klasörünün amacı ve ana işlevleri MS Outlook 97.

Amaç ve hedefler, araştırmanın amacı ve konusu

Rusya Federasyonu'nun ulusal güvenliğini sağlamaya yönelik faaliyetlerin kavramı ve içeriğinin temelleri

Rusya Federasyonu'nun kamu güvenliğini sağlamak için yasal çerçeve

Rusya Federasyonu'nun ulusal güvenlik stratejisi ve kolluk kuvvetlerinin görevleri

390-FZ sayılı Rusya Federasyonu "Güvenlik Üzerine" Federal Yasasının Sorunları

Kamu güvenliği için yasal çerçeveyi iyileştirmenin yolları

ekonomik güvenliğin tanımı

Rusya Federasyonu ekonomik güvenlik sisteminin yapısı

Ekonomik güvenliğe yönelik tehditler

Ülkedeki ekonomik güvenlik seviyesinin ölçüt değerlendirmesi, aşağıdaki parametrelerin dikkate alınmasını, belirlenmesini ve analiz edilmesini içerir.

Devletin ve bölgelerinin ekonomik güvenliğini sağlamaya yönelik mekanizmanın ana bileşenleri

Etkili bir ekonomi sistemi kullanarak Rusya Federasyonu'nun ulusal güvenlik stratejisini optimize etmeye yönelik öneriler ve tavsiyeler

Bölgesel düzeyde ekonomik güvenliği sağlamaya yönelik devlet stratejisinin uygulanmasının ana yönleri