Bezpieczeństwo informacji. Prace dyplomowe z zakresu bezpieczeństwa informacji (Bezpieczeństwo systemów informatycznych) Tematy końcowych prac kwalifikacyjnych: ochrona informacji

Bezpieczeństwo informacji jest zwykle rozumiane jako zespół środków mających na celu zapewnienie wymaganego poziomu bezpieczeństwa oprogramowania i sprzętu komputerowego przed nielegalną i nieuprawnioną penetracją przez intruzów. Dziś maksymalną popularność zyskuje kompleksowa ochrona informacji w przedsiębiorstwie, obejmująca wszystkie możliwe techniki i narzędzia bezpieczeństwa, które są dostępne do wdrożenia. Jeśli weźmiemy pod uwagę jakikolwiek dyplom z bezpieczeństwa informacji, to z pewnością znajdziemy w nim analizę każdego takiego sposobu ochrony informacji w IP, a mianowicie:

• Ochrona fizyczna polegająca na zainstalowanych kamerśledzenie, różne urządzenia zamykające (zamki), drzwi, kraty, szafki metalowe, sejfy itp. Zaprojektowany przede wszystkim w celu stworzenia naturalnej bariery dla atakującego;
• Zabezpieczenia sprzętowe, które obejmują różne urządzenia, czujniki, detektory, skanery i szyfratory, które najskuteczniej przyczyniają się do zachowania poufności danych oraz bezpieczeństwa systemów i sieci (najczęstszym obszarem zastosowań jest ochrona informacji w sieciach lokalnych, a także ochrona informacji kryptograficznej);
• Narzędzia do ochrony oprogramowania, które reprezentowane są przede wszystkim przez różne zapory ogniowe, systemy antywirusowe, zapory ogniowe, polityki bezpieczeństwa itp., tj. różne oprogramowanie, które w taki czy inny sposób rozszerza możliwości standardowe środki bezpieczeństwo i radzi sobie z tym zadaniem stosunkowo skutecznie. Jedynym niuansem, który warto podkreślić, jest to, że jeśli zdobywasz dyplom z rozwoju systemu ochrony danych osobowych, lepiej jest preferować ochronę sprzętu, ponieważ stają się one znacznie skuteczniejsze i nie są tak podatne na włamania;
• Zabezpieczenia organizacyjne, które są reprezentowane przez różne statuty, zasady i przepisy techniczne praca z określonymi kategoriami danych. Organizacja i technologia ochrony informacji w tym przypadku jest następująca - wszyscy pracownicy bezwzględnie przestrzegają przepisów i wymagań związanych z pracą z danymi sklasyfikowanymi jako „poufne” lub „osobiste”. Niezastosowanie się do wymagań będzie skutkować karami, odpowiedzialnością administracyjną lub karną.

Oczywiście opisane powyżej metody ochrony danych nie są jedyne, ale każdy z nich odgrywa ważną rolę w procesie przeprowadzania audytu bezpieczeństwa informacji w przedsiębiorstwie.

Podkreślmy kluczowe cechy, które charakteryzują niemal wszystkie dyplomy z zakresu bezpieczeństwa informacji:

• Jasno określony i uzasadniony cel projektu, wysoka przydatność prowadzonych badań i wyraźny pożądany wynik po zakończeniu wszystkich prac;
• Prawidłowo sformułowane zadanie główne, które zawiera listę krok po kroku wszystkich niezbędnych działań, które, jeśli zostaną pomyślnie wykonane, doprowadzą do wymaganego rezultatu końcowego;
• Identyfikacja kilku dostępnych rozwiązań danego problemu, z uwzględnieniem wszystkich wymagań i warunków ochrony danych, dalszy wybór najbardziej odpowiedniego (pod względem czasu i kosztów) możliwa opcja i uzasadnienie dokonanego wyboru. Podstawowym czynnikiem w tym przypadku jest skuteczność i zgodność ze wszystkimi wymogami ochrony danych;
• Ustalenie najbardziej przystępnej i zrozumiałej prezentacji wyniku badania dla większej przejrzystości podczas obrony.

Nietrudno się domyślić, że dyplomy z bezpieczeństwa informacji w przedsiębiorstwie są dość złożone i obejmują bardzo różnorodne obszary, a aby prawidłowo opracować system ochrony danych osobowych, ważna jest dobra wiedza teoretyczna i praktyczna. Ale ten warunek nie zawsze jest spełniony.

Niejednokrotnie studenci zastanawiali się, co zrobić, jeśli sama nie mam czasu na wykonanie całego nakładu pracy. Odpowiedź jest dość prosta - należy wcześniej skontaktować się z naszym sklepem internetowym, w którym prezentowana jest ogromna liczba różnych prac związanych z bezpieczeństwem informacji. Wystarczy kilka przykładów:

• Prace nad organizacją bezpieczeństwa informacji;
• Praca dyplomowa z zakresu bezpieczeństwa informacji;
• Rozważenie problemów zapewnienia bezpieczeństwa informacji.

I jesteśmy absolutnie pewni, że każdy z Was będzie mógł wybrać u nas dyplom zgodnie ze swoimi wymaganiami, a jeśli nie ma wybranego tematu, z łatwością zamówicie go u naszych specjalistów.

W tej kategorii prezentowane są prace związane z zapewnieniem bezpieczeństwa informacji przedsiębiorstw, systemy informacyjne i lokalnych sieci komputerowych, w tym:

1. bezpieczeństwo przepływu dokumentów;
2. bezpieczeństwo systemów operacyjnych i baz danych;
3. bezpieczeństwo systemów komputerowych;
4. bezpieczeństwo zasobów Internetu;
5. inżynieria i ochrona informacji technicznych.

Prace zostały przygotowane dla specjalistów następujących specjalności:

090000 BEZPIECZEŃSTWO INFORMACJI

090100 Bezpieczeństwo informacji

090101 Kryptografia

090102 Bezpieczeństwo komputerowe

mi Jeśli nie znalazłeś odpowiedniej gotowej pracy, możesz zlecić napisanie nowej, która zostanie wykonana terminowo i w pełni zgodnie z Twoimi wymaganiami. Formularz zamówienia do godz.

fokus (profil) „Systemy i technologie informacyjne”

obszary szkoleń 09.03.02 „Systemy i technologie informacyjne”

1. Wirtualizacja infrastruktury informatycznej przedsiębiorstwa (nazwa przedsiębiorstwa).

2. Integracja systemów informatycznych przedsiębiorstwa opartych na systemie operacyjnym Linux i swobodnie rozpowszechnianym systemie DBMS.

3. Modernizacja i administracja systemem informacji korporacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).

4. Modernizacja, administracja i utrzymanie sieci informatycznej przedsiębiorstwa (nazwa przedsiębiorstwa).

5. Modernizacja systemu informacji i zarządzania przedsiębiorstwa (procesu) (nazwa przedsiębiorstwa lub procesu) oraz rozwój środków jego wsparcia.

6. Opracowanie portalu intranetowego dla przedsiębiorstwa (nazwa przedsiębiorstwa).

7. Projekt sieci informacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).

8. Projekt systemu informacji korporacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).

9. Rozwój i utrzymanie korporacyjnego portalu internetowego przedsiębiorstwa (nazwa przedsiębiorstwa).

10. Opracowanie systemu zautomatyzowanego przetwarzania informacji dla przedsiębiorstwa (nazwa przedsiębiorstwa).

11. Opracowanie prototypu przedsiębiorstwa systemu informatycznego do zarządzania procesami (nazwa procesu lub obiektu).

12. Opracowanie serwisu WWW dla systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).

13. Opracowanie systemu informacji referencyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).

14. Opracowanie modelu i projekt systemu zarządzania informacją w przedsiębiorstwie (nazwa przedsiębiorstwa).

15. Rozwój technologiczny oprogramowanie w celu konserwacji systemu (nazwa systemu).

16. Opracowanie oprogramowania urządzenia mikroprocesorowego (nazwa urządzenia).

17. Opracowanie mobilnej aplikacji klienckiej dla systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).

18. Opracowanie modelu symulacyjnego w celu optymalizacji parametrów procesu produkcyjnego.

19. Projekt Serwery Wirtualne w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).

20. Opracowanie modułu (podsystemu) (nazwa realizowanej funkcji) systemu informacyjnego (informacji korporacyjnej) przedsiębiorstwa (nazwa przedsiębiorstwa).

w programie kształcenia stosowanego licencjata

obszary szkoleń 03.09.04 „Inżynieria oprogramowania”

1. Opracowanie aplikacji do parsowania serwisu, sieć społeczna, portalu.

2. Projektowanie i oprogramowanie systemu informacyjnego (informacyjnego i referencyjnego) (cel lub funkcja systemu).

3. Opracowanie oprogramowania sprzętowego urządzenia (nazwa urządzenia).

4. Opracowanie oprogramowania aplikacyjnego dla systemu (nazwa systemu).

5. Opracowanie systemu informatycznego oprogramowania (nazwa obszaru zastosowania lub realizowanego procesu).

6. Opracowanie metod testowania i debugowania oprogramowania (nazwa oprogramowania).

7. Rozwój moduł oprogramowania(nazwa modułu) dla systemu 1C:Enterprise przedsiębiorstwa (nazwa przedsiębiorstwa).

8. Opracowanie serwisu internetowego systemu zarządzania informacją w przedsiębiorstwie (nazwa przedsiębiorstwa).

9. Opracowanie aplikacji wspierającej system informacyjno-pomiarowy (cel systemu).

10. Badanie bezpieczeństwa informacji usług sieciowych systemu 1C:Enterprise.

11. Opracowanie modułu (podsystemu) (nazwa realizowanej funkcji) systemu informacyjnego (informacji korporacyjnej) przedsiębiorstwa (nazwa przedsiębiorstwa).

12. Opracowanie oprogramowania serwerowego (klienckiego) dla systemu (nazwa systemu).

Temat ukończenia studiów prace kwalifikacyjne

w programie kształcenia stosowanego licencjata

kierunkowość (profil) " Serwis informacyjny»

1. Modernizacja, administracja i utrzymanie sieci lokalnej przedsiębiorstwa (nazwa przedsiębiorstwa).

2. Modernizacja i administracja systemem informatycznym przedsiębiorstwa (nazwa przedsiębiorstwa).

3. Projekt systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).

4. Projektowanie i rozwój technologii obsługi sieci lokalnej przedsiębiorstwa (nazwa przedsiębiorstwa).

5. Projekt ochrony sprzętowej i programowej systemu informatycznego przedsiębiorstwa (nazwa przedsiębiorstwa).

6. Opracowanie technologii diagnostyki, naprawy i konserwacji urządzenia (nazwa urządzenia, grupa urządzeń, sprzęt pomiarowy, jednostka komputerowa, system komputerowy lub mikroprocesorowy, sieć lokalna).

7. Rozwój i administracja strony internetowej firmy (nazwa firmy).

8. Opracowanie konfiguracji serwerowej dla sieci transmisji danych przedsiębiorstwa (nazwa przedsiębiorstwa).

9. Tworzenie i administrowanie bazą danych przedsiębiorstwa (nazwa przedsiębiorstwa).

10. Opracowanie portalu intranetowego dla przedsiębiorstwa (nazwa przedsiębiorstwa).

11. Opracowanie podsystemu monitorowania procesów produkcyjnych na platformie 1C:Enterprise.

12. Opracowanie projektu rozproszonego systemu informatycznego (nazwa systemu) przedsiębiorstwa (nazwa przedsiębiorstwa).

13. Opracowanie informacyjnego i referencyjnego systemu księgowego (nazwa przedmiotu księgowego).

14. Rozwój usługi WCF dla systemu informatycznego przedsiębiorstwa.

15. Opracowanie modelu systemu informacyjnego przedsiębiorstwa (nazwa lub obszar działalności przedsiębiorstwa).

16. Opracowywanie metod testowania i debugowania oprogramowania (nazwa oprogramowania).

17. Opracowanie zestawu środków do administrowania i konserwacji systemu informatycznego oprogramowania (nazwa obszaru użytkowania lub wdrażanego procesu).

18. Modelowanie i badania systemu transmisji danych (nazwa systemu).

19. Badanie i optymalizacja parametrów rozproszonego systemu informatycznego na platformie 1C:Enterprise.

20. Projekt wydziału przedsiębiorstwa (nazwa przedsiębiorstwa) zajmującego się naprawą i konserwacją sprzętu elektronicznego (komputerowego) oraz organizacja pracy środki techniczne.

21. Projektowanie serwerów wirtualnych w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).

22. Opracowanie oprogramowania serwerowego (klienckiego) dla systemu (nazwa systemu).

Tematy końcowych prac kwalifikacyjnych

w programie kształcenia stosowanego licencjata

kierunkowość (profil) „Serwis sprzętu elektronicznego”

obszary szkoleń 03.43.01 „Serwis”

1. Opracowanie technologii diagnostyki, naprawy i konserwacji urządzenia (nazwa urządzenia elektronicznego, mikroprocesora lub systemu telekomunikacyjnego, sprzętu pomiarowego, sieci transmisji danych).

2. Opracowanie systemu elektronicznego (nazwa systemu) przedsiębiorstwa (nazwa przedsiębiorstwa, centrum handlowo-biurowego, kompleksu rozrywkowego).

3. Opracowanie urządzenia wejścia/wyjścia informacji (nazwa urządzenia).

4. Opracowanie oprogramowania urządzenia mikroprocesorowego (nazwa urządzenia).

5. Rozwój korporacyjnej sieci telekomunikacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).

6. Opracowanie urządzenia cyfrowego (modułu) (nazwa urządzenia, modułu; nazwa realizowanej funkcji).

7. Opracowanie urządzenia zasilającego sprzęt elektroniczny (nazwa sprzętu).

8. Opracowanie technologii monitorowania (kontroli parametrów) obiektów (nazwa obiektów).

9. Opracowanie i badania czujnika bezprzewodowego (nazwa mierzonego parametru).

10. Projekt działu przedsiębiorstwa (nazwa przedsiębiorstwa) zajmującego się naprawą i konserwacją sprzętu elektronicznego (komputerowego) oraz organizacją pracy urządzeń technicznych.

11. Opracowanie podsystemu (nazwa podsystemu) zintegrowanego systemu bezpieczeństwa dla przedsiębiorstwa (nazwa przedsiębiorstwa).

Tematy końcowych prac kwalifikacyjnych

w programie kształcenia stosowanego licencjata

kierunkowość (profil) „Środki inżynierii radiowej służące do nadawania, odbierania i przetwarzania sygnałów”
obszary szkolenia 03.11.01 „Inżynieria radiowa”

1. Opracowanie układu urządzenia (bloku, modułu; odbierającego, nadawczego, nadawczo-odbiorczego) (nazwa systemu).

2. Rozwój interfejs bezprzewodowy dla sprzętu radioelektronicznego (nazwa sprzętu).

3. Badanie wirtualnego modelu urządzenia (podać typ urządzenia) w środowisku (nazwa środowiska programowego).

4. Opracowanie podsystemu (nazwa podsystemu) zintegrowanego korporacyjnego systemu bezpieczeństwa (nazwa przedsiębiorstwa.

Tematy końcowych prac kwalifikacyjnych

w programie kształcenia stosowanego licencjata

kierunkowość (profil) „Systemy komunikacji mobilnej”

obszary szkoleń 11.03.02 „Technologie informacyjno-komunikacyjne i systemy komunikacyjne”

1. Projekt sieci telekomunikacyjnej dla przedsiębiorstwa (nazwa przedsiębiorstwa).

2. Administracja i utrzymanie sieci telekomunikacyjnej przedsiębiorstwa (nazwa przedsiębiorstwa).

3. Opracowanie bloku (kodek, wokoder, urządzenie synchronizujące, urządzenie dopasowujące) cyfrowego systemu telekomunikacyjnego.

4. Rozwój adapter bezprzewodowy interfejsy (nazwy interfejsów).

5. Opracowanie systemu urządzenia przetwarzającego informację (typ urządzenia) (nazwa systemu).

6. Opracowanie urządzenia do łączenia systemów (nazwa systemów).

7. Opracowanie sterownika systemu (nazwa systemu).

8. Opracowanie urządzenia synchronizującego dla systemu telekomunikacyjnego (nazwa systemu).

9. Opracowanie urządzenia technologicznego do badania sprzętu telekomunikacyjnego (nazwa sprzętu).

10. Rozwój sieci komunikacji bezprzewodowej (segment sieci) w oparciu o technologię (nazwa technologii).

11. Opracowanie technologii zdalnego monitorowania parametrów obiektu (nazwa parametrów).

12. Opracowanie sieci czujników do monitorowania stanu obiektu (nazwa obiektu).

13. Opracowanie technologii diagnostyki i pomiaru parametrów urządzenia telekomunikacyjnego (nazwa urządzenia, systemu, sieci, środowiska).

14. Opracowanie urządzenia nadawczo-odbiorczego dla systemu (nazwa systemu).

15. Rozwój urządzeń telekomunikacyjnych dla pilot obiekt (nazwa obiektu).

16. Opracowanie miernika parametrów elementów sprzętu telekomunikacyjnego (nazwa elementów).

17. Opracowanie bezprzewodowego urządzenia wejścia/wyjścia informacji (nazwa urządzenia).

18. Rozwój sprzętu i oprogramowania dla technologii informacyjno-komunikacyjnej (nazwa technologii).

19. Badanie protokołów przesyłania informacji w systemie (nazwa systemu).

20. Badania metod cyfrowego przetwarzania sygnałów dla systemu (nazwa systemu).

21. Rozwój technologii informacyjno-komunikacyjnej i systemu zarządzania obiektem (nazwa obiektu).

22. Rozwój system bezprzewodowy pomiar parametru (nazwa parametru).

23. Projektowanie serwerów wirtualnych w oparciu o narzędzia (nazwa narzędzi wirtualizacyjnych) i kanały transmisji danych dla przedsiębiorstwa (nazwa przedsiębiorstwa).

Tematy końcowych prac kwalifikacyjnych

zgodnie z programem nauczania szkoły średniej zawodowej

specjalność 09.02.01 „Systemy i zespoły komputerowe”

PM.01 Projektowanie urządzeń cyfrowych,

PM.02 Zastosowanie systemów mikroprocesorowych, instalacja i konfiguracja urządzeń peryferyjnych,

PM.03 Konserwacja i naprawa systemy komputerowe i kompleksy.

1. Diagnostyka usterek i monitorowanie stanu technicznego sprzętu (nazwa sprzętu i oprogramowania techniki komputerowej lub sieci komputerowej).

2. Montaż, konfiguracja i konfiguracja narzędzi (nazwa sprzętu i oprogramowania komputerowego lub sieć komputerowa).

3. Opracowanie zestawu środków zapewniających bezpieczeństwo informacji w sieci komputerowej przedsiębiorstwa (nazwa przedsiębiorstwa).

4. Opracowanie bezdotykowego systemu identyfikacji przedsiębiorstwa (nazwa przedsiębiorstwa).

5. Utrzymanie i administracja zakładowym systemem informatycznym (nazwa przedsiębiorstwa).

6. Utrzymanie i administracja siecią komputerową przedsiębiorstwa (nazwa przedsiębiorstwa).

7. Konserwacja i wsparcie sprzętu i oprogramowania (nazwa sprzętu komputerowego lub sieci komputerowej).

8. Instalacja, adaptacja i konserwacja oprogramowania (nazwa oprogramowania).

9. Opracowanie i badania urządzenia (modułu) cyfrowego (mikroprocesorowego) (nazwa urządzenia, modułu).

10. Opracowanie technologii testowania i kompleksowego debugowania oprogramowania (nazwa oprogramowania).

Tematyka końcowych prac kwalifikacyjnych dla absolwentów

fokus (profil) „Elementy i urządzenia techniki komputerowej i systemów informatycznych”

obszary kształcenia 09.04.01 „Informatyka i Informatyka”

1. Modelowanie i badanie protokołów sieciowych przesyłania informacji (ze wskazaniem rodzaju informacji).

2. Badania i rozwój metody komputerowe poprawa parametrów systemu (wskazane są parametry lub parametry i typ systemu).

3. Komputerowe modelowanie, badania i optymalizacja systemów informatycznych lub telekomunikacyjnych (wskazana jest klasa systemów).

4. Badania i optymalizacja konstrukcji bezprzewodowych sieci sensorowych.

5. Badania i analizy budowy bezprzewodowych sieci Internetu Rzeczy.

6. Opracowanie kryteriów efektywnościowych i badanie rozmieszczenia maszyn wirtualnych w infrastrukturze chmurowej.

7. Rozwój, badania i ocena efektywności rozproszonych systemów informacyjnych (lub informacyjno-pomiarowych) (ze wskazaniem obszaru zastosowania lub rodzaju systemów).

8. Opracowanie i badania interfejsu bezprzewodowego dla sprzętu (nazwa sprzętu).

9. Opracowanie i badania urządzenia do śledzenia obiektów (nazwa obiektu).

10. Opracowanie i badania urządzeń do monitorowania stanu obiektu (nazwa obiektu).

11. Opracowywanie narzędzi diagnostycznych sprzętu i oprogramowania urządzeń (nazwa urządzeń).

12. Opracowanie i badania czujnika bezprzewodowego (nazwa mierzonego parametru).

13. Badanie algorytmów korekcyjnych konwerterów parametru (nazwy parametru) na kod.

14. Opracowanie algorytmów i oprogramowania do monitorowania parametrów systemu zarządzania obiektem (nazwa obiektu).

15. Opracowanie i badania bezprzewodowych urządzeń sterujących dla obiektu (nazwa obiektu).

16. Modelowanie i badanie przetworników parametrów (nazwa parametrów).

17. Metody oceny jakości oprogramowania (wskazano przeznaczenie oprogramowania).

18. Badanie funkcjonowania urządzeń (nazwa urządzeń) w warunkach (wskazano warunki) w celu poprawy właściwości (wskazano cechy).

19. Opracowywanie metod analizy i syntezy urządzeń (nazwy urządzeń) w celu poprawy właściwości (wskazane są cechy).

Tematy końcowych prac kwalifikacyjnych

w akademickim programie magisterskim

fokus (profil) „Rozwój oprogramowania i systemów informatycznych”
obszary szkoleń 09.04.04 „Inżynieria oprogramowania”

1. Opracowanie i badania usługi REST służącej do wyświetlania planów zajęć w szkołach wyższych.

2. Badania i rozwój narzędzi do testowania oprogramowania dla operatorów komórkowych.

3. Rozpoznawanie stanu fizjologicznego człowieka w oparciu o teorię układów o strukturze losowej.

4. Projekt systemu informatycznego automatyzacji sprzedaży (nazwa przedsiębiorstwa) w oparciu o podejście MDA.

5. Opracowanie i badania systemu informacji o oprogramowaniu do oceny jakości oprogramowania (podana jest nazwa oprogramowania).

6. Rozwój rozproszonego oprogramowania i systemów informatycznych (wskazano zakres zastosowania systemu) oraz badanie możliwości ich optymalizacji w oparciu o kryteria efektywnościowe (wskazano kryteria).

7. Opracowanie oprogramowania do obsługi urządzeń wejścia/wyjścia dla systemu (nazwa systemu).

8. Badanie bezpieczeństwa elementów oprogramowania systemu informatycznego (nazwa systemu).

Zalecenia metodyczne przeznaczone są dla studentów wszystkich form kształcenia specjalistycznego 10.02.01 (090905) i stanowią zbiór wymagań dotyczących organizacji, realizacji i obrony końcowych prac kwalifikacyjnych (GQR).

• Federalny stanowy standard edukacyjny dotyczący podstawowego i zaawansowanego szkolenia w tej specjalności 10.02.01 (090905) Organizacja i technologia bezpieczeństwa informacji,
• Ustawa federalna z dnia 29 grudnia 2012 r. Nr 273-FZ „O edukacji w Federacja Rosyjska»,
• zatwierdzono procedurę przeprowadzania państwowej certyfikacji końcowej programów edukacyjnych średniego kształcenia zawodowego. zarządzeniem Ministra Edukacji i Nauki Federacji Rosyjskiej z dnia 16 sierpnia 2013 r. nr 968 (zwanej dalej Procedurą Przeprowadzania Egzaminu Państwowego),
• przepisy Państwowej Budżetowej Instytucji Oświatowej „Wyższa Szkoła Technologiczna nr 34” „W sprawie trybu przeprowadzania państwowej certyfikacji końcowej programów edukacyjnych średniego kształcenia zawodowego”,
• system zarządzania jakością.

1. POSTANOWIENIA OGÓLNE

Państwowa certyfikacja końcowa absolwenta Moskiewskiej Państwowej Instytucji Edukacji Budżetowej „Kolegium Technologiczne nr 34” w specjalności 10.02.01(090905)Organizacja i technologia bezpieczeństwa informacjiobejmuje przygotowanie i obronę końcowej pracy kwalifikacyjnej.

Kontrola jakości Kształcenie absolwentów odbywa się w dwóch głównych obszarach:

• ocena poziomu opanowania dyscyplin akademickich, MDK i PM;
• ocena poziomu opanowania kompetencji.

Obszar działalności zawodowejabsolwenci. Specjalista ds. bezpieczeństwa informacji ze specjalności 10.02.01(090905) wykonuje prace związane z zapewnieniem kompleksowej ochrony informacji w oparciu o opracowane programy i techniki. Gromadzi i analizuje materiały pochodzące od instytucji, organizacji i przedsiębiorstw branżowych w celu opracowania i podjęcia decyzji oraz działań zapewniających ochronę informacji i efektywne wykorzystanieśrodki automatycznej kontroli, wykrywanie możliwych kanałów wycieku informacji stanowiących tajemnicę państwową, wojskową, urzędową i handlową. Analizuje istniejące metody i środki stosowane do kontroli i ochrony informacji oraz opracowuje propozycje ich udoskonalenia i zwiększenia efektywności tej ochrony. Uczestniczy w kontroli obiektów chronionych, ich certyfikacji i kategoryzacji. Opracowuje i przygotowuje do zatwierdzenia projekty aktów prawnych i materiały dydaktyczne regulujące prace nad ochroną informacji, a także regulaminy, instrukcje i inne dokumenty organizacyjno-administracyjne. Organizuje opracowywanie i terminowe składanie propozycji włączenia do odpowiednich sekcji długoterminowych i bieżących planów pracy oraz programów działań w zakresie kontroli i ochrony informacji. Przedstawia opinie i wnioski dotyczące projektów nowo budowanych i przebudowywanych budynków i budowli oraz innych opracowań dotyczących zagadnień zapewnienia bezpieczeństwa informacji. Uczestniczy w przeglądzie specyfikacji technicznych projektów, projektów wstępnych, technicznych i wykonawczych, zapewnia ich zgodność z obowiązującymi dokumentami regulacyjnymi i metodologicznymi, a także w opracowywaniu nowych podstawowych schematów urządzeń sterujących, narzędzi automatyzacji sterowania, modeli i systemów bezpieczeństwa informacji , ocena poziomu techniczno-ekonomicznego oraz efektywności proponowanych i wdrożonych rozwiązań organizacyjno-technicznych: organizacja gromadzenia i analizy materiałów w celu opracowania i podjęcia działań zapewniających ochronę danych oraz identyfikacji ewentualnych kanałów wycieku informacji o charakterze urzędowym, handlowym , tajemnice wojskowe i państwowe.

Przedmioty działalności zawodowejabsolwenci to:

• udział w planowaniu i organizacji prac zapewniających ochronę obiektu;
• organizowanie pracy z dokumentacją, w tym poufną;
• stosowanie oprogramowania, sprzętu komputerowego i technicznych środków bezpieczeństwa informacji;
• udział we wdrażaniu kompleksowego systemu ochrony obiektu;
• udział w zbieraniu i przetwarzaniu materiałów w celu opracowania rozwiązań zapewniających bezpieczeństwo informacji i efektywne wykorzystanie środków wykrywania ewentualnych kanałów wycieków poufna informacja;
• udział w opracowywaniu programów i metod organizacji bezpieczeństwa informacji w obiekcie;
• monitorowanie przestrzegania przez personel wymagań reżimu bezpieczeństwa informacji;
• udział w przygotowaniu dokumentów organizacyjnych i administracyjnych regulujących prace nad ochroną informacji;
• organizacja obiegu dokumentów, w tym elektronicznego, z uwzględnieniem poufności informacji.

Końcowa praca kwalifikacyjnaspecjalista ds. bezpieczeństwa informacji ma na celu usystematyzowanie i pogłębienie wiedzy, doskonalenie umiejętności i zdolności absolwenta w rozwiązywaniu złożonych, złożonych problemów naukowo-technicznych z elementami badań naukowych, a także wykazanie stopnia przygotowania zawodowego absolwenta i jego zgodności z ten standard edukacyjny. Prace badawczo-rozwojowe na kwalifikację „specjalista ds. bezpieczeństwa informacji” prowadzone są w formie pracy magisterskiej lub projektu dyplomowego. Tematyka kwalifikacji edukacyjnych dla podstawowej formy kształcenia zakłada zgodność z treścią jednego lub większej liczby modułów zawodowych.

Profesjonalny cykl specjalizacji10.02.01(090905) Organizacja i technologia bezpieczeństwa informacjizawiera 4 profesjonalne moduły:

1. Udział w planowaniu i organizacji prac zapewniających ochronę obiektu.
2. Organizacja i technologia pracy z dokumentami poufnymi.
3. Stosowanie oprogramowania, sprzętu i środków technicznych bezpieczeństwa informacji.
4. Wykonywanie pracy w jednym lub większej liczbie zawodów pracowniczych lub na stanowiskach biurowych.

Ostateczna praca kwalifikacyjna musi spełniać szereg obowiązkowych wymagań:

• wykazać poziom rozwoju kompetencji ogólnych i zawodowych;
• być istotne i zorientowane na praktykę;
• zastosować się do opracowanego zadania;
• zawierać analizę źródeł na dany temat wraz z uogólnieniami i wnioskami, porównaniami i oceną różnych punktów widzenia;
• wykazać stopień gotowości absolwenta do podjęcia jednego/kilku rodzajów działalności zawodowej;
• spójność prezentacji, przekonywalność prezentowanego materiału merytorycznego;
• uzasadnione wnioski i uogólnienia.

W końcowej pracy kwalifikacyjnej student musi wykazać się opanowaniem kompetencji ogólnych i zawodowych, w tym umiejętnością:

OK 1. Rozumiesz istotę i znaczenie społeczne swojego przyszłego zawodu, masz wysoką motywację do podejmowania działalności zawodowej w zakresie bezpieczeństwa informacji.

OK 2. Organizuj własne działania, wybieraj standardowe metody i sposoby wykonywania zadań zawodowych, oceniaj ich skuteczność i jakość.

OK 3. Podejmuj decyzje w sytuacjach standardowych i niestandardowych i bierz za nie odpowiedzialność.

OK 4. Wyszukiwać i wykorzystywać informacje niezbędne do efektywnej realizacji zadań zawodowych, rozwoju zawodowego i osobistego.

OK 5.

OK 6. Pracuj w zespole i zespole, skutecznie komunikuj się ze współpracownikami, zarządem i konsumentami.

OK 7. Brać odpowiedzialność za pracę członków zespołu (podwładnych), wynik wykonania zadań.

OK 8. Samodzielnie wyznacza zadania rozwoju zawodowego i osobistego, angażuje się w samokształcenie, świadomie planuje rozwój zawodowy.

OK 9. Poruszać się w warunkach częstych zmian technologii w działalności zawodowej.

OK 10.

OK 11. Stosuj narzędzia matematyczne do rozwiązywania problemów zawodowych.

OK 12. Ocenić znaczenie dokumentów wykorzystywanych w działalności zawodowej.

OK 13. Odnajdź swoje położenie w strukturze federalnych organów wykonawczych zapewniających bezpieczeństwo informacji.

PM 01 Udział w planowaniu i organizacji prac zapewniających ochronę obiektu.

Komputer 1.1. Uczestniczyć w zbieraniu i przetwarzaniu materiałów w celu opracowania rozwiązań zapewniających ochronę informacji i efektywne wykorzystanie środków wykrywania ewentualnych kanałów wycieku informacji poufnych.

Komputer 1.2. Brać udział w opracowywaniu programów i metod organizacji bezpieczeństwa informacji w obiekcie.

Komputer 1.3. Planować i organizować wdrażanie środków bezpieczeństwa informacji.

Komputer 1.4. Uczestniczyć we wdrażaniu opracowanych rozwiązań organizacyjnych w profesjonalnych placówkach.

Komputer 1.5. Prowadzić dokumentację, przetwarzać, przechowywać, przesyłać, wykorzystywać różne nośniki informacji poufnych.

Komputer 1.6. Zapewnienie środków bezpieczeństwa podczas wykonywania czynności organizacyjnych i technicznych.

Komputer 1.7. Uczestniczyć w organizowaniu i przeprowadzaniu kontroli obiektów informatycznych objętych ochroną.

Komputer 1.8. Monitoruj przestrzeganie przez personel wymogów reżimu bezpieczeństwa informacji.

Komputer 1.9. Weź udział w ocenie jakości zabezpieczenia obiektu.

PM 02 Organizacja i technologia pracy z dokumentami poufnymi.

Komputer 2.1. Uczestniczyć w przygotowaniu dokumentów organizacyjnych i administracyjnych regulujących prace nad ochroną informacji.

Komputer 2.2. Weź udział w organizacji i zapewnij technologię prowadzenia dokumentacji, mając na uwadze poufność informacji.

komputer 2.3. Zorganizuj obieg dokumentów, w tym elektroniczny, mając na uwadze poufność informacji.

komputer 2.4. Organizuj archiwalne przechowywanie poufnych dokumentów.

komputer 2.5. Przygotowywanie dokumentacji dotyczącej operacyjnego zarządzania narzędziami i personelem zapewniającym bezpieczeństwo informacji.

komputer 2.6. Prowadź ewidencję prac i obiektów, które mają być chronione.

Komputer 2.7. Przygotowywanie dokumentacji raportowej związanej z funkcjonowaniem narzędzi kontroli i bezpieczeństwa informacji.

komputer 2.8. Dokumentuj postęp i wyniki dochodzenia wewnętrznego.

Komputer 2.9. Korzystaj z regulacyjnych aktów prawnych, dokumentów regulacyjnych i metodologicznych dotyczących ochrony informacji.

PM 03 Stosowanie oprogramowania, sprzętu komputerowego i technicznych środków bezpieczeństwa informacji.

Komputer 3.1. Stosować oprogramowanie, sprzęt i środki techniczne zabezpieczające informacje o chronionych obiektach.

Komputer 3.2. Uczestniczyć w obsłudze systemów i środków ochrony informacji o chronionych obiektach.

Komputer 3.3. Prowadzić rutynowa konserwacja i rejestrować awarie urządzeń ochronnych.

Komputer 3.4. Identyfikować i analizować możliwe zagrożenia bezpieczeństwa informacyjnego obiektów.

PM 04 Wykonywanie pracy w jednym lub większej liczbie zawodów pracowniczych, na stanowiskach pracowniczych.

21299 „Urzędnik”

16199 „Operator informatyki elektronicznej i komputery»

1. WYKONYWANIE PRACY KWALIFIKACYJNEJ ABSOLWENTA

Końcowa praca kwalifikacyjna (FQR) to końcowa praca o charakterze edukacyjno-badawczym w trakcie studiów.Przygotowanie końcowej pracy kwalifikacyjnejjest ostatnim etapem edukacji ucznia i jednocześnie sprawdzianem jego umiejętności samodzielnego rozwiązywania problemów edukacyjnych. Samodzielna praca studenta nad wybranym tematem rozpoczyna się już w trakcie praktyk przeddyplomowych. Jednocześnie następuje dalsze pogłębianie jego wiedzy teoretycznej, jej systematyzacja, rozwój umiejętności stosowanych i praktycznych oraz wzrost erudycji ogólnej i zawodowej.

Praca dyplomowa (praca dyplomowa) ma pewne podobieństwa z pracą kursową, na przykład pracą ze źródłami teoretycznymi lub ich projektem. Jednakże praca dyplomowa (praca dyplomowa) jest teoretycznym i (lub) eksperymentalnym opracowaniem jednego z aktualnych problemów bezpieczeństwa informacji w specjalności absolwenta. Badania mogą obejmować opracowanie różnych metod, metod, oprogramowania i sprzętu, modeli, systemów, technik itp., które służą osiągnięciu celów pracy. Wyniki pracy prezentowane są w formie noty objaśniającej z załączonymi wykresami, tabelami, rysunkami, mapami, diagramami itp.

Przy wykonywaniu prac badawczo-rozwojowych należy wykorzystywać informacje o najnowszych krajowych i zagranicznych osiągnięciach nauki i techniki w zakresie bezpieczeństwa informacji. Okres przygotowania i obrony pracy dyplomowej (pracy dyplomowej) poprzedzony jest praktyką przeddyplomową. Terminy praktyk przeddyplomowych oraz warunki przygotowania i obrony pracy dyplomowej określa harmonogram organizacji procesu dydaktycznego, zatwierdzony zarządzeniem uczelni przed rozpoczęciem bieżącego roku akademickiego. Pracę dyplomową absolwent musi wykonać z wykorzystaniem materiałów zebranych przez niego osobiście w trakcie stażu przeddyplomowego, a także podczas pisania pracy zaliczeniowej.

Tematyka końcowych prac kwalifikacyjnych ustalana jest w trakcie opracowywania Programu Egzaminu Państwowego. Ustalając tematykę WRC należy wziąć pod uwagę, że jej treść może opierać się na:

• na podsumowaniu wyników zajęć zrealizowanych wcześniej przez studentów;
• wykorzystując wyniki wcześniej zrealizowanych zadań praktycznych.

Przydział tematów końcowych prac kwalifikacyjnych studentom jest sformalizowanynie później niż 1 listopadaostatni rok studiów. Jednocześnie studenci są przydzielani opiekunom. Promotor pomaga studentowi w opracowaniu obszarów badawczych, ustaleniu zakresu zagadnień teoretycznych do studiowania oraz opracowaniu części praktycznej studiów. Każdemu liderowi można przypisać nie więcej niż 8 uczniów.

1. STRUKTURA PRACY KWALIFIKACYJNEJ ABSOLWENTÓW

Struktura części teoretycznej pracy kwalifikacyjnej: wstęp, część teoretyczna, część praktyczna, zakończenie, spis literatury, zastosowania.

Objętość pracy dyplomowej wynosi 40-50 stron tekstu drukowanego i obejmuje:

1. Strona tytułowa (załącznik 1).
2. Treść. Zawartość WRC jest tworzona automatycznie w formie linków, co ułatwia pracęduża ilość materiału tekstowego. Korzystanie z elektronicznego spisu treści świadczy również o opanowaniu kompetencji ogólnej OK 5 (Wykorzystywanie technologii informacyjno-komunikacyjnych w działalności zawodowej).
3. Wstęp. Należy uzasadnić trafność i znaczenie praktyczne wybranego tematu, sformułować cel i zadania, przedmiot i przedmiot projektu badawczego oraz zakres rozpatrywanej problematyki.

4. Główna część WRCzawiera sekcje wg struktura logiczna prezentacja. Tytuł sekcji nie powinien powielać tytułu tematu, a tytuł akapitu nie powinien powielać tytułu sekcji.

Główna część wniosku musi zawierać dwie sekcje.

• Sekcja I poświęcony jest teoretycznym aspektom badanego przedmiotu i przedmiotu. Zawiera przegląd wykorzystanych źródeł informacji, ramy regulacyjne dotyczące WRC, a także może zawierać dane statystyczne w formie tabel i wykresów.

Sekcja II poświęcony jest analizie materiału praktycznego zdobytego podczas stażu przemysłowego (przeddyplomowego). Ta sekcja zawiera:

analiza konkretnego materiału na wybrany temat;

• opis zidentyfikowanych problemów i kierunków rozwoju przedmiotu i przedmiotu badań;
• opis sposobów rozwiązywania zidentyfikowanych problemów za pomocą obliczeń, analizy danych eksperymentalnych i produktu działalności twórczej.

Podczas analizy można wykorzystać tabele analityczne, obliczenia, wzory, diagramy, diagramy i wykresy.

5. Wniosek - powinna zawierać wnioski i rekomendacje dotyczące możliwości wykorzystania lub praktycznego zastosowania wyników badań. Nie powinno przekraczać 5 stron tekstu.

6. Referencjesporządzone zgodnie z GOST.

7. Aplikacje znajdują się na końcu pracy i są sporządzone zgodnie z Z

Wprowadzenie, każdy rozdział, zakończenie i lista wykorzystanych źródeł rozpoczynają się na nowej stronie.

Rozdawać.Prezentacji towarzyszy pokaz materiałów z aplikacji.

W tym celu należy przygotować prezentację elektroniczną. Ale może być też prezentacja na papierze – ulotki dla komisji w osobnych teczkach lub plakaty wywieszane przed wystąpieniem.

Podczas wystąpienia studenta komisja zapoznaje się z pracą dyplomową, ulotkami wydanymi przez studenta oraz prezentacją wideo.

Elektroniczna wersja pracydołączone do WRC na papierze. Płytę należy umieścić w kopercie i podpisać.

2.2. ETAPY PRZYGOTOWANIA PRACY KWALIFIKACYJNEJ ABSOLWENTA

Etap I: Zaangażowanie w działania polega na:

• wybór tematu badawczego;
• selekcja, badanie, analiza i synteza materiałów na dany temat;
• opracowanie planu pracy.

Etap II: Określenie poziomu pracy wiąże się z teoretycznym przestudiowaniem literatury i sformułowaniem problemu.

Etap III: Budowa logiki badań. Dane z tego etapu znajdują odzwierciedlenie we wstępie.

Wstęp można porównać do streszczenia do książki: omawia teoretyczne podstawy dyplomu, omawia jego strukturę, etapy i metody pracy. Dlatego wstęp powinien być napisany możliwie kompetentnie i krótko (2-3 strony). Wprowadzenie powinno przygotować czytelnika do zrozumienia głównego tekstu dzieła. Składa się z obowiązkowych elementów, które należy poprawnie sformułować.

1. Znaczenie badań- wyjaśnienie, dlaczego Twój temat jest ważny i na kogo jest zapotrzebowanie. (Odpowiada na pytanie: po co to badać?) W tym miejscu należy ujawnić istotę badanego problemu. Logiczne jest rozpoczęcie tego punktu wprowadzenia od zdefiniowania zjawiska ekonomicznego, wobec którego ukierunkowana jest działalność badawcza. Tutaj możesz wymienić źródła informacji wykorzystane w badaniach. ( Baza informacyjna badania można zaliczyć do rozdziału pierwszego). Musisz jednak zrozumieć, że istnieją pewne obiektywne trudności, które można rozwiązać pisząc pracę dyplomową. Te trudności, czyli wady istniejące z zewnątrz, odzwierciedlają problem z dyplomem.
2. Problem badawczy(odpowiada na pytanie: co należy badać?) Problem badawczy wskazuje na komplikację, nierozwiązany problem lub czynniki utrudniające jego rozwiązanie. Zdefiniowane przez 1 - 2 terminy. (Przykładproblemy badawcze: „...sprzeczność pomiędzy potrzebą organizacji niezawodna ochrona informacji i faktyczną organizację pracy w celu zapewnienia bezpieczeństwa informacji w organizacji”).

3. Cel badania- to właśnie powinieneś ostatecznie otrzymać, czyli ostateczny wynik dyplomu. (Cel zakłada odpowiedź na pytanie: jaki wynik zostanie uzyskany?) Celem powinno być rozwiązanie badanego problemu poprzez jego analizę i praktyczne wdrożenie. Cel jest zawsze skierowany na przedmiot. Na przykład:

• Opracuj projekt (rekomendacje)...
• Określ warunki, relacje...
• Określić zależność czegoś od czegoś...

4. Przedmiot badań(co będzie badane?). Polega na pracy z koncepcjami. W tym paragrafie zdefiniowano zjawisko gospodarcze, którego celem jest działalność badawcza. Przedmiotem może być osoba, środowisko, proces, struktura, działalność gospodarcza przedsiębiorstwa (organizacji).

1. Przedmiot badań(jak i przez co będą przebiegać poszukiwania?) Należy tu określić konkretne właściwości obiektu planowanego do badań lub metody badania zjawiska gospodarczego. Tematyka badań nakierowana jest na praktykę i znajduje odzwierciedlenie w wynikach stażu.

6. Cele badawcze- to kroki do osiągnięcia Twoich celów (pokaż jak dojść do wyniku?), sposoby osiągnięcia celu. Odpowiadają one hipotezie. Ustalane na podstawie celów pracy. Formułowanie problemów musi być wykonane możliwie najdokładniej, gdyż opis ich rozwiązania powinien stanowić treść podrozdziałów i punktów pracy. Z reguły formułuje się 3-4 zadania.

Każde zadanie musi zaczynać się od czasownika bezokolicznika. Zadania opisywane są poprzez system sekwencyjnych działań, Na przykład:

• analizować...;
• badanie...;

• badania...;
• ujawnić...;
• definiować...;
• rozwijać...

Z reguły w pracy dyplomowej (pracy dyplomowej) wyróżnia się 5-7 zadań.

Każde zadanie powinno znaleźć odzwierciedlenie w jednym z podrozdziałów części teoretycznej lub praktycznej. Zadania powinny znaleźć odzwierciedlenie w spisie treści. Jeśli zadanie jest podane we wstępie, a nie jest widoczne w spisie treści i w tekście pracy, jest to poważny błąd.

Lista wymaganych zadań:

1. „Na podstawie teoretycznej analizy literatury opracuj…” (pojęcia kluczowe, pojęcia podstawowe).
2. „Określ…” (podkreśl główne warunki, czynniki, przyczyny wpływające na przedmiot badań).
3. „Rozwiń…” (podkreśl główne uwarunkowania, czynniki, przyczyny wpływające na przedmiot badania).
4. „Rozwijaj…” (środki, warunki, formy, programy).
5. „Testuj (to, co opracowaliśmy) i przedstawiaj rekomendacje…

8. Teoretyczne i praktyczne znaczenie badania:
„Wyniki badania pozwolą nam wdrożyć…; przyczyni się

rozwój...; pozwoli nam udoskonalić... Obecność sformułowanych kierunków realizacji uzyskanych wniosków i propozycji nadaje pracy duże znaczenie praktyczne. Nie jest to obowiązkowe.

9. Metody badawcze:Podano krótką listę.Metodologia Badań– takimi metodami kierował się student w procesie pisania dyplomu. Metody badawcze obejmują: metody teoretyczne (metody analizy, syntezy, porównania) i metody empiryczne (obserwacja, metoda ankietowa, eksperyment).

1. Baza badawcza- to nazwa przedsiębiorstwa, organizacji, na podstawie której przeprowadzono badanie. Najczęściej bazą badawczą jest praktyka przeddyplomowa studenta.

Ostatnią frazą wstępu jest opis struktury i liczby stron pracy: „Struktura pracy odpowiada logice opracowania i obejmuje wstęp, część teoretyczną, część praktyczną, zakończenie, lista referencji i aplikacji.” W tym miejscu można podać bardziej szczegółową strukturę WRC i pokrótce przedstawić zawartość rozdziałów.

Zatem wstęp powinien przygotować czytelnika do odbioru głównego tekstu dzieła.

Etap IV: prace nad główną częścią WRC.

Główna część pracy powinna zawierać sekcje, podrozdziały i akapity, które na podstawie analizy opublikowanej literatury nakreślą teoretyczne i praktyczne aspekty tematu, omówią kwestie kontrowersyjne oraz sformułowają stanowisko i punkt widzenia autora; opisuje przeprowadzone przez studenta obserwacje i eksperymenty, metodologię badań, obliczenia, analizę danych eksperymentalnych i uzyskane wyniki. Dzieląc tekst na podrozdziały i akapity, konieczne jest, aby każdy akapit zawierał kompletną informację.

Część teoretyczna polega na analizie przedmiotu badań i powinna zawierać kluczowe pojęcia, historię zagadnienia, poziom rozwoju problemu w teorii i praktyce. Aby kompetentnie napisać część teoretyczną, konieczne jest przestudiowanie wystarczająco dużej liczby źródeł naukowych, naukowo-metodologicznych i innych na ten tematdyplom Z reguły - nie mniej niż 10.

Sekcja 1 powinna być poświęcona opisowi przedmiotu badań, Sekcja 2 - opis przedmiotu badań stanowi główną część pracy badawczej i powinna być ze sobą logicznie powiązana.

Główna część WRC powinna zawierać tabele, diagramy, wykresy z odpowiednimi linkami i komentarzami. Sekcje powinny mieć nagłówki odzwierciedlające ich treść. W takim przypadku nagłówki rozdziałów nie powinny powtarzać tytułu pracy. Rozważmy bardziej szczegółowo zawartość każdej sekcji WRC.

Sekcja 1 ma charakter teoretyczny, edukacyjny i poświęcony jest opisowi podstawowych zasad teoretycznych, metod, metod, podejść oraz sprzętu i oprogramowania wykorzystywanego do rozwiązania problemu lub zadań do niego podobnych. Niniejsza sekcja zawiera jedynie to, co jest niezbędne jako wstępna podstawa teoretyczna do zrozumienia charakteru prowadzonych prac badawczo-rozwojowych, opisanych w kolejnych sekcjach. Przedstawiane są zagadnienia teoretyczne: metody, metody, algorytmy rozwiązywania problemu, analizowane są przepływy informacji itp. Ostatnia z głównych sekcji zawiera zazwyczaj opis wyników eksperymentów z proponowanymi (opracowanymi) metodami, metodami, sprzętem, oprogramowaniem i systemami, przeprowadzonych analiza porównawcza uzyskane wyniki. Na szczególną uwagę zasługuje omówienie wyników uzyskanych w WRC i ich ilustracja. Przy prezentowaniu treści publikacji innych autorów jest to konieczne Koniecznie podać linki do nich, podając numery stron źródła informacji. W pierwszej części zaleca się analizę stan aktulany problemów oraz identyfikować trendy w rozwoju badanego procesu. W tym celu wykorzystywane są aktualne dokumenty regulacyjne, oficjalne statystyki, materiały z recenzji analitycznych i artykuły z czasopism. Konsekwencjaanaliza przepisów powinna zawierać wnioski dotyczące ich wpływu na badany problem oraz zalecenia dotyczące ich udoskonalenia. Przygotowując materiał statystyczny w tekście pracy w obowiązkowy W kolejności znajdują się odniesienia do źródła danych.

W pierwszej części warto zwrócić uwagę na historię (etapy) rozwoju badanego procesu oraz analizę doświadczeń zagranicznych w jego organizacji. Wynikiem analizy praktyki zagranicznej powinno być porównanie badanego procesu z praktyką krajową i rekomendacje dotyczące możliwości jego zastosowania w Rosji.

W tej części należy także przedstawić analizę porównawczą istniejących podejść i metod rozwiązania problemu. Należy uzasadnić wybór metody rozwiązania badanego problemu i szczegółowo go przedstawić. Możesz także zaproponować własną metodę.

W procesie studiowania źródeł teoretycznych należy podkreślić i zaznaczyć tekst istotny dla tej części dyplomu. Te fragmenty tekstu można umieścić w badaniach swojej pracy dyplomowej jako cytat, jako ilustrację do analizy i porównania. Część teoretyczna pracy nie może obejmować całych części i rozdziałów z podręczników, książek i artykułów.

Każda praca musi zawierać teoretyczne, metodologiczne i praktyczne aspekty badanego problemu.

Sekcja 2 musi mieć charakter czysto stosowany. Należy ilościowo opisać konkretny przedmiot badań, podać wyniki praktycznych obliczeń i wskazówki dotyczące ich wykorzystania, a także sformułować kierunki doskonalenia działań w zakresie organizacji i technologii bezpieczeństwa informacji. Do napisania drugiej części z reguły wykorzystuje się materiały zebrane przez studenta podczas zajęć praktycznych. Ta część WRC zawiera opis praktycznych wyników badań. Potrafi opisać eksperyment i metody jego przeprowadzenia, uzyskane wyniki oraz możliwości wykorzystania wyników badań w praktyce.

Przybliżona struktura części praktycznej pracy

Tytuł części praktycznej z reguły formułuje problem badawczy na przykładzie konkretnej organizacji.

1. Cel badania– podano w zdaniu pierwszym.

Charakterystyka techniczna i ekonomiczna przedsiębiorstwa,na podstawie których przeprowadza się badania (status przedsiębiorstwa, cechy morfologiczne organizacji, struktura organizacyjna i zarządcza, cechy procesu technologicznego itp.).

1. Metody badawcze.
2. Postęp badania.Po sformułowaniu nazwy każdej metody podany jest jej cel jego zastosowania i podany jest opis. Następnie ujawnia się zastosowanie metody badawczej w konkretnej organizacji. Wszystkie materiały dotyczące stosowania metod badawczych (formularze ankiet, dokumenty wewnętrzne zapewniające ochronę danych organizacji/przedsiębiorstwa) znajdują się w załącznikach. Uzyskane wyniki są analizowane i wyciągane wnioski. Aby uzyskać dokładniejsze wyniki, użyj nie jednego, alekilka metod badawczych.
3. Wnioski ogólne. Na koniec badania wyciągane są ogólne wyniki (wnioski) na cały temat. Zastosowana metodologia powinna potwierdzić lub obalić postawioną hipotezę badawczą. W przypadku odrzucenia hipotezy podawane są rekomendacje dotyczące możliwego udoskonalenia działań organizacyjnych i technologii ochrony danych organizacji/przedsiębiorstwa w świetle badanego problemu.
4. W areszcie Należy przedstawić krótką listę wyników uzyskanych w pracy. Głównym celem zakończenia jest podsumowanie treści pracy, podsumowanie wyników przeprowadzonych badań. W podsumowaniu przedstawiono uzyskane wnioski, dokonano analizy ich związku z celem pracy oraz konkretnymi zadaniami postawionymi i sformułowanymi we wstępie,stanowi podstawę protokołu obrony studenta i nie powinna przekraczać 5 stron tekstu.

3. OGÓLNE ZASADY REJESTRACJI PRACY KWALIFIKACYJNEJ ABSOLWENTA

3.1 PROJEKT MATERIAŁU TEKSTOWEGO

Część tekstową pracy należy wykonać w wersji komputerowej na papierze formatu A 4 jednostronnie. Czcionka – Times New Roman, wielkość czcionki – 14, styl – regularny, odstęp półtora, wyjustowany. Strony muszą mieć marginesy (zalecane): dolny - 2; góra - 2; lewy - 2; po prawej - 1. Objętość wniosku powinna wynosić 40-50 stron. Zaleca się następujący udział głównych wymienionych elementów w całkowitej objętości końcowej pracy kwalifikacyjnej: wprowadzenie - do 10%; odcinki części głównej – 80%; konkluzja – do 10%.

Cały tekst WRC musi zostać podzielony na części składowe. Tekst podzielony jest na sekcje i podrozdziały. W treści pracy nie powinna występować zbieżność brzmienia tytułu jednego z elementów z tytułem samego dzieła, a także zbieżność nazw działów i podrozdziałów. Nazwy sekcji i podrozdziałów powinny odzwierciedlać ich główną treść i zdradzać tematykę WRC.

Sekcje i podrozdziały muszą mieć nagłówki. Z reguły akapity nie mają nagłówków. Nagłówki rozdziałów, podrozdziałów i akapitów należy drukować z wcięciem akapitu 1,25 cm, z wielką literą bez kropki na końcu, bez podkreślenia, czcionką nr 14 „Times New Roman”. Jeśli tytuł składa się z dwóch zdań, oddziela się je kropką. Nagłówki powinny jasno i zwięźle odzwierciedlać treść sekcji i podrozdziałów.

Dzieląc VKR na sekcje zgodnie z GOST 2.105-95, oznaczenie wykonuje się numerami seryjnymi - cyframi arabskimi bez kropki. W razie potrzeby podrozdziały można podzielić na akapity. Numer pozycji musi składać się z numerów sekcji, podsekcji i pozycji oddzielonych kropkami. Na końcu numeru sekcji (podsekcji) lub akapitu (akapitu) nie ma kropki. Każda sekcja musi rozpoczynać się na nowym arkuszu (stronie).

Jeśli sekcja lub podrozdział składa się z jednego akapitu, nie należy go numerować. Punkty w razie potrzeby można podzielić na podpunkty, które w obrębie każdego punktu należy ponumerować, np.:

1 Rodzaje i główne rozmiary

Wykazy mogą być zamieszczane w ramach klauzul lub podrozdziałów. Każdy wpis musi być poprzedzony łącznikiem lub małą literą, po której następuje nawias. W celu uzyskania dalszych szczegółów przelewów konieczne jest użycie cyfr arabskich, po których następuje nawias.

Przykład:

A)_____________

B)_____________

1) ________

2) ________

V) ____________

Numeracja stron tekstu głównego i załączników powinna być ciągła. Numer strony umieszcza się na środku dolnej krawędzi arkusza, bez kropki. Strona tytułowa jest uwzględniana w ogólnej numeracji stron WRC. Na stronie tytułowej i w treści nie jest podany numer strony.

W pracy dyplomowej należy posługiwać się terminami naukowymi i specjalistycznymi, oznaczeniami i definicjami ustalonymi w odpowiednich normach, a w przypadku ich braku – ogólnie przyjętymi w literaturze specjalistycznej i naukowej. W przypadku przyjęcia określonej terminologii, wykaz literatury powinien być poprzedzony wykazem przyjętych terminów wraz z odpowiednimi objaśnieniami. Wykaz znajduje się w treści pracy.

3.2 PROJEKTOWANIE ILUSTRACJI

Wszystkie ilustracje umieszczone w końcowej pracy kwalifikacyjnej muszą być starannie dobrane, przejrzyste i precyzyjnie wykonane. Ryciny i diagramy powinny być bezpośrednio powiązane z tekstem, bez zbędnych obrazów i danych, które nie są nigdzie wyjaśnione. Liczba ilustracji w WRC powinna być wystarczająca do wyjaśnienia prezentowanego tekstu.

Ilustracje należy umieszczać bezpośrednio po tekście, w którym po raz pierwszy jest o nich mowa, lub na następnej stronie.

Ilustracje umieszczone w tekście należy numerować cyframi arabskimi, Na przykład:

Rysunek 1, Rysunek 2

Dopuszczalne jest numerowanie ilustracji w obrębie działu (rozdziału). W tym przypadku numer ilustracji musi składać się z numeru sekcji (rozdziału) oraz numeru seryjnego ilustracji oddzielonych kropką.

Ilustracje, jeśli to konieczne, mogą mieć nazwę i dane objaśniające (tekst pod rysunkiem).

Słowo „Rysunek” i nazwę umieszcza się po danych objaśniających, w środku wiersza, np.:

Rysunek 1 – Trasa dokumentu

3. 3 OGÓLNE ZASADY PREZENTACJI WZORÓW

We wzorach i równaniach symbole, obrazy lub znaki muszą odpowiadać oznaczeniom przyjętym w obowiązujących normach państwowych. W tekście przed oznaczeniem parametru podane jest wyjaśnienie, np.:Tymczasowa wytrzymałość na rozciąganie.

Jeśli to konieczne, użyj symbolika, obrazy lub znaki nieuregulowane obowiązującymi normami, należy je wyjaśnić w tekście lub w wykazie symboli.

Wzory i równania są oddzielone od tekstu w osobnej linii. Nad i pod każdym wzorem lub równaniem należy pozostawić co najmniej jedną wolną linię.

Bezpośrednio pod wzorem należy podać znaczenie symboli i współczynników liczbowych w tej samej kolejności, w jakiej są one podane we wzorze.

Wzory należy numerować sekwencyjnie w całej pracy, stosując cyfry arabskie w nawiasach skrajnych po prawej stronie na poziomie formuły.

Na przykład:

Jeśli organizacja modernizuje istniejący system, to przy obliczaniu efektywności uwzględnia się bieżące koszty jego funkcjonowania:

mi r = (P1-P2)+ΔP p , (3.2)

gdzie P1 i P2 to odpowiednio koszty operacyjne przed i po wdrożeniu opracowanego programu;

ΔР str - oszczędności wynikające ze zwiększonej produktywności dodatkowych użytkowników.

Wzory i równania mogą być numerowane w obrębie każdej sekcji za pomocą podwójnych liczb oddzielonych kropką, wskazując numer sekcji i numer porządkowy wzoru lub równania, na przykład: (2.3), (3.12) itp.

Przenoszenie części wzorów do innego wiersza jest dozwolone po znakach równości, mnożenia, dodawania, odejmowania i ilorazu (>;), a znak na początku następnego wiersza jest powtarzany. Kolejność prezentacji równań matematycznych jest taka sama jak we wzorach.

Wartości liczbowe wielkości z zapisem jednostek wielkości fizyczne i jednostki liczące należy pisać cyframi, a liczby bez oznaczania jednostek wielkości fizycznych i jednostek liczących od jednego do dziewięciu - słownie, na przykład:przetestować pięć rur o długości 5 m każda.

Przy podawaniu największych lub najmniejszych wartości wielkości należy zastosować sformułowanie „nie powinno być więcej (nie mniej)”.

3.4 PROJEKT TABELI

Dla większej przejrzystości i łatwości porównywania wskaźników stosuje się tabele. Tytuł tabeli, jeśli jest dostępny, powinien odzwierciedlać jej treść, być dokładny i zwięzły. Tytuł tabeli należy umieścić nad tabelą po lewej stronie, bez wcięcia, w jednej linii, a jej numer oddzielić myślnikiem.

Podczas przenoszenia części tabeli tytuł umieszczany jest wyłącznie nad pierwszą częścią tabeli, dolna pozioma linia ograniczająca tabelę nie jest rysowana.

Tablicę należy umieścić bezpośrednio po tekście, w którym jest ona wspomniana po raz pierwszy, lub na następnej stronie.

Tabelę zawierającą dużą liczbę wierszy można przenieść na inny arkusz (stronę). Przy przenoszeniu części tabeli na inny arkusz, jednorazowo po prawej stronie nad pierwszą częścią tabeli widnieje słowo „Tabela” i jej numer, nad pozostałymi częściami wpisuje się słowo „Kontynuacja” i podaje numer tabeli, na przykład: „Kontynuacja tabeli 1”. Podczas przenoszenia tabeli na inny arkusz nagłówek umieszcza się tylko nad jej pierwszą częścią.

Jeżeli w żadnym wierszu tabeli nie podano danych cyfrowych lub innych, wówczas umieszcza się w nim myślnik.

Przykładowy projekt stołu:

Tabele w obrębie całej noty objaśniającej numerowane są cyframi arabskimi w sposób ciągły, przed którymi wpisany jest wyraz „Tabela”.. Dopuszczalne jest numerowanie tabel w ramach sekcji. W tym przypadku numer tabeli składa się z numeru sekcji i numeru porządkowego tabeli oddzielonych kropką „Tabela 1.2”.

Tabele poszczególnych wniosków oznaczono odrębną numeracją cyframi arabskimi z dodaniem oznaczenia wniosku przed numerem.

Nagłówki kolumn i wierszy tabeli należy pisać wielką literą w liczbie pojedynczej, a podtytuły kolumn małą literą, jeśli tworzą z nagłówkiem jedno zdanie, lub dużą literą, jeśli mają samodzielne znaczenie. Na końcu nagłówków i podtytułów tabel nie stosuje się kropek.

Dopuszczalne jest użycie w tabeli rozmiaru czcionki mniejszego niż w tekście.

Nagłówki kolumn zapisuje się równolegle lub prostopadle do wierszy tabeli. W kolumnach tabeli nie wolno rysować linii ukośnych, których pionowe nagłówki rozdziałów umieszczone są po obu stronach przekątnej.

1. 5 PROJEKT WYKAZU REFERENCJI

Spis literatury sporządzany jest z uwzględnieniem zasad bibliografii(Załącznik 5). Spis wykorzystanej literatury musi zawierać co najmniej 20 źródeł (co najmniej 10 książek i 10-15 czasopism), z którymi współpracował autor pracy. Literatura na liście jest ułożona według sekcji w następującej kolejności:

• Ustawy federalne (w kolejności od ostatniego roku przyjęcia do poprzednich);
• dekrety Prezydenta Federacji Rosyjskiej (w tej samej kolejności);
• uchwały Rządu Federacji Rosyjskiej (w tej samej kolejności)
• inne regulacyjne akty prawne;
• inne materiały urzędowe (uchwały i zalecenia organizacji i konferencji międzynarodowych, raporty oficjalne, raporty oficjalne itp.)
• monografie, podręczniki, pomoce dydaktyczne (w kolejności alfabetycznej);
• literatura zagraniczna;
• Zasoby internetowe.

Źródła w poszczególnych działach ułożone są w kolejności alfabetycznej. Dla całego wykazu powołań stosowana jest numeracja ciągła.

Odnosząc się w tekście noty objaśniającej do literatury, należy w nawiasie kwadratowym wpisać nie tytuł książki (artykułu), ale przypisany jej numer seryjny w indeksie „Spis literatury”. Odniesienia do literatury numeruje się w kolejności ich pojawiania się w tekście WRC. Stosuje się numerację ciągłą lub numerację według sekcji (rozdziałów).

Procedura wyboru literatury przedmiotu prac badawczo-rozwojowych i sporządzenia wykazu literatury wykorzystanej

W wykaz wykorzystanej literatury uwzględnia źródła, z których student korzystał w procesie przygotowywania pracy dyplomowej, w tym także te, do których się odwołuje.

Napisanie pracy dyplomowej poprzedzone jest pogłębionym przestudiowaniem źródeł literackich na temat dzieła. W tym celu należy najpierw skontaktować się z biblioteką uczelni. Z pomocą studentowi przychodzi aparat dydaktyczno-wyszukiwawczy biblioteki, którego główną część stanowią katalogi i indeksy kartkowe.

Katalog to spis dokumentacyjnych źródeł informacji (książek) dostępnych w zbiorach bibliotecznych.

Jeżeli student zna dokładnie tytuły potrzebnych książek lub chociaż nazwiska ich autorów, konieczne jest skorzystanie z katalogu alfabetycznego.

W przypadku konieczności sprawdzenia, jakie książki o konkretnym zagadnieniu (temacie) są dostępne w danej bibliotece, student musi także zapoznać się z katalogiem systematycznym.

Katalog systematyczny ukazuje zbiory biblioteczne według zawartości. Dla ułatwienia korzystania z katalogu systematycznego zastosowano alfabetyczny indeks przedmiotowy (ASU). W wymienionych katalogach student może znaleźć jedynie tytuły książek, natomiast do napisania pracy dyplomowej potrzebuje także materiałów publikowanych w czasopismach, gazetach i różnorodnych zbiorach. W tym celu biblioteki organizują zbiory bibliograficzne, w których umieszczane są opisy artykułów z czasopism i gazet oraz materiałów ze zbiorów.

Pisząc pracę naukową, student szeroko korzysta z literatury przedmiotu, aby wyjaśnić i wyjaśnić różne opcje, fakty, koncepcje i terminy. Literatura referencyjna obejmuje różne encyklopedie, słowniki, podręczniki i zbiory statystyczne.

Rejestracja odnośników bibliograficznych

Pisząc pracę dyplomową, student często musi odwoływać się do prac różnych autorów i posługiwać się materiałem statystycznym. W takim przypadku konieczne jest podanie linku do tego lub innego źródła.

Oprócz przestrzegania podstawowych zasad cytowania (nie można wyrywać z tekstu fraz, zniekształcać go dowolnymi skrótami, cytaty należy ująć w cudzysłów itp.), należy zwrócić także uwagę na dokładne wskazanie źródeł cytaty.

1. W przypisylinki (przypisy) umieszczane są na dole strony, na której znajduje się cytowany materiał. W tym celu na końcu oferty umieszcza się liczbę, która wskazuje numer seryjny oferty na tej stronie. Na dole strony, pod linią oddzielającą przypis (link) od tekstu, powtarza się ten numer, po którym następuje nazwa książki, z której pochodzi cytat, z obowiązkowym podaniem numeru cytowana strona. Na przykład:

„Shipunov M.Z. Podstawy działań zarządczych. - M.: INFRA - M, 2012, s. 39.

1. Linki w tekściestosuje się w przypadkach, gdy informacja o analizowanym źródle stanowi organiczną część tekstu głównego. Są wygodne, bo nie odrywają uwagi od tekstu. Opis w takich linkach zaczyna się od inicjałów i nazwiska autora, tytuł książki lub artykułu podany jest w cudzysłowie, a dane wyjściowe podane są w nawiasach.
2. Poza linkami tekstowymi- są to wskazania źródeł cytatów z odniesieniem do numerowanego spisu piśmiennictwa zamieszczonego na końcu pracy. Odniesienie do źródła literackiego następuje na końcu wyrażenia poprzez umieszczenie w nawiasie prostym numeru seryjnego użytego dokumentu, wskazując stronę.

Na przykład: „Obecnie głównym dokumentem regulującym prywatyzację majątku państwowego i komunalnego na terytorium Federacji Rosyjskiej jest ustawa „O prywatyzacji majątku państwowego i komunalnego” z dnia 21 grudnia 2001 r. Nr 178-FZ (z późn. w dniu 31 grudnia 2005 r., z późn. zm. 01.05.2006 r.).

Na koniec pracy (na osobnej stronie) należy podać lista alfabetyczna faktycznie wykorzystaną literaturę.

3.6 PROJEKTOWANIE APLIKACJI

Aplikacje są wydawane w razie potrzeby. Zgłoszenia do pracy mogą zawierać dodatkowe materiały referencyjne o wartości pomocniczej, np.: kopie dokumentów, wyciągi z materiałów sprawozdawczych, dane statystyczne, diagramy, tabele, wykresy, programy, regulaminy itp.

W załącznikach znajdują się także materiały, w których można określić część praktyczną lub teoretyczną dyplomu. Przykładowo aplikacja może zawierać: teksty ankiet, kwestionariuszy i innych metod, które zostały wykorzystane w procesie badawczym, przykłady odpowiedzi respondentów, materiały fotograficzne, wykresy i tabele niezwiązane z wnioskami teoretycznymi zawartymi w pracy.

Wszystkie wnioski muszą być wymienione w tekście głównym.

Na przykład: Jednostki pochodne układu SI (Załączniki 1, 2, 5).

Aplikacje ułożone są w ciąg odnośników do nich w tekście. Każdy wniosek musi zaczynać się na nowej kartce (stronie) od słów Wniosek w prawym górnym rogu strony.i jego oznaczenia cyframi arabskimi, z wyłączeniem cyfry 0.

4. OBRONA PRACY ABSOLWENTA

4.1 MONITOROWANIE GOTOWOŚCI SCR

Każdemu studentowi przydzielany jest recenzent końcowej pracy kwalifikacyjnej spośród specjalistów zewnętrznych, dobrze orientujących się w tematyce związanej z tą tematyką.

Na zatwierdzone tematy opracowują opiekunowie naukowi końcowych prac kwalifikacyjnychzadania indywidualnew przypadku studentów rozpatrywanych przez KIG „Technologie Informacyjne” podpisuje opiekun naukowy i przewodniczący KIG.

Zadania do końcowych prac kwalifikacyjnych zatwierdza Zastępca Dyrektora ds. Naukowych i wydawane są studentom nie później niż na dwa tygodnie przed rozpoczęciem praktyk przeddyplomowych.

W zatwierdzonych tematach opiekunowie naukowi ustalają indywidualne harmonogramy konsultacji,zgodnie z którą kontrolowany jest proces realizacji końcowych prac kwalifikacyjnych.

Monitorowanie stopnia gotowości WRC odbywa się według następującego harmonogramu:

Tabela 3

Po zakończeniu przygotowania pracy kierownik sprawdza jakość pracy, podpisuje ją i wraz z zadaniem i pisemną opinią przekazuje ją zastępcy kierownika w obszarze działania.

W celu określenia stopnia gotowości końcowej pracy kwalifikacyjnej oraz zidentyfikowania istniejących braków, nauczyciele przedmiotów specjalnych przeprowadzają obronę wstępną w ostatnim tygodniu przygotowań do Egzaminu Państwowego. Wyniki wstępnego zabezpieczenia są rejestrowane.

4.2 WYMOGI OCHRONY SCR

Obrona końcowej pracy kwalifikacyjnej odbywa się na otwartym posiedzeniu Państwowej Komisji Certyfikacyjnej dla specjalności, która jest utworzona na podstawie Regulaminu w sprawie końcowej certyfikacji państwowej absolwentów instytucji edukacyjnych średniego kształcenia zawodowego w Federacji Rosyjskiej (Uchwała Państwowego Komitetu Szkolnictwa Wyższego Rosji z dnia 27 grudnia 1995 r. nr 10).

Podczas obrony na VRC nakładane są następujące wymagania:

• głębokie studium teoretyczne badanej problematyki w oparciu o analizę literatury;
• umiejętne usystematyzowanie danych cyfrowych w postaci tabel i wykresów wraz z niezbędną analizą, uogólnieniem i identyfikacją trendów rozwojowych;
• krytyczne podejście do badanych materiałów faktycznych w celu znalezienia obszarów wymagających ulepszenia działań;
• uzasadnione wnioski, ważność propozycji i zaleceń;

• logicznie spójna i niezależna prezentacja materiału;
• projektowanie materiału zgodnie z ustalonymi wymaganiami;

• Obowiązkowa jest recenzja pracy przez promotora oraz recenzję przez pracownika praktycznego reprezentującego organizację zewnętrzną.

Przygotowując streszczenia, należy wziąć pod uwagę przybliżony czas prezentacji na obronie, który wynosi 8-10 minut.Wskazane jest zbudowanie raportunie poprzez przedstawienie treści pracy w rozdziałach, ale według zadania, - odkrywając logikę uzyskiwania znaczących wyników. Protokół musi zawierać powołanie się na materiał ilustracyjny, który zostanie wykorzystany podczas obrony pracy. Objętość raportu powinna wynosić 7-8 stron tekstu w formacie Word, wielkość czcionki 14, z półtora odstępem.

Tabela 4

Aby móc wypowiadać się w obronie, studenci muszą samodzielnie przygotować i uzgodnić z promotorem streszczenia protokołu oraz materiały ilustracyjne.

Ilustracje powinny odzwierciedlać główne wyniki osiągnięte w pracy i być spójne z tezami raportu.

Formy prezentacji materiału ilustracyjnego:

1. Materiały drukowane dla każdego członka Państwowej Komisji Egzaminacyjnej(według uznania opiekuna naukowego projektu badawczo-rozwojowego). Materiały drukowane dla członków NSA mogą obejmować:

• dane empiryczne;
• wyciągi z dokumentów regulacyjnych, na podstawie których przeprowadzono badanie;

• wyciągi z życzeń pracodawców sformułowanych w umowach;

• inne dane nieujęte w prezentacji slajdów, a potwierdzające poprawność obliczeń.

1. Slajd - prezentacje(do demonstracji na projektorze).

Dołączenie do prezentacji wyników pracy materiałów prezentacyjnych jest warunkiem koniecznym obrony pracy.

Promotor sporządza recenzję z końcowej pracy kwalifikacyjnej wykonanej przez studenta.

Obrona końcowych prac kwalifikacyjnych odbywa się na otwartym posiedzeniu Państwowej Komisji Atestacyjnej w specjalnie wyznaczonej sali, wyposażonej w niezbędny sprzęt do pokazowych prezentacji. Na obronę pracy kwalifikacyjnej przypada maksymalnie 20 minut. Obrona obejmuje referat studenta (nie dłuższy niż 10 minut), zapoznanie się z recenzją i recenzją, pytania członków komisji oraz odpowiedzi studenta. Odbywa się wystąpienie kierownika końcowej pracy kwalifikacyjnej oraz recenzenta, jeżeli jest on obecny na posiedzeniu Państwowej Komisji Egzaminacyjnej.

Decyzje Państwowego Komitetu Wykonawczego zapadają na posiedzeniach niejawnych zwykłą większością głosów członków komisji uczestniczących w posiedzeniu. W przypadku równej liczby głosów decyduje głos przewodniczącego. Wyniki ogłaszane są studentom w dniu obrony pracy dyplomowej.

4.3 KRYTERIA OCENY WRC

Obrona końcowej pracy kwalifikacyjnej kończy się wystawieniem ocen.

Ocena „Doskonała”. przyznawany za pracę dyplomową, jeżeli praca ma charakter badawczy, posiada dobrze przedstawiony rozdział teoretyczny, głęboką analizę teoretyczną, krytyczny przegląd praktyki, logiczne, spójne przedstawienie materiału wraz z właściwymi wnioskami i rozsądnymi propozycjami; posiada pozytywne recenzje od promotora i recenzenta.

Broniąc pracy dyplomowej z „doskonałością” student-absolwent wykazuje się głęboką znajomością tematu, swobodnie operuje danymi badawczymi, formułuje świadome propozycje, a w trakcie sporządzania raportu korzysta z pomocy wizualnych (prezentacja Power Point, tabele, diagramy, wykresy itp.). ) lub materiały informacyjne, z łatwością odpowiada na zadawane pytania.

Ocena „Dobra” Praca dyplomowa zostaje przyznana, jeśli praca ma charakter badawczy, posiada dobrze przedstawiony rozdział teoretyczny, przedstawia odpowiednio szczegółową analizę i krytyczną analizę działań praktycznych, konsekwentną prezentację materiału wraz z odpowiednimi wnioskami, ale propozycje studenta nie są wystarczająco uzasadnione. VKR ma pozytywne opinie opiekun naukowy i recenzent. Broniąc się, student-absolwent wykazuje się znajomością problematyki tematu, operuje danymi badawczymi, formułuje propozycje dotyczące tematu badań, a w trakcie sporządzania sprawozdania korzysta z pomocy wizualnych (prezentacja Power Point, tabele, diagramy, wykresy itp.). czy ulotkach, bez większych trudności odpowiada na zadawane pytania.

Stopień „Zadowalająco”Otrzymuje się ją za pracę dyplomową, jeżeli praca ma charakter badawczy, zawiera rozdział teoretyczny, opiera się na materiale praktycznym, ale zawiera powierzchowną analizę i niewystarczającą analizę krytyczną, występuje niespójność w przedstawieniu materiału oraz propozycje bezpodstawne. są prezentowane. Recenzje recenzentów zawierają uwagi dotyczące treści pracy i metodologii analizy. Broniąc takiej pracy magisterskiej student-absolwent wykazuje się niepewnością, słabą znajomością zagadnień z danego tematu i nie zawsze udziela wyczerpujących, uzasadnionych odpowiedzi na zadawane pytania.

Stopień "Niedostateczny"Praca dyplomowa zostaje wyróżniona, jeśli nie ma charakteru badawczego, nie zawiera analizy i nie spełnia wymagań określonych w niniejszych wytycznych. W pracy nie ma żadnych wniosków lub mają one charakter deklaratywny. W recenzjach promotora i recenzenta pojawiają się uwagi krytyczne. Doktorantowi broniąc się pracy magisterskiej trudno jest odpowiedzieć na pytania postawione na ten temat, nie zna teorii pytania, a udzielając odpowiedzi popełnia istotne błędy. Pomoce wizualne i materiały informacyjne nie są przygotowane do obrony.

Tym samym przy ustalaniu oceny końcowej z egzaminu członkowie Państwowej Komisji Egzaminacyjnej biorą pod uwagę:

• jakość raportu absolwenta;
• przedstawiony przez niego materiał ilustracyjny;
• mobilność absolwenta i jego umiejętność odpowiadania na pytania;
• ocena pracy przez recenzenta;
• opinia kierownika zespołu badawczo-rozwojowego.

ANEKS 1

(Przykład projektu strony tytułowej)

MOSKWA WYDZIAŁ EDUKACJI

PAŃSTWOWA BUDŻETOWA ZAWODOWA INSTYTUCJA EDUKACYJNA

„UCZELNIA TECHNOLOGICZNA nr 34”

PRACA DYPLOMOWA

Temat:

Uczeń grupowy / /

Specjalność

Przełożony / /

Pozwól na ochronę:

Zastępca Dyrektora ds. Zarządzania i Rozwoju/ _ /

Data oceny

Prezydent Państwa

komisja certyfikująca/ /

Moskwa 2016

ZAŁĄCZNIK 2

Zgoda

Prezes KIG „Technologie Informacyjne”

Dziuba T.S.

Ćwiczenia

dokończyć pracę magisterską

uczeń(-y) ____________________________________________________________________

(pełne imię i nazwisko)

Temat pracy dyplomowej ______________________________________________________________

_______________________________________________________________________________

Termin złożenia pracy do obrony (data)______________________________

1. Wstęp

Trafność wybranego tematu;

Cel i założenia pisania pracy dyplomowej;

Nazwa przedsiębiorstwa, organizacji, źródła powstania dzieła.

2. - Sekcja I (część teoretyczna)

Sekcja II (część praktyczna)

(termin przesłania do recenzji) __________________________________________

Wniosek ______________________________________________________________

Kierownik ______ __________ „___” _______ 20__

Imię i nazwisko Podpis

Uczeń ______ __________ „____” ________20___

Imię i nazwisko Podpis

ZAŁĄCZNIK 3

(formularz referencyjny dla promotora)

GBPOU „Wyższa Szkoła Technologiczna nr 34”

Recenzja

Do pracy dyplomowej (imię i nazwisko)

1. Trafność tematu.

2. Nowość naukowa i znaczenie praktyczne.

3. Charakterystyka cech biznesowych studenta.

4. Pozytywne aspekty pracy.

5. Wady, uwagi.

Przełożony ________________________________________

„_____” __________ 2016

ZAŁĄCZNIK 4

(formularz recenzji)

Recenzja

Do pracy dyplomowej studenta (imię i nazwisko) ____________________________

Wykończono w temacie ________________________________________________

1. Znaczenie, nowość
2. Ocena treści pracy

1. Charakterystyczne, pozytywne aspekty pracy
2. Praktyczne znaczenie pracy
3. Wady, uwagi

1. Zalecana ocena wykonanej pracy ____________________________

_________________________________________________________________________

Recenzent (imię i nazwisko, tytuł naukowy, stanowisko, miejsce pracy)

ZAŁĄCZNIK 5

(Przykładowy wykaz używanej literatury)

Wykaz używanej literatury

Materiały regulacyjne

1. „Konstytucja Federacji Rosyjskiej” (przyjęta w głosowaniu powszechnym w dniu 12 grudnia 1993 r.) (uwzględniając zmiany wprowadzone Ustawami Federacji Rosyjskiej w sprawie zmiany Konstytucji Federacji Rosyjskiej z dnia 30 grudnia 2008 r. N 6-FKZ, z dnia 30 grudnia 2008 r. N 7-FKZ)
2. Ustawa federalna „O informacjach, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. N 149-FZ (zmieniona 28 grudnia 2013 r.)

Publikacje naukowe, techniczne i edukacyjne

1. Zautomatyzowane stanowiska pracy i systemy komputerowe w działaniach spraw wewnętrznych. M., 2010.
2. Andreev B.V., Bushuev G.I. Modelowanie w rozwiązywaniu problemów prawnokarnych i kryminologicznych. M., 2012.
3. Praca biurowa w placówkach oświatowych (z wykorzystaniem technologii informatycznych): podręcznik. podręcznik dla uniwersytetów Przedstawiciel MO Białoruś / E.M. Kravchenya, T.A. Tsesarskaja. - Mińsk: TetraSystems, 2013
4. Bezpieczeństwo informacji i ochrona informacji: podręcznik. podręcznik / Stepanov E.A., Korneev I.K. - M.: INFRA-M, 2011. -
5. Systemy informacyjne w ekonomii: podręcznik. dla uniwersytetów, edukacyjne według specjalnego ekonomia i zarządzanie (060000) rec. Ministerstwo Obrony RF / G.A. Titorenko, B.E. Odincow, V.V. Braga i wsp.; edytowany przez GA Titorenko. - wyd. 2, poprawione. i dodatkowe - M.: JEDNOŚĆ, 2011. - 463 s.
6. Systemy informacyjne i ich bezpieczeństwo: podręcznik. zasiłek d / Wasilkow A.V. Wasilkow A.A., Wasilkow I.A. - M: FORUM, 2010.
7. Informatyczne technologie zarządzania: podręcznik. podręcznik dla uniwersytetów Ministerstwo Obrony RF / G.A. Titorenko, I.A. Konopleva, G.L. Makarova i inni; edytowany przez GA Titorenko. - wyd. 2, dod. - M.: JEDNOŚĆ, 2009.
8. Zarządzanie dokumentacją korporacyjną. Zasady, technologie, metodyki wdrażania. Michaela J. D. Suttona. Wydawnictwo Azbuka, St. Petersburg, 2012
9. Ostreykovsky V.A. Informatyka: podręcznik. Dla uniwersytetów. – M.: Wyżej. szkoła, 2008.
10. Dokumenty elektroniczne w sieciach korporacyjnych Klimenko S. V., Krokhin I. V., Kushch V. M., Lagutin Yu. L. M.: Radio and Communication, ITC Eco-Trends, 2011

Zasoby internetowe

http://www.security.ru/ - Środki ochrony informacji kryptograficznej: strona internetowa moskiewskiego oddziału PNIEI;

www.fstec.ru – oficjalna strona internetowa FSTEC Rosji

ZAŁĄCZNIK 6

Przybliżona struktura raportu do obrony pracy dyplomowej

Wymagania dotyczące prezentacji obrony pracy dyplomowej

1. Istotność problemu.
2. Cel, przedmiot, przedmiot badań.
3. Cele badawcze (3 główne).
4. Algorytm badawczy (kolejność badań).
5. Krótka charakterystyka ekonomiczna przedsiębiorstwa (organizacja, instytucja itp.).
6. Krótkie wyniki analizy badanego problemu.
7. Niedociągnięcia zidentyfikowane w trakcie analizy.
8. Kierunki (ścieżki) rozwiązania zidentyfikowanych braków badanego problemu.
9. Ocena ekonomiczna, skuteczność, praktyczne znaczenie proponowanych działań.

ZAŁĄCZNIK 6

(Formularz kalendarza do pisania pracy dyplomowej)

Akceptuję

Promotor pracy dyplomowej

„_____” _____________20 __g.

HARMONOGRAM

pisanie pracy magisterskiej na temat __________________________________________

Opracowanie treści pracy dyplomowej i uzgodnienie jej z promotorem.

kierownik

Wprowadzenie z uzasadnieniem trafności wybranego tematu, celów i zadań pracy.

kierownik

Zaliczenie części teoretycznej i przesłanie jej do testu.

Konsultant

Wypełnij część praktyczną i prześlij ją do sprawdzenia.

Konsultant

Koordynacja wniosków i propozycji z menadżerem

kierownik

Przygotowanie pracy dyplomowej

kierownik

Otrzymywanie informacji zwrotnej od swojego menedżera

kierownik

Uzyskanie recenzji

recenzent

10.

Przed obroną pracy dyplomowej

Menedżer, konsultant

11.

Obrona pracy dyplomowej

kierownik

Student-(absolwent) ________________________________________________

(podpis, data, transkrypcja podpisu)

Promotor pracy dyplomowej____________________________________________________

ZAŁĄCZNIK 8

(Przykład formatowania treści pracy dyplomowej)

Treść

Wprowadzenie……………………………………………………………………………..3

1. Charakterystyka techniczno-ekonomiczna przedmiotu i przedsięwzięcia......5

1. Ogólna charakterystyka tematyki…………………...5
2. Struktura organizacyjna i funkcjonalna przedsiębiorstwa…………………6
3. Analiza ryzyka bezpieczeństwa informacji……………………………...8

2. Uzasadnienie konieczności doskonalenia systemu zapewnienia bezpieczeństwa informacji i ochrony informacji w przedsiębiorstwie………..25

1. Wybór zestawu zadań związanych z bezpieczeństwem informacji………29
2. Określenie miejsca projektowanego zestawu zadań w zespole zadań przedsiębiorstwa z wyszczególnieniem zadań związanych z bezpieczeństwem i ochroną informacji …………………………………………………………………… ……………35
3. Dobór środków ochronnych……………………………………………………….39

3. Zespół środków organizacyjnych zapewniających bezpieczeństwo informacji i ochronę informacji przedsiębiorstwa……………………………………………..43

1. Zestaw zaprojektowanych narzędzi programowych i sprzętowych zapewniających bezpieczeństwo informacji i ochronę informacji przedsiębiorstwa….…48
2. Struktura kompleksu programowo-sprzętowego bezpieczeństwa informacji i ochrony informacji przedsiębiorstwa……………………………51
3. Przykład realizacji projektu i jego opis…………………………………...54
4. Obliczanie wskaźników efektywności ekonomicznej projektu…………………57

4. Zakończenie…………………………………………………………………………………...62
5. Lista referencji……………………………………………………………..65

Wstęp

Rozdział 1. Teoretyczne aspekty adopcji i bezpieczeństwa informacji

1.1Pojęcie bezpieczeństwa informacji

3 Metody bezpieczeństwa informacji

Rozdział 2. Analiza systemu bezpieczeństwa informacji

1 Zakres działalności spółki i analiza wskaźników finansowych

2 Opis systemu bezpieczeństwa informacji w firmie

3 Opracowanie zestawu działań modernizujących istniejący system bezpieczeństwa informacji

Wniosek

Bibliografia

Aplikacja

Załącznik nr 1. Bilans za rok 2010

Załącznik nr 1. Bilans za rok 2010

Wstęp

O trafności tematu pracy decyduje rosnący poziom problemów związanych z bezpieczeństwem informacji, nawet w kontekście szybkiego rozwoju technologii i narzędzi ochrony danych. Niemożliwe jest zapewnienie 100% poziomu ochrony korporacyjnych systemów informatycznych przy jednoczesnym prawidłowym ustaleniu priorytetów zadań związanych z ochroną danych, biorąc pod uwagę ograniczoną część budżetu przeznaczonego na technologie informacyjne.

Niezawodna ochrona infrastruktury informatycznej i sieciowej przedsiębiorstwa jest podstawowym zadaniem bezpieczeństwa informacji dla każdej firmy. Wraz z rozwojem działalności przedsiębiorstwa i przejściem do organizacji rozproszonej geograficznie zaczyna ona wykraczać poza ramy jednego budynku.

Skuteczna ochrona infrastruktury IT i stosowanych systemów korporacyjnych jest dziś niemożliwa bez wprowadzenia nowoczesnych technologii sterowania dostęp do sieci. Coraz częstsze przypadki kradzieży nośników zawierających cenne informacje biznesowe coraz częściej wymuszają podjęcie działań organizacyjnych.

Celem tej pracy będzie ocena istniejącego systemu bezpieczeństwa informacji w organizacji i opracowanie środków jego doskonalenia.

Cel ten wyznacza następujące cele pracy:

) rozważyć koncepcję bezpieczeństwa informacji;

) rozważyć rodzaje możliwych zagrożeń dla systemów informatycznych i możliwości zabezpieczenia przed możliwymi zagrożeniami wycieku informacji w organizacji.

) wskazać listę zasobów informacyjnych, których naruszenie integralności lub poufności spowoduje największą szkodę dla przedsiębiorstwa;

) opracować na ich podstawie zestaw środków usprawniających istniejący system bezpieczeństwa informacji.

Praca składa się ze wstępu, dwóch rozdziałów, zakończenia, wykazu wykorzystanych źródeł i zastosowań.

We wstępie uzasadniono aktualność tematu badawczego oraz sformułowano cel i zadania pracy.

W pierwszym rozdziale omówiono teoretyczne aspekty koncepcji bezpieczeństwa informacji w organizacji.

Rozdział drugi daje krótki opis działalność firmy, kluczowe wskaźniki efektywności, opisuje aktualny stan systemu bezpieczeństwa informacji i proponuje działania mające na celu jego poprawę.

W podsumowaniu sformułowano główne wyniki i wnioski płynące z pracy.

Podstawą metodologiczną i teoretyczną pracy były prace krajowych i zagranicznych ekspertów z zakresu bezpieczeństwa informacji.W trakcie pracy nad pracą wykorzystano informacje odzwierciedlające treść ustaw, aktów prawnych i rozporządzeń, dekretów Rządu RP Federacja Rosyjska regulująca bezpieczeństwo informacji, międzynarodowe standardy bezpieczeństwa informacji.

Teoretyczne znaczenie badań dyplomowych polega na wdrażaniu zintegrowanego podejścia przy opracowywaniu polityki bezpieczeństwa informacji.

O praktycznym znaczeniu pracy decyduje fakt, że jej wyniki pozwalają na podniesienie stopnia ochrony informacji w przedsiębiorstwie poprzez kompetentne zaprojektowanie polityki bezpieczeństwa informacji.

Rozdział 1. Teoretyczne aspekty adopcji i bezpieczeństwa informacji

1.1 Pojęcie bezpieczeństwa informacji

Bezpieczeństwo informacji odnosi się do bezpieczeństwa informacji i towarzyszącej jej infrastruktury przed przypadkowymi lub złośliwymi wpływami, które mogą skutkować uszkodzeniem samych informacji, ich właścicieli lub infrastruktury pomocniczej. Cele bezpieczeństwa informacji sprowadzają się do minimalizacji szkód, a także przewidywania i zapobiegania takim skutkom.

Parametry systemów informatycznych wymagające ochrony można podzielić na następujące kategorie: zapewnienie integralności, dostępności i poufności zasobów informacyjnych.

dostępność to możliwość uzyskania w krótkim czasie wymaganej usługi informacyjnej;

integralność to istotność i spójność informacji, jej ochrona przed zniszczeniem i nieuprawnionymi zmianami;

poufność - ochrona przed nieuprawnionym dostępem do informacji.

Systemy informacyjne tworzone są przede wszystkim w celu uzyskania określonych usług informacyjnych. Jeśli uzyskanie informacji z jakiegokolwiek powodu stanie się niemożliwe, powoduje to szkodę dla wszystkich podmiotów relacji informacyjnych. Na tej podstawie możemy stwierdzić, że dostępność informacji jest najważniejsza.

Integralność jest głównym aspektem bezpieczeństwa informacji, gdy głównymi parametrami informacji są dokładność i prawdziwość. Na przykład recepty na leki lub zestaw i charakterystykę składników.

Najbardziej rozwiniętym elementem bezpieczeństwa informacji w naszym kraju jest poufność. Ale praktyczne wdrożenieŚrodki zapewniające poufność nowoczesnych systemów informatycznych napotykają w Rosji ogromne trudności. Po pierwsze, informacje o technicznych kanałach wycieku informacji są zamknięte, więc większość użytkowników nie jest w stanie zorientować się w potencjalnych zagrożeniach. Po drugie, istnieje wiele przeszkód legislacyjnych i wyzwań technicznych stojących na drodze niestandardowej kryptografii jako podstawowego sposobu zapewnienia prywatności.

Działania mogące spowodować uszkodzenie systemu informatycznego można podzielić na kilka kategorii.

ukierunkowana kradzież lub zniszczenie danych na stacji roboczej lub serwerze;

Uszkodzenie danych przez użytkownika w wyniku nieostrożnych działań.

. „Elektroniczne” metody wpływu prowadzone przez hakerów.

Przez hakerów rozumie się osoby, które dokonują przestępstw komputerowych zarówno zawodowo (w tym w ramach rywalizacji), jak i po prostu z ciekawości. Metody te obejmują:

nieuprawnione wejście do sieci komputerowych;

Celem nieuprawnionego wejścia do sieci firmowej z zewnątrz może być wyrządzenie szkody (zniszczenie danych), kradzież poufnych informacji i wykorzystanie ich do celów niezgodnych z prawem, wykorzystanie infrastruktury sieciowej do organizowania ataków na obce węzły, kradzież środków z kont itp.

Atak Typ DOS-owy(w skrócie Denial of Service – „odmowa usługi”) to atak zewnętrzny na węzły sieci korporacyjnej odpowiedzialne za jej bezpieczeństwo i efektywna praca(pliki, serwery pocztowe). Atakujący organizują masowe wysyłanie pakietów danych do tych węzłów, aby je przeciążyć i w rezultacie na jakiś czas wyłączyć z działania. Z reguły pociąga to za sobą zakłócenia w procesach biznesowych firmy ofiary, utratę klientów, utratę reputacji itp.

Wirusy komputerowe. Odrębna kategoria elektronicznych metod wpływu - wirusy komputerowe i inne złośliwe oprogramowanie. Stanowią realne zagrożenie dla współczesnych przedsiębiorstw, które szeroko korzystają z sieci komputerowych, Internetu i poczty elektronicznej. Przedostanie się wirusa do węzłów sieci korporacyjnej może doprowadzić do zakłóceń w ich funkcjonowaniu, utraty czasu pracy, utraty danych, kradzieży poufnych informacji, a nawet bezpośredniej kradzieży zasobów finansowych. Program wirusowy, który przedostał się do sieci firmowej, może zapewnić atakującym częściowe lub pełna kontrola nad działalnością firmy.

Spam. W ciągu zaledwie kilku lat spam przekształcił się z drobnej irytacji w jedno z najpoważniejszych zagrożeń bezpieczeństwa:

W ostatnim czasie głównym kanałem dystrybucji stał się e-mail złośliwe oprogramowanie;

przeglądanie, a następnie usuwanie wiadomości zajmuje dużo czasu, powodując u pracowników uczucie dyskomfortu psychicznego;

zarówno osoby fizyczne, jak i organizacje padają ofiarą oszukańczych programów spamerów (ofiary często starają się nie ujawniać takich zdarzeń);

ważna korespondencja jest często usuwana wraz ze spamem, co może prowadzić do utraty klientów, zerwania umów i innych przykrych konsekwencji; ryzyko utraty korespondencji wzrasta szczególnie w przypadku korzystania z czarnych list RBL i innych „prymitywnych” metod filtrowania spamu.

Zagrożenia „naturalne”. Na bezpieczeństwo informacji firmy może mieć wpływ wiele czynników zewnętrznych: utrata danych może być spowodowana niewłaściwym przechowywaniem, kradzieżą komputerów i nośników, działaniem siły wyższej itp.

System zarządzania bezpieczeństwem informacji (SZBI lub System Zarządzania Bezpieczeństwem Informacji) pozwala zarządzać zbiorem środków realizujących określoną zamierzoną strategię, w tym przypadku w odniesieniu do bezpieczeństwa informacji. Należy pamiętać, że mówimy nie tylko o zarządzaniu istniejącym systemem, ale także o budowie nowego/przeprojektowaniu starego.

Zestaw środków obejmuje środki organizacyjne, techniczne, fizyczne i inne. Zarządzanie bezpieczeństwem informacji to złożony proces, który pozwala na wdrożenie najbardziej efektywnego i kompleksowego zarządzania bezpieczeństwem informacji w przedsiębiorstwie.

Celem zarządzania bezpieczeństwem informacji jest zachowanie poufności, integralności i dostępności informacji. Pytanie tylko, jakiego rodzaju informacje należy chronić i jakie wysiłki należy podjąć, aby zapewnić ich bezpieczeństwo.

Każde zarządzanie opiera się na świadomości sytuacji, w której ma miejsce. W zakresie analizy ryzyka świadomość sytuacji wyraża się w inwentaryzacji i ocenie majątku organizacji oraz jej otoczenia, czyli wszystkiego, co zapewnia prowadzenie działalności gospodarczej. Z punktu widzenia analizy ryzyka bezpieczeństwa informacji głównymi aktywami są informacja, infrastruktura, personel, wizerunek i reputacja firmy. Bez inwentaryzacji majątku na poziomie działalności gospodarczej nie da się odpowiedzieć na pytanie, co dokładnie należy chronić. Ważne jest, aby zrozumieć, jakie informacje są przetwarzane w organizacji i gdzie są przetwarzane.

W dużej, nowoczesnej organizacji liczba zasobów informacyjnych może być bardzo duża. Jeśli działania organizacji są zautomatyzowane za pomocą systemu ERP, wówczas możemy powiedzieć, że prawie każdy przedmiot materialny używany w tej działalności odpowiada pewnego rodzaju obiektowi informacyjnemu. Dlatego też podstawowym zadaniem zarządzania ryzykiem jest identyfikacja najważniejszych aktywów.

Nie da się rozwiązać tego problemu bez zaangażowania menedżerów głównej działalności organizacji, zarówno średniego, jak i wyższego szczebla. Optymalna sytuacja ma miejsce, gdy najwyższe kierownictwo organizacji osobiście wyznacza najbardziej krytyczne obszary działania, dla których niezwykle ważne jest zapewnienie bezpieczeństwa informacji. Opinia wyższej kadry kierowniczej dotycząca priorytetów w zapewnieniu bezpieczeństwa informacji jest bardzo ważna i cenna w procesie analizy ryzyka, jednak w każdym przypadku powinna zostać doprecyzowana poprzez zebranie informacji o krytyczności aktywów na średnim szczeblu zarządzania firmą. Jednocześnie wskazane jest przeprowadzenie dalszej analizy właśnie w obszarach działalności biznesowej wyznaczonych przez najwyższe kierownictwo. Otrzymane informacje są przetwarzane, agregowane i przekazywane kierownictwu wyższego szczebla w celu kompleksowej oceny sytuacji.

Informacje można identyfikować i lokalizować na podstawie opisu procesów biznesowych, w których informacja jest traktowana jako jeden z rodzajów zasobów. Zadanie jest nieco uproszczone, jeśli organizacja przyjęła podejście do regulowania działalności biznesowej (na przykład na potrzeby zarządzania jakością i optymalizacji procesów biznesowych). Sformalizowane opisy procesów biznesowych są dobrym punktem wyjścia do inwentaryzacji aktywów. W przypadku braku opisów aktywa można zidentyfikować na podstawie informacji uzyskanych od pracowników organizacji. Po zidentyfikowaniu aktywów należy określić ich wartość.

Praca polegająca na określeniu wartości zasobów informacyjnych w całej organizacji jest najbardziej znacząca i złożona. To właśnie ocena aktywów informacyjnych pozwoli kierownikowi działu bezpieczeństwa informacji wybrać główne obszary działania zapewniające bezpieczeństwo informacji.

Jednak efektywność ekonomiczna procesu zarządzania bezpieczeństwem informacji w dużej mierze zależy od świadomości tego, co należy chronić i jakich wysiłków będzie to wymagać, gdyż w większości przypadków wielkość włożonego wysiłku jest wprost proporcjonalna do ilości wydanych pieniędzy i wydatków operacyjnych. Zarządzanie ryzykiem pozwala odpowiedzieć na pytanie, gdzie można podejmować ryzyko, a gdzie nie. W przypadku bezpieczeństwa informacji termin „ryzyko” oznacza, że ​​w danym obszarze nie można podejmować znaczących wysiłków w celu ochrony aktywów informacyjnych, a jednocześnie w przypadku naruszenia bezpieczeństwa organizacja nie ucierpi znaczne straty. Można tu dokonać analogii z klasami ochrony systemy automatyczne: im większe ryzyko, tym surowsze powinny być wymagania dotyczące ochrony.

Aby określić konsekwencje naruszenia bezpieczeństwa, należy albo posiadać informacje o zarejestrowanych zdarzeniach o podobnym charakterze, albo przeprowadzić analizę scenariuszy. Analiza scenariuszy bada związki przyczynowo-skutkowe pomiędzy zdarzeniami związanymi z bezpieczeństwem aktywów oraz konsekwencjami tych zdarzeń dla działalności biznesowej organizacji. Konsekwencje scenariuszy powinny być oceniane przez kilka osób, iteracyjnie lub przemyślanie. Należy zaznaczyć, że opracowania i oceny takich scenariuszy nie można całkowicie oddzielić od rzeczywistości. Zawsze należy pamiętać, że scenariusz musi być prawdopodobny. Kryteria i skale ustalania wartości są indywidualne dla każdej organizacji. Na podstawie wyników analizy scenariuszy można uzyskać informację o wartości aktywów.

Po zidentyfikowaniu aktywów i określeniu ich wartości można powiedzieć, że cele zapewnienia bezpieczeństwa informacji są częściowo ustalone: ​​określone są przedmioty ochrony i znaczenie utrzymania ich w stanie bezpieczeństwa informacji dla organizacji. Być może jedyne, co pozostaje, to określić, przed kim należy chronić.

Po określeniu celów zarządzania bezpieczeństwem informacji należy przeanalizować problemy, które uniemożliwiają osiągnięcie stanu docelowego. Na tym poziomie proces analizy ryzyka schodzi do infrastruktury informacyjnej i tradycyjnych koncepcji bezpieczeństwa informacji – intruzów, zagrożeń i podatności.

Do oceny ryzyka nie wystarczy wprowadzenie standardowego modelu naruszającego, który dzieli wszystkich sprawców naruszenia ze względu na rodzaj dostępu do aktywa i znajomość struktury aktywa. Podział ten pozwala określić, jakie zagrożenia można skierować na dobro, ale nie daje odpowiedzi na pytanie, czy zagrożenia te w zasadzie mogą zostać zrealizowane.

W procesie analizy ryzyka konieczna jest ocena motywacji sprawców w realizacji zagrożeń. W tym przypadku sprawca naruszenia nie oznacza abstrakcyjnego zewnętrznego hakera lub insidera, ale stronę zainteresowaną uzyskaniem korzyści poprzez naruszenie bezpieczeństwa mienia.

Wskazane jest uzyskanie wstępnej informacji o modelu sprawcy, gdyż w przypadku wyboru wstępnych kierunków działań związanych z bezpieczeństwem informacji, od najwyższego kierownictwa, które rozumie pozycję organizacji na rynku, ma informacje o konkurencji i możliwych metodach oddziaływania. od nich oczekiwać. Informacje niezbędne do opracowania modelu intruza można także pozyskać ze specjalistycznych badań dotyczących naruszeń bezpieczeństwa komputerowego w obszarze biznesowym, dla którego przeprowadzana jest analiza ryzyka. Odpowiednio opracowany model intruza uzupełnia cele bezpieczeństwa informacji wyznaczone przy ocenie majątku organizacji.

Opracowanie modelu zagrożeń i identyfikacja podatności są nierozerwalnie związane z inwentaryzacją środowiska zasobów informacyjnych organizacji. Same informacje nie są przechowywane ani przetwarzane. Dostęp do niego zapewnia infrastruktura informatyczna automatyzująca procesy biznesowe organizacji. Ważne jest, aby zrozumieć, w jaki sposób infrastruktura informacyjna organizacji i zasoby informacyjne są ze sobą powiązane. Z punktu widzenia zarządzania bezpieczeństwem informacji znaczenie infrastruktury informacyjnej można określić dopiero po ustaleniu relacji pomiędzy zasobami informacyjnymi a infrastrukturą. Jeśli procesy utrzymania i eksploatacji infrastruktury informatycznej w organizacji są uregulowane i przejrzyste, gromadzenie informacji niezbędnych do identyfikacji zagrożeń i oceny podatności jest znacznie uproszczone.

Opracowanie modelu zagrożenia to zadanie dla specjalistów ds. bezpieczeństwa informacji, którzy dobrze rozumieją, w jaki sposób osoba atakująca może uzyskać nieautoryzowany dostęp do informacji poprzez naruszenie granic bezpieczeństwa lub zastosowanie metod socjotechniki. Opracowując model zagrożeń, można także mówić o scenariuszach jako o kolejnych krokach, zgodnie z którymi zagrożenia mogą zostać zrealizowane. Bardzo rzadko zdarza się, że zagrożenia są wdrażane jednoetapowo, wykorzystując pojedynczy słaby punkt systemu.

Model zagrożeń powinien obejmować wszystkie zagrożenia zidentyfikowane w ramach powiązanych procesów zarządzania bezpieczeństwem informacji, takich jak zarządzanie podatnościami i incydentami. Należy pamiętać, że zagrożenia trzeba będzie uszeregować względem siebie według poziomu prawdopodobieństwa ich realizacji. Aby tego dokonać, w procesie opracowywania modelu zagrożenia dla każdego zagrożenia należy wskazać najważniejsze czynniki, których istnienie wpływa na jego realizację.

Polityka bezpieczeństwa opiera się na analizie ryzyk, które uznaje się za realne dla systemu informatycznego organizacji. Po analizie zagrożeń i ustaleniu strategii ochrony tworzony jest program bezpieczeństwa informacji. Na ten program przydzielane są środki, wyznaczane są osoby odpowiedzialne, ustalana jest procedura monitorowania realizacji programu itp.

W szerokim rozumieniu politykę bezpieczeństwa definiuje się jako system udokumentowanych decyzji zarządczych mających na celu zapewnienie bezpieczeństwa organizacji. W wąskim znaczeniu polityka bezpieczeństwa jest zwykle rozumiana jako lokalny dokument regulacyjny, który określa wymagania bezpieczeństwa, system środków lub procedurę, a także obowiązki pracowników organizacji i mechanizmy kontrolne dla określonego obszaru bezpieczeństwa.

Zanim zaczniemy formułować samą politykę bezpieczeństwa informacji, konieczne jest zrozumienie podstawowych pojęć, według których będziemy działać.

Informacja – informacja (wiadomości, dane) niezależnie od formy ich prezentacji.

Poufność informacji stanowi obowiązkowy wymóg, aby osoba, która uzyskała dostęp do określonych informacji, nie przekazywała ich osobom trzecim bez zgody ich właściciela.

Bezpieczeństwo informacji (IS) to stan bezpieczeństwa środowisko informacyjne społeczeństwo, zapewniając jego kształtowanie, użytkowanie i rozwój w interesie obywateli, organizacji, państw.

Pojęcie „informacji” jest dziś stosowane dość szeroko i wszechstronnie.

Zapewnienie bezpieczeństwa informacji nie może być działaniem jednorazowym. Jest to proces ciągły, polegający na uzasadnianiu i wdrażaniu najbardziej racjonalnych metod, metod i sposobów doskonalenia i rozwoju systemu bezpieczeństwa, ciągłym monitorowaniu jego stanu, identyfikowaniu jego słabych stron i działań nielegalnych.

Bezpieczeństwo informacji można zapewnić jedynie poprzez zintegrowane wykorzystanie całej gamy dostępnych środków bezpieczeństwa we wszystkich elementach konstrukcyjnych systemu produkcyjnego i na wszystkich etapach cyklu technologicznego przetwarzania informacji. Największy efekt osiąga się, gdy wszystkie stosowane środki, metody i środki zostaną połączone w jeden integralny mechanizm - system bezpieczeństwa informacji. Jednocześnie funkcjonowanie systemu musi być monitorowane, aktualizowane i uzupełniane w zależności od zmian warunków zewnętrznych i wewnętrznych.

Zgodnie z normą GOST R ISO/IEC 15408:2005 można wyróżnić następujące rodzaje wymagań bezpieczeństwa:

funkcjonalne, odpowiadające aktywnemu aspektowi ochrony, wymagania dotyczące funkcji bezpieczeństwa i mechanizmów je realizujących;

wymagania zaufania odpowiadające pasywnemu aspektowi nałożonemu na technologię oraz proces rozwoju i eksploatacji.

Bardzo ważne jest, aby bezpieczeństwo w tej normie nie było rozpatrywane statycznie, ale w odniesieniu do cyklu życia ocenianego obiektu. Wyróżnia się następujące etapy:

określenie celu, warunków stosowania, celów i wymagań bezpieczeństwa;

projektowanie i rozwój;

testowanie, ocena i certyfikacja;

wdrożenie i działanie.

Przyjrzyjmy się zatem bliżej wymaganiom bezpieczeństwa funkcjonalnego. Zawierają:

ochrona danych użytkowników;

ochrona funkcji bezpieczeństwa (wymagania dotyczą integralności i kontroli tych usług bezpieczeństwa oraz mechanizmów je realizujących);

zarządzanie bezpieczeństwem (wymagania tej klasy dotyczą zarządzania atrybutami i parametrami bezpieczeństwa);

audyt bezpieczeństwa (identyfikacja, rejestracja, przechowywanie, analiza danych mających wpływ na bezpieczeństwo ocenianego obiektu, reakcja na ewentualne naruszenie bezpieczeństwa);

prywatność (ochrona użytkownika przed ujawnieniem i nieuprawnionym wykorzystaniem jego danych identyfikacyjnych);

wykorzystanie zasobów (wymagania dotyczące dostępności informacji);

komunikacja (uwierzytelnianie stron biorących udział w wymianie danych);

zaufana trasa/kanał (do komunikacji ze służbami bezpieczeństwa).

Zgodnie z tymi wymaganiami konieczne jest sformułowanie systemu bezpieczeństwa informacji organizacji.

System bezpieczeństwa informacji organizacji obejmuje następujące obszary:

regulacyjne;

organizacyjne (administracyjne);

techniczny;

oprogramowanie;

Aby w pełni ocenić sytuację w przedsiębiorstwie we wszystkich obszarach bezpieczeństwa, konieczne jest opracowanie koncepcji bezpieczeństwa informacji, która ustalałaby systematyczne podejście do problemu bezpieczeństwa zasobów informacyjnych i stanowiłaby systematyczne zestawienie celów, założeń, zasad projektowania i zespół środków zapewniających bezpieczeństwo informacji w przedsiębiorstwie.

System zarządzania siecią korporacyjną powinien opierać się na następujących zasadach (zadaniach):

zapewnienie ochrony istniejącej infrastruktury informatycznej przedsiębiorstwa przed intruzami;

zapewnienie warunków lokalizacji i minimalizacji ewentualnych uszkodzeń;

eliminowanie pojawiania się źródeł zagrożeń na początkowym etapie;

zapewnienie ochrony informacji przed trzema głównymi rodzajami pojawiających się zagrożeń (dostępność, integralność, poufność);

Rozwiązanie powyższych problemów osiąga się poprzez;

regulacja działań użytkownika podczas pracy z systemem informatycznym;

regulacja działań użytkownika podczas pracy z bazą danych;

jednolite wymagania dotyczące niezawodności sprzętu i oprogramowania;

procedury monitorowania pracy systemu informatycznego (rejestrowanie zdarzeń, analiza protokołów, analiza ruchu sieciowego, analiza pracy urządzeń technicznych);

Polityka bezpieczeństwa informacji obejmuje:

głównym dokumentem jest „Polityka Bezpieczeństwa”. Ogólnie opisuje politykę bezpieczeństwa organizacji, Postanowienia ogólne, a także odpowiednie dokumenty dotyczące wszystkich aspektów polityki;

instrukcje regulujące pracę użytkowników;

opis stanowiska administratora sieci lokalnej;

opis stanowiska administratora bazy danych;

instrukcje dotyczące pracy z zasobami internetowymi;

instrukcje dotyczące organizacji ochrony hasłem;

instrukcje organizacyjne ochrona antywirusowa.

Dokument Polityki Bezpieczeństwa zawiera główne postanowienia. Na jego podstawie budowany jest program bezpieczeństwa informacji, opisy stanowisk pracy i zalecenia.

Instrukcje regulujące pracę użytkowników sieci lokalnej organizacji regulują tryb dopuszczania użytkowników do pracy w lokalnej sieci komputerowej organizacji, a także zasady postępowania z informacjami chronionymi przetwarzanymi, przechowywanymi i przesyłanymi w organizacji.

Opis stanowiska administratora sieci lokalnej opisuje obowiązki administratora sieci lokalnej w zakresie bezpieczeństwa informacji.

Opis stanowiska administratora bazy danych określa główne obowiązki, funkcje i uprawnienia administratora bazy danych. Opisuje szczegółowo wszystkie obowiązki i funkcje administratora bazy danych, a także prawa i obowiązki.

Instrukcje pracy z zasobami internetowymi odzwierciedlają podstawowe zasady bezpiecznej pracy z Internetem, a także zawierają listę akceptowalnych i niedopuszczalnych działań podczas pracy z zasobami internetowymi.

Instrukcje organizacji ochrony antywirusowej określają podstawowe postanowienia, wymagania dotyczące organizacji ochrony antywirusowej systemu informatycznego organizacji, wszystkie aspekty związane z działaniem oprogramowania antywirusowego, a także odpowiedzialność w przypadku naruszenia zasad ochrony antywirusowej. -wirus ochrona.

Instrukcje organizacji ochrony hasłem regulują obsługę organizacyjną i techniczną procesów generowania, zmiany i wygaśnięcia haseł (usuwania kont użytkowników). Regulowane są także działania użytkowników i personelu konserwacyjnego podczas pracy z systemem.

Zatem podstawą organizacji procesu ochrony informacji jest polityka bezpieczeństwa, sformułowana w celu określenia przed jakimi zagrożeniami i w jaki sposób chroniona jest informacja w systemie informatycznym.

Polityka bezpieczeństwa to zbiór środków prawnych, organizacyjnych i technicznych mających na celu ochronę informacji przyjętych w danej organizacji. Oznacza to, że polityka bezpieczeństwa zawiera wiele warunków, pod którymi użytkownicy uzyskują dostęp do zasobów systemu bez utraty właściwości bezpieczeństwa informacji tego systemu.

Problem zapewnienia bezpieczeństwa informacji należy rozwiązywać systematycznie. Oznacza to, że różne zabezpieczenia (sprzętowe, programowe, fizyczne, organizacyjne itp.) muszą być stosowane jednocześnie i pod scentralizowaną kontrolą.

Obecnie istnieje duży arsenał metod zapewniających bezpieczeństwo informacji:

środki identyfikacji i uwierzytelniania użytkowników;

środki do szyfrowania informacji przechowywanych na komputerach i przesyłanych przez sieci;

zapory ogniowe;

wirtualne sieci prywatne;

narzędzia do filtrowania treści;

narzędzia do sprawdzania integralności zawartości dysku;

narzędzia ochrony antywirusowej;

systemy wykrywania podatności sieci i analizatory ataków sieciowych.

Każde z wymienionych narzędzi może być wykorzystywane samodzielnie lub w integracji z innymi. Dzięki temu możliwe jest tworzenie systemów bezpieczeństwo informacji dla sieci o dowolnej złożoności i konfiguracji, niezależnie od używanych platform.

System uwierzytelniania (lub identyfikacji), autoryzacji i administracji. Identyfikacja i autoryzacja to kluczowe elementy bezpieczeństwa informacji. Funkcja autoryzacji odpowiada za to, do jakich zasobów ma dostęp konkretny użytkownik. Funkcja administracyjna polega na zapewnieniu użytkownikowi określonych cech identyfikacyjnych w ramach danej sieci oraz ustaleniu zakresu dozwolonych mu działań.

Systemy szyfrowania pozwalają zminimalizować straty w przypadku nieuprawnionego dostępu do danych przechowywanych na dysku twardym lub innym nośniku, a także przechwycenia informacji przesyłanych pocztą elektroniczną lub przesyłanych za pośrednictwem protokołów sieciowych. Zadanie to narzędzie ochrona - zapewnienie poufności. Główne wymagania stawiane systemom szyfrowania to wysoki poziom siły kryptograficznej i legalność stosowania na terytorium Rosji (lub innych państw).

Zapora sieciowa to system lub kombinacja systemów tworząca barierę ochronną pomiędzy dwiema lub większą liczbą sieci, zapobiegającą przedostawaniu się i opuszczaniu sieci przez nieautoryzowane pakiety danych.

Podstawową zasadą działania zapór sieciowych jest sprawdzanie każdego pakietu danych pod kątem zgodności przychodzących i wychodzących adresów IP z bazą dozwolonych adresów. Tym samym firewalle znacznie poszerzają możliwości segmentacji sieci informacyjne i kontrolę nad obiegiem danych.

Mówiąc o kryptografii i zaporach ogniowych, powinniśmy wspomnieć o bezpiecznych wirtualnych sieciach prywatnych (VPN). Ich zastosowanie pozwala rozwiązać problemy poufności i integralności danych przesyłanych otwartymi kanałami komunikacji. Korzystanie z VPN można sprowadzić do rozwiązania trzech głównych problemów:

ochrona przepływu informacji pomiędzy różnymi biurami firmy (informacje są szyfrowane jedynie na wyjściu do sieci zewnętrznej);

bezpieczny dostęp dla zdalnych użytkowników sieci zasoby informacji firmowe, najczęściej realizowane za pośrednictwem Internetu;

ochrona przepływu informacji pomiędzy poszczególnymi aplikacjami w obrębie sieci korporacyjne(ten aspekt jest również bardzo ważny, ponieważ większość ataków przeprowadzana jest z sieci wewnętrznych).

Skutecznym sposobem zabezpieczenia się przed utratą poufnych informacji jest filtrowanie treści przychodzących i wychodzących E-mail. Sprawdzanie samych wiadomości e-mail i ich załączników w oparciu o zasady ustalone przez organizację pomaga również chronić firmy przed odpowiedzialnością w procesach sądowych i chroni ich pracowników przed spamem. Narzędzia do filtrowania treści umożliwiają skanowanie plików we wszystkich popularnych formatach, w tym plików skompresowanych i graficznych. Jednocześnie przepustowość sieci pozostaje praktycznie niezmieniona.

Wszelkie zmiany na stacji roboczej lub serwerze mogą być monitorowane przez administratora sieci lub innego uprawnionego użytkownika dzięki technologii sprawdzania integralności treści twardy dysk(sprawdzanie integralności). Pozwala to wykryć wszelkie działania na plikach (zmianę, usunięcie lub po prostu otwarcie) i zidentyfikować aktywność wirusów, nieautoryzowany dostęp lub kradzieży danych przez autoryzowanych użytkowników. Kontrola odbywa się w oparciu o analizę sum kontrolnych plików (sum CRC).

Nowoczesne technologie antywirusowe umożliwiają identyfikację niemal wszystkich znanych już programów wirusowych poprzez porównanie kodu podejrzanego pliku z próbkami przechowywanymi w antywirusowej bazie danych. Ponadto opracowano technologie modelowania zachowań, które umożliwiają wykrywanie nowo tworzonych programów wirusowych. Wykryte obiekty można leczyć, izolować (poddawać kwarantannie) lub usuwać. Ochronę antywirusową można zainstalować na stacjach roboczych, serwerach plików i poczty, zaporach sieciowych działających pod niemal każdym popularnym systemem operacyjnym (systemy Windows, Unix i Linux, Novell) na różnych typach procesorów.

Filtry spamu znacznie redukują nieproduktywne koszty pracy związane z analizą spamu, zmniejszają ruch i obciążenie serwera, poprawiają zaplecze psychologiczne w zespole i zmniejszają ryzyko zaangażowania pracowników firmy w oszukańcze transakcje. Ponadto filtry antyspamowe zmniejszają ryzyko infekcji nowymi wirusami, ponieważ wiadomości zawierające wirusy (nawet te, które nie znajdują się jeszcze w bazach danych programów antywirusowych) często noszą oznaki spamu i są filtrowane. To prawda, że ​​pozytywny efekt filtrowania spamu można zniweczyć, jeśli filtr wraz ze wiadomościami-śmieciami usunie je lub oznaczy jako spam i przydatne wiadomości, służbowy lub osobisty.

Ogromne szkody wyrządzone firmom przez wirusy i ataki hakerów są w dużej mierze konsekwencją słabości wykorzystywanego oprogramowania. Można je zidentyfikować z wyprzedzeniem, bez czekania na realny atak, wykorzystując systemy wykrywania podatności sieci komputerowych i analizatory ataków sieciowych. Takie oprogramowanie w bezpieczny sposób symuluje typowe ataki i metody włamań oraz określa, co haker może zobaczyć w sieci i w jaki sposób może wykorzystać jej zasoby.

Aby przeciwdziałać naturalnym zagrożeniom bezpieczeństwa informacji, firma musi opracować i wdrożyć zestaw procedur, które pozwolą zapobiegać sytuacjom awaryjnym (np. zapewnić fizyczną ochronę danych przed pożarem) i minimalizować szkody w przypadku ich wystąpienia. Jedną z głównych metod ochrony przed utratą danych jest kopia zapasowa przy ścisłym przestrzeganiu ustalonych procedur (regularność, rodzaje nośników, sposób przechowywania kopii itp.).

Polityka bezpieczeństwa informacji to pakiet dokumentów regulujących pracę pracowników, opisujących podstawowe zasady pracy z informacjami, systemami informacyjnymi, bazami danych, sieciami lokalnymi i zasobami Internetu. Ważne jest, aby zrozumieć, jakie miejsce zajmuje polityka bezpieczeństwa informacji w ogólnym systemie zarządzania organizacją. Poniżej przedstawiono ogólne środki organizacyjne związane z polityką bezpieczeństwa.

Na poziomie proceduralnym można wyróżnić następujące klasy środków:

zarządzanie personelem;

ochrona fizyczna;

utrzymanie wydajności;

reagowanie na naruszenia bezpieczeństwa;

planowanie prac renowacyjnych.

Zarządzanie zasobami ludzkimi rozpoczyna się od zatrudnienia, ale jeszcze wcześniej należy określić uprawnienia komputerowe powiązane ze stanowiskiem. Należy pamiętać o dwóch ogólnych zasadach:

podział obowiązków;

minimalizacja przywilejów.

Zasada rozdziału obowiązków nakazuje taki podział ról i odpowiedzialności, aby jedna osoba nie mogła zakłócić procesu krytycznego dla organizacji. Na przykład niepożądane jest, aby jedna osoba dokonywała dużych płatności w imieniu organizacji. Bezpieczniej jest zlecić jednemu pracownikowi obsługę wniosków o takie płatności, a drugiemu poświadczanie tych wniosków. Innym przykładem są ograniczenia proceduralne dotyczące działań administratora. Możesz sztucznie „podzielić” hasło superużytkownika, udostępniając jego pierwszą część jednemu pracownikowi, a drugą część innemu. Mogą wówczas podejmować krytyczne działania w zakresie administrowania systemem informatycznym tylko wspólnie, co zmniejsza prawdopodobieństwo wystąpienia błędów i nadużyć.

Zasada najmniejszych uprawnień wymaga, aby użytkownicy otrzymali tylko te prawa dostępu, których potrzebują do wykonywania swoich obowiązków służbowych. Cel tej zasady jest oczywisty - zmniejszenie szkód spowodowanych przypadkowymi lub celowymi nieprawidłowymi działaniami.

Wstępne przygotowanie opisu stanowiska pozwala ocenić jego krytyczność i zaplanować procedurę selekcji i selekcji kandydatów. Im bardziej odpowiedzialne stanowisko, tym dokładniej należy sprawdzać kandydatów: zadawać pytania na ich temat, być może rozmawiać z byłymi współpracownikami itp. Taka procedura może być długotrwała i kosztowna, dlatego nie ma sensu jej dodatkowo komplikować. Jednocześnie nieuzasadniona jest całkowita rezygnacja z wstępnej selekcji, aby uniknąć przypadkowego zatrudnienia osoby z przeszłością kryminalną lub chorobą psychiczną.

Po zidentyfikowaniu kandydata prawdopodobnie będzie on musiał przejść szkolenie; powinien przynajmniej dokładnie zapoznać się z obowiązkami służbowymi oraz przepisami i procedurami dotyczącymi bezpieczeństwa informacji. Zaleca się, aby przed objęciem urzędu i założeniem konta systemowego z nazwą użytkownika, hasłem i uprawnieniami zapoznał się ze środkami bezpieczeństwa.

Bezpieczeństwo systemu informatycznego zależy od środowiska, w którym on działa. Konieczne jest podjęcie działań mających na celu ochronę budynków i terenów otaczających, infrastruktury towarzyszącej, sprzętu komputerowego i nośników danych.

Rozważmy następujące obszary ochrony fizycznej:

fizyczna kontrola dostępu;

ochrona infrastruktury pomocniczej;

ochrona systemów mobilnych.

Środki fizycznej kontroli dostępu pozwalają kontrolować, a w razie potrzeby ograniczać wejścia i wyjścia pracowników i gości. Można sterować całym budynkiem organizacji, a także pojedynczymi pomieszczeniami, np. tymi, w których znajdują się serwery, sprzęt komunikacyjny itp.

Infrastruktura towarzysząca obejmuje systemy zaopatrzenia w energię elektryczną, wodę i ciepło, klimatyzację i komunikację. W zasadzie obowiązują je te same wymagania dotyczące integralności i dostępności, co w przypadku systemów informatycznych. Aby zapewnić integralność, sprzęt należy chronić przed kradzieżą i uszkodzeniem. Aby zachować dostępność, należy wybierać sprzęt o maksymalnym MTBF, powielać najważniejsze komponenty i zawsze mieć pod ręką części zamienne.

Ogólnie rzecz biorąc, przy wyborze sprzętu ochrony fizycznej należy przeprowadzić analizę ryzyka. Zatem decydując się na zakup zasilacza awaryjnego należy wziąć pod uwagę jakość zasilania w budynku zajmowanym przez organizację (jednak prawie na pewno okaże się ona słaba), charakter i czas trwania awarie prądu, koszt dostępnych źródeł i możliwe straty w wyniku wypadków (awaria sprzętu, zawieszenie pracy organizacji i tak dalej).

Rozważmy szereg środków mających na celu utrzymanie funkcjonalności systemów informatycznych. To właśnie w tym obszarze czai się największe niebezpieczeństwo. Niezamierzone błędy administratorów systemu i użytkowników mogą prowadzić do utraty wydajności, a mianowicie uszkodzenia sprzętu, zniszczenia programów i danych. To najgorszy scenariusz. W najlepszym razie tworzą luki w zabezpieczeniach, które umożliwiają wystąpienie zagrożeń bezpieczeństwa systemu.

Głównym problemem wielu organizacji jest niedocenianie czynników bezpieczeństwa w codziennej pracy. Drogie funkcje bezpieczeństwa nie mają żadnego znaczenia, jeśli są słabo udokumentowane, kolidują z innym oprogramowaniem i hasłem Administrator systemu nie uległ zmianie od czasu instalacji.

W przypadku codziennych czynności mających na celu utrzymanie funkcjonalności systemu informatycznego można wyróżnić następujące działania:

wsparcie użytkownika;

wsparcie oprogramowania;

Zarządzanie konfiguracją;

kopia zapasowa;

zarządzanie mediami;

dokumentacja;

rutynowa konserwacja.

Wsparcie użytkowników to przede wszystkim konsultacje i pomoc w rozwiązywaniu różnego rodzaju problemów. Bardzo ważne jest, aby w strumieniu pytań móc zidentyfikować problemy związane z bezpieczeństwem informacji. Zatem wiele trudności użytkowników pracuje nad komputery osobiste, może być konsekwencją infekcji wirusowej. Zaleca się rejestrowanie pytań użytkowników w celu ich identyfikacji typowe błędy i wydawać porady zawierające zalecenia dotyczące typowych sytuacji.

Wsparcie oprogramowania jest jednym z najważniejszych sposobów zapewnienia integralności informacji. Przede wszystkim musisz śledzić, jakie oprogramowanie jest zainstalowane na Twoich komputerach. Jeśli użytkownicy instalują programy według własnego uznania, może to prowadzić do infekcji wirusami, a także pojawienia się narzędzi omijających środki ochrony. Prawdopodobne jest również, że „niezależne działania” użytkowników stopniowo doprowadzą do chaosu na ich komputerach, a administrator systemu będzie musiał naprawić sytuację.

Drugim aspektem wsparcia oprogramowania jest kontrola braku nieautoryzowanych zmian w programach i praw dostępu do nich. Obejmuje to również obsługę kopii referencyjnych systemy oprogramowania. Kontrolę zwykle osiąga się poprzez połączenie fizycznej i logicznej kontroli dostępu, a także poprzez wykorzystanie narzędzi do weryfikacji i integralności.

Zarządzanie konfiguracją pozwala kontrolować i rejestrować zmiany wprowadzone w konfiguracji oprogramowania. Przede wszystkim trzeba zabezpieczyć się przed przypadkowymi lub nieprzemyślanymi modyfikacjami i móc przynajmniej wrócić do poprzedniej, działającej wersji. Zatwierdzenie zmian ułatwi przywrócenie bieżącej wersji po awarii.

Najlepszym sposobem na ograniczenie błędów w rutynowej pracy jest jej maksymalna automatyzacja. Automatyzacja i bezpieczeństwo są od siebie zależne, gdyż ten, komu zależy przede wszystkim na ułatwieniu sobie zadania, tak naprawdę jest tym, który optymalnie kształtuje reżim bezpieczeństwa informacji.

Kopia zapasowa jest niezbędna do przywracania programów i danych po katastrofach. I tutaj warto zautomatyzować pracę przynajmniej poprzez stworzenie komputerowego harmonogramu tworzenia kopii pełnych i przyrostowych, a maksymalnie poprzez zastosowanie odpowiednich produkty oprogramowania. Należy także zadbać o umieszczenie kopii w bezpiecznym miejscu, chronionym przed nieuprawnionym dostępem, pożarem, wyciekiem, czyli przed wszystkim, co mogłoby doprowadzić do kradzieży lub uszkodzenia nośnika. Wskazane jest posiadanie kilku kopii kopie zapasowe a część z nich powinna być przechowywana poza terenem zakładu, chroniąc w ten sposób przed poważnymi awariami i podobnymi zdarzeniami. Od czasu do czasu, w celach testowych, warto sprawdzić możliwość przywrócenia informacji z kopii.

Zarządzanie nośnikami jest niezbędne do zapewnienia fizycznego bezpieczeństwa i rozliczania dyskietek, taśm, wydruków itp. Zarządzanie mediami musi zapewniać poufność, integralność i dostępność informacji przechowywanych poza systemami komputerowymi. Ochrona fizyczna oznacza tu nie tylko odparcie prób nieuprawnionego dostępu, ale także ochronę przed szkodliwymi wpływami środowiska (ciepło, zimno, wilgoć, magnetyzm). Zarządzanie mediami musi obejmować wszystko koło życia- od zakupu do likwidacji.

Dokumentacja jest integralną częścią bezpieczeństwa informacji. Prawie wszystko jest dokumentowane w formie dokumentów – od polityki bezpieczeństwa po dziennik multimediów. Ważne jest, aby dokumentacja była aktualna i odzwierciedlała aktualny stan rzeczy oraz w sposób spójny.

Wymogi poufności dotyczą przechowywania niektórych dokumentów (zawierających np. analizę podatności i zagrożeń systemu), inne zaś, jak np. plan odtwarzania po awarii, podlegają wymogom integralności i dostępności (w sytuacji krytycznej plan musi znaleźć i przeczytać).

Rutynowa praca stwarza bardzo poważne zagrożenie bezpieczeństwa. Pracownik wykonujący rutynową konserwację otrzymuje wyłączny dostęp do systemu, a w praktyce bardzo trudno jest dokładnie kontrolować, jakie czynności wykonuje. Tutaj na pierwszy plan wysuwa się stopień zaufania do osób wykonujących pracę.

Przyjęta przez organizację polityka bezpieczeństwa musi przewidywać zestaw środków operacyjnych mających na celu wykrywanie i neutralizowanie naruszeń reżimu bezpieczeństwa informacji. Ważne jest, aby w takich przypadkach kolejność działań została zaplanowana z wyprzedzeniem, ponieważ środki należy podjąć pilnie i w sposób skoordynowany.

Reakcja na naruszenia bezpieczeństwa ma trzy główne cele:

zlokalizowanie zdarzenia i ograniczenie szkód;

zapobieganie powtarzającym się naruszeniom.

Często wymóg zlokalizowania zdarzenia i ograniczenia szkód wchodzi w konflikt z chęcią zidentyfikowania sprawcy. Polityce bezpieczeństwa organizacji należy nadać priorytet już na wczesnym etapie. Ponieważ, jak pokazuje praktyka, bardzo trudno jest zidentyfikować napastnika, naszym zdaniem przede wszystkim należy zadbać o zmniejszenie szkód.

Żadna organizacja nie jest odporna na poważne wypadki spowodowane przyczynami naturalnymi, złymi działaniami, zaniedbaniem lub niekompetencją. Jednocześnie każda organizacja ma funkcje, które kierownictwo uważa za krytyczne i które należy wykonywać bez względu na wszystko. Planowanie prac renowacyjnych pozwala przygotować się na wypadki, zmniejszyć szkody z nich wynikające i zachować zdolność do funkcjonowania przynajmniej w minimalnym stopniu.

Należy pamiętać, że środki bezpieczeństwa informacji można podzielić na trzy grupy, w zależności od tego, czy mają na celu zapobieganie, wykrywanie czy eliminowanie skutków ataków. Większość środków ma charakter zapobiegawczy.

Proces planowania renowacji można podzielić na następujące etapy:

identyfikacja funkcji krytycznych organizacji, ustalanie priorytetów;

identyfikacja zasobów potrzebnych do wykonywania funkcji krytycznych;

ustalenie listy możliwych wypadków;

opracowanie strategii renaturyzacji;

przygotowanie do realizacji wybranej strategii;

sprawdzenie strategii.

Planując prace renowacyjne należy mieć świadomość, że nie zawsze możliwe jest pełne utrzymanie funkcjonowania organizacji. Należy zidentyfikować funkcje krytyczne, bez których organizacja traci swoje oblicze, a nawet ustalić priorytety wśród funkcji krytycznych, aby jak najszybciej i najskuteczniej minimalne koszty wznowić pracę po wypadku.

Identyfikując zasoby potrzebne do wykonywania funkcji krytycznych, należy pamiętać, że wiele z nich nie ma charakteru komputerowego. Na tym etapie wskazane jest zaangażowanie w prace specjalistów o różnych profilach.

Dlatego istnieje wiele różnych metod zapewnienia bezpieczeństwa informacji. Najbardziej efektywne jest zastosowanie wszystkich tych metod w jednym kompleksie. Współczesny rynek bezpieczeństwa jest dziś nasycony narzędziami zapewniającymi bezpieczeństwo informacji. Stale badając istniejącą ofertę rynku bezpieczeństwa, wiele firm dostrzega nieadekwatność wcześniej zainwestowanych środków w systemy bezpieczeństwa informacji, na przykład ze względu na starzenie się sprzętu i oprogramowania. Dlatego szukają rozwiązań tego problemu. Opcje takie mogą być dwie: z jednej strony całkowita wymiana korporacyjnego systemu ochrony informacji, co będzie wymagało dużych inwestycji, a z drugiej modernizacja istniejących systemów bezpieczeństwa. Ostatnia możliwość rozwiązania tego problemu jest najtańsza, ale niesie za sobą nowe problemy, wymaga np. odpowiedzi na następujące pytania: jak zapewnić kompatybilność starych, zachowanych z istniejących narzędzi bezpieczeństwa sprzętu i oprogramowania oraz nowych elementów system bezpieczeństwa informacji; jak zapewnić scentralizowane zarządzanie heterogenicznymi narzędziami bezpieczeństwa; jak ocenić i, jeśli to konieczne, ponownie ocenić ryzyko informacyjne firmy.

Rozdział 2. Analiza systemu bezpieczeństwa informacji

1 Zakres działalności spółki i analiza wskaźników finansowych

OJSC Gazprom to globalna firma energetyczna. Podstawową działalnością spółki są poszukiwania geologiczne, wydobycie, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej, a także produkcja i sprzedaż energii cieplnej i elektrycznej.

Gazprom swoją misję widzi w niezawodnym, efektywnym i zrównoważonym zaopatrzeniu odbiorców w gaz ziemny, inne rodzaje surowców energetycznych oraz ich przetworzone produkty.

Gazprom posiada najbogatsze na świecie zasoby gazu ziemnego. Jego udział w światowych zasobach gazu wynosi 18%, w Rosji - 70%. Gazprom odpowiada za 15% światowej i 78% rosyjskiej produkcji gazu. Obecnie spółka aktywnie realizuje zakrojone na szeroką skalę projekty zagospodarowania zasobów gazu Półwyspu Jamalskiego, szelfu arktycznego, Syberii Wschodniej i Dalekiego Wschodu, a także szereg projektów w zakresie poszukiwania i wydobycia węglowodorów za granicą.

Gazprom jest niezawodnym dostawcą gazu dla odbiorców rosyjskich i zagranicznych. Firma jest właścicielem największej na świecie sieci przesyłu gazu - jeden system dostawy gazu do Rosji, których długość przekracza 161 tys. km. Ponad połowę sprzedawanego przez siebie gazu Gazprom sprzedaje na rynku krajowym. Ponadto firma dostarcza gaz do 30 krajów bliższej i dalszej zagranicy.

Gazprom jest jedynym producentem i eksporterem skroplonego gazu ziemnego w Rosji i zapewnia około 5% światowej produkcji LNG.

Firma znajduje się w pierwszej piątce największych producentów ropy naftowej w Federacji Rosyjskiej, a także jest największym właścicielem aktywów wytwórczych na jej terytorium. Ich łączna moc zainstalowana stanowi 17% całkowitej mocy zainstalowanej rosyjskiego systemu energetycznego.

Celem strategicznym jest ugruntowanie pozycji OAO Gazprom na pozycji lidera wśród światowych koncernów energetycznych poprzez rozwój nowych rynków, dywersyfikację działalności i zapewnienie niezawodności dostaw.

Przyjrzyjmy się wynikom finansowym firmy za ostatnie dwa lata. Wyniki operacyjne spółki przedstawiono w załączniku nr 1.

Na dzień 31 grudnia 2010 roku przychody ze sprzedaży wyniosły 2 495 557 mln rubli, jest to liczba znacznie niższa w porównaniu z danymi za 2011 rok, czyli 3 296 656 mln rubli.

Przychody ze sprzedaży (bez podatku akcyzowego, VAT i ceł) wzrosły o 801 099 mln RUB, czyli o 32%, za okres dziewięciu miesięcy zakończony 30 września 2011 r. w porównaniu do tego samego okresu roku ubiegłego i wyniosły 3 296 656 mln RUB.

Na podstawie wyników roku 2011 przychody netto ze sprzedaży gazu stanowiły 60% ogółu przychodów netto ze sprzedaży (60% w analogicznym okresie ubiegłego roku).

Przychody netto ze sprzedaży gazu wzrosły z 1 495 335 mln RUB. za rok do 1 987 330 milionów rubli. w tym samym okresie 2011 r., czyli o 33%.

Przychody netto ze sprzedaży gazu do Europy i innych krajów wzrosły o 258 596 mln RUB, czyli o 34% w porównaniu do analogicznego okresu roku ubiegłego i wyniosły 1 026 451 mln RUB. Ogólny wzrost sprzedaży gazu do Europy i pozostałych krajów wynikał ze wzrostu średnich cen. Średnia cena w rublach (uwzględniająca cła) wzrosła o 21% za okres dziewięciu miesięcy zakończony 30 września 2011 roku w porównaniu do tego samego okresu 2010 roku. Ponadto wolumen sprzedaży gazu wzrósł o 8% w porównaniu do analogicznego okresu roku ubiegłego.

Przychody netto ze sprzedaży gazu do krajów byłego Związku Radzieckiego wzrosły w tym samym okresie 2010 roku o 168 538 mln rubli, tj. o 58%, i wyniosły 458 608 mln rubli. Zmiana ta wynikała przede wszystkim ze wzrostu sprzedaży gazu do byłego Związku Radzieckiego o 33% w okresie dziewięciu miesięcy zakończonym 30 września 2011 r. w porównaniu z tym samym okresem ubiegłego roku. Ponadto średnia cena w rublach (z cłami, pomniejszona o VAT) wzrosła o 15% w porównaniu z analogicznym okresem ubiegłego roku.

Przychody netto ze sprzedaży gazu w Federacji Rosyjskiej wzrosły o 64 861 mln RUB, tj. o 15%, w porównaniu do analogicznego okresu roku ubiegłego i wyniosły 502 271 mln RUB. Wynika to głównie ze wzrostu średniej ceny gazu o 13% w porównaniu do analogicznego okresu ubiegłego roku, co wiąże się ze wzrostem stawek ustalanych Służba federalna według taryf (FST).

Przychody netto ze sprzedaży produktów naftowych i gazowych (pomniejszone o podatek akcyzowy, VAT i cła) wzrosły o 213 012 mln rubli, czyli o 42%, i wyniosły 717 723 mln rubli. w porównaniu z tym samym okresem ubiegłego roku. Wzrost ten wynika głównie ze wzrostu światowych cen produktów naftowych i gazowych oraz wzrostu wolumenu sprzedaży w porównaniu z analogicznym okresem ubiegłego roku. Przychody Grupy Gazprom Neft wyniosły odpowiednio 85% i 84% całkowitych przychodów netto ze sprzedaży produktów naftowych i gazowych.

Przychody netto ze sprzedaży energii elektrycznej i cieplnej (bez VAT) wzrosły o 38 097 mln RUB, tj. o 19% i wyniosły 237 545 mln RUB. Wzrost przychodów ze sprzedaży energii elektrycznej i cieplnej wynika głównie ze wzrostu stawek za energię elektryczną i cieplną oraz wzrostu wolumenu sprzedaży energii elektrycznej i cieplnej.

Przychody netto ze sprzedaży ropy naftowej i kondensatu gazowego (pomniejszone o podatek akcyzowy, VAT i cła) wzrosły o 23 072 mln RUB, tj. o 16% i wyniosły 164 438 mln RUB. w porównaniu do 141 366 mln RUB. za ten sam okres ubiegłego roku. Zmiana wynika głównie ze wzrostu cen ropy naftowej i kondensatu gazowego. Dodatkowo zmiana spowodowana była wzrostem sprzedaży kondensatu gazowego. Przychody ze sprzedaży ropy naftowej wyniosły 133 368 mln RUB. i 121 675 milionów rubli. w przychodach netto ze sprzedaży ropy naftowej i kondensatu gazowego (pomniejszonych o podatek akcyzowy, VAT i cło) odpowiednio w latach 2011 i 2010.

Przychody netto ze sprzedaży usług transportu gazu (bez VAT) wzrosły o 15 306 mln RUB, tj. o 23% i wyniosły 82 501 mln RUB wobec 67 195 mln RUB. za ten sam okres ubiegłego roku. Wzrost ten wynika głównie ze wzrostu stawek za przesył gazu dla niezależnych dostawców oraz wzrostu wolumenów gazu. ѐ przeniesienia transportu gazu dla niezależnych dostawców w porównaniu do analogicznego okresu ubiegłego roku.

Pozostałe przychody wzrosły o 19 617 mln RUB, tj. o 22% i wyniosły 107 119 mln RUB. w porównaniu do 87,502 mln RUB. za ten sam okres ubiegłego roku.

Wydatki na działalność handlową bez faktycznej dostawy wyniosły 837 mln RUB. w porównaniu do dochodów w wysokości 5 786 mln RUB. za ten sam okres ubiegłego roku.

Koszty operacyjne wzrosły o 23% i wyniosły 2 119 289 mln RUB. w porównaniu do 1 726 604 mln RUB. za ten sam okres ubiegłego roku. Udział kosztów operacyjnych w przychodach ze sprzedaży spadł z 69% do 64%.

Koszty pracy wzrosły o 18% i wyniosły 267 377 mln RUB. w porównaniu do 227,500 mln RUB. za ten sam okres ubiegłego roku. Wzrost wynika głównie ze wzrostu przeciętnego wynagrodzenia.

Amortyzacja za analizowany okres wzrosła o 9%, czyli o 17 026 mln rubli i wyniosła 201 636 mln rubli w porównaniu do 184 610 mln rubli. za ten sam okres ubiegłego roku. Wzrost wynikał głównie z rozbudowy bazy środków trwałych.

W wyniku działania powyższych czynników zysk ze sprzedaży wzrósł o 401 791 mln RUB, tj. o 52% i wyniósł 1 176 530 mln RUB. w porównaniu do 774 739 mln RUB. za ten sam okres ubiegłego roku. Marża zysku ze sprzedaży wzrosła z 31% do 36% za dziewięć miesięcy zakończonych 30 września 2011 r.

Zatem OJSC Gazprom jest globalną firmą energetyczną. Podstawową działalnością spółki są poszukiwania geologiczne, wydobycie, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej, a także produkcja i sprzedaż energii cieplnej i elektrycznej. Sytuacja finansowa spółki jest stabilna. Wskaźniki wydajności wykazują pozytywną dynamikę.

2 Opis systemu bezpieczeństwa informacji w firmie

Rozważmy główne obszary działalności oddziałów Służby Ochrony Korporacyjnej OJSC Gazprom:

rozwój ukierunkowane programy w sprawie rozwoju systemów i kompleksów inżynierii i sprzętu bezpieczeństwa technicznego (ITSO), systemów bezpieczeństwa informacji (IS) OJSC Gazprom oraz jej spółek zależnych i organizacji, udział w tworzeniu programu inwestycyjnego mającego na celu zapewnienie bezpieczeństwa informacji i technicznego;

realizacja uprawnień Klienta w zakresie rozwoju systemów bezpieczeństwa informacji, a także systemów i kompleksów ITSO;

rozpatrywanie i zatwierdzanie wniosków budżetowych i budżetów na realizację działań w zakresie rozwoju systemów bezpieczeństwa informacji, systemów i kompleksów ITSO, a także tworzenia IT w zakresie systemów bezpieczeństwa informacji;

opiniowanie i zatwierdzanie dokumentacji projektowej i przedprojektowej rozwoju systemów bezpieczeństwa informacji, systemów i zespołów ITSO oraz specyfikacji technicznych tworzenia (modernizacji) systemów informatycznych, systemów łączności i telekomunikacji pod kątem wymagań bezpieczeństwa informacji;

organizacja prac mających na celu ocenę zgodności systemów i kompleksów ITSO, systemów bezpieczeństwa informacji (oraz robót i usług związanych z ich tworzeniem) z ustalonymi wymaganiami;

koordynacja i kontrola realizacji prac zabezpieczenie techniczne Informacja.

Gazprom stworzył system zapewniający ochronę danych osobowych. Jednak akceptacja władze federalne Władza wykonawcza szeregu regulacyjnych aktów prawnych w rozwoju istniejących przepisów ustawowych i rozporządzeń rządowych powoduje konieczność udoskonalenia obecnego systemu ochrony danych osobowych. W celu rozwiązania tego problemu opracowano i zatwierdza się w ramach prac badawczych szereg dokumentów. Przede wszystkim są to projekty standardów Organizacji Rozwoju Gazpromu:

„Metodologia klasyfikacji systemów informatycznych danych osobowych OAO Gazprom, jego spółek zależnych i organizacji”;

„Model zagrożeń danych osobowych podczas ich przetwarzania w systemach informatycznych OAO Gazprom, jej spółek zależnych i organizacji.”

Dokumenty te zostały opracowane z uwzględnieniem wymogów Dekretu Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. Nr 781 „W sprawie zatwierdzenia Regulaminu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” w w odniesieniu do klasy systemów specjalnych, do których zalicza się większość OJSC ISPDn „Gazprom”.

Ponadto „Regulamin organizacji i pomoc techniczna bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych OAO Gazprom, jej spółek zależnych i organizacji.”

Należy zauważyć, że w ramach systemu standaryzacji OJSC Gazprom opracowano standardy systemu bezpieczeństwa informacji, które umożliwią także rozwiązanie problemów ochrony danych osobowych przetwarzanych w systemach informatycznych OJSC Gazprom.

Zatwierdzono i wchodzi w życie w tym roku siedem standardów związanych z systemem bezpieczeństwa informacji.

Normy określają podstawowe wymagania dotyczące budowy systemów bezpieczeństwa informacji dla OAO Gazprom i jego spółek zależnych.

Wyniki przeprowadzonych prac pozwolą na bardziej racjonalne wykorzystanie zasobów materialnych, finansowych i intelektualnych, stworzą niezbędne wsparcie regulacyjne i metodyczne, wprowadzą skuteczne środki ochrony, a w efekcie zapewnią bezpieczeństwo danych osobowych przetwarzanych w systemie informacyjnym systemów OAO Gazprom.

W wyniku analizy bezpieczeństwa informacji OJSC Gazprom zidentyfikowano następujące niedociągnięcia w zapewnieniu bezpieczeństwa informacji:

organizacja nie posiada jednego dokumentu regulującego kompleksową politykę bezpieczeństwa;

Biorąc pod uwagę wielkość sieci i liczbę użytkowników (ponad 100), należy zauważyć, że administracja systemem, bezpieczeństwo informacji i pomoc techniczna jedna osoba jest zaangażowana;

nie ma klasyfikacji aktywów informacyjnych według stopnia ważności;

role i obowiązki związane z bezpieczeństwem informacji nie są zawarte w opisach stanowisk;

w umowie o pracę zawartej z pracownikiem nie ma klauzuli dotyczącej odpowiedzialności za bezpieczeństwo informacji zarówno zatrudnionych, jak i samej organizacji;

nie zapewnia się szkolenia personelu w zakresie bezpieczeństwa informacji;

z punktu widzenia ochrony zagrożenia zewnętrzne: nie opracowano typowych procedur postępowania w zakresie odzyskiwania danych po wypadkach, które powstały na skutek zagrożeń zewnętrznych i środowiskowych;

serwerownia nie jest odrębnym pomieszczeniem, pomieszczeniu przypisano status dwóch działów (do serwerowni, oprócz administratora systemu, ma dostęp jeszcze jedna osoba);

nie przeprowadza się sondowań technicznych i badań fizycznych pod kątem nieautoryzowanych urządzeń podłączonych do kabli;

pomimo tego, że wpis odbywa się za pomocą przepustek elektronicznych, a wszystkie informacje wprowadzane są do specjalnej bazy danych, nie przeprowadza się ich analizy;

w zakresie ochrony przed złośliwym oprogramowaniem: nie istnieje formalna polityka chroniąca przed zagrożeniami związanymi z otrzymywaniem plików z lub za pośrednictwem sieci zewnętrznych lub znajdujących się na nośnikach wymiennych;

w zakresie ochrony przed złośliwym oprogramowaniem: nie ma wytycznych dotyczących ochrony sieci lokalnej przed złośliwym kodem;

nie ma kontroli ruchu, jest dostęp serwery pocztowe sieci zewnętrzne;

wszystkie kopie zapasowe przechowywane są w serwerowni;

używane są niepewne, łatwe do zapamiętania hasła;

otrzymanie haseł przez użytkowników nie jest w żaden sposób potwierdzane;

hasła są przechowywane przez administratora w postaci zwykłego tekstu;

hasła nie ulegają zmianie;

Nie istnieje procedura raportowania zdarzeń związanych z bezpieczeństwem informacji.

Tym samym, w oparciu o te braki, opracowano zbiór przepisów dotyczących polityki bezpieczeństwa informacji, obejmujący:

polityki dotyczące zatrudniania (zwalniania) i nadawania (pozbawiania) pracowników niezbędnych uprawnień dostępu do zasobów systemowych;

politykę dotyczącą pracy użytkowników sieci w trakcie jej funkcjonowania;

polityka ochrony haseł;

polityka dotycząca organizacji ochrony fizycznej;

Polityka internetowa;

a także administracyjne środki bezpieczeństwa.

Dokumenty zawierające niniejszy regulamin są na etapie rozpatrywania przez kierownictwo organizacji.

3 Opracowanie zestawu działań modernizujących istniejący system bezpieczeństwa informacji

W wyniku analizy systemu bezpieczeństwa informacji OJSC Gazprom zidentyfikowano istotne luki w systemie. W celu opracowania działań eliminujących zidentyfikowane braki w systemie bezpieczeństwa wyróżnimy następujące grupy informacji, które podlegają ochronie:

informacje o życiu prywatnym pracowników umożliwiające ich identyfikację (dane osobowe);

informacje związane z działalność zawodowa oraz elementy tajemnicy bankowej, audytorskiej i komunikacyjnej;

informacje związane z działalnością zawodową i oznaczone jako informacje „do użytku służbowego”;

informacji, których zniszczenie lub modyfikacja będzie miała negatywny wpływ na efektywność operacyjną, a odtworzenie będzie wymagało dodatkowych kosztów.

Z punktu widzenia działań administracyjnych opracowano następujące zalecenia:

system bezpieczeństwa informacji musi być zgodny z ustawodawstwem Federacji Rosyjskiej i standardami państwowymi;

budynki i pomieszczenia, w których są zainstalowane lub przechowywane urządzenia do przetwarzania informacji, w których prowadzona jest praca z informacjami chronionymi, muszą być strzeżone i chronione za pomocą środków alarmowych i kontroli dostępu;

przy zatrudnianiu pracownika należy zorganizować szkolenie personelu w zakresie bezpieczeństwa informacji (wyjaśnienie znaczenia ochrony hasłem i wymagań dotyczących haseł, przeprowadzenie szkoleń z oprogramowania antywirusowego itp.);

przeprowadzać co 6-12 miesięcy szkolenia mające na celu podniesienie poziomu wiedzy pracowników w zakresie bezpieczeństwa informacji;

audyt systemu i dostosowania do opracowanych przepisów należy przeprowadzać corocznie, 1 października lub bezpośrednio po wprowadzeniu istotnych zmian w strukturze przedsiębiorstwa;

uprawnienia dostępu każdego użytkownika do zasobów informacyjnych muszą być udokumentowane (w razie potrzeby należy uzyskać dostęp od kierownika na piśmie);

o zapewnienie polityki bezpieczeństwa informacji musi zadbać administrator oprogramowania i administrator oprogramowania sprzęt komputerowy, ich działania koordynuje lider grupy.

Sformułujmy politykę haseł:

nie przechowuj ich w formie niezaszyfrowanej (nie zapisuj ich na papierze, w zwykłym formacie plik tekstowy i tak dalej.);

zmienić hasło w przypadku jego ujawnienia lub podejrzenia o ujawnienie;

długość musi wynosić co najmniej 8 znaków;

Hasło musi zawierać duże i małe litery, cyfry oraz znaki specjalne, hasło nie może zawierać łatwych do obliczenia ciągów znaków (imiona, imiona zwierząt, daty);

zmieniać raz na 6 miesięcy (nieplanowana zmiana hasła musi zostać dokonana niezwłocznie po otrzymaniu powiadomienia o zdarzeniu, które spowodowało zmianę);

Zmieniając hasła, nie można wybrać tych, które były wcześniej używane (hasła muszą różnić się co najmniej o 6 pozycji).

Sformułujmy politykę dotyczącą programów antywirusowych i wykrywania wirusów:

Na każdej stacji roboczej musi być zainstalowane licencjonowane oprogramowanie antywirusowe;

aktualizacja antywirusowe bazy danych na stanowiskach pracy z dostępem do Internetu – raz dziennie, bez dostępu do Internetu – co najmniej raz w tygodniu;

ustawić automatyczne skanowanie stacji roboczych w poszukiwaniu wirusów (częstotliwość kontroli – raz w tygodniu: piątek, godz. 12:00);

Tylko administrator może przerwać aktualizację antywirusowej bazy danych lub skanowanie antywirusowe (dla określonej akcji użytkownika należy ustawić ochronę hasłem).

Sformułujmy politykę dotyczącą ochrony fizycznej:

sondowanie techniczne i badanie fizykalne pod kątem nieautoryzowanych urządzeń podłączonych do kabli należy przeprowadzać co 1-2 miesiące;

kable sieciowe muszą być chronione przed nieuprawnionym przechwyceniem danych;

zapisy wszystkich podejrzewanych i rzeczywistych awarii, które wystąpiły w sprzęcie, muszą być przechowywane w dzienniku

Każde stanowisko pracy musi być wyposażone w zasilacz awaryjny.

Zdefiniujmy politykę dotyczącą rezerwacji informacji:

na kopie zapasowe należy wydzielić osobne pomieszczenie, zlokalizowane na zewnątrz budynku administracyjnego (pomieszczenie powinno być wyposażone w zamek elektroniczny i alarm);

Rezerwacji informacyjnych należy dokonać w każdy piątek o godzinie 16:00.

Polityka dotycząca zatrudniania/zwalniania pracowników powinna wyglądać następująco:

wszelkie zmiany personalne (zatrudnienie, awans, zwolnienie pracownika itp.) należy zgłosić administratorowi w ciągu 24 godzin, który z kolei w ciągu pół dnia roboczego musi dokonać odpowiednich zmian w systemie rozgraniczenia uprawnień do zasobów przedsiębiorstwa;

nowy pracownik musi przejść szkolenie prowadzone przez administratora, obejmujące zapoznanie się z polityką bezpieczeństwa i wszelkimi niezbędnymi instrukcjami, poziom dostępu do informacji nowemu pracownikowi wyznacza przełożony;

Gdy pracownik opuści system, jego identyfikator i hasło są usuwane, stacja robocza jest sprawdzana pod kątem obecności wirusów i analizowana jest integralność danych, do których pracownik miał dostęp.

Polityka dotycząca pracy z lokalną siecią wewnętrzną (LAN) i bazami danych (DB):

podczas pracy na swoim stanowisku pracy i w sieci LAN pracownik może wykonywać wyłącznie zadania bezpośrednio związane z jego czynnościami służbowymi;

Pracownik ma obowiązek powiadamiać administratora o komunikatach programów antywirusowych o pojawieniu się wirusów;

nikt poza administratorami nie może wprowadzać zmian w projekcie lub konfiguracji stacji roboczych i innych węzłów sieci LAN, instalować żadnego oprogramowania, pozostawiać stacji roboczej bez kontroli ani umożliwiać dostępu do niej osobom nieupoważnionym;

Administratorom zaleca się, aby przez cały czas mieli uruchomione dwa programy: narzędzie do wykrywania ataków fałszujących ARP i sniffer, których użycie pozwoli im zobaczyć sieć oczami potencjalnego intruza i zidentyfikować osoby naruszające zasady bezpieczeństwa;

Należy zainstalować oprogramowanie uniemożliwiające uruchomienie programów innych niż wyznaczone przez administratora, kierując się zasadą: „Każda osoba otrzymuje uprawnienia niezbędne do wykonywania określonych zadań”. Wszystkie nieużywane porty komputera muszą być wyłączone sprzętowo lub programowo;

Oprogramowanie powinno być regularnie aktualizowane.

Polityka internetowa:

administratorom przysługuje prawo do ograniczenia dostępu do zasobów, których treść nie jest związana z wykonywaniem obowiązków służbowych, a także do zasobów, których treść i zakres są zabronione przez ustawodawstwo międzynarodowe i rosyjskie;

pracownikowi nie wolno pobierać i otwierać plików bez uprzedniego sprawdzenia pod kątem wirusów;

wszelkie informacje o zasobach odwiedzanych przez pracowników firmy powinny być zapisywane w logu i w razie potrzeby udostępniane kierownikom działów i kierownictwu

poufność i integralność korespondencji elektronicznej oraz dokumentów biurowych zapewniana jest poprzez stosowanie podpisów cyfrowych.

Ponadto sformułowamy podstawowe wymagania dotyczące tworzenia haseł dla pracowników firmy OJSC Gazprom.

Hasło jest jak klucz do domu, tyle że jest kluczem do informacji. W przypadku zwykłych kluczy niezwykle niepożądane jest zgubienie, kradzież lub przekazanie nieznajomemu. To samo tyczy się hasła. Oczywiście bezpieczeństwo informacji nie zależy tylko od hasła, aby je zapewnić, należy ustawić szereg specjalnych ustawień, a być może nawet napisać program chroniący przed włamaniem. Ale wybór hasła to właśnie działanie, w którym tylko od użytkownika zależy, jak silne będzie to ogniwo w łańcuchu działań mających na celu ochronę informacji.

) hasło musi być długie (8-12-15 znaków);

) nie powinno być słowem ze słownika (jakiegokolwiek słownika, nawet słownika terminów specjalnych i slangu), nazwą własną ani słowem zapisanym cyrylicą w układzie łacińskim (łac. kfnsym);

) nie można go powiązać z właścicielem;

) zmienia się okresowo lub w miarę potrzeb;

) nie jest używany w tym charakterze na różnych zasobach (tj. dla każdego zasobu - do wejścia Skrzynka pocztowa, systemu operacyjnego lub bazy danych – musisz użyć własnego hasła, innego niż pozostałe);

) da się to zapamiętać.

Wybieranie słów ze słownika jest niepożądane, ponieważ osoba atakująca przeprowadzająca atak słownikowy użyje programów zdolnych przeszukiwać do setek tysięcy słów na sekundę.

Wszelkie informacje powiązane z właścicielem (data urodzenia, imię psa, nazwisko panieńskie matki i podobne „hasła”) można łatwo rozpoznać i odgadnąć.

Użycie wielkich i małych liter oraz cyfr znacznie komplikuje zadanie atakującemu polegające na odgadnięciu hasła.

Hasło należy zachować w tajemnicy, a jeśli podejrzewasz, że ktoś je poznał, zmień je. Bardzo przydatne jest również ich zmienianie od czasu do czasu.

Wniosek

Badanie pozwoliło wyciągnąć następujące wnioski i sformułować rekomendacje.

Ustalono, że główną przyczyną problemów przedsiębiorstwa w zakresie bezpieczeństwa informacji jest brak polityki bezpieczeństwa informacji, która obejmowałaby kwestie organizacyjne, techniczne, rozwiązania finansowe z późniejszym monitorowaniem ich realizacji i oceną efektywności.

Definicja polityki bezpieczeństwa informacji formułowana jest jako zbiór udokumentowanych decyzji, których celem jest zapewnienie ochrony informacji i związanych z nią zagrożeń informacyjnych.

Analiza systemu bezpieczeństwa informacji ujawniła istotne niedociągnięcia, do których zaliczają się:

przechowywanie kopii zapasowych w serwerowni, serwer zapasowy znajduje się w tym samym pomieszczeniu, co serwery główne;

brak odpowiednich zasad dotyczących ochrony hasłem (długość hasła, zasady jego wyboru i przechowywania);

administracją siecią zajmuje się jedna osoba.

Uogólnienie międzynarodowej i rosyjskiej praktyki w zakresie zarządzania bezpieczeństwem informacji w przedsiębiorstwach pozwoliło stwierdzić, że aby to zapewnić, konieczne jest:

prognozowanie i terminowa identyfikacja zagrożeń bezpieczeństwa, przyczyn i warunków sprzyjających wyrządzeniu szkód finansowych, materialnych i moralnych;

tworzenie warunków działania przy jak najmniejszym ryzyku wprowadzenia zagrożeń bezpieczeństwa zasobów informacyjnych i powodowania różne rodzaje szkoda;

stworzenie mechanizmu i warunków skutecznego reagowania na zagrożenia bezpieczeństwa informacji w oparciu o środki prawne, organizacyjne i techniczne.

W pierwszym rozdziale pracy omówiono główne aspekty teoretyczne. Podano przegląd kilku standardów z zakresu bezpieczeństwa informacji. Wyciągane są wnioski dla każdego z nich i jako całość oraz wybierany jest najwłaściwszy standard kształtowania polityki bezpieczeństwa informacji.

Rozdział drugi bada strukturę organizacji i analizuje główne problemy związane z bezpieczeństwem informacji. W efekcie powstały rekomendacje mające na celu zapewnienie odpowiedniego poziomu bezpieczeństwa informacji. Rozważane są również środki zapobiegające dalszym incydentom związanym z naruszeniami bezpieczeństwa informacji.

Oczywiście zapewnienie bezpieczeństwa informacji organizacji to proces ciągły, który wymaga stałego monitorowania. A naturalnie uformowana polityka nie jest żelazną gwarancją ochrony. Oprócz realizacji polityki wymagane jest stałe monitorowanie jakości jej realizacji, a także doskonalenia w przypadku jakichkolwiek zmian w firmie lub precedensów. Zalecono organizacji zatrudnienie pracownika, którego działalność będzie bezpośrednio związana z tymi funkcjami (administrator bezpieczeństwa).

Bibliografia

bezpieczeństwo informacji, szkody finansowe

1. Belov E.B. Podstawy bezpieczeństwa informacji. E.B. Biełow, V.P. Los, R.V. Meshcheryakov, A.A. Szelupanow. -M.: Infolinia- Telekomunikacja, 2006. - 544s

Galatenko V.A. Standardy bezpieczeństwa informacji: cykl wykładów. Edukacyjny

dodatek. - II edycja. M.: INTUIT.RU „Internetowy Uniwersytet Technologii Informacyjnych”, 2009. - 264 s.

Glatenko V.A. Standardy Bezpieczeństwa Informacji / Systemy Otwarte 2006.- 264c

Dołżenko A.I. Zarządzanie systemami informatycznymi: Kurs treningowy. - Rostów nad Donem: RGEU, 2008.-125 s.

Kałasznikow A. Stworzenie korporacyjnej polityki wewnętrznego bezpieczeństwa informacji #"uzasadnij">. Malyuk A.A. Bezpieczeństwo informacji: koncepcyjne i metodologiczne podstawy ochrony informacji / M.2009-280s

Mayvold E., Bezpieczeństwo sieci. Instrukcja samokształcenia // Ekom, 2009.-528 s.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Podstawy wsparcia organizacyjnego dla bezpieczeństwa informacji obiektów informatyzacji // Helios ARV, 2008, 192 s.