Жақсы жұмысыңызды білім қорына жіберу оңай. Төмендегі пішінді пайдаланыңыз
Білім қорын оқу мен жұмыста пайдаланатын студенттер, аспиранттар, жас ғалымдар сізге шексіз алғысын білдіреді.
http://www.allbest.ru/ сайтында жарияланған.
КУРСТЫҚ ЖОБА
«Ақпараттық қауіпсіздік» пәні бойынша
Тақырыбына
«Жүйені жетілдіру ақпараттық қауіпсіздікқосулы
«Овен» ЖШС
Кіріспе
Ақпараттық қауіпсіздік туралы айтатын болсақ, біз қазіргі уақытта, қатаң айтқанда, компьютерлік қауіпсіздікті айтамыз. Шынында да, ақпарат табылды электронды БАҚөмірде барған сайын маңызды рөл атқарады қазіргі қоғам. Мұндай ақпараттың осалдығы бірқатар факторларға байланысты: үлкен көлемдер, қол жеткізудің көп нүктелі және ықтимал анонимділігі, «ақпараттық диверсия» мүмкіндігі... Осының барлығы компьютерлік ортада орналасқан ақпараттың қауіпсіздігін қамтамасыз ету міндетін өте маңызды етеді. дәстүрлі пошта хат-хабарларының құпиясын сақтаудан гөрі әлдеқайда күрделі мәселе.
Егер дәстүрлі тасымалдаушыларда (қағаз, фотосуреттер және т. Мұндай ақпаратты қорғаудың басқа аспектілері табиғи және техногендік апаттарға қатысты. Осылайша, тұтастай алғанда «компьютерлік» ақпараттық қауіпсіздік түсінігі «дәстүрлі» БАҚ қатысты ақпараттық қауіпсіздікпен салыстырғанда кеңірек.
Әртүрлі деңгейлердегі (мемлекеттік, аймақтық, бір ұйымның деңгейі) ақпараттық қауіпсіздік мәселесін шешу тәсілдерінің айырмашылығы туралы айтатын болсақ, онда мұндай айырмашылықтар жай ғана болмайды. «Сайлау» мемлекеттік автоматтандырылған жүйесінің қауіпсіздігін қамтамасыз ету тәсілінің қауіпсіздікті қамтамасыз ету тәсілінен еш айырмашылығы жоқ. жергілікті желішағын компанияда. Сондықтан бұл жұмыста ақпараттық қауіпсіздікті қамтамасыз ету принциптері бөлек ұйым қызметінің мысалдары арқылы талқыланады.
Курстық жобаның мақсаты – «Aries» жауапкершілігі шектеулі серіктестігінің ақпараттық қауіпсіздік жүйесін жетілдіру. Курстық жұмыстың міндеттері «Овен» ЖШС-ға, оның ресурстарына, құрылымына және кәсіпорындағы бар ақпараттық қауіпсіздік жүйесіне талдау жасау және оны жетілдіру әдістерін іздеу болып табылады.
Бірінші кезеңде ақпараттық қауіпсіздік жүйесіне талдау жүргізіледі. Алынған нәтижелер бойынша екінші кезеңде, егер бар болса, ақпараттық қауіпсіздікті жақсарту әдістері іздестіріледі. әлсіз жақтарыосы жүйеде.
1. «Aries» ЖШС ақпараттық қауіпсіздік жүйесін талдау
1.1 Кәсіпорынның сипаттамасы. Кәсіпорынның ұйымдық-штаттық құрылымы. Ақпараттық ресурстармен және оларды қорғаумен айналысатын қызмет
Кәсіпорынның толық корпоративтік атауы – «Овен» жауапкершілігі шектеулі серіктестігі. Компанияның қысқартылған атауы - Oven LLC. Әрі қарай Қоғам мәтінінде. Компанияның филиалдары немесе өкілдіктері жоқ, оның жалғыз орталығы Пермь өлкесінде, Суксунск ауданы, Мартьяново ауылында орналасқан.
Серіктестік 1990 жылы шағын шаруашылық ретінде құрылған және үш құрылтайшысы болған. Шаруа қожалығы 1998 жылы шаруа қожалығы болып қайта құрылғаннан кейін жалғыз құрылтайшысы қалды. Соңғы рет қайта құру 2004 жылдың сәуірінде болды. 1 сәуірден бастап серіктестік «Овен» жауапкершілігі шектеулі серіктестігі ретінде белгілі болды.
Серіктестіктің негізгі қызметі – ауылшаруашылық өнімдерін, тұқымдық материалдарды өсіру, ауыл шаруашылығы өнімдерін сату. Бүгінгі таңда Ресейде компания картоп өсіру кәсіпорындары арасында он үшінші және Пермь облысында бірінші орында.
Заңды мекенжайы: Ресей, 617553, Пермь облысы, Суксунский, Мартьяново ауылы.
Жалпы кәсіпорынның мақсаттары:
· Негізгі қызметтен пайда алу.
· Өнімнің бәсекеге қабілеттілігін арттыру және өткізу нарықтарын кеңейту.
· Инвестициялық және басқа жобаларды жүзеге асыру үшін капиталды шоғырландыру және инвестициялық ресурстарды ұлғайту.
Компанияның миссиясы:
1. Нарықтағы жетекші орынды иеленуді жалғастыру.
2. Тұқым шаруашылығын құру.
Кәсіпорынның ұйымдық құрылымы.
Кәсіпорында сызықтық-функционалдық құрылым қолданылады. Сызықтық-функционалдық құрылымда қызметтер иерархиясы қалыптасады. Бұл құрылымда функционалдық бөлімдердің басшылары функционалдық мәселелер бойынша басшылықтың келесі деңгейіне бұйрықтар беруге құқылы.
Кәсіпорынның құрылымы 1-суретте көрсетілген.
http://www.allbest.ru/ сайтында жарияланған.
http://www.allbest.ru/ сайтында жарияланған.
1-сурет – «Aries» ЖШС ұйымдық құрылымы
1.2 Кәсіпорынның ақпараттық ресурстарын талдау және сипаттамалары
Бүгінгі күні барлығын корпоративтік ақпараттың қауіпсіздігі алаңдатады. Деректерді қорғауға арналған жеке бағдарламалар мен тұтас кешендер барған сайын танымал бола түсуде. Дегенмен, сіз қалағаныңызша сенімді қорғанысқа ие бола аласыз, бірақ маңызды ақпаратты жоғалта аласыз деп ешкім ойламайды. Өйткені сіздің қызметкерлеріңіздің бірі оны елеусіз санап, көпшіліктің назарына салады. Ал егер сіз бұдан қорғалғаныңызға сенімді болсаңыз, онда сіз қатты қателесесіз. Бір қарағанда, мұндай жағдай әзіл сияқты шындыққа жанаспайды. Дегенмен, бұл орын алады және жиі болады. Шынында да, көп жағдайда ақпараттық қауіпсіздік мәселелерімен айналысатын техникалық персонал әрқашан қандай деректерді жасыру керектігін және нені жасыру керектігін түсінбейді. Түсіну үшін сіз барлық ақпаратты бөлшектеуіңіз керек әртүрлі түрлері, олар әдетте типтер деп аталады және олардың арасындағы шекараларды нақты анықтайды.
Шын мәнінде, компьютерлік ақпараттық қауіпсіздіктің кешенді жүйелерін жеткізуге маманданған барлық компаниялар деректерді бөлуді ескереді. әртүрлі түрлері. Мұнда тек сақ болу керек. Батыс өнімдері халықаралық стандарттарға сәйкес келеді (атап айтқанда, ISO 17799 және басқалары). Олардың айтуынша, барлық деректер үш түрге бөлінеді: ашық, құпия және қатаң құпия. Сонымен қатар, біздің елде қолданыстағы заңнамаға сәйкес, сәл басқаша айырмашылық қолданылады: ашық ақпарат, ішкі пайдалануға арналған және құпия.
Ашық деп басқа тұлғаларға еркін берілуі мүмкін, сондай-ақ бұқаралық ақпарат құралдарында орналастырылатын кез келген ақпаратты білдіреді. Көбінесе ол пресс-релиз, конференцияларда, презентациялар мен көрмелерде сөйлеген сөздер және статистиканың жеке (әрине, жағымды) элементтері түрінде беріледі. Сонымен қатар, бұл классификация ашық сыртқы көздерден алынған барлық деректерді қамтиды. Және, әрине, корпоративтік веб-сайтқа арналған ақпараттар да ашық болып саналады.
Бір қарағанда, ашық ақпарат қорғауды қажет етпейтін сияқты. Дегенмен, адамдар деректерді ұрлауға ғана емес, сонымен бірге ауыстыруға болатындығын ұмытып кетеді. Сондықтан ашық ақпараттың тұтастығын сақтау өте маңызды міндет болып табылады. Әйтпесе, алдын ала дайындалған пресс-релиздің орнына түсініксіз нәрсеге қол жеткізуіңіз мүмкін. Немесе корпоративтік веб-сайттың басты беті қорлайтын жазулармен ауыстырылады. Сондықтан ашық ақпараттар да қорғауды қажет етеді.
Кез келген басқа кәсіпорын сияқты компанияда да бар ашық ақпарат, негізінен әлеуетті инвесторларға көрсетілетін презентацияларда қамтылған.
Ішкі пайдалануға арналған ақпарат қызметкерлер өздерінің кәсіби міндеттерін орындау үшін пайдаланатын кез келген деректерді қамтиды. Бірақ бұл бәрі емес. Бұл санат әртүрлі бөлімшелер немесе филиалдар арасында олардың функционалдығын қамтамасыз ету үшін алмасатын барлық ақпаратты қамтиды. Ақырында, деректердің осы категориясына жататын деректердің соңғы түрі ашық көздерден алынған және өңдеуге (құрылымдау, өңдеу, нақтылау) ұшыраған ақпарат болып табылады.
Шындығында, бұл ақпараттың бәрі бәсекелестердің немесе шабуылдаушылардың қолына түссе де, компанияға елеулі зиян келтіре алмайды. Дегенмен, оны ұрлаудан әлі де біраз зиян болуы мүмкін. Қызметкерлер бастығына оны қызықтыратын тақырып бойынша жаңалықтар жинады делік, олардың арасында ең маңызды хабарларды таңдап, оларды белгіледі. Мұндай дайджест ішкі қолдану үшін анық ақпарат (ақпарат ашық көздерден алынған және өңделген). Бір қарағанда, оны алған бәсекелестер одан пайда көре алмайтын сияқты. Бірақ іс жүзінде олар сіздің компанияңыздың басшылығының қай қызмет саласына қызығушылық танытатынын болжай алады және кім біледі, мүмкін олар сізден озып кетуі мүмкін. Сондықтан ішкі пайдалануға арналған ақпарат тек ауыстырудан ғана емес, рұқсатсыз кіруден де қорғалуы керек. Рас, көп жағдайда сіз жергілікті желінің қауіпсіздігімен шектеле аласыз, өйткені бұған үлкен соманы жұмсау экономикалық тұрғыдан тиімді емес.
Кәсіпорын сонымен қатар әртүрлі есептерде, тізімдерде, үзінділерде және т.б. қамтылған ақпараттың бұл түрін ұсынады.
Құпия ақпарат – қол жеткізу заңға сәйкес шектелген құжатталған ақпарат Ресей Федерациясыжалпыға қолжетімді емес және ашылған жағдайда оны берген тұлғаның құқықтары мен заңмен қорғалатын мүдделеріне зиян келтіруі мүмкін. Осы жіктеуге жататын деректер тізбесін мемлекет белгілейді. Қазіргі уақытта ол мыналар болып табылады: жеке мәліметтер, коммерциялық, қызметтік немесе кәсіби құпияны құрайтын мәліметтер, тергеу және іс жүргізу құпиясы болып табылатын мәліметтер. Сонымен қатар, соңғы кездері өнертабыстың немесе ғылыми жаңалықтың мәні туралы мәліметтер оның ресми жарияланғанға дейін құпия ретінде жіктеле бастады.
Кәсіпорындағы құпия ақпаратқа мыналар жатады: даму жоспары, зерттеу жұмыстары, техникалық құжаттама, сызбалар, пайданы бөлу, келісім-шарттар, есептер, ресурстар, серіктестер, келіссөздер, келісім-шарттар, сонымен қатар басқару және жоспарлау ақпараты.
Кәсіпорында жиырмаға жуық ДК бар. Кәсіпорында жергілікті желінің болуына келетін болсақ, қоғамдағы дербес компьютерлер біріктірілмеген жалғыз желі. Сонымен қатар, барлық компьютерлер жабдықталған стандартты жиынтық кеңсе бағдарламаларыЖәне бухгалтерлік есеп бағдарламалары. Үш компьютерде WAN минипорты арқылы Интернетке кіру мүмкіндігі бар. Алайда кәсіпорында бірде-бір компьютер антивирустық бағдарламамен жабдықталмаған. Ақпарат алмасу тасымалдағыштар арқылы жүзеге асырылады: флэш-дискілер, иілгіш дискілер. «Дәстүрлі» медиадағы барлық ақпарат құлыпталмаған шкафтарда орналасқан. Ең маңызды құжаттар сейфке қойылады, оның кілттері хатшыда сақталады.
ақпаратты қорғау қауіпсіздігі
1.3 Кәсіпорындағы ақпаратты қорғаудың қауіптері мен құралдары
Ақпараттық қауіпсіздікке қатер – ақпараттың ағып кетуімен және/немесе оған рұқсат етілмеген және/немесе қасақана әсер етумен байланысты ықтимал немесе нақты қауіп тудыратын жағдайлар мен факторлардың жиынтығы.
Ақпараттық қауіпсіздік объектілеріне әсер ету әдістері бойынша қоғамға қатысы бар қауіптер келесідей жіктелуге жатады: ақпараттық, бағдарламалық, физикалық, ұйымдастырушылық және құқықтық.
Ақпараттық қауіптерге мыналар жатады:
· ақпараттық ресурстарға рұқсатсыз қол жеткізу;
· мұрағаттар мен мәліметтер қорынан ақпаратты ұрлау;
· ақпаратты өңдеу технологиясын бұзу;
· ақпаратты заңсыз жинау және пайдалану;
Бағдарламалық қамтамасыз ету қауіптеріне мыналар жатады:
· компьютерлік вирустарЖәне зиянды бағдарлама;
Физикалық қауіптерге мыналар жатады:
· ақпаратты өңдеу және байланыс құралдарын жою немесе жою;
· сақтау құралдарын ұрлау;
· персоналға әсер ету;
Ұйымдастырушылық және құқықтық қауіптерге мыналар жатады:
· жетілмеген немесе ескірген ақпараттық технологиялар мен ақпараттық құралдарды сатып алу;
Ақпаратты қорғау құралдары – бұл инженерлік, электрлік, электронды, оптикалық және басқа да құрылғылар мен құрылғылардың, құрылғылардың және құрылғылардың жиынтығы техникалық жүйелер, сондай-ақ ақпаратты қорғаудың әртүрлі мәселелерін шешу үшін пайдаланылатын басқа да материалдық элементтер, оның ішінде ағып кетудің алдын алу және қорғалған ақпараттың қауіпсіздігін қамтамасыз ету.
Кәсіпорында қолданылатын ақпаратты қорғау құралдарын қарастырайық. Олардың барлығы төртеуі бар (аппараттық, бағдарламалық, аралас, ұйымдастырушылық).
Аппараттық қорғаныс- құлыптар, терезе торлары, күзет дабылдары, кернеуден қорғағыштар, бейнебақылау камералары.
Бағдарламалық қамтамасыз етуді қорғау: парольді қорғау, тіркелгілер сияқты операциялық жүйе құралдары қолданылады.
Ұйымдастырушылық қорғау құралдары: компьютерлермен үй-жайларды дайындау.
2 Ақпараттық қауіпсіздік жүйесін жетілдіру
2.1 Ақпараттық қауіпсіздік жүйесіндегі анықталған кемшіліктер
Қоғамдағы ақпаратты қорғаудың ең осал жері компьютерлік қауіпсіздікті қорғау болып табылады. Кәсіпорынға үстірт талдау жасағанның өзінде келесі кемшіліктерді атап өтуге болады:
§ Сирек шығарылады сақтық көшірмеақпарат;
§ Ақпаратты қорғаудың бағдарламалық қамтамасыз ету деңгейінің жеткіліксіздігі;
§ Кейбір қызметкерлердің компьютермен жұмыс істеу дағдылары жеткіліксіз;
§ Қызметкерлерге бақылау жоқ. Көбінесе қызметкерлер жұмыс орнын компьютерді өшірмей және ресми ақпараты бар флэш-дискіні алып жүрмей-ақ қалдыра алады.
§ Ақпараттық қауіпсіздік мәселелері бойынша нормативтік құжаттардың болмауы.
§ Барлық компьютерлер құпия сөздер мен тіркелгілер сияқты ОЖ мүмкіндіктерін пайдалана бермейді.
2.2 Кәсіпорында ақпараттық қауіпсіздік жүйесін құрудың мақсаттары мен міндеттері
Ақпараттық қауіпсіздік жүйесінің негізгі мақсаты – объектінің тұрақты жұмыс істеуін қамтамасыз ету, оның қауіпсіздігіне төнетін қатерлердің алдын алу, кәсіпорынның заңды мүдделерін заңсыз шабуылдардан қорғау, қаржы ресурстарының ұрлануын, жария етуді, жоғалтуды, ағып кетуді, бұрмалауды және қызметтік ақпаратты жою, объектінің барлық бөлімшелерінің қалыпты өндірістік қызметін қамтамасыз ету. Ақпараттық қауіпсіздік жүйесінің тағы бір мақсаты – көрсетілетін қызметтердің сапасын арттыру және мүліктік құқықтар мен мүдделердің қауіпсіздігіне кепілдік беру.
Ұйымда ақпараттық қауіпсіздік жүйесін қалыптастырудың міндеттері: ақпараттың тұтастығы, ақпараттың сенімділігі және оның құпиялылығы. Берілген тапсырмаларды орындағанда мақсат орындалады.
АЖ және АТ-да ақпараттық қауіпсіздік жүйелерін (АБЖ) құру келесі принциптерге негізделген:
Отандық және шетелдік қауіпсіздік жүйелерін құру тәжірибесімен расталған және ақпаратты өңдеудің технологиялық циклінің барлық кезеңдерінде қолданылатын өзара байланысты ұйымдастырушылық, бағдарламалық, аппараттық, физикалық және басқа қасиеттердің оңтайлы үйлесімін білдіретін қауіпсіздік жүйесін құрудың жүйелі тәсілі.
Жүйенің үздіксіз даму принципі. Бұл принцип компьютер үшін негізгі қағидалардың бірі болып табылады ақпараттық жүйелер, NIB үшін одан да маңызды. АТ-да ақпараттық қауіптерді енгізу әдістері үнемі жетілдірілуде, сондықтан IP қауіпсіздігін қамтамасыз ету бір реттік әрекет бола алмайды. Бұл ХҒС жетілдірудің ең ұтымды әдістерін, әдістері мен жолдарын негіздеу мен енгізуден, үздіксіз бақылаудан, оның тар және әлсіз нүктелер, ақпараттың ағуының ықтимал арналары және рұқсатсыз кірудің жаңа әдістері.
Өңделген ақпаратқа қол жеткізу және өңдеу процедуралары бойынша өкілеттіктерді бөлу және азайту, яғни пайдаланушыларға да, АЖ қызметкерлерінің өздеріне де өздерінің қызметтік міндеттерін орындау үшін жеткілікті қатаң белгіленген өкілеттіктердің минимумын беру.
Рұқсат етілмеген қол жеткізу әрекеттерін толық бақылау және тіркеу, яғни әрбір пайдаланушының жеке басын дәл анықтау және ықтимал тергеу үшін оның әрекеттерін тіркеу қажеттілігі, сондай-ақ АТ-да алдын ала тіркеусіз кез келген ақпаратты өңдеу операциясын орындау мүмкін еместігі.
Қорғау жүйесінің сенімділігін қамтамасыз ету, яғни жүйедегі ақаулар, ақаулар, хакердің қасақана әрекеттері немесе пайдаланушылар мен техникалық қызмет көрсету қызметкерлерінің байқаусыз қателері кезінде сенімділік деңгейін төмендету мүмкін еместігі.
Қорғаныс жүйесінің жұмыс істеуін бақылауды қамтамасыз ету, яғни. қорғау механизмдерінің орындалуын бақылау құралдары мен әдістерін құру.
Зиянды бағдарламаларға қарсы құралдардың барлық түрлерін қамтамасыз ету.
Қорғаныс жүйесін пайдаланудың экономикалық орындылығын қамтамасыз ету, ол АЖ мен АТ-қа қауіптерді іске асырудан болатын ықтимал залалдың САЖ әзірлеу және пайдалану құнынан асып кетуімен көрінеді.
2.3 Ұйымның ақпараттық қауіпсіздік жүйесін жетілдіру бойынша ұсынылатын шаралар
Кәсіпорында анықталған кемшіліктер оларды жоюды талап етеді, сондықтан келесі шаралар ұсынылады.
§ Компания қызметкерлерінің жеке деректерімен, бухгалтерлік есеп деректерімен және кәсіпорында бар басқа да деректер базаларымен деректер базасының тұрақты сақтық көшірмесін жасау. Бұл дискінің ақаулары, электр қуатының үзілуі, вирустар және басқа да жазатайым оқиғалар салдарынан деректердің жоғалуын болдырмайды. Мұқият жоспарлау және жүйелі сақтық көшірме процедуралары деректерді жоғалтқан жағдайда оларды жылдам қалпына келтіруге мүмкіндік береді.
§ Әрбір компьютерде ОЖ құралдарын пайдалану. Мамандар үшін тіркелгілер жасаңыз және осы тіркелгілердің құпия сөзін үнемі өзгертіңіз.
§ Кәсіпорын персоналын компьютермен жұмыс істеуге үйрету. Жұмыс станцияларының дұрыс жұмыс істеуі және ақпараттың жоғалуы мен зақымдалуын болдырмау үшін қажетті шарт. Бүкіл кәсіпорынның жұмысы дұрыс орындау тұрғысынан персоналдың ДК дағдыларына байланысты.
§ Компьютерлерге антивирустық бағдарламаларды орнату, мысалы: Avast, NOD, Doctor Web және т.б. Бұл сіздің компьютеріңізге вирустар деп аталатын әртүрлі зиянды бағдарламаларды жұқтырудан сақтайды. Бұл кәсіпорын үшін өте маңызды, өйткені бірнеше дербес компьютерлер Интернетке қол жеткізе алады және қызметкерлер ақпарат алмасу үшін флэш-дискілерді пайдаланады.
§ Бейнекамералардың көмегімен қызметкерлерді бақылау. Бұл жабдықты ұқыпсыз пайдалану жағдайларын, жабдықты ұрлау және зақымдау қаупін азайтады, сонымен қатар компания аумағынан меншікті ақпаратты «алып тастауды» бақылауға мүмкіндік береді.
§ Ресей Федерациясының қолданыстағы заңнамасына сәйкес келетін және тәуекелдерді, бұзушылықтарды және осы бұзушылықтар үшін жауапкершілікті (айыппұлдар, жазалар) анықтайтын «Овен» ЖШС-да ақпаратты қорғау шаралары және оларды бұзу үшін жауапкершілік» нормативтік құжатын әзірлеу. Сондай-ақ компанияның еңбек шартында оның осы құжаттың ережелерімен таныс екенін және оларды сақтауға міндеттенетінін көрсететін тиісті бағанды енгізу.
2.4 Ұсынылған шаралардың тиімділігі
Ұсынылып отырған шараларда ақпараттық қауіпсіздікке байланысты кәсіпорындағы негізгі проблемаларды жою сияқты оң аспектілер ғана қамтылмайды. Бірақ сонымен бірге олар персоналды оқытуға және қауіпсіздік саясатына қатысты нормативтік құжаттарды әзірлеуге қосымша инвестицияларды талап етеді. Ол қосымша еңбек шығындарын талап етеді және тәуекелдерді толығымен жоймайды. Әрқашан адами фактор мен форс-мажорлық жағдайлар болады. Бірақ мұндай шаралар қабылданбаса, ақпаратты қалпына келтіру құны қауіпсіздік жүйесін әзірлеуге кететін шығыннан көп болады.
Ұсынылған шаралардың нәтижелерін қарастырайық:
1. Ұйымның ақпараттық қауіпсіздік жүйесінің сенімділігін арттыру;
2. Персоналдың ДК-ны меңгеру деңгейін арттыру;
3. Ақпараттың жоғалу қаупінің төмендеуі;
4. Қауіпсіздік саясатын анықтайтын нормативтік құжаттың болуы.
5. Мүмкін бұл кәсіпорыннан ақпаратты енгізу/алып тастау қаупін азайтады.
3 Ақпараттық қауіпсіздік моделі
Ұсынылған ақпараттық қауіпсіздік моделі (2-сурет) объективті сыртқы және ішкі факторлардың және олардың объектідегі ақпараттық қауіпсіздік жағдайына және материалдық немесе ақпараттық ресурстардың сақталуына әсер етуінің жиынтығы болып табылады.
2-сурет – Ақпараттық қауіпсіздік жүйесінің моделі
Бұл модель Ресей Федерациясында қабылданған ақпараттық қауіпсіздік бойынша арнайы нормативтік құжаттарға, ISO/IEC 15408 «Ақпараттық технологиялар – қауіпсіздік әдістері – ақпараттық қауіпсіздікті бағалау критерийлері» халықаралық стандартына, «Ақпараттық қауіпсіздікті басқару» ISO/IEC 17799 стандартына және ақпараттық қауіпсіздік мәселелері бойынша отандық нормативтік-құқықтық базаның (атап айтқанда, Ресей Федерациясының Мемлекеттік техникалық комиссиясының) даму тенденцияларын ескереді.
Қорытындылар мен ұсыныстар
Ақпараттық дәуір көптеген мамандықтардың өз міндеттерін орындау тәсіліне түбегейлі өзгерістер әкелді. Енді орта деңгейдегі техникалық емес адам бұрын жоғары білікті бағдарламашы орындаған жұмысты жасай алады. Қызметкердің қолында бұрын-соңды болмаған дәл және уақтылы ақпарат бар.
Бірақ компьютерлер мен автоматтандырылған технологияларды пайдалану ұйымды басқару үшін бірқатар проблемаларды тудырады. Көбінесе желіге қосылған компьютерлер әртүрлі деректердің үлкен көлеміне қол жеткізуді қамтамасыз ете алады. Сондықтан адамдар ақпараттық қауіпсіздікке және автоматтандыруға және құпия, жеке немесе басқа маңызды деректерге әлдеқайда қолжетімділікті қамтамасыз етуге байланысты тәуекелдерге алаңдайды. Компьютерлік қылмыстардың саны артып келеді, бұл ақыр соңында экономиканың бұзылуына әкелуі мүмкін. Сондықтан ақпараттың қорғалуы керек ресурс екені анық болуы керек.
Ал автоматтандыру қазіргі уақытта онымен жұмыс істеуге әкелді компьютерлік технологияарнайы оқытылған техникалық персонал емес, ұйымның қатардағы қызметкерлері орындайтын болса, соңғы пайдаланушылар ақпаратты қорғау жауапкершілігін білуі қажет.
Деректер қауіпсіздігі мен сенімді желі жұмысына 100% кепілдік беретін жалғыз рецепт жоқ. Дегенмен, белгілі бір ұйымның нақты міндеттерін ескере отырып, жан-жақты ойластырылған қауіпсіздік тұжырымдамасын жасау құнды ақпаратты жоғалту қаупін минимумға дейін азайтуға көмектеседі. Компьютерді қорғау – бұл пайдаланушылардың ақымақтығы мен хакерлердің интеллектісімен тұрақты күрес.
Қорытындылай келе, ақпаратты қорғау тек техникалық әдістермен ғана шектелмейтінін айтқым келеді. Мәселе әлдеқайда кең. Қорғаудың негізгі кемшілігі - адамдар, сондықтан қауіпсіздік жүйесінің сенімділігі негізінен компания қызметкерлерінің оған деген көзқарасына байланысты. Сонымен қатар, компьютерлік желінің дамуымен бірге қорғанысты үнемі жетілдіріп отыру қажет. Жұмысқа кедергі келтіретін қауіпсіздік жүйесі емес, оның жоқтығы екенін ұмытпаңыз.
Сондай-ақ, осы курстық жобаны қорытындылай келе, Aries кәсіпорнының ақпараттық қауіпсіздік жүйесін талдау нәтижесінде бес кемшілік анықталғанын атап өткім келеді. Іздестіруден кейін оларды жоюдың шешімдері табылды, бұл кемшіліктерді түзетуге болады, бұл жалпы кәсіпорынның ақпараттық қауіпсіздігін арттырады.
Жоғарыда аталған іс-әрекеттер барысында ақпараттық қауіпсіздік жүйесін зерттеудің практикалық және теориялық дағдылары қалыптасты, сондықтан курстық жобаның мақсатына қол жеткізілді. Табылған шешімдердің арқасында жобаның барлық мақсаттары орындалды деп айта аламыз.
Әдебиеттер тізімі
1. ГОСТ 7.1-2003. Библиографиялық жазба. Библиографиялық сипаттама. Жалпы талаптаржәне құрастыру ережелері (Мәскеу: Стандарттар баспасы, 2004).
2. Галатенко, В.А. «Ақпараттық қауіпсіздік негіздері». - М.: «Интуит», 2003 ж.
3. Завгородный, В.И. «Компьютерлік жүйелердегі ақпаратты кешенді қорғау». - М.: «Логоттар», 2001 ж.
4. Зегжда, Д.П., Ивашко, А.М. «Ақпараттық жүйелер қауіпсіздігінің негіздері».
5. Носов, В.А. «Ақпараттық қауіпсіздік» пәні бойынша кіріспе курс.
6. Ресей Федерациясының 2006 жылғы 27 шілдедегі N 149-ФЗ «Ақпарат туралы, ақпараттық технологияжәне ақпаратты қорғау туралы»
Allbest.ru сайтында жарияланған
Ұқсас құжаттар
«Ашатли» агрохолдингінің ақпараттық ресурстарының сипаттамасы. Кәсіпорынға тән ақпараттық қауіпсіздік қатерлері. Ақпаратты қорғау шаралары, әдістері және құралдары. Қолданыстағы кемшіліктерді және жаңартылған қауіпсіздік жүйесінің артықшылықтарын талдау.
курстық жұмыс, 02.03.2011 қосылған
Негізгі ақпараткәсіпорынның қызметі туралы. Кәсіпорындағы ақпаратты қорғау объектілері. Ақпаратты қорғау шаралары мен құралдары. Деректерді алынбалы құралға көшіру. Ішкі сақтық көшірме серверін орнату. Ақпараттық қауіпсіздік жүйесін жетілдірудің тиімділігі.
сынақ, 29.08.2013 қосылған
Ақпараттық қауіпсіздік түсінігі, мәні және бағыттары. Ақпараттық қауіпсіздікті ұйымдастыруға, ақпаратты рұқсатсыз кіруден қорғауға жүйелі көзқарас. Ақпаратты қорғау құралдары. Ақпаратты қорғау әдістері мен жүйелері.
аннотация, 11/15/2011 қосылды
Ақпараттық қауіпсіздік режимін қалыптастыру жүйесі. Қоғамның ақпараттық қауіпсіздігінің мәселелері. Ақпаратты қорғау құралдары: негізгі әдістер мен жүйелер. Ақпаратты қорғау компьютерлік желілер. Ресейдің ең маңызды заңнамалық актілерінің ережелері.
аннотация, 20.01.2014 қосылған
Ақпараттық қауіпсіздік тәуекелін талдау. Қолданыстағы және жоспарланған қорғаныс құралдарын бағалау. Ақпараттық қауіпсіздікті және кәсіпорын ақпаратын қорғауды қамтамасыз ететін ұйымдастыру шараларының кешені. Жобаны жүзеге асырудың сынақ үлгісі және оның сипаттамасы.
диссертация, 19.12.2012 қосылған
Қауіпсіздік талаптарының тиімді және жеткілікті жиынтығын анықтайтын тиімді саясат жүйесі түріндегі кәсіпорынның ақпараттық қауіпсіздік стратегиясы. Ақпараттық қауіпсіздік қатерлерін анықтау. Ішкі бақылау және тәуекелдерді басқару.
курстық жұмыс, 14.06.2015 қосылған
Кәсіпорында ақпараттық қауіпсіздікті және ақпаратты қорғауды қамтамасыз ету жүйесін жетілдіру қажеттілігін негіздеу және міндеттер кешенінің сипаттамасы. ДҚБЖ, ақпараттық қауіпсіздік және жеке деректерді қорғауды пайдалану жобасын әзірлеу.
диссертация, 11.17.2012 қосылған
Ресейдегі ақпараттық қауіпсіздік саласындағы нормативтік құжаттар. Ақпараттық жүйелерге қауіптерді талдау. Емхананың жеке деректерді қорғау жүйесін ұйымдастырудың сипаттамасы. Электрондық кілттердің көмегімен аутентификация жүйесін енгізу.
диссертация, 31.10.2016 қосылған
Дербес деректерді қорғау жүйесін құрудың алғы шарттары. Ақпараттық қауіпсіздік қатерлері. ISPD рұқсатсыз кіру көздері. Дербес деректердің ақпараттық жүйелерін жобалау. Ақпаратты қорғау құралдары. Қауіпсіздік саясаты.
курстық жұмыс, 07.10.2016 қосылған
Ақпараттық жүйені қорғаудың мақсаттары, құрылымы, физикалық, бағдарламалық және аппараттық шаралары. Компьютерлік қылмыстардың түрлері мен себептері, ұйымның қауіпсіздік саясатын жетілдіру жолдары. MS Outlook 97-дегі «Күнделік» папкасының мақсаты мен негізгі қызметтері.
2. Компьютерлік вирустардан қорғауға арналған ESET NOD 32 антивирустық жүйесі.
Дерекқорлар тұрақты түрде жаңартылып отырады және жұмыс станциялары сканерленеді.
3. Мұрағаттарды жасауға арналған кірістірілген Windows сақтық көшірмесі.
Операциялық жүйенің сақтық көшірме жасау шебері – жылдам жасауға және қалпына келтіруге арналған бағдарлама сақтық көшірме Windows. Ол бүкіл Windows немесе жай ғана көшірмесін жасауға мүмкіндік береді бөлек файлдаржәне қалталар.
4. vpn арнасы үшін 2048 биттік кілтпен шифрлау (пошта және құжат айналымы үшін басқарушы компанияның кеңсесіне қосылу).
2-тарау. NIB жетілдіру
2.1 Ақпаратты қорғау жүйесінің әлсіз жақтары
Ақпараттық қауіпсіздікке қатысты мәселелерді талдау кезінде қауіпсіздіктің осы аспектісінің ерекшеліктерін ескеру қажет, ол ақпараттық қауіпсіздік болып табылатындығында тұрады. құрамдасақпараттық технологиялар – бұрын-соңды болмаған жоғары қарқынмен дамып келе жатқан сала. Бұл жерде маңыздысы заманауи деңгейде жеке шешімдер (заңдар, оқу курстары, бағдарламалық және аппараттық өнімдер) емес, керісінше қарқынмен өмір сүруге мүмкіндік беретін жаңа шешімдерді генерациялау тетіктері. техникалық прогресс.
Қазіргі заманғы бағдарламалау технологиялары қатесіз бағдарламаларды құруға мүмкіндік бермейді, бұл ақпаратты қорғау құралдарының қарқынды дамуына ықпал етпейді.
Кәсіпорынның ақпараттық қауіпсіздігін талдай отырып, ақпараттық қауіпсіздікке жеткіліксіз көңіл бөлінетіндігі туралы қорытынды жасауға болады:
Жүйеге кіру құпия сөздерінің болмауы;
1С: Enterprise бағдарламасымен жұмыс істегенде, деректерді өзгерту кезінде парольдер жоқ;
Файлдар мен ақпаратты қосымша қорғау жоқ (файлдардағы ақпаратты ашу немесе өзгерту кезінде, деректерді шифрлау құралдарын айтпағанда, негізгі құпия сөзді сұрау жоқ);
Вирусқа қарсы бағдарламалардың деректер қорын жүйелі түрде жаңарту және жұмыс станцияларын сканерлеу;
Қағаз құжаттарының үлкен саны көбінесе қызметкердің жұмыс үстеліндегі қалталарда (кейде оларсыз) сақталады, бұл шабуылдаушыларға ақпараттың осы түрін өз мақсаттары үшін оңай пайдалануға мүмкіндік береді;
Кәсіпорында ақпараттық қауіпсіздік мәселелерін және осы саладағы туындайтын проблемаларды жүйелі түрде талқылау жүргізілмейді;
Кәсіпорынның ақпараттық жүйелерінің функционалдығын жүйелі түрде тестілеу ұйымдастырылмаған, жөндеу олар істен шыққан кезде ғана жүзеге асырылады;
Ақпараттық қауіпсіздік саясатының болмауы;
Жүйелік әкімшінің болмауы.
Жоғарыда аталғандардың барлығы кәсіпорынның ақпараттық қауіпсіздігін қамтамасыз етудің өте маңызды кемшіліктері болып табылады.
2.2 Ақпараттық қауіпсіздік жүйесінің мақсаты мен міндеттері
Ақпараттық қауіпсіздік – компьютерлік желілердегі және кәсіпорындық жүйелердегі ақпараттық ресурстардың рұқсатсыз кіруден, жүйенің қалыпты жұмыс істеуіне кездейсоқ немесе әдейі араласудан және оның құрамдас бөліктерін жою әрекеттерінен қорғалу жағдайы.
Ақпаратты қорғау мақсаттары:
ақпаратты рұқсатсыз жою, өзгерту, бұрмалау, көшіру, бұғаттау немесе ақпараттық ресурстар мен ақпараттық жүйелерге заңсыз араласудың өзге де нысандары салдарынан кәсіпорынның қауіпсіздігіне төнетін қатерлердің алдын алу;
компьютерлік технологияларды пайдалана отырып өңделген коммерциялық құпияны сақтау;
азаматтардың жеке құпияларды және ақпараттық жүйелерде бар дербес деректердің құпиялығын сақтауға конституциялық құқықтарын қорғау.
Қорғау мақсаттарына жету үшін келесі міндеттерді тиімді шешу қажет:
· кәсіпорынның жұмысына бөгде адамдардың араласуынан қорғау;
· рұқсат етілмеген тұлғалардың және тиісті өкілеттігі жоқ қызметкерлердің кәсіпорынның ақпараттық ресурстарымен рұқсат етілмеген әрекеттерінен қорғау;
· кәсіпорын басшылығының басқару шешімдерін қабылдауын ақпараттық қамтамасыз етудің толықтығын, сенімділігін және тиімділігін қамтамасыз ету;
· техникалық құралдардың физикалық қауіпсіздігін қамтамасыз ету және бағдарламалық қамтамасыз етукәсіпорындар және оларды қауіптердің техногендік және табиғи көздерінен қорғау;
· ақпараттың қауіпсіздігіне әсер ететін оқиғаларды тіркеу, кәсіпорында орындалатын барлық операцияларға толық бақылау мен есеп беруді қамтамасыз ету;
· ақпараттық қауіпсіздікке төнетін қатерлердің көздерін, субъектілердің мүдделеріне зиян келтіруге, кәсіпорынның қалыпты жұмыс істеуі мен дамуын бұзуға ықпал ететін себептер мен жағдайларды уақтылы анықтау, бағалау және болжау;
· ақпараттық қауіпсіздікке төнетін қатерлердің тәуекелдерін талдау және ықтимал залалды бағалау, кәсіпорынның ақпараттық қауіпсіздігін бұзудың жол берілмейтін салдарын болдырмау, келтірілген залалды барынша азайту және оқшаулау үшін жағдай жасау;
· ақпараттық қауіпсіздік бұзылған жағдайда кәсіпорынның ағымдағы жағдайын қалпына келтіру мүмкіндігін қамтамасыз ету және осы бұзушылықтардың салдарын жою;
· мақсатты кәсіпорынның ақпараттық қауіпсіздік саясатын құру және қалыптастыру.
2.3 Ақпараттық қауіпсіздік жүйесін жетілдіру бойынша шаралар мен құралдар
Қойылған мақсаттарға жету және мәселелерді шешу үшін ақпараттық қауіпсіздік деңгейінде іс-шараларды жүргізу қажет.
Ақпараттық қауіпсіздіктің әкімшілік деңгейі.
Ақпараттық қауіпсіздік жүйесін қалыптастыру үшін ақпараттық қауіпсіздік саясатын әзірлеу және бекіту қажет.
Қауіпсіздік саясаты – ақпаратты және онымен байланысты ресурстарды қорғауға бағытталған заңдардың, ережелер мен мінез-құлық нормаларының жиынтығы.
Айта кету керек, әзірленген саясат ұйымға қатысты қолданыстағы заңдар мен ережелерге сәйкес болуы керек, яғни. бұл заңдар мен ережелерді анықтау және саясатты әзірлеу кезінде ескеру қажет.
Жүйе неғұрлым сенімді болса, қауіпсіздік саясаты соғұрлым қатаң және әртүрлі болуы керек.
Тұжырымдалған саясатқа байланысты жүйе қауіпсіздігін қамтамасыз ету үшін арнайы механизмдерді таңдауға болады.
Ақпараттық қауіпсіздіктің ұйымдық деңгейі.
Алдыңғы бөлімде сипатталған кемшіліктерге сүйене отырып, ақпараттық қауіпсіздікті жақсарту үшін келесі шараларды ұсынуға болады:
Білікті мамандардың қатысуымен жаңа бағдарламалық өнімдермен жұмыс істеу дағдыларына кадрларды оқыту бойынша жұмысты ұйымдастыру;
Кәсіпорынның экономикалық, әлеуметтік және ақпараттық қауіпсіздік жүйесін жетілдіруге бағытталған қажетті шараларды әзірлеу.
Әрбір қызметкердің өзіне сеніп тапсырылған ақпараттың маңыздылығы мен құпиялылығын түсінуін қамтамасыз ету үшін оқытуды өткізу, өйткені, әдетте, құпия ақпаратты ашудың себебі қызметкерлердің коммерциялық құпияны қорғау ережелерін жеткіліксіз білуі және түсінбеушілік (немесе түсінбеушілік) оларды мұқият орындау қажеттілігі.
Қызметкерлердің құпия ақпаратпен жұмыс істеу ережелерін сақтауын қатаң бақылау;
Кәсіпорын қызметкерлерінің еңбек құжаттарын сақтау ережелерінің сақталуын бақылау;
Кәсіпорынның ақпараттық қауіпсіздігі мәселелері бойынша кездесулер, семинарлар, талқылаулар өткізу;
Жұмыс қабілеттілігі үшін барлық ақпараттық жүйелер мен ақпараттық инфрақұрылымды тұрақты (жоспарлы) тестілеу және техникалық қызмет көрсету.
Жүйе әкімшісін тұрақты негізде тағайындаңыз.
Ақпаратты қорғауға арналған бағдарламалық және аппараттық шаралар.
Бағдарламалық қамтамасыз ету және аппараттық қамтамасыз ету іске асырудағы маңызды құрамдастардың бірі болып табылады ақпаратты қорғаукәсіпорындар ақпараттық қауіпсіздік деңгейін арттыру үшін келесі шараларды енгізу және қолдану қажет:
Пайдаланушы құпия сөздерін енгізу;
Кәсіпорынның ақпараттық ресурстарына пайдаланушының қол жеткізуін реттеу үшін жүйеге логин бойынша кіретін пайдаланушылардың тізімін енгізу қажет. ОЖ пайдалану Windows серверіСерверде орнатылған 2003 Std, сәйкес құпия сөздері бар пайдаланушылар тізімін жасауға болады. Қызметкерлерге парольдерді қолдану бойынша тиісті нұсқаулармен таратыңыз. Сондай-ақ, парольдің жарамдылық мерзімін енгізу қажет, содан кейін пайдаланушыға құпия сөзді өзгерту ұсынылады. Қате құпия сөзбен кіру әрекеттерінің санын шектеңіз (мысалы, үшке дейін).
Мәліметтер қорымен жұмыс істеу кезінде, деректерді өзгерту кезінде 1С: Enterprise бағдарламасында құпия сөзді сұрауды енгізу. Мұны компьютердің бағдарламалық жасақтамасы мен бағдарламалық құралының көмегімен жасауға болады.
Файлдарға, каталогтарға, дискілерге қатынасты басқару.
Файлдар мен каталогтарға қол жеткізу шектеледі жүйелік әкімші, бұл әрбір пайдаланушыға арнайы сәйкес дискілерге, қалталарға және файлдарға қол жеткізуге мүмкіндік береді.
Жұмыс станцияларын жүйелі түрде сканерлеу және деректер қорын жаңарту антивирустық бағдарлама.
Зиянды бағдарламаларды анықтауға және бейтараптандыруға және инфекциялардың себептерін жоюға мүмкіндік береді. Құралдар мен жүйелерді орнату, конфигурациялау және пайдалануды орындау қажет антивирустық қорғау.
Ол үшін антивирустық бағдарламаны компьютерді жүйелі түрде сканерлеуге және серверден дерекқорларды жүйелі түрде жаңартуға конфигурациялау қажет.
Agnitum Outpost Firewall брандмауэрін серверлік компьютерде орнату, ол Интернеттен келетін шабуылдарды блоктайды.
Agnitum Outpost FireWall брандмауэрін пайдаланудың артықшылықтары:
¾ компьютер мен басқалар арасындағы қосылымдарды басқарады, хакерлерді блоктайды және желіге рұқсатсыз сыртқы және ішкі кіруді болдырмайды.
КУРСТЫҚ ЖОБА
«UK Ashatli» ЖШС кәсіпорнында ақпараттық қауіпсіздік жүйесін жетілдіру» тақырыбына
Кіріспе
Кәсіпорындарда, фирмаларда және ұйымдарда ақпараттық қауіпсіздік саясатын әзірлеу тақырыбы қазіргі әлемде өзекті болып табылады. Ақпараттық қауіпсіздік (кәсіпорындар мен ұйымдар деңгейінде) – ақпараттық қатынастардың субъектілеріне жол берілмейтін зиян келтіруі мүмкін табиғи немесе жасанды сипаттағы кездейсоқ немесе қасақана әсер етуден ақпараттық және қосалқы инфрақұрылымды қорғау.
Кәсіпорында заманауи жергілікті компьютерлік желіжәне қажетті бағдарламалық қамтамасыз ету орнатылған, сонымен қатар Интернетке кіру мүмкіндігі бар. Ақпараттық ресурстардың осындай санының болуымен ақпараттық қауіпсіздік саясаты болуы қажет. Бұл кәсіпорында ақпараттық қауіпсіздікке қатерлерді барынша азайту үшін ақпараттық қауіпсіздік саясатын жетілдіру қажет, бұл курстық жобаның мақсаты болып табылады. Ақпараттық қауіпсіздікке қатер – бұл материалдық және моральдық зиян келтіруге әкелетін ақпараттық қауіпсіздікті бұзуға бағытталған нақты немесе ықтимал әрекет.
1. «Ашатли» МК» жауапкершілігі шектеулі серіктестігінің ақпараттық қауіпсіздігін талдау
Ұйым туралы жалпы мәліметтер
«Ашатли» агрохолдингі – бұл «Пермьді сатып ал!» жобасының қатысушысы, серпінді дамып келе жатқан, тігінен және көлденеңінен біріктірілген агрокомпаниялар тобы.
«Ашатли» агрохолдингі 2007 жылы құрылды және бүгінгі таңда келесі қызмет бағыттары бар: сүтті мал шаруашылығы, сүт өнімдерін өңдеу, өсімдік шаруашылығы, жылыжайларда көкөністер, салаттар мен шөптер өсіру, гидропоникалық гүл өсіру, сонымен қатар жер және ет бөлшек саудасы.
Динамикалық дамып келе жатқан холдинг болудың артықшылықтарының бірі - жұмыс ерекшеліктері мен клиенттердің тілектеріне икемді көзқарас. Компания мамандары кез келген көлемдегі және күрделіліктегі жұмыстарды орындауға қабілетті. Біздің қызметкерлердің әртүрлі жұмыс тәжірибесі мен кәсібилігі кез келген тапсырманы келісім-шарт мерзімінде орындауға кепілдік беруге мүмкіндік береді.
«Ahatli Management Company» жауапкершілігі шектеулі серіктестігінің орналасқан жері
614010, Ресей, Пермь облысы, Пермь, Комсомольский проспектісі, 70а
1.2 Кәсіпорынның ақпараттық ресурстарының сипаттамасы
«Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» Федералдық заңға сәйкес, жалпыға қол жетімді ақпарат жалпыға белгілі ақпарат пен қол жеткізу шектелмейтін басқа ақпаратты қамтиды. Жалпыға қолжетімді ақпаратты кез келген адам, мұндай ақпаратты таратуға қатысты федералды заңдарда белгіленген шектеулерді ескере отырып, өз қалауы бойынша пайдалана алады.
MC Ashatli LLC компаниясында жалпыға қолжетімді ақпарат компанияның веб-сайтында ұсынылған немесе науқан менеджерлері бере алады. Бұл ақпарат мыналарды қамтиды:
ұйымның жарғысында қамтылған мәліметтер.
Қаржылық есеп;
Басқару құрамы және т.б.;
Науқанның марапаттары мен тендерлері туралы ақпарат;
бос жұмыс орындары туралы ақпарат және қызметкерлердің саны мен құрамы, олардың еңбек жағдайлары, еңбекақы төлеу жүйесі туралы мәліметтер;
Науқан менеджерлерінің байланыс деректері;
Ұйымда сондай-ақ ақпарат бар, оны пайдалану және тарату оның иесінің шектеулеріне ұшырайды, т. ұйымдастыру. Мұндай ақпарат қорғалған ақпарат деп аталады. Бұл ұйым қызметкерлерінің жеке өміріне қатысты ақпаратты қамтуы мүмкін.
Ақпараттың келесі түрі коммерциялық құпияны білдіретін ақпарат болып табылады. «Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» Федералдық заңға сәйкес коммерциялық құпияны (коммерциялық құпияны) құрайтын ақпарат кез келген сипаттағы ақпарат (өндірістік, техникалық, экономикалық, ұйымдастырушылық және т.б.), оның ішінде ғылыми саладағы зияткерлік қызмет нәтижелері. - техникалық сала, сондай-ақ үшінші тұлғаларға беймәлім болуына байланысты нақты немесе әлеуетті коммерциялық құндылығы бар кәсіби қызметті жүзеге асыру әдістері туралы ақпарат, үшінші тұлғалар заңды түрде еркін қол жеткізе алмайды, оларға қатысты мұндай ақпарат иесі. коммерциялық құпия режимін енгізді (2006 жылғы 18 желтоқсандағы № 231-ФЗ Федералдық заңының редакциясымен 2-бет)
Келесі мәліметтер «UK «Achatli» ЖШС коммерциялық құпияға жатады:
Жұмысшылардың жеке басы, үй мекенжайлары туралы мәліметтер.
Клиенттер туралы ақпарат, олардың байланысы және жеке деректері.
Жобалар, келісім-шарттардың талаптары мен талаптары туралы ақпарат.
Кәсіпорынның ақпараттық ресурстары қағаздағы құжаттар мен актілерді және жергілікті компьютерлік желіні қамтиды.
1.3 Осы кәсіпорынға тән ақпараттық қауіпсіздік қатерлері
Ақпараттық қауіпсіздікке қатер деп ақпараттың негізгі сапаларының немесе қасиеттерінің – қолжетімділік, тұтастық және құпиялылық бұзылу ықтималдығы түсініледі. Берілген компания үшін ақпараттық қауіпсіздік қатерінің негізгі түрі коммерциялық құпияға қатысты ақпаратқа рұқсатсыз қол жеткізу деп санауға болады.
Ақпараттық қауіпсіздік объектілеріне әсер ету әдістері бойынша қоғамға қатысы бар қауіптер келесідей жіктелуге жатады: ақпараттық, бағдарламалық, физикалық, ұйымдастырушылық және құқықтық.
Ақпараттық қауіптерге мыналар жатады:
ақпараттық ресурстарға рұқсатсыз қол жеткізу;
мұрағаттар мен деректер қорларынан ақпаратты ұрлау;
ақпаратты заңсыз жинау және пайдалану;
Бағдарламалық қамтамасыз ету қауіптеріне мыналар жатады:
компьютерлік вирустар мен зиянды бағдарламалар;
Физикалық қауіптерге мыналар жатады:
ақпаратты өңдеу және байланыс құралдарын жою немесе жою;
сақтау құралдарын ұрлау;
персоналға әсер ету;
Ұйымдастырушылық және құқықтық қауіптерге мыналар жатады:
жетілмеген немесе ескірген ақпараттық технологиялар мен ақпараттық құралдарды сатып алу;
«ҰК «Ашатли» ЖШС кәсіпорны осындай ақпараттық қауіптерге ұшырауы мүмкін
Кәсіпорынның қызметіне теріс әсер ететін және төтенше жағдайларда оның бұзылуына немесе жойылуына әкелетін мәліметтер базасын бұзу немесе коммерциялық ақпаратты кәсіпорынның бәсекелестеріне беру мақсатында рұқсатсыз пайдалану.
Қызметкерлердің құпия ақпаратты ашуы, оны пайда табу үшін жеке пайдаға пайдалануы, өйткені көптеген қызметкерлер 1С Сауда менеджменті деректер базасына қол жеткізе алады.
Кәсіпорын қызметкерлері ақпаратты таратуға әдейі немесе кездейсоқ әсер етуі мүмкін, мысалы, электрондық пошта арқылы,ICQжәне басқалар туралы сандық медиаКәсіпорынның беделіне теріс әсер ететін коммуникациялар, өйткені олар ұйымның ақпаратына қол жеткізе алады.
Ақпараттық қауіпсіздікке төнетін ең жиі кездесетін қатерлердің бірі компанияның бағдарламалық және аппараттық құралдарының ақаулары мен ақаулары болып табылады, өйткені ең жаңа жабдықтың өзі жиі істен шығады және компания техникалық сапасыз жабдықпен қамтамасыз етілуі мүмкін.
«MC Ashatli» жауапкершілігі шектеулі серіктестігінде ақпарат көздері болып табылатын техникалық құралдарға рұқсатсыз физикалық қол жеткізу, сондай-ақ маңызды ақпараты (флэш-диск, сыртқы қатты диск және т.б.) немесе тек деректері бар тасымалдағыштарды ұрлау жағдайлары туындауы мүмкін. Негізінде бұл желі арқылы зияткерлік меншікті ұрлау немесе бұқаралық ақпарат құралдарын физикалық ұрлау.
Көптеген маңызды ақпараттық қауіптердің бірі - ұйым қызметкерлерінің қателері. Менеджерлер жұмысындағы олқылықтар, консультанттардың өз міндеттерін адал емес орындауы ақпараттың тұтастығын бұзуға әкелуі мүмкін, сонымен қатар клиенттермен жанжалды жағдайлар туындауы мүмкін.
Бағдарламалық қамтамасыз ету қаупіне әртүрлі зиянды бағдарламалар, құпия сөздердің жоғалуы, пайдаланылатын бағдарламалық құралдың қауіпсіздігі және резервтік жүйенің болмауы жатады.
1.4 Кәсіпорында қолданылатын ақпаратты қорғау шаралары, әдістері және құралдары
Қорғаудың заңнамалық деңгейі – ақпараттық және ақпараттық технологиялар саласындағы заңнамалық актілердің жиынтығы. Бұл деңгейге мыналар кіреді: Ресей Федерациясының Конституциясы, Ресей Федерациясының Азаматтық кодексі, Ресей Федерациясының Қылмыстық кодексі, «Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» Федералдық заң және т.б.
Ақпаратты қорғаудың әкімшілік деңгейі ақпараттық қауіпсіздік бағдарламасында көрсетіледі. Бағдарламаның негізін ақпараттық қауіпсіздік саясаты - ұйым басшылығы қабылдайтын және осы ұйымның ақпараттық ресурстарын қорғауға бағытталған жарияланған құжат (құжаттар жинағы) құрайды. Бұл ұйымда ақпараттық қауіпсіздік саясаты әзірленбеген және ақпаратты қорғаудың бұл деңгейі қамтамасыз етілмеген.
«Ашатли» басқарушы компаниясы» жауапкершілігі шектеулі серіктестігінде ақпаратты қорғау үшін қолданылатын процедуралық деңгейдегі шараларға ғимаратқа кіру тек алдын ала келісім бойынша жүзеге асырылатынын және ғимаратта дабыл жүйесі орнатылғанын қамтиды. Сондай-ақ сЖеке күзетпен үй-жайды күзету туралы шарт жасалды.
Кәсіпорында қолданылатын ақпаратты қорғау құралдарын қарастырайық. Олардың барлығы төртеуі бар (аппараттық, бағдарламалық, аралас, ұйымдастырушылық).
Барлық компьютерлерде антивирустық бағдарламаны пайдалану (ESET NOD32 Business Edition NOD 32 Antivirus)
Кірістірілген пайдалану Windows құралдарыкомпьютерді пайдаланушыға рұқсат беру.
1C Trade Management дерекқорында авторизациялау үшін арнайы логиндерді/парольдерді пайдалану.
Аппараттық қауіпсіздік – құлыптар, терезе жолақтары, күзет дабылдары, желі сүзгілері, Бейнебақылау камералары.
Бағдарламаны қорғау құралдары: қолданылатын құралдар операциялық жүйеқорғау, құпия сөз, тіркелгілер сияқты.
Ұйымдастырушылық қорғау құралдары: компьютерлермен үй-жайларды дайындау.
Бағдарламалық және аппараттық қамтамасыз ету деңгейінде ақпаратты қорғау үшін келесі шаралар қолданылады:
2. Ақпараттық қауіпсіздік жүйесін жетілдіру
2.1 Ақпаратты қорғау жүйесінің әлсіз жақтары
Сырттан рұқсатсыз кіру, бағдарламалық қамтамасыз етудің дұрыс жұмыс істемеуі немесе техникалық ақаулар сияқты ақпараттық қауіпсіздікке төнетін кейбір қауіптер желіні дұрыс конфигурациялау және басқару арқылы сәтті түрде бейтараптандырылған, бірақ ішкі қауіптердің алдын алу шаралары жоқ.
«Ahatli Management Company» жауапкершілігі шектеулі серіктестігінде қолданыстағы ақпараттық қауіпсіздік жүйесін талдау барысында келесі кемшіліктер анықталды:
Толық пайдаланбау функционалдылық 1С. Дерекқордағы деректерге қол жеткізу құқықтары толық ажыратылмаған, ал құпия сөздер күрделілік талаптарына сәйкес келмейді немесе жай ғана кейбір қызметкерлер пайдаланбайды.
Интернет арқылы берілетін деректердің форматтары мен өлшемдеріне ешқандай шектеулер жоқ (*.mp3,*. avi,*. rar) белгілі бір қызметкерлер үшін.
Кейбір қызметкерлер құпия ақпаратты өздерінің абайсыздығынан жалпыға қолжетімді қалталарда сақтайды, сонымен қатар авторизацияны қажет ететін ақпараттық жүйелер үшін логин/парольді жұмыс үстеліндегі оңай қол жетімді жерлерде сақтайды.
Ең маңыздыларын қоспағанда, қағаздағы ақпарат іс жүзінде қорғалмаған. (Несие келісімдері, аннуитеттік келісімдер, тексеру нәтижелері және т.б.)
2.2 Кәсіпорында ақпараттық қауіпсіздік жүйесін құрудың мақсаттары мен міндеттері
Осылайша, қолданыстағы ақпараттық қауіпсіздік жүйесін жетілдіру қажеттілігі жоғары деп қорытынды жасауға болады. Сондай-ақ науқанның клиенттік базасын мұқият қорғау қажет, өйткені бұл өте маңызды маңызды ақпарат, ол бейтаныс адамдар арасында жариялануға жатпайды.
Науқан қызметкерлері компания қызметінің жылдамдығы, демек, оның бәсекеге қабілеттілігі, демек, олардың жалақысының деңгейі мәліметтер базасы мен құжаттардың тұтастығын дұрыс ұйымдастыруға және оларды реттелген түрде ұстауға тікелей байланысты екенін жиі түсінбейді.
Электрондық есептің функционалдығына ең үлкен қауіп желідегі компьютерлерге Интернет арқылы жететін әртүрлі вирустар, сондай-ақ қол жеткізу мүмкіндігі болып табылады. электрондық анықтамалықтаржәне үшінші тұлғалардың құжаттары.
Ақпаратты қорғау мақсаттары:
– ақпаратты рұқсатсыз жою, өзгерту, бұрмалау, көшіру, бұғаттау немесе ақпараттық ресурстар мен ақпараттық жүйелерге заңсыз араласудың өзге де нысандары салдарынан кәсіпорынның қауіпсіздігіне төнетін қатерлердің алдын алу;
– компьютерлік технологияларды пайдалана отырып өңделген коммерциялық құпияны сақтау;
– азаматтардың жеке құпияларды және ақпараттық жүйелерде бар дербес деректердің құпиялығын сақтауға конституциялық құқықтарын қорғау.
Ұйымда ақпараттық қауіпсіздік жүйесін қалыптастырудың міндеттері: ақпараттың тұтастығы, ақпараттың сенімділігі және оның құпиялылығы. Берілген тапсырмаларды орындағанда мақсат орындалады.
2.3 Ақпараттық қауіпсіздік жүйесін заңнамалық, әкімшілік, процессуалдық және аппараттық және бағдарламалық қамтамасыз ету деңгейінде жетілдіру бойынша ұсынылатын шаралар
«Ашатли» басқарушы компаниясы» жауапкершілігі шектеулі серіктестігінің ақпараттық қауіпсіздік жүйесінде анықталған кемшіліктерді жою үшін келесі шараларды енгізу ұсынылады:
Заңнамалық деңгейде ақпараттық қауіпсіздікті қамтамасыз ету бойынша жаңа шараларды енгізу бойынша өзгерістер жоспарланбайды.
Компанияның қауіпсіздік саясатына әкімшілік деңгейдегі шараларды енгізу қажет. Әкімшілік деңгейде мыналар ұсынылады:
Қызметкерлердің белгілі бір санаттары үшін компания ішінде ақпараттық қауіпсіздік бойынша нұсқаулықтар сериясын жасаңыз (парольдерді қол жетпейтін жерлерде өзгерту және сақтау, үшінші тарап ресурстарына кіруге тыйым салу және т.б.).
Қызметкерлерді қауіпсіздік саясатын сақтауға ынталандыру үшін бірқатар ынталандыру шараларын, сондай-ақ компанияның қауіпсіздік саясатын өрескел бұзғаны үшін жазалауды қамтамасыз етіңіз. (бонустар мен айыппұлдар)
Қауіпсіздік жүйесін процедуралық деңгейде жетілдіру үшін келесі шаралар топтамасы ұсынылады:
Рұқсат етілмеген адамдардың компанияның белгілі бір бөлімшелеріне кіруін шектеу.
Ұйым қызметкерлерімен ақпараттық қауіпсіздік мәселелері және қауіпсіздік саясатын сақтау бойынша нұсқаулықтар бойынша кеңес беру іс-шараларының сериясын өткізу.
Бағдарламалық-техникалық қамтамасыз ету деңгейінде келесі шараларды енгізу ұсынылады:
Барлық қызметкерлерден 1С дерекқорына кіру үшін құпия сөздерді пайдалануды талап ету және барлық қызметкерлер үшін белгілі бір дерекқор деректеріне (каталогтар, құжаттар және есептер) қол жеткізуді мұқият шектеу.
Қол жеткізу үшін барлық стандартты логиндер мен парольдерді өзгерту қажетADSL- Маршрутизаторға күрделілік деңгейіне сәйкес келетін құпия сөздер қажет.
сүзгілер жасау арқылы жеке қызметкерлерге Интернет арқылы жіберілетін файл пішімдері мен файл өлшемдеріне шектеулер енгізіңіз.ESETНОД32 БизнесШығарылым
Осылайша, біз өзгертулер туралы шешім қабылдадық қолданыстағы жүйе«Ашатли МК» ЖШС ақпараттық қауіпсіздік. Осы өзгерістердің ішінде персоналмен жұмыс басты орын алады, өйткені ақпараттық қауіпсіздіктің қандай жетілдірілген бағдарламалық жасақтамасы енгізілгеніне қарамастан, олармен жұмыстың барлығын персонал жүзеге асырады және ұйымның қауіпсіздік жүйесіндегі негізгі ақаулар, әдетте, туындайды. , персонал бойынша. Нәтижелерге бағытталған дұрыс уәжделген персонал кез келген жүйенің тиімді жұмыс істеуі үшін қажеттінің жартысы болып табылады.
2.4 Ұсынылған шаралардың тиімділігі
«Ашатли» ЖШС Басқарушы компаниясы кәсіпорнындағы жаңартылған қауіпсіздік жүйесінің ең маңызды артықшылығы - қызметкерлердің қарым-қатынасындағы өзгерістер. Қолданыстағы қауіпсіздік жүйесіндегі мәселелердің көпшілігі жеке құрамнан туындаған.
Қолданудың артықшылықтарыESET NOD32 Business Edition:
бір құрылымдағы 5-тен 100 000 ДК-ге дейінгі кәсіпорындарға бағытталған
серверде де, жұмыс станцияларында да орнатылады
белгісіз қауіптерден белсенді қорғаныс
эвристикалық және қолтаңбаны анықтау әдістерін біріктіретін интеллектуалды технологияларды қолдану
жаңартылатын эвристикалық негізгі ThreatSense
тұрақты автоматты жаңартуқолтаңба деректер базасы
Масштабталатын шешім
Қазіргі заманғы технологиялар
POP3 және POP3 протоколдары арқылы барлық кіріс хат-хабарларды толық сканерлеу
кіріс және шығыс сканерлеу Электрондық пошта
анықталған зиянды бағдарлама туралы егжей-тегжейлі есеп
танымалға толық интеграция электрондық пошта клиенттері: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird және The Bat!.Қызметкерлердің Интернет арқылы жіберетін және алатын файлдарының түрлері мен көлемін шектеу, біріншіден, ұйым үшін маңызды кез келген ақпараттың ағып кетуін шектейді, екіншіден, Интернеттегі жүктемені азайтады, өйткені тарату арналары деректер бөгде ақпаратты берумен айналыспайды.
Орталықтандырылған басқару
Шешімді қолдану ESET Remote Administrator Бағдарламалық құрал өнімдерін қашықтан орнатуға және жоюға болады ESET , антивирустық бағдарламалық қамтамасыз етудің жұмысын бақылау, жергілікті өнімді жаңарту үшін желі ішінде серверлерді құру ESET («айналар») сыртқы интернет-трафикті айтарлықтай азайтуға мүмкіндік береді.
ESET NOD 32 Іскерлік басылым карантинге жіберілген анықталған жұқтырған объектілер туралы, қауіптердің, оқиғалардың, сканерлеулердің, тапсырмалардың динамикасы туралы есепті автоматты түрде жасайды, әртүрлі біріктірілген есептерді және т.б. Хаттама арқылы ескертулер мен хабарламаларды жіберуге болады SMTP немесе хабарлама менеджері арқылы.
Электрондық пошта мен веб-мазмұнды сүзу
Ыңғайлы есептер
Жоғары сапалы антивирус және желіні қорғаукомпьютер жұмысындағы үзілістерді болдырмауға мүмкіндік береді, бұл әсіресе менеджерлер мен кеңесшілердің жұмыс орындары үшін маңызды. Мұндай жақсартулар көптеген тұтынушылар үшін бизнес серіктес ретінде науқанның сенімділігіне әсер етеді, бұл науқанның имиджіне, сондай-ақ оның кірісіне жақсы әсер етеді. Ақпараттың автоматты түрде сақтық көшірмесін жасау оның тұтастығы мен қауіпсіздігін қамтамасыз етеді, ал мұрағаттау қажет жағдайларда оны жылдам қалпына келтіру мүмкіндігін қамтамасыз етеді.
3. Ақпараттық қауіпсіздік моделі
Ұсынылған ақпараттық қауіпсіздік моделі объективті сыртқы және ішкі факторлардың және олардың объектідегі ақпараттық қауіпсіздік жағдайына және материалдық немесе ақпараттық ресурстардың сақталуына әсер етуінің жиынтығы болып табылады. Объектілер ретінде материалдық-техникалық құралдар, жеке мәліметтер, құжаттар қарастырылады.
ҚОРҒАЛҒАН ДАБЫСKTY
ҚОРҒАЛАТЫН ОБЪЕКТІЛЕР- студенттердің жеке деректері f
акультета;Студенттердің жеке істері;
Оқушылардың жеке карточкалары;
Ағымдағы құжаттар;
Материалдық-техникалық құндылықтар.
ҚАУІП-ҚАТЕР ҚАУІПСІЗДІК
- ұрлық;
- рұқсат етілмеген қол жеткізу;
- ақпараттың тұтастығын бұзу рациондар;
Бағдарламалық және аппараттық құралдың ақаулары.
ҚОРҒАУ ӘДІСТЕРІ
- нормативтік актілер;
- ұйымдастырушылық, техникалық және режимдік шаралар мен әдістер;
- бағдарламалық және аппараттық қамтамасыз ету мойынсұну;
Ұйымдастырушылық қорғау.
ҚАУІПТЕРДІҢ КӨЗДЕРІ
- антропогендік көздер (қызметкерлер, студенттер, зиянкестер);
Техногендік көздер (бағдарламалық және аппараттық қамтамасыз ету);
Қауіптердің табиғи көздері (өрт, су тасқыны, жер сілкінісі және т.б.).
Қорытынды
Курстық жобаны аяқтау барысында «Ашатли Басқарушы компаниясы» ЖШС кәсіпорнының ақпараттық қауіпсіздік құралдарына талдау жүргізілді. Кәсіпорынның ақпараттық ресурстарына талдау, ақпараттық қауіпсіздік қатерлеріне талдау жүргізіліп, сәйкес кемшіліктер анықталды.
Ұсынылған түзету шараларын жүзеге асыру кәсіпорынға қауіпсіздік шараларының тиімділігін арттыруға және ақпараттың жоғалу қаупін азайтуға мүмкіндік береді. Айта кету керек, ақпараттық қауіпсіздікті ұйымдастыру немесе қайта ұйымдастыру процесі бағдарламалардың, персоналдың және жабдықтардың бір уақытта өзара әрекеттесетін күрделі процесс болып табылады.
Ақпараттық қауіпсіздікті қамтамасыз ету мәселесін шешу үшін оны толығымен жоятын заңнамалық, ұйымдастырушылық, бағдарламалық және техникалық шараларды қолдану қажет.
Пайдаланылған әдебиеттер тізімі
Маклаков С.В. AllFusion Modeling Suite көмегімен ақпараттық жүйелерді құру. – М.: Диалог-MEPhI, 2003. – 432 б.
www. ashatli-agro.ru
2006 жылғы 18 желтоқсандағы «Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» № 231-Ф Федералдық заңы.
Ресей Федерациясының 2006 жылғы 27 шілдедегі № 149-ФЗ «Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» Федералдық заңы
Қауіпсіздік жүйесіндегі ең осал жерді кәсіпорын қызметкерлері және бағдарламалық-аппараттық құралдар деп атауға болады. Атап айтқанда, жабдық істен шыққан жағдайда дербес компьютерлердегі деректердің сақтық көшірмесі жасалмайды, кейбір маңызды деректер жоғалуы мүмкін; MS Windows XP операциялық жүйесі және пайдаланылған бағдарламалық қамтамасыз ету жаңартылмаған, бұл ДК-де сақталған ақпаратқа рұқсатсыз кіруге немесе бағдарламалық жасақтамадағы қателер салдарынан оның бұзылуына әкелуі мүмкін; Қызметкерлердің интернет-ресурстарға қолжетімділігі бақыланбайды, бұл деректердің ағып кетуіне әкелуі мүмкін; іскери электрондық хат алмасу Интернет арқылы қорғалмаған арналар арқылы жүзеге асырылады, электрондық пошта хабарламалары серверлерде сақталады пошта қызметтеріИнтернетте; кейбір қызметкерлердің академияда қолданылатын автоматтандырылған жүйелермен жұмыс істеу дағдылары жеткіліксіз, бұл жүйеде қате деректердің пайда болуына әкелуі мүмкін; қызметкерлер қол жеткізе алады дербес компьютерлерсіздің әріптестеріңіз, бұл байқаусызда деректердің жоғалуына әкелуі мүмкін; Барлық профессор-оқытушылар құрамы мұрағатқа қол жеткізе алады, нәтижесінде кейбір жеке істер жоғалып кетуі немесе оларды іздеу ұзаққа созылуы мүмкін; Қауіпсіздік ережелері жоқ.
Ақпараттық қауіпсіздік жүйесінің негізгі мақсаты – объектінің тұрақты жұмыс істеуін қамтамасыз ету, оның қауіпсіздігіне төнетін қатерлердің алдын алу, кәсіпорынның заңды мүдделерін заңсыз шабуылдардан қорғау, меншікті ақпараттың ашылуына, жоғалуына, сыртқа шығуына, бұрмалануына және жойылуына жол бермеу және жеке ақпарат, объектінің барлық бөлімшелерінің қалыпты өндірістік қызметін қамтамасыз ету.
Ақпараттық қауіпсіздік жүйесінің тағы бір мақсаты – көрсетілетін қызметтердің сапасы мен қауіпсіздік кепілдіктерін арттыру.
Ұйымда ақпараттық қауіпсіздік жүйесін қалыптастырудың міндеттері: ақпараттың тұтастығы, ақпараттың сенімділігі және оның құпиялылығы. Берілген тапсырмаларды орындағанда мақсат орындалады.
АЖ және АТ-да ақпараттық қауіпсіздік жүйесін құру келесі принциптерге негізделген:
Отандық және шетелдік қауіпсіздік жүйелерін құру тәжірибесімен расталған және ақпаратты өңдеудің технологиялық циклінің барлық кезеңдерінде қолданылатын өзара байланысты ұйымдастырушылық, бағдарламалық, аппараттық, физикалық және басқа қасиеттердің оңтайлы үйлесімін білдіретін қауіпсіздік жүйесін құрудың жүйелі тәсілі.
Жүйенің үздіксіз даму принципі. Компьютерлік ақпараттық жүйелер үшін іргелі принциптердің бірі болып табылатын бұл принцип ақпараттық қауіпсіздік үшін бұрынғыдан да өзекті. АТ-да ақпараттық қауіптерді енгізу әдістері үнемі жетілдірілуде, сондықтан IP қауіпсіздігін қамтамасыз ету бір реттік әрекет бола алмайды. Бұл ақпараттық қауіпсіздік жүйесін жетілдірудің ең ұтымды әдістерін, әдістерін және жолдарын негіздеу мен енгізуден, үздіксіз мониторингтен, оның кедергілері мен әлсіз жақтарын, ақпараттың ағып кетуінің ықтимал арналарын және рұқсатсыз қол жеткізудің жаңа әдістерін анықтаудан тұратын үздіксіз процесс.
Өңделген ақпаратқа және өңдеу процедураларына қол жеткізу үшін өкілеттіктерді бөлу және азайту, яғни. пайдаланушыларға да, АЖ қызметкерлерінің өздеріне де өздерінің қызметтік міндеттерін орындау үшін жеткілікті, қатаң белгіленген ең аз өкілеттіктермен қамтамасыз ету.
Рұқсат етілмеген қол жеткізу әрекеттерін толық бақылау және тіркеу, яғни. ықтимал тергеу үшін әрбір пайдаланушының жеке басын нақты анықтау және оның әрекеттерін тіркеу қажеттілігі, сондай-ақ АТ-да ақпаратты өңдеудің кез келген операциясын алдымен тіркеусіз орындау мүмкін еместігі.
Қорғаныс жүйесінің сенімділігін қамтамасыз ету, яғни. жүйедегі қателер, ақаулар, хакердің қасақана әрекеттері немесе пайдаланушылар мен техникалық қызмет көрсету персоналының байқаусыз қателері жағдайында сенімділік деңгейін төмендету мүмкін еместігі.
Қорғаныс жүйесінің жұмыс істеуін бақылауды қамтамасыз ету, яғни. қорғау механизмдерінің орындалуын бақылау құралдары мен әдістерін құру.
Зиянды бағдарламаларға қарсы құралдардың барлық түрлерін қамтамасыз ету.
Қорғаныс жүйесін пайдаланудың экономикалық орындылығын қамтамасыз ету, ол АЖ мен АТ-қа қауіптерді іске асырудан болатын ықтимал залалдың САЖ әзірлеу және пайдалану құнынан асып кетуімен көрінеді.