تجزیه و تحلیل امنیتی اشیاء اطلاعاتی تجزیه و تحلیل امنیت اطلاعات شرکت تجزیه و تحلیل سیستم امنیت اطلاعات شرکت

27.02.2022

یکی از مؤلفه های اساسی عملکرد موفقیت آمیز یک شرکت مدرن، توسعه سیستمی برای تضمین امنیت اطلاعات و حفاظت از اطلاعات است. لزوم انجام فعالیت در این زمینه با ذخیره اطلاعات شخصی دانش آموزان در سیستم اطلاعاتی که اطلاعات محرمانه است توضیح داده می شود. رقبای بی وجدان برای تصاحب اطلاعات دیگران آمادگی دارند دست به اقدامات غیرقانونی بزنند و با در اختیار داشتن آن به ضرر رقبا استفاده کنند. یکی دیگر از جنبه های مهم تضمین امنیت اطلاعات، محافظت در برابر تخریب عمدی یا تصادفی داده ها است که منجر به از دست رفتن اطلاعات مهم هم برای کار عملیاتی مؤسسه و هم برای گزارش های تحلیلی می شود.

هنگام نگهداری حسابداری کاغذی در مدرسه ورزشی کودکان و نوجوانان شماره 5، وضعیت تضمین امنیت اطلاعات و حفاظت از اطلاعات بسیار متوسط ​​است. اطلاعات مربوط به دانش آموزان و سلامتی آنها، معلمان و شهریه ها به صورت اسناد کاغذی در کابینت کارکنان ذخیره می شود و اسناد پردازش شده بایگانی می شود. در عین حال، هیچ چیز مانع از خواندن این اسناد یا کپی کردن آنها توسط کارمندان خارجی و همچنین سرقت آنها توسط مهاجم نمی شود. توضیحات شغلی در مورد نیاز به رعایت رویه برای ذخیره اسناد بعید است مهاجمی را که هدف خود را در اختیار گرفتن آنها قرار داده است متوقف کند. با نسخه کاغذی انجام تجارت، احتمال مفقود شدن اسناد و همچنین از بین رفتن عمدی یا سهوی اسناد نیز زیاد است.

هنگام استفاده از یک نسخه کامپیوتری کار، سطح امنیت اطلاعات به ترتیبی افزایش می یابد. خود سیستم مدیریت خودکار اسناد کاربر را مجبور می کند در این مورد مسئولیت بیشتری داشته باشد.

از نظر فنی، امنیت اطلاعات و حفاظت اطلاعات با استفاده از سیستم رمز عبور برای دسترسی به منابع سیستم اطلاعاتی در سطوح مختلف انجام می شود. اول از همه، رمز ورود کاربر به سیستم عامل محل کارش است. با وارد کردن این رمز عبور، کاربر به منابع این رایانه و اسناد ذخیره شده در آن دسترسی دارد. در عین حال، خط مشی امنیتی باید به گونه ای پیکربندی شود که کاربر «استاد» کامل محل کار خود نباشد و نتواند مثلاً نرم افزارها یا برنامه های مخربی را برای کپی کردن اطلاعات نصب کند. محدود کردن حقوق تا حدودی کار کاربران را پیچیده می کند، اما در عین حال امنیت داده ها را تضمین می کند. همیشه لازم است بین راحتی و راحتی کار کاربر و امنیت ذخیره اطلاعات شرکت یا مشتری تعادلی پیدا کرد.

هنگامی که کاربر رمز عبور خود را برای ورود به سیستم عامل وارد می کند، نه تنها به منابع این رایانه، بلکه به منابع شبکه رایانه ای شرکت نیز دسترسی پیدا می کند. این در صورتی امکان پذیر است که کاربر به عنوان کاربر دامنه یا شبکه به رایانه وارد شود. در این صورت لازم است که با تمایز حقوق کاربران در شبکه با دقت بیشتری برخورد شود. شما باید حقوق یک کاربر شبکه را به گونه ای پیکربندی کنید که به او این فرصت را بدهید که آزادانه با اسناد خود کار کند، اما در عین حال دسترسی به اسنادی را که او حق کار با آنها را ندارد، یا فقط محدود می کند. حقوق مشاهده در این حالت، وظیفه محافظت از داده ها از دسترسی غیرمجاز و آسیب تصادفی به طور همزمان حل می شود.

مدیر سیستم در سازمان حق انتساب حقوق کاربر را دارد. این اوست که باید حقوق کاربران برای دسترسی به اسناد و برنامه ها را هم در شبکه و هم در رایانه های محلی محدود کند.

سطح دوم حفاظت از اطلاعات، حفاظت از رمز عبور دسترسی مستقیم به سیستم خودکار کار مدرسه ورزشی کودکان و نوجوانان شماره 5 است که در سیستم 1C: Enterprise 8.1 پیاده سازی شده است. سیستم 1C: Enterprise مکانیزمی را برای حفظ فهرستی از کاربران و محدود کردن حقوق دسترسی آنها به داده ها در خود جای داده است. در نتیجه، می‌توانید دسترسی کاربر را فقط به داده‌های ضروری در سیستم اطلاعاتی به‌صورت انعطاف‌پذیر پیکربندی کنید، و از دسترسی غیرمجاز و احتمال آسیب تصادفی به داده‌هایی که کاربر به آنها دسترسی ندارد پنهان شوید.

سطح سوم حفاظت از رمز عبور اطلاعات، رمز ورود به پایگاه داده SQL Server هنگام ساخت نسخه سرویس گیرنده-سرور معماری سیستم 1C: Enterprise 8.1 است. در این نوع عملیات، داده های ذخیره شده در پایگاه داده نه تنها توسط سیستم محدود کردن حقوق دسترسی کاربر سیستم 1C: Enterprise، بلکه توسط سیستم SQL Server نیز محافظت می شود که سطح امنیت را با مرتبه ای از بزرگی افزایش می دهد. .

مسئولیت توزیع حقوق دسترسی کاربر به داده های ذخیره شده در سیستم اطلاعاتی 1C:Enterprise 8.1 بر عهده مدیر سیستم است. او باید حقوق هر کاربر را به گونه ای پیکربندی کند که بدون ایجاد مشکل در کارش، دسترسی خود را به داده هایی که به آنها دسترسی ندارد محدود کند. آنها به همراه مدیر سیستم، دسترسی به پایگاه داده SQL Server را نیز پیکربندی می کنند.

یک عامل غیرقابل انکار که سطح امنیت اطلاعات و حفاظت از اطلاعات را در هنگام پیاده سازی سیستم حسابداری فروش الکترونیکی افزایش می دهد، توانایی، در صورت لزوم، "نجات" کل پایگاه داده اسناد در هر رسانه الکترونیکی در صورت وقوع، به عنوان مثال، بلایای طبیعی است. . در آینده، این کپی از پایگاه داده را می توان در یک مکان جدید مستقر کرد و کار با اسناد را می توان از جایی که قطع شد ادامه داد.

علاوه بر سازماندهی حفاظت از رمز عبور اطلاعات، نباید از حفاظت فیزیکی اطلاعات نیز غافل شد. توصیه می شود یک سرور شبکه کامپیوتری، یک سیستم 1C: Enterprise و یک سرور پایگاه داده SQL Server (با نسخه عملکرد کلاینت-سرور) را در یک اتاق جداگانه (اتاق سرور) قرار دهید که در آن علاوه بر شرایط ویژه لازم برای عملکرد سرورها (تهویه مطبوع، تهویه، ...)، ایجاد شرایط ویژه به استثنای ورود افراد غیرمجاز. این ممکن است یک سیستم کنترل دسترسی یا سایر اقدامات سازمانی باشد.

با وجود برنامه ریزی برای معرفی سیستم خودکار در مدرسه ورزشی شماره 5 کودکان و نوجوانان، کار با اسناد کاغذی همچنان ادامه خواهد داشت. بنابراین، به عنوان مثال، قراردادهایی که با مشتریان منعقد می شود، فقط بر روی کاغذ قدرت قانونی دارند. سازماندهی نگهداری چنین اسنادی، به استثنای امکان دسترسی افراد غیرمجاز یا کارکنانی که به آنها دسترسی ندارند، نکته مهمی در تضمین امنیت کلی سیستم اطلاعات است. توصیه می شود بایگانی را سازماندهی کنید که چنین اسنادی در آن ذخیره شوند و دسترسی کارمندان به آن را تنظیم کنید. امکان نفوذ افراد غیرمجاز جهت حذف روشهای فیزیکی (درب آهنی، میله روی پنجره).

دانشگاه دولتی الکتروتکنیک سنت پترزبورگ

پروژه دوره

بر اساس رشته: روش ها و وسایل حفاظت از اطلاعات رایانه ای.

موضوع: "تحلیل امنیت اشیاء اطلاعاتی"

تکمیل شده توسط: Pavlova A.V.

گروه: 9051

دانشکده ی

سن پترزبورگ، 2014

1. بیان مشکل

انتخاب هدف حفاظتی

اهداف امنیتی

تخصص موضوع حفاظت

2. مرحله تحلیلی

الزامات GIS

گزینه های SZI

4. سیاست امنیتی

1. بیان مشکل

انتخاب هدف حفاظتی

به عنوان هدف حفاظت در طول اجرای این پروژه دوره، یک شبکه محلی شرکتی LLC "Dialogue IT" در نظر گرفته خواهد شد.

فعالیت اصلی این شرکت ارائه خدمات برای خودکارسازی فعالیت های شرکت های مبتنی بر محصولات نرم افزاری 1C و سایر تولید کنندگان است. موضوع امنیت اطلاعات بسیار حاد است، زیرا. پایگاه داده شرکت داده های محرمانه مشتری را ذخیره می کند و یکپارچگی شبکه محلی به کار بیش از 90 کاربر بستگی دارد.

تعریف مشکل امنیتی

برای هدف حفاظتی انتخاب شده، مسائل مربوط به حفاظت از داده های محرمانه (هم مشتریان شرکت و هم داده های شخصی کارکنان سازمان)، یکپارچگی داده ها (پایگاه های اطلاعاتی مشتریان و خود شرکت) و در دسترس بودن داده ها (سرعت دسترسی به داده ها است. اهمیت زیادی دارند) به شدت مطرح می شوند.

اهداف امنیتی

بر اساس سه موضوع امنیتی، در این مورد ما 3 هدف داریم:

هنگام محافظت از داده های حساس، هدف حفاظت کامل، نزدیک به 100٪ خواهد بود، زیرا درز حتی مقدار کمی از داده ها می تواند باعث آسیب مالی جدی شود.

اطلاعات حفاظت از شبکه شرکتی

ضمن اطمینان از یکپارچگی داده ها، هدف ما نیز تلاش برای حفاظت کامل از داده ها خواهد بود. فقط از دست دادن داده ها برای مدت کوتاهی - بیش از 1 روز قابل قبول نیست.

ضمن اطمینان از در دسترس بودن داده ها، هدف ما نیز حداکثر است: وقفه در دسترسی به داده ها در داخل شرکت بیش از 2-3 ساعت مجاز نیست، به داده های مشتریان شرکت (در صورت تولید مداوم) - نه بیشتر بیش از 1-1.5 ساعت

تخصص موضوع حفاظت

برنج. یکی

برنج. 2

شبکه محلی سازمان به 4 زیرشبکه مجازی تقسیم می شود که تعامل آنها با استفاده از سوئیچ 3com 5500 ارائه می شود که به منظور افزایش سرعت مفید شبکه محلی انجام می شود. امنیت شبکه در سمت اینترنت توسط فایروال تامین می شود.

سرور دمو دیالوگ، طراحی شده برای ارائه دسترسی آزمایشی به مشتریان شرکت به پایگاه های داده و خدمات آن، در شبکه محلی شرکت قرار ندارد، زیرا در این صورت نیازی به ارائه این خدمات برای کاربران خارجی در داخل شبکه محلی نیست. (عکس. 1)

سرور پورتال شرکتی (شکل 2): فقط پورت 80 از سمت اینترنت باز است. بقیه بنادر بسته است.

مشخصات سرورهای مجازی (نرم افزار مورد استفاده - ESXi، VMware و Hyper-V، Microsoft):

کنترل کننده دامنه (با استفاده از اکتیو دایرکتوری)؛

DBMS برای پایگاه های داده 1C (MsSQL)؛

سرور حفاظت ضد ویروس شرکتی (محافظت ضد ویروس کسپرسکی)، همراه با ذخیره سازی فایل کاربران شبکه محلی؛

سرور مانیتورینگ (وضعیت سرورها را در شبکه نظارت می کند و عملکرد آنها را تجزیه و تحلیل می کند).

سرور توسعه (برای توسعه مشترک برنامه نویسان شرکت)؛

سرور پشتیبان کپی آرشیوی روزانه انجام می شود - در شب، در دوره هایی که کمترین بار در شبکه وجود دارد.

2. مرحله تحلیلی

ساختار سیستم عوامل خطر

بیایید عناصر مجموعه را به عنوان منبع تهدید، تهدید و عوامل خطر و رابطه بین آنها تعریف کنیم.

اجازه دهید ابتدا تعاریف اولیه را ارائه دهیم.

منبع تهدیدها - حامل‌های بالقوه انسانی، مصنوعی یا طبیعی تهدیدات امنیتی.

تهدید - رویدادی است که به طور مستقیم یا غیرمستقیم قادر است با تأثیر بر اجزای آن به جسم محافظت شده آسیب برساند.

تهدیدهایی که مستقیماً بر اجزای جسم محافظت شده تأثیر می گذارد، رویدادهای خطر نامیده می شوند.

منابع انسانی تهدیدها

منابع انسانی تهدید امنیت اطلاعات، موضوعاتی هستند که اقدامات آنها را می توان به عنوان جرایم عمدی یا سهوی تلقی کرد.

به عنوان یک منبع انسانی تهدیدها، می توان شخصی را که دسترسی (مجاز یا غیرمجاز) برای کار با وسایل استاندارد شی محافظت شده دارد، در نظر گرفت.

منابع احتمالی تهدید از این نوع برای شبکه مورد نظر:

مهاجم (جنایتکار، هکر، شریک بی وجدان شرکت)؛

کاربری که سطح صلاحیت کافی را ندارد یا دسترسی غیرمجاز به منابع شبکه دریافت کرده است.

مدیر شبکه.

منابع تکنولوژیکی تهدیدات

این منابع تهدید کمتر قابل پیش بینی هستند و مستقیماً به ویژگی های فناوری بستگی دارند.

منابع انسان ساز تهدید برای داده های ما می تواند باشد:

نقص در شبکه های مهندسی ساختمان (تامین آب، برق و غیره)؛

نقص در وسایل فنی؛

منابع طبیعی تهدید

منابع طبیعی تهدیدات بالقوه برای امنیت اطلاعات، به عنوان یک قاعده، در رابطه با شی محافظت شده خارجی هستند، آنها در درجه اول به عنوان بلایای طبیعی شناخته می شوند.

از این نوع تهدیدات به داده های اطلاعاتی سازمان ما می توان موارد زیر را در نظر گرفت:

سیل (این به دلیل موقعیت دفتر شرکت در نزدیکی رودخانه و همچنین موقعیت آن در ناحیه فدرال شمال غربی است).

شرایط پیش بینی نشده از این نوع (از زلزله تا خطر حمله هسته ای).

لیست کلی تهدیدات احتمالی از منابع بالا:

· قطع برق؛

· از دست دادن داده های آرشیوی سیستم های اطلاعاتی؛

· خرابی سرورها، رایانه های کاربر؛

· آسیب فیزیکی به تجهیزات کامپیوتری؛

· از دست دادن یا خراب شدن داده ها به دلیل خطاهای نرم افزاری؛

· از دست دادن یا آسیب به داده ها در نتیجه ویروس های رایانه ای؛

· کپی، تخریب یا تغییر غیرمجاز داده ها؛

· نشت اطلاعات محرمانه

رویدادهای ریسک:

از دست دادن داده های اطلاعاتی و دسترسی به آنها؛

تغییر داده ها؛

نشت داده های محرمانه

اجزای سیستم اطلاعاتی شرکت ما عبارتند از:

.سرور

2.کامپیوتر کاربر

.ارتباط دادن

.بر.

برای نمایش ساختار کلی سیستم عوامل خطر، یک نمودار می سازیم.

با توجه به اینکه اتصالات بسیار زیادی در این ساختار وجود دارد، زیرا منابع مشخصی از تهدیدات می توانند تهدیدات مختلفی را برای داده هایی که محافظت می کنیم ایجاد کنند، ما این داده ها را به بسته نرم افزاری تحلیل امنیتی اضافه می کنیم.

الگوریتم سازی ماتریس رابطه

اطلاعات اولیه:

بیایید روابط بین منابع تهدید، تهدیدها و اجزای حفاظتی را به ترتیب تعریف کنیم.

منابع تهدید - تهدیدات:

تهدیدها - تهدیدها:

تهدیدات - اجزای حفاظتی:

ما ضرایب وزنی را به ماتریس روابط W که در نتیجه برنامه به دست آمده است وارد می کنیم.

تعریف و تجزیه و تحلیل مشخصات ریسک

در زیر ماتریس انتقالی V محاسبه شده است که منابع تهدیدات و تهدیداتی را که برای سیستم مورد بررسی مهم‌ترین هستند را تعیین می‌کند.

اطلاعات جدول با وضوح بیشتری در قالب نمودارها (به طور جداگانه برای منابع تهدید و تهدید) ارائه شده است.

تأثیر منابع تهدید.

تاثیر تهدیدات

مهمترین اجزای سیستم از دیدگاه حفاظت اطلاعات.

پس از تجزیه و تحلیل داده های دریافتی بسته نرم افزاری، می توان نتیجه گرفت که جدی ترین منابع تهدید سیستم مورد نظر ما عبارتند از:

اقدامات مزاحمان (هکرها، شرکای بی پروا)؛

خرابی شبکه های مهندسی (تامین برق، تامین آب، سیستم تهویه مطبوع و غیره)؛

اقدامات غیر مجاز کاربران؛

از دست دادن یا تغییر داده ها به دلیل نرم افزارهای با کیفیت پایین.

سایر منابع تهدید که در مرحله اول شناسایی کردیم نیز باید در هنگام توسعه سیاست امنیتی شرکت در نظر گرفته شوند.

حادترین آنها تهدید به نشت، از دست دادن و تحریف داده های سیستم های اطلاعاتی شرکت و همچنین خرابی در عملکرد سرور و تجهیزات کامپیوتری است که منجر به از کار افتادن گردش کار شرکت می شود و مستقیماً منجر به زیان مالی می شود.

از آخرین نمودار در مورد وزن اجزای حفاظتی، می توان دریافت که وظیفه اصلی محافظت از سرور است. نرم افزار امن کمترین وزن را در بین قطعات دارد، با این حال به نظر من این مشکل نیز ارزش توجه دارد.

3. سنتز سیستم امنیت اطلاعات (IPS)

الزامات GIS

در این مرحله، پس از دریافت داده‌ها در مورد خطرناک‌ترین منابع تهدید و تهدید برای سیستم ما، لازم است خط‌مشی امنیتی شرکت با تشریح ابزارهای حفاظت مستقیم تدوین شود.

گزینه های SZI

منشأ تهدید، اقدامات یک مهاجم است.

.برای کاهش خطر احتمالی اتصال یک مزاحم به یک شبکه بی سیم، لازم است پوشش سیگنال Wi-Fi در خارج از محل شرکت به حداقل برسد. این را می توان برای مثال با کاهش قدرت فرستنده در نقطه دسترسی انجام داد. چنین تنظیماتی به شما امکان می دهد تقریباً تمام دستگاه های سیستم عامل نرم افزار مدرن را تولید کنید. با این حال، این باید فقط در جایی که واقعاً مورد نیاز است انجام شود، در غیر این صورت ممکن است کیفیت پذیرش و منطقه پوشش داخلی برای وظایف خود شرکت تنزل یابد. همچنین لازم است امکان اتصال فیزیکی به سیم های شبکه محلی شرکت را حذف کنید: آنها باید از طریق سقف یا پنهان در دیوارها انجام شوند.

2.مجوز و احراز هویت فقط به کاربران مجاز شبکه اجازه ورود به شبکه و استفاده از منابع شبکه را می دهد. برای محافظت از نیازهای شرکت ما در بودجه محدود، گزینه مجوز با استفاده از رمزهای عبور کاربر مناسب است. رمز عبور باید حداقل هر 30-40 روز یک بار تغییر کند و در هنگام تغییر رمز، کاربر باید رمز عبوری را که 5 بار قبلی استفاده کرده است محدود کند. سرویس Active Directory و قابلیت‌های MsSQL DBMS به شما این امکان را می‌دهد که حقوق کاربر را در سیستم مدیریت اسناد، ایمیل و سایر منابع شبکه به درستی متمایز کنید.

.سیستم کنترل و مدیریت دسترسی - ACS - اجازه می دهد تا ورود به محل شرکت را فقط برای کارکنان سازمان و شرکای قابل اعتماد محدود کند. کنترل دسترسی به محوطه اداری با کمک کارت های هوشمند انجام می شود. این سیستم همچنین به منابع انسانی اجازه می دهد تا بر حضور و غیاب کارکنان نظارت داشته باشد و به طور موثرتری با تاخیر برخورد کند.

منبع تهدیدات، خرابی شبکه است.

.نصب منبع تغذیه اضطراری بر روی سرور برای تحمل عیب عملکرد آن در زمان قطع برق.

2.اتاق سرور باید در یک اتاق مجزا، دارای تهویه مناسب و دارای تهویه مطبوع، واقع در فاصله کافی از تاسیسات مانند آب و فاضلاب قرار گیرد.

منشا تهدیدها استفاده از نرم افزارهای بی کیفیت است.

2.کاربران نباید اجازه داشته باشند نرم افزارهای غیرمجاز را به تنهایی روی ایستگاه های کاری خود نصب کنند. برای انجام این کار، آنها نباید به حقوق اداری در رایانه شخصی دسترسی داشته باشند. بنابراین، مدیر سیستم قادر خواهد بود امکان نصب نرم افزارهای با کیفیت پایین یا مخرب را حذف کند.

.استفاده از نرم افزار آنتی ویروس هم در ایستگاه های کاری کاربر و هم روی سرور. برای این منظور یک سرور مجازی مجزا در شبکه ما اختصاص داده شده است.

تهدید - از دست دادن، فساد یا نشت داده ها.

.مشکل از دست دادن اطلاعات پشتیبان را حل می کند. کپی باید حداقل یک بار در روز انجام شود. ترجیحا در شب، زمانی که بار روی سرور حداقل است. برای این منظور، تعداد زیادی نرم افزار تخصصی وجود دارد.

2.همچنین، یک فایروال با پیکربندی مناسب به کاهش این تهدید کمک می کند. به منظور شناسایی به موقع، به عنوان مثال، اسکن شبکه های شرکت از خارج، می توانید از نرم افزار ویژه نیز استفاده کنید.

تهدید - خرابی سرور.

.علاوه بر سرور پشتیبان، باید یک سرور پشتیبان وجود داشته باشد که در صورت خرابی بحرانی سرور اصلی، بخشی از بار را برای انجام مهمترین وظایف بر عهده بگیرد.

2.همچنین در صورت امکان، تقسیم وظایف به سرورهای جداگانه ضروری است. این امر باعث کاهش ضرر (اعم از موقت و مالی) در صورت شکست یکی از آنها می شود.

ارزیابی اثربخشی GIS پیشنهادی

گزینه شماره 1.

·

· نصب یو پی اس.

· دیواره آتش.

گزینه شماره 1 تنها 50% محافظت در برابر تهدیدات و منابع آنها را فراهم می کند. این سطح در هنگام کار با داده ها نه تنها برای سازمان شما، بلکه برای پایگاه های داده مشتریان نیز غیرقابل قبول است.

گزینه شماره 2.

· تقسیم سرور

· نرم افزار آنتی ویروس.

· ACS.

گزینه شماره 2 حتی نسبت به گزینه شماره 1 در حفاظت از داده های شرکت مؤثرتر است.

همانطور که از نتایج دو گزینه قبلی مشخص است، علیرغم اینکه خود حفاظت ها (مجوز + احراز هویت، نصب UPS، نرم افزار آنتی ویروس و فایروال) کاملاً مؤثر هستند، ترکیب تنها سه ابزار شرایط را تغییر چندانی نمی دهد. . در این راستا، گسترش فهرست ابزارهای حفاظتی را برای تضمین امنیت اطلاعات در شرکت ضروری می دانم.

گزینه شماره 3.

· مجوز + احراز هویت.

· دیواره آتش

· نصب یو پی اس.

· پشتیبان گیری.

· تقسیم سرور

· ACS.

· نرم افزار آنتی ویروس.

· نرم افزار دارای مجوز

بازده 83.5 درصد در این مرحله کاملا قابل قبول است. بنابراین، مجموعه ای از راه حل های در نظر گرفته شده در گزینه شماره 3 را می توان مؤثر و در عمل کاملاً قابل اجرا دانست. همچنین می توان گفت که به دلیل ذهنی بودن ارزیابی تأثیر برخی ابزارهای حفاظتی و همچنین به دلیل این واقعیت که همانطور که در نمودار ساختار سیستم ما مشاهده کردیم، همه تهدیدات و منابع تهدیدها ارتباط نزدیکی با یکدیگر دارند - هر یک وسیله حفاظتی می تواند تأثیر غیرمستقیم کاملاً ملموسی بر سایر نهادها داشته باشد. بر این اساس، می توان فرض کرد که سطح واقعی حفاظت ارائه شده همچنان بالاتر از سطح پیشنهادی برنامه خواهد بود.

4. سیاست امنیتی

هدفایجاد یک سیاست امنیتی برای تضمین بالاترین امنیت اطلاعات ممکن در شرکت است.

مدیریت شرکت مسئول اطلاع رسانی به کارکنان در مورد این سیاست است. تضمین می کند که هر کارمند با این مجموعه قوانین آشنا است. مدیریت بخش یکپارچه سازی سیستم ها متعهد به تعامل با همه کارکنان در مورد مسائل امنیتی است.

کارکنان با امضای این سند تایید می کنند که با خط مشی امنیتی موجود در شرکت آشنا هستند و متعهد می شوند که قوانین مندرج در آن را رعایت کنند.

دپارتمان یکپارچه سازی سیستم مسئولیت اطمینان از ادامه کار تجهیزات کامپیوتری و همچنین تضمین حفاظت از سرورهای شرکت مطابق با خط مشی امنیتی را بر عهده دارد.

امتناععدم رعایت قوانین این سیاست ممکن است داده های شرکت و همچنین اطلاعات مشتریان شرکت و کارکنان سازمان را در معرض خطر غیرقابل قبولی از دست دادن محرمانه بودن، یکپارچگی یا در دسترس بودن در هنگام ذخیره، پردازش یا ارسال در شبکه شرکت قرار دهد. . نقض استانداردها، رویه‌ها یا دستورالعمل‌هایی که از این سیاست پشتیبانی می‌کنند ممکن است منجر به اقدامات انضباطی تحت قوانین روسیه شود.

قوانین کلی برای شبکه

1. به هر رایانه شخصی باید یک اپراتور اختصاص داده شود که مسئول اجرای کلیه سیاست ها و رویه های مربوط به استفاده از آن رایانه شخصی است. اپراتورها باید آموزش ببینند و کتابچه های راهنمای مناسبی در اختیار آنها قرار گیرد تا بتوانند تمام قوانین این سیاست را به درستی رعایت کنند.

برای جلوگیری از انتشار نرم افزارهای مخرب، نصب نرم افزار توسط کاربران شبکه محلی مجاز نمی باشد.

مدیر سیستم باید گزارش های هفتگی از وضعیت امنیتی سیستم، اقدامات کاربر که با خط مشی امنیتی مطابقت ندارد و وضعیت کلی شبکه و سرورها را به مدیریت شرکت ارسال کند. در صورت بروز شرایط اضطراری - مدیریت را در مورد دلایل وقوع آنها و راه های ممکن برای حل آنها مطلع کنید.

مسئولیت مدیر سیستم (SA).

1. CA مسئول مدیریت حقوق دسترسی همه کاربران به داده ها، برنامه ها و منابع شبکه شرکت است.

نظارت بر کلیه رویدادهای مرتبط با امنیت اطلاعات و بررسی هرگونه نقض واقعی یا مشکوک خط مشی امنیتی بر عهده CA است.

مدیر مسئول نصب، نگهداری و حفاظت از نرم افزارها و فایل های شرکتی بر روی سرور LAN با استفاده از مکانیسم ها و روش های حفاظتی در دسترس است.

CA باید به طور منظم سرورهای LAN را با نرم افزار ضد ویروس اسکن کند.

CA مسئول پشتیبان گیری به موقع اطلاعات از رایانه های کاربر و سرورها و نگهداری یک نسخه پشتیبان از پایگاه داده در سرور پشتیبان است. کپی باید در دوره ای انجام شود که کمترین بار روی منابع LAN وجود دارد.

مدیر شبکه موظف است بازرسی های هفتگی کانال های انتقال داده را برای تشخیص خرابی ها، خرابی ها و آسیب های حفاظ انجام دهد. در صورت آسیب دیدن آنها، اقدامات لازم را به منظور اطمینان از عملکرد شبکه LAN انجام دهید.

امنیت سرور

1. لیست افراد مجاز به کار با سرور در لیست خاصی قرار دارد که حق ویرایش آن را فقط رئیس بخش یکپارچه سازی سیستم دارد.

دمای محیطی که سرورها در آن قرار دارند نباید بیش از 35 درجه سانتیگراد باشد.

درجه سانتیگراد در اوج به منظور حفظ این شرایط، سیستم های تهویه مطبوع در این محل ها نصب می شود. نظارت بر عملکرد این سیستم ها نیز بر عهده CA است.

به روز رسانی نرم افزار باید در تمام ایستگاه ها یکنواخت باشد و طبق برنامه زمانی که توسط رئیس بخش یکپارچه سازی سیستم (OSI) تعیین می شود، انجام شود. فرآیند به روز رسانی باید در مدت زمان کمترین بار در شبکه و ایستگاه های کاری کاربر انجام شود تا از جریان کاری بدون توقف اطمینان حاصل شود.

حضور افراد غیر مجاز در محل با سرور ممنوع است.

کانال انتقال داده، که از ارائه دهنده به شمال می آید، باید به طور قابل اعتماد محافظت شود و با یک پوشش پوشانده شود.

قوانین دسترسی به اتاق سرور

1. کاربران حق دسترسی به سرورها و تجهیزات سرور را ندارند. استثنا توسط افراد از بند 1 از بخش ساخته شده است. امنیت سرور

کارکنان OSI به سرور و نرم افزار آن دسترسی دارند.

مسئولیت کارکنان.

1. کارکنان شرکت متعهد به استفاده از مکانیسم های امنیتی موجود برای محافظت از محرمانه بودن و یکپارچگی اطلاعات خود و شرکت هستند.

هر کارمند موظف است از رویه های محلی برای حفاظت از داده های حیاتی و همچنین رویه های امنیتی شبکه LAN خود شرکت پیروی کند. از مکانیسم های حفاظتی فایل برای حفظ کنترل دسترسی مناسب به فایل استفاده کنید.

کارمند مسئول اطلاع رسانی سریع به CA یا یکی دیگر از کارمندان IPO یا یکی از اعضای مدیریت در مورد نقض امنیت اطلاعات یا نقص شناسایی شده در ابزار فنی است.

اجرای سیاست

ایستگاه های کاری شخصی

1. کاربران در ایستگاه های کاری شخصی در حالتی با سطح کمتری از حقوق دسترسی کار می کنند تا خطر نفوذ بدافزار به شبکه LAN کاهش یابد.

فقط مدیر سیستم و سایر کارکنان OSI مجاز به کار با حقوق اداری هستند.

رمزهای عبور استفاده شده

هر 40 روز، هر کاربر موظف است رمز عبور ایستگاه کاری خود را تغییر دهد. این رمز عبور باید با استانداردهای امنیتی عمومی پذیرفته شده مطابقت داشته باشد: حداقل از 8 کاراکتر، حاوی حروف کوچک و بزرگ و حداقل یک عدد باشد.

مشخصات کاربر.

1. کاربران - همه کارکنان شرکت، به جز مدیر سیستم و سایر کارکنان OSI که به ایستگاه های کاری LAN دسترسی دارند. آنها مسئولیت استفاده از منابع شبکه سازمان را که در اختیار آنها قرار می گیرد مطابق با این سیاست امنیتی بر عهده دارند.

کاربر مسئول سخت افزاری است که به او اختصاص داده شده است، باید از صلاحیت کافی برخوردار باشد و دفترچه راهنماهای مناسب در اختیار او قرار گیرد تا بتواند به درستی تمامی الزامات این سیاست را رعایت کند.

در صورت مشاهده نقض حفاظت یا نقص در ابزار فنی، کاربر موظف است بلافاصله با OSI تماس بگیرد.

کاربران از استفاده بدون حساب برای رسانه ممنوع هستند، در صورت لزوم، کاربر باید با CA تماس بگیرد.

کاربر، تحت هیچ شرایطی، نباید داده های احراز هویت دریافتی را در اختیار سایر کاربران LAN و اشخاص ثالث قرار دهد.

CJSC "Consultant Plus" یک سیاست امنیتی دارد.

این شرکت دارای مدارک قانونی زیر در زمینه حفاظت اطلاعات و امنیت اطلاعات (IS) می باشد:

  • - مقررات مربوط به اطلاعات محرمانه
  • - بیانیه استفاده از نرم افزار
  • - بیانیه استفاده از ایمیل
  • - مقررات استفاده از اینترنت
  • - مقررات استفاده از دستگاه های تلفن همراه و رسانه های ذخیره سازی
  • - مقررات داخلی کار
  • - دستور معرفی خط مشی امنیت اطلاعات
  • - دستور معرفی مقررات داخلی کار
  • - دستور معرفی کنترل دسترسی درون شی

مدیر ارشد امنیت و رئیس اداره سیستم مسئول اجرای این مقررات هستند.

در قراردادهای کاری کارکنان شرکت بند به عدم افشای اطلاعات محرمانه در طول مدت قرارداد و همچنین سه سال پس از خاتمه آن وجود دارد. کارکنان موظفند کلیه الزامات دستورات، دستورالعمل ها و مقررات مربوط به اطمینان از ایمنی اسرار تجاری و سایر اطلاعات محرمانه کارفرما، رعایت کنترل درون شی و دسترسی را رعایت کنند.

هنگامی که کارمندان از ایمیل استفاده می کنند، ممنوع است:

  • 1) از ایمیل برای اهداف شخصی استفاده کنید.
  • 2) ارسال پیام های الکترونیکی حاوی:

آ. اطلاعات محرمانه

ب اطلاعاتی که یک راز تجاری را تشکیل می دهد، مگر در مواردی که بخشی از وظایف رسمی فرستنده باشد.

د اطلاعات، فایل‌ها یا نرم‌افزارهایی که می‌توانند عملکرد نرم‌افزار و سخت‌افزار را در یک شبکه شرکتی مختل یا محدود کنند.

  • 3) پیوندها را دنبال کنید و پیوست‌های پیام‌های ایمیل دریافتی از فرستندگان ناشناس را باز کنید.
  • 4) به ابتکار خود، پیام های الکترونیکی (از جمله انبوه) ارسال کنید (در صورتی که توزیع مربوط به انجام وظایف رسمی نباشد).
  • 5) آدرس ایمیل خود یا آدرس ایمیل سایر کارکنان سازمان را در منابع عمومی اینترنتی (تالارها، کنفرانس ها و ...) منتشر کنید.
  • 6) امکان دسترسی کارکنان سازمان (به استثنای مدیران IP) و اشخاص ثالث به صندوق پست الکترونیکی آنها.
  • 7) پیام های الکترونیکی را بدون تایید قبلی از سوی مدیران IS رمزگذاری کنید.

هنگام استفاده از اینترنت، ممنوع است:

  • 1) از دسترسی به اینترنت ارائه شده توسط سازمان برای مقاصد شخصی استفاده کنید.
  • ۲) از سخت افزار و نرم افزار تخصصی استفاده کنید که به شما امکان دسترسی غیرمجاز به اینترنت را می دهد.
  • 3) انجام هرگونه اقدامی که با هدف ایجاد اختلال در عملکرد عادی عناصر IP سازمان انجام می شود.
  • 4) انتشار، آپلود و توزیع مطالب حاوی:

الف) اطلاعات محرمانه،

ب) اطلاعاتی که اسرار تجاری را تشکیل می دهد، مگر در مواردی که جزء وظایف رسمی باشد.

  • 5) اطلاعات، به طور کامل یا جزئی، تحت حمایت حق چاپ یا سایر حقوق، بدون اجازه مالک.
  • 6) نرم افزار مخرب طراحی شده برای مختل کردن، از بین بردن یا محدود کردن عملکرد سخت افزار و نرم افزار، و همچنین شماره سریال نرم افزارهای تجاری و نرم افزارهای تولید آنها، رمزهای عبور و سایر ابزارها برای دسترسی غیرمجاز به منابع اینترنتی پولی، و همچنین پیوندهایی به اطلاعات فوق
  • 7) آدرس IP خود و همچنین سایر اطلاعات اختصاصی خود را جعل کنید.

Consultant Plus CJSC امکان استفاده از لیست محدود نرم افزارهای تجاری (طبق ثبت نرم افزارهای مجاز) و نرم افزارهای رایگان (لازم برای انجام وظایف تولید) را می دهد. کاربران از نصب نرم افزارهای دیگر بر روی رایانه شخصی خود منع می شوند.

در شرکت IS CJSC «مشاور پلاس» تنها استفاده از دستگاه‌های تلفن همراه و رسانه‌های ذخیره‌سازی ثبت‌شده که متعلق به سازمان بوده و تحت ممیزی و کنترل منظم هستند مجاز است. در دستگاه های تلفن همراه ارائه شده توسط سازمان، مجاز به استفاده از نرم افزارهای تجاری موجود در ثبت نام نرم افزارهای مجاز برای استفاده است.

در سطح برنامه، کنترل دسترسی مبتنی بر نقش در سرویس دایرکتوری Microsoft Active Directory و همچنین هنگام دسترسی به DBMS انجام می شود. همین سرویس رمزهای عبور کاربر را مدیریت می کند: هر رمز عبور دارای یک تاریخ انقضا است، پس از آن کاربر مجبور به تنظیم رمز عبور دیگر می شود. سیستم به شما اجازه نمی دهد رمز عبور خیلی کوتاه یا خیلی ساده را وارد کنید. بنابراین، حفاظت در برابر دسترسی غیرمجاز به سیستم به دست می آید.

برای محافظت از شبکه LAN و رایانه ها در برابر تهدیدات خارجی، از بسته امنیتی Kaspersky Enterprise Space Security استفاده می شود که عملکردهای زیر را انجام می دهد:

  • 1) محافظت در برابر حملات هکرهاهکرهای مدرن از کی لاگرها (کی لاگرها) و روت کیت ها برای حملات استفاده می کنند - برنامه هایی که اجازه دسترسی غیرمجاز به داده ها را می دهند و در عین حال از شناسایی جلوگیری می کنند. موتور ضد ویروس به طور موثر این تهدیدها را خنثی می کند و از دسترسی غیرمجاز به رایانه های موجود در شبکه شرکت جلوگیری می کند.
  • 2) حفاظت از فیشینگپایگاه داده URL سایت فیشینگ به طور مداوم در حال رشد است. پیوندهای مشکوک را شناسایی و مسدود می کند و ایمیل های فیشینگ را فیلتر می کند و سطح امنیت LAN را افزایش می دهد.

تجزیه و تحلیل تضمین امنیت اطلاعات فعالیت های Astra-com LLC

بیایید اطلاعات و پشتیبانی حقوقی امنیت اطلاعات Astra-com LLC را تجزیه و تحلیل کنیم.

کار با داده ها در شرکت به شرح زیر انجام می شود. فرم درخواست به خدمات پشتیبانی فنی وب سایت رسمی شرکت را می توان در وب سایت رسمی در زیربخش "پشتیبانی فنی" بخش "سوالات مشتریان و تامین کنندگان"، اولین لینک از بالا، دریافت کرد.

نرم افزار اصلی مورد استفاده توسط اپراتور Astra-com LLC: ابزارهای CryptoPro CSP، Internet Explorer، EDS.

CryptoPro- خطی از ابزارهای رمزنگاری (برنامه های کمکی) - به اصطلاح ارائه دهندگان رمزنگاری. آنها در بسیاری از برنامه های توسعه دهندگان روسی برای تولید امضای دیجیتال، کار با گواهی ها، سازماندهی ساختار PKI و غیره استفاده می شوند.

به ویژه، CSPهای CryptoPro در برنامه های گزارش مالیاتی و همچنین در بانک های مشتری مختلف (به عنوان مثال، در بانک های مشتری Sberbank) استفاده می شود.

CryptoPro CSP گواهینامه FAPSI را گذرانده است.

ابزار حفاظت رمزنگاری CryptoPro CSP بر اساس شرایط مرجع توافق شده با FAPSI مطابق با رابط رمزنگاری Microsoft - ارائه دهنده خدمات رمزنگاری (CSP) توسعه یافته است. CryptoPro CSP دارای گواهی‌های انطباق با FAPSI است و می‌تواند برای تولید کلیدهای رمزگذاری و کلیدهای امضای دیجیتال الکترونیکی، رمزگذاری و تقلید از حفاظت از داده‌ها، اطمینان از یکپارچگی و صحت اطلاعاتی که حاوی اطلاعات محرمانه دولتی نیستند، استفاده شود.

محافظت در برابر دسترسی غیرمجاز با استفاده از CryptoPro CSP، CryptoPro TLS، CryptoPro Winlogon، CryptoPro EAP-TLS، CryptoPro IPSec، بسته امن Rus.

همچنین با توجه به اطلاعات آنها این ماژول اضافه حیاتی نیست و به صورت پیش فرض نصب نمی شود. بنا به درخواست کاربران می توان آن را به صورت جداگانه نصب کرد.

اگر کاربر CryptoPro نسخه دیگری دارد، کاربر باید فرم درخواست تکمیل شده را به خدمات پشتیبانی فنی ارسال کند.

همچنین Astra-com LLC از روش های حفاظتی زیر استفاده می کند:

ساده ترین مثال از الگوریتم های رمزگذاری مورد بررسی، الگوریتم RSA است. همه الگوریتم های دیگر این کلاس به طور غیراصولی با آن تفاوت دارند. می توان گفت که به طور کلی، RSA تنها الگوریتم کلید عمومی است.

الگوریتم RSA

RSA (به نام نویسندگان Rivest، Shamir و Alderman) یک الگوریتم کلید عمومی است که هم برای رمزگذاری و هم برای احراز هویت (امضای دیجیتال) طراحی شده است. طراحی شده در سال 1977. این بر اساس دشواری فاکتورگیری اعداد صحیح بسیار بزرگ به عوامل اول (فاکتورسازی) است.

RSA یک الگوریتم بسیار کند است. در مقایسه، در سطح نرم افزار، DES حداقل 100 برابر سریعتر از RSA است. روی سخت افزار - 1000-10000 بار بسته به اجرا.

الگوریتم RSA در ایالات متحده ثبت شده است. استفاده از آن توسط افراد دیگر مجاز نیست (زمانی که طول کلید بیش از 56 بیت باشد). اعتبار چنین تأسیسی را می توان زیر سوال برد: چگونه می توان اختراع معمولی را ثبت کرد؟ اما، با این وجود، RSA توسط قوانین کپی رایت محافظت می شود.

الگوریتم DES

DES (استاندارد رمزگذاری داده ها) یک الگوریتم کلید متقارن است. توسط IBM توسعه یافته و توسط دولت ایالات متحده در سال 1977 به عنوان یک استاندارد رسمی برای محافظت از اطلاعاتی که یک راز دولتی نیستند، تأیید شده است.

DES دارای بلوک های 64 بیتی است، بر اساس جابجایی 16 برابری داده ها است، از یک کلید 56 بیتی برای رمزگذاری استفاده می کند. حالت های مختلفی از DES وجود دارد، مانند کتاب کد الکترونیکی (ECB) و زنجیره بلوک رمز (CBC).

56 بیت 8 کاراکتر ASCII هفت بیتی است، یعنی. رمز عبور نمی تواند بیش از 8 حرف باشد. اگر فقط از حروف و اعداد استفاده شود، تعداد گزینه های ممکن به طور قابل توجهی کمتر از حداکثر 256 خواهد بود. در روسیه، الگوریتم DES مشابهی وجود دارد که بر اساس همان اصل کلید مخفی کار می کند. GOST 28147 12 سال دیرتر از DES توسعه یافته و از درجه حفاظت بالاتری برخوردار است.

PGP - Pretty Good Privacy خانواده ای از محصولات نرم افزاری است که از قوی ترین الگوریتم های رمزنگاری موجود استفاده می کنند. آنها بر اساس الگوریتم RSA هستند. PGP فناوری موسوم به "رمزنگاری کلید عمومی" را پیاده سازی می کند. امکان تبادل پیام‌ها و فایل‌های رمزگذاری‌شده از طریق کانال‌های ارتباطی باز بدون کانال امن برای تبادل کلید و تحمیل امضای دیجیتال بر پیام‌ها و فایل‌ها را فراهم می‌کند.

PGP توسط فیلیپ زیمرمن، برنامه نویس آمریکایی و فعال مدنی که نگران از بین رفتن حقوق و آزادی های شخصی در عصر اطلاعات بود، توسعه داده شد. در سال 1991، در ایالات متحده، یک تهدید واقعی برای تصویب قانونی وجود داشت که استفاده از ابزارهای رمزنگاری قوی را ممنوع می کرد که حاوی "در پشتی" نیستند، که با استفاده از آن سرویس های ویژه می توانند پیام های رمزگذاری شده را به راحتی بخوانند. سپس Zimmermann PGP را به صورت رایگان در اینترنت توزیع کرد. در نتیجه، PGP به محبوب ترین بسته رمزنگاری در جهان تبدیل شد (بیش از 2 میلیون نسخه در حال استفاده)، و زیمرمن به ظن «صادرات غیرقانونی اسلحه» توسط مقامات تحت تعقیب سه ساله قرار گرفت.

نرم افزار غیر حرفه ای برای امنیت اطلاعات

این گونه نرم افزارها شامل نرم افزارهایی است که (رایگان یا با هزینه کم) در اختیار همه کاربران قرار می گیرد، برای استفاده نیاز به مجوز خاصی ندارد و تاییدیه های معتبر دوام آن (گواهی نامه ها) را ندارد. اینها عبارتند از: نرم افزار رایگان PGP. سیستم های فایل با کنترل دسترسی: WinNT، Unix، NetWare. بایگانی با رمز عبور؛ حفاظت از رمز عبور در MS Office

رمزگذاری در ورد و اکسل

مایکروسافت نوعی حفاظت رمزنگاری را در محصولات خود گنجانده است. در عین حال، الگوریتم رمزگذاری توصیف نشده است، که نشانگر عدم اطمینان است. علاوه بر این، شواهدی وجود دارد که نشان می‌دهد مایکروسافت در الگوریتم‌های رمزنگاری مورد استفاده «در پشتی» باقی می‌گذارد. در صورت نیاز به رمزگشایی فایلی که رمز عبور آن گم شده است، می توانید با شرکت تماس بگیرید. بنا به درخواست رسمی، با دلایل کافی، رمزگشایی فایل های Word و Excel به صورت روزانه انجام شد.

دیسک های رمزگذاری شده (کاتالوگ)

رمزگذاری یک روش نسبتا قابل اعتماد برای محافظت از اطلاعات روی هارد دیسک است. با این حال، اگر مقدار اطلاعاتی که باید بسته شود بیش از دو یا سه فایل باشد، کار با آن تا حدودی دشوار خواهد بود: هر بار باید فایل ها را رمزگشایی کنید و پس از ویرایش، آنها را رمزگذاری کنید. در عین حال، نسخه‌های ایمنی فایل‌هایی که بسیاری از ویرایشگران ایجاد می‌کنند ممکن است روی دیسک باقی بمانند.

از این رو برنامه های (درایورهای) خاصی ساخته شده اند که هنگام نوشتن روی دیسک و خواندن از روی دیسک، تمامی اطلاعات را به طور خودکار رمزگذاری و رمزگشایی می کنند.

آرشیوهای رمزگذاری شده

برنامه های بایگانی معمولاً یک گزینه رمزگذاری دارند. می توان از آن برای اطلاعات نه چندان مهم استفاده کرد. اولاً، روش‌های رمزگذاری مورد استفاده در آنجا چندان قابل اعتماد نیستند (با توجه به محدودیت‌های صادراتی رسمی)، و ثانیاً به تفصیل توضیح داده نشده‌اند. همه اینها به شخص اجازه نمی دهد که به طور جدی روی چنین محافظتی حساب کند.

حفاظت الکترومغناطیسی

هر وسیله الکترونیکی هم خودش نوسانات الکترومغناطیسی ساطع می کند و هم می تواند میدان های الکترومغناطیسی را از بیرون درک کند. با کمک چنین فیلدهایی می توان از راه دور اطلاعات را از رایانه ها بازیابی کرد و به طور هدفمند آنها را تحت تأثیر قرار داد. میدان های الکترومغناطیسی را می توان با هر ماده رسانا محافظت کرد. محفظه فلزی، مش فلزی، روکش فویل می تواند به حفاظت امواج الکترومغناطیسی تبدیل شود. بیایید خلاصه کنیم. سه نوع حفاظت از اسناد الکترونیکی وجود دارد: نرم افزاری، سخت افزاری و مختلط. نرم افزار SI شکلی از نمایش مجموعه ای از داده ها و دستورات است که برای عملکرد دستگاه های کامپیوتری در نظر گرفته شده است. سخت افزار ابزار فنی است که برای پردازش داده ها استفاده می شود. حفاظت سخت افزاری شامل دستگاه های مختلف الکترونیکی، الکترومکانیکی، الکترواپتیکی است. سخت‌افزار و نرم‌افزار ترکیبی، عملکردهای مشابه سخت‌افزار و نرم‌افزار را به‌طور جداگانه اجرا می‌کنند و دارای ویژگی‌های میانی هستند.

در مورد نگرش کاربران سیستم های رایانه ای شرکت به وضعیت امنیت اطلاعات سازمان، سؤال «میزان امنیت رایانه در سازمان خود را چگونه ارزیابی می کنید» بیانگر ارزیابی ذهنی پاسخ دهندگان از سیستم امنیتی سازمان خود است. نتایج: الف) کافی است، اما خطر نشت اطلاعات وجود دارد - 29٪. خیلی زیاد (نیازی به چنین محدودیت های سختگیرانه ای نیست) - 8٪؛ ج) ناکافی - 27٪؛ د) هر چه محافظت - هر که بخواهد، راهی برای شکستن آن پیدا می کند - 36٪. همانطور که می بینید، اکثریت پاسخ دهندگان به درستی معتقدند که حفاظت می تواند نقض شود.

در 8 مورد از 10 حفره امنیتی به این دلیل است که کاربران از اصول اولیه حفاظت از اطلاعات، یعنی فراسطح کنترل بر سیستم غفلت می کنند. نادیده گرفته شده است زیرا اصول پیش پا افتاده و بدیهی تلقی می شوند و بنابراین ارزش توجه ندارند. یک کاربر معمولی به اشتباه معتقد است: "اگر ساده است، پس ناکارآمد است." این یک نتیجه گیری استاندارد است که مشخصه مبتدیان در هر زمینه ای از دانش و مهارت است. آنها به سادگی این واقعیت را در نظر نمی گیرند که عملکرد هر سیستمی بر اساس اصول دقیقاً "ابتدا" است. اعتماد پاسخگویان به کارکنان سازمانشان نیز مورد ارزیابی قرار گرفت. احتمال حملات کارمندان، طبق گفته پاسخ دهندگان، 49٪ بود، احتمال حملات خارجی - 51٪. این نظرسنجی نشان داد که نه چندان، اما با این حال، کارکنان بیشتر از حملات خارجی می ترسند.

شکل 1 - بزرگترین خطر حملات - خارجی یا داخلی چیست

بر اساس نتایج این نظرسنجی، 4 درصد از پاسخ دهندگان از هرزنامه، 14 درصد از نشت داده ها، 14 درصد از فساد اطلاعات، 10 درصد از سرقت تجهیزات، 1 درصد از خرابکاری، 15 درصد از خرابی سیستم های اطلاعاتی، 14 درصد ترس دارند. عفونت‌های بدافزاری (ویروس‌ها، کرم‌ها) از افراد مورد بررسی، 10 درصد از آرا به خطر حملات هک داده شده‌اند. به طور جداگانه، خطر حملات به سرور و هک ISQ، خطر حملات DDOS سطح پایین، i. حملاتی که سیستم را مختل می کند.


شکل 2- خطرناک ترین تهدیدها برای امنیت اطلاعات داخلی

هرزنامه (eng. - هرزنامه) - ارسال پیام های ایمیل از هر ماهیت بدون رضایت گیرنده. هرزنامه های مکرر می تواند تجربه کاربر را به دلیل بارگذاری بیش از حد سرور ایمیل مختل کند، باعث سرریز شدن صندوق های پستی شود، دریافت و ارسال پیام های منظم را غیرممکن کند، زمان دریافت کننده را در خط افزایش دهد و این یک اتلاف وقت و ترافیک اضافی است.

هک دسته‌ای از حملات است که برای مطالعه سیستم‌های عامل، برنامه‌ها یا پروتکل‌ها به منظور تجزیه و تحلیل اطلاعات دریافتی برای آسیب‌پذیری‌ها، به عنوان مثال، اسکن پورت‌ها، که همچنین می‌تواند به یک حمله DOS ناکارآمد نسبت داده شود، استفاده می‌شود. آسیب پذیری های شناسایی شده می تواند توسط یک هکر برای دسترسی غیرمجاز به سیستم یا انتخاب موثرترین حمله DOS مورد استفاده قرار گیرد.

لازم به یادآوری است که برنامه های آنتی ویروس مانند هر نرم افزار دیگری از خطاها، تروجان ها و غیره مصون نیستند. همچنین نباید در مورد اطمینان محافظت با استفاده از برنامه های آنتی ویروس اغراق کرد.

مانند بسیاری از موارد دیگر سازماندهی حفاظت، استراتژی بهینه برای محافظت در برابر ویروس های رایانه ای یک استراتژی چند سطحی است. چنین حفاظتی توسط بسته های نرم افزار ضد ویروس حرفه ای مدرن ارائه می شود. چنین بسته هایی حاوی یک برنامه نگهبان مقیم است که به عنوان ممیزی سیستم و برنامه اصلی آنتی بیوتیک برای پاکسازی کامل ویروس ها عمل می کند. ویژگی بارز این بسته ها وجود برنامه ای برای به روز رسانی آنلاین پایگاه های داده آنتی ویروس با استفاده از شبکه کامپیوتری محلی یا جهانی است. چنین بسته ضد ویروسی باید بر روی هر رایانه در شبکه محلی نصب شود. کامپیوتر سرور به همراه بسته تخصصی آنتی ویروس برای سرورها عرضه می شود. این بسته نرم افزاری با فایروال نرم افزاری تکمیل شده است که حفاظت جامع بهبود یافته ای را ارائه می دهد.

مطمئن ترین محافظت در برابر ویروس های شناخته شده برای رایانه ایزوله شده از شبکه را باید درمان در نظر گرفت - اسکن ویروس کامل همه پرونده ها، از جمله بایگانی، سیستم و فایل های متنی، در این رایانه. برنامه های آنتی بیوتیک بررسی، درمان، و اگر درمان غیرممکن است، فایل های آلوده به تمام ویروس های شناخته شده را حذف کنید. امنیت جاسوسی اسرار تجاری

لازم است به طور مکرر و منظم و همچنین قبل از هر بار پشتیبان گیری و بایگانی، بررسی و ضدعفونی کامل انجام شود.

نظر پاسخ دهندگان در مورد بیشترین اطلاعات درز در سازمان البته تحت تاثیر مشخصات سازمان بوده است. به عنوان مثال برای مؤسسات انتشاراتی و سازمان های علمی، مالکیت معنوی بدون شک ارزش بیشتری دارد. و برای حوزه ای که سطح رقابت بسیار بالا است - جزئیات معاملات خاص. گزارش های مالی، طبق قانون فدرال "در مورد اسرار تجاری"، چنین قانون فدرال 29 ژوئیه 2004 N 98-FZ "در مورد اسرار تجاری" نیست. در 9 ژوئیه 2004 توسط دومای ایالتی به تصویب رسید (در 24 ژوئیه 2007 اصلاح شد). ب) گزارش های مالی - 16٪. ج) جزئیات معاملات خاص - 26٪. د) مالکیت معنوی - 16٪. ه) طرح های تجاری - 10٪.


شکل 3 - بیشترین اطلاعات درز

همانطور که این مطالعه نشان می دهد، پاسخ دهندگان به طور جداگانه به پشتیبان گیری منظم (پشتیبان گیری) و ابزارهای حفاظت سازمانی به عنوان مؤثرترین ابزار برای محافظت از اطلاعات اشاره کردند. 22.9 درصد از پاسخ دهندگان به آنتی ویروس رای دادند.

پاسخ دهندگان به طور جداگانه به خطر حملات DDOS سطح پایین اشاره کردند.

بر اساس این مطالعه، برنامه های سازمان های این شرکت برای ایجاد سیستم های امنیت اطلاعات در سه سال آینده به شرح زیر است. برخی از پاسخ دهندگان گفتند که هیچ برنامه ای ندارند، برخی گفتند که هیچ اطلاعات محرمانه ای پیش بینی نشده است و "هیچ اضافات خاصی به آنچه وجود دارد نیاز نیست": الف) سیستم حفاظت از نشت - 11٪. ب) رمزگذاری داده ها در حین ذخیره سازی - 14٪؛ ج) سیستم های شناسایی و کنترل دسترسی - 19٪. د) سیستم های امنیتی فیزیکی فناوری اطلاعات - 9٪؛ ه) محافظت در برابر نفوذ خارجی (IDS / IPS) - 19٪؛ و) سیستم پشتیبان - 19٪. پیشنهاد تغییر حسابدار جالب به نظر می رسید.


شکل 4 - برنامه های سازمان ها برای ایجاد سیستم های امنیت اطلاعات

GOST های روسی و بین المللی که الزاماتی را برای مدیریت اسناد و ساخت سیستم های امنیت اطلاعات تحمیل می کنند، امکان طبقه بندی خطرات سیستم های الکترونیکی را به شرح زیر می دهند: محافظت در برابر دسترسی غیرمجاز، نشت اطلاعات، محافظت در برابر آسیب فیزیکی، از دست دادن، محافظت در برابر تغییرات. , حفاظت در برابر سوء استفاده, محافظت در برابر عدم توانایی استفاده. هر کدام از این ریسک ها قیمتی دارند. در مجموع، آنها می توانند رقمی باشند که می تواند هر سازمانی را خراب کند GOST R ISO 15489-1-2007 مدیریت اسناد. الزامات کلی؛ ISO/IEC 27001 فناوری اطلاعات. روش های حفاظتی سیستم های مدیریت امنیت اطلاعات الزامات؛ Skiba O. حفاظت از اسناد در سیستم مدیریت اسناد الکترونیکی / O. Skiba // تجارت منشی. 2007. - شماره 12. - S. 24 ..

توانایی استفاده از ایمیل از محل کار یکی از اقدامات سازمانی حفاظت از اطلاعات است: الف) فقط نامه های شرکتی (در داخل سازمان) - 19٪؛ ب) فقط از طریق پست شرکتی (از جمله مکاتبه با مشترکین خارجی) - 31٪؛ ج) صندوق پستی هر سایت - 44٪؛ د) صندوق پستی درون شرکتی و نامه خارجی از هم جدا شده اند، دسترسی به نامه های خارجی از یک محل کار جداگانه - 6٪.

Perusal - باز کردن مخفیانه و مشاهده مکاتبات ارسال شده از طریق پست. در واقع - پیشگیری از اعمال مجرمانه مختلف. در سازمان های مورد بررسی، مطالعه عبارت است از: الف) عمل عادی - 19٪. ب) نقض حقوق بشر - 60٪. ج) شغل بی فایده - 21٪.

هنگام مطالعه اصول امنیت اطلاعات، حقوق کاربران نیز مورد بررسی قرار گرفت. بنابراین، دسترسی به اینترنت در سازمان: الف) رایگان برای همه بدون محدودیت در منابع - 29٪. ب) رایگان به جز برای برخی از سایت ها - 29٪. ج) فقط مدیران و برخی متخصصان مجاز هستند - 42٪. واقعیت این است که سفر در اینترنت می تواند منجر به آلوده شدن کامپیوتر شما به بدافزار شود. محدود کردن حقوق کاربر می تواند خطر ابتلا را محدود کند.


شکل 5- حقوق کارکنان سازمان برای دسترسی به اینترنت

مکالمات تلفنی در مورد مسائل شخصی در محل کار. محدودیت آنها نشت اطلاعات تجاری را کاهش می دهد. خط آخر: مکالمات تلفنی الف) ممنوع و کنترل شده است - 8٪. ب) ممنوع و کنترل نشده - 58٪. ج) محدود نیست - 34٪.

بردن کار به خانه (عملاً به معنای بردن اطلاعات محافظت شده به خارج از سازمان است که البته به افزایش سطح امنیت کمک نمی کند: الف) غیرممکن - 29٪؛ ب) روش معمول - 47٪؛ ج) به طور رسمی ممنوع - 34٪.

نگرش شخصی به محدودیت های مرتبط با تضمین امنیت اطلاعات - دوباره، یک ارزیابی ذهنی که نگرش به حفاظت از اطلاعات را نشان می دهد - پذیرش یا عدم پذیرش اقدامات تعیین شده، یک عادت. نگرش شخصی به محدودیت ها: الف) ناچیز - 36٪؛ ب) ناخوشایند، اما قابل تحمل - 20٪؛ ج) باعث ناراحتی قابل توجهی می شود و در عین حال اغلب بی معنی است - 0٪. د) باعث ناراحتی قابل توجهی شود ، اما این امر ضروری است - 18٪. ه) هیچ محدودیتی ندارم - 26٪.


شکل 6 - نگرش شخصی به محدودیت های مرتبط با تضمین امنیت اطلاعات

هنگام تشکیل یک سیستم امنیت اطلاعات، باید مشخصات هر سازمان را در نظر گرفت. برای هر مورد، لازم است مجموعه اقدامات خود را برای محافظت در برابر جعل تشکیل دهد. هزینه تولید سند باید اثر اقتصادی رویداد را توجیه کند. درست مانند درآمد حاصل از تولید یک جعلی باید از هزینه ساخت آن بیشتر باشد. اسناد باید بر اساس دوره های گردش محدود شوند: طرح های جدید سربرگ، آرم های جدید و سایر تغییرات چرخشی می توانند از برخی جعل ها جلوگیری کنند. بسته به فناوری های حفاظتی مورد استفاده، باید مشخص شود که آیا توصیه می شود از یک مجتمع حفاظتی نرم افزاری و سخت افزاری استفاده شود که تشخیص صحت یک کپی از سند انتخاب شده را ارائه می دهد یا خیر. الگوریتم های جدید مقایسه تصویر، علاوه بر ترکیب اجزای محصول نرم افزاری، قادر به تعیین صحت یک سند هستند.

اول از همه، لازم است اسناد سازمانی تدوین و تصویب شود که روش کار کارمندان با اسنادی را که تحت حمایت هستند، تعیین می کند. به عنوان مثال، یک سیاست امنیتی. برای انجام این کار، لازم است فهرستی از اسنادی که باید محافظت شوند، شناسایی تهدیدات امنیتی، ارزیابی خطرات، یعنی. انجام ممیزی امنیت اطلاعات

بر اساس اطلاعات جمع آوری شده در طول ممیزی امنیتی، یک پیش نویس خط مشی امنیتی ایجاد می شود. برای این کار می توان از یک خط مشی پیش نویس استاندارد با انطباق آن با ویژگی های خاص سازمان استفاده کرد.

پس از تصویب سند، لازم است آن را در سازمان اجرا شود و این امر معمولاً با مقاومت کارکنان سازمان مواجه می شود، زیرا مسئولیت های اضافی را به آنها تحمیل می کند و کار را پیچیده می کند. بنابراین، سیستم امنیت اسناد باید به دقت فکر شده و مصلحت باشد، نباید مشکلات قابل توجهی در کار ایجاد کند.

بر اساس نتایج مطالعه می توان به نتایج زیر دست یافت:

خطرناک ترین تهدیدات برای امنیت اطلاعات: خرابی سیستم اطلاعاتی، نشت اطلاعات، فساد داده ها.

اسنادی که بیشترین علاقه به مزاحمان را دارند قراردادها هستند، اسنادی که حاوی اطلاعات شخصی هستند.

موثرترین ابزار حفاظت از اسناد الکترونیکی، پشتیبان گیری و اقدامات حفاظتی سازمانی است.

LLC "Astra-com" با سطح بالایی از آگاهی در زمینه امنیت اطلاعات اسناد مشخص می شود، اما در واقعیت، برای بهبود آن، اقدامات انجام شده کافی نیست.

بنابراین، بدیهی است که Astra-com LLC اصول حفاظت از اطلاعات رایانه را در نظر می گیرد.

برای اطمینان از حفاظت از اطلاعات تجاری، Astra-com LLC رویه خاصی را برای کار با اطلاعات و دسترسی به آن معرفی کرد که شامل مجموعه ای از اقدامات اداری، قانونی، سازمانی، مهندسی، مالی، اجتماعی-روانی و سایر اقدامات مبتنی بر هنجارهای قانونی است. جمهوری یا در سمت های سازمانی و اداری رئیس شرکت (شرکت). حفاظت مؤثر از اسرار تجاری در صورت رعایت تعدادی از شرایط امکان پذیر است:

وحدت در حل مسائل صنعتی، تجاری، مالی و رژیمی؛

هماهنگی اقدامات امنیتی بین تمام بخش های ذینفع شرکت؛

ارزیابی علمی اطلاعات و اشیاء مشمول طبقه بندی (حفاظت). توسعه اقدامات امنیتی قبل از شروع عملیات امنیتی؛

مسئولیت شخصی (از جمله مطالب) مدیران تمام سطوح، مجریانی که در کار بسته شرکت می کنند، برای اطمینان از ایمنی رازداری و حفظ رژیم امنیتی کار در حال انجام در سطح مناسب.

درج تعهدات اصلی کارگران، متخصصان و ادارات برای رعایت الزامات خاص رژیم در قرارداد جمعی، قرارداد، قرارداد کار، مقررات کار.

در شرکت تحلیل شده LLC "Astra-com" یک سرویس امنیتی سازماندهی شده است. خدمات شرکت شامل: واحد امنیت اطلاعات، واحد ابزار فنی ارتباط و مقابله با وسایل فنی اطلاعات، واحد امنیت است.

هنگام سازماندهی حفاظت از اسرار تجاری، سرویس امنیتی Astra-com LLC باید روش ها و روش های ممکن زیر را برای جمع آوری اطلاعات در نظر بگیرد: مصاحبه با کارکنان شرکت تحت مطالعه در یک جلسه شخصی؛ تحمیل بحث در مورد موضوعات مورد علاقه؛ ارسال پرسشنامه ها و پرسشنامه ها به آدرس شرکت ها و کارکنان فردی؛ انجام مکاتبات خصوصی مراکز علمی و دانشمندان با متخصصین.

برای جمع آوری اطلاعات، در برخی موارد، نمایندگان رقبا می توانند از مذاکرات برای تعیین چشم انداز همکاری، ایجاد سرمایه گذاری مشترک استفاده کنند.

وجود چنین شکلی از همکاری مانند اجرای برنامه های مشترک که مشارکت مستقیم نمایندگان سازمان های دیگر را در کار با اسناد، بازدید از محل کار، گسترش امکانات برای تهیه کپی اسناد، جمع آوری نمونه های مختلف از مواد، گسترش می دهد. نمونه ها و غیره در عین حال، با در نظر گرفتن رویه کشورهای توسعه یافته، رقبای اقتصادی ممکن است از جمله به اقدامات غیرقانونی، جاسوسی صنعتی متوسل شوند.

محتمل ترین استفاده از روش های زیر برای به دست آوردن اطلاعات: مشاهده بصری. استراق سمع؛ نظارت فنی؛ پرسش مستقیم، تفتیش عقاید؛ آشنایی با مواد، اسناد، محصولات و غیره؛ مجموعه اسناد باز و سایر منابع اطلاعاتی؛ سرقت اسناد و سایر منابع اطلاعاتی؛ مطالعه بسیاری از منابع اطلاعاتی که در بخش هایی حاوی اطلاعات لازم است.

مطالعات تحلیلی و مدل‌سازی تهدیدات احتمالی، شناسایی اقدامات حفاظتی اضافی را در صورت لزوم ممکن می‌سازد. در عین حال، لازم است احتمال اجرای آنها، در دسترس بودن مواد روش شناختی، پشتیبانی مادی، آمادگی شورای امنیت و پرسنل برای انجام آنها ارزیابی شود. هنگام برنامه ریزی، کاستی ها در تضمین ایمنی CT هایی که در شرکت اتفاق افتاده است در نظر گرفته می شود.

فعالیت های برنامه ریزی شده باید: در دستیابی به وظایف خاص کمک کند، با برنامه کلی مطابقت داشته باشد. بهینه باشد.

در عمل کار با پرسنل، می توان به کارمندان سرویس امنیتی Astra-com LLC توصیه کرد که نه تنها حفظ اسرار تجاری توسط کارکنان، بلکه نگرش آنها به وظایف رسمی، دقت در رسیدگی به اسناد و موارد بیش از حد را نیز بررسی کنند. علاقه» به بخش های دیگر. علاوه بر این، برای شناسایی کارکنان خاصی که اطلاعات محرمانه را افشا می کنند، اختلاس پول می کنند یا سایر اقدامات غیرقانونی را انجام می دهند که وضعیت اقتصادی شرکت را تهدید می کند، توجه به موارد زیر ضروری است: علاقه فعال ناگهانی به اطلاعات محرمانه، فعالیت های شرکت سایر بخش ها؛ تغییر در رفتار کارمند در ارتباط با همکاران، در مکالمات، ظاهر عدم اطمینان، ترس. افزایش شدید هزینه های کارکنان، خرید کالاهای گران قیمت، املاک و مستغلات.

برای حفظ سطح بالایی از حفاظت از منافع اقتصادی شرکت، توصیه می شود که سرویس امنیتی افرادی را که با استفاده از موقعیت رسمی خود ممکن است تهدیدی امنیتی باشند، بررسی کند.

علاوه بر این، مدیر شرکت Astra-com LLC باید چنین سیاست داخلی را دنبال کند تا تعداد کارمندان ناراضی (مقام رسمی، دستمزد و ...) را به حداقل برساند و به ویژه سعی در حفظ روابط خوب با کارکنان بازنشسته داشته باشد. در این صورت احتمال نشت اطلاعات کاهش می یابد.

پیش نیاز یک سیستم موثر امنیت اقتصادی، تشکیل شاخص کارت خود از مشتریان است که بر اساس میزان قابلیت اطمینان آنها تفکیک شده است، و همچنین مشارکت در تشکیل بانک های داده بین موضوعی منطقه ای و همه روسی، استفاده از آنها. اطلاعات آنها در مورد طرف مقابل

سازماندهی سیستم حفاظتی متناسب با وضعیت شرکت است. در این راستا توجه به تغییرات اساسی که در آن در حال وقوع است و تغییرات پیشنهادی بسیار حائز اهمیت است.

بنابراین، سیستم سازماندهی حفاظت از اسرار تجاری Astra-com LLC شامل مجموعه ای از اقداماتی است که از قبل برای مدت زمان معینی توسعه یافته است، که مجموع انواع فعالیت ها با هدف بهبود امنیت اطلاعات را با در نظر گرفتن پوشش می دهد. تغییر در شرایط بیرونی و داخلی و تجویز روش های خاص برای افراد یا بخش های خاص.

پایان نامه

1.2.4 تجزیه و تحلیل امنیت اطلاعات و سیستم حفاظت از اطلاعات

روند جهانی شدن مجتمع های اطلاعات و مخابرات، معرفی فن آوری های اطلاعات در خانه کتاب های مسکو شرکت واحد دولتی OTs، که عمدتاً بر روی سخت افزار و نرم افزار تولید خود اجرا می شود، به طور قابل توجهی مشکل وابستگی به کیفیت اطلاعات را تشدید کرده است. فرآیندهای حمل و نقل در مورد تأثیرات احتمالی عمدی و غیرعمدی نفوذگر بر روی داده های کاربر منتقل شده، اطلاعات مدیریتی و سخت افزار و نرم افزاری که این فرآیندها را فراهم می کند.

افزایش حجم اطلاعات ذخیره شده و ارسال شده منجر به افزایش پتانسیل متخلف برای دسترسی غیرمجاز به حوزه اطلاعات شرکت واحد دولتی OTs "خانه کتاب مسکو" و تأثیر آن بر فرآیندهای عملکرد آن می شود.

پیچیدگی فناوری‌های مورد استفاده و فرآیندهای عملکرد سازمان دولتی واحد دولتی OTs Moscow Book House منجر به این واقعیت می‌شود که سخت‌افزار و نرم‌افزار مورد استفاده در خانه کتاب مسکو شرکت واحد دولتی OTs ممکن است به طور عینی حاوی تعدادی خطا و ویژگی‌های اعلام نشده باشد که می‌تواند توسط متخلفان استفاده شود

فقدان وسایل حفاظتی لازم در خانه کتاب مسکو SUE OC در مواجهه با رویارویی اطلاعات، شرکت را به طور کلی در برابر اقدامات خصمانه احتمالی، رقابت ناعادلانه و همچنین اقدامات جنایی و سایر اقدامات غیرقانونی آسیب پذیر می کند. سیستم امنیت اطلاعات SUE OC Moscow House Books" را می توان به صورت ترکیبی از سطوح زیر نشان داد:

سطح 1 - مدیریت سازمان.

سطح 2 - واحد ISS.

سطح 3 - مدیران ابزارهای حفاظتی معمولی و اضافی.

سطح 4 - مسئول IS در زیرمجموعه ها (در سایت های فناوری).

سطح 5 - کاربران نهایی و پرسنل خدمات.

هنگام توسعه نرم افزار، شرکت واحد دولتی OTs "خانه کتاب مسکو" از استانداردهای اصلی حاکم پیروی می کند:

شاخص های کیفیت نرم افزار؛

چرخه عمر و فرآیند تکنولوژیکی ایجاد بسته‌های نرم‌افزاری حیاتی که به کیفیت بالای آنها و جلوگیری از نقص‌های غیرعمدی کمک می‌کند.

تست نرم افزار برای شناسایی و رفع نقص برنامه و داده ها؛

آزمایش و صدور گواهینامه برنامه هایی برای تأیید کیفیت و ایمنی به دست آمده از عملکرد آنها.

جدول 1.3. استانداردهای بین المللی با هدف تضمین ایمنی فرآیند

ISO 09126:1991. آی تی.

ارزیابی محصول نرم افزاری ویژگی های کیفی و دستورالعمل های استفاده از آنها.

ISO 09000-3:1991.

استانداردهای مدیریت کیفیت عمومی و تضمین کیفیت. بخش 3: دستورالعمل های کاربرد ISO 09001 در توسعه، تحویل و نگهداری نرم افزار.

فرآیندهای چرخه عمر نرم افزار

ANSI/IEEE 829 - 1983.

مستندات هنگام آزمایش برنامه ها.

ANSI/IEEE 1008 - 1986.

تست ماژول های نرم افزار و اجزای نرم افزار.

ANSI/IEEE 1012 - 1986.

تایید برنامه ریزی (ارزیابی) (تأیید) و اعتبارسنجی (اعتبار) نرم افزار.

برای محافظت از اطلاعات در برابر تهدیدات خارجی، موسسه دولتی واحد دولتی OTs Moscow Book House از یک فایروال استفاده می کند - یک روتر نرم افزاری یا سخت افزاری همراه با یک فایروال.این سیستم به شما اجازه می دهد بسته های داده را فیلتر کنید.

همچنین این شرکت دارای مدارک حقوقی و سازمانی و اداری از قبیل:

1. مقررات امنیت اطلاعات:

دسترسی کارکنان به اطلاعات رسمی که یک راز تجاری است.

· دسترسی به استفاده از نرم افزار شخصی که تحت "GUP OTs "Moscow House of Books" پیکربندی شده است.

2. مقررات برای استفاده از اینترنت، ایمیل "GUP OTs "مسکو خانه کتاب".

اتوماسیون کار مدیر ارشد پانسیون FSUE "OK" Rublevo-Uspensky "UDP RF

سیستم امنیت اطلاعات سازمانی تمامی اجزای زیرساخت اطلاعاتی شرح داده شده در این پروژه را پوشش می دهد و یکپارچگی، محرمانه بودن و در دسترس بودن اطلاعات را تضمین می کند.

تجزیه و تحلیل سیستم اطلاعاتی شرکت JSC "Uraltransnefteprodukt"

در رابطه با افزایش موارد حملات تروریستی، سرقت نفت، این موضوع بسیار فراگیر شده است، زیرا علاوه بر این نوع تهدیدات، رقابت در بازار خدمات مرتبط با نفت نیز وجود دارد.

انتخاب و توجیه برای دستیابی به یک سیستم اطلاعاتی برای اتوماسیون به عنوان مثال 1C Bit LLC

برای اطمینان از امنیت و حفاظت از اطلاعات، مدیریت شرکت تصمیم گرفت به کمک آزمایشگاه کسپرسکی...

روند جهانی سازی مجتمع های اطلاعات و مخابرات، معرفی فن آوری های اطلاعات در خانه کتاب های مسکو شرکت واحد دولتی OTs، که عمدتاً بر روی سخت افزار و نرم افزار تولید خود اجرا می شود ...

امنیت اطلاعات در شرکت واحد دولتی OTs "خانه کتاب مسکو"

با توجه به روش های اجرا، کلیه اقدامات حفاظتی اطلاعات ...

امنیت اطلاعات در شرکت واحد دولتی OTs "خانه کتاب مسکو"

امنیت اطلاعات در شرکت واحد دولتی OTs "خانه کتاب مسکو"

در فدراسیون روسیه، اقدامات قانونی نظارتی در زمینه امنیت اطلاعات عبارتند از: 1 ...

امنیت اطلاعات در شرکت واحد دولتی OTs "خانه کتاب مسکو"

اقدامات حفاظتی سازمانی (اداری) اقداماتی است که فرآیندهای عملکرد ASOEI، استفاده از منابع آن، فعالیت های پرسنل و همچنین روند تعامل بین کاربران سیستم را به این طریق تنظیم می کند.

طراحی و توسعه یک سیستم اطلاعاتی برای حسابداری برای تعمیر و نگهداری تجهیزات اداری LLC "دنیای کامپیوتر"، سامارا

ایجاد سیستم های امنیت اطلاعات در IS بر اساس اصول زیر است: رویکرد سیستماتیک، اصل توسعه مستمر سیستم، تفکیک و به حداقل رساندن قدرت ها، کامل بودن کنترل و ثبت تلاش ها...

توسعه یک ماژول فرآیند کسب و کار برای بخش خدمات مشتری و یک انبار بر اساس پیکربندی مدل پایه 1C

توسعه یک ماژول برای خودکارسازی فرآیندهای تجاری بخش خدمات مشتری و انبار ZhilRemStroy LLC بر اساس پیکربندی مدل پایه 1C

این شرکت دارای اسناد قانونی و سازمانی و اداری نظارتی است: 1. مقررات امنیت اطلاعات: دسترسی کارکنان به اطلاعات رسمی ...

توسعه یک ماژول صادرات اسناد گزارشگری

برای محافظت در برابر تهدیدات خارجی، سیستم عامل (Windows XP SP3) که بر روی تمامی رایانه های شخصی کارکنان خانه تجارت نیمفا نصب می شود، توسط محصول نرم افزاری دارای مجوز Kaspersky Antivirus 6.0 و Kaspersky Internet Security 6.0 محافظت می شود.

بهبود سیستم حفاظت از اطلاعات شخصی آلفا بانک OJSC

ارتقای سیستم امنیت اطلاعات در محوطه JSC "Raschet"

در سازمان، همانطور که در جدول 9 می بینیم، بیشتر آسیب پذیری ها مربوط به نظارت ناکافی بر محل است. از آنجایی که شرکت OJSC "Raschet" محل را از شرکت دیگری اجاره می کند که یک سیستم پیاده روی ارائه می دهد ...

مقالات مشابه
انواع
  • پایه
  • انواع
  • تجهیزات
  • طبقه
  • ارتباطات
  • ترتیب
  • ثبت
مقالات محبوب
مقالات جدید