Ақпараттық қауіпсіздік бойынша дипломдық жұмыс (Ақпараттық жүйелердің қауіпсіздігі). Ақпараттық қауіпсіздік Ақпараттық қауіпсіздік бойынша ДРК тақырыптарының тізімі
Кіріспе
1-тарау. Қабылдаудың теориялық аспектілері және ақпаратты қорғау
1.1Ақпараттық қауіпсіздік түсінігі 3 Ақпаратты қорғау тәжірибесі 2-тарау. Ақпараттық қауіпсіздік жүйесін талдау 1 Кәсіпорынның қызмет ету аясы және қаржылық нәтижелерін талдау 2 Кәсіпорынның ақпараттық қауіпсіздік жүйесінің сипаттамасы 3 Жаңғырту бойынша шаралар кешенін әзірлеу бар жүйеақпараттық қауіпсіздік Қорытынды Әдебиеттер тізімі Қосымша Қосымша 1. 2010 жылғы бухгалтерлік баланс Қосымша 1. 2010 жылғы бухгалтерлік баланс Кіріспе Дипломдық жұмыс тақырыбының өзектілігі ақпаратты қорғаудың технологиялары мен құралдарының қарқынды өсуі жағдайында да ақпараттық қауіпсіздік мәселелерінің жоғарылау деңгейімен анықталады. Корпоративтік қорғаудың 100% деңгейін қамтамасыз ету мүмкін емес ақпараттық жүйелерақпараттық технологияларға бөлінген бюджеттің шектеулі үлесі жағдайында деректерді қорғау міндеттеріне дұрыс басымдық беру кезінде. Есептеу және желілік корпоративтік инфрақұрылымды сенімді қорғау кез келген компания үшін ақпараттық қауіпсіздік саласындағы негізгі міндет болып табылады. Кәсіпорын бизнесінің өсуімен және географиялық бөлінген ұйымға көшуімен ол бір ғимарат шеңберінен шыға бастайды. АТ инфрақұрылымы мен қосымшаларды тиімді қорғау корпоративтік жүйелержүзеге асырусыз бүгінде мүмкін емес заманауи технологияларбақылау желіге кіру. Іскерлік сипаттағы құнды ақпаратты қамтитын ақпарат құралдарын ұрлау фактілерінің көбеюі ұйымдастыру шараларын мәжбүрлеуде. Бұл жұмыстың мақсаты ұйымда бар ақпараттық қауіпсіздік жүйесін бағалау және оны жақсарту шараларын әзірлеу болады. Бұл мақсат дипломдық жұмыстың келесі міндеттерін анықтайды: ) ақпараттық қауіпсіздік түсінігін қарастыру; ) ақпараттық жүйелерге ықтимал қауіптердің түрлерін, ұйымдағы ақпараттың ағып кетуінің ықтимал қауіптерінен қорғау нұсқаларын қарастыру. ) тұтастығын немесе құпиялылығын бұзу кәсіпорынға ең үлкен зиян келтіретін ақпараттық ресурстардың тізбесін анықтауға; ) олардың негізінде қолданыстағы ақпараттық қауіпсіздік жүйесін жетілдіру бойынша шаралар кешенін әзірлеу. Жұмыс кіріспеден, екі тараудан, қорытындыдан, пайдаланылған әдебиеттер тізімінен және қосымшалардан тұрады. Кіріспеде зерттеу тақырыбының өзектілігі негізделеді, жұмыстың мақсаты мен міндеттері тұжырымдалады. Бірінші тарауда ұйымдағы ақпараттық қауіпсіздік ұғымдарының теориялық аспектілері қарастырылады. Екінші тарауда береді қысқаша сипаттамасыкомпанияның қызметі, қызметтің негізгі көрсеткіштері, ақпараттық қауіпсіздік жүйесінің ағымдағы жағдайын сипаттайды және оны жақсарту шараларын ұсынады. Қорытындыда жұмыстың негізгі нәтижелері мен қорытындылары тұжырымдалады. Дипломдық жұмыстың әдіснамалық және теориялық негізі ақпараттық қауіпсіздік саласындағы отандық және шетелдік сарапшылардың жұмысы болды. Ресей Федерациясыақпаратты қорғауды реттейтін, ақпараттық қауіпсіздік жөніндегі халықаралық стандарттар. Дипломдық жұмыстың теориялық маңыздылығы ақпараттық қауіпсіздік саясатын әзірлеуде кешенді тәсілді жүзеге асыру болып табылады. Жұмыстың практикалық маңыздылығы оның нәтижелерінің ақпараттық қауіпсіздік саясатын сауатты құрастыру арқылы кәсіпорындағы ақпаратты қорғау дәрежесін арттыруға мүмкіндік беретіндігімен анықталады. 1-тарау. Қабылдаудың теориялық аспектілері және ақпаратты қорғау 1.1 Ақпараттық қауіпсіздік түсінігі Ақпараттық қауіпсіздік деп ақпаратты және оны қолдайтын инфрақұрылымды кез келген кездейсоқ немесе зиянды әсерлерден қорғау түсініледі, оның нәтижесі ақпараттың өзіне, оның иелеріне немесе қолдаушы инфрақұрылымға зиян келтіруі мүмкін. Ақпараттық қауіпсіздіктің міндеттері залалды азайтуға, сондай-ақ мұндай әсерлерді болжауға және болдырмауға дейін қысқартылады. Қорғауды қажет ететін ақпараттық жүйелердің параметрлерін келесі категорияларға бөлуге болады: ақпараттық ресурстардың тұтастығын, қолжетімділігін және құпиялылығын қамтамасыз ету. қолжетімділік – қысқа мерзімде қажетті ақпараттық қызметті алу мүмкіндігі; тұтастық – ақпараттың өзектілігі мен дәйектілігі, оны жойылудан және рұқсат етілмеген өзгертулерден қорғау; құпиялылық – ақпаратқа рұқсатсыз қол жеткізуден қорғау. Ақпараттық жүйелер ең алдымен белгілі бір ақпаратты алу үшін жасалады ақпараттық қызметтер. Егер қандай да бір себептермен ақпаратты алу мүмкін болмаса, бұл ақпараттық қатынастардың барлық субъектілеріне зиян келтіреді. Бұдан ақпараттың қолжетімділігі бірінші орында тұрғанын анықтауға болады. Тұтастық ақпараттық қауіпсіздіктің негізгі аспектісі болып табылады, бұл кезде дәлдік пен шынайылық ақпараттың негізгі параметрлері болады. Мысалы, медициналық препараттарға арналған рецепттер немесе компоненттер жиынтығы мен сипаттамалары. Біздің елімізде ақпараттық қауіпсіздіктің ең дамыған құрамдас бөлігі – құпиялылық. Бірақ қазіргі заманғы ақпараттық жүйелердің құпиялылығын қамтамасыз ету шараларын іс жүзінде жүзеге асыру Ресейде үлкен қиындықтарға тап болып отыр. Біріншіден, туралы ақпарат техникалық арналарақпараттың ағып кетуі жабылады, сондықтан пайдаланушылардың көпшілігі ықтимал қауіптер туралы түсінік қалыптастыра алмайды. Екіншіден, құпиялылықтың негізгі құралы ретінде реттелетін криптографияның жолында тұрған көптеген құқықтық және техникалық қиындықтар бар. Ақпараттық жүйені зақымдауы мүмкін әрекеттерді бірнеше категорияға бөлуге болады. жұмыс станциясындағы немесе сервердегі деректерді мақсатты түрде ұрлау немесе жою; абайсыз әрекеттер нәтижесінде пайдаланушының деректерге зиян келтіруі. . Хакерлер жүзеге асыратын «электрондық» әсер ету әдістері. Хакерлер – компьютерлік қылмыспен кәсіби түрде де (соның ішінде бәсекелестік шеңберінде де) және жай ғана қызығушылықпен айналысатын адамдар. Бұл әдістерге мыналар жатады: компьютерлік желілерге рұқсатсыз ену; Кәсіпорын желісіне сырттан рұқсатсыз енудің мақсаты зиян келтіру (деректерді жою), құпия ақпаратты ұрлау және оны заңсыз мақсаттарда пайдалану, үшінші тарап түйіндеріне шабуылдарды ұйымдастыру үшін желілік инфрақұрылымды пайдалану, шоттардағы қаражатты ұрлау және т.б. . DOS типті шабуыл (қызмет көрсетуден бас тарту сөзінен қысқартылған – «қызмет көрсетуден бас тарту») – бұл оның қауіпсіздігіне жауапты кәсіпорынның желі түйіндеріне сыртқы шабуыл және тиімді жұмыс(файл, пошта серверлері). Шабуыл жасаушылар осы түйіндерге олардың шамадан тыс жүктелуіне және нәтижесінде оларды біраз уақытқа өшіруіне себепші болу үшін деректер пакеттерін жаппай жіберуді ұйымдастырады. Бұл, әдетте, зардап шеккен компанияның бизнес-процестерінің бұзылуына, тұтынушылардың жоғалуына, беделіне нұқсан келтіруге және т.б. Компьютерлік вирустар. Бөлек санат электрондық әдістерәсер – компьютерлік вирустаржәне басқа да зиянды бағдарламалар. Олар компьютерлік желілерді, Интернетті және электрондық поштаны кеңінен пайдаланатын заманауи бизнеске нақты қауіп төндіреді. Корпоративтік желінің түйіндеріне вирустың енуі олардың жұмыс істеуінің бұзылуына, жұмыс уақытының жоғалуына, деректердің жоғалуына, құпия ақпараттың ұрлануына, тіпті қаражаттың тікелей ұрлануына әкелуі мүмкін. Корпоративтік желіге енген вирустық бағдарлама шабуылдаушыларға компанияның қызметін жартылай немесе толық бақылауға мүмкіндік береді. Спам. Бірнеше жыл ішінде спам кішігірім тітіркендіргіштен ең үлкен қауіпсіздік қатерлерінің біріне айналды: Соңғы жылдары электрондық пошта негізгі тарату арнасына айналды. зиянды бағдарлама; спам хабарламаларды қарауға, содан кейін жоюға көп уақытты алады, қызметкерлерде психологиялық жайсыздық сезімін тудырады; жеке адамдар да, ұйымдар да құрбан алаяқтық схемаларспамерлер жүзеге асырады (көбінесе мұндай оқиғалардың құрбандары жарияламауға тырысады); спаммен бірге маңызды хат-хабарлар жиі жойылады, бұл тұтынушылардың жоғалуына, келісімшарттардың орындалмауына және басқа да жағымсыз салдарға әкелуі мүмкін; Поштаны жоғалту қаупі әсіресе RBL қара тізімдерін және басқа да «дөрекі» спамды сүзгілеу әдістерін пайдаланған кезде жоғары. «Табиғи» қауіптер. Әртүрлі сыртқы факторлар компанияның ақпараттық қауіпсіздігіне әсер етуі мүмкін: дұрыс сақтамау, компьютерлер мен тасымалдағыштарды ұрлау, форс-мажорлық жағдайлар және т.б. деректердің жоғалуына әкелуі мүмкін. Ақпараттық қауіпсіздікті басқару жүйесі (ISMS немесе Information Security Management System) белгілі бір ойластырылған стратегияны жүзеге асыратын шаралар кешенін басқаруға мүмкіндік береді, бұл жағдайда – ақпараттық қауіпсіздікке қатысты. Айта кетейік, біз бар жүйені басқару туралы ғана емес, сонымен қатар жаңасын құру / ескісін қайта құру туралы айтып отырмыз. Іс-шаралар кешеніне ұйымдастырушылық, техникалық, физикалық және т.б. Ақпараттық қауіпсіздікті басқару – бұл компанияда ең тиімді және жан-жақты ақпараттық қауіпсіздікті басқаруды жүзеге асыруға мүмкіндік беретін күрделі процесс. Ақпараттық қауіпсіздікті басқарудың мақсаты – ақпараттың құпиялылығын, тұтастығын және қолжетімділігін сақтау. Жалғыз мәселе - қандай ақпаратты қорғау керек және оның қауіпсіздігін қамтамасыз ету үшін қандай күш салу керек. Кез келген менеджмент оның пайда болған жағдайын білуге негізделген. Тәуекелді талдау тұрғысынан жағдайды білу ұйымның активтерін және олардың қоршаған ортасын түгендеу мен бағалауда, яғни кәсіпкерлік қызметті жүргізуді қамтамасыз ететін барлық нәрселерден көрінеді. Ақпараттық қауіпсіздік тәуекелін талдау тұрғысынан негізгі активтерге тікелей ақпарат, инфрақұрылым, персонал, компанияның имиджі мен беделі жатады. Кәсіпкерлік белсенділік деңгейінде активтерді түгендеусіз нені қорғау керек деген сұраққа жауап беру мүмкін емес. Ұйымда қандай ақпарат өңделетінін және қай жерде өңделетінін түсіну өте маңызды. Үлкен заманауи ұйымда ақпараттық активтердің саны өте көп болуы мүмкін. Егер ұйымның қызметі ERP жүйесі арқылы автоматтандырылса, онда бұл қызметте қолданылатын кез келген дерлік материалдық объект қандай да бір ақпараттық объектіге сәйкес келеді деп айта аламыз. Сондықтан тәуекелдерді басқарудың негізгі міндеті ең маңызды активтерді анықтау болып табылады. Бұл мәселені ұйымның негізгі қызметінің менеджерлерін, яғни орта буын мен жоғарғы буын басшыларынсыз шешу мүмкін емес. Оңтайлы жағдай - бұл ұйымның жоғарғы басшылығы ақпараттық қауіпсіздікті қамтамасыз ету өте маңызды қызметтің ең маңызды бағыттарын жеке өзі белгілеген кезде. Ақпараттық қауіпсіздікті қамтамасыз етудегі басымдықтар туралы жоғары басшылықтың пікірі тәуекелдерді талдау процесінде өте маңызды және құнды болып табылады, бірақ кез келген жағдайда компания менеджментінің орта деңгейінде активтердің маңыздылығы туралы ақпаратты жинау арқылы нақтылануы керек. Сонымен қатар, жоғары басшылық белгілеген кәсіпкерлік қызметтің бағыттары бойынша әрі қарай талдау жүргізген жөн. Алынған ақпарат өңделеді, жинақталады және жағдайды жан-жақты бағалау үшін жоғарғы басшылыққа беріледі. Ақпарат ресурстар түрлерінің бірі ретінде қарастырылатын бизнес-процестердің сипаттамасы негізінде ақпаратты анықтауға және локализациялауға болады. Егер ұйым бизнесті реттеу тәсілін қабылдаған болса (мысалы, сапаны басқару және бизнес-процестерді оңтайландыру мақсатында) тапсырма біршама жеңілдетілген. Ресмилендірілген бизнес-процестердің сипаттамалары активтерді түгендеу үшін жақсы бастапқы нүкте болып табылады. Сипаттамалар болмаса, ұйым қызметкерлерінен алынған ақпарат негізінде активтерді анықтауға болады. Активтер анықталғаннан кейін олардың құнын анықтау керек. Бүкіл ұйымның контекстінде ақпараттық активтердің құнын анықтау жұмысы ең маңызды және күрделі болып табылады. Дәл ақпараттық активтерді бағалау ақпараттық қауіпсіздік басқармасының басшысына ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің негізгі бағыттарын таңдауға мүмкіндік береді. Бірақ ақпараттық қауіпсіздікті басқару процесінің экономикалық тиімділігі көбінесе нені қорғау керектігін және бұл үшін қандай күш-жігер қажет болатынын білуге байланысты, өйткені көп жағдайда жұмсалған күш мөлшері жұмсалған және жұмыс істейтін ақша сомасына тікелей пропорционалды. шығындар. Тәуекелдерді басқару қай жерде тәуекелге баруға болады, қай жерде болмайды деген сұраққа жауап беруге мүмкіндік береді. Ақпараттық қауіпсіздік жағдайында «тәуекел» термині белгілі бір салада ақпараттық активтерді қорғауға айтарлықтай күш салмауға болатындығын және сонымен бірге қауіпсіздік бұзылған жағдайда ұйым зардап шекпейтінін білдіреді. елеулі шығындар. Мұнда автоматтандырылған жүйелердің қорғау кластарымен ұқсастық жасауға болады: тәуекелдер неғұрлым көп болса, қорғаныс талаптары соғұрлым қатаң болуы керек. Қауіпсіздікті бұзудың салдарын анықтау үшін ұқсас сипаттағы тіркелген оқиғалар туралы ақпарат болуы немесе сценарий талдауын жүргізу қажет. Сценарий талдауы актив қауіпсіздігін бұзу оқиғалары мен ұйымның іскерлік қызметі үшін сол оқиғалардың салдары арасындағы себепті байланыстарды зерттейді. Сценарийлердің салдарын бірнеше адам қайталап немесе ақылдасып бағалауы керек. Айта кету керек, мұндай сценарийлерді әзірлеу мен бағалауды шындықтан толығымен ажыратуға болмайды. Сценарий ықтимал болуы керек екенін әрқашан есте сақтау керек. Құндылықты анықтау критерийлері мен шкалалары әрбір ұйым үшін жеке болып табылады. Сценарийлік талдау нәтижелері бойынша активтердің құны туралы ақпарат алуға болады. Активтер анықталып, олардың құны анықталса, ақпараттық қауіпсіздікті қамтамасыз ету мақсаттары ішінара белгіленген деп айтуға болады: қорғау объектілері және оларды ұйым үшін ақпараттық қауіпсіздік жағдайында ұстаудың маңыздылығы анықталады. Мүмкін, кімнен қорғану керектігін анықтау ғана қалады. Ақпараттық қауіпсіздікті басқарудың мақсаттарын анықтағаннан кейін мақсатты жағдайға жақындауға кедергі келтіретін мәселелерді талдау қажет. Бұл деңгейде тәуекелдерді талдау процесі ақпараттық инфрақұрылымға және ақпараттық қауіпсіздіктің дәстүрлі тұжырымдамаларына – бұзушыларға, қауіп-қатерлерге және осалдықтарға түседі. Тәуекелдерді бағалау үшін барлық зиянкестерді активке қол жеткізу түріне және активтердің құрылымы туралы біліміне қарай бөлетін стандартты бұзушылардың үлгісін енгізу жеткіліксіз. Бұл бөлу активке қандай қауіптер бағытталуы мүмкін екенін анықтауға көмектеседі, бірақ бұл қауіптерді негізінен іске асыру мүмкін бе деген сұраққа жауап бермейді. Тәуекелді талдау процесінде қатерлерді жүзеге асыру кезінде бұзушылардың мотивациясын бағалау қажет. Сонымен қатар, бұзушы дерексіз сыртқы хакер немесе инсайдер емес, активтің қауіпсіздігін бұзу арқылы пайда алуға мүдделі тарап болып табылады. Ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің бастапқы бағыттарын таңдау жағдайындағыдай зиянкестің моделі туралы бастапқы ақпаратты ұйымның нарықтағы орнын елестететін, бәсекелестері және не туралы ақпараты бар топ-менеджменттен алу керек. олардан әсер ету әдістерін күтуге болады. Зиянкестердің үлгісін жасау үшін қажетті ақпаратты құқық бұзушылықтар саласындағы мамандандырылған зерттеулерден де алуға болады. компьютерлік қауіпсіздіктәуекелді талдау жүргізілетін бизнес саласында. Жақсы жобаланған зиянкестердің үлгісі ұйымның активтерін бағалауда анықталған ақпараттық қауіпсіздікті қамтамасыз ету мақсаттарын толықтырады. Қауіп үлгісін жасау және осалдықтарды анықтау ұйымның ақпараттық активтер ортасын түгендеумен тығыз байланысты. Өздігінен ақпарат сақталмайды және өңделмейді. Оған қол жеткізу ұйымның бизнес-процестерін автоматтандыратын ақпараттық инфрақұрылымды пайдалану арқылы қамтамасыз етіледі. Ұйымның ақпараттық инфрақұрылымы мен ақпараттық активтері қалай байланысты екенін түсіну маңызды. Ақпараттық қауіпсіздікті басқару тұрғысынан ақпараттық инфрақұрылымның маңыздылығын ақпараттық активтер мен инфрақұрылым арасындағы байланысты анықтағаннан кейін ғана анықтауға болады. Ұйымда ақпараттық инфрақұрылымды қолдау және пайдалану процестері реттелетін және ашық болған жағдайда, қауіптерді анықтау және осалдықтарды бағалау үшін қажетті ақпаратты жинау айтарлықтай жеңілдетіледі. Қауіпсіздік моделін әзірлеу - зиянкестің қауіпсіздік периметрін бұзу немесе әлеуметтік инженерия әдістерін қолдану арқылы ақпаратқа рұқсатсыз кіру жолын жақсы түсінетін қауіпсіздік мамандарына арналған жұмыс. Қауіп үлгісін жасау кезінде қауіптерді іске асыруға болатын бірізді қадамдар ретінде сценарийлер туралы да айтуға болады. Қауіптердің жүйедегі бір осалдықты пайдалану арқылы бір қадамда жүзеге асырылуы өте сирек кездеседі. Қауіптер үлгісі осалдық пен инциденттерді басқару сияқты ақпараттық қауіпсіздікті басқару процестерінің нәтижесінде анықталған барлық қауіптерді қамтуы керек. Қауіптерді жүзеге асыру ықтималдығының деңгейіне қарай бір-біріне қатысты дәрежелеу қажет болатынын есте ұстаған жөн. Ол үшін әрбір қауіп үшін қауіп үлгісін жасау процесінде бар болуы оны жүзеге асыруға әсер ететін ең маңызды факторларды көрсету қажет. Қауіпсіздік саясаты ұйымның ақпараттық жүйесі үшін нақты деп танылған тәуекелдерді талдауға негізделген. Тәуекелдерді талдау және қорғау стратегиясын анықтау кезінде ақпараттық қауіпсіздік бағдарламасы жасалады. Осы бағдарламаға ресурстар бөлінеді, жауапты адамдар тағайындалады, бағдарламаның орындалуын бақылау тәртібі және т.б. Кең мағынада қауіпсіздік саясаты ұйымның қауіпсіздігін қамтамасыз ету үшін құжатталған басқару шешімдерінің жүйесі ретінде анықталады. Тар мағынада қауіпсіздік саясаты әдетте қауіпсіздік талаптарын, шаралар жүйесін немесе әрекеттер тәртібін, сондай-ақ ұйым қызметкерлерінің жауапкершілігін және белгілі бір саладағы бақылау тетіктерін анықтайтын жергілікті нормативтік құжат ретінде түсініледі. қауіпсіздік. Ақпараттық қауіпсіздік саясатының өзін қалыптастыруды бастамас бұрын, біз әрекет ететін негізгі ұғымдарды түсіну қажет. Ақпарат – олардың берілу формасына қарамастан ақпарат (хабарламалар, деректер). Ақпараттың құпиялылығы – белгілі бір ақпаратқа рұқсаты бар тұлғаның мұндай ақпаратты оның иесінің келісімінсіз үшінші тұлғаларға бермеу туралы міндетті талабы. Ақпараттық қауіпсіздік(АЖ) – азаматтардың, ұйымдардың, мемлекеттердің мүдделері үшін оның қалыптасуын, пайдаланылуы мен дамуын қамтамасыз ететін қоғамның ақпараттық ортасының қорғалу жағдайы. «Ақпарат» ұғымы бүгінде өте кең және жан-жақты қолданылады. Ақпараттық қауіпсіздікті қамтамасыз ету бір реттік әрекет бола алмайды. Бұл қорғау жүйесін жетілдіру мен дамытудың ең ұтымды әдістерін, жолдары мен құралдарын негіздеу мен енгізуден, оның жай-күйін үздіксіз бақылаудан, оның әлсіз жақтары мен заңсыз әрекеттерін анықтаудан тұратын үздіксіз процесс. Ақпараттық қауіпсіздікті өндірістік жүйенің барлық құрылымдық элементтерінде және ақпаратты өңдеудің технологиялық циклінің барлық кезеңдерінде қолда бар қорғау құралдарының бүкіл кешенін кешенді пайдалану арқылы ғана қамтамасыз етуге болады. Қолданылатын барлық құралдар, әдістер мен шаралар ақпаратты қорғау жүйесінің біртұтас механизміне біріктірілгенде ең үлкен нәтижеге қол жеткізіледі. Бұл ретте жүйенің жұмысы сыртқы және ішкі жағдайлардың өзгеруіне байланысты бақылануы, жаңартылуы және толықтырылуы қажет. ГОСТ R ISO/IEC 15408:2005 стандартына сәйкес қауіпсіздік талаптарының келесі түрлерін ажыратуға болады: функционалдық, қорғаудың белсенді аспектісіне сәйкес, қауіпсіздік функцияларына және оларды жүзеге асыратын механизмдерге жүктелген; технологияға және әзірлеу және пайдалану процесіне қойылатын пассивті аспектіге сәйкес келетін кепілдік талаптары. Бұл стандарттағы қауіпсіздік статикалық түрде емес, бағалау объектісінің өмірлік цикліне қатысты қарастырылуы өте маңызды. Келесі кезеңдерді ажыратады: мақсатын, пайдалану шарттарын, мақсаттарын және қауіпсіздік талаптарын анықтау; Әрлем мен дамыту; тестілеу, бағалау және сертификаттау; жүзеге асыру және пайдалану. Сонымен, функционалдық қауіпсіздік талаптарын толығырақ қарастырайық. Оларға мыналар жатады: пайдаланушы деректерін қорғау; қауіпсіздік функцияларын қорғау (талаптар осы қауіпсіздік қызметтерінің тұтастығы мен бақылауына және оларды жүзеге асыратын тетіктерге қатысты); қауіпсіздікті басқару (осы сыныптың талаптары қауіпсіздік атрибуттары мен параметрлерін басқаруға қатысты); қауіпсіздік аудиті (бағалау объектісінің қауіпсіздігіне әсер ететін деректерді анықтау, тіркеу, сақтау, талдау, қауіпсіздіктің ықтимал бұзылуына әрекет ету); құпиялылық (пайдаланушыны оның сәйкестендіру деректерін жария етуден және рұқсатсыз пайдаланудан қорғау); ресурстарды пайдалану (ақпараттың қолжетімділігіне қойылатын талаптар); байланыс (деректер алмасуға қатысатын тараптардың аутентификациясы); сенімді маршрут/арна (қауіпсіздік қызметтерімен байланысу үшін). Осы талаптарға сәйкес ұйымның ақпараттық қауіпсіздік жүйесін қалыптастыру қажет. Ұйымның ақпараттық қауіпсіздік жүйесі келесі бағыттарды қамтиды: реттеуші; ұйымдастырушылық (әкімшілік); техникалық; бағдарламалық қамтамасыз ету; Қауіпсіздіктің барлық салаларындағы кәсіпорындағы жағдайды толық бағалау үшін ақпараттық ресурстарды қорғау мәселесіне жүйелі көзқарасты белгілейтін және мақсаттардың, міндеттердің, жобалау принциптерінің жүйелі мәлімдемесі болатын ақпараттық қауіпсіздік тұжырымдамасын әзірлеу қажет. және кәсіпорында ақпараттық қауіпсіздікті қамтамасыз ету бойынша шаралар кешені. Корпоративтік желіні басқару жүйесі келесі принциптерге (міндеттерге) негізделуі керек: кәсіпорынның бар ақпараттық инфрақұрылымын зиянкестердің араласуынан қорғауды қамтамасыз ету; ықтимал зақымдануды локализациялау және азайту үшін жағдайларды қамтамасыз ету; қауіп көздерінің пайда болу себептерінің бастапқы кезеңінде пайда болуын болдырмау; туындайтын қауіптердің негізгі үш түрі бойынша ақпаратты қорғауды қамтамасыз ету (қол жетімділік, тұтастық, құпиялылық); Жоғарыда аталған міндеттерді шешуге қол жеткізіледі; ақпараттық жүйемен жұмысты пайдаланушылардың әрекеттерін реттеу; деректер қорымен жұмысты пайдаланушылардың әрекеттерін реттеу; техникалық құралдардың сенімділігіне бірыңғай талаптар мен бағдарламалық қамтамасыз ету; ақпараттық жүйенің жұмысын бақылау рәсімдері (оқиғаларды тіркеу, хаттамаларды талдау, желілік трафикті талдау, техникалық құралдардың жұмысын талдау); Ақпараттық қауіпсіздік саясаты мыналарды қамтиды: негізгі құжаты «Қауіпсіздік саясаты». Ол жалпы ұйымның қауіпсіздік саясатын, жалпы ережелерін, сондай-ақ саясаттың барлық аспектілеріне қатысты тиісті құжаттарды сипаттайды; пайдаланушылардың жұмысын реттеу бойынша нұсқаулықтар; жергілікті желі әкімшісінің лауазымдық сипаттамасы; деректер қоры әкімшісінің лауазымдық сипаттамасы; интернет ресурстарымен жұмыс істеу нұсқаулары; парольді қорғауды ұйымдастыру бойынша нұсқаулар; ұйымдастыру нұсқаулығы антивирустық қорғау. «Қауіпсіздік саясаты» құжаты негізгі ережелерден тұрады. Оның негізінде ақпараттық қауіпсіздік бағдарламасы құрылуда, лауазымдық нұсқаулықтаржәне ұсыныстар. Ұйымның жергілікті желісін пайдаланушылардың жұмысын реттеу жөніндегі нұсқаулық пайдаланушыларға жергілікті желіде жұмыс істеуге рұқсат беру тәртібін реттейді. компьютерлік желіұйым, сондай-ақ ұйымда өңделетін, сақталатын және жіберілетін қорғалатын ақпаратпен жұмыс істеу ережелері. Жергілікті желі әкімшісінің лауазымдық сипаттамасы жергілікті желі әкімшісінің ақпараттық қауіпсіздікке қатысты міндеттерін сипаттайды. Мәліметтер қоры әкімшісінің лауазымдық сипаттамасы дерекқор әкімшісінің негізгі міндеттерін, функцияларын және құқықтарын анықтайды. Ол бәрін егжей-тегжейлі сипаттайды. ресми міндеттеріжәне деректер қоры әкімшісінің функциялары, сондай-ақ құқықтары мен міндеттері. Интернет ресурстарымен жұмыс істеу нұсқаулары негізгі ережелерді көрсетеді қауіпсіз жұмысИнтернетпен, сонымен қатар Интернет ресурстарымен жұмыс істеу кезінде рұқсат етілген және қабылданбайтын әрекеттердің тізімін қамтиды. Вирусқа қарсы қорғауды ұйымдастыру жөніндегі нұсқаулық негізгі ережелерді, ұйымның ақпараттық жүйесін антивирустық қорғауды ұйымдастыруға қойылатын талаптарды, вирусқа қарсы бағдарламалық қамтамасыз етудің жұмыс істеуіне қатысты барлық аспектілерді, сондай-ақ ережелерді бұзған жағдайда жауапкершілікті анықтайды. антивирустық қорғаныс. Құпия сөзбен қорғауды ұйымдастыру жөніндегі нұсқаулық парольдерді құру, өзгерту және тоқтату (пайдаланушы тіркелгілерін жою) процестерін ұйымдастырушылық және техникалық қамтамасыз етуді реттейді. Ол сондай-ақ жүйемен жұмыс істеу кезінде пайдаланушылар мен техникалық қызмет көрсету персоналының әрекеттерін реттейді. Сонымен, ақпаратты қорғау процесін ұйымдастырудың негізі ақпараттық жүйедегі ақпараттың қандай қауіптерден және қалай қорғалатынын анықтау мақсатында тұжырымдалған қауіпсіздік саясаты болып табылады. Қауіпсіздік саясаты деп белгілі бір ұйымда қабылданған ақпаратты қорғауға арналған құқықтық, ұйымдастырушылық және техникалық шаралар кешені түсініледі. Яғни, қауіпсіздік саясаты пайдаланушылар осы жүйенің ақпараттық қауіпсіздік қасиеттерін жоғалтпай жүйе ресурстарына қол жеткізе алатын шарттар жиынтығын қамтиды. Ақпараттық қауіпсіздікті қамтамасыз ету міндетін жүйелі шешу қажет. Бұл әртүрлі қорғау құралдары (аппараттық, бағдарламалық, физикалық, ұйымдастырушылық және т.б.) бір уақытта және орталықтандырылған бақылауда қолданылуы керек дегенді білдіреді. Бүгінгі күні ақпараттық қауіпсіздікті қамтамасыз ету әдістерінің үлкен арсеналы бар: пайдаланушыларды сәйкестендіру және аутентификация құралдары; компьютерлерде сақталатын және желілер арқылы берілетін ақпаратты шифрлау құралдары; брандмауэрлер; виртуалды жеке желілер; мазмұнды сүзу құралдары; дискілер мазмұнының тұтастығын тексеру құралдары; антивирустық қорғау құралдары; желінің осалдығын анықтау жүйелері және желілік шабуыл анализаторлары. Бұл құралдардың әрқайсысын өз бетінше де, басқалармен біріктіруде де қолдануға болады. Бұл қолданылатын платформаларға қарамастан кез келген күрделілік пен конфигурациядағы желілер үшін ақпаратты қорғау жүйелерін құруға мүмкіндік береді. Аутентификация (немесе сәйкестендіру), авторизация және басқару жүйесі. Сәйкестендіру және авторизация ақпараттық қауіпсіздіктің негізгі элементтері болып табылады. Авторизация функциясы белгілі бір пайдаланушының қандай ресурстарға қол жеткізе алатынына жауап береді. Әкімшілік функциясы пайдаланушыға берілген желі ішінде белгілі бір сәйкестендіру мүмкіндіктерін беру және оған рұқсат етілген әрекеттердің көлемін анықтау болып табылады. Шифрлау жүйелері қатты дискіде немесе басқа тасымалдағышта сақталған деректерге рұқсатсыз қол жеткізу, сондай-ақ электрондық пошта арқылы жіберілген немесе желілік хаттамалар арқылы жіберілген ақпаратты ұстап алу жағдайында шығындарды азайтуға мүмкіндік береді. Тапсырма бұл құралқорғау – құпиялылықты қамтамасыз ету. Шифрлау жүйелеріне қойылатын негізгі талаптар - жоғары деңгейкриптографиялық күші және Ресейде (немесе басқа мемлекеттерде) пайдалану заңдылығы. Брандмауэр – рұқсат етілмеген деректер пакеттерінің желіге кіруіне немесе одан шығуына жол бермейтін екі немесе одан да көп желілер арасында қорғаныс тосқауылын құрайтын жүйе немесе жүйелер жиынтығы. Брандмауэрлердің негізгі принципі әрбір деректер пакетін кіріс және шығыс IP мекенжайларының рұқсат етілген мекенжайлар базасына сәйкестігін тексеру болып табылады. Осылайша, желіаралық қалқандар ақпараттық желілерді сегменттеу және деректер айналымын бақылау мүмкіндіктерін айтарлықтай кеңейтеді. Криптография және желіаралық қалқандар туралы айтқанда, қауіпсіз виртуалды жеке желілерді (Virtual Private Network - VPN) атап өту керек. Оларды пайдалану ашық байланыс арналары бойынша жіберу кезінде деректердің құпиялылығы мен тұтастығы мәселелерін шешуге мүмкіндік береді. VPN пайдалануды үш негізгі тапсырманы шешуге дейін азайтуға болады: компанияның әртүрлі кеңселері арасындағы ақпарат ағындарын қорғау (ақпарат тек сыртқы желіге шығу кезінде шифрланады); қауіпсіз қол жеткізу қашықтағы пайдаланушыларжелілеріне ақпараттық ресурстаркомпаниялар әдетте Интернет арқылы жүзеге асырылады; ішіндегі жеке қолданбалар арасындағы ақпарат ағындарын қорғау корпоративтік желілер(бұл аспект өте маңызды, өйткені шабуылдардың көпшілігі ішкі желілерден келеді). Құпия ақпаратты жоғалтудан қорғаудың тиімді құралы - кіріс және шығыс ақпараттың мазмұнын сүзгілеу. Электрондық пошта. Ұйым белгілеген ережелер негізінде электрондық пошта хабарларының өздерін және олардың тіркемелерін растау компанияларды сот істеріндегі жауапкершіліктен қорғауға және олардың қызметкерлерін спамнан қорғауға көмектеседі. Мазмұнды сүзу құралдары барлық жалпы пішімдегі файлдарды, соның ішінде қысылған және графикалық файлдарды сканерлеуге мүмкіндік береді. Сонымен бірге өткізу қабілетіжелі іс жүзінде өзгеріссіз қалады. Мазмұн тұтастығын тексеру технологиясының арқасында жұмыс станциясындағы немесе сервердегі барлық өзгерістерді желі әкімшісі немесе басқа уәкілетті пайдаланушы бақылай алады. қатты диск(тұтастығын тексеру). Бұл файлдармен кез келген әрекеттерді (өзгерту, жою немесе жай ғана ашу) анықтауға және вирус белсенділігін, рұқсатсыз кіруді немесе уәкілетті пайдаланушылардың деректерді ұрлауын анықтауға мүмкіндік береді. Бақылау файл бақылау сомасын (CRC-sums) талдауға негізделген. Қазіргі заманғы антивирустық технологиялар күдікті файлдың кодын антивирустық дерекқорда сақталған үлгілермен салыстыру арқылы белгілі вирустық бағдарламалардың барлығын дерлік анықтауға мүмкіндік береді. Сонымен қатар, жаңадан жасалған вирустық бағдарламаларды анықтау үшін мінез-құлықты модельдеу технологиялары әзірленді. Анықталған объектілерді дезинфекциялауға, оқшаулауға (карантинге) немесе жоюға болады. Вирустардан қорғауды жұмыс станцияларына, файлдық және пошталық серверлерге, әртүрлі типтегі процессорлардағы жалпы операциялық жүйелердің (Windows, Unix және Linux жүйелері, Novell) дерлік кез келген астында жұмыс істейтін желіаралық қалқандарға орнатуға болады. Спам сүзгілері спамды талдауға байланысты өнімсіз еңбек шығындарын айтарлықтай азайтады, трафик пен сервер жүктемесін азайтады, топтағы психологиялық жағдайды жақсартады және компания қызметкерлерінің алаяқтық транзакцияларға тартылу қаупін азайтады. Сонымен қатар, спам сүзгілері жаңа вирустарды жұқтыру қаупін азайтады, өйткені вирустар бар хабарламалар (тіпті дерекқорларға әлі енгізілмегендер де) антивирустық бағдарламалар) жиі спам белгілерін көрсетеді және сүзгіден өтеді. Рас, спам сүзгісінің оң әсерін сызып тастауға болады, егер сүзгі қажетсіз заттармен бірге спам және пайдалы хабарларды, іскерлік немесе жеке хабарларды жойса немесе белгілесе. Вирустардың әсерінен компанияларға үлкен зиян және хакерлер шабуылдары, - көп дәрежеде пайдаланылған бағдарламалық жасақтаманың әлсіздігінің салдары. Сіз оларды нақты шабуылды күтпей-ақ, компьютерлік желінің осалдығын анықтау жүйелерін және желілік шабуыл анализаторларын пайдалана отырып, алдын ала анықтай аласыз. Мұндай бағдарламалық қамтамасыз ету жалпы шабуылдар мен интрузияларды қауіпсіз модельдейді және хакер желіде нені көре алатынын және оның ресурстарын қалай пайдалана алатынын дәл анықтайды. Ақпараттық қауіпсіздікке табиғи қауіп-қатерлерге қарсы тұру үшін компания төтенше жағдайлардың алдын алу (мысалы, өрттен деректерді физикалық қорғауды қамтамасыз ету) және мұндай жағдай орын алған жағдайда залалды азайту үшін процедуралар кешенін әзірлеуі және енгізуі керек. Деректерді жоғалтудан қорғаудың негізгі әдістерінің бірі болып табылады сақтық көшірмебелгіленген тәртіптерді қатаң сақтай отырып (заңдылық, тасымалдағыш түрлері, көшірмелерді сақтау әдістері және т.б.). Ақпараттық қауіпсіздік саясаты – ақпаратпен, ақпараттық жүйемен, мәліметтер базасымен, жергілікті желімен және интернет ресурстарымен жұмыс істеудің негізгі ережелерін сипаттайтын қызметкерлердің жұмысын реттейтін құжаттар пакеті. Ақпараттық қауіпсіздік саясаты ұйымның жалпы басқару жүйесінде қандай орын алатынын түсіну маңызды. Төменде қауіпсіздік саясатына қатысты жалпы ұйымдастыру шаралары берілген. Процедуралық деңгейде шаралардың келесі сыныптарын бөлуге болады: Жеке құрам менеджменті; физикалық қорғаныс; өнімділікті сақтау; қауіпсіздіктің бұзылуына әрекет ету; қалпына келтіруді жоспарлау. Адам ресурстарын басқару жұмысқа қабылдаудан басталады, бірақ бұған дейін сіз лауазымға байланысты компьютерлік артықшылықтарды анықтауыңыз керек. Олар екеу жалпы принципесте сақтау: міндеттерді бөлу; артықшылықтарды азайту. Міндеттерді бөлу принципі бір адам ұйым үшін маңызды процесті бұза алмайтындай рөлдер мен жауапкершіліктерді қалай бөлу керектігін белгілейді. Мысалы, ұйым атынан үлкен төлемдерді бір адам жасайтын жағдай жағымсыз. Мұндай төлемдерге өтініштерді өңдеуді бір қызметкерге, ал екіншісіне бұл өтініштерді куәландыруды тапсыру қауіпсіз. Тағы бір мысал суперпайдаланушы әрекеттеріне процедуралық шектеулер. Бірінші бөлігін бір қызметкерге, екінші бөлігін екіншісіне беру арқылы суперпайдаланушы құпия сөзін жасанды түрде «бөлуге» болады. Сонда олардың екеуі ғана ақпараттық жүйенің әкімшілігі үшін маңызды маңызды әрекеттерді орындай алады, бұл қателер мен теріс пайдалану ықтималдығын азайтады. Артықшылықтарды азайту принципі пайдаланушыларға өз міндеттерін орындау үшін қажет қол жеткізу құқықтарын ғана бөлуді белгілейді. Бұл принциптің мақсаты айқын – кездейсоқ немесе қасақана дұрыс емес әрекеттерден келетін зиянды азайту. Лауазымдық нұсқаулықты алдын ала дайындау оның маңыздылығын бағалауға және кандидаттарды тексеру және іріктеу тәртібін жоспарлауға мүмкіндік береді. Лауазым неғұрлым жауапты болса, соғұрлым кандидаттарды мұқият тексеру керек: олар туралы сұраулар жасаңыз, мүмкін бұрынғы әріптестермен сөйлесіңіз және т.б. Мұндай процедура ұзақ және қымбат болуы мүмкін, сондықтан оны одан әрі қиындатудың қажеті жоқ. Сонымен қатар, бұрын қылмыстық немесе психикалық дертке шалдыққан адамды кездейсоқ жұмысқа алмау үшін алдын ала тексеруден мүлде бас тарту ақылға қонымсыз. Үміткер анықталғаннан кейін олар оқытылуы мүмкін; кем дегенде, ол жұмыстың міндеттерімен, сондай-ақ ақпараттық қауіпсіздік ережелері мен процедураларымен мұқият танысуы керек. Қызметке кірісер алдында және логин атымен, құпия сөзбен және артықшылықтармен жүйелік тіркелгісін орнатпас бұрын оның қауіпсіздік шараларын білгені жөн. Ақпараттық жүйенің қауіпсіздігі оның жұмыс істейтін ортасына байланысты. Ғимараттар мен оның маңындағы аумақтарды, қосалқы инфрақұрылымды, компьютерлерді, ақпарат тасымалдаушыларды қорғау шараларын қабылдау қажет. Физикалық қорғаудың келесі бағыттарын қарастырыңыз: физикалық қол жеткізуді басқару; қосалқы инфрақұрылымды қорғау; мобильді жүйелерді қорғау. Қол жеткізуді бақылаудың физикалық шаралары қызметкерлер мен келушілердің кіруі мен шығуын бақылауға және қажет болған жағдайда шектеуге мүмкіндік береді. Ұйымның бүкіл ғимаратын, сондай-ақ жеке үй-жайларды, мысалы, серверлер, байланыс жабдықтары және т.б. орналасқан жерлерді басқаруға болады. Қолдаушы инфрақұрылымға электрмен, сумен және жылумен жабдықтау жүйелері, кондиционерлер мен коммуникациялар кіреді. Негізінде, ақпараттық жүйелердегідей тұтастық пен қолжетімділік талаптары оларға да қолданылады. Тұтастығын қамтамасыз ету үшін жабдық ұрланудан және зақымданудан қорғалуы керек. Қолжетімділікті сақтау үшін ақаулар арасындағы ең көп уақытты қажет ететін жабдықты таңдау керек, маңызды түйіндерді қайталау және әрқашан қолыңызда қосалқы бөлшектер болуы керек. Жалпы айтқанда, физикалық қорғаныс құралдарын таңдау кезінде тәуекелді талдау қажет. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность сбоев электропитания, стоимость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации және т.б.) Ақпараттық жүйелердің саулығын сақтауға бағытталған бірқатар шараларды қарастырыңыз. Дәл осы аймақта ең үлкен қауіп төніп тұр. Жүйе әкімшілері мен пайдаланушылардың байқаусызда жасаған қателері өнімділіктің жоғалуына, атап айтқанда жабдықтың бұзылуына, бағдарламалар мен деректердің жойылуына әкелуі мүмкін. Бұл ең нашар жағдай. В ең жақсы жағдайолар жүйелердің қауіпсіздігіне қатерлерді жүзеге асыруға мүмкіндік беретін қауіпсіздік тесіктерін жасайды. Көптеген ұйымдардың басты мәселесі - күнделікті жұмыста қауіпсіздік факторларын жете бағаламау. Қымбат қауіпсіздік құралдары нашар құжатталған болса, басқа бағдарламалық құралмен қайшы келсе және құпия сөз болса, түкке тұрғысыз жүйелік әкімшіорнатылғаннан бері өзгерген жоқ. Ақпараттық жүйенің денсаулығын сақтауға бағытталған күнделікті іс-әрекеттер үшін келесі әрекеттерді бөлуге болады: пайдаланушыны қолдау; бағдарламалық қамтамасыз етуді қолдау; конфигурацияны басқару; резервтік көшірме; бұқаралық ақпарат құралдарын басқару; құжаттама; реттеу жұмыстары. Пайдаланушыны қолдау, ең алдымен, әртүрлі мәселелерді шешуге кеңес беруді және көмек көрсетуді білдіреді. Ақпараттық қауіпсіздікке қатысты мәселелерді анықтай алу сұрақтар ағынында өте маңызды. Сонымен, пайдаланушылардың көптеген қиындықтары жұмыс істейді дербес компьютерлервирустық инфекцияға байланысты болуы мүмкін. Пайдаланушы сұрақтарын анықтау үшін оларды жазып алған жөн типтік қателержәне жалпы жағдайларға арналған ұсыныстары бар парақшаларды шығару. Бағдарламалық қамтамасыз етуді қолдау ақпараттың тұтастығын қамтамасыз етудің маңызды құралдарының бірі болып табылады. Ең алдымен, компьютерлерде қандай бағдарламалық құрал орнатылғанын қадағалау керек. Егер пайдаланушылар бағдарламаларды өз бетінше орнатса, бұл вирустық инфекцияға, сондай-ақ қауіпсіздік шараларын айналып өтетін утилиталардың пайда болуына әкелуі мүмкін. Сондай-ақ, пайдаланушылардың «бастамасы» бірте-бірте олардың компьютерлерінде хаосқа әкеліп соғады және жүйелік әкімші жағдайды түзетуге мәжбүр болады. Бағдарламалық қамтамасыз етуді қолдаудың екінші аспектісі - бағдарламаларға рұқсат етілмеген өзгертулердің және оларға қол жеткізу құқықтарының болмауын бақылау. Бұған негізгі көшірмелерді қолдау да кіреді. бағдарламалық жүйелер. Әдетте, бақылау физикалық және логикалық қол жеткізуді басқарудың үйлесімі, сондай-ақ тексеру және тұтастық утилиталарын пайдалану арқылы қол жеткізіледі. Конфигурацияны басқару бағдарламалық құрал конфигурациясына енгізілген өзгерістерді бақылауға және түсіруге мүмкіндік береді. Ең алдымен, кездейсоқ немесе дұрыс ойластырылмаған модификациялардан сақтандыру керек, кем дегенде бұрынғы жұмыс нұсқасына оралу мүмкіндігі болуы керек. Өзгерістерді енгізу бұзылудан кейін ағымдағы нұсқаны қалпына келтіруді жеңілдетеді. Күнделікті жұмыстағы қателерді азайтудың ең жақсы жолы - оны мүмкіндігінше автоматтандыру. Автоматтандыру мен қауіпсіздік бір-біріне тәуелді, өйткені ең алдымен өз міндетін жеңілдету туралы ойлайтын адам, шын мәнінде, ақпараттық қауіпсіздік режимін оңтайлы түрде қалыптастырады. Сақтық көшірме апаттардан кейін бағдарламалар мен деректерді қалпына келтіру үшін қажет. Және бұл жерде жұмысты автоматтандырған жөн, кем дегенде, толық және қосымша көшірмелерді құрудың компьютерлік кестесін құру және максималды түрде сәйкес бағдарламалық өнімдерді пайдалану. Сондай-ақ көшірмелерді рұқсат етілмеген қол жеткізуден, өрттен, ағып кетуден, яғни ұрлауға немесе тасымалдаушыға зақым келтіруге әкелетін кез келген нәрседен қорғалған қауіпсіз жерге орналастыруды ұйымдастыру қажет. Бірнеше көшірме болғаны жақсы. сақтық көшірмелержәне олардың кейбірін ұйымның үй-жайларынан тыс жерде сақтаңыз, осылайша ірі апаттардан және ұқсас оқиғалардан қорғаңыз. Уақыт өте келе, сынақ мақсатында көшірмелерден ақпаратты қалпына келтіру мүмкіндігін тексеру керек. Медиа-менеджмент иілгіш дискілер, таспалар, басып шығару және т.б. үшін физикалық қорғауды және есеп беруді қамтамасыз ету үшін қажет. Бұқаралық ақпарат құралдарын басқару компьютерлік жүйелерден тыс сақталған ақпараттың құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз етуі керек. Бұл жерде физикалық қорғаныс тек рұқсат етілмеген кіру әрекеттерінің көрінісі ғана емес, сонымен қатар қоршаған ортаның зиянды әсерінен (жылу, суық, ылғал, магнетизм) қорғау ретінде түсініледі. БАҚ менеджменті сатып алудан бастап пайдаланудан шығаруға дейінгі бүкіл өмірлік циклді қамтуы керек. Құжаттама ақпараттық қауіпсіздіктің құрамдас бөлігі болып табылады. Барлығы дерлік құжатталған – қауіпсіздік саясатынан бастап БАҚ түгендеу журналына дейін. Құжаттаманың өзекті, ағымдағы жағдайды көрсететін және дәйекті түрде болуы маңызды. Құпиялылық талаптары кейбір құжаттарды (мысалы, жүйенің осалдықтары мен қатерлерін талдауды қамтитын) сақталуына қолданылады, ал тұтастық пен қолжетімділік талаптары басқаларға қолданылады, мысалы, апатты қалпына келтіру жоспары (қиын жағдайда жоспарды табу керек және оқыңыз). Техникалық қызмет көрсету - бұл қауіпсіздікке өте маңызды қатер. Күнделікті техникалық қызмет көрсетуді жүзеге асыратын қызметкер жүйеге эксклюзивті рұқсат алады және іс жүзінде оның қандай әрекеттерді орындайтынын бақылау өте қиын. Бұл жерде жұмысты орындаушыларға деген сенім дәрежесі бірінші орынға шығады. Ұйым қабылдаған қауіпсіздік саясаты ақпараттық қауіпсіздік режимін бұзуды анықтауға және бейтараптандыруға бағытталған жедел шаралар кешенін көздеуге тиіс. Мұндай жағдайларда іс-әрекеттер реттілігін алдын ала жоспарлау маңызды, өйткені шаралар шұғыл және келісілген түрде қабылдануы керек. Қауіпсіздікті бұзуға жауап берудің үш негізгі мақсаты бар: оқиғаны оқшаулау және келтірілген зиянды азайту; қайталанатын бұзушылықтардың алдын алу. Оқиғаны локализациялау және зиянды азайту талабы көбінесе қылмыскерді анықтау ниетімен қақтығыстар туғызады. Ұйымның қауіпсіздік саясатына алдын ала басымдық беру керек. Тәжірибе көрсеткендей, зиянкесті анықтау өте қиын болғандықтан, біздің ойымызша, ең алдымен залалды азайту туралы қамқорлық жасау керек. Ешбір ұйым табиғи себептерден, зиянды әрекеттерден, немқұрайлылықтан немесе біліксіздіктен туындаған ауыр жазатайым оқиғалардан иммунитетке ие емес. Сонымен қатар, әрбір ұйымда басшылық маңызды деп санайтын функциялар бар, олар қандай болса да орындалуы керек. Қалпына келтіруді жоспарлау жазатайым оқиғаларға дайындалуға, олардан болатын зиянды азайтуға және жұмыс істеу қабілетінің ең аз мөлшерін сақтауға мүмкіндік береді. Ақпараттық қауіпсіздік шараларын шабуылдардың алдын алуға, анықтауға немесе оның салдарын жоюға бағытталғанына қарай үш топқа бөлуге болатынын ескеріңіз. Іс-шаралардың көпшілігі профилактикалық сипатта болады. Қалпына келтіруді жоспарлау процесін келесі кезеңдерге бөлуге болады: ұйымның маңызды функцияларын анықтау, басымдықтарды белгілеу; маңызды функцияларды орындау үшін қажетті ресурстарды анықтау; ықтимал жазатайым оқиғалардың тізбесін анықтау; қалпына келтіру стратегиясын әзірлеу; таңдалған стратегияны жүзеге асыруға дайындық; стратегияны тексеру. Қалпына келтіру жұмыстарын жоспарлау кезінде ұйымның жұмысын толығымен сақтау әрқашан мүмкін емес екенін білу керек. Ұйым өз бет-бейнесін жоғалтатын маңызды функцияларды анықтау керек, тіпті маңызды функциялардың ішінде мүмкіндігінше тез және тиімді болуы үшін басымдық беру керек. минималды құныжазатайым оқиғадан кейін жұмысын қалпына келтіру. Маңызды функцияларды орындау үшін қажетті ресурстарды анықтау кезінде олардың көпшілігі компьютерлік емес сипатта екенін есте сақтаңыз. Бұл кезеңде жұмысқа әртүрлі профильдегі мамандарды тарту қажет. Осылайша, бар көп саныақпараттық қауіпсіздікті қамтамасыз етудің әртүрлі әдістері. Ең тиімдісі - осы әдістердің барлығын бір кешенде қолдану. Бүгінгі таңда қауіпсіздіктің заманауи нарығы ақпараттық қауіпсіздік құралдарымен қаныққан. Бағалы қағаздар нарығының бар ұсыныстарын үнемі зерттей отырып, көптеген компаниялар ақпараттық қауіпсіздік жүйесіне бұрын инвестицияланған қаражаттың жеткіліксіздігін, мысалы, жабдықтар мен бағдарламалық қамтамасыз етудің ескіруіне байланысты көреді. Сондықтан олар бұл мәселенің шешімін іздеуде. Мұндай екі нұсқа болуы мүмкін: бір жағынан, бұл үлкен инвестицияларды қажет ететін корпоративтік ақпаратты қорғау жүйесін толығымен ауыстыру, ал екіншіден, қолданыстағы қауіпсіздік жүйелерін жаңғырту. Бұл мәселенің соңғы шешімі ең арзан болып табылады, бірақ ол жаңа мәселелерді тудырады, мысалы, келесі сұрақтарға жауап беруді талап етеді: қолда бар аппараттық құралдан қалған ескінің үйлесімділігін қалай қамтамасыз ету керек бағдарламалық құралдарқауіпсіздік, ақпараттық қауіпсіздік жүйесінің жаңа элементтері; гетерогенді қауіпсіздік құралдарын орталықтандырылған басқаруды қалай қамтамасыз ету керек; компанияның ақпараттық тәуекелдерін бағалау және қажет болған жағдайда қайта бағалау. 2-тарау. Ақпараттық қауіпсіздік жүйесін талдау 1 Кәсіпорынның қызмет ету аясы және қаржылық нәтижелерін талдау «Газпром» ААҚ – әлемдік энергетикалық компания. Негізгі қызмет түрлері газды, газ конденсатын және мұнайды барлау, өндіру, тасымалдау, сақтау, өңдеу және сату, сондай-ақ жылу және электр энергиясын өндіру және сату болып табылады. Газпром өз миссиясын тұтынушыларды табиғи газбен, энергия ресурстарының басқа түрлерімен және оларды өңдеу өнімдерімен сенімді, тиімді және теңгерімді жеткізуде көреді. Газпром әлемдегі ең бай табиғи газ қорына ие. Оның әлемдік газ қорындағы үлесі 18%, орыс тілінде 70% құрайды. Газпромның үлесіне дүниежүзілік газ өндірудің 15% және ресейлік газ өндірудің 78% тиесілі. Қазіргі уақытта компания Ямал түбегінің, Арктикалық шельфтің, Шығыс Сібір мен Қиыр Шығыстың газ ресурстарын игеру бойынша ауқымды жобаларды, сондай-ақ шетелде көмірсутектерді барлау және өндіру бойынша бірқатар жобаларды белсенді түрде жүзеге асыруда. Газпром ресейлік және шетелдік тұтынушыларды сенімді газбен жабдықтаушы болып табылады. Компания әлемдегі ең ірі газ тасымалдау желісіне иелік етеді - бір жүйеұзындығы 161 мың км-ден асатын Ресейге газ жеткізу. Ішкі нарықта Газпром сататын газдың жартысынан көбін сатады. Сонымен қатар, компания алыс және жақын шетелдің 30 елін газбен қамтамасыз етеді. Газпром Ресейдегі сұйытылған табиғи газды жалғыз өндіруші және экспорттаушы болып табылады және әлемдегі СТГ өндірісінің шамамен 5% қамтамасыз етеді. Компания Ресей Федерациясындағы бес ірі мұнай өндірушілердің бірі болып табылады, сонымен қатар өз аумағындағы генерациялайтын активтердің ең ірі иесі болып табылады. Олардың жалпы белгіленген қуаты ресейлік энергетикалық жүйенің жалпы белгіленген қуатының 17% құрайды. Стратегиялық мақсат – жаңа нарықтарды дамыту, қызметті әртараптандыру және жеткізу сенімділігін қамтамасыз ету арқылы «Газпром» ААҚ-ын әлемдік энергетикалық компаниялар арасында көшбасшы ретінде құру. Компанияның соңғы екі жылдағы қаржылық көрсеткіштерін қарастырайық. Кәсіпорын қызметінің нәтижелері 1-қосымшада келтірілген. 2010 жылғы 31 желтоқсандағы жағдай бойынша сатудан түскен түсім 2495557 миллион рубльді құрады, бұл көрсеткіш 2011 жылғы деректермен салыстырғанда әлдеқайда төмен, яғни 3296656 миллион рубль. 2011 жылдың 30 қыркүйегінде аяқталған тоғыз айда өткен жылдың сәйкес кезеңімен салыстырғанда сатудан түскен түсім (акциз, ҚҚС және кедендік баждарды шегергенде) 801 099 миллион рубльге немесе 32%-ға өсіп, 3 296 656 миллион рубльді құрады. 2011 жылдың қорытындысы бойынша газды таза сату жалпы таза сатудың 60%-ын құрады (өткен жылдың сәйкес кезеңінде 60%). Газды сатудан түскен таза кіріс 1 495 335 млн. рубльден өсті. жылға 1 987 330 миллион рубльге дейін. 2011 жылдың сәйкес кезеңіне немесе 33%-ға. Еуропаға және басқа елдерге газ сатудан түскен таза кіріс өткен жылдың сәйкес кезеңімен салыстырғанда 258 596 миллион рубльге немесе 34 пайызға өсіп, 1 026 451 миллион рубльді құрады. Еуропаға және басқа елдерге газ сатудың жалпы өсуі орташа бағаның өсуіне байланысты болды. 2011 жылдың 30 қыркүйегінде аяқталған тоғыз айда рубльдегі орташа баға (кедендік төлемдерді қоса алғанда) 2010 жылдың сәйкес кезеңімен салыстырғанда 21%-ға өсті. Сонымен қатар, газ сату өткен жылдың сәйкес кезеңімен салыстырғанда 8%-ға өсті. Бұрынғы Кеңес Одағы елдеріне газ сатудан түскен таза кіріс 2010 жылдың сәйкес кезеңімен салыстырғанда 168 538 миллион рубльге немесе 58 пайызға өсіп, 458 608 миллион рубльді құрады. Бұл өзгеріс негізінен 2011 жылдың 30 қыркүйегінде аяқталған тоғыз айда бұрынғы Кеңес Одағына газ сатудың бір жылмен салыстырғанда 33%-ға артуына байланысты болды. Сонымен қатар, рубльдегі орташа баға (кеден баждарын қосқанда, ҚҚС-сыз) өткен жылдың сәйкес кезеңімен салыстырғанда 15%-ға өсті. Ресей Федерациясында газды сатудан түскен таза кіріс өткен жылдың сәйкес кезеңімен салыстырғанда 64 861 миллион рубльге немесе 15 пайызға өсіп, 502 271 миллион рубльді құрады. Бұл негізінен өткен жылдың сәйкес кезеңімен салыстырғанда газдың орташа бағасының 13%-ға өсуіне байланысты, бұл белгіленген тарифтердің өсуіне байланысты. Федералдық қызметтарифтер бойынша (FTS). Мұнай және газ өнімдерін сатудан түскен таза түсім (акциз, ҚҚС және кедендік баждарды есептемегенде) 213 012 миллион рубльге немесе 42 пайызға өсіп, 717 723 миллион рубльді құрады. өткен жылдың сәйкес кезеңімен салыстырғанда. Бұл өсім негізінен мұнай және газ өнімдеріне әлемдік бағаның өсуі және өткен жылдың сәйкес кезеңімен салыстырғанда сатылған көлемдердің артуы есебінен болып отыр. «Газпром Нефть» тобының кірісі өңделген мұнай өнімдерін сатудан түскен жалпы таза кірістің сәйкесінше 85% және 84% құрады. Электр және жылу энергиясын сатудан түскен таза түсім (ҚҚС есептемегенде) 38 097 миллион рубльге немесе 19 пайызға өсіп, 237 545 миллион рубльді құрады. Электр және жылу энергиясын сатудан түсетін түсімдердің ұлғаюы негізінен электр және жылу энергиясына тарифтердің көтерілуімен байланысты. жылу энергиясы, сондай-ақ электр және жылу энергиясын сату көлемінің ұлғаюы. Шикі мұнай мен газ конденсатын сатудан түскен таза кіріс (акциз, ҚҚС және кедендік баждарды есептемегенде) 23 072 миллион рубльге немесе 16%-ға өсіп, 164 438 миллион рубльді құрады. салыстырғанда 141 366 млн. өткен жылдың сәйкес кезеңі үшін. Негізінен бұл өзгеріс мұнай мен газ конденсатының қымбаттауынан болды. Сонымен қатар, өзгеріс газ конденсатын сату көлемінің артуына байланысты болды. Шикі мұнайды сатудан түскен түсім 133 368 миллион рубльді құрады. және 121 675 миллион рубль болды. тиісінше 2011 және 2010 жылдары шикі мұнай мен газ конденсатын сатудан түскен таза түсімде (акциздерді, ҚҚС және кедендік баждарды шегергенде). Газ тасымалдау қызметтерін сатудан түскен таза табыс (ҚҚС есептемегенде) 67,195 миллион рубльмен салыстырғанда 15,306 миллион рубльге немесе 23 пайызға өсіп, 82,501 миллион рубльді құрады. өткен жылдың сәйкес кезеңі үшін. Бұл өсім негізінен тәуелсіз жеткізушілер үшін газ тасымалдау тарифтерінің өсуімен, сондай-ақ ұлғаюымен байланысты ѐ м газ тасымалдау тәуелсіз жеткізушілер үшін өткен жылдың сәйкес кезеңімен салыстырғанда. Басқа кірістер 19 617 миллион рубльге немесе 22%-ға өсіп, 107 119 миллион рубльді құрады. салыстырғанда 87 502 млн. өткен жылдың сәйкес кезеңі үшін. Нақты жеткізілімсіз сауда операцияларына жұмсалған шығындар 837 миллион рубльді құрады. руб. кіріспен салыстырғанда 5 786 млн. өткен жылдың сәйкес кезеңі үшін. Операциялық шығындарға келетін болсақ, олар 23 пайызға өсіп, 2 119 289 миллион рубльді құрады. 1 726 604 миллион рубльмен салыстырғанда. өткен жылдың сәйкес кезеңі үшін. Өткізуден түскен кірістегі операциялық шығыстардың үлесі 69%-дан 64%-ға дейін төмендеді. Еңбек шығындары 18 пайызға өсіп, 267 377 миллион рубльді құрады. 227 500 миллион рубльмен салыстырғанда. өткен жылдың сәйкес кезеңі үшін. Бұл өсім негізінен орташа жалақының өсуіне байланысты. Талданатын кезеңдегі амортизация 9% немесе 17 026 миллион рубльге өсіп, 184 610 миллион рубльмен салыстырғанда 201 636 миллион рубльді құрады. өткен жылдың сәйкес кезеңі үшін. Өсу негізінен негізгі қорлар базасын кеңейту есебінен болды. Жоғарыда аталған факторлардың нәтижесінде сатудан түскен пайда 401 791 миллион рубльге немесе 52 пайызға өсіп, 1 176 530 миллион рубльді құрады. 774 739 миллион рубльмен салыстырғанда. өткен жылдың сәйкес кезеңі үшін. 2011 жылдың 30 қыркүйегінде аяқталған тоғыз айда сатудан түскен пайда маржасы 31%-дан 36%-ға дейін өсті. Осылайша, «Газпром» ААҚ әлемдік энергетикалық компания болып табылады. Негізгі қызмет түрлері газды, газ конденсатын және мұнайды барлау, өндіру, тасымалдау, сақтау, өңдеу және сату, сондай-ақ жылу және электр энергиясын өндіру және сату болып табылады. Кәсіпорынның қаржылық жағдайы тұрақты. Тиімділік көрсеткіштері оң динамикаға ие. 2 Кәсіпорынның ақпараттық қауіпсіздік жүйесінің сипаттамасы «Газпром» АҚ Корпоративтік қауіпсіздік қызметінің бөлімшелерінің негізгі қызметін қарастырайық: «Газпром» ААҚ және оның еншілес ұйымдары мен ұйымдарының инженерлік-техникалық қорғау құралдарының жүйелері мен кешендерін, ақпараттық қауіпсіздік жүйелерін (АЖ) дамытудың мақсатты бағдарламаларын әзірлеу, ақпаратты және техникалық қауіпсіздік; ақпараттық қауіпсіздік жүйелерін, сондай-ақ ITSO жүйелері мен кешендерін әзірлеу бойынша жұмыстардың тапсырыс берушісінің өкілеттіктерін жүзеге асыру; ақпараттық қауіпсіздік жүйелерін, ITSO жүйелері мен кешендерін дамыту жөніндегі іс-шараларды іске асыруға, сондай-ақ ақпараттық қауіпсіздік жүйелері бөлігінде АТ құруға арналған бюджеттік өтінімдерді және бюджеттерді қарау және бекіту; ақпараттық қауіпсіздік жүйелерін, ITSO жүйелері мен кешендерін әзірлеуге арналған жобалау және жоба алдындағы құжаттаманы, сондай-ақ ақпараттық қауіпсіздік талаптары бөлігінде ақпараттық жүйелерді, байланыс және телекоммуникация жүйелерін құруға (жаңғыртуға) арналған техникалық шарттарды қарау және бекіту; ИТСО жүйелері мен кешендерінің, АЖ қолдау жүйелерінің (сондай-ақ оларды құру бойынша жұмыстар мен көрсетілетін қызметтер) белгіленген талаптарға сәйкестігін бағалау бойынша жұмыстарды ұйымдастыру; бойынша жұмыстарды үйлестіру және бақылау техникалық қорғауақпарат. Газпром жеке деректерді қорғауды қамтамасыз ететін жүйені құрды. Дегенмен, федералдық атқарушы органдардың қолданыстағы заңдар мен үкімет қаулыларын әзірлеу кезінде бірқатар нормативтік құқықтық актілерді қабылдауы жеке деректерді қорғаудың қазіргі жүйесін жетілдіруді қажет етеді. Осы мәселені шешу мүддесінде ғылыми-зерттеу жұмыстарының аясында А тұтас сызыққұжаттар. Ең алдымен, бұл Газпром Даму Ұйымының стандарттарының жобалары: «Газпром» ААҚ, оның еншілес ұйымдары мен ұйымдарының дербес деректерінің ақпараттық жүйелерін жіктеу әдістемесі»; «Газпром» ААҚ, оның еншілес ұйымдары мен ұйымдарының дербес деректерінің ақпараттық жүйелерінде оларды өңдеу кезінде жеке деректерге қауіп төндіретін үлгі». Бұл құжаттар Ресей Федерациясы Үкіметінің 2007 жылғы 17 қарашадағы № 781 «Дербес деректердің ақпараттық жүйелерінде оларды өңдеу кезінде олардың қауіпсіздігін қамтамасыз ету туралы ережені бекіту туралы» қаулысының талаптарын ескере отырып әзірленген. «Газпром» АҚ ISPD көпшілігін қамтитын арнайы жүйелер класына қатысты. Сонымен қатар, қазіргі уақытта «Газпром» ААҚ, оның еншілес ұйымдары мен ұйымдарының дербес деректерінің ақпараттық жүйелерінде өңделетін дербес деректерді ұйымдастыру және техникалық қорғау туралы ереже» әзірленуде. Айта кету керек, «Газпром» ААҚ стандарттау жүйесі шеңберінде ақпараттық қауіпсіздік жүйесінің стандарттары әзірленді, бұл сонымен қатар «Газпром» ААҚ ақпараттық жүйелерінде өңделетін ЖҚ қорғау міндеттерін шешуге мүмкіндік береді. Ақпараттық қауіпсіздік жүйесіне қатысты жеті стандарт бекітіліп, ағымдағы жылы қолданысқа енгізілуде. Стандарттар «Газпром» ААҚ және оның еншілес компаниялары үшін ақпараттық қауіпсіздік жүйелерін құруға қойылатын негізгі талаптарды анықтайды. Атқарылған жұмыстардың нәтижелері материалдық, қаржылық және зияткерлік ресурстарды неғұрлым ұтымды пайдалануға, қажетті нормативтік және әдістемелік қамтамасыз етуді қалыптастыруға, тиімді қорғау құралдарын енгізуге және нәтижесінде «Газпром» ақпаратында өңделген жеке деректердің қауіпсіздігін қамтамасыз етуге мүмкіндік береді. жүйелер. «Газпром» ААҚ ақпараттық қауіпсіздігін талдау нәтижесінде ақпараттық қауіпсіздікті қамтамасыз етуде келесі кемшіліктер анықталды: ұйымның кешенді қауіпсіздік саясатын реттейтін бірде-бір құжаты жоқ; желінің көлемін және пайдаланушылар санын (100-ден астам) ескере отырып, жүйе әкімшілігі, ақпараттық қауіпсіздік және техникалық көмекбір адам басқарады; маңыздылық дәрежесі бойынша ақпараттық активтерді жіктеу жоқ; ақпараттық қауіпсіздік рөлдері мен міндеттері лауазымдық нұсқаулықтарға кірмейді; қызметкермен жасалған еңбек шартында жұмыс берушінің де, ұйымның да ақпараттық қауіпсіздік міндеттемелері туралы тармақ жоқ; ақпараттық қауіпсіздік саласында кадрларды даярлау жүргізілмейді; сыртқы қауіптерден қорғау бөлігінде: сыртқы және экологиялық қатерлерден туындаған апаттардан кейін деректерді қалпына келтірудің типтік процедуралары жоқ; серверлік бөлме жеке бөлме болып табылмайды, бөлмеге екі бөлімнің мәртебесі беріледі (жүйелік әкімшіден басқа серверлік бөлмеге тағы бір адам кіре алады); кабельдерге қосылған рұқсат етілмеген құрылғыларға техникалық зондтау және физикалық тексеру жүргізілмейді; кіру электронды рұқсаттама арқылы жүзеге асырылып, барлық ақпарат арнайы базаға енгізілгеніне қарамастан, оны талдау жүргізілмейді; зиянды бағдарламалардан қорғау тұрғысынан: сыртқы желілерден де, олар арқылы да файлдарды қабылдаумен байланысты және алынбалы тасымалдағышта қамтылған тәуекелдерден қорғаудың ресми саясаты жоқ; зиянды бағдарламадан қорғау тұрғысынан: жергілікті желіні зиянды кодтан қорғау бойынша нұсқаулар жоқ; қозғалысты басқару жоқ, кіру мүмкіндігі бар пошта серверлерісыртқы желілер; барлық сақтық көшірмелер сервер бөлмесінде сақталады; қауіпті, есте сақтау оңай құпия сөздер қолданылады; пайдаланушылардың құпия сөздерді алуы ешқандай жолмен расталмаған; анық мәтіндегі құпия сөздерді әкімші сақтайды; парольдер өзгермейді; ақпараттық қауіпсіздік оқиғалары туралы хабарлау тәртібі жоқ. Осылайша, осы кемшіліктердің негізінде ақпараттық қауіпсіздік саясатына қатысты нормативтік құқықтық актілердің кешені әзірленді, оның ішінде: қызметкерлерді жұмысқа қабылдау (жұмыстан босату) және жүйе ресурстарына қол жеткізу үшін қажетті өкілеттіктерді беру (айыру) бойынша саясат; желі қолданушыларының жұмысы кезіндегі жұмысына қатысты саясат; құпия сөзді қорғау саясаты; физикалық қорғау саясаты; Интернет саясаты; және әкімшілік қауіпсіздік шаралары. Осы ережелерді қамтитын құжаттар ұйым басшылығының қарауында. 3 Қолданыстағы ақпараттық қауіпсіздік жүйесін жаңғырту бойынша шаралар кешенін әзірлеу «Газпром» ААҚ ақпараттық қауіпсіздік жүйесін талдау нәтижесінде жүйенің елеулі осалдықтары анықталды. Қауіпсіздік жүйесінің анықталған кемшіліктерін жою бойынша шараларды әзірлеу үшін біз бөлектейміз келесі топтарқорғалатын ақпарат: қызметкерлердің жеке басын анықтауға мүмкіндік беретін жеке өмірі туралы мәліметтер (жеке деректер); кәсіби қызметке қатысты және банктік, аудиторлық және коммуникациялық құпияны құрайтын мәліметтер; кәсіби қызметке қатысты және «қызметтік пайдалануға арналған» ақпарат ретінде белгіленген мәліметтер; жойылуы немесе өзгертілуі жұмыс тиімділігіне кері әсер ететін ақпарат, ал қалпына келтіру қосымша шығындарды талап етеді. Әкімшілік шараларға қатысты келесі ұсыныстар әзірленді: ақпараттық қауіпсіздік жүйесі Ресей Федерациясының заңнамасына және мемлекеттік стандарттарға сәйкес болуы керек; ақпаратты өңдеу құралдары орнатылған немесе сақталатын, қорғалатын ақпаратпен жұмыс жүргізілетін ғимараттар мен үй-жайлар сигнализация және қол жеткізуді басқару құралдарымен күзетілуі және қорғалуы тиіс; Қызметкерді жұмысқа қабылдаған кезде ақпараттық қауіпсіздік мәселелері бойынша персоналды оқыту (парольді қорғаудың маңыздылығын және пароль талаптарын түсіндіру, вирусқа қарсы бағдарламалық қамтамасыз ету бойынша брифинг және т.б.) ұйымдастырылуы керек; 6-12 ай сайын қызметкерлердің ақпараттық қауіпсіздік саласындағы сауаттылығын арттыруға бағытталған тренингтер өткізу; жүйенің аудиті және әзірленген нормативтік құқықтық актілердің түзетілуі жыл сайын, 1 қазанда немесе кәсіпорын құрылымына елеулі өзгерістер енгізілгеннен кейін бірден жүргізілуі керек; әрбір пайдаланушының ақпараттық ресурстарға қол жеткізу құқықтары құжатталған болуы керек (қажет болған жағдайда қол жеткізу менеджерден жазбаша өтініште сұралады); ақпараттық қауіпсіздік саясатын бағдарламалық құрал әкімшісі мен бағдарламалық құрал әкімшісі қамтамасыз етуі керек аппараттық құрал, олардың әрекеттерін топ басшысы үйлестіреді. Құпия сөз саясатын құрастырайық: оларды шифрланбаған түрде сақтамаңыз (оларды қағазға, қалыпты түрде жазбаңыз мәтіндік файлжәне т.б.); құпия сөзді ашу немесе жария ету күдігі туындаған жағдайда өзгерту; ұзындығы кемінде 8 таңба болуы керек; пароль таңбалары бас және кіші әріптерден, сандардан және арнайы таңбалардан тұруы керек, құпия сөз оңай есептелетін таңбалар тізбегін (аттары, жануарлардың аттары, күндер) қамтымауы керек; 6 айда бір рет өзгерту (парольді жоспардан тыс өзгерту өзгертуді бастаған оқиға туралы хабарлама алғаннан кейін дереу жасалуы керек); құпия сөзді өзгерткен кезде бұрын қолданылғандарды таңдай алмайсыз (парольдер кемінде 6 позицияға ерекшеленуі керек). Вирусқа қарсы бағдарламаларға және вирустарды анықтауға қатысты саясатты құрастырайық: лицензияланған антивирустық бағдарламалық қамтамасыз ету әрбір жұмыс станциясында орнатылуы керек; жаңарту антивирустық мәліметтер базасыИнтернетке қосылу мүмкіндігі бар жұмыс станцияларында – күніне бір рет, Интернетке қосылусыз – аптасына кемінде бір рет; орнату автоматты тексерувирустарды анықтауға арналған жұмыс станциялары (тексеру жиілігі – аптасына бір рет: жұма, 12:00); тек әкімші вирусқа қарсы дерекқорларды жаңартуды немесе вирустарды сканерлеуді тоқтата алады (көрсетілген пайдаланушы әрекеті үшін құпия сөзді қорғау орнатылуы керек). Физикалық қорғауға қатысты саясатты құрастырайық: кабельдерге қосылған рұқсат етілмеген құрылғыларға 1-2 ай сайын жүргізілетін техникалық зондтау және физикалық тексеру; желілік кабельдер деректерді рұқсатсыз ұстаудан қорғалған болуы керек; жабдықта орын алған барлық күдікті және нақты ақаулар туралы жазбалар журналда сақталуы керек Әрбір жұмыс орны үздіксіз қуат көзімен жабдықталуы керек. Ақпаратты резервтеуге қатысты саясатты анықтайық: резервтік көшірмелер үшін әкімшілік ғимараттан тыс орналасқан жеке бөлме бөлінуі керек (бөлме электронды құлыппен және дабылмен жабдықталуы керек); Ақпаратты брондау әр жұма сайын сағат 16:00-де жасалуы керек. Қызметкерлерді жұмысқа қабылдау/жұмыстан шығару саясаты келесі нысанда болуы керек: Кез келген кадрлық өзгерістер (жалдау, жоғарылату, қызметкерді жұмыстан шығару және т.б.) 24 сағат ішінде әкімшіге хабарлануы керек, ол өз кезегінде жарты мерзім ішінде кәсіпорын ресурстарына қол жеткізу құқықтарын шектеу жүйесіне тиісті өзгерістер енгізуі керек. жұмыс күні; жаңа қызметкерге әкімші нұсқау беруі керек, оның ішінде қауіпсіздік саясатымен және барлық қажетті нұсқаулармен танысу, жаңа қызметкердің ақпаратқа қол жеткізу деңгейін басшы тағайындайды; қызметкер жүйеден шыққан кезде оның идентификаторы мен құпия сөзі жүйеден жойылады, жұмыс станциясында вирус бар-жоғы тексеріледі, қызметкер қол жеткізген деректердің тұтастығы талданады. Жергілікті ішкі желімен (LAN) және деректер қорымен (МҚ) жұмыс істеу саясаты: жұмыс орнында және жергілікті желіде жұмыс істеген кезде қызметкер тек өзінің қызметтік қызметіне тікелей қатысты тапсырмаларды орындауы керек; қызметкер вирустардың пайда болуы туралы антивирустық бағдарламалардың хабарламалары туралы әкімшіге хабарлауы керек; әкімшілерден басқа ешкімге жұмыс станциялары мен басқа LAN түйіндерінің дизайнына немесе конфигурациясына өзгерістер енгізуге, қандай да бір бағдарламалық құралды орнатуға, жұмыс станциясын қараусыз қалдыруға немесе оған рұқсат етілмеген адамдардың кіруіне рұқсат беруге болмайды; әкімшілерге екі бағдарламаны үнемі жұмыс істеп тұруға кеңес беріледі: ARP-спофинг шабуылын анықтау утилитасы және снайфер, оларды пайдалану желіні ықтимал бұзушының көзімен көруге және қауіпсіздік саясатын бұзушыларды анықтауға мүмкіндік береді; «Кез келген адамға нақты тапсырмаларды орындау үшін қажетті артықшылықтар беріледі» принципіне негізделген әкімші белгілеген бағдарламалардан басқа бағдарламаларды іске қосуға жол бермейтін бағдарламалық құралды орнату керек. Барлық пайдаланылмаған компьютер порттары аппараттық немесе бағдарламалық құрал өшірілген болуы керек; Бағдарламалық құрал жүйелі түрде жаңартылуы керек. Интернет саясаты: әкімшілерге мазмұны қызметтік міндеттерді орындаумен байланысты емес ресурстарға, сондай-ақ мазмұны мен бағыты халықаралық және ресейлік заңнамамен тыйым салынған ресурстарға қол жеткізуді шектеу құқығы берілген; қызметкерге алдымен вирустарды тексермей файлдарды жүктеуге және ашуға тыйым салынады; Компания қызметкерлері барған ресурстар туралы барлық ақпарат журналда сақталуы керек және қажет болған жағдайда бөлім басшыларына, сондай-ақ басшылыққа берілуі мүмкін. электрондық хат-хабарлардың және қызметтік құжаттардың құпиялылығы мен тұтастығы ЭСҚ пайдалану арқылы қамтамасыз етіледі. Сонымен қатар, біз «Газпром» ОАО қызметкерлері үшін парольдерді құрастырудың негізгі талаптарын тұжырымдаймыз. Құпия сөз үйдің кілттері сияқты, тек ол ақпараттың кілті. Үшін кәдімгі кілттержоғалту, ұрлау, тапсыру өте жағымсыз бейтаныс. Бұл құпия сөзге де қатысты. Әрине, ақпараттың қауіпсіздігі құпия сөзге ғана байланысты емес, бірақ оны қамтамасыз ету үшін бірқатар орнату қажет арнайы параметрлержәне тіпті бұзудан қорғайтын бағдарлама жазуы мүмкін. Бірақ парольді таңдау - бұл ақпаратты қорғауға бағытталған шаралар тізбегінде бұл сілтеме қаншалықты күшті болатыны пайдаланушыға ғана байланысты болатын әрекет. ) құпия сөз ұзақ болуы керек (8-12-15 таңба); ) сөздіктегі сөз (кез келген, тіпті арнайы терминдер мен жаргондар сөздігі), жалқы есім немесе латын макетімен терілген кириллица сөзі (латын - kfnsym) болмауы керек; ) оны меншік иесімен байланыстыруға болмайды; ) мерзімді түрде немесе қажетіне қарай өзгереді; ) әр түрлі ресурстарда (яғни әрбір ресурс үшін - енгізу үшін) осы сипатта пайдаланылмайды хат жәшігі, операциялық жүйенемесе дерекқор - сіз өзіңіздің, басқалардан өзгеше, парольді пайдалануыңыз керек); ) есте сақтауға болады. Сөздіктен сөздерді таңдау қажет емес, өйткені сөздік шабуылын жасаған шабуылдаушы секундына жүздеген мың сөздерді сұрыптай алатын бағдарламаларды пайдаланады. Иесімен байланысты кез келген ақпаратты (туған күні, иттің аты, анасының қыз аты және ұқсас «құпия сөздер») оңай тануға және болжауға болады. Бас және кіші әріптерді, сондай-ақ сандарды пайдалану шабуылдаушыға құпия сөзді табуды әлдеқайда қиындатады. Құпия сөз құпия болуы керек, егер құпия сөз біреуге белгілі болды деп күдіктенсеңіз, оны өзгертіңіз. Оларды мезгіл-мезгіл өзгерту өте пайдалы. Қорытынды Зерттеу келесі қорытындылар жасауға және ұсыныстарды тұжырымдауға мүмкіндік берді. Кәсіпорынның ақпараттық қауіпсіздік саласындағы проблемаларының негізгі себебі олардың іске асырылуын және тиімділігін бағалауды кейіннен бақылаумен ұйымдастырушылық, техникалық, қаржылық шешімдерді қамтитын ақпараттық қауіпсіздік саясатының жоқтығы болып табылады. Ақпараттық қауіпсіздік саясатының анықтамасы құжатталған шешімдердің жиынтығы ретінде тұжырымдалған, оның мақсаты ақпаратты және онымен байланысты ақпараттық тәуекелдерді қорғауды қамтамасыз ету болып табылады. Ақпараттық қауіпсіздік жүйесін талдау елеулі кемшіліктерді анықтады, оның ішінде: серверлік бөлмеде резервтік көшірмелерді сақтау, резервтік сервер негізгі серверлермен бір бөлмеде орналасады; парольді қорғауға қатысты тиісті ережелердің болмауы (пароль ұзындығы, оны таңдау және сақтау ережелері); Желіні бір адам басқарады. Кәсіпорындардың ақпараттық қауіпсіздігін басқару саласындағы халықаралық және ресейлік тәжірибені жалпылау оны қамтамасыз ету үшін қажет деген қорытындыға әкелді: қаржылық, материалдық және моральдық зиян келтіруге ықпал ететін қауіпсіздік қатерлерін, себептері мен шарттарын болжау және уақтылы анықтау; ақпараттық ресурстарға қауіпсіздік қатерлерін жүзеге асырудың ең аз тәуекелі бар қызмет үшін жағдай жасау және әртүрлі түрлерізақымдану; құқықтық, ұйымдастырушылық және техникалық құралдар негізінде ақпараттық қауіпсіздік қатерлеріне тиімді әрекет ету механизмі мен жағдайларын жасау. Жұмыстың бірінші тарауында негізгі теориялық аспектілері қарастырылады. Ақпараттық қауіпсіздік саласындағы бірнеше стандарттарға шолу берілген. Әрқайсысы бойынша және жалпы қорытындылар жасалып, ақпараттық қауіпсіздік саясатын қалыптастырудың ең қолайлы стандарты таңдалады. Екінші тарауда ұйымның құрылымы қарастырылады, ақпараттық қауіпсіздікпен байланысты негізгі проблемалар талданады. Нәтижесінде ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз ету бойынша ұсыныстар қалыптастырылды. Сондай-ақ ақпараттық қауіпсіздікті бұзуға байланысты келеңсіз оқиғалардың алдын алу шаралары қарастырылды. Әрине, ұйымның ақпараттық қауіпсіздігін қамтамасыз ету – тұрақты бақылауды қажет ететін үздіксіз процесс. Ал табиғи түрде қалыптасқан саясат қорғаныстың темір кепілі емес. Саясатты жүзеге асырудан басқа, оның сапалы орындалуын тұрақты бақылау, сондай-ақ компанияда немесе прецеденттерде кез келген өзгерістер болған жағдайда жақсарту қажет. Ұйымға қызметі осы функциялармен тікелей байланысты болатын қызметкерді (қорғау әкімшісі) жалдау ұсынылды. Әдебиеттер тізімі ақпарат қауіпсіздігінің қаржылық зияны 1. Белов Е.Б. Ақпараттық қауіпсіздік негіздері. Е.Б. Белов, В.П. Элк, Р.В. Мещеряков, А.А. Шелупанов. -М.: Жедел желі– Телеком, 2006. – 544с Галатенко В.А. Ақпараттық қауіпсіздік стандарттары: дәрістер курсы. Тәрбиелік жәрдемақы. - 2-ші басылым. М.: INTUIT.RU «Интернет университеті Ақпараттық технологиялар«, 2009. - 264 б. Глатенко В.А. Ақпараттық қауіпсіздік стандарттары/ ашық жүйелер 2006.- 264 ж Долженко А.И. Ақпараттық жүйелерді басқару: Оқу курсы. - Ростов-на-Дону: РГЭУ, 2008.-125 б. Калашников А. Ішкі ақпараттық қауіпсіздіктің корпоративтік саясатын қалыптастыру #«ақтау»>. Малюк А.А. Ақпараттық қауіпсіздік: ақпараттық қауіпсіздіктің концептуалды-әдістемелік негіздері / М.2009-280ж Майвальд Е., Желі қауіпсіздігі. Оқу құралы // Эком, 2009.-528 б. Семкин С.Н., Беляков Е.В., Гребенев С.В., Козачок В.И., Ақпараттандыру объектілерінің ақпараттық қауіпсіздігін ұйымдастырушылық қамтамасыз ету негіздері // Helios ARV, 2008, 192 б.
Ақпараттық қауіпсіздік бойынша дипломдық жұмыстың өзекті тақырыбын қалай таңдауға болады. Ақпараттық қауіпсіздік бойынша диплом тақырыбының өзектілігі, сарапшылардың ұсыныстары, дипломдық жұмыс тақырыптарының мысалдары.
Ақпараттық қауіпсіздік бойынша дипломдық жұмыстың тақырыптарыәдетте автоматтандырылған жүйелердің, компьютерлік жүйелердің, сондай-ақ ақпараттық және телекоммуникациялық жүйелердің ақпараттық қауіпсіздігін зерттеумен байланысты.
Мұндай зерттеу нысаны ретінде қатер немесе ақпараттық қауіпсіздік қатерлерінің тобы таңдалады, оларды іске асыру қарастырылып отырған жүйеге зиян келтіруі мүмкін (бұл туралы толығырақ). Дипломдық жұмысты дайындау кезінде жүйені зерттеп, 1-суретке сәйкес шабуылды жүзеге асыру алгоритмін құру керек.
1-сурет – Ақпараттық қауіпсіздік тақырыбы бойынша диплом жазу кезінде талдау жүргізу алгоритмі
Нақты кәсіпорынның немесе аумақтың жүйесі бөлінген желіұйымдар.
Таңдаудың өзектілігі ақпараттық қауіпсіздік бойынша дипломдық жұмыс тақырыптарыақпараттық қауіпсіздікке қауіп-қатерлердің кең ауқымы мен зиянкестер мен олар жүзеге асыратын шабуылдар санының үздіксіз өсуіне байланысты.
Қорытынды біліктілік жұмыстарының (WQR) және ғылыми зерттеу жұмыстарының (R&D) ең өзекті тақырыптары, сондай-ақ ақпараттық қауіпсіздік бойынша диплом тақырыптарыкелесі кестеде көрсетуге болады.
| 1. Зерттелетін жүйенің ақпараттық қауіпсіздік жүйесін жасау | 2. Ақпараттық қауіпсіздікке анықталған қатерлер жүзеге асырылатын зерттелетін жүйелердің тәуекелдерін талдау |
| 3. Интрузияны анықтау жүйесін жобалау (жалған ақпараттық жүйелер) | 4. Ақпараттық қауіпсіздікке анықталған қатерлерден ақпаратты қорғау |
| 5. Зерттелетін жүйеге анықталған шабуылдарды жүзеге асыру тәуекелдерін бағалау | 6. Даму математикалық модельзиянкес/анықталған ақпараттық қауіпсіздік шабуылы |
| 7. Зерттелетін жүйенің дербес деректерін қорғауды ұйымдастыру | 8. Зерттелетін жүйенің құпия ақпаратын қорғауды ұйымдастыру |
| 9. Кәсіпорынның/ұйымның зерттелетін жүйесіндегі ақпараттық қауіпсіздікке қатерлерді талдау | 10. Зерттелетін жүйенің қолданыстағы ақпараттық қауіпсіздік жүйесін жаңғырту |
| 11. Зерттелетін кәсіпорынның қорғау профилін жасау | 12. Әлеуметтік желілердегі эпидемиологиялық процестерді жүзеге асырудың тәуекелділігін бағалау |
| 13. Зерттелетін жүйеде анықталған ақпараттық қауіпсіздік шабуылдарын жүзеге асыру үшін тәуекелдерді басқару | 14. Кәсіпорында ақпаратты қорғау құралдары мен әдістерінің тиімділігін бағалау |
| 15. Зерттелетін жүйедегі ақпаратты қорғау шараларының тиімділігін бағалау | 16. WRC: DLP-жүйелерін компанияның ақпараттық қауіпсіздігін қамтамасыз ету құралы ретінде пайдалану |
| 17. Дипломдық жұмыс: Кәсіпорындағы ақпараттық қауіпсіздікті талдау және жетілдіру | 18. Зерттеу: Компьютерлік компания мысалында ақпараттық қауіпсіздік саясатын жасау |
| 19. Дипломдық жұмыс: Кәсіпорындағы қойма есебін автоматтандыру және ақпараттық қауіпсіздік | 20. Диплом: Коммерциялық банкте ақпараттық қауіпсіздік саясатын әзірлеу |
| 21. Бакалаврлық жұмыс: Халықтың төлем құжаттарының электрондық мұрағатының ақпараттық қауіпсіздігін ұйымдастыру. | 22. Бакалавриаттың қорытынды жұмысы: Мәліметтер қорының ақпараттық қауіпсіздігін қамтамасыз ету бойынша қорғау шараларының кешенін әзірлеу |
| 23. Диплом: Мемлекеттік бюджеттік мекеменің ақпараттық қауіпсіздігінің аудиті жөніндегі нормативтік құқықтық актілерді әзірлеу | 24. Магистрлік диссертация: Ақпараттық қауіпсіздікті және ақпаратты қорғауды қамтамасыз ету бойынша ұйымдастыру шараларының кешенін әзірлеу |
| 25. Дипломдық жұмыс: Кәсіпорында ақпараттық қауіпсіздікті жақсарту мақсатында қолданыстағы жүйені жаңғырту | 26. Магистрлік жұмыс: Кәсіпорындағы ақпараттық қауіпсіздік жүйесінің қауіпсіздік деңгейін арттыру |
| 27. Ғылыми-зерттеу жұмысы: Компанияда ақпараттық қауіпсіздік жүйесін жасау және енгізу | 28. Диплом: Көлік кәсіпорнында ақпараттық қауіпсіздік жүйесін әзірлеу және енгізу |
| 29. Дипломдық жұмыс: Service Desk жүйесін автоматтандыру және ақпараттық қауіпсіздік | 30. Қорытынды біліктілік жұмысы: SEO компаниясының жергілікті желі үшін ақпараттық қауіпсіздік жүйесін әзірлеу |
фокус (профиль) «Ақпараттық жүйелер мен технологиялар»
оқыту бағыттары 09.03.02 «Ақпараттық жүйелер және технологиялар»
конструкторлық және технологиялық,
қызмет көрсету және пайдалану.
1. Кәсіпорынның ақпараттық инфрақұрылымын виртуализациялау (кәсіпорын атауы).
2. Linux тобының ОЖ және еркін таратылатын ДҚБЖ негізінде кәсіпорынның ақпараттық жүйелерін интеграциялау.
3. Кәсіпорынның (кәсіпорынның атауы) корпоративтік ақпараттық жүйесін жаңғырту және әкімшілендіру.
4. Кәсіпорынның (кәсіпорынның атауы) ақпараттық желісін жаңарту, басқару және жүргізу.
5. Кәсіпорынның (процесінің) ақпараттық-бақылау жүйесін жаңғырту (кәсіпорынның немесе процестің атауы) және оны қолдау шараларын әзірлеу.
6. Кәсіпорынның интранет-порталын әзірлеу (кәсіпорын атауы).
7. Кәсіпорынның ақпараттық желісін жобалау (кәсіпорын атауы).
8. Кәсіпорынның корпоративтік ақпараттық жүйесін жобалау (кәсіпорын атауы).
9. Кәсіпорынның (кәсіпорынның атауы) корпоративтік веб-порталын әзірлеу және жүргізу.
10. Кәсіпорынның (кәсіпорынның атауы) ақпаратты өңдеудің автоматтандырылған жүйесін жасау.
11. Процесті басқару кәсіпорны үшін ақпараттық жүйенің тәжірибелік үлгісін әзірлеу (процестің немесе объектінің атауы).
12. Кәсіпорынның (кәсіпорынның атауы) ақпараттық жүйесіне веб-сервис әзірлеу.
13. Кәсіпорынның анықтамалық-ақпараттық жүйесін әзірлеу (кәсіпорын атауы).
14. Кәсіпорынның (кәсіпорынның атауы) ақпараттық басқару жүйесінің үлгісі мен дизайнын жасау.
15. Жүйеге қызмет көрсетуге арналған технологиялық бағдарламалық қамтамасыз етуді әзірлеу (жүйенің атауы).
16. Микропроцессорлық құрылғының бағдарламалық жасақтамасын жасау (құрылғы аты).
17. Кәсіпорынның ақпараттық жүйесіне (кәсіпорын атауы) арналған мобильді клиенттік қосымшаны әзірлеу.
18. Өндіріс процесінің параметрлерін оңтайландыру үшін имитациялық модельді құру.
19. Кәсіпорын (кәсіпорын атауы) үшін құралдар (виртуализация құралдарының атауы) және деректерді беру арналары негізінде виртуалды серверлерді жобалау.
20. Кәсіпорынның (кәсіпорын атауы) ақпараттық (корпоративтік ақпараттық) жүйесінің модулін (кіші жүйесін) (іске асырылатын функцияның атауы) әзірлеу.
қосулы білім беру бағдарламасыҚолданбалы бакалавриат
оқу бағыттары 09.03.04 «Бағдарламалық қамтамасыз ету инженериясы»
өндірістік-технологиялық,
ұйымдастырушылық және басқарушылық,
қызмет көрсету және пайдалану.
1. Сайтты талдауға арналған қосымшаны әзірлеу, әлеуметтік желі, портал.
2. Дизайн және бағдарламалық қамтамасыз етуді енгізуақпараттық (ақпараттық-анықтамалық) жүйе (жүйенің тағайындалуы немесе қызметі).
3. Құрылғының микробағдарламасын әзірлеу (құрылғы атауы).
4. Жүйеге қолданбалы бағдарламалық қамтамасыз етуді әзірлеу (жүйенің атауы).
5. Бағдарламалық қамтамасыз етуді және ақпараттық жүйені әзірлеу (пайдалану аймағының немесе іске асырылатын процестің атауы).
6. Бағдарламалық құралды тестілеу және жөндеу әдістемесін әзірлеу (бағдарламалық құрал атауы).
7. 1С: Enterprise кәсіпорын жүйесі (кәсіпорын атауы) үшін бағдарламалық модульді (модуль атауы) әзірлеу.
8. Кәсіпорынның (кәсіпорынның атауы) ақпараттық-бақылау жүйесіне арналған веб-сервисті әзірлеу.
9. Ақпараттық-өлшеу жүйесін қолдауға қосымшаны әзірлеу (жүйені тағайындау).
10. 1С: Кәсіпорын жүйесінің веб-қызметтерінің ақпараттық қауіпсіздігін зерттеу.
11. Кәсіпорынның (кәсіпорынның атауы) ақпараттық (корпоративтік ақпараттық) жүйесінің модулін (кіші жүйесін) (іске асырылатын функцияның атауы) әзірлеу.
12. Жүйе үшін серверлік (клиенттік) бағдарламалық қамтамасыз етуді әзірлеу (жүйенің атауы).
Бітіру біліктілік жұмыстарының тақырыптары
қолданбалы бакалавриаттың білім беру бағдарламасы бойынша
фокус (профиль) «Ақпараттық қызмет»
:қызмет көрсету,
1. Кәсіпорынның (кәсіпорынның атауы) жергілікті желісін жаңғырту, басқару және қызмет көрсету.
2. Кәсіпорынның ақпараттық жүйесін жаңғырту және басқару (кәсіпорын атауы).
3. Кәсіпорынның ақпараттық жүйесін жобалау (кәсіпорын атауы).
4. Кәсіпорынның (кәсіпорынның атауы) жергілікті желісін пайдалану технологиясын жобалау және әзірлеу.
5. Кәсіпорынның ақпараттық жүйесін (кәсіпорын атауы) аппараттық-бағдарламалық қорғауды жобалау.
6. Құрылғыны диагностикалау, жөндеу және техникалық қызмет көрсету технологиясын әзірлеу (құрылғының атауы, құрылғылар тобы, өлшеуіш аппаратура, есептеуіш блок, компьютерлік немесе микропроцессорлық жүйе, жергілікті желі).
7. Компанияның веб-сайтын әзірлеу және басқару (компанияның атауы).
8. Кәсіпорынның деректер желісінің сервер конфигурациясын әзірлеу (кәсіпорын атауы).
9. Кәсіпорынның ақпараттық жүйесінің деректер базасын әзірлеу және басқару (кәсіпорын атауы).
10. Кәсіпорынның интранет-порталын әзірлеу (кәсіпорын атауы).
11. 1С: Enterprise платформасында өндірістік процестерді басқарудың ішкі жүйесін әзірлеу.
12. Кәсіпорынның (кәсіпорын атауы) таратылатын ақпараттық жүйесінің (жүйенің атауы) жобасын әзірлеу.
13. Ақпараттық-анықтамалық есеп жүйесін әзірлеу (есеп нысанының атауы).
14. Кәсіпорынның ақпараттық жүйесі үшін WCF қызметін әзірлеу.
15. Кәсіпорынның ақпараттық жүйесінің моделін әзірлеу (кәсіпорынның атауы немесе қызмет саласы).
16. Бағдарламалық қамтамасыз етуді тестілеу және жөндеу әдістемесін әзірлеу (бағдарламалық құрал атауы).
17. Бағдарламалық қамтамасыз етуді және ақпараттық жүйені әкімшілендіру және техникалық қызмет көрсету бойынша іс-шаралар кешенін әзірлеу (пайдалану аймағының немесе іске асырылатын процестің атауы).
18. Мәліметтерді беру жүйесін модельдеу және зерттеу (жүйенің атауы).
19. 1С: Кәсіпорын платформасында таратылатын ақпараттық жүйенің параметрлерін зерттеу және оңтайландыру.
20. Электрондық (компьютерлік) жабдықты жөндеу және техникалық қызмет көрсету бойынша кәсіпорын бөлімшесін (кәсіпорын атауы) жобалау және техникалық құралдарды пайдалануды ұйымдастыру.
21. Кәсіпорын (кәсіпорын атауы) үшін құралдар (виртуализация құралдарының атауы) және деректерді беру арналары негізінде виртуалды серверлерді жобалау.
22. Жүйе үшін серверлік (клиенттік) бағдарламалық қамтамасыз етуді әзірлеу (жүйенің атауы).
Бітіру біліктілік жұмыстарының тақырыптары
қолданбалы бакалавриаттың білім беру бағдарламасы бойынша
бағдар (профиль) «Электрондық технология қызметі»
оқыту бағыттары 43.03.01 «Қызмет көрсету»
Кәсіби қызмет түрлері:қызмет көрсету,
өндірістік және технологиялық.
1. Құрылғыны диагностикалау, жөндеу және техникалық қызмет көрсету технологиясын әзірлеу (электрондық құрылғының, микропроцессордың немесе телекоммуникациялық жүйенің, өлшеуіш аппаратураның, деректерді беру желісінің атауы).
2. Даму электрондық жүйе(жүйенің атауы) кәсіпорын (кәсіпорын атауы, сауда-кеңсе орталығы, ойын-сауық кешені).
3. Ақпаратты енгізу-шығару құрылғысын жасау (құрылғы аты).
4. Микропроцессорлық құрылғының бағдарламалық жасақтамасын жасау (құрылғы аты).
5. Кәсіпорынның (кәсіпорынның атауы) корпоративтік телекоммуникациялық желісін дамыту.
6. Цифрлық құрылғыны (модульді) әзірлеу (құрылғының, модульдің атауы; іске асырылатын функцияның атауы).
7. Электрондық жабдықты қоректендіру құрылғысын әзірлеу (жабдық атауы).
8. Объектілерді бақылау (параметрлік бақылау) технологиясын әзірлеу (объектілердің атауы).
9. Сымсыз датчикті әзірлеу және зерттеу (өлшенген параметрдің атауы).
10. Электрондық (компьютерлік) жабдықтарды жөндеу және техникалық қызмет көрсету бойынша кәсіпорын бөлімшесін (кәсіпорынның атауы) жобалау және техникалық құралдарды пайдалануды ұйымдастыру.
11. Кәсіпорынның біріккен қауіпсіздік жүйесінің (кәсіпорын атауы) ішкі жүйесін (ішкі жүйенің атауы) әзірлеу.
Бітіру біліктілік жұмыстарының тақырыптары
қолданбалы бакалавриаттың білім беру бағдарламасы бойынша
бағдар (профиль) «Сигналдарды беру, қабылдау және өңдеудің радиотехникалық құралдары»
оқыту бағыттары 11.03.01 «Радиотехника»
дизайн,
қызмет көрсету және пайдалану.
1. Жүйенің құрылғысын (блок, модуль; қабылдау, жіберу, қабылдағыш) әзірлеу (жүйе атауы).
2. Радиоэлектрондық жабдықтың сымсыз интерфейсін әзірлеу (жабдық атауы).
3. Зерттеу виртуалды модельортадағы құрылғы (құрылғы түрін көрсетіңіз) (бағдарламалық құрал ортасының атауы).
4. Кәсіпорынның біріккен қауіпсіздік жүйесінің ішкі жүйесін (ішкі жүйенің атауы) әзірлеу (кәсіпорын атауы.
Бітіру біліктілік жұмыстарының тақырыптары
қолданбалы бакалавриаттың білім беру бағдарламасы бойынша
бағдар (профиль) «Ұялы байланыс жүйелері»
оқу бағыттары 11.03.02 «Инфокоммуникациялық технологиялар және коммуникациялық жүйелер»
Кәсіби қызмет түрлері:дизайн.
1. Кәсіпорынның телекоммуникациялық желісін жобалау (кәсіпорын атауы).
2. Кәсіпорынның телекоммуникациялық желісін басқару және қызмет көрсету (кәсіпорын атауы).
3. Блокты әзірлеу (кодек, вокодер, синхрондау құрылғысы, сәйкес құрылғы) цифрлық телекоммуникациялық жүйе.
4. Даму сымсыз адаптеринтерфейстер (интерфейстердің аты).
5. Жүйенің ақпаратты өңдеу құрылғысын (құрылғы түрін) әзірлеу (жүйенің атауы).
6. Жүйе интерфейсінің құрылғысын жасау (жүйелердің атауы).
7. Жүйе контроллерін әзірлеу (жүйенің атауы).
8. Телекоммуникациялық жүйе үшін синхрондау құрылғысын жасау (жүйенің атауы).
9. Телекоммуникациялық жабдықты сынауға арналған технологиялық құрылғыны әзірлеу (жабдықтың атауы).
10. Технологияға негізделген сымсыз желіні (желі сегментін) дамыту (технология атауы).
11. Объектінің параметрлерін қашықтан бақылау технологиясын әзірлеу (параметрлердің атауы).
12. Объектінің күйін (объектінің атауы) басқару үшін сенсорлық желіні әзірлеу.
13. Телекоммуникациялық құрылғының параметрлерін диагностикалау және өлшеу технологиясын жасау (құрылғының атауы, жүйе, желі, орта).
14. Жүйенің қабылдағыш құрылғысын әзірлеу (жүйенің атауы).
15. Телекоммуникациялық құрылғыларды әзірлеу қашықтықтан басқаруобъект (объектінің атауы).
16. Телекоммуникациялық жабдығының құрамдас бөліктерінің параметрлік өлшегішін әзірлеу (компоненттер атауы).
17. Ақпаратты енгізу-шығару сымсыз құрылғысын әзірлеу (құрылғы атауы).
18. Инфокоммуникациялық технологияның аппараттық және бағдарламалық қамтамасыз етуді әзірлеу (технологияның атауы).
19. Жүйедегі ақпаратты беру хаттамаларын зерттеу (жүйенің атауы).
20. Жүйе үшін цифрлық сигналдарды өңдеу әдістерін зерттеу (жүйенің атауы).
21. Инфокоммуникациялық технологияны және объектілерді басқару жүйесін әзірлеу (объектінің атауы).
22. Параметрді (параметр атауын) өлшеуге арналған сымсыз жүйені әзірлеу.
23. Кәсіпорын (кәсіпорын атауы) үшін құралдар (виртуализация құралдарының атауы) және деректерді беру арналары негізінде виртуалды серверлерді жобалау.
Бітіру біліктілік жұмыстарының тақырыптары
орта кәсіптік білім берудің білім беру бағдарламасына сәйкес
09.02.01 «Компьютерлік жүйелер мен кешендер» мамандығы
Кәсіби модульдер:PM.01 Цифрлық құрылғыларды жобалау,
PM.02 Микропроцессорлық жүйелерді қолдану, перифериялық оқытуды орнату және конфигурациялау,
PM.03 Техникалық қызмет көрсетужәне компьютерлік жүйелер мен кешендерді жөндеу.
1. Ақауларды диагностикалау және құралдардың техникалық жай-күйін бақылау (есептеу техникасының аппараттық және бағдарламалық құралдарының атауы немесе компьютерлік желі).
2. Құралдарды алу, конфигурациялау және баптау (компьютерлік технология немесе компьютерлік желі үшін аппараттық және бағдарламалық құралдардың атауы).
3. Кәсіпорынның (кәсіпорын атауы) компьютерлік желісінің ақпараттық қауіпсіздігін қамтамасыз ету бойынша шаралар кешенін әзірлеу.
4. Кәсіпорынның контактісіз сәйкестендіру жүйесін әзірлеу (кәсіпорын атауы).
5. Кәсіпорынның ақпараттық жүйесін жүргізу және басқару (кәсіпорын атауы).
6. Кәсіпорынның (кәсіпорынның атауы) компьютерлік желісіне техникалық қызмет көрсету және басқару.
7. Сервистік аппараттық-бағдарламалық құралдарға қызмет көрсету және қорларға қызмет көрсету (компьютерлік жабдықтың немесе компьютерлік желінің атауы).
8. Бағдарламалық құралды орнату, бейімдеу және техникалық қызмет көрсету (бағдарламалық құрал атауы).
9. Цифрлық (микропроцессорлық) құрылғыны (модульді) әзірлеу және зерттеу (құрылғының, модульдің атауы).
10. Тестілеу технологиясын әзірлеу және бағдарламалық құралды кешенді жөндеу (бағдарламалық құрал атауы).
Түлектерге арналған дипломдық біліктілік жұмыстарының тақырыптары
фокус (профиль) «Компьютерлік технологиялар мен ақпараттық жүйелердің элементтері мен құрылғылары»
оқыту бағыттары 09.04.01 «Информатика және есептеу техникасы»
Кәсіби қызмет түрлері:дизайн,
зерттеу.
1. Ақпаратты тасымалдауға арналған желілік хаттамаларды модельдеу және зерттеу (ақпарат түрі көрсетілген).
2. Жүйелердің параметрлерін жақсартудың компьютерлік әдістерін зерттеу және әзірлеу (параметрлері немесе параметрлері және жүйенің түрі көрсетілген).
3. Компьютерлік модельдеу, ақпараттық немесе телекоммуникациялық жүйелерді зерттеу және оңтайландыру (жүйелер класы көрсетілген).
4. Сымсыз сенсорлық желілерді құруды зерттеу және оңтайландыру.
5. Құрылысты зерттеу және талдау сымсыз желілерЗаттардың интернеті.
6. Тиімділік критерийлерін әзірлеу және бөлуді зерттеу виртуалды машиналарбұлттық инфрақұрылым ішінде.
7. Таратылатын ақпараттық (немесе ақпараттық-өлшеу) жүйелерді әзірлеу, зерттеу және тиімділігін бағалау (жүйелердің көлемі немесе түрі көрсетіледі).
8. Жабдықтың сымсыз интерфейсін әзірлеу және зерттеу (жабдықтың атауы).
9. Объектілерді бақылау құрылғысын жасау және зерттеу (объектілердің атауы).
10. Объектінің (объектінің атауы) күйін бақылауға арналған құрылғыларды әзірлеу және зерттеу.
11. Құрылғыларды диагностикалаудың аппараттық және бағдарламалық құралдарын жасау (құрылғылардың атауы).
12. Сымсыз датчикті әзірлеу және зерттеу (өлшенген параметрдің атауы).
13. Параметрлерді түрлендіргіштерді (параметр атауы) кодқа түзету алгоритмдерін зерттеу.
14. Объектіні басқару жүйесінің параметрлерін бақылау алгоритмдері мен бағдарламалық қамтамасыз етуді әзірлеу (объектінің атауы).
15. Әзірлеу және зерттеу сымсыз құрылғыларобъектіні басқару (нысан атауы).
16. Параметрлік түрлендіргіштерді модельдеу және зерттеу (параметрлердің атауы).
17. Бағдарламалық қамтамасыз етудің сапасын бағалау әдістері (бағдарламалық қамтамасыз етудің мақсаты көрсетіледі).
18. Жұмыс өнімділігін жақсарту мақсатында (шарттары көрсетілген) құрылғылардың жұмысын (құрылғылардың атауы) зерттеу (сипаттамалары көрсетілген).
19. Жұмыс өнімділігін арттыру мақсатында құрылғыларды талдау және синтездеу әдістерін әзірлеу (құрылғылардың атауы) (сипаттамалары көрсетілген).
Бітіру біліктілік жұмыстарының тақырыптары
академиялық магистратураның білім беру бағдарламасына сәйкес
фокус (профиль) «Бағдарламалық қамтамасыз етуді және ақпараттық жүйелерді әзірлеу»
оқу бағыттары 09.04.04 «Бағдарламалық қамтамасыз ету инженериясы»
зерттеу,
дизайн.
1. Жоғары оқу орындарында сабақ кестесін көрсету үшін REST сервисін әзірлеу және зерттеу.
2. Тест құралдарын зерттеу және әзірлеу бағдарламалық өнімдерұялы байланыс операторлары үшін.
3. Кездейсоқ құрылымды жүйелер теориясы негізінде адамның физиологиялық күйін тану.
4. MDA тәсілі негізінде сатуды автоматтандырудың ақпараттық жүйесін жобалау (кәсіпорын атауы).
5. Бағдарламалық құралдардың сапасын бағалаудың бағдарламалық-ақпараттық жүйесін әзірлеу және зерттеу (бағдарламалық құралдардың атауы көрсетіледі).
6. Бөлінген бағдарламалық қамтамасыз етуді және ақпараттық жүйелерді әзірлеу (жүйенің қолданылу саласы көрсетілген) және тиімділік критерийлері негізінде оларды оңтайландыру мүмкіндіктерін зерделеу (критерийлер көрсетілген).
7. Жүйенің енгізу/шығару құрылғыларын бағдарламалық қамтамасыз етуді әзірлеу (жүйенің атауы).
8. Бағдарламалық қамтамасыз етудің және ақпараттық жүйенің құрамдас бөліктерінің қауіпсіздігін зерттеу (жүйенің атауы).
Ақпараттық қауіпсіздік жүйесі мамандығы бойынша дипломдық жұмыстың өзекті тақырыбын қалай таңдауға болады. Ақпараттық қауіпсіздік жүйесі бойынша диплом тақырыбының өзектілігі, сарапшылардың ұсыныстары, дипломдық жұмыс тақырыптарының мысалдары.
Тақырыптар ақпараттық қауіпсіздік жүйесі мамандығы бойынша дипломзерттелетін объектінің ақпараттық қауіпсіздігін қамтамасыз етуге бағытталған әртүрлі ғылыми-зерттеу және тәжірибелік мәселелерді шешуге арналған. Мұндай жұмыстың проблемасы әртүрлі ақпараттық жүйелер мен олардың құрамдас бөліктеріне ақпараттық қауіпсіздік шабуылдарының көбеюімен байланысты.
Зерттеу объектісі компьютерлік жүйе, жүйелік құрамдас бөлік, бизнес-процесс, кәсіпорын, бөлме немесе айналымдағы деректер болуы мүмкін.
Зерттеу пәні ретінде ақпараттық қауіпсіздік әдістерін, қауіпті талдау әдістерін немесе ақпараттық қауіпсіздік жүйесінің тиімділігін бағалауды бөліп көрсетуге болады.
Мақсат ретінде ақпараттық қауіпсіздік жүйелері мамандығы бойынша диссертацияТәуекел модельдерін және қорғаныс алгоритмін пайдалану мүмкіндігін құруды немесе зерттеуді бөліп көрсетуге болады (бұл туралы толығырақ).
байланысты жұмыстардың тапсырмалары ақпараттық қауіпсіздік жүйесі мамандығы бойынша дипломдық жұмыстардың тақырыптары, келесі тізім арқылы анықталуы мүмкін:
1. Кездейсоқ шамаларға қатысты гипотезаларды және олардың дәлелдеулерін қоса алғанда, статистикалық деректерді таңдау және зерттеу.
2. Зақымдану түрлері мен функцияларын негіздеу, тәуекелдің аналитикалық моделін құру.
3. Сезімталдық коэффициенттері негізінде тәуекелдің динамикалық моделін қалыптастыру.
Келесі негізгі ойларды қорғауға болады ақпараттық қауіпсіздік жүйелері мамандығы бойынша дипломдық жұмыстар:
1. Аймақтар туралы алға қойылған гипотезаларды дәлелдеу сенімділігі тиімді қолдануақпаратты қорғау міндеттері туралы заң.
2. Шығындар берілген үлестірімге ие жүйе құрамдастары үшін тәуекелдің аналитикалық үлгілері.
3. Құрамдастары анықталған шабуылдардың бірлескен немесе бірлескен емес әсерлеріне ұшырайтын жүйелер үшін тәуекелдің аналитикалық үлгілері.
4. Динамикалық модельдер, жүйе сезімталдық функциялары.
5. Жүйелік тәуекелдерді басқару алгоритмдері.
Мұндай тақырыптар бойынша дипломдарды зерттеудің ғылыми жаңалығын келесі тізімде ресімдеуге болады.
1. Ақпараттық қауіпсіздікті қамтамасыз ету міндеттері үшін заңнаманы тиімді қолдану бағыттары алғаш рет зерттелді.
2. Зақымдану берілген үлестірімге ие құрамдастардың бұрын зерттелмеген аналитикалық тәуекел үлгілері қарастырылады.
3. Ақпараттық қауіпсіздіктің анықталған шабуылдарына ұшыраған таратылған жүйелердің аналитикалық тәуекел үлгілері зерттелді.
4. Алғаш рет арнайы тарату және ақпараттық қауіпсіздік шабуылдары үшін тәуекелдерді басқару жүйелерін алгоритмдеу жүргізілді.
Практикалық құндылық келесідей болуы мүмкін:
1. Алға қойылған гипотезаларды дәлелдеу ақпараттық қауіпсіздік мәселелерін шешу үшін зерттеу нәтижелерін негізді қолдануға мүмкіндік береді.
2. Алынған аналитикалық тәуекел үлгілері болашақта ақпараттық қауіпсіздік шабуылдарының барлық спектрін талдауға қабілетті күрделі үлгілерді әзірлеуге мүмкіндік береді.
3. Динамикалық модельдер, компьютерлік жүйелердің сезімталдық функциялары тәуекел деңгейінің өзгеруімен ақпараттық қауіпсіздік мәселелерін шешуге мүмкіндік береді.
Қорытынды біліктілік жұмыстарының (WQR) және ғылыми зерттеу жұмыстарының (R&D) ең өзекті тақырыптары, сондай-ақ ақпараттық қауіпсіздік жүйесі мамандығы бойынша дипломдық тақырыптаркелесі кестеде көрсетуге болады.
| 1. Әуежайдың автоматтандырылған жүйесінің басқару арналары бөлігінде ақпаратты қорғау | 2. Жалған ақпараттық жүйелер мысалында басып кіруді анықтау жүйесін енгізу |
| 3. Ақпаратты қорғау жүйесін жобалау және дамыту | 4. DDOS шабуылдарынан қорғау |
| 5. Электрондық пошта деңгейінде кәсіпорын ақпаратын қорғау | 6. Географиялық бөлінген кәсіпорынның ақпараттық қауіпсіздігі |
| 7. Өнеркәсіптік кәсіпорындағы ақпаратты кешенді қорғау | 8. Ақпараттық қауіпсіздік компьютерлік жүйерұқсат етілмеген қол жеткізу қауіптерін жүзеге асыру кезінде |
| 9. Белгісіздік жағдайында ақпараттық қауіпсіздікті басқару жүйесінің тәуекел үлгісін әзірлеу | 10. Ақпараттық және телекоммуникациялық желілерді қорғау жүйесін жаңғырту |
| 11. Жылжымалы жұмыс станцияларының ақпараттық қауіпсіздігін қамтамасыз ету | 12. Вирустық шабуылдарды жүзеге асыру жағдайында дербес деректерді қорғауды ұйымдастыру |
| 13. Петри желілері негізінде ұйымның қауіпсіздік қатерлеріне қарсы іс-қимылды ұйымдастыру | 14. Компьютерлік желілердегі ақпараттық қауіпсіздікті қамтамасыз етудің негізгі бағыттары, принциптері мен әдістері |
| 15. Қашықтан шабуылдарды жүзеге асыратын шабуылдаушы әрекеттерінің типтік моделін құру | 16. Дискрециялық модельдер негізіндегі банктердің ақпараттық қауіпсіздігінің мәселелері |
| 17. Жасырын байланыс арналарын қолдануға қарсы әрекет ету алгоритмін құру | 18. M2M компоненттерінің өзара әрекеттесуінде ақпараттың қауіпсіздігін қамтамасыз ету бойынша қауіпсіздік шараларының кешенін әзірлеу |
| 19. Сезімтал стратегиялық кәсіпорынның ақпараттық қауіпсіздік жүйесін әзірлеу | 20. Банк жүйелеріндегі құпия ақпаратты қорғау жүйесін әзірлеу |
| 21. WRC: Компанияның клиент менеджерінің жұмыс орнын автоматтандыру және ақпараттық қауіпсіздік | 22. Дипломдық жұмыс: БТИ-дегі жылжымайтын мүлік тізілімінің электрондық мұрағатының ақпараттық қауіпсіздігін ұйымдастыру |
| 23. Бакалаврлық диссертация: Сауда-өндірістік кәсіпорында ақпараттық қауіпсіздік саясатын әзірлеу. | 24. Дипломдық жұмыс: Компанияның ақпараттық қауіпсіздік саясатын әзірлеу |
| 25. Диплом: Инвестициялық компанияда ақпараттық қауіпсіздікті қамтамасыз ету | 26. Диплом: Банктің ақпараттық қауіпсіздік жүйесіндегі ақпараттық қауіпсіздік аудиті |
| 27. Бакалавриаттың бітіру жұмысы: Хатшының автоматтандырылған жұмыс орнының ақпараттық қауіпсіздігін әзірлеу және қамтамасыз ету. | 28. Дипломдық жұмыс: Мемлекеттік органдарда ақпаратты қорғау және мәліметтерді қорғау бойынша шаралар кешенін әзірлеу. мекемелер |
| 29. Дипломдық жұмыс: Компанияда ақпараттық қауіпсіздіктің интеграцияланған жүйесін енгізу | 30. Дипломдық жұмыс: Кәсіпорындағы ақпараттық қауіпсіздік жүйесін жаңғырту |
| 31. Магистрлік диссертация: Қолданыстағы ақпараттық қауіпсіздік жүйесін оның қауіпсіздігін арттыру мақсатында жаңғырту | 32. Диплом: Ақпараттық қауіпсіздікті арттыру мақсатында қолданыстағы жүйені жаңғырту |
| 33. Диплом: Электрондық төлемдерді өңдеу жүйелерін енгізу және пайдалану кезінде ақпараттық қауіпсіздікті қамтамасыз ету | 34. Магистрлік диссертация: АБЖ енгізу арқылы кәсіпорынның ақпараттық қауіпсіздік деңгейін арттыру. |
| 35. Диплом: Компанияда ақпараттық қауіпсіздік саясатын әзірлеу | 36. Диплом: Коммерциялық ұйымда ақпараттық қауіпсіздікті қамтамасыз ету |
