Jak wybrać odpowiedni temat pracy magisterskiej z zakresu bezpieczeństwa informacji. Adekwatność tematu dyplomu z zakresu bezpieczeństwa informacji, rekomendacje ekspertów, przykładowe tematy pracy.

Tematy prac magisterskich z zakresu bezpieczeństwa informacji zwykle związane z badaniami nad bezpieczeństwem informacji systemy zautomatyzowane, systemy komputerowe oraz systemy informatyczne i telekomunikacyjne.

Jako przedmiot takich badań wybiera się zagrożenie lub grupę zagrożeń bezpieczeństwa informacji, których wdrożenie może zaszkodzić danemu systemowi (więcej na ten temat). Przygotowując pracę dyplomową należy zbadać system i zbudować algorytm realizacji ataku zgodnie z rysunkiem 1.

Rysunek 1 - Algorytm przeprowadzania analizy podczas pisania dyplomu na temat bezpieczeństwa informacji

System konkretnego przedsiębiorstwa lub terytorialny sieć rozproszona organizacje.

Trafność wyboru tematy prac magisterskich z zakresu bezpieczeństwa informacji Wynika to z szerokiego wachlarza zagrożeń bezpieczeństwa informacji oraz ciągłego wzrostu liczby intruzów i przeprowadzanych przez nich ataków.

Najistotniejsze tematy prac kwalifikacyjnych (WQR) i prac naukowo-badawczych (B+R), a także tematyka dyplomów z zakresu bezpieczeństwa informacji można zobaczyć w poniższej tabeli.

Zalecenia metodyczne przeznaczone są dla uczniów wszystkich form kształcenia specjalnościowego 10.02.01 (090905) i stanowią zbiór wymagań dotyczących organizacji, realizacji i obrony prac kwalifikacyjnych (WQR).

• federalny standard edukacyjny dla podstawowego i zaawansowanego szkolenia w specjalności 10.02.01 (090905) Organizacja i technologia bezpieczeństwa informacji,
• Ustawa federalna z dnia 29 grudnia 2012 r. Nr 273-FZ „O edukacji w Federacja Rosyjska»,
• procedurę przeprowadzania państwowej certyfikacji końcowej dla programy edukacyjne wykształcenie średnie zawodowe, zatwierdzone. zarządzeniem Ministerstwa Edukacji i Nauki Federacji Rosyjskiej z dnia 16 sierpnia 2013 r. nr 968 (zwanym dalej Procedurą prowadzenia GIA),
• postanowienia GBPOU „Wyższa Szkoła Technologiczna nr 34” „W sprawie trybu przeprowadzania państwowej certyfikacji końcowej dla programów kształcenia średniego zawodowego”,
• system zarządzania jakością.

1. POSTANOWIENIA OGÓLNE

Państwowe świadectwo końcowe absolwenta GBPOU w Moskwie „Kolegium Technologicznego nr 34” w specjalność 10.02.01(090905) Organizacja i technologia bezpieczeństwa informacjiobejmuje przygotowanie i obronę ostatecznej pracy kwalifikacyjnej.

Kontrola jakości Absolwenci są szkoleni w dwóch głównych obszarach:

• ocena poziomu opanowania dyscyplin naukowych, MDT i PM;
• ocena poziomu opanowania kompetencji.

Obszar działalności zawodowejabsolwenci. Specjalista ds. bezpieczeństwa informacji 10.02.01(090905) wykonuje prace związane z zapewnieniem kompleksowej ochrony informacji w oparciu o opracowane programy i metody. Gromadzi i analizuje materiały z instytucji, organizacji i przedsiębiorstw z branży w celu opracowania i podejmowania decyzji oraz środków zapewniających ochronę informacji oraz efektywne wykorzystanie automatycznej kontroli, wykrywania możliwe kanały przecieki informacji stanowiących tajemnice państwowe, wojskowe, urzędowe i handlowe. Analizuje istniejące metody i środki stosowane do kontroli i ochrony informacji oraz opracowuje propozycje ich doskonalenia i zwiększania skuteczności tej ochrony. Uczestniczy w badaniu obiektów ochrony, ich certyfikacji i kategoryzacji. Opracowuje i przygotowuje do zatwierdzenia projekty materiałów regulacyjnych i metodycznych regulujących prace z zakresu ochrony informacji, a także regulaminów, instrukcji i innych dokumentów organizacyjno-administracyjnych. Organizuje opracowywanie i terminowe składanie propozycji włączenia do odpowiednich sekcji długoterminowych i bieżących planów pracy i programów środków kontroli i ochrony informacji. Udziela opinii i opinii na temat projektów nowo budowanych i przebudowywanych budynków i budowli oraz innych opracowań z zakresu bezpieczeństwa informacji. Uczestniczy w przeglądzie specyfikacji technicznych projektów, projektów, technicznych i roboczych, zapewnia ich zgodność z aktualnymi dokumentami regulacyjnymi i metodologicznymi, a także w opracowywaniu nowych schematów obwodów aparatury sterowniczej, narzędzi automatyzacji sterowania, modeli i systemów bezpieczeństwa informacji , ocena poziomu technicznego i ekonomicznego oraz skuteczności proponowanych i wdrożonych rozwiązań organizacyjno-technicznych: organizowanie gromadzenia i analizy materiałów w celu opracowania i podjęcia działań zapewniających ochronę danych oraz zidentyfikowanie możliwych kanałów wycieku informacji o charakterze urzędowym, handlowym , tajemnice wojskowe i państwowe.

Przedmioty działalności zawodowejabsolwenci to:

• udział w planowaniu i organizacji prac w celu zapewnienia ochrony obiektu;
• organizacja pracy z dokumentacją, w tym poufną;
• stosowanie oprogramowania, sprzętu i technicznych środków ochrony informacji;
• udział we wdrażaniu zintegrowanego systemu ochrony obiektu;
• udział w gromadzeniu i przetwarzaniu materiałów w celu opracowania rozwiązań zapewniających ochronę informacji oraz efektywne wykorzystanie środków wykrywania ewentualnych kanałów wycieku informacji poufnych;
• udział w opracowaniu programów i metod organizacji bezpieczeństwa informacji w obiekcie;
• monitorowanie przestrzegania przez personel wymagań systemu ochrony informacji;
• udział w przygotowaniu dokumentów organizacyjno-administracyjnych regulujących prace w zakresie ochrony informacji;
• organizacja obiegu dokumentów, w tym elektronicznego, z uwzględnieniem poufności informacji.

Końcowa praca kwalifikacyjnaspecjalista ds. bezpieczeństwa informacji ma na celu usystematyzowanie i pogłębienie wiedzy, doskonalenie umiejętności i zdolności absolwenta w rozwiązywaniu złożonych złożonych problemów naukowo-technicznych z elementami badania naukowe, a także wykazać stopień przygotowania zawodowego absolwenta, jego zgodność z tym standardem edukacyjnym. WRC na kwalifikację „specjalista ds. bezpieczeństwa informacji” realizowane są w formie pracy dyplomowej lub pracy dyplomowej. Przedmiot WRC dla podstawowej formy kształcenia zakłada zgodność z treścią jednego lub więcej modułów zawodowych.

Cykl zawodowy specjalności10.02.01(090905) Organizacja i technologia bezpieczeństwa informacjizawiera 4 profesjonalne moduły:

1. Udział w planowaniu i organizacji pracy w celu zapewnienia ochrony obiektu.
2. Organizacja i technologia pracy z dokumentami poufnymi.
3. Zastosowanie sprzętowo-programowych i technicznych środków ochrony informacji.
4. Wykonywanie pracy w jednym lub kilku zawodach pracowników, stanowiskach pracowników.

Ostateczna praca kwalifikacyjna musi spełniać szereg obowiązkowych wymagań:

• wykazać poziom kształtowania kompetencji ogólnych i zawodowych;
• być odpowiedni i zorientowany na praktykę;
• odpowiadają opracowanemu zadaniu;
• zawierać analizę źródeł na dany temat z uogólnieniami i wnioskami, porównaniami i oceną różnych punktów widzenia;
• wykazać się poziomem gotowości absolwenta do jednego/kilku rodzajów aktywności zawodowej;
• spójność prezentacji, przekonywalność przedstawionego materiału faktograficznego;
• argumentacja wniosków i uogólnień.

W końcowej pracy kwalifikacyjnej student musi wykazać się rozwojem kompetencji ogólnych i zawodowych, w tym umiejętnością:

OK 1. Zrozum istotę i społeczne znaczenie swojego przyszłego zawodu, bądź wysoce zmotywowany do wykonywania czynności zawodowych w zakresie bezpieczeństwa informacji.

OK 2. Organizować własne działania, wybierać standardowe metody i metody wykonywania zadań zawodowych, oceniać ich skuteczność i jakość.

OK 3. Podejmuj decyzje w standardowych i niestandardowych sytuacjach i bądź za nie odpowiedzialny.

OK 4. Wyszukuj i wykorzystuj informacje niezbędne do efektywnej realizacji zadań zawodowych, rozwoju zawodowego i osobistego.

OK 5.

OK 6. Pracuj w zespole i w zespole, skutecznie komunikuj się z kolegami, kierownictwem, konsumentami.

OK 7. Bierz odpowiedzialność za pracę członków zespołu (podwładnych), wynik wykonania zadań.

OK 8. Samodzielnie określaj zadania rozwoju zawodowego i osobistego, angażuj się w samokształcenie, świadomie planuj zaawansowane szkolenia.

OK 9. Poruszanie się w warunkach częstych zmian technologii w działalności zawodowej.

OK 10.

OK 11. Stosować aparat matematyczny do rozwiązywania problemów zawodowych.

OK 12. Oceń znaczenie dokumentów wykorzystywanych w czynnościach zawodowych.

OK 13. Poruszanie się po strukturze federalnych władz wykonawczych, które zapewniają bezpieczeństwo informacji.

PM 01 Udział w planowaniu i organizacji prac w celu zapewnienia ochrony obiektu.

PC 1.1. Uczestniczyć w gromadzeniu i przetwarzaniu materiałów w celu opracowania rozwiązań zapewniających ochronę informacji oraz efektywne wykorzystanie środków wykrywania możliwych kanałów wycieku informacji poufnych.

PC 1.2. Uczestniczyć w opracowywaniu programów i metod organizacji bezpieczeństwa informacji w obiekcie.

PC 1.3. Zaplanuj i zorganizuj wdrażanie środków ochrony informacji.

PC 1.4. Uczestniczy we wdrażaniu opracowanych rozwiązań organizacyjnych w obiektach działalności zawodowej.

PC 1.5. Prowadzić ewidencję, przetwarzanie, przechowywanie, przekazywanie, wykorzystywanie różnych nośników informacji poufnych.

PC 1.6. Zapewnij środki ostrożności podczas wykonywania środków organizacyjnych i technicznych.

PC 1.7. Uczestniczyć w organizacji i prowadzeniu kontroli obiektów informatyzacji podlegających ochronie.

PC 1.8. Monitoruj zgodność personelu z wymaganiami reżimu bezpieczeństwa informacji.

PC 1.9. Uczestniczyć w ocenie jakości ochrony obiektu.

PM 02 Organizacja i technologia pracy z dokumentami poufnymi.

PC 2.1. Uczestniczyć w przygotowaniu dokumentów organizacyjno-administracyjnych regulujących pracę w zakresie ochrony informacji.

PC 2.2. Weź udział w organizacji i zapewnij technologię prowadzenia pracy biurowej z uwzględnieniem poufności informacji.

PK 2.3. Organizuj obieg dokumentów, w tym elektroniczny, mając na uwadze poufność informacji.

PC 2.4. zorganizować przechowywanie archiwalne poufne dokumenty.

PC 2.5. Przygotuj dokumentację dotyczącą operacyjnego zarządzania narzędziami bezpieczeństwa informacji i personelem.

PC 2.6. Prowadzić ewidencję robót i przedmiotów, które mają być chronione.

PC 2.7. Przygotuj dokumentację raportową związaną z działaniem narzędzi kontroli i ochrony informacji.

PC 2.8. Dokumentuj postęp i wyniki dochodzenia wewnętrznego.

PC 2.9. Korzystaj z regulacyjnych aktów prawnych, dokumentów regulacyjnych i metodologicznych dotyczących ochrony informacji.

PM 03 Zastosowanie oprogramowania, sprzętu i technicznych środków ochrony informacji.

PC 3.1. Stosować oprogramowanie, sprzęt i techniczne środki ochrony informacji na chronionych obiektach.

PC 3.2. Uczestniczyć w obsłudze systemów i środków ochrony informacji chronionych obiektów.

PC 3.3. Przeprowadzaj rutynową konserwację i naprawiaj awarie sprzętu ochronnego.

PC 3.4. Identyfikować i analizować możliwe zagrożenia bezpieczeństwa informacji obiektów.

PM 04 Wykonywanie pracy w jednym lub kilku zawodach pracowników, stanowiskach pracowników.

21299 Urzędnik

16199 „Operator komputerów elektronicznych i komputerów”

1. WYKONANIE KOŃCOWEJ PRACY KWALIFIKACYJNEJ

Praca kwalifikacyjna (WQR) – praca zaliczeniowa o charakterze dydaktyczno-badawczym w toku nauki w szkole wyższej.Przygotowanie ostatecznej pracy kwalifikacyjnejjest końcowym etapem edukacji ucznia i jednocześnie sprawdzianem jego umiejętności samodzielnego decydowania cele nauczania. Samodzielna praca studenta nad wybranym tematem rozpoczyna się na praktyce przeddyplomowej. Jednocześnie następuje dalsze pogłębienie jego wiedzy teoretycznej, ich usystematyzowanie, rozwój umiejętności stosowanych i umiejętności praktycznych oraz wzrost erudycji ogólnej i zawodowej.

WRC ( Praca dyplomowa) ma pewne podobieństwa z pracą na kursach, na przykład praca ze źródłami teoretycznymi lub ich projektowaniem. Jednak WRC (teza) jest teoretycznym i (lub) eksperymentalnym badaniem jednego z rzeczywiste problemy bezpieczeństwo informacji w specjalności doktorant. Badanie może obejmować opracowanie różnych metod, metod, oprogramowania i sprzętu, modeli, systemów, technik itp., które służą realizacji celów pracy. Wyniki pracy dyplomowej sporządzane są w formie tekstu noty wyjaśniającej z wykorzystaniem wykresów, tabel, rysunków, map, diagramów itp.

Przy wykonywaniu WRC należy wykorzystywać informacje o najnowszych krajowych i zagranicznych osiągnięciach nauki i techniki w zakresie bezpieczeństwa informacji. Okres przygotowania i obrony WRC (pracy) poprzedza praktyka przeddyplomowa. Warunki odbywania praktyk licencjackich oraz przygotowania i obrony WQR określa harmonogram organizacji procesu dydaktycznego, zatwierdzony zarządzeniem uczelni przed rozpoczęciem bieżącego roku akademickiego. WRC powinien być realizowany przez absolwenta z wykorzystaniem materiałów zebranych przez niego osobiście w okresie odbywania praktyk licencjackich, a także podczas pisania pracy semestralnej.

Temat ostatecznych prac kwalifikacyjnych ustalany jest podczas opracowywania Programu GIA. Przy ustalaniu tematyki WRC należy wziąć pod uwagę, że jej treść może opierać się na:

• w sprawie uogólniania wyników pracy kursowej wykonanej wcześniej przez studentów;
• na wykorzystaniu wyników wcześniej wykonanych zadań praktycznych.

Sporządza się dla studentów przydział tematów prac kwalifikacyjnych zaliczeniowychnie później niż 1 listopadaostatni rok studiów. Jednocześnie następuje rozkład studentów według opiekunów. Opiekun pomaga studentowi w opracowywaniu obszarów badawczych, ustalaniu zakresu pytań teoretycznych do studiowania oraz opracowywaniu części praktycznej studiów. Do każdego lidera można dołączyć nie więcej niż 8 uczniów.

1. STRUKTURA KOŃCOWEJ PRACY KWALIFIKACYJNEJ

Struktura części teoretycznej pracy kwalifikacyjnej: wstęp, część teoretyczna, część praktyczna, zakończenie, spis literatury, wnioski.

Objętość pracy dyplomowej to 40-50 stron drukowanego tekstu i obejmuje:

1. Strona tytułowa (dodatek 1).
2. Zawartość. Zawartość WRC tworzona jest automatycznie w postaci linków dla wygody pracy zduża ilość materiału tekstowego. Użycie elektronicznego spisu treści świadczy również o opanowaniu ogólnej kompetencji KG 5 (Wykorzystywanie technologii informacyjno-komunikacyjnych w działalności zawodowej).
3. Wstęp. Niezbędne jest uzasadnienie aktualności i praktycznego znaczenia wybranego tematu, sformułowanie celu i zadań, przedmiotu i przedmiotu WRC oraz zakresu rozważanych problemów.

4. Główna część WRCzawiera sekcje zgodne z logiczną strukturą prezentacji. Tytuł sekcji nie powinien powielać tytułu tematu, a tytuł paragrafów nie powinien powielać tytułu sekcji.

Główna część WRC powinna zawierać dwie sekcje.

• Sekcja I jest poświęcony teoretycznym aspektom badanego przedmiotu i przedmiotu. Zawiera przegląd wykorzystanych źródeł informacji, ramy regulacyjne dla Motyw WRC, a także potrafi znaleźć miejsce na dane statystyczne w postaci tabel i wykresów.

Sekcja II poświęcony jest analizie materiału praktycznego uzyskanego podczas praktyki produkcyjnej (licencjackiej). Ta sekcja zawiera:

analiza konkretnego materiału na wybrany temat;

• opis zidentyfikowanych problemów i kierunków rozwoju przedmiotu i przedmiotu badań;
• opis sposobów rozwiązania zidentyfikowanych problemów za pomocą obliczeń, analizy danych eksperymentalnych, produktu działalności twórczej.

Podczas analizy można wykorzystać tabele analityczne, obliczenia, wzory, diagramy, wykresy i wykresy.

5. Wniosek - powinna zawierać wnioski i zalecenia dotyczące możliwości wykorzystania lub praktycznego zastosowania wyników badania. Powinno być nie więcej niż 5 stron tekstu.

6. Referencjewydane zgodnie z GOST.

7. Aplikacje znajdują się na końcu pracy i są sporządzone zgodnie z Z

Wstęp, każdy rozdział, zakończenie, a także wykaz wykorzystanych źródeł rozpoczynają się na nowej stronie.

Rozdawać.Prezentacji towarzyszy pokaz materiałów z załączników.

Aby to zrobić, musisz przygotować prezentację elektroniczną. Ale może być też prezentacja na papierze – materiały informacyjne dla komisji w osobnych folderach lub plakaty wywieszone przed występem.

Podczas wystąpienia studenta komisja zapoznaje się z pracą dyplomową, materiałami informacyjnymi wydanymi przez studenta oraz prezentacją wideo.

Elektroniczna wersja pracydołączone do WRC na papierze. Płyta musi być umieszczona w kopercie i podpisana.

2.2. ETAPY PRZYGOTOWANIA KOŃCOWEJ PRACY KWALIFIKACYJNEJ

Etap I: Zaangażowanie w działania – obejmuje:

• wybór tematu badawczego;
• dobór, badanie, analiza i uogólnianie materiałów na ten temat;
• opracowanie planu pracy.

Etap II: Określenie poziomu pracy – obejmuje teoretyczne studium literatury i sformułowanie problemu.

Etap III: Budowanie logiki badań. Dane z tego etapu znajdują odzwierciedlenie we wstępie.

Wstęp można porównać do przypisu do książki: omawia podstawy teoretyczne dyplomu, jego strukturę, etapy i metody pracy. Dlatego wprowadzenie powinno być napisane jak najbardziej kompetentnie i zwięźle (2-3 strony). Wstęp powinien przygotować czytelnika do percepcji głównego tekstu pracy. Składa się z obowiązkowych elementów, które muszą być poprawnie sformułowane.

1. Znaczenie badań- wyjaśnienie, dlaczego Twój temat jest ważny, kto jest poszukiwany. (Odpowiada na pytanie: dlaczego należy to badać?) W tym akapicie konieczne jest ujawnienie istoty badanego problemu. Ten punkt wstępu jest logiczny, aby rozpocząć od zdefiniowania zjawiska gospodarczego, którego celem jest działalność badawcza. Tutaj możesz również wymienić źródła informacji wykorzystywanych w badaniu. ( Baza informacji badania można umieścić w pierwszym rozdziale). Musisz jednak zrozumieć, że istnieją pewne obiektywne trudności, które po prostu rozwiązuje się, pisząc swój dyplom. Te trudności, czyli wady, które istnieją z zewnątrz, odzwierciedlają problem dyplomowy.
2. Problem badawczy(odpowiada na pytanie: co badać?) Problem badawczy wykazuje komplikację, nierozwiązany problem lub czynniki, które przeszkadzają w jego rozwiązaniu. Zdefiniowane przez 1 - 2 terminy. (Przykładproblemy badawcze: "... sprzeczność między potrzebą organizacji rzetelnej ochrony informacji a rzeczywistą organizacją pracy w celu zapewnienia ochrony informacji w organizacji").

3. Cel badania- to właśnie powinieneś otrzymać na końcu, czyli ostateczny wynik dyplomu. (Cel zakłada odpowiedź na pytanie: jaki wynik zostanie uzyskany?) Celem powinno być rozwiązanie badanego problemu poprzez jego analizę i praktyczną realizację. Cel jest zawsze skierowany w stronę obiektu. Na przykład:

• Opracuj projekt (rekomendacje)...
• Określ warunki, związek ...
• Określ zależność czegoś od czegoś ...

4. Przedmiot studiów(co będzie badane?). Polega na pracy z koncepcjami. Paragraf ten określa zjawisko gospodarcze, do którego skierowana jest działalność badawcza. Obiektem może być osoba, środowisko, proces, struktura, działalność gospodarcza przedsiębiorstwa (organizacji).

1. Przedmiot badań(jak i przez co pójdą poszukiwania?) W tym miejscu należy określić specyficzne właściwości obiektu planowanego do badań lub sposoby badania zjawiska gospodarczego. Tematyka opracowania jest ukierunkowana na praktykę i znajduje odzwierciedlenie w wynikach praktyki.

6. Cele badań- to są kroki do osiągnięcia celów (pokazać, jak dojść do rezultatu?), Sposoby osiągnięcia celu. Są zgodne z hipotezą. Ustalony na podstawie celów pracy. Formułowanie zadań powinno być wykonane jak najdokładniej, ponieważ opis ich rozwiązania powinien stanowić treść podrozdziałów i akapitów pracy. Z reguły formułowane są 3-4 zadania.

Każde zadanie musi zaczynać się od nieokreślonego czasownika. Zadania opisane są za pomocą systemu sekwencyjnych akcji, Na przykład:

• analizować...;
• badać...;

• Badania...;
• ujawnić...;
• definiować...;
• rozwijać...

Z reguły w WRC (teza) wyróżnia się 5-7 zadań.

Każde zadanie powinno być odzwierciedlone w jednym z podrozdziałów części teoretycznej lub praktycznej. Zadania powinny znaleźć odzwierciedlenie w spisie treści. Jeżeli zadanie jest podane we wstępie, ale nie jest widoczne w spisie treści oraz w tekście dyplomu, jest to poważny błąd.

Lista wymaganych zadań:

1. „Na podstawie teoretycznej analizy literatury do opracowania…” (pojęcia kluczowe, pojęcia podstawowe).
2. „Określ…” (podkreśl główne warunki, czynniki, przyczyny wpływające na przedmiot badań).
3. „Ujawnij…” (podkreśl główne warunki, czynniki, przyczyny, które wpływają na przedmiot badań).
4. „Rozwój…” (środki, warunki, formularze, programy).
5. „Aby przetestować (co zostało opracowane) i wydać zalecenia…

8. Teoretyczne i praktyczne znaczenie badania:
„Wyniki badania pozwolą na wdrożenie...; przyczyni się

rozwój...; poprawi się... Obecność sformułowanych kierunków wdrożenia ustaleń i propozycji nadaje pracy duże znaczenie praktyczne. Nieobowiązkowe.

9. Metody badawcze:podana jest krótka lista.Metodologia Badań- są to metody, którymi posługuje się student w procesie pisania dyplomu. Do metod działalność badawcza obejmują: metody teoretyczne (metoda analizy, syntezy, porównania) oraz metody empiryczne (obserwacja, metoda ankietowa, eksperyment).

1. Baza badawcza- to nazwa przedsiębiorstwa, organizacji, na podstawie której przeprowadzono badanie. Najczęściej podstawą opracowania jest miejsce odbywania przez studenta praktyki licencjackiej.

Ostatnią frazą wstępu jest opis struktury i ilości stron w WRC: „Struktura pracy odpowiada logice opracowania i zawiera wstęp, część teoretyczną, część praktyczną, zakończenie, lista referencji, aplikacji." W tym miejscu dopuszczalne jest podanie bardziej szczegółowej struktury WRC i krótkie przedstawienie treści rozdziałów.

Wstęp powinien więc przygotować czytelnika do percepcji głównego tekstu pracy.

IV etap: prace nad główną częścią WRC.

Główna część WRC powinna zawierać sekcje, podrozdziały i paragrafy, które przedstawiają teoretyczne i praktyczne aspekty tematu na podstawie analizy opublikowanej literatury, rozważają kwestie dyskusyjne, formułują stanowisko, punkt widzenia autora; Opisano przeprowadzone przez studenta obserwacje i eksperymenty, metodykę badań, obliczenia, analizę danych eksperymentalnych oraz uzyskane wyniki. Przy dzieleniu tekstu na podrozdziały i akapity konieczne jest, aby każdy akapit zawierał pełne informacje.

Część teoretyczna obejmuje analizę przedmiotu badań i powinna zawierać kluczowe pojęcia, historię zagadnienia, poziom rozwoju problemu w teorii i praktyce. Aby poprawnie napisać część teoretyczną, konieczne jest dostateczne wypracowanie duża liczba naukowe, naukowo-metodyczne i inne źródła na ten tematdyplom. Z reguły nie mniej niż 10.

Część 1 powinna być poświęcona opisowi przedmiotu badań, część 2 - opisowi przedmiotu badań, stanowią główną część WRC i powinny być ze sobą logicznie powiązane.

Główna część WRC powinna zawierać tabele, diagramy, wykresy z odpowiednimi linkami i komentarzami. Sekcje powinny mieć nagłówki odzwierciedlające ich treść. Nagłówki rozdziałów nie powinny powtarzać tytułu pracy. Rozważmy bardziej szczegółowo treść każdej z sekcji WRC.

Sekcja 1 ma charakter teoretyczny, edukacyjny i poświęcony jest opisowi głównych zapisów teoretycznych, metod, metod, podejść oraz sprzętu i oprogramowania wykorzystywanego do rozwiązania zadania lub zadań podobnych do tego. Ta sekcja zawiera tylko to, co jest konieczne jako wstępna podstawa teoretyczna do zrozumienia istoty badań i rozwoju opisanych w kolejnych sekcjach. Nakreślono zagadnienia teoretyczne: metody, metody, algorytmy rozwiązania problemu, analizowane są przepływy informacji itp. Ostatni z głównych działów zwykle zawiera opis wyników eksperymentów z proponowanymi (opracowanymi) metodami, metodami, sprzętem i oprogramowaniem oraz systemami, przeprowadza się analiza porównawcza uzyskane wyniki. Na szczególną uwagę zasługuje omówienie wyników uzyskanych w WRC oraz ich ilustracja. Zarysowanie treści publikacji innych autorów jest konieczne koniecznie podaj linki do nich, wskazując ich numery stron źródła informacji. W pierwszej części zaleca się przeanalizowanie aktualnego stanu problemu i zidentyfikowanie trendów w rozwoju badanego procesu. W tym celu wykorzystywane są aktualne dokumenty regulacyjne, statystyki urzędowe, recenzje analityczne oraz artykuły w czasopismach. Konsekwencjaanaliza przepisów powinna zawierać wnioski dotyczące ich wpływu na badany problem oraz rekomendacje dotyczące ich poprawy. Przygotowując materiał statystyczny w tekście pracy w obowiązkowy zamówienia, odwołuje się do źródła danych.

W pierwszej części warto zwrócić uwagę na historię (etapy) rozwoju badanego procesu oraz analizę zagranicznych doświadczeń jego organizacji. Wynikiem analizy praktyki zagranicznej powinno być porównanie badanego procesu z praktyką krajową oraz rekomendacje dotyczące możliwości jego zastosowania w Rosji.

W tej części należy również przeprowadzić analizę porównawczą istniejących podejść i metod rozwiązania problemu. Należy uzasadnić wybór metody rozwiązania badanego problemu i szczegółowo go określić. Możesz również zaproponować własną metodę.

W procesie opracowywania źródeł teoretycznych należy podkreślić i zaznaczyć tekst istotny dla tej części dyplomu. Te fragmenty tekstu można umieścić w pracy jako cytat, jako ilustrację do analizy, porównania. W części teoretycznej WRC nie da się w całości umieścić sekcji i rozdziałów z podręczników, książek, artykułów.

Każda praca powinna zawierać teoretyczne, metodologiczne i praktyczne aspekty badanego problemu.

Sekcja 2 musi być czysto praktyczny. Konieczne jest ilościowe opisanie konkretnego przedmiotu badań, przedstawienie wyników praktycznych obliczeń i kierunków ich wykorzystania, a także sformułowanie kierunków doskonalenia organizacji i technologii ochrony informacji. Do napisania drugiej części z reguły wykorzystuje się materiały zebrane przez studenta podczas praktyki przemysłowej. Ta sekcja WRC zawiera opis praktycznych wyników badania. Potrafi opisać eksperyment i zastosowane metody jego przeprowadzenia, uzyskane wyniki, możliwość wykorzystania wyników badania w praktyce.

Przybliżona struktura części praktycznej WRC

W tytule części praktycznej, co do zasady, problem badawczy sformułowany jest na przykładzie konkretnej organizacji.

1. Cel badania- podano w zdaniu pierwszym.

Charakterystyka techniczna i ekonomiczna przedsiębiorstwa,na podstawie których przeprowadzane jest badanie (status przedsiębiorstwa, cechy morfologiczne organizacji, struktura organizacyjno-zarządzająca, cechy proces technologiczny itp).

1. Metody badawcze.
2. Postęp badań.Po sformułowaniu nazwy każdej metody podaje się cel. jego zastosowanie i opis. Ponadto ujawniono zastosowanie metody badawczej w konkretnej organizacji. Wszystkie materiały dotyczące zastosowania metod badawczych (formularze ankiet, dokumenty wewnętrzne zapewniające ochronę danych organizacji/przedsiębiorstwa) znajdują się w Aplikacjach. Przeprowadzana jest analiza uzyskanych wyników, wyciągany jest wniosek. Aby uzyskać dokładniejsze wyniki, użyj nie jednego, alekilka metod badawczych.
3. Ogólne wnioski. Pod koniec badania podsumowuje się ogólne wyniki (wnioski) na cały temat. Zastosowana metodologia powinna potwierdzić lub obalić hipotezę badawczą. W przypadku odrzucenia hipotezy podawane są rekomendacje dotyczące możliwości usprawnienia działań organizacji oraz technologii ochrony danych organizacji/przedsiębiorstwa w świetle badanego problemu.
4. W areszcie należy przedstawić krótką listę wyników uzyskanych w pracy. Głównym celem zakończenia jest podsumowanie treści pracy, podsumowanie wyników badania. Na zakończenie przedstawiono wyniki badań, analizę ich korelacji z celem pracy oraz konkretnymi zadaniami postawionymi i sformułowanymi we wstępie,stanowi podstawę obrony pracy studenta i nie powinna przekraczać 5 stron tekstu.

3. OGÓLNE ZASADY REJESTRACJI KOŃCOWYCH PRAC KWALIFIKACYJNYCH

3.1 PROJEKT MATERIAŁU TEKSTOWEGO

Część tekstową pracy należy wykonać w wersji komputerowej na papierze A4 po jednej stronie kartki. Czcionka - Times New Roman, wielkość czcionki - 14, styl - regularny, odstęp półtora, wyrównanie wyrównane. Strony powinny mieć marginesy (zalecane): dolny - 2; góra - 2; po lewej - 2; po prawej - 1. Objętość WRC powinna wynosić 40-50 stron. Zaleca się następującą proporcję głównych wymienionych elementów w całkowitej objętości ostatecznej pracy kwalifikacyjnej: wprowadzenie - do 10%; sekcje części głównej - 80%; wniosek - do 10%.

Cały tekst WRC należy rozbić na części składowe. Podział tekstu odbywa się poprzez podzielenie go na sekcje i podrozdziały. W treści WRC nie powinno być zbieżności brzmienia tytułu jednej z części składowych z tytułem samego utworu, a także zbieżności tytułów rozdziałów i podrozdziałów. Tytuły sekcji i podrozdziałów powinny odzwierciedlać ich główną treść i ujawniać tematykę WRC.

Sekcje i podsekcje powinny mieć nagłówki. Przedmioty zwykle nie mają nagłówków. Nagłówki rozdziałów, podrozdziałów i akapitów należy drukować z wcięciem akapitu 1,25 cm z dużą literą bez kropki na końcu, bez podkreślenia, czcionką nr 14 „Times New Roman”. Jeśli nagłówek składa się z dwóch zdań, są one oddzielone kropką. Nagłówki powinny jasno i zwięźle odzwierciedlać treść rozdziałów, podrozdziałów.

Dzieląc WRC na sekcje zgodnie z GOST 2.105-95, oznaczenie odbywa się za pomocą numerów seryjnych - cyfr arabskich bez kropki. W razie potrzeby podrozdziały można podzielić na akapity. Numer akapitu musi składać się z numerów sekcji, podrozdziałów i akapitów oddzielonych kropkami. Nie umieszczaj kropki na końcu sekcji (podrozdziału), numeru akapitu (podpunktu). Każda sekcja musi zaczynać się na nowym arkuszu (stronie).

Jeżeli sekcja lub podrozdział składa się z jednego akapitu, nie należy go numerować. W razie potrzeby akapity można podzielić na akapity, które muszą mieć numerację porządkową w każdym akapicie, na przykład:

1 Rodzaje i główne wymiary

Wyliczenia mogą być podane w klauzulach lub podrozdziałach. Każdy wpis musi być poprzedzony myślnikiem lub małą literą, po której następuje nawias. W celu dalszego uszczegółowienia wyliczeń konieczne jest użycie cyfr arabskich, po których umieszcza się nawias.

Przykład:

a)_____________

b) _____________

1) ________

2) ________

v) ____________

Paginacja tekstu głównego i załączników powinna być ciągła. Numer strony jest umieszczony na środku dolnej części arkusza bez kropki. Strona tytułowa zawarta jest w ogólnej paginacji WRC. Numer strony na stronie tytułowej i treści nie jest umieszczony.

W pracy dyplomowej należy posługiwać się terminami naukowymi i szczególnymi, oznaczeniami i definicjami ustalonymi przez odpowiednie normy, aw przypadku ich braku - ogólnie przyjętymi w literaturze specjalistycznej i naukowej. Jeżeli przyjęta jest specyficzna terminologia, to przed spisem piśmiennictwa należy podać wykaz przyjętych terminów wraz z odpowiednimi wyjaśnieniami. Lista zawarta jest w treści pracy.

3.2 PROJEKTOWANIE ILUSTRACJI

Wszystkie ilustracje umieszczone w ostatecznej pracy kwalifikacyjnej muszą być starannie dobrane, przejrzyście i precyzyjnie wykonane. Ryciny i diagramy powinny być bezpośrednio związane z tekstem, bez zbędnych obrazów i danych, które nie są nigdzie wyjaśnione. Liczba ilustracji w WRC powinna wystarczyć do wyjaśnienia prezentowanego tekstu.

Ilustracje należy umieścić bezpośrednio za tekstem, w którym pojawiają się po raz pierwszy, lub na następnej stronie.

Ilustracje umieszczone w tekście należy numerować cyframi arabskimi, Na przykład:

Rysunek 1, Rysunek 2

Dopuszcza się numerowanie ilustracji w ramach sekcji (rozdziału). W tym przypadku numer ilustracji musi składać się z numeru sekcji (rozdziału) i numeru seryjnego ilustracji, oddzielonych kropką.

Ilustracje, jeśli to konieczne, mogą mieć nazwę i objaśnienia (tekst rycinowy).

Słowo „Rysunek” i nazwa znajdują się po danych objaśniających, w środku wiersza, na przykład:

Rysunek 1 — Trasa dokumentów

3. 3 OGÓLNE ZASADY REPREZENTACJI FORMUŁY

We wzorach i równaniach symbole, obrazy lub znaki muszą być zgodne z symbolami przyjętymi w obowiązujących normach państwowych. W tekście przed oznaczeniem parametru podano jego wyjaśnienie, na przykład:Tymczasowa odporność na rozdarcie.

Jeżeli konieczne jest użycie symboli, obrazów lub znaków, które nie są ustalone przez obowiązujące normy, należy je wyjaśnić w tekście lub w wykazie symboli.

Wzory i równania są oddzielone od tekstu w osobnym wierszu. Nad i pod każdą formułą lub równaniem musi znajdować się co najmniej jedna wolna linia.

Wyjaśnienie znaczenia symboli i współczynników liczbowych należy podać bezpośrednio pod wzorem w tej samej kolejności, w jakiej podano je we wzorze.

Wzory powinny być numerowane sekwencyjnie w całej pracy, z cyframi arabskimi w nawiasach w skrajnej prawej pozycji na poziomie wzoru.

Na przykład:

Jeżeli organizacja modernizuje istniejący system, to przy obliczaniu wydajności brane są pod uwagę bieżące koszty jego działania:

E p \u003d (P1-P2) + ΔP p , (3,2)

gdzie P1 i P2 to odpowiednio koszty operacyjne przed i po wdrożeniu opracowywanego programu;

Р p - oszczędności wynikające ze zwiększonej produktywności dodatkowych użytkowników.

Dozwolone jest numerowanie wzorów i równań w każdej sekcji podwójnymi liczbami oddzielonymi kropką, wskazującymi numer sekcji i numer porządkowy wzoru lub równania, na przykład: (2.3), (3.12) itp.

Przeniesienia części wzorów do innego wiersza są dozwolone na znakach równości, mnożenia, dodawania, odejmowania i ilorazu (>;), a znak na początku następnego wiersza jest powtarzany. Kolejność prezentacji równań matematycznych jest taka sama jak formuł.

Wartości liczbowe wielkości z oznaczeniem jednostek wielkości fizycznych i jednostek liczących należy zapisać w liczbach, a liczby bez oznaczenia jednostek wielkości fizycznych i jednostek liczących od jednego do dziewięciu - słownie, na przykład:przetestować pięć rur, każda o długości 5 m.

Przytaczając największe lub najmniejsze wartości wielkości należy użyć sformułowania „nie powinno być więcej (nie mniej)”.

3.4 PROJEKTOWANIE STOŁÓW

Tabele są używane dla większej przejrzystości i ułatwienia porównywania wskaźników. Tytuł tabeli, jeśli taki istnieje, powinien odzwierciedlać jej zawartość, być precyzyjny i zwięzły. Nazwę tabeli należy umieścić nad tabelą po lewej stronie, bez wcięć akapitu, w jednym wierszu z jej numerem oddzielonym myślnikiem.

Przy przenoszeniu części tabeli tytuł jest umieszczany tylko nad pierwszą częścią tabeli, dolna pozioma linia, która ogranicza tabelę, nie jest rysowana.

Tabelę należy umieścić bezpośrednio po tekście, w którym pojawia się po raz pierwszy, lub na następnej stronie.

stół z duża ilość wiersze można przenieść na inny arkusz (stronę). Przy przenoszeniu części tabeli na inny arkusz, słowo „Tabela” i jego numer są wskazywane raz z prawej strony nad pierwszą częścią tabeli, słowo „Kontynuacja” jest napisane nad pozostałymi częściami i wskazany jest numer tabeli, na przykład: „Kontynuacja tabeli 1”. Przy przenoszeniu tabeli na inny arkusz nagłówek umieszczany jest tylko nad jej pierwszą częścią.

Jeśli w którymkolwiek wierszu tabeli nie podano danych liczbowych lub innych, to wstawia się w nim myślnik.

Przykładowy układ tabeli:

Tabele w całym objaśnieniu numerowane są cyframi arabskimi poprzez numerację, przed którą wpisuje się słowo „Tabela”.. Dozwolone jest numerowanie tabel w ramach sekcji. W tym przypadku numer tabeli składa się z numeru sekcji i numeru porządkowego tabeli, oddzielonych kropką „Tabela 1.2”.

Tabele każdego wniosku są oznaczone osobną numeracją cyframi arabskimi z dodaniem oznaczenia wniosku przed numerem.

Nagłówki kolumn i wierszy tabeli należy pisać dużą literą w liczbie pojedynczej, a podtytuły kolumn małą literą, jeśli z nagłówkiem tworzą jedno zdanie, lub wielką literą, jeśli mają niezależne znaczenie. Nie umieszczaj kropek na końcu nagłówków i podtytułów tabel.

Dopuszcza się użycie w tabeli mniejszego rozmiaru czcionki niż w tekście.

Nagłówki kolumn są pisane równolegle lub prostopadle do rzędów tabeli. W kolumnach tabel nie wolno rysować ukośnych linii z umieszczaniem nagłówków rozdziałów pionowych po obu stronach przekątnej.

1. 5 LISTA REFERENCJI

Spis piśmiennictwa opracowywany jest z uwzględnieniem zasad projektowania bibliografii(Załącznik 5). Wykaz wykorzystanej literatury powinien zawierać co najmniej 20 źródeł (co najmniej 10 książek i 10-15 czasopism), z którymi pracował autor pracy. Literatura na liście jest uporządkowana według sekcji w następującej kolejności:

• Ustawy federalne (w kolejności od ostatniego roku przyjęcia do poprzednich);
• dekrety Prezydenta Federacji Rosyjskiej (w tej samej kolejności);
• Dekrety rządu Federacji Rosyjskiej (w tej samej kolejności)
• inne regulacyjne akty prawne;
• inne materiały urzędowe (rezolucje-rekomendacje organizacji i konferencji międzynarodowych, oficjalne raporty, oficjalne raporty itp.)
• monografie, podręczniki, pomoce naukowe (w porządku alfabetycznym);
• literatura zagraniczna;
• Zasoby internetowe.

Źródła w każdej sekcji są uporządkowane alfabetycznie. Dla całej listy odniesień stosowana jest numeracja ciągła.

Odwołując się do literatury w tekście objaśnienia, należy w nawiasach kwadratowych wpisać nie tytuł książki (artykułu), ale przypisany jej numer seryjny w indeksie „Przypisy”. Odniesienia do literatury są ponumerowane w trakcie ich pojawiania się w tekście WRC. Stosowana jest numeracja ciągła lub numeracja według sekcji (rozdziałów).

Procedura doboru literatury na temat WRC i sporządzenia wykazu wykorzystanej literatury

V lista wykorzystanej literatury obejmuje źródła, które student poznał w trakcie przygotowywania pracy magisterskiej, w tym te, do których się odwołuje.

Pisanie WRC poprzedzone jest dogłębnym studium źródeł literackich na temat pracy. Aby to zrobić, musisz najpierw skontaktować się z biblioteką uczelni. Tu z pomocą studentowi przychodzi aparat biblioteczny biblioteczny, którego główną częścią są katalogi i kartoteki.

Katalog jest spisem dokumentalnych źródeł informacji (książek) dostępnych w zbiorach biblioteki.

Jeżeli student zna dokładnie tytuły wymaganych książek, a przynajmniej nazwiska ich autorów, konieczne jest skorzystanie z katalogu alfabetycznego.

W przypadku konieczności sprawdzenia, jakie książki na dany temat (temat) są dostępne w danej bibliotece, student powinien również zapoznać się z katalogiem systematycznym.

Katalog usystematyzowany ukazuje fundusz biblioteczny według treści. Dla wygody korzystania z systematycznego katalogu posiada on alfabetyczny indeks tematyczny (ASU). W wymienionych katalogach student może znaleźć tylko tytuły książek, a do napisania WRC potrzebuje również materiałów publikowanych w czasopismach, gazetach i różnych kolekcjach. W tym celu w bibliotekach organizowane są indeksy kart bibliograficznych, w których umieszczane są opisy artykułów z czasopism i gazet, materiały ze zbiorów.

Pisząc WRC w celu wyjaśnienia i wyjaśnienia różne opcje, fakty, koncepcje, terminy, literatura referencyjna jest szeroko stosowana przez studenta. Literatura referencyjna obejmuje różne encyklopedie, słowniki, informatory, zbiory statystyczne.

Tworzenie odniesień bibliograficznych

Pisząc WRC student często musi odwoływać się do cytowania prac różnych autorów, posługiwania się materiałem statystycznym. W takim przypadku konieczne jest sporządzenie linku do konkretnego źródła.

Poza przestrzeganiem podstawowych zasad cytowania (nie można wyciągać fraz z tekstu, zniekształcać go dowolnymi skrótami, cytaty muszą być cytowane itp.), należy również zwrócić uwagę na dokładne wskazanie źródeł cytatów.

1. V przypisyodnośniki (przypisy) znajdują się na dole strony, na której znajduje się cytowany materiał. W tym celu na końcu cytatu umieszczana jest liczba wskazująca numer porządkowy cytatu na tej stronie. U dołu strony, pod linią oddzielającą przypis (odnośnik) od tekstu, powtarza się ten numer, a następnie tytuł książki, z której zaczerpnięto cytat, z obowiązkowym wskazaniem numeru cytowanej strony . Na przykład:

„Shipunov M.Z. Podstawy działalności zarządczej. - M .: INFRA - M, 2012, s. 39.

1. Linki wewnątrztekstowesą stosowane w przypadkach, gdy informacja o analizowanym źródle stanowi organiczną część tekstu głównego. Są wygodne, ponieważ nie odwracają uwagi od tekstu. Opis w takich linkach zaczyna się od inicjałów i nazwiska autora, tytuł książki lub artykułu w cudzysłowie, dane wyjściowe w nawiasie.
2. Poza linkami tekstowymi- są to wskazania źródeł cytatów z powołaniem się na numerowaną listę piśmiennictwa zamieszczoną na końcu pracy. Odwołanie do źródła literackiego następuje na końcu frazy, wpisując w nawiasach prostych numer seryjny dokumentu, wskazujący stronę.

Na przykład: „Obecnie głównym dokumentem regulującym prywatyzację mienia państwowego i komunalnego na terytorium Federacji Rosyjskiej jest ustawa „O prywatyzacji własności państwowej i komunalnej” z dnia 21 grudnia 2001 r. Nr 178-FZ (z późniejszymi zmianami dnia 31 grudnia 2005 r., z późniejszymi zmianami z dnia 01.05.2006 r.) .

Na końcu pracy (na osobnej stronie) należy podać alfabetyczny spis faktycznie wykorzystanej literatury.

3.6 REJESTRACJA APLIKACJI

Aplikacje wydawane w razie potrzeby. Wnioski do pracy mogą zawierać dodatkowe materiały referencyjne o wartości pomocniczej, np.: kopie dokumentów, wypisy z materiałów sprawozdawczych, dane statystyczne, schematy, tabele, wykresy, programy, regulaminy itp.

Wnioski obejmują również te materiały, które mogą określać praktyczną lub teoretyczną część dyplomu. Przykładowo aplikacja może zawierać: teksty ankiet, kwestionariuszy i innych metod, które zostały użyte w procesie badawczym, przykłady odpowiedzi respondentów, materiały fotograficzne, wykresy i tabele, które nie są związane z wnioskami teoretycznymi w dyplomie.

Odnośniki do wszystkich załączników należy umieścić w tekście głównym.

Na przykład: Jednostki pochodne układu SI (Załączniki 1, 2, 5).

Wnioski są ułożone w kolejności odniesień do nich w tekście. Każdy wniosek musi zaczynać się na nowej kartce (stronie) z napisem Wniosek w prawym górnym rogu strony.i jego oznaczenia cyframi arabskimi, z wyjątkiem cyfry 0.

4. OBRONA KOŃCOWEJ PRACY KWALIFIKACYJNEJ

4.1 MONITOROWANIE GOTOWOŚCI WRC

Każdemu studentowi przydzielany jest recenzent pracy kwalifikacyjnej, spośród zewnętrznych specjalistów, dobrze orientujących się w zagadnieniach związanych z tym tematem.

Zgodnie z przyjętymi tematami opracowują opiekunowie naukowi końcowej pracy kwalifikacyjnejzadania indywidualnedla studentów, które są rozpatrywane przez PCC „Technologie Informacyjne”, podpisane przez opiekuna i przewodniczącego KPP.

Zadania do prac kwalifikacyjnych zatwierdza Zastępca Dyrektora ds Praca akademicka i wydawane są studentom nie później niż dwa tygodnie przed rozpoczęciem praktyki licencjackiej.

Zgodnie z przyjętymi tematami opiekunowie naukowi opracowują indywidualne harmonogramy konsultacji,zgodnie z którą kontrolowany jest proces wykonania prac kwalifikacyjnych.

Kontrola stopnia gotowości RMŚ odbywa się według następującego harmonogramu:

Tabela 3

Po zakończeniu przygotowania WRC kierownik sprawdza jakość pracy, podpisuje ją i wraz z zadaniem i pisemną recenzją przekazuje zastępcy kierownika obszaru działania.

W celu określenia stopnia gotowości ostatecznej pracy kwalifikacyjnej i zidentyfikowania istniejących braków, nauczyciele dyscyplin specjalnych przeprowadzają wstępną obronę w ostatnim tygodniu przygotowań do GIA. Wyniki wstępnej ochrony są rejestrowane.

4.2 WYMOGI OCHRONY WRC

Obrona końcowej pracy kwalifikacyjnej odbywa się na otwartym posiedzeniu Państwowej Komisji Atestacyjnej w specjalności, która jest tworzona na podstawie Regulaminu w sprawie ostatecznego państwowego zaświadczenia absolwentów placówek oświatowych średniego szkolnictwa zawodowego w Federacji Rosyjskiej (Uchwała Państwowego Komitetu Szkolnictwa Wyższego Rosji z dnia 27 grudnia 1995 r. Nr 10).

Na obronę WRC nakładane są następujące wymagania:

• pogłębione studium teoretyczne badanych problemów na podstawie analizy literatury;
• umiejętne usystematyzowanie danych cyfrowych w postaci tabel i wykresów wraz z niezbędną analizą, uogólnieniem i identyfikacją trendów rozwojowych;
• krytyczne podejście do badanego materiału faktograficznego w celu znalezienia obszarów do doskonalenia działań;
• argumentacja wniosków, zasadność propozycji i rekomendacji;

• logicznie spójna i niezależna prezentacja materiału;
• projekt materiału zgodnie z ustalonymi wymaganiami;

• obowiązkowa obecność recenzji promotora pracy dyplomowej oraz recenzji pracownika praktycznego reprezentującego organizację zewnętrzną.

Przy opracowywaniu abstraktów należy wziąć pod uwagę przybliżony czas raportu w obronie, który wynosi 8-10 minut.Raport należy zbudowaćnie poprzez prezentowanie treści pracy rozdział po rozdziale, ale według zadań, - ujawnianie logiki uzyskiwania znaczących wyników. Raport powinien zawierać odwołanie do materiału ilustracyjnego, który zostanie wykorzystany w obronie pracy. Objętość raportu powinna wynosić 7-8 stron tekstu w formacie Word, wielkość czcionki 14, odstęp półtora.

Tabela 4

Aby przemawiać w obronie, studenci muszą samodzielnie przygotować i uzgodnić z prowadzącym streszczenia sprawozdania i materiały ilustracyjne.

Ilustracje powinny odzwierciedlać główne wyniki osiągnięte w pracy i być spójne z abstraktami raportu.

Formy prezentacji materiału ilustracyjnego:

1. Materiały drukowane dla każdego członka SEC(według uznania przełożonego WRC). Materiały drukowane dla członków SAC mogą obejmować:

• dane empiryczne;
• wypisy z dokumentów normatywnych, na podstawie których przeprowadzono badania;

• wyciągi z życzeń pracodawców, sformułowane w umowach;

• inne dane nie zawarte w prezentacji slajdów, ale potwierdzające poprawność obliczeń.

1. prezentacje slajdów(do demonstracji projektora).

Prezentacji wyników pracy towarzyszą materiały prezentacyjne: warunek wstępny Ochrona WRC.

Opiekun pisze recenzję końcowej pracy kwalifikacyjnej wykonanej przez studenta.

Obrona końcowych prac kwalifikacyjnych odbywa się na otwartym posiedzeniu Państwowej Komisji Atestacyjnej w specjalnie wyznaczonej sali wyposażonej w niezbędny sprzęt do pokazów prezentacji. Na obronę pracy kwalifikacyjnej przeznacza się do 20 minut. Procedura obrony obejmuje sprawozdanie studenta (nie więcej niż 10 minut), lekturę recenzji i recenzji, pytania członków komisji, odpowiedzi studenta. Przedstawienie kierownika ostatecznej pracy kwalifikacyjnej, a także recenzenta, jeśli jest obecny na posiedzeniu SEC, może być wysłuchane.

Decyzje SEC podejmowane są na posiedzeniach zamkniętych zwykłą większością głosów członków komisji uczestniczących w posiedzeniu. W przypadku równej liczby głosów decyduje głos przewodniczącego. Wyniki ogłaszane są uczniom w dniu obrony WRC.

4.3 KRYTERIA OCENY WRC

Obrona końcowej pracy kwalifikacyjnej kończy się stopniowaniem.

Ocena „Doskonała” dla WRC jest eksponowana, jeśli praca ma charakter badawczy, ma dobrze napisany rozdział teoretyczny, głęboką analizę teoretyczną, krytyczny przegląd praktyki, logiczną, spójną prezentację materiału z odpowiednimi wnioskami i rozsądnymi propozycjami; posiada pozytywne recenzje promotora i recenzenta.

Broniąc WRC na "doskonałą", student - absolwent wykazuje się głęboką znajomością problematyki tematu, swobodnie operuje danymi badawczymi, czyni rozsądne sugestie, a podczas raportu korzysta z pomocy wizualnych (prezentacja Power Point, tabele, wykresy , wykresy itp.) lub materiały informacyjne, z łatwością odpowiada na postawione pytania.

Ocena „Dobra” dla WRC jest eksponowana, jeśli praca ma charakter badawczy, ma dobrze napisany rozdział teoretyczny, przedstawia dość szczegółową analizę i krytyczną analizę działań praktycznych, spójną prezentację materiału z odpowiednimi wnioskami, ale propozycje studenta są niewystarczająco uzasadnione. WRC ma pozytywną opinię promotora i recenzenta. W jej obronie student-absolwent wykazuje znajomość problematyki tematu, operuje danymi badawczymi, przedstawia sugestie dotyczące tematu badań, w trakcie raportu korzysta z pomocy wizualnych (prezentacja Power Point, tabele, wykresy, wykresy itp.) lub materiały informacyjne, bez większych trudności odpowiada na zadawane pytania.

Stopień „Zadowalająco”WRC jest przyznawane, jeśli praca ma charakter badawczy, ma rozdział teoretyczny, jest oparta na materiale praktycznym, ale ma analizę powierzchowną i niedostatecznie krytyczną, stwierdza się w niej niekonsekwencję w prezentacji materiału, przedstawiane są propozycje nieracjonalne . Recenzje recenzentów zawierają uwagi dotyczące treści pracy oraz metodyki analizy. W obronie takiego WRC student-absolwent wykazuje niepewność, wykazuje słabą znajomość zagadnień tematu, nie zawsze udziela wyczerpujących, uzasadnionych odpowiedzi na zadawane pytania.

Stopień "Niedostateczny"dla WRC jest eksponowana, jeśli praca nie ma charakteru badawczego, nie posiada analizy, nie spełnia wymagań określonych w niniejszych wytycznych. W pracy nie ma konkluzji lub mają one charakter deklaratywny. Recenzje promotora i recenzenta zawierają uwagi krytyczne. Absolwentka broniąc WRC ma trudności z odpowiadaniem na pytania postawione na jej temat, nie zna teorii pytania i popełnia istotne błędy przy udzielaniu odpowiedzi. Pomoce wizualne i materiały informacyjne nie były przygotowane do obrony.

Zatem przy ustalaniu oceny końcowej dla WRC członkowie SEC biorą pod uwagę:

• jakość raportu absolwenta;
• przedstawiony przez niego materiał ilustracyjny;
• mobilność absolwenta i jego umiejętność czytania i pisania przy odpowiadaniu na pytania;
• ocena WRC przez recenzenta;
• informacje zwrotne od szefa WRC.

ANEKS 1

(Przykład projektu strony tytułowej)

WYDZIAŁ EDUKACJI MIASTA MOSKWA

BUDŻET PAŃSTWA ZAWODOWA INSTYTUCJA EDUKACYJNA

„KOLEGIUM TECHNOLOGICZNE №34”

PRACA DYPLOMOWA

Temat:

Uczeń grupowy / /

Specjalność

Nadzorca / /

Pozwól na ochronę:

Zastępca Dyrektora UPR/ _ /

Data oceny

Prezydent Stanu

komisja atestacyjna/ /

Moskwa 2016

ZAŁĄCZNIK 2

Zgoda

Przewodniczący KIG "Technologie Informacyjne"

Dziuba T.S.

Ćwiczenie

za pracę dyplomową

uczeń(-cy)__________________________________________________________________

(wymienić w całości)

Temat pracy ________________________________________________________________

_______________________________________________________________________________

Termin złożenia pracy dyplomowej do obrony (data)______________________________

1. Wstęp

Trafność wybranego tematu;

Cel, zadania pisania pracy dyplomowej;

Nazwa przedsiębiorstwa, organizacja, źródła napisania pracy.

2. - Sekcja I (część teoretyczna)

Sekcja II (część praktyczna)

(termin złożenia do weryfikacji) __________________________________________

Wniosek ______________________________________________________________

Głowa _____ __________ "___" _______ 20__

Imię i nazwisko Podpis

Student ______ __________ "____" ________ 20___

Imię i nazwisko Podpis

DODATEK 3

(formularz recenzji dla promotora pracy)

GBPOU „Wyższa Szkoła Technologiczna nr 34”

Recenzja

Do pracy dyplomowej (imię i nazwisko)

1. Trafność tematu.

2. Nowość naukowa i znaczenie praktyczne.

3. Charakterystyka cech biznesowych studenta.

4. Pozytywne aspekty pracy.

5. Wady, uwagi.

Przełożony _______________________________________

„_____” __________ 2016

DODATEK 4

(formularz recenzji)

Recenzja

Za pracę dyplomową (imię i nazwisko) ____________________________

Wykonywane na temat _________________________________________________

1. Trafność, nowość
2. Ocena treści pracy

1. Charakterystyczne, pozytywne aspekty pracy
2. Praktyczne znaczenie pracy
3. Wady, uwagi

1. Zalecana ocena wykonanej pracy ____________________________

_________________________________________________________________________

Recenzent (imię i nazwisko, tytuł naukowy, stanowisko, miejsce pracy)

DODATEK 5

(Przykład wykazu wykorzystanej literatury)

Lista wykorzystanej literatury

Materiały regulacyjne

1. „Konstytucja Federacji Rosyjskiej” (przyjęta w głosowaniu powszechnym 12.12.1993)
2. Ustawa federalna „O informacji, technologiach informacyjnych i ochronie informacji” z dnia 27 lipca 2006 r. N 149-FZ (zmieniona 28 grudnia 2013 r.)

Publikacje naukowe, techniczne i edukacyjne

1. Zautomatyzowane stanowiska pracy i systemy komputerowe w działalności spraw wewnętrznych. M., 2010.
2. Andreev B. V., Bushuev G. I. Modelowanie w rozwiązywaniu problemów karnych i kryminologicznych. M., 2012.
3. Dokumentacja w instytucjach edukacyjnych (z wykorzystaniem technologii informatycznych): podręcznik. zasiłek dla rzek szkół średnich. Przedstawiciel MO Białoruś / E.M. Krawczenia, T.A. Carskaja. - Mińsk: TetraSystems, 2013
4. Bezpieczeństwo informacji i ochrony informacji: podręcznik. zasiłek / Stepanov E.A., Korneev I.K. - M.: INFRA-M, 2011. -
5. Systemy informacyjne w ekonomii: podręcznik. dla uczelni, szkolenia według specjalnego ekonomia i zarządzanie (060000) rec. MO RF / G.A. Titorenko, BE Odincow, W.W. Braga i inni; wyd. G.A. Titorenko. - wyd. 2, poprawione. i dodatkowe - M. : UNITI, 2011. - 463 s.
6. Systemy informacyjne i ich bezpieczeństwo: podręcznik. dodatek d / Vasilkov A.V. Wasilkow AA, Wasilkow IA - M: FORUM, 2010.
7. Zarządzanie informatyką: podręcznik. zasiłek dla rzek szkół średnich. MO RF / G.A. Titorenko, I.A. Konoplew, G.L. Makarova i inni; wyd. G.A. Titorenko. - wyd. 2, dodaj. - M.: UNITI, 2009.
8. Korporacyjny obieg dokumentów. Zasady, technologie, metodyki wdrożeniowe. Michaela J.D. Suttona. Wydawnictwo Azbuka, Petersburg, 2012
9. Ostreikovsky V.A. Informatyka: Proc. Dla uniwersytetów. - M.: Wyższe. szkoła, 2008.
10. Dokumenty elektroniczne w sieciach korporacyjnych Klimenko S.V., Krokhin I.V., Kushch V.M., Lagutin Yu.L.M.: Radio and Communications, ITC Eco-Trends, 2011

Zasoby internetowe

http://www.security.ru/ - Środki ochrony informacji kryptograficznej: strona internetowa moskiewskiego oddziału PNIEI;

www.fstec.ru - oficjalna strona FSTEC Rosji

DODATEK 6

Przybliżona struktura raportu z obrony pracy

Wymagania dotyczące raportu z obrony pracy magisterskiej

1. Pilność problemu.
2. Cel, przedmiot, przedmiot badań.
3. Cele badawcze (3 główne).
4. Algorytm badawczy (kolejność badań).
5. Krótka charakterystyka ekonomiczna przedsiębiorstwa (organizacje, instytucje itp.).
6. Krótkie wyniki analizy badanego problemu.
7. Słabości zidentyfikowane podczas analizy.
8. Kierunki (sposoby) rozwiązania zidentyfikowanych mankamentów badanego problemu.
9. Ocena ekonomiczna, skuteczność, praktyczne znaczenie proponowanych środków.

DODATEK 6

(Formularz plan kalendarza pisanie pracy dyplomowej)

Akceptuję

Promotor pracy magisterskiej

„_____” ______20 __

PLAN-HARMONOGRAM

pisanie pracy magisterskiej na temat __________________________________________

Opracowanie treści pracy dyplomowej i jej uzgodnienie z promotorem.

kierownik

Wprowadzenie z uzasadnieniem trafności wybranego tematu, celów i zadań pracy.

kierownik

Zakończenie części teoretycznej i zgłoszenie do weryfikacji.

Konsultant

Realizacja części praktycznej i zgłoszenie do weryfikacji.

Konsultant

Koordynacja z kierownikiem wniosków i propozycji

kierownik

Rejestracja pracy dyplomowej

kierownik

Uzyskiwanie informacji zwrotnej od menedżera

kierownik

Uzyskaj recenzję

recenzent

10.

Wstępna obrona tezy

Kierownik, konsultant

11.

Obrona pracy

kierownik

Student-(student) _________________________________________________

(podpis, data, odpis podpisu)

Kierownik Dyplomu ________________________________________________________________

DODATEK 8

(Przykład treści pracy)

Zawartość

Wprowadzenie …………………………………………………………………………………..3

1. Charakterystyka techniczna i ekonomiczna Tematyka i przedsiębiorstw…...5

1. Ogólna charakterystyka obszaru tematycznego …………………………………...5
2. Struktura organizacyjna i funkcjonalna przedsiębiorstwa…………………………6
3. Analiza ryzyka w zakresie bezpieczeństwa informacji………………………………...8

2. Uzasadnienie potrzeby doskonalenia systemu zapewnienia bezpieczeństwa informacji i ochrony informacji w przedsiębiorstwie………..25

1. Wybór zestawu zadań dla zapewnienia bezpieczeństwa informacji………29
2. Określenie miejsca projektowanego zbioru zadań w zespole zadań przedsiębiorstwa, uszczegółowienie zadań bezpieczeństwa informacji i ochrony informacji………………………………………………………………… …………………35
3. Dobór środków ochronnych……………………………………………………………….39

3. Zestaw środków organizacyjnych zapewniających bezpieczeństwo informacji i ochronę informacji przedsiębiorstwa………………………………………………………..43

1. Kompleks zaprojektowanego oprogramowania i sprzętu dla zapewnienia bezpieczeństwa informacji i ochrony informacji przedsiębiorstwa…….…48
2. Struktura kompleksu sprzętowo-programowego bezpieczeństwa informacji i ochrony informacji przedsiębiorstwa………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………
3. Przykład realizacji projektu i jego opis…………………………………...54
4. Obliczanie wskaźników efektywności ekonomicznej projektu………………………57

4. Wniosek…………………………………………………………………………...62
5. Wykaz wykorzystanej literatury………………………………………………………..65

Wstęp

Rozdział 1. Teoretyczne aspekty akceptacji i bezpieczeństwa informacji

1.1Pojęcie bezpieczeństwa informacji

3 Praktyki bezpieczeństwa informacji

Rozdział 2. Analiza systemu bezpieczeństwa informacji

1 Zakres firmy i analiza wyników finansowych

2 Opis firmowego systemu bezpieczeństwa informacji

3 Opracowanie zestawu środków do modernizacji istniejącego systemu bezpieczeństwa informacji

Wniosek

Bibliografia

załącznik

Załącznik 1. Bilans za 2010 rok

Załącznik 1. Bilans za 2010 rok

Wstęp

O aktualności tematu pracy decyduje zwiększony poziom problemów bezpieczeństwa informacji, nawet w kontekście szybkiego rozwoju technologii i narzędzi ochrony danych. Nie da się zapewnić 100% poziomu ochrony korporacyjnych systemów informatycznych, przy jednoczesnym prawidłowym ustalaniu priorytetów zadań związanych z ochroną danych w kontekście ograniczonej części budżetu przeznaczonego na technologie informatyczne.

Niezawodna ochrona komputerowej i sieciowej infrastruktury korporacyjnej to podstawowe zadanie w zakresie bezpieczeństwa informacji dla każdej firmy. Wraz z rozwojem biznesu przedsiębiorstwa i przejściem do organizacji rozproszonej geograficznie, zaczyna ona wykraczać poza jeden budynek.

Skuteczna ochrona infrastruktury IT i aplikacji systemy korporacyjne dziś jest to niemożliwe bez wdrożenia nowoczesne technologie kontrola dostępu do sieci. Coraz częstsze przypadki kradzieży nośników zawierających cenne informacje o charakterze biznesowym coraz częściej wymuszają działania organizacyjne.

Celem tej pracy będzie ocena istniejącego w organizacji systemu bezpieczeństwa informacji oraz wypracowanie środków do jego doskonalenia.

Cel ten określa następujące zadania pracy:

) rozważyć pojęcie bezpieczeństwa informacji;

) rozważyć rodzaje możliwych zagrożeń dla systemów informatycznych, możliwości ochrony przed możliwymi zagrożeniami wycieku informacji w organizacji.

) określić listę zasobów informacyjnych, których naruszenie integralności lub poufności spowoduje największe szkody dla przedsiębiorstwa;

) opracowują na ich podstawie zestaw środków służących poprawie istniejącego systemu bezpieczeństwa informacji.

Praca składa się ze wstępu, dwóch rozdziałów, zakończenia, spisu odniesień i zastosowań.

Wstęp uzasadnia aktualność tematu badawczego, formułuje cel i cele pracy.

Rozdział pierwszy dotyczy teoretycznych aspektów koncepcji bezpieczeństwa informacji w organizacji.

Drugi rozdział podaje: krótki opis działalność firmy, kluczowe wskaźniki efektywności, opisuje Stan aktulany systemy bezpieczeństwa informacji i proponowane środki w celu ich poprawy.

Podsumowując, sformułowano główne wyniki i wnioski z pracy.

Podstawą metodyczną i teoretyczną pracy dyplomowej była praca ekspertów krajowych i zagranicznych w dziedzinie bezpieczeństwa informacji.W trakcie pracy nad pracą dyplomową wykorzystywano informacje odzwierciedlające treść ustaw, aktów prawnych i rozporządzeń, rozporządzeń Rządu Federacji Rosyjskiej regulującej bezpieczeństwo informacji, międzynarodowe standardy bezpieczeństwa informacji.

Teoretycznym znaczeniem badań dyplomowych jest wdrożenie zintegrowanego podejścia w kształtowaniu polityki bezpieczeństwa informacji.

O praktycznym znaczeniu pracy decyduje fakt, że jej wyniki umożliwiają zwiększenie stopnia ochrony informacji w przedsiębiorstwie poprzez umiejętne zaprojektowanie polityki bezpieczeństwa informacji.

Rozdział 1. Teoretyczne aspekty akceptacji i bezpieczeństwa informacji

1.1 Pojęcie bezpieczeństwa informacji

Przez bezpieczeństwo informacji rozumie się ochronę informacji i wspierającej ją infrastruktury przed przypadkowymi lub złośliwymi wpływami, których skutkiem może być uszkodzenie samej informacji, jej właścicieli lub infrastruktury wspierającej. Zadania bezpieczeństwa informacji sprowadzają się do minimalizowania szkód oraz przewidywania i zapobiegania takim skutkom.

Parametry systemów informatycznych wymagających ochrony można podzielić na następujące kategorie: zapewnienie integralności, dostępności i poufności zasobów informacyjnych.

dostępność to możliwość uzyskania w krótkim czasie wymaganej usługi informacyjnej;

integralność to aktualność i spójność informacji, ich ochrona przed zniszczeniem i nieuprawnionymi zmianami;

poufność - ochrona przed nieuprawnionym dostępem do informacji.

Systemy informacyjne są tworzone przede wszystkim w celu uzyskania pewnych usługi informacyjne. Jeżeli z jakiegoś powodu uzyskanie informacji stanie się niemożliwe, powoduje to szkody dla wszystkich podmiotów relacji informacyjnych. Na tej podstawie można stwierdzić, że dostępność informacji jest na pierwszym miejscu.

Uczciwość jest głównym aspektem bezpieczeństwa informacji, gdy głównymi parametrami informacji będą dokładność i prawdziwość. Na przykład recepty na leki lub zestaw i charakterystykę składników.

Najbardziej rozwiniętym elementem bezpieczeństwa informacji w naszym kraju jest poufność. Jednak praktyczne wdrożenie środków zapewniających poufność nowoczesnych systemów informatycznych napotyka w Rosji ogromne trudności. Po pierwsze, informacje o kanały techniczne wycieki informacji są zamykane, tak że większość użytkowników nie jest w stanie wyrobić sobie wyobrażenia o potencjalnych zagrożeniach. Po drugie, istnieje wiele prawnych i technicznych wyzwań, które stoją na drodze niestandardowej kryptografii jako podstawowego narzędzia ochrony prywatności.

Działania, które mogą uszkodzić system informacyjny, można podzielić na kilka kategorii.

celowa kradzież lub zniszczenie danych na stacji roboczej lub serwerze;

uszkodzenie danych przez użytkownika w wyniku nieostrożnych działań.

. „Elektroniczne” metody oddziaływania hakerów.

Hakerzy to osoby, które angażują się w przestępstwa komputerowe zarówno zawodowo (w tym w ramach rywalizacji), jak i po prostu z ciekawości. Metody te obejmują:

nieautoryzowane przenikanie do sieci komputerowych;

Celem nieautoryzowanej penetracji sieci firmowej z zewnątrz może być wyrządzenie szkody (zniszczenie danych), kradzież poufnych informacji i wykorzystanie ich do nielegalnych celów, wykorzystanie infrastruktury sieciowej do organizowania ataków na węzły firm trzecich, kradzież środków z kont itp. .

Atak typu DOS (w skrócie Denial of Service - „denial of service”) to atak zewnętrzny na węzły sieci przedsiębiorstwa odpowiedzialne za jej bezpieczne i wydajne działanie (serwery plików, poczty). Atakujący organizują masowe wysyłanie pakietów danych do tych węzłów w celu spowodowania ich przeciążenia i w efekcie ich wyłączenia na pewien czas. Z reguły pociąga to za sobą naruszenia procesów biznesowych poszkodowanej firmy, utratę klientów, utratę reputacji itp.

Wirusy komputerowe. Oddzielna kategoria metody elektroniczne wpływ — wirusy komputerowe i inne złośliwe oprogramowanie. Stanowią realne zagrożenie dla współczesnego biznesu, który w szerokim zakresie wykorzystuje sieci komputerowe, Internet i pocztę elektroniczną. Przenikanie wirusa do węzłów sieci firmowej może prowadzić do zakłócenia ich funkcjonowania, utraty godzin pracy, utraty danych, kradzieży poufnych informacji, a nawet bezpośredniej kradzieży środków. Program wirusowy, który przeniknął do sieci firmowej, może dać atakującym częściową lub całkowitą kontrolę nad działaniami firmy.

Spam. W ciągu zaledwie kilku lat spam zmienił się z drobnego irytującego w jedno z największych zagrożeń bezpieczeństwa:

Poczta e-mail stała się w ostatnich latach głównym kanałem dystrybucji. złośliwe oprogramowanie;

spam zabiera dużo czasu na przeglądanie, a następnie usuwanie wiadomości, powoduje u pracowników uczucie dyskomfortu psychicznego;

zarówno osoby fizyczne, jak i organizacje stają się ofiarami oszukańczych schematów wdrażanych przez spamerów (ofiary często starają się nie ujawniać takich zdarzeń);

wraz ze spamem często usuwana jest ważna korespondencja, co może prowadzić do utraty klientów, niepowodzenia umów i innych nieprzyjemnych konsekwencji; Ryzyko utraty poczty jest szczególnie wysokie w przypadku korzystania z czarnych list RBL i innych „surowych” metod filtrowania spamu.

Zagrożenia „naturalne”. Na bezpieczeństwo informacji w firmie może wpływać wiele czynników zewnętrznych: niewłaściwe przechowywanie, kradzież komputerów i nośników, siła wyższa itp. mogą spowodować utratę danych.

System zarządzania bezpieczeństwem informacji (SZBI lub System Zarządzania Bezpieczeństwem Informacji) pozwala zarządzać zestawem środków realizujących określoną, wymyśloną strategię, w tym przypadku - w odniesieniu do bezpieczeństwa informacji. Zwróć uwagę, że mówimy nie tylko o zarządzaniu istniejącym systemem, ale także o budowie nowego/przeprojektowaniu starego.

Zestaw środków obejmuje środki organizacyjne, techniczne, fizyczne i inne. Zarządzanie bezpieczeństwem informacji to złożony proces, który umożliwia wdrożenie najbardziej efektywnego i kompleksowego zarządzania bezpieczeństwem informacji w firmie.

Celem zarządzania bezpieczeństwem informacji jest zachowanie poufności, integralności i dostępności informacji. Pozostaje tylko pytanie, jakiego rodzaju informacje należy chronić i jakie wysiłki należy podjąć, aby zapewnić ich bezpieczeństwo.

Każde zarządzanie opiera się na świadomości sytuacji, w której ma miejsce. W zakresie analizy ryzyka świadomość sytuacji wyraża się w inwentaryzacji i ocenie majątku organizacji oraz jej otoczenia, czyli wszystkiego, co zapewnia prowadzenie działalności biznesowej. Z punktu widzenia analizy ryzyka związanego z bezpieczeństwem informacji, główne aktywa to bezpośrednio informacja, infrastruktura, personel, wizerunek i reputacja firmy. Bez inwentaryzacji majątku na poziomie działalności gospodarczej nie sposób odpowiedzieć na pytanie, co należy chronić. Bardzo ważne jest, aby zrozumieć, jakie informacje są przetwarzane w organizacji i gdzie są przetwarzane.

W dużej nowoczesnej organizacji liczba zasobów informacyjnych może być bardzo duża. Jeżeli działania organizacji są zautomatyzowane za pomocą systemu ERP, to możemy powiedzieć, że prawie każdy materialny obiekt wykorzystywany w tej działalności odpowiada jakiemuś obiektowi informacyjnemu. Dlatego podstawowym zadaniem zarządzania ryzykiem jest identyfikacja najważniejszych aktywów.

Nie da się rozwiązać tego problemu bez zaangażowania menedżerów głównej działalności organizacji, zarówno menedżerów średniego, jak i wyższego szczebla. Optymalna sytuacja jest wtedy, gdy najwyższe kierownictwo organizacji osobiście wyznacza najbardziej krytyczne obszary działalności, dla których niezwykle ważne jest zapewnienie bezpieczeństwa informacji. Opinia kierownictwa wyższego szczebla na temat priorytetów w zapewnieniu bezpieczeństwa informacji jest bardzo ważna i cenna w procesie analizy ryzyka, ale w każdym przypadku należy ją doprecyzować poprzez zebranie informacji o krytyczności aktywów średniego szczebla kierownictwa firmy. Jednocześnie wskazane jest prowadzenie dalszych analiz właśnie w wyznaczonych przez najwyższe kierownictwo obszarach działalności biznesowej. Otrzymane informacje są przetwarzane, agregowane i przesyłane do najwyższego kierownictwa w celu kompleksowej oceny sytuacji.

Informacje można identyfikować i lokalizować na podstawie opisu procesów biznesowych, w których informacja jest uważana za jeden z rodzajów zasobów. Zadanie jest nieco uproszczone, jeśli organizacja przyjęła podejście regulacji biznesowych (na przykład w celu zarządzania jakością i optymalizacji procesów biznesowych). Sformalizowane opisy procesów biznesowych są dobrym punktem wyjścia do inwentaryzacji aktywów. Jeśli nie ma opisów, możesz zidentyfikować aktywa na podstawie informacji otrzymanych od pracowników organizacji. Po zidentyfikowaniu aktywów należy określić ich wartość.

Praca nad ustaleniem wartości aktywów informacyjnych w kontekście całej organizacji jest zarówno najbardziej znacząca, jak i złożona. To właśnie ocena zasobów informacyjnych pozwoli kierownikowi działu bezpieczeństwa informacji na wybór głównych obszarów działalności zapewniających bezpieczeństwo informacji.

Jednak efektywność ekonomiczna procesu zarządzania bezpieczeństwem informacji w dużej mierze zależy od świadomości tego, co należy chronić i jakie wysiłki będą do tego potrzebne, ponieważ w większości przypadków nakład pracy jest wprost proporcjonalny do ilości wydanych i działających koszty. Zarządzanie ryzykiem pozwala odpowiedzieć na pytanie, gdzie możesz podejmować ryzyko, a gdzie nie. W przypadku bezpieczeństwa informacji określenie „ryzyko” oznacza, że ​​w pewnym obszarze można nie podejmować znaczących wysiłków w celu ochrony zasobów informacyjnych, a jednocześnie w przypadku naruszenia bezpieczeństwa organizacja nie ucierpi znaczne straty. Tutaj możemy narysować analogię do klas ochrony systemów automatycznych: im większe ryzyko, tym bardziej rygorystyczne powinny być wymagania w zakresie ochrony.

Aby określić konsekwencje naruszenia bezpieczeństwa, należy albo dysponować informacjami o zarejestrowanych incydentach o podobnym charakterze, albo przeprowadzić analizę scenariuszy. Analiza scenariuszy analizuje związki przyczynowe między zdarzeniami naruszenia bezpieczeństwa aktywów a wpływem tych zdarzeń na działalność organizacji. Konsekwencje scenariuszy powinny być oceniane przez kilka osób, iteracyjnie lub deliberatywnie. Należy zauważyć, że opracowanie i ocena takich scenariuszy nie może być całkowicie oderwana od rzeczywistości. Trzeba zawsze pamiętać, że scenariusz musi być prawdopodobny. Kryteria i skale ustalania wartości są indywidualne dla każdej organizacji. Na podstawie wyników analizy scenariuszy możliwe jest uzyskanie informacji o wartości aktywów.

W przypadku zidentyfikowania aktywów i określenia ich wartości można powiedzieć, że cele zapewnienia bezpieczeństwa informacji są częściowo ustalone: ​​określone są przedmioty ochrony i znaczenie utrzymania ich w stanie bezpieczeństwa informacji dla organizacji. Być może pozostaje tylko ustalić, przed kim należy się chronić.

Po zdefiniowaniu celów zarządzania bezpieczeństwem informacji konieczne jest przeanalizowanie problemów, które uniemożliwiają zbliżenie się do stanu docelowego. Na tym poziomie proces analizy ryzyka sprowadza się do infrastruktury informatycznej i tradycyjnych koncepcji bezpieczeństwa informacji - naruszeń, zagrożeń i podatności.

Do oceny ryzyka nie wystarczy wprowadzić standardowy model intruzów, który dzieli wszystkich intruzów ze względu na rodzaj dostępu do zasobu i wiedzę o strukturze aktywów. To oddzielenie pomaga określić, jakie zagrożenia można skierować na dany zasób, ale nie odpowiada na pytanie, czy w zasadzie te zagrożenia można zrealizować.

W procesie analizy ryzyka konieczna jest ocena motywacji sprawców w realizacji zagrożeń. Jednocześnie osoba naruszająca nie ma być abstrakcyjnym zewnętrznym hakerem lub osobą poufną, ale stroną zainteresowaną uzyskaniem korzyści poprzez naruszenie bezpieczeństwa zasobu.

Wstępne informacje o modelu intruza, podobnie jak w przypadku wyboru początkowych obszarów działalności w celu zapewnienia bezpieczeństwa informacji, należy uzyskać od najwyższego kierownictwa, które wyobraża sobie pozycję organizacji na rynku, posiada informacje o konkurentach i czym można się od nich spodziewać metod oddziaływania. Informacje niezbędne do opracowania modelu intruza można również uzyskać ze specjalistycznych opracowań dotyczących naruszeń z zakresu bezpieczeństwa komputerowego w obszarze biznesowym, dla którego przeprowadzana jest analiza ryzyka. Dobrze zaprojektowany model intruza uzupełnia cele zapewnienia bezpieczeństwa informacji, określone w ocenie aktywów organizacji.

Opracowanie modelu zagrożeń i identyfikacja podatności są nierozerwalnie związane z inwentaryzacją środowiska zasobów informacyjnych organizacji. Same informacje nie są przechowywane ani przetwarzane. Dostęp do niej zapewniany jest z wykorzystaniem infrastruktury informatycznej automatyzującej procesy biznesowe organizacji. Ważne jest, aby zrozumieć, w jaki sposób infrastruktura informacyjna i zasoby informacyjne organizacji są powiązane. Z punktu widzenia zarządzania bezpieczeństwem informacji znaczenie infrastruktury informacyjnej można ustalić dopiero po określeniu relacji między zasobami informacyjnymi a infrastrukturą. W przypadku, gdy procesy utrzymania i obsługi infrastruktury informatycznej w organizacji są uregulowane i przejrzyste, zbieranie informacji niezbędnych do identyfikacji zagrożeń i oceny podatności jest znacznie uproszczone.

Opracowanie modelu zagrożeń to zadanie dla specjalistów ds. bezpieczeństwa, którzy mają dobre pojęcie o tym, jak intruz może uzyskać nieautoryzowany dostęp do informacji, naruszając granice bezpieczeństwa lub stosując metody socjotechniki. Opracowując model zagrożeń, można również mówić o scenariuszach jako o kolejnych krokach, według których można wdrożyć zagrożenia. Bardzo rzadko zdarza się, aby zagrożenia były wdrażane w jednym kroku, wykorzystując pojedynczą lukę w systemie.

Model zagrożeń powinien obejmować wszystkie zagrożenia zidentyfikowane w wyniku powiązanych procesów zarządzania bezpieczeństwem informacji, takich jak zarządzanie podatnością i incydentami. Należy pamiętać, że zagrożenia trzeba będzie uszeregować względem siebie według poziomu prawdopodobieństwa ich realizacji. W tym celu w procesie opracowywania modelu zagrożenia dla każdego zagrożenia konieczne jest wskazanie najważniejszych czynników, których istnienie wpływa na jego realizację.

Polityka bezpieczeństwa opiera się na analizie ryzyk uznanych za realne dla systemu informatycznego organizacji. Po przeanalizowaniu zagrożeń i zdefiniowaniu strategii ochrony opracowywany jest program bezpieczeństwa informacji. Na ten program przydzielane są środki, wyznaczane są osoby odpowiedzialne, ustalana jest procedura monitorowania realizacji programu itp.

W szerokim znaczeniu polityka bezpieczeństwa definiowana jest jako system udokumentowanych decyzji zarządczych zapewniających bezpieczeństwo organizacji. W wąskim znaczeniu polityka bezpieczeństwa jest zwykle rozumiana jako lokalny dokument regulacyjny, który określa wymagania bezpieczeństwa, system środków lub kolejność działań, a także odpowiedzialność pracowników organizacji i mechanizmy kontrolne za określony obszar ​​​​bezpieczeństwo.

Przed przystąpieniem do kształtowania samej polityki bezpieczeństwa informacji konieczne jest zrozumienie podstawowych pojęć, którymi będziemy się posługiwać.

Informacje - informacje (wiadomości, dane) bez względu na formę ich prezentacji.

Poufność informacji jest obowiązkowym wymogiem, aby osoba mająca dostęp do określonych informacji nie przekazywała tych informacji osobom trzecim bez zgody ich właściciela.

Bezpieczeństwo informacji (IS) to stan ochrony środowiska informacyjnego społeczeństwa, zapewniający jego tworzenie, użytkowanie i rozwój w interesie obywateli, organizacji, państw.

Pojęcie „informacji” jest dziś używane dość szeroko i wszechstronnie.

Zapewnienie bezpieczeństwa informacji nie może być czynnością jednorazową. Jest to proces ciągły, polegający na uzasadnianiu i wdrażaniu najbardziej racjonalnych metod, sposobów i środków doskonalenia i rozwoju systemu ochrony, ciągłym monitorowaniu jego stanu, identyfikowaniu jego słabości i bezprawnych działań.

Bezpieczeństwo informacji można zapewnić tylko przy zintegrowanym wykorzystaniu całej gamy dostępnych narzędzi ochrony we wszystkich elementach konstrukcyjnych systemu produkcyjnego oraz na wszystkich etapach cyklu technologicznego przetwarzania informacji. Największy efekt osiąga się, gdy wszystkie zastosowane środki, metody i środki są połączone w jeden całościowy mechanizm systemu ochrony informacji. Jednocześnie funkcjonowanie systemu powinno być monitorowane, aktualizowane i uzupełniane w zależności od zmian warunków zewnętrznych i wewnętrznych.

Zgodnie z normą GOST R ISO/IEC 15408:2005 można wyróżnić następujące rodzaje wymagań bezpieczeństwa:

funkcjonalne, odpowiadające aktywnemu aspektowi ochrony, nałożonemu na funkcje bezpieczeństwa i mechanizmy je realizujące;

wymagania zapewnienia, odpowiadające aspektowi pasywnemu, nałożone na technologię oraz proces rozwoju i eksploatacji.

Bardzo ważne jest, aby bezpieczeństwo w tym standardzie nie było rozpatrywane statycznie, ale w odniesieniu do cyklu życia przedmiotu oceny. Wyróżnia się następujące etapy:

określenie przeznaczenia, warunków użytkowania, celów i wymagań bezpieczeństwa;

projektowanie i rozwój;

testowanie, ocena i certyfikacja;

wdrożenie i eksploatacja.

Przyjrzyjmy się więc bliżej wymogom bezpieczeństwa funkcjonalnego. Zawierają:

ochrona danych użytkownika;

ochrona funkcji bezpieczeństwa (wymagania dotyczą integralności i kontroli tych usług bezpieczeństwa oraz mechanizmów je realizujących);

zarządzanie bezpieczeństwem (wymagania tej klasy dotyczą zarządzania atrybutami i parametrami bezpieczeństwa);

audyt bezpieczeństwa (identyfikacja, rejestracja, przechowywanie, analiza danych wpływających na bezpieczeństwo przedmiotu oceny, reakcja na ewentualne naruszenie bezpieczeństwa);

prywatność (ochrona użytkownika przed ujawnieniem i nieuprawnionym wykorzystaniem jego danych identyfikacyjnych);

wykorzystanie zasobów (wymagania dotyczące dostępności informacji);

komunikacja (uwierzytelnianie stron zaangażowanych w wymianę danych);

zaufana trasa/kanał (do komunikacji z usługami ochrony).

Zgodnie z tymi wymaganiami konieczne jest ukształtowanie systemu bezpieczeństwa informacji organizacji.

System bezpieczeństwa informacji organizacji obejmuje następujące obszary:

regulacyjne;

organizacyjny (administracyjny);

techniczny;

oprogramowanie;

Dla pełnej oceny sytuacji w przedsiębiorstwie we wszystkich obszarach bezpieczeństwa konieczne jest opracowanie koncepcji bezpieczeństwa informacji, która ustanowi systematyczne podejście do problemu bezpieczeństwa zasobów informacji i będzie systematyczną deklaracją celów, założeń, zasad projektowania oraz zestaw środków zapewniających bezpieczeństwo informacji w przedsiębiorstwie.

System zarządzania siecią korporacyjną powinien opierać się na następujących zasadach (zadaniach):

zapewnienie ochrony istniejącej infrastruktury informatycznej przedsiębiorstwa przed ingerencją intruzów;

zapewnienie warunków do lokalizacji i minimalizacji ewentualnych uszkodzeń;

wykluczenie pojawienia się na początkowym etapie przyczyn powstawania źródeł zagrożeń;

zapewnienie ochrony informacji o trzech głównych rodzajach pojawiających się zagrożeń (dostępność, integralność, poufność);

Rozwiązanie powyższych zadań osiąga się poprzez;

regulacja działań użytkowników pracy z systemem informatycznym;

regulacja działań użytkowników pracy z bazą danych;

ujednolicone wymagania dotyczące niezawodności sprzętu i oprogramowania;

procedury monitorowania pracy systemu informatycznego (rejestrowanie zdarzeń, analiza protokołów, analiza ruchu sieciowego, analiza działania środków technicznych);

Polityka bezpieczeństwa informacji obejmuje:

głównym dokumentem jest „Polityka bezpieczeństwa”. Opisuje ogólnie politykę bezpieczeństwa organizacji, przepisy ogólne, a także odpowiednie dokumenty dotyczące wszystkich aspektów polityki;

instrukcje regulujące pracę użytkowników;

opis stanowiska administratora sieci lokalnej;

opis stanowiska administratora bazy danych;

instrukcje pracy z zasobami internetowymi;

instrukcje dotyczące organizacji ochrony hasłem;

instrukcja organizacji ochrona antywirusowa.

Dokument „Polityka bezpieczeństwa” zawiera główne postanowienia. Na jej podstawie budowany jest program bezpieczeństwa informacji, opisy stanowisk pracy i zalecenia.

Instrukcja regulująca pracę użytkowników sieci lokalnej organizacji reguluje procedurę dopuszczania użytkowników do pracy w sieci lokalnej organizacji, a także zasady postępowania z informacjami chronionymi przetwarzanymi, przechowywanymi i przesyłanymi w organizacji.

Opis zadań administratora sieci lokalnej opisuje obowiązki administratora sieci lokalnej w zakresie bezpieczeństwa informacji.

Opis stanowiska administratora bazy danych określa główne obowiązki, funkcje i uprawnienia administratora bazy danych. Opisuje bardzo szczegółowo wszystkie obowiązki i funkcje administratora bazy danych, a także prawa i obowiązki.

Instrukcje dotyczące pracy z zasobami internetowymi odzwierciedlają podstawowe zasady bezpieczna praca z Internetem, zawiera również listę dopuszczalnych i niedopuszczalnych działań podczas pracy z zasobami internetowymi.

Instrukcja organizacji ochrony antywirusowej określa główne przepisy, wymagania dotyczące organizacji ochrony antywirusowej systemu informatycznego organizacji, wszelkie aspekty związane z działaniem oprogramowania antywirusowego, a także odpowiedzialność w przypadku naruszenia ochrona antywirusowa.

Instrukcja dotycząca organizacji ochrony haseł reguluje obsługę organizacyjno-techniczną procesów generowania, zmiany i kończenia haseł (usuwania kont użytkowników). Reguluje również działania użytkowników i personelu konserwacyjnego podczas pracy z systemem.

Podstawą organizacji procesu ochrony informacji jest zatem polityka bezpieczeństwa sformułowana w celu określenia przed jakimi zagrożeniami iw jaki sposób chroniona jest informacja w systemie informatycznym.

Polityka bezpieczeństwa to zbiór prawnych, organizacyjnych i technicznych środków ochrony informacji przyjętych w danej organizacji. Oznacza to, że polityka bezpieczeństwa zawiera zestaw warunków, w których użytkownicy uzyskują dostęp do zasobów systemu bez utraty właściwości bezpieczeństwa informacji tego systemu.

Zadanie zapewnienia bezpieczeństwa informacji powinno być realizowane w sposób systematyczny. Oznacza to, że różne środki ochrony (sprzęt, oprogramowanie, fizyczne, organizacyjne itp.) muszą być stosowane jednocześnie i pod scentralizowaną kontrolą.

Do chwili obecnej istnieje duży arsenał metod zapewniających bezpieczeństwo informacji:

środki identyfikacji i uwierzytelniania użytkowników;

sposoby szyfrowania informacji przechowywanych na komputerach i przesyłanych przez sieci;

zapory sieciowe;

wirtualne sieci prywatne;

narzędzia do filtrowania treści;

narzędzia do sprawdzania integralności zawartości dysków;

środki ochrony antywirusowej;

systemy wykrywania podatności sieci i analizatory ataki sieciowe.

Każde z tych narzędzi może być używane zarówno samodzielnie, jak i w integracji z innymi. Umożliwia to tworzenie systemów ochrony informacji dla sieci o dowolnej złożoności i konfiguracji, niezależnie od używanych platform.

System uwierzytelniania (lub identyfikacji), autoryzacji i administracji. Identyfikacja i autoryzacja to kluczowe elementy bezpieczeństwa informacji. Funkcja autoryzacji odpowiada za to, do jakich zasobów ma dostęp dany użytkownik. Funkcją administracyjną jest udostępnienie użytkownikowi określonych cech identyfikacyjnych w ramach danej sieci oraz określenie zakresu dozwolonych dla niego działań.

Systemy szyfrowania pozwalają zminimalizować straty w przypadku nieuprawnionego dostępu do danych przechowywanych na dysku twardym lub innym nośniku, a także przechwycenia informacji przesyłanych pocztą elektroniczną lub przesyłanych protokołami sieciowymi. Zadanie to narzędzie ochrona - zapewnienie poufności. Główne wymagania dotyczące systemów szyfrowania to wysoki poziom siły kryptograficznej i legalność użytkowania w Rosji (lub innych państwach).

Zapora to system lub kombinacja systemów, która tworzy barierę ochronną między dwiema lub większą liczbą sieci, zapobiegając przedostawaniu się do sieci lub opuszczaniu jej przez nieautoryzowane pakiety danych.

Podstawową zasadą zapór ogniowych jest sprawdzanie każdego pakietu danych pod kątem zgodności przychodzącego i wychodzącego adresu IP z bazą dozwolonych adresów. W ten sposób zapory znacznie rozszerzają możliwości shardingu sieci informacyjne oraz kontrola obiegu danych.

Mówiąc o kryptografii i firewallach, należy wspomnieć o bezpiecznych wirtualnych sieciach prywatnych (Virtual Private Network - VPN). Ich zastosowanie pozwala na rozwiązanie problemów poufności i integralności danych podczas ich transmisji otwartymi kanałami komunikacyjnymi. Korzystanie z VPN można sprowadzić do rozwiązania trzech głównych zadań:

ochrona przepływu informacji pomiędzy różnymi oddziałami firmy (informacje są szyfrowane dopiero przy wyjściu do sieci zewnętrznej);

bezpieczny dostęp zdalni użytkownicy sieci do zasobów informacyjnych firmy, zwykle realizowane przez Internet;

ochrona przepływu informacji pomiędzy poszczególnymi aplikacjami w sieciach korporacyjnych (ten aspekt jest również bardzo ważny, ponieważ większość ataków jest przeprowadzana z sieci wewnętrznych).

Skuteczny środek ochrony przed utratą poufnych informacji - filtrowanie treści przychodzących i wychodzących E-mail. Weryfikacja wiadomości e-mail i ich załączników w oparciu o zasady ustalone przez organizację pomaga również chronić firmy przed odpowiedzialnością w procesach sądowych oraz chronić ich pracowników przed spamem. Narzędzia do filtrowania treści umożliwiają skanowanie plików we wszystkich popularnych formatach, w tym skompresowanych i graficznych. W którym wydajność sieć pozostaje praktycznie niezmieniona.

Wszystkie zmiany na stacji roboczej lub na serwerze mogą być śledzone przez administratora sieci lub innego uprawnionego użytkownika dzięki technologii sprawdzania integralności zawartości dysku twardego (sprawdzanie integralności). Pozwala to wykryć wszelkie działania na plikach (modyfikacja, usunięcie lub samo otwarcie) i zidentyfikować aktywność wirusów, nieautoryzowany dostęp lub kradzieży danych przez autoryzowanych użytkowników. Kontrola opiera się na analizie sum kontrolnych plików (suma CRC).

Nowoczesne technologie antywirusowe umożliwiają wykrycie prawie wszystkich znanych już programów wirusowych poprzez porównanie kodu podejrzanego pliku z próbkami przechowywanymi w antywirusowej bazie danych. Ponadto opracowano technologie modelowania zachowań w celu wykrywania nowo tworzonych programów wirusowych. Wykryte obiekty można wyleczyć, odizolować (poddać kwarantannie) lub usunąć. Ochronę przed wirusami można zainstalować na stacjach roboczych, serwerach plików i poczty, a zapory sieciowe działają pod prawie każdym powszechnym system operacyjny(systemy Windows, Unix i Linux, Novell) na różnych typach procesorów.

Filtry antyspamowe znacznie zmniejszają nieproduktywne koszty pracy związane z analizowaniem spamu, redukują ruch i obciążenie serwera, poprawiają przygotowanie psychologiczne w zespole oraz zmniejszają ryzyko zaangażowania pracowników firmy w oszukańcze transakcje. Ponadto filtry spamu zmniejszają ryzyko infekcji nowymi wirusami, ponieważ wiadomości zawierające wirusy (nawet te, które nie zostały jeszcze uwzględnione w antywirusowych bazach danych) często wykazują oznaki spamu i są odfiltrowywane. To prawda, że ​​pozytywny efekt filtrowania spamu można przekreślić, jeśli filtr wraz ze śmieciami usunie lub oznaczy jako spam i wiadomości przydatne, służbowe lub osobiste.

Ogromne szkody dla firm spowodowane przez wirusy i ataki hakerów, jest w dużej mierze konsekwencją słabości używanego oprogramowania. Możesz je zidentyfikować z wyprzedzeniem, nie czekając na prawdziwy atak, korzystając z systemów wykrywania podatności sieć komputerowa i analizatory ataków sieciowych. Takie oprogramowanie bezpiecznie symuluje typowe ataki i włamania oraz dokładnie określa, co haker może zobaczyć w sieci i jak może wykorzystać jej zasoby.

Aby przeciwdziałać naturalnym zagrożeniom bezpieczeństwa informacji, firma powinna opracować i wdrożyć zestaw procedur zapobiegających sytuacjom awaryjnym (np. w celu zapewnienia fizycznej ochrony danych przed pożarem) i minimalizujących szkody w przypadku ich wystąpienia. Jedną z głównych metod ochrony przed utratą danych jest: utworzyć kopię zapasową przy ścisłym przestrzeganiu ustalonych procedur (prawidłowość, rodzaje nośników, metody przechowywania kopii itp.).

Polityka bezpieczeństwa informacji to pakiet dokumentów regulujących pracę pracowników, opisujących podstawowe zasady pracy z informacją, systemem informacyjnym, bazami danych, siecią lokalną i zasobami internetowymi. Ważne jest, aby zrozumieć, w jakim miejscu zajmuje polityka bezpieczeństwa informacji wspólny system Zarządzanie organizacją. Poniżej przedstawiono ogólne środki organizacyjne związane z polityką bezpieczeństwa.

Na poziomie proceduralnym można wyróżnić następujące klasy środków:

zarządzanie personelem;

ochrona fizyczna;

utrzymanie wydajności;

reagowanie na naruszenia bezpieczeństwa;

planowanie renowacji.

Zarządzanie zasobami ludzkimi zaczyna się od zatrudnienia, ale już wcześniej należy zdefiniować uprawnienia komputera związane ze stanowiskiem. Istnieją dwa ogólne zasady zapamiętać:

podział obowiązków;

minimalizacja uprawnień.

Zasada podziału obowiązków określa sposób podziału ról i obowiązków tak, aby jedna osoba nie mogła zakłócić procesu, który jest krytyczny dla organizacji. Na przykład niepożądana jest sytuacja, w której dużych płatności w imieniu organizacji dokonuje jedna osoba. Bezpieczniej jest powierzyć jednemu pracownikowi przetwarzanie wniosków o takie płatności, a drugiemu certyfikować te wnioski. Innym przykładem są ograniczenia proceduralne dotyczące działań administratora. Możliwe jest sztuczne "podzielenie" hasła administratora poprzez przekazanie jego pierwszej części jednemu pracownikowi, a drugiej drugiemu. Wtedy tylko dwie z nich będą mogły wykonywać czynności krytyczne dla administracji systemem informatycznym, co zmniejsza prawdopodobieństwo błędów i nadużyć.

Zasada minimalizacji uprawnień nakazuje przydzielanie użytkownikom tylko tych praw dostępu, których potrzebują do wykonywania swoich obowiązków. Cel tej zasady jest oczywisty - zmniejszenie szkód spowodowanych przypadkowymi lub umyślnymi nieprawidłowymi działaniami.

Wstępne przygotowanie opisu stanowiska pracy pozwala ocenić jego krytyczność oraz zaplanować procedurę sprawdzania i selekcji kandydatów. Im bardziej odpowiedzialne stanowisko, tym dokładniej trzeba sprawdzać kandydatów: pytać o nich, być może porozmawiać z byłymi współpracownikami itp. Taka procedura może być długa i kosztowna, więc nie ma sensu jej dalej komplikować. Jednocześnie niemądre jest całkowite odrzucenie wstępnej kontroli, aby przypadkowo nie zatrudnić osoby z kryminalną przeszłością lub chorobą psychiczną.

Gdy kandydat zostanie zidentyfikowany, prawdopodobnie zostanie przeszkolony; przynajmniej powinien być dokładnie zaznajomiony z obowiązkami na danym stanowisku, a także z zasadami i procedurami bezpieczeństwa informacji. Pożądane jest, aby przed objęciem urzędu i przed założeniem konta systemowego z loginem, hasłem i uprawnieniami nauczył się środków bezpieczeństwa.

Bezpieczeństwo systemu informatycznego zależy od środowiska, w którym działa. Niezbędne jest podjęcie działań w celu ochrony budynków i otoczenia, infrastruktury wspomagającej, komputerów, nośników danych.

Rozważ następujące obszary ochrony fizycznej:

fizyczna kontrola dostępu;

ochrona infrastruktury pomocniczej;

ochrona systemów mobilnych.

Fizyczne środki kontroli dostępu umożliwiają kontrolę i, jeśli to konieczne, ograniczenie wejścia i wyjścia pracowników i gości. Można kontrolować cały budynek organizacji, a także poszczególne lokale, na przykład te, w których znajdują się serwery, sprzęt komunikacyjny itp.

Infrastruktura wspierająca obejmuje systemy zaopatrzenia w energię, wodę i ciepło, klimatyzatory i łączność. W zasadzie mają do nich zastosowanie te same wymagania dotyczące integralności i dostępności, co do systemów informatycznych. Aby zapewnić integralność, sprzęt musi być chroniony przed kradzieżą i uszkodzeniem. Aby zachować dostępność, należy wybierać sprzęt o maksymalnym czasie między awariami, duplikować krytyczne węzły i zawsze mieć pod ręką części zamienne.

Ogólnie rzecz biorąc, przy doborze środków ochrony fizycznej należy przeprowadzić analizę ryzyka. Decydując się zatem na zakup zasilacza awaryjnego należy wziąć pod uwagę jakość zasilania w budynku zajmowanym przez organizację (jednak prawie na pewno okaże się słaba), charakter i czas trwania awarie zasilania, koszt dostępnych źródeł i ewentualne straty w wyniku awarii (awaria sprzętu, zawieszenie pracy organizacji) itp.)

Rozważ szereg środków mających na celu utrzymanie dobrego stanu systemów informatycznych. To w tym obszarze czai się największe niebezpieczeństwo. Nieumyślne błędy administratorów systemu i użytkowników mogą prowadzić do utraty wydajności, a mianowicie uszkodzenia sprzętu, zniszczenia programów i danych. To najgorszy przypadek. W najlepszym razie tworzą luki w zabezpieczeniach, które pozwalają na implementację zagrożeń dla bezpieczeństwa systemów.

Głównym problemem wielu organizacji jest niedoszacowanie czynników bezpieczeństwa w codziennej pracy. Drogie narzędzia zabezpieczające są bezwartościowe, jeśli są słabo udokumentowane, powodują konflikty z innym oprogramowaniem, a hasło administratora systemu nie zostało zmienione od czasu instalacji.

W przypadku codziennych czynności mających na celu utrzymanie dobrej kondycji systemu informacyjnego można wyróżnić następujące działania:

wsparcie użytkownika;

wsparcie oprogramowania;

Zarządzanie konfiguracją;

utworzyć kopię zapasową;

zarządzanie mediami;

dokumentacja;

prace regulacyjne.

Wsparcie użytkownika to przede wszystkim doradztwo i pomoc w rozwiązywaniu różnego rodzaju problemów. W przepływie pytań bardzo ważna jest umiejętność identyfikacji problemów związanych z bezpieczeństwem informacji. Tak więc wiele trudności użytkowników pracujących nad komputery osobiste może być spowodowane infekcją wirusową. Wskazane jest zapisywanie pytań użytkowników w celu zidentyfikowania ich typowych błędów i wydawania notatek z zaleceniami dotyczącymi typowych sytuacji.

Wsparcie oprogramowania jest jednym z najważniejszych sposobów zapewnienia integralności informacji. Przede wszystkim musisz śledzić, jakie oprogramowanie jest zainstalowane na komputerach. Jeśli użytkownicy sami instalują programy, może to prowadzić do infekcji wirusowej, a także pojawienia się narzędzi, które omijają zabezpieczenia. Jest też prawdopodobne, że „inicjatywa” użytkowników stopniowo doprowadzi do chaosu na ich komputerach, a administrator systemu będzie musiał naprawić sytuację.

Drugim aspektem obsługi oprogramowania jest kontrola braku nieautoryzowanych zmian w programach i praw dostępu do nich. Obejmuje to również obsługę kopii wzorcowych. systemy oprogramowania. Zazwyczaj kontrolę uzyskuje się poprzez połączenie fizycznej i logicznej kontroli dostępu, a także wykorzystanie narzędzi do weryfikacji i integralności.

Zarządzanie konfiguracją pozwala kontrolować i rejestrować zmiany wprowadzone w konfiguracji oprogramowania. Przede wszystkim należy ubezpieczyć się od przypadkowych lub nieprzemyślanych modyfikacji, aby móc przynajmniej wrócić do poprzedniej działającej wersji. Zatwierdzenie zmian ułatwi przywrócenie bieżącej wersji po awarii.

Najlepszym sposobem na ograniczenie błędów w rutynowej pracy jest jej maksymalne zautomatyzowanie. Automatyzacja i bezpieczeństwo są od siebie zależne, ponieważ ten, komu zależy przede wszystkim na ułatwieniu swojego zadania, w rzeczywistości optymalnie kształtuje reżim bezpieczeństwa informacji.

Backup jest niezbędny do przywrócenia programów i danych po katastrofach. I tutaj wskazane jest zautomatyzowanie pracy, przynajmniej poprzez stworzenie komputerowego harmonogramu tworzenia kopii pełnych i przyrostowych, a maksymalnie przy użyciu odpowiedniego produkty oprogramowania. Należy również zadbać o to, aby kopie były umieszczane w bezpiecznym miejscu, chronionym przed nieuprawnionym dostępem, pożarami, wyciekami, czyli przed wszystkim, co mogłoby doprowadzić do kradzieży lub uszkodzenia nośnika. Dobrze mieć wiele kopii. kopie zapasowe i przechowywać część z nich poza terenem organizacji, chroniąc w ten sposób przed poważnymi awariami i podobnymi zdarzeniami. Od czasu do czasu, w celach testowych, należy sprawdzić możliwość odzyskania informacji z kopii.

Zarządzanie nośnikami jest niezbędne do zapewnienia fizycznej ochrony i odpowiedzialności za dyskietki, taśmy, wydruki i tym podobne. Zarządzanie mediami musi zapewniać poufność, integralność i dostępność informacji przechowywanych poza systemami komputerowymi. Ochrona fizyczna jest tu rozumiana nie tylko jako odzwierciedlenie nieautoryzowanych prób dostępu, ale także ochrona przed szkodliwymi wpływami środowiska (ciepło, zimno, wilgoć, magnetyzm). Zarządzanie mediami powinno obejmować cały cykl życia, od zamówienia po likwidację.

Dokumentacja jest integralną częścią bezpieczeństwa informacji. Prawie wszystko jest udokumentowane – od polityki bezpieczeństwa po dziennik inwentaryzacji nośników. Ważne jest, aby dokumentacja była aktualna, odzwierciedlająca aktualny stan rzeczy oraz w spójnej formie.

Wymogi poufności dotyczą przechowywania niektórych dokumentów (zawierających np. analizę podatności i zagrożeń systemu), podczas gdy wymogi integralności i dostępności dotyczą innych, takich jak plan odtwarzania po awarii (w sytuacji krytycznej plan musi zostać odnaleziony i czytać).

Prace konserwacyjne stanowią bardzo poważne zagrożenie bezpieczeństwa. Pracownik wykonujący rutynową konserwację uzyskuje wyłączny dostęp do systemu iw praktyce bardzo trudno jest dokładnie kontrolować, jakie czynności wykonuje. Tutaj na pierwszy plan wysuwa się stopień zaufania do tych, którzy wykonują pracę.

Przyjęta przez organizację polityka bezpieczeństwa powinna przewidywać zestaw działań operacyjnych mających na celu wykrywanie i neutralizację naruszeń reżimu bezpieczeństwa informacji. Ważne jest, aby w takich przypadkach kolejność działań była zaplanowana z wyprzedzeniem, ponieważ środki muszą być podjęte w trybie pilnym i skoordynowanym.

Reakcja na naruszenia bezpieczeństwa ma trzy główne cele:

lokalizacja zdarzenia i ograniczenie wyrządzonych szkód;

zapobieganie powtarzającym się naruszeniom.

Często wymóg zlokalizowania zdarzenia i ograniczenia szkód powodował konflikty z chęcią zidentyfikowania sprawcy. Polityce bezpieczeństwa organizacji należy z góry nadać priorytet. Ponieważ, jak pokazuje praktyka, bardzo trudno jest zidentyfikować intruza, naszym zdaniem należy przede wszystkim zadbać o zmniejszenie szkód.

Żadna organizacja nie jest odporna na poważne wypadki spowodowane przyczynami naturalnymi, złośliwe działania, zaniedbania lub niekompetencję. Jednocześnie każda organizacja ma funkcje, które kierownictwo uważa za krytyczne, muszą być wykonywane bez względu na wszystko. Planowanie regeneracji pozwala przygotować się na wypadki, zmniejszyć wynikające z nich szkody i zachować przynajmniej minimalną zdolność do funkcjonowania.

Należy zauważyć, że środki bezpieczeństwa informacji można podzielić na trzy grupy, w zależności od tego, czy mają na celu zapobieganie, wykrywanie lub eliminowanie skutków ataków. Większość środków ma charakter zapobiegawczy.

Proces planowania naprawy można podzielić na następujące etapy:

identyfikacja krytycznych funkcji organizacji, ustalanie priorytetów;

identyfikacja zasobów potrzebnych do wykonywania funkcji krytycznych;

ustalenie listy możliwych wypadków;

opracowanie strategii naprawy;

przygotowanie do realizacji wybranej strategii;

sprawdzenie strategii.

Planując prace konserwatorskie należy mieć świadomość, że nie zawsze jest możliwe zachowanie w pełni funkcjonowania organizacji. Konieczna jest identyfikacja funkcji krytycznych, bez których organizacja traci twarz, a nawet wśród funkcji krytycznych priorytetyzacja, aby szybko i skutecznie minimalny koszt wznowić pracę po wypadku.

Identyfikując zasoby potrzebne do wykonywania funkcji krytycznych, pamiętaj, że wiele z nich ma charakter niekomputerowy. Na tym etapie pożądane jest zaangażowanie w prace specjalistów o różnych profilach.

W związku z tym istnieje wiele różnych metod zapewnienia bezpieczeństwa informacji. Najskuteczniejsze jest zastosowanie wszystkich tych metod w jednym kompleksie. Dzisiejszy rynek zabezpieczeń jest nasycony narzędziami bezpieczeństwa informacji. Nieustannie badając istniejące propozycje rynku bezpieczeństwa, wiele firm dostrzega nieadekwatność wcześniej zainwestowanych środków w systemy bezpieczeństwa informacji, np. ze względu na przestarzałość sprzętu i oprogramowania. Dlatego szukają rozwiązań tego problemu. Mogą być dwie takie opcje: z jednej strony jest to całkowite zastąpienie firmowego systemu ochrony informacji, co będzie wymagało dużych inwestycji, a z drugiej modernizacja istniejących systemów bezpieczeństwa. Ostatnie rozwiązanie tego problemu jest najtańsze, ale niesie ze sobą nowe problemy, np. wymaga odpowiedzi na pytania: jak zapewnić kompatybilność starych, pozostawionych z dostępnego sprzętu i oprogramowania narzędzi zabezpieczających oraz nowych elementów systemu bezpieczeństwa informacji; jak zapewnić scentralizowane zarządzanie heterogenicznymi narzędziami bezpieczeństwa; jak ocenić i, jeśli to konieczne, ponownie oszacować ryzyko informacyjne firmy.

Rozdział 2. Analiza systemu bezpieczeństwa informacji

1 Zakres firmy i analiza wyników finansowych

OAO Gazprom to globalna firma energetyczna. Główna działalność to poszukiwanie, produkcja, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej oraz produkcja i sprzedaż ciepła i energii elektrycznej.

Gazprom widzi swoją misję w niezawodnych, wydajnych i zrównoważonych dostawach gazu ziemnego, innych rodzajów surowców energetycznych oraz produktów ich przetwarzania do odbiorców.

Gazprom posiada najbogatsze złoża gazu ziemnego na świecie. Jego udział w światowych rezerwach gazu wynosi 18%, w Rosji - 70%. Gazprom odpowiada za 15% światowego i 78% rosyjskiego wydobycia gazu. Obecnie firma aktywnie realizuje zakrojone na szeroką skalę projekty zagospodarowania złóż gazu Półwyspu Jamalskiego, szelfu arktycznego, Syberii Wschodniej i Dalekiego Wschodu, a także szereg projektów poszukiwania i wydobycia węglowodorów za granicą.

Gazprom jest niezawodnym dostawcą gazu dla odbiorców rosyjskich i zagranicznych. Firma jest właścicielem największej na świecie sieci przesyłowej gazu – Zunifikowanego Systemu Dostaw Gazu Rosji, którego długość przekracza 161 000 km. Na rynku krajowym Gazprom sprzedaje ponad połowę sprzedawanego przez siebie gazu. Ponadto firma dostarcza gaz do 30 krajów blisko i daleko za granicą.

Gazprom jest jedynym producentem i eksporterem skroplonego gazu ziemnego w Rosji i dostarcza około 5% światowej produkcji LNG.

Spółka jest jednym z pięciu największych producentów ropy w Federacji Rosyjskiej, a także największym właścicielem aktywów wytwórczych na swoim terytorium. Ich łączna moc zainstalowana wynosi 17% całkowitej mocy zainstalowanej rosyjskiego systemu energetycznego.

Celem strategicznym jest osiągnięcie przez OAO Gazprom pozycji lidera wśród światowych firm energetycznych poprzez rozwój nowych rynków, dywersyfikację działalności oraz zapewnienie niezawodności dostaw.

Weź pod uwagę wyniki finansowe firmy w ciągu ostatnich dwóch lat. Wyniki działalności firmy przedstawia Załącznik 1.

Na dzień 31 grudnia 2010 r. Przychody ze sprzedaży wyniosły 2495557 mln rubli, liczba ta jest znacznie niższa w porównaniu z danymi z 2011 r., czyli 3296656 mln rubli.

Przychody ze sprzedaży (bez podatku akcyzowego, VAT i ceł) wzrosły o 801.099 mln RUB, tj. o 32%, za dziewięć miesięcy zakończonych 30 września 2011 r. w porównaniu do analogicznego okresu roku ubiegłego i wyniosły 3.296 656 mln rubli

W oparciu o wyniki 2011 r. sprzedaż netto gazu stanowiła 60% całkowitej sprzedaży netto (60% w analogicznym okresie roku ubiegłego).

Wpływy netto ze sprzedaży gazu wzrosły z 1.495.335 mln rubli. za rok do 1 987 330 milionów rubli. za ten sam okres w 2011 roku, czyli o 33%.

Wpływy netto ze sprzedaży gazu do Europy i innych krajów wzrosły o 258 596 mln rubli, czyli o 34% w porównaniu z analogicznym okresem ubiegłego roku i wyniosły 1 026 451 mln rubli. Ogólny wzrost sprzedaży gazu do Europy i innych krajów był spowodowany wzrostem średnich cen. Średnia cena w rublach (wraz z cłami) wzrosła o 21% w okresie dziewięciu miesięcy zakończonym 30 września 2011 roku w porównaniu do analogicznego okresu 2010 roku. Ponadto sprzedaż gazu wzrosła o 8% w porównaniu do analogicznego okresu roku ubiegłego.

Wpływy netto ze sprzedaży gazu do krajów byłego Związku Radzieckiego wzrosły w tym samym okresie 2010 roku o 168 538 mln rubli, tj. 58% i wyniosły 458 608 mln rubli. Zmiana była spowodowana głównie 33% wzrostem sprzedaży gazu do krajów byłego Związku Radzieckiego w okresie dziewięciu miesięcy zakończonym 30 września 2011 r. rok do roku. Ponadto średnia cena w rublach (wraz z cłami, bez VAT) wzrosła o 15% w porównaniu z analogicznym okresem ubiegłego roku.

Wpływy netto ze sprzedaży gazu w Federacji Rosyjskiej wzrosły o 64 861 mln rubli, czyli o 15% w porównaniu z analogicznym okresem ubiegłego roku i wyniosły 502 271 mln rubli. Wynika to głównie ze wzrostu średniej ceny gazu o 13% w porównaniu z analogicznym okresem ubiegłego roku, co wiąże się ze wzrostem taryf ustalanych przez Federalną Służbę Taryfową (FTS).

Wpływy netto ze sprzedaży produktów naftowych i gazowych (bez akcyzy, podatku VAT i ceł) wzrosły o 213 012 mln rubli, tj. 42% i wyniosły 717 723 mln rubli. w porównaniu z tym samym okresem ubiegłego roku. Wzrost ten wynika głównie ze wzrostu światowych cen produktów naftowych i gazowych oraz wzrostu wolumenu sprzedaży w porównaniu z tym samym okresem ubiegłego roku. Przychody Grupy Gazprom Nieft stanowiły odpowiednio 85% i 84% łącznych przychodów netto ze sprzedaży produktów rafinacji ropy naftowej.

Wpływy netto ze sprzedaży energii elektrycznej i ciepła (bez VAT) wzrosły o 38 097 mln rubli, tj. 19% i wyniosły 237 545 mln rubli. Wzrost przychodów ze sprzedaży energii elektrycznej i ciepła wynika głównie ze wzrostu taryf za energię elektryczną oraz energia cieplna, a także wzrost wolumenu sprzedaży energii elektrycznej i cieplnej.

Wpływy netto ze sprzedaży ropy naftowej i kondensatu gazowego (bez podatku akcyzowego, VAT i cła) wzrosły o 23 072 mln rubli, tj. 16% i wyniosły 164.438 mln rubli. w porównaniu do 141 366 milionów rubli. za ten sam okres ubiegłego roku. Zasadniczo zmiana spowodowana była wzrostem cen kondensatu ropy i gazu. Dodatkowo zmiana spowodowana była wzrostem sprzedaży kondensatu gazowego. Wpływy ze sprzedaży ropy naftowej wyniosły 133 368 mln rubli. i 121.675 milionów rubli. w przychodach netto ze sprzedaży ropy naftowej i kondensatu gazowego (bez podatku akcyzowego, VAT i cła) odpowiednio w 2011 i 2010 roku.

Przychody netto ze sprzedaży usług transportu gazu (bez VAT) wzrosły o 15 306 mln rubli, tj. o 23% i wyniosły 82 501 mln rubli w porównaniu z 67 195 mln rubli. za ten sam okres ubiegłego roku. Wzrost ten wynika głównie z podwyżki taryf za przesył gazu dla niezależnych dostawców, a także wzrostu ѐ m przesyłu gazu dla niezależnych dostawców w porównaniu do analogicznego okresu ubiegłego roku.

Pozostałe przychody wzrosły o 19 617 mln RUB, tj. 22%, i wyniosły 107 119 mln RUB. w porównaniu do 87 502 milionów rubli. za ten sam okres ubiegłego roku.

Wydatki na operacje handlowe bez faktycznej dostawy wyniosły 837 milionów rubli. w porównaniu do przychodów 5 786 mln RUB. za ten sam okres ubiegłego roku.

Koszty operacyjne wzrosły o 23% i wyniosły 2 119 289 mln rubli. w porównaniu do 1 726 604 milionów rubli. za ten sam okres ubiegłego roku. Udział kosztów operacyjnych w przychodach ze sprzedaży zmniejszył się z 69% do 64%.

Koszty pracy wzrosły o 18% i wyniosły 267 377 mln rubli. w porównaniu do 227 500 milionów rubli. za ten sam okres ubiegłego roku. Wzrost wynika głównie ze wzrostu przeciętnych wynagrodzeń.

Amortyzacja w analizowanym okresie wzrosła o 9% lub o 17 026 mln rubli i wyniosła 201 636 mln rubli w porównaniu z 184 610 mln rubli. za ten sam okres ubiegłego roku. Wzrost wynikał głównie z rozbudowy bazy środków trwałych.

W wyniku powyższych czynników zysk ze sprzedaży wzrósł o 401.791 mln RUB, tj. 52% i wyniósł 1.176.530 mln RUB. w porównaniu do 774 739 milionów rubli. za ten sam okres ubiegłego roku. Marża zysku ze sprzedaży wzrosła z 31% do 36% w okresie dziewięciu miesięcy zakończonym 30 września 2011 r.

Tym samym OAO Gazprom jest globalną firmą energetyczną. Główna działalność to poszukiwanie, produkcja, transport, magazynowanie, przetwarzanie i sprzedaż gazu, kondensatu gazowego i ropy naftowej oraz produkcja i sprzedaż ciepła i energii elektrycznej. Kondycja finansowa firmy jest stabilna. Wskaźniki wydajności mają pozytywny trend.

2 Opis firmowego systemu bezpieczeństwa informacji

Rozważmy główne działania działów Służby Bezpieczeństwa Korporacyjnego JSC „Gazprom”:

opracowanie programów celowych rozwoju systemów i zespołów inżynieryjno-technicznych środków ochrony (ITSO), systemów bezpieczeństwa informacji (IS) OAO Gazprom oraz jego spółek zależnych i organizacji, udział w tworzeniu programu inwestycyjnego mającego na celu zapewnienie informacji i zabezpieczenia techniczne;

realizacja uprawnień Klienta do prac nad rozwojem systemów bezpieczeństwa informacji oraz systemów i kompleksów ITSO;

rozpatrywanie i zatwierdzanie wniosków budżetowych i budżetów na realizację działań na rzecz rozwoju systemów bezpieczeństwa informacji, systemów i zespołów ITSO oraz na tworzenie informatyki w zakresie systemów bezpieczeństwa informacji;

rozpatrzenie i zatwierdzenie dokumentacji projektowej i przedprojektowej dla rozwoju systemów bezpieczeństwa informacji, systemów i zespołów ITSO oraz specyfikacji technicznych tworzenia (modernizacji) systemów informatycznych, telekomunikacyjnych i telekomunikacyjnych pod kątem wymagań bezpieczeństwa informacji;

organizacja pracy w celu oceny zgodności systemów i zespołów ITSO, systemów wsparcia IS (a także robót i usług związanych z ich tworzeniem) z ustalonymi wymaganiami;

koordynacja i kontrola wykonania prac w zakresie technicznej ochrony informacji.

Gazprom stworzył system zapewniający ochronę danych osobowych. Jednak przyjęcie przez federalne władze wykonawcze szeregu normatywnych aktów prawnych będących w opracowaniu” istniejące prawa a dekrety rządowe wymagają udoskonalenia obecnego systemu ochrony danych osobowych. W trosce o rozwiązanie tego problemu w ramach prac badawczych m.in cała linia dokumenty. Przede wszystkim są to projekty standardów Organizacji Rozwoju Gazpromu:

„Metodyka klasyfikacji systemów informatycznych OAO Gazprom, jej spółek zależnych i organizacji”;

„Model zagrożeń dla danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych OAO Gazprom, jej spółek zależnych i organizacji”.

Dokumenty te zostały opracowane z uwzględnieniem wymagań Rozporządzenia Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. Nr 781 „W sprawie zatwierdzenia Regulaminu w sprawie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” w w stosunku do klasy systemów specjalnych, do których należy większość ISPD JSC „Gazprom”.

Ponadto obecnie opracowywane są „Regulamin w sprawie organizacji i technicznego bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych OAO Gazprom, jego spółek zależnych i organizacji”.

Należy zauważyć, że w ramach systemu standaryzacji OAO Gazprom opracowane zostały standardy systemu bezpieczeństwa informacji, które pozwolą również na rozwiązywanie zadań ochrony PD przetwarzanych w systemach informatycznych OAO Gazprom.

Siedem norm dotyczących systemu bezpieczeństwa informacji zostało zatwierdzonych i wchodzi w życie w tym roku.

Normy określają główne wymagania dotyczące budowy systemów bezpieczeństwa informacji dla OAO Gazprom i jego spółek zależnych.

Wyniki przeprowadzonych prac pozwolą na bardziej racjonalne wykorzystanie zasobów materialnych, finansowych i intelektualnych, stworzenie niezbędnego wsparcia regulacyjnego i metodologicznego, wprowadzenie skutecznych środków ochrony, a w efekcie zapewnienie bezpieczeństwa danych osobowych przetwarzanych w informacjach Gazpromu systemy.

W wyniku przeprowadzonej przez OAO Gazprom analizy bezpieczeństwa informacji zidentyfikowano następujące niedociągnięcia w zapewnieniu bezpieczeństwa informacji:

organizacja nie posiada jednego dokumentu regulującego kompleksową politykę bezpieczeństwa;

biorąc pod uwagę wielkość sieci i liczbę użytkowników (ponad 100), należy zauważyć, że administracja systemem, bezpieczeństwo informacji i pomoc techniczna obsługiwane przez jedną osobę;

nie ma klasyfikacji zasobów informacyjnych według stopnia ważności;

role i obowiązki związane z bezpieczeństwem informacji nie są zawarte w opisach stanowisk;

umowa o pracę zawarta z pracownikiem nie zawiera klauzuli o obowiązkach w zakresie bezpieczeństwa informacji zarówno osób zatrudnionych, jak i samej organizacji;

nie prowadzi się szkolenia personelu w zakresie bezpieczeństwa informacji;

w zakresie ochrony przed zagrożeniami zewnętrznymi: brak jest typowych procedur odzyskiwania danych po wypadkach wynikających z zagrożeń zewnętrznych i środowiskowych;

serwerownia nie jest osobnym pomieszczeniem, do pomieszczenia przypisany jest status dwóch działów (oprócz administratora systemu dostęp do serwerowni ma jeszcze jedna osoba);

nie przeprowadza się sondowań technicznych i badań fizycznych pod kątem nieautoryzowanych urządzeń podłączonych do kabli;

pomimo tego, że wejście odbywa się za pomocą przepustek elektronicznych, a wszystkie informacje są wprowadzane do specjalnej bazy danych, nie przeprowadza się ich analizy;

w zakresie ochrony przed złośliwym oprogramowaniem: nie ma formalnej polityki ochrony przed zagrożeniami związanymi z otrzymywaniem plików zarówno z sieci zewnętrznych, jak i za ich pośrednictwem oraz znajdujących się na nośnikach wymiennych;

w zakresie ochrony przed złośliwym oprogramowaniem: nie ma wytycznych dotyczących ochrony sieci lokalnej przed złośliwym kodem;

brak kontroli ruchu, dostęp do serwerów pocztowych sieci zewnętrznych;

wszystkie kopie zapasowe są przechowywane w serwerowni;

używane są niezabezpieczone, łatwe do zapamiętania hasła;

odbiór haseł przez użytkowników nie jest w żaden sposób potwierdzany;

hasła w postaci zwykłego tekstu są przechowywane przez administratora;

hasła się nie zmieniają;

nie ma nakazu zgłaszania zdarzeń związanych z bezpieczeństwem informacji.

W związku z tym w oparciu o te niedociągnięcia opracowano zestaw regulacji dotyczących polityki bezpieczeństwa informacji, w tym:

polityka dotycząca zatrudniania (zwalniania) i nadawania (pozbawienia) pracowników niezbędnych uprawnień do dostępu do zasobów systemu;

polityka dotycząca pracy użytkowników sieci podczas jej eksploatacji;

polityka ochrony hasłem;

polityka ochrony fizycznej;

polityka internetowa;

oraz administracyjne środki bezpieczeństwa.

Dokumenty zawierające te przepisy są rozpatrywane przez kierownictwo organizacji.

3 Opracowanie zestawu środków do modernizacji istniejącego systemu bezpieczeństwa informacji

W wyniku analizy systemu bezpieczeństwa informacji OAO Gazprom zidentyfikowano istotne luki w systemie. Aby opracować środki eliminujące zidentyfikowane niedociągnięcia systemu bezpieczeństwa, wyróżniamy następujące grupy informacje podlegające ochronie:

informacje o życiu prywatnym pracowników, pozwalające na identyfikację ich tożsamości (dane osobowe);

informacje związane z działalnością zawodową i stanowiące tajemnicę bankową, audytorską i komunikacyjną;

informacje związane z działalnością zawodową i oznaczone jako informacje „do użytku służbowego”;

informacje, których zniszczenie lub modyfikacja wpłynie negatywnie na wydajność pracy, a odtworzenie będzie wymagało dodatkowych kosztów.

W zakresie środków administracyjnych opracowano następujące zalecenia:

system bezpieczeństwa informacji musi być zgodny z ustawodawstwem Federacji Rosyjskiej i standardami państwowymi;

budynki i pomieszczenia, w których zainstalowane lub przechowywane są urządzenia do przetwarzania informacji, prace prowadzone są z informacjami chronionymi, muszą być strzeżone i chronione za pomocą sygnalizacji i kontroli dostępu;

szkolenie personelu w kwestiach bezpieczeństwa informacji (wyjaśniające znaczenie ochrony hasłem i wymagania dotyczące haseł, instruktaż dotyczący oprogramowania antywirusowego itp.) powinno być zorganizowane przy zatrudnianiu pracownika;

co 6-12 miesięcy do prowadzenia szkoleń mających na celu poprawę alfabetyzacji pracowników w zakresie bezpieczeństwa informacji;

audyt systemu i dostosowanie opracowanych przepisów powinny być przeprowadzane corocznie, 1 października lub bezpośrednio po wprowadzeniu istotnych zmian w strukturze przedsiębiorstwa;

prawa dostępu każdego użytkownika do zasobów informacyjnych muszą być udokumentowane (w razie potrzeby o dostęp proszony jest od kierownika w formie pisemnego oświadczenia);

Politykę bezpieczeństwa informacji powinni zapewnić administrator oprogramowania i administrator sprzętu, ich działania koordynuje szef grupy.

Sformułujmy politykę haseł:

nie przechowuj ich w postaci niezaszyfrowanej (nie zapisuj ich na papierze, w zwykłym pliku tekstowym itp.);

zmiany hasła w przypadku jego ujawnienia lub podejrzenia ujawnienia;

długość musi wynosić co najmniej 8 znaków;

znaki hasła muszą zawierać duże i małe litery, cyfry i znaki specjalne, hasło nie powinno zawierać łatwych do wyliczenia ciągów znaków (imiona, imiona zwierząt, daty);

zmiana raz na 6 miesięcy (nieplanowana zmiana hasła musi być dokonana natychmiast po otrzymaniu powiadomienia o incydencie, który zainicjował zmianę);

podczas zmiany hasła nie można wybrać tych, które były wcześniej używane (hasła muszą różnić się o co najmniej 6 pozycji).

Sformułujmy politykę dotyczącą programów antywirusowych i wykrywania wirusów:

na każdej stacji roboczej musi być zainstalowane licencjonowane oprogramowanie antywirusowe;

aktualizacja antywirusowe bazy danych na stanowiskach pracy z dostępem do Internetu - raz dziennie, bez dostępu do Internetu - przynajmniej raz w tygodniu;

skonfigurować automatyczne skanowanie stacji roboczych w poszukiwaniu wirusów (częstotliwość skanowań - raz w tygodniu: piątek, 12:00);

tylko administrator może zatrzymać aktualizację antywirusowych baz danych lub skanowanie w poszukiwaniu wirusów (ochrona hasłem powinna być ustawiona dla określonej akcji użytkownika).

Sformułujmy politykę dotyczącą ochrony fizycznej:

sondowanie techniczne i badanie fizyczne pod kątem nieautoryzowanych urządzeń podłączonych do kabli, które należy przeprowadzać co 1-2 miesiące;

kable sieciowe muszą być chronione przed nieuprawnionym przechwyceniem danych;

zapisy wszystkich podejrzewanych i faktycznych awarii, które miały miejsce w sprzęcie, powinny być przechowywane w dzienniku

Każda stacja robocza musi być wyposażona w zasilacz awaryjny.

Zdefiniujmy politykę dotyczącą rezerwacji informacji:

na kopie zapasowe należy wydzielić osobne pomieszczenie zlokalizowane poza budynkiem administracyjnym (pomieszczenie powinno być wyposażone) zamek elektroniczny i alarmy)

rezerwacji informacji należy dokonywać w każdy piątek o godzinie 16:00.

Polityka dotycząca zatrudniania/zwalniania pracowników powinna mieć następującą formę:

wszelkie zmiany personalne (zatrudnienie, awans, zwolnienie pracownika itp.) muszą być zgłoszone administratorowi w ciągu 24 godzin, który z kolei musi dokonać odpowiednich zmian w systemie delimitacji praw dostępu do zasobów przedsiębiorstwa w okresie do połowy dzień roboczy ;

nowy pracownik musi zostać poinstruowany przez administratora, w tym zapoznać się z polityką bezpieczeństwa i wszystkimi niezbędnymi instrukcjami, poziom dostępu do informacji dla nowego pracownika wyznacza kierownik;

gdy pracownik opuszcza system, jego identyfikator i hasło są usuwane z systemu, sprawdzana jest stacja robocza pod kątem wirusów oraz analizowana jest integralność danych, do których pracownik miał dostęp.

Polityka dotycząca pracy z lokalną siecią wewnętrzną (LAN) i bazami danych (DB):

podczas pracy na swoim stanowisku pracy oraz w sieci LAN pracownik musi wykonywać tylko zadania, które są bezpośrednio związane z jego czynnościami służbowymi;

pracownik musi powiadomić administratora o wiadomościach z programów antywirusowych o pojawieniu się wirusów;

nikt poza administratorami nie może dokonywać zmian w projekcie lub konfiguracji stacji roboczych i innych węzłów LAN, instalować żadnego oprogramowania, pozostawiać bez kontroli stanowisko pracy lub umożliwić dostęp do niego osobom nieupoważnionym;

administratorom zaleca się, aby przez cały czas działały dwa programy: narzędzie do wykrywania ataków typu ARP spoofing oraz sniffer, których użycie pozwoli zobaczyć sieć oczami potencjalnego intruza i zidentyfikować osoby naruszające zasady bezpieczeństwa;

należy zainstalować oprogramowanie uniemożliwiające uruchamianie programów innych niż przydzielone przez administratora, w oparciu o zasadę: „Każda osoba otrzymuje uprawnienia niezbędne do wykonywania określonych zadań”. Wszystkie nieużywane porty komputerowe muszą być wyłączone sprzętowo lub programowo;

Oprogramowanie powinno być regularnie aktualizowane.

Polityka internetowa:

administratorom przyznaje się prawo do ograniczania dostępu do zasobów, których treść nie jest związana z wykonywaniem obowiązków służbowych, a także do zasobów, których treść i kierunek są zakazane przez prawo międzynarodowe i rosyjskie;

pracownikowi nie wolno pobierać i otwierać plików bez uprzedniego sprawdzenia pod kątem wirusów;

wszelkie informacje o zasobach odwiedzanych przez pracowników firmy powinny być ewidencjonowane i w razie potrzeby mogą być przekazywane kierownikom działów, a także kierownictwu

poufność i integralność korespondencji elektronicznej i dokumentów biurowych jest zapewniona dzięki wykorzystaniu EDS.

Ponadto sformułujemy podstawowe wymagania dotyczące kompilacji haseł dla pracowników OAO Gazprom.

Hasło jest jak klucze do domu, tyle że jest kluczem do informacji. W przypadku zwykłych kluczy bardzo niepożądane jest zgubienie, kradzież lub przekazanie w ręce nieznajomego. To samo dotyczy hasła. Oczywiście bezpieczeństwo informacji zależy nie tylko od hasła, ale aby je zapewnić, należy zainstalować kilka ustawienia specjalne a może nawet napisze program chroniący przed włamaniami. Ale wybór hasła jest dokładnie tą czynnością, w której tylko od użytkownika zależy, jak silne będzie to powiązanie w łańcuchu działań mających na celu ochronę informacji.

) hasło musi być długie (8-12-15 znaków);

) nie powinno być słowem ze słownika (dowolnego, nawet słownika terminów specjalnych i slangu), nazwą własną ani słowem pisanym cyrylicą w układzie łacińskim (łac. - kfnsym);

) nie może być powiązany z właścicielem;

) zmienia się okresowo lub w razie potrzeby;

) nie jest używany w tym charakterze na różnych zasobach (tj. dla każdego zasobu - do wejścia) skrzynka pocztowa, system operacyjny lub baza danych - należy użyć innego hasła);

) można zapamiętać.

Wybieranie słów ze słownika jest niepożądane, ponieważ atakujący przeprowadzając atak słownikowy użyje programów, które mogą sortować nawet setki tysięcy słów na sekundę.

Wszelkie informacje związane z właścicielem (czy to data urodzenia, imię psa, nazwisko panieńskie matki i podobne „hasła”) można łatwo rozpoznać i odgadnąć.

Użycie wielkich i małych liter oraz cyfr znacznie utrudnia osobie atakującej odgadnięcie hasła.

Hasło powinno być utrzymywane w tajemnicy, a jeśli podejrzewasz, że ktoś je zna, zmień je. Bardzo przydatne jest również ich od czasu do czasu zmienianie.

Wniosek

Przeprowadzone badanie pozwoliło na wyciągnięcie następujących wniosków i sformułowanie rekomendacji.

Ustalono, że główną przyczyną problemów przedsiębiorstwa w obszarze bezpieczeństwa informacji jest brak polityki bezpieczeństwa informacji, która obejmowałaby rozwiązania organizacyjne, techniczne, finansowe z późniejszym monitorowaniem ich wdrażania i oceną skuteczności.

Definicja polityki bezpieczeństwa informacji jest sformułowana jako zbiór udokumentowanych decyzji, których celem jest zapewnienie ochrony informacji i związanych z nią zagrożeń informacyjnych.

Analiza systemu bezpieczeństwa informacji ujawniła istotne niedociągnięcia, w tym:

przechowywanie kopii zapasowych w serwerowni, serwer kopii zapasowych znajduje się w tej samej sali co serwery główne;

brak odpowiednich zasad dotyczących ochrony hasła (długość hasła, zasady jego wybierania i przechowywania);

Siecią zarządza jedna osoba.

Uogólnienie praktyki międzynarodowej i rosyjskiej w zakresie zarządzania bezpieczeństwem informacji przedsiębiorstw doprowadziło do wniosku, że aby to zapewnić, konieczne jest:

prognozowanie i terminowa identyfikacja zagrożeń bezpieczeństwa, przyczyn i warunków, które przyczyniają się do wyrządzenia szkody finansowej, materialnej i moralnej;

tworzenie warunków do działań o najmniejszym ryzyku realizacji zagrożeń bezpieczeństwa zasobów informacji i powodowania różnego rodzaju szkód;

stworzenie mechanizmu i warunków skutecznego reagowania na zagrożenia bezpieczeństwa informacji w oparciu o środki prawne, organizacyjne i techniczne.

W pierwszym rozdziale pracy rozważane są główne aspekty teoretyczne. Przedstawiono przegląd kilku standardów w dziedzinie bezpieczeństwa informacji. Dla każdego wyciąga się wnioski i wybiera się najwłaściwszy standard tworzenia polityki bezpieczeństwa informacji.

Rozdział drugi dotyczy struktury organizacji, analizuje główne problemy związane z bezpieczeństwem informacji. W efekcie powstały rekomendacje zapewniające właściwy poziom bezpieczeństwa informacji. Rozważano również środki zapobiegające kolejnym incydentom związanym z naruszeniami bezpieczeństwa informacji.

Oczywiście zapewnienie bezpieczeństwa informacji organizacji jest procesem ciągłym, wymagającym stałego monitorowania. A naturalnie ukształtowana polityka nie jest żelaznym gwarantem ochrony. Oprócz realizacji polityki konieczne jest stałe monitorowanie jej jakości realizacji, a także doskonalenie w przypadku jakichkolwiek zmian w firmie lub precedensów. Zarekomendowano organizacji zatrudnienie pracownika, którego działalność będzie bezpośrednio związana z tymi funkcjami (administrator ochrony).

Bibliografia

bezpieczeństwo informacji szkoda finansowa

1. Biełow E.B. Podstawy bezpieczeństwa informacji. E.B. Biełow, wiceprezes Ełk, R.V. Meshcheryakov, A.A. Szelupanow. -M.: Gorąca linia- Telekomunikacja, 2006. - 544s

Galatenko V.A. Standardy bezpieczeństwa informacji: cykl wykładów. Edukacyjny

dodatek. - Wydanie II. M.: INTUIT.RU "Uniwersytet Internetowy Technologie informacyjne”, 2009. - 264 s.

Glatenko V.A. Standardy bezpieczeństwa informacji / systemy otwarte 2006.- 264s

Dolzhenko A.I. Zarządzanie systemami informatycznymi: Szkolenie. - Rostów nad Donem: RGEU, 2008.-125 s.

Kałasznikow A. Formowanie korporacyjnej polityki wewnętrznego bezpieczeństwa informacji #"justify">. Malyuk AA Bezpieczeństwo informacji: koncepcyjne i metodologiczne podstawy bezpieczeństwa informacji / M.2009-280s

Maywald E., Bezpieczeństwo sieci. Tutorial // Ekom, 2009.-528 s.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Podstawy organizacyjnego wsparcia bezpieczeństwa informacji obiektów informatyzacji // Helios ARV, 2008, 192 s.

Bezpieczeństwo informacji jest zwykle rozumiane jako zestaw środków mających na celu wdrożenie wymaganego poziomu ochrony oprogramowania i sprzętu przed nielegalnymi i nieuprawnionymi intruzami. Do tej pory najpopularniejszą jest kompleksowa ochrona informacji w przedsiębiorstwie, która obejmuje od razu wszystkie możliwe metody i narzędzia bezpieczeństwa, które są dostępne do wdrożenia. Jeśli weźmiemy pod uwagę jakikolwiek dyplom z bezpieczeństwa informacji, to z pewnością można znaleźć analizę każdego takiego środka ochrony informacji w SI, a mianowicie:

• Fizyczne środki ochrony, składające się z zainstalowanych kamer monitorujących, różnych urządzeń zamykających (zamków), drzwi, krat, szaf metalowych, sejfów itp. Zaprojektowany przede wszystkim w celu stworzenia naturalnej bariery dla intruza;
• Ochrona sprzętowa, w skład której wchodzą różne urządzenia, czujniki, detektory, skanery i kodery, które najskuteczniej przyczyniają się do zachowania poufności danych oraz bezpieczeństwa systemów i sieci (zakresem najczęstszego zastosowania jest ochrona informacji w sieci lokalne, a także kryptograficzną ochronę informacji);
• Oprogramowanie ochronne, które jest reprezentowane głównie przez różnego rodzaju zapory sieciowe, systemy antywirusowe, zapory ogniowe, polityki bezpieczeństwa itp., tj. różnorodne oprogramowanie, które w taki czy inny sposób rozszerza możliwości standardowe środki bezpieczeństwo i stosunkowo skutecznie radzi sobie z zadaniem. Jedynym wartym podkreślenia niuansem jest to, że jeśli robisz dyplom w zakresie rozwoju systemu ochrony danych osobowych, lepiej dać pierwszeństwo ochronie sprzętu, ponieważ stają się one znacznie bardziej skuteczne i nie są tak podatne na włamania;
• Organizacyjne środki ochrony, które są reprezentowane przez różne karty, zasady i przepisy techniczne dotyczące pracy z określonymi kategoriami danych. Organizacja i technologia ochrony informacji w tym przypadku jest następująca – wszyscy pracownicy ściśle przestrzegają przepisów i wymagań dotyczących pracy z danymi sklasyfikowanymi jako „poufne” lub „osobiste”. W przypadku nieprzestrzegania wymagań, powstają sankcje, odpowiedzialność administracyjna lub karna.

Oczywiście opisane powyżej metody ochrony danych nie są jedynymi, ale każdy z nich odgrywa ważną rolę w procesie przeprowadzania audytu bezpieczeństwa informacji w przedsiębiorstwie.

Wyróżnijmy się kluczowe cechy, które charakteryzują niemal wszystkie dyplomy z zakresu bezpieczeństwa informacji:

• Jasno określony i uzasadniony cel projektu, wysoka trafność prowadzonych badań oraz wyraźny pożądany rezultat oparty na wynikach wszystkich prac;
• Prawidłowo sformułowane zadanie główne, które zawiera listę wszystkich niezbędnych działań krok po kroku, które po pomyślnym wykonaniu prowadzą do wymaganego rezultatu końcowego;
• Identyfikacja kilku dostępnych rozwiązań zadania z uwzględnieniem wszystkich wymagań i warunków ochrony danych, dalszy wybór najwłaściwszej (pod względem czasu i kosztów) możliwej opcji i uzasadnienie dokonanego wyboru. Podstawowym czynnikiem w tym przypadku jest wydajność i zgodność ze wszystkimi wymogami ochrony danych;
• Określenie jak najbardziej przystępnej i zrozumiałej prezentacji wyniku badania dla większej przejrzystości w procesie przemawiania w obronie.

Nietrudno się domyślić, że dyplomy z bezpieczeństwa informacji w przedsiębiorstwie są dość złożone i obejmują różnorodne obszary, a dla prawidłowego rozwoju systemu ochrony danych osobowych ważna jest dobra wiedza teoretyczna i praktyczna. Ale ten warunek nie zawsze jest spełniony.

Niejednokrotnie studenci zadawali sobie pytanie - co zrobić, jeśli sam nie mam czasu na wykonanie całej pracy. Odpowiedź jest dość prosta – należy wcześniej skontaktować się z naszym sklepem internetowym, gdzie prezentowana jest ogromna liczba różnych prac z zakresu bezpieczeństwa informacji. Wystarczy podać tylko kilka przykładów:

• Praca nad organizacją bezpieczeństwa informacji;
• Praca dyplomowa z zakresu bezpieczeństwa informacji;
• Uwzględnienie problemów zapewnienia bezpieczeństwa informacji.

I jesteśmy absolutnie pewni, że każdy z Was będzie mógł wybrać u nas dyplom według swoich wymagań, a jeśli nie ma wybranego tematu, z łatwością zleci go naszym specjalistom.

W tej kategorii prezentowane są prace związane z zapewnieniem bezpieczeństwa informacyjnego przedsiębiorstw, systemów informatycznych oraz sieci lokalnych, w tym:

1. bezpieczeństwo dokumentów;
2. bezpieczeństwo systemów operacyjnych i baz danych;
3. bezpieczeństwo systemów komputerowych;
4. bezpieczeństwo zasobów internetowych;
5. inżynierska i techniczna ochrona informacji.

Prace przygotowane dla specjalistów następujących specjalności:

090000 BEZPIECZEŃSTWO INFORMACJI

090100 Bezpieczeństwo informacji

090101 Kryptografia

090102 Bezpieczeństwo komputera

mi Jeśli nie znalazłeś odpowiedniego gotowego dzieła, możesz zlecić napisanie nowego, które zostanie wykonane na czas i zgodnie z Twoimi wymaganiami. Formularz zamówienia dla .