So wählen Sie ein relevantes Thema der Abschlussarbeit im Fachgebiet Informationssicherheitssysteme aus. Die Relevanz des Themas des Diploms über Informationssicherheitssysteme, Empfehlungen von Experten, Beispiele für Themen der Abschlussarbeit.
Themen Diplom in der Spezialität Informationssicherheitssysteme widmet sich der Lösung verschiedener Forschungs- und Praxisprobleme, die darauf abzielen, die Informationssicherheit des untersuchten Objekts zu gewährleisten. Das Problem solcher Arbeiten ist auf die wachsende Zahl von Angriffen auf die Informationssicherheit auf verschiedene Informationssysteme und deren Komponenten zurückzuführen.
Der Untersuchungsgegenstand kann ein Computersystem, eine Systemkomponente, ein Geschäftsprozess, ein Unternehmen, ein Raum oder zirkulierende Daten sein.
Als Forschungsgegenstand kann man Methoden der Informationssicherheit, Methoden der Bedrohungsanalyse oder eine Bewertung der Wirksamkeit eines Informationssicherheitssystems herausgreifen.
Als Ziel Abschlussarbeit im Bereich Informationssicherheitssysteme man kann die Konstruktion oder Untersuchung der Möglichkeit der Verwendung von Risikomodellen und eines Schutzalgorithmus herausgreifen (mehr dazu).
Aufgaben von Arbeiten im Zusammenhang mit Themen der Diplomarbeiten im Fachgebiet Informationssicherheitssysteme, kann durch die folgende Liste definiert werden:
1. Auswahl und Untersuchung statistischer Daten, einschließlich Hypothesen und deren Beweis in Bezug auf Zufallsvariablen.
2. Begründung von Schadensarten und -funktionen, Entwicklung eines analytischen Risikomodells.
3. Bildung eines dynamischen Risikomodells basierend auf Sensitivitätskoeffizienten.
Die folgenden Hauptpunkte können verteidigt werden Diplomarbeiten im Fachgebiet Informationssicherheitssysteme:
1. Zuverlässigkeit des Nachweises der aufgestellten Hypothesen über die Bereiche effektiver Rechtsanwendung für Informationssicherheitsaufgaben.
2. Analytische Risikomodelle für Systemkomponenten, in denen Verluste eine bestimmte Verteilung haben.
3. Analytische Risikomodelle für Systeme, deren Komponenten gemeinsamer oder nicht gemeinsamer Wirkung identifizierter Angriffe ausgesetzt sind.
4. Dynamische Modelle, Systemempfindlichkeitsfunktionen.
5. Algorithmen für das Systemrisikomanagement.
Die wissenschaftliche Neuheit des Studiums von Diplomen zu solchen Themen kann in der folgenden Liste formalisiert werden.
1. Erstmals wurden die Bereiche effektiver Rechtsanwendung für Informationssicherheitsaufgaben untersucht.
2. Bisher unerforschte analytische Risikomodelle von Komponenten, in denen Schäden eine bestimmte Verteilung haben, werden berücksichtigt.
3. Analytische Risikomodelle von verteilten Systemen, die identifizierten Angriffen auf die Informationssicherheit ausgesetzt sind, wurden untersucht.
4. Die Algorithmisierung von Risikomanagementsystemen für dedizierte Verteilungs- und Informationssicherheitsangriffe wurde zum ersten Mal durchgeführt.
Der praktische Wert kann wie folgt sein:
1. Der Nachweis der aufgestellten Hypothesen ermöglicht eine sinnvolle Anwendung der Studienergebnisse zur Lösung von Informationssicherheitsproblemen.
2. Die erhaltenen analytischen Risikomodelle werden es in Zukunft ermöglichen, komplexe Modelle zu entwickeln, die in der Lage sind, das gesamte Spektrum von Angriffen auf die Informationssicherheit zu analysieren.
3. Dynamische Modelle, Empfindlichkeitsfunktionen Computersysteme ermöglichen die Lösung von Informationssicherheitsproblemen mit unterschiedlichen Risikostufen.
Die relevantesten Themen der Abschlussqualifikationsarbeiten (WQR) und wissenschaftlichen Forschungsarbeiten (F&E), sowie Diplomthemen im Fachgebiet Informationssicherheitssysteme können in der folgenden Tabelle dargestellt werden.
| 1. Schutz von Informationen in Bezug auf Kontrollkanäle des automatisierten Systems des Flughafens | 2. Implementierung eines Intrusion Detection Systems am Beispiel false Informationssysteme |
| 3. Design und Entwicklung von Informationssicherheitssystemen | 4. Schutz vor DDOS-Angriffen |
| 5. Schutz von Unternehmensinformationen auf E-Mail-Ebene | 6. Informationssicherheit geographisch verteiltes Unternehmen |
| 7. Umfassender Informationsschutz in einem Industrieunternehmen | 8. Informationssicherheit eines Computersystems bei der Umsetzung von Bedrohungen durch unbefugten Zugriff |
| 9. Entwicklung eines Risikomodells für ein Informationssicherheits-Managementsystem unter Unsicherheitsbedingungen | 10. Modernisierung des Schutzsystems von Informations- und Telekommunikationsnetzen |
| 11. Gewährleistung der Informationssicherheit mobiler Arbeitsplätze | 12. Organisation des Schutzes personenbezogener Daten im Rahmen der Durchführung von Virenangriffen |
| 13. Organisation der Abwehr von Sicherheitsbedrohungen der Organisation auf der Grundlage von Petri-Netzen | 14. Hauptrichtungen, Prinzipien und Methoden zur Gewährleistung der Informationssicherheit in Computernetzen |
| 15. Erstellen eines typischen Aktionsmodells eines Angreifers, der Fernangriffe implementiert | 16. Probleme der Informationssicherheit von Banken basierend auf diskretionären Modellen |
| 17. Entwicklung eines Algorithmus, um der Nutzung verdeckter Kommunikationskanäle entgegenzuwirken | 18. Entwicklung einer Reihe von Sicherheitsmaßnahmen für die Sicherheit von Informationen im Zusammenspiel von M2M-Komponenten |
| 19. Entwicklung eines Informationssicherheitssystems für ein sensibles strategisches Unternehmen | 20. Entwicklung eines Systems zum Schutz vertraulicher Informationen in Banksystemen |
| 21. WRC: Automatisierung und Informationssicherheit des Arbeitsplatzes des Kundenmanagers des Unternehmens | 22. Diplomarbeit: Organisation der Informationssicherheit des elektronischen Grundbucharchivs im BTI |
| 23. Bachelorarbeit: Entwicklung einer Informationssicherheits-Policy in einem Handels- und Produktionsunternehmen | 24. Diplomarbeit: Entwicklung einer Informationssicherheitspolitik eines Unternehmens |
| 25. Diplom: Gewährleistung der Informationssicherheit in einer Investmentgesellschaft | 26. Diplom: Prüfung der Informationssicherheit im Informationssicherheitssystem der Bank |
| 27. Abschluss Bachelorarbeit: Entwicklung und Bereitstellung der Informationssicherheit des automatisierten Arbeitsplatzes der Sekretärin | 28. Diplomarbeit: Entwicklung eines Maßnahmenbündels zur Informationssicherheit und zum Datenschutz in staatlichen Stellen. Institutionen |
| 29. Abschlussarbeit: Implementierung eines integrierten Informationssicherheitssystems in einem Unternehmen | 30. Abschlussarbeit: Modernisierung des Informationssicherheitssystems im Unternehmen |
| 31. Masterarbeit: Modernisierung des bestehenden Informationssicherheitssystems zur Erhöhung der Sicherheit | 32. Diplom: Modernisierung des bestehenden Systems zur Verbesserung der Informationssicherheit |
| 33. Diplom: Gewährleistung der Informationssicherheit bei der Implementierung und dem Betrieb elektronischer Zahlungsabwicklungssysteme | 34. Masterarbeit: Erhöhung des Informationssicherheitsniveaus eines Unternehmens durch die Implementierung von ACS |
| 35. Diplom: Entwicklung der Informationssicherheitspolitik im Unternehmen | 36. Diplom: Gewährleistung der Informationssicherheit in einer kommerziellen Organisation |
Einführung
Kapitel 1. Theoretische Aspekte der Akzeptanz und Informationssicherheit
1.1Das Konzept der Informationssicherheit 3 Informationssicherheitspraktiken Kapitel 2. Analyse des Informationssicherheitssystems 1 Der Umfang des Unternehmens und die Analyse der finanziellen Leistung 2 Beschreibung des Informationssicherheitssystems des Unternehmens 3 Entwicklung eines Maßnahmenbündels zur Modernisierung des bestehenden Informationssicherheitssystems Abschluss Referenzliste Anwendung Anlage 1. Bilanz 2010 Anlage 1. Bilanz 2010 Einführung Die Relevanz des Themas der Diplomarbeit wird durch die zunehmende Problematik der Informationssicherheit bestimmt, auch im Zusammenhang mit dem schnellen Wachstum von Technologien und Tools für den Datenschutz. Es ist unmöglich, ein 100-prozentiges Schutzniveau für die Informationssysteme von Unternehmen bereitzustellen, während Datenschutzaufgaben im Zusammenhang mit einem begrenzten Anteil des für Informationstechnologie bereitgestellten Budgets korrekt priorisiert werden. Der zuverlässige Schutz der Computing- und Netzwerk-Unternehmensinfrastruktur ist eine grundlegende Aufgabe im Bereich der Informationssicherheit für jedes Unternehmen. Mit dem Wachstum des Unternehmens und dem Übergang zu einer geografisch verteilten Organisation beginnt es, über ein einzelnes Gebäude hinauszugehen. Wirksamer Schutz von IT-Infrastruktur und Anwendungen Unternehmenssysteme heute ist ohne die Umsetzung nicht möglich moderne Technologien Kontrolle Netzwerkzugang. Zunehmende Diebstähle von Medien mit wertvollen Informationen geschäftlicher Natur zwingen zunehmend zu organisatorischen Maßnahmen. Der Zweck dieser Arbeit besteht darin, das in der Organisation vorhandene Informationssicherheitssystem zu bewerten und Maßnahmen zu seiner Verbesserung zu entwickeln. Dieses Ziel bestimmt die folgenden Aufgaben der Diplomarbeit: ) das Konzept der Informationssicherheit berücksichtigen; ) Betrachten Sie die Arten möglicher Bedrohungen für Informationssysteme und Optionen zum Schutz vor möglichen Bedrohungen durch Informationslecks in der Organisation. ) Identifizieren Sie eine Liste von Informationsquellen, deren Verletzung der Integrität oder Vertraulichkeit dem Unternehmen den größten Schaden zufügt; ) entwickeln auf ihrer Grundlage eine Reihe von Maßnahmen zur Verbesserung des bestehenden Informationssicherheitssystems. Die Arbeit besteht aus einer Einleitung, zwei Kapiteln, einem Schluss, einer Literatur- und Anwendungsliste. Die Einleitung konkretisiert die Relevanz des Forschungsthemas, formuliert Zweck und Ziele der Arbeit. Das erste Kapitel befasst sich mit den theoretischen Aspekten der Konzepte der Informationssicherheit in der Organisation. Das zweite Kapitel gibt eine kurze Beschreibung bzgl Aktivitäten des Unternehmens, Key Performance Indicators, beschreibt den aktuellen Zustand des Informationssicherheitssystems und schlägt Maßnahmen zu dessen Verbesserung vor. Abschließend werden die wichtigsten Ergebnisse und Schlussfolgerungen der Arbeit formuliert. Die methodische und theoretische Grundlage der Diplomarbeit waren die Arbeiten in- und ausländischer Experten auf dem Gebiet der Informationssicherheit. Russische Föderation zum Schutz von Informationen, internationale Standards zur Informationssicherheit. Die theoretische Bedeutung der Dissertationsforschung ist die Umsetzung eines integrierten Ansatzes bei der Entwicklung von Informationssicherheitsrichtlinien. Die praktische Bedeutung der Arbeit wird dadurch bestimmt, dass ihre Ergebnisse es ermöglichen, den Grad des Informationsschutzes in einem Unternehmen durch die kompetente Gestaltung einer Information Security Policy zu erhöhen. Kapitel 1. Theoretische Aspekte der Akzeptanz und Informationssicherheit 1.1 Das Konzept der Informationssicherheit Unter Informationssicherheit versteht man den Schutz von Informationen und der sie unterstützenden Infrastruktur vor zufälligen oder böswilligen Einflüssen, deren Folge Schäden an den Informationen selbst, ihren Eigentümern oder der unterstützenden Infrastruktur sein können. Die Aufgaben der Informationssicherheit reduzieren sich auf die Minimierung von Schäden sowie die Vorhersage und Verhinderung solcher Auswirkungen. Die zu schützenden Parameter von Informationssystemen lassen sich in folgende Kategorien einteilen: Gewährleistung der Integrität, Verfügbarkeit und Vertraulichkeit von Informationsressourcen. Verfügbarkeit ist die Möglichkeit, in kurzer Zeit den gewünschten Informationsdienst zu erhalten; Integrität ist die Relevanz und Konsistenz von Informationen, ihr Schutz vor Zerstörung und unbefugter Veränderung; Vertraulichkeit - Schutz vor unbefugtem Zugriff auf Informationen. Informationssysteme werden in erster Linie erstellt, um bestimmte Informationsdienste zu erhalten. Wenn es aus irgendeinem Grund unmöglich wird, Informationen zu erhalten, schadet dies allen Subjekten der Informationsbeziehungen. Daraus lässt sich ableiten, dass die Verfügbarkeit von Informationen an erster Stelle steht. Integrität ist der Hauptaspekt der Informationssicherheit, wenn Genauigkeit und Wahrhaftigkeit die Hauptparameter von Informationen sein werden. Zum Beispiel Rezepte für Medikamente oder eine Reihe und Eigenschaften von Komponenten. Die am weitesten entwickelte Komponente der Informationssicherheit in unserem Land ist die Vertraulichkeit. Aber die praktische Umsetzung von Maßnahmen zur Gewährleistung der Vertraulichkeit moderner Informationssysteme stößt in Russland auf große Schwierigkeiten. Erstens werden Informationen über die technischen Kanäle des Informationslecks geschlossen, sodass sich die meisten Benutzer keine Vorstellung von den potenziellen Risiken machen können. Zweitens gibt es zahlreiche rechtliche und technische Herausforderungen, die einer benutzerdefinierten Kryptografie als primärem Datenschutzinstrument im Wege stehen. Aktionen, die ein Informationssystem beschädigen können, können in mehrere Kategorien eingeteilt werden. absichtlicher Diebstahl oder Zerstörung von Daten auf einer Workstation oder einem Server; Beschädigung von Daten durch den Benutzer infolge fahrlässigen Handelns. . „Elektronische“ Einflussnahmemethoden von Hackern. Hacker sind Personen, die sowohl beruflich (auch im Rahmen des Wettbewerbs) als auch einfach aus Neugier Computerkriminalität betreiben. Zu diesen Methoden gehören: unbefugtes Eindringen in Computernetzwerke; Der Zweck des unbefugten Eindringens in das Unternehmensnetzwerk von außen kann darin bestehen, zu schaden (Daten zu zerstören), vertrauliche Informationen zu stehlen und sie für illegale Zwecke zu verwenden, die Netzwerkinfrastruktur zu verwenden, um Angriffe auf Knoten von Drittanbietern zu organisieren, Gelder von Konten zu stehlen usw . Ein Angriff vom Typ DOS (abgekürzt von Denial of Service – „Denial of Service“) ist ein externer Angriff auf die Netzwerkknoten eines für dessen Sicherheit verantwortlichen Unternehmens und effizientes Arbeiten(Datei-, Mailserver). Die Angreifer organisieren ein massives Versenden von Datenpaketen an diese Knoten, um sie zu überlasten und dadurch für einige Zeit lahmzulegen. Dies hat in der Regel Verstöße in den Geschäftsprozessen des geschädigten Unternehmens, Kundenverlust, Reputationsschäden etc. zur Folge. Computer Virus. Eine separate Kategorie elektronischer Einflussmethoden - Computer Virus und andere Malware. Sie stellen eine echte Gefahr für die moderne Geschäftswelt dar, die Computernetzwerke, das Internet und E-Mail in großem Umfang nutzt. Das Eindringen des Virus in die Knoten des Unternehmensnetzwerks kann zu Funktionsstörungen, Arbeitszeitverlust, Datenverlust, Diebstahl vertraulicher Informationen und sogar direktem Gelddiebstahl führen. Ein Virenprogramm, das in ein Unternehmensnetzwerk eingedrungen ist, kann Angreifern teilweise oder vollständige Kontrolle über die Aktivitäten des Unternehmens verschaffen. Spam. In nur wenigen Jahren hat sich Spam von einem kleinen Ärgernis zu einer der größten Sicherheitsbedrohungen entwickelt: E-Mail hat sich in den letzten Jahren zum wichtigsten Vertriebskanal entwickelt. Malware; Spam braucht viel Zeit, um Nachrichten anzuzeigen und dann zu löschen, verursacht bei Mitarbeitern ein Gefühl von psychischem Unbehagen; sowohl Einzelpersonen als auch Organisationen werden Opfer betrügerischer Systeme, die von Spammern implementiert werden (die Opfer versuchen oft, solche Ereignisse nicht offenzulegen); zusammen mit Spam wird häufig wichtige Korrespondenz gelöscht, was zum Verlust von Kunden, zum Scheitern von Verträgen und anderen unangenehmen Folgen führen kann; Das Risiko, E-Mails zu verlieren, ist besonders hoch, wenn RBL-Blacklists und andere "grobe" Spam-Filtermethoden verwendet werden. "Natürliche" Bedrohungen. Eine Vielzahl externer Faktoren kann die Informationssicherheit eines Unternehmens beeinträchtigen: Unsachgemäße Lagerung, Diebstahl von Computern und Medien, höhere Gewalt etc. können zu Datenverlust führen. Das Informationssicherheits-Managementsystem (ISMS oder Information Security Management System) ermöglicht es Ihnen, eine Reihe von Maßnahmen zu verwalten, die in diesem Fall eine bestimmte konzipierte Strategie umsetzen - in Bezug auf die Informationssicherheit. Beachten Sie, dass wir nicht nur über die Verwaltung eines bestehenden Systems sprechen, sondern auch über den Aufbau eines neuen / die Neugestaltung eines alten. Das Maßnahmenpaket umfasst organisatorische, technische, physische und andere. Iist ein komplexer Prozess, der es ermöglicht, ein möglichst effizientes und umfassendes Iin einem Unternehmen zu implementieren. Der Zweck des Inbesteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu wahren. Die einzige Frage ist, welche Art von Informationen geschützt werden müssen und welche Anstrengungen unternommen werden sollten, um ihre Sicherheit zu gewährleisten. Jedes Management basiert auf dem Bewusstsein für die Situation, in der es auftritt. In Bezug auf die Risikoanalyse drückt sich das Situationsbewusstsein in der Bestandsaufnahme und Bewertung der Vermögenswerte der Organisation und ihres Umfelds aus, also all dessen, was die Durchführung der Geschäftstätigkeit sicherstellt. Aus Sicht der Informationssicherheits-Risikoanalyse gehören zu den wichtigsten Vermögenswerten direkt Informationen, Infrastruktur, Personal, Image und Reputation des Unternehmens. Ohne eine Bestandsaufnahme der Vermögenswerte auf Ebene der Geschäftstätigkeit lässt sich die Frage, was geschützt werden muss, nicht beantworten. Es ist sehr wichtig zu verstehen, welche Informationen in einer Organisation verarbeitet werden und wo sie verarbeitet werden. In einer großen modernen Organisation kann die Anzahl der Informationsressourcen sehr groß sein. Wenn die Aktivitäten der Organisation mithilfe eines ERP-Systems automatisiert werden, können wir sagen, dass fast jedes materielle Objekt, das in dieser Aktivität verwendet wird, einigen entspricht Informationsobjekt. Daher besteht die primäre Aufgabe des Risikomanagements darin, die bedeutendsten Vermögenswerte zu identifizieren. Es ist unmöglich, dieses Problem ohne die Beteiligung von Managern der Haupttätigkeit der Organisation zu lösen, sowohl des mittleren als auch des oberen Managements. Die optimale Situation ist, wenn das Top-Management der Organisation persönlich die kritischsten Tätigkeitsbereiche festlegt, für die es äußerst wichtig ist, die Informationssicherheit zu gewährleisten. Die Meinung der Geschäftsleitung zu den Prioritäten bei der Gewährleistung der Informationssicherheit ist sehr wichtig und wertvoll im Prozess der Risikoanalyse, sollte aber in jedem Fall durch das Sammeln von Informationen über die Kritikalität von Vermögenswerten auf der mittleren Ebene der Unternehmensleitung geklärt werden. Gleichzeitig empfiehlt es sich, weitere Analysen genau in den vom Top-Management benannten Geschäftsfeldern durchzuführen. Die erhaltenen Informationen werden verarbeitet, aggregiert und an das Top-Management für eine umfassende Bewertung der Situation übermittelt. Informationen können basierend auf der Beschreibung von Geschäftsprozessen identifiziert und lokalisiert werden, in denen Informationen als eine der Arten von Ressourcen betrachtet werden. Etwas vereinfacht wird die Aufgabe, wenn die Organisation einen Business-Regulation-Ansatz verfolgt (z. B. zum Zweck des Qualitätsmanagements und der Geschäftsprozessoptimierung). Formalisierte Geschäftsprozessbeschreibungen sind ein guter Ausgangspunkt für die Inventarisierung von Assets. Wenn keine Beschreibungen vorhanden sind, können Sie die Vermögenswerte anhand der Informationen identifizieren, die Sie von den Mitarbeitern der Organisation erhalten haben. Sobald Vermögenswerte identifiziert sind, muss ihr Wert bestimmt werden. Die Arbeit, den Wert von Informationsressourcen im Kontext der gesamten Organisation zu bestimmen, ist sowohl die bedeutendste als auch die komplexeste. Es ist die Bewertung der Informationsbestände, die es dem Leiter der Abteilung für Informationssicherheit ermöglicht, die Haupttätigkeitsbereiche zur Gewährleistung der Informationssicherheit auszuwählen. Die Wirtschaftlichkeit des Informatiohängt jedoch maßgeblich vom Bewusstsein darüber ab, was geschützt werden muss und welche Anstrengungen dafür erforderlich sind, da der Aufwand in den meisten Fällen direkt proportional zu den aufgewendeten und betriebenen Geldern ist Kosten. Mit Risikomanagement können Sie die Frage beantworten, wo Sie Risiken eingehen können und wo nicht. Im Fall der Informationssicherheit bedeutet der Begriff „Risiko“, dass in einem bestimmten Bereich möglicherweise keine erheblichen Anstrengungen unternommen werden, um Informationswerte zu schützen, und gleichzeitig im Falle einer Sicherheitsverletzung die Organisation nicht darunter leidet erhebliche Verluste. Hier kann man eine Analogie zu den Schutzklassen ziehen automatisierte Systeme: Je größer die Risiken, desto strenger sollten die Anforderungen an den Schutz sein. Um die Folgen einer Sicherheitsverletzung zu bestimmen, muss man entweder Informationen über aufgezeichnete Vorfälle ähnlicher Art haben oder eine Szenarioanalyse durchführen. Die Szenarioanalyse untersucht die kausalen Beziehungen zwischen Asset-Sicherheitsverletzungen und den Auswirkungen dieser Ereignisse auf das Geschäft einer Organisation. Die Konsequenzen von Szenarien sollten von mehreren Personen iterativ oder deliberativ evaluiert werden. Dabei ist zu beachten, dass die Entwicklung und Bewertung solcher Szenarien nicht völlig losgelöst von der Realität erfolgen kann. Man muss immer daran denken, dass das Szenario wahrscheinlich sein muss. Kriterien und Skalen zur Wertermittlung sind für jede Organisation individuell. Basierend auf den Ergebnissen der Szenarioanalyse ist es möglich, Informationen über den Wert von Vermögenswerten zu erhalten. Wenn die Vermögenswerte identifiziert und ihr Wert bestimmt sind, können wir sagen, dass die Ziele zur Gewährleistung der Informationssicherheit teilweise festgelegt sind: Die Schutzobjekte und die Bedeutung, sie in einem Zustand der Informationssicherheit für die Organisation zu halten, sind definiert. Vielleicht bleibt nur zu bestimmen, vor wem geschützt werden muss. Nach der Definition der Ziele des Ingilt es, die Probleme zu analysieren, die eine Annäherung an den Zielzustand verhindern. Auf dieser Ebene senkt sich der Risikoanalyseprozess auf die Informationsinfrastruktur und traditionelle Konzepte der Informationssicherheit – Verletzer, Bedrohungen und Schwachstellen. Zur Risikobewertung reicht es nicht aus, ein einheitliches Eindringlingsmodell einzuführen, das alle Eindringlinge nach der Art des Zugriffs auf das Asset und dem Wissen über die Vermögensstruktur trennt. Diese Trennung hilft bei der Bestimmung, welche Bedrohungen auf ein Asset gerichtet werden können, beantwortet jedoch nicht die Frage, ob diese Bedrohungen grundsätzlich realisiert werden können. Im Prozess der Risikoanalyse ist es notwendig, die Motivation der Übertreter bei der Umsetzung von Drohungen zu bewerten. Gleichzeitig soll der Übertreter kein abstrakter externer Hacker oder Insider sein, sondern eine Partei, die daran interessiert ist, Vorteile durch die Verletzung der Sicherheit eines Vermögenswerts zu erlangen. Erste Informationen über das Modell des Eindringlings sollten wie bei der Auswahl der ersten Tätigkeitsbereiche zur Gewährleistung der Informationssicherheit vom Top-Management eingeholt werden, das die Position der Organisation auf dem Markt versteht, Informationen über Wettbewerber hat und was Einflussmöglichkeiten sind von ihnen zu erwarten. Die Informationen, die zur Entwicklung eines Modells eines Eindringlings erforderlich sind, können auch aus spezialisierten Studien zu Verstößen im Bereich der Computersicherheit in dem Geschäftsfeld, für das die Risikoanalyse durchgeführt wird. Ein gut konzipiertes Eindringlingsmodell ergänzt die Ziele der Gewährleistung der Informationssicherheit, die bei der Bewertung der Vermögenswerte der Organisation definiert wurden. Die Entwicklung eines Bedrohungsmodells und die Identifizierung von Schwachstellen sind untrennbar mit einer Bestandsaufnahme der Informationsressourcenumgebung der Organisation verbunden. Die Informationen selbst werden nicht gespeichert oder verarbeitet. Der Zugriff darauf erfolgt über die Informationsinfrastruktur, die die Geschäftsprozesse der Organisation automatisiert. Es ist wichtig zu verstehen, wie die Informationsinfrastruktur und die Informationsressourcen einer Organisation zusammenhängen. Aus Sicht des Inlässt sich die Bedeutung der Informationsinfrastruktur erst feststellen, wenn das Verhältnis zwischen Informationsvermögen und Infrastruktur ermittelt wurde. Für den Fall, dass die Prozesse zur Wartung und zum Betrieb der Informationsinfrastruktur in einer Organisation reguliert und transparent sind, wird die Sammlung von Informationen, die zur Identifizierung von Bedrohungen und zur Bewertung von Schwachstellen erforderlich sind, erheblich vereinfacht. Die Entwicklung eines Bedrohungsmodells ist eine Aufgabe für Sicherheitsexperten, die eine gute Vorstellung davon haben, wie sich ein Eindringling unbefugten Zugriff auf Informationen verschaffen kann, indem er den Sicherheitsperimeter verletzt oder Social-Engineering-Methoden einsetzt. Bei der Entwicklung eines Bedrohungsmodells kann man auch von Szenarien als aufeinanderfolgenden Schritten sprechen, nach denen Bedrohungen implementiert werden können. Es kommt sehr selten vor, dass Bedrohungen in einem Schritt implementiert werden, indem eine einzelne Schwachstelle im System ausgenutzt wird. Das Bedrohungsmodell sollte alle Bedrohungen umfassen, die als Ergebnis verwandter Informatiidentifiziert wurden, wie z. B. Schwachstellen- und Vorfallmanagement. Es muss daran erinnert werden, dass Bedrohungen nach der Wahrscheinlichkeit ihrer Umsetzung relativ zueinander eingestuft werden müssen. Dazu müssen bei der Entwicklung eines Bedrohungsmodells für jede Bedrohung die wichtigsten Faktoren angegeben werden, deren Vorhandensein sich auf die Umsetzung auswirkt. Die Sicherheitspolitik basiert auf der Analyse von Risiken, die als real für das Informationssystem der Organisation erkannt werden. Nach Analyse der Risiken und Festlegung der Schutzstrategie wird ein Informationssicherheitsprogramm erstellt. Für dieses Programm werden Ressourcen zugewiesen, Verantwortliche ernannt, das Verfahren zur Überwachung der Umsetzung des Programms usw. festgelegt. Im weiteren Sinne wird eine Sicherheitsrichtlinie als ein dokumentiertes System definiert Managemententscheidungen um die Sicherheit der Organisation zu gewährleisten. Im engeren Sinne wird unter einer Sicherheitsrichtlinie meist ein lokales Regelwerk verstanden, das Sicherheitsanforderungen, ein Maßnahmensystem oder eine Handlungsordnung sowie die Verantwortung von Mitarbeitern der Organisation und Kontrollmechanismen für einen bestimmten Bereich definiert Sicherheit. Bevor Sie mit der Erstellung der Iselbst beginnen, müssen Sie die grundlegenden Konzepte verstehen, mit denen wir arbeiten werden. Informationen - Informationen (Nachrichten, Daten) unabhängig von der Form ihrer Präsentation. Die Vertraulichkeit von Informationen ist eine zwingende Verpflichtung für eine Person, die Zugang zu bestimmten Informationen hat, diese Informationen nicht ohne Zustimmung ihres Eigentümers an Dritte weiterzugeben. Informationssicherheit (IS) ist der Schutzzustand der Informationsumgebung der Gesellschaft, der ihre Bildung, Nutzung und Entwicklung im Interesse von Bürgern, Organisationen und Staaten sicherstellt. Der Begriff „Information“ wird heute recht breit und vielseitig verwendet. Die Gewährleistung der Informationssicherheit darf keine einmalige Handlung sein. Dies ist ein kontinuierlicher Prozess, der darin besteht, die rationalsten Methoden, Wege und Mittel zur Verbesserung und Entwicklung des Schutzsystems zu begründen und umzusetzen, seinen Zustand kontinuierlich zu überwachen, seine Schwächen und illegalen Handlungen zu identifizieren. Informationssicherheit kann nur durch den integrierten Einsatz der gesamten Palette verfügbarer Schutzinstrumente in allen Strukturelementen des Produktionssystems und in allen Phasen des technologischen Kreislaufs der Informationsverarbeitung gewährleistet werden. Die größte Wirkung wird erzielt, wenn alle eingesetzten Mittel, Methoden und Maßnahmen zu einem einzigen ganzheitlichen Mechanismus des Informationsschutzsystems kombiniert werden. Gleichzeitig sollte das Funktionieren des Systems in Abhängigkeit von Änderungen der externen und internen Bedingungen überwacht, aktualisiert und ergänzt werden. Gemäß der Norm GOST R ISO / IEC 15408:2005 können folgende Arten von Sicherheitsanforderungen unterschieden werden: funktional, entsprechend dem aktiven Aspekt des Schutzes, der den Sicherheitsfunktionen und den sie implementierenden Mechanismen auferlegt wird; Sicherheitsanforderungen, die dem passiven Aspekt entsprechen, die an die Technologie und den Prozess der Entwicklung und des Betriebs gestellt werden. Ganz wichtig ist, dass Sicherheit in dieser Norm nicht statisch betrachtet wird, sondern bezogen auf den Lebenszyklus des Bewertungsobjekts. Folgende Stadien werden unterschieden: Bestimmung des Zwecks, der Einsatzbedingungen, der Ziele und der Sicherheitsanforderungen; Design und Entwicklung; Prüfung, Bewertung und Zertifizierung; Implementierung und Betrieb. Werfen wir also einen genaueren Blick auf die funktionalen Sicherheitsanforderungen. Sie beinhalten: Nutzerdatenschutz; Schutz von Sicherheitsfunktionen (die Anforderungen beziehen sich auf die Integrität und Kontrolle dieser Sicherheitsdienste und die Mechanismen, die sie implementieren); Sicherheitsverwaltung (die Anforderungen dieser Klasse beziehen sich auf die Verwaltung von Sicherheitsattributen und -parametern); Sicherheitsaudit (Identifizierung, Registrierung, Speicherung, Analyse von Daten, die die Sicherheit des Bewertungsobjekts betreffen, Reaktion auf eine mögliche Sicherheitsverletzung); Datenschutz (Schutz des Benutzers vor Offenlegung und unbefugter Verwendung seiner Identifikationsdaten); Nutzung von Ressourcen (Anforderungen an die Verfügbarkeit von Informationen); Kommunikation (Authentifizierung der am Datenaustausch beteiligten Parteien); vertrauenswürdige Route/Kanal (für die Kommunikation mit Sicherheitsdiensten). In Übereinstimmung mit diesen Anforderungen ist es notwendig, das Informationssicherheitssystem der Organisation zu bilden. Das Informationssicherheitssystem einer Organisation umfasst die folgenden Bereiche: regulatorisch; organisatorisch (administrativ); technisch; Software; Für eine vollständige Bewertung der Situation im Unternehmen in allen Sicherheitsbereichen ist es notwendig, ein Informationssicherheitskonzept zu entwickeln, das eine systematische Herangehensweise an das Problem der Sicherheit von Informationsressourcen etabliert und eine systematische Darstellung der Ziele darstellt , Gestaltungsprinzipien und ein Maßnahmenpaket zur Gewährleistung der Informationssicherheit im Unternehmen. Das Unternehmensnetzwerk-Managementsystem sollte auf folgenden Grundsätzen (Aufgaben) basieren: Gewährleistung des Schutzes der bestehenden Informationsinfrastruktur des Unternehmens vor dem Eingriff von Eindringlingen; Bereitstellung von Bedingungen für die Lokalisierung und Minimierung möglicher Schäden; Ausschluss des Auftretens von Ursachen für das Auftreten von Bedrohungsquellen in der Anfangsphase; Gewährleistung des Schutzes von Informationen über die drei Hauptarten neu auftretender Bedrohungen (Verfügbarkeit, Integrität, Vertraulichkeit); Die Lösung der obigen Aufgaben wird erreicht durch; Regelung der Handlungen der Benutzer der Arbeit mit dem Informationssystem; Regelung der Aktionen der Benutzer der Arbeit mit der Datenbank; einheitliche Anforderungen an die Zuverlässigkeit technischer Mittel und Software; Verfahren zur Überwachung des Betriebs des Informationssystems (Protokollierung von Ereignissen, Analyse von Protokollen, Analyse des Netzwerkverkehrs, Analyse des Betriebs technischer Mittel); Die Iumfasst: Das Hauptdokument ist die "Sicherheitsrichtlinie". Es beschreibt im Allgemeinen die Sicherheitsrichtlinie der Organisation, allgemeine Bestimmungen, sowie relevante Dokumente für alle Aspekte der Police; Anweisungen zur Regulierung der Arbeit der Benutzer; Stellenbeschreibung des Administrators lokales Netzwerk; Stellenbeschreibung des Datenbankadministrators; Anweisungen zum Arbeiten mit Internetressourcen; Anleitung zur Organisation des Passwortschutzes; Anweisungen zur Organisation des Virenschutzes. Das Dokument „Sicherheitsrichtlinie“ enthält die wichtigsten Bestimmungen. Darauf aufbauend wird ein Informationssicherheitsprogramm erstellt, Stellenbeschreibungen und Empfehlungen erstellt. Anweisungen zur Regulierung der Arbeit von Benutzern des lokalen Netzwerks der Organisation regeln das Verfahren, um Benutzern die Arbeit im lokalen Netzwerk zu ermöglichen Computernetzwerk Organisation sowie die Regeln für den Umgang mit geschützten Informationen, die in der Organisation verarbeitet, gespeichert und übermittelt werden. Das Berufsbild des lokalen Netzwerkadministrators beschreibt die Aufgaben des lokalen Netzwerkadministrators in Bezug auf die Informationssicherheit. Das Berufsbild Datenbankadministrator definiert die wesentlichen Aufgaben, Funktionen und Rechte eines Datenbankadministrators. Es beschreibt alles sehr ausführlich. amtliche Verpflichtungen und Funktionen des Datenbankadministrators sowie Rechte und Pflichten. Anweisungen zum Arbeiten mit Internetressourcen spiegeln die Grundregeln wider sicheres Arbeiten mit dem Internet, enthält auch eine Liste akzeptabler und inakzeptabler Aktionen bei der Arbeit mit Internetressourcen. Anweisungen für die Organisation des Virenschutzes definieren die wichtigsten Bestimmungen, Anforderungen für die Organisation des Virenschutzes des Informationssystems einer Organisation, alle Aspekte im Zusammenhang mit dem Betrieb von Antivirensoftware sowie die Verantwortung bei Verstößen gegen Virenschutz. Die Weisung zur Organisation des Passwortschutzes regelt die organisatorische und technische Unterstützung der Prozesse der Generierung, Änderung und Kündigung von Passwörtern (Löschen von Benutzerkonten). Es regelt auch die Handlungen von Benutzern und Wartungspersonal bei der Arbeit mit dem System. Daher ist die Grundlage für die Organisation des Informationsschutzes eine Sicherheitsrichtlinie, die formuliert wird, um zu bestimmen, vor welchen Bedrohungen und wie Informationen im Informationssystem geschützt werden. Eine Sicherheitsrichtlinie ist eine Reihe von rechtlichen, organisatorischen und technischen Maßnahmen zum Schutz von Informationen, die in einer bestimmten Organisation eingeführt wurden. Das heißt, die Sicherheitsrichtlinie enthält eine Reihe von Bedingungen, unter denen Benutzer Zugriff auf Systemressourcen erhalten, ohne die Infodieses Systems zu verlieren. Die Aufgabe, die Informationssicherheit zu gewährleisten, sollte systematisch angegangen werden. Dies bedeutet, dass verschiedene Schutzmaßnahmen (Hardware, Software, physische, organisatorische usw.) gleichzeitig und unter zentraler Kontrolle angewendet werden müssen. Bis heute gibt es ein großes Arsenal an Methoden zur Gewährleistung der Informationssicherheit: Mittel zur Identifizierung und Authentifizierung von Benutzern; Mittel zur Verschlüsselung von auf Computern gespeicherten und über Netze übertragenen Informationen; Firewalls; virtuelle private Netze; Tools zum Filtern von Inhalten; Tools zum Überprüfen der Integrität des Inhalts von Datenträgern; Mittel zum Virenschutz; Systeme und Analysatoren zur Erkennung von Netzwerkschwachstellen Netzwerkangriffe. Jedes dieser Tools kann sowohl unabhängig als auch in Integration mit anderen verwendet werden. Dadurch ist es möglich, Systeme zu erstellen Informationsschutz für Netzwerke beliebiger Komplexität und Konfiguration, unabhängig von den verwendeten Plattformen. Authentifizierungs- (oder Identifizierungs-), Autorisierungs- und Verwaltungssystem. Identifikation und Autorisierung sind Schlüsselelemente der Informationssicherheit. Die Autorisierungsfunktion ist dafür verantwortlich, auf welche Ressourcen ein bestimmter Benutzer Zugriff hat. Die Verwaltungsfunktion besteht darin, dem Benutzer bestimmte Identifikationsmerkmale innerhalb eines gegebenen Netzwerks bereitzustellen und den Umfang der ihm erlaubten Aktionen festzulegen. Verschlüsselungssysteme ermöglichen es, Verluste im Falle eines unbefugten Zugriffs auf Daten, die auf einer Festplatte oder anderen Medien gespeichert sind, sowie das Abfangen von Informationen, wenn sie per E-Mail gesendet oder per übermittelt werden, zu minimieren Netzwerkprotokolle. Aufgabe dieses Werkzeug Schutz - Wahrung der Vertraulichkeit. Grundvoraussetzungen für Verschlüsselungssysteme - hohes Niveau kryptografische Stabilität und Rechtmäßigkeit der Verwendung in Russland (oder anderen Staaten). Eine Firewall ist ein System oder eine Kombination von Systemen, die eine Schutzbarriere zwischen zwei oder mehr Netzwerken bildet, die verhindert, dass unbefugte Datenpakete in das Netzwerk gelangen oder es verlassen. Das Grundprinzip von Firewalls besteht darin, jedes Datenpaket auf die Übereinstimmung der eingehenden und ausgehenden IP-Adresse mit der Basis erlaubter Adressen zu prüfen. Somit erweitern Firewalls die Möglichkeiten, Informationsnetze zu segmentieren und den Datenverkehr zu kontrollieren, erheblich. Apropos Kryptographie und Firewalls, sollten wir sichere virtuelle private Netzwerke (Virtual Private Network - VPN) erwähnen. Ihre Verwendung ermöglicht es Ihnen, die Probleme der Vertraulichkeit und Integrität von Daten zu lösen, wenn sie offen übertragen werden Kommunikationskanäle. Die Nutzung eines VPN lässt sich auf die Lösung von drei Hauptaufgaben reduzieren: Schutz des Informationsflusses zwischen verschiedenen Büros des Unternehmens (Informationen werden nur am Ausgang zum externen Netzwerk verschlüsselt); sicherer Zugriff von Remote-Netzwerkbenutzern auf die Informationsressourcen des Unternehmens, normalerweise über das Internet; Schutz des Informationsflusses zwischen einzelnen Anwendungen innerhalb von Unternehmensnetzwerken (auch dieser Aspekt ist sehr wichtig, da die meisten Angriffe aus internen Netzwerken erfolgen). Ein wirksamer Schutz vor dem Verlust vertraulicher Informationen ist das Filtern des Inhalts ein- und ausgehender E-Mails. Die Validierung von E-Mail-Nachrichten und deren Anhängen auf der Grundlage der von der Organisation festgelegten Regeln trägt auch dazu bei, Unternehmen vor rechtlicher Haftung zu schützen und ihre Mitarbeiter vor Spam zu schützen. Tools zur Inhaltsfilterung ermöglichen es Ihnen, Dateien in allen gängigen Formaten zu scannen, einschließlich komprimierter und grafischer Dateien. Dabei Durchsatz das Netz bleibt praktisch unverändert. Alle Änderungen auf einer Workstation oder einem Server können dank der Technologie zur Überprüfung der Inhaltsintegrität von einem Netzwerkadministrator oder anderen autorisierten Benutzern nachverfolgt werden Festplatte(Integritätsprüfung). Auf diese Weise können Sie alle Aktionen mit Dateien (Ändern, Löschen oder nur Öffnen) erkennen und Virenaktivitäten, unbefugten Zugriff oder Datendiebstahl durch autorisierte Benutzer identifizieren. Die Kontrolle basiert auf der Auswertung von Dateiprüfsummen (CRC-Summen). Moderne Antiviren-Technologien ermöglichen es, fast alle bereits bekannten Virenprogramme zu erkennen, indem sie den Code einer verdächtigen Datei mit Mustern vergleichen, die in der Antiviren-Datenbank gespeichert sind. Darüber hinaus wurden Verentwickelt, um neu erstellte Virenprogramme zu erkennen. Erkannte Objekte können desinfiziert, isoliert (unter Quarantäne gestellt) oder gelöscht werden. Virenschutz kann auf Workstations, Datei- und Mailservern, Firewalls installiert werden, die unter fast allen gängigen Betriebssystemen (Windows-, Unix- und Linux-Systeme, Novell) auf verschiedenen Prozessortypen laufen. Spamfilter reduzieren die unproduktiven Arbeitskosten im Zusammenhang mit der Analyse von Spam erheblich, reduzieren den Datenverkehr und die Serverlast, verbessern den psychologischen Hintergrund im Team und verringern das Risiko, dass Mitarbeiter des Unternehmens in betrügerische Transaktionen verwickelt werden. Außerdem verringern Spamfilter das Risiko, sich mit neuen Viren zu infizieren, da virenhaltige Nachrichten (auch solche, die noch nicht in den Datenbanken enthalten sind) Antivirus-Programme) weisen oft Anzeichen von Spam auf und werden herausgefiltert. Richtig, der positive Effekt des Spam-Filters kann zunichte gemacht werden, wenn der Filter neben Junk auch nützliche geschäftliche oder private Nachrichten entfernt oder als Spam markiert. Die enormen Schäden, die Unternehmen durch Viren und Hackerangriffe anrichten, sind zu einem großen Teil auf Schwachstellen der eingesetzten Software zurückzuführen. Mithilfe von Schwachstellenerkennungssystemen können Sie sie im Voraus identifizieren, ohne auf einen echten Angriff warten zu müssen Computernetzwerke und Analysatoren von Netzwerkangriffen. Eine solche Software simuliert auf sichere Weise gängige Angriffe und Eindringmethoden und bestimmt, was genau ein Hacker im Netzwerk sehen und wie er dessen Ressourcen nutzen kann. Um natürlichen Bedrohungen der Informationssicherheit entgegenzuwirken, sollte ein Unternehmen eine Reihe von Verfahren entwickeln und implementieren, um Notfallsituationen zu verhindern (z. B. um den physischen Schutz von Daten vor einem Brand zu gewährleisten) und Schäden zu minimieren, wenn eine solche Situation eintritt. Eine der wichtigsten Methoden zum Schutz vor Datenverlust ist das Sichern unter strikter Einhaltung etablierter Verfahren (Regelmäßigkeit, Medientypen, Methoden zum Speichern von Kopien usw.). Eine Iist ein Paket von Dokumenten, das die Arbeit von Mitarbeitern regelt und die Grundregeln für die Arbeit mit Informationen, einem Informationssystem, Datenbanken, einem lokalen Netzwerk und Internetressourcen beschreibt. Es ist wichtig zu verstehen, welchen Platz die Ieinnimmt gemeinsames System Organisationsmanagement. Nachfolgend sind allgemeine organisatorische Maßnahmen zur Sicherheitspolitik aufgeführt. Auf Verfahrensebene lassen sich folgende Maßnahmenklassen unterscheiden: Personalmanagement; körperlicher Schutz; Aufrechterhaltung der Leistung; Reaktion auf Sicherheitsverletzungen; Restaurierungsplanung. Das Personalmanagement beginnt mit der Einstellung, aber schon vorher sollten Sie die mit der Position verbundenen Computerrechte definieren. Es gibt zwei allgemeine Grundsätze, die Sie beachten sollten: Aufgabentrennung; Privilegienminimierung. Das Prinzip der Funktionstrennung schreibt vor, wie Rollen und Verantwortlichkeiten so verteilt werden, dass eine Person einen für die Organisation kritischen Prozess nicht stören kann. Beispielsweise ist eine Situation, in der große Zahlungen im Namen der Organisation von einer Person geleistet werden, unerwünscht. Es ist sicherer, einen Mitarbeiter mit der Bearbeitung von Anträgen für solche Zahlungen zu betrauen und einen anderen mit der Zertifizierung dieser Anträge. Ein weiteres Beispiel sind Verfahrensbeschränkungen für Superuser-Aktionen. Es ist möglich, das Superuser-Passwort künstlich zu „teilen“, indem der erste Teil einem Mitarbeiter und der zweite Teil einem anderen gegeben wird. Dann können nur zwei von ihnen äußerst wichtige Aktionen für die Verwaltung des Informationssystems ausführen, was die Wahrscheinlichkeit von Fehlern und Missbrauch verringert. Das Prinzip der Privilegienminimierung schreibt vor, Benutzern nur die Zugriffsrechte zuzuweisen, die sie zur Erfüllung ihrer Aufgaben benötigen. Der Zweck dieses Prinzips ist offensichtlich – den Schaden durch zufällige oder vorsätzliche falsche Handlungen zu verringern. Die vorläufige Vorbereitung einer Stellenbeschreibung ermöglicht es Ihnen, ihre Kritikalität zu bewerten und das Verfahren zur Überprüfung und Auswahl von Kandidaten zu planen. Je verantwortungsvoller die Position, desto sorgfältiger müssen Sie die Kandidaten prüfen: Erkundigen Sie sich nach ihnen, sprechen Sie vielleicht mit ehemaligen Kollegen usw. Ein solches Verfahren kann langwierig und teuer sein, es macht also keinen Sinn, es weiter zu verkomplizieren. Gleichzeitig ist es unklug, eine Vorabprüfung komplett zu verweigern, um nicht versehentlich eine Person mit krimineller Vergangenheit oder einer psychischen Erkrankung einzustellen. Sobald ein Kandidat identifiziert wurde, wird er wahrscheinlich geschult; zumindest sollte er gründlich mit den Pflichten des Jobs sowie mit den Regeln und Verfahren der Informationssicherheit vertraut sein. Es ist wünschenswert, dass er die Sicherheitsmaßnahmen lernt, bevor er sein Amt antritt und bevor er sein Systemkonto mit einem Login-Namen, Passwort und Privilegien einrichtet. Die Sicherheit eines Informationssystems hängt von der Umgebung ab, in der es betrieben wird. Maßnahmen zum Schutz von Gebäuden und Umgebung, unterstützender Infrastruktur, Informatik, Speichermedium. Berücksichtigen Sie die folgenden Bereiche des physischen Schutzes: physische Zugangskontrolle; Schutz der unterstützenden Infrastruktur; Schutz mobiler Systeme. Maßnahmen zur physischen Zugangskontrolle ermöglichen es Ihnen, den Ein- und Ausgang von Mitarbeitern und Besuchern zu kontrollieren und ggf. einzuschränken. Das gesamte Gebäude der Organisation sowie einzelne Räumlichkeiten, beispielsweise solche, in denen sich Server, Kommunikationsgeräte usw. befinden, können kontrolliert werden. Die unterstützende Infrastruktur umfasst Strom-, Wasser- und Wärmeversorgungssysteme, Klimaanlagen und Kommunikation. Für sie gelten grundsätzlich die gleichen Integritäts- und Verfügbarkeitsanforderungen wie für Informationssysteme. Um die Integrität zu gewährleisten, müssen die Geräte vor Diebstahl und Beschädigung geschützt werden. Um die Verfügbarkeit aufrechtzuerhalten, sollten Sie Geräte mit der maximalen Zeit zwischen Ausfällen wählen, kritische Knoten duplizieren und immer Ersatzteile zur Hand haben. Generell sollte bei der Auswahl von physikalischen Schutzmitteln eine Risikoanalyse durchgeführt werden. Bei der Entscheidung für den Kauf einer unterbrechungsfreien Stromversorgung müssen daher die Qualität der Stromversorgung in dem von der Organisation genutzten Gebäude (diese wird jedoch mit ziemlicher Sicherheit schlecht sein), die Art und Dauer der Stromversorgung berücksichtigt werden Ausfälle, die Kosten der verfügbaren Quellen und mögliche Verluste durch Unfälle (Ausfall von Ausrüstung, Einstellung der Organisation usw.) Erwägen Sie eine Reihe von Maßnahmen, die darauf abzielen, die Gesundheit von Informationssystemen zu erhalten. In diesem Bereich lauern die größten Gefahren. Unbeabsichtigte Fehler von Systemadministratoren und Benutzern können zu Leistungseinbußen führen, nämlich Schäden an Geräten, Zerstörung von Programmen und Daten. Dies ist der schlimmste Fall. Im besten Fall schaffen sie Sicherheitslücken, die die Implementierung von Bedrohungen für die Sicherheit von Systemen ermöglichen. Das Hauptproblem vieler Organisationen ist die Unterschätzung von Sicherheitsfaktoren in der täglichen Arbeit. Teure Sicherheitstools verlieren ihre Bedeutung, wenn sie schlecht dokumentiert sind, mit anderer Software und einem Passwort in Konflikt geraten Systemadministrator hat sich seit der Installation nicht geändert. Für die täglichen Aktivitäten, die darauf abzielen, die Gesundheit des Informationssystems zu erhalten, können die folgenden Aktionen unterschieden werden: Benutzer-Support; Software-Unterstützung; Konfigurationsmanagement; Sicherung; Medienmanagement; Dokumentation; Die Benutzerunterstützung umfasst in erster Linie die Beratung und Unterstützung bei der Lösung verschiedener Arten von Problemen. Im Fragenfluss ist es sehr wichtig, Probleme im Zusammenhang mit der Informationssicherheit identifizieren zu können. Daher können viele der Schwierigkeiten von Benutzern, die an Personalcomputern arbeiten, das Ergebnis einer Virusinfektion sein. Es ist ratsam, Benutzerfragen aufzuzeichnen, um sie zu identifizieren typische Fehler und Broschüren mit Empfehlungen für häufige Situationen herausgeben. Softwareunterstützung ist eines der wichtigsten Mittel, um die Integrität von Informationen zu gewährleisten. Zunächst müssen Sie verfolgen, welche Software auf den Computern installiert ist. Wenn Benutzer Programme selbst installieren, kann dies zu einer Virusinfektion sowie zum Auftreten von Dienstprogrammen führen, die Sicherheitsmaßnahmen umgehen. Es ist auch wahrscheinlich, dass die "Initiative" der Benutzer nach und nach zu Chaos auf ihren Computern führt und der Systemadministrator die Situation korrigieren muss. Der zweite Aspekt der Softwareunterstützung ist die Kontrolle über das Nichtvorhandensein von unbefugten Änderungen an Programmen und Zugriffsrechten darauf. Dazu gehört auch die Unterstützung von Kopiervorlagen. Softwaresysteme. Typischerweise wird die Kontrolle durch eine Kombination aus physischer und logischer Zugriffskontrolle sowie durch die Verwendung von Überprüfungs- und Integritätsdienstprogrammen erreicht. Mit der Konfigurationsverwaltung können Sie vorgenommene Änderungen steuern und erfassen Softwarekonfiguration. Zunächst einmal ist es notwendig, sich gegen versehentliche oder unvorhergesehene Änderungen zu versichern, um zumindest zur vorherigen funktionierenden Version zurückkehren zu können. Das Festschreiben von Änderungen erleichtert die Wiederherstellung der aktuellen Version nach einem Absturz. Der beste Weg, Fehler in der Routinearbeit zu reduzieren, ist, sie so weit wie möglich zu automatisieren. Automatisierung und Sicherheit bedingen einander, denn wer sich in erster Linie um die Erleichterung seiner Aufgabe kümmert, gestaltet das Informationssicherheitsregime tatsächlich optimal. Eine Sicherung ist erforderlich, um Programme und Daten nach Katastrophen wiederherzustellen. Und hier ist es ratsam, die Arbeit zu automatisieren, zumindest durch Erstellen eines Computerplans zum Erstellen vollständiger und inkrementeller Kopien und maximal unter Verwendung der entsprechenden Softwareprodukte. Es ist auch erforderlich, dafür zu sorgen, dass Kopien an einem sicheren Ort aufbewahrt werden, geschützt vor unbefugtem Zugriff, Feuer, Lecks, dh vor allem, was zu Diebstahl oder Beschädigung von Medien führen könnte. Gut, mehrere Exemplare zu haben. Sicherungen und einige davon außerhalb der Räumlichkeiten der Organisation lagern und so vor größeren Unfällen und ähnlichen Vorfällen schützen. Von Zeit zu Zeit sollten Sie zu Testzwecken die Möglichkeit prüfen, Informationen von Kopien wiederherzustellen. Die Medienverwaltung ist notwendig, um physischen Schutz und Verantwortlichkeit für Disketten, Bänder, Ausdrucke und dergleichen bereitzustellen. Das Medienmanagement muss die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen, die außerhalb von Computersystemen gespeichert sind. Physischer Schutz wird hier nicht nur als Abbild unberechtigter Zugriffsversuche verstanden, sondern auch als Schutz vor schädlichen Umwelteinflüssen (Hitze, Kälte, Feuchtigkeit, Magnetismus). Das Medienmanagement sollte alle abdecken Lebenszyklus- von der Beschaffung bis zur Stilllegung. Dokumentation ist ein wesentlicher Bestandteil der Informationssicherheit. Dokumentiert wird fast alles – von der Sicherheitsrichtlinie bis zum Medienbestandsprotokoll. Wichtig ist, dass die Dokumentation aktuell ist, den aktuellen Stand widerspiegelt und in einheitlicher Form vorliegt. Für die Aufbewahrung einiger Dokumente (die beispielsweise eine Analyse von Systemschwachstellen und -bedrohungen enthalten) gelten Vertraulichkeitsanforderungen, für andere wie ein Notfallwiederherstellungsplan, Integritäts- und Verfügbarkeitsanforderungen (in einer kritischen Situation muss der Plan gefunden und gelesen). Wartungsarbeiten sind eine sehr ernsthafte Sicherheitsbedrohung. Der Mitarbeiter, der die routinemäßige Wartung durchführt, erhält exklusiven Zugriff auf das System, und in der Praxis ist es sehr schwierig, genau zu kontrollieren, welche Aktionen er durchführt. Hier steht das Maß an Vertrauen in die Ausführenden im Vordergrund. Die von der Organisation verabschiedete Sicherheitspolitik sollte eine Reihe von operativen Maßnahmen vorsehen, die darauf abzielen, Verstöße gegen das Informationssicherheitsregime aufzudecken und zu neutralisieren. Wichtig ist, dass in solchen Fällen die Abfolge der Maßnahmen im Voraus geplant wird, da die Maßnahmen dringend und koordiniert ergriffen werden müssen. Die Reaktion auf Sicherheitsverletzungen hat drei Hauptziele: Lokalisierung des Vorfalls und Verringerung des verursachten Schadens; Verhinderung wiederholter Verstöße. Oft kollidiert die Anforderung, den Vorfall zu lokalisieren und den verursachten Schaden zu verringern, mit dem Wunsch, den Täter zu identifizieren. Die Sicherheitsrichtlinie der Organisation sollte im Voraus priorisiert werden. Da es, wie die Praxis zeigt, sehr schwierig ist, einen Eindringling zu identifizieren, sollten Sie sich unserer Meinung nach zunächst einmal darum kümmern, den Schaden zu begrenzen. Keine Organisation ist immun gegen schwere Unfälle, die durch natürliche Ursachen, böswillige Handlungen, Fahrlässigkeit oder Inkompetenz verursacht werden. Gleichzeitig hat jede Organisation Funktionen, die das Management als kritisch erachtet, sie müssen auf jeden Fall ausgeführt werden. Die Wiederherstellungsplanung ermöglicht es Ihnen, sich auf Unfälle vorzubereiten, daraus resultierende Schäden zu reduzieren und zumindest eine minimale Funktionsfähigkeit aufrechtzuerhalten. Beachten Sie, dass Informationssicherheitsmaßnahmen in drei Gruppen eingeteilt werden können, je nachdem, ob sie darauf abzielen, die Folgen von Angriffen zu verhindern, zu erkennen oder zu beseitigen. Die meisten Maßnahmen haben präventiven Charakter. Der Wkann in die folgenden Schritte unterteilt werden: kritisch identifizieren wichtige Funktionen Organisationen, Prioritäten setzen; Identifizierung von Ressourcen, die zur Ausführung kritischer Funktionen erforderlich sind; Ermittlung der Liste möglicher Unfälle; Entwicklung einer Recovery-Strategie; Vorbereitung auf die Umsetzung der gewählten Strategie; Strategie-Check. Bei der Planung von Restaurierungsarbeiten sollte man sich darüber im Klaren sein, dass es nicht immer möglich ist, die Funktionsfähigkeit der Organisation vollständig zu erhalten. Es ist notwendig, kritische Funktionen zu identifizieren, ohne die die Organisation ihr Gesicht verliert, und sogar unter kritischen Funktionen zu priorisieren, um die Arbeit nach einer Katastrophe so schnell wie möglich und zu minimalen Kosten wieder aufzunehmen. Denken Sie beim Identifizieren der Ressourcen, die zum Ausführen kritischer Funktionen benötigt werden, daran, dass viele von ihnen ihrer Natur nach keine Computer sind. In dieser Phase ist es wünschenswert, Spezialisten mit unterschiedlichen Profilen in die Arbeit einzubeziehen. Es gibt also eine große Anzahl verschiedene Methoden Gewährleistung der Informationssicherheit. Am effektivsten ist die Verwendung all dieser Methoden in einem einzigen Komplex. Heutzutage ist der moderne Sicherheitsmarkt mit Informationssicherheitstools gesättigt. Viele Unternehmen studieren ständig die bestehenden Angebote des Sicherheitsmarktes und sehen die Unzulänglichkeit der zuvor in Informationssicherheitssysteme investierten Mittel, beispielsweise aufgrund der Veralterung von Geräten und Software. Daher suchen sie nach Lösungen für dieses Problem. Dabei kann es zwei Möglichkeiten geben: Einerseits handelt es sich um einen vollständigen Austausch des betrieblichen Informationsschutzsystems, der große Investitionen erfordern wird, und andererseits um die Modernisierung bestehender Sicherheitssysteme. Die letzte Lösung für dieses Problem ist die kostengünstigste, aber sie bringt neue Probleme mit sich, zum Beispiel erfordert sie die Beantwortung folgender Fragen: Wie stellt man die Kompatibilität der alten, von den verfügbaren Hardware- und Software-Sicherheitstools übrig gebliebenen und neuen Elemente sicher? das Informationssicherheitssystem; wie zu gewährleisten zentralisierte Verwaltung heterogene Mittel zur Gewährleistung der Sicherheit; wie die Informationsrisiken des Unternehmens einzuschätzen und ggf. neu einzuschätzen sind. Kapitel 2. Analyse des Informationssicherheitssystems 1 Der Umfang des Unternehmens und die Analyse der finanziellen Leistung OAO Gazprom ist ein globales Energieunternehmen. Die Hauptaktivitäten sind Exploration, Produktion, Transport, Lagerung, Verarbeitung und Verkauf von Gas, Gaskondensat und Öl sowie die Produktion und der Verkauf von Wärme und Strom. Gazprom sieht seine Mission in der zuverlässigen, effizienten und ausgewogenen Versorgung der Verbraucher mit Erdgas, anderen Arten von Energieressourcen und Produkten aus ihrer Verarbeitung. Gazprom verfügt über die reichsten Erdgasreserven der Welt. Sein Anteil an den Weltgasreserven beträgt 18%, auf Russisch 70%. Auf Gazprom entfallen 15 % der weltweiten und 78 % der russischen Gasproduktion. Das Unternehmen führt derzeit aktiv Großprojekte zur Erschließung der Gasressourcen der Jamal-Halbinsel, des Arktischen Schelfs, Ostsibiriens und des Fernen Ostens sowie eine Reihe von Projekten zur Exploration und Produktion von Kohlenwasserstoffen im Ausland durch. Gazprom ist ein zuverlässiger Gaslieferant für russische und ausländische Verbraucher. Das Unternehmen besitzt das weltweit größte Gastransportnetz - ein System Gasversorgung nach Russland, deren Länge 161.000 km übersteigt. Auf dem heimischen Markt verkauft Gazprom mehr als die Hälfte seines Gases. Darüber hinaus beliefert das Unternehmen 30 Länder im nahen und fernen Ausland mit Gas. Gazprom ist der einzige Produzent und Exporteur von verflüssigtem Erdgas in Russland und liefert etwa 5 % der weltweiten LNG-Produktion. Das Unternehmen ist einer der fünf größten Ölproduzenten in der Russischen Föderation und auch der größte Eigentümer von Erzeugungsanlagen auf seinem Territorium. Ihre gesamte installierte Kapazität beträgt 17 % der gesamten installierten Kapazität des russischen Energiesystems. Das strategische Ziel ist es, OAO Gazprom durch die Erschließung neuer Märkte, die Diversifizierung der Aktivitäten und die Gewährleistung der Versorgungssicherheit als führendes Unternehmen unter den globalen Energieunternehmen zu etablieren. Betrachten Sie die finanzielle Leistung des Unternehmens in den letzten zwei Jahren. Die Ergebnisse der Unternehmenstätigkeit sind in Anlage 1 dargestellt. Zum 31. Dezember 2010 belief sich der Verkaufserlös auf 2495557 Millionen Rubel, diese Zahl ist viel niedriger im Vergleich zu den Daten von 2011, dh 3296656 Millionen Rubel. Die Verkaufserlöse (abzüglich Verbrauchsteuern, Mehrwertsteuer und Zölle) stiegen in den neun Monaten zum 30. September 2011 um RUB 801.099 Millionen oder 32 % im Vergleich zum gleichen Zeitraum des Vorjahres und beliefen sich auf RUB 3.296.656 Millionen Basierend auf den Ergebnissen von 2011 machte der Nettoverkauf von Gas 60 % des gesamten Nettoumsatzes aus (60 % im gleichen Zeitraum des Vorjahres). Die Nettoerlöse aus dem Gasverkauf stiegen von RUB 1.495.335 Mio. an. für das Jahr bis zu 1.987.330 Millionen Rubel. für den gleichen Zeitraum im Jahr 2011 oder um 33 %. Der Nettoerlös aus dem Verkauf von Gas nach Europa und in andere Länder stieg im Vergleich zum Vorjahreszeitraum um 258.596 Millionen Rubel oder 34% und belief sich auf 1.026.451 Millionen Rubel. Der Gesamtanstieg des Gasabsatzes nach Europa und anderen Ländern war auf einen Anstieg der Durchschnittspreise zurückzuführen. Der Durchschnittspreis in Rubel (einschließlich Zollgebühren) stieg in den neun Monaten zum 30. September 2011 im Vergleich zum gleichen Zeitraum im Jahr 2010 um 21 %. Darüber hinaus stieg der Gasabsatz im Vergleich zum gleichen Zeitraum des Vorjahres um 8 %. Die Nettoeinnahmen aus dem Verkauf von Gas an die Länder der ehemaligen Sowjetunion stiegen im gleichen Zeitraum des Jahres 2010 um 168.538 Millionen Rubel oder 58% und beliefen sich auf 458.608 Millionen Rubel. Die Veränderung war hauptsächlich auf einen Anstieg der Gasverkäufe in die ehemalige Sowjetunion um 33 % in den neun Monaten zum 30. September 2011 im Jahresvergleich zurückzuführen. Darüber hinaus stieg der Durchschnittspreis in Rubel (einschließlich Zollgebühren, ohne Mehrwertsteuer) im Vergleich zum Vorjahreszeitraum um 15 %. Der Nettoerlös aus dem Verkauf von Gas in der Russischen Föderation stieg im Vergleich zum Vorjahreszeitraum um 64.861 Millionen Rubel oder 15% und belief sich auf 502.271 Millionen Rubel. Dies ist hauptsächlich auf einen Anstieg des durchschnittlichen Gaspreises um 13 % im Vergleich zum Vorjahreszeitraum zurückzuführen, der mit einer Erhöhung der vom Federal Tariff Service (FTS) festgelegten Tarife verbunden ist. Die Nettoeinnahmen aus dem Verkauf von Öl- und Gasprodukten (ohne Verbrauchsteuern, Mehrwertsteuer und Zölle) stiegen um 213.012 Millionen Rubel oder 42% und beliefen sich auf 717.723 Millionen Rubel. im Vergleich zum Vorjahreszeitraum. Dieser Anstieg ist hauptsächlich auf den Anstieg der Weltmarktpreise für Öl- und Gasprodukte und den Anstieg der verkauften Mengen im Vergleich zum Vorjahreszeitraum zurückzuführen. Die Einnahmen der Gazprom Neft Group machten 85 % bzw. 84 % der gesamten Nettoeinnahmen aus dem Verkauf von raffinierten Erdölprodukten aus. Die Nettoerlöse aus dem Verkauf von Strom und Wärme (ohne Mehrwertsteuer) stiegen um 38.097 Millionen Rubel oder 19% und beliefen sich auf 237.545 Millionen Rubel. Der Anstieg der Erlöse aus dem Verkauf von Strom und Wärme ist im Wesentlichen auf eine Erhöhung der Strom- und Wärmetarife sowie eine Erhöhung des Strom- und Wärmeverkaufsvolumens zurückzuführen. Der Nettoerlös aus dem Verkauf von Rohöl- und Gaskondensat (ohne Verbrauchssteuer, Mehrwertsteuer und Zölle) stieg um 23.072 Millionen Rubel oder 16% und belief sich auf 164.438 Millionen Rubel. im Vergleich zu 141.366 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Im Wesentlichen wurde die Veränderung durch einen Anstieg des Preises für Öl- und Gaskondensat verursacht. Darüber hinaus wurde die Veränderung durch einen Anstieg des Gaskondensatabsatzes verursacht. Der Erlös aus dem Verkauf von Rohöl belief sich auf 133.368 Millionen Rubel. und 121.675 Millionen Rubel. in Nettoerlösen aus dem Verkauf von Rohöl und Gaskondensat (ohne Verbrauchsteuern, Mehrwertsteuer und Zölle) in den Jahren 2011 bzw. 2010. Die Nettoeinnahmen aus dem Verkauf von Gastransportdienstleistungen (ohne MwSt.) stiegen um 15.306 Millionen Rubel oder 23% und beliefen sich auf 82.501 Millionen Rubel im Vergleich zu 67.195 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Dieses Wachstum ist hauptsächlich auf eine Erhöhung der Gastransporttarife für unabhängige Lieferanten sowie auf eine Erhöhung der ѐ m Gastransport für unabhängige Lieferanten im Vergleich zum gleichen Zeitraum des Vorjahres. Die sonstigen Einnahmen stiegen um 19.617 Mio. RUB oder 22 % und beliefen sich auf 107.119 Mio. RUB. im Vergleich zu 87.502 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Die Ausgaben für Handelsgeschäfte ohne tatsächliche Lieferung beliefen sich auf 837 Millionen Rubel. im Vergleich zu einem Umsatz von 5.786 Mio. RUB. für den gleichen Zeitraum im Vorjahr. Die Betriebskosten stiegen um 23% und beliefen sich auf 2.119.289 Millionen Rubel. im Vergleich zu 1.726.604 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Der Anteil der Betriebskosten am Umsatz ging von 69 % auf 64 % zurück. Die Arbeitskosten stiegen um 18% und beliefen sich auf 267.377 Millionen Rubel. im Vergleich zu 227.500 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Der Anstieg ist hauptsächlich auf einen Anstieg der Durchschnittslöhne zurückzuführen. Die Abschreibungen für den analysierten Zeitraum stiegen um 9% oder um 17.026 Millionen Rubel und beliefen sich auf 201.636 Millionen Rubel gegenüber 184.610 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Der Anstieg resultiert im Wesentlichen aus der Erweiterung des Anlagevermögens. Infolge der oben genannten Faktoren stieg der Verkaufsgewinn um 401.791 Mio. RUB oder 52 % und belief sich auf 1.176.530 Mio. RUB. im Vergleich zu 774.739 Millionen Rubel. für den gleichen Zeitraum im Vorjahr. Die Umsatzrendite stieg in den neun Monaten zum 30. September 2011 von 31 % auf 36 %. Somit ist OAO Gazprom ein globales Energieunternehmen. Die Hauptaktivitäten sind Exploration, Produktion, Transport, Lagerung, Verarbeitung und Verkauf von Gas, Gaskondensat und Öl sowie die Produktion und der Verkauf von Wärme und Strom. Die Finanzlage des Unternehmens ist stabil. Leistungsindikatoren weisen einen positiven Trend auf. 2 Beschreibung des Informationssicherheitssystems des Unternehmens Betrachten wir die Hauptaktivitäten der Abteilungen des Unternehmenssicherheitsdienstes von JSC "Gazprom": Entwicklung gezielter Programme zur Entwicklung von Systemen und Komplexen von Ingenieur- und technischen Schutzmitteln (ITSO), Informationssicherheitssystemen (IS) der OAO Gazprom und ihrer Tochtergesellschaften und Organisationen, Teilnahme an der Bildung eines Investitionsprogramms zur Informationssicherung und technische Sicherheit; Umsetzung der Befugnisse des Kunden für die Arbeit an der Entwicklung von Informationssicherheitssystemen sowie ITSO-Systemen und -Komplexen; Prüfung und Genehmigung von Budgetanträgen und Budgets für die Umsetzung von Maßnahmen zur Entwicklung von Informationssicherheitssystemen, ITSO-Systemen und -Komplexen sowie zur Schaffung von IT im Hinblick auf Informationssicherheitssysteme; Prüfung und Genehmigung von Entwurfs- und Vorprojektdokumentationen für die Entwicklung von Informationssicherheitssystemen, ITSO-Systemen und -Komplexen sowie von technischen Spezifikationen für die Erstellung (Modernisierung) von Informationssystemen, Kommunikations- und Telekommunikationssystemen im Hinblick auf Anforderungen an die Informationssicherheit; Arbeitsorganisation zur Bewertung der Konformität von ITSO-Systemen und -Komplexen, IS-Unterstützungssystemen (sowie Arbeiten und Dienstleistungen für deren Erstellung) mit den festgelegten Anforderungen; Koordination und Kontrolle der Arbeit an technischer Schutz Information. Gazprom hat ein System geschaffen, das den Schutz personenbezogener Daten gewährleistet. Die Verabschiedung einer Reihe von Regulierungsrechtsakten durch die föderalen Exekutivbehörden bei der Entwicklung bestehender Gesetze und Regierungsverordnungen erfordert jedoch die Verbesserung des derzeitigen Systems zum Schutz personenbezogener Daten. Zur Lösung dieses Problems wurde eine Reihe von Dokumenten entwickelt und im Rahmen von Forschungsarbeiten koordiniert. Dies sind zunächst Entwürfe von Standards der Gazprom Development Organization: „Methodik zur Klassifizierung von Informationssystemen für personenbezogene Daten der OAO Gazprom, ihrer Tochtergesellschaften und Organisationen“; "Modell der Bedrohung personenbezogener Daten während ihrer Verarbeitung in Informationssystemen personenbezogener Daten der OAO Gazprom, ihrer Tochtergesellschaften und Organisationen". Diese Dokumente wurden unter Berücksichtigung der Anforderungen des Dekrets der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 „Über die Genehmigung der Vorschriften zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen personenbezogener Daten“ in Bezug auf die Klasse der Spezialsysteme, zu denen die meisten ISPDs von JSC "Gazprom" gehören. Darüber hinaus werden derzeit die „Vorschriften über die Organisation und technische Unterstützung der Sicherheit personenbezogener Daten, die in den Informationssystemen personenbezogener Daten von OAO Gazprom, ihren Tochtergesellschaften und Organisationen verarbeitet werden“ entwickelt. Es sei darauf hingewiesen, dass im Rahmen des Standardisierungssystems von OAO Gazprom Standards für das Informationssicherheitssystem entwickelt wurden, die auch die Lösung der Aufgaben des Schutzes von personenbezogenen Daten ermöglichen, die in den Informationssystemen von OAO Gazprom verarbeitet werden. Sieben Standards in Bezug auf das Informationssicherheitssystem wurden genehmigt und werden dieses Jahr in Kraft gesetzt. Die Standards definieren die Hauptanforderungen für den Aufbau von Informationssicherheitssystemen für OAO Gazprom und seine Tochtergesellschaften. Die Ergebnisse der geleisteten Arbeit werden es ermöglichen, die materiellen, finanziellen und intellektuellen Ressourcen rationeller zu nutzen, die notwendige regulatorische und methodische Unterstützung zu bilden, wirksame Schutzmittel einzuführen und im Ergebnis die Sicherheit der in Gazprom-Informationen verarbeiteten personenbezogenen Daten zu gewährleisten Systeme. Als Ergebnis der Informationssicherheitsanalyse von OAO Gazprom wurden folgende Mängel bei der Gewährleistung der Informationssicherheit festgestellt: die Organisation hat kein einziges Dokument, das eine umfassende Sicherheitsrichtlinie regelt; Angesichts der Größe des Netzwerks und der Anzahl der Benutzer (mehr als 100) sollte beachtet werden, dass Systemverwaltung, Informationssicherheit und technischer Support von einer Person gehandhabt; es gibt keine Einteilung der Informationswerte nach Wichtigkeitsgrad; Rollen und Verantwortlichkeiten für die Informationssicherheit sind nicht in Stellenbeschreibungen enthalten; der mit dem Arbeitnehmer abgeschlossene Arbeitsvertrag enthält keine Klausel über die Informationssicherheitspflichten sowohl der Beschäftigten als auch der Organisation selbst; Schulungen des Personals im Bereich Informationssicherheit werden nicht durchgeführt; in Bezug auf den Schutz vor externen Bedrohungen: Es gibt keine typischen Verfahren zur Datenwiederherstellung nach Unfällen, die auf externe und umweltbedingte Bedrohungen zurückzuführen sind; der Serverraum ist kein separater Raum, dem Raum wird der Status von zwei Abteilungen zugewiesen (neben dem Systemadministrator hat eine weitere Person Zugang zum Serverraum); technische Sondierung und physische Untersuchung auf nicht autorisierte Geräte, die an die Kabel angeschlossen sind, werden nicht durchgeführt; trotz der Tatsache, dass der Zugang über elektronische Ausweise erfolgt und alle Informationen in eine spezielle Datenbank eingegeben werden, wird deren Analyse nicht durchgeführt; In Bezug auf den Schutz vor Malware: Es gibt keine formelle Richtlinie zum Schutz vor den Risiken, die mit dem Empfang von Dateien sowohl von oder über externe Netzwerke als auch auf Wechselmedien verbunden sind; zum Schutz vor Malware: Es gibt keine Richtlinien zum Schutz des lokalen Netzwerks vor Schadcode; Es gibt keine Verkehrskontrolle, es gibt Zugang zu Mailserver externe Netzwerke; alle Backups werden im Serverraum gespeichert; unsichere, leicht zu merkende Passwörter verwendet werden; der Erhalt von Passwörtern durch Benutzer wird in keiner Weise bestätigt; Passwörter im Klartext werden vom Administrator gespeichert; Passwörter ändern sich nicht; Es gibt keine Anordnung zur Meldung von Informationssicherheitsereignissen. Daher wurde auf der Grundlage dieser Mängel eine Reihe von Vorschriften zur Informationssicherheitspolitik entwickelt, darunter: Richtlinie zur Einstellung (Entlassung) und Übertragung (Entziehung) von Mitarbeitern mit der erforderlichen Befugnis zum Zugriff auf Systemressourcen; Richtlinien bezüglich der Arbeit von Netzwerkbenutzern während des Betriebs; Passwortschutzrichtlinie; physische Schutzpolitik; Internetpolitik; und administrative Sicherheitsmaßnahmen. Dokumente, die diese Vorschriften enthalten, werden von der Leitung der Organisation geprüft. 3 Entwicklung eines Maßnahmenbündels zur Modernisierung des bestehenden Informationssicherheitssystems Als Ergebnis der Analyse des Informationssicherheitssystems von OAO Gazprom wurden erhebliche Systemschwachstellen identifiziert. Um Maßnahmen zur Behebung der festgestellten Mängel des Sicherheitssystems zu entwickeln, heben wir folgende schutzwürdige Informationsgruppen hervor: Informationen über das Privatleben von Mitarbeitern, die es ermöglichen, ihre Identität zu identifizieren (personenbezogene Daten); Informationen zur beruflichen Tätigkeit und zum Bank-, Revisions- und Kommunikationsgeheimnis; Informationen im Zusammenhang mit beruflichen Tätigkeiten, die als Informationen „für den amtlichen Gebrauch“ gekennzeichnet sind; Informationen, deren Vernichtung oder Veränderung die Arbeitseffizienz beeinträchtigt und deren Wiederherstellung zusätzliche Kosten verursacht. In Bezug auf administrative Maßnahmen wurden folgende Empfehlungen entwickelt: das Informationssicherheitssystem muss den Rechtsvorschriften der Russischen Föderation und den staatlichen Standards entsprechen; Gebäude und Räumlichkeiten, in denen Informinstalliert oder gelagert sind, Arbeiten mit geschützten Informationen durchgeführt werden, müssen bewacht und durch Signalisierung und Zugangskontrolle geschützt werden; Personalschulungen zu Fragen der Informationssicherheit (Erklärung der Bedeutung von Passwortschutz und Passwortanforderungen, Einweisung in Antivirensoftware usw.) sollten organisiert werden, wenn ein Mitarbeiter eingestellt wird; alle 6-12 Monate zur Durchführung von Schulungen zur Verbesserung der Alphabetisierung der Mitarbeiter im Bereich Informationssicherheit; Eine Prüfung des Systems und eine Anpassung der entwickelten Vorschriften sollten jährlich am 1. Oktober oder unmittelbar nach Einführung wesentlicher Änderungen in der Unternehmensstruktur durchgeführt werden. die Zugriffsrechte jedes Nutzers auf Informationsressourcen sind zu dokumentieren (ggf. wird der Zugriff bei der Leitung schriftlich beantragt); Die Isollte vom Softwareadministrator und Hardwareadministrator sichergestellt werden, ihre Aktionen werden vom Leiter der Gruppe koordiniert. Lassen Sie uns eine Passwortrichtlinie formulieren: bewahren Sie sie nicht unverschlüsselt auf (schreiben Sie sie nicht auf Papier, in normaler Textdatei usw.); das Passwort im Falle seiner Offenlegung oder des Verdachts der Offenlegung zu ändern; Länge muss mindestens 8 Zeichen betragen; die Passwortzeichen müssen Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten, das Passwort sollte keine leicht errechenbaren Zeichenfolgen (Namen, Tiernamen, Daten) enthalten; einmal alle 6 Monate ändern (eine außerplanmäßige Passwortänderung muss sofort nach Erhalt der Benachrichtigung über den Vorfall vorgenommen werden, der die Änderung veranlasst hat); Beim Ändern des Passworts können Sie die zuvor verwendeten nicht auswählen (Passwörter müssen sich um mindestens 6 Stellen unterscheiden). Lassen Sie uns eine Richtlinie bezüglich Antivirenprogrammen und Virenerkennung formulieren: lizenzierte Antivirensoftware muss auf jedem Arbeitsplatz installiert werden; aktualisieren Antiviren-Datenbanken an Arbeitsplätzen mit Internetzugang - einmal täglich, ohne Internetzugang - mindestens einmal wöchentlich; einen automatischen Scan der Arbeitsstationen auf Viren einrichten (Häufigkeit der Scans - einmal pro Woche: Freitag, 12:00); Nur der Administrator kann die Aktualisierung von Antiviren-Datenbanken oder die Suche nach Viren stoppen (Passwortschutz sollte für die angegebene Benutzeraktion eingestellt sein). Lassen Sie uns eine Richtlinie zum physischen Schutz formulieren: alle 1-2 Monate technische Sondierung und physische Untersuchung auf nicht autorisierte Geräte, die an die Kabel angeschlossen sind; Netzwerkkabel müssen vor unbefugtem Abfangen von Daten geschützt werden; Aufzeichnungen über alle vermuteten und tatsächlichen Fehler, die an der Ausrüstung aufgetreten sind, sollten in einem Protokoll aufbewahrt werden Jeder Arbeitsplatz muss mit einer unterbrechungsfreien Stromversorgung ausgestattet sein. Lassen Sie uns eine Richtlinie bezüglich der Reservierung von Informationen definieren: Für Backups sollte ein separater Raum zugewiesen werden, der sich außerhalb des Verwaltungsgebäudes befindet (der Raum sollte ausgestattet sein elektronisches Schloss und Wecker) Reservierung von Informationen sollte jeden Freitag um 16:00 Uhr erfolgen. Die Richtlinie bezüglich der Einstellung / Entlassung von Mitarbeitern sollte folgende Form haben: Jede personelle Veränderung (Einstellung, Beförderung, Entlassung eines Mitarbeiters usw.) muss dem Administrator innerhalb von 24 Stunden gemeldet werden, der seinerseits innerhalb einer Frist von der Hälfte entsprechende Änderungen am System zur Begrenzung der Zugriffsrechte auf Unternehmensressourcen vornehmen muss ein Arbeitstag; Der neue Mitarbeiter muss vom Administrator eingewiesen werden, einschließlich Einweisung in die Sicherheitsrichtlinie und alles notwendige Anweisungen, die Zugriffsebene auf Informationen für einen neuen Mitarbeiter wird vom Vorgesetzten zugewiesen; Wenn ein Mitarbeiter das System verlässt, werden seine ID und sein Passwort aus dem System entfernt, der Arbeitsplatz auf Viren überprüft und die Integrität der Daten, auf die der Mitarbeiter Zugriff hatte, analysiert. Richtlinie zur Arbeit mit dem lokalen internen Netzwerk (LAN) und Datenbanken (DB): bei der Arbeit an seinem Arbeitsplatz und im LAN darf der Mitarbeiter nur Aufgaben wahrnehmen, die in direktem Zusammenhang mit seiner dienstlichen Tätigkeit stehen; der Mitarbeiter muss den Administrator über Nachrichten von Antivirenprogrammen über das Auftreten von Viren informieren; Niemand, außer Administratoren, darf Änderungen am Design oder an der Konfiguration von Arbeitsstationen und anderen LAN-Knoten vornehmen, Software installieren oder unkontrolliert lassen Arbeitsplatz oder unbefugten Personen den Zugriff darauf ermöglichen; Administratoren wird empfohlen, zwei Programme ständig laufen zu lassen: das Dienstprogramm zur Erkennung von ARP-Spoofing-Angriffen und den Sniffer, mit dessen Hilfe Sie das Netzwerk mit den Augen eines potenziellen Eindringlings sehen und Verstöße gegen Sicherheitsrichtlinien identifizieren können; Sie sollten Software installieren, die den Start von Programmen verhindert, die nicht vom Administrator zugewiesen wurden, basierend auf dem Prinzip: „Jeder Person werden die erforderlichen Berechtigungen gewährt, um bestimmte Aufgaben auszuführen.“ Alle unbenutzten Computerports müssen hardware- oder softwareseitig deaktiviert werden; Die Software sollte regelmäßig aktualisiert werden. Internetrichtlinie: Administratoren wird das Recht eingeräumt, den Zugang zu Ressourcen zu beschränken, deren Inhalt nicht mit der Erfüllung offizieller Aufgaben zusammenhängt, sowie zu Ressourcen, deren Inhalt und Ausrichtung durch internationale und russische Gesetzgebung verboten sind; dem Mitarbeiter ist es untersagt, Dateien herunterzuladen und zu öffnen, ohne vorher auf Viren zu prüfen; Alle Informationen über die von den Mitarbeitern des Unternehmens besuchten Ressourcen sollten in einem Protokoll aufbewahrt und bei Bedarf den Abteilungsleitern sowie dem Management zur Verfügung gestellt werden Vertraulichkeit und Integrität der elektronischen Korrespondenz und Bürounterlagen bereitgestellt durch die Verwendung von EDS. Darüber hinaus werden wir die grundlegenden Anforderungen für die Erstellung von Passwörtern für Mitarbeiter der OAO Gazprom formulieren. Ein Passwort ist wie der Schlüssel zu einem Haus, nur dass es der Schlüssel zu Informationen ist. Bei gewöhnlichen Schlüsseln ist es äußerst unerwünscht, dass sie verloren gehen, gestohlen oder in die Hände eines Fremden übertragen werden. Gleiches gilt für das Passwort. Natürlich hängt die Sicherheit von Informationen nicht nur vom Passwort ab, aber um sie zu gewährleisten, müssen Sie eine Reihe spezieller Einstellungen vornehmen und vielleicht sogar ein Programm schreiben, das vor Hackern schützt. Aber die Wahl eines Passworts ist genau die Handlung, bei der es nur vom Benutzer abhängt, wie stark dieses Glied in der Kette von Maßnahmen zum Schutz von Informationen sein wird. ) das Passwort muss lang sein (8-12-15 Zeichen); ) sollte kein Wort aus einem Wörterbuch (irgendeinem, auch nicht einem Wörterbuch mit Fachbegriffen und Slang), einem Eigennamen oder einem kyrillischen Wort sein, das im lateinischen Layout (lateinisch - kfnsym) eingegeben wurde; ) es kann nicht mit dem Eigentümer in Verbindung gebracht werden; ) es ändert sich periodisch oder nach Bedarf; ) wird in dieser Eigenschaft nicht auf verschiedene Ressourcen verwendet (d.h. für jede Ressource - um einzutreten Briefkasten, Betriebssystem oder Datenbank - Sie müssen Ihr eigenes Passwort verwenden, das sich von anderen unterscheidet); ) kann man sich merken. Das Auswählen von Wörtern aus einem Wörterbuch ist unerwünscht, da ein Angreifer, der einen Wörterbuchangriff ausführt, Programme verwendet, die bis zu Hunderttausende von Wörtern pro Sekunde sortieren können. Alle mit dem Besitzer verbundenen Informationen (sei es das Geburtsdatum, der Name des Hundes, der Mädchenname der Mutter und ähnliche "Passwörter") können leicht erkannt und erraten werden. Die Verwendung von Groß- und Kleinbuchstaben sowie Zahlen erschwert es einem Angreifer erheblich, ein Passwort zu erraten. Das Passwort sollte geheim gehalten werden, und wenn Sie vermuten, dass jemandem das Passwort bekannt geworden ist, ändern Sie es. Es ist auch sehr nützlich, sie von Zeit zu Zeit zu ändern. Abschluss Die Studie ermöglichte es, die folgenden Schlussfolgerungen zu ziehen und Empfehlungen zu formulieren. Es wurde festgestellt, dass der Hauptgrund für die Probleme des Unternehmens im Bereich der Informationssicherheit das Fehlen einer Informationssicherheitspolitik ist, die organisatorische, technische und finanzielle Lösungen mit anschließender Überwachung ihrer Umsetzung und Bewertung der Wirksamkeit umfassen würde. Die Definition der Iwird als eine Reihe dokumentierter Entscheidungen formuliert, deren Zweck es ist, den Schutz von Informationen und damit verbundenen Informationsrisiken sicherzustellen. Die Analyse des Informationssicherheitssystems ergab erhebliche Mängel, darunter: Aufbewahrung von Backups im Serverraum, der Backup-Server befindet sich im selben Raum wie die Hauptserver; Mangel an geeigneten Regeln für den Passwortschutz (Passwortlänge, Regeln für die Auswahl und Speicherung); Das Netzwerk wird von einer Person verwaltet. Die Verallgemeinerung der internationalen und russischen Praxis im Bereich des Invon Unternehmen hat zu der Schlussfolgerung geführt, dass Folgendes erforderlich ist, um dies zu gewährleisten: Vorhersage und rechtzeitige Identifizierung von Sicherheitsbedrohungen, Ursachen und Bedingungen, die zur Zufügung von finanziellem, materiellem und moralischem Schaden beitragen; Schaffung von Bedingungen für Aktivitäten mit dem geringsten Risiko der Implementierung von Sicherheitsbedrohungen für Informationsressourcen und verschiedene Sorten Schaden; Schaffung eines Mechanismus und von Bedingungen für eine wirksame Reaktion auf Bedrohungen der Informationssicherheit auf der Grundlage rechtlicher, organisatorischer und technischer Mittel. Im ersten Kapitel der Arbeit werden die wichtigsten theoretischen Aspekte betrachtet. Es wird ein Überblick über mehrere Standards im Bereich der Informationssicherheit gegeben. Es werden Schlussfolgerungen für jeden und im Allgemeinen gezogen und der am besten geeignete Standard für die Bildung einer Iausgewählt. Das zweite Kapitel betrachtet die Struktur der Organisation und analysiert die Hauptprobleme im Zusammenhang mit der Informationssicherheit. Als Ergebnis wurden Empfehlungen formuliert, um das richtige Maß an Informationssicherheit zu gewährleisten. Es wurden auch Maßnahmen erwogen, um weitere Vorfälle im Zusammenhang mit Verstößen gegen die Informationssicherheit zu verhindern. Natürlich ist die Gewährleistung der Informationssicherheit einer Organisation ein fortlaufender Prozess, der ständig überwacht werden muss. Und eine natürlich geformte Politik ist kein eiserner Schutzgarant. Neben der Umsetzung der Richtlinie ist eine ständige Überwachung ihrer Qualitätsumsetzung sowie eine Verbesserung im Falle von Änderungen im Unternehmen oder Präzedenzfällen erforderlich. Es wurde der Organisation empfohlen, einen Mitarbeiter einzustellen, dessen Aktivitäten in direktem Zusammenhang mit diesen Funktionen stehen (Schutzbeauftragter). Referenzliste Finanzieller Schaden durch Informationssicherheit 1. Geliebter E.B. Grundlagen der Informationssicherheit. E.B. Belov, V.P. Elch, R.V. Meshcheryakov, A.A. Schelupanov. -M.: Hotline- Telekom, 2006. - 544s Galatenko V.A. Informationssicherheitsstandards: eine Vorlesungsreihe. Lehrreich Zuschuss. - 2. Auflage. M.: INTUIT.RU "Internetuniversität für Informationstechnologien", 2009. - 264 p. Glatenko V.A. Informationssicherheitsstandards / Offene Systeme 2006.- 264c Dolschenko A.I. Management von Informationssystemen: Schulung. - Rostow am Don: RGEU, 2008.-125 p. Kalaschnikow A. Bildung der Unternehmenspolitik der internen Informationssicherheit #"rechtfertigen">. Maljuk A.A. Informationssicherheit: Konzeptionelle und methodische Grundlagen der Informationssicherheit / M.2009-280s Maywald E., Netzwerksicherheit. Tutorial // Ekom, 2009.-528 p. Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Grundlagen der organisatorischen Unterstützung der Informationssicherheit von Informatisierungsobjekten // Helios ARV, 2008, 192 p.
Methodische Empfehlungen richten sich an Studierende aller Fachrichtungen 10.02.01 (090905) und stellen eine Reihe von Anforderungen für die Organisation, Durchführung und Verteidigung von Abschlussqualifikationsarbeiten (WQR) dar.
- Landesbildungsstandard für die Aus- und Weiterbildung im Fachgebiet 10.02.01 (090905) Organisation und Technik der Informationssicherheit,
- Bundesgesetz vom 29. Dezember 2012 Nr. 273-FZ „Über Bildung in der Russischen Föderation“,
- das Verfahren zur Durchführung der staatlichen Abschlusszertifizierung für Bildungsprogramme der Sekundarstufe Berufsausbildung, genehmigt im Auftrag des Ministeriums für Bildung und Wissenschaft der Russischen Föderation vom 16. August 2013 Nr. 968 (im Folgenden als Verfahren zur Durchführung des GIA bezeichnet),
- Bestimmungen des GBPOU "Technological College No. 34" "Über das Verfahren zur Durchführung der staatlichen Abschlusszertifizierung für Bildungsprogramme der sekundären Berufsbildung",
- Qualitätsmanagementsysteme.
ALLGEMEINE BESTIMMUNGEN
Staatliche Abschlusszertifizierung eines Absolventen der GBPOU der Moskauer "Technologischen Hochschule Nr. 34" in Spezialitäten 10.02.01(090905) Organisation und Technik der Informationssicherheitumfasst die Anfertigung und Verteidigung der Abschlussqualifikationsarbeit.
Qualitätskontrolle Die Absolventen werden in zwei Hauptbereichen ausgebildet:
- Einschätzung des Entwicklungsstandes Akademische Disziplinen, MDK und PM;
- Einschätzung des Niveaus der Beherrschung von Kompetenzen.
Bereich der beruflichen TätigkeitAbsolventen. Spezialist für Informationssicherheit 10.02.01(090905) führt Arbeiten im Zusammenhang mit umfassenden Schutz Informationen basierend auf den entwickelten Programmen und Methoden. Es sammelt und analysiert Materialien von Institutionen, Organisationen und Unternehmen der Branche, um Entscheidungen und Maßnahmen zu entwickeln und zu treffen, um den Schutz von Informationen und den effektiven Einsatz automatischer Kontrollinstrumente sicherzustellen und mögliche Kanäle für das Durchsickern von Informationen zu erkennen, die Staat, Militär und Beamte darstellen und Geschäftsgeheimnisse. Analysen bestehende Methoden und Mittel, die zur Kontrolle und zum Schutz von Informationen verwendet werden, und Vorschläge zu ihrer Verbesserung und zur Erhöhung der Wirksamkeit dieses Schutzes entwickeln. Beteiligt sich an der Prüfung von Schutzgütern, deren Zertifizierung und Kategorisierung. Entwickelt und bereitet zur Genehmigung Entwürfe von regulatorischen und methodischen Materialien vor, die die Arbeit am Informationsschutz regeln, sowie Vorschriften, Anweisungen und andere organisatorische und administrative Dokumente. Organisiert die Entwicklung und rechtzeitige Einreichung von Vorschlägen zur Aufnahme in die entsprechenden Abschnitte langfristiger und aktueller Arbeitspläne und Maßnahmenprogramme zur Kontrolle und zum Schutz von Informationen. Gibt Feedback und Meinungen zu Projekten für neu gebaute und rekonstruierte Gebäude und Strukturen und andere Entwicklungen zu Fragen der Informationssicherheit. Beteiligt sich an der Überprüfung technischer Spezifikationen für Design-, Entwurfs-, technische und Arbeitsprojekte, stellt deren Übereinstimmung mit aktuellen behördlichen und methodischen Dokumenten sowie an der Entwicklung neuer Dokumente sicher Schaltpläne Kontrollausrüstung, Kontrollautomatisierungswerkzeuge, Modelle und Systeme der Informationssicherheit, Bewertung des technischen und wirtschaftlichen Niveaus und der Wirksamkeit der vorgeschlagenen und implementierten organisatorischen und technischen Lösungen: Organisation der Sammlung und Analyse von Materialien, um Maßnahmen zu entwickeln und zu ergreifen, um sicherzustellen Datenschutz und Identifizierung möglicher Kanäle für das Durchsickern von Informationen, die offizielle, kommerzielle, militärische und Staatsgeheimnisse darstellen.
Gegenstände der beruflichen TätigkeitEhemalige sind:
- Mitwirkung bei der Planung und Organisation von Arbeiten zum Schutz der Anlage;
- Organisation der Arbeit mit Dokumentation, einschließlich vertraulich;
- Anwendung von Software, Hardware und technischen Mitteln zum Schutz von Informationen;
- Teilnahme an der Umsetzung eines integrierten Systems zum Schutz der Anlage;
- Beteiligung an der Sammlung und Verarbeitung von Materialien zur Entwicklung von Lösungen zur Gewährleistung des Schutzes von Informationen und der effektiven Nutzung von Mitteln zur Erkennung möglicher Kanäle für das Durchsickern vertraulicher Informationen;
- Teilnahme an der Entwicklung von Programmen und Methoden zur Organisation der Informationssicherheit in der Einrichtung;
- Überwachung der Einhaltung der Anforderungen des Informationsschutzregimes durch das Personal;
- Teilnahme an der Vorbereitung von Organisations- und Verwaltungsdokumenten, die die Arbeit zum Informationsschutz regeln;
- Organisation des Dokumentenumlaufs, auch elektronisch, unter Berücksichtigung der Vertraulichkeit von Informationen.
AbschlussqualifikationsarbeitIzielt darauf ab, Wissen zu systematisieren und zu vertiefen, die Fähigkeiten und Fertigkeiten des Absolventen bei der Lösung komplexer komplexer wissenschaftlicher und technischer Probleme mit Elementen zu verbessern wissenschaftliche Forschung, sowie um den Grad der Berufsreife des Absolventen zu zeigen, seine Einhaltung dieses Bildungsstandards. WRCs für die Qualifikation „Fachkraft für Informationssicherheit“ werden in Form einer Abschlussarbeit oder einer Abschlussarbeit durchgeführt. Das Fach des WRC für die Grundausbildung setzt die inhaltliche Übereinstimmung mit einem oder mehreren berufsbezogenen Modulen voraus.
Berufszyklus der Fachrichtung10.02.01(090905) Organisation und Technik der Informationssicherheitbeinhaltet 4 professionelle Module:
- Mitwirkung bei der Planung und Organisation von Arbeiten zum Schutz der Anlage.
- Organisation und Technologie der Arbeit mit vertraulichen Dokumenten.
- Anwendung von Hardware-Software und technischen Mitteln zum Schutz von Informationen.
- Arbeitsleistung in einem oder mehreren Berufen von Arbeitnehmern, Positionen von Arbeitnehmern.
Die abschließende qualifizierende Arbeit muss eine Reihe zwingender Anforderungen erfüllen:
- den Grad der Bildung allgemeiner und beruflicher Kompetenzen nachweisen;
- relevant und praxisorientiert sein;
- der entwickelten Aufgabe entsprechen;
- enthalten eine Analyse von Quellen zum Thema mit Verallgemeinerungen und Schlussfolgerungen, Vergleichen und Bewertungen verschiedener Standpunkte;
- Nachweis der Bereitschaft des Absolventen für eine/mehrere Art(en) beruflicher Tätigkeit;
- Konsistenz der Darstellung, Überzeugungskraft des präsentierten Faktenmaterials;
- Argumentation von Schlussfolgerungen und Verallgemeinerungen.
In der abschließenden qualifizierenden Arbeit muss der Student die Entwicklung allgemeiner und beruflicher Kompetenzen nachweisen, einschließlich der Fähigkeit:
OK 1. Verstehen Sie das Wesen und die gesellschaftliche Bedeutung Ihres zukünftigen Berufes, seien Sie hochmotiviert, berufliche Tätigkeiten im Bereich der Informationssicherheit auszuüben.
OK 2. Organisieren Sie ihre eigenen Aktivitäten, wählen Sie Standardmethoden und Methoden zur Erfüllung beruflicher Aufgaben aus und bewerten Sie deren Wirksamkeit und Qualität.
OK 3. Entscheidungen in Standard- und Nicht-Standard-Situationen treffen und dafür verantwortlich sein.
OK 4. Suchen und verwenden Sie die Informationen, die für die effektive Umsetzung beruflicher Aufgaben, berufliche und persönliche Entwicklung erforderlich sind.
Okay 5.
OK 6. Arbeiten Sie in einem Team und Team, kommunizieren Sie effektiv mit Kollegen, Management, Verbrauchern.
OK 7. Übernehmen Sie die Verantwortung für die Arbeit der Teammitglieder (Untergebenen), das Ergebnis der Erledigung von Aufgaben.
OK 8. Aufgaben der fachlichen und persönlichen Weiterentwicklung selbstständig bestimmen, Selbstbildung betreiben, Weiterbildung bewusst planen.
OK 9. Navigieren Sie unter Bedingungen des häufigen Technologiewechsels in der beruflichen Tätigkeit.
OK 10.
OK 11. Wenden Sie mathematische Apparate an, um berufliche Probleme zu lösen.
OK 12. Bewerten Sie die Bedeutung von Dokumenten, die in der beruflichen Tätigkeit verwendet werden.
OK 13. Navigieren Sie durch die Struktur der föderalen Exekutivbehörden, die die Informationssicherheit gewährleisten.
PM 01 Mitwirkung bei der Planung und Organisation von Arbeiten zum Schutz der Anlage.
PC1.1. Beteiligen Sie sich an der Sammlung und Verarbeitung von Materialien, um Lösungen zu entwickeln, um den Schutz von Informationen und den effektiven Einsatz von Mitteln zur Erkennung möglicher Kanäle für das Durchsickern vertraulicher Informationen zu gewährleisten.
PC1.2. Beteiligen Sie sich an der Entwicklung von Programmen und Methoden zur Organisation der Informationssicherheit in der Einrichtung.
PC1.3. Planen und organisieren Sie die Umsetzung von Maßnahmen zum Schutz von Informationen.
PC1.4. Beteiligen Sie sich an der Implementierung der entwickelten organisatorischen Lösungen an den Objekten der beruflichen Tätigkeit.
PC1.5. Führen Sie Aufzeichnungen, Verarbeitung, Speicherung, Übertragung, Verwendung verschiedener Medien vertraulicher Informationen.
PC1.6. Treffen Sie Sicherheitsvorkehrungen bei der Durchführung organisatorischer und technischer Maßnahmen.
PC1.7. Beteiligen Sie sich an der Organisation und Durchführung von Inspektionen von zu schützenden Informatisierungsobjekten.
PC1.8. Überwachen Sie die Einhaltung der Anforderungen des Informationssicherheitsregimes durch das Personal.
PC1.9. Beteiligen Sie sich an der Bewertung der Qualität des Objektschutzes.
PM 02 Organisation und Technik der Arbeit mit vertraulichen Dokumenten.
PC2.1. Beteiligen Sie sich an der Vorbereitung von Organisations- und Verwaltungsdokumenten, die die Arbeit zum Informationsschutz regeln.
PC 2.2. Beteiligen Sie sich an der Organisation und stellen Sie die Technologie für die Durchführung von Büroarbeiten unter Berücksichtigung der Vertraulichkeit von Informationen sicher.
PC 2.3. Organisieren Sie den Dokumentenfluss, auch elektronisch, unter Berücksichtigung der Vertraulichkeit von Informationen.
PC 2.4. Organisieren Sie die Archivierung vertraulicher Dokumente.
PC2.5. Erstellen Sie eine Dokumentation über das Betriebsmanagement von Informationssicherheitstools und Personal.
PC2.6. Führen Sie Aufzeichnungen über zu schützende Werke und Objekte.
PC2.7. Erstellung von Berichtsunterlagen in Bezug auf den Betrieb von Tools zur Kontrolle und zum Schutz von Informationen.
PC2.8. Dokumentieren Sie den Fortschritt und die Ergebnisse der internen Untersuchung.
PC2.9. Verwenden Sie regulatorische Rechtsakte, regulatorische und methodische Dokumente zum Informationsschutz.
PM 03 Anwendung von Software, Hardware und technischen Mitteln des Informationsschutzes.
PC3.1. An geschützten Objekten Software, Hardware und technische Mittel des Informationsschutzes anwenden.
PC3.2. Beteiligen Sie sich am Betrieb von Systemen und Mitteln zum Schutz von Informationen geschützter Objekte.
PC3.3. Führen Sie routinemäßige Wartungsarbeiten durch und beheben Sie Fehler der Schutzausrüstung.
PC3.4. Identifizieren und analysieren Sie mögliche Bedrohungen für die Informationssicherheit von Objekten.
PM 04 Arbeitsleistung in einem oder mehreren Berufen von Arbeitnehmern, Positionen von Arbeitnehmern.
21299 Angestellter
Okay 1. | |
Okay 2. | |
Okay 3. | |
Okay 4. | |
Okay 5. | Verwenden Sie Informations- und Kommunikationstechnologien in beruflichen Aktivitäten. |
Okay 6. | |
OK 7. | Wehrdienst leisten, auch unter Anwendung erworbener Berufskenntnisse (für junge Männer). |
PC 4.1 | Empfangen und registrieren Sie eingehende Korrespondenz und senden Sie sie an die Strukturabteilungen der Organisation. |
PC 4.2 | Berücksichtigen Sie Dokumente und reichen Sie sie unter Berücksichtigung des Beschlusses der Leiter der Organisation zur Ausführung ein. |
PC 4.3 | Stellen Sie Meldekarten aus und erstellen Sie eine Datenbank. |
PC 4.4 | Führen Sie eine Aktenaufzeichnung über die Weitergabe von Dokumentationsmaterialien. |
PC 4.5 | Überwachen Sie den Dokumentenfluss. |
PC 4.6. | Versenden Sie die ausgefüllte Dokumentation an die Empfänger mit moderne Arten Organisationstechnik. |
PC 4.7. | Zusammenstellung und Ausführung offizieller Dokumente, Materialien unter Verwendung von Formularen von Dokumenten bestimmter Art. |
PC 4.8 | Fälle bilden. |
PC 4.9 | Bieten schnelle Suche Unterlagen zum wissenschaftlichen Referenzapparat (Aktenschränke) der Organisation |
PC 4.10 | Gewährleisten Sie die Sicherheit beim Passieren der Servicedokumentation. |
16199 „Betreiber von elektronischen Rechnern und Rechnern“
Okay 1. | Verstehen Sie das Wesen und die gesellschaftliche Bedeutung Ihres zukünftigen Berufs, zeigen Sie stetiges Interesse daran. |
Okay 2. | Organisieren Sie Ihre eigenen Aktivitäten, basierend auf dem vom Leiter festgelegten Ziel und den Wegen, es zu erreichen. |
Okay 3. | Analysieren Sie die Arbeitssituation, führen Sie aktuelle und abschließende Kontrollen durch, bewerten und korrigieren Sie die eigenen Aktivitäten, tragen Sie die Verantwortung für die Ergebnisse Ihrer Arbeit. |
Okay 4. | Suchen Sie nach Informationen, die für die effektive Erfüllung beruflicher Aufgaben erforderlich sind. |
Okay 5. | Verwenden Sie Informations- und Kommunikationstechnologien in beruflichen Aktivitäten. |
Okay 6. | Arbeiten Sie im Team, kommunizieren Sie effektiv mit Kollegen, Vorgesetzten, Kunden. |
OK 7. | Wehrdienst leisten, auch unter Anwendung erworbener Berufskenntnisse (für junge Männer). |
PC 4.1 | Arbeitsvorbereitung und Aufbau Hardware, Peripheriegeräte, Betriebssystem persönlicher Computer und Multimedia-Ausstattung. |
PC 4.2 | Führen Sie digitale und analoge Informationen von verschiedenen Medien auf einen Personal Computer übertragen. |
PC 4.3 | Konvertieren Sie Dateien mit digitalen Informationen in verschiedene Formate. |
PC 4.4 | Verarbeiten Sie Audio- und visuelle Inhalte mit Sound-, Grafik- und Video-Editoren. |
PC 4.5 | Videos und Präsentationen erstellen und abspielen. Diashows, Mediendateien und andere Endprodukte aus den ursprünglichen Audio-, Video- und Multimediakomponenten mittels eines Personalcomputers und einer Multimediaausrüstung. |
PC 4.6 | Form Mediatheken zur strukturierten Speicherung und Katalogisierung digitaler Informationen. |
PC 4.7 | Verwalten Sie die Platzierung digitaler Informationen auf den Platten eines Personalcomputers sowie auf Plattenspeichern eines lokalen und globalen Computernetzwerks. |
PC 4.8 | Replizieren Sie Multimedia-Inhalte auf verschiedenen Wechselmedien Information. |
PC 4.9 | Veröffentlichen Sie Multimedia-Inhalte im Internet. |
DURCHFÜHRUNG DER ABSCHLIESSENDEN QUALIFIKATIONSARBEIT
Abschlussqualifikationsarbeit (WQR) - die Abschlussarbeit mit Bildungs- und Forschungscharakter im Rahmen der Hochschulausbildung.Erstellung der Abschlussqualifikationsarbeitist die letzte Stufe der Ausbildung des Schülers und gleichzeitig ein Test seiner Fähigkeit, pädagogische Probleme selbstständig zu lösen. Selbstständige Arbeit Der Student zum gewählten Thema beginnt mit der Bachelor-Praxis. Gleichzeitig erfolgt eine weitere Vertiefung seiner theoretischen Kenntnisse, deren Systematisierung, die Entwicklung angewandter Fertigkeiten und praktischer Fähigkeiten sowie eine Steigerung der allgemeinen und fachlichen Gelehrsamkeit.
WRC (Dissertation) hat einige Ähnlichkeiten mit Seminararbeit, zum Beispiel die Arbeit mit theoretischen Quellen oder deren Gestaltung. WRC (Dissertation) ist jedoch eine theoretische und (oder) experimentelle Studie einer der eigentliche Probleme Informationssicherheit im Fachgebiet eines Doktoranden. Das Studium kann die Entwicklung verschiedener Methoden, Methoden, Software und Hardware, Modelle, Systeme, Techniken usw. umfassen, die dazu dienen, die Ziele der Abschlussarbeit zu erreichen. Die Ergebnisse der Diplomarbeit werden in Form eines Erläuterungstextes unter Verwendung von Grafiken, Tabellen, Zeichnungen, Karten, Diagrammen usw.
Bei der Durchführung der WRC sollten Informationen über die neuesten in- und ausländischen Errungenschaften von Wissenschaft und Technik auf dem Gebiet der Informationssicherheit verwendet werden. Der Vorbereitungs- und Verteidigungsphase der WRC (Dissertation) geht eine Vordiplompraxis voraus. Die Bedingungen für das Grundstudium sowie die Bedingungen für die Vorbereitung und Verteidigung des WQR werden durch den Zeitplan für die Organisation des Bildungsprozesses festgelegt, der vor Beginn des laufenden Studienjahres durch die Anordnung des Colleges genehmigt wurde. Die WRC soll vom Absolventen anhand der von ihm persönlich gesammelten Materialien während der Zeit des grundständigen Praktikums sowie während des Verfassens der Hausarbeit durchgeführt werden.
Das Thema der abschließenden Qualifikationsarbeiten wird während der Entwicklung des GIA-Programms festgelegt. Bei der Festlegung des Themas der WRC sollte berücksichtigt werden, dass sich ihr Inhalt auf Folgendes stützen kann:
- zur Verallgemeinerung der Ergebnisse früherer Studienleistungen der Studierenden;
- über die Nutzung der Ergebnisse aus zuvor absolvierten Praxisaufgaben.
Die Zuordnung der Themen der Abschlussqualifikationsarbeiten für Studierende erfolgtspätestens am 1. Novemberletztes Studienjahr. Gleichzeitig erfolgt eine Verteilung der Studierenden durch die Betreuer. Der Betreuer hilft dem Studenten bei der Entwicklung von Forschungsgebieten, der Festlegung des Spektrums theoretischer Fragen für das Studium und der Entwicklung des praktischen Teils des Studiums. Jedem Leiter können nicht mehr als 8 Schüler zugeordnet werden.
STRUKTUR DER ABSCHLIESSENDEN QUALIFIKATIONSARBEIT
Aufbau des theoretischen Teils der Qualifikationsarbeit: Einleitung, theoretischer Teil, praktischer Teil, Schluss, Literaturverzeichnis, Anwendungen.
Der Umfang der Abschlussarbeit beträgt 40-50 Seiten gedruckten Textes und umfasst:
- Titelseite (Anlage 1).
- Inhalt. Der Inhalt der WRC wird automatisch in Form von Links erstellt, um die Arbeit zu erleichterneine große Menge an Textmaterial. Die Nutzung des elektronischen Inhaltsverzeichnisses weist zudem die Beherrschung der allgemeinen Kompetenz des GC 5 (Einsatz von Informations- und Kommunikationstechnologien in der beruflichen Tätigkeit) nach.
- Einführung. Es ist notwendig, die Relevanz und praktische Bedeutung des gewählten Themas zu begründen, das Ziel und die Ziele, den Gegenstand und Gegenstand der WRC und die Bandbreite der betrachteten Probleme zu formulieren.
4. Der Hauptteil der WRCenthält Abschnitte gemäß der logischen Struktur der Präsentation. Der Titel des Abschnitts sollte nicht mit dem Titel des Themas identisch sein, und der Titel der Absätze sollte nicht mit dem Titel der Abschnitte identisch sein.
Der Hauptteil der WRC sollte zwei Abschnitte enthalten.
- Abschnitt I widmet sich den theoretischen Aspekten des untersuchten Objekts und Subjekts. Sie enthält einen Überblick über die genutzten Informationsquellen, die regulatorischen Rahmenbedingungen rund um das Thema WRC und kann auch Platz für statistische Daten in Form von Tabellen und Grafiken finden.
Abschnitt II widmet sich der Analyse von praktischem Material, das während der Produktionspraxis (Bachelor) gewonnen wurde. Dieser Abschnitt enthält:
Analyse von spezifischem Material zu einem ausgewählten Thema;
- Beschreibung der festgestellten Probleme und Trends in der Entwicklung des Studiengegenstandes und -faches;
- Beschreibung von Wegen zur Lösung der identifizierten Probleme mithilfe von Berechnungen, Analyse experimenteller Daten, Produkt kreativer Aktivität.
Analytische Tabellen, Berechnungen, Formeln, Diagramme, Diagramme und Grafiken können während der Analyse verwendet werden.
5. Schlussfolgerung - sollte Schlussfolgerungen und Empfehlungen zur Möglichkeit der Verwendung von oder enthalten praktische Anwendung Forschungsergebnisse. Sollte nicht mehr als 5 Seiten Text umfassen.
6. Referenzenausgestellt gemäß GOST.
7. Anwendungen befinden sich am Ende der Arbeit und sind gem Mit
Einleitung, jedes Kapitel, Schluss sowie das Verzeichnis der verwendeten Quellen beginnen auf einer neuen Seite.
Handzettel.Die Präsentation wird von einer Demonstration von Materialien aus den Anhängen begleitet.
Dazu müssen Sie eine elektronische Präsentation vorbereiten. Es kann aber auch eine Präsentation auf Papier geben – Handreichungen für den Auftrag in separaten Mappen oder Plakate, die vor der Aufführung ausgehängt werden.
Während der Rede des Studenten wird die Kommission mit der Abschlussarbeit, den vom Studenten ausgegebenen Handreichungen und einer Videopräsentation vertraut gemacht.
Elektronische Version der Arbeitder WRC auf Papier beigefügt. Die Disc muss in einen Umschlag gesteckt und unterschrieben werden.
2.2. STUFEN DER VORBEREITUNG DER ABSCHLIESSENDEN QUALIFIKATIONSARBEIT
Stufe I: Beteiligung an Aktivitäten - beinhaltet:
- Wahl des Forschungsthemas;
- Auswahl, Studium, Analyse und Verallgemeinerung von Materialien zum Thema;
- Arbeitsplanentwicklung.
Stufe II: Bestimmung des Arbeitsniveaus - beinhaltet ein theoretisches Studium der Literatur und die Formulierung des Problems.
Stufe III: Aufbau der Forschungslogik. Die Daten dieser Stufe spiegeln sich in der Einleitung wider.
Die Einleitung kann mit einer Anmerkung zu einem Buch verglichen werden: Sie behandelt die theoretischen Grundlagen des Diploms, seinen Aufbau, seine Phasen und seine Arbeitsweise. Daher sollte die Einleitung möglichst kompetent und prägnant geschrieben werden (2-3 Seiten). Die Einleitung soll den Leser auf die Wahrnehmung des Haupttextes der Arbeit vorbereiten. Es besteht aus Pflichtelementen, die korrekt formuliert werden müssen.
- Die Relevanz der Forschung- eine Erklärung, warum Ihr Thema wichtig ist, wer gefragt ist. (Beantwortet die Frage: Warum sollte dies untersucht werden?) In diesem Abschnitt ist es notwendig, die Essenz des untersuchten Problems aufzuzeigen. Dieser Einführungspunkt ist logisch, um mit der Definition des ökonomischen Phänomens zu beginnen, das auf Forschungsaktivitäten abzielt. Hier können Sie auch die für die Studie verwendeten Informationsquellen auflisten. ( Informationsbasis Forschung kann im ersten Kapitel platziert werden). Sie müssen jedoch verstehen, dass es einige objektive Schwierigkeiten gibt, die gerade durch das Schreiben Ihres Diploms gelöst werden. Diese Schwierigkeiten, also die Nachteile, die von außen bestehen, spiegeln sich wider Diplomproblem.
- Forschungsproblem(beantwortet die Frage: Was soll untersucht werden?) Das Forschungsproblem zeigt eine Komplikation, ein ungelöstes Problem oder Faktoren, die dessen Lösung stören. Definiert durch 1 - 2 Begriffe. (BeispielForschungsprobleme: "... der Widerspruch zwischen dem Bedürfnis der Organisation nach zuverlässiger Schutz Informationen und die tatsächliche Organisation der Arbeit, um den Schutz von Informationen in der Organisation zu gewährleisten).
3. Zweck der Studie- Das sollten Sie am Ende erhalten, dh das Endergebnis des Diploms. (Das Ziel besteht darin, die Frage zu beantworten: Was wird das Ergebnis sein?) Das Ziel sollte sein, das zu untersuchende Problem zu lösen, indem es analysiert und analysiert wird praktische Anwendung. Das Ziel ist immer auf das Objekt gerichtet. Zum Beispiel:
- Entwickeln Sie ein Projekt (Empfehlungen)...
- Identifizieren Sie die Bedingungen, die Beziehung ...
- Bestimmen Sie die Abhängigkeit von etwas von etwas ...
4. Studiengegenstand(Was wird untersucht?). Beinhaltet die Arbeit mit Konzepten. Dieser Absatz definiert das wirtschaftliche Phänomen, auf das sich die Forschungstätigkeit bezieht. Ein Objekt kann eine Person, eine Umgebung, ein Prozess, eine Struktur, eine wirtschaftliche Aktivität eines Unternehmens (einer Organisation) sein.
- Gegenstand der Studie(wie und durch was wird die Suche gehen?) Hier ist es notwendig, die spezifischen Eigenschaften des zu untersuchenden Objekts oder Wege zur Untersuchung des ökonomischen Phänomens zu definieren. Der Studiengegenstand ist auf die Praxis ausgerichtet und spiegelt sich in den Ergebnissen der Praxis wider.
6. Forschungsziele- das sind Schritte, um die Ziele zu erreichen (zeigen, wie man zum Ergebnis kommt?), Wege, um das Ziel zu erreichen. Sie stimmen mit der Hypothese überein. Auf der Grundlage der Ziele der Arbeit festgelegt. Die Formulierung von Aufgaben sollte möglichst sorgfältig erfolgen, da die Beschreibung ihrer Lösung den Inhalt von Unterabschnitten und Absätzen der Arbeit bilden soll. In der Regel werden 3-4 Aufgaben formuliert.
Jede Aufgabe muss mit einem unbestimmten Verb beginnen. Aufgaben werden durch ein System sequentieller Aktionen beschrieben, Zum Beispiel:
- analysieren...;
- erkunden...;
- Forschung...;
- aufdecken...;
- definieren...;
- entwickeln...
In der WRC werden in der Regel 5-7 Aufgaben unterschieden (Thesis).
Jede Aufgabe sollte in einem der Unterabschnitte des theoretischen oder praktischen Teils reflektiert werden. Aufgaben sollten sich im Inhaltsverzeichnis widerspiegeln. Wenn die Aufgabenstellung zwar in der Einleitung genannt wird, aber im Inhaltsverzeichnis und im Diplomtext nicht ersichtlich ist, handelt es sich um einen schwerwiegenden Fehler.
Liste der erforderlichen Aufgaben:
- „Auf der Grundlage einer theoretischen Analyse der Literatur zu entwickeln ...“ (Schlüsselbegriffe, Grundbegriffe).
- „Bestimmen Sie ...“ (heben Sie die wichtigsten Bedingungen, Faktoren und Ursachen hervor, die sich auf den Untersuchungsgegenstand auswirken).
- „Enthüllen ...“ (heben Sie die wichtigsten Bedingungen, Faktoren und Ursachen hervor, die den Forschungsgegenstand beeinflussen).
- "Entwickeln ..." (Mittel, Bedingungen, Formen, Programme).
- „Um zu testen (was entwickelt wurde) und Empfehlungen auszusprechen ...
8. Theoretische und praktische Bedeutung des Studiums:
„Die Ergebnisse der Studie ermöglichen die Umsetzung von ...; wird dazu beitragen
Entwicklung...; wird sich verbessern... Das Vorhandensein formulierter Handlungsanweisungen für die Umsetzung der Erkenntnisse und Vorschläge verleiht der Arbeit eine große praktische Bedeutung. Nicht erforderlich.
9. Forschungsmethoden:eine kurze Auflistung wird gegeben.Forschungsmethodik- Dies sind die Methoden, die der Student bei der Erstellung des Diploms anwendet. Zu Methoden Forschungstätigkeit umfassen: theoretische Methoden (Methode der Analyse, Synthese, Vergleich) und empirische Methoden (Beobachtung, Befragungsmethode, Experiment).
- Forschungsbasis- Dies ist der Name des Unternehmens, der Organisation, auf deren Grundlage die Studie durchgeführt wurde. In den meisten Fällen ist die Basis des Studiums der Ort der Bachelor-Praxis des Studenten.
Der Schlusssatz der Einleitung ist eine Beschreibung des Aufbaus und der Seitenzahl in der WRC: „Der Aufbau der Arbeit entspricht der Logik des Studiums und umfasst eine Einleitung, einen theoretischen Teil, einen praktischen Teil, einen Schluss, a Liste der Referenzen, Anwendungen." Hier ist es zulässig, die WRC näher zu strukturieren und den Inhalt der Sektionen kurz zu skizzieren.
Die Einleitung soll also den Leser auf die Wahrnehmung des Haupttextes der Arbeit vorbereiten.
IV-Stadium: Arbeit am Hauptteil der WRC.
Der Hauptteil der WRC sollte Abschnitte, Unterabschnitte und Absätze enthalten, die die theoretischen und praktischen Aspekte des Themas auf der Grundlage einer Analyse der veröffentlichten Literatur darlegen, umstrittene Fragen berücksichtigen, die Position und den Standpunkt des Autors formulieren; die vom Studenten durchgeführten Beobachtungen und Experimente, die Forschungsmethodik, die Berechnungen, die Analyse der experimentellen Daten und die erzielten Ergebnisse werden beschrieben. Bei der Unterteilung des Textes in Unterabschnitte und Absätze ist es erforderlich, dass jeder Absatz vollständige Informationen enthält.
Der theoretische Teil beinhaltet die Analyse des Untersuchungsgegenstandes und soll Schlüsselkonzepte, die Geschichte der Fragestellung, den Entwicklungsstand der Problemstellung in Theorie und Praxis enthalten. Um einen theoretischen Teil kompetent schreiben zu können, ist es notwendig, eine ausreichend große Anzahl an wissenschaftlichen, wissenschaftlichen, methodischen und sonstigen Quellen zum Thema zu erarbeiten.Diplom. In der Regel - nicht weniger als 10.
Abschnitt 1 sollte der Beschreibung des Forschungsgegenstandes gewidmet sein, Abschnitt 2 - der Beschreibung des Forschungsgegenstandes, bilden den Hauptteil der WRC und sollten logisch miteinander verbunden sein.
Der Hauptteil der WRC sollte Tabellen, Diagramme, Grafiken mit relevanten Links und Kommentaren enthalten. Abschnitte sollten Überschriften haben, die ihren Inhalt widerspiegeln. Die Überschriften der Abschnitte sollten den Titel der Arbeit nicht wiederholen. Lassen Sie uns den Inhalt der einzelnen Abschnitte der WRC genauer betrachten.
Abschnitt 1 ist theoretischer, pädagogischer Natur und widmet sich der Beschreibung der wichtigsten theoretischen Bestimmungen, Methoden, Methoden, Ansätze und Hardware und Software, die zur Lösung der Aufgabe oder ähnlicher Aufgaben verwendet werden. Dieser Abschnitt enthält nur das, was als anfängliche theoretische Grundlage zum Verständnis der Essenz der in den folgenden Abschnitten beschriebenen Forschung und Entwicklung erforderlich ist. Theoretische Fragestellungen werden skizziert: Methoden, Methoden, Algorithmen zur Lösung des Problems, Informationsflüsse werden analysiert etc. Der letzte der Hauptabschnitte enthält in der Regel eine Beschreibung der Ergebnisse von Experimenten mit den vorgeschlagenen (entwickelten) Methoden, Methoden, Hardware und Software und Systemen sowie eine vergleichende Analyse der erhaltenen Ergebnisse. Der Diskussion der in der WRC erzielten Ergebnisse und deren Veranschaulichung sollte gewidmet werden Besondere Aufmerksamkeit. Es ist notwendig, den Inhalt von Veröffentlichungen anderer Autoren zu skizzieren Notwendig geben Sie Links zu ihnen mit Angabe der Seitenzahlen dieser Informationsquellen. Im ersten Abschnitt wird empfohlen, den aktuellen Stand der Problemstellung zu analysieren und Trends in der Entwicklung des untersuchten Prozesses zu identifizieren. Dazu werden die aktuellen regulatorischen Dokumente, amtliche Statistiken, analytische Übersichten und Zeitschriftenartikel verwendet. FolgeDie Analyse der Vorschriften sollte Schlussfolgerungen über ihre Auswirkungen auf das untersuchte Problem und Empfehlungen für ihre Verbesserung enthalten. Bei der Erstellung von statistischem Material im Text der Arbeit in obligatorisch Reihenfolge wird auf die Datenquelle verwiesen.
Im ersten Abschnitt ist es ratsam, auf die Geschichte (Stadien) der Entwicklung des untersuchten Prozesses und die Analyse der Auslandserfahrung seiner Organisation zu achten. Das Ergebnis der Analyse der ausländischen Praxis sollte ein Vergleich des untersuchten Prozesses mit der inländischen Praxis und Empfehlungen zu den Möglichkeiten seiner Anwendung in Russland sein.
In diesem Abschnitt soll auch eine vergleichende Analyse bestehender Ansätze und Methoden zur Problemlösung erfolgen. Es ist notwendig, die Wahl einer Methode zur Lösung des untersuchten Problems zu begründen und detailliert anzugeben. Sie können auch Ihre eigene Methode anbieten.
Bei der Erarbeitung theoretischer Quellen ist es notwendig, den für diesen Teil der Diplomarbeit bedeutsamen Text hervorzuheben und zu markieren. Diese Textfragmente können als Zitat, als Illustration für Ihre Analyse, Vergleich in die Arbeit eingefügt werden. Im theoretischen Teil der WRC ist es unmöglich, ganze Abschnitte und Kapitel aus Lehrbüchern, Büchern, Artikeln zu platzieren.
Jede Arbeit sollte theoretische, methodologische und praktische Aspekte des zu untersuchenden Problems beinhalten.
Sektion 2 muss rein praktisch sein. Es ist notwendig, einen bestimmten Untersuchungsgegenstand quantitativ zu beschreiben, die Ergebnisse praktischer Berechnungen und Anweisungen für deren Verwendung vorzustellen sowie Anweisungen zur Verbesserung der Organisation und Technologie des Informationsschutzes zu formulieren. Für die Abfassung des zweiten Abschnitts werden in der Regel Materialien verwendet, die der Student während des Industriepraktikums gesammelt hat. Dieser Abschnitt der WRC enthält eine Beschreibung der praktischen Ergebnisse der Studie. Es kann das Experiment und die zu seiner Durchführung verwendeten Methoden, die erzielten Ergebnisse und die Möglichkeit beschreiben, die Ergebnisse der Studie in der Praxis zu verwenden.
Ungefährer Aufbau des praktischen Teils der WRC
Im Titel des praktischen Teils wird in der Regel das Forschungsproblem am Beispiel einer bestimmten Organisation formuliert.
1. Zweck der Studie- im ersten Satz angegeben.
Technische und wirtschaftliche Merkmale des Unternehmens,auf deren Grundlage die Studie durchgeführt wird (Status des Unternehmens, morphologische Merkmale der Organisation, Organisations- und Managementstruktur, Merkmale des technologischen Prozesses usw.).
- Forschungsmethoden.
- Forschungsfortschritt.Nach der Formulierung des Namens jeder Methode wird der Zweck angegeben. sein Verwendung und Beschreibung. Ferner wird die Anwendung des Forschungsverfahrens in einer bestimmten Organisation offenbart. Alle Materialien zur Anwendung von Forschungsmethoden (Formulare von Fragebögen, interne Dokumente zur Gewährleistung des Datenschutzes einer Organisation / eines Unternehmens) werden in den Anwendungen platziert. Eine Analyse der erhaltenen Ergebnisse wird durchgeführt, eine Schlussfolgerung wird gezogen. Um genauere Ergebnisse zu erhalten, verwenden Sie nicht eins, sondernmehrere Forschungsmethoden.
- Allgemeine Schlussfolgerungen. Am Ende der Studie werden allgemeine Ergebnisse (Schlussfolgerungen) zum gesamten Thema zusammengefasst. Die verwendete Methodik soll die Forschungshypothese bestätigen oder widerlegen. Im Falle einer Widerlegung der Hypothese werden Empfehlungen zur möglichen Verbesserung der Aktivitäten der Organisation und der Datenschutztechnologie der Organisation/des Unternehmens im Lichte des untersuchten Problems gegeben.
- In Gewahrsam eine kurze Liste der in der Arbeit erzielten Ergebnisse sollte präsentiert werden. Der Hauptzweck der Schlussfolgerung besteht darin, den Inhalt der Arbeit zusammenzufassen und die Ergebnisse der Studie zusammenzufassen. Abschließend werden die Erkenntnisse präsentiert, ihr Zusammenhang mit dem Zweck der Arbeit und den in der Einleitung gestellten und formulierten konkreten Aufgabenstellungen analysiertliegt dem Verteidigungsbericht der Studierenden zugrunde und soll 5 Textseiten nicht überschreiten.
3. ALLGEMEINE VORSCHRIFTEN FÜR DIE ANMELDUNG DER ABSCHLIESSENDEN QUALIFIKATIONSARBEIT
3.1 GESTALTUNG VON TEXTMATERIAL
Der Textteil der Arbeit muss in einer Computerversion auf A4-Papier auf einer Seite des Blattes ausgeführt werden. Schriftart – Times New Roman, Schriftgröße – 14, Stil – normal, eineinhalb Zeilenabstand, Blocksatz. Seiten sollten Ränder haben (empfohlen): unten - 2; oben - 2; links - 2; rechts - 1. Der Umfang der WRC sollte 40-50 Seiten betragen. Folgender Anteil der aufgeführten Hauptelemente am Gesamtumfang der Abschlussqualifikationsarbeit wird empfohlen: Einführung - bis zu 10 %; Abschnitte des Hauptteils - 80%; Fazit - bis zu 10%.
Der gesamte Text der WRC sollte in seine Bestandteile zerlegt werden. Die Gliederung des Textes erfolgt durch Untergliederung in Abschnitte und Unterabschnitte. Im Inhalt der WRC sollte es keine Übereinstimmung des Wortlauts des Titels eines der Bestandteile mit dem Titel des Werks selbst sowie der Übereinstimmung der Titel von Abschnitten und Unterabschnitten geben. Die Titel der Abschnitte und Unterabschnitte sollten ihren Hauptinhalt widerspiegeln und das Thema der WRC offenbaren.
Abschnitte und Unterabschnitte sollten Überschriften haben. Artikel haben normalerweise keine Überschriften. Überschriften von Abschnitten, Unterabschnitten und Absätzen sind mit einem Absatzeinzug von 1,25 cm mit einem Großbuchstaben ohne Punkt am Ende, ohne Unterstreichung, Schriftart Nr. 14 „Times New Roman“ zu drucken. Besteht die Überschrift aus zwei Sätzen, werden diese durch einen Punkt getrennt. Überschriften sollten den Inhalt von Abschnitten und Unterabschnitten klar und prägnant wiedergeben.
Bei der Aufteilung der WRC in Abschnitte gemäß GOST 2.105-95 erfolgt die Bezeichnung nach Seriennummern - arabische Ziffern ohne Punkt. Bei Bedarf können Unterabschnitte in Absätze unterteilt werden. Die Absatznummer muss aus durch Punkte getrennten Abschnitts-, Unterabschnitts- und Absatznummern bestehen. Setzen Sie keinen Punkt am Ende des Abschnitts (Unterabschnitts), der Absatznummer (Unterabsatz). Jeder Abschnitt muss auf einem neuen Blatt (Seite) beginnen.
Wenn ein Abschnitt oder Unterabschnitt aus einem Absatz besteht, sollte er nicht nummeriert werden. Absätze können bei Bedarf in Unterabsätze unterteilt werden, die innerhalb jedes Absatzes fortlaufend nummeriert werden müssen, zum Beispiel:
1 Typen und Hauptabmessungen
Aufzählungen können innerhalb von Sätzen oder Untersätzen angegeben werden. Jeder Auflistung muss ein Bindestrich oder ein Kleinbuchstabe gefolgt von einer Klammer vorangestellt werden. Zur weiteren Detaillierung von Aufzählungen sind arabische Ziffern zu verwenden, hinter denen eine Klammer steht.
Beispiel:
A)_____________
B) _____________
1) ________
2) ________
V) ____________
Die Paginierung des Haupttextes und der Anhänge sollte fortlaufend sein. Die Seitenzahl wird ohne Punkt in der Mitte des unteren Blattrandes platziert. Das Titelblatt ist in der allgemeinen Paginierung der WRC enthalten. Die Seitenzahl auf Titelseite und Inhalt ist nicht angebracht.
Die Dissertation sollte wissenschaftliche und spezielle Begriffe, Bezeichnungen und Definitionen verwenden, die durch die einschlägigen Standards festgelegt wurden und in deren Fehlen allgemein in der speziellen und wissenschaftlichen Literatur akzeptiert sind. Wird eine spezifische Terminologie übernommen, so ist vor dem Literaturverzeichnis eine Liste akzeptierter Begriffe mit entsprechenden Erläuterungen anzugeben. Die Liste gehört zum Inhalt der Arbeit.
3.2 DESIGN VON ILLUSTRATIONEN
Alle Illustrationen, die in der endgültigen Qualifikationsarbeit platziert werden, müssen sorgfältig ausgewählt, klar und präzise ausgeführt werden. Abbildungen und Diagramme sollten in direktem Zusammenhang mit dem Text stehen, ohne zusätzliche Bilder und Daten, die nirgendwo erklärt werden. Die Anzahl der Abbildungen in der WRC sollte ausreichen, um den präsentierten Text zu erklären.
Abbildungen sollten direkt nach dem Text, in dem sie zum ersten Mal erwähnt werden, oder auf der nächsten Seite platziert werden.
Im Text platzierte Abbildungen sind mit arabischen Ziffern zu nummerieren, Zum Beispiel:
Abbildung 1, Abbildung 2
Abbildungen dürfen innerhalb eines Abschnitts (Kapitels) nummeriert werden. Die Nummer der Abbildung muss sich in diesem Fall aus der Nummer des Abschnitts (Kapitels) und der fortlaufenden Nummer der Abbildung, getrennt durch einen Punkt, zusammensetzen.
Abbildungen können ggf. mit Namen und erläuternden Daten (Bildtext) versehen werden.
Das Wort "Abbildung" und der Name werden nach den erklärenden Daten in der Mitte der Zeile platziert, zum Beispiel:
Abbildung 1 – Dokumentenroute
3. 3 ALLGEMEINE REGELN FÜR DIE FORMELDARSTELLUNG
In Formeln und Gleichungen müssen symbolische Symbole, Bilder oder Zeichen den in den geltenden Landesnormen übernommenen Symbolen entsprechen. Im Text steht vor der Bezeichnung des Parameters dessen Erläuterung, z. B.:Temporäre Reißfestigkeit.
Verwenden Sie ggf Symbole, Bilder oder Zeichen, die nach den geltenden Normen nicht festgelegt sind, sollten sie im Text oder in der Symbolliste erläutert werden.
Formeln und Gleichungen werden vom Text in einer separaten Zeile getrennt. Über und unter jeder Formel oder Gleichung muss mindestens eine freie Zeile stehen.
Eine Erklärung der Bedeutung von Symbolen und numerischen Koeffizienten sollte direkt unter der Formel in der gleichen Reihenfolge gegeben werden, in der sie in der Formel angegeben sind.
Formeln sollten in der gesamten Arbeit fortlaufend mit arabischen Ziffern in Klammern ganz rechts auf der Formelebene nummeriert werden.
Zum Beispiel:
Wenn die Organisation ein bestehendes System aufrüstet, werden bei der Berechnung der Effizienz die aktuellen Betriebskosten berücksichtigt:
Ep \u003d (P1-P2) + ΔP p , (3.2)
wobei P1 und P2 die Betriebskosten vor und nach der Implementierung des zu entwickelnden Programms sind;
ΔР p - Einsparungen durch erhöhte Produktivität zusätzlicher Benutzer.
Es ist erlaubt, Formeln und Gleichungen innerhalb jedes Abschnitts mit doppelten Zahlen zu nummerieren, die durch einen Punkt getrennt sind und die Abschnittsnummer und die Ordnungszahl der Formel oder Gleichung angeben, zum Beispiel: (2.3), (3.12) usw.
Übertragungen eines Teils der Formeln in eine andere Zeile sind bei Gleichheitszeichen, Multiplikation, Addition, Subtraktion und bei Verhältniszeichen (>;) erlaubt, und das Zeichen am Anfang der nächsten Zeile wird wiederholt. Die Reihenfolge der Darstellung mathematischer Gleichungen ist die gleiche wie bei Formeln.
Zahlenwerte von Größen mit der Bezeichnung von Einheiten physikalischer Größen und Zähleinheiten sollten in Zahlen und Zahlen ohne Bezeichnung von Einheiten physikalischer Größen und Zähleinheiten von eins bis neun geschrieben werden - zum Beispiel in Worten:Testen Sie fünf Rohre mit je 5 m Länge.
Bei der Nennung der größten oder kleinsten Mengenwerte sollte der Ausdruck „sollte nicht mehr (nicht weniger) sein“ verwendet werden.
3.4 GESTALTUNG VON TABELLEN
Tabellen dienen der besseren Übersichtlichkeit und Vergleichbarkeit der Indikatoren. Der Titel der Tabelle sollte, falls vorhanden, ihren Inhalt widerspiegeln, präzise und prägnant sein. Der Name der Tabelle sollte ohne Absatzeinzug in einer Zeile über der linken Tabelle stehen, wobei die Nummer durch einen Bindestrich getrennt ist.
Beim Übertragen eines Teils einer Tabelle wird der Titel nur über dem ersten Teil der Tabelle platziert, die untere horizontale Linie, die die Tabelle begrenzt, wird nicht gezeichnet.
Die Tabelle sollte unmittelbar nach dem Text, in dem sie zum ersten Mal erwähnt wird, oder auf der nächsten Seite platziert werden.
Eine Tabelle mit vielen Zeilen kann auf ein anderes Blatt (Seite) übertragen werden. Beim Übertragen eines Teils der Tabelle auf ein anderes Blatt wird das Wort "Tabelle" und seine Nummer einmal rechts über dem ersten Teil der Tabelle angezeigt, das Wort "Fortsetzung" wird über den anderen Teilen geschrieben und die Tabellennummer wird angezeigt. B.: „Fortsetzung von Tabelle 1“. Beim Übertragen einer Tabelle auf ein anderes Blatt wird die Überschrift nur über ihrem ersten Teil platziert.
Wenn in einer Zeile der Tabelle keine numerischen oder anderen Daten angegeben sind, wird ein Bindestrich eingefügt.
Beispiel für Tabellenlayout:
Tabellen innerhalb des gesamten Erläuterungstextes werden in arabischen Ziffern durch Numerierung nummeriert, denen das Wort „Tabelle“ vorangestellt wird.. Es ist erlaubt, die Tabellen innerhalb des Abschnitts zu nummerieren. Die Tabellennummer besteht in diesem Fall aus der Abschnittsnummer und der Ordnungsnummer der Tabelle, getrennt durch einen Punkt „Tabelle 1.2“.
Die Tabellen jeder Anmeldung sind durch separate Nummerierung in arabischen Ziffern mit dem Zusatz der Anwendungsbezeichnung vor der Nummer gekennzeichnet.
Die Überschriften der Spalten und Zeilen der Tabelle sind mit Großbuchstaben im Singular und die Zwischenüberschriften der Spalten mit Kleinbuchstaben zu schreiben, wenn sie mit der Überschrift einen Satz bilden, bzw. mit Großbuchstaben, wenn sie mit der Überschrift einen Satz bilden haben eine eigenständige Bedeutung. Setzen Sie keine Punkte am Ende von Überschriften und Unterüberschriften von Tabellen.
In der Tabelle darf eine kleinere Schriftgröße verwendet werden als im Text.
Spaltenüberschriften werden parallel oder senkrecht zu den Zeilen der Tabelle geschrieben. In den Tabellenspalten dürfen keine diagonalen Linien mit der Anbringung von Überschriften vertikaler Kapitel auf beiden Seiten der Diagonale gezogen werden.
5 LITERATURLISTE
Das Literaturverzeichnis wird unter Berücksichtigung der Regeln für die Gestaltung des Literaturverzeichnisses erstellt(Anlage 5). Das Verzeichnis der verwendeten Literatur soll mindestens 20 Quellen (mindestens 10 Bücher und 10-15 Zeitschriften) enthalten, mit denen der Verfasser der Arbeit gearbeitet hat. Die Literatur in der Liste ist nach Abschnitten in folgender Reihenfolge geordnet:
- Bundesgesetze (in der Reihenfolge vom letzten Adoptionsjahr zu den vorhergehenden);
- Dekrete des Präsidenten der Russischen Föderation (in derselben Reihenfolge);
- Dekrete der Regierung der Russischen Föderation (in derselben Reihenfolge)
- andere aufsichtsrechtliche Rechtsakte;
- andere offizielle Materialien (Resolutionen-Empfehlungen internationaler Organisationen und Konferenzen, offizielle Berichte, offizielle Berichte usw.)
- Monographien, Lehrbücher, Studienführer(In alphabetischer Reihenfolge);
- ausländische Literatur;
- Internet-Ressourcen.
Die Quellen in jedem Abschnitt sind in alphabetischer Reihenfolge angeordnet. Für das gesamte Literaturverzeichnis wird eine fortlaufende Nummerierung verwendet.
Bei Literaturhinweisen im Text des Erläuterungstextes sollte nicht der Titel des Buches (Artikels), sondern die diesem im Index „Referenzen“ zugeordnete Seriennummer in eckigen Klammern notiert werden. Literaturhinweise werden im Zuge ihres Erscheinens im Text der WRC nummeriert. Es wird eine fortlaufende Nummerierung oder eine Nummerierung nach Abschnitten (Kapiteln) verwendet.
Das Verfahren zur Auswahl von Literatur zum Thema WRC und Erstellung einer Liste verwendeter Literatur
IN das Verzeichnis der verwendeten Literatur umfasst die Quellen, die der Studierende im Rahmen der Anfertigung der Abschlussarbeit eingesehen hat, einschließlich derjenigen, auf die er sich bezieht.
Dem Schreiben der WRC geht ein intensives Studium literarischer Quellen zum Thema der Arbeit voraus. Dazu müssen Sie sich zunächst an die Hochschulbibliothek wenden. Dabei kommt dem Studierenden der Präsenz- und Rechercheapparat der Bibliothek zu Hilfe, dessen Hauptbestandteil Kataloge und Aktenschränke sind.
Der Katalog ist ein Verzeichnis der dokumentarischen Informationsquellen (Bücher), die in den Beständen der Bibliothek vorhanden sind.
Kennt der Student die Titel der geforderten Bücher oder zumindest die Namen der Autoren genau, muss der alphabetische Katalog verwendet werden.
Wenn Sie herausfinden müssen, welche Bücher auf spezifisches Problem(Thema) in dieser Bibliothek vorhanden sind, muss zusätzlich der systematische Katalog herangezogen werden.
Der systematische Katalog weist den Bibliotheksbestand nach Inhalten aus. Zur bequemen Nutzung des Systematischen Katalogs verfügt dieser über ein alphabetisches Sachregister (ASU). In den aufgeführten Katalogen kann der Student nur die Titel der Bücher finden, während er zum Schreiben der WRC auch Material benötigt, das in Zeitschriften, Zeitungen und verschiedenen Sammlungen veröffentlicht wurde. Zu diesem Zweck werden in Bibliotheken bibliografische Karteien organisiert, in denen Beschreibungen von Zeitschriften- und Zeitungsartikeln sowie Materialien aus Sammlungen abgelegt werden.
Beim Schreiben einer WRC verwendet ein Student häufig Referenzliteratur, um verschiedene Optionen, Fakten, Konzepte und Begriffe zu klären und zu verdeutlichen. Referenzliteratur umfasst verschiedene Enzyklopädien, Wörterbücher, Nachschlagewerke, statistische Sammlungen.
Bibliographische Angaben machen
Beim Schreiben einer WRC muss ein Student oft auf das Zitieren der Werke verschiedener Autoren, die Verwendung von statistischem Material verweisen. In diesem Fall ist es notwendig, einen Link zu einer bestimmten Quelle herzustellen.
Neben der Beachtung der Grundregeln des Zitierens (man darf keine Phrasen aus dem Text herausreißen, ihn mit willkürlichen Abkürzungen verzerren, Zitate müssen zitiert werden etc.) sollten Sie auch darauf achten genaue Angabe Zitierquellen.
- IN FußnotenVerweise (Fußnoten) werden am Ende der Seite platziert, auf der sich das zitierte Material befindet. Dazu wird am Ende des Zitats eine Zahl gesetzt, die die Ordnungszahl des Zitats auf dieser Seite angibt. Am Ende der Seite, unter der Trennlinie zwischen der Fußnote (Referenz) und dem Text, wird diese Nummer wiederholt, gefolgt vom Titel des Buches, aus dem das Zitat stammt, mit der obligatorischen Angabe der Nummer der zitierten Seite . Zum Beispiel:
"Shipunov M.Z. Grundlagen der Managementtätigkeit. - M .: INFRA - M, 2012, S. 39.
- Intratext-Linkswerden in Fällen verwendet, in denen Informationen über die analysierte Quelle ein organischer Bestandteil des Haupttextes sind. Sie sind bequem, weil sie die Aufmerksamkeit nicht vom Text ablenken. Die Beschreibung in solchen Links beginnt mit den Initialen und dem Nachnamen des Autors, der Titel des Buches oder Artikels wird in Anführungszeichen angegeben, die Ausgabedaten werden in Klammern angegeben.
- Jenseits von Textlinks- es handelt sich um Quellenangaben von Zitaten mit Hinweis auf ein nummeriertes Literaturverzeichnis am Ende der Arbeit. Der Verweis auf eine literarische Quelle erfolgt am Ende eines Satzes durch Angabe der Seriennummer des verwendeten Dokuments in eckigen Klammern unter Angabe der Seite.
Zum Beispiel: „Derzeit ist das Hauptdokument, das die Privatisierung von staatlichem und kommunalem Eigentum auf dem Territorium der Russischen Föderation regelt, das Gesetz „Über die Privatisierung von staatlichem und kommunalem Eigentum“ vom 21. Dezember 2001 Nr. 178-FZ (in der geänderten Fassung). am 31. Dezember 2005 in der Fassung vom 01.05.2006) .
Am Ende der Arbeit (auf einer gesonderten Seite) ist eine alphabetische Auflistung der tatsächlich verwendeten Literatur anzugeben.
3.6 REGISTRIERUNG VON APPS
Anwendungen ggf. ausgestellt. Bewerbungen für die Arbeit können zusätzliche Referenzmaterialien von zusätzlichem Wert enthalten, zum Beispiel: Kopien von Dokumenten, Auszüge aus Berichtsmaterialien, statistische Daten, Diagramme, Tabellen, Diagramme, Programme, Vorschriften usw.
Zu den Bewerbungen gehören auch solche Materialien, die die praktischen oder theoretischen Teile des Diploms spezifizieren können. Die Bewerbung kann beispielsweise Folgendes umfassen: Texte von Fragebögen, Fragebögen und andere Methoden, die im Forschungsprozess verwendet wurden, Beispiele für Antworten der Befragten, Fotomaterial, Diagramme und Tabellen, die sich nicht auf die theoretischen Schlussfolgerungen im Diplom beziehen.
Alle Anhänge sind im Haupttext zu referenzieren.
Zum Beispiel: Abgeleitete Einheiten des SI-Systems (Anlagen 1, 2, 5).
Anwendungen sind in einer Reihenfolge von Verweisen auf sie im Text angeordnet. Jede Bewerbung muss auf einem neuen Blatt (Seite) mit den Worten Bewerbung in der oberen rechten Ecke der Seite beginnen.und seine Bezeichnungen in arabischen Ziffern, mit Ausnahme der Ziffer 0.
4. VERTEIDIGUNG DER ABSCHLIESSENDEN QUALIFIKATIONSARBEIT
4.1 WRC-BEREITSCHAFTSÜBERWACHUNG
Jedem Studierenden wird ein Gutachter der Abschlussarbeit aus dem Kreis externer Spezialisten zugeteilt, die sich mit diesem Thema auskennen.
Entsprechend den genehmigten Themen entwickeln sich wissenschaftliche Betreuer der abschließenden Qualifikationsarbeitindividuelle Aufgabenfür Studierende, die vom PCC „Information Technologies“ berücksichtigt werden, unterzeichnet vom Betreuer und Vorsitzenden des PCC.
Die Beauftragung von Abschlussqualifikationsarbeiten wird von der stellvertretenden Studiengangsleitung genehmigt und spätestens zwei Wochen vor Beginn des Vorpraktikums an die Studierenden ausgegeben.
Die wissenschaftlichen Betreuer erstellen gemäß den genehmigten Themen individuelle Beratungspläne,nach dem der Prozess der Durchführung der abschließenden qualifizierenden Arbeiten gesteuert wird.
Die Kontrolle des Bereitschaftsgrades der WRC erfolgt nach folgendem Schema:
Tisch 3
Nr. p / p | Bereitschaft | Begriff | Notiz |
|
Eben Bereitschaft WRC, in % | Es wird angegeben, welche Komponente des WRC, welche seiner Strukturelemente bis zu diesem Zeitpunkt fertig sein sollten. | Kontrollzeitraum | Die Form der Kontrolle ist angegeben |
|
Kontrollzeitraum | ||||
Nach Abschluss der Vorbereitung des WRC prüft der Leiter die Qualität der Arbeit, unterschreibt diese und übergibt sie zusammen mit der Aufgabe und seiner schriftlichen Bewertung an den stellvertretenden Leiter des Tätigkeitsbereichs.
Um den Reifegrad der Abschlussqualifikationsarbeit zu ermitteln und vorhandene Mängel aufzuzeigen, führen Lehrende der Fachrichtungen in der letzten Vorbereitungswoche auf das GIA eine Vorverteidigung durch. Die Ergebnisse des vorläufigen Schutzes werden aufgezeichnet.
4.2 WRC-SCHUTZANFORDERUNGEN
Die Verteidigung der abschließenden Qualifikationsarbeit erfolgt auf einer offenen Sitzung der staatlichen Bescheinigungskommission in der Fachrichtung, die auf der Grundlage der Verordnung über die endgültige staatliche Bescheinigung von Absolventen von Bildungseinrichtungen der sekundären Berufsbildung in der Russischen Föderation geschaffen wird (Beschluss des Staatlichen Komitees für Hochschulbildung Russlands vom 27. Dezember 1995 Nr. 10).
An die Verteidigung der WRC werden folgende Anforderungen gestellt:
- vertieftes theoretisches Studium der untersuchten Probleme auf der Grundlage der Analyse der Literatur;
- geschickte Systematisierung digitaler Daten in Form von Tabellen und Grafiken mit der notwendigen Analyse, Verallgemeinerung und Identifizierung von Entwicklungstrends;
- eine kritische Herangehensweise an das untersuchte Faktenmaterial, um Bereiche für die Verbesserung der Aktivitäten zu finden;
- Argumentation von Schlussfolgerungen, Validität von Vorschlägen und Empfehlungen;
- logisch konsequente und eigenständige Darstellung des Stoffes;
- Gestaltung des Materials gemäß den festgelegten Anforderungen;
- die obligatorische Anwesenheit einer betreuenden Begutachtung der Abschlussarbeit und Begutachtungen eines Praktikanten einer Drittorganisation.
Bei der Erstellung von Abstracts muss die ungefähre Zeit des Berichts bei der Verteidigung berücksichtigt werden, die 8-10 Minuten beträgt.Der Bericht sollte erstellt werdennicht indem der Inhalt der Arbeit Kapitel für Kapitel dargestellt wird, sondern nach Aufgaben, - Offenlegung der Logik, um aussagekräftige Ergebnisse zu erzielen. Der Bericht sollte einen Hinweis auf Anschauungsmaterial enthalten, das bei der Verteidigung der Arbeit verwendet wird. Der Berichtsumfang sollte 7-8 Seiten Text im Word-Format, Schriftgröße 14, eineinhalb Zeilenabstand betragen.
Tabelle 4
Berichtsstruktur | Volumen | Zeit |
|
Vorstellung des Arbeitsthemas. | Bis zu 1,5 Seiten | Bis zu 2 Minuten |
|
Relevanz des Themas. |
|||
Ziel der Arbeit. |
|||
Darlegung des Problems, die Ergebnisse seiner Lösung und die gezogenen Schlussfolgerungen (für jede der Aufgaben, die gestellt wurden, um das Ziel der Arbeit zu erreichen). | Bis zu 6 Seiten | Bis zu 7 Minuten |
|
Perspektiven und Richtungen für weitere Forschung zu diesem Thema. | Bis zu 0,5 Seiten | Bis zu 1 Minute |
Um bei der Verteidigung sprechen zu können, müssen die Studierenden die Zusammenfassungen des Berichts und des Anschauungsmaterials selbstständig vorbereiten und mit dem Leiter abstimmen.
Illustrationen sollten die wichtigsten Ergebnisse der Arbeit widerspiegeln und mit den Zusammenfassungen des Berichts übereinstimmen.
Präsentationsformen von Bildmaterial:
1. Gedrucktes Material für jedes Mitglied der SEC(nach Ermessen des Betreuers der WRC). Gedrucktes Material für SAC-Mitglieder kann beinhalten:
- empirische Daten;
- Auszüge aus normative Dokumente auf deren Grundlage die Forschung durchgeführt wurde;
- Auszüge aus den in Verträgen formulierten Wünschen der Arbeitgeber;
- andere Daten, die nicht in der Folienpräsentation enthalten sind, aber die Richtigkeit der Berechnungen bestätigen.
- Folienpräsentationen(für Projektordemonstration).
Die Präsentation der Arbeitsergebnisse mit Präsentationsmaterialien zu begleiten, ist Voraussetzung für die Verteidigung der WRC.
Der Betreuer/die Betreuerin verfasst ein Gutachten über die qualifizierende Abschlussarbeit des/der Studierenden.
Die Verteidigung der abschließenden Qualifikationsarbeiten findet in einer offenen Sitzung der Staatlichen Beglaubigungskommission in einem speziell dafür vorgesehenen Auditorium statt, das mit der notwendigen Ausrüstung für die Demonstration von Präsentationen ausgestattet ist. Für die Verteidigung der Qualifikationsarbeit stehen bis zu 20 Minuten zur Verfügung. Das Verteidigungsverfahren umfasst einen Bericht des Studenten (nicht länger als 10 Minuten), das Lesen von Rezensionen und Rezensionen, Fragen von Mitgliedern der Kommission, Antworten des Studenten. Die Präsentation des Leiters der Abschlussarbeit sowie des Gutachters, sofern dieser bei der Sitzung des SEC anwesend ist, kann angehört werden.
Beschlüsse der SEC werden bei nichtöffentlichen Sitzungen mit einfacher Stimmenmehrheit der an der Sitzung teilnehmenden Kommissionsmitglieder gefasst. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Die Ergebnisse werden den Studenten am Tag der WRC-Verteidigung bekannt gegeben.
4.3 WRC-BEWERTUNGSKRITERIEN
Die Verteidigung der Abschlussqualifikationsarbeit endet mit der Benotung.
Bewertung "ausgezeichnet" für die WRC wird ausgestellt, wenn die Dissertation Forschungscharakter hat, ein gut formuliertes theoretisches Kapitel hat, tiefgründig ist theoretische Analyse, eine kritische Überprüfung der Praxis, eine logische, konsistente Präsentation des Materials mit relevanten Schlussfolgerungen und vernünftigen Vorschlägen; hat positive Bewertungen des Betreuers und Gutachters.
Bei der Verteidigung der WRC für "ausgezeichnet" zeigt der Student - der Absolvent ein tiefes Wissen über die Probleme des Themas, arbeitet frei mit Forschungsdaten, macht vernünftige Vorschläge und verwendet während des Berichts visuelle Hilfsmittel (Power Point-Präsentation, Tabellen, Diagramme , Grafiken usw.) oder Handout-Material beantworten die gestellten Fragen leicht.
Mit "gut" bewertet für die WRC wird ausgestellt, wenn die Abschlussarbeit Forschungscharakter hat, ein gut geschriebenes theoretisches Kapitel enthält, eine ziemlich detaillierte Analyse und kritische Analyse der praktischen Aktivitäten darstellt, eine konsistente Präsentation des Materials mit relevanten Schlussfolgerungen, aber die Vorschläge des Studenten sind nicht ausreichend begründet. WRC hat eine positive Bewertung des Betreuers und des Gutachters. Bei der Verteidigung zeigt der Studienabsolvent Kenntnisse zu den Problemstellungen des Themas, arbeitet mit Forschungsdaten, macht Vorschläge zum Forschungsthema, verwendet während des Berichts visuelle Hilfsmittel (Power-Point-Präsentation, Tabellen, Diagramme, Grafiken usw.) oder Handouts, beantwortet ohne große Schwierigkeiten die gestellten Fragen.
Grad "zufriedenstellend"WRC wird vergeben, wenn die Abschlussarbeit Forschungscharakter hat, ein theoretisches Kapitel enthält, auf praktischem Material basiert, aber eine oberflächliche Analyse und unzureichend kritische Analyse enthält, darin eine Inkonsistenz in der Präsentation des Materials festgestellt wird, unangemessene Vorschläge vorgelegt werden . Die Rezensionen der Gutachter enthalten Kommentare zum Inhalt der Arbeit und zur Methodik der Analyse. Bei der Verteidigung einer solchen WRC zeigt ein Student mit Absolvent Unsicherheit, zeigt schlechte Kenntnisse der Probleme des Themas und gibt nicht immer erschöpfende, begründete Antworten auf die gestellten Fragen.
Grad "Ungenügend"für die WRC wird ausgestellt, wenn die Abschlussarbeit keinen Forschungscharakter hat, keine Analyse enthält, die in den Daten genannten Anforderungen nicht erfüllt Richtlinien. Es gibt keine Schlussfolgerungen in der Arbeit, oder sie sind deklarativer Natur. Die Gutachten des Betreuers und des Gutachters enthalten kritische Anmerkungen. Bei der Verteidigung der WRC fällt es der Studentin schwer, die zu ihrem Thema gestellten Fragen zu beantworten, kennt die Theorie der Frage nicht und macht erhebliche Fehler bei der Beantwortung. Sehhilfen und Handouts wurden für die Verteidigung nicht vorbereitet.
Bei der Ermittlung der Endnote für die WRC berücksichtigen die Mitglieder der SEC daher:
- die Qualität des Absolventenberichts;
- das von ihm vorgelegte Anschauungsmaterial;
- Mobilität des Absolventen und seine Alphabetisierung bei der Beantwortung von Fragen;
- WRC-Bewertung durch einen Gutachter;
- Feedback vom Leiter der WRC.
ANHANG 1
(Beispiel Titelseitengestaltung)
ABTEILUNG FÜR BILDUNG DER STADT MOSKAU
STAATLICHER HAUSHALT PROFESSIONELLE BILDUNGSEINRICHTUNG
"TECHNOLOGISCHE HOCHSCHULE №34"
DIPLOMARBEIT
Thema:
Gruppenschüler / /
Spezialität
Aufsicht / /
Schutz gewähren:
Stellvertretender Direktor für UPR/ _ /
Notendatum
Vorsitzender des Staates
Bescheinigungskommission/ /
Moskau 2016
ANLAGE 2
Einverstanden
Vorsitzender des PCC "Informationstechnologien"
Dziuba T.S.
Übung
für die Abschlussarbeit
Studenten)__________________________________________________________________
(Name vollständig)
Thema der Abschlussarbeit ________________________________________________________________
_______________________________________________________________________________
Frist zur Abgabe der Verteidigungsarbeit (Datum)______________________________
- Einführung
Relevanz des gewählten Themas;
Zweck, Aufgaben einer Abschlussarbeit;
Name des Unternehmens, Organisation, Quellen zum Schreiben der Arbeit.
2. - Abschnitt I (theoretischer Teil)
Abschnitt II (praktischer Teil)
(Frist für die Einreichung zur Überprüfung) __________________________________________
Abschluss ______________________________________________________________
Kopf _____ __________ "___" _______ 20__
Vollständiger Name Unterschrift
Student ______ __________ "____" ________ 20___
Vollständiger Name Unterschrift
ANHANG 3
(Gutachtenbogen für den Betreuer der Abschlussarbeit)
GBPOU "Technologische Hochschule Nr. 34"
Rezension
Für die studentische Abschlussarbeit (vollständiger Name)
1. Relevanz des Themas.
2. Wissenschaftliche Neuheit und praktische Bedeutung.
3. Merkmale der Geschäftsqualitäten des Studenten.
4. Positive Aspekte der Arbeit.
5. Nachteile, Kommentare.
Aufsicht _______________________________________
"_____" __________ 2016
ANHANG 4
(Bewertungsformular)
Rezension
Für die Abschlussarbeit des Studenten (vollständiger Name) ___________________________
Aufgeführt zum Thema _________________________________________________
- Relevanz, Neuheit
- Bewertung des Inhalts der Arbeit
- unverwechselbar, positive Seiten arbeiten
- Die praktische Bedeutung der Arbeit
- Nachteile, Anmerkungen
- Empfohlene Bewertung der durchgeführten Arbeiten ____________________________
_________________________________________________________________________
Gutachter (vollständiger Name, akademischer Titel, Funktion, Arbeitsort)
ANHANG 5
(Ein Beispiel für eine Liste verwendeter Literatur)
Verzeichnis der verwendeten Literatur
Behördliche Materialien
- "Verfassung der Russischen Föderation" (durch Volksabstimmung angenommen am 12.12.1993)
- Bundesgesetz „Über Informationen, Informationstechnologien und Informationsschutz“ vom 27. Juli 2006 N 149-FZ (in der Fassung vom 28. Dezember 2013)
Wissenschaftliche, technische und pädagogische Veröffentlichungen
- Automatisierte Arbeitsplätze und Computersysteme in den Tätigkeiten der inneren Angelegenheiten. M., 2010.
- Andreev B. V., Bushuev G. I. Modellierung bei der Lösung strafrechtlicher und kriminologischer Probleme. M., 2012.
- Papierkram in Bildungseinrichtungen (mit Informationstechnologien): Studien. Zulage für Gymnasien Flüsse. MO Rep. Weißrussland / E.M. Kravchenya, T.A. Zarskaja. - Minsk: TetraSystems, 2013
- Informationssicherheit und Informationsschutz: Lehrbuch. Zulage / Stepanov E.A., Korneev I.K. - M.: INFRA-M, 2011. -
- Wirtschaftsinformatik: Lehrbuch. für Universitäten, Ausbildung nach besonderem Wirtschaft und Management (060000) empf. MO RF / G.A. Titorenko, B.E. Odinzow, V. V. Braga und andere; ed. GA Titorenko. - 2. Aufl., überarbeitet. und zusätzlich - M. : UNITI, 2011. - 463 S.
- Informationssysteme und ihre Sicherheit: Lehrbuch. Zulage d / Vasilkov A.V. Vasilkov A.A., Vasilkov I.A. - M: FORUM, 2010.
- Informationstechnologiemanagement: Lehrbuch. Zulage für Gymnasien Flüsse. MO RF / G.A. Titorenko, I.A. Konoplew, G. L. Makarowa und andere; ed. GA Titorenko. - 2. Aufl., erg. -M.: UNITI, 2009.
- Dokumentenfluss im Unternehmen. Prinzipien, Technologien, Implementierungsmethoden. Michael J. D. Sutton. Azbuka-Verlag, St. Petersburg, 2012
- Ostreikowski V.A. Informatik: Proc. Für Universitäten. - M.: Höher. Schule, 2008.
- Elektronische Dokumente in Unternehmensnetzwerken Klimenko S. V., Krokhin I. V., Kushch V. M., Lagutin Yu. L. M.: Radio and Communications, ITC Eco-Trends, 2011
Internet-Ressourcen
http://www.security.ru/ - Einrichtungen kryptografischer Schutz Informationen: Website der Moskauer Niederlassung von PNIEI;
www.fstec.ru – offizielle Website des FSTEC Russlands
ANHANG 6
Ungefährer Aufbau des Berichts über die Verteidigung der Dissertation
Anforderungen an den Bericht über die Verteidigung der Abschlussarbeit
- Die Dringlichkeit des Problems.
- Zweck, Gegenstand, Gegenstand der Forschung.
- Forschungsziele (3 Hauptziele).
- Forschungsalgorithmus (Abfolge der Forschung).
- Kurze wirtschaftliche Merkmale des Unternehmens (Organisationen, Institutionen usw.).
- Kurze Ergebnisse der Analyse des untersuchten Problems.
- Schwachstellen, die während der Analyse identifiziert wurden.
- Anweisungen (Wege) zur Lösung der identifizierten Mängel des untersuchten Problems.
- Wirtschaftliche Bewertung, Effizienz, praktische Bedeutung der vorgeschlagenen Maßnahmen.
ANHANG 6
(Formular Kalenderplan zum Verfassen einer Abschlussarbeit)
Ich bin damit einverstanden
Betreuer der Abschlussarbeit
"_____" ______20 __
PLAN-ZEITPLAN
Verfassen einer Abschlussarbeit zum Thema __________________________________________
Zusammenstellung der Inhalte der Abschlussarbeit und deren Abstimmung mit dem Betreuer.
Aufsicht
Einleitung mit Begründung der Relevanz des gewählten Themas, Ziele und Ziele der Arbeit.
Aufsicht
Abschluss des theoretischen Teils und Vorlage zur Verifizierung.
Berater
Durchführung des praktischen Teils und Vorlage zur Verifizierung.
Berater
Abstimmung mit dem Leiter der Schlussfolgerungen und Vorschläge
Aufsicht
Anmeldung der Abschlussarbeit
Aufsicht
Feedback vom Vorgesetzten einholen
Aufsicht
Holen Sie sich eine Bewertung
Rezensent
10.
Vorverteidigung der Abschlussarbeit
Leiter, Berater
11.
Verteidigung der Dissertation
Aufsicht
Student(in) _________________________________________________
(Unterschrift, Datum, Abschrift der Unterschrift)
Diplomleiter ________________________________________________________________
ANHANG 8
(Beispiel für den Inhalt der Abschlussarbeit)
Inhalt
Einleitung …………………………………………………………………………………..3
- Technische und wirtschaftliche Merkmale des Fachgebiets und des Unternehmens ... ... 5
- Allgemeine Merkmale des Fachgebiets ……………………………………………5
- Organisations- und Funktionsstruktur des Unternehmens ……………………6
- Risikoanalyse der Informationssicherheit………………………………...8
- Begründung der Notwendigkeit, das System zur Gewährleistung der Informationssicherheit und des Informationsschutzes im Unternehmen zu verbessern………..25
- Auswahl einer Reihe von Aufgaben zur Gewährleistung der Informationssicherheit………29
- Bestimmung des Platzes des entworfenen Aufgabenkomplexes im Aufgabenkomplex des Unternehmens, Detaillierung der Aufgaben der Informationssicherheit und des Informationsschutzes…………………………………………………………… ………………35
- Auswahl von Schutzmaßnahmen………………………………………………………………….39
- Eine Reihe von organisatorischen Maßnahmen zur Gewährleistung der Informationssicherheit und des Schutzes von Unternehmensinformationen ……………………………………………………..43
- Ein Komplex aus entwickelter Software und Hardware zur Gewährleistung der Informationssicherheit und zum Schutz von Informationen eines Unternehmens …….…48
- Die Struktur des Hardware-Software-Komplexes der Informationssicherheit und des Unternehmensinformationsschutzes…………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………
- Ein Beispiel für eine Projektdurchführung und ihre Beschreibung…………………………………...54
- Berechnung der Projektwirtschaftlichkeitskennzahlen…………………57
- Fazit ……………………………………………………………………………...62
- Liste der verwendeten Literatur …………………………………………………..65
So wählen Sie ein relevantes Thema der Abschlussarbeit zur Informationssicherheit aus. Die Relevanz des Themas des Diploms in Informationssicherheit, Empfehlungen von Experten, Beispiele für Themen der Abschlussarbeit.
Themen der Abschlussarbeit zum Thema Informationssicherheit normalerweise mit dem Studium der Informationssicherheit von automatisierten Systemen, Computersystemen sowie Informations- und Telekommunikationssystemen verbunden.
Als Gegenstand einer solchen Untersuchung wird eine Bedrohung oder eine Gruppe von Bedrohungen der Informationssicherheit gewählt, deren Implementierung das betreffende System schädigen kann (mehr dazu). Bei der Erstellung einer Abschlussarbeit sollten Sie das System untersuchen und einen Anggemäß Abbildung 1 erstellen.
Abbildung 1 - Algorithmus zur Durchführung von Analysen beim Verfassen einer Diplomarbeit zum Thema Informationssicherheit
Als Untersuchungsgegenstand wird das System eines konkreten Unternehmens oder eines geografisch verteilten Netzwerks einer Organisation gewählt.
Die Relevanz der Wahl Abschlussarbeiten zum Thema Informationssicherheit liegt an einer Vielzahl von Bedrohungen für die Informationssicherheit und der kontinuierlichen Zunahme der Zahl der Eindringlinge und der von ihnen durchgeführten Angriffe.
Die relevantesten Themen der Abschlussqualifikationsarbeiten (WQR) und wissenschaftlichen Forschungsarbeiten (F&E), sowie Themen von Diplomen in Informationssicherheit können in der folgenden Tabelle dargestellt werden.
| 1. Entwicklung des Informationssicherheitssystems des untersuchten Systems | 2. Risikoanalyse der untersuchten Systeme, in Bezug auf die die identifizierten Bedrohungen für die Informationssicherheit umgesetzt werden |
| 3. Entwurf eines Intrusion Detection Systems (Falschinformationssysteme) | 4. Schutz von Informationen vor identifizierten Bedrohungen für die Informationssicherheit |
| 5. Bewertung der Risiken der Implementierung identifizierter Angriffe auf das untersuchte System | 6. Entwicklung mathematisches Modell Eindringling/aufgedeckter Informationssicherheitsangriff |
| 7. Organisation des Schutzes personenbezogener Daten des untersuchten Systems | 8. Organisation des Schutzes vertraulicher Informationen des untersuchten Systems |
| 9. Analyse der Bedrohungen der Informationssicherheit im untersuchten System des Unternehmens / der Organisation | 10. Modernisierung des bestehenden Informationssicherheitssystems des untersuchten Systems |
| 11. Entwicklung eines Schutzprofils des untersuchten Unternehmens | 12. Risikobewertung der Implementierung epidemiologischer Prozesse in sozialen Netzwerken |
| 13. Risikomanagement für die Implementierung identifizierter Angriffe auf die Informationssicherheit im untersuchten System | 14. Bewertung der Wirksamkeit von Mitteln und Methoden des Informationsschutzes im Unternehmen |
| 15. Bewertung der Wirksamkeit von Informationsschutzmaßnahmen im untersuchten System | 16. WRC: Der Einsatz von DLP-Systemen als Instrument zur Gewährleistung der Informationssicherheit des Unternehmens |
| 17. Diplomarbeit: Analyse und Verbesserung der Informationssicherheit im Unternehmen | 18. Forschung: Entwicklung einer Informationssicherheitspolitik am Beispiel eines Computerunternehmens |
| 19. Abschlussarbeit: Automatisierung und Informationssicherheit der Lagerbuchhaltung im Unternehmen | 20. Diplom: Entwicklung einer Informationssicherheitspolitik in einer Geschäftsbank |
| 21. Bachelorarbeit: Organisation der Informationssicherheit des elektronischen Zahlungsbelegarchivs der Bevölkerung | 22. Abschließende Bachelorarbeit: Entwicklung eines Schutzmaßnahmenpakets zur Gewährleistung der Informationssicherheit von Datenbanken |
| 23. Diplom: Entwicklung von Vorschriften für die Prüfung der Informationssicherheit einer staatlichen Haushaltsinstitution | 24. Masterarbeit: Entwicklung einer Reihe von organisatorischen Maßnahmen zur Gewährleistung der Informationssicherheit und des Informationsschutzes |
| 25. Abschlussarbeit: Modernisierung des bestehenden Systems zur Verbesserung der Informationssicherheit im Unternehmen | 26. Masterarbeit: Erhöhung des Sicherheitsniveaus des Informationssicherheitssystems im Unternehmen |
| 27. Wissenschaftlich Forschung: Entwicklung und Implementierung eines Informationssicherheitssystems im Unternehmen | 28. Diplom: Entwicklung und Implementierung eines Informationssicherheitssystems in einem Transportunternehmen |
| 29. Abschlussarbeit: Automatisierung und Informationssicherheit des Service Desk Systems | 30. Abschlussqualifikationsarbeit: Entwicklung eines Informationssicherheitssystems für das LAN eines SEO-Unternehmens |
Wird geladen...