Cum să alegeți o temă relevantă a tezei în specialitatea sisteme de securitate a informațiilor. Relevanța temei diplomei privind sistemele de securitate a informațiilor, recomandări ale experților, exemple de subiecte ale tezei.

Teme diploma in specialitatea sisteme de securitate informatica dedicat soluționării diverselor probleme de cercetare și practice care vizează asigurarea securității informaționale a obiectului studiat. Problema unei astfel de lucrări se datorează numărului tot mai mare de atacuri la securitatea informațiilor asupra diferitelor sisteme informaționale și componentelor acestora.

Obiectul de studiu poate fi un sistem informatic, o componentă de sistem, un proces de afaceri, o întreprindere, o cameră sau date în circulație.

Ca subiect de cercetare, se pot evidenția metodele de securitate a informațiilor, metodele de analiză a amenințărilor sau o evaluare a eficacității unui sistem de securitate a informațiilor.

Ca țintă teză în specialitatea sisteme de securitate a informațiilor se poate evidenția construcția sau studiul posibilității de utilizare a modelelor de risc și a unui algoritm de protecție (mai multe despre aceasta).

Sarcini de lucrari legate de teme de lucrări de diplomă în specialitatea sisteme de securitate a informațiilor, poate fi definit prin următoarea listă:

1. Selectarea și studiul datelor statistice, inclusiv ipotezele și demonstrarea acestora cu privire la variabile aleatoare.

2. Fundamentarea tipurilor și funcțiilor de daune, dezvoltarea unui model analitic de risc.

3. Formarea unui model de risc dinamic bazat pe coeficienți de sensibilitate.

Următoarele puncte principale pot fi apărate teze de diplomă în specialitatea sisteme de securitate a informaţiei:

1. Fiabilitatea dovedirii ipotezelor formulate cu privire la domeniile de aplicare efectivă a legii pentru sarcinile de securitate a informațiilor.

2. Modele analitice de risc pentru componentele sistemului în care pierderile au o distribuție dată.

3. Modele analitice de risc pentru sistemele ale căror componente sunt supuse efectelor comune sau non-articulare ale atacurilor identificate.

4. Modele dinamice, funcții de sensibilitate a sistemului.

5. Algoritmi pentru managementul riscului de sistem.

Noutatea științifică a studiului diplomelor pe astfel de teme poate fi formalizată în lista următoare.

1. Au fost studiate, pentru prima dată, domeniile de aplicare efectivă a legii pentru sarcinile de securitate a informațiilor.

2. Sunt luate în considerare modelele de risc analitic neexplorate anterior ale componentelor în care daunele au o distribuție dată.

3. Au fost studiate modele analitice de risc ale sistemelor distribuite expuse atacurilor identificate la securitatea informațiilor.

4. A fost realizată pentru prima dată algoritmizarea sistemelor de management al riscului pentru distribuția dedicată și atacurile de securitate a informațiilor.

Valoarea practică poate fi după cum urmează:

1. Dovada ipotezelor prezentate face posibilă aplicarea rezonabilă a rezultatelor studiului pentru rezolvarea problemelor de securitate a informațiilor.

2. Modelele de risc analitic obținute în viitor vor face posibilă dezvoltarea unor modele complexe capabile să analizeze întreaga gamă de atacuri la securitatea informațiilor.

3. Modele dinamice, funcții de sensibilitate sisteme informatice permit rezolvarea problemelor de securitate a informațiilor cu diferite niveluri de risc.

Cele mai relevante subiecte ale lucrărilor de calificare finală (WQR) și lucrărilor de cercetare științifică (R&D), precum și teme de diploma in specialitatea sisteme de securitate informatica poate fi prezentată în tabelul următor.

1. Protecția informațiilor în ceea ce privește canalele de control ale sistemului automatizat al aeroportului	2. Implementarea unui sistem de detectare a intruziunilor folosind exemplul false sisteme de informare
3. Proiectarea și dezvoltarea sistemelor de securitate a informațiilor	4. Protecție împotriva atacurilor DDOS
5. Protejarea informațiilor companiei la nivel de e-mail	6. Securitatea informațiilorîntreprindere distribuită geografic
7. Protecția cuprinzătoare a informațiilor la o întreprindere industrială	8. Securitatea informațională a unui sistem informatic în implementarea amenințărilor de acces neautorizat
9. Dezvoltarea unui model de risc pentru un sistem de management al securității informațiilor în condiții de incertitudine	10. Modernizarea sistemului de protecție a rețelelor de informații și telecomunicații
11. Asigurarea securității informațiilor stațiilor de lucru mobile	12. Organizarea protecției datelor cu caracter personal în contextul implementării atacurilor de virus
13. Organizarea contracarării amenințărilor de securitate ale organizației pe baza rețelelor Petri	14. Principalele direcții, principii și metode de asigurare a securității informațiilor în rețelele de calculatoare
15. Construirea unui model tipic de acțiuni ale unui atacator care implementează atacuri de la distanță	16. Probleme de securitate a informațiilor băncilor bazate pe modele discreționare
17. Dezvoltarea unui algoritm pentru a contracara utilizarea canalelor de comunicare ascunse	18. Elaborarea unui set de măsuri de securitate pentru siguranța informațiilor în interacțiunea componentelor M2M
19. Dezvoltarea unui sistem de securitate a informațiilor pentru o întreprindere strategică sensibilă	20. Dezvoltarea unui sistem de protecție a informațiilor confidențiale în sistemele bancare
21. WRC: Automatizarea și securitatea informațiilor la locul de muncă al managerului de clienți al companiei	22. Teza: Organizarea securității informaționale a arhivei electronice a registrului imobiliar din ITO
23. Teză de licență: Dezvoltarea unei politici de securitate a informațiilor într-o companie de comerț și producție	24. Teza: Dezvoltarea politicii de securitate a informatiilor a unei companii
25. Diploma: Asigurarea securitatii informatiilor intr-o societate de investitii	26. Diploma: Auditul securitatii informatiilor in sistemul de securitate informatica al bancii
27. Lucrări de licență de absolvire: Dezvoltarea și asigurarea securității informaționale a locului de muncă automatizat al secretarei	28. Teză: Elaborarea unui set de măsuri pentru securitatea informațiilor și protecția datelor în departamentele de stat. instituţiilor
29. Teza: Implementarea unui sistem integrat de securitate a informatiilor intr-o companie	30. Teza: Modernizarea sistemului de securitate a informatiilor in companie
31. Teză de master: Modernizarea sistemului de securitate a informațiilor existent în vederea creșterii securității acestuia	32. Diploma: Modernizarea sistemului existent in vederea imbunatatirii securitatii informatiei
33. Diploma: Asigurarea securitatii informatiilor in implementarea si functionarea sistemelor electronice de procesare a platilor	34. Teză de master: Creșterea nivelului de securitate a informațiilor unei întreprinderi prin implementarea ACS
35. Diploma: Dezvoltarea politicii de securitate a informatiilor in companie	36. Diploma: Asigurarea securitatii informatiilor intr-o organizatie comerciala

Introducere

Capitolul 1. Aspecte teoretice ale acceptării și securității informațiilor

1.1Conceptul de securitate a informațiilor

3 Practici de securitate a informațiilor

Capitolul 2. Analiza sistemului de securitate a informaţiei

1 Domeniul de aplicare al companiei și analiza performanței financiare

2 Descrierea sistemului de securitate a informațiilor companiei

3 Elaborarea unui set de măsuri pentru modernizarea sistemului de securitate a informațiilor existent

Concluzie

Bibliografie

Aplicație

Anexa 1. Bilanțul pe anul 2010

Anexa 1. Bilanțul pe anul 2010

Introducere

Relevanța temei tezei este determinată de nivelul crescut al problemelor de securitate a informațiilor, chiar și în contextul creșterii rapide a tehnologiilor și instrumentelor de protecție a datelor. Este imposibil să se asigure un nivel de protecție de 100% a sistemelor informaționale corporative, în timp ce se prioritizează corect sarcinile de protecție a datelor în contextul unei cote limitate din bugetul alocat tehnologiei informației.

Protecția fiabilă a infrastructurii de calcul și a rețelei corporative este o sarcină de bază în domeniul securității informațiilor pentru orice companie. Odată cu creșterea afacerii întreprinderii și tranziția către o organizație distribuită geografic, aceasta începe să depășească o singură clădire.

Protecția eficientă a infrastructurii și aplicațiilor IT sisteme corporative astăzi este imposibil fără implementare tehnologii moderne Control acces la retea. Cazurile din ce în ce mai mari de furt de mass-media care conțin informații valoroase de natură comercială forțează din ce în ce mai mult măsuri organizaționale.

Scopul acestei lucrări va fi evaluarea sistemului de securitate a informațiilor existent în organizație și elaborarea măsurilor de îmbunătățire a acestuia.

Acest scop determină următoarele sarcini ale tezei:

) iau în considerare conceptul de securitate a informațiilor;

) ia în considerare tipurile de posibile amenințări la adresa sistemelor informaționale, opțiuni de protecție împotriva posibilelor amenințări de scurgere de informații în organizație.

) identifică o listă de resurse informaţionale, a căror încălcare a integrităţii sau confidenţialităţii va cauza cel mai mare prejudiciu întreprinderii;

) dezvoltă pe baza acestora un set de măsuri pentru îmbunătățirea sistemului de securitate a informațiilor existent.

Lucrarea constă dintr-o introducere, două capitole, o concluzie, o listă de referințe și aplicații.

Introducerea fundamentează relevanța temei de cercetare, formulează scopul și obiectivele lucrării.

Primul capitol tratează aspectele teoretice ale conceptelor de securitate a informațiilor în organizație.

Al doilea capitol dă o scurtă descriere a activitățile companiei, indicatori cheie de performanță, descrie starea actuală a sistemului de securitate a informațiilor și propune măsuri pentru îmbunătățirea acestuia.

În concluzie, sunt formulate principalele rezultate și concluzii ale lucrării.

Baza metodologică și teoretică a lucrării tezei a fost munca experților interni și străini în domeniul securității informațiilor. Federația Rusă care reglementează protecția informațiilor, standardele internaționale privind securitatea informațiilor.

Semnificația teoretică a cercetării tezei este implementarea unei abordări integrate în dezvoltarea politicii de securitate a informațiilor.

Semnificația practică a lucrării este determinată de faptul că rezultatele acesteia fac posibilă creșterea gradului de protecție a informațiilor într-o întreprindere prin proiectarea competentă a unei politici de securitate a informațiilor.

Capitolul 1. Aspecte teoretice ale acceptării și securității informațiilor

1.1 Conceptul de securitate a informațiilor

Securitatea informației este înțeleasă ca protecția informațiilor și a infrastructurii care le susține împotriva oricăror influențe accidentale sau rău intenționate, al căror rezultat poate fi deteriorarea informațiilor în sine, a proprietarilor acesteia sau a infrastructurii suport. Sarcinile de securitate a informațiilor sunt reduse la minimizarea daunelor, precum și la anticiparea și prevenirea unor astfel de impacturi.

Parametrii sistemelor informatice care trebuie protejate pot fi împărțiți în următoarele categorii: asigurarea integrității, disponibilității și confidențialității resurselor informaționale.

disponibilitatea este posibilitatea de a obține, într-o perioadă scurtă de timp, serviciul de informare solicitat;

integritatea este relevanța și consistența informațiilor, protecția acesteia împotriva distrugerii și modificărilor neautorizate;

confidențialitate - protecție împotriva accesului neautorizat la informații.

Sistemele informatice sunt create în primul rând pentru a primi anumite servicii de informare. Dacă dintr-un motiv oarecare devine imposibil să obțineți informații, acest lucru provoacă daune tuturor subiecților relațiilor informaționale. Din aceasta se poate determina că disponibilitatea informațiilor este în primul rând.

Integritatea este principalul aspect al securității informațiilor când acuratețea și veridicitatea vor fi principalii parametri ai informațiilor. De exemplu, prescripții pentru medicamente medicale sau un set și caracteristicile componentelor.

Cea mai dezvoltată componentă a securității informațiilor în țara noastră este confidențialitatea. Dar implementarea practică a măsurilor pentru asigurarea confidențialității sistemelor informatice moderne se confruntă cu mari dificultăți în Rusia. În primul rând, informațiile despre canalele tehnice de scurgere de informații sunt închise, astfel încât majoritatea utilizatorilor nu își pot face o idee despre riscurile potențiale. În al doilea rând, există numeroase provocări legale și tehnice care stau în calea criptografiei personalizate ca instrument principal de confidențialitate.

Acțiunile care pot deteriora un sistem informațional pot fi împărțite în mai multe categorii.

furtul sau distrugerea intenționată a datelor de pe o stație de lucru sau un server;

deteriorarea datelor de către utilizator ca urmare a unor acțiuni neglijente.

. Metode „electronice” de influență efectuate de hackeri.

Hackerii sunt oameni care se angajează în infracțiuni informatice atât profesional (inclusiv în cadrul competiției), cât și pur și simplu din curiozitate. Aceste metode includ:

pătrunderea neautorizată în rețelele de calculatoare;

Scopul pătrunderii neautorizate în rețeaua întreprinderii din exterior poate fi de a dăuna (distruge date), de a fura informații confidențiale și de a le folosi în scopuri ilegale, de a folosi infrastructura rețelei pentru a organiza atacuri asupra nodurilor terților, de a sustrage fonduri din conturi etc. .

Un atac de tip DOS (abreviat de la Denial of Service - „denial of service”) este un atac extern asupra nodurilor de rețea ale unei întreprinderi responsabile de securitatea și munca eficienta(fișier, servere de e-mail). Atacatorii organizează o trimitere masivă de pachete de date către aceste noduri pentru a le provoca supraîncărcarea și, ca urmare, a le dezactiva pentru ceva timp. Aceasta, de regulă, implică încălcări ale proceselor de afaceri ale companiei victime, pierderi de clienți, deteriorare a reputației etc.

Virușii informatici. O categorie separată de metode electronice de influență - virușii informaticiși alte programe malware. Ele reprezintă un pericol real pentru afacerile moderne, care utilizează pe scară largă rețelele de calculatoare, internetul și e-mailul. Pătrunderea virusului în nodurile rețelei corporative poate duce la întreruperea funcționării acestora, la pierderea timpului de lucru, la pierderea datelor, la furtul de informații confidențiale și chiar la furtul direct de fonduri. Un program de virus care a pătruns într-o rețea corporativă poate oferi atacatorilor control parțial sau complet asupra activităților companiei.

Spam. În doar câțiva ani, spam-ul a trecut de la o supărare minoră la una dintre cele mai mari amenințări de securitate:

E-mailul a devenit principalul canal de distribuție în ultimii ani. malware;

spam-ul necesită mult timp pentru vizualizarea și apoi ștergerea mesajelor, provoacă angajaților un sentiment de disconfort psihologic;

atât persoanele, cât și organizațiile devin victime ale schemelor frauduloase implementate de spammeri (victimele încearcă adesea să nu dezvăluie astfel de evenimente);

alături de spam, corespondența importantă este adesea ștearsă, ceea ce poate duce la pierderea clienților, eșecul contractelor și alte consecințe neplăcute; Riscul de a pierde e-mailurile este deosebit de mare atunci când utilizați liste negre RBL și alte metode „aspră” de filtrare a spam-ului.

Amenințări „naturale”. O varietate de factori externi pot afecta securitatea informațiilor unei companii: stocarea necorespunzătoare, furtul computerelor și mediilor, forța majoră etc. pot provoca pierderi de date.

Sistemul de management al securității informațiilor (ISMS sau Information Security Management System) vă permite să gestionați un set de măsuri care implementează o anumită strategie concepută, în acest caz - în legătură cu securitatea informațiilor. Rețineți că nu vorbim doar despre gestionarea unui sistem existent, ci și despre construirea unui nou / reproiectarea unuia vechi.

Setul de măsuri include organizatorice, tehnice, fizice și altele. Managementul securității informațiilor este un proces complex, care face posibilă implementarea celui mai eficient și cuprinzător management al securității informațiilor într-o companie.

Scopul managementului securității informațiilor este de a menține confidențialitatea, integritatea și disponibilitatea informațiilor. Singura întrebare este ce fel de informații trebuie protejate și ce eforturi ar trebui depuse pentru a le asigura siguranța.

Orice management se bazează pe conștientizarea situației în care apare. În ceea ce privește analiza riscului, conștientizarea situației se exprimă în inventarierea și evaluarea activelor organizației și a mediului acestora, adică tot ceea ce asigură desfășurarea activităților de afaceri. Din punct de vedere al analizei riscului de securitate a informatiei, principalele active includ direct informatiile, infrastructura, personalul, imaginea si reputatia companiei. Fără un inventar al activelor la nivelul activității afacerii, este imposibil să se răspundă la întrebarea ce trebuie protejat. Este foarte important să înțelegeți ce informații sunt procesate într-o organizație și unde sunt procesate.

Într-o organizație modernă mare, numărul de active informaționale poate fi foarte mare. Dacă activitățile organizației sunt automatizate folosind un sistem ERP, atunci putem spune că aproape orice obiect material folosit în această activitate corespunde unor obiect informativ. Prin urmare, sarcina principală a managementului riscului este identificarea celor mai semnificative active.

Este imposibil de rezolvat această problemă fără implicarea managerilor din activitatea principală a organizației, atât manageri de mijloc, cât și de top. Situația optimă este atunci când conducerea de vârf a organizației stabilește personal cele mai critice domenii de activitate, pentru care este extrem de important să se asigure securitatea informației. Opinia conducerii superioare cu privire la prioritățile în asigurarea securității informațiilor este foarte importantă și valoroasă în procesul de analiză a riscurilor, dar, în orice caz, ar trebui clarificată prin colectarea de informații despre criticitatea activelor la nivelul mediu al managementului companiei. În același timp, este indicat să se efectueze analize ulterioare tocmai în domeniile de activitate ale afacerii desemnate de managementul de vârf. Informațiile primite sunt procesate, agregate și transmise conducerii de vârf pentru o evaluare cuprinzătoare a situației.

Informațiile pot fi identificate și localizate pe baza descrierii proceselor de afaceri în care informațiile sunt considerate ca unul dintre tipurile de resurse. Sarcina este oarecum simplificată dacă organizația a adoptat o abordare de reglementare a afacerii (de exemplu, în scopul managementului calității și al optimizării proceselor de afaceri). Descrierile formalizate ale proceselor de afaceri sunt un bun punct de plecare pentru inventarul de active. Dacă nu există descrieri, puteți identifica activele pe baza informațiilor primite de la angajații organizației. Odată ce activele sunt identificate, valoarea acestora trebuie determinată.

Munca de determinare a valorii activelor informaționale în contextul întregii organizații este atât cea mai semnificativă, cât și cea mai complexă. Evaluarea activelor informaționale este cea care va permite șefului departamentului de securitate a informațiilor să aleagă principalele domenii de activitate pentru asigurarea securității informațiilor.

Dar eficiența economică a procesului de management al securității informațiilor depinde în mare măsură de conștientizarea a ceea ce trebuie protejat și de ce eforturi vor fi necesare pentru aceasta, deoarece în majoritatea cazurilor cantitatea de efort aplicată este direct proporțională cu suma de bani cheltuită și operațională. cheltuieli. Managementul riscurilor vă permite să răspundeți la întrebarea unde vă puteți asuma riscuri și unde nu. În cazul securității informațiilor, termenul „risc” înseamnă că într-o anumită zonă este posibil să nu se depună eforturi semnificative pentru a proteja activele informaționale și, în același timp, în cazul unei breșe de securitate, organizația nu va suferi pierderi semnificative. Aici puteți face o analogie cu clasele de protecție sisteme automatizate: cu cât riscurile sunt mai mari, cu atât trebuie să fie mai stricte cerințele de protecție.

Pentru a determina consecințele unei breșe de securitate, trebuie fie să aveți informații despre incidente înregistrate de natură similară, fie să efectuați o analiză de scenariu. Analiza scenariului examinează relațiile cauzale dintre evenimentele de încălcare a securității activelor și impactul acestor evenimente asupra afacerii unei organizații. Consecințele scenariilor ar trebui evaluate de mai multe persoane, iterativ sau deliberativ. Trebuie remarcat faptul că dezvoltarea și evaluarea unor astfel de scenarii nu pot fi complet divorțate de realitate. Trebuie să ne amintim întotdeauna că scenariul trebuie să fie probabil. Criteriile și scalele pentru determinarea valorii sunt individuale pentru fiecare organizație. Pe baza rezultatelor analizei scenariului, se pot obține informații despre valoarea activelor.

Dacă activele sunt identificate și se determină valoarea acestora, putem spune că obiectivele asigurării securității informațiilor sunt parțial stabilite: sunt definite obiectele de protecție și importanța menținerii acestora într-o stare de securitate a informațiilor pentru organizație. Poate că rămâne doar să se determine de cine trebuie să fie protejat.

După definirea obiectivelor managementului securității informațiilor, este necesară analizarea problemelor care împiedică abordarea stării țintă. La acest nivel, procesul de analiză a riscurilor coboară către infrastructura informațională și conceptele tradiționale de securitate a informațiilor - violatori, amenințări și vulnerabilități.

Pentru a evalua riscurile, nu este suficientă introducerea unui model standard de intruși care să separe toți intrușii în funcție de tipul de acces la activ și de cunoștințele despre structura activelor. Această separare ajută la determinarea ce amenințări pot fi direcționate către un activ, dar nu răspunde la întrebarea dacă aceste amenințări pot fi în principiu realizate.

În procesul de analiză a riscurilor, este necesar să se evalueze motivația infractorilor în implementarea amenințărilor. În același timp, contravenientul nu este menit să fie un hacker extern abstract sau din interior, ci o parte interesată să obțină beneficii prin încălcarea securității unui bun.

Informațiile inițiale despre modelul intrusului, ca și în cazul alegerii domeniilor inițiale de activitate pentru a asigura securitatea informațiilor, ar trebui obținute de la conducerea de vârf, care înțelege poziția organizației pe piață, are informații despre concurenți și ce anume. de la ei se pot aștepta metode de influență. Informațiile necesare dezvoltării unui model de intrus pot fi obținute și din studii de specialitate privind încălcările în domeniul Securitatea calculatoruluiîn domeniul de afaceri pentru care se efectuează analiza de risc. Un model de intrus bine conceput completează obiectivele de asigurare a securității informațiilor, definite în evaluarea activelor organizației.

Dezvoltarea unui model de amenințare și identificarea vulnerabilităților sunt indisolubil legate de un inventar al mediului informațional al organizației. În sine, informațiile nu sunt stocate sau procesate. Accesul la acesta este asigurat folosind infrastructura informațională care automatizează procesele de afaceri ale organizației. Este important să înțelegeți cum sunt legate infrastructura informațională și activele informaționale ale unei organizații. Din perspectiva managementului securității informațiilor, semnificația infrastructurii informaționale poate fi stabilită doar după determinarea relației dintre activele informaționale și infrastructură. În cazul în care procesele de întreținere și operare a infrastructurii informaționale dintr-o organizație sunt reglementate și transparente, colectarea informațiilor necesare pentru identificarea amenințărilor și evaluarea vulnerabilităților este mult simplificată.

Dezvoltarea unui model de amenințare este o sarcină pentru profesioniștii în securitate care au o idee bună despre cum un intrus poate obține acces neautorizat la informații prin încălcarea perimetrului de securitate sau folosind metode de inginerie socială. Atunci când se dezvoltă un model de amenințare, se poate vorbi și despre scenarii ca pași succesivi în funcție de care pot fi implementate amenințările. Foarte rar se întâmplă ca amenințările să fie implementate într-un singur pas prin exploatarea unei singure vulnerabilități din sistem.

Modelul de amenințare ar trebui să includă toate amenințările identificate ca urmare a proceselor conexe de management al securității informațiilor, cum ar fi gestionarea vulnerabilităților și a incidentelor. Trebuie amintit că amenințările vor trebui clasificate una față de cealaltă în funcție de nivelul de probabilitate a implementării lor. Pentru a face acest lucru, în procesul de dezvoltare a unui model de amenințare pentru fiecare amenințare, este necesar să se indice cei mai importanți factori, a căror existență afectează implementarea acestuia.

Politica de securitate se bazează pe analiza riscurilor care sunt recunoscute ca reale pentru sistemul informațional al organizației. Când se analizează riscurile și se definește strategia de protecție, se întocmește un program de securitate a informațiilor. Pentru acest program se alocă resurse, se desemnează persoane responsabile, se determină procedura de monitorizare a implementării programului etc.

Într-un sens larg, o politică de securitate este definită ca un sistem de documentare decizii de management pentru a asigura securitatea organizaţiei. Într-un sens restrâns, o politică de securitate este de obicei înțeleasă ca un document de reglementare local care definește cerințele de securitate, un sistem de măsuri sau o ordine de acțiuni, precum și responsabilitatea angajaților organizației și mecanismele de control pentru o anumită zonă de securitatea.

Înainte de a începe să ne formăm politica de securitate a informațiilor în sine, este necesar să înțelegem conceptele de bază cu care vom opera.

Informații - informații (mesaje, date) indiferent de forma de prezentare a acestora.

Confidențialitatea informațiilor este o cerință obligatorie pentru ca o persoană care are acces la anumite informații să nu transfere astfel de informații către terți fără acordul proprietarului acesteia.

Securitatea informației (SI) reprezintă starea de protecție a mediului informațional al societății, asigurând formarea, utilizarea și dezvoltarea acestuia în interesul cetățenilor, organizațiilor, statelor.

Conceptul de „informație” astăzi este folosit destul de larg și versatil.

Asigurarea securității informațiilor nu poate fi un act unic. Acesta este un proces continuu, care constă în fundamentarea și implementarea celor mai raționale metode, modalități și mijloace de îmbunătățire și dezvoltare a sistemului de protecție, monitorizarea continuă a stării acestuia, identificarea punctelor slabe și acțiunilor ilegale ale acestuia.

Securitatea informației poate fi asigurată doar prin utilizarea integrată a întregii game de instrumente de protecție disponibile în toate elementele structurale ale sistemului de producție și în toate etapele ciclului tehnologic de prelucrare a informațiilor. Cel mai mare efect se obține atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism holistic al sistemului de protecție a informațiilor. În același timp, funcționarea sistemului ar trebui monitorizată, actualizată și completată în funcție de schimbările din condițiile externe și interne.

Conform standardului GOST R ISO / IEC 15408:2005, se pot distinge următoarele tipuri de cerințe de securitate:

funcționale, corespunzătoare aspectului activ al protecției, impuse funcțiilor de securitate și mecanismelor care le implementează;

cerințe de asigurare, corespunzătoare aspectului pasiv, impuse tehnologiei și procesului de dezvoltare și exploatare.

Este foarte important ca securitatea în acest standard să nu fie considerată static, ci în raport cu ciclul de viață al obiectului de evaluare. Se disting următoarele etape:

determinarea scopului, condițiilor de utilizare, scopurilor și cerințelor de siguranță;

design și dezvoltare;

testare, evaluare și certificare;

implementare și exploatare.

Deci, să aruncăm o privire mai atentă la cerințele de securitate funcțională. Ei includ:

protecția datelor utilizatorilor;

protecția funcțiilor de securitate (cerințele se referă la integritatea și controlul acestor servicii de securitate și mecanismele care le implementează);

managementul securității (cerințele acestei clase se referă la gestionarea atributelor și parametrilor de securitate);

audit de securitate (identificare, înregistrare, stocare, analiza datelor care afectează securitatea obiectului de evaluare, răspuns la o posibilă breșă de securitate);

confidențialitate (protecția utilizatorului împotriva dezvăluirii și utilizării neautorizate a datelor sale de identificare);

utilizarea resurselor (cerințe pentru disponibilitatea informațiilor);

comunicare (autentificarea părților implicate în schimbul de date);

rută/canal de încredere (pentru comunicarea cu serviciile de securitate).

În conformitate cu aceste cerințe, este necesară formarea sistemului de securitate a informațiilor al organizației.

Sistemul de securitate a informațiilor al unei organizații include următoarele domenii:

de reglementare;

organizatoric (administrativ);

tehnic;

software;

Pentru o evaluare completă a situației la întreprindere în toate domeniile de securitate, este necesar să se elaboreze un concept de securitate a informațiilor care să stabilească o abordare sistematică a problemei securității resurselor informaționale și să fie o prezentare sistematică a scopurilor, obiectivelor. , principii de proiectare și un set de măsuri pentru asigurarea securității informațiilor la nivelul întreprinderii.

Sistemul de management al rețelei corporative ar trebui să se bazeze pe următoarele principii (sarcini):

asigurarea protecției infrastructurii informaționale existente a întreprinderii de intervenția intrușilor;

asigurarea condițiilor de localizare și minimizare a eventualelor daune;

excluderea apariției în stadiu inițial a cauzelor apariției surselor de amenințări;

asigurarea protecției informațiilor privind cele trei tipuri principale de amenințări emergente (disponibilitate, integritate, confidențialitate);

Rezolvarea sarcinilor de mai sus se realizează prin;

reglementarea acțiunilor utilizatorilor sistemului de lucru cu informații;

reglementarea acțiunilor utilizatorilor de lucru cu baza de date;

cerințe unificate pentru fiabilitatea mijloacelor tehnice și software;

proceduri de monitorizare a funcționării sistemului informațional (înregistrarea evenimentelor, analiza protocoalelor, analiza traficului în rețea, analiza funcționării mijloacelor tehnice);

Politica de securitate a informațiilor include:

documentul principal este „Politica de securitate”. Acesta descrie în general politica de securitate a organizației, Dispoziții generale, precum și documente relevante pentru toate aspectele politicii;

instrucțiuni pentru reglementarea muncii utilizatorilor;

fișa postului de administrator retea locala;

fișa postului administratorului bazei de date;

instrucțiuni pentru lucrul cu resursele de internet;

instrucțiuni pentru organizarea protecției prin parolă;

instrucțiuni pentru organizarea protecției antivirus.

Documentul „Politica de securitate” conține principalele prevederi. Pe baza acestuia se construiește un program de securitate a informațiilor, se construiesc fișe de post și recomandări.

Instrucțiunile pentru reglementarea activității utilizatorilor rețelei locale a organizației guvernează procedura pentru a permite utilizatorilor să lucreze în rețeaua locală. rețea de calculatoare organizație, precum și regulile de manipulare a informațiilor protejate prelucrate, stocate și transmise în organizație.

Fișa postului administratorului de rețea locală descrie atribuțiile administratorului rețelei locale în ceea ce privește securitatea informațiilor.

Fișa postului unui administrator de baze de date definește principalele îndatoriri, funcții și drepturi ale unui administrator de baze de date. Descrie totul în detaliu. atributii oficialeși funcțiile administratorului bazei de date, precum și drepturile și responsabilitățile.

Instrucțiunile de lucru cu resursele de internet reflectă regulile de bază munca sigura cu Internetul, conține, de asemenea, o listă de acțiuni acceptabile și inacceptabile atunci când lucrați cu resurse de Internet.

Instrucțiunile pentru organizarea protecției antivirus definesc principalele prevederi, cerințele pentru organizarea protecției antivirus a sistemului informațional al unei organizații, toate aspectele legate de funcționarea software-ului antivirus, precum și responsabilitatea în cazul încălcării protectie antivirus.

Instrucțiunea privind organizarea protecției prin parole reglementează suportul organizatoric și tehnic pentru procesele de generare, modificare și terminare a parolelor (ștergerea conturilor de utilizator). De asemenea, reglementează acțiunile utilizatorilor și ale personalului de întreținere atunci când lucrează cu sistemul.

Astfel, la baza organizării procesului de protecție a informațiilor se află o politică de securitate formulată pentru a determina de la ce amenințări și cum sunt protejate informațiile în sistemul informațional.

O politică de securitate este un set de măsuri legale, organizatorice și tehnice pentru a proteja informațiile adoptate într-o anumită organizație. Adică, politica de securitate include un set de condiții în care utilizatorii obțin acces la resursele sistemului fără a pierde proprietățile de securitate a informațiilor ale acestui sistem.

Sarcina de a asigura securitatea informațiilor ar trebui abordată sistematic. Aceasta înseamnă că diferite protecții (hardware, software, fizice, organizaționale etc.) trebuie aplicate simultan și sub control centralizat.

Până în prezent, există un arsenal mare de metode pentru asigurarea securității informațiilor:

mijloace de identificare și autentificare a utilizatorilor;

Mijloace de criptare a informațiilor stocate pe computere și transmise prin rețele;

firewall-uri;

rețele private virtuale;

instrumente de filtrare a conținutului;

instrumente pentru verificarea integrității conținutului discurilor;

mijloace de protecție antivirus;

sisteme și analizoare de detectare a vulnerabilităților rețelei atacuri de rețea.

Fiecare dintre aceste instrumente poate fi utilizat atât independent, cât și în integrare cu altele. Acest lucru face posibilă crearea de sisteme protectia informatiilor pentru rețele de orice complexitate și configurație, indiferent de platformele utilizate.

Sistem de autentificare (sau identificare), autorizare și administrare. Identificarea și autorizarea sunt elemente cheie ale securității informațiilor. Funcția de autorizare este responsabilă pentru resursele la care are acces un anumit utilizator. Funcția de administrare este de a oferi utilizatorului anumite caracteristici de identificare într-o anumită rețea și de a determina sfera acțiunilor permise pentru el.

Sistemele de criptare fac posibilă reducerea la minimum a pierderilor în cazul accesului neautorizat la datele stocate pe un hard disk sau alte medii, precum și interceptarea informațiilor atunci când sunt trimise prin e-mail sau transmise prin protocoale de rețea. Sarcină acest instrument protectie – asigurarea confidentialitatii. Cerințe de bază pentru sistemele de criptare - nivel inalt stabilitatea criptografică și legalitatea utilizării în Rusia (sau în alte state).

Un firewall este un sistem sau o combinație de sisteme care formează o barieră de protecție între două sau mai multe rețele care împiedică pachetele de date neautorizate să intre sau să iasă din rețea.

Principiul de bază al firewall-urilor este de a verifica fiecare pachet de date pentru corespondența adresei IP de intrare și de ieșire la baza adreselor permise. Astfel, firewall-urile extind semnificativ posibilitățile de segmentare a rețelelor de informații și de control al circulației datelor.

Apropo de criptografie și firewall-uri, ar trebui să amintim rețelele private virtuale securizate (Virtual Private Network - VPN). Utilizarea lor vă permite să rezolvați problemele de confidențialitate și integritate a datelor atunci când sunt transmise peste deschidere canale de comunicatie. Utilizarea unui VPN poate fi redusă la rezolvarea a trei sarcini principale:

protecția fluxurilor de informații între diferitele sedii ale companiei (informațiile sunt criptate doar la ieșirea în rețeaua externă);

accesul securizat al utilizatorilor rețelei de la distanță la resursele informaționale ale companiei, de obicei prin internet;

protecția fluxurilor de informații între aplicațiile individuale din cadrul rețelelor corporative (acest aspect este, de asemenea, foarte important, deoarece majoritatea atacurilor sunt efectuate din rețele interne).

Un mijloc eficient de protecție împotriva pierderii informațiilor confidențiale este filtrarea conținutului e-mail-urilor primite și trimise. Validarea mesajelor de e-mail și a atașamentelor acestora pe baza regulilor stabilite de organizație ajută, de asemenea, la protejarea companiilor de răspunderea legală și la protejarea angajaților lor de spam. Instrumentele de filtrare a conținutului vă permit să scanați fișiere de toate formatele obișnuite, inclusiv comprimate și grafice. în care debitului rețeaua rămâne practic neschimbată.

Toate modificările de pe o stație de lucru sau un server pot fi urmărite de un administrator de rețea sau alt utilizator autorizat datorită tehnologiei de verificare a integrității conținutului hard disk(verificarea integrității). Acest lucru vă permite să detectați orice acțiuni cu fișiere (modificare, ștergere sau doar deschidere) și să identificați activitatea virușilor, accesul neautorizat sau furtul de date de către utilizatorii autorizați. Controlul se bazează pe analiza sumelor de verificare a fișierelor (CRC-sums).

Tehnologiile antivirus moderne fac posibilă detectarea aproape a tuturor programelor viruși deja cunoscute prin compararea codului unui fișier suspect cu mostrele stocate în baza de date antivirus. În plus, tehnologiile de modelare a comportamentului au fost dezvoltate pentru a detecta programe viruși nou create. Obiectele detectate pot fi dezinfectate, izolate (puse în carantină) sau șterse. Protecția antivirus poate fi instalată pe stații de lucru, servere de fișiere și e-mail, firewall-uri care rulează sub aproape oricare dintre sistemele de operare comune (sisteme Windows, Unix și Linux, Novell) pe diferite tipuri de procesoare.

Filtrele de spam reduc semnificativ costurile neproductive ale forței de muncă asociate cu analiza spam-ului, reduc traficul și încărcarea serverului, îmbunătățesc fundalul psihologic în echipă și reduc riscul ca angajații companiei să fie implicați în tranzacții frauduloase. În plus, filtrele de spam reduc riscul de a fi infectat cu viruși noi, deoarece mesajele care conțin viruși (chiar și cei neincluși încă în bazele de date) programe antivirus) prezintă adesea semne de spam și sunt filtrate. Este adevărat, efectul pozitiv al filtrării spam-ului poate fi eliminat dacă filtrul, împreună cu mesajele nedorite, elimină sau marchează ca spam și mesaje utile, de afaceri sau personale.

Daunele uriașe aduse companiilor de viruși și atacurile hackerilor sunt în mare parte o consecință a deficiențelor software-ului utilizat. Le puteți identifica din timp, fără a aștepta un atac real, folosind sisteme de detectare a vulnerabilităților retele de calculatoareși analizoare de atacuri de rețea. Un astfel de software simulează în siguranță atacurile obișnuite și metodele de intruziune și determină exact ce poate vedea un hacker în rețea și cum își poate folosi resursele.

Pentru a contracara amenințările naturale la adresa securității informațiilor, o companie ar trebui să dezvolte și să implementeze un set de proceduri pentru a preveni situațiile de urgență (de exemplu, pentru a asigura protecția fizică a datelor împotriva unui incendiu) și pentru a minimiza daunele în cazul în care apare o astfel de situație. Una dintre principalele metode de protecție împotriva pierderii datelor este backup-ul cu respectarea strictă a procedurilor stabilite (regularitate, tipuri de suporturi, metode de stocare a copiilor etc.).

O politică de securitate a informațiilor este un pachet de documente care reglementează munca angajaților, descriind regulile de bază pentru lucrul cu informații, un sistem informațional, baze de date, o rețea locală și resurse de Internet. Este important să înțelegeți în ce loc ocupă politica de securitate a informațiilor sistem comun managementul organizatiei. Următoarele sunt măsuri organizatorice generale legate de politica de securitate.

La nivel procedural se pot distinge următoarele clase de măsuri:

managementul personalului;

protectie fizica;

menținerea performanței;

răspuns la breșele de securitate;

planificarea restaurării.

Managementul resurselor umane începe cu angajarea, dar chiar înainte de asta, ar trebui să definiți privilegiile computerului asociate postului. Există două principii generale de reținut:

separarea atribuțiilor;

minimizarea privilegiilor.

Principiul separării sarcinilor prescrie modul de distribuire a rolurilor și responsabilităților, astfel încât o persoană să nu poată perturba un proces care este esențial pentru organizație. De exemplu, o situație în care plăți mari în numele organizației sunt efectuate de către o singură persoană este nedorită. Este mai sigur să încredințezi unui angajat să proceseze cererile pentru astfel de plăți, iar altuia să certifice aceste cereri. Un alt exemplu sunt restricțiile procedurale privind acțiunile superutilizatorului. Este posibil să „divizați” în mod artificial parola de superutilizator dând prima parte a acesteia unui angajat și a doua parte altuia. Atunci doar doi dintre ei vor putea efectua acțiuni de importanță critică pentru administrarea sistemului informațional, ceea ce reduce probabilitatea erorilor și abuzurilor.

Principiul minimizării privilegiilor prescrie să se aloce utilizatorilor doar acele drepturi de acces de care au nevoie pentru a-și îndeplini atribuțiile. Scopul acestui principiu este evident - de a reduce daunele cauzate de acțiuni incorecte accidentale sau deliberate.

Pregătirea preliminară a unei fișe de post vă permite să evaluați criticitatea acesteia și să planificați procedura de verificare și selectare a candidaților. Cu cât postul este mai responsabil, cu atât mai atent trebuie să verificați candidații: faceți întrebări despre ei, poate vorbiți cu foștii colegi etc. O astfel de procedură poate fi lungă și costisitoare, așa că nu are rost să o complici în continuare. În același timp, nu este înțelept să refuzi complet o verificare preliminară pentru a nu angaja accidental o persoană cu un trecut criminal sau o boală mintală.

Odată ce un candidat a fost identificat, este probabil ca acesta să fie instruit; cel puțin, ar trebui să fie bine familiarizat cu sarcinile postului, precum și cu regulile și procedurile de securitate a informațiilor. Este de dorit ca măsurile de securitate să fie învățate de către acesta înainte de preluarea mandatului și înainte de a-și configura contul de sistem cu un nume de autentificare, parolă și privilegii.

Securitatea unui sistem informatic depinde de mediul în care operează. Trebuie luate măsuri pentru protejarea clădirilor și a zonei înconjurătoare, sprijinirea infrastructurii, informatică, medii de stocare.

Luați în considerare următoarele domenii de protecție fizică:

controlul accesului fizic;

protejarea infrastructurii suport;

protectia sistemelor mobile.

Măsurile de control al accesului fizic vă permit să controlați și, dacă este necesar, să restricționați intrarea și ieșirea angajaților și vizitatorilor. Întreaga clădire a organizației, precum și spațiile individuale, de exemplu, cele în care se află serverele, echipamentele de comunicații etc., pot fi controlate.

Infrastructura de sprijin include sisteme de alimentare cu energie, apă și căldură, aparate de aer condiționat și comunicații. În principiu, li se aplică aceleași cerințe de integritate și disponibilitate ca și sistemelor informaționale. Pentru a asigura integritatea, echipamentul trebuie protejat de furt și deteriorare. Pentru a menține disponibilitatea, ar trebui să alegeți echipamente cu un timp maxim între defecțiuni, să duplicați nodurile critice și să aveți întotdeauna piese de schimb la îndemână.

În general, atunci când se selectează mijloacele de protecție fizică, trebuie efectuată o analiză de risc. Astfel, atunci când se ia decizia de a achiziționa o sursă de alimentare neîntreruptibilă, este necesar să se țină cont de calitatea sursei de alimentare din clădirea ocupată de organizație (cu toate acestea, aproape sigur va fi slabă), natura și durata puterii. eșecurile, costul surselor disponibile și posibile pierderi din accidente (defecțiune a echipamentelor, suspendarea organizației etc.)

Luați în considerare o serie de măsuri care vizează menținerea sănătății sistemelor informaționale. În această zonă se ascunde cel mai mare pericol. Erorile neintenționate ale administratorilor de sistem și ale utilizatorilor pot duce la pierderea performanței, și anume, deteriorarea echipamentelor, distrugerea programelor și a datelor. Acesta este cel mai rău caz. În cel mai bun caz, ele creează găuri de securitate care permit implementarea amenințărilor la adresa securității sistemelor.

Principala problemă a multor organizații este subestimarea factorilor de securitate în munca de zi cu zi. Instrumentele scumpe de securitate își pierd sensul dacă sunt prost documentate, sunt în conflict cu alt software și o parolă administrator de sistem nu s-a schimbat de la instalare.

Pentru activitățile zilnice care vizează menținerea sănătății sistemului informațional se pot distinge următoarele acțiuni:

suport pentru utilizatori;

suport software;

managementul configurației;

backup;

management media;

documentație;

Munca de intretinere.

Suportul utilizatorilor presupune, în primul rând, consultanță și asistență în rezolvarea diferitelor tipuri de probleme. Este foarte important în fluxul de întrebări să poți identifica problemele legate de securitatea informațiilor. Astfel, multe dintre dificultățile utilizatorilor care lucrează pe computere personale pot fi rezultatul infecției cu virus. Este recomandabil să înregistrați întrebările utilizatorilor pentru a le identifica greșeli tipiceși emite pliante cu recomandări pentru situații comune.

Suportul software este unul dintre cele mai importante mijloace de asigurare a integrității informațiilor. În primul rând, trebuie să urmăriți ce software este instalat pe computere. Dacă utilizatorii instalează programe pe cont propriu, acest lucru poate duce la infectarea cu viruși, precum și la apariția unor utilități care ocolesc măsurile de securitate. De asemenea, este probabil ca „inițiativa” utilizatorilor să ducă treptat la haos pe computerele lor, iar administratorul de sistem va trebui să corecteze situația.

Al doilea aspect al suportului software este controlul asupra absenței modificărilor neautorizate ale programelor și asupra drepturilor de acces la acestea. Aceasta include și suport pentru copiile master. sisteme software. În mod obișnuit, controlul este realizat printr-o combinație de control al accesului fizic și logic, precum și prin utilizarea utilităților de verificare și integritate.

Gestionarea configurației vă permite să controlați și să capturați modificările aduse configurarea software-ului. În primul rând, este necesar să vă asigurați împotriva modificărilor accidentale sau prost concepute, pentru a putea măcar să reveniți la versiunea anterioară de lucru. Realizarea modificărilor va facilita restabilirea versiunii curente după o blocare.

Cea mai bună modalitate de a reduce erorile în munca de rutină este să o automatizezi cât mai mult posibil. Automatizarea și securitatea depind una de cealaltă, pentru că cel căruia îi pasă în primul rând să-și faciliteze sarcina, de fapt, formează în mod optim regimul de securitate a informațiilor.

Backup-ul este necesar pentru a restaura programele și datele după dezastre. Și aici este recomandabil să automatizați munca, cel puțin prin crearea unui program computerizat pentru crearea de copii complete și incrementale și, la maximum, folosind produsele software corespunzătoare. De asemenea, este necesar să aranjați ca copiile să fie plasate într-un loc sigur, ferit de acces neautorizat, incendii, scurgeri, adică de orice ar putea duce la furt sau deteriorarea suporturilor. Bine să aveți mai multe copii. copii de rezervăși depozitați unele dintre ele în afara sediului organizației, protejând astfel împotriva accidentelor majore și incidentelor similare. Din când în când, în scopuri de testare, ar trebui să verificați posibilitatea de a recupera informații din copii.

Managementul media este necesar pentru a oferi protecție fizică și responsabilitate pentru dischete, benzi, imprimări și altele asemenea. Managementul media trebuie să asigure confidențialitatea, integritatea și disponibilitatea informațiilor stocate în afara sistemelor informatice. Protecția fizică aici este înțeleasă nu numai ca o reflectare a încercărilor de acces neautorizat, ci și ca protecție împotriva influențelor nocive ale mediului (căldură, frig, umiditate, magnetism). Managementul media ar trebui să acopere toate ciclu de viață- de la achiziție până la dezafectare.

Documentația este o parte integrantă a securității informațiilor. Aproape totul este documentat - de la politica de securitate la jurnalul de inventar media. Este important ca documentația să fie actualizată, să reflecte situația actuală și într-o formă consecventă.

Pentru stocarea unor documente (conținând, de exemplu, o analiză a vulnerabilităților și amenințărilor sistemului), sunt aplicabile cerințe de confidențialitate, pentru altele, cum ar fi un plan de recuperare în caz de dezastru, cerințe de integritate și disponibilitate (într-o situație critică, planul trebuie să fie găsit și citit).

Lucrările de întreținere reprezintă o amenințare foarte gravă la securitate. Angajatul care efectuează întreținerea de rutină are acces exclusiv la sistem, iar în practică este foarte greu de controlat exact ce acțiuni efectuează. Aici iese în prim plan gradul de încredere în cei care execută munca.

Politica de securitate adoptată de organizație ar trebui să prevadă un set de măsuri operaționale menite să detecteze și să neutralizeze încălcările regimului de securitate a informațiilor. Este important ca, în astfel de cazuri, succesiunea acțiunilor să fie planificată în avans, deoarece măsurile trebuie luate de urgență și într-o manieră coordonată.

Răspunsul la breșele de securitate are trei obiective principale:

localizarea incidentului și reducerea prejudiciului cauzat;

prevenirea încălcărilor repetate.

Adesea, cerința de a localiza incidentul și de a reduce prejudiciul a provocat conflicte cu dorința de a identifica infractorul. Politica de securitate a organizației ar trebui să aibă prioritate în avans. Deoarece, după cum arată practica, este foarte dificil să identifici un intrus, în opinia noastră, în primul rând, ar trebui să ai grijă să reduci daunele.

Nicio organizație nu este imună la accidente grave cauzate de cauze naturale, acțiuni rău intenționate, neglijență sau incompetență. În același timp, fiecare organizație are funcții pe care managementul le consideră critice, ele trebuie îndeplinite indiferent de ce. Planificarea recuperării vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți cel puțin o cantitate minimă de capacitate de funcționare.

Rețineți că măsurile de securitate a informațiilor pot fi împărțite în trei grupe, în funcție de faptul că acestea vizează prevenirea, detectarea sau eliminarea consecințelor atacurilor. Majoritatea măsurilor sunt de natură preventivă.

Procesul de planificare a recuperării poate fi împărțit în următorii pași:

identificarea criticilor funcții importante organizații, stabilirea priorităților;

identificarea resurselor necesare îndeplinirii funcțiilor critice;

stabilirea listei de posibile accidente;

dezvoltarea unei strategii de recuperare;

pregătirea pentru implementarea strategiei alese;

verificarea strategiei.

Atunci când planificați lucrările de restaurare, trebuie să fiți conștienți de faptul că nu este întotdeauna posibil să păstrați pe deplin funcționarea organizației. Este necesar să se identifice funcțiile critice fără de care organizația își pierde fața și chiar printre funcțiile critice să se prioritizeze pentru a relua munca după un dezastru cât mai curând posibil și cu costuri minime.

Când identificați resursele necesare pentru a îndeplini funcții critice, amintiți-vă că multe dintre ele nu sunt de natură informatică. În această etapă, este de dorit să se implice în muncă specialiști de diferite profiluri.

Astfel, există un număr mare diverse metode asigurarea securității informațiilor. Cea mai eficientă este utilizarea tuturor acestor metode într-un singur complex. Astăzi, piața modernă de securitate este saturată de instrumente de securitate a informațiilor. Studiind în mod constant propunerile existente ale pieței de securitate, multe companii văd inadecvarea fondurilor investite anterior în sistemele de securitate a informațiilor, de exemplu, din cauza învechirii echipamentelor și software-ului. Prin urmare, ei caută soluții la această problemă. Pot exista două astfel de opțiuni: pe de o parte, aceasta este o înlocuire completă a sistemului de protecție a informațiilor corporative, care va necesita investiții mari și, pe de altă parte, modernizarea sistemelor de securitate existente. Ultima soluție la această problemă este cea mai puțin costisitoare, dar aduce noi probleme, de exemplu, necesită răspunsul la următoarele întrebări: cum se asigură compatibilitatea vechiului, rămas din instrumentele de securitate hardware și software disponibile și elemente noi de sistemul de securitate a informațiilor; cum să se asigure management centralizat mijloace eterogene de asigurare a securității; modul de evaluare și, dacă este necesar, reevaluare a riscurilor informaționale ale companiei.

Capitolul 2. Analiza sistemului de securitate a informaţiei

1 Domeniul de aplicare al companiei și analiza performanței financiare

OAO Gazprom este o companie globală de energie. Activitățile principale sunt explorarea, producția, transportul, depozitarea, prelucrarea și comercializarea gazelor, condensului de gaz și petrolului, precum și producția și comercializarea de energie termică și electrică.

Gazprom își vede misiunea în furnizarea fiabilă, eficientă și echilibrată de gaze naturale, alte tipuri de resurse energetice și produse de prelucrare a acestora către consumatori.

Gazprom are cele mai bogate rezerve de gaze naturale din lume. Ponderea sa în rezervele mondiale de gaze este de 18%, în rusă - 70%. Gazprom reprezintă 15% din producția mondială de gaze și 78% din producția rusă de gaz. Compania implementează în prezent în mod activ proiecte de anvergură pentru dezvoltarea resurselor de gaze din Peninsula Yamal, platoul arctic, Siberia de Est și Orientul Îndepărtat, precum și o serie de proiecte de explorare și producție de hidrocarburi în străinătate.

Gazprom este un furnizor de încredere de gaz pentru consumatorii ruși și străini. Compania deține cea mai mare rețea de transport de gaze din lume - un singur sistem furnizarea de gaze către Rusia, a cărei lungime depășește 161 mii km. Pe piața internă, Gazprom vinde peste jumătate din gazul pe care îl vinde. În plus, compania furnizează gaz în 30 de țări din străinătate și din apropiere.

Gazprom este singurul producător și exportator de gaz natural lichefiat din Rusia și asigură aproximativ 5% din producția mondială de GNL.

Compania este unul dintre cei mai mari cinci producători de petrol din Federația Rusă și este, de asemenea, cel mai mare proprietar de active generatoare de pe teritoriul său. Capacitatea totală instalată a acestora este de 17% din capacitatea totală instalată a sistemului energetic rus.

Scopul strategic este de a stabili OAO Gazprom ca lider în rândul companiilor energetice globale prin dezvoltarea de noi piețe, diversificarea activităților și asigurarea fiabilității aprovizionărilor.

Luați în considerare performanța financiară a companiei în ultimii doi ani. Rezultatele activităților companiei sunt prezentate în Anexa 1.

La 31 decembrie 2010, veniturile din vânzări se ridicau la 2495557 milioane de ruble, această cifră este mult mai mică în comparație cu datele din 2011, adică 3296656 milioane de ruble.

Veniturile din vânzări (fără accize, TVA și taxe vamale) au crescut cu 801 099 milioane RUB, sau 32%, pentru cele nouă luni încheiate la 30 septembrie 2011, comparativ cu aceeași perioadă a anului trecut și s-au ridicat la 3 296 656 milioane RUB.

Pe baza rezultatelor din 2011, vânzările nete de gaze au reprezentat 60% din vânzările nete totale (60% în aceeași perioadă a anului trecut).

Veniturile nete din vânzările de gaze au crescut de la 1.495.335 milioane RUB. pentru anul până la 1.987.330 de milioane de ruble. pentru aceeași perioadă din 2011, sau cu 33%.

Veniturile nete din vânzarea de gaze către Europa și alte țări au crescut cu 258.596 milioane de ruble, sau 34%, față de aceeași perioadă a anului trecut, și s-au ridicat la 1.026.451 milioane de ruble. Creșterea generală a vânzărilor de gaze către Europa și alte țări s-a datorat creșterii prețurilor medii. Prețul mediu în ruble (inclusiv taxe vamale) a crescut cu 21% în cele nouă luni încheiate la 30 septembrie 2011 față de aceeași perioadă din 2010. În plus, vânzările de gaze au crescut cu 8% față de aceeași perioadă a anului trecut.

Veniturile nete din vânzarea de gaze către țările din fosta Uniune Sovietică au crescut în aceeași perioadă din 2010 cu 168.538 milioane de ruble, sau 58%, și s-au ridicat la 458.608 milioane de ruble. Schimbarea a fost determinată în principal de o creștere de 33% a vânzărilor de gaze către fosta Uniune Sovietică în cele nouă luni încheiate la 30 septembrie 2011 față de anul precedent. În plus, prețul mediu în ruble (inclusiv taxe vamale, fără TVA) a crescut cu 15% față de aceeași perioadă a anului trecut.

Veniturile nete din vânzarea de gaze în Federația Rusă au crescut cu 64.861 milioane de ruble, sau 15%, față de aceeași perioadă a anului trecut, și s-au ridicat la 502.271 milioane de ruble. Acest lucru se datorează în principal creșterii cu 13% a prețului mediu la gaze comparativ cu aceeași perioadă a anului trecut, care este asociată cu o creștere a tarifelor stabilite de Serviciul Federal de Tarife (FTS).

Veniturile nete din vânzarea de produse petroliere și gaze naturale (fără accize, TVA și taxe vamale) au crescut cu 213 012 milioane de ruble, sau 42%, și s-au ridicat la 717 723 milioane de ruble. comparativ cu aceeași perioadă a anului trecut. Această creștere se datorează în principal creșterii prețurilor mondiale la produsele petroliere și gazelor și creșterii volumelor vândute față de aceeași perioadă a anului trecut. Veniturile Grupului Gazprom Neft au reprezentat 85%, respectiv 84% din totalul veniturilor nete din vânzarea produselor petroliere rafinate.

Veniturile nete din vânzarea de energie electrică și căldură (fără TVA) au crescut cu 38 097 milioane de ruble, sau 19%, și s-au ridicat la 237 545 milioane de ruble. Creșterea veniturilor din vânzarea de energie electrică și termică se datorează în principal creșterii tarifelor la energie electrică și termică, precum și creșterii volumului vânzărilor de energie electrică și termică.

Veniturile nete din vânzarea de țiței și gaze condensate (fără accize, TVA și taxe vamale) au crescut cu 23.072 milioane de ruble, sau 16%, și s-au ridicat la 164.438 milioane de ruble. comparativ cu 141.366 milioane de ruble. pentru aceeași perioadă a anului trecut. Practic, schimbarea a fost cauzată de o creștere a prețului la petrol și gaze condensate. În plus, schimbarea a fost cauzată de o creștere a vânzărilor de gaz condensat. Veniturile din vânzarea țițeiului s-au ridicat la 133 368 milioane de ruble. și 121.675 milioane de ruble. în veniturile nete din vânzarea de țiței și gaze condensate (fără accize, TVA și taxe vamale) în 2011 și, respectiv, 2010.

Venitul net din vânzarea serviciilor de transport al gazelor (fără TVA) a crescut cu 15.306 milioane de ruble, sau 23%, și s-a ridicat la 82.501 milioane de ruble, față de 67.195 milioane de ruble. pentru aceeași perioadă a anului trecut. Această creștere se datorează în principal creșterii tarifelor de transport al gazelor pentru furnizorii independenți, precum și creșterii ѐ m de transport gaze pentru furnizorii independenți comparativ cu aceeași perioadă a anului trecut.

Alte venituri au crescut cu 19.617 milioane RUB, sau 22%, și s-au ridicat la 107.119 milioane RUB. comparativ cu 87.502 milioane de ruble. pentru aceeași perioadă a anului trecut.

Cheltuielile cu operațiunile de tranzacționare fără livrare efectivă s-au ridicat la 837 de milioane de ruble. comparativ cu veniturile de 5.786 milioane RUB. pentru aceeași perioadă a anului trecut.

În ceea ce privește cheltuielile de funcționare, acestea au crescut cu 23% și s-au ridicat la 2.119.289 de milioane de ruble. comparativ cu 1.726.604 milioane de ruble. pentru aceeași perioadă a anului trecut. Ponderea cheltuielilor de exploatare în veniturile din vânzări a scăzut de la 69% la 64%.

Costurile cu forța de muncă au crescut cu 18% și s-au ridicat la 267 377 milioane de ruble. comparativ cu 227.500 de milioane de ruble. pentru aceeași perioadă a anului trecut. Creșterea se datorează în principal creșterii salariilor medii.

Amortizarea pentru perioada analizată a crescut cu 9% sau cu 17.026 milioane de ruble și s-a ridicat la 201.636 milioane de ruble, comparativ cu 184.610 milioane de ruble. pentru aceeași perioadă a anului trecut. Creșterea sa datorat în principal extinderii bazei de active fixe.

Ca urmare a factorilor de mai sus, profitul din vânzări a crescut cu 401.791 milioane RUB, sau 52%, și sa ridicat la 1.176.530 milioane RUB. comparativ cu 774.739 milioane de ruble. pentru aceeași perioadă a anului trecut. Marja de profit din vânzări a crescut de la 31% la 36% în cele nouă luni încheiate la 30 septembrie 2011.

Astfel, OAO Gazprom este o companie energetică globală. Activitățile principale sunt explorarea, producția, transportul, depozitarea, prelucrarea și comercializarea gazelor, condensului de gaz și petrolului, precum și producția și comercializarea de energie termică și electrică. Situația financiară a companiei este stabilă. Indicatorii de performanță au o tendință pozitivă.

2 Descrierea sistemului de securitate a informațiilor companiei

Să luăm în considerare principalele activități ale departamentelor Serviciului de securitate corporativă al SA „Gazprom”:

dezvoltarea de programe vizate pentru dezvoltarea sistemelor și complexelor de inginerie și mijloace tehnice de protecție (ITSO), sisteme de securitate a informațiilor (IS) ale OAO Gazprom și ale filialelor și organizațiilor sale, participarea la formarea unui program de investiții care vizează asigurarea informației și securitate tehnică;

implementarea competențelor clientului de lucru privind dezvoltarea sistemelor de securitate a informațiilor, precum și a sistemelor și complexelor ITSO;

luarea în considerare și aprobarea cererilor de buget și a bugetelor pentru implementarea măsurilor de dezvoltare a sistemelor de securitate a informațiilor, sistemelor și complexelor ITSO, precum și pentru realizarea de IT în materie de sisteme de securitate a informațiilor;

luarea în considerare și aprobarea documentației de proiectare și anteproiect pentru dezvoltarea sistemelor de securitate a informațiilor, a sistemelor și complexelor ITSO, precum și a specificațiilor tehnice pentru realizarea (modernizarea) sistemelor informatice, a sistemelor de comunicații și telecomunicații în ceea ce privește cerințele de securitate a informațiilor;

organizarea muncii pentru evaluarea conformității sistemelor și complexelor ITSO, sistemelor suport SI (precum și lucrărilor și serviciilor pentru realizarea acestora) la cerințele stabilite;

coordonarea și controlul lucrărilor la protectie tehnica informație.

Gazprom a creat un sistem care asigură protecția datelor cu caracter personal. Cu toate acestea, adoptarea de către autoritățile executive federale a unui număr de acte juridice de reglementare în dezvoltarea legilor și a decretelor guvernamentale existente necesită îmbunătățirea sistemului actual de protecție a datelor cu caracter personal. În interesul soluționării acestei probleme, au fost elaborate o serie de documente și sunt coordonate în cadrul activității de cercetare. În primul rând, acestea sunt proiectele de standarde ale Organizației de Dezvoltare Gazprom:

„Metodologie de clasificare a sistemelor informatice ale datelor cu caracter personal ale OAO Gazprom, filialele și organizațiile sale”;

„Model de amenințări la adresa datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale ale datelor cu caracter personal ale OAO Gazprom, filialele și organizațiile sale”.

Aceste documente au fost elaborate ținând cont de cerințele Decretului Guvernului Federației Ruse din 17 noiembrie 2007 nr. 781 „Cu privire la aprobarea Regulamentului privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” în raportat la clasa sistemelor speciale, care includ majoritatea ISPD-urilor SA „Gazprom”.

În plus, „Regulamentul privind organizarea și suportul tehnic al securității datelor cu caracter personal prelucrate în sistemele informaționale de date cu caracter personal ale OAO Gazprom, filialele și organizațiile acesteia” sunt în curs de elaborare.

De menționat că, în cadrul sistemului de standardizare al OAO Gazprom, au fost elaborate standarde pentru sistemul de securitate a informațiilor, care vor permite și rezolvarea sarcinilor de protecție a PD procesate în sistemele informaționale ale OAO Gazprom.

Șapte standarde legate de sistemul de securitate a informațiilor au fost aprobate și intră în vigoare în acest an.

Standardele definesc principalele cerințe pentru construirea sistemelor de securitate a informațiilor pentru OAO Gazprom și filialele sale.

Rezultatele muncii depuse vor face posibilă utilizarea mai rațională a resurselor materiale, financiare și intelectuale, formarea suportului normativ și metodologic necesar, introducerea unor mijloace eficiente de protecție și, ca urmare, asigurarea securității datelor cu caracter personal prelucrate în informațiile Gazprom. sisteme.

În urma analizei securității informaționale a OAO Gazprom, au fost identificate următoarele deficiențe în asigurarea securității informațiilor:

organizația nu are un singur document care să reglementeze o politică cuprinzătoare de securitate;

având în vedere dimensiunea rețelei și numărul de utilizatori (mai mult de 100), trebuie remarcat faptul că administrarea sistemului, securitatea informațiilor și suport tehnic manipulat de o singură persoană;

nu există o clasificare a activelor informaționale în funcție de gradul de importanță;

rolurile și responsabilitățile în materie de securitate a informațiilor nu sunt incluse în fișele postului;

contractul de muncă încheiat cu salariatul nu conține o clauză privind responsabilitățile în materie de securitate a informațiilor atât ale celor care sunt angajați, cât și ale organizației în sine;

nu se efectuează pregătirea personalului în domeniul securității informațiilor;

în ceea ce privește protecția împotriva amenințărilor externe: nu există proceduri tipice de recuperare a datelor după accidente rezultate din amenințări externe și de mediu;

camera serverului nu este o cameră separată, statutul a două departamente este atribuit camerei (pe lângă administratorul de sistem, încă o persoană are acces la camera serverului);

nu se efectuează sondajele tehnice și examinarea fizică pentru dispozitivele neautorizate conectate la cabluri;

în ciuda faptului că intrarea se face prin permise electronice și toate informațiile sunt introduse într-o bază de date specială, analiza acesteia nu este efectuată;

în ceea ce privește protecția împotriva programelor malware: nu există o politică oficială de protecție împotriva riscurilor asociate cu primirea de fișiere atât din sau prin rețele externe, cât și conținute pe medii amovibile;

în ceea ce privește protecția împotriva programelor malware: nu există linii directoare pentru protejarea rețelei locale de coduri rău intenționate;

nu există control al traficului, există acces la servere de mail rețele externe;

toate copiile de rezervă sunt stocate în camera serverului;

sunt folosite parole nesigure, ușor de reținut;

primirea parolelor de către utilizatori nu este confirmată în niciun fel;

parolele în text clar sunt stocate de administrator;

parolele nu se schimbă;

nu există nicio ordin pentru raportarea evenimentelor de securitate a informațiilor.

Astfel, pe baza acestor neajunsuri, a fost elaborat un set de reglementări privind politica de securitate a informațiilor, printre care:

politica privind angajarea (concedierea) și atribuirea (privarea) angajaților cu autoritatea necesară pentru a accesa resursele sistemului;

politica privind activitatea utilizatorilor rețelei în timpul funcționării acesteia;

politica de protectie prin parola;

politica de protectie fizica;

politica de internet;

și măsuri administrative de securitate.

Documentele care conțin aceste reglementări sunt în curs de examinare de către conducerea organizației.

3 Elaborarea unui set de măsuri pentru modernizarea sistemului de securitate a informațiilor existent

În urma analizei sistemului de securitate a informațiilor al OAO Gazprom, au fost identificate vulnerabilități semnificative ale sistemului. Pentru a dezvolta măsuri pentru eliminarea deficiențelor identificate în sistemul de securitate, evidențiem următoarele grupuri de informații care fac obiectul protecției:

informații despre viața privată a angajaților, permițând identificarea identității acestora (date cu caracter personal);

informatii legate de activitati profesionale si care constituie secret bancar, de audit si comunicatii;

informații legate de activități profesionale și marcate ca informații „pentru uz oficial”;

informații, a căror distrugere sau modificare va afecta negativ eficiența lucrării, iar restaurarea va necesita costuri suplimentare.

În ceea ce privește măsurile administrative, au fost elaborate următoarele recomandări:

sistemul de securitate a informațiilor trebuie să respecte legislația Federației Ruse și standardele de stat;

clădirile și spațiile în care sunt instalate sau depozitate instalații de prelucrare a informațiilor, lucrările se desfășoară cu informații protejate, trebuie păzite și protejate prin semnalizare și control acces;

instruirea personalului cu privire la problemele de securitate a informațiilor (explicarea importanței protecției cu parolă și a cerințelor de parolă, informare despre software antivirus etc.) ar trebui organizată atunci când este angajat un angajat;

la fiecare 6-12 luni să desfășoare cursuri de formare care vizează îmbunătățirea alfabetizării angajaților în domeniul securității informațiilor;

un audit al sistemului și ajustarea reglementărilor elaborate ar trebui efectuate anual, la 1 octombrie sau imediat după introducerea unor schimbări majore în structura întreprinderii;

drepturile de acces ale fiecărui utilizator la resursele informaționale trebuie documentate (dacă este necesar, accesul se solicită șefului într-o declarație scrisă);

politica de securitate a informatiei trebuie asigurata de administratorul software si administratorul hardware, actiunile acestora sunt coordonate de seful grupului.

Să formulăm o politică de parole:

nu le stocați în formă necriptată (nu le notați pe hârtie, într-un mod normal fisier textși așa mai departe.);

schimba parola în cazul dezvăluirii sau suspiciunii de dezvăluire a acesteia;

lungimea trebuie să fie de cel puțin 8 caractere;

caracterele parolei trebuie să conțină litere mari și mici, cifre și caractere speciale, parola nu trebuie să includă secvențe de caractere ușor de calculat (nume, nume de animale, date);

schimbare o dată la 6 luni (o schimbare neprogramată a parolei trebuie făcută imediat după primirea notificării incidentului care a inițiat schimbarea);

la schimbarea parolei, nu le puteți selecta pe cele care au fost folosite anterior (parolele trebuie să difere cu cel puțin 6 poziții).

Să formulăm o politică privind programele antivirus și detectarea virușilor:

software-ul antivirus licențiat trebuie să fie instalat pe fiecare stație de lucru;

Actualizați baze de date antivirus la stațiile de lucru cu acces la Internet - o dată pe zi, fără acces la Internet - cel puțin o dată pe săptămână;

configurați o scanare automată a stațiilor de lucru pentru viruși (frecvența scanărilor - o dată pe săptămână: vineri, ora 12:00);

numai administratorul poate opri actualizarea bazelor de date antivirus sau scanarea pentru viruși (protecția prin parolă trebuie setată pentru acțiunea utilizatorului specificată).

Să formulăm o politică privind protecția fizică:

sondarea tehnică și examinarea fizică pentru dispozitivele neautorizate conectate la cabluri, se efectuează la 1-2 luni;

cablurile de rețea trebuie protejate împotriva interceptării neautorizate a datelor;

înregistrările tuturor defecțiunilor suspectate și reale care au avut loc cu echipamentul trebuie păstrate într-un jurnal

Fiecare stație de lucru trebuie să fie echipată cu o sursă de alimentare neîntreruptibilă.

Să definim o politică privind rezervarea informațiilor:

pentru copii de rezervă, trebuie alocată o cameră separată, situată în afara clădirii administrative (camera trebuie echipată încuietoare electronică si alarme)

rezervarea informațiilor trebuie făcută în fiecare vineri la ora 16:00.

Politica privind angajarea/concedierea salariatilor trebuie sa aiba urmatoarea forma:

orice modificare de personal (angajare, promovare, concediere a unui angajat etc.) trebuie raportata administratorului in termen de 24 de ore, care, la randul sau, trebuie sa efectueze modificarile corespunzatoare sistemului de delimitare a drepturilor de acces la resursele intreprinderii intr-o perioada de jumatate. o zi lucratoare;

noul angajat trebuie să fie instruit de administrator, inclusiv familiarizarea cu politica de securitate și tot instructiunile necesare, nivelul de acces la informații pentru un nou angajat este atribuit de manager;

atunci când un angajat părăsește sistemul, ID-ul și parola lui sunt eliminate din sistem, stația de lucru este verificată pentru viruși și este analizată integritatea datelor la care a avut acces angajatul.

Politica privind lucrul cu rețeaua internă locală (LAN) și bazele de date (DB):

atunci când lucrează la postul său de lucru și în LAN, angajatul trebuie să îndeplinească numai sarcini care sunt direct legate de activitățile sale oficiale;

angajatul trebuie să informeze administratorul despre mesajele din programele antivirus despre apariția virușilor;

nimeni, cu excepția administratorilor, nu are voie să facă modificări în designul sau configurația stațiilor de lucru și a altor noduri LAN, să instaleze orice software, să lase necontrolat stație de lucru sau permite accesul persoanelor neautorizate la el;

administratorii sunt sfătuiți să mențină în funcțiune în permanență două programe: utilitarul de detectare a atacurilor ARP-spoofing și sniffer-ul, a cărui utilizare vă va permite să vedeți rețeaua prin ochii unui potențial intrus și să identificați încălcatorii politicilor de securitate;

ar trebui să instalați software care împiedică lansarea altor programe decât cele atribuite de administrator, pe baza principiului: „Orice persoană are privilegiile necesare pentru a îndeplini anumite sarcini”. Toate porturile de computer neutilizate trebuie să fie hardware sau software dezactivate;

Software-ul trebuie actualizat regulat.

Politica de internet:

administratorilor li se atribuie dreptul de a restricționa accesul la resurse, al căror conținut nu este legat de îndeplinirea atribuțiilor oficiale, precum și de resurse, al căror conținut și orientare sunt interzise de legislația internațională și rusă;

angajatului îi este interzis să descarce și să deschidă fișiere fără a verifica mai întâi virușii;

toate informațiile despre resursele vizitate de angajații companiei trebuie păstrate într-un jurnal și, dacă este necesar, pot fi furnizate șefilor de departament, precum și conducerii

confidenţialitatea şi integritatea corespondenţei electronice şi documente de birou furnizate prin utilizarea EDS.

În plus, vom formula cerințele de bază pentru compilarea parolelor pentru angajații OAO Gazprom.

O parolă este ca cheile unei case, doar că este cheia informației. Pentru cheile obișnuite, este extrem de nedorit să fie pierdute, furate sau transferate în mâinile unui străin. Același lucru este valabil și pentru parola. Desigur, siguranța informațiilor depinde nu numai de parolă, dar pentru a o asigura, trebuie să setați o serie de setări speciale și, poate, chiar să scrieți un program care să protejeze împotriva hackingului. Dar alegerea unei parole este exact acțiunea în care depinde doar de utilizator cât de puternică va fi această legătură în lanțul de măsuri care vizează protejarea informațiilor.

) parola trebuie să fie lungă (8-12-15 caractere);

) nu trebuie să fie un cuvânt dintr-un dicționar (orice, chiar și un dicționar de termeni speciali și argo), un nume propriu sau un cuvânt chirilic tastat în format latin (latină - kfnsym);

) nu poate fi asociat cu proprietarul;

) se modifică periodic sau la nevoie;

) nu este utilizat în această calitate pe diverse resurse (adică pentru fiecare resursă - pentru a intra Cutie poștală, sistem de operare sau bază de date - trebuie să utilizați propria dvs. parolă, diferită de ceilalți);

) poate fi amintit.

Selectarea cuvintelor dintr-un dicționar nu este de dorit, deoarece un atacator, care efectuează un atac de dicționar, va folosi programe care pot sorta până la sute de mii de cuvinte pe secundă.

Orice informații asociate cu proprietarul (fie că este data nașterii, numele câinelui, numele de fată a mamei și „parole”) pot fi ușor recunoscute și ghicite.

Utilizarea literelor mari și mici, precum și a numerelor, face mult mai dificilă pentru un atacator să ghicească o parolă.

Parola ar trebui să fie păstrată secretă, iar dacă bănuiți că parola a devenit cunoscută de cineva, schimbați-o. De asemenea, este foarte util să le schimbi din când în când.

Concluzie

Studiul a permis tragerea următoarelor concluzii și formularea de recomandări.

S-a stabilit că principalul motiv al problemelor întreprinderii în domeniul securității informației este lipsa unei politici de securitate a informațiilor care să includă soluții organizatorice, tehnice, financiare cu monitorizarea ulterioară a implementării acestora și evaluarea eficacității acestora.

Definiția politicii de securitate a informațiilor este formulată ca un set de decizii documentate, al căror scop este asigurarea protecției informațiilor și a riscurilor informaționale asociate acesteia.

Analiza sistemului de securitate a informațiilor a relevat deficiențe semnificative, printre care:

stocarea backup-urilor în camera serverului, serverul de backup este situat în aceeași cameră cu serverele principale;

lipsa unor reguli adecvate privind protecția cu parolă (lungimea parolei, reguli de alegere și stocare);

Rețeaua este administrată de o singură persoană.

Generalizarea practicii internaționale și rusești în domeniul managementului securității informaționale a întreprinderilor a condus la concluzia că pentru asigurarea acesteia este necesar:

prognozarea și identificarea în timp util a amenințărilor, cauzelor și condițiilor de securitate care contribuie la provocarea de prejudicii financiare, materiale și morale;

crearea condiţiilor pentru activităţi cu cel mai mic risc de implementare a ameninţărilor de securitate la adresa resurselor informaţionale şi diferite feluri deteriora;

crearea unui mecanism și a condițiilor de răspuns eficient la amenințările la securitatea informațiilor pe baza mijloacelor legale, organizaționale și tehnice.

În primul capitol al lucrării sunt luate în considerare principalele aspecte teoretice. Este oferită o privire de ansamblu asupra mai multor standarde în domeniul securității informațiilor. Se trag concluzii pentru fiecare și în general și se alege cel mai potrivit standard pentru formarea unei politici de securitate a informațiilor.

Al doilea capitol are în vedere structura organizației, analizează principalele probleme asociate securității informațiilor. Ca urmare, s-au format recomandări pentru a asigura nivelul adecvat de securitate a informațiilor. De asemenea, au fost luate în considerare măsuri pentru a preveni alte incidente legate de încălcările securității informațiilor.

Desigur, asigurarea securității informațiilor unei organizații este un proces continuu care necesită o monitorizare constantă. Iar o politică formată în mod natural nu este un garant de fier al protecției. Pe lângă implementarea politicii, este necesară monitorizarea constantă a implementării calității acesteia, precum și îmbunătățirea în cazul oricăror schimbări în companie sau precedente. S-a recomandat organizației să angajeze un angajat ale cărui activități vor fi direct legate de aceste funcții (administrator de protecție).

Bibliografie

prejudiciu financiar pentru securitatea informatiei

1. Belov E.B. Fundamentele securității informațiilor. E.B. Belov, V.P. Elk, R.V. Meshcheryakov, A.A. Shelupanov. -M.: Linia fierbinte- Telecom, 2006. - 544s

Galatenko V.A. Standarde de securitate a informațiilor: un curs de prelegeri. Educational

indemnizatie. - editia a 2-a. M.: INTUIT.RU „Internet University of Information Technologies”, 2009. - 264 p.

Glatenko V.A. Standarde de securitate a informațiilor / Sisteme deschise 2006.- 264c

Doljenko A.I. Managementul sistemelor informatice: Curs de formare. - Rostov-pe-Don: RGEU, 2008.-125 p.

Kalașnikov A. Formarea politicii corporative de securitate internă a informațiilor #"justifica">. Malyuk A.A. Securitatea informației: fundamente conceptuale și metodologice ale securității informațiilor / M.2009-280s

Maywald E., Securitatea rețelei. Tutorial // Ekom, 2009.-528 p.

Semkin S.N., Belyakov E.V., Grebenev S.V., Kozachok V.I., Fundamentele suportului organizațional al securității informaționale a obiectelor de informatizare // Helios ARV, 2008, 192 p.

Recomandările metodologice sunt destinate studenților tuturor formelor de învățământ de specialitate 10.02.01 (090905) și reprezintă un set de cerințe pentru organizarea, implementarea și apărarea lucrărilor de calificare finală (WQR).

• standard educațional de stat federal pentru formarea de bază și avansată în specialitate 10.02.01 (090905) Organizarea și tehnologia securității informațiilor,
• Legea federală din 29 decembrie 2012 nr. 273-FZ „Cu privire la educația în Federația Rusă”,
• procedura de efectuare a certificării finale de stat pentru programele de învățământ de liceu învăţământul profesional, aprobat prin ordinul Ministerului Educației și Științei al Federației Ruse din 16 august 2013 nr. 968 (denumită în continuare Procedura de desfășurare a GIA),
• prevederile GBPOU „Colegiul Tehnologic Nr. 34” „Cu privire la procedura de efectuare a certificării finale de stat pentru programele educaționale din învățământul secundar profesional”,
• sisteme de management al calitatii.

1. DISPOZIȚII GENERALE

Certificarea finală de stat a unui absolvent al GBPOU din Moscova „Colegiul Tehnologic Nr. 34” în specialități 10.02.01(090905) Organizarea și tehnologia securității informațiilorinclude pregătirea și apărarea lucrării finale de calificare.

Control de calitate Absolvenții sunt instruiți în două domenii principale:

• evaluarea nivelului de dezvoltare disciplinele academice, MDK și PM;
• evaluarea nivelului de stăpânire a competenţelor.

Domeniul de activitate profesionalăabsolvenți. Specialist în securitatea informațiilor 10.02.01(090905) efectuează lucrări legate de protecţie cuprinzătoare informații bazate pe programele și metodele dezvoltate. Colectează și analizează materiale de la instituții, organizații și întreprinderi ale industriei în vederea elaborării și luării deciziilor și măsurilor care să asigure protecția informațiilor și utilizarea eficientă a instrumentelor de control automat, detectarea posibilelor canale de scurgere de informații reprezentative de stat, militare, oficiale. si secrete comerciale. Analize metode existenteși mijloacele utilizate pentru controlul și protejarea informațiilor și elaborarea de propuneri pentru îmbunătățirea acestora și creșterea eficacității acestei protecții. Participă la examinarea obiectelor de protecție, certificarea și clasificarea acestora. Elaborează și pregătește pentru aprobare proiecte de materiale normative și metodologice care reglementează activitatea de protecție a informațiilor, precum și reglementări, instrucțiuni și alte documente organizatorice și administrative. Organizează elaborarea și depunerea la timp a propunerilor pentru includerea în secțiunile relevante ale planurilor de lucru pe termen lung și actuale și a programelor de măsuri pentru controlul și protejarea informațiilor. Oferă feedback și opinii cu privire la proiectele pentru clădiri și structuri nou construite și reconstruite și alte dezvoltări pe probleme de securitate a informațiilor. Participă la revizuirea specificațiilor tehnice pentru proiecte de proiectare, proiectare, tehnice și de lucru, asigură conformitatea acestora cu documentele normative și metodologice în vigoare, precum și la elaborarea altora noi scheme de circuite echipamente de control, instrumente de automatizare a controlului, modele și sisteme de securitate a informațiilor, evaluarea nivelului tehnic și economic și a eficacității soluțiilor organizatorice și tehnice propuse și implementate: organizarea colectării și analizei materialelor în vederea dezvoltării și luării de măsuri pentru asigurarea protecția datelor și identificarea posibilelor canale de scurgere de informații, reprezentând secrete oficiale, comerciale, militare și de stat.

Obiecte de activitate profesionalăabsolventii sunt:

• participarea la planificarea și organizarea lucrărilor pentru a asigura protecția instalației;
• organizarea muncii cu documentație, inclusiv confidențială;
• aplicare de software, hardware și mijloace tehnice de protecție a informațiilor;
• participarea la implementarea unui sistem integrat de protecție a instalației;
• participarea la colectarea și prelucrarea materialelor pentru a dezvolta soluții care să asigure protecția informațiilor și utilizarea eficientă a mijloacelor de detectare a posibilelor canale de scurgere de informații confidențiale;
• participarea la dezvoltarea programelor și metodelor de organizare a securității informațiilor la unitatea;
• monitorizarea conformării de către personal cu cerințele regimului de protecție a informațiilor;
• participarea la pregătirea documentelor organizatorice și administrative care reglementează activitatea de protecție a informațiilor;
• organizarea circulației documentelor, inclusiv electronice, ținând cont de confidențialitatea informațiilor.

Munca finală de calificareSpecialistul în securitatea informațiilor își propune sistematizarea și aprofundarea cunoștințelor, îmbunătățirea abilităților și abilităților absolventului în rezolvarea problemelor științifice și tehnice complexe complexe cu elemente cercetare științifică, precum și să arate gradul de pregătire profesională a absolventului, respectarea acestuia cu acest standard educațional. WRC-urile pentru calificarea „specialist în securitatea informațiilor” se desfășoară sub forma unei teze sau a unui proiect de absolvire. Subiectul WRC pentru forma de bază de educație presupune conformitatea cu conținutul unuia sau mai multor module profesionale.

Ciclul profesional al specialității10.02.01(090905) Organizarea și tehnologia securității informațiilorinclude 4 module profesionale:

1. Participarea la planificarea și organizarea lucrărilor pentru a asigura protecția instalației.
2. Organizarea și tehnologia muncii cu documente confidențiale.
3. Aplicarea hardware-software și a mijloacelor tehnice de protecție a informațiilor.
4. Efectuarea muncii în una sau mai multe profesii ale lucrătorilor, funcții ale salariaților.

Lucrarea finală de calificare trebuie să îndeplinească o serie de cerințe obligatorii:

• să demonstreze nivelul de formare a competențelor generale și profesionale;
• să fie relevant și orientat spre practică;
• corespund sarcinii dezvoltate;
• include o analiză a surselor pe tema cu generalizări și concluzii, comparații și evaluarea diferitelor puncte de vedere;
• să demonstreze nivelul de pregătire al absolventului pentru unul/mai multe tip(e) de activitate profesională;
• consecvența prezentării, persuasivitatea materialului factual prezentat;
• argumentarea concluziilor și generalizărilor.

În lucrarea finală de calificare, studentul trebuie să demonstreze dezvoltarea competențelor generale și profesionale, inclusiv capacitatea de a:

OK 1. Înțelege esența și semnificația socială a viitoarei tale profesii, fii foarte motivat să desfășoare activități profesionale în domeniul securității informațiilor.

OK 2. Să-și organizeze propriile activități, să aleagă metode și metode standard pentru îndeplinirea sarcinilor profesionale, să le evalueze eficacitatea și calitatea.

OK 3. Luați decizii în situații standard și non-standard și fiți responsabil pentru acestea.

OK 4. Căutați și utilizați informațiile necesare pentru implementarea eficientă a sarcinilor profesionale, dezvoltarea profesională și personală.

OK 5.

OK 6. Lucrați în echipă și echipă, comunicați eficient cu colegii, managementul, consumatorii.

OK 7. Asumați-vă responsabilitatea pentru munca membrilor echipei (subordonați), rezultat al îndeplinirii sarcinilor.

OK 8. Determinați în mod independent sarcinile de dezvoltare profesională și personală, angajați-vă în auto-educare, planificați în mod conștient pregătirea avansată.

OK 9. Navigați în condiții de schimbare frecventă a tehnologiilor în activitatea profesională.

OK 10.

OK 11. Aplicați aparate matematice pentru a rezolva probleme profesionale.

OK 12. Evaluează semnificația documentelor utilizate în activitățile profesionale.

OK 13. Navigați în structura autorităților executive federale care asigură securitatea informațiilor.

PM 01 Participarea la planificarea și organizarea lucrărilor pentru a asigura protecția instalației.

PC 1.1. Participă la colectarea și prelucrarea materialelor pentru a dezvolta soluții care să asigure protecția informațiilor și utilizarea eficientă a mijloacelor de detectare a posibilelor canale de scurgere a informațiilor confidențiale.

PC 1.2. Participa la elaborarea programelor și metodelor de organizare a securității informațiilor în cadrul unității.

PC 1.3. Planifică și organizează implementarea măsurilor de protecție a informațiilor.

PC 1.4. Participa la implementarea solutiilor organizatorice dezvoltate la obiectele activitatii profesionale.

PC 1.5. Păstrarea evidențelor, prelucrarea, stocarea, transferul, utilizarea diferitelor medii de informații confidențiale.

PC 1.6. Asigurați măsuri de siguranță atunci când luați măsuri organizatorice și tehnice.

PC 1.7. Participa la organizarea si efectuarea inspectiilor obiectelor de informatizare care trebuie protejate.

PC 1.8. Monitorizarea conformității personalului cu cerințele regimului de securitate a informațiilor.

PC 1.9. Participa la evaluarea calitatii protectiei obiectelor.

PM 02 Organizarea și tehnologia muncii cu documente confidențiale.

PC 2.1. Participa la intocmirea documentelor organizatorice si administrative care reglementeaza activitatea de protectie a informatiilor.

PC 2.2. Participă la organizare și asigură tehnologia de desfășurare a muncii de birou, ținând cont de confidențialitatea informațiilor.

PC 2.3. Organizați fluxul documentelor, inclusiv electronice, ținând cont de confidențialitatea informațiilor.

PC 2.4. Organizați arhivarea documentelor confidențiale.

PC 2.5. Întocmește documentația privind managementul operațional al instrumentelor și personalului de securitate a informațiilor.

PC 2.6. Păstrați evidența lucrărilor și a obiectelor care trebuie protejate.

PC 2.7. Întocmește documentația de raportare referitoare la funcționarea instrumentelor de control și protecție a informațiilor.

PC 2.8. Documentați progresul și rezultatele investigației interne.

PC 2.9. Folosiți acte juridice de reglementare, documente de reglementare și metodologice privind protecția informațiilor.

PM 03 Aplicarea de software, hardware și mijloace tehnice de protecție a informațiilor.

PC 3.1. Aplicați software, hardware și mijloace tehnice de protecție a informațiilor la obiectele protejate.

PC 3.2. Participa la operarea sistemelor si mijloacelor de protectie a informatiilor obiectelor protejate.

PC 3.3. Efectuați întreținerea de rutină și remediați defecțiunile echipamentului de protecție.

PC 3.4. Identificați și analizați posibilele amenințări la adresa securității informațiilor obiectelor.

PM 04 Efectuarea muncii în una sau mai multe profesii ale lucrătorilor, funcții ale salariaților.

21299 Grefier

OK 1.
OK 2.
OK 3.
OK 4.
OK 5.	Utilizarea tehnologiilor informației și comunicării în activități profesionale.
OK 6.
OK 7.	Îndeplinește serviciul militar, inclusiv cu aplicarea cunoștințelor profesionale dobândite (pentru bărbați tineri).
PC 4.1	Primiți și înregistrați corespondența primită, trimiteți-o diviziilor structurale ale organizației.
PC 4.2	Luați în considerare documentele și trimiteți-le spre execuție, ținând cont de rezoluția șefilor organizației.
PC 4.3	Emiteți carduri de înregistrare și creați o bancă de date.
PC 4.4	Păstrați o evidență de dosar a trecerii materialelor documentare.
PC 4.5	Monitorizați fluxul documentelor.
PC 4.6.	Trimiteți documentația completată destinatarilor folosind specii moderne tehnologie organizațională.
PC 4.7.	Alcătuiește și execută documente oficiale, materiale folosind forme de documente de tipuri specifice.
PC 4.8	Forme cazuri.
PC 4.9	Furnizați cautare rapida documente privind aparatul științific de referință (cabinete de dosare) al organizației
PC 4.10	Asigurați siguranța transmiterii documentației de serviciu.

16199 „Operator de calculatoare și calculatoare electronice”

OK 1.	Înțelegeți esența și semnificația socială a viitoarei dvs. profesii, manifestați un interes constant pentru ea.
OK 2.	Organizează-ți propriile activități, pe baza scopului și modalităților de a-l atinge, determinate de lider.
OK 3.	Analizează situația de lucru, efectuează controlul curent și final, evaluează și corectează propriile activități, răspund de rezultatele muncii lor.
OK 4.	Căutați informații necesare pentru îndeplinirea eficientă a sarcinilor profesionale.
OK 5.	Utilizarea tehnologiilor informației și comunicării în activități profesionale.
OK 6.	Lucrați în echipă, comunicați eficient cu colegii, managementul, clienții.
OK 7.	Îndeplinește serviciul militar, inclusiv cu aplicarea cunoștințelor profesionale dobândite (pentru bărbați tineri).
PC 4.1	Pregătiți-vă de lucru și configurați Hardware, periferice, sistem de operare calculator personalși echipamente multimedia.
PC 4.2	Efectuați digital și informații analogiceîntr-un computer personal din diverse medii.
PC 4.3	Conversia fișierelor cu informații digitale în diferite formate.
PC 4.4	Procesați conținut audio și vizual folosind editori de sunet, grafic și video.
PC 4.5	Creați și redați videoclipuri, prezentări. prezentări de diapozitive, fișiere media și alte produse finale din componentele audio, vizuale și multimedia originale prin intermediul unui computer personal și echipamente multimedia.
PC 4.6	Formează biblioteci media pentru stocarea structurată și catalogarea informațiilor digitale.
PC 4.7	Gestionați plasarea informațiilor digitale pe discurile unui computer personal, precum și stocările pe disc ale unei rețele de calculatoare locale și globale.
PC 4.8	Replica conținut multimedia pe diverse suporturi amovibile informație.
PC 4.9	Publicați conținut multimedia pe Internet.

1. Efectuarea LUCRĂRII FINALE DE CALIFICARE

Lucrare finală de calificare (WQR) - lucrarea finală de natură educațională și de cercetare în cursul învățământului universitar.Pregătirea lucrării finale de calificareeste etapa finală a educației elevului și în același timp un test al capacității acestuia de a rezolva în mod independent problemele educaționale. Muncă independentă studentul pe tema aleasă începe la practica de licență. În același timp, are loc o aprofundare suplimentară a cunoștințelor sale teoretice, sistematizarea acestora, dezvoltarea abilităților aplicate și a aptitudinilor practice și o creștere a erudiției generale și profesionale.

WRC (teza) are unele asemănări cu termen de hârtie, de exemplu, lucrul cu surse teoretice sau proiectarea acestora. Cu toate acestea, WRC (teza) este un studiu teoretic și (sau) experimental al unuia dintre probleme reale securitatea informatiei in specialitatea unui absolvent. Studiul poate include dezvoltarea diferitelor metode, metode, software și hardware, modele, sisteme, tehnici etc., care servesc la atingerea scopurilor tezei. Rezultatele lucrării de teză sunt întocmite sub forma textului unei note explicative cu aplicarea de grafice, tabele, desene, hărți, diagrame etc.

Atunci când se desfășoară WRC, ar trebui să fie utilizate informații despre cele mai recente realizări interne și externe ale științei și tehnologiei în domeniul securității informațiilor. Perioada de pregătire și susținere a WRC (tezei) este precedată de practica pre-diplomă. Condițiile de practică universitară, precum și condițiile de pregătire și apărare ale WQR, sunt determinate de graficul de organizare a procesului de învățământ, aprobat prin ordinul colegiului înainte de începerea anului universitar în curs. WRC ar trebui să fie efectuat de absolvent folosind materialele colectate de acesta personal în perioada de practică de licență, precum și în timpul redactării lucrării de termen.

Subiectul lucrărilor finale de calificare este stabilit în timpul derulării Programului GIA. Atunci când se stabilește tema WRC, ar trebui să se țină cont de faptul că conținutul acesteia se poate baza pe:

• privind generalizarea rezultatelor lucrărilor de curs efectuate anterior de către studenți;
• privind utilizarea rezultatelor sarcinilor practice îndeplinite anterior.

Se realizează repartizarea subiectelor lucrărilor finale de calificare pentru studențicel târziu la 1 noiembrieultimul an de studii. În același timp, există o distribuție a studenților pe supervizori. Supervizorul ajută studentul în dezvoltarea domeniilor de cercetare, determinarea gamei de întrebări teoretice pentru studiu și dezvoltarea părții practice a studiului. La fiecare lider nu pot fi atașați mai mult de 8 studenți.

1. STRUCTURA LUCRĂRII DE CALIFICARE FINALĂ

Structura părții teoretice a tezei de calificare: introducere, secțiune teoretică, secțiune practică, concluzie, listă de referințe, aplicații.

Volumul proiectului de absolvire este de 40-50 de pagini de text tipărit și include:

1. Pagina de titlu (Anexa 1).
2. Conţinut. Conținutul WRC este creat automat sub formă de link-uri pentru confortul de a lucra cuo cantitate mare de material textual. Utilizarea cuprinsului electronic demonstrează și stăpânirea competenței generale a CG 5 (Utilizarea tehnologiilor informației și comunicațiilor în activități profesionale).
3. Introducere. Este necesar să se fundamenteze relevanța și semnificația practică a temei alese, să se formuleze scopul și obiectivele, obiectul și subiectul WRC și gama de probleme luate în considerare.

4. Partea principală a WRCinclude secțiuni în conformitate cu structura logică a prezentării. Titlul secțiunii nu trebuie să dubleze titlul subiectului, iar titlul paragrafelor nu trebuie să dubleze titlul secțiunilor.

Partea principală a WRC ar trebui să conțină două secțiuni.

• Secțiunea I este dedicat aspectelor teoretice ale obiectului și subiectului studiat. Conține o privire de ansamblu asupra surselor de informații utilizate, cadrul de reglementare pe tema WRC și poate găsi, de asemenea, un loc pentru datele statistice sub formă de tabele și grafice.

Secțiunea II este dedicat analizei materialelor practice obținute în timpul practicii de producție (licență). Această secțiune conține:

analiza materialului specific pe o temă aleasă;

• descrierea problemelor și tendințelor identificate în dezvoltarea obiectului și subiectului de studiu;
• descrierea modalităților de rezolvare a problemelor identificate folosind calcule, analiza datelor experimentale, produs al activității creative.

Tabelele analitice, calculele, formulele, diagramele, diagramele și graficele pot fi utilizate în timpul analizei.

5. Concluzie - ar trebui să conțină concluzii și recomandări cu privire la posibilitatea utilizării sau aplicație practică rezultatele cercetării. Nu trebuie să depășească 5 pagini de text.

6. Referințeemis în conformitate cu GOST.

7. Aplicații sunt situate la finalul lucrării și sunt întocmite în conformitate cu Cu

Introducere, fiecare capitol, concluzie, precum și lista surselor utilizate încep pe o pagină nouă.

Înmânează.Prezentarea este însoțită de o demonstrație a materialelor din anexe.

Pentru a face acest lucru, trebuie să pregătiți o prezentare electronică. Dar poate exista și o prezentare pe hârtie - fișe pentru comisie în dosare separate sau postere agățate înainte de spectacol.

În timpul discursului studentului, comisia face cunoștință cu teza, fișele emise de student și o prezentare video.

Versiunea electronică a lucrăriiatașat la WRC pe hârtie. Discul trebuie pus într-un plic și semnat.

2.2. ETAPE DE PREGĂTIRE A LUCRĂRII DE CALIFICARE FINALĂ

Etapa I: Implicarea în activități - implică:

• alegerea temei de cercetare;
• selectarea, studiul, analiza și generalizarea materialelor pe tema;
• elaborarea planului de lucru.

Etapa II: Determinarea nivelului de muncă – presupune un studiu teoretic al literaturii de specialitate și formularea problemei.

Etapa a III-a: Construirea logicii cercetării. Datele acestei etape sunt reflectate în introducere.

Introducerea poate fi comparată cu o adnotare la o carte: se discută fundamentele teoretice ale diplomei, structura acesteia, etapele și metodele de lucru. Prin urmare, introducerea trebuie scrisă cât mai competent și concis posibil (2-3 pagini). Introducerea ar trebui să pregătească cititorul pentru percepția textului principal al lucrării. Este format din elemente obligatorii care trebuie corect formulate.

1. Relevanța cercetării- o explicație a motivului pentru care subiectul tău este important, cine este solicitat. (Răspunde la întrebarea: de ce ar trebui studiat acest lucru?) În acest paragraf, este necesar să se dezvăluie esența problemei studiate. Acest punct de introducere este logic să începem cu definirea fenomenului economic, care vizează activitățile de cercetare. Aici puteți enumera și sursele de informații utilizate pentru studiu. ( Baza de informatii cercetarea poate fi plasată în primul capitol). Cu toate acestea, trebuie să înțelegeți că există unele dificultăți obiective care sunt rezolvate doar prin scrierea diplomei. Aceste dificultăți, adică dezavantajele care există din exterior, se reflectă problema cu diploma.
2. Problema de cercetare(răspunde la întrebarea: ce ar trebui studiat?) Problema cercetării arată o complicație, o problemă nerezolvată sau factori care interferează cu rezolvarea acesteia. Definit de 1 - 2 termeni. (Exempluprobleme de cercetare: „... contradicţia dintre nevoia organizaţiei de protecţie fiabilă informații și organizarea efectivă a muncii pentru a asigura protecția informațiilor în organizație”).

3. Scopul studiului- asta ar trebui sa obtii pana la urma, adica rezultatul final al diplomei. (Scopul implică răspunsul la întrebarea: care va fi rezultatul?) Scopul ar trebui să fie rezolvarea problemei studiate prin analiza acesteia și implementare practică. Ținta este întotdeauna îndreptată către obiect. De exemplu:

• Dezvoltați un proiect (recomandări)...
• Identificați condițiile, relația...
• Determinați dependența unui lucru de ceva...

4. Obiectul de studiu(ce va fi investigat?). Implică lucrul cu concepte. Acest paragraf definește fenomenul economic către care se îndreaptă activitatea de cercetare. Un obiect poate fi o persoană, mediu, proces, structură, activitate economică a unei întreprinderi (organizație).

1. Subiect de studiu(cum și prin ce va merge căutarea?) Aici este necesar să se definească proprietățile specifice ale obiectului planificat pentru cercetare sau modalități de studiere a fenomenului economic. Subiectul studiului vizează practica și se reflectă prin rezultatele practicii.

6. Obiectivele cercetării- aceștia sunt pași pentru atingerea scopurilor (arătați cum să ajungeți la rezultat?), Modalități de atingere a scopului. Ele sunt în concordanță cu ipoteza. Determinată pe baza obiectivelor lucrării. Formularea sarcinilor trebuie făcută cât mai atent posibil, deoarece descrierea soluției lor ar trebui să formeze conținutul subsecțiunilor și paragrafelor lucrării. De regulă, sunt formulate 3-4 sarcini.

Fiecare sarcină trebuie să înceapă cu un verb nedefinit. Sarcinile sunt descrise printr-un sistem de acțiuni secvențiale, De exemplu:

• a analiza...;
• explora...;

• cercetare...;
• dezvălui...;
• defini...;
• dezvolta...

De regulă, în WRC (teză) se disting 5-7 sarcini.

Fiecare sarcină ar trebui să fie reflectată într-una dintre subsecțiunile părții teoretice sau practice. Sarcinile ar trebui să fie reflectate în cuprinsul. Dacă sarcina este menționată în introducere, dar nu este vizibilă în cuprins și în textul diplomei, aceasta este o greșeală gravă.

Lista sarcinilor necesare:

1. „Pe baza unei analize teoretice a literaturii de specialitate pentru a dezvolta...” (concepte cheie, concepte de bază).
2. „Determină...” (evidențiază principalele condiții, factori, cauze care afectează obiectul de studiu).
3. „Dezvăluie...” (evidențiază principalele condiții, factori, cauze care afectează subiectul cercetării).
4. „Dezvoltați...” (mijloace, condiții, forme, programe).
5. „Pentru a testa (ceea ce a fost dezvoltat) și a face recomandări...

8. Semnificația teoretică și practică a studiului:
„Rezultatele studiului vor face posibilă implementarea...; va contribui

dezvoltare...; se va îmbunătăți... Prezența direcțiilor formulate pentru implementarea constatărilor și propunerilor conferă lucrării o mare semnificație practică. Nu este obligatoriu.

9. Metode de cercetare:se oferă o listă scurtă.Metodologia de cercetare- acestea sunt metodele folosite de elev în procesul de redactare a diplomei. La metode activitati de cercetare includ: metode teoretice (metoda de analiză, sinteză, comparație) și metode empirice (observare, metodă de anchetă, experiment).

1. Baza de cercetare- acesta este numele întreprinderii, organizație pe baza căreia a fost efectuat studiul. Cel mai adesea, baza studiului este locul practicii de licență a studentului.

Fraza finală a introducerii este o descriere a structurii și numărului de pagini din WRC: „Structura lucrării corespunde logicii studiului și include o introducere, o parte teoretică, o parte practică, o concluzie, o lista de referințe, aplicații.” Aici este permis să oferim o structură mai detaliată a WRC și să subliniem pe scurt conținutul secțiunilor.

Astfel, introducerea ar trebui să pregătească cititorul pentru percepția textului principal al lucrării.

Etapa IV: lucrează în partea principală a WRC.

Partea principală a WRC ar trebui să conțină secțiuni, subsecțiuni și paragrafe care să stabilească aspectele teoretice și practice ale temei pe baza unei analize a literaturii publicate, să ia în considerare probleme discutabile, să formuleze poziția, punctul de vedere al autorului; sunt descrise observațiile și experimentele efectuate de student, metodologia cercetării, calculele, analiza datelor experimentale, precum și rezultatele obținute. La împărțirea textului în subsecțiuni și paragrafe, este necesar ca fiecare paragraf să conțină informații complete.

Partea teoretică presupune analiza obiectului de studiu și trebuie să conțină concepte cheie, istoria problemei, nivelul de dezvoltare a problemei în teorie și practică. Pentru a scrie în mod competent o parte teoretică, este necesar să se elaboreze un număr suficient de mare de surse științifice, științifice, metodologice și de altă natură pe această temă.diplomă. De regulă - nu mai puțin de 10.

Secțiunea 1 ar trebui să fie dedicată descrierii obiectului cercetării, Secțiunea 2 - descrierea subiectului cercetării, constituie partea principală a WRC și ar trebui să fie interconectată logic.

Partea principală a WRC ar trebui să conțină tabele, diagrame, grafice cu link-uri relevante și comentarii. Secțiunile ar trebui să aibă titluri care să reflecte conținutul lor. Titlurile secțiunilor nu trebuie să repete titlul lucrării. Să luăm în considerare mai detaliat conținutul fiecăreia dintre secțiunile WRC.

Sectiunea 1 are caracter teoretic, educativ și este dedicat descrierii principalelor prevederi teoretice, metode, metode, abordări și hardware și software utilizate pentru rezolvarea sarcinii sau sarcinilor similare celei. Această secțiune include doar ceea ce este necesar ca bază teoretică inițială pentru înțelegerea esenței cercetării și dezvoltării descrise în secțiunile următoare. Se conturează aspecte teoretice: metode, metode, algoritmi de rezolvare a problemei, se analizează fluxurile de informații etc. Ultima dintre secțiunile principale conține de obicei o descriere a rezultatelor experimentării cu metodele, metodele, hardware și software și sisteme propuse (dezvoltate), precum și o analiză comparativă a rezultatelor obținute. Ar trebui dedicată discuției despre rezultatele obținute în WRC și ilustrațiile acestora Atentie speciala. Evidențiind conținutul publicațiilor altor autori, este necesar Neapărat oferiți link-uri către acestea cu indicarea numerelor de pagină ale acestor surse de informații. În prima secțiune, se recomandă analizarea stării actuale a problemei și identificarea tendințelor de dezvoltare a procesului studiat. Pentru aceasta se folosesc documentele de reglementare actuale, statisticile oficiale, recenziile analitice și articolele de jurnal. Consecinţăanaliza reglementărilor ar trebui să fie concluzii despre impactul acestora asupra problemei studiate și recomandări pentru îmbunătățirea lor. La pregătirea materialului statistic în textul lucrării în obligatoriu comandă, se fac referiri la sursa de date.

În prima secțiune, este recomandabil să acordați atenție istoriei (etapelor) desfășurării procesului studiat și analizei experienței străine a organizării acestuia. Rezultatul analizei practicii străine ar trebui să fie o comparație a procesului studiat cu practica națională și recomandări privind posibilitățile de aplicare a acestuia în Rusia.

În această secțiune, ar trebui efectuată și o analiză comparativă a abordărilor și metodelor existente pentru rezolvarea problemei. Este necesar să se justifice alegerea unei metode de rezolvare a problemei studiate și să o precizeze în detaliu. De asemenea, puteți oferi propria metodă.

În procesul de elaborare a surselor teoretice, este necesară evidențierea și marcarea textului care este semnificativ pentru această secțiune a diplomei. Aceste fragmente de text pot fi plasate în teză ca citat, ca ilustrație pentru analiza, comparația dumneavoastră. În partea teoretică a WRC, este imposibil să plasezi în întregime secțiuni și capitole din manuale, cărți, articole.

Orice lucrare trebuie să conțină aspecte teoretice, metodologice și practice ale problemei studiate.

Sectiunea 2 trebuie să fie pur practic. Este necesar să se descrie cantitativ un obiect de studiu specific, să se prezinte rezultatele calculelor practice și direcțiile de utilizare a acestora și, de asemenea, să se formuleze direcții pentru îmbunătățirea organizării și tehnologiei de protecție a informațiilor. Pentru redactarea celei de-a doua secțiuni, de regulă, se folosesc materiale culese de student în timpul practicii industriale. Această secțiune a WRC conține o descriere a rezultatelor practice ale studiului. Poate descrie experimentul și metodele folosite pentru a-l desfășura, rezultatele obținute, posibilitatea utilizării în practică a rezultatelor studiului.

Structura aproximativă a părții practice a WRC

În titlul părții practice, de regulă, problema cercetării este formulată folosind exemplul unei anumite organizații.

1. Scopul studiului- dat în prima propoziție.

Caracteristicile tehnice și economice ale întreprinderii,pe baza căruia se efectuează studiul (statutul întreprinderii, caracteristicile morfologice ale organizației, structura organizatorică și managerială, caracteristicile procesului tehnologic etc.).

1. Metode de cercetare.
2. Progresul cercetării.După formularea denumirii fiecărei metode, se dă scopul. a lui utilizare și o descriere. Mai mult, este dezvăluită aplicarea metodei de cercetare într-o anumită organizație. Toate materialele privind aplicarea metodelor de cercetare (forme de chestionare, documente interne pentru asigurarea protecției datelor unei organizații/întreprinderi) sunt plasate în Aplicații. Se efectuează o analiză a rezultatelor obținute, se face o concluzie. Pentru a obține rezultate mai precise, utilizați nu unul, cimai multe metode de cercetare.
3. Concluzii generale. La finalul studiului sunt rezumate rezultatele generale (concluziile) pe întreaga temă. Metodologia utilizată ar trebui să confirme sau să infirme ipoteza cercetării. În cazul respingerii ipotezei, se dau recomandări cu privire la posibila îmbunătățire a activităților organizației și a tehnologiei de protecție a datelor a organizației/întreprinderii în lumina problemei studiate.
4. In custodie trebuie prezentată o scurtă listă a rezultatelor obținute în lucrare. Scopul principal al concluziei este de a rezuma conținutul lucrării, de a rezuma rezultatele studiului. În concluzie, sunt prezentate constatările, se analizează corelarea acestora cu scopul lucrării și sarcinile specifice stabilite și formulate în introducere, sestă la baza raportului de apărare al elevului și nu trebuie să depășească 5 pagini de text.

3. REGULI GENERALE DE ÎNREGISTRARE A LUCRĂRII DE CALIFICARE FINALĂ

3.1 PROIECTAREA MATERIALULUI TEXT

Partea de text a lucrării trebuie executată în versiune computerizată pe hârtie A4 pe o parte a foii. Font - Times New Roman, dimensiunea fontului - 14, stil - obișnuit, spațiere și jumătate, aliniere justificată. Paginile trebuie să aibă margini (recomandat): jos - 2; sus - 2; stânga - 2; dreapta - 1. Volumul WRC ar trebui să fie de 40-50 de pagini. Se recomandă următoarea proporție a principalelor elemente enumerate în volumul total al lucrării de calificare finală: introducere - până la 10%; secțiuni ale părții principale - 80%; concluzie - până la 10%.

Întregul text al WRC ar trebui să fie împărțit în părțile sale componente. Defalcarea textului se face prin împărțirea lui în secțiuni și subsecțiuni. În conținutul CMR nu trebuie să existe o coincidență a formulării titlului uneia dintre părțile constitutive cu titlul lucrării în sine, precum și coincidența titlurilor secțiunilor și subsecțiunilor. Titlurile secțiunilor și subsecțiunilor ar trebui să reflecte conținutul lor principal și să dezvăluie tema WRC.

Secțiunile și subsecțiunile ar trebui să aibă titluri. Articolele nu au de obicei titluri. Titlurile secțiunilor, subsecțiunilor și paragrafelor trebuie tipărite cu o liniuță de paragraf de 1,25 cm, cu majusculă fără punct la sfârșit, fără subliniere, font nr. 14 „Times New Roman”. Dacă antetul este format din două propoziții, acestea sunt separate printr-un punct. Titlurile ar trebui să reflecte în mod clar și concis conținutul secțiunilor, subsecțiunilor.

La împărțirea WRC în secțiuni conform GOST 2.105-95, desemnarea se face prin numere de serie - cifre arabe fara punct. Dacă este necesar, subsecțiunile pot fi împărțite în paragrafe. Numărul paragrafului trebuie să fie format din numere de secțiune, subsecțiune și paragraf separate prin puncte. Nu puneți un punct la sfârșitul secțiunii (subsecțiunii), numărului de paragraf (subparagraf). Fiecare secțiune trebuie să înceapă pe o nouă foaie (pagină).

Dacă o secțiune sau o subsecțiune constă dintr-un paragraf, atunci nu trebuie numerotată. Paragrafele, dacă este necesar, pot fi împărțite în subparagrafe, care trebuie să aibă numerotare serială în cadrul fiecărui paragraf, de exemplu:

1 Tipuri și dimensiuni principale

Enumerările pot fi date în cadrul unor clauze sau subclauze. Fiecare listă trebuie să fie precedată de o cratimă sau o literă mică urmată de o paranteză. Pentru detalii suplimentare ale enumerarilor, este necesar să se folosească cifre arabe, după care se pune o paranteză.

Exemplu:

A)_____________

b) _____________

1) ________

2) ________

V) ____________

Paginarea textului principal și a anexelor trebuie să fie continuă. Numărul paginii este plasat în centrul părții de jos a foii fără punct. Pagina de titlu este inclusă în paginarea generală a WRC. Numărul paginii de pe pagina de titlu și conținut nu este aplicat.

Lucrarea de teză ar trebui să utilizeze termeni științifici și speciali, denumiri și definiții stabilite de standardele relevante și, în lipsa acestora - general acceptați în literatura specială și științifică. Dacă se adoptă o terminologie specifică, atunci înaintea listei de referințe ar trebui oferită o listă de termeni acceptați cu explicații adecvate. Lista este inclusă în conținutul lucrării.

3.2 PROIECTAREA ILUSTRAȚIILOR

Toate ilustrațiile plasate în lucrarea finală de calificare trebuie să fie atent selectate, executate clar și precis. Figurile și diagramele ar trebui să fie direct legate de text, fără imagini suplimentareși date care nu sunt explicate nicăieri. Numărul de ilustrații din WRC ar trebui să fie suficient pentru a explica textul prezentat.

Ilustrațiile trebuie plasate direct după textul în care sunt menționate pentru prima dată sau pe pagina următoare.

Ilustrațiile plasate în text trebuie numerotate cu cifre arabe, De exemplu:

Figura 1, Figura 2

Este permisă numerotarea ilustrațiilor într-o secțiune (capitol). În acest caz, numărul ilustrației trebuie să fie format din numărul secțiunii (capitolului) și numărul de serie al ilustrației, separate printr-un punct.

Ilustrațiile, dacă este necesar, pot avea un nume și date explicative (textul figurii).

Cuvântul „Figură” și numele sunt plasate după datele explicative, în mijlocul rândului, de exemplu:

Figura 1 - Traseul documentului

3. 3 REGULI GENERALE PENTRU REPREZENTAREA FORMULEI

În formule și ecuații, simbolurile simbolice, imaginile sau semnele trebuie să respecte simbolurile adoptate în standardele de stat actuale. În text, înainte de desemnarea parametrului, se oferă explicația acestuia, de exemplu:Rezistență temporară la rupere.

Dacă este necesar, utilizați simboluri, imagini sau semne nestabilite de standardele în vigoare, acestea trebuie explicate în text sau în lista de simboluri.

Formulele și ecuațiile sunt separate de text într-o linie separată. Trebuie să existe cel puțin o linie liberă deasupra și sub fiecare formulă sau ecuație.

O explicație a semnificațiilor simbolurilor și coeficienților numerici ar trebui să fie dată direct sub formulă, în aceeași succesiune în care sunt date în formulă.

Formulele trebuie numerotate secvenţial pe tot parcursul lucrării, cu cifre arabe între paranteze în poziţia extremă dreaptă la nivelul formulei.

De exemplu:

Dacă organizația modernizează un sistem existent, atunci când se calculează eficiența, se iau în considerare costurile curente ale funcționării sale:

E p \u003d (P1-P2) + ΔP p , (3.2)

unde P1 și, respectiv, P2 sunt costuri de funcționare înainte și după implementarea programului în curs de dezvoltare;

ΔР p - economii de la creșterea productivității utilizatorilor suplimentari.

Este permisă numerotarea formulelor și ecuațiilor în cadrul fiecărei secțiuni cu numere duble separate printr-un punct, indicând numărul secțiunii și numărul ordinal al formulei sau ecuației, de exemplu: (2.3), (3.12) etc.

Transferurile unei părți din formule pe o altă linie sunt permise pe semne egale, înmulțire, adunare, scădere și pe semne de raport (>;), iar semnul de la începutul liniei următoare se repetă. Ordinea de prezentare a ecuațiilor matematice este aceeași cu formulele.

Valorile numerice ale cantităților cu desemnarea unităților de mărimi fizice și unități de numărare ar trebui scrise în numere, iar numerele fără desemnarea unităților de mărimi fizice și unități de numărare de la unu la nouă - în cuvinte, de exemplu:testați cinci conducte, fiecare de 5 m lungime.

Când se citează cele mai mari sau mai mici valori ale cantităților, ar trebui să se folosească expresia „nu ar trebui să fie mai mult (nu mai puțin)”.

3.4 PROIECTAREA TABELOR

Tabelele sunt folosite pentru o mai bună claritate și ușurință în compararea indicatorilor. Titlul tabelului, dacă există, ar trebui să reflecte conținutul acestuia, să fie precis și concis. Numele tabelului trebuie plasat deasupra tabelului din stânga, fără indentare de paragraf, într-o singură linie, cu numărul său separat printr-o liniuță.

La transferul unei părți a unui tabel, titlul este plasat numai deasupra primei părți a tabelului; linia orizontală de jos care delimitează tabelul nu este desenată.

Tabelul trebuie plasat imediat după textul în care este menționat pentru prima dată, sau pe pagina următoare.

Un tabel cu un număr mare de rânduri poate fi transferat pe o altă foaie (pagină). La transferul unei părți a tabelului pe o altă foaie, cuvântul "Tabel" și numărul acestuia sunt indicate o dată în dreapta deasupra primei părți a tabelului, cuvântul "Continuare" este scris deasupra celorlalte părți și este indicat numărul tabelului, de exemplu: „Continuarea tabelului 1”. Când transferați un tabel pe o altă foaie, titlul este plasat numai deasupra primei sale părți.

Dacă nu sunt date date numerice sau de altă natură în nicio linie a tabelului, atunci este introdusă o liniuță.

Exemplu de aspect al tabelului:

Tabelele din întreaga notă explicativă sunt numerotate cu cifre arabe prin numerotare, înaintea cărora este scris cuvântul „Tabel”.. Este permisă numerotarea tabelelor din cadrul secțiunii. În acest caz, numărul tabelului este format din numărul secțiunii și numărul ordinal al tabelului, separate printr-un punct „Tabelul 1.2”.

Tabelele fiecărei cereri sunt desemnate prin numerotare separată cu cifre arabe, cu adăugarea denumirii cererii înaintea numărului.

Titlurile coloanelor și rândurilor tabelului trebuie scrise cu majusculă la singular, iar subtitlurile coloanelor trebuie scrise cu literă minusculă dacă formează o singură propoziție cu titlul sau cu majuscule dacă au un sens independent. Nu puneți puncte la sfârșitul titlurilor și subtiturilor tabelelor.

Este permisă utilizarea unei dimensiuni mai mici a fontului în tabel decât în ​​text.

Titlurile coloanelor sunt scrise paralel sau perpendicular pe rândurile tabelului. În coloanele de tabele, nu este permisă trasarea liniilor diagonale cu afișarea titlurilor capitolelor verticale pe ambele părți ale diagonalei.

1. 5 LISTA DE REFERINȚE

Lista referințelor este întocmită ținând cont de regulile de proiectare a bibliografiei(Anexa 5). Lista literaturii utilizate trebuie să conțină cel puțin 20 de surse (cel puțin 10 cărți și 10-15 periodice) cu care a lucrat autorul tezei. Literatura din listă este aranjată pe secțiuni în următoarea secvență:

• Legile federale (în ordine de la ultimul an de adoptare până la precedentul);
• decrete ale președintelui Federației Ruse (în aceeași ordine);
• Decrete ale Guvernului Federației Ruse (în aceeași ordine)
• alte acte juridice de reglementare;
• alte materiale oficiale (rezoluții-recomandări ale organizațiilor și conferințelor internaționale, rapoarte oficiale, rapoarte oficiale etc.)
• monografii, manuale, ghiduri de studiu(În ordinea alfabetului);
• literatură străină;
• Resurse de internet.

Sursele din fiecare secțiune sunt plasate în ordine alfabetică. Numerotarea continuă este utilizată pentru întreaga listă de referințe.

Când se face referire la literatură în textul notei explicative, ar trebui să scrieți nu titlul cărții (articolului), ci numărul de serie atribuit acesteia în indexul „Referințe” între paranteze drepte. Referințele la literatură sunt numerotate în cursul apariției lor în textul WRC. Se folosește numerotarea continuă sau numerotarea pe secțiuni (capitole).

Procedura de selectare a literaturii pe tema WRC și de întocmire a unei liste a literaturii utilizate

ÎN lista literaturii utilizate cuprinde surse studiate de student în procesul de pregătire a tezei, inclusiv cele la care se referă.

Scrierea WRC este precedată de un studiu profund al surselor literare pe tema operei. Pentru a face acest lucru, trebuie să contactați mai întâi biblioteca colegiului. Aici, aparatul de referință și căutare al bibliotecii vine în ajutorul studentului, a cărui parte principală sunt cataloagele și dulapurile de dosare.

Catalogul este o listă a surselor documentare de informare (cărți) disponibile în colecțiile bibliotecii.

Dacă studentul cunoaște exact titlurile cărților solicitate, sau cel puțin numele autorilor acestora, este necesar să se folosească catalogul alfabetic.

Dacă trebuie să aflați pe ce cărți problemă specifică(teme) sunt disponibile în această bibliotecă, studentul trebuie să se refere și la catalogul sistematic.

Catalogul sistematic dezvăluie fondul bibliotecii după conținut. Pentru comoditatea utilizării catalogului sistematic, are un index alfabetic al subiectelor (ASU). În cataloagele enumerate, studentul poate găsi doar titlul cărților, în timp ce pentru a scrie WRC, are nevoie și de material publicat în reviste, ziare și diverse colecții. În acest scop, în biblioteci sunt organizate indexuri de fișe bibliografice, unde sunt amplasate descrieri ale articolelor de reviste și ziare, materiale din colecții.

Când scrie un WRC, un student folosește pe scară largă literatura de referință pentru a clarifica și a clarifica diferite opțiuni, fapte, concepte, termeni. Literatura de referință include diverse enciclopedii, dicționare, cărți de referință, colecții statistice.

Realizarea de referințe bibliografice

Când scrie un WRC, un student trebuie adesea să se refere la citarea lucrărilor diverșilor autori, la utilizarea materialului statistic. În acest caz, este necesar să se întocmească o legătură către o anumită sursă.

Pe lângă respectarea regulilor de bază de citare (nu puteți extrage fraze din text, le distorsionați cu abrevieri arbitrare, citatele trebuie citate etc.), ar trebui să acordați atenție și la indicatie exacta surse de citare.

1. ÎN note de subsolreferințele (notele de subsol) sunt plasate în partea de jos a paginii pe care se află materialul citat. Pentru a face acest lucru, la sfârșitul citatului, este plasat un număr care indică numărul ordinal al citatului de pe această pagină. În josul paginii, sub rândul care desparte nota de subsol (referința) de text, se repetă acest număr, urmat de titlul cărții din care este preluat citatul, cu indicarea obligatorie a numărului paginii citate. . De exemplu:

„Shipunov M.Z. Fundamentele activității de management. - M .: INFRA - M, 2012, p. 39.

1. Legături intratextsunt utilizate în cazurile în care informațiile despre sursa analizată sunt o parte organică a textului principal. Sunt convenabile pentru că nu distrag atenția de la text. Descrierea în astfel de link-uri începe cu inițialele și numele autorului, titlul cărții sau articolului este indicat între ghilimele, datele de ieșire sunt date între paranteze.
2. Dincolo de link-uri text- sunt indicii de surse de citate cu referire la o listă numerotată de referințe plasată la finalul tezei. O referire la o sursă literară se face la sfârșitul unei fraze prin scrierea între paranteze drepte a numărului de serie al documentului folosit, indicând pagina.

De exemplu: „În prezent, principalul document care reglementează privatizarea proprietății de stat și municipale pe teritoriul Federației Ruse este Legea „Cu privire la privatizarea proprietății de stat și municipale” din 21 decembrie 2001 nr. 178-FZ (modificată). la 31 decembrie 2005, cu modificările ulterioare la 01/05/2006) .

La sfârșitul lucrării (pe o pagină separată), ar trebui să fie prezentată o listă alfabetică a literaturii utilizate efectiv.

3.6 ÎNREGISTRAREA APLICAȚIILOR

Aplicații eliberat dacă este necesar. Aplicațiile la lucrare pot consta în materiale de referință suplimentare cu valoare auxiliară, de exemplu: copii ale documentelor, extrase din materiale de raportare, date statistice, diagrame, tabele, diagrame, programe, reglementări etc.

Aplicațiile includ și acele materiale care pot specifica părțile practice sau teoretice ale diplomei. De exemplu, aplicația poate include: texte ale chestionarelor, chestionare și alte metode care au fost utilizate în procesul de cercetare, exemple de răspunsuri ale respondenților, materiale fotografice, diagrame și tabele care nu au legătură cu concluziile teoretice din diplomă.

În textul principal trebuie să se facă trimiteri la toate anexele.

De exemplu: Unități derivate ale sistemului SI (Anexele 1, 2, 5).

Aplicațiile sunt aranjate într-o secvență de referințe la ele în text. Fiecare cerere trebuie să înceapă pe o nouă foaie (pagină) cu cuvintele Aplicație în colțul din dreapta sus al paginii.și desemnările sale în cifre arabe, cu excepția numărului 0.

4. APARAREA LUCRARII DE CALIFICARE FINALA

4.1 MONITORIZAREA PREGĂTIȚII WRC

Fiecărui student i se atribuie un revizor al lucrării de calificare finală din rândul specialiștilor externi care sunt bine versați în probleme legate de acest subiect.

Conform temelor aprobate, se dezvoltă supervizorii științifici ai lucrării finale de calificaresarcini individualepentru studenți, care sunt considerate de către PCC „Tehnologii informaționale”, semnate de conducătorul și președintele PCC.

Misiunile pentru lucrările de calificare de absolvire sunt aprobate de directorul adjunct pentru afaceri academice și eliberate studenților cu cel puțin două săptămâni înainte de începerea practicii pre-diplomă.

Conform temelor aprobate, supraveghetorii științifici întocmesc programe individuale de consultare,conform căruia se controlează procesul de efectuare a lucrărilor finale de calificare.

Controlul gradului de pregătire al WRC se realizează conform următorului program:

Tabelul 3

Nu. p / p	pregătire		Termen	Notă
	Nivel pregătire WRC, în %	Este indicată care componentă a WRC, care dintre elementele sale structurale ar trebui să fie gata până în acest moment.	Perioada de control	Este indicată forma de control
			Perioada de control

La finalizarea pregătirii WRC, șeful verifică calitatea lucrării, o semnează și, împreună cu sarcina și revizuirea sa scrisă, o transferă directorului adjunct al domeniului de activitate.

Pentru a determina gradul de pregătire al lucrării finale de calificare și pentru a identifica deficiențele existente, profesorii de discipline speciale efectuează o apărare preliminară în ultima săptămână de pregătire pentru GIA. Se înregistrează rezultatele protecției preliminare.

4.2 CERINȚE DE PROTECȚIE WRC

Apărarea lucrării finale de calificare se realizează în cadrul unei ședințe deschise a Comisiei de atestare de stat în specialitate, care este creată pe baza Regulamentului privind atestarea finală de stat a absolvenților instituțiilor de învățământ de învățământ secundar profesional din Federația Rusă. (Rezoluția Comitetului de Stat pentru Învățământul Superior al Rusiei din 27 decembrie 1995 nr. 10).

Următoarele cerințe sunt impuse pentru apărarea WRC:

• studiul teoretic profund al problemelor studiate pe baza analizei literaturii de specialitate;
• sistematizarea pricepută a datelor digitale sub formă de tabele și grafice cu analiza necesară, generalizarea și identificarea tendințelor de dezvoltare;
• o abordare critică a materialelor faptice studiate pentru a găsi zone de îmbunătățire a activităților;
• argumentarea concluziilor, validitatea propunerilor și recomandărilor;

• prezentarea logic consecventă și independentă a materialului;
• proiectarea materialului în conformitate cu cerințele stabilite;

• prezența obligatorie a revizuirii tezei de către un conducător și a recenziilor unui lucrător practic care reprezintă o organizație terță.

La alcătuirea rezumatelor, este necesar să se țină cont de timpul aproximativ al raportului la apărare, care este de 8-10 minute.Raportul ar trebui să fie construitnu prin prezentarea conţinutului lucrării capitol cu ​​capitol, ci după sarcini, - dezvăluind logica obţinerii unor rezultate semnificative. Raportul trebuie să conțină un apel la material ilustrativ care va fi folosit în timpul apărării lucrării. Volumul raportului trebuie să fie de 7-8 pagini de text în format Word, dimensiunea fontului 14, spațiere de o jumătate și jumătate.

Tabelul 4

	Structura raportului	Volum	Timp
	Prezentarea temei de lucru.	Până la 1,5 pagini	Până la 2 minute
	Relevanța subiectului.
	Scopul lucrării.
	Enunțarea problemei, rezultatele rezolvării acesteia și concluziile trase (pentru fiecare dintre sarcinile care au fost stabilite pentru atingerea scopului tezei).	Până la 6 pagini	Până la 7 minute
	Perspective și direcții pentru cercetări ulterioare pe această temă.	Până la 0,5 pagini	Până la 1 minut

Pentru a vorbi la apărare, elevii trebuie să pregătească în mod independent și să convină cu liderul rezumatele raportului și materialul ilustrativ.

Ilustrațiile ar trebui să reflecte principalele rezultate obținute în lucrare și să fie în concordanță cu rezumatele raportului.

Forme de prezentare a materialului ilustrativ:

1. Material tipărit pentru fiecare membru al SEC(la discreția supervizorului WRC). Materialele tipărite pentru membrii SAC pot include:

• date empirice;
• extrase din documente normative pe baza cărora s-a efectuat cercetarea;

• extrase din dorințele angajatorilor, formulate în contracte;

• alte date neincluse în prezentarea diapozitivelor, dar care confirmă corectitudinea calculelor.

1. prezentări de diapozitive(pentru demonstrația proiectorului).

Însoțirea prezentării rezultatelor lucrării cu materiale de prezentare este o condiție prealabilă pentru apărarea WRC.

Supervizorul scrie o recenzie pentru munca finală de calificare efectuată de student.

Apărarea lucrărilor de calificare finală se desfășoară în cadrul unei ședințe deschise a Comisiei de Atestare de Stat într-o sală special amenajată, dotată cu echipamentul necesar pentru demonstrarea prezentărilor. Pentru apărarea lucrării de calificare sunt alocate până la 20 de minute. Procedura de apărare include un raport al studentului (nu mai mult de 10 minute), recenzii de citire și recenzii, întrebări de la membrii comisiei, răspunsuri de la student. Pot fi audiate prezentarea conducătorului lucrării de calificare finală, precum și a evaluatorului, dacă sunt prezenți la ședința SEC.

Deciziile SEC sunt luate în ședințe închise cu majoritatea simplă a voturilor membrilor comisiei care participă la ședință. În cazul unui număr egal de voturi, votul președintelui este decisiv. Rezultatele sunt anunțate studenților în ziua apărării WRC.

4.3 CRITERII DE EVALUARE WRC

Apărarea lucrării finale de calificare se încheie cu notare.

Evaluare „Excelent” pentru WRC este expusă dacă teza este de natură de cercetare, are un capitol teoretic bine exprimat, profund analiza teoretică, o revizuire critică a practicii, o prezentare logică, consecventă a materialului cu concluzii relevante și propuneri rezonabile; are recenzii pozitive ale supervizorului și evaluatorului.

Când apără WRC pentru „excelent”, studentul - absolventul demonstrează o cunoaștere profundă a problemelor subiectului, operează liber cu datele de cercetare, face sugestii rezonabile și în timpul raportului folosește ajutoare vizuale (prezentare Power Point, tabele, diagrame , grafice, etc.) sau material pentru fișe, răspunde cu ușurință la întrebările puse.

Evaluat „Bine” pentru WRC este expusă dacă teza este de natură de cercetare, are un capitol teoretic bine scris, prezintă o analiză destul de detaliată și o analiză critică a activităților practice, o prezentare consistentă a materialului cu concluzii relevante, dar propunerile studentului sunt nu suficient de fundamentat. WRC are o evaluare pozitivă a supervizorului și evaluatorului. La apărarea acestuia, studentul-absolventul demonstrează cunoașterea problemelor temei, operează cu date de cercetare, face sugestii pe tema de cercetare, în timpul raportului folosește suporturi vizuale (prezentare Power Point, tabele, diagrame, grafice etc.) sau fișe, răspunde fără prea multe dificultăți la întrebările puse.

Nota "Satisfăcător"Se acordă WRC dacă teza este de natură de cercetare, are un capitol teoretic, se bazează pe material practic, dar are o analiză superficială și o analiză insuficient de critică, se constată în ea o inconsecvență în prezentarea materialului, sunt prezentate propuneri nerezonabile. . Recenziile evaluatorilor conțin comentarii cu privire la conținutul lucrării și metodologia de analiză. Atunci când apără un astfel de WRC, un student-absolvent dă dovadă de incertitudine, arată o cunoaștere slabă a problemelor subiectului, nu dă întotdeauna răspunsuri motivate exhaustive la întrebările puse.

Nota "Nesatisfăcător"pentru WRC este expusă dacă teza nu este de natură de cercetare, nu are o analiză, nu îndeplinește cerințele prevăzute în date instrucțiuni. Nu există concluzii în lucrare sau sunt de natură declarativă. Evaluările supervizorului și ale evaluatorului conțin observații critice. Când apără WRC, studentului-absolventă îi este greu să răspundă la întrebările puse pe tema ei, nu cunoaște teoria întrebării și face greșeli semnificative când răspunde. Ajutoarele vizuale și fișele nu au fost pregătite pentru apărare.

Astfel, atunci când stabilesc nota finală pentru WRC, membrii SEC iau în considerare:

• calitatea raportului de absolvire;
• materialul ilustrativ prezentat de acesta;
• mobilitatea absolventului și alfabetizarea acestuia atunci când răspunde la întrebări;
• Evaluarea WRC de către un evaluator;
• feedback din partea șefului WRC.

ANEXA 1

(Exemplu de design pentru pagina de titlu)

DEPARTAMENTUL DE EDUCAȚIE AL ORAȘULUI MOSCOVA

INSTITUȚIE DE ÎNVĂȚĂMÂNT PROFESIONAL BUGET DE STAT

"COLEGIUL TEHNOLOGIC №34"

MUNCĂ DE LICENȚĂ

Subiect:

Student de grup / /

Specialitate

supraveghetor //

Permite protecție:

Director adjunct pentru UPR/ _ /

Data gradului

Președintele statului

comisie de atestare/ /

Moscova 2016

ANEXA 2

De acord

Președinte al PCC „Tehnologii informaționale”

Dziuba T.S.

Exercițiu

pentru munca de absolvire

elevi)__________________________________________________________________

(numele complet)

Tema tezei ________________________________________________________________

_______________________________________________________________________________

Termenul limită de depunere a tezei pentru susținere (data)______________________________

1. Introducere

Relevanța temei alese;

Scopul, sarcinile redactării unei teze;

Numele întreprinderii, organizația, sursele de redactare a lucrării.

2. - Sectiunea I (partea teoretica)

Secțiunea II (partea practică)

(termen limită pentru depunerea spre verificare) _________________________________________

Concluzie ________________________________________________________________

Cap _________ __________ "___" _______ 20__

Nume complet Semnătura

Student ____________________ __________ "____" ________ 20___

Nume complet Semnătura

ANEXA 3

(formular de recenzie pentru conducătorul de teză)

GBPOU "Colegiul Tehnologic Nr. 34"

Revizuire

Pentru teza studentului (numele complet)

1. Relevanța subiectului.

2. Noutatea științifică și semnificația practică.

3. Caracteristicile calităților de afaceri ale studentului.

4. Aspecte pozitive ale muncii.

5. Dezavantaje, comentarii.

Supraveghetor _______________________________________

„_____” __________ 2016

ANEXA 4

(formular de recenzie)

Revizuire

Pentru teza studentului (numele complet) ____________________________

Realizat pe tema _________________________________________________

1. Relevanță, noutate
2. Evaluarea conținutului lucrării

1. distinctiv, laturi pozitive muncă
2. Semnificația practică a lucrării
3. Dezavantaje, remarci

1. Evaluarea recomandată a lucrării efectuate ____________________________

_________________________________________________________________________

Revizor (nume complet, titlu academic, funcție, locul de muncă)

ANEXA 5

(Un exemplu de listă de literatură folosită)

Lista literaturii folosite

Materiale de reglementare

1. „Constituția Federației Ruse” (adoptată prin vot popular la 12.12.1993)
2. Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor” din 27 iulie 2006 N 149-FZ (modificată la 28 decembrie 2013)

Publicații științifice, tehnice și educaționale

1. Locuri de muncă automatizate și sisteme informatice în activitățile de afaceri interne. M., 2010.
2. Andreev B. V., Bushuev G. I. Modelare în rezolvarea dreptului penal și a problemelor criminologice. M., 2012.
3. Hârtii în instituțiile de învățământ (folosind tehnologia Informatiei): studii. indemnizatie pentru licee rauri. MO Rep. Belarus / E.M. Kravchenya, T.A. Tsarskaya. - Minsk: TetraSystems, 2013
4. Securitatea informațiilor și protecția informațiilor: manual. indemnizație / Stepanov E.A., Korneev I.K. - M.: INFRA-M, 2011. -
5. Sisteme informaționale în economie: manual. pentru universitati, formare conform special economie si management (060000) rec. MO RF / G.A. Titorenko, B.E. Odintsov, V.V. Braga și alții; ed. G.A. Titorenko. - Ed. a II-a, revizuită. si suplimentare - M. : UNITI, 2011. - 463 p.
6. Sisteme informatice și securitatea lor: manual. indemnizație d / Vasilkov A.V. Vasilkov A.A., Vasilkov I.A. - M: FORUM, 2010.
7. Managementul tehnologiei informației: manual. indemnizatie pentru licee rauri. MO RF / G.A. Titorenko, I.A. Konoplev, G.L. Makarova și alții; ed. G.A. Titorenko. - Ed. a II-a, add. - M.: UNITI, 2009.
8. Fluxul documentelor corporative. Principii, tehnologii, metodologii de implementare. Michael J. D. Sutton. Editura Azbuka, Sankt Petersburg, 2012
9. Ostreikovsky V.A. Informatica: Proc. Pentru universități. - M .: Mai sus. scoala, 2008.
10. Documente electronice în rețelele corporative Klimenko S. V., Krokhin I. V., Kushch V. M., Lagutin Yu. L. M.: Radio și comunicații, ITC Eco-Trends, 2011

Resurse de internet

http://www.security.ru/ - Facilități protecţie criptografică informații: site-ul filialei din Moscova a PNIEI;

www.fstec.ru – site-ul oficial al FSTEC din Rusia

ANEXA 6

Structura aproximativă a raportului privind susținerea tezei

Cerințe pentru raportul de susținere a tezei

1. Urgența problemei.
2. Scopul, obiectul, subiectul cercetării.
3. Obiective de cercetare (3 principale).
4. Algoritm de cercetare (secvență de cercetare).
5. Scurte caracteristici economice ale întreprinderii (organizații, instituții etc.).
6. Scurte rezultate ale analizei problemei studiate.
7. Puncte slabe identificate în timpul analizei.
8. Direcții (căi) de rezolvare a neajunsurilor identificate ale problemei studiate.
9. Evaluarea economică, eficiența, semnificația practică a măsurilor propuse.

ANEXA 6

(Formular plan calendaristic pentru redactarea unei teze)

sunt de acord

Conducător de teză

"_____" ______20 __

PLAN-ORAR

redactarea unei teze pe tema _________________________________________

Întocmirea conținutului tezei și coordonarea acestuia cu conducătorul.

supraveghetor

Introducere cu justificare a relevanței temei alese, a scopurilor și obiectivelor lucrării.

supraveghetor

Completarea secțiunii teoretice și depunerea spre verificare.

Consultant

Implementarea secțiunii practice și transmiterea spre verificare.

Consultant

Coordonarea cu șeful concluziilor și propunerilor

supraveghetor

Înregistrarea tezei

supraveghetor

Obținerea de feedback de la manager

supraveghetor

Obțineți o recenzie

referent

10.

Preapărarea tezei

Şef, consultant

11.

Apărarea tezei

supraveghetor

Student-(student absolvent) _________________________________________________

(semnătura, data, transcrierea semnăturii)

șef de diplomă ________________________________________________________________

ANEXA 8

(Exemplu de conținut al tezei)

Conţinut

Introducere ………………………………………………………………………………………………..3

1. Caracteristicile tehnice și economice ale domeniului subiect și ale întreprinderii ... ... 5

1. Caracteristicile generale ale domeniului subiectului …………………………………...5
2. Structura organizatorică și funcțională a întreprinderii……………6
3. Analiza riscului de securitate a informațiilor……………………………….8

2. Justificarea necesității îmbunătățirii sistemului de asigurare a securității și protecției informațiilor la întreprindere………..25

1. Selectarea unui set de sarcini pentru asigurarea securității informațiilor………29
2. Determinarea locului setului de sarcini proiectat în complexul de sarcini al întreprinderii, detalierea sarcinilor de securitate și protecție a informațiilor…………………………………………………………… ………………35
3. Alegerea măsurilor de protecție……………………………………………………………………….39

3. Un set de măsuri organizaționale pentru a asigura securitatea informațiilor și protecția informațiilor întreprinderii……………………………………………………..43

1. Un complex de software și hardware proiectat pentru asigurarea securității informațiilor și protejarea informațiilor unei întreprinderi…….…48
2. Structura complexului hardware-software de securitate a informațiilor și protecție a informațiilor întreprinderii…………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………
3. Un exemplu de implementare a unui proiect și descrierea acestuia……………………………………………….54
4. Calculul indicatorilor de eficiență economică a proiectelor…………………57

4. Concluzie……………………………………………………………………………………….62
5. Lista literaturii utilizate…………………………………………………………..65

Cum să alegeți o temă relevantă a tezei despre securitatea informațiilor. Relevanța temei diplomei în securitatea informațiilor, recomandări ale experților, exemple de subiecte ale tezei.

Subiectele tezei privind securitatea informaţiei de obicei asociat cu studiul securității informaționale a sistemelor automate, sistemelor informatice, precum și a sistemelor informatice și de telecomunicații.

Ca subiect al unei astfel de cercetări, se alege o amenințare sau un grup de amenințări la securitatea informațiilor, a căror implementare poate dăuna sistemului în cauză (mai multe despre aceasta). Când pregătiți o teză, ar trebui să investigați sistemul și să construiți un algoritm de implementare a atacului conform Figura 1.

Figura 1 - Algoritm pentru efectuarea analizei la redactarea unei diplome pe tema securității informațiilor

Ca obiect de studiu este ales sistemul unei anumite întreprinderi sau o rețea distribuită geografic a unei organizații.

Relevanța alegerii subiecte de teză privind securitatea informaţiei se datorează unei game largi de amenințări la adresa securității informațiilor și creșterii continue a numărului de intruși și a atacurilor pe care le implementează.

Cele mai relevante subiecte ale lucrărilor de calificare finală (WQR) și lucrărilor de cercetare științifică (R&D), precum și subiecte de diplome în securitatea informaţiei poate fi prezentată în tabelul următor.

1. Dezvoltarea sistemului de securitate informatică a sistemului studiat	2. Analiza de risc a sistemelor studiate, în privința cărora sunt implementate amenințările identificate la adresa securității informațiilor
3. Proiectarea unui sistem de detectare a intruziunilor (sisteme de informații false)	4. Protecția informațiilor împotriva amenințărilor identificate la adresa securității informațiilor
5. Evaluarea riscurilor implementării atacurilor identificate asupra sistemului studiat	6. Dezvoltare model matematic intrus/atac dezvăluit la securitatea informațiilor
7. Organizarea protecției datelor cu caracter personal din sistemul studiat	8. Organizarea protecției informațiilor confidențiale ale sistemului studiat
9. Analiza amenințărilor la adresa securității informațiilor în sistemul studiat al întreprinderii/organizației	10. Modernizarea sistemului de securitate informatică existent al sistemului în studiu
11. Elaborarea unui profil de protecție al întreprinderii studiate	12. Evaluarea riscului implementării proceselor epidemiologice în rețelele sociale
13. Managementul riscului pentru implementarea atacurilor de securitate a informațiilor identificate în sistemul studiat	14. Evaluarea eficacității mijloacelor și metodelor de protecție a informațiilor în întreprindere
15. Evaluarea eficacității măsurilor de protecție a informațiilor în sistemul studiat	16. WRC: Utilizarea sistemelor DLP ca instrument pentru asigurarea securității informațiilor companiei
17. Teza: Analiza si imbunatatirea securitatii informatiilor in intreprindere	18. Cercetare: Dezvoltarea unei politici de securitate a informațiilor pe exemplul unei companii de calculatoare
19. Teza: Automatizarea si securitatea informatiei a contabilitatii de depozit in firma	20. Diploma: Dezvoltarea politicii de securitate a informatiilor intr-o banca comerciala
21. Lucrare de licenta: Organizarea securitatii informatiei a arhivei electronice de plata documentelor de plata de catre populatie	22. Lucrare finală de licență: Elaborarea unui set de măsuri de protecție pentru asigurarea securității informațiilor bazelor de date
23. Diploma: Elaborarea regulamentelor pentru auditul securitatii informatiilor unei institutii bugetare de stat	24. Teză de master: Elaborarea unui set de măsuri organizatorice pentru asigurarea securității și protecției informațiilor
25. Teză: Modernizarea sistemului existent în vederea îmbunătățirii securității informațiilor în companie	26. Lucrare de master: Creșterea nivelului de securitate a sistemului de securitate a informațiilor din companie
27. Științific cercetare: Dezvoltarea si implementarea sistemului de securitate informatica in companie	28. Diploma: Dezvoltarea si implementarea unui sistem de securitate informatica intr-o firma de transport
29. Teza: Automatizarea si securitatea informatiei a sistemului Service Desk	30. Lucrare de calificare finală: Dezvoltarea unui sistem de securitate a informațiilor pentru LAN-ul unei companii SEO