วิธีการเลือกหัวข้อวิทยานิพนธ์ที่เกี่ยวข้องกับระบบความปลอดภัยข้อมูลพิเศษ ความเกี่ยวข้องของหัวข้อวุฒิบัตรด้านระบบความปลอดภัยสารสนเทศ คำแนะนำของผู้เชี่ยวชาญ ตัวอย่างหัวข้อวิทยานิพนธ์

ธีม ประกาศนียบัตรเฉพาะทางระบบรักษาความปลอดภัยข้อมูลอุทิศให้กับการแก้ปัญหาการวิจัยและการปฏิบัติต่าง ๆ โดยมีจุดมุ่งหมายเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลของวัตถุที่กำลังศึกษาอยู่ ปัญหาของงานดังกล่าวเกิดจากการโจมตีความปลอดภัยของข้อมูลในระบบข้อมูลและส่วนประกอบต่างๆ ที่เพิ่มขึ้น

วัตถุประสงค์ของการศึกษาอาจเป็นระบบคอมพิวเตอร์ ส่วนประกอบของระบบ กระบวนการทางธุรกิจ องค์กร ห้อง หรือข้อมูลหมุนเวียน

ตามหัวข้อของการวิจัย เราสามารถเลือกวิธีการรักษาความปลอดภัยข้อมูล วิธีการวิเคราะห์ภัยคุกคาม หรือการประเมินประสิทธิภาพของระบบรักษาความปลอดภัยข้อมูล

เป็นเป้าหมาย วิทยานิพนธ์เฉพาะทางระบบรักษาความปลอดภัยสารสนเทศเราสามารถแยกแยะการสร้างหรือศึกษาความเป็นไปได้ของการใช้แบบจำลองความเสี่ยงและอัลกอริธึมการป้องกัน (เพิ่มเติมเกี่ยวกับเรื่องนี้)

งานของงานที่เกี่ยวข้องกับ รูปแบบของประกาศนียบัตรทำงานในเฉพาะด้านระบบรักษาความปลอดภัยข้อมูลสามารถกำหนดได้โดยรายการต่อไปนี้:

1. การเลือกและศึกษาข้อมูลทางสถิติ รวมทั้งสมมติฐานและการพิสูจน์เกี่ยวกับตัวแปรสุ่ม

2. การยืนยันประเภทและหน้าที่ของความเสียหาย การพัฒนาแบบจำลองการวิเคราะห์ความเสี่ยง

3. การก่อตัวของแบบจำลองความเสี่ยงแบบไดนามิกตามค่าสัมประสิทธิ์ความไว

ประเด็นหลักต่อไปนี้สามารถป้องกันได้ วิทยานิพนธ์เฉพาะทางระบบรักษาความปลอดภัยข้อมูล:

1. ความน่าเชื่อถือของการพิสูจน์สมมติฐานที่หยิบยกมาเกี่ยวกับขอบเขตของการใช้กฎหมายอย่างมีประสิทธิภาพสำหรับงานรักษาความปลอดภัยข้อมูล

2. แบบจำลองความเสี่ยงเชิงวิเคราะห์สำหรับส่วนประกอบของระบบซึ่งการสูญเสียมีการกระจายที่กำหนด

3. แบบจำลองความเสี่ยงเชิงวิเคราะห์สำหรับระบบที่มีส่วนประกอบที่อยู่ภายใต้ผลกระทบร่วมหรือไม่ร่วมของการโจมตีที่ระบุ

4. โมเดลไดนามิก ฟังก์ชันความไวของระบบ

5. อัลกอริทึมสำหรับการจัดการความเสี่ยงของระบบ

ความแปลกใหม่ทางวิทยาศาสตร์ของการศึกษาอนุปริญญาในหัวข้อดังกล่าวสามารถทำให้เป็นทางการได้ในรายการต่อไปนี้

1. เป็นครั้งแรกที่มีการศึกษาขอบเขตของการใช้กฎหมายอย่างมีประสิทธิภาพสำหรับงานรักษาความปลอดภัยข้อมูล

2. แบบจำลองความเสี่ยงเชิงวิเคราะห์ที่ไม่ได้สำรวจก่อนหน้านี้ของส่วนประกอบซึ่งความเสียหายมีการกระจายที่กำหนดได้รับการพิจารณา

3. มีการศึกษาแบบจำลองความเสี่ยงเชิงวิเคราะห์ของระบบกระจายที่เสี่ยงต่อการถูกโจมตีด้านความปลอดภัยข้อมูลที่ระบุ

4. การดำเนินการอัลกอริทึมของระบบการจัดการความเสี่ยงสำหรับการแจกจ่ายโดยเฉพาะและการโจมตีความปลอดภัยของข้อมูลได้ดำเนินการเป็นครั้งแรก

ค่าจริงอาจเป็นดังนี้:

1. การพิสูจน์สมมติฐานที่หยิบยกมาทำให้สามารถนำผลการศึกษาไปใช้แก้ปัญหาความปลอดภัยของข้อมูลได้อย่างสมเหตุสมผล

2. แบบจำลองการวิเคราะห์ความเสี่ยงที่ได้รับในอนาคตจะทำให้สามารถพัฒนาแบบจำลองที่ซับซ้อนซึ่งสามารถวิเคราะห์การโจมตีด้านความปลอดภัยข้อมูลได้ทั้งหมด

3. โมเดลไดนามิก ฟังก์ชันความไว ระบบคอมพิวเตอร์อนุญาตให้แก้ปัญหาความปลอดภัยของข้อมูลด้วยระดับความเสี่ยงที่แตกต่างกัน

หัวข้อที่เกี่ยวข้องมากที่สุดของผลงานที่มีคุณสมบัติขั้นสุดท้าย (WQR) และผลงานการวิจัยทางวิทยาศาสตร์ (R&D) รวมถึง หัวข้อวุฒิบัตรเฉพาะทางระบบรักษาความปลอดภัยข้อมูลสามารถแสดงได้ในตารางต่อไปนี้

1. การคุ้มครองข้อมูลในส่วนของช่องทางการควบคุมระบบอัตโนมัติของท่าอากาศยาน	2. การติดตั้งระบบตรวจจับการบุกรุกโดยใช้ตัวอย่างข้อเท็จ ระบบข้อมูล
3. การออกแบบและพัฒนาระบบรักษาความปลอดภัยของข้อมูล	4. การป้องกันการโจมตี DDOS
5. การปกป้องข้อมูลองค์กรในระดับอีเมล	6. ความปลอดภัยของข้อมูลองค์กรกระจายทางภูมิศาสตร์
7. การปกป้องข้อมูลที่ครอบคลุมในองค์กรอุตสาหกรรม	8. ความปลอดภัยของข้อมูลของระบบคอมพิวเตอร์ในการดำเนินการคุกคามการเข้าถึงโดยไม่ได้รับอนุญาต
9. การพัฒนาแบบจำลองความเสี่ยงสำหรับระบบการจัดการความปลอดภัยของข้อมูลภายใต้สภาวะความไม่แน่นอน	10. การปรับปรุงระบบป้องกันสารสนเทศและเครือข่ายโทรคมนาคมให้ทันสมัย
11. รับรองความปลอดภัยของข้อมูลของโมบายล์เวิร์คสเตชั่น	12. องค์กรของการคุ้มครองข้อมูลส่วนบุคคลในบริบทของการดำเนินการโจมตีไวรัส
13. การจัดระเบียบการต่อต้านภัยคุกคามความปลอดภัยขององค์กรตาม Petri nets	14. ทิศทางหลัก หลักการ และวิธีการประกันความปลอดภัยของข้อมูลในเครือข่ายคอมพิวเตอร์
15. การสร้างรูปแบบทั่วไปของการดำเนินการของผู้โจมตีที่ใช้การโจมตีระยะไกล	16. ปัญหาความปลอดภัยของข้อมูลธนาคารตามรูปแบบการตัดสินใจ
17. การพัฒนาอัลกอริทึมเพื่อตอบโต้การใช้ช่องทางการสื่อสารที่แอบแฝง	18. การพัฒนาชุดมาตรการรักษาความปลอดภัยเพื่อความปลอดภัยของข้อมูลในการโต้ตอบของส่วนประกอบ M2M
19. การพัฒนาระบบรักษาความปลอดภัยข้อมูลสำหรับองค์กรเชิงกลยุทธ์ที่ละเอียดอ่อน	20. การพัฒนาระบบป้องกันข้อมูลลับในระบบธนาคารพาณิชย์
21. WRC: ระบบอัตโนมัติและการรักษาความปลอดภัยข้อมูลในสถานที่ทำงานของผู้จัดการลูกค้าของบริษัท	22. วิทยานิพนธ์: องค์กรของการรักษาความปลอดภัยข้อมูลของที่เก็บถาวรทางอิเล็กทรอนิกส์ของทะเบียนอสังหาริมทรัพย์ใน BTI
23. วิทยานิพนธ์ปริญญาตรี: การพัฒนานโยบายความปลอดภัยข้อมูลในบริษัทการค้าและการผลิต	24. วิทยานิพนธ์: การพัฒนานโยบายการรักษาความปลอดภัยของข้อมูลของบริษัท
25. อนุปริญญา: การรับรองความปลอดภัยของข้อมูลในบริษัทการลงทุน	26. ปวส. การตรวจสอบความปลอดภัยของข้อมูลในระบบรักษาความปลอดภัยข้อมูลของธนาคาร
27. งานปริญญาตรีที่สำเร็จการศึกษา: การพัฒนาและการรักษาความปลอดภัยข้อมูลของสถานที่ทำงานอัตโนมัติของเลขานุการ	28. วิทยานิพนธ์: การพัฒนาชุดมาตรการเพื่อความปลอดภัยของข้อมูลและการปกป้องข้อมูลในหน่วยงานของรัฐ. สถาบัน
29. วิทยานิพนธ์: การนำระบบรักษาความปลอดภัยข้อมูลแบบบูรณาการมาใช้ในบริษัท	30. วิทยานิพนธ์: การปรับปรุงระบบรักษาความปลอดภัยข้อมูลในบริษัทให้ทันสมัย
31. วิทยานิพนธ์ปริญญาโท: การปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ให้ทันสมัยเพื่อเพิ่มความปลอดภัย	32. Diploma: การปรับปรุงระบบที่มีอยู่ให้ทันสมัยเพื่อปรับปรุงความปลอดภัยของข้อมูล
33. ประกาศนียบัตร: การรับรองความปลอดภัยของข้อมูลในการใช้งานและการทำงานของระบบประมวลผลการชำระเงินทางอิเล็กทรอนิกส์	34. วิทยานิพนธ์ปริญญาโท: การเพิ่มระดับความปลอดภัยข้อมูลขององค์กรผ่านการใช้ ACS
35. อนุปริญญา: การพัฒนานโยบายการรักษาความปลอดภัยของข้อมูลในบริษัท	36. ประกาศนียบัตร: การรับรองความปลอดภัยของข้อมูลในองค์กรการค้า

การแนะนำ

บทที่ 1. แง่มุมทางทฤษฎีของการยอมรับและความปลอดภัยของข้อมูล

1.1แนวคิดเรื่องความปลอดภัยของข้อมูล

3 แนวปฏิบัติด้านความปลอดภัยของข้อมูล

บทที่ 2. การวิเคราะห์ระบบความปลอดภัยของข้อมูล

1 ขอบเขตของบริษัทและการวิเคราะห์ผลประกอบการทางการเงิน

2 คำอธิบายระบบรักษาความปลอดภัยข้อมูลของบริษัท

3 การพัฒนาชุดมาตรการเพื่อปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ให้ทันสมัย

บทสรุป

บรรณานุกรม

แอปพลิเคชัน

ภาคผนวก 1. งบดุลสำหรับปี 2010

ภาคผนวก 1. งบดุลสำหรับปี 2010

การแนะนำ

ความเกี่ยวข้องของหัวข้อวิทยานิพนธ์จะพิจารณาจากระดับปัญหาความปลอดภัยของข้อมูลที่เพิ่มขึ้น แม้ในบริบทของการเติบโตอย่างรวดเร็วของเทคโนโลยีและเครื่องมือสำหรับการปกป้องข้อมูล เป็นไปไม่ได้ที่จะให้การปกป้องระบบข้อมูลขององค์กรในระดับ 100% ในขณะที่จัดลำดับความสำคัญของงานปกป้องข้อมูลอย่างถูกต้องในบริบทของส่วนแบ่งงบประมาณที่จำกัดที่จัดสรรให้กับเทคโนโลยีสารสนเทศ

การป้องกันที่เชื่อถือได้ของคอมพิวเตอร์และโครงสร้างพื้นฐานขององค์กรเครือข่ายเป็นงานพื้นฐานในด้านการรักษาความปลอดภัยข้อมูลสำหรับบริษัทใดๆ ด้วยการเติบโตของธุรกิจขององค์กรและการเปลี่ยนผ่านไปสู่องค์กรที่มีการกระจายตามพื้นที่ทางภูมิศาสตร์ องค์กรจึงเริ่มต้นไปไกลกว่าอาคารหลังเดียว

การปกป้องโครงสร้างพื้นฐานด้านไอทีและแอปพลิเคชันอย่างมีประสิทธิภาพ ระบบองค์กรวันนี้เป็นไปไม่ได้หากไม่มีการนำไปใช้ เทคโนโลยีที่ทันสมัยควบคุม การเข้าถึงเครือข่าย. กรณีที่เพิ่มขึ้นของการขโมยสื่อที่มีข้อมูลอันมีค่าในลักษณะธุรกิจกำลังบังคับใช้มาตรการขององค์กรมากขึ้นเรื่อยๆ

วัตถุประสงค์ของงานนี้คือเพื่อประเมินระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ในองค์กรและพัฒนามาตรการเพื่อปรับปรุง

เป้าหมายนี้กำหนดงานต่อไปนี้ของวิทยานิพนธ์:

) พิจารณาแนวคิดเรื่องความปลอดภัยของข้อมูล

) พิจารณาประเภทของภัยคุกคามที่เป็นไปได้ต่อระบบข้อมูล ตัวเลือกสำหรับการป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูลในองค์กร

) ระบุรายการแหล่งข้อมูลการละเมิดความสมบูรณ์หรือการรักษาความลับซึ่งจะทำให้องค์กรเสียหายมากที่สุด

) พัฒนาชุดมาตรการเพื่อปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่มีอยู่บนพื้นฐานของพวกเขา

งานประกอบด้วยบทนำ สองบท บทสรุป รายการอ้างอิงและการประยุกต์ใช้

บทนำยืนยันความเกี่ยวข้องของหัวข้อการวิจัยกำหนดวัตถุประสงค์และวัตถุประสงค์ของงาน

บทแรกเกี่ยวข้องกับแง่มุมทางทฤษฎีของแนวคิดด้านความปลอดภัยของข้อมูลในองค์กร

บทที่สองให้ คำอธิบายสั้น ๆ ของกิจกรรมของบริษัท ตัวบ่งชี้ประสิทธิภาพหลัก อธิบายสถานะปัจจุบันของระบบรักษาความปลอดภัยข้อมูลและเสนอมาตรการเพื่อปรับปรุง

โดยสรุปแล้วจะมีการกำหนดผลลัพธ์หลักและข้อสรุปของงาน

พื้นฐานวิธีการและทฤษฎีของวิทยานิพนธ์เป็นงานของผู้เชี่ยวชาญในประเทศและต่างประเทศในสาขาความปลอดภัยของข้อมูล สหพันธรัฐรัสเซียว่าด้วยการคุ้มครองข้อมูล มาตรฐานสากล ว่าด้วยการรักษาความปลอดภัยของข้อมูล

ความสำคัญทางทฤษฎีของการวิจัยวิทยานิพนธ์คือการดำเนินการตามแนวทางแบบบูรณาการในการพัฒนานโยบายความปลอดภัยของข้อมูล

ความสำคัญในทางปฏิบัติของงานนั้นพิจารณาจากข้อเท็จจริงที่ว่าผลลัพธ์ของงานนั้นทำให้สามารถเพิ่มระดับการปกป้องข้อมูลในองค์กรผ่านการออกแบบนโยบายความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ

บทที่ 1. แง่มุมทางทฤษฎีของการยอมรับและความปลอดภัยของข้อมูล

1.1 แนวคิดเกี่ยวกับความปลอดภัยของข้อมูล

ความปลอดภัยของข้อมูลเป็นที่เข้าใจกันว่าเป็นการปกป้องข้อมูลและโครงสร้างพื้นฐานที่สนับสนุนข้อมูลนั้นจากอิทธิพลโดยบังเอิญหรือที่เป็นอันตราย ซึ่งผลที่ตามมาอาจสร้างความเสียหายต่อตัวข้อมูลเอง เจ้าของข้อมูล หรือโครงสร้างพื้นฐานที่สนับสนุน งานด้านความปลอดภัยของข้อมูลจะลดลงเหลือน้อยที่สุด เช่นเดียวกับการคาดการณ์และป้องกันผลกระทบดังกล่าว

ตัวแปรของระบบสารสนเทศที่ต้องได้รับการปกป้องสามารถแบ่งออกเป็นประเภทต่างๆ ดังต่อไปนี้ การรับรองความสมบูรณ์ ความพร้อมใช้งาน และการรักษาความลับของทรัพยากรสารสนเทศ

ความพร้อมใช้งานคือความเป็นไปได้ที่จะได้รับบริการข้อมูลที่จำเป็นในช่วงเวลาสั้น ๆ

ความสมบูรณ์คือความเกี่ยวข้องและความสอดคล้องของข้อมูล การป้องกันข้อมูลจากการถูกทำลายและการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต

การรักษาความลับ - การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ระบบสารสนเทศถูกสร้างขึ้นเพื่อรับบริการข้อมูลบางอย่างเป็นหลัก หากไม่สามารถรับข้อมูลได้ด้วยเหตุผลบางประการ สิ่งนี้จะสร้างความเสียหายให้กับทุกหัวข้อของความสัมพันธ์ทางข้อมูล จากนี้สามารถระบุได้ว่าความพร้อมใช้งานของข้อมูลเป็นอันดับแรก

ความสมบูรณ์เป็นลักษณะหลักของความปลอดภัยของข้อมูล เมื่อความถูกต้องและความจริงจะเป็นพารามิเตอร์หลักของข้อมูล เช่น ใบสั่งยาหรือชุดและลักษณะของส่วนประกอบ

องค์ประกอบด้านความปลอดภัยของข้อมูลที่ได้รับการพัฒนามากที่สุดในประเทศของเราคือการรักษาความลับ แต่การปฏิบัติจริงของมาตรการเพื่อให้แน่ใจว่าความลับของระบบข้อมูลที่ทันสมัยกำลังเผชิญกับความยากลำบากอย่างมากในรัสเซีย ประการแรก ข้อมูลเกี่ยวกับช่องทางทางเทคนิคของการรั่วไหลของข้อมูลถูกปิด เพื่อให้ผู้ใช้ส่วนใหญ่ไม่สามารถสร้างแนวคิดเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นได้ ประการที่สอง มีความท้าทายทางกฎหมายและทางเทคนิคมากมายที่เป็นอุปสรรคต่อการเข้ารหัสแบบกำหนดเองในฐานะเครื่องมือรักษาความเป็นส่วนตัวหลัก

การกระทำที่อาจสร้างความเสียหายต่อระบบสารสนเทศสามารถแบ่งออกเป็นหลายประเภท

การโจรกรรมโดยเจตนาหรือการทำลายข้อมูลบนเวิร์กสเตชันหรือเซิร์ฟเวอร์

ความเสียหายต่อข้อมูลโดยผู้ใช้อันเป็นผลมาจากการกระทำที่ประมาท

. วิธีการ "อิเล็กทรอนิกส์" ของอิทธิพลที่ดำเนินการโดยแฮ็กเกอร์

แฮ็กเกอร์คือผู้ที่มีส่วนร่วมในการก่ออาชญากรรมทางคอมพิวเตอร์ทั้งในเชิงอาชีพ (รวมถึงภายในกรอบของการแข่งขัน) และด้วยความอยากรู้อยากเห็น วิธีการเหล่านี้รวมถึง:

การเจาะเข้าไปในเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต

จุดประสงค์ของการเจาะเข้าไปในเครือข่ายองค์กรโดยไม่ได้รับอนุญาตจากภายนอกอาจเป็นอันตราย (ทำลายข้อมูล) ขโมยข้อมูลที่เป็นความลับและนำไปใช้เพื่อวัตถุประสงค์ที่ผิดกฎหมาย ใช้โครงสร้างพื้นฐานของเครือข่ายเพื่อจัดระเบียบการโจมตีโหนดของบุคคลที่สาม ขโมยเงินจากบัญชี ฯลฯ .

การโจมตีประเภท DOS (ย่อมาจาก Denial of Service - "denial of service") เป็นการโจมตีภายนอกบนโหนดเครือข่ายขององค์กรที่รับผิดชอบด้านความปลอดภัยและ งานที่มีประสิทธิภาพ(ไฟล์, เมลเซิร์ฟเวอร์) ผู้โจมตีจัดการส่งแพ็กเก็ตข้อมูลจำนวนมหาศาลไปยังโหนดเหล่านี้ เพื่อทำให้แพ็กเก็ตเหล่านี้โอเวอร์โหลด และส่งผลให้ปิดใช้งานในบางครั้ง ตามกฎแล้วสิ่งนี้นำมาซึ่งการละเมิดในกระบวนการทางธุรกิจของบริษัทที่ตกเป็นเหยื่อ การสูญเสียลูกค้า ความเสียหายต่อชื่อเสียง ฯลฯ

ไวรัสคอมพิวเตอร์. หมวดหมู่ที่แยกจากกันของวิธีการทางอิเล็กทรอนิกส์ที่มีอิทธิพล - ไวรัสคอมพิวเตอร์และมัลแวร์อื่นๆ สิ่งเหล่านี้ถือเป็นอันตรายอย่างแท้จริงต่อธุรกิจสมัยใหม่ซึ่งใช้เครือข่ายคอมพิวเตอร์ อินเทอร์เน็ต และอีเมลอย่างกว้างขวาง การแทรกซึมของไวรัสไปยังโหนดของเครือข่ายองค์กรอาจทำให้การทำงานหยุดชะงัก สูญเสียเวลาทำงาน สูญเสียข้อมูล ขโมยข้อมูลที่เป็นความลับ หรือแม้แต่ขโมยเงินโดยตรง โปรแกรมไวรัสที่เจาะเข้าไปในเครือข่ายขององค์กรสามารถให้ผู้โจมตีควบคุมกิจกรรมของบริษัทได้บางส่วนหรือทั้งหมด

สแปม ในเวลาเพียงไม่กี่ปี สแปมได้เปลี่ยนจากความน่ารำคาญเล็กน้อยไปสู่หนึ่งในภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุด:

อีเมลได้กลายเป็นช่องทางการจัดจำหน่ายหลักในช่วงไม่กี่ปีที่ผ่านมา มัลแวร์;

สแปมใช้เวลามากในการดูและลบข้อความ ทำให้พนักงานรู้สึกไม่สบายทางจิตใจ

ทั้งบุคคลและองค์กรต่างตกเป็นเหยื่อของแผนการฉ้อฉลที่ดำเนินการโดยผู้ส่งสแปม (ผู้ที่ตกเป็นเหยื่อมักจะพยายามไม่เปิดเผยเหตุการณ์ดังกล่าว)

เช่นเดียวกับสแปม การติดต่อที่สำคัญมักจะถูกลบ ซึ่งอาจนำไปสู่การสูญเสียลูกค้า ความล้มเหลวของสัญญา และผลที่ตามมาที่ไม่พึงประสงค์อื่นๆ ความเสี่ยงในการสูญเสียอีเมลจะสูงเป็นพิเศษเมื่อใช้บัญชีดำ RBL และวิธีการกรองสแปมแบบ "คร่าวๆ" อื่นๆ

ภัยคุกคาม "ธรรมชาติ" ปัจจัยภายนอกหลายอย่างอาจส่งผลต่อความปลอดภัยของข้อมูลของบริษัท: การจัดเก็บที่ไม่เหมาะสม การขโมยคอมพิวเตอร์และสื่อ เหตุสุดวิสัย ฯลฯ อาจทำให้ข้อมูลสูญหายได้

ระบบการจัดการความปลอดภัยของข้อมูล (ISMS หรือ Information Security Management System) ช่วยให้คุณสามารถจัดการชุดมาตรการที่ใช้กลยุทธ์ที่คิดขึ้นได้ ในกรณีนี้ - ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล โปรดทราบว่าเรากำลังพูดถึงไม่เพียงแต่เกี่ยวกับการจัดการระบบที่มีอยู่เท่านั้น แต่ยังเกี่ยวกับการสร้างใหม่/การออกแบบระบบเก่าใหม่ด้วย

ชุดมาตรการประกอบด้วยองค์กร เทคนิค กายภาพ และอื่นๆ การจัดการความปลอดภัยของข้อมูลเป็นกระบวนการที่ซับซ้อน ซึ่งทำให้สามารถใช้การจัดการความปลอดภัยข้อมูลที่มีประสิทธิภาพและครอบคลุมมากที่สุดในบริษัท

วัตถุประสงค์ของการจัดการความปลอดภัยของข้อมูลคือการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล คำถามเดียวคือข้อมูลประเภทใดที่ต้องได้รับการปกป้องและควรพยายามอย่างไรเพื่อความปลอดภัย

การจัดการใด ๆ ขึ้นอยู่กับความตระหนักในสถานการณ์ที่เกิดขึ้น ในแง่ของการวิเคราะห์ความเสี่ยง การตระหนักถึงสถานการณ์จะแสดงอยู่ในสินค้าคงคลังและการประเมินสินทรัพย์ขององค์กรและสภาพแวดล้อม นั่นคือ ทุกสิ่งที่รับประกันการดำเนินกิจกรรมทางธุรกิจ จากมุมมองของการวิเคราะห์ความเสี่ยงด้านความปลอดภัยข้อมูล สินทรัพย์หลักรวมถึงข้อมูลโดยตรง โครงสร้างพื้นฐาน บุคลากร ภาพลักษณ์และชื่อเสียงของบริษัท หากไม่มีรายการทรัพย์สินในระดับกิจกรรมทางธุรกิจ ก็เป็นไปไม่ได้ที่จะตอบคำถามเกี่ยวกับสิ่งที่จำเป็นต้องได้รับการปกป้อง สิ่งสำคัญคือต้องเข้าใจว่าข้อมูลใดถูกประมวลผลในองค์กรและที่ใดที่มีการประมวลผล

ในองค์กรสมัยใหม่ขนาดใหญ่ จำนวนสินทรัพย์ข้อมูลอาจมีขนาดใหญ่มาก หากกิจกรรมขององค์กรเป็นแบบอัตโนมัติโดยใช้ระบบ ERP เราสามารถพูดได้ว่าวัตถุวัสดุเกือบทุกชนิดที่ใช้ในกิจกรรมนี้สอดคล้องกับบางส่วน วัตถุข้อมูล. ดังนั้น ภารกิจหลักของการบริหารความเสี่ยงคือการระบุสินทรัพย์ที่สำคัญที่สุด

เป็นไปไม่ได้ที่จะแก้ปัญหานี้โดยปราศจากการมีส่วนร่วมของผู้จัดการกิจกรรมหลักขององค์กรทั้งผู้จัดการระดับกลางและระดับบน สถานการณ์ที่เหมาะสมคือเมื่อผู้บริหารระดับสูงขององค์กรกำหนดกิจกรรมที่สำคัญที่สุดเป็นการส่วนตัว ซึ่งเป็นสิ่งสำคัญอย่างยิ่งในการรับรองความปลอดภัยของข้อมูล ความคิดเห็นของผู้บริหารระดับสูงเกี่ยวกับลำดับความสำคัญในการรับรองความปลอดภัยของข้อมูลมีความสำคัญและมีค่ามากในกระบวนการวิเคราะห์ความเสี่ยง แต่ในกรณีใด ๆ ควรได้รับการชี้แจงโดยการรวบรวมข้อมูลเกี่ยวกับความสำคัญของสินทรัพย์ในระดับกลางของการจัดการบริษัท ในเวลาเดียวกัน ขอแนะนำให้ทำการวิเคราะห์เพิ่มเติมอย่างแม่นยำในด้านกิจกรรมทางธุรกิจที่กำหนดโดยผู้บริหารระดับสูง ข้อมูลที่ได้รับจะถูกประมวลผล รวบรวม และส่งต่อไปยังผู้บริหารระดับสูงเพื่อประเมินสถานการณ์อย่างครอบคลุม

ข้อมูลสามารถระบุและแปลเป็นภาษาท้องถิ่นตามคำอธิบายของกระบวนการทางธุรกิจ ซึ่งข้อมูลถือเป็นทรัพยากรประเภทหนึ่ง งานจะค่อนข้างง่ายขึ้นหากองค์กรได้นำแนวทางการควบคุมทางธุรกิจมาใช้ (เช่น เพื่อวัตถุประสงค์ในการจัดการคุณภาพและการปรับกระบวนการทางธุรกิจให้เหมาะสม) คำอธิบายกระบวนการทางธุรกิจที่เป็นทางการเป็นจุดเริ่มต้นที่ดีสำหรับสินค้าคงคลังของสินทรัพย์ หากไม่มีคำอธิบาย คุณสามารถระบุสินทรัพย์ตามข้อมูลที่ได้รับจากพนักงานขององค์กร เมื่อระบุสินทรัพย์แล้ว จะต้องกำหนดมูลค่าของสินทรัพย์นั้น

งานกำหนดมูลค่าของสินทรัพย์สารสนเทศในบริบทของทั้งองค์กรมีความสำคัญและซับซ้อนที่สุด เป็นการประเมินทรัพย์สินทางข้อมูลที่จะช่วยให้หัวหน้าแผนกรักษาความปลอดภัยข้อมูลสามารถเลือกกิจกรรมหลักเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล

แต่ประสิทธิภาพทางเศรษฐกิจของกระบวนการจัดการความปลอดภัยของข้อมูลส่วนใหญ่ขึ้นอยู่กับการตระหนักรู้ถึงสิ่งที่จำเป็นต้องได้รับการปกป้องและความพยายามที่จำเป็นสำหรับสิ่งนี้ เนื่องจากในกรณีส่วนใหญ่ ปริมาณความพยายามที่ใช้จะเป็นสัดส่วนโดยตรงกับจำนวนเงินที่ใช้ไปและการดำเนินงาน ค่าใช้จ่าย การจัดการความเสี่ยงช่วยให้คุณตอบคำถามว่าจุดไหนรับความเสี่ยงได้และจุดไหนทำไม่ได้ ในกรณีของการรักษาความปลอดภัยข้อมูล คำว่า "ความเสี่ยง" หมายความว่าในบางพื้นที่ เป็นไปไม่ได้ที่จะไม่พยายามอย่างมากในการปกป้องทรัพย์สินข้อมูล และในขณะเดียวกัน ในกรณีที่มีการละเมิดความปลอดภัย องค์กรจะไม่ได้รับผลกระทบ การสูญเสียที่สำคัญ ที่นี่คุณสามารถเปรียบเทียบกับคลาสการป้องกันได้ ระบบอัตโนมัติ: ยิ่งมีความเสี่ยงมากเท่าใด ก็ยิ่งมีข้อกำหนดในการป้องกันที่เข้มงวดมากขึ้นเท่านั้น

ในการระบุผลที่ตามมาของการละเมิดความปลอดภัย บุคคลนั้นต้องมีข้อมูลเกี่ยวกับเหตุการณ์ที่บันทึกไว้ในลักษณะเดียวกัน หรือทำการวิเคราะห์สถานการณ์ การวิเคราะห์สถานการณ์ตรวจสอบความสัมพันธ์เชิงสาเหตุระหว่างเหตุการณ์การละเมิดความปลอดภัยของทรัพย์สินและผลกระทบของเหตุการณ์เหล่านั้นต่อธุรกิจขององค์กร ผลที่ตามมาของสถานการณ์ควรได้รับการประเมินโดยคนหลายคน ซ้ำแล้วซ้ำอีกหรือโดยเจตนา ควรสังเกตว่าการพัฒนาและการประเมินสถานการณ์ดังกล่าวไม่สามารถแยกขาดจากความเป็นจริงได้โดยสิ้นเชิง เราต้องจำไว้เสมอว่าสถานการณ์จะต้องเป็นไปได้ เกณฑ์และมาตราส่วนในการกำหนดมูลค่าเป็นรายบุคคลสำหรับแต่ละองค์กร จากผลการวิเคราะห์สถานการณ์ เป็นไปได้ที่จะได้รับข้อมูลเกี่ยวกับมูลค่าของสินทรัพย์

หากมีการระบุสินทรัพย์และมูลค่าของสินทรัพย์ เราสามารถพูดได้ว่าเป้าหมายของการรับประกันความปลอดภัยของข้อมูลได้รับการจัดตั้งขึ้นบางส่วน: มีการกำหนดเป้าหมายของการป้องกันและความสำคัญของการรักษาไว้ในสถานะความปลอดภัยของข้อมูลสำหรับองค์กร บางทีมันอาจเป็นเพียงการพิจารณาว่าใครต้องได้รับการปกป้อง

หลังจากกำหนดเป้าหมายของการจัดการความปลอดภัยของข้อมูลแล้ว จำเป็นต้องวิเคราะห์ปัญหาที่ทำให้ไม่สามารถเข้าใกล้สถานะเป้าหมายได้ ในระดับนี้ กระบวนการวิเคราะห์ความเสี่ยงจะลดหลั่นไปถึงโครงสร้างพื้นฐานข้อมูลและแนวคิดดั้งเดิมเกี่ยวกับความปลอดภัยของข้อมูล ซึ่งได้แก่ ผู้ละเมิด ภัยคุกคาม และความเปราะบาง

ในการประเมินความเสี่ยง การแนะนำแบบจำลองผู้บุกรุกมาตรฐานที่แยกผู้บุกรุกทั้งหมดตามประเภทของการเข้าถึงทรัพย์สินและความรู้เกี่ยวกับโครงสร้างของทรัพย์สินนั้นไม่เพียงพอ การแยกนี้ช่วยในการพิจารณาว่าภัยคุกคามใดที่สามารถส่งไปยังสินทรัพย์ได้ แต่ไม่ได้ตอบคำถามว่าโดยหลักการแล้วภัยคุกคามเหล่านี้สามารถเกิดขึ้นได้จริงหรือไม่

ในกระบวนการวิเคราะห์ความเสี่ยง จำเป็นต้องประเมินแรงจูงใจของผู้ละเมิดในการดำเนินการตามภัยคุกคาม ในขณะเดียวกัน ผู้ละเมิดไม่ได้หมายถึงแฮ็กเกอร์ภายนอกที่เป็นนามธรรมหรือคนวงใน แต่เป็นกลุ่มที่สนใจในการรับผลประโยชน์โดยการละเมิดความปลอดภัยของสินทรัพย์

ข้อมูลเบื้องต้นเกี่ยวกับรูปแบบของผู้บุกรุก เช่น ในกรณีของการเลือกพื้นที่เริ่มต้นของกิจกรรมเพื่อความปลอดภัยของข้อมูล ควรได้รับจากผู้บริหารระดับสูงที่เข้าใจตำแหน่งขององค์กรในตลาด มีข้อมูลเกี่ยวกับคู่แข่งและอะไร วิธีการมีอิทธิพลสามารถคาดหวังได้จากพวกเขา ข้อมูลที่จำเป็นในการพัฒนาแบบจำลองของผู้บุกรุกสามารถหาได้จากการศึกษาเฉพาะทางเกี่ยวกับการละเมิดในสาขา ความปลอดภัยของคอมพิวเตอร์ในสาขาธุรกิจที่ทำการวิเคราะห์ความเสี่ยง โมเดลผู้บุกรุกที่ออกแบบมาอย่างดีช่วยเสริมวัตถุประสงค์ในการประกันความปลอดภัยของข้อมูล ซึ่งกำหนดไว้ในการประเมินทรัพย์สินขององค์กร

การพัฒนาแบบจำลองภัยคุกคามและการระบุช่องโหว่นั้นเชื่อมโยงอย่างแยกไม่ออกกับรายการของสภาพแวดล้อมสินทรัพย์ข้อมูลขององค์กร ข้อมูลจะไม่ถูกจัดเก็บหรือประมวลผลด้วยตัวมันเอง การเข้าถึงนั้นมีให้โดยใช้โครงสร้างพื้นฐานข้อมูลที่ทำให้กระบวนการทางธุรกิจขององค์กรเป็นไปโดยอัตโนมัติ สิ่งสำคัญคือต้องเข้าใจว่าโครงสร้างพื้นฐานข้อมูลและสินทรัพย์ข้อมูลขององค์กรเกี่ยวข้องกันอย่างไร จากมุมมองของการจัดการความปลอดภัยของข้อมูล ความสำคัญของโครงสร้างพื้นฐานข้อมูลสามารถสร้างขึ้นได้หลังจากกำหนดความสัมพันธ์ระหว่างสินทรัพย์ข้อมูลและโครงสร้างพื้นฐานแล้วเท่านั้น ในกรณีที่กระบวนการบำรุงรักษาและดำเนินการโครงสร้างพื้นฐานข้อมูลในองค์กรได้รับการควบคุมและโปร่งใส การรวบรวมข้อมูลที่จำเป็นสำหรับการระบุภัยคุกคามและการประเมินช่องโหว่จะง่ายขึ้นอย่างมาก

การพัฒนารูปแบบภัยคุกคามเป็นงานสำหรับผู้เชี่ยวชาญด้านความปลอดภัยที่มีแนวคิดที่ดีว่าผู้บุกรุกสามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้อย่างไรโดยการละเมิดขอบเขตความปลอดภัยหรือใช้วิธีวิศวกรรมสังคม เมื่อพัฒนาแบบจำลองภัยคุกคาม เราสามารถพูดถึงสถานการณ์เป็นขั้นตอนต่อเนื่องตามภัยคุกคามที่สามารถนำไปใช้ได้ ไม่ค่อยเกิดขึ้นบ่อยนักที่ภัยคุกคามจะดำเนินการในขั้นตอนเดียวโดยใช้ช่องโหว่เดียวในระบบ

แบบจำลองภัยคุกคามควรรวมภัยคุกคามทั้งหมดที่ระบุว่าเป็นผลลัพธ์ของกระบวนการจัดการความปลอดภัยของข้อมูลที่เกี่ยวข้อง เช่น ช่องโหว่และการจัดการเหตุการณ์ ต้องจำไว้ว่าภัยคุกคามจะต้องได้รับการจัดอันดับให้สัมพันธ์กันตามระดับความน่าจะเป็นของการดำเนินการ ในการทำเช่นนี้ ในกระบวนการพัฒนารูปแบบภัยคุกคามสำหรับแต่ละภัยคุกคาม จำเป็นต้องระบุปัจจัยที่สำคัญที่สุด การมีอยู่ของปัจจัยที่ส่งผลต่อการนำไปปฏิบัติ

นโยบายความปลอดภัยขึ้นอยู่กับการวิเคราะห์ความเสี่ยงที่ได้รับการยอมรับว่าเป็นจริงสำหรับระบบสารสนเทศขององค์กร เมื่อวิเคราะห์ความเสี่ยงและกำหนดกลยุทธ์การป้องกันแล้ว โปรแกรมรักษาความปลอดภัยข้อมูลจะถูกร่างขึ้น มีการจัดสรรทรัพยากรสำหรับโปรแกรมนี้ มีการแต่งตั้งผู้รับผิดชอบ กำหนดขั้นตอนสำหรับการตรวจสอบการใช้งานโปรแกรม ฯลฯ

ในความหมายกว้างๆ นโยบายความปลอดภัยถูกกำหนดให้เป็นระบบเอกสาร การตัดสินใจของฝ่ายบริหารเพื่อความปลอดภัยขององค์กร ในความหมายที่แคบ นโยบายความปลอดภัยมักถูกเข้าใจว่าเป็นเอกสารกำกับดูแลท้องถิ่นที่กำหนดข้อกำหนดด้านความปลอดภัย ระบบมาตรการ หรือลำดับการดำเนินการ ตลอดจนความรับผิดชอบของพนักงานขององค์กรและกลไกการควบคุมสำหรับพื้นที่เฉพาะของ การรักษาความปลอดภัย

ก่อนเริ่มสร้างนโยบายความปลอดภัยของข้อมูล จำเป็นต้องเข้าใจแนวคิดพื้นฐานที่เราจะนำไปใช้

ข้อมูล - ข้อมูล (ข้อความ ข้อมูล) โดยไม่คำนึงถึงรูปแบบการนำเสนอ

การรักษาความลับของข้อมูลเป็นข้อกำหนดบังคับสำหรับบุคคลที่สามารถเข้าถึงข้อมูลบางอย่างที่จะไม่ถ่ายโอนข้อมูลดังกล่าวไปยังบุคคลที่สามโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

ความปลอดภัยของข้อมูล (IS) คือสถานะของการปกป้องสภาพแวดล้อมข้อมูลของสังคม ทำให้มั่นใจได้ถึงการก่อตัว การใช้ และการพัฒนาเพื่อผลประโยชน์ของประชาชน องค์กร รัฐ

แนวคิดของ "ข้อมูล" ในปัจจุบันมีการใช้กันอย่างแพร่หลายและหลากหลาย

การดูแลความปลอดภัยของข้อมูลไม่สามารถทำเพียงครั้งเดียวได้ นี่เป็นกระบวนการต่อเนื่องซึ่งประกอบด้วยการพิสูจน์และดำเนินการตามวิธีการที่สมเหตุสมผล วิธีการและวิธีการในการปรับปรุงและพัฒนาระบบการป้องกัน การตรวจสอบสภาพอย่างต่อเนื่อง การระบุจุดอ่อนและการกระทำที่ผิดกฎหมาย

ความปลอดภัยของข้อมูลสามารถมั่นใจได้ด้วยการใช้เครื่องมือป้องกันที่มีอยู่อย่างครบวงจรในองค์ประกอบโครงสร้างทั้งหมดของระบบการผลิตและในทุกขั้นตอนของวงจรเทคโนโลยีของการประมวลผลข้อมูล ผลที่ยิ่งใหญ่ที่สุดจะเกิดขึ้นได้เมื่อวิธีการ วิธีการ และมาตรการทั้งหมดที่ใช้รวมกันเป็นกลไกแบบองค์รวมเดียวของระบบการป้องกันข้อมูล ในขณะเดียวกันควรติดตาม ปรับปรุง และเสริมการทำงานของระบบตามการเปลี่ยนแปลงของสภาวะภายนอกและภายใน

ตามมาตรฐาน GOST R ISO / IEC 15408:2005 ข้อกำหนดด้านความปลอดภัยประเภทต่อไปนี้สามารถแยกแยะได้:

การทำงานที่สอดคล้องกับลักษณะการใช้งานของการป้องกันที่กำหนดไว้ในฟังก์ชั่นความปลอดภัยและกลไกที่นำไปใช้

ข้อกำหนดด้านการรับประกัน ซึ่งสอดคล้องกับด้านเชิงรับ ที่กำหนดให้กับเทคโนโลยีและกระบวนการพัฒนาและการดำเนินงาน

เป็นสิ่งสำคัญมากที่ความปลอดภัยในมาตรฐานนี้จะไม่พิจารณาแบบคงที่ แต่สัมพันธ์กับวงจรชีวิตของเป้าหมายของการประเมิน ขั้นตอนต่อไปนี้มีความโดดเด่น:

การกำหนดวัตถุประสงค์ เงื่อนไขการใช้งาน เป้าหมาย และข้อกำหนดด้านความปลอดภัย

การออกแบบและพัฒนา

การทดสอบ การประเมิน และการรับรอง;

การนำไปใช้และการดำเนินงาน

ดังนั้น มาดูข้อกำหนดด้านความปลอดภัยในการทำงานให้ละเอียดยิ่งขึ้น พวกเขารวมถึง:

การปกป้องข้อมูลผู้ใช้

การป้องกันฟังก์ชั่นความปลอดภัย (ข้อกำหนดเกี่ยวข้องกับความสมบูรณ์และการควบคุมของบริการรักษาความปลอดภัยเหล่านี้และกลไกที่นำไปใช้)

การจัดการความปลอดภัย (ข้อกำหนดของคลาสนี้เกี่ยวข้องกับการจัดการแอตทริบิวต์และพารามิเตอร์ความปลอดภัย)

การตรวจสอบความปลอดภัย (การระบุ การลงทะเบียน การจัดเก็บ การวิเคราะห์ข้อมูลที่มีผลกระทบต่อความปลอดภัยของวัตถุการประเมิน การตอบสนองต่อการละเมิดความปลอดภัยที่อาจเกิดขึ้น)

ความเป็นส่วนตัว (การปกป้องผู้ใช้จากการเปิดเผยและการใช้ข้อมูลระบุตัวตนของเขาโดยไม่ได้รับอนุญาต)

การใช้ทรัพยากร (ข้อกำหนดสำหรับความพร้อมใช้งานของข้อมูล)

การสื่อสาร (การรับรองความถูกต้องของฝ่ายที่เกี่ยวข้องในการแลกเปลี่ยนข้อมูล)

เส้นทาง/ช่องทางที่เชื่อถือได้ (สำหรับการสื่อสารกับบริการรักษาความปลอดภัย)

ตามข้อกำหนดเหล่านี้จำเป็นต้องสร้างระบบรักษาความปลอดภัยข้อมูลขององค์กร

ระบบรักษาความปลอดภัยข้อมูลขององค์กรประกอบด้วยส่วนต่าง ๆ ดังต่อไปนี้:

ข้อบังคับ;

องค์กร (การบริหาร);

ทางเทคนิค

ซอฟต์แวร์;

สำหรับการประเมินสถานการณ์ที่สมบูรณ์ขององค์กรในทุกด้านของการรักษาความปลอดภัย จำเป็นต้องพัฒนาแนวคิดด้านความปลอดภัยข้อมูลที่จะสร้างแนวทางที่เป็นระบบในการแก้ปัญหาความปลอดภัยของทรัพยากรข้อมูลและนำเสนอเป้าหมายวัตถุประสงค์อย่างเป็นระบบ หลักการออกแบบและชุดมาตรการเพื่อความปลอดภัยของข้อมูลที่องค์กร

ระบบการจัดการเครือข่ายองค์กรควรเป็นไปตามหลักการ (งาน):

สร้างความมั่นใจในการป้องกันโครงสร้างพื้นฐานข้อมูลที่มีอยู่ขององค์กรจากการแทรกแซงของผู้บุกรุก

ให้เงื่อนไขสำหรับการแปลและลดความเสียหายที่อาจเกิดขึ้น;

การยกเว้นการปรากฏตัวในระยะแรกของสาเหตุของการเกิดขึ้นของแหล่งที่มาของภัยคุกคาม

สร้างความมั่นใจในการปกป้องข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่สามประเภทหลัก (ความพร้อมใช้งาน ความสมบูรณ์ การรักษาความลับ)

การแก้ปัญหาของงานข้างต้นทำได้โดย;

การควบคุมการกระทำของผู้ใช้งานด้วยระบบสารสนเทศ

การควบคุมการกระทำของผู้ใช้งานกับฐานข้อมูล

ข้อกำหนดแบบครบวงจรสำหรับความน่าเชื่อถือของวิธีการทางเทคนิคและ ซอฟต์แวร์;

ขั้นตอนการตรวจสอบการทำงานของระบบข้อมูล (การบันทึกเหตุการณ์ การวิเคราะห์โปรโตคอล การวิเคราะห์การรับส่งข้อมูลเครือข่าย การวิเคราะห์การทำงานของเครื่องมือทางเทคนิค)

นโยบายความปลอดภัยของข้อมูลประกอบด้วย:

เอกสารหลักคือ "นโยบายความปลอดภัย" โดยทั่วไปจะอธิบายถึงนโยบายความปลอดภัยขององค์กร บทบัญญัติทั่วไปตลอดจนเอกสารที่เกี่ยวข้องสำหรับนโยบายทุกด้าน

คำแนะนำในการควบคุมการทำงานของผู้ใช้

รายละเอียดงานผู้ดูแลระบบ เครือข่ายท้องถิ่น;

รายละเอียดงานของผู้ดูแลระบบฐานข้อมูล

คำแนะนำสำหรับการทำงานกับแหล่งข้อมูลทางอินเทอร์เน็ต

คำแนะนำในการจัดระเบียบการป้องกันด้วยรหัสผ่าน

คำแนะนำในการจัดระบบป้องกันไวรัส

เอกสาร "นโยบายความปลอดภัย" มีข้อกำหนดหลัก สร้างโปรแกรมรักษาความปลอดภัยข้อมูล คำอธิบายงาน และคำแนะนำ

คำแนะนำในการควบคุมการทำงานของผู้ใช้เครือข่ายท้องถิ่นขององค์กรควบคุมขั้นตอนการอนุญาตให้ผู้ใช้ทำงานในพื้นที่ เครือข่ายคอมพิวเตอร์องค์กรตลอดจนกฎสำหรับการจัดการข้อมูลที่ได้รับการคุ้มครองซึ่งประมวลผล จัดเก็บ และส่งต่อในองค์กร

รายละเอียดงานของผู้ดูแลระบบเครือข่ายท้องถิ่นอธิบายถึงหน้าที่ของผู้ดูแลระบบเครือข่ายท้องถิ่นเกี่ยวกับความปลอดภัยของข้อมูล

รายละเอียดงานของผู้ดูแลระบบฐานข้อมูลกำหนดหน้าที่หลัก ฟังก์ชัน และสิทธิ์ของผู้ดูแลระบบฐานข้อมูล มันอธิบายทุกอย่างอย่างละเอียด หน้าที่ราชการและหน้าที่ของผู้ดูแลระบบฐานข้อมูล ตลอดจนสิทธิ หน้าที่ความรับผิดชอบ

คำแนะนำสำหรับการทำงานกับแหล่งข้อมูลทางอินเทอร์เน็ตสะท้อนถึงกฎพื้นฐาน การทำงานที่ปลอดภัยกับอินเทอร์เน็ต ยังมีรายการการกระทำที่ยอมรับได้และไม่ยอมรับเมื่อทำงานกับทรัพยากรอินเทอร์เน็ต

คำแนะนำสำหรับองค์กรของการป้องกันไวรัสกำหนดบทบัญญัติหลักข้อกำหนดสำหรับองค์กรของการป้องกันไวรัสของระบบข้อมูลขององค์กรทุกด้านที่เกี่ยวข้องกับการทำงานของซอฟต์แวร์ป้องกันไวรัสตลอดจนความรับผิดชอบในกรณีที่มีการละเมิด การป้องกันไวรัส

คำแนะนำเกี่ยวกับองค์กรของการป้องกันด้วยรหัสผ่านจะควบคุมการสนับสนุนขององค์กรและด้านเทคนิคสำหรับกระบวนการสร้าง การเปลี่ยนแปลง และการยกเลิกรหัสผ่าน (การลบบัญชีผู้ใช้) นอกจากนี้ยังควบคุมการกระทำของผู้ใช้และเจ้าหน้าที่บำรุงรักษาเมื่อทำงานกับระบบ

ดังนั้น พื้นฐานสำหรับการจัดระเบียบกระบวนการปกป้องข้อมูลคือนโยบายความปลอดภัยที่กำหนดขึ้นเพื่อกำหนดว่าภัยคุกคามใดและวิธีการป้องกันข้อมูลในระบบข้อมูล

นโยบายความปลอดภัยคือชุดของมาตรการทางกฎหมาย องค์กร และทางเทคนิคเพื่อปกป้องข้อมูลที่นำไปใช้ในองค์กรใดองค์กรหนึ่ง นั่นคือ นโยบายความปลอดภัยประกอบด้วยชุดของเงื่อนไขที่ผู้ใช้สามารถเข้าถึงทรัพยากรระบบได้โดยไม่สูญเสียคุณสมบัติความปลอดภัยของข้อมูลของระบบนี้

งานด้านการรับรองความปลอดภัยของข้อมูลควรได้รับการแก้ไขอย่างเป็นระบบ ซึ่งหมายความว่าการป้องกันต่างๆ (ฮาร์ดแวร์ ซอฟต์แวร์ กายภาพ องค์กร ฯลฯ) ต้องใช้พร้อมกันและอยู่ภายใต้การควบคุมจากส่วนกลาง

จนถึงปัจจุบัน มีวิธีการมากมายในการรับรองความปลอดภัยของข้อมูล:

วิธีการระบุและรับรองความถูกต้องของผู้ใช้

วิธีเข้ารหัสข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์และส่งผ่านเครือข่าย

ไฟร์วอลล์;

เครือข่ายส่วนตัวเสมือน

เครื่องมือกรองเนื้อหา

เครื่องมือสำหรับตรวจสอบความสมบูรณ์ของเนื้อหาของดิสก์

วิธีการป้องกันไวรัส

ระบบตรวจจับและวิเคราะห์ช่องโหว่ของเครือข่าย การโจมตีเครือข่าย.

แต่ละเครื่องมือเหล่านี้สามารถใช้ได้ทั้งแบบแยกอิสระและใช้ร่วมกับเครื่องมืออื่นๆ ทำให้สามารถสร้างระบบ การป้องกันข้อมูลสำหรับเครือข่ายที่มีความซับซ้อนและการกำหนดค่า โดยไม่คำนึงถึงแพลตฟอร์มที่ใช้

การพิสูจน์ตัวตน (หรือการระบุตัวตน) การอนุญาต และระบบการจัดการ การระบุและการอนุญาตเป็นองค์ประกอบสำคัญของความปลอดภัยของข้อมูล ฟังก์ชันการให้สิทธิ์มีหน้าที่รับผิดชอบทรัพยากรที่ผู้ใช้รายใดมีสิทธิ์เข้าถึง ฟังก์ชันการดูแลระบบคือการจัดหาคุณสมบัติการระบุตัวตนบางอย่างให้กับผู้ใช้ภายในเครือข่ายที่กำหนด และกำหนดขอบเขตของการดำเนินการที่อนุญาตสำหรับผู้ใช้

ระบบเข้ารหัสช่วยลดการสูญเสียให้เหลือน้อยที่สุดในกรณีที่มีการเข้าถึงข้อมูลที่จัดเก็บไว้ในฮาร์ดไดรฟ์หรือสื่ออื่นๆ โดยไม่ได้รับอนุญาต เช่นเดียวกับการสกัดกั้นข้อมูลเมื่อส่งทางอีเมลหรือส่งผ่าน โปรโตคอลเครือข่าย. งาน เครื่องมือนี้การป้องกัน - การรักษาความลับ ข้อกำหนดพื้นฐานสำหรับระบบเข้ารหัส - ระดับสูงความเสถียรของการเข้ารหัสและความถูกต้องตามกฎหมายในการใช้งานในรัสเซีย (หรือรัฐอื่น ๆ )

ไฟร์วอลล์คือระบบหรือการรวมกันของระบบที่สร้างเกราะป้องกันระหว่างสองเครือข่ายหรือมากกว่าที่ป้องกันไม่ให้แพ็กเก็ตข้อมูลที่ไม่ได้รับอนุญาตเข้าหรือออกจากเครือข่าย

หลักการพื้นฐานของไฟร์วอลล์คือการตรวจสอบแต่ละแพ็กเก็ตสำหรับความสอดคล้องกันของที่อยู่ IP ขาเข้าและขาออกกับฐานของที่อยู่ที่อนุญาต ดังนั้น ไฟร์วอลล์จึงขยายความเป็นไปได้อย่างมากในการแบ่งส่วนเครือข่ายข้อมูลและควบคุมการไหลเวียนของข้อมูล

เมื่อพูดถึงการเข้ารหัสและไฟร์วอลล์ เราควรพูดถึงเครือข่ายส่วนตัวเสมือนที่ปลอดภัย (Virtual Private Network - VPN) การใช้งานช่วยให้คุณสามารถแก้ปัญหาการรักษาความลับและความสมบูรณ์ของข้อมูลเมื่อมีการส่งผ่านแบบเปิด ช่องทางการติดต่อสื่อสาร. การใช้ VPN สามารถลดลงเพื่อแก้ปัญหาหลักสามประการ:

การป้องกันการไหลของข้อมูลระหว่างสำนักงานต่าง ๆ ของ บริษัท (ข้อมูลถูกเข้ารหัสเฉพาะที่ทางออกไปยังเครือข่ายภายนอก)

การเข้าถึงอย่างปลอดภัยของผู้ใช้เครือข่ายระยะไกลไปยังทรัพยากรข้อมูลของบริษัท โดยปกติผ่านทางอินเทอร์เน็ต

การป้องกันการไหลของข้อมูลระหว่างแต่ละแอปพลิเคชันภายในเครือข่ายองค์กร (ด้านนี้มีความสำคัญมากเช่นกัน เนื่องจากการโจมตีส่วนใหญ่ดำเนินการจากเครือข่ายภายใน)

วิธีที่มีประสิทธิภาพในการป้องกันการสูญหายของข้อมูลที่เป็นความลับคือการกรองเนื้อหาของอีเมลขาเข้าและขาออก การตรวจสอบข้อความอีเมลและไฟล์แนบตามกฎที่กำหนดโดยองค์กรยังช่วยปกป้องบริษัทจากความรับผิดทางกฎหมายและปกป้องพนักงานจากสแปม เครื่องมือกรองเนื้อหาช่วยให้คุณสแกนไฟล์ในรูปแบบทั่วไปทั้งหมด รวมถึงไฟล์บีบอัดและไฟล์กราฟิก ในนั้น ปริมาณงานเครือข่ายยังคงไม่เปลี่ยนแปลง

การเปลี่ยนแปลงทั้งหมดบนเวิร์กสเตชันหรือเซิร์ฟเวอร์สามารถติดตามได้โดยผู้ดูแลระบบเครือข่ายหรือผู้ใช้ที่ได้รับอนุญาตอื่น ๆ ด้วยเทคโนโลยีการตรวจสอบความสมบูรณ์ของเนื้อหา ฮาร์ดไดรฟ์(การตรวจสอบความสมบูรณ์). สิ่งนี้ทำให้คุณสามารถตรวจจับการกระทำใดๆ กับไฟล์ (การแก้ไข การลบ หรือเพียงแค่เปิด) และระบุกิจกรรมของไวรัส การเข้าถึงโดยไม่ได้รับอนุญาต หรือการโจรกรรมข้อมูลโดยผู้ใช้ที่ได้รับอนุญาต การควบคุมขึ้นอยู่กับการวิเคราะห์ผลรวมการตรวจสอบไฟล์ (ผลรวม CRC)

เทคโนโลยีป้องกันไวรัสสมัยใหม่ทำให้สามารถตรวจจับโปรแกรมไวรัสที่รู้จักได้เกือบทั้งหมดโดยเปรียบเทียบรหัสของไฟล์ที่น่าสงสัยกับตัวอย่างที่จัดเก็บไว้ในฐานข้อมูลป้องกันไวรัส นอกจากนี้ยังมีการพัฒนาเทคโนโลยีการสร้างแบบจำลองพฤติกรรมเพื่อตรวจจับโปรแกรมไวรัสที่สร้างขึ้นใหม่ วัตถุที่ตรวจพบสามารถฆ่าเชื้อ แยก (กักกัน) หรือลบออกได้ สามารถติดตั้งการป้องกันไวรัสบนเวิร์กสเตชัน ไฟล์และเมลเซิร์ฟเวอร์ ไฟร์วอลล์ที่ทำงานภายใต้ระบบปฏิบัติการทั่วไปเกือบทั้งหมด (ระบบ Windows, Unix และ Linux, Novell) บนโปรเซสเซอร์ประเภทต่างๆ

ตัวกรองสแปมช่วยลดต้นทุนแรงงานที่ไม่ก่อผลซึ่งเกี่ยวข้องกับการแยกวิเคราะห์สแปม ลดทราฟฟิกและโหลดเซิร์ฟเวอร์ ปรับปรุงภูมิหลังทางจิตวิทยาในทีม และลดความเสี่ยงของพนักงานบริษัทที่เกี่ยวข้องกับการทำธุรกรรมฉ้อโกง นอกจากนี้ ตัวกรองสแปมช่วยลดความเสี่ยงในการติดไวรัสตัวใหม่ เนื่องจากข้อความที่มีไวรัส (แม้ว่าจะยังไม่รวมอยู่ในฐานข้อมูลก็ตาม) โปรแกรมป้องกันไวรัส) มักจะแสดงสัญญาณของสแปมและถูกกรองออก จริงอยู่ ผลในเชิงบวกของการกรองสแปมสามารถถูกขีดฆ่าได้หากตัวกรองพร้อมกับขยะลบหรือทำเครื่องหมายว่าเป็นสแปมและข้อความที่เป็นประโยชน์ ธุรกิจหรือส่วนตัว

ความเสียหายใหญ่หลวงต่อบริษัทที่เกิดจากไวรัสและการโจมตีของแฮ็กเกอร์ส่วนใหญ่เป็นผลมาจากจุดอ่อนในซอฟต์แวร์ที่ใช้ คุณสามารถระบุล่วงหน้าโดยไม่ต้องรอให้มีการโจมตีจริง โดยใช้ระบบตรวจจับช่องโหว่ เครือข่ายคอมพิวเตอร์และวิเคราะห์การโจมตีเครือข่าย ซอฟต์แวร์ดังกล่าวจำลองการโจมตีทั่วไปและวิธีการบุกรุกได้อย่างปลอดภัย และกำหนดว่าแฮ็กเกอร์สามารถมองเห็นอะไรได้บ้างบนเครือข่ายและวิธีที่เขาสามารถใช้ทรัพยากรได้

เพื่อต่อต้านภัยคุกคามตามธรรมชาติต่อความปลอดภัยของข้อมูล บริษัทควรพัฒนาและดำเนินการชุดของขั้นตอนเพื่อป้องกันสถานการณ์ฉุกเฉิน (เช่น เพื่อให้แน่ใจว่ามีการป้องกันทางกายภาพของข้อมูลจากไฟไหม้) และลดความเสียหายให้น้อยที่สุดหากเกิดสถานการณ์ดังกล่าวขึ้น วิธีการหลักอย่างหนึ่งในการป้องกันข้อมูลสูญหายคือการสำรองข้อมูลโดยปฏิบัติตามขั้นตอนที่กำหนดอย่างเคร่งครัด (ความสม่ำเสมอ ประเภทของสื่อ วิธีการจัดเก็บสำเนา ฯลฯ)

นโยบายความปลอดภัยของข้อมูลคือชุดเอกสารที่ควบคุมการทำงานของพนักงาน อธิบายกฎพื้นฐานสำหรับการทำงานกับข้อมูล ระบบข้อมูล ฐานข้อมูล เครือข่ายท้องถิ่น และทรัพยากรอินเทอร์เน็ต สิ่งสำคัญคือต้องทำความเข้าใจว่านโยบายความปลอดภัยของข้อมูลครอบคลุมส่วนใด ระบบทั่วไปการจัดการองค์กร ต่อไปนี้เป็นมาตรการทั่วไปขององค์กรที่เกี่ยวข้องกับนโยบายความปลอดภัย

ในระดับขั้นตอนสามารถจำแนกประเภทของมาตรการต่อไปนี้ได้:

การบริหารงานบุคคล

การป้องกันทางกายภาพ

รักษาประสิทธิภาพ;

การตอบสนองต่อการละเมิดความปลอดภัย

การวางแผนการบูรณะ

การจัดการทรัพยากรมนุษย์เริ่มต้นด้วยการจ้างงาน แต่ก่อนหน้านั้น คุณควรกำหนดสิทธิ์ใช้งานคอมพิวเตอร์ที่เกี่ยวข้องกับตำแหน่ง มีหลักการทั่วไปสองข้อที่ควรคำนึงถึง:

การแบ่งแยกหน้าที่

การลดสิทธิพิเศษ

หลักการแบ่งแยกหน้าที่กำหนดวิธีการกระจายบทบาทและความรับผิดชอบเพื่อให้คนคนเดียวไม่สามารถขัดขวางกระบวนการที่มีความสำคัญต่อองค์กร ตัวอย่างเช่น สถานการณ์ที่การจ่ายเงินจำนวนมากในนามขององค์กรดำเนินการโดยบุคคลคนเดียวเป็นสิ่งที่ไม่พึงปรารถนา จะปลอดภัยกว่าที่จะมอบความไว้วางใจให้พนักงานคนหนึ่งดำเนินการกับแอปพลิเคชันสำหรับการชำระเงินดังกล่าว และให้อีกคนหนึ่งเป็นผู้รับรองแอปพลิเคชันเหล่านี้ อีกตัวอย่างหนึ่งคือข้อ จำกัด ของขั้นตอนในการดำเนินการของผู้ใช้ระดับสูง เป็นไปได้ที่จะ "แยก" รหัสผ่าน superuser โดยปลอมโดยให้ส่วนแรกแก่พนักงานคนหนึ่งและส่วนที่สองให้กับอีกคนหนึ่ง จากนั้นมีเพียงสองคนเท่านั้นที่จะสามารถดำเนินการที่สำคัญอย่างยิ่งยวดสำหรับการดูแลระบบข้อมูล ซึ่งช่วยลดโอกาสในการเกิดข้อผิดพลาดและการใช้งานในทางที่ผิด

หลักการลดสิทธิพิเศษกำหนดให้จัดสรรให้กับผู้ใช้เฉพาะสิทธิ์การเข้าถึงที่จำเป็นในการปฏิบัติหน้าที่ จุดประสงค์ของหลักการนี้ชัดเจน - เพื่อลดความเสียหายจากการกระทำที่ไม่ถูกต้องโดยไม่ได้ตั้งใจหรือโดยเจตนา

การเตรียมรายละเอียดงานเบื้องต้นช่วยให้คุณประเมินความสำคัญและวางแผนขั้นตอนการตรวจสอบและคัดเลือกผู้สมัครได้ ยิ่งตำแหน่งมีความรับผิดชอบมากเท่าไหร่ คุณก็ยิ่งต้องตรวจสอบผู้สมัครอย่างระมัดระวังมากขึ้น: สอบถามข้อมูลเกี่ยวกับพวกเขา, อาจพูดคุยกับอดีตเพื่อนร่วมงาน ฯลฯ ขั้นตอนดังกล่าวอาจใช้เวลานานและมีราคาแพง ดังนั้นจึงไม่มีประเด็นใดที่จะทำให้ขั้นตอนนี้ยุ่งยากอีกต่อไป ในขณะเดียวกันก็ไม่ฉลาดที่จะปฏิเสธการตรวจสอบเบื้องต้นโดยสิ้นเชิงเพื่อไม่ให้จ้างบุคคลที่มีอดีตอาชญากรหรือมีอาการป่วยทางจิตโดยไม่ตั้งใจ

เมื่อระบุผู้สมัครได้แล้ว พวกเขามีแนวโน้มที่จะเข้ารับการฝึกอบรม อย่างน้อยที่สุดเขาควรจะคุ้นเคยกับหน้าที่ของงานตลอดจนกฎและขั้นตอนการรักษาความปลอดภัยของข้อมูล ขอแนะนำให้เขาเรียนรู้มาตรการรักษาความปลอดภัยก่อนเข้ารับตำแหน่งและก่อนตั้งค่าบัญชีระบบของเขาด้วยชื่อล็อกอิน รหัสผ่าน และสิทธิพิเศษ

ความปลอดภัยของระบบสารสนเทศขึ้นอยู่กับสภาพแวดล้อมที่มันทำงาน ต้องดำเนินมาตรการเพื่อปกป้องอาคารและบริเวณโดยรอบ สนับสนุนโครงสร้างพื้นฐาน วิทยาศาสตร์คอมพิวเตอร์, สื่อจัดเก็บข้อมูล.

พิจารณาด้านการป้องกันทางกายภาพต่อไปนี้:

การควบคุมการเข้าถึงทางกายภาพ

การป้องกันโครงสร้างพื้นฐานที่สนับสนุน

การป้องกันระบบมือถือ

มาตรการควบคุมการเข้าถึงทางกายภาพช่วยให้คุณสามารถควบคุมและจำกัดการเข้าและออกของพนักงานและผู้มาติดต่อหากจำเป็น สามารถควบคุมอาคารทั้งหมดขององค์กร รวมถึงสถานที่แต่ละแห่ง เช่น ที่ตั้งเซิร์ฟเวอร์ อุปกรณ์สื่อสาร ฯลฯ ได้

โครงสร้างพื้นฐานที่สนับสนุน ได้แก่ ไฟฟ้า ระบบจ่ายน้ำและความร้อน เครื่องปรับอากาศ และการสื่อสาร โดยหลักการแล้ว ข้อกำหนดด้านความสมบูรณ์และความพร้อมใช้งานแบบเดียวกันนี้ใช้กับระบบข้อมูล เพื่อให้มั่นใจถึงความสมบูรณ์ อุปกรณ์ต้องได้รับการปกป้องจากการโจรกรรมและความเสียหาย เพื่อรักษาความพร้อมใช้งาน คุณควรเลือกอุปกรณ์ที่มีเวลาสูงสุดระหว่างความล้มเหลว โหนดวิกฤตที่ซ้ำกัน และมีอะไหล่สำรองอยู่เสมอ

โดยทั่วไป เมื่อเลือกวิธีการป้องกันทางกายภาพ ควรทำการวิเคราะห์ความเสี่ยง ดังนั้นเมื่อตัดสินใจซื้อเครื่องสำรองไฟฟ้าจำเป็นต้องคำนึงถึงคุณภาพของแหล่งจ่ายไฟในอาคารที่ครอบครองโดยองค์กร (อย่างไรก็ตามเกือบจะแย่อย่างแน่นอน) ลักษณะและระยะเวลาของพลังงาน ความล้มเหลว ต้นทุนของแหล่งที่มีอยู่และ การสูญเสียที่เป็นไปได้จากอุบัติเหตุ (การเสียของอุปกรณ์ การหยุดทำงานขององค์กร ฯลฯ)

พิจารณามาตรการต่างๆ เพื่อรักษาความสมบูรณ์ของระบบข้อมูล มันอยู่ในบริเวณนี้ที่อันตรายที่ยิ่งใหญ่ที่สุดแฝงตัวอยู่ ข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ดูแลระบบและผู้ใช้อาจนำไปสู่การสูญเสียประสิทธิภาพ ได้แก่ ความเสียหายต่ออุปกรณ์ การทำลายโปรแกรมและข้อมูล นี่เป็นกรณีที่เลวร้ายที่สุด อย่างดีที่สุด พวกเขาสร้างช่องโหว่ด้านความปลอดภัยที่อนุญาตให้ดำเนินการคุกคามต่อความปลอดภัยของระบบ

ปัญหาหลักของหลาย ๆ องค์กรคือการประเมินปัจจัยด้านความปลอดภัยในการทำงานประจำวันต่ำเกินไป เครื่องมือรักษาความปลอดภัยราคาแพงจะไร้ค่าหากมีการจัดทำเอกสารไม่ดี ขัดแย้งกับซอฟต์แวร์อื่น และรหัสผ่าน ผู้ดูแลระบบไม่มีการเปลี่ยนแปลงตั้งแต่การติดตั้ง

สำหรับกิจกรรมประจำวันที่มีเป้าหมายเพื่อรักษาความสมบูรณ์ของระบบข้อมูล การดำเนินการต่อไปนี้สามารถแยกแยะได้:

การสนับสนุนผู้ใช้

การสนับสนุนซอฟต์แวร์

การจัดการการตั้งค่า;

สำรอง;

การจัดการสื่อ

เอกสาร;

งานซ่อมบำรุง.

การสนับสนุนผู้ใช้หมายถึงประการแรกคือการให้คำปรึกษาและความช่วยเหลือในการแก้ปัญหาประเภทต่างๆ เป็นสิ่งสำคัญมากในลำดับของคำถามเพื่อให้สามารถระบุปัญหาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลได้ ดังนั้น ปัญหามากมายของผู้ใช้ที่ทำงานบนคอมพิวเตอร์ส่วนบุคคลอาจเป็นผลมาจากการติดไวรัส ขอแนะนำให้บันทึกคำถามของผู้ใช้เพื่อระบุคำถามเหล่านั้น ข้อผิดพลาดทั่วไปและออกแผ่นพับพร้อมคำแนะนำสำหรับสถานการณ์ทั่วไป

การสนับสนุนซอฟต์แวร์เป็นหนึ่งในวิธีการที่สำคัญที่สุดในการรับรองความสมบูรณ์ของข้อมูล ก่อนอื่น คุณต้องติดตามว่ามีซอฟต์แวร์ใดติดตั้งอยู่ในคอมพิวเตอร์ หากผู้ใช้ติดตั้งโปรแกรมด้วยตัวเอง อาจนำไปสู่การติดไวรัสได้ เช่นเดียวกับการปรากฏตัวของโปรแกรมอรรถประโยชน์ที่ข้ามมาตรการรักษาความปลอดภัย มีแนวโน้มว่า "ความคิดริเริ่ม" ของผู้ใช้จะค่อยๆ นำไปสู่ความโกลาหลในคอมพิวเตอร์ และผู้ดูแลระบบจะต้องแก้ไขสถานการณ์

ลักษณะที่สองของการสนับสนุนซอฟต์แวร์คือการควบคุมไม่ให้มีการเปลี่ยนแปลงโปรแกรมโดยไม่ได้รับอนุญาตและสิทธิ์ในการเข้าถึงโปรแกรมเหล่านั้น ซึ่งรวมถึงการสนับสนุนสำเนาหลัก ระบบซอฟต์แวร์. โดยทั่วไปแล้ว การควบคุมทำได้โดยการผสมผสานระหว่างการควบคุมการเข้าถึงทางกายภาพและทางลอจิคัล เช่นเดียวกับการใช้ยูทิลิตีการตรวจสอบความถูกต้องและความสมบูรณ์

การจัดการการกำหนดค่าช่วยให้คุณควบคุมและบันทึกการเปลี่ยนแปลงที่เกิดขึ้นได้ การกำหนดค่าซอฟต์แวร์. ประการแรก จำเป็นต้องประกันการดัดแปลงโดยไม่ได้ตั้งใจหรือโดยไม่ได้ตั้งใจเพื่อให้สามารถกลับไปใช้เวอร์ชันการทำงานก่อนหน้านี้ได้อย่างน้อย การยอมรับการเปลี่ยนแปลงจะทำให้ง่ายต่อการกู้คืนเวอร์ชันปัจจุบันหลังจากเกิดข้อขัดข้อง

วิธีที่ดีที่สุดในการลดข้อผิดพลาดในการทำงานประจำคือการทำให้เป็นอัตโนมัติมากที่สุด ระบบอัตโนมัติและความปลอดภัยขึ้นอยู่กับกันและกัน เนื่องจากผู้ที่ให้ความสำคัญกับการอำนวยความสะดวกในงานของตนเป็นอันดับแรก อันที่จริงแล้วจะสร้างระบอบการรักษาความปลอดภัยข้อมูลอย่างเหมาะสมที่สุด

การสำรองข้อมูลเป็นสิ่งจำเป็นในการกู้คืนโปรแกรมและข้อมูลหลังเกิดภัยพิบัติ และที่นี่ขอแนะนำให้ทำงานโดยอัตโนมัติอย่างน้อยโดยสร้างตารางคอมพิวเตอร์สำหรับสร้างสำเนาทั้งหมดและที่เพิ่มขึ้นและสูงสุดโดยใช้ผลิตภัณฑ์ซอฟต์แวร์ที่เหมาะสม นอกจากนี้ยังจำเป็นต้องจัดสำเนาให้อยู่ในที่ปลอดภัย ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต อัคคีภัย การรั่วไหล ซึ่งหมายถึงจากสิ่งใดก็ตามที่อาจนำไปสู่การโจรกรรมหรือความเสียหายต่อสื่อ ดีที่มีสำเนาหลายชุด การสำรองข้อมูลและจัดเก็บบางส่วนไว้นอกสถานที่ขององค์กร เพื่อป้องกันอุบัติเหตุใหญ่และเหตุการณ์ที่คล้ายคลึงกัน ในบางครั้ง เพื่อวัตถุประสงค์ในการทดสอบ คุณควรตรวจสอบความเป็นไปได้ในการกู้คืนข้อมูลจากสำเนา

การจัดการสื่อเป็นสิ่งจำเป็นเพื่อให้การป้องกันทางกายภาพและความรับผิดชอบสำหรับฟล็อปปี้ดิสก์ เทป งานพิมพ์ และสิ่งที่คล้ายกัน การจัดการสื่อต้องรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลที่เก็บไว้นอกระบบคอมพิวเตอร์ การป้องกันทางกายภาพในที่นี้ไม่ได้เป็นเพียงการสะท้อนถึงความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตเท่านั้น แต่ยังรวมถึงการป้องกันจากอิทธิพลของสภาพแวดล้อมที่เป็นอันตราย (ความร้อน ความเย็น ความชื้น อำนาจแม่เหล็ก) การจัดการสื่อควรครอบคลุมทั้งหมด วงจรชีวิต- ตั้งแต่การจัดหาไปจนถึงการรื้อถอน

การจัดทำเอกสารเป็นส่วนสำคัญของการรักษาความปลอดภัยข้อมูล เกือบทุกอย่างได้รับการจัดทำเป็นเอกสาร ตั้งแต่นโยบายความปลอดภัยไปจนถึงบันทึกรายการสื่อ สิ่งสำคัญคือเอกสารจะต้องเป็นปัจจุบัน สะท้อนถึงสถานการณ์ปัจจุบัน และอยู่ในรูปแบบที่สอดคล้องกัน

สำหรับการจัดเก็บเอกสารบางอย่าง (เช่น การวิเคราะห์ช่องโหว่ของระบบและภัยคุกคาม) ข้อกำหนดการรักษาความลับจะมีผลบังคับใช้สำหรับเอกสารอื่นๆ เช่น แผนกู้คืนความเสียหาย ข้อกำหนดด้านความสมบูรณ์และความพร้อมใช้งาน (ในสถานการณ์วิกฤต แผนจะต้องเป็น พบและอ่าน).

งานบำรุงรักษาเป็นภัยคุกคามด้านความปลอดภัยที่ร้ายแรงมาก พนักงานที่ดำเนินการบำรุงรักษาตามปกติจะได้รับสิทธิ์พิเศษในการเข้าถึงระบบ และในทางปฏิบัติแล้ว เป็นเรื่องยากมากที่จะควบคุมว่าจะดำเนินการอย่างไร ที่นี่ระดับความไว้วางใจในผู้ที่ปฏิบัติงานมาก่อน

นโยบายการรักษาความปลอดภัยที่นำมาใช้โดยองค์กรควรจัดให้มีชุดมาตรการปฏิบัติงานที่มุ่งตรวจจับและกำจัดการละเมิดระบอบการรักษาความปลอดภัยข้อมูล เป็นสิ่งสำคัญที่ในกรณีเช่นนี้จะต้องมีการวางแผนลำดับของการดำเนินการล่วงหน้า เนื่องจากมาตรการจะต้องดำเนินการอย่างเร่งด่วนและในลักษณะที่ประสานกัน

การตอบสนองต่อการละเมิดความปลอดภัยมีวัตถุประสงค์หลักสามประการ:

การแปลเหตุการณ์และลดอันตรายที่เกิดขึ้น;

การป้องกันการละเมิดซ้ำ

บ่อยครั้งที่ข้อกำหนดในการแปลเหตุการณ์และลดอันตรายที่เกิดขัดแย้งกับความต้องการระบุตัวผู้กระทำความผิด นโยบายความปลอดภัยขององค์กรควรได้รับการจัดลำดับความสำคัญล่วงหน้า เนื่องจากในทางปฏิบัติแสดงให้เห็นว่าเป็นการยากที่จะระบุผู้บุกรุก ในความเห็นของเรา ก่อนอื่น คุณควรดูแลเพื่อลดความเสียหาย

ไม่มีองค์กรใดรอดพ้นจากอุบัติเหตุร้ายแรงที่เกิดจากสาเหตุทางธรรมชาติ การกระทำที่มุ่งร้าย ความประมาทเลินเล่อ หรือความไร้ความสามารถ ในขณะเดียวกัน ทุกๆ องค์กรมีหน้าที่ที่ผู้บริหารเห็นว่าสำคัญยิ่ง ไม่ว่าอะไรก็ตามจะต้องดำเนินการ การวางแผนการกู้คืนช่วยให้คุณเตรียมพร้อมสำหรับอุบัติเหตุ ลดความเสียหายจากอุบัติเหตุเหล่านั้น และรักษาความสามารถในการทำงานให้น้อยที่สุด

โปรดทราบว่ามาตรการรักษาความปลอดภัยข้อมูลสามารถแบ่งออกเป็นสามกลุ่ม ขึ้นอยู่กับว่ามีเป้าหมายเพื่อป้องกัน ตรวจจับ หรือกำจัดผลที่ตามมาของการโจมตี มาตรการส่วนใหญ่เป็นการป้องกันในลักษณะ

กระบวนการวางแผนการกู้คืนสามารถแบ่งออกเป็นขั้นตอนต่อไปนี้:

ระบุที่สำคัญ หน้าที่สำคัญองค์กร การจัดลำดับความสำคัญ

การระบุทรัพยากรที่จำเป็นในการปฏิบัติหน้าที่ที่สำคัญ

การกำหนดรายการอุบัติเหตุที่อาจเกิดขึ้น

การพัฒนากลยุทธ์การกู้คืน

การเตรียมการสำหรับการดำเนินการตามกลยุทธ์ที่เลือก

ตรวจสอบกลยุทธ์

เมื่อวางแผนงานบูรณะ เราควรตระหนักว่าไม่สามารถรักษาการทำงานขององค์กรได้อย่างเต็มที่เสมอไป จำเป็นต้องระบุหน้าที่ที่สำคัญโดยที่องค์กรไม่ต้องเสียหน้า และแม้แต่ในหน้าที่ที่สำคัญที่ต้องจัดลำดับความสำคัญเพื่อให้กลับมาทำงานต่อได้โดยเร็วที่สุดและมีค่าใช้จ่ายน้อยที่สุด

เมื่อระบุทรัพยากรที่จำเป็นสำหรับการทำงานที่สำคัญ โปรดจำไว้ว่าทรัพยากรจำนวนมากไม่ใช่คอมพิวเตอร์โดยธรรมชาติ ในขั้นตอนนี้เป็นที่พึงปรารถนาที่จะเกี่ยวข้องกับผู้เชี่ยวชาญของโปรไฟล์ต่างๆ ในการทำงาน

ดังนั้นจึงมีจำนวนมาก วิธีการต่างๆมั่นใจในความปลอดภัยของข้อมูล วิธีที่มีประสิทธิภาพที่สุดคือการใช้วิธีการเหล่านี้ทั้งหมดในคอมเพล็กซ์เดียว ทุกวันนี้ ตลาดการรักษาความปลอดภัยสมัยใหม่เต็มไปด้วยเครื่องมือรักษาความปลอดภัยข้อมูล การศึกษาข้อเสนอที่มีอยู่ของตลาดความปลอดภัยอย่างต่อเนื่อง หลายบริษัทมองเห็นความไม่เพียงพอของเงินทุนที่ลงทุนไปก่อนหน้านี้ในระบบรักษาความปลอดภัยข้อมูล เช่น เนื่องจากความล้าสมัยของอุปกรณ์และซอฟต์แวร์ ดังนั้นพวกเขาจึงมองหาวิธีแก้ไขปัญหานี้ มีสองตัวเลือกดังกล่าว: ในแง่หนึ่งนี่คือการแทนที่ระบบป้องกันข้อมูลขององค์กรอย่างสมบูรณ์ซึ่งจะต้องใช้เงินลงทุนจำนวนมากและในทางกลับกันคือการปรับปรุงระบบรักษาความปลอดภัยที่มีอยู่ให้ทันสมัย วิธีสุดท้ายสำหรับปัญหานี้คือวิธีที่แพงที่สุด แต่นำมาซึ่งปัญหาใหม่ เช่น ต้องตอบคำถามต่อไปนี้: วิธีตรวจสอบความเข้ากันได้ของเก่า ที่เหลือจากเครื่องมือรักษาความปลอดภัยฮาร์ดแวร์และซอฟต์แวร์ที่มีอยู่ และองค์ประกอบใหม่ของ ระบบรักษาความปลอดภัยของข้อมูล วิธีการตรวจสอบ การจัดการแบบรวมศูนย์วิธีการต่างกันในการรับรองความปลอดภัย วิธีการประเมิน และถ้าจำเป็น ให้ประเมินความเสี่ยงด้านข้อมูลของบริษัทอีกครั้ง

บทที่ 2. การวิเคราะห์ระบบความปลอดภัยของข้อมูล

1 ขอบเขตของบริษัทและการวิเคราะห์ผลประกอบการทางการเงิน

OAO Gazprom เป็นบริษัทพลังงานระดับโลก กิจกรรมหลักคือการสำรวจ การผลิต การขนส่ง การจัดเก็บ การแปรรูป และการขายก๊าซ ก๊าซคอนเดนเสท และน้ำมัน ตลอดจนการผลิตและจำหน่ายความร้อนและไฟฟ้า

แก๊ซพรอมมองเห็นพันธกิจของบริษัทในการจัดหาก๊าซธรรมชาติที่เชื่อถือได้ มีประสิทธิภาพและสมดุล ทรัพยากรพลังงานประเภทอื่นๆ และผลิตภัณฑ์ในกระบวนการแปรรูปให้แก่ผู้บริโภค

Gazprom มีปริมาณสำรองก๊าซธรรมชาติที่อุดมสมบูรณ์ที่สุดในโลก ส่วนแบ่งในก๊าซสำรองของโลกคือ 18% ในรัสเซีย - 70% Gazprom คิดเป็น 15% ของการผลิตก๊าซทั่วโลกและ 78% ของการผลิตก๊าซของรัสเซีย ปัจจุบัน บริษัทกำลังดำเนินโครงการขนาดใหญ่เพื่อพัฒนาแหล่งก๊าซของคาบสมุทรยามาล ชั้นวางอาร์กติก ไซบีเรียตะวันออก และตะวันออกไกล ตลอดจนโครงการต่างๆ สำหรับการสำรวจและผลิตไฮโดรคาร์บอนในต่างประเทศ

Gazprom เป็นผู้จัดหาก๊าซที่เชื่อถือได้สำหรับผู้บริโภคชาวรัสเซียและต่างประเทศ บริษัทเป็นเจ้าของเครือข่ายการส่งก๊าซที่ใหญ่ที่สุดในโลก - ระบบหนึ่งจัดหาก๊าซให้รัสเซียซึ่งมีความยาวเกิน 161,000 กม. ในตลาดภายในประเทศ Gazprom ขายมากกว่าครึ่งหนึ่งของก๊าซที่ขาย นอกจากนี้ บริษัทยังส่งก๊าซไปยัง 30 ประเทศทั้งใกล้และไกลในต่างประเทศ

Gazprom เป็นผู้ผลิตและส่งออกก๊าซธรรมชาติเหลวเพียงรายเดียวในรัสเซีย และจัดหาประมาณ 5% ของการผลิต LNG ของโลก

บริษัทเป็นหนึ่งในห้าผู้ผลิตน้ำมันรายใหญ่ที่สุดในสหพันธรัฐรัสเซีย และยังเป็นเจ้าของสินทรัพย์การผลิตที่ใหญ่ที่สุดในอาณาเขตของตนอีกด้วย กำลังการผลิตติดตั้งทั้งหมดคือ 17% ของกำลังการผลิตติดตั้งทั้งหมดของระบบพลังงานของรัสเซีย

เป้าหมายเชิงกลยุทธ์คือการจัดตั้ง OAO Gazprom ให้เป็นผู้นำในกลุ่มบริษัทพลังงานระดับโลกผ่านการพัฒนาตลาดใหม่ กิจกรรมที่หลากหลาย และการรับรองความน่าเชื่อถือของวัสดุสิ้นเปลือง

พิจารณาผลประกอบการทางการเงินของบริษัทในช่วงสองปีที่ผ่านมา ผลลัพธ์ของกิจกรรมของ บริษัท แสดงอยู่ในภาคผนวก 1

ณ วันที่ 31 ธันวาคม 2553 รายได้จากการขายมีจำนวน 2495557 ล้านรูเบิล ตัวเลขนี้ต่ำกว่ามากเมื่อเทียบกับข้อมูลของปี 2554 นั่นคือ 3296656 ล้านรูเบิล

รายได้จากการขาย (สุทธิจากภาษีสรรพสามิต ภาษีมูลค่าเพิ่ม และภาษีศุลกากร) เพิ่มขึ้น 801,099 ล้านรูเบิล หรือ 32% สำหรับเก้าเดือนสิ้นสุดวันที่ 30 กันยายน 2554 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว และมีจำนวนรูเบิล 3,296 656 ล้านรูเบิล

จากผลประกอบการปี 2554 ยอดขายสุทธิของก๊าซคิดเป็น 60% ของยอดขายสุทธิทั้งหมด (60% ในช่วงเดียวกันของปีที่แล้ว)

รายได้สุทธิจากการขายก๊าซเพิ่มขึ้นจาก RUB 1,495,335 ล้าน สำหรับปีนี้มากถึง 1,987,330 ล้านรูเบิล ในช่วงเวลาเดียวกันในปี 2554 หรือเพิ่มขึ้น 33%

รายได้สุทธิจากการขายก๊าซไปยังยุโรปและประเทศอื่นๆ เพิ่มขึ้น 258,596 ล้านรูเบิล หรือ 34% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว และมีจำนวน 1,026,451 ล้านรูเบิล ยอดขายก๊าซที่เพิ่มขึ้นโดยรวมไปยังยุโรปและประเทศอื่น ๆ เป็นผลมาจากราคาเฉลี่ยที่เพิ่มขึ้น ราคาเฉลี่ยในรูเบิล (รวมภาษีศุลกากร) เพิ่มขึ้น 21% ในช่วงเก้าเดือนสิ้นสุดวันที่ 30 กันยายน 2554 เมื่อเทียบกับช่วงเวลาเดียวกันในปี 2553 นอกจากนี้ ยอดขายก๊าซเพิ่มขึ้น 8% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว

รายได้สุทธิจากการขายก๊าซให้กับประเทศในอดีตสหภาพโซเวียตเพิ่มขึ้นจากช่วงเวลาเดียวกันในปี 2553 จำนวน 168,538 ล้านรูเบิล หรือ 58% และมีจำนวน 458,608 ล้านรูเบิล การเปลี่ยนแปลงส่วนใหญ่เป็นผลมาจากการขายก๊าซที่เพิ่มขึ้น 33% ให้กับอดีตสหภาพโซเวียตในช่วงเก้าเดือนสิ้นสุดวันที่ 30 กันยายน 2554 เมื่อเทียบเป็นรายปี นอกจากนี้ ราคาเฉลี่ยในรูเบิล (รวมภาษีศุลกากร ไม่รวมภาษีมูลค่าเพิ่ม) เพิ่มขึ้น 15% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว

รายได้สุทธิจากการขายก๊าซในสหพันธรัฐรัสเซียเพิ่มขึ้น 64,861 ล้านรูเบิล หรือ 15% เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว และมีจำนวน 502,271 ล้านรูเบิล สาเหตุหลักมาจากการเพิ่มขึ้น 13% ของราคาก๊าซเฉลี่ยเมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว ซึ่งเกี่ยวข้องกับการเพิ่มขึ้นของภาษีที่กำหนดโดย Federal Tariff Service (FTS)

รายได้สุทธิจากการขายผลิตภัณฑ์น้ำมันและก๊าซ (สุทธิจากภาษีสรรพสามิต ภาษีมูลค่าเพิ่ม และภาษีศุลกากร) เพิ่มขึ้น 213,012 ล้านรูเบิล หรือ 42% และมีจำนวน 717,723 ล้านรูเบิล เมื่อเทียบกับช่วงเดียวกันของปีก่อน การเพิ่มขึ้นนี้มีสาเหตุหลักมาจากการเพิ่มขึ้นของราคาน้ำมันและก๊าซในตลาดโลก และปริมาณการขายที่เพิ่มขึ้นเมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว รายได้ของ Gazprom Neft Group คิดเป็น 85% และ 84% ของรายได้สุทธิทั้งหมดจากการขายผลิตภัณฑ์ปิโตรเลียมกลั่นตามลำดับ

รายได้สุทธิจากการขายไฟฟ้าและความร้อน (สุทธิจากภาษีมูลค่าเพิ่ม) เพิ่มขึ้น 38,097 ล้านรูเบิล หรือ 19% และมีจำนวน 237,545 ล้านรูเบิล รายได้จากการขายไฟฟ้าและความร้อนที่เพิ่มขึ้นมีสาเหตุหลักมาจากการปรับขึ้นอัตราค่าไฟฟ้าและความร้อน รวมถึงปริมาณการขายไฟฟ้าและความร้อนที่เพิ่มขึ้น

รายได้สุทธิจากการขายน้ำมันดิบและก๊าซคอนเดนเสท (สุทธิจากภาษีสรรพสามิต ภาษีมูลค่าเพิ่ม และภาษีศุลกากร) เพิ่มขึ้น 23,072 ล้านรูเบิล หรือ 16% และมีจำนวน 164,438 ล้านรูเบิล เทียบกับ 141,366 ล้านรูเบิล งวดเดียวกันของปีก่อน โดยพื้นฐานแล้วการเปลี่ยนแปลงดังกล่าวเกิดจากการเพิ่มขึ้นของราคาน้ำมันและก๊าซคอนเดนเสท นอกจากนี้ การเปลี่ยนแปลงดังกล่าวเกิดจากยอดขายก๊าซคอนเดนเสทที่เพิ่มขึ้น เงินที่ได้จากการขายน้ำมันดิบมีจำนวน 133,368 ล้านรูเบิล และ 121,675 ล้านรูเบิล ในรายได้สุทธิจากการขายน้ำมันดิบและก๊าซคอนเดนเสท (สุทธิจากภาษีสรรพสามิต ภาษีมูลค่าเพิ่ม และภาษีศุลกากร) ในปี 2554 และ 2553 ตามลำดับ

รายได้สุทธิจากการขายบริการขนส่งก๊าซ (สุทธิจากภาษีมูลค่าเพิ่ม) เพิ่มขึ้น 15,306 ล้านรูเบิล หรือ 23% และมีจำนวน 82,501 ล้านรูเบิล เทียบกับ 67,195 ล้านรูเบิล งวดเดียวกันของปีก่อน การเติบโตนี้มีสาเหตุหลักมาจากการเพิ่มขึ้นของอัตราค่าขนส่งก๊าซสำหรับซัพพลายเออร์อิสระ รวมถึงการเพิ่มขึ้นของ ѐ เมตรของการขนส่งก๊าซสำหรับซัพพลายเออร์อิสระ เทียบกับช่วงเดียวกันของปีที่แล้ว

รายได้อื่นๆ เพิ่มขึ้น 19,617 ล้าน RUB หรือ 22% และมีจำนวน 107,119 ล้าน RUB เทียบกับ 87,502 ล้านรูเบิล งวดเดียวกันของปีก่อน

ค่าใช้จ่ายในการดำเนินการซื้อขายโดยไม่มีการส่งมอบจริงมีจำนวน 837 ล้านรูเบิล เทียบกับรายได้ RUB 5,786 ล้าน งวดเดียวกันของปีก่อน

สำหรับค่าใช้จ่ายในการดำเนินงานนั้นเพิ่มขึ้น 23% และมีจำนวน 2,119,289 ล้านรูเบิล เทียบกับ 1,726,604 ล้านรูเบิล งวดเดียวกันของปีก่อน ส่วนแบ่งค่าใช้จ่ายในการดำเนินงานในรายได้จากการขายลดลงจาก 69% เป็น 64%

ค่าแรงงานเพิ่มขึ้น 18% และมีจำนวน 267,377 ล้านรูเบิล เทียบกับ 227,500 ล้านรูเบิล งวดเดียวกันของปีก่อน การเพิ่มขึ้นส่วนใหญ่เป็นผลมาจากการเพิ่มขึ้นของค่าจ้างเฉลี่ย

ค่าเสื่อมราคาสำหรับช่วงเวลาที่วิเคราะห์เพิ่มขึ้น 9% หรือ 17,026 ล้านรูเบิล และมีจำนวน 201,636 ล้านรูเบิล เทียบกับ 184,610 ล้านรูเบิล งวดเดียวกันของปีก่อน เพิ่มขึ้นจากการขยายฐานของสินทรัพย์ถาวรเป็นหลัก

จากปัจจัยข้างต้น กำไรจากการขายเพิ่มขึ้น 401,791 ล้าน RUB หรือ 52% และมีจำนวน 1,176,530 ล้าน RUB เทียบกับ 774,739 ล้านรูเบิล งวดเดียวกันของปีก่อน อัตรากำไรจากการขายเพิ่มขึ้นจาก 31% เป็น 36% ในช่วงเก้าเดือนสิ้นสุดวันที่ 30 กันยายน 2554

ดังนั้น OAO Gazprom จึงเป็นบริษัทพลังงานระดับโลก กิจกรรมหลักคือการสำรวจ การผลิต การขนส่ง การจัดเก็บ การแปรรูป และการขายก๊าซ ก๊าซคอนเดนเสท และน้ำมัน ตลอดจนการผลิตและจำหน่ายความร้อนและไฟฟ้า สถานะทางการเงินของบริษัทมีความมั่นคง ตัวบ่งชี้ประสิทธิภาพมีแนวโน้มในเชิงบวก

2 คำอธิบายระบบรักษาความปลอดภัยข้อมูลของบริษัท

พิจารณากิจกรรมหลักของแผนกของ Corporate Security Service ของ JSC "Gazprom":

การพัฒนาโปรแกรมเป้าหมายสำหรับการพัฒนาระบบและคอมเพล็กซ์ของวิธีการป้องกันทางวิศวกรรมและทางเทคนิค (ITSO) ระบบรักษาความปลอดภัยข้อมูล (IS) ของ OAO Gazprom และ บริษัท ย่อยและองค์กรการเข้าร่วมในการจัดตั้งโครงการลงทุนที่มุ่งให้ข้อมูลและ ความปลอดภัยทางเทคนิค

การดำเนินการตามอำนาจของลูกค้าในการพัฒนาระบบรักษาความปลอดภัยข้อมูลรวมถึงระบบ ITSO และคอมเพล็กซ์

การพิจารณาอนุมัติคำของบประมาณและงบประมาณสำหรับการดำเนินการตามมาตรการพัฒนาระบบรักษาความปลอดภัยข้อมูล ระบบ ITSO และคอมเพล็กซ์ ตลอดจนการจัดทำ IT ในด้านระบบรักษาความปลอดภัยข้อมูล

การพิจารณาและอนุมัติการออกแบบและเอกสารก่อนโครงการสำหรับการพัฒนาระบบรักษาความปลอดภัยข้อมูล ระบบ ITSO และคอมเพล็กซ์ ตลอดจนข้อกำหนดทางเทคนิคสำหรับการสร้าง (ความทันสมัย) ของระบบข้อมูล ระบบสื่อสารและโทรคมนาคมในแง่ของข้อกำหนดด้านความปลอดภัยข้อมูล

การจัดระเบียบงานเพื่อประเมินความสอดคล้องของระบบและคอมเพล็กซ์ ITSO ระบบสนับสนุน IS (รวมถึงงานและบริการสำหรับการสร้าง) ตามข้อกำหนดที่กำหนดไว้

ประสานงานและควบคุมงานเกี่ยวกับ การป้องกันทางเทคนิคข้อมูล.

Gazprom ได้สร้างระบบที่รับประกันการปกป้องข้อมูลส่วนบุคคล อย่างไรก็ตาม การยอมรับโดยหน่วยงานบริหารของรัฐบาลกลางของกฎหมายข้อบังคับจำนวนหนึ่งในการพัฒนากฎหมายที่มีอยู่และคำสั่งของรัฐบาล จำเป็นต้องปรับปรุงระบบปัจจุบันของการคุ้มครองข้อมูลส่วนบุคคล เพื่อประโยชน์ในการแก้ปัญหานี้ เอกสารจำนวนหนึ่งได้รับการพัฒนาและกำลังประสานงานภายใต้กรอบของงานวิจัย ประการแรกนี่คือร่างมาตรฐานขององค์กรพัฒนาแก๊ซพรอม:

"วิธีการจำแนกระบบข้อมูลส่วนบุคคลของ OAO Gazprom บริษัท ย่อยและองค์กร";

"แบบจำลองภัยคุกคามต่อข้อมูลส่วนบุคคลระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคลของ OAO Gazprom บริษัทย่อยและองค์กรต่างๆ"

เอกสารเหล่านี้ได้รับการพัฒนาโดยคำนึงถึงข้อกำหนดของพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย ลงวันที่ 17 พฤศจิกายน 2550 ฉบับที่ 781 "ในการอนุมัติระเบียบว่าด้วยการรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล" ใน ความสัมพันธ์กับคลาสของระบบพิเศษซึ่งรวมถึง ISPD ส่วนใหญ่ของ JSC " Gazprom"

นอกจากนี้ "กฎระเบียบเกี่ยวกับองค์กรและการสนับสนุนด้านเทคนิคเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลที่ประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคลของ OAO Gazprom บริษัท ย่อยและองค์กร" กำลังได้รับการพัฒนา

ควรสังเกตว่าภายในกรอบของระบบมาตรฐานของ OAO Gazprom ได้มีการพัฒนามาตรฐานสำหรับระบบความปลอดภัยของข้อมูลซึ่งจะช่วยให้สามารถแก้ไขงานในการปกป้อง PD ที่ประมวลผลในระบบข้อมูลของ OAO Gazprom

เจ็ดมาตรฐานที่เกี่ยวข้องกับระบบความปลอดภัยของข้อมูลได้รับการอนุมัติและกำลังมีผลบังคับใช้ในปีนี้

มาตรฐานกำหนดข้อกำหนดหลักสำหรับการสร้างระบบรักษาความปลอดภัยข้อมูลสำหรับ OAO Gazprom และบริษัทสาขา

ผลลัพธ์ของงานที่ทำจะทำให้สามารถใช้วัสดุ ทรัพยากรทางการเงินและทางปัญญาอย่างมีเหตุผลมากขึ้น สร้างการสนับสนุนด้านกฎระเบียบและระเบียบวิธีที่จำเป็น แนะนำวิธีการป้องกันที่มีประสิทธิภาพ และเป็นผลให้มั่นใจได้ถึงความปลอดภัยของข้อมูลส่วนบุคคลที่ประมวลผลในข้อมูลของ Gazprom ระบบ

จากผลการวิเคราะห์ความปลอดภัยของข้อมูลของ OAO Gazprom ทำให้มีการระบุข้อบกพร่องต่อไปนี้ในการรับประกันความปลอดภัยของข้อมูล:

องค์กรไม่มีเอกสารเดียวที่ควบคุมนโยบายความปลอดภัยที่ครอบคลุม

เนื่องจากขนาดของเครือข่ายและจำนวนผู้ใช้ (มากกว่า 100 ราย) ควรสังเกตว่าการดูแลระบบ ความปลอดภัยของข้อมูล และ การสนับสนุนทางเทคนิคจัดการโดยคนคนเดียว

ไม่มีการจำแนกสินทรัพย์สารสนเทศตามระดับความสำคัญ

บทบาทและความรับผิดชอบด้านความปลอดภัยของข้อมูลไม่รวมอยู่ในรายละเอียดงาน

สัญญาการจ้างงานที่สรุปกับพนักงานไม่มีข้อกำหนดเกี่ยวกับความรับผิดชอบด้านความปลอดภัยข้อมูลของทั้งพนักงานและองค์กรเอง

ไม่มีการฝึกอบรมบุคลากรในด้านการรักษาความปลอดภัยข้อมูล

ในแง่ของการป้องกันภัยคุกคามจากภายนอก: ไม่มีขั้นตอนทั่วไปสำหรับการกู้คืนข้อมูลหลังจากเกิดอุบัติเหตุอันเป็นผลจากภัยคุกคามภายนอกและสิ่งแวดล้อม

ห้องเซิร์ฟเวอร์ไม่ใช่ห้องแยกต่างหาก สถานะของสองแผนกถูกกำหนดให้กับห้อง (นอกเหนือจากผู้ดูแลระบบแล้ว บุคคลอีกคนหนึ่งมีสิทธิ์เข้าถึงห้องเซิร์ฟเวอร์)

ไม่ได้ทำการตรวจสอบทางเทคนิคและการตรวจร่างกายสำหรับอุปกรณ์ที่ไม่ได้รับอนุญาตซึ่งเชื่อมต่อกับสายเคเบิล

แม้จะมีความจริงที่ว่าทางเข้าดำเนินการโดยบัตรอิเล็กทรอนิกส์และข้อมูลทั้งหมดถูกป้อนลงในฐานข้อมูลพิเศษ แต่การวิเคราะห์ก็ไม่ได้ดำเนินการ

ในแง่ของการป้องกันมัลแวร์: ไม่มีนโยบายอย่างเป็นทางการในการป้องกันความเสี่ยงที่เกี่ยวข้องกับการรับไฟล์ทั้งจากหรือผ่านเครือข่ายภายนอก และอยู่ในสื่อแบบถอดได้

ในแง่ของการป้องกันมัลแวร์: ไม่มีแนวทางสำหรับการปกป้องเครือข่ายท้องถิ่นจากรหัสที่เป็นอันตราย

ไม่มีการควบคุมการจราจรมีการเข้าถึง เมลเซิร์ฟเวอร์เครือข่ายภายนอก

การสำรองข้อมูลทั้งหมดจะถูกเก็บไว้ในห้องเซิร์ฟเวอร์

ใช้รหัสผ่านที่ไม่ปลอดภัยและจำง่าย

การรับรหัสผ่านจากผู้ใช้ไม่ได้รับการยืนยัน แต่อย่างใด

รหัสผ่านในข้อความที่ชัดเจนจะถูกจัดเก็บโดยผู้ดูแลระบบ

รหัสผ่านไม่เปลี่ยน

ไม่มีคำสั่งให้รายงานเหตุการณ์ด้านความปลอดภัยข้อมูล

ดังนั้น จากข้อบกพร่องเหล่านี้ จึงมีการพัฒนาชุดข้อบังคับเกี่ยวกับนโยบายความปลอดภัยของข้อมูล ซึ่งรวมถึง:

นโยบายเกี่ยวกับการว่าจ้าง (การเลิกจ้าง) และการมอบอำนาจ (การกีดกัน) ของพนักงานที่มีอำนาจที่จำเป็นในการเข้าถึงทรัพยากรระบบ

นโยบายเกี่ยวกับการทำงานของผู้ใช้เครือข่ายระหว่างการทำงาน

นโยบายการป้องกันรหัสผ่าน

นโยบายการป้องกันทางกายภาพ

นโยบายอินเทอร์เน็ต

และมาตรการรักษาความปลอดภัยในการบริหาร

เอกสารที่มีข้อบังคับเหล่านี้อยู่ระหว่างการพิจารณาของฝ่ายบริหารขององค์กร

3 การพัฒนาชุดมาตรการเพื่อปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ให้ทันสมัย

จากการวิเคราะห์ระบบรักษาความปลอดภัยข้อมูลของ OAO Gazprom ทำให้พบช่องโหว่ของระบบที่สำคัญ ในการพัฒนามาตรการเพื่อกำจัดข้อบกพร่องที่ระบุในระบบรักษาความปลอดภัย เราแยกกลุ่มข้อมูลต่อไปนี้ที่ต้องได้รับการคุ้มครอง:

ข้อมูลเกี่ยวกับชีวิตส่วนตัวของพนักงาน อนุญาตให้ระบุตัวตน (ข้อมูลส่วนบุคคล)

ข้อมูลที่เกี่ยวข้องกับกิจกรรมทางวิชาชีพและการรักษาความลับด้านการธนาคาร การตรวจสอบ และการสื่อสาร

ข้อมูลที่เกี่ยวข้องกับกิจกรรมทางวิชาชีพและทำเครื่องหมายว่าเป็นข้อมูล "สำหรับใช้อย่างเป็นทางการ";

ข้อมูลการทำลายหรือดัดแปลงซึ่งจะส่งผลเสียต่อประสิทธิภาพการทำงานและการคืนค่าจะต้องมีค่าใช้จ่ายเพิ่มเติม

ในด้านมาตรการทางปกครองได้จัดทำข้อเสนอแนะดังต่อไปนี้:

ระบบรักษาความปลอดภัยข้อมูลต้องเป็นไปตามกฎหมายของสหพันธรัฐรัสเซียและมาตรฐานของรัฐ

อาคารและสถานที่ซึ่งติดตั้งหรือจัดเก็บสิ่งอำนวยความสะดวกในการประมวลผลข้อมูล งานดำเนินการด้วยข้อมูลที่มีการป้องกัน ต้องได้รับการปกป้องและป้องกันโดยวิธีการส่งสัญญาณและการควบคุมการเข้าถึง

การฝึกอบรมบุคลากรเกี่ยวกับประเด็นด้านความปลอดภัยของข้อมูล (อธิบายถึงความสำคัญของการป้องกันรหัสผ่านและข้อกำหนดของรหัสผ่าน การบรรยายสรุปเกี่ยวกับซอฟต์แวร์ป้องกันไวรัส ฯลฯ) ควรจัดเมื่อมีการว่าจ้างพนักงาน

ทุก ๆ 6-12 เดือนเพื่อดำเนินการฝึกอบรมเพื่อพัฒนาความรู้ของพนักงานในด้านความปลอดภัยของข้อมูล

การตรวจสอบระบบและการปรับปรุงกฎระเบียบที่พัฒนาขึ้นควรดำเนินการเป็นประจำทุกปีในวันที่ 1 ตุลาคมหรือทันทีหลังจากการเปลี่ยนแปลงโครงสร้างองค์กรครั้งใหญ่

สิทธิ์ในการเข้าถึงทรัพยากรข้อมูลของผู้ใช้แต่ละคนจะต้องได้รับการบันทึกไว้ (หากจำเป็น ให้ขอการเข้าถึงจากหัวหน้าเป็นลายลักษณ์อักษร)

นโยบายความปลอดภัยของข้อมูลควรได้รับการรับรองโดยผู้ดูแลระบบซอฟต์แวร์และผู้ดูแลระบบฮาร์ดแวร์ การดำเนินการของพวกเขาได้รับการประสานงานโดยหัวหน้ากลุ่ม

มากำหนดนโยบายรหัสผ่านกัน:

อย่าเก็บไว้ในรูปแบบที่ไม่ได้เข้ารหัส (อย่าจดลงในกระดาษแบบปกติ ไฟล์ข้อความและอื่นๆ);

เปลี่ยนรหัสผ่านในกรณีที่มีการเปิดเผยหรือสงสัยว่ามีการเปิดเผย

ความยาวต้องมีอย่างน้อย 8 ตัวอักษร

อักขระของรหัสผ่านต้องมีตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลขและอักขระพิเศษ รหัสผ่านไม่ควรมีลำดับอักขระที่คำนวณได้ง่าย (ชื่อ ชื่อสัตว์ วันที่)

เปลี่ยนทุกๆ 6 เดือน (ต้องเปลี่ยนรหัสผ่านที่ไม่ได้กำหนดไว้ทันทีหลังจากได้รับแจ้งเหตุการณ์ที่เริ่มต้นการเปลี่ยนแปลง)

เมื่อเปลี่ยนรหัสผ่าน คุณไม่สามารถเลือกรหัสผ่านที่ใช้ก่อนหน้านี้ได้ (รหัสผ่านต้องต่างกันอย่างน้อย 6 ตำแหน่ง)

กำหนดนโยบายเกี่ยวกับโปรแกรมป้องกันไวรัสและการตรวจจับไวรัส:

ต้องติดตั้งซอฟต์แวร์ป้องกันไวรัสที่มีลิขสิทธิ์ในแต่ละเวิร์กสเตชัน

อัปเดต ฐานข้อมูลป้องกันไวรัสที่เวิร์กสเตชันที่มีอินเทอร์เน็ต - วันละครั้ง โดยไม่มีอินเทอร์เน็ต - อย่างน้อยสัปดาห์ละครั้ง

ตั้งค่าการสแกนเวิร์กสเตชันอัตโนมัติเพื่อหาไวรัส (ความถี่ของการสแกน - สัปดาห์ละครั้ง: วันศุกร์ 12:00 น.)

เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถหยุดการอัปเดตฐานข้อมูลป้องกันไวรัสหรือสแกนหาไวรัสได้ (ควรตั้งค่าการป้องกันด้วยรหัสผ่านสำหรับการดำเนินการของผู้ใช้ที่ระบุ)

กำหนดนโยบายเกี่ยวกับการป้องกันทางกายภาพ:

การตรวจสอบทางเทคนิคและการตรวจร่างกายสำหรับอุปกรณ์ที่ไม่ได้รับอนุญาตที่เชื่อมต่อกับสายเคเบิล ซึ่งจะดำเนินการทุก 1-2 เดือน

สายเคเบิลเครือข่ายต้องได้รับการปกป้องจากการสกัดกั้นข้อมูลโดยไม่ได้รับอนุญาต

ควรเก็บบันทึกความล้มเหลวที่สงสัยและความล้มเหลวที่เกิดขึ้นจริงกับอุปกรณ์ไว้ในบันทึก

เวิร์กสเตชันแต่ละเครื่องต้องติดตั้งเครื่องสำรองไฟ

กำหนดนโยบายเกี่ยวกับการจองข้อมูล:

สำหรับการสำรองควรจัดสรรห้องแยกต่างหากซึ่งอยู่นอกอาคารบริหาร (ห้องควรติดตั้ง ล็อคอิเล็กทรอนิกส์และสัญญาณเตือนภัย)

ควรทำการจองข้อมูลทุกวันศุกร์เวลา 16:00 น.

นโยบายเกี่ยวกับการจ้าง/เลิกจ้างพนักงานควรมีรูปแบบดังนี้

การเปลี่ยนแปลงบุคลากรใด ๆ (การว่าจ้าง การเลื่อนตำแหน่ง การเลิกจ้างพนักงาน ฯลฯ) จะต้องรายงานต่อผู้ดูแลระบบภายใน 24 ชั่วโมง ซึ่งจะต้องทำการเปลี่ยนแปลงที่เหมาะสมในระบบเพื่อจำกัดสิทธิ์การเข้าถึงทรัพยากรขององค์กรภายในระยะเวลาครึ่งหนึ่ง วันทำงาน ;

พนักงานใหม่จะต้องได้รับคำแนะนำจากผู้ดูแลระบบ รวมถึงการทำความคุ้นเคยกับนโยบายความปลอดภัยและทั้งหมด คำแนะนำที่จำเป็นระดับการเข้าถึงข้อมูลสำหรับพนักงานใหม่ถูกกำหนดโดยผู้จัดการ

เมื่อพนักงานออกจากระบบ ID และรหัสผ่านของเขาจะถูกลบออกจากระบบ เวิร์กสเตชันจะถูกตรวจสอบเพื่อหาไวรัส และความสมบูรณ์ของข้อมูลที่พนักงานสามารถเข้าถึงได้จะถูกวิเคราะห์

นโยบายเกี่ยวกับการทำงานกับเครือข่ายภายใน (LAN) และฐานข้อมูล (DB):

เมื่อทำงานที่เวิร์กสเตชันและใน LAN พนักงานจะต้องทำงานที่เกี่ยวข้องโดยตรงกับกิจกรรมทางการของเขาเท่านั้น

พนักงานต้องแจ้งผู้ดูแลระบบเกี่ยวกับข้อความจากโปรแกรมป้องกันไวรัสเกี่ยวกับการปรากฏตัวของไวรัส

ไม่มีใครยกเว้นผู้ดูแลระบบที่ได้รับอนุญาตให้เปลี่ยนแปลงการออกแบบหรือการกำหนดค่าของเวิร์กสเตชันและโหนด LAN อื่น ๆ ติดตั้งซอฟต์แวร์ใด ๆ ปล่อยให้ไม่มีการควบคุม เวิร์กสเตชันหรือให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงได้

ผู้ดูแลระบบได้รับคำแนะนำให้เปิดโปรแกรมสองโปรแกรมตลอดเวลา: ยูทิลิตีตรวจจับการโจมตี ARP-spoofing และ sniffer การใช้โปรแกรมนี้จะช่วยให้คุณมองเห็นเครือข่ายผ่านสายตาของผู้บุกรุกที่อาจเกิดขึ้นและระบุตัวผู้ละเมิดนโยบายความปลอดภัยได้

คุณควรติดตั้งซอฟต์แวร์ที่ป้องกันการเรียกใช้โปรแกรมอื่นนอกเหนือจากที่ผู้ดูแลระบบมอบหมาย ตามหลักการ: "บุคคลใดๆ ได้รับสิทธิ์ที่จำเป็นในการดำเนินการเฉพาะ" พอร์ตคอมพิวเตอร์ที่ไม่ได้ใช้ทั้งหมดจะต้องปิดใช้งานฮาร์ดแวร์หรือซอฟต์แวร์

ควรอัปเดตซอฟต์แวร์เป็นประจำ

นโยบายอินเทอร์เน็ต:

ผู้ดูแลระบบได้รับมอบหมายสิทธิ์ในการ จำกัด การเข้าถึงทรัพยากรเนื้อหาที่ไม่เกี่ยวข้องกับการปฏิบัติหน้าที่อย่างเป็นทางการรวมถึงทรัพยากรเนื้อหาและการวางแนวทางที่กฎหมายระหว่างประเทศและรัสเซียห้ามไว้

ห้ามมิให้พนักงานดาวน์โหลดและเปิดไฟล์โดยไม่ตรวจหาไวรัสก่อน

ข้อมูลทั้งหมดเกี่ยวกับทรัพยากรที่เยี่ยมชมโดยพนักงานของ บริษัท ควรเก็บไว้ในบันทึกและหากจำเป็นสามารถมอบให้กับหัวหน้าแผนกรวมถึงฝ่ายบริหาร

การรักษาความลับและความสมบูรณ์ของจดหมายอิเล็กทรอนิกส์และ เอกสารสำนักงานให้บริการผ่านการใช้ EDS

นอกจากนี้ เราจะกำหนดข้อกำหนดพื้นฐานสำหรับการรวบรวมรหัสผ่านสำหรับพนักงานของ OAO Gazprom

รหัสผ่านเปรียบเสมือนกุญแจบ้าน เพียงแต่เป็นกุญแจสู่ข้อมูลเท่านั้น สำหรับกุญแจทั่วไป การสูญหาย ถูกขโมย หรือตกไปอยู่ในมือของคนแปลกหน้าเป็นสิ่งที่ไม่พึงปรารถนาอย่างยิ่ง เช่นเดียวกับรหัสผ่าน แน่นอนว่าความปลอดภัยของข้อมูลไม่ได้ขึ้นอยู่กับรหัสผ่านเท่านั้น แต่เพื่อให้แน่ใจ คุณต้องตั้งค่าพิเศษจำนวนหนึ่ง และบางทีอาจถึงขั้นเขียนโปรแกรมที่ป้องกันการแฮ็ก แต่การเลือกรหัสผ่านเป็นการกระทำที่ขึ้นอยู่กับผู้ใช้เท่านั้นว่าลิงก์นี้จะแข็งแกร่งเพียงใดในห่วงโซ่ของมาตรการที่มุ่งปกป้องข้อมูล

) รหัสผ่านต้องยาว (8-12-15 ตัวอักษร);

) ไม่ควรเป็นคำจากพจนานุกรม (ใด ๆ แม้แต่พจนานุกรมของคำศัพท์พิเศษและคำสแลง) ชื่อที่เหมาะสมหรือคำซีริลลิกที่พิมพ์ในรูปแบบละติน (ละติน - kfnsym)

) ไม่สามารถเชื่อมโยงกับเจ้าของได้

) เปลี่ยนแปลงเป็นระยะหรือตามความจำเป็น

) ไม่ได้ใช้ในความสามารถนี้กับทรัพยากรต่างๆ (เช่น สำหรับแต่ละทรัพยากร - เพื่อป้อน ตู้จดหมาย, ระบบปฏิบัติการหรือฐานข้อมูล - คุณต้องใช้รหัสผ่านของคุณเองซึ่งแตกต่างจากผู้อื่น);

) สามารถจำได้

การเลือกคำจากพจนานุกรมเป็นสิ่งที่ไม่พึงปรารถนา เนื่องจากผู้โจมตีซึ่งดำเนินการโจมตีพจนานุกรมจะใช้โปรแกรมที่สามารถจัดเรียงคำได้มากถึงหลายแสนคำต่อวินาที

ข้อมูลใดๆ ที่เกี่ยวข้องกับเจ้าของ (เช่น วันเกิด ชื่อสุนัข นามสกุลเดิมของแม่ และ "รหัสผ่าน" ที่คล้ายกัน) สามารถจดจำและเดาได้ง่าย

การใช้ตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก รวมถึงตัวเลข ทำให้ผู้โจมตีเดารหัสผ่านได้ยากขึ้นมาก

ควรเก็บรหัสผ่านไว้เป็นความลับ และหากคุณสงสัยว่ามีคนรู้รหัสผ่านแล้ว ให้เปลี่ยนรหัสผ่าน นอกจากนี้ยังมีประโยชน์อย่างมากในการเปลี่ยนแปลงเป็นครั้งคราว

บทสรุป

การศึกษาทำให้สามารถสรุปผลและกำหนดข้อเสนอแนะได้ดังต่อไปนี้

เป็นที่ทราบกันดีว่าสาเหตุหลักสำหรับปัญหาขององค์กรในด้านความปลอดภัยของข้อมูลคือการขาดนโยบายความปลอดภัยข้อมูลที่จะรวมถึงโซลูชันขององค์กร เทคนิค การเงิน โดยมีการติดตามการนำไปใช้งานและการประเมินประสิทธิภาพในภายหลัง

คำจำกัดความของนโยบายความปลอดภัยของข้อมูลกำหนดขึ้นเป็นชุดของการตัดสินใจที่เป็นเอกสาร โดยมีจุดประสงค์เพื่อให้แน่ใจว่ามีการป้องกันข้อมูลและความเสี่ยงของข้อมูลที่เกี่ยวข้อง

การวิเคราะห์ระบบรักษาความปลอดภัยข้อมูลพบข้อบกพร่องที่สำคัญ ได้แก่ :

การจัดเก็บข้อมูลสำรองในห้องเซิร์ฟเวอร์เซิร์ฟเวอร์สำรองจะอยู่ในห้องเดียวกับเซิร์ฟเวอร์หลัก

ขาดกฎที่เหมาะสมเกี่ยวกับการป้องกันรหัสผ่าน (ความยาวของรหัสผ่าน กฎสำหรับการเลือกและจัดเก็บ)

เครือข่ายถูกควบคุมโดยบุคคลเดียว

การปฏิบัติทั่วไปของการปฏิบัติระหว่างประเทศและรัสเซียในด้านการจัดการความปลอดภัยของข้อมูลขององค์กรได้นำไปสู่ข้อสรุปว่าจำเป็นต้อง:

การคาดการณ์และการระบุภัยคุกคามความปลอดภัย สาเหตุและเงื่อนไขที่ก่อให้เกิดความเสียหายทางการเงิน วัตถุ และศีลธรรมอย่างทันท่วงที

สร้างเงื่อนไขสำหรับกิจกรรมที่มีความเสี่ยงน้อยที่สุดในการดำเนินการคุกคามความปลอดภัยต่อทรัพยากรข้อมูลและ ชนิดต่างๆความเสียหาย;

การสร้างกลไกและเงื่อนไขสำหรับการตอบสนองต่อภัยคุกคามความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพโดยอาศัยวิธีการทางกฎหมาย องค์กร และทางเทคนิค

ในบทแรกของงานจะพิจารณาประเด็นทางทฤษฎีหลัก ภาพรวมของมาตรฐานต่าง ๆ ในด้านการรักษาความปลอดภัยข้อมูลจะได้รับ มีการสรุปข้อสรุปสำหรับแต่ละข้อและโดยทั่วไป และเลือกมาตรฐานที่เหมาะสมที่สุดสำหรับการจัดทำนโยบายความปลอดภัยของข้อมูล

บทที่สองพิจารณาโครงสร้างขององค์กร วิเคราะห์ปัญหาหลักที่เกี่ยวข้องกับความปลอดภัยของข้อมูล ด้วยเหตุนี้ คำแนะนำจึงถูกสร้างขึ้นเพื่อให้มั่นใจถึงระดับความปลอดภัยของข้อมูลที่เหมาะสม มีการพิจารณามาตรการเพื่อป้องกันเหตุการณ์ที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูลเพิ่มเติม

แน่นอน การรับรองความปลอดภัยของข้อมูลขององค์กรเป็นกระบวนการต่อเนื่องที่ต้องมีการตรวจสอบอย่างต่อเนื่อง และนโยบายที่เกิดขึ้นตามธรรมชาติไม่ได้รับประกันการคุ้มครอง นอกเหนือจากการปฏิบัติตามนโยบายแล้ว จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องเกี่ยวกับการดำเนินการด้านคุณภาพ ตลอดจนการปรับปรุงในกรณีที่มีการเปลี่ยนแปลงใดๆ ในบริษัทหรือแบบอย่าง องค์กรแนะนำให้จ้างพนักงานซึ่งกิจกรรมจะเกี่ยวข้องโดยตรงกับหน้าที่เหล่านี้ (ผู้ดูแลการป้องกัน)

บรรณานุกรม

ความปลอดภัยของข้อมูล อันตรายทางการเงิน

1. Belov E.B. พื้นฐานของความปลอดภัยของข้อมูล อี.บี. เบลอฟ, V.P. เอลก์, อาร์.วี. เมชเชอร์ยาคอฟ เอ.เอ. เชลูปานอฟ - ม.: สายด่วน- โทรคมนาคม 2549 - 544

Galatenko V.A. มาตรฐานการรักษาความปลอดภัยของข้อมูล: รายวิชาบรรยาย. เกี่ยวกับการศึกษา

เบี้ยเลี้ยง. - พิมพ์ครั้งที่ 2 ม.: INTUIT.RU "มหาวิทยาลัยเทคโนโลยีสารสนเทศทางอินเทอร์เน็ต", 2552. - 264 น.

กลาเตนโก วี.เอ. มาตรฐานการรักษาความปลอดภัยของข้อมูล / ระบบเปิด พ.ศ. 2549.- 264ค

Dolzhenko A.I. การจัดการระบบสารสนเทศ: หลักสูตรอบรม. - Rostov-on-Don: RGEU, 2551.-125 น.

Kalashnikov A. การก่อตัวของนโยบายความปลอดภัยข้อมูลภายในองค์กร #"justify"> มัลยุคอ. ความปลอดภัยของข้อมูล: รากฐานแนวคิดและระเบียบวิธีของการรักษาความปลอดภัยข้อมูล / M.2009-280s

Maywald E. ความปลอดภัยเครือข่าย บทช่วยสอน // Ekom, 2009.-528 p.

Semkin S.N. , Belyakov E.V. , Grebenev S.V. , Kozachok V.I. , พื้นฐานของการสนับสนุนองค์กรด้านความปลอดภัยของข้อมูลของวัตถุให้ข้อมูล // Helios ARV, 2008, 192 p.

คำแนะนำเกี่ยวกับวิธีการมีไว้สำหรับนักเรียนของการศึกษาพิเศษทุกรูปแบบ 10.02.01 (090905) และเป็นตัวแทนของชุดข้อกำหนดสำหรับองค์กร การนำไปปฏิบัติ และการป้องกันผลงานขั้นสุดท้าย (WQR)

• มาตรฐานการศึกษาของรัฐบาลกลางสำหรับการฝึกอบรมขั้นพื้นฐานและขั้นสูงในสาขาพิเศษ 10.02.01 (090905) องค์กรและเทคโนโลยีความปลอดภัยข้อมูล
• กฎหมายของรัฐบาลกลางวันที่ 29 ธันวาคม 2555 หมายเลข 273-FZ "เกี่ยวกับการศึกษาในสหพันธรัฐรัสเซีย"
• ขั้นตอนการดำเนินการรับรองขั้นสุดท้ายของรัฐสำหรับโปรแกรมการศึกษาระดับมัธยมศึกษา อาชีวศึกษา, ที่ได้รับการอนุมัติ ตามคำสั่งของกระทรวงศึกษาธิการและวิทยาศาสตร์แห่งสหพันธรัฐรัสเซียเมื่อวันที่ 16 สิงหาคม 2556 หมายเลข 968 (ต่อไปนี้เรียกว่าขั้นตอนการดำเนินการ GIA)
• บทบัญญัติของ GBPOU "วิทยาลัยเทคโนโลยีหมายเลข 34" "เกี่ยวกับขั้นตอนการดำเนินการรับรองขั้นสุดท้ายของรัฐสำหรับโปรแกรมการศึกษาของอาชีวศึกษาระดับมัธยมศึกษา"
• ระบบการจัดการคุณภาพ

1. ข้อกำหนดทั่วไป

การรับรองขั้นสุดท้ายของการสำเร็จการศึกษา GBPOU ของมอสโก "วิทยาลัยเทคโนโลยีหมายเลข 34" ในพิเศษ 10.02.01(090905) องค์กรและเทคโนโลยีความปลอดภัยข้อมูลรวมถึงการเตรียมการและการป้องกันงานที่มีคุณสมบัติขั้นสุดท้าย

ควบคุมคุณภาพ ผู้สำเร็จการศึกษาจะได้รับการฝึกอบรมในสองประเด็นหลัก:

• การประเมินระดับการพัฒนา สาขาวิชาการศึกษา, MDK และ PM;
• การประเมินระดับความเชี่ยวชาญของความสามารถ

พื้นที่ของกิจกรรมระดับมืออาชีพผู้สำเร็จการศึกษา ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล 10.02.01(090905) ปฏิบัติงานเกี่ยวกับ การป้องกันที่ครอบคลุมข้อมูลตามโปรแกรมและวิธีการที่พัฒนาขึ้น รวบรวมและวิเคราะห์เนื้อหาจากสถาบัน องค์กร และวิสาหกิจของอุตสาหกรรมเพื่อพัฒนาและตัดสินใจและมาตรการเพื่อให้มั่นใจในการปกป้องข้อมูลและการใช้เครื่องมือควบคุมอัตโนมัติอย่างมีประสิทธิภาพ ตรวจจับช่องทางที่เป็นไปได้สำหรับการรั่วไหลของข้อมูลที่เป็นตัวแทนของรัฐ ทหาร เจ้าหน้าที่ และความลับทางการค้า การวิเคราะห์ วิธีการที่มีอยู่และวิธีการที่ใช้ในการควบคุมและปกป้องข้อมูล และพัฒนาข้อเสนอสำหรับการปรับปรุงและเพิ่มประสิทธิภาพของการป้องกันนี้ มีส่วนร่วมในการตรวจสอบวัตถุป้องกัน การรับรอง และการจัดประเภท พัฒนาและเตรียมการเพื่อขออนุมัติร่างระเบียบข้อบังคับและระเบียบวิธีที่ใช้ควบคุมงานด้านการคุ้มครองข้อมูล ตลอดจนข้อบังคับ คำแนะนำ และเอกสารขององค์กรและการบริหารอื่นๆ จัดระเบียบการพัฒนาและการส่งข้อเสนออย่างทันท่วงทีเพื่อรวมไว้ในส่วนที่เกี่ยวข้องของแผนงานระยะยาวและปัจจุบันและโครงการมาตรการเพื่อควบคุมและปกป้องข้อมูล ให้ข้อเสนอแนะและความคิดเห็นเกี่ยวกับโครงการสำหรับอาคารและโครงสร้างที่สร้างขึ้นใหม่และสร้างขึ้นใหม่และการพัฒนาอื่น ๆ ในประเด็นด้านความปลอดภัยของข้อมูล มีส่วนร่วมในการทบทวนข้อกำหนดทางเทคนิคสำหรับการออกแบบ ร่าง โครงการด้านเทคนิคและการทำงาน ตรวจสอบให้แน่ใจว่าสอดคล้องกับเอกสารด้านกฎระเบียบและระเบียบวิธีในปัจจุบัน ตลอดจนการพัฒนาเอกสารใหม่ แผนภาพวงจรอุปกรณ์ควบคุม, เครื่องมือควบคุมอัตโนมัติ, แบบจำลองและระบบความปลอดภัยของข้อมูล, การประเมินระดับทางเทคนิคและเศรษฐกิจและประสิทธิผลของโซลูชันองค์กรและทางเทคนิคที่เสนอและดำเนินการ: จัดระเบียบการรวบรวมและวิเคราะห์วัสดุเพื่อพัฒนาและใช้มาตรการเพื่อให้แน่ใจว่า การปกป้องข้อมูลและระบุช่องทางที่เป็นไปได้ของการรั่วไหลของข้อมูล ซึ่งเป็นตัวแทนของทางการ การค้า การทหาร และความลับของรัฐ

วัตถุประสงค์ของกิจกรรมระดับมืออาชีพศิษย์เก่าคือ:

• การมีส่วนร่วมในการวางแผนและจัดระเบียบการทำงานเพื่อให้แน่ใจว่ามีการป้องกันสิ่งอำนวยความสะดวก
• จัดระเบียบงานด้วยเอกสารรวมถึงความลับ
• การประยุกต์ใช้ซอฟต์แวร์ ฮาร์ดแวร์ และวิธีการทางเทคนิคในการปกป้องข้อมูล
• การมีส่วนร่วมในการดำเนินการตามระบบบูรณาการเพื่อปกป้องสิ่งอำนวยความสะดวก
• การมีส่วนร่วมในการรวบรวมและประมวลผลวัสดุเพื่อพัฒนาโซลูชันเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลและใช้วิธีการอย่างมีประสิทธิภาพในการตรวจจับช่องทางที่เป็นไปได้สำหรับการรั่วไหลของข้อมูลที่เป็นความลับ
• การมีส่วนร่วมในการพัฒนาโปรแกรมและวิธีการจัดระเบียบความปลอดภัยของข้อมูลที่โรงงาน
• ตรวจสอบการปฏิบัติตามโดยบุคลากรตามข้อกำหนดของระบอบการคุ้มครองข้อมูล
• การมีส่วนร่วมในการจัดทำเอกสารองค์กรและการบริหารที่ควบคุมงานด้านการคุ้มครองข้อมูล
• การจัดระบบหมุนเวียนเอกสารรวมถึงอิเล็กทรอนิกส์โดยคำนึงถึงความลับของข้อมูล

ผลงานรอบคัดเลือกผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลมีเป้าหมายเพื่อจัดระบบและเพิ่มพูนความรู้ พัฒนาทักษะและความสามารถของบัณฑิตในการแก้ปัญหาทางวิทยาศาสตร์และทางเทคนิคที่ซับซ้อนด้วยองค์ประกอบต่างๆ การวิจัยทางวิทยาศาสตร์เช่นเดียวกับการแสดงระดับความพร้อมทางวิชาชีพของบัณฑิตการปฏิบัติตามมาตรฐานการศึกษานี้ WRC สำหรับคุณสมบัติ "ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล" ดำเนินการในรูปแบบของวิทยานิพนธ์หรือโครงการสำเร็จการศึกษา หัวข้อของ WRC สำหรับรูปแบบการศึกษาขั้นพื้นฐานถือว่าสอดคล้องกับเนื้อหาของโมดูลวิชาชีพตั้งแต่หนึ่งโมดูลขึ้นไป

วัฏจักรของผู้เชี่ยวชาญเฉพาะทาง10.02.01(090905) องค์กรและเทคโนโลยีความปลอดภัยข้อมูลรวม 4 โมดูลระดับมืออาชีพ:

1. การมีส่วนร่วมในการวางแผนและจัดระเบียบการทำงานเพื่อให้แน่ใจว่ามีการป้องกันสิ่งอำนวยความสะดวก
2. องค์กรและเทคโนโลยีการทำงานกับเอกสารลับ
3. การประยุกต์ใช้ฮาร์ดแวร์-ซอฟต์แวร์และวิธีการทางเทคนิคในการปกป้องข้อมูล
4. การปฏิบัติงานในอาชีพหนึ่งหรือหลายอาชีพของคนงานตำแหน่งพนักงาน

งานที่มีคุณสมบัติขั้นสุดท้ายต้องเป็นไปตามข้อกำหนดบังคับหลายประการ:

• แสดงให้เห็นถึงระดับของการก่อตัวของความสามารถทั่วไปและวิชาชีพ
• มีความเกี่ยวข้องและมุ่งเน้นการปฏิบัติ
• สอดคล้องกับงานที่พัฒนาขึ้น
• รวมการวิเคราะห์แหล่งที่มาในหัวข้อด้วยการสรุปและสรุปการเปรียบเทียบและการประเมินมุมมองต่างๆ
• แสดงให้เห็นถึงระดับความพร้อมของบัณฑิตสำหรับกิจกรรมทางวิชาชีพหนึ่งหรือหลายประเภท
• ความสอดคล้องของการนำเสนอ การโน้มน้าวใจของข้อเท็จจริงที่นำเสนอ
• การโต้แย้งข้อสรุปและข้อสรุปทั่วไป

ในงานที่มีคุณสมบัติขั้นสุดท้าย นักเรียนจะต้องแสดงให้เห็นถึงการพัฒนาความสามารถทั่วไปและความสามารถทางวิชาชีพ รวมถึงความสามารถในการ:

ตกลง 1. เข้าใจสาระสำคัญและความสำคัญทางสังคมของอาชีพในอนาคตของคุณ มีแรงจูงใจสูงในการดำเนินกิจกรรมระดับมืออาชีพในด้านการรักษาความปลอดภัยข้อมูล

ตกลง 2. จัดกิจกรรมของตนเอง เลือกวิธีมาตรฐานและวิธีการปฏิบัติงานระดับมืออาชีพ ประเมินประสิทธิภาพและคุณภาพ

ตกลง 3. ตัดสินใจในสถานการณ์ที่เป็นมาตรฐานและไม่เป็นมาตรฐานและรับผิดชอบต่อสถานการณ์เหล่านั้น

ตกลง 4. ค้นหาและใช้ข้อมูลที่จำเป็นสำหรับการใช้งานอย่างมีประสิทธิภาพ การพัฒนาวิชาชีพและส่วนบุคคล

ตกลง 5.

ตกลง 6. ทำงานเป็นทีมและทีม, สื่อสารกับเพื่อนร่วมงาน, ผู้บริหาร, ผู้บริโภคอย่างมีประสิทธิภาพ

ตกลง 7. รับผิดชอบงานของสมาชิกในทีม (ผู้ใต้บังคับบัญชา) ผลสำเร็จของงาน

ตกลง 8. กำหนดงานของการพัฒนาวิชาชีพและส่วนบุคคลอย่างอิสระ มีส่วนร่วมในการศึกษาด้วยตนเอง วางแผนการฝึกอบรมขั้นสูงอย่างมีสติ

ตกลง 9. นำทางในเงื่อนไขของการเปลี่ยนแปลงบ่อยครั้งของเทคโนโลยีในกิจกรรมระดับมืออาชีพ

ตกลง 10.

ตกลง 11. ใช้เครื่องมือทางคณิตศาสตร์เพื่อแก้ปัญหาระดับมืออาชีพ

ตกลง 12. ประเมินความสำคัญของเอกสารที่ใช้ในกิจกรรมวิชาชีพ

ตกลง 13. นำทางโครงสร้างของหน่วยงานบริหารของรัฐบาลกลางที่รับประกันความปลอดภัยของข้อมูล

PM 01 การมีส่วนร่วมในการวางแผนและจัดระเบียบงานเพื่อให้แน่ใจว่ามีการป้องกันสิ่งอำนวยความสะดวก

พีซี 1.1 มีส่วนร่วมในการรวบรวมและประมวลผลวัสดุเพื่อพัฒนาโซลูชันเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลและใช้วิธีการอย่างมีประสิทธิภาพในการตรวจจับช่องทางที่เป็นไปได้ของการรั่วไหลของข้อมูลที่เป็นความลับ

พีซี 1.2 ร่วมพัฒนาโปรแกรมและวิธีการจัดระบบรักษาความปลอดภัยข้อมูลของสถาน

พีซี 1.3 วางแผนและจัดระเบียบการปฏิบัติตามมาตรการในการปกป้องข้อมูล

พีซี 1.4 มีส่วนร่วมในการดำเนินการตามโซลูชันขององค์กรที่พัฒนาขึ้นตามวัตถุประสงค์ของกิจกรรมระดับมืออาชีพ

พีซี 1.5 เก็บบันทึก ประมวลผล จัดเก็บ ถ่ายโอน ใช้สื่อต่างๆ ที่เป็นความลับ

พีซี 1.6 จัดเตรียมมาตรการความปลอดภัยเมื่อดำเนินมาตรการขององค์กรและทางเทคนิค

พีซี 1.7 มีส่วนร่วมในองค์กรและดำเนินการตรวจสอบวัตถุข้อมูลที่จะได้รับการคุ้มครอง

พีซี 1.8 ตรวจสอบการปฏิบัติตามข้อกำหนดของบุคลากรตามข้อกำหนดของระบบการรักษาความปลอดภัยข้อมูล

พีซี 1.9 ร่วมประเมินคุณภาพงานคุ้มครองวัตถุ

PM 02 องค์กรและเทคโนโลยีการทำงานกับเอกสารลับ

พีซี 2.1 มีส่วนร่วมในการจัดทำเอกสารองค์กรและการบริหารที่ควบคุมงานด้านการคุ้มครองข้อมูล

พีซี 2.2. มีส่วนร่วมในองค์กรและมั่นใจในเทคโนโลยีในการทำงานสำนักงานโดยคำนึงถึงความลับของข้อมูล

พีซี 2.3 จัดระเบียบการไหลเวียนของเอกสารรวมถึงอิเล็กทรอนิกส์โดยคำนึงถึงการรักษาความลับของข้อมูล

พีซี 2.4 จัดระเบียบการจัดเก็บจดหมายเหตุของเอกสารลับ

พีซี 2.5 จัดทำเอกสารเกี่ยวกับการจัดการการปฏิบัติงานของเครื่องมือและบุคลากรด้านการรักษาความปลอดภัยข้อมูล

พีซี 2.6 เก็บบันทึกผลงานและสิ่งของที่ต้องป้องกัน

พีซี 2.7 จัดทำเอกสารการรายงานที่เกี่ยวข้องกับการทำงานของเครื่องมือควบคุมและป้องกันข้อมูล

พีซี 2.8 บันทึกความคืบหน้าและผลการสอบสวนภายใน

พีซี 2.9 ใช้กฎหมายข้อบังคับ เอกสารระเบียบข้อบังคับและระเบียบวิธีในการคุ้มครองข้อมูล

PM 03 การประยุกต์ใช้ซอฟต์แวร์ ฮาร์ดแวร์ และวิธีการทางเทคนิคในการปกป้องข้อมูล

พีซี 3.1 ใช้ซอฟต์แวร์ ฮาร์ดแวร์ และวิธีการทางเทคนิคในการป้องกันข้อมูลกับวัตถุที่ได้รับการคุ้มครอง

พีซี 3.2. มีส่วนร่วมในการทำงานของระบบและวิธีการปกป้องข้อมูลของวัตถุที่ได้รับการคุ้มครอง

พีซี 3.3. ดำเนินการบำรุงรักษาตามปกติและแก้ไขความล้มเหลวของอุปกรณ์ป้องกัน

พีซี 3.4 ระบุและวิเคราะห์ภัยคุกคามที่เป็นไปได้ต่อความปลอดภัยของข้อมูลของวัตถุ

น.04 การปฏิบัติงานในวิชาชีพอย่างใดอย่างหนึ่งหรือหลายอย่างของผู้ปฏิบัติงานตำแหน่งลูกจ้าง

21299 เสมียน

ตกลง 1.
ตกลง 2.
ตกลง 3.
ตกลง 4.
ตกลง 5.	ใช้เทคโนโลยีสารสนเทศและการสื่อสารในกิจกรรมระดับมืออาชีพ
ตกลง 6.
ตกลง 7.	ปฏิบัติหน้าที่ทางทหารรวมถึงการประยุกต์ใช้ความรู้ทางวิชาชีพที่ได้รับ (สำหรับชายหนุ่ม)
พีซี 4.1	รับและลงทะเบียนจดหมายโต้ตอบส่งไปยังแผนกโครงสร้างขององค์กร
พีซี 4.2	พิจารณาเอกสารและส่งเพื่อดำเนินการโดยคำนึงถึงมติของหัวหน้าองค์กร
พีซี 4.3	ออกบัตรลงทะเบียนและสร้างธนาคารข้อมูล
พีซี 4.4	เก็บรักษาบันทึกไฟล์ของเนื้อหาสารคดี
พีซี 4.5	ตรวจสอบการไหลของเอกสาร
พีซี 4.6	ส่งเอกสารที่สมบูรณ์ให้กับผู้รับโดยใช้ สายพันธุ์ที่ทันสมัยเทคโนโลยีองค์กร
พีซี 4.7	รวบรวมและดำเนินการเอกสารราชการ วัสดุ โดยใช้รูปแบบเอกสารเฉพาะประเภท
พีซี 4.8	กรณีแบบฟอร์ม
พีซี 4.9	จัดเตรียม ค้นหาอย่างรวดเร็วเอกสารเกี่ยวกับเครื่องมืออ้างอิงทางวิทยาศาสตร์ (ตู้เก็บเอกสาร) ขององค์กร
พีซี 4.10	มั่นใจในความปลอดภัยในการผ่านเอกสารการบริการ

16199 "ผู้ควบคุมคอมพิวเตอร์อิเล็กทรอนิกส์และคอมพิวเตอร์"

ตกลง 1.	ทำความเข้าใจสาระสำคัญและความสำคัญทางสังคมของอาชีพในอนาคตของคุณ แสดงความสนใจอย่างต่อเนื่อง
ตกลง 2.	จัดกิจกรรมของคุณเองตามเป้าหมายและวิธีการบรรลุซึ่งกำหนดโดยผู้นำ
ตกลง 3.	วิเคราะห์สถานการณ์การทำงาน ดำเนินการควบคุมในปัจจุบันและขั้นสุดท้าย ประเมินและแก้ไขกิจกรรมของตนเอง รับผิดชอบต่อผลงานของตน
ตกลง 4.	ค้นหาข้อมูลที่จำเป็นสำหรับการปฏิบัติงานอย่างมีประสิทธิภาพของมืออาชีพ
ตกลง 5.	ใช้เทคโนโลยีสารสนเทศและการสื่อสารในกิจกรรมระดับมืออาชีพ
ตกลง 6.	ทำงานเป็นทีม สื่อสารกับเพื่อนร่วมงาน ผู้บริหาร ลูกค้าได้อย่างมีประสิทธิภาพ
ตกลง 7.	ปฏิบัติหน้าที่ทางทหารรวมถึงการประยุกต์ใช้ความรู้ทางวิชาชีพที่ได้รับ (สำหรับชายหนุ่ม)
พีซี 4.1	เตรียมงานและตั้งค่า ฮาร์ดแวร์, อุปกรณ์ต่อพ่วง , ระบบปฏิบัติการ คอมพิวเตอร์ส่วนบุคคลและอุปกรณ์มัลติมีเดีย
พีซี 4.2	ดำเนินการดิจิตอลและ ข้อมูลอะนาล็อกลงในเครื่องคอมพิวเตอร์ส่วนบุคคลจากสื่อต่างๆ
พีซี 4.3	แปลงไฟล์ด้วยข้อมูลดิจิทัลเป็นรูปแบบต่างๆ
พีซี 4.4	ประมวลผลเนื้อหาเสียงและภาพโดยใช้โปรแกรมตัดต่อเสียง กราฟิก และวิดีโอ
พีซี 4.5	สร้างและเล่นวิดีโอ งานนำเสนอ การนำเสนอภาพนิ่ง ไฟล์มีเดีย และผลิตภัณฑ์ขั้นสุดท้ายอื่นๆ จากส่วนประกอบเสียง ภาพ และมัลติมีเดียต้นฉบับโดยใช้คอมพิวเตอร์ส่วนบุคคลและอุปกรณ์มัลติมีเดีย
พีซี 4.6	สร้างไลบรารีสื่อสำหรับการจัดเก็บที่มีโครงสร้างและการทำรายการข้อมูลดิจิทัล
พีซี 4.7	จัดการการจัดวางข้อมูลดิจิทัลบนดิสก์ของคอมพิวเตอร์ส่วนบุคคล รวมถึงที่เก็บข้อมูลดิสก์ของเครือข่ายคอมพิวเตอร์ในพื้นที่และทั่วโลก
พีซี 4.8	ทำซ้ำเนื้อหามัลติมีเดียต่างๆ สื่อที่ถอดออกได้ข้อมูล.
พีซี 4.9	เผยแพร่เนื้อหามัลติมีเดียบนอินเทอร์เน็ต

1. ประสิทธิภาพของงานคัดเลือกขั้นสุดท้าย

งานที่มีคุณสมบัติขั้นสุดท้าย (WQR) - งานขั้นสุดท้ายของลักษณะการศึกษาและการวิจัยในหลักสูตรการศึกษาระดับวิทยาลัยการเตรียมงานรอบคัดเลือกขั้นสุดท้ายเป็นขั้นตอนสุดท้ายของการศึกษาของนักเรียนและในขณะเดียวกันก็เป็นการทดสอบความสามารถของเขาในการแก้ปัญหาการศึกษาอย่างอิสระ งานอิสระนักเรียนในหัวข้อที่เลือกเริ่มต้นในการฝึกระดับปริญญาตรี ในเวลาเดียวกัน มีความรู้ทางทฤษฎีที่ลึกซึ้งยิ่งขึ้น การจัดระบบ การพัฒนาทักษะประยุกต์และทักษะการปฏิบัติ และเพิ่มพูนความรู้ทั่วไปและวิชาชีพ

WRC (วิทยานิพนธ์) มีความคล้ายคลึงกันบางประการกับ ภาคนิพนธ์ตัวอย่างเช่น การทำงานกับแหล่งข้อมูลทางทฤษฎีหรือการออกแบบ อย่างไรก็ตาม WRC (วิทยานิพนธ์) เป็นการศึกษาเชิงทฤษฎีและ (หรือ) เชิงทดลองของหนึ่งในนั้น ปัญหาที่เกิดขึ้นจริงความปลอดภัยของข้อมูลในแบบพิเศษของนักศึกษาระดับบัณฑิตศึกษา การศึกษาอาจรวมถึงการพัฒนาวิธีการต่างๆ วิธีการ ซอฟต์แวร์และฮาร์ดแวร์ แบบจำลอง ระบบ เทคนิค ฯลฯ ซึ่งทำหน้าที่เพื่อให้บรรลุเป้าหมายของวิทยานิพนธ์ ผลงานของวิทยานิพนธ์ถูกวาดขึ้นในรูปแบบของข้อความของบันทึกอธิบายด้วยการประยุกต์ใช้กราฟ ตาราง ภาพวาด แผนที่ ไดอะแกรม ฯลฯ

เมื่อดำเนินการ WRC ควรใช้ข้อมูลเกี่ยวกับความสำเร็จด้านวิทยาศาสตร์และเทคโนโลยีในประเทศและต่างประเทศล่าสุดในด้านการรักษาความปลอดภัยข้อมูล ระยะเวลาของการเตรียมการและการป้องกันของ WRC (วิทยานิพนธ์) จะนำหน้าด้วยการฝึกเตรียมประกาศนียบัตร ข้อกำหนดของการปฏิบัติงานระดับปริญญาตรีตลอดจนเงื่อนไขการเตรียมความพร้อมและการป้องกันของ WQR นั้นถูกกำหนดโดยกำหนดการสำหรับการจัดกระบวนการศึกษาซึ่งได้รับอนุมัติจากคำสั่งของวิทยาลัยก่อนเริ่มปีการศึกษาปัจจุบัน WRC ควรดำเนินการโดยผู้สำเร็จการศึกษาโดยใช้สื่อที่เขารวบรวมเป็นการส่วนตัวในช่วงฝึกงานระดับปริญญาตรีรวมถึงในระหว่างการเขียนภาคนิพนธ์

หัวข้อของผลงานที่ผ่านการคัดเลือกขั้นสุดท้ายจะพิจารณาในระหว่างการพัฒนาโปรแกรม GIA. เมื่อกำหนดหัวข้อของ WRC ควรคำนึงถึงว่าเนื้อหาอาจอิงตาม:

• เกี่ยวกับการสรุปผลการปฏิบัติงานของหลักสูตรที่นักเรียนดำเนินการก่อนหน้านี้
• ในการใช้ผลลัพธ์ของงานปฏิบัติที่เสร็จสิ้นไปก่อนหน้านี้

มีการกำหนดหัวข้อของผลงานรอบคัดเลือกสำหรับนักศึกษาไม่เกินวันที่ 1 พฤศจิกายนปีสุดท้ายของการศึกษา ในขณะเดียวกันก็มีการแจกนักเรียนตามผู้บังคับบัญชา หัวหน้างานช่วยนักเรียนในการพัฒนาพื้นที่ของการวิจัย การกำหนดช่วงของคำถามทางทฤษฎีสำหรับการศึกษา และพัฒนาส่วนปฏิบัติของการศึกษา สามารถติดนักเรียนได้ไม่เกิน 8 คนต่อผู้นำแต่ละคน

1. โครงสร้างของงานคัดเลือกขั้นสุดท้าย

โครงสร้างของส่วนทฤษฎีของวิทยานิพนธ์ที่มีคุณสมบัติ: บทนำ ส่วนทฤษฎี ส่วนปฏิบัติ บทสรุป รายการอ้างอิง การประยุกต์ใช้

ปริมาณของโครงการสำเร็จการศึกษาคือ 40-50 หน้าของข้อความที่พิมพ์และรวมถึง:

1. หน้าชื่อเรื่อง (ภาคผนวก 1)
2. เนื้อหา. เนื้อหาของ WRC ถูกสร้างขึ้นโดยอัตโนมัติในรูปแบบของลิงก์เพื่อความสะดวกในการทำงานวัสดุที่เป็นข้อความจำนวนมาก การใช้สารบัญอิเล็กทรอนิกส์ยังแสดงให้เห็นถึงความเชี่ยวชาญในความสามารถทั่วไปของ GC 5 (ใช้เทคโนโลยีสารสนเทศและการสื่อสารในกิจกรรมระดับมืออาชีพ)
3. การแนะนำ. จำเป็นต้องยืนยันความเกี่ยวข้องและความสำคัญในทางปฏิบัติของหัวข้อที่เลือก กำหนดเป้าหมายและวัตถุประสงค์ เป้าหมายและหัวข้อของ WRC และช่วงของปัญหาที่อยู่ระหว่างการพิจารณา

4. ส่วนหลักของ WRCรวมส่วนต่างๆ ตามโครงสร้างเชิงตรรกะของงานนำเสนอ ชื่อของส่วนไม่ควรซ้ำกับชื่อของหัวข้อ และชื่อของย่อหน้าไม่ควรซ้ำกับชื่อของส่วน

ส่วนหลักของ WRC ควรประกอบด้วยสองส่วน

• ส่วนที่ 1 อุทิศให้กับแง่มุมทางทฤษฎีของวัตถุและเรื่องที่ศึกษา ประกอบด้วยภาพรวมของแหล่งข้อมูลที่ใช้ กรอบการกำกับดูแลในเรื่องของ WRC และยังสามารถค้นหาสถานที่สำหรับข้อมูลสถิติในรูปแบบของตารางและกราฟ

หมวดที่สอง อุทิศให้กับการวิเคราะห์เนื้อหาภาคปฏิบัติที่ได้รับระหว่างการฝึกปฏิบัติการผลิต (ระดับปริญญาตรี) ส่วนนี้ประกอบด้วย:

การวิเคราะห์เนื้อหาเฉพาะในหัวข้อที่เลือก

• รายละเอียดของปัญหาที่ระบุและแนวโน้มในการพัฒนาวัตถุและหัวข้อการศึกษา
• คำอธิบายวิธีแก้ปัญหาที่ระบุโดยใช้การคำนวณการวิเคราะห์ข้อมูลการทดลองผลิตภัณฑ์ของกิจกรรมสร้างสรรค์

สามารถใช้ตารางการวิเคราะห์ การคำนวณ สูตร แผนภาพ แผนภูมิ และกราฟได้ในระหว่างการวิเคราะห์

5. สรุป - ควรมีข้อสรุปและคำแนะนำเกี่ยวกับความเป็นไปได้ในการใช้หรือ การประยุกต์ใช้จริงผลการวิจัย. ควรมีความยาวไม่เกิน 5 หน้าของข้อความ

6. การอ้างอิงออกตาม GOST.

7. แอปพลิเคชัน ตั้งอยู่ที่ส่วนท้ายของงานและถูกวาดขึ้นตามกับ

บทนำ แต่ละบท บทสรุป ตลอดจนรายการแหล่งข้อมูลที่ใช้จะเริ่มต้นในหน้าใหม่

เอกสารประกอบคำบรรยายงานนำเสนอมาพร้อมกับการสาธิตวัสดุจากภาคผนวก

ในการทำเช่นนี้คุณต้องเตรียมการนำเสนอทางอิเล็กทรอนิกส์ แต่อาจมีการนำเสนอบนกระดาษ - เอกสารประกอบคำบรรยายสำหรับค่าคอมมิชชั่นในโฟลเดอร์หรือโปสเตอร์แยกต่างหากก่อนการแสดง

ในระหว่างการกล่าวสุนทรพจน์ของนักเรียน คณะกรรมการจะทำความคุ้นเคยกับวิทยานิพนธ์ เอกสารประกอบคำบรรยายที่นักเรียนออกให้ และวิดีโอนำเสนอ

งานรุ่นอิเล็กทรอนิกส์แนบกับ WRC บนกระดาษ ต้องใส่แผ่นดิสก์ลงในซองจดหมายและเซ็นชื่อ

2.2. ขั้นตอนการเตรียมงานคัดเลือกขั้นสุดท้าย

ด่านฉัน: การมีส่วนร่วมในกิจกรรม - เกี่ยวข้องกับ:

• การเลือกหัวข้อวิจัย
• การเลือก ศึกษา วิเคราะห์ และสรุปเนื้อหาในหัวข้อนั้น
• การพัฒนาแผนการทำงาน

ขั้นตอนที่สอง: การกำหนดระดับของงาน - เกี่ยวข้องกับการศึกษาเชิงทฤษฎีของวรรณกรรมและการกำหนดปัญหา

ด่านที่สาม: สร้างตรรกะการวิจัย ข้อมูลของขั้นตอนนี้สะท้อนให้เห็นในบทนำ

บทนำเปรียบได้กับคำอธิบายประกอบในหนังสือ โดยกล่าวถึงพื้นฐานทางทฤษฎีของอนุปริญญา โครงสร้าง ขั้นตอน และวิธีการทำงาน ดังนั้นบทนำควรเขียนอย่างมีประสิทธิภาพและรัดกุมที่สุดเท่าที่จะเป็นไปได้ (หน้า 2-3) บทนำควรเตรียมผู้อ่านให้พร้อมสำหรับการรับรู้เนื้อหาหลักของงาน ประกอบด้วยองค์ประกอบบังคับที่ต้องกำหนดอย่างถูกต้อง

1. ความเกี่ยวข้องของการวิจัย- คำอธิบายว่าทำไมหัวข้อของคุณถึงสำคัญ ใครเป็นที่ต้องการ (ตอบคำถาม: ทำไมต้องศึกษาสิ่งนี้) ในย่อหน้านี้จำเป็นต้องเปิดเผยสาระสำคัญของปัญหาภายใต้การศึกษา บทนำนี้มีเหตุผลที่จะเริ่มต้นด้วยคำจำกัดความของปรากฏการณ์ทางเศรษฐกิจซึ่งมุ่งเป้าไปที่กิจกรรมการวิจัย คุณยังสามารถระบุแหล่งที่มาของข้อมูลที่ใช้สำหรับการศึกษาได้ที่นี่ ( ฐานข้อมูลค้นคว้าได้ในบทแรก) อย่างไรก็ตาม คุณต้องเข้าใจว่ามีปัญหาบางอย่างเกี่ยวกับวัตถุประสงค์ซึ่งแก้ไขได้ด้วยการเขียนประกาศนียบัตรของคุณ ความยากลำบากเหล่านี้คือข้อเสียที่มีอยู่จากภายนอกสะท้อนให้เห็นปัญหาประกาศนียบัตร
2. ปัญหาการวิจัย(ตอบคำถามว่าควรศึกษาอะไร) ปัญหาการวิจัยแสดงให้เห็นภาวะแทรกซ้อน ปัญหาที่แก้ไม่ตก หรือปัจจัยที่ขัดขวางการแก้ปัญหา กำหนดโดย 1 - 2 เงื่อนไข (ตัวอย่างปัญหาการวิจัย: "...ความขัดแย้งระหว่างความจำเป็นขององค์กรในการ การป้องกันที่เชื่อถือได้ข้อมูลและการจัดองค์กรทำงานจริงเพื่อให้มั่นใจถึงการปกป้องข้อมูลในองค์กร”)

3. วัตถุประสงค์ของการศึกษา- นี่คือสิ่งที่คุณควรได้รับในตอนท้ายนั่นคือผลสุดท้ายของประกาศนียบัตร (เป้าหมายเกี่ยวข้องกับการตอบคำถาม: ผลลัพธ์จะเป็นอย่างไร) เป้าหมายควรเป็นการแก้ปัญหาที่กำลังศึกษาโดยการวิเคราะห์และ การปฏิบัติจริง. เป้าหมายจะพุ่งเข้าหาวัตถุเสมอตัวอย่างเช่น:

• พัฒนาโครงการ (คำแนะนำ)...
• ระบุเงื่อนไขความสัมพันธ์ ...
• พิจารณาการพึ่งพาบางสิ่งในบางสิ่ง ...

4. วัตถุประสงค์ของการศึกษา(จะตรวจสอบอะไร?) เกี่ยวข้องกับการทำงานกับแนวคิด ย่อหน้านี้กำหนดปรากฏการณ์ทางเศรษฐกิจที่มุ่งกิจกรรมการวิจัย วัตถุสามารถเป็นบุคคล สภาพแวดล้อม กระบวนการ โครงสร้าง กิจกรรมทางเศรษฐกิจขององค์กร (องค์กร)

1. สาขาวิชา(การค้นหาจะดำเนินไปอย่างไรและอย่างไร) ที่นี่จำเป็นต้องกำหนดคุณสมบัติเฉพาะของวัตถุที่วางแผนไว้สำหรับการวิจัยหรือวิธีศึกษาปรากฏการณ์ทางเศรษฐกิจ หัวข้อของการศึกษามุ่งสู่การปฏิบัติและสะท้อนให้เห็นผ่านผลของการปฏิบัติ

6. วัตถุประสงค์ของการวิจัย- เหล่านี้เป็นขั้นตอนในการบรรลุเป้าหมาย (แสดงวิธีการไปสู่ผลลัพธ์?) วิธีการบรรลุเป้าหมาย มีความสอดคล้องกับสมมติฐาน กำหนดตามวัตถุประสงค์ของงาน การกำหนดงานควรทำอย่างระมัดระวังที่สุดเท่าที่จะเป็นไปได้เนื่องจากคำอธิบายของการแก้ปัญหาควรอยู่ในเนื้อหาของส่วนย่อยและย่อหน้าของงาน ตามกฎแล้วจะมีการกำหนดงาน 3-4 งาน

แต่ละงานต้องขึ้นต้นด้วยคำกริยาที่ไม่แน่นอน มีการอธิบายงานผ่านระบบของการดำเนินการตามลำดับตัวอย่างเช่น:

• วิเคราะห์...;
• สำรวจ...;

• วิจัย...;
• เปิดเผย...;
• กำหนด...;
• พัฒนา...

ตามกฎแล้ว 5-7 งานมีความโดดเด่นใน WRC (วิทยานิพนธ์)

แต่ละงานควรสะท้อนให้เห็นในส่วนย่อยของส่วนทฤษฎีหรือส่วนปฏิบัติ งานควรสะท้อนให้เห็นในสารบัญ หากงานระบุไว้ในบทนำ แต่ไม่ปรากฏในสารบัญและในข้อความของประกาศนียบัตร นี่เป็นข้อผิดพลาดร้ายแรง

รายการงานที่จำเป็น:

1. “ บนพื้นฐานของการวิเคราะห์เชิงทฤษฎีของวรรณกรรมเพื่อพัฒนา ... ” (แนวคิดหลัก, แนวคิดพื้นฐาน)
2. “กำหนด...” (เน้นเงื่อนไขหลัก ปัจจัย สาเหตุที่ส่งผลต่อวัตถุประสงค์ของการศึกษา)
3. “เปิดเผย...” (เน้นเงื่อนไขหลัก ปัจจัย สาเหตุที่ส่งผลต่อหัวข้อวิจัย)
4. "พัฒนา ... " (หมายถึง เงื่อนไข แบบฟอร์ม โปรแกรม)
5. “เพื่อทดสอบ (สิ่งที่พัฒนาขึ้น) และให้คำแนะนำ ...

8. ความสำคัญทางทฤษฎีและการปฏิบัติของการศึกษา:
“ผลการศึกษาจะทำให้นำไปปฏิบัติได้...; จะมีส่วนร่วม

การพัฒนา...; จะปรับปรุง... การมีทิศทางที่กำหนดไว้สำหรับการดำเนินการตามข้อค้นพบและข้อเสนอทำให้งานมีความสำคัญในทางปฏิบัติอย่างมาก ไม่บังคับ

9. วิธีการวิจัย:รายการสั้นจะได้รับระเบียบวิธีวิจัย- นี่คือวิธีที่นักเรียนใช้ในกระบวนการเขียนประกาศนียบัตร วิธีการ กิจกรรมการวิจัยรวมถึง: วิธีการทางทฤษฎี (วิธีการวิเคราะห์ การสังเคราะห์ การเปรียบเทียบ) และวิธีการเชิงประจักษ์ (การสังเกต วิธีการสำรวจ การทดลอง)

1. ฐานวิจัย- นี่คือชื่อขององค์กรซึ่งเป็นองค์กรที่ดำเนินการศึกษา ส่วนใหญ่แล้วฐานของการศึกษาคือสถานที่สำหรับการฝึกปฏิบัติระดับปริญญาตรีของนักเรียน

วลีสุดท้ายของบทนำคือคำอธิบายของโครงสร้างและจำนวนหน้าใน WRC: "โครงสร้างของงานสอดคล้องกับตรรกะของการศึกษาและรวมถึงบทนำ ส่วนทฤษฎี ส่วนปฏิบัติ บทสรุป a รายการอ้างอิง ใบสมัคร" ที่นี่ อนุญาตให้แสดงโครงสร้างโดยละเอียดเพิ่มเติมของ WRC และร่างเนื้อหาของส่วนต่างๆ โดยสังเขป

ดังนั้น บทนำควรเตรียมผู้อ่านให้พร้อมสำหรับการรับรู้เนื้อหาหลักของงาน

ระยะที่สี่: ทำงานในส่วนหลักของ WRC

ส่วนหลักของ WRC ควรมีส่วน ส่วนย่อย และย่อหน้าที่กำหนดลักษณะทางทฤษฎีและทางปฏิบัติของหัวข้อโดยอิงจากการวิเคราะห์วรรณกรรมที่ตีพิมพ์ พิจารณาประเด็นที่ถกเถียงกัน กำหนดตำแหน่ง มุมมองของผู้เขียน มีการอธิบายการสังเกตและการทดลองที่ดำเนินการโดยนักเรียน วิธีการวิจัย การคำนวณ การวิเคราะห์ข้อมูลการทดลอง และผลลัพธ์ที่ได้ เมื่อแบ่งข้อความออกเป็นส่วนย่อยและย่อหน้า จำเป็นที่แต่ละย่อหน้าจะมีข้อมูลครบถ้วน

ส่วนทางทฤษฎีเกี่ยวข้องกับการวิเคราะห์วัตถุประสงค์ของการศึกษาและควรมีแนวคิดหลัก ประวัติของปัญหา ระดับการพัฒนาของปัญหาในทางทฤษฎีและการปฏิบัติ ในการเขียนส่วนทางทฤษฎีอย่างมีความสามารถจำเป็นต้องหาแหล่งข้อมูลทางวิทยาศาสตร์วิทยาศาสตร์วิธีการและอื่น ๆ ในหัวข้อนี้ในปริมาณที่เพียงพอประกาศนียบัตร. ตามกฎแล้ว - ไม่น้อยกว่า 10

ส่วนที่ 1 ควรอุทิศให้กับคำอธิบายของวัตถุประสงค์ของการวิจัย ส่วนที่ 2 - สำหรับคำอธิบายของหัวข้อการวิจัย เป็นส่วนหลักของ WRC และควรเชื่อมโยงกันในเชิงตรรกะ

ส่วนหลักของ WRC ควรมีตาราง แผนภูมิ กราฟ พร้อมลิงก์และความคิดเห็นที่เกี่ยวข้อง ส่วนต่างๆ ควรมีส่วนหัวที่สะท้อนถึงเนื้อหา หัวข้อของส่วนต่างๆไม่ควรซ้ำกับชื่องาน ให้เราพิจารณารายละเอียดเพิ่มเติมเกี่ยวกับเนื้อหาของแต่ละส่วนของ WRC

ส่วนที่ 1 เป็นเชิงทฤษฎี การศึกษาในธรรมชาติ และอุทิศให้กับคำอธิบายของบทบัญญัติทางทฤษฎีหลัก วิธีการ วิธีการ แนวทาง และฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการแก้ปัญหาหรืองานที่คล้ายกัน ส่วนนี้รวมเฉพาะสิ่งที่จำเป็นในฐานะพื้นฐานทางทฤษฎีเบื้องต้นสำหรับการทำความเข้าใจสาระสำคัญของการวิจัยและพัฒนาที่อธิบายไว้ในส่วนต่อไปนี้ มีการสรุปประเด็นทางทฤษฎี: วิธีการ, วิธีการ, อัลกอริทึมสำหรับการแก้ปัญหา, การวิเคราะห์การไหลของข้อมูล ฯลฯ ส่วนสุดท้ายของส่วนหลักมักจะมีคำอธิบายของผลการทดลองด้วยวิธีที่เสนอ (พัฒนาแล้ว) วิธีการ ฮาร์ดแวร์และซอฟต์แวร์และระบบ และการวิเคราะห์เปรียบเทียบของผลลัพธ์ที่ได้ ควรให้ความสำคัญกับการอภิปรายผลที่ได้รับใน WRC และภาพประกอบ ความสนใจเป็นพิเศษ. การสรุปเนื้อหาของสิ่งพิมพ์ของผู้เขียนอื่น ๆ เป็นสิ่งที่จำเป็นอย่างจำเป็น ให้ลิงก์กับพวกเขาพร้อมระบุหมายเลขหน้าของแหล่งข้อมูลเหล่านี้ ในส่วนแรก ขอแนะนำให้วิเคราะห์สถานะปัจจุบันของปัญหาและระบุแนวโน้มในการพัฒนากระบวนการภายใต้การศึกษา สำหรับสิ่งนี้ จะใช้เอกสารกำกับดูแลปัจจุบัน สถิติอย่างเป็นทางการ บทวิจารณ์เชิงวิเคราะห์ และบทความในวารสาร ผลที่ตามมาการวิเคราะห์กฎระเบียบควรเป็นข้อสรุปเกี่ยวกับผลกระทบต่อปัญหาที่กำลังศึกษาและข้อเสนอแนะในการปรับปรุง เมื่อเตรียมวัสดุสถิติในข้อความของงานในบังคับ ลำดับ การอ้างอิงจะทำกับแหล่งข้อมูล

ในส่วนแรกขอแนะนำให้ใส่ใจกับประวัติ (ขั้นตอน) ของการพัฒนากระบวนการภายใต้การศึกษาและการวิเคราะห์ประสบการณ์ต่างประเทศขององค์กร ผลการวิเคราะห์การปฏิบัติในต่างประเทศควรเป็นการเปรียบเทียบกระบวนการภายใต้การศึกษากับการปฏิบัติในประเทศและคำแนะนำเกี่ยวกับความเป็นไปได้ของการประยุกต์ใช้ในรัสเซีย

ในส่วนนี้ควรทำการวิเคราะห์เปรียบเทียบแนวทางและวิธีการแก้ไขปัญหาที่มีอยู่ด้วย มีความจำเป็นต้องปรับการเลือกวิธีการแก้ปัญหาภายใต้การศึกษาและระบุรายละเอียด คุณยังสามารถเสนอวิธีการของคุณเองได้อีกด้วย

ในกระบวนการหาแหล่งข้อมูลทางทฤษฎีจำเป็นต้องเน้นและทำเครื่องหมายข้อความที่มีนัยสำคัญสำหรับส่วนนี้ของประกาศนียบัตร ส่วนของข้อความเหล่านี้สามารถวางในวิทยานิพนธ์เป็นข้อความอ้างอิง เป็นภาพประกอบสำหรับการวิเคราะห์ การเปรียบเทียบของคุณ ในส่วนทางทฤษฎีของ WRC เป็นไปไม่ได้ที่จะวางส่วนและบททั้งหมดจากตำราเรียน หนังสือ บทความ

งานใด ๆ ควรมีแง่มุมทางทฤษฎีวิธีการและการปฏิบัติของปัญหาที่กำลังศึกษาอยู่

ส่วนที่ 2 จะต้องเป็นการปฏิบัติอย่างแท้จริง จำเป็นต้องอธิบายวัตถุประสงค์ของการศึกษาในเชิงปริมาณ นำเสนอผลการคำนวณเชิงปฏิบัติและทิศทางสำหรับการใช้งาน และยังกำหนดทิศทางสำหรับการปรับปรุงองค์กรและเทคโนโลยีในการปกป้องข้อมูล ในการเขียนส่วนที่สองตามกฎแล้วจะใช้วัสดุที่รวบรวมโดยนักเรียนในระหว่างการปฏิบัติทางอุตสาหกรรม ส่วนนี้ของ WRC ประกอบด้วยคำอธิบายผลการปฏิบัติของการศึกษา สามารถอธิบายการทดลองและวิธีการที่ใช้ในการดำเนินการ ผลที่ได้รับ ความเป็นไปได้ของการใช้ผลการศึกษาในทางปฏิบัติ

โครงสร้างโดยประมาณของภาคปฏิบัติของ WRC

ตามกฎแล้วในชื่อเรื่องของภาคปฏิบัติปัญหาการวิจัยถูกกำหนดขึ้นโดยใช้ตัวอย่างขององค์กรเฉพาะ

1. วัตถุประสงค์ของการศึกษา- กำหนดในประโยคแรก

ลักษณะทางเทคนิคและเศรษฐกิจขององค์กรบนพื้นฐานของการศึกษา (สถานะขององค์กร, ลักษณะทางสัณฐานวิทยาขององค์กร, โครงสร้างองค์กรและการจัดการ, คุณสมบัติของกระบวนการทางเทคโนโลยี, ฯลฯ )

1. วิธีการวิจัย.
2. ความคืบหน้าการวิจัย.หลังจากกำหนดชื่อของแต่ละวิธีแล้วจะมีการระบุวัตถุประสงค์ของเขา การใช้งานและคำอธิบาย นอกจากนี้ยังเปิดเผยการประยุกต์ใช้ระเบียบวิธีวิจัยในองค์กรเฉพาะ เนื้อหาทั้งหมดเกี่ยวกับการประยุกต์ใช้วิธีการวิจัย (แบบฟอร์มแบบสอบถาม เอกสารภายในเพื่อให้มั่นใจถึงการปกป้องข้อมูลขององค์กร / องค์กร) จะอยู่ในแอปพลิเคชัน มีการวิเคราะห์ผลลัพธ์ที่ได้และทำการสรุปผล เพื่อให้ได้ผลลัพธ์ที่แม่นยำยิ่งขึ้น อย่าใช้อย่างใดอย่างหนึ่ง แต่วิธีการวิจัยหลายวิธี
3. ข้อสรุปทั่วไป ในตอนท้ายของการศึกษา ผลลัพธ์ทั่วไป (ข้อสรุป) ในหัวข้อทั้งหมดจะถูกสรุป วิธีการที่ใช้ควรยืนยันหรือหักล้างสมมติฐานการวิจัย ในกรณีที่มีการหักล้างสมมติฐาน จะมีการให้คำแนะนำเกี่ยวกับการปรับปรุงที่เป็นไปได้ของกิจกรรมขององค์กรและเทคโนโลยีการปกป้องข้อมูลขององค์กร/องค์กรในแง่ของปัญหาที่กำลังศึกษา
4. อยู่ในความดูแล ควรนำเสนอรายการสั้น ๆ ของผลลัพธ์ที่ได้รับจากการทำงาน จุดประสงค์หลักของการสรุปคือการสรุปเนื้อหาของงานเพื่อสรุปผลการศึกษา ในบทสรุป การค้นพบจะถูกนำเสนอ ความสัมพันธ์กับวัตถุประสงค์ของงานและงานเฉพาะที่กำหนดและกำหนดในบทนำได้รับการวิเคราะห์อ้างอิงรายงานการป้องกันของนักเรียนและข้อความไม่ควรเกิน 5 หน้า

3. กฎทั่วไปสำหรับการลงทะเบียนของงานคัดเลือกขั้นสุดท้าย

3.1 การออกแบบวัสดุข้อความ

ส่วนข้อความของงานจะต้องดำเนินการในเวอร์ชันคอมพิวเตอร์บนกระดาษ A4 ที่ด้านหนึ่งของแผ่นงาน แบบอักษร - Times New Roman, ขนาดตัวอักษร - 14, รูปแบบ - ปกติ, ระยะห่างหนึ่งครึ่ง, การจัดตำแหน่งที่ถูกต้อง หน้าควรมีระยะขอบ (แนะนำ): ด้านล่าง - 2; ด้านบน - 2; ซ้าย - 2; ขวา - 1. ปริมาณของ WRC ควรเป็น 40-50 หน้า ขอแนะนำให้ใช้สัดส่วนขององค์ประกอบหลักที่ระบุไว้ในปริมาณรวมของงานตรวจสอบคุณสมบัติขั้นสุดท้าย: บทนำ - มากถึง 10%; ส่วนของส่วนหลัก - 80%; สรุป - มากถึง 10%

ข้อความทั้งหมดของ WRC ควรแบ่งออกเป็นส่วนต่างๆ การแบ่งข้อความทำได้โดยการแบ่งออกเป็นส่วนและส่วนย่อย ในเนื้อหาของ WRC ไม่ควรมีความบังเอิญของการใช้ถ้อยคำของชื่อหนึ่งในส่วนที่เป็นส่วนประกอบกับชื่อของผลงานเอง รวมถึงความบังเอิญของชื่อหัวข้อและหัวข้อย่อย ชื่อเรื่องของส่วนและส่วนย่อยควรสะท้อนถึงเนื้อหาหลักและเปิดเผยธีมของ WRC

ส่วนและส่วนย่อยควรมีหัวเรื่อง รายการมักจะไม่มีหัวเรื่อง ส่วนหัวของส่วน ส่วนย่อย และย่อหน้าควรพิมพ์โดยย่อหน้าขนาด 1.25 ซม. ด้วยอักษรตัวใหญ่โดยไม่มีจุดในตอนท้าย โดยไม่ต้องขีดเส้นใต้ แบบอักษรหมายเลข 14 "Times New Roman" ถ้าหัวเรื่องประกอบด้วย 2 ประโยค ให้คั่นด้วยจุด หัวเรื่องควรสะท้อนถึงเนื้อหาของส่วนย่อยอย่างชัดเจนและรัดกุม

เมื่อแบ่ง WRC ออกเป็นส่วน ๆ ตาม GOST 2.105-95 การกำหนดจะทำโดยหมายเลขซีเรียล - เลขอารบิคไม่มีจุด หากจำเป็น สามารถแบ่งส่วนย่อยออกเป็นย่อหน้าได้ หมายเลขย่อหน้าต้องประกอบด้วยหมายเลขมาตรา ส่วนย่อย และย่อหน้าที่คั่นด้วยจุด อย่าใส่จุดที่ท้ายส่วน (ส่วนย่อย) หมายเลขย่อหน้า (อนุวรรค) แต่ละส่วนต้องเริ่มในชีตใหม่ (หน้า)

ถ้าส่วนหรือส่วนย่อยประกอบด้วยหนึ่งย่อหน้า ก็ไม่ควรใส่หมายเลข ถ้าจำเป็น ย่อหน้าสามารถแบ่งออกเป็นย่อหน้าย่อยได้ ซึ่งต้องมีหมายเลขกำกับภายในแต่ละย่อหน้า เช่น

1 ประเภทและขนาดหลัก

การแจงนับอาจได้รับภายในอนุประโยคหรืออนุประโยค รายชื่อแต่ละรายการจะต้องนำหน้าด้วยยัติภังค์หรือตัวพิมพ์เล็กตามด้วยวงเล็บ สำหรับรายละเอียดเพิ่มเติมของการแจงนับ จำเป็นต้องใช้เลขอารบิก หลังจากนั้นจึงใส่วงเล็บ

ตัวอย่าง:

ก)_____________

ข) _____________

1) ________

2) ________

วี) ____________

เลขหน้าของข้อความหลักและภาคผนวกควรต่อเนื่องกัน หมายเลขหน้าจะอยู่ตรงกลางด้านล่างของแผ่นโดยไม่มีจุด หน้าชื่อรวมอยู่ในเลขหน้าทั่วไปของ WRC ไม่มีเลขหน้าในหน้าชื่อเรื่องและเนื้อหา

งานวิทยานิพนธ์ควรใช้คำศัพท์ทางวิทยาศาสตร์และพิเศษ การกำหนดและคำจำกัดความที่กำหนดโดยมาตรฐานที่เกี่ยวข้องและในกรณีที่ไม่มี - เป็นที่ยอมรับโดยทั่วไปในวรรณกรรมพิเศษและวิทยาศาสตร์ หากมีการนำคำศัพท์เฉพาะมาใช้ ควรให้รายการคำศัพท์ที่ยอมรับพร้อมคำอธิบายที่เหมาะสมก่อนรายการอ้างอิง รายการรวมอยู่ในเนื้อหาของงาน

3.2 การออกแบบภาพประกอบ

ภาพประกอบทั้งหมดที่อยู่ในผลงานที่ผ่านการคัดเลือกขั้นสุดท้ายจะต้องได้รับการคัดเลือกอย่างระมัดระวัง ชัดเจน และดำเนินการอย่างแม่นยำ รูปภาพและไดอะแกรมควรเกี่ยวข้องโดยตรงกับข้อความโดยไม่มี รูปภาพพิเศษและข้อมูลที่ไม่ได้อธิบายที่ไหน จำนวนภาพประกอบใน WRC ควรเพียงพอที่จะอธิบายข้อความที่นำเสนอ

ควรวางภาพประกอบไว้หลังข้อความที่มีการกล่าวถึงเป็นครั้งแรกหรือในหน้าถัดไป

ภาพประกอบที่อยู่ในข้อความควรมีหมายเลขอารบิกตัวอย่างเช่น:

รูปที่ 1 รูปที่ 2

อนุญาตให้ใส่หมายเลขภาพประกอบภายในส่วน (บท) ในกรณีนี้ หมายเลขของภาพประกอบต้องประกอบด้วยหมายเลขของส่วน (บท) และหมายเลขลำดับของภาพประกอบ โดยคั่นด้วยจุด

ภาพประกอบ (หากจำเป็น) อาจมีชื่อและข้อมูลอธิบาย (ข้อความประกอบ)

คำว่า "รูป" และชื่อจะอยู่หลังข้อมูลอธิบาย ตรงกลางบรรทัด เช่น

รูปที่ 1 - เส้นทางเอกสาร

3. 3 กฎทั่วไปสำหรับการเป็นตัวแทนสูตร

ในสูตรและสมการ สัญลักษณ์สัญลักษณ์ รูปภาพ หรือเครื่องหมายต้องเป็นไปตามสัญลักษณ์ที่ใช้ในมาตรฐานของรัฐปัจจุบัน ในข้อความก่อนการกำหนดพารามิเตอร์จะมีการให้คำอธิบายเช่น:ความต้านทานการฉีกขาดชั่วคราว

หากจำเป็นให้ใช้ สัญลักษณ์รูปภาพหรือสัญลักษณ์ที่ไม่ได้กำหนดโดยมาตรฐานปัจจุบัน ควรอธิบายไว้ในข้อความหรือในรายการสัญลักษณ์

สูตรและสมการจะแยกออกจากข้อความเป็นบรรทัดแยกต่างหาก ต้องมีอย่างน้อยหนึ่งบรรทัดว่างด้านบนและด้านล่างแต่ละสูตรหรือสมการ

คำอธิบายความหมายของสัญลักษณ์และค่าสัมประสิทธิ์ตัวเลขควรระบุไว้ใต้สูตรโดยตรงในลำดับเดียวกันกับที่ให้ไว้ในสูตร

สูตรควรกำหนดหมายเลขตามลำดับตลอดการทำงานโดยใช้เลขอารบิคในวงเล็บในตำแหน่งขวาสุดที่ระดับสูตร

ตัวอย่างเช่น:

หากองค์กรกำลังอัปเกรดระบบที่มีอยู่ เมื่อคำนวณประสิทธิภาพ ต้นทุนปัจจุบันของการดำเนินงานจะถูกนำมาพิจารณาด้วย:

E p \u003d (P1-P2) + ΔP p , (3.2)

โดยที่ P1 และ P2 เป็นต้นทุนการดำเนินงานก่อนและหลังการพัฒนาโปรแกรม

∆R พี - ประหยัดจากผลผลิตที่เพิ่มขึ้นของผู้ใช้เพิ่มเติม

อนุญาตให้ใส่เลขสูตรและสมการในแต่ละส่วนด้วยเลขคู่คั่นด้วยจุด โดยระบุเลขส่วนและเลขลำดับของสูตรหรือสมการ เช่น (2.3), (3.12)เป็นต้น

อนุญาตให้โอนส่วนหนึ่งของสูตรไปยังบรรทัดอื่นได้โดยใช้เครื่องหมายเท่ากับ การคูณ การบวก การลบ และเครื่องหมายอัตราส่วน (>;) และเครื่องหมายที่จุดเริ่มต้นของบรรทัดถัดไปจะถูกทำซ้ำ ลำดับการนำเสนอสมการทางคณิตศาสตร์เหมือนกับสูตร

ค่าตัวเลขของปริมาณที่มีการกำหนดหน่วยของปริมาณทางกายภาพและหน่วยนับควรเขียนเป็นตัวเลขและตัวเลขที่ไม่มีการกำหนดหน่วยของปริมาณทางกายภาพและหน่วยนับตั้งแต่หนึ่งถึงเก้า - ในคำพูดเช่น:ทดสอบท่อ 5 ท่อ ยาวท่อละ 5 ม.

เมื่ออ้างถึงค่าปริมาณที่มากที่สุดหรือน้อยที่สุดควรใช้วลี "ไม่ควรมาก (ไม่น้อย)"

3.4 การออกแบบตาราง

ใช้ตารางเพื่อความชัดเจนและง่ายต่อการเปรียบเทียบตัวบ่งชี้ ชื่อของตาราง (ถ้ามี) ควรสะท้อนถึงเนื้อหาของตาราง แม่นยำและกระชับ ชื่อของตารางควรวางไว้เหนือตารางทางด้านซ้าย โดยไม่มีการเยื้องย่อหน้า ในหนึ่งบรรทัดโดยมีตัวเลขคั่นด้วยเครื่องหมายขีดกลาง

เมื่อถ่ายโอนส่วนหนึ่งของตาราง ชื่อเรื่องจะอยู่เหนือส่วนแรกของตารางเท่านั้น เส้นแนวนอนด้านล่างที่ล้อมรอบตารางจะไม่ถูกวาด

ควรวางตารางต่อจากข้อความที่มีการกล่าวถึงเป็นครั้งแรกหรือในหน้าถัดไป

ตารางที่มีแถวจำนวนมากสามารถถ่ายโอนไปยังแผ่นงานอื่น (หน้า) เมื่อโอนส่วนหนึ่งของตารางไปยังแผ่นงานอื่น คำว่า "ตาราง" และหมายเลขจะถูกระบุหนึ่งครั้งทางด้านขวาเหนือส่วนแรกของตาราง คำว่า "ความต่อเนื่อง" จะเขียนอยู่เหนือส่วนอื่นๆ และระบุหมายเลขตาราง ตัวอย่างเช่น: "ความต่อเนื่องของตารางที่ 1" เมื่อถ่ายโอนตารางไปยังแผ่นงานอื่น ส่วนหัวจะอยู่เหนือส่วนแรกเท่านั้น

หากไม่มีข้อมูลตัวเลขหรือข้อมูลอื่นในบรรทัดใดๆ ของตาราง ให้ใส่เครื่องหมายขีดกลาง

ตัวอย่างการออกแบบตาราง:

ตารางภายในหมายเหตุอธิบายทั้งหมดจะมีหมายเลขเป็นเลขอารบิกผ่านการใส่หมายเลข ซึ่งก่อนหน้าจะเขียนคำว่า "ตาราง". อนุญาตให้กำหนดหมายเลขตารางภายในส่วนได้ ในกรณีนี้ หมายเลขตารางประกอบด้วยหมายเลขส่วนและหมายเลขลำดับของตาราง โดยคั่นด้วยจุด "ตาราง 1.2"

ตารางของแต่ละแอ็พพลิเคชันถูกกำหนดโดยการแยกหมายเลขเป็นเลขอารบิค โดยเพิ่มการกำหนดแอ็พพลิเคชันก่อนตัวเลข

หัวข้อของคอลัมน์และแถวของตารางควรเขียนด้วยอักษรตัวใหญ่เป็นเอกพจน์ และหัวข้อย่อยของคอลัมน์ควรเขียนด้วยอักษรตัวพิมพ์เล็กหากรวมเป็นประโยคเดียวกับหัวข้อ หรือใช้อักษรตัวใหญ่หากเป็น มีความหมายเป็นอิสระ อย่าใส่จุดที่ท้ายหัวเรื่องและหัวเรื่องย่อยของตาราง

อนุญาตให้ใช้ขนาดตัวอักษรในตารางที่เล็กกว่าในข้อความ

ส่วนหัวของคอลัมน์เขียนขนานหรือตั้งฉากกับแถวของตาราง ในคอลัมน์ของตาราง ไม่อนุญาตให้วาดเส้นทแยงมุมด้วยการโพสต์ส่วนหัวของบทแนวตั้งทั้งสองด้านของเส้นทแยงมุม

1. 5 รายการอ้างอิง

รายการอ้างอิงรวบรวมโดยคำนึงถึงกฎสำหรับการออกแบบบรรณานุกรม(ภาคผนวก 5). รายการวรรณกรรมที่ใช้ควรมีแหล่งข้อมูลอย่างน้อย 20 แหล่ง (หนังสืออย่างน้อย 10 เล่มและวารสาร 10-15 ฉบับ) ซึ่งผู้เขียนวิทยานิพนธ์ทำงานอยู่ วรรณกรรมในรายการจัดเรียงตามส่วนต่างๆ ตามลำดับต่อไปนี้:

• กฎหมายของรัฐบาลกลาง (ตามลำดับจากปีสุดท้ายของการรับเลี้ยงบุตรบุญธรรมไปยังปีก่อนหน้า);
• คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย (ในลำดับเดียวกัน);
• คำสั่งของรัฐบาลสหพันธรัฐรัสเซีย (ในลำดับเดียวกัน)
• กฎหมายบังคับอื่นๆ;
• สื่อทางการอื่นๆ (ข้อมติ-คำแนะนำขององค์กรระหว่างประเทศและการประชุม รายงานอย่างเป็นทางการ รายงานอย่างเป็นทางการ ฯลฯ)
• เอกสาร ตำราเรียน คู่มือการศึกษา(ตามลำดับตัวอักษร);
• วรรณกรรมต่างประเทศ
• แหล่งข้อมูลทางอินเทอร์เน็ต

แหล่งที่มาในแต่ละส่วนจะเรียงตามลำดับตัวอักษร เลขต่อเนื่องใช้สำหรับรายการอ้างอิงทั้งหมด

เมื่อพูดถึงวรรณกรรมในข้อความของคำอธิบายไม่ควรจดชื่อหนังสือ (บทความ) แต่ควรเขียนหมายเลขประจำเครื่องในดัชนี "อ้างอิง" ในวงเล็บเหลี่ยม การอ้างอิงถึงวรรณกรรมจะมีหมายเลขอยู่ในเนื้อหาของ WRC ใช้การกำหนดหมายเลขต่อเนื่องหรือการกำหนดหมายเลขตามส่วน (บท)

ขั้นตอนการคัดเลือกวรรณกรรมในหัวข้อ WRC และจัดทำรายการวรรณกรรมที่ใช้แล้ว

ใน รายการวรรณกรรมที่ใช้รวมถึงแหล่งข้อมูลที่นักเรียนศึกษาในกระบวนการจัดทำวิทยานิพนธ์รวมถึงแหล่งข้อมูลที่เขาอ้างถึง

การเขียน WRC นำหน้าด้วยการศึกษาอย่างลึกซึ้งเกี่ยวกับแหล่งวรรณกรรมในหัวข้อของงาน ในการดำเนินการนี้ คุณต้องติดต่อห้องสมุดของวิทยาลัยก่อน ที่นี่อุปกรณ์อ้างอิงและการค้นหาของห้องสมุดมาช่วยเหลือนักเรียนซึ่งส่วนหลักคือแคตตาล็อกและตู้เก็บเอกสาร

แคตตาล็อกคือรายการของแหล่งข้อมูลสารคดี (หนังสือ) ที่มีอยู่ในคอลเลกชันของห้องสมุด

หากนักเรียนทราบชื่อหนังสือที่ต้องการอย่างแน่ชัด หรืออย่างน้อยก็ชื่อผู้แต่ง ก็จำเป็นต้องใช้แคตตาล็อกเรียงตามตัวอักษร

หากคุณต้องการค้นหาว่าหนังสือเล่มไหน ปัญหาเฉพาะ(หัวข้อ) มีอยู่ในห้องสมุดนี้ นักศึกษาต้องอ้างอิงจากรายการที่เป็นระบบด้วย

แค็ตตาล็อกที่เป็นระบบเปิดเผยกองทุนห้องสมุดตามเนื้อหา เพื่อความสะดวกในการใช้แค็ตตาล็อกอย่างเป็นระบบ มีดัชนีชื่อเรื่องตามตัวอักษร (ASU) ในแค็ตตาล็อกที่ระบุไว้ นักเรียนสามารถค้นหาชื่อหนังสือได้เท่านั้น ในขณะที่การเขียน WRC เขายังต้องการเนื้อหาที่ตีพิมพ์ในนิตยสาร หนังสือพิมพ์ และคอลเลกชั่นต่างๆ เพื่อจุดประสงค์นี้ ดัชนีบัตรบรรณานุกรมจะจัดอยู่ในห้องสมุดซึ่งมีการวางคำอธิบายของนิตยสารและบทความในหนังสือพิมพ์ วัสดุจากคอลเลกชัน

เมื่อเขียน WRC นักเรียนใช้เอกสารอ้างอิงอย่างกว้างขวางเพื่อชี้แจงและชี้แจงตัวเลือก ข้อเท็จจริง แนวคิด คำศัพท์ต่างๆ วรรณกรรมอ้างอิง ได้แก่ สารานุกรม พจนานุกรม หนังสืออ้างอิงต่างๆ การรวบรวมสถิติ

การอ้างอิงบรรณานุกรม

เมื่อเขียน WRC นักเรียนมักจะต้องอ้างถึงการอ้างอิงผลงานของผู้เขียนหลายคน การใช้วัสดุทางสถิติ ในกรณีนี้จำเป็นต้องสร้างลิงก์ไปยังแหล่งข้อมูลเฉพาะ

นอกเหนือจากการปฏิบัติตามกฎพื้นฐานของการอ้างถึง (คุณไม่สามารถดึงวลีออกจากข้อความ, บิดเบือนด้วยตัวย่อตามอำเภอใจ, ต้องอ้างคำพูด ฯลฯ ) คุณควรใส่ใจกับ ข้อบ่งชี้ที่แน่นอนแหล่งอ้างอิง

1. ใน เชิงอรรถการอ้างอิง (เชิงอรรถ) จะอยู่ที่ด้านล่างของหน้าซึ่งมีเนื้อหาที่อ้างถึง ในการดำเนินการนี้ ในตอนท้ายของใบเสนอราคา จะมีการวางตัวเลขที่ระบุลำดับของใบเสนอราคาในหน้านี้ ที่ด้านล่างของหน้าใต้บรรทัดที่แยกเชิงอรรถ (อ้างอิง) จากข้อความ หมายเลขนี้ซ้ำแล้วซ้ำอีก ตามด้วยชื่อหนังสือที่ใช้ใบเสนอราคา พร้อมระบุจำนวนหน้าที่ยกมา . ตัวอย่างเช่น:

"Shipunov M.Z. พื้นฐานของกิจกรรมการจัดการ - M.: INFRA - M, 2012, p. 39

1. ลิงก์ภายในข้อความจะใช้ในกรณีที่ข้อมูลเกี่ยวกับแหล่งที่มาที่วิเคราะห์เป็นส่วนหนึ่งของเนื้อหาหลัก สะดวกเพราะไม่ละความสนใจจากข้อความ คำอธิบายในลิงก์ดังกล่าวเริ่มต้นด้วยชื่อย่อและนามสกุลของผู้แต่ง ชื่อหนังสือหรือบทความระบุไว้ในเครื่องหมายคำพูด ข้อมูลผลลัพธ์จะแสดงในวงเล็บ
2. นอกเหนือจากลิงก์ข้อความ- สิ่งเหล่านี้เป็นการระบุแหล่งที่มาของการอ้างอิงพร้อมการอ้างอิงถึงรายการอ้างอิงที่มีหมายเลขซึ่งวางไว้ที่ส่วนท้ายของวิทยานิพนธ์ การอ้างอิงถึงแหล่งวรรณกรรมจะทำในตอนท้ายของวลีโดยใส่หมายเลขประจำเครื่องของเอกสารที่ใช้ในวงเล็บตรงเพื่อระบุหน้า

ตัวอย่างเช่น: "ปัจจุบัน เอกสารหลักที่ควบคุมการแปรรูปทรัพย์สินของรัฐและเทศบาลในอาณาเขตของสหพันธรัฐรัสเซียคือกฎหมาย "ว่าด้วยการแปรรูปทรัพย์สินของรัฐและเทศบาล" ลงวันที่ 21 ธันวาคม 2544 ฉบับที่ 178-FZ (แก้ไขเพิ่มเติม เมื่อวันที่ 31 ธันวาคม 2548 แก้ไขเพิ่มเติมเมื่อ 01/05/2549)

ในตอนท้ายของงาน (ในหน้าแยกต่างหาก) ควรระบุรายการวรรณกรรมที่ใช้จริงตามตัวอักษร

3.6 การลงทะเบียนแอพ

แอพพลิเคชั่น ออกหากจำเป็น การประยุกต์ใช้กับงานอาจประกอบด้วยวัสดุอ้างอิงเพิ่มเติมของค่าเสริม ตัวอย่างเช่น: สำเนาเอกสาร ข้อความที่ตัดตอนมาจากสื่อการรายงาน ข้อมูลสถิติ ไดอะแกรม ตาราง แผนภูมิ โปรแกรม ข้อบังคับ ฯลฯ

ใบสมัครยังรวมถึงเนื้อหาที่สามารถระบุภาคปฏิบัติหรือภาคทฤษฎีของอนุปริญญาได้ ตัวอย่างเช่น แอปพลิเคชันอาจรวมถึง: ข้อความของแบบสอบถาม แบบสอบถาม และวิธีการอื่นๆ ที่ใช้ในกระบวนการวิจัย ตัวอย่างคำตอบของผู้ตอบ สื่อภาพถ่าย แผนภูมิและตารางที่ไม่เกี่ยวข้องกับข้อสรุปทางทฤษฎีในประกาศนียบัตร

ควรมีการอ้างอิงในข้อความหลักของภาคผนวกทั้งหมด

ตัวอย่างเช่น หน่วยที่ได้รับมาของระบบ SI (ภาคผนวก 1, 2, 5)

แอปพลิเคชันจัดเรียงตามลำดับการอ้างอิงถึงพวกเขาในข้อความ แอปพลิเคชันแต่ละรายการจะต้องเริ่มต้นในชีตใหม่ (หน้า) โดยมีคำว่า แอปพลิเคชัน ที่มุมขวาบนของหน้าและการกำหนดเป็นเลขอารบิค ไม่รวมเลข 0

4. การป้องกันของงานคัดเลือกขั้นสุดท้าย

4.1 การตรวจสอบความพร้อมของ WRC

นักเรียนแต่ละคนได้รับมอบหมายให้เป็นผู้ตรวจสอบผลงานขั้นสุดท้ายจากผู้เชี่ยวชาญภายนอกที่มีความเชี่ยวชาญในประเด็นที่เกี่ยวข้องกับหัวข้อนี้เป็นอย่างดี

ตามหัวข้อที่ได้รับอนุมัติ ผู้บังคับบัญชาทางวิทยาศาสตร์ของงานที่มีคุณสมบัติขั้นสุดท้ายพัฒนาขึ้นงานแต่ละอย่างสำหรับนักศึกษาซึ่งได้รับการพิจารณาโดย PCC "เทคโนโลยีสารสนเทศ" ซึ่งลงนามโดยหัวหน้างานและประธาน PCC

การมอบหมายงานที่มีคุณสมบัติขั้นสุดท้ายได้รับการอนุมัติจากรองผู้อำนวยการฝ่ายวิชาการและออกให้กับนักเรียนไม่เกินสองสัปดาห์ก่อนเริ่มการฝึกระดับอนุปริญญา

ตามหัวข้อที่ได้รับอนุมัติ หัวหน้างานวิทยาศาสตร์จัดทำตารางการปรึกษาหารือเป็นรายบุคคลตามที่มีการควบคุมกระบวนการปฏิบัติงานที่มีคุณสมบัติขั้นสุดท้าย

การควบคุมระดับความพร้อมของ WRC ดำเนินการตามกำหนดการต่อไปนี้:

ตารางที่ 3

เลขที่ p / p	ความพร้อม		ภาคเรียน	บันทึก
	ระดับ ความพร้อม WRC เป็น %	มีการระบุว่าส่วนประกอบใดของ WRC ซึ่งองค์ประกอบโครงสร้างควรพร้อมในขณะนี้	ช่วงควบคุม	มีการระบุรูปแบบการควบคุม
			ช่วงควบคุม

เมื่อเสร็จสิ้นการเตรียม WRC หัวหน้าจะตรวจสอบคุณภาพของงาน ลงนาม และร่วมกับงานและการตรวจทานเป็นลายลักษณ์อักษร โอนไปยังรองหัวหน้าสำหรับพื้นที่กิจกรรม

เพื่อกำหนดระดับความพร้อมของงานที่มีคุณสมบัติขั้นสุดท้ายและระบุข้อบกพร่องที่มีอยู่ครูของสาขาวิชาพิเศษจะดำเนินการป้องกันเบื้องต้นในสัปดาห์สุดท้ายของการเตรียมการสำหรับ GIA มีการบันทึกผลการป้องกันเบื้องต้น

4.2 ข้อกำหนดการป้องกันของ WRC

การป้องกันงานที่มีคุณสมบัติขั้นสุดท้ายนั้นดำเนินการในการประชุมแบบเปิดของคณะกรรมการการรับรองของรัฐในสาขาพิเศษซึ่งสร้างขึ้นบนพื้นฐานของระเบียบว่าด้วยการรับรองสถานะขั้นสุดท้ายของผู้สำเร็จการศึกษาจากสถาบันการศึกษาระดับอาชีวศึกษาระดับมัธยมศึกษาในสหพันธรัฐรัสเซีย (มติของคณะกรรมการแห่งรัฐเพื่อการอุดมศึกษาของรัสเซีย ลงวันที่ 27 ธันวาคม 2538 ฉบับที่ 10)

ข้อกำหนดต่อไปนี้กำหนดไว้ในการป้องกันของ WRC:

• การศึกษาเชิงทฤษฎีอย่างลึกซึ้งเกี่ยวกับปัญหาที่กำลังศึกษาอยู่บนพื้นฐานของการวิเคราะห์วรรณกรรม
• การจัดระบบข้อมูลดิจิทัลอย่างชำนาญในรูปแบบของตารางและกราฟพร้อมการวิเคราะห์ที่จำเป็น การสรุปทั่วไป และการระบุแนวโน้มการพัฒนา
• แนวทางที่สำคัญต่อเนื้อหาข้อเท็จจริงที่ศึกษาเพื่อหาพื้นที่สำหรับการปรับปรุงกิจกรรม
• การโต้แย้งข้อสรุป ความถูกต้องของข้อเสนอและคำแนะนำ

• การนำเสนอเนื้อหาที่สอดคล้องกันและเป็นอิสระอย่างมีเหตุผล
• การออกแบบวัสดุตามข้อกำหนดที่กำหนดไว้

• การปรากฏตัวของหัวหน้างานในการตรวจสอบวิทยานิพนธ์และการทบทวนของผู้ปฏิบัติงานจริงซึ่งเป็นตัวแทนขององค์กรบุคคลที่สาม

เมื่อรวบรวมบทคัดย่อจำเป็นต้องคำนึงถึงเวลาโดยประมาณของรายงานที่ฝ่ายป้องกันซึ่งก็คือ 8-10 นาทีควรสร้างรายงานไม่ใช่การนำเสนอเนื้อหาของงานทีละบทแต่ตามงาน - เปิดเผยตรรกะของการได้รับผลลัพธ์ที่มีความหมาย. รายงานควรมีการอุทธรณ์เนื้อหาตัวอย่างที่จะใช้ในระหว่างการป้องกันงาน ปริมาณของรายงานควรเป็นข้อความ 7-8 หน้าในรูปแบบ Word ขนาดตัวอักษร 14 ระยะห่างหนึ่งครึ่ง

ตารางที่ 4

	โครงสร้างรายงาน	ปริมาณ	เวลา
	การนำเสนอหัวข้องาน.	มากถึง 1.5 หน้า	นานถึง 2 นาที
	ความเกี่ยวข้องของหัวข้อ
	เป้าหมายของงาน.
	คำชี้แจงปัญหาผลลัพธ์ของการแก้ปัญหาและข้อสรุป (สำหรับแต่ละงานที่กำหนดไว้เพื่อให้บรรลุเป้าหมายของวิทยานิพนธ์)	มากถึง 6 หน้า	นานถึง 7 นาที
	โอกาสและทิศทางสำหรับการวิจัยเพิ่มเติมในหัวข้อนี้	มากถึง 0.5 หน้า	นานถึง 1 นาที

ในการปราศรัยแก้ต่าง นักเรียนต้องเตรียมอย่างอิสระและตกลงกับผู้นำเรื่องบทคัดย่อของรายงานและภาพประกอบ

ภาพประกอบควรสะท้อนถึงผลลัพธ์หลักที่ได้รับในการทำงานและสอดคล้องกับบทคัดย่อของรายงาน

รูปแบบการนำเสนอสื่อภาพประกอบ:

1. สื่อสิ่งพิมพ์สำหรับกรรมการ ก.ล.ต. แต่ละคน(ขึ้นอยู่กับดุลยพินิจของผู้บังคับบัญชาของ WRC) สิ่งพิมพ์สำหรับสมาชิก SAC อาจรวมถึง:

• ข้อมูลเชิงประจักษ์
• ตัดตอนมาจาก เอกสารเชิงบรรทัดฐานบนพื้นฐานของการวิจัยที่ดำเนินการ

• ข้อความที่ตัดตอนมาจากความต้องการของนายจ้างซึ่งกำหนดในสัญญา

• ข้อมูลอื่น ๆ ที่ไม่รวมอยู่ในการนำเสนอสไลด์ แต่เป็นการยืนยันความถูกต้องของการคำนวณ

1. การนำเสนอภาพนิ่ง(สำหรับการสาธิตโปรเจ็กเตอร์).

การนำเสนอผลงานพร้อมสื่อการนำเสนอเป็นสิ่งที่จำเป็นสำหรับการป้องกัน WRC

หัวหน้างานเขียนรีวิวสำหรับงานที่มีคุณสมบัติขั้นสุดท้ายที่ทำโดยนักเรียน

การป้องกันผลงานขั้นสุดท้ายจะจัดขึ้นในการประชุมแบบเปิดของคณะกรรมการรับรองของรัฐในหอประชุมที่กำหนดเป็นพิเศษพร้อมกับอุปกรณ์ที่จำเป็นสำหรับการสาธิตการนำเสนอ จัดสรรเวลาสูงสุด 20 นาทีเพื่อป้องกันงานตรวจสอบคุณสมบัติ ขั้นตอนการป้องกันประกอบด้วยรายงานของนักเรียน (ไม่เกิน 10 นาที) การอ่านบทวิจารณ์และบทวิจารณ์ คำถามจากสมาชิกของคณะกรรมาธิการ คำตอบจากนักเรียน การนำเสนอของหัวหน้างานด้านคุณสมบัติขั้นสุดท้ายและผู้ตรวจสอบหากอยู่ในที่ประชุม ก.ล.ต. อาจได้รับการรับฟัง

การตัดสินใจของ ก.ล.ต. ดำเนินการในการประชุมแบบปิดโดยคะแนนเสียงข้างมากของสมาชิกคณะกรรมการที่เข้าร่วมในการประชุม ถ้าคะแนนเสียงเท่ากันให้ถือเสียงชี้ขาดของประธาน ประกาศผลให้นักเรียนทราบในวันป้องกันของ WRC

4.3 เกณฑ์การประเมิน WRC

การป้องกันผลงานที่ผ่านเข้ารอบสุดท้ายจะจบลงด้วยการให้คะแนน

คะแนน "ยอดเยี่ยม" สำหรับ WRC จะจัดแสดงหากเป็นวิทยานิพนธ์ที่มีลักษณะของงานวิจัย มีบทแสดงทางทฤษฎีที่ดี ลึกซึ้ง การวิเคราะห์ทางทฤษฎีการทบทวนแนวทางปฏิบัติอย่างมีวิจารณญาณ การนำเสนอเนื้อหาอย่างมีเหตุผลและสอดคล้องกับข้อสรุปที่เกี่ยวข้องและข้อเสนอที่สมเหตุสมผล มีความคิดเห็นเชิงบวกของหัวหน้างานและผู้วิจารณ์

เมื่อปกป้อง WRC ว่า "ยอดเยี่ยม" นักเรียน - ผู้สำเร็จการศึกษาจะแสดงความรู้เชิงลึกเกี่ยวกับประเด็นของหัวข้อ ดำเนินการกับข้อมูลการวิจัยอย่างอิสระ ให้คำแนะนำที่สมเหตุสมผล และในระหว่างการรายงานจะใช้อุปกรณ์ช่วยมองเห็น (งานนำเสนอ Power Point ตาราง แผนภูมิ , กราฟ ฯลฯ) หรือเอกสารแจก ตอบคำถามที่วางไว้ได้อย่างง่ายดาย

ให้คะแนน "ดี" สำหรับ WRC จะมีการจัดแสดงหากวิทยานิพนธ์มีลักษณะเป็นการวิจัย มีบทเชิงทฤษฎีที่ดี นำเสนอการวิเคราะห์ที่มีรายละเอียดพอสมควรและการวิเคราะห์เชิงวิพากษ์ของกิจกรรมภาคปฏิบัติ การนำเสนอเนื้อหาที่สอดคล้องกันพร้อมข้อสรุปที่เกี่ยวข้อง แต่ข้อเสนอของนักศึกษานั้น ไม่ได้รับการพิสูจน์เพียงพอ WRC มีการวิจารณ์ผู้บังคับบัญชาและผู้วิจารณ์ในเชิงบวก เมื่อปกป้องมัน นักเรียนที่สำเร็จการศึกษาจะแสดงความรู้ในประเด็นของหัวข้อ ดำเนินการกับข้อมูลการวิจัย ให้คำแนะนำเกี่ยวกับหัวข้อการวิจัย ระหว่างการรายงานโดยใช้อุปกรณ์ช่วยการมองเห็น (การนำเสนอ Power Point ตาราง แผนภูมิ กราฟ ฯลฯ) หรือ เอกสารประกอบคำบรรยายโดยไม่ยากตอบคำถามที่ถาม

ระดับ "อย่างน่าพอใจ"WRC จะได้รับรางวัลหากวิทยานิพนธ์มีลักษณะเป็นการวิจัย มีบททางทฤษฎี มีพื้นฐานมาจากเนื้อหาภาคปฏิบัติ แต่มีการวิเคราะห์เพียงผิวเผินและการวิเคราะห์เชิงวิพากษ์ไม่เพียงพอ พบความไม่สอดคล้องกันในการนำเสนอเนื้อหา มีการนำเสนอข้อเสนอที่ไม่สมเหตุสมผล . บทวิจารณ์ของผู้วิจารณ์ประกอบด้วยความคิดเห็นเกี่ยวกับเนื้อหาของงานและวิธีการวิเคราะห์ เมื่อปกป้อง WRC ดังกล่าว นักศึกษาที่สำเร็จการศึกษาจะแสดงความไม่แน่นอน แสดงความรู้ที่ไม่ดีเกี่ยวกับประเด็นของหัวข้อ ไม่ได้ให้คำตอบที่มีเหตุผลครบถ้วนสำหรับคำถามที่ถาม

ระดับ "ไม่น่าพอใจ"สำหรับการจัดแสดง WRC หากวิทยานิพนธ์ไม่มีลักษณะเป็นการวิจัย ไม่มีการวิเคราะห์ ไม่เป็นไปตามข้อกำหนดที่กำหนดไว้ในข้อมูล แนวทาง. ไม่มีข้อสรุปในการทำงานหรือมีลักษณะเป็นการประกาศ ความคิดเห็นของหัวหน้างานและผู้ตรวจสอบประกอบด้วยข้อสังเกตที่สำคัญ เมื่อปกป้อง WRC นักศึกษาที่สำเร็จการศึกษาพบว่าเป็นการยากที่จะตอบคำถามในหัวข้อของเธอ ไม่รู้ทฤษฎีของคำถาม และทำผิดพลาดอย่างมากเมื่อตอบคำถาม ทัศนูปกรณ์และเอกสารประกอบคำบรรยายไม่ได้เตรียมไว้สำหรับการป้องกัน

ดังนั้น เมื่อพิจารณาเกรดสุดท้ายสำหรับ WRC สมาชิกของ SEC จะคำนึงถึง:

• คุณภาพของรายงานบัณฑิต
• วัสดุภาพประกอบที่เขานำเสนอ;
• ความคล่องตัวของบัณฑิตและการรู้หนังสือเมื่อตอบคำถาม
• การประเมิน WRC โดยผู้ตรวจสอบ
• ข้อเสนอแนะจากหัวหน้าของ WRC

ภาคผนวก 1

(ตัวอย่างการออกแบบหน้าชื่อเรื่อง)

กรมการศึกษาของเมืองมอสโก

สถาบันการศึกษามืออาชีพงบประมาณของรัฐ

"วิทยาลัยเทคโนโลยี№34"

บัณฑิตทำงาน

เรื่อง:

นักศึกษากลุ่ม / /

ความพิเศษ

หัวหน้างาน / /

อนุญาตให้มีการป้องกัน:

รองผอ.สพป/ _ /

วันที่เกรด

ประธานรัฐ

คณะกรรมการรับรอง/ /

มอสโก 2016

ภาคผนวก 2

เห็นด้วย

ประธาน PCC "เทคโนโลยีสารสนเทศ"

Dziuba T.S.

ออกกำลังกาย

สำหรับงานรับปริญญา

นักเรียน)__________________________________________________________________

(ชื่อเต็ม)

หัวข้อวิทยานิพนธ์ _______________________________________________________________

_______________________________________________________________________________

หมดเขตส่งวิทยานิพนธ์เพื่อต่อสู้คดี (วันที่)______________________________

1. การแนะนำ

ความเกี่ยวข้องของหัวข้อที่เลือก

วัตถุประสงค์ งานเขียนวิทยานิพนธ์

ชื่อสถานประกอบการ หน่วยงาน แหล่งที่มาของการเขียนผลงาน

2. - ส่วนที่ 1 (ส่วนทฤษฎี)

ส่วนที่ II (ภาคปฏิบัติ)

(กำหนดส่งเพื่อตรวจสอบ) __________________________________________

บทสรุป ______________________________________________________________

หัวหน้า ___________________ __________ "___" _______ 20__

ลายเซ็นชื่อเต็ม

นักเรียน ____________________ __________ "____" ________ 20___

ลายเซ็นชื่อเต็ม

ภาคผนวก 3

(แบบทบทวนสำหรับอาจารย์ผู้ควบคุมวิทยานิพนธ์)

GBPOU "วิทยาลัยเทคโนโลยีหมายเลข 34"

ทบทวน

สำหรับวิทยานิพนธ์ของนักศึกษา (ชื่อเต็ม)

1. ความเกี่ยวข้องของหัวข้อ

2. ความแปลกใหม่ทางวิทยาศาสตร์และความสำคัญในทางปฏิบัติ

3. ลักษณะคุณสมบัติทางธุรกิจของนักเรียน

4. ด้านบวกของงาน

5. ข้อเสีย ความคิดเห็น.

หัวหน้างาน _______________________________________

"_____" __________ 2559

ภาคผนวก 4

(แบบฟอร์มทบทวน)

ทบทวน

สำหรับวิทยานิพนธ์ของนักศึกษา (ชื่อเต็ม) ____________________________

ดำเนินการในหัวข้อ _________________________________________________

1. ความเกี่ยวข้องความแปลกใหม่
2. การประเมินเนื้อหาของงาน

1. โดดเด่น, ด้านบวกงาน
2. ความสำคัญในทางปฏิบัติของงาน
3. ข้อเสีย ข้อสังเกต

1. การประเมินที่แนะนำของงานที่ทำ ____________________________

_________________________________________________________________________

ผู้วิจารณ์ (ชื่อเต็ม, ชื่อทางวิชาการ, ตำแหน่ง, สถานที่ทำงาน)

ภาคผนวก 5

(ตัวอย่างรายการวรรณกรรมที่ใช้แล้ว)

รายชื่อวรรณกรรมที่ใช้

วัสดุควบคุม

1. "รัฐธรรมนูญของสหพันธรัฐรัสเซีย" (นำมาใช้โดยการโหวตเมื่อวันที่ 12/12/1993)
2. กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล" ลงวันที่ 27 กรกฎาคม 2549 N 149-FZ (แก้ไขเพิ่มเติมเมื่อวันที่ 28 ธันวาคม 2556)

สิ่งพิมพ์ทางวิทยาศาสตร์ เทคนิค และการศึกษา

1. สถานที่ทำงานอัตโนมัติและระบบคอมพิวเตอร์ในกิจกรรมของกิจการภายใน ม., 2553.
2. Andreev B. V. , Bushuev G. I. การสร้างแบบจำลองในการแก้ปัญหากฎหมายอาญาและปัญหาอาชญวิทยา ม., 2555.
3. งานเอกสารในสถานศึกษา (ใช้ เทคโนโลยีสารสนเทศ): การศึกษา. ค่าเผื่อสำหรับแม่น้ำโรงเรียนมัธยม ตัวแทน MO เบลารุส / E.M. คราฟเชนย่า ที.เอ. Tsesarskaya - มินสค์: TetraSystems, 2013
4. ความปลอดภัยของข้อมูลและการปกป้องข้อมูล: หนังสือเรียน. ค่าเผื่อ / Stepanov E.A. , Korneev I.K. - ม.: INFRA-M, 2011. -
5. ระบบสารสนเทศทางเศรษฐศาสตร์: หนังสือเรียน. สำหรับมหาวิทยาลัย การฝึกอบรม ตามความพิเศษ เศรษฐศาสตร์และการจัดการ (060000) รอบรับ MO RF / G.A. ติโตเรนโก พ.ศ. Odintsov, V.V. บรากาและอื่น ๆ ; เอ็ด จอร์เจีย ติโตเรนโก. - แก้ไขครั้งที่ 2 และเพิ่มเติม - ม. : UNITI, 2554. - 463 น.
6. ระบบสารสนเทศและความปลอดภัย: หนังสือเรียน ค่าเผื่อ d / Vasilkov A.V. Vasilkov A.A. , Vasilkov I.A. - M: ฟอรัม 2010
7. การจัดการเทคโนโลยีสารสนเทศ: หนังสือเรียน. ค่าเผื่อสำหรับแม่น้ำโรงเรียนมัธยม MO RF / G.A. ติโตเรนโก, ไอ.เอ. Konoplev, G.L. Makarova และอื่น ๆ ; เอ็ด จอร์เจีย ติโตเรนโก. - แก้ไขครั้งที่ 2 เพิ่ม - ม.: UNITI, 2009.
8. โฟลว์เอกสารขององค์กร หลักการ เทคโนโลยี วิธีการดำเนินการ ไมเคิล เจ. ดี. ซัตตัน สำนักพิมพ์ Azbuka เซนต์ปีเตอร์สเบิร์ก 2555
9. Ostreikovsky V.A. สารสนเทศ: Proc. สำหรับมหาวิทยาลัย. - ม.: สูงกว่า โรงเรียน พ.ศ. 2551
10. เอกสารอิเล็กทรอนิกส์ในเครือข่ายองค์กร Klimenko S. V. , Krokhin I. V. , Kushch V. M. , Lagutin Yu. L. M.: Radio and Communications, ITC Eco-Trends, 2011

แหล่งข้อมูลทางอินเทอร์เน็ต

http://www.security.ru/ - สิ่งอำนวยความสะดวก การป้องกันการเข้ารหัสข้อมูล: เว็บไซต์ของ PNIEI สาขามอสโก;

www.fstec.ru – เว็บไซต์อย่างเป็นทางการของ FSTEC ของรัสเซีย

ภาคผนวก 6

โครงสร้างโดยประมาณของรายงานการป้องกันวิทยานิพนธ์

ข้อกำหนดสำหรับรายงานการป้องกันวิทยานิพนธ์

1. ความเร่งด่วนของปัญหา
2. จุดมุ่งหมาย น. วัตถุประสงค์ของการวิจัย.
3. วัตถุประสงค์การวิจัย (3 หลัก)
4. อัลกอริทึมการวิจัย (ลำดับของการวิจัย)
5. ลักษณะทางเศรษฐกิจโดยย่อขององค์กร (องค์กร สถาบัน ฯลฯ)
6. ผลการวิเคราะห์ปัญหาที่ศึกษาโดยสังเขป
7. จุดอ่อนที่ระบุระหว่างการวิเคราะห์
8. ทิศทาง (วิธี) สำหรับการแก้ไขข้อบกพร่องที่ระบุของปัญหาที่กำลังศึกษา
9. การประเมินทางเศรษฐกิจ ประสิทธิภาพ ความสำคัญในทางปฏิบัติของมาตรการที่เสนอ

ภาคผนวก 6

(แบบแผนปฎิทินการเขียนวิทยานิพนธ์)

ฉันเห็นด้วย

หัวหน้างานวิทยานิพนธ์

"_____" ______20 __

ตารางแผน

การเขียนวิทยานิพนธ์ในหัวข้อ __________________________________________

การรวบรวมเนื้อหาของวิทยานิพนธ์และการประสานงานกับหัวหน้างาน

หัวหน้างาน

บทนำพร้อมเหตุผลของความเกี่ยวข้องของหัวข้อเป้าหมายและวัตถุประสงค์ของงานที่เลือก

หัวหน้างาน

เสร็จสิ้นภาคทฤษฎีและส่งเพื่อตรวจสอบ

ที่ปรึกษา

การดำเนินการในส่วนการปฏิบัติและส่งเพื่อตรวจสอบ

ที่ปรึกษา

การประสานงานกับหัวหน้าฝ่ายข้อสรุปและข้อเสนอ

หัวหน้างาน

การลงทะเบียนวิทยานิพนธ์

หัวหน้างาน

รับคำติชมจากผู้จัดการ

หัวหน้างาน

รับรีวิว

ผู้วิจารณ์

10.

การป้องกันวิทยานิพนธ์ล่วงหน้า

หัวหน้าที่ปรึกษา

11.

ป้องกันวิทยานิพนธ์

หัวหน้างาน

นักศึกษา-(นักศึกษาระดับบัณฑิตศึกษา) _________________________________________________

(ลายเซ็น, วันที่, สำเนาของลายเซ็น)

หัวหน้าอนุปริญญา ________________________________________________________________

ภาคผนวก 8

(ตัวอย่างเนื้อหาวิทยานิพนธ์)

เนื้อหา

บทนำ …………………………………………………………………………………..3

1. ลักษณะทางเทคนิคและเศรษฐกิจของสาขาวิชาและองค์กร ... ... 5

1. ลักษณะทั่วไปของสาขาวิชา……………………………………...5
2. โครงสร้างองค์กรและหน้าที่ขององค์กร……………………6
3. การวิเคราะห์ความเสี่ยงด้านความปลอดภัยข้อมูล………………………………...8

2. เหตุผลความจำเป็นในการปรับปรุงระบบเพื่อให้มั่นใจในความปลอดภัยของข้อมูลและการปกป้องข้อมูลที่องค์กร………..25

1. การเลือกชุดงานเพื่อความปลอดภัยของข้อมูล………29
2. การกำหนดตำแหน่งของชุดงานที่ออกแบบไว้ในความซับซ้อนของงานขององค์กร รายละเอียดงานด้านความปลอดภัยข้อมูลและการปกป้องข้อมูล…………………………………………………………… ………………35
3. การเลือกมาตรการป้องกัน……………………………………………………………….39

3. ชุดมาตรการขององค์กรเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลและการปกป้องข้อมูลขององค์กร……………………………………………………..43

1. ซอฟต์แวร์และฮาร์ดแวร์ที่ออกแบบอย่างซับซ้อนเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลและการปกป้องข้อมูลขององค์กร…….…48
2. โครงสร้างของฮาร์ดแวร์-ซอฟต์แวร์คอมเพล็กซ์ของการรักษาความปลอดภัยข้อมูลและการปกป้องข้อมูลขององค์กร…………………………………………………………………………………………… ……………………………………………………………………………………………………
3. ตัวอย่างการดำเนินโครงการและคำอธิบาย……………………………………...54
4. การคำนวณตัวบ่งชี้ประสิทธิภาพทางเศรษฐกิจโครงการ…………………57

4. สรุป…………………………………………………………………………...62
5. รายชื่อวรรณกรรมที่ใช้แล้ว…………………………………………………..65

วิธีการเลือกหัวข้อที่เกี่ยวข้องของวิทยานิพนธ์เกี่ยวกับความปลอดภัยของข้อมูล ความเกี่ยวข้องของหัวข้อประกาศนียบัตรด้านความปลอดภัยสารสนเทศ คำแนะนำของผู้เชี่ยวชาญ ตัวอย่างหัวข้อวิทยานิพนธ์

หัวข้อวิทยานิพนธ์เกี่ยวกับความปลอดภัยของข้อมูลมักจะเกี่ยวข้องกับการศึกษาความปลอดภัยของข้อมูลของระบบอัตโนมัติ ระบบคอมพิวเตอร์ ตลอดจนระบบสารสนเทศและโทรคมนาคม

ในฐานะที่เป็นหัวข้อของการวิจัยดังกล่าว ภัยคุกคามหรือกลุ่มของภัยคุกคามด้านความปลอดภัยข้อมูลจะถูกเลือก ซึ่งการดำเนินการดังกล่าวอาจเป็นอันตรายต่อระบบที่เป็นปัญหา (เพิ่มเติมเกี่ยวกับเรื่องนี้) เมื่อเตรียมวิทยานิพนธ์ คุณควรตรวจสอบระบบและสร้างอัลกอริทึมการใช้งานการโจมตีตามรูปที่ 1

รูปที่ 1 - อัลกอริทึมสำหรับการวิเคราะห์เมื่อเขียนประกาศนียบัตรในหัวข้อความปลอดภัยของข้อมูล

เลือกระบบขององค์กรเฉพาะหรือเครือข่ายกระจายทางภูมิศาสตร์ขององค์กรเป็นเป้าหมายของการศึกษา

ความเกี่ยวข้องของตัวเลือก หัวข้อวิทยานิพนธ์เกี่ยวกับความปลอดภัยของข้อมูลเกิดจากภัยคุกคามที่หลากหลายต่อความปลอดภัยของข้อมูลและจำนวนผู้บุกรุกที่เพิ่มขึ้นอย่างต่อเนื่องและการโจมตีที่พวกเขาใช้

หัวข้อที่เกี่ยวข้องมากที่สุดของผลงานที่มีคุณสมบัติขั้นสุดท้าย (WQR) และผลงานการวิจัยทางวิทยาศาสตร์ (R&D) รวมถึง หัวข้ออนุปริญญาด้านการรักษาความปลอดภัยข้อมูลสามารถแสดงได้ในตารางต่อไปนี้

1. การพัฒนาระบบความปลอดภัยของข้อมูลของระบบที่ศึกษา	2. การวิเคราะห์ความเสี่ยงของระบบภายใต้การศึกษา ซึ่งเกี่ยวข้องกับภัยคุกคามที่ระบุต่อความปลอดภัยของข้อมูลได้ถูกนำมาใช้
3. การออกแบบระบบตรวจจับการบุกรุก (ระบบข้อมูลเท็จ)	4. การปกป้องข้อมูลจากภัยคุกคามที่ระบุต่อความปลอดภัยของข้อมูล
5. การประเมินความเสี่ยงของการดำเนินการโจมตีที่ระบุในระบบภายใต้การศึกษา	6. การพัฒนา แบบจำลองทางคณิตศาสตร์ผู้บุกรุก / เปิดเผยการโจมตีความปลอดภัยของข้อมูล
7. องค์กรของการคุ้มครองข้อมูลส่วนบุคคลของระบบภายใต้การศึกษา	8. องค์กรของการคุ้มครองข้อมูลที่เป็นความลับของระบบภายใต้การศึกษา
9. การวิเคราะห์ภัยคุกคามต่อความปลอดภัยของข้อมูลในระบบที่ศึกษาขององค์กร / องค์กร	10. การปรับปรุงระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ของระบบที่กำลังศึกษาให้ทันสมัย
11. การพัฒนาโปรไฟล์การป้องกันขององค์กรภายใต้การศึกษา	12. การประเมินความเสี่ยงของการดำเนินการตามกระบวนการทางระบาดวิทยาในเครือข่ายสังคม
13. การจัดการความเสี่ยงสำหรับการโจมตีความปลอดภัยของข้อมูลที่ระบุในระบบภายใต้การศึกษา	14. การประเมินประสิทธิผลของวิธีการและวิธีการปกป้องข้อมูลในองค์กร
15. การประเมินประสิทธิผลของมาตรการปกป้องข้อมูลในระบบที่กำลังศึกษา	16. WRC: การใช้ระบบ DLP เป็นเครื่องมือในการรับรองความปลอดภัยของข้อมูลของบริษัท
17. วิทยานิพนธ์: การวิเคราะห์และปรับปรุงความปลอดภัยของข้อมูลในองค์กร	18. การวิจัย: การพัฒนานโยบายการรักษาความปลอดภัยของข้อมูลตัวอย่างของบริษัทคอมพิวเตอร์
19. วิทยานิพนธ์: ระบบอัตโนมัติและความปลอดภัยของข้อมูลบัญชีคลังสินค้าใน บริษัท	20. อนุปริญญา: การพัฒนานโยบายการรักษาความปลอดภัยของข้อมูลในธนาคารพาณิชย์
21. วิทยานิพนธ์ปริญญาตรี: องค์กรความปลอดภัยข้อมูลของเอกสารการชำระเงินทางอิเล็กทรอนิกส์ที่จัดเก็บโดยประชากร	22. งานสุดท้ายของปริญญาตรี: การพัฒนาชุดมาตรการป้องกันเพื่อความปลอดภัยของฐานข้อมูล
23. ปวส. การพัฒนาหลักเกณฑ์การตรวจสอบความปลอดภัยสารสนเทศของสถาบันงบประมาณของรัฐ	24. วิทยานิพนธ์ปริญญาโท: การพัฒนาชุดมาตรการขององค์กรเพื่อประกันความปลอดภัยของข้อมูลและการปกป้องข้อมูล
25. วิทยานิพนธ์: การปรับปรุงระบบที่มีอยู่ให้ทันสมัยเพื่อปรับปรุงความปลอดภัยของข้อมูลในบริษัท	26. ผลงานของอาจารย์: การเพิ่มระดับความปลอดภัยของระบบรักษาความปลอดภัยข้อมูลในบริษัท
27. วิทยาศาสตร์ วิจัย: การพัฒนาและวางระบบความปลอดภัยของข้อมูลในบริษัท	28. อนุปริญญา: การพัฒนาและการใช้งานระบบรักษาความปลอดภัยข้อมูลในบริษัทขนส่ง
29. วิทยานิพนธ์: ระบบอัตโนมัติและความปลอดภัยของข้อมูลของระบบส่วนให้บริการ	30. ผลงานขั้นสุดท้าย: การพัฒนาระบบรักษาความปลอดภัยข้อมูลสำหรับ LAN ของบริษัท SEO