2. ระบบป้องกันไวรัส ESET NOD 32 เพื่อป้องกันไวรัสคอมพิวเตอร์

ฐานข้อมูลได้รับการอัปเดตเป็นประจำและสแกนเวิร์กสเตชัน

3. Windows Backup ในตัวเพื่อสร้างไฟล์เก็บถาวร

OS Backup Wizard เป็นโปรแกรมที่ออกแบบมาสำหรับ สร้างอย่างรวดเร็วและกู้คืนข้อมูลสำรอง สำเนาของ Windows. ช่วยให้คุณสร้างสำเนาของ Windows ทั้งหมดหรือเฉพาะไฟล์และโฟลเดอร์แต่ละรายการ

4. การเข้ารหัสด้วยคีย์ 2048 บิตสำหรับ ช่อง VPN(เชื่อมต่อกับสำนักงานของ บริษัท จัดการสำหรับจดหมายและเวิร์กโฟลว์)

บทที่ 2 การปรับปรุง NIS

2.1 จุดอ่อนของระบบรักษาความปลอดภัยข้อมูล

เมื่อวิเคราะห์ประเด็นที่เกี่ยวข้องกับความปลอดภัยของข้อมูล จำเป็นต้องคำนึงถึงลักษณะเฉพาะของการรักษาความปลอดภัยนี้ ซึ่งประกอบด้วยข้อเท็จจริงที่ว่าความปลอดภัยของข้อมูลเป็นส่วนสำคัญของเทคโนโลยีสารสนเทศ ซึ่งเป็นพื้นที่ที่มีการพัฒนาอย่างก้าวกระโดดอย่างไม่เคยปรากฏมาก่อน มันไม่สำคัญมากนักที่นี่ โซลูชันแยกต่างหาก(กฎหมาย หลักสูตรการฝึกอบรม, ผลิตภัณฑ์ซอฟต์แวร์และฮาร์ดแวร์) ซึ่งอยู่ในระดับที่ทันสมัย มีกี่กลไกสำหรับการสร้างโซลูชันใหม่ที่ช่วยให้คุณดำเนินชีวิตตามความก้าวหน้าทางเทคนิค

เทคโนโลยีที่ทันสมัยการเขียนโปรแกรมไม่อนุญาตให้คุณสร้างโปรแกรมที่ปราศจากข้อผิดพลาดซึ่งไม่ได้มีส่วนช่วยในการพัฒนาซอฟต์แวร์อย่างรวดเร็ว ความปลอดภัยของข้อมูล.

หลังจากวิเคราะห์ความปลอดภัยของข้อมูลขององค์กรแล้ว เราสามารถสรุปได้ว่ามีการให้ความสนใจไม่เพียงพอต่อความปลอดภัยของข้อมูล:

ขาดรหัสผ่านการเข้าถึงระบบ

ไม่มีรหัสผ่านเมื่อทำงานกับโปรแกรมด้วย 1C: Enterprise เมื่อเปลี่ยนข้อมูล

ไม่มีการป้องกันไฟล์และข้อมูลเพิ่มเติม (ไม่มีการขอรหัสผ่านเบื้องต้นเมื่อเปิดหรือเปลี่ยนแปลงข้อมูลในไฟล์ ไม่ต้องพูดถึงเครื่องมือเข้ารหัสข้อมูล)

การอัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัสและการสแกนเวิร์กสเตชันไม่สม่ำเสมอ

เอกสารจำนวนมากบนกระดาษส่วนใหญ่อยู่ในโฟลเดอร์ (บางครั้งไม่มี) บนเดสก์ท็อปของพนักงาน ซึ่งช่วยให้ผู้โจมตีสามารถใช้ข้อมูลประเภทนี้เพื่อวัตถุประสงค์ของตนเองได้อย่างง่ายดาย

ไม่มีการอภิปรายเป็นประจำเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลที่องค์กรและปัญหาที่เกิดขึ้นใหม่ในพื้นที่นี้

ไม่มีการจัดระบบการตรวจสอบความสามารถในการทำงานของระบบข้อมูลขององค์กรเป็นประจำ การดีบักจะดำเนินการเฉพาะเมื่อล้มเหลวเท่านั้น

ขาดนโยบายการรักษาความปลอดภัยของข้อมูล

ขาดผู้ดูแลระบบ

ทั้งหมดข้างต้นเป็นข้อบกพร่องที่สำคัญมากในการรับรองความปลอดภัยของข้อมูลขององค์กร

2.2 วัตถุประสงค์และวัตถุประสงค์ของระบบรักษาความปลอดภัยข้อมูล

ความปลอดภัยของข้อมูล - สถานะของความปลอดภัย ทรัพยากรสารสนเทศวี เครือข่ายคอมพิวเตอร์และระบบขององค์กรจากการเข้าถึงโดยไม่ได้รับอนุญาต การรบกวนโดยบังเอิญหรือโดยเจตนากับการทำงานปกติของระบบ ความพยายามที่จะทำลายส่วนประกอบต่างๆ

เป้าหมายความปลอดภัยของข้อมูล:

การป้องกันภัยคุกคามต่อความปลอดภัยขององค์กรเนื่องจากการกระทำที่ไม่ได้รับอนุญาตในการทำลาย แก้ไข บิดเบือน คัดลอก บล็อกข้อมูล หรือการแทรกแซงที่ผิดกฎหมายในรูปแบบอื่นในทรัพยากรข้อมูลและระบบข้อมูล

การรักษาความลับทางการค้าที่ประมวลผลโดยใช้เทคโนโลยีคอมพิวเตอร์

การคุ้มครองสิทธิตามรัฐธรรมนูญของพลเมืองในการรักษาความลับส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคลที่มีอยู่ในระบบข้อมูล

เพื่อให้บรรลุเป้าหมายของการป้องกัน ควรมีการแก้ปัญหาที่มีประสิทธิภาพของงานต่อไปนี้:

การป้องกันการแทรกแซงในกระบวนการทำงานขององค์กรโดยบุคคลที่ไม่ได้รับอนุญาต

การป้องกันการกระทำที่ไม่ได้รับอนุญาตกับแหล่งข้อมูลขององค์กรโดยบุคคลที่ไม่ได้รับอนุญาตและพนักงานที่ไม่มีอำนาจที่เหมาะสม

รับรองความครบถ้วน เชื่อถือได้ และประสิทธิภาพของการสนับสนุนข้อมูลสำหรับการนำไปใช้ การตัดสินใจของฝ่ายบริหารการจัดการองค์กร

มั่นใจได้ถึงความปลอดภัยทางกายภาพ วิธีการทางเทคนิคและซอฟต์แวร์ระดับองค์กรและปกป้องพวกเขาจากการกระทำของภัยคุกคามที่มนุษย์สร้างขึ้นและเป็นธรรมชาติ

การลงทะเบียนของเหตุการณ์ที่ส่งผลกระทบต่อความปลอดภัยของข้อมูล ทำให้มั่นใจได้ถึงการควบคุมและความรับผิดชอบอย่างเต็มที่ของการดำเนินงานทั้งหมดที่ดำเนินการในองค์กร

การระบุ การประเมิน และการพยากรณ์แหล่งที่มาของภัยคุกคามต่อความปลอดภัยของข้อมูลอย่างทันท่วงที สาเหตุและเงื่อนไขที่ก่อให้เกิดความเสียหายต่อผลประโยชน์ของอาสาสมัคร การหยุดชะงักของการทำงานปกติและการพัฒนาขององค์กร

การวิเคราะห์ความเสี่ยงของการใช้ภัยคุกคามต่อความปลอดภัยของข้อมูลและการประเมินความเสียหายที่อาจเกิดขึ้น การป้องกันผลกระทบที่ยอมรับไม่ได้ของการละเมิดความปลอดภัยของข้อมูลขององค์กร การสร้างเงื่อนไขสำหรับการลดและจำกัดความเสียหายที่เกิดขึ้น

สร้างความมั่นใจในความเป็นไปได้ในการฟื้นฟูสถานะปัจจุบันขององค์กรในกรณีที่มีการละเมิดความปลอดภัยของข้อมูลและกำจัดผลที่ตามมาของการละเมิดเหล่านี้

· การสร้างและการจัดทำนโยบายการรักษาความปลอดภัยข้อมูลที่มีวัตถุประสงค์ขององค์กร

2.3 มาตรการและวิธีการปรับปรุงระบบรักษาความปลอดภัยของข้อมูล

เพื่อให้บรรลุเป้าหมายที่กำหนดและแก้ไขปัญหาจำเป็นต้องดำเนินกิจกรรมในระดับความปลอดภัยของข้อมูล

ระดับการบริหารความปลอดภัยของข้อมูล

เพื่อสร้างระบบรักษาความปลอดภัยข้อมูล จำเป็นต้องพัฒนาและอนุมัตินโยบายความปลอดภัยข้อมูล

นโยบายความปลอดภัยคือชุดของกฎหมาย กฎ และบรรทัดฐานของพฤติกรรมที่มุ่งปกป้องข้อมูลและทรัพยากรที่เกี่ยวข้อง

ควรสังเกตว่านโยบายที่กำลังพัฒนาควรสอดคล้องกับกฎหมายและข้อบังคับที่มีอยู่ที่เกี่ยวข้องกับองค์กร เช่น กฎหมายและข้อบังคับเหล่านี้จำเป็นต้องได้รับการระบุและนำมาพิจารณาในการพัฒนานโยบาย

ยิ่งระบบมีความน่าเชื่อถือมากเท่าใด นโยบายความปลอดภัยก็ควรเข้มงวดและหลากหลายมากขึ้นเท่านั้น

ขึ้นอยู่กับนโยบายที่กำหนดไว้ คุณสามารถเลือกกลไกเฉพาะที่รับประกันความปลอดภัยของระบบ

การป้องกันข้อมูลระดับองค์กร.

ตามข้อบกพร่องที่อธิบายไว้ในส่วนก่อนหน้านี้ สามารถเสนอมาตรการต่อไปนี้เพื่อปรับปรุงความปลอดภัยของข้อมูล:

การจัดองค์กรในการฝึกอบรมพนักงานในทักษะการทำงานใหม่ ผลิตภัณฑ์ซอฟต์แวร์ด้วยการมีส่วนร่วมของผู้เชี่ยวชาญที่ผ่านการรับรอง

การพัฒนามาตรการที่จำเป็นเพื่อปรับปรุงระบบเศรษฐกิจ สังคม และความปลอดภัยของข้อมูลขององค์กร

ดำเนินการบรรยายสรุปเพื่อให้พนักงานแต่ละคนตระหนักถึงความสำคัญและความลับของข้อมูลที่ได้รับมอบหมาย ตามกฎแล้ว เหตุผลในการเปิดเผย ข้อมูลลับพนักงานมีความรู้ไม่เพียงพอเกี่ยวกับกฎสำหรับการปกป้องความลับทางการค้าและความเข้าใจผิด (หรือความเข้าใจผิด) ถึงความจำเป็นในการปฏิบัติอย่างระมัดระวัง

การควบคุมอย่างเข้มงวดต่อการปฏิบัติตามกฎระเบียบของพนักงานในการทำงานกับข้อมูลที่เป็นความลับ

ตรวจสอบการปฏิบัติตามกฎการจัดเก็บเอกสารการทำงานของพนักงานขององค์กร

กำหนดการประชุม สัมมนา อภิปรายเกี่ยวกับปัญหาความปลอดภัยของข้อมูลองค์กร

การตรวจสอบและบำรุงรักษาระบบข้อมูลและโครงสร้างพื้นฐานข้อมูลทั้งหมดอย่างสม่ำเสมอ (ตามกำหนดเวลา) เพื่อความสามารถในการปฏิบัติงาน

แต่งตั้งผู้ดูแลระบบเป็นการถาวร

มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เพื่อปกป้องข้อมูล

ซอฟต์แวร์และฮาร์ดแวร์เป็นหนึ่งใน ส่วนประกอบที่สำคัญในการดำเนินการ การป้องกันข้อมูลดังนั้น เพื่อเพิ่มระดับการปกป้องข้อมูล จึงจำเป็นต้องแนะนำและใช้มาตรการต่อไปนี้:

ป้อนรหัสผ่านผู้ใช้

ในการควบคุมการเข้าถึงทรัพยากรข้อมูลขององค์กรของผู้ใช้ คุณต้องป้อนรายชื่อผู้ใช้ที่จะเข้าสู่ระบบภายใต้การเข้าสู่ระบบของพวกเขา การใช้ระบบปฏิบัติการ วินโดวส์เซิร์ฟเวอร์ 2003 Std ติดตั้งบนเซิร์ฟเวอร์ คุณสามารถสร้างรายชื่อผู้ใช้ด้วยรหัสผ่านที่เกี่ยวข้อง แจกจ่ายรหัสผ่านให้กับพนักงานพร้อมคำแนะนำที่เหมาะสมสำหรับการใช้งาน คุณต้องป้อนวันที่หมดอายุของรหัสผ่านด้วย หลังจากนั้นผู้ใช้จะได้รับแจ้งให้เปลี่ยนรหัสผ่าน จำกัดจำนวนครั้งในการเข้าสู่ระบบด้วยรหัสผ่านที่ไม่ถูกต้อง (เช่น ไม่เกินสามครั้ง)

การแนะนำคำขอรหัสผ่านใน 1C: โปรแกรม Enterprise เมื่อทำงานกับฐานข้อมูลเมื่อเปลี่ยนข้อมูล ซึ่งสามารถทำได้ด้วย เครื่องมือซอฟต์แวร์พีซีและโปรแกรม

การแยกการเข้าถึงไฟล์ ไดเร็กทอรี ดิสก์

การแยกการเข้าถึงไฟล์และไดเร็กทอรีจะดำเนินการ ผู้ดูแลระบบซึ่งจะอนุญาตให้เข้าถึงไดรฟ์ โฟลเดอร์ และไฟล์ที่เหมาะสมสำหรับผู้ใช้แต่ละคนโดยเฉพาะ

สแกนเวิร์กสเตชันเป็นประจำและอัปเดตฐานข้อมูลโปรแกรมป้องกันไวรัส

ช่วยให้คุณสามารถตรวจจับและต่อต้านโปรแกรมที่เป็นอันตราย กำจัดสาเหตุของการติดไวรัส จำเป็นต้องดำเนินการติดตั้ง กำหนดค่า และบำรุงรักษาเครื่องมือและระบบ การป้องกันไวรัส.

ในการดำเนินการนี้ คุณต้องกำหนดค่าโปรแกรมป้องกันไวรัสให้สแกนพีซีของคุณเป็นประจำและอัปเดตฐานข้อมูลจากเซิร์ฟเวอร์เป็นประจำ

การติดตั้งไฟร์วอลล์ Agnitum Outpost FireWall บนคอมพิวเตอร์เซิร์ฟเวอร์ ซึ่งจะบล็อกการโจมตีจากอินเทอร์เน็ต

ประโยชน์ของการใช้ Agnitum Outpost FireWall:

¾ ควบคุมการเชื่อมต่อคอมพิวเตอร์ของคุณกับผู้อื่น บล็อกแฮกเกอร์ และป้องกันการเข้าถึงเครือข่ายภายนอกและภายในโดยไม่ได้รับอนุญาต

หลังจากวิเคราะห์ความปลอดภัยของข้อมูลขององค์กรแล้ว เราสามารถสรุปได้ว่ามีการให้ความสนใจไม่เพียงพอกับประเด็นต่อไปนี้ในการรักษาความปลอดภัยข้อมูล:

– การสำรองฐานข้อมูลองค์กรอย่างผิดปกติ

– ข้อมูลไม่ได้สำรองไว้ในคอมพิวเตอร์ส่วนบุคคลของพนักงาน

– ข้อความ อีเมลเก็บไว้ในเซิร์ฟเวอร์ของบริการอีเมลบนอินเทอร์เน็ต

– พนักงานบางคนมีทักษะในการทำงานกับระบบอัตโนมัติไม่เพียงพอ

พนักงานสามารถเข้าถึง คอมพิวเตอร์ส่วนบุคคลเพื่อนร่วมงาน;

- ขาด โปรแกรมป้องกันไวรัสบนเวิร์กสเตชันบางรุ่น

- การควบคุมการเข้าถึงไม่ดี ทรัพยากรเครือข่าย;

– ไม่มีเอกสารกำกับดูแลด้านความปลอดภัย

การวิเคราะห์ความเสี่ยง

อันตรายของภัยคุกคามถูกกำหนดโดยความเสี่ยงในกรณีที่ดำเนินการได้สำเร็จ ความเสี่ยงคืออันตรายที่อาจเกิดขึ้น ความสามารถในการยอมรับความเสี่ยงได้หมายความว่าความเสียหายในกรณีที่เกิดภัยคุกคามจะไม่นำไปสู่ผลเสียร้ายแรงต่อเจ้าของข้อมูล องค์กรต้องเผชิญกับความเสี่ยงดังต่อไปนี้:

1. การสำรองฐานข้อมูลองค์กรไม่สม่ำเสมอ

ผลที่ตามมา: การสูญเสียข้อมูลเกี่ยวกับการดำเนินงานขององค์กร

2. ไม่มีการสำรองข้อมูลในเครื่องคอมพิวเตอร์ส่วนตัวของพนักงาน

ผลที่ตามมา: เมื่ออุปกรณ์ล้มเหลว ข้อมูลสำคัญบางอย่างอาจสูญหาย

3. ข้อความอีเมลจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของบริการอีเมลบนอินเทอร์เน็ต

4. พนักงานบางคนมีทักษะในการทำงานกับระบบอัตโนมัติไม่เพียงพอ

ผลที่ตามมา: อาจทำให้ข้อมูลที่ไม่ถูกต้องปรากฏในระบบ

5. พนักงานสามารถเข้าถึงคอมพิวเตอร์ส่วนบุคคลของเพื่อนร่วมงานได้

6. ขาดโปรแกรมป้องกันไวรัสในเวิร์กสเตชันบางเครื่อง

ผลที่ตามมา: การปรากฏตัวของโปรแกรมไวรัส, ซอฟต์แวร์ที่เป็นอันตรายในระบบ

7. ความแตกต่างของสิทธิ์การเข้าถึงทรัพยากรเครือข่ายไม่ดี

ผลที่ตามมา: ความประมาทเลินเล่ออาจทำให้ข้อมูลสูญหายได้

8. ไม่มีเอกสารมาตรฐานเกี่ยวกับความปลอดภัย

วัตถุประสงค์และวัตถุประสงค์ของระบบรักษาความปลอดภัยข้อมูล

วัตถุประสงค์หลักของระบบรักษาความปลอดภัยขององค์กรคือเพื่อป้องกันความเสียหายต่อกิจกรรมเนื่องจากการขโมยวัสดุและวิธีการทางเทคนิคและเอกสารประกอบ การทำลายทรัพย์สินและของมีค่า การเปิดเผย การรั่วไหล และการเข้าถึงแหล่งข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต การละเมิดวิธีการทางเทคนิคในการรับรองกิจกรรมการผลิตรวมถึงเครื่องมือให้ข้อมูลตลอดจนป้องกันความเสียหายต่อบุคลากรขององค์กร

เป้าหมายของระบบรักษาความปลอดภัยคือ:

การคุ้มครองสิทธิขององค์กร แผนกโครงสร้าง และพนักงาน

· การเก็บรักษาและการใช้ทรัพยากรทางการเงิน วัสดุ และสารสนเทศอย่างมีประสิทธิภาพ

· การปรับปรุงภาพลักษณ์และการเติบโตของกำไรของบริษัทโดยการรับรองคุณภาพการบริการและความปลอดภัยของลูกค้า

งานของระบบรักษาความปลอดภัยขององค์กร:

การตรวจจับและกำจัดภัยคุกคามต่อบุคลากรและทรัพยากรอย่างทันท่วงที สาเหตุและเงื่อนไขที่ก่อให้เกิดความเสียหายทางการเงิน วัตถุ และศีลธรรมต่อผลประโยชน์ขององค์กร การหยุดชะงักของการทำงานตามปกติและการพัฒนา

การจัดหมวดหมู่ของข้อมูล การเข้าถึงที่จำกัดและแหล่งข้อมูลอื่น ๆ - ในระดับความเปราะบาง (อันตราย) ที่แตกต่างกันและอยู่ภายใต้การอนุรักษ์

การสร้างกลไกและเงื่อนไขสำหรับการตอบสนองอย่างรวดเร็วต่อภัยคุกคามด้านความปลอดภัยและการแสดงแนวโน้มเชิงลบในการทำงานขององค์กร

การปราบปรามการบุกรุกทรัพยากรและภัยคุกคามต่อบุคลากรอย่างมีประสิทธิภาพตามแนวทางบูรณาการเพื่อความปลอดภัย

องค์กรและการทำงานของระบบรักษาความปลอดภัยควรเป็นไปตามหลักการต่อไปนี้:

ความซับซ้อน มันเกี่ยวข้องกับการรับรองความปลอดภัยของบุคลากร วัสดุและทรัพยากรทางการเงิน ข้อมูลจากภัยคุกคามที่เป็นไปได้ทั้งหมดด้วยวิธีการทางกฎหมายที่มีอยู่ทั้งหมด ตลอด วงจรชีวิตและในทุกโหมดการทำงานตลอดจนความสามารถของระบบในการพัฒนาและปรับปรุงในกระบวนการทำงาน

ความน่าเชื่อถือ โซนความปลอดภัยที่แตกต่างกันต้องมีความน่าเชื่อถือเท่ากันในแง่ของความเป็นไปได้ที่ภัยคุกคามจะเกิดขึ้น

ความตรงต่อเวลา ความสามารถของระบบในการทำงานเชิงรุกโดยอาศัยการวิเคราะห์และคาดการณ์ภัยคุกคามด้านความปลอดภัยและการพัฒนามาตรการที่มีประสิทธิภาพเพื่อตอบโต้

ความต่อเนื่อง ไม่มีการหยุดชะงักในการทำงานของระบบรักษาความปลอดภัยที่เกิดจากการซ่อมแซม เปลี่ยน บำรุงรักษา ฯลฯ

ความถูกต้องตามกฎหมาย การพัฒนาระบบรักษาความปลอดภัยตามกฎหมายที่มีอยู่

ความเพียงพอตามสมควร สร้างระดับความปลอดภัยที่ยอมรับได้ ซึ่งความน่าจะเป็นและจำนวนของความเสียหายที่อาจเกิดขึ้นจะรวมกับต้นทุนสูงสุดที่อนุญาตสำหรับการพัฒนาและการทำงานของระบบรักษาความปลอดภัย

การรวมศูนย์การจัดการ การทำงานที่เป็นอิสระของระบบรักษาความปลอดภัยตามหลักการขององค์กร การทำงาน และวิธีการที่เหมือนกัน

ความสามารถ ระบบรักษาความปลอดภัยควรสร้างและจัดการโดยบุคคลที่ได้รับการฝึกอบรมอย่างมืออาชีพเพียงพอที่จะประเมินสถานการณ์ได้อย่างถูกต้องและตัดสินใจได้อย่างเพียงพอ รวมถึงในสภาวะที่มีความเสี่ยงเพิ่มขึ้น

สถานที่ที่เปราะบางที่สุดในระบบรักษาความปลอดภัยสามารถเรียกได้ว่าเป็นพนักงานขององค์กรและซอฟต์แวร์และฮาร์ดแวร์ โดยเฉพาะอย่างยิ่ง ข้อมูลไม่ได้ถูกสำรองไว้ในคอมพิวเตอร์ส่วนบุคคล ในกรณีที่อุปกรณ์ขัดข้อง ข้อมูลสำคัญบางอย่างอาจสูญหายได้ การอัปเดตไม่ทำงาน ระบบปฏิบัติการ MS Windows XP และซอฟต์แวร์ที่ใช้ ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลที่จัดเก็บไว้ในพีซีโดยไม่ได้รับอนุญาต หรือความเสียหายเนื่องจากข้อผิดพลาดในซอฟต์แวร์ การเข้าถึงทรัพยากรอินเทอร์เน็ตของพนักงานไม่ได้รับการควบคุม ซึ่งอาจส่งผลให้ข้อมูลรั่วไหล ธุรกิจ การติดต่อทางอีเมลดำเนินการทางอินเทอร์เน็ตผ่านช่องทางที่ไม่ปลอดภัย ข้อความอีเมลจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของบริการอีเมลบนอินเทอร์เน็ต พนักงานบางคนมีทักษะไม่เพียงพอในการทำงานกับระบบอัตโนมัติที่ใช้ในสถานศึกษา ซึ่งอาจทำให้ข้อมูลที่ปรากฏในระบบไม่ถูกต้อง พนักงานสามารถเข้าถึงคอมพิวเตอร์ส่วนบุคคลของเพื่อนร่วมงานได้ ซึ่งความประมาทเลินเล่ออาจทำให้ข้อมูลสูญหายได้ คณาจารย์ทุกคนมีสิทธิ์เข้าถึงไฟล์เก็บถาวร ซึ่งส่งผลให้ไฟล์ส่วนบุคคลบางไฟล์อาจสูญหายหรือการค้นหาอาจใช้เวลานาน ไม่มีข้อบังคับด้านความปลอดภัย

เป้าหมายหลักของระบบรักษาความปลอดภัยของข้อมูลคือเพื่อให้แน่ใจว่าการทำงานมีเสถียรภาพของสิ่งอำนวยความสะดวก ป้องกันภัยคุกคามต่อความปลอดภัย ปกป้องผลประโยชน์ที่ถูกต้องตามกฎหมายขององค์กรจากการบุกรุกที่ผิดกฎหมาย ป้องกันการเปิดเผย สูญหาย รั่วไหล บิดเบือนและทำลายข้อมูลบริการและส่วนบุคคล ข้อมูลเพื่อให้มั่นใจว่ากิจกรรมการผลิตตามปกติของทุกแผนกของโรงงาน

เป้าหมายอีกประการหนึ่งของระบบรักษาความปลอดภัยของข้อมูลคือการปรับปรุงคุณภาพของบริการและการรับประกันความปลอดภัย

งานในการสร้างระบบรักษาความปลอดภัยข้อมูลในองค์กร ได้แก่ ความสมบูรณ์ของข้อมูล ความน่าเชื่อถือของข้อมูล และการรักษาความลับ เมื่องานสำเร็จก็จะบรรลุเป้าหมาย

การสร้างระบบรักษาความปลอดภัยของข้อมูลใน IS และ IT ขึ้นอยู่กับหลักการดังต่อไปนี้:

แนวทางที่เป็นระบบในการสร้างระบบป้องกัน ซึ่งหมายถึงการผสมผสานที่เหมาะสมที่สุดระหว่างองค์กร ซอฟต์แวร์ ฮาร์ดแวร์ คุณสมบัติทางกายภาพและอื่น ๆ ที่สัมพันธ์กัน ซึ่งได้รับการยืนยันจากแนวปฏิบัติในการสร้างระบบป้องกันในประเทศและต่างประเทศและใช้ในทุกขั้นตอนของวงจรเทคโนโลยีของการประมวลผลข้อมูล .

หลักการพัฒนาระบบอย่างต่อเนื่อง หลักการนี้ ซึ่งเป็นหนึ่งในหลักการพื้นฐานสำหรับระบบข้อมูลคอมพิวเตอร์ มีความเกี่ยวข้องกับ NIS มากยิ่งขึ้น วิธีการดำเนินการคุกคามต่อข้อมูลใน IT ได้รับการปรับปรุงอย่างต่อเนื่อง ดังนั้นการรับประกันความปลอดภัยของ IP จึงไม่สามารถดำเนินการเพียงครั้งเดียวได้ นี่เป็นกระบวนการต่อเนื่องซึ่งประกอบด้วยการพิสูจน์และดำเนินการตามวิธีการที่มีเหตุผล วิธีการและวิธีปรับปรุงสถานีอวกาศนานาชาติ การตรวจสอบอย่างต่อเนื่อง การระบุคอขวดและจุดอ่อน ช่องทางการรั่วไหลของข้อมูลที่อาจเกิดขึ้น และวิธีการใหม่ในการเข้าถึงโดยไม่ได้รับอนุญาต

การแยกและลดอำนาจในการเข้าถึงข้อมูลที่ประมวลผลและขั้นตอนการประมวลผล เช่น ให้ทั้งผู้ใช้และพนักงาน IS มีอำนาจขั้นต่ำที่กำหนดไว้อย่างเข้มงวดเพียงพอสำหรับพวกเขาในการปฏิบัติหน้าที่อย่างเป็นทางการ

ความครบถ้วนสมบูรณ์ของการควบคุมและการลงทะเบียนความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต เช่น ความจำเป็นในการระบุตัวตนของผู้ใช้แต่ละรายอย่างถูกต้องและบันทึกการกระทำของเขาเพื่อการตรวจสอบที่เป็นไปได้ เช่นเดียวกับความเป็นไปไม่ได้ในการดำเนินการประมวลผลข้อมูลใด ๆ ใน IT โดยไม่ต้องลงทะเบียนล่วงหน้า

สร้างความมั่นใจในความน่าเชื่อถือของระบบป้องกัน เช่น ความเป็นไปไม่ได้ที่จะลดระดับความน่าเชื่อถือในกรณีที่เกิดข้อผิดพลาด ความล้มเหลว การกระทำโดยเจตนาของแฮ็กเกอร์หรือข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ใช้และเจ้าหน้าที่บำรุงรักษาในระบบ

ควบคุมการทำงานของระบบป้องกัน เช่น การสร้างวิธีการและวิธีการตรวจสอบประสิทธิภาพของกลไกการคุ้มครอง

การจัดหาวิธีการต่อสู้ที่หลากหลาย มัลแวร์.

สร้างความมั่นใจในความเป็นไปได้ทางเศรษฐกิจของการใช้ระบบป้องกันซึ่งแสดงออกมาเกินความเสียหายที่เป็นไปได้ต่อ IS และ IT จากการใช้ภัยคุกคามมากกว่าค่าใช้จ่ายในการพัฒนาและปฏิบัติการ ISS

มาตรการป้องกันที่ใช้ควรเพียงพอต่อความเป็นไปได้ในการดำเนินการ ประเภทนี้ภัยคุกคามและความเสียหายที่อาจเกิดขึ้นหากภัยคุกคามเกิดขึ้นจริง (รวมถึงค่าใช้จ่ายในการป้องกัน)

ต้องระลึกไว้เสมอว่ามาตรการป้องกันหลายอย่างต้องใช้ทรัพยากรคอมพิวเตอร์ขนาดใหญ่เพียงพอ ซึ่งจะส่งผลต่อกระบวนการประมวลผลข้อมูลอย่างมาก ดังนั้นวิธีการที่ทันสมัยในการแก้ปัญหานี้คือการใช้หลักการของการจัดการสถานการณ์ความปลอดภัยของทรัพยากรข้อมูลในระบบควบคุมอัตโนมัติ สาระสำคัญของแนวทางนี้อยู่ที่ความจริงที่ว่าระดับความปลอดภัยของข้อมูลที่กำหนดนั้นถูกกำหนดตามสถานการณ์ที่กำหนดอัตราส่วนระหว่างมูลค่าของข้อมูลที่ประมวลผล ต้นทุน (ประสิทธิภาพการทำงานของระบบควบคุมอัตโนมัติลดลง เพิ่มเติม หน่วยความจำเข้าถึงโดยสุ่มฯลฯ) ซึ่งจำเป็นต่อการบรรลุระดับนี้ และการสูญเสียทั้งหมดที่เป็นไปได้ (วัสดุ ศีลธรรม ฯลฯ) จากการบิดเบือนและการใช้ข้อมูลโดยไม่ได้รับอนุญาต

ลักษณะที่จำเป็นของการปกป้องทรัพยากรข้อมูลนั้นถูกกำหนดในการวางแผนสถานการณ์ในระหว่างการเตรียมกระบวนการทางเทคโนโลยีของการประมวลผลข้อมูลที่ปลอดภัยโดยตรงโดยคำนึงถึงสถานการณ์ปัจจุบันและ (ในปริมาณที่ลดลง) ในระหว่างกระบวนการประมวลผล เมื่อเลือกมาตรการป้องกัน เราต้องคำนึงถึงต้นทุนโดยตรงในการซื้ออุปกรณ์และโปรแกรมเท่านั้น แต่ยังรวมถึงค่าใช้จ่ายในการแนะนำผลิตภัณฑ์ใหม่ การฝึกอบรมและการฝึกอบรมบุคลากรใหม่ด้วย สถานการณ์ที่สำคัญคือความเข้ากันได้ของเครื่องมือใหม่กับโครงสร้างฮาร์ดแวร์และซอฟต์แวร์ที่มีอยู่ของวัตถุ

ประสบการณ์จากต่างประเทศในด้านการคุ้มครองทรัพย์สินทางปัญญาและประสบการณ์ในประเทศในการคุ้มครองความลับของรัฐแสดงให้เห็นว่าการคุ้มครองอย่างครอบคลุมเท่านั้นที่จะมีประสิทธิภาพ โดยรวมขอบเขตของการคุ้มครองเช่น กฎหมาย องค์กร และวิศวกรรมเข้าด้วยกัน

ทิศทางทางกฎหมายกำหนดให้มีการจัดตั้งชุดกฎหมาย เอกสารกำกับดูแล ข้อบังคับ คำแนะนำ แนวปฏิบัติ ซึ่งเป็นข้อกำหนดที่จำเป็นภายในขอบเขตของกิจกรรมในระบบรักษาความปลอดภัยข้อมูล

ทิศทางองค์กร- นี่เป็นข้อบังคับของกิจกรรมการผลิตและความสัมพันธ์ของนักแสดงบนพื้นฐานทางกฎหมายในลักษณะที่การเปิดเผย การรั่วไหล และการเข้าถึงข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตกลายเป็นไปไม่ได้หรือถูกขัดขวางอย่างมากจากมาตรการขององค์กร

ผู้เชี่ยวชาญกล่าวว่ามาตรการขององค์กรมีบทบาทสำคัญในการสร้างกลไกที่เชื่อถือได้ในการปกป้องข้อมูล เนื่องจากความเป็นไปได้ของการใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาตส่วนใหญ่ไม่ได้เกิดจากด้านเทคนิค แต่เป็นการกระทำที่เป็นอันตราย ความประมาทเลินเล่อ ความประมาทเลินเล่อของผู้ใช้หรือความปลอดภัย บุคลากร.

กิจกรรมขององค์กรรวมถึง:

กิจกรรมที่ดำเนินการในการออกแบบ ก่อสร้างและอุปกรณ์ของอาคารสำนักงานและโรงงานอุตสาหกรรม

กิจกรรมดำเนินการคัดเลือกบุคลากร

องค์กรและการบำรุงรักษาการควบคุมการเข้าถึงที่เชื่อถือได้ ความปลอดภัยของสถานที่และอาณาเขต การควบคุมผู้มาเยือน

องค์กรในการจัดเก็บและการใช้เอกสารและผู้ขนส่งข้อมูลที่เป็นความลับ

องค์กรด้านความปลอดภัยของข้อมูล

การจัดฝึกอบรมพนักงานประจำ

หนึ่งในองค์ประกอบหลักของการรักษาความปลอดภัยข้อมูลองค์กรของ บริษัท คือ Information Security Service (ISS - หน่วยงานจัดการระบบรักษาความปลอดภัยข้อมูล) มันมาจากความพร้อมอย่างมืออาชีพของพนักงานบริการรักษาความปลอดภัยข้อมูลที่มีอยู่ในคลังแสงของพวกเขา วิธีการที่ทันสมัยการจัดการความปลอดภัยส่วนใหญ่ขึ้นอยู่กับประสิทธิภาพของมาตรการในการปกป้องข้อมูล โครงสร้าง ขนาด และองค์ประกอบพนักงานถูกกำหนดโดยความต้องการที่แท้จริงของบริษัท ระดับความลับของข้อมูล และสถานะทั่วไปของความปลอดภัย

วัตถุประสงค์หลักของการทำงานของ ISS โดยใช้มาตรการขององค์กรและซอฟต์แวร์และฮาร์ดแวร์คือการหลีกเลี่ยงหรืออย่างน้อยก็ลดความเป็นไปได้ของการละเมิดนโยบายความปลอดภัยให้เหลือน้อยที่สุด เพื่อแจ้งให้ทราบและกำจัดผลที่ตามมาจากการละเมิดให้ทันเวลา

เพื่อให้แน่ใจว่าการดำเนินงานของ SIS ประสบความสำเร็จ จำเป็นต้องกำหนดสิทธิ์และภาระหน้าที่ รวมถึงกฎสำหรับการโต้ตอบกับหน่วยอื่น ๆ ในประเด็นของการปกป้องข้อมูลที่สถานที่ จำนวนบริการควรเพียงพอที่จะทำหน้าที่ทั้งหมดที่ได้รับมอบหมาย เป็นที่พึงปรารถนาว่าเจ้าหน้าที่ของบริการไม่มีหน้าที่เกี่ยวข้องกับการทำงานของวัตถุคุ้มครอง บริการรักษาความปลอดภัยข้อมูลต้องมีเงื่อนไขทั้งหมดที่จำเป็นในการปฏิบัติหน้าที่

แกนกลาง ทิศทางวิศวกรรมและเทคนิคเป็นเครื่องมือรักษาความปลอดภัยข้อมูลซอฟต์แวร์และฮาร์ดแวร์ ซึ่งรวมถึงวิศวกรรมเครื่องกล ระบบเครื่องกลไฟฟ้า อิเล็กทรอนิกส์ ออปติก เลเซอร์ วิทยุและวิทยุ เรดาร์และอุปกรณ์อื่นๆ ระบบและโครงสร้างที่ออกแบบมาเพื่อรับรองความปลอดภัยและการปกป้องข้อมูล

ภายใต้ ซอฟต์แวร์ความปลอดภัยของข้อมูลเป็นที่เข้าใจกันเป็นชุด โปรแกรมพิเศษตระหนักถึงหน้าที่ของการปกป้องข้อมูลและโหมดการทำงาน

ชุดมาตรการทางกฎหมาย องค์กร และวิศวกรรมที่ก่อตัวขึ้นส่งผลให้มีนโยบายความปลอดภัยที่เหมาะสม

นโยบายความปลอดภัยกำหนดลักษณะที่ปรากฏของระบบรักษาความปลอดภัยข้อมูลในรูปแบบของชุดบรรทัดฐานทางกฎหมาย มาตรการขององค์กร (กฎหมาย) ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์ และโซลูชันขั้นตอนที่มุ่งต่อต้านภัยคุกคามเพื่อกำจัดหรือลดผลกระทบที่อาจเกิดขึ้นจากข้อมูล ผลกระทบ หลังจากนำนโยบายความปลอดภัยเวอร์ชันใดเวอร์ชันหนึ่งมาใช้ จำเป็นต้องประเมินระดับความปลอดภัยของระบบข้อมูล ตามปกติแล้ว การประเมินความปลอดภัยจะดำเนินการตามชุดของตัวบ่งชี้ ซึ่งหลักๆ ได้แก่ ต้นทุน ประสิทธิภาพ และความเป็นไปได้

การประเมินตัวเลือกสำหรับการสร้างระบบรักษาความปลอดภัยข้อมูลเป็นงานที่ค่อนข้างซับซ้อน โดยต้องใช้วิธีการทางคณิตศาสตร์สมัยใหม่สำหรับการประเมินประสิทธิภาพแบบหลายพารามิเตอร์ ซึ่งรวมถึง: วิธีการวิเคราะห์ลำดับชั้น วิธีการของผู้เชี่ยวชาญ วิธีการให้สัมปทานแบบต่อเนื่อง และอื่น ๆ อีกมากมาย

เมื่อดำเนินการตามมาตรการที่ตั้งใจไว้ จำเป็นต้องตรวจสอบประสิทธิภาพ นั่นคือ เพื่อให้แน่ใจว่าความเสี่ยงที่หลงเหลืออยู่ในเกณฑ์ที่ยอมรับได้ จากนั้นจึงจะสามารถตั้งค่าวันที่ของการประเมินค่าใหม่ครั้งถัดไปได้ มิฉะนั้น คุณจะต้องวิเคราะห์ข้อผิดพลาดที่เกิดขึ้นและดำเนินการเซสชันการวิเคราะห์ช่องโหว่ครั้งที่สอง โดยคำนึงถึงการเปลี่ยนแปลงในระบบป้องกัน

สถานการณ์จำลองที่เป็นไปได้ของการกระทำของผู้บุกรุกจำเป็นต้องมีการตรวจสอบระบบความปลอดภัยของข้อมูล การทดสอบนี้เรียกว่า "การทดสอบการเจาะ" เป้าหมายคือเพื่อให้มั่นใจว่าไม่มีวิธีที่ง่ายสำหรับผู้ใช้ที่ไม่ได้รับอนุญาตในการข้ามกลไกการรักษาความปลอดภัย

หนึ่งใน วิธีที่เป็นไปได้การรับรองความปลอดภัยของระบบ - เชิญแฮ็กเกอร์ให้แฮ็กโดยไม่ต้องแจ้งให้เจ้าหน้าที่เครือข่ายทราบล่วงหน้า สำหรับสิ่งนี้จะมีการจัดสรรกลุ่มคนสองหรือสามคนที่มีการฝึกอบรมอย่างมืออาชีพ แฮ็กเกอร์มีระบบอัตโนมัติที่ได้รับการป้องกัน และกลุ่มพยายามค้นหาช่องโหว่เป็นเวลา 1-3 เดือน และพัฒนาเครื่องมือทดสอบโดยอาศัยกลไกดังกล่าวเพื่อหลีกเลี่ยงกลไกการป้องกัน แฮ็กเกอร์ที่ได้รับการว่าจ้างจะส่งรายงานที่เป็นความลับเกี่ยวกับผลงานพร้อมการประเมินระดับความพร้อมใช้งานของข้อมูลและคำแนะนำในการปรับปรุงการป้องกัน

ใช้เครื่องมือทดสอบซอฟต์แวร์ควบคู่ไปกับวิธีนี้

ที่เวที จัดทำแผนป้องกันตามนโยบายความปลอดภัยที่เลือกจะมีการพัฒนาแผนสำหรับการดำเนินการ แผนป้องกันเป็นเอกสารที่มีผลบังคับใช้กับระบบป้องกันข้อมูลซึ่งได้รับการอนุมัติจากหัวหน้าองค์กร การวางแผนไม่ใช่แค่เรื่อง ใช้ดีที่สุดความเป็นไปได้ทั้งหมดที่มีให้กับบริษัท รวมถึงทรัพยากรที่จัดสรร แต่ยังรวมถึงการป้องกันการกระทำที่ผิดพลาดที่อาจนำไปสู่การลดประสิทธิภาพของมาตรการที่ใช้เพื่อปกป้องข้อมูล

แผนการรักษาความปลอดภัยข้อมูลของไซต์ควรรวมถึง:

คำอธิบายของระบบที่ได้รับการป้องกัน (ลักษณะสำคัญของวัตถุที่ได้รับการป้องกัน: วัตถุประสงค์ของวัตถุ, รายการงานที่ต้องแก้ไข, การกำหนดค่า, ลักษณะและการจัดวางฮาร์ดแวร์และซอฟต์แวร์, รายการหมวดหมู่ของข้อมูล (แพ็คเกจ, ไฟล์, ชุดและฐานข้อมูลที่มีอยู่) ที่จะได้รับการคุ้มครอง และข้อกำหนดสำหรับการรับรองการเข้าถึง การรักษาความลับ ความสมบูรณ์ของข้อมูลประเภทเหล่านี้ รายชื่อผู้ใช้และสิทธิ์ในการเข้าถึงทรัพยากรระบบ ฯลฯ)

วัตถุประสงค์ในการปกป้องระบบและวิธีการรับประกันความปลอดภัยของระบบอัตโนมัติและข้อมูลที่หมุนเวียนอยู่ในนั้น

รายการภัยคุกคามความปลอดภัยที่สำคัญ ระบบอัตโนมัติการป้องกันที่จำเป็นและเส้นทางที่มีโอกาสเกิดอันตรายมากที่สุด

นโยบายการรักษาความปลอดภัยของข้อมูล

แผนการเงินและ แผนภาพการทำงานระบบรักษาความปลอดภัยของข้อมูลในโรงงาน

คุณสมบัติของเครื่องมือรักษาความปลอดภัยข้อมูลและการประมาณการค่าใช้จ่ายสำหรับการใช้งาน

แผนปฏิทินสำหรับการดำเนินมาตรการขององค์กรและทางเทคนิคเพื่อปกป้องข้อมูล ขั้นตอนการทำให้วิธีการป้องกันมีผลบังคับใช้

กฎพื้นฐานที่ควบคุมกิจกรรมของบุคลากรในประเด็นการรับรองความปลอดภัยของข้อมูลของสถานที่ (หน้าที่พิเศษของเจ้าหน้าที่ที่ให้บริการระบบอัตโนมัติ)

ขั้นตอนการทบทวนแผนและยกระดับวิธีการป้องกัน

แผนการป้องกันได้รับการแก้ไขเมื่อส่วนประกอบต่อไปนี้ของวัตถุมีการเปลี่ยนแปลง:

สถาปัตยกรรม ระบบข้อมูล(การเชื่อมต่อเครือข่ายท้องถิ่นอื่น การเปลี่ยนหรือดัดแปลงอุปกรณ์คอมพิวเตอร์หรือซอฟต์แวร์ที่ใช้แล้ว)

ตำแหน่งอาณาเขตของส่วนประกอบของระบบอัตโนมัติ

ส่วนหนึ่งของแผนป้องกันจำเป็นต้องมีแผนปฏิบัติการสำหรับบุคลากรในสถานการณ์วิกฤต เช่น แผนการจัดหา ทำงานอย่างต่อเนื่อง และการกู้คืนข้อมูล. มันสะท้อนถึง:

วัตถุประสงค์เพื่อให้มั่นใจถึงความต่อเนื่องของกระบวนการทำงานของระบบอัตโนมัติ การคืนค่าประสิทธิภาพและวิธีการบรรลุผล

รายการและการจำแนกสถานการณ์วิกฤตที่อาจเกิดขึ้น

ข้อกำหนด มาตรการ และวิธีการเพื่อให้แน่ใจว่าการดำเนินการอย่างต่อเนื่องและการฟื้นฟูของกระบวนการประมวลผลข้อมูล (ขั้นตอนสำหรับการสร้าง จัดเก็บ และใช้งาน การสำรองข้อมูลข้อมูล การบำรุงรักษาเอกสารสำคัญในปัจจุบัน ระยะยาว และกรณีฉุกเฉิน องค์ประกอบของอุปกรณ์สำรองและขั้นตอนการใช้งาน ฯลฯ );

ความรับผิดชอบและขั้นตอนการดำเนินการของบุคลากรประเภทต่าง ๆ ของระบบในสถานการณ์วิกฤตในกรณีที่มีการชำระล้างผลที่ตามมา การลดความเสียหายที่เกิดขึ้นและในการฟื้นฟูการทำงานปกติของระบบ

หากองค์กรมีการแลกเปลี่ยน เอกสารอิเล็กทรอนิกส์กับพันธมิตรในการดำเนินการตามคำสั่งเดียวจำเป็นต้องรวมไว้ในแผนการป้องกันข้อตกลงเกี่ยวกับขั้นตอนการจัดระเบียบการแลกเปลี่ยนเอกสารอิเล็กทรอนิกส์ซึ่งสะท้อนถึงประเด็นต่อไปนี้:

การแยกความรับผิดชอบของอาสาสมัครที่เข้าร่วมในกระบวนการแลกเปลี่ยนเอกสารอิเล็กทรอนิกส์

การกำหนดขั้นตอนการจัดทำ การดำเนินการ การส่ง การรับ การตรวจสอบความถูกต้องและสมบูรณ์ของเอกสารอิเล็กทรอนิกส์

ขั้นตอนในการสร้าง รับรอง และแจกจ่ายข้อมูลสำคัญ (คีย์ รหัสผ่าน ฯลฯ)

ขั้นตอนการระงับข้อพิพาทในกรณีที่มีข้อขัดแย้ง

แผนการรักษาความปลอดภัยข้อมูลเป็นแพ็คเกจของเอกสารที่เป็นข้อความและกราฟิก ดังนั้นพร้อมกับส่วนประกอบข้างต้นของแพ็คเกจนี้ อาจรวมถึง:

ระเบียบว่าด้วยความลับทางการค้า การกำหนดรายการข้อมูลที่เป็นความลับทางการค้าและขั้นตอนในการพิจารณา ตลอดจนหน้าที่ของเจ้าหน้าที่ในการคุ้มครองความลับทางการค้า

กฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลซึ่งควบคุมกิจกรรมทั้งหมดสำหรับการดำเนินการตามนโยบายความปลอดภัยรวมถึงคำแนะนำกฎและข้อบังคับเพิ่มเติมที่สอดคล้องกับวัตถุประสงค์ของการป้องกันโดยเฉพาะ

การดำเนินการตามแผนการป้องกัน (การจัดการระบบการป้องกัน)เกี่ยวข้องกับการพัฒนาเอกสารที่จำเป็น การสรุปสัญญากับซัพพลายเออร์ การติดตั้งและการกำหนดค่าอุปกรณ์ ฯลฯ หลังจากการก่อตัวของระบบรักษาความปลอดภัยข้อมูล งานของการใช้งานอย่างมีประสิทธิภาพ เช่น การจัดการความปลอดภัยจะได้รับการแก้ไข

การจัดการเป็นกระบวนการของอิทธิพลที่มีจุดประสงค์ต่อวัตถุ ดำเนินการเพื่อจัดระเบียบการทำงานตามโปรแกรมที่กำหนด

การจัดการความปลอดภัยของข้อมูลควรเป็น:

ทนต่อการรบกวนจากผู้บุกรุก;

ต่อเนื่อง สร้างผลกระทบอย่างต่อเนื่องต่อกระบวนการป้องกัน

ซ่อนเร้นไม่อนุญาตให้เปิดเผยองค์กรการจัดการความปลอดภัยของข้อมูล

ปฏิบัติการให้โอกาสในการตอบสนองต่อการกระทำของผู้บุกรุกอย่างทันท่วงทีและเพียงพอและดำเนินการตัดสินใจด้านการจัดการภายในวันที่กำหนด

นอกจากนี้ การตัดสินใจเกี่ยวกับความปลอดภัยของข้อมูลควรมีความสมเหตุสมผลในแง่ของการพิจารณาอย่างรอบด้านเกี่ยวกับเงื่อนไขในการปฏิบัติงาน แอปพลิเคชัน รุ่นต่างๆ, งานคำนวณและข้อมูล ระบบผู้เชี่ยวชาญ ประสบการณ์ และข้อมูลอื่นใดที่เพิ่มความน่าเชื่อถือของข้อมูลเริ่มต้นและการตัดสินใจ

ตัวบ่งชี้ประสิทธิภาพของการจัดการความปลอดภัยของข้อมูลคือเวลาของวงจรการควบคุมสำหรับคุณภาพของการตัดสินใจที่กำหนด วงจรการจัดการรวมถึงการรวบรวมข้อมูลที่จำเป็นเพื่อประเมินสถานการณ์ การตัดสินใจ การก่อตัวของคำสั่งที่เหมาะสมและการปฏิบัติ ตามเกณฑ์ประสิทธิภาพ เวลาตอบสนองของระบบรักษาความปลอดภัยข้อมูลต่อการละเมิดสามารถใช้ได้ ซึ่งไม่ควรเกินเวลาล้าสมัยของข้อมูลตามค่าของมัน

ดังที่การพัฒนาระบบควบคุมอัตโนมัติจริงแสดงให้เห็นว่าไม่มีวิธีการใด (มาตรการ วิธีการ และกิจกรรม) ที่จะทำให้มั่นใจว่าความปลอดภัยของข้อมูลมีความน่าเชื่อถืออย่างแน่นอน และจะบรรลุผลสูงสุดเมื่อรวมทั้งหมดเข้าด้วยกันเป็นระบบป้องกันข้อมูลที่เป็นหนึ่งเดียว การผสมผสานที่เหมาะสมที่สุดระหว่างมาตรการขององค์กร เทคนิค และโปรแกรม ตลอดจนความใส่ใจและการควบคุมอย่างต่อเนื่องในการทำให้ระบบป้องกันทันสมัยอยู่เสมอจะทำให้สามารถแก้ปัญหางานถาวรได้อย่างมีประสิทธิภาพสูงสุด

รากฐานของระเบียบวิธีในการรับรองความปลอดภัยของข้อมูลเป็นคำแนะนำทั่วไปโดยอิงจากประสบการณ์โลกในการสร้าง ระบบที่คล้ายกัน. งานของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลแต่ละคนคือการปรับบทบัญญัติที่เป็นนามธรรมให้เข้ากับสาขาวิชาเฉพาะ (องค์กร ธนาคาร) ซึ่งมีลักษณะเฉพาะและรายละเอียดปลีกย่อยเสมอ

การวิเคราะห์ประสบการณ์ในประเทศและต่างประเทศพิสูจน์ได้อย่างน่าเชื่อถือถึงความจำเป็นในการสร้างระบบรักษาความปลอดภัยข้อมูลแบบบูรณาการสำหรับบริษัทที่เชื่อมโยงมาตรการป้องกันด้านปฏิบัติการ การปฏิบัติงาน ด้านเทคนิค และองค์กร นอกจากนี้ ระบบรักษาความปลอดภัยควรเหมาะสมที่สุดจากมุมมองของอัตราส่วนของต้นทุนและมูลค่าของทรัพยากรที่ได้รับการปกป้อง ระบบต้องการความยืดหยุ่นและการปรับตัวให้เข้ากับปัจจัยแวดล้อม สภาพองค์กร และสภาพสังคมที่เปลี่ยนแปลงอย่างรวดเร็วในสถาบัน เป็นไปไม่ได้ที่จะบรรลุระดับความปลอดภัยดังกล่าวโดยไม่วิเคราะห์ภัยคุกคามที่มีอยู่และช่องทางที่เป็นไปได้ของการรั่วไหลของข้อมูล รวมถึงไม่มีการพัฒนานโยบายความปลอดภัยข้อมูลที่องค์กร ด้วยเหตุนี้จึงต้องสร้างแผนป้องกันที่ดำเนินการตามหลักการที่กำหนดไว้ในนโยบายความปลอดภัย

แต่ยังมีปัญหาและ "หลุมพราง" อื่น ๆ ที่คุณต้องให้ความสนใจอย่างแน่นอน สิ่งเหล่านี้เป็นปัญหาที่ได้รับการระบุในทางปฏิบัติและไม่สามารถคล้อยตามพิธีการได้: ปัญหาของสังคมและการเมืองที่ไม่เป็นธรรมชาติทางเทคนิคหรือเทคโนโลยี ซึ่งจะแก้ไขได้ไม่ทางใดก็ทางหนึ่ง

ปัญหา 1.ขาดความเข้าใจระหว่างพนักงานและผู้จัดการระดับกลางและระดับล่างถึงความจำเป็นในการทำงานเพื่อปรับปรุงระดับความปลอดภัยของข้อมูล

ตามกฎแล้วที่ขั้นบันไดการจัดการนี้จะมองไม่เห็นงานเชิงกลยุทธ์ที่องค์กรเผชิญอยู่ ในขณะเดียวกัน ปัญหาด้านความปลอดภัยอาจทำให้เกิดการระคายเคืองได้ ซึ่งสร้างปัญหาที่ "ไม่จำเป็น"

ข้อโต้แย้งต่อไปนี้มักจะต่อต้านการทำงานและการดำเนินมาตรการเพื่อรับรองความปลอดภัยของข้อมูล:

การเกิดขึ้นของข้อ จำกัด เพิ่มเติมสำหรับผู้ใช้และผู้เชี่ยวชาญของแผนกซึ่งทำให้ยากต่อการใช้ระบบองค์กรอัตโนมัติ

ความต้องการต้นทุนวัสดุเพิ่มเติมทั้งสำหรับการดำเนินงานดังกล่าวและสำหรับการขยายบุคลากรของผู้เชี่ยวชาญที่เกี่ยวข้องกับปัญหาความปลอดภัยของข้อมูล

ปัญหานี้เป็นหนึ่งในปัญหาหลัก คำถามอื่น ๆ ทั้งหมดไม่ทางใดก็ทางหนึ่งทำหน้าที่เป็นผลที่ตามมา เพื่อเอาชนะมัน สิ่งสำคัญคือต้องแก้ปัญหาต่อไปนี้: ประการแรก เพื่อพัฒนาทักษะของบุคลากรในด้านการรักษาความปลอดภัยข้อมูลโดยการจัดการประชุมและสัมมนาพิเศษ ประการที่สอง เพื่อเพิ่มระดับการรับรู้ของพนักงาน โดยเฉพาะอย่างยิ่ง เกี่ยวกับงานเชิงกลยุทธ์ที่องค์กรเผชิญอยู่

ปัญหาที่ 2การเผชิญหน้าระหว่างบริการอัตโนมัติและบริการรักษาความปลอดภัยขององค์กร

ปัญหานี้เกิดจากประเภทของกิจกรรมและขอบเขตของอิทธิพลตลอดจนความรับผิดชอบของโครงสร้างเหล่านี้ภายในองค์กร การนำระบบป้องกันไปใช้อยู่ในมือของผู้เชี่ยวชาญทางเทคนิค และความรับผิดชอบในการรักษาความปลอดภัยนั้นขึ้นอยู่กับบริการรักษาความปลอดภัย ผู้เชี่ยวชาญด้านความปลอดภัยต้องการจำกัดค่าใช้จ่ายทั้งหมดด้วยความช่วยเหลือของ ไฟร์วอลล์การจราจรทั้งหมด แต่คนที่ทำงานในแผนกอัตโนมัติไม่เต็มใจที่จะจัดการกับปัญหาเพิ่มเติมที่เกี่ยวข้องกับการบำรุงรักษาเครื่องมือพิเศษ ความไม่ลงรอยกันดังกล่าวไม่ได้ส่งผลดีที่สุดต่อระดับความปลอดภัยของทั้งองค์กร

ปัญหานี้เช่นเดียวกับปัญหาที่คล้ายกันส่วนใหญ่แก้ไขได้โดยวิธีการจัดการอย่างหมดจด ประการแรก สิ่งสำคัญคือต้องมีกลไกในการแก้ไขข้อพิพาทดังกล่าวในโครงสร้างองค์กรของบริษัท ตัวอย่างเช่น บริการทั้งสองสามารถมีหัวหน้าคนเดียวที่จะแก้ปัญหาการโต้ตอบของพวกเขา ประการที่สองเอกสารทางเทคโนโลยีและองค์กรควรแบ่งขอบเขตของอิทธิพลและความรับผิดชอบของหน่วยงานอย่างชัดเจนและมีความสามารถ

ปัญหา 3.ความทะเยอทะยานส่วนตัวและความสัมพันธ์ในระดับผู้จัดการระดับกลางและระดับสูง

ความสัมพันธ์ระหว่างผู้นำอาจแตกต่างกัน บางครั้งเมื่อดำเนินงานเกี่ยวกับการศึกษาความปลอดภัยของข้อมูล เจ้าหน้าที่คนหนึ่งหรืออีกคนหนึ่งแสดงความสนใจมากเกินไปในผลงานเหล่านี้ แท้จริงแล้วการวิจัยเป็นเครื่องมือที่ทรงพลังพอที่จะแก้ปัญหาเฉพาะของพวกเขาและตอบสนองความทะเยอทะยานของพวกเขา ข้อสรุปและคำแนะนำที่บันทึกไว้ในรายงานจะใช้เป็นแผนสำหรับการดำเนินการเพิ่มเติมของลิงก์ใดลิงก์หนึ่ง การตีความข้อสรุปของรายงานแบบ "อิสระ" สามารถใช้ร่วมกับปัญหา 5 ที่อธิบายไว้ด้านล่างได้เช่นกัน สถานการณ์นี้เป็นปัจจัยที่ไม่พึงประสงค์อย่างยิ่งเนื่องจากเป็นการบิดเบือนความหมายของงานและต้องมีการระบุและกำจัดอย่างทันท่วงทีในระดับผู้บริหารระดับสูงขององค์กร ตัวเลือกที่ดีที่สุดความสัมพันธ์ทางธุรกิจคือเมื่อผลประโยชน์ขององค์กรอยู่ในระดับแนวหน้า ไม่ใช่ส่วนตัว

ปัญหาที่ 4การดำเนินการตามแผนปฏิบัติการในระดับต่ำเพื่อสร้างระบบรักษาความปลอดภัยข้อมูล

นี่เป็นสถานการณ์ที่ค่อนข้างซ้ำซากเมื่อเป้าหมายและวัตถุประสงค์เชิงกลยุทธ์หายไปในระดับของการดำเนินการ ทุกอย่างสามารถเริ่มต้นได้อย่างสมบูรณ์แบบ ผู้อำนวยการทั่วไปตัดสินใจเกี่ยวกับความจำเป็นในการปรับปรุงระบบรักษาความปลอดภัยข้อมูล มีการว่าจ้างบริษัทที่ปรึกษาอิสระเพื่อดำเนินการตรวจสอบ ระบบที่มีอยู่การป้องกันข้อมูล เมื่อดำเนินการเสร็จสิ้น จะมีการสร้างรายงานที่มีคำแนะนำที่จำเป็นทั้งหมดสำหรับการปกป้องข้อมูล การสรุปเวิร์กโฟลว์ที่มีอยู่ในด้านความปลอดภัยของข้อมูล แนะนำวิธีการทางเทคนิคในการปกป้องข้อมูลและมาตรการขององค์กร และสนับสนุนระบบที่สร้างขึ้นเพิ่มเติม แผนคุ้มครองประกอบด้วยมาตรการระยะสั้นและระยะยาว คำแนะนำเพิ่มเติมจะถูกถ่ายโอนไปยังแผนกใดแผนกหนึ่งเพื่อดำเนินการ และที่นี่เป็นสิ่งสำคัญที่พวกเขาจะไม่จมอยู่ในบึงของระบบราชการ, ความทะเยอทะยานส่วนตัว, ความเกียจคร้านของพนักงานและเหตุผลอื่น ๆ อีกมากมาย ผู้รับเหมาอาจทราบข้อมูลไม่ดี ไม่มีความสามารถเพียงพอ หรือเพียงแค่ไม่สนใจที่จะทำงาน เป็นสิ่งสำคัญที่ CEO จะตรวจสอบการดำเนินการตามแผนที่วางไว้ เพื่อไม่ให้สูญเสีย ประการแรก เงินลงทุนในการรักษาความปลอดภัยในระยะเริ่มต้น และประการที่สอง เพื่อไม่ให้เกิดความสูญเสียอันเป็นผลมาจากการขาดการรักษาความปลอดภัยนี้ .

ปัญหา 5.คุณสมบัติต่ำของผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล

ลักษณะนี้ไม่สามารถถือเป็นอุปสรรคร้ายแรงได้หากไม่เป็นอุปสรรคต่อการสร้างระบบรักษาความปลอดภัยข้อมูล ความจริงก็คือแผนการป้องกันรวมถึงเหตุการณ์เช่นการฝึกอบรมขั้นสูงของผู้เชี่ยวชาญในด้านการปกป้องข้อมูลใน บริษัท สามารถจัดสัมมนาเกี่ยวกับพื้นฐานของการจัดระเบียบความปลอดภัยของข้อมูลสำหรับผู้เชี่ยวชาญจากบริการอื่น ๆ จำเป็นต้องประเมินคุณสมบัติที่แท้จริงของพนักงานที่เกี่ยวข้องในการดำเนินการตามแผนคุ้มครองอย่างถูกต้อง บ่อยครั้ง ข้อสรุปที่ไม่ถูกต้องหรือการไม่สามารถใช้วิธีการป้องกันในทางปฏิบัติทำให้เกิดความยุ่งยากในการปฏิบัติตามมาตรการที่แนะนำ ด้วยคำแนะนำของสถานการณ์ดังกล่าว ทางออกที่ถูกต้องที่สุดคือการพัฒนาทักษะของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลในศูนย์ฝึกอบรมที่สร้างขึ้นเป็นพิเศษสำหรับสิ่งนี้

ดังนั้นกิจกรรมภาคปฏิบัติในด้านการปรับปรุงเศรษฐกิจและความปลอดภัยของข้อมูลจึงแสดงให้เห็นอย่างชัดเจนว่าการสร้างระบบรักษาความปลอดภัยข้อมูลในชีวิตจริงนั้นขึ้นอยู่กับการแก้ปัญหาเหล่านี้อย่างทันท่วงที อย่างไรก็ตาม ประสบการณ์ที่สั่งสมมาแสดงให้เห็นว่าปัญหาทั้งหมดที่กล่าวถึงสามารถแก้ไขได้สำเร็จหากตัวแทนของลูกค้าและบริษัทที่ดำเนินการทำงานร่วมกันอย่างใกล้ชิด สิ่งสำคัญคือการตระหนักถึงความสำคัญของการดำเนินงานดังกล่าว ระบุภัยคุกคามที่มีอยู่อย่างทันท่วงที และใช้มาตรการตอบโต้ที่เพียงพอ ซึ่งตามกฎแล้วจะมีความเฉพาะเจาะจงสำหรับแต่ละองค์กร การปรากฏตัวของความปรารถนาและโอกาสเป็นเงื่อนไขที่เพียงพอสำหรับการทำงานที่ประสบความสำเร็จ จุดประสงค์ของการสร้างระบบแบบบูรณาการเพื่อให้มั่นใจถึงความปลอดภัยขององค์กร

ส่งงานที่ดีของคุณในฐานความรู้เป็นเรื่องง่าย ใช้แบบฟอร์มด้านล่าง

นักศึกษา บัณฑิต นักวิทยาศาสตร์รุ่นเยาว์ที่ใช้ฐานความรู้ในการศึกษาและการทำงานจะขอบคุณมาก

โฮสต์ที่ http://www.allbest.ru/

โครงการหลักสูตร

ในระเบียบวินัย "ความปลอดภัยของข้อมูล"

ในหัวข้อ

“การปรับปรุงระบบรักษาความปลอดภัยข้อมูลบน

องค์กร LLC "เตาอบ"

การแนะนำ

พูดถึงความปลอดภัยของข้อมูลในปัจจุบัน จริงๆ แล้วหมายถึงความปลอดภัยของคอมพิวเตอร์ แท้จริงแล้วข้อมูลใน สื่ออิเล็กทรอนิกส์มีบทบาทสำคัญมากขึ้นในสังคมสมัยใหม่ ช่องโหว่ของข้อมูลดังกล่าวเกิดจากปัจจัยหลายประการ: ปริมาณมาก, หลายจุดและการเข้าถึงที่ไม่เปิดเผยชื่อที่เป็นไปได้, ความเป็นไปได้ของ "การก่อวินาศกรรมข้อมูล" ... ทั้งหมดนี้ทำให้งานรับรองความปลอดภัยของข้อมูลที่อยู่ใน สภาพแวดล้อมของคอมพิวเตอร์เป็นปัญหาที่ยากกว่าการรักษาความลับของจดหมายโต้ตอบแบบดั้งเดิม

หากเราพูดถึงความปลอดภัยของข้อมูลที่จัดเก็บไว้ในสื่อดั้งเดิม (กระดาษ ภาพพิมพ์ ฯลฯ) ความปลอดภัยของข้อมูลนั้นเกิดขึ้นได้จากการปฏิบัติตามมาตรการ การป้องกันทางกายภาพ(เช่น การป้องกันการเข้ามาในพื้นที่จัดเก็บสื่อโดยไม่ได้รับอนุญาต) ด้านอื่นๆ ของการคุ้มครองข้อมูลดังกล่าวเกี่ยวข้องกับภัยธรรมชาติและภัยที่มนุษย์สร้างขึ้น ดังนั้น แนวคิดของการรักษาความปลอดภัยข้อมูล "คอมพิวเตอร์" โดยรวมจึงกว้างกว่าการรักษาความปลอดภัยข้อมูลที่เกี่ยวข้องกับสื่อ "ดั้งเดิม"

หากเราพูดถึงความแตกต่างในแนวทางการแก้ปัญหาความปลอดภัยของข้อมูลในระดับต่างๆ (รัฐ ภูมิภาค ระดับขององค์กรหนึ่ง) ความแตกต่างดังกล่าวจะไม่มีอยู่จริง วิธีการรับรองความปลอดภัยของระบบอัตโนมัติของรัฐ "การเลือกตั้ง" ไม่แตกต่างจากวิธีการรับรองความปลอดภัย เครือข่ายท้องถิ่นในบริษัทเล็กๆ ดังนั้นหลักการของการรับประกันความปลอดภัยของข้อมูลในบทความนี้จึงพิจารณาจากตัวอย่างกิจกรรมขององค์กรที่แยกจากกัน

วัตถุประสงค์ของโครงการหลักสูตรคือการปรับปรุงระบบรักษาความปลอดภัยข้อมูลของ Oven LLC งาน ภาคนิพนธ์จะเป็น - การวิเคราะห์ Oven LLC ทรัพยากร โครงสร้าง และระบบรักษาความปลอดภัยข้อมูลที่มีอยู่ในองค์กร และค้นหาวิธีการปรับปรุง

ในขั้นตอนแรกจะทำการวิเคราะห์ระบบความปลอดภัยของข้อมูล จากผลลัพธ์ที่ได้ ในขั้นที่สอง จะทำการค้นหาวิธีการปรับปรุงการปกป้องข้อมูล หากมี ด้านที่อ่อนแอในระบบนี้

1. การวิเคราะห์ระบบรักษาความปลอดภัยข้อมูลที่ Oven LLC

1.1 ลักษณะขององค์กร โครงสร้างองค์กรขององค์กร บริการที่เกี่ยวข้องกับทรัพยากรสารสนเทศและการป้องกัน

ชื่อเต็มขององค์กรคือ Limited Liability Company "Aries" ชื่อย่อของบริษัทคือ Oven LLC เพิ่มเติมในข้อความสังคม บริษัท ไม่มีสาขาและสำนักงานตัวแทนศูนย์แห่งเดียวตั้งอยู่ในภูมิภาค Perm เขต Suksunsky หมู่บ้าน Martyanovo

สมาคมก่อตั้งขึ้นในปี 2533 เป็นฟาร์มขนาดเล็กและมีผู้ก่อตั้งสามคน หลังจากการปรับโครงสร้างฟาร์มเป็นเศรษฐกิจชาวนาในปี 2541 ผู้ก่อตั้งเพียงคนเดียวยังคงอยู่ การปรับโครงสร้างครั้งสุดท้ายคือในเดือนเมษายน 2547 ตั้งแต่วันที่ 1 เมษายน องค์กรดังกล่าวได้กลายเป็นที่รู้จักกันในชื่อ Aries Limited Liability Company

กิจกรรมหลักของบริษัทคือการเพาะปลูกพืชผลทางการเกษตร วัสดุเมล็ดพันธุ์ การจำหน่ายผลิตภัณฑ์ทางการเกษตร วันนี้ในรัสเซีย บริษัทครองสถานที่ที่สิบสามในฟาร์มมันฝรั่งและเป็นแห่งแรกในเขตระดับการใช้งาน

ที่อยู่ตามกฎหมาย: รัสเซีย, 617553, Perm Territory, Suksunsky, Village Martyanovo

เป้าหมายขององค์กรโดยรวม:

· รับผลกำไรจากกิจกรรมหลัก

· เพิ่มขีดความสามารถในการแข่งขันของผลิตภัณฑ์และขยายตลาดการขาย

· การกระจุกตัวของทุนและการเพิ่มแหล่งเงินลงทุนสำหรับการดำเนินการลงทุนและโครงการอื่นๆ

ภารกิจองค์กรของ บริษัท :

1. ก้าวสู่ความเป็นผู้นำในตลาดต่อไป

2. การสร้างฟาร์มเมล็ดพันธุ์

โครงสร้างองค์กรขององค์กร

บริษัทใช้โครงสร้างการทำงานเชิงเส้น ในโครงสร้างการทำงานเชิงเส้นจะมีการสร้างลำดับชั้นของบริการ ในโครงสร้างนี้ หัวหน้าหน่วยงานมีสิทธิ์สั่งการในระดับถัดไปของการจัดการเกี่ยวกับประเด็นการทำงาน

โครงสร้างขององค์กรแสดงในรูปที่ 1

โฮสต์ที่ http://www.allbest.ru/

รูปที่ 1 - โครงสร้างองค์กรของ Aries LLC

1.2 การวิเคราะห์และกำหนดลักษณะทรัพยากรสารสนเทศขององค์กร

ทุกวันนี้ ใครๆ ก็กังวลเกี่ยวกับความปลอดภัยของข้อมูลองค์กร โปรแกรมส่วนบุคคลและคอมเพล็กซ์ทั้งหมดที่ออกแบบมาเพื่อปกป้องข้อมูลกำลังเป็นที่นิยมมากขึ้น อย่างไรก็ตามไม่มีใครคิดว่าคุณสามารถมีได้มากเท่าที่คุณต้องการ การป้องกันที่เชื่อถือได้แต่ก็ยังแพ้ ข้อมูลสำคัญ. เนื่องจากพนักงานคนหนึ่งของคุณจะมองว่ามันไม่สำคัญและแสดงต่อสาธารณะ และถ้าคุณมั่นใจว่าได้รับการปกป้องจากสิ่งนี้ แสดงว่าคุณคิดผิดอย่างมาก เมื่อมองแวบแรก สถานการณ์นี้ดูเหมือนเป็นเรื่องไม่จริงเหมือนเรื่องตลก อย่างไรก็ตาม สิ่งนี้เกิดขึ้นและเกิดขึ้นบ่อยครั้ง แท้จริงแล้ว เจ้าหน้าที่ด้านเทคนิคซึ่งในกรณีส่วนใหญ่จัดการกับปัญหาความปลอดภัยของข้อมูล มักไม่เข้าใจว่าข้อมูลใดควรซ่อนและไม่ควรซ่อน เพื่อให้เข้าใจ คุณต้องแบ่งข้อมูลทั้งหมดออกเป็น ประเภทต่างๆซึ่งมักจะเรียกว่าประเภทและกำหนดขอบเขตระหว่างกันอย่างชัดเจน

ตามความเป็นจริง บริษัททุกแห่งที่เชี่ยวชาญในการจัดหาระบบที่ซับซ้อนเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลคอมพิวเตอร์จะคำนึงถึงการแบ่งข้อมูลออกเป็น ประเภทต่างๆ. นี่คือที่ที่คุณต้องระวัง ความจริงก็คือผลิตภัณฑ์ของตะวันตกเป็นไปตามมาตรฐานสากล (โดยเฉพาะ ISO 17799 และอื่น ๆ ) ข้อมูลทั้งหมดแบ่งออกเป็นสามประเภท: เปิดเป็นความลับและเป็นความลับอย่างเคร่งครัด ในขณะเดียวกันในประเทศของเราตามกฎหมายปัจจุบันมีการใช้ความแตกต่างเล็กน้อย: ข้อมูลเปิดสำหรับใช้ภายในและเป็นความลับ

เปิด หมายถึงข้อมูลใด ๆ ที่สามารถถ่ายโอนไปยังบุคคลอื่นได้อย่างอิสระรวมถึงเผยแพร่ในสื่อ ส่วนใหญ่มักจะนำเสนอในรูปแบบของข่าวประชาสัมพันธ์, สุนทรพจน์ในการประชุม, การนำเสนอและการจัดนิทรรศการ, แยกองค์ประกอบ (โดยธรรมชาติ, บวก) ของสถิติ นอกจากนี้อีแร้งนี้ยังรวมถึงข้อมูลทั้งหมดที่ได้รับจากแหล่งข้อมูลภายนอกแบบเปิด และแน่นอน ข้อมูลที่มีไว้สำหรับเว็บไซต์ของบริษัทก็ถือเป็นข้อมูลสาธารณะเช่นกัน

เมื่อมองแวบแรก ดูเหมือนว่าข้อมูลเปิดไม่จำเป็นต้องได้รับการปกป้อง อย่างไรก็ตาม ผู้คนลืมไปว่าข้อมูลไม่เพียงถูกขโมยเท่านั้น แต่ยังถูกแทนที่ด้วย ดังนั้นการรักษาความสมบูรณ์ของข้อมูลที่เปิดจึงเป็นงานที่สำคัญมาก มิฉะนั้น แทนที่จะเป็นข่าวประชาสัมพันธ์ที่เตรียมไว้ล่วงหน้า อาจกลายเป็นสิ่งที่ไม่สามารถเข้าใจได้ หรือ หน้าหลักเว็บไซต์ของบริษัทจะถูกแทนที่ด้วยคำจารึกที่ไม่เหมาะสม ดังนั้นข้อมูลสาธารณะจำเป็นต้องได้รับการปกป้องด้วย

เช่นเดียวกับองค์กรอื่น ๆ สังคมมี เปิดข้อมูลมีอยู่ในการนำเสนอที่แสดงต่อนักลงทุนที่มีศักยภาพเป็นหลัก

ข้อมูลสำหรับใช้ภายในรวมถึงข้อมูลใด ๆ ที่พนักงานใช้ในการปฏิบัติหน้าที่ตามวิชาชีพของตน แต่นั่นไม่ใช่ทั้งหมด หมวดหมู่นี้รวมถึงข้อมูลทั้งหมดที่แผนกหรือสาขาต่าง ๆ แลกเปลี่ยนระหว่างกันเพื่อให้มั่นใจในประสิทธิภาพ และสุดท้าย ข้อมูลประเภทสุดท้ายที่อยู่ภายใต้หมวดหมู่ของข้อมูลนี้คือข้อมูลที่ได้รับจากโอเพ่นซอร์สและอยู่ภายใต้การประมวลผล (การจัดโครงสร้าง การแก้ไข การทำให้ชัดเจน)

อันที่จริงแล้วข้อมูลทั้งหมดนี้แม้จะตกไปอยู่ในมือของคู่แข่งหรือผู้บุกรุกก็ตาม ก็ไม่สามารถ ก่อให้เกิดอันตรายร้ายแรงต่อบริษัทได้ อย่างไรก็ตาม ความเสียหายจากการลักพาตัวของเธอยังคงมีอยู่บ้าง สมมติว่าพนักงานรวบรวมข่าวสารสำหรับเจ้านายในหัวข้อที่เขาสนใจ ซึ่งพวกเขาได้เลือกข้อความที่สำคัญที่สุดและทำเครื่องหมายไว้ สรุปดังกล่าวเป็นข้อมูลที่ชัดเจนสำหรับการใช้งานภายใน (ข้อมูลที่ได้รับจากโอเพ่นซอร์สและอาจมีการประมวลผล) เมื่อมองแวบแรกดูเหมือนว่าคู่แข่งที่ได้มาจะไม่สามารถได้รับประโยชน์จากมัน แต่ในความเป็นจริงแล้ว พวกเขาสามารถคาดเดาทิศทางที่ฝ่ายบริหารของบริษัทของคุณสนใจ และใครจะรู้ พวกเขาอาจนำหน้าคุณด้วยซ้ำ ดังนั้น ข้อมูลสำหรับใช้ภายในต้องได้รับการปกป้อง ไม่เพียงแต่จากการแทนที่เท่านั้น แต่ยังรวมถึงจากการเข้าถึงโดยไม่ได้รับอนุญาตด้วย จริงอยู่ ในกรณีส่วนใหญ่ คุณสามารถจำกัดตัวเองให้อยู่ในความปลอดภัยของเครือข่ายท้องถิ่นได้ เพราะการใช้เงินจำนวนมากกับสิ่งนี้ไม่ได้ผลกำไรทางเศรษฐกิจ

ข้อมูลประเภทนี้ยังนำเสนอที่องค์กรซึ่งมีอยู่ในรายงาน รายการ การแยกข้อมูล ฯลฯ ประเภทต่างๆ

ข้อมูลที่เป็นความลับ - ข้อมูลเอกสาร การเข้าถึงซึ่งถูกจำกัดตามกฎหมาย สหพันธรัฐรัสเซียซึ่งไม่เปิดเผยต่อสาธารณะ และหากเปิดเผย อาจทำลายสิทธิ์และผลประโยชน์ที่ได้รับการคุ้มครองตามกฎหมายของบุคคลที่ให้ข้อมูลดังกล่าว รายการข้อมูลที่เกี่ยวข้องกับคอนี้กำหนดโดยรัฐ บน ช่วงเวลานี้ดังต่อไปนี้: ข้อมูลส่วนบุคคล, ข้อมูลที่เป็นความลับทางการค้า, อย่างเป็นทางการหรือทางวิชาชีพ, ข้อมูลที่เป็นความลับของการสอบสวนและการทำงานของสำนักงาน. นอกจากนี้ เมื่อเร็ว ๆ นี้ ข้อมูลเกี่ยวกับสาระสำคัญของการประดิษฐ์หรือการค้นพบทางวิทยาศาสตร์ก่อนที่จะเผยแพร่อย่างเป็นทางการนั้นถูกจัดเป็นความลับ

ข้อมูลที่เป็นความลับในองค์กรรวมถึงข้อมูลเช่น: แผนพัฒนา, งานวิจัย, เอกสารทางเทคนิค, ภาพวาด, การกระจายผลกำไร, สัญญา, รายงาน, ทรัพยากร, หุ้นส่วน, การเจรจา, สัญญา ตลอดจนข้อมูลของการจัดการและการวางแผน

บริษัทมีพีซีประมาณยี่สิบเครื่อง สำหรับการมีอยู่ของเครือข่ายท้องถิ่นในองค์กร พีซีในสังคมไม่ได้รวมกันเป็นเครือข่ายเดียว นอกจากนี้คอมพิวเตอร์ทุกเครื่องยังติดตั้งชุดมาตรฐาน โปรแกรมสำนักงานและ โปรแกรมบัญชี. คอมพิวเตอร์สามเครื่องสามารถเข้าถึงอินเทอร์เน็ตผ่าน WAN Miniport ในเวลาเดียวกันไม่มีคอมพิวเตอร์เครื่องใดในองค์กรที่ติดตั้งโปรแกรมป้องกันไวรัส การแลกเปลี่ยนข้อมูลดำเนินการผ่านสื่อ: แฟลชไดรฟ์, ฟล็อปปี้ดิสก์ ข้อมูลทั้งหมดเกี่ยวกับสื่อ "ดั้งเดิม" จะอยู่ในตู้ที่ไม่ได้ล็อค เอกสารที่สำคัญที่สุดจะถูกเก็บไว้ในที่ปลอดภัยซึ่งเป็นกุญแจที่เลขานุการเก็บไว้

ความปลอดภัยในการป้องกันข้อมูล

1.3 ภัยคุกคามและวิธีการปกป้องข้อมูลในองค์กร

ภัยคุกคามความปลอดภัยของข้อมูล - ชุดของเงื่อนไขและปัจจัยที่สร้างศักยภาพหรืออันตรายที่แท้จริงที่เกี่ยวข้องกับการรั่วไหลของข้อมูลและ/หรืออิทธิพลที่ไม่ได้รับอนุญาตและ/หรือไม่ได้ตั้งใจ

ตามวิธีการที่มีอิทธิพลต่ออ็อบเจกต์การรักษาความปลอดภัยข้อมูล ภัยคุกคามที่เกี่ยวข้องกับสังคมอยู่ภายใต้การจำแนกประเภทต่อไปนี้: ข้อมูล ซอฟต์แวร์ กายภาพ องค์กร และกฎหมาย

ภัยคุกคามด้านข้อมูลรวมถึง:

การเข้าถึงแหล่งข้อมูลโดยไม่ได้รับอนุญาต

การขโมยข้อมูลจากเอกสารสำคัญและฐานข้อมูล

การละเมิดเทคโนโลยีการประมวลผลข้อมูล

การรวบรวมและการใช้ข้อมูลที่ผิดกฎหมาย

ภัยคุกคามซอฟต์แวร์รวมถึง:

ไวรัสคอมพิวเตอร์และมัลแวร์

ภัยคุกคามทางกายภาพรวมถึง:

การทำลายหรือทำลายสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลและการสื่อสาร

การขโมยสื่อเก็บข้อมูล

ผลกระทบต่อเจ้าหน้าที่

ภัยคุกคามด้านองค์กรและทางกฎหมายรวมถึง:

การจัดหาเทคโนโลยีสารสนเทศและวิธีการให้ข้อมูลที่ไม่สมบูรณ์หรือล้าสมัย

เครื่องมือรักษาความปลอดภัยของข้อมูลคือชุดของอุปกรณ์และเครื่องมือทางวิศวกรรม ไฟฟ้า อิเล็กทรอนิกส์ ออปติคัลและอื่นๆ เครื่องมือและ ระบบทางเทคนิคตลอดจนองค์ประกอบที่แท้จริงอื่น ๆ ที่ใช้ในการแก้ปัญหาต่าง ๆ ของการป้องกันข้อมูล รวมถึงการป้องกันการรั่วไหลและการรับรองความปลอดภัยของข้อมูลที่ได้รับการป้องกัน

พิจารณาเครื่องมือรักษาความปลอดภัยข้อมูลที่ใช้ในองค์กร มีทั้งหมดสี่รายการ (ฮาร์ดแวร์ ซอฟต์แวร์ ผสม องค์กร)

การป้องกันฮาร์ดแวร์- ล็อค, แถบบนหน้าต่าง, สัญญาณเตือนความปลอดภัย, ตัวกรองเครือข่าย, กล้องวงจรปิด

การป้องกันซอฟต์แวร์: มีการใช้เครื่องมือระบบปฏิบัติการ เช่น การป้องกัน รหัสผ่าน บัญชี

วิธีการป้องกันขององค์กร: การเตรียมสถานที่ด้วยคอมพิวเตอร์

2 ปรับปรุงระบบรักษาความปลอดภัยข้อมูล

2.1 ระบุข้อบกพร่องในระบบรักษาความปลอดภัยข้อมูล

จุดที่เปราะบางที่สุดในการคุ้มครองข้อมูลในสังคมคือการป้องกัน ความปลอดภัยของคอมพิวเตอร์. ในระหว่างการวิเคราะห์อย่างผิวเผินขององค์กร ข้อบกพร่องต่อไปนี้สามารถระบุได้:

§ ไม่ค่อยมีการสำรองข้อมูล

§ ระดับซอฟต์แวร์รักษาความปลอดภัยข้อมูลไม่เพียงพอ

§ พนักงานบางคนมีทักษะการใช้คอมพิวเตอร์ไม่เพียงพอ

§ ไม่มีการควบคุมพนักงาน บ่อยครั้งที่พนักงานสามารถออกจากสถานที่ทำงานได้โดยไม่ต้องปิดเครื่องพีซีและต้องมีแฟลชไดรฟ์ที่มีข้อมูลการบริการ

§ ขาดเอกสารมาตรฐานเกี่ยวกับความปลอดภัยของข้อมูล

§ ไม่ใช่คอมพิวเตอร์ทุกเครื่องที่ใช้เครื่องมือ OS เช่น รหัสผ่านและบัญชี

2.2 เป้าหมายและวัตถุประสงค์ของการจัดตั้งระบบรักษาความปลอดภัยข้อมูลในองค์กร

เป้าหมายหลักของระบบรักษาความปลอดภัยข้อมูลคือเพื่อให้แน่ใจว่าการดำเนินงานของสถานที่มีเสถียรภาพ ป้องกันภัยคุกคามต่อความปลอดภัย ปกป้องผลประโยชน์ที่ถูกต้องตามกฎหมายขององค์กรจากการบุกรุกที่ผิดกฎหมาย ป้องกันการขโมยเงิน การเปิดเผย การสูญหาย การรั่วไหล การบิดเบือน และการทำลาย ข้อมูลอย่างเป็นทางการ เพื่อให้แน่ใจว่ากิจกรรมการผลิตตามปกติของทุกแผนกของโรงงาน เป้าหมายอีกประการหนึ่งของระบบรักษาความปลอดภัยของข้อมูลคือการปรับปรุงคุณภาพของบริการที่มีให้และรับประกันความปลอดภัยของสิทธิในทรัพย์สินและผลประโยชน์

การสร้างระบบรักษาความปลอดภัยข้อมูล (ISS) ใน IS และ IT ขึ้นอยู่กับหลักการดังต่อไปนี้:

การแยกและลดอำนาจในการเข้าถึงข้อมูลที่ประมวลผลและขั้นตอนการประมวลผล เช่น ให้ทั้งผู้ใช้และพนักงาน IS มีอำนาจขั้นต่ำที่กำหนดไว้อย่างเข้มงวดเพียงพอสำหรับการปฏิบัติหน้าที่อย่างเป็นทางการ

ความสมบูรณ์ของการควบคุมและการลงทะเบียนความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต เช่น ความจำเป็นในการระบุตัวตนของผู้ใช้แต่ละรายอย่างถูกต้องและบันทึกการกระทำของเขาสำหรับการสอบสวนที่เป็นไปได้ เช่นเดียวกับความเป็นไปไม่ได้ในการดำเนินการประมวลผลข้อมูลใดๆ ใน IT โดยไม่ต้องลงทะเบียนล่วงหน้า

สร้างความมั่นใจในความน่าเชื่อถือของระบบป้องกัน เช่น ความเป็นไปไม่ได้ที่จะลดระดับความน่าเชื่อถือในกรณีที่เกิดความล้มเหลว ความล้มเหลว การกระทำโดยเจตนาของแฮ็กเกอร์หรือข้อผิดพลาดโดยไม่ได้ตั้งใจของผู้ใช้และเจ้าหน้าที่บำรุงรักษาในระบบ

ให้บริการเครื่องมือป้องกันมัลแวร์ทุกชนิด

2.3 การดำเนินการเสนอแนะเพื่อปรับปรุงระบบรักษาความปลอดภัยข้อมูลขององค์กร

ข้อบกพร่องที่ระบุในองค์กรจำเป็นต้องได้รับการกำจัดดังนั้นจึงเสนอมาตรการต่อไปนี้

§ สำรองฐานข้อมูลเป็นประจำด้วยข้อมูลส่วนบุคคลของพนักงานของ บริษัท พร้อมข้อมูลบัญชีและฐานข้อมูลอื่น ๆ ที่มีอยู่ในองค์กร วิธีนี้จะช่วยป้องกันข้อมูลสูญหายเนื่องจากความล้มเหลวของดิสก์ ไฟดับ ไวรัส และอุบัติเหตุอื่นๆ การวางแผนอย่างรอบคอบและขั้นตอนปกติ สำเนาสำรองช่วยให้คุณสามารถกู้คืนข้อมูลได้อย่างรวดเร็วในกรณีที่สูญหาย

§ การใช้เครื่องมือ OS ในคอมพิวเตอร์แต่ละเครื่อง การสร้างบัญชีสำหรับผู้เชี่ยวชาญและการเปลี่ยนรหัสผ่านเป็นประจำสำหรับบัญชีเหล่านี้

§ การฝึกอบรมบุคลากรขององค์กรให้ทำงานกับคอมพิวเตอร์ เงื่อนไขที่จำเป็นเพื่อการทำงานที่เหมาะสมในเวิร์กสเตชันและป้องกันการสูญหายและเสียหายของข้อมูล งานของทั้งองค์กรขึ้นอยู่กับทักษะของพนักงานพีซีในแง่ของการดำเนินการที่ถูกต้อง

§ การติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ เช่น: Avast, NOD, หมอเว็บและอื่น ๆ วิธีนี้จะหลีกเลี่ยงการติดคอมพิวเตอร์ด้วยโปรแกรมที่เป็นอันตรายต่างๆ ที่เรียกว่าไวรัส สิ่งที่สำคัญมากสำหรับ องค์กรนี้เนื่องจากพีซีหลายเครื่องมีการเข้าถึงอินเทอร์เน็ต และพนักงานใช้แฟลชมีเดียเพื่อแลกเปลี่ยนข้อมูล

§ ดำเนินการควบคุมพนักงานโดยใช้กล้องวิดีโอ สิ่งนี้จะลดกรณีของการจัดการอุปกรณ์อย่างไม่ระมัดระวัง ความเสี่ยงของการถูกขโมยและความเสียหายของอุปกรณ์ และยังช่วยให้สามารถควบคุม "ลบ" ข้อมูลทางการออกจากอาณาเขตของบริษัทได้

§ การพัฒนาเอกสารกำกับดูแล "มาตรการในการปกป้องข้อมูลใน Oven LLC และความรับผิดชอบต่อการละเมิด" ซึ่งจะเป็นไปตามกฎหมายปัจจุบันของสหพันธรัฐรัสเซีย และกำหนดความเสี่ยง การละเมิด และความรับผิดสำหรับการละเมิดเหล่านี้ (ค่าปรับ การลงโทษ) รวมทั้งจัดทำคอลัมน์ที่เหมาะสมในสัญญาจ้างงานของบริษัท ซึ่งเขาคุ้นเคยและรับปากว่าจะปฏิบัติตามบทบัญญัติของเอกสารนี้

2.4 ประสิทธิผลของกิจกรรมที่เสนอ

มาตรการที่นำเสนอไม่เพียงมีแง่บวกเท่านั้น เช่น การขจัดปัญหาหลักในองค์กรที่เกี่ยวข้องกับความปลอดภัยของข้อมูล แต่ในขณะเดียวกัน พวกเขาจะต้องมีการลงทุนเพิ่มเติมในการฝึกอบรมบุคลากรและการพัฒนาเอกสารกำกับดูแลที่เกี่ยวข้องกับนโยบายความปลอดภัย จะต้องมีค่าแรงงานเพิ่มเติมและไม่สามารถขจัดความเสี่ยงได้ทั้งหมด จะมีปัจจัยมนุษย์เหตุสุดวิสัยเสมอ แต่หากไม่ดำเนินมาตรการดังกล่าว ค่าใช้จ่ายในการกู้คืนข้อมูล โอกาสที่สูญเสียไปจะมีค่าใช้จ่ายสูงกว่าค่าใช้จ่ายในการพัฒนาระบบรักษาความปลอดภัย

พิจารณาผลลัพธ์ของมาตรการที่เสนอ:

1. เพิ่มความน่าเชื่อถือของระบบรักษาความปลอดภัยข้อมูลขององค์กร

2. เพิ่มระดับความสามารถด้านพีซีของบุคลากร

3. ลดความเสี่ยงของการสูญหายของข้อมูล

4. ความพร้อมของเอกสารกำกับดูแลที่กำหนดนโยบายความปลอดภัย

5. อาจลดความเสี่ยงในการเข้า/ลบข้อมูลออกจากองค์กร

3 รูปแบบการรักษาความปลอดภัยข้อมูล

รูปแบบการรักษาความปลอดภัยข้อมูลที่นำเสนอ (รูปที่ 2) เป็นชุดของปัจจัยภายนอกและภายในที่มีวัตถุประสงค์และอิทธิพลของปัจจัยเหล่านี้ต่อสถานะความปลอดภัยของข้อมูลในสถานที่และต่อความปลอดภัยของวัสดุหรือทรัพยากรสารสนเทศ

รูปที่ 2 - โมเดลระบบความปลอดภัยของข้อมูล

โมเดลนี้สอดคล้องกับเอกสารข้อบังคับพิเศษสำหรับรับรองความปลอดภัยของข้อมูลที่นำมาใช้ในสหพันธรัฐรัสเซีย มาตรฐานสากล ISO / IEC 15408 "เทคโนโลยีสารสนเทศ - วิธีการป้องกัน - เกณฑ์การประเมินความปลอดภัยของข้อมูล" มาตรฐาน ISO / IEC 17799 "การจัดการความปลอดภัยของข้อมูล " และคำนึงถึงแนวโน้มการพัฒนา กรอบการกำกับดูแลภายในประเทศ (โดยเฉพาะ คณะกรรมการเทคนิคแห่งรัฐของสหพันธรัฐรัสเซีย) ในประเด็นด้านความปลอดภัยของข้อมูล

ข้อสรุปและข้อเสนอ

ยุคแห่งข้อมูลข่าวสารทำให้เกิดการเปลี่ยนแปลงอย่างมากต่อวิธีการที่ผู้คนปฏิบัติหน้าที่ของตนในสายอาชีพต่างๆ เป็นจำนวนมาก ตอนนี้ผู้เชี่ยวชาญที่ไม่ใช่ด้านเทคนิคระดับกลางสามารถทำงานที่โปรแกรมเมอร์ทักษะสูงเคยทำได้ พนักงานมีข้อมูลที่ถูกต้องและเป็นปัจจุบันมากเท่าที่เขาไม่เคยมี

แต่การใช้คอมพิวเตอร์และเทคโนโลยีอัตโนมัติทำให้เกิดปัญหามากมายสำหรับการจัดการขององค์กร คอมพิวเตอร์ ซึ่งมักเชื่อมต่อเครือข่าย สามารถเข้าถึงข้อมูลจำนวนมหาศาลได้หลากหลาย ดังนั้นผู้คนจึงกังวลเกี่ยวกับความปลอดภัยของข้อมูลและความเสี่ยงที่เกี่ยวข้องกับการทำงานอัตโนมัติและการให้การเข้าถึงข้อมูลที่เป็นความลับ ข้อมูลส่วนตัว หรือข้อมูลที่มีความสำคัญอื่น ๆ มากขึ้น จำนวนอาชญากรรมทางคอมพิวเตอร์เพิ่มขึ้นอย่างต่อเนื่อง ซึ่งอาจนำไปสู่การบ่อนทำลายเศรษฐกิจในที่สุด ดังนั้นจึงควรชัดเจนว่าข้อมูลเป็นทรัพยากรที่ต้องได้รับการปกป้อง

และเนื่องจากระบบอัตโนมัติได้นำไปสู่ความจริงที่ว่าตอนนี้ดำเนินการกับ เทคโนโลยีคอมพิวเตอร์ดำเนินการโดยพนักงานทั่วไปขององค์กร และไม่ใช่โดยบุคลากรด้านเทคนิคที่ผ่านการฝึกอบรมมาเป็นพิเศษ ผู้ใช้ปลายทางจำเป็นต้องตระหนักถึงความรับผิดชอบของตนในการปกป้องข้อมูล

ไม่มีสูตรใดสูตรหนึ่งที่จะรับประกันความปลอดภัยของข้อมูลและการทำงานของเครือข่ายที่เชื่อถือได้ 100% อย่างไรก็ตาม การสร้างแนวคิดด้านความปลอดภัยที่ครอบคลุมและคิดมาอย่างดีโดยคำนึงถึงงานเฉพาะขององค์กรนั้นๆ จะช่วยลดความเสี่ยงในการสูญเสียข้อมูลอันมีค่า ความปลอดภัยของคอมพิวเตอร์คือการต่อสู้อย่างต่อเนื่องกับความโง่เขลาของผู้ใช้และความฉลาดของแฮ็กเกอร์

โดยสรุปฉันอยากจะบอกว่าการคุ้มครองข้อมูลไม่ได้ จำกัด อยู่ที่ วิธีการทางเทคนิค. ปัญหาจะกว้างขึ้นมาก การขาดการป้องกันที่สำคัญคือผู้คนดังนั้นความน่าเชื่อถือของระบบรักษาความปลอดภัยจึงขึ้นอยู่กับทัศนคติของพนักงานของ บริษัท ที่มีต่อมันเป็นหลัก นอกจากนี้ยังต้องปรับปรุงการป้องกันอย่างต่อเนื่องควบคู่ไปกับการพัฒนาเครือข่ายคอมพิวเตอร์ อย่าลืมว่าไม่ใช่ระบบรักษาความปลอดภัยที่รบกวนการทำงาน แต่ไม่มีอยู่

ฉันต้องการสรุปผลของโครงการหลักสูตรนี้ด้วยว่าหลังจากวิเคราะห์ระบบรักษาความปลอดภัยข้อมูลขององค์กรราศีเมษแล้วพบว่ามีข้อบกพร่องห้าประการ หลังจากการค้นหาพบวิธีแก้ปัญหาเพื่อกำจัดข้อบกพร่องเหล่านี้สามารถแก้ไขได้ซึ่งจะช่วยปรับปรุงความปลอดภัยของข้อมูลขององค์กรโดยรวม

ในการดำเนินการข้างต้นได้มีการฝึกฝนทักษะภาคปฏิบัติและทฤษฎีในการศึกษาระบบความปลอดภัยของข้อมูลดังนั้นจึงบรรลุเป้าหมายของโครงการหลักสูตร ด้วยวิธีแก้ปัญหาที่พบ เราสามารถพูดได้ว่างานทั้งหมดของโครงการเสร็จสมบูรณ์แล้ว

บรรณานุกรม

1. GOST 7.1-2546 บันทึกบรรณานุกรม. คำอธิบายบรรณานุกรม. ข้อกำหนดทั่วไปและหลักเกณฑ์การเรียบเรียง (ม.: สำนักพิมพ์มาตรฐาน, 2547)

2. กาลาเตนโก, เวอร์จิเนีย "ความรู้พื้นฐานด้านความปลอดภัยของข้อมูล". - ม.: "ปรีชา", 2546.

3. Zavgorodniy, V. I. “การป้องกันข้อมูลแบบบูรณาการใน ระบบคอมพิวเตอร์". - ม.: "โลโก้", 2544.

4. Zegzhda, D.P. , Ivashko, A.M. "ความรู้พื้นฐานด้านความปลอดภัยของระบบสารสนเทศ".

5. โนซอฟ เวอร์จิเนีย หลักสูตรเบื้องต้นเกี่ยวกับระเบียบวินัย "ความปลอดภัยของข้อมูล"

6. กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซีย 27 กรกฎาคม 2549 N 149-FZ "ในข้อมูล เทคโนโลยีสารสนเทศและการปกป้องข้อมูล"

โฮสต์บน Allbest.ru

เอกสารที่คล้ายกัน

ลักษณะของแหล่งข้อมูลของการถือครองทางการเกษตร "Ashatli" ภัยคุกคามความปลอดภัยของข้อมูลเฉพาะสำหรับองค์กร มาตรการ วิธีการ และวิธีการในการคุ้มครองข้อมูล การวิเคราะห์ข้อบกพร่องที่มีอยู่และข้อดีของระบบความปลอดภัยที่ได้รับการปรับปรุง

ภาคนิพนธ์ เพิ่ม 02/03/2011

ข้อมูลทั่วไปเกี่ยวกับกิจกรรมขององค์กร วัตถุของการรักษาความปลอดภัยข้อมูลที่องค์กร มาตรการและวิธีการปกป้องข้อมูล การคัดลอกข้อมูลไปยังสื่อแบบถอดได้ การติดตั้งเซิร์ฟเวอร์สำรองภายใน ประสิทธิภาพของการปรับปรุงระบบ IS

ทดสอบเพิ่ม 08/29/2013

แนวคิด ความหมาย และทิศทางของการรักษาความปลอดภัยข้อมูล แนวทางที่เป็นระบบในการจัดระเบียบความปลอดภัยของข้อมูล ปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต วิธีการป้องกันข้อมูล วิธีการและระบบความปลอดภัยของข้อมูล

บทคัดย่อ เพิ่ม 15/11/2554

ระบบการสร้างโหมดความปลอดภัยของข้อมูล งานด้านความมั่นคงปลอดภัยสารสนเทศของสังคม วิธีการป้องกันข้อมูล: วิธีการและระบบพื้นฐาน การป้องกันข้อมูลในเครือข่ายคอมพิวเตอร์. บทบัญญัติของกฎหมายที่สำคัญที่สุดของรัสเซีย

นามธรรมเพิ่ม 01/20/2014

การวิเคราะห์ความเสี่ยงด้านความปลอดภัยข้อมูล การประเมินวิธีการป้องกันที่มีอยู่และที่วางแผนไว้ ชุดมาตรการขององค์กรเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลและการปกป้องข้อมูลขององค์กร ตัวอย่างการควบคุมของการดำเนินโครงการและคำอธิบาย

วิทยานิพนธ์, เพิ่ม 19/12/2555

กลยุทธ์การรักษาความปลอดภัยข้อมูลขององค์กรในรูปแบบของระบบของนโยบายที่มีประสิทธิภาพซึ่งจะกำหนดชุดข้อกำหนดด้านความปลอดภัยที่มีประสิทธิภาพและเพียงพอ การระบุภัยคุกคามต่อความปลอดภัยของข้อมูล การควบคุมภายในและการบริหารความเสี่ยง

ภาคนิพนธ์ เพิ่ม 06/14/2015

คำอธิบายของความซับซ้อนของงานและเหตุผลของความจำเป็นในการปรับปรุงระบบเพื่อให้มั่นใจในความปลอดภัยของข้อมูลและการปกป้องข้อมูลที่องค์กร การพัฒนาโครงการสำหรับการใช้ DBMS ความปลอดภัยของข้อมูลและการปกป้องข้อมูลส่วนบุคคล

วิทยานิพนธ์, เพิ่ม 11/17/2012

เอกสารกำกับดูแลในด้านการรักษาความปลอดภัยข้อมูลในรัสเซีย การวิเคราะห์ภัยคุกคามระบบสารสนเทศ ลักษณะการจัดระบบป้องกันข้อมูลส่วนบุคคลของคลินิก การนำระบบยืนยันตัวตนมาใช้โดยใช้กุญแจอิเล็กทรอนิกส์

วิทยานิพนธ์, เพิ่ม 10/31/2559

ข้อกำหนดเบื้องต้นสำหรับการสร้างระบบรักษาความปลอดภัยข้อมูลส่วนบุคคล ภัยคุกคามต่อความปลอดภัยของข้อมูล แหล่งที่มาของการเข้าถึง ISPD โดยไม่ได้รับอนุญาต อุปกรณ์ของระบบข้อมูลข้อมูลส่วนบุคคล วิธีการป้องกันข้อมูล นโยบายความปลอดภัย

ภาคนิพนธ์ เพิ่ม 10/07/2559

มาตรการงาน โครงสร้าง กายภาพ ซอฟต์แวร์ และฮาร์ดแวร์เพื่อปกป้องระบบข้อมูล ประเภทและสาเหตุของอาชญากรรมทางคอมพิวเตอร์ แนวทาง การปรับปรุงนโยบายความปลอดภัยขององค์กร วัตถุประสงค์และหน้าที่หลักของโฟลเดอร์ "ไดอารี่" MS Outlook 97