تحسين أمن المعلومات. تحسين نظام أمن المعلومات في المملكة المتحدة أشاتلي ش. تعريف الأمن الاقتصادي

يمكن تسمية النقطة الأكثر ضعفًا في نظام الأمان بموظفي المؤسسة والبرامج والأجهزة. على وجه الخصوص ، لا يتم نسخ البيانات احتياطيًا على أجهزة الكمبيوتر الشخصية في حالة تعطل المعدات ، وقد يتم فقد بعض البيانات المهمة ؛ لا يتم التحديث نظام التشغيل MS Windows XP والبرامج المستخدمة ، والتي يمكن أن تؤدي إلى الوصول غير المصرح به إلى المعلومات المخزنة على الكمبيوتر أو تلفها بسبب أخطاء البرامج ؛ لا يتم التحكم في وصول الموظف إلى موارد الإنترنت ، مما قد يؤدي إلى تسرب البيانات ؛ يتم إجراء البريد الإلكتروني للأعمال عبر الإنترنت من خلال قنوات ورسائل غير آمنة بريد الالكترونيالمخزنة على الخوادم خدمات بريديةفي الإنترنت؛ بعض الموظفين لديهم مهارات غير كافية في العمل مع الأنظمة الآلية المستخدمة في الأكاديمية ، مما قد يؤدي إلى ظهور بيانات غير صحيحة في النظام ؛ يتمتع الموظفون بإمكانية الوصول إلى أجهزة الكمبيوتر الشخصية الخاصة بزملائهم ، والتي يمكن أن تؤدي ، من خلال الإهمال ، إلى فقدان البيانات ؛ يمكن لجميع أعضاء هيئة التدريس الوصول إلى الأرشيف ، مما قد يؤدي إلى فقدان بعض الملفات الشخصية أو قد يستغرق البحث وقتًا طويلاً ؛ لا توجد لوائح السلامة.

الهدف الرئيسي للنظام أمن المعلوماتهو ضمان التشغيل المستقر للمنشأة ، ومنع التهديدات لأمنها ، وحماية المصالح المشروعة للمؤسسة من التعديات غير القانونية ، ومنع الكشف ، والخسارة ، والتسرب ، والتشويه والتدمير معلومات الخدمةوالمعلومات الشخصية ، بما يضمن أنشطة الإنتاج العادية لجميع أقسام المنشأة.

الهدف الآخر لنظام أمن المعلومات هو تحسين جودة الخدمات المقدمة والضمانات الأمنية.

مهام تشكيل نظام أمن المعلومات في المنظمة هي: سلامة المعلومات ، وموثوقية المعلومات وسريتها. عند الانتهاء من المهام المعينة ، سيتم تحقيق الهدف.

يعتمد إنشاء أنظمة أمن المعلومات في نظم المعلومات وتكنولوجيا المعلومات على المبادئ التالية:

نهج منظم لبناء نظام أمني ، مما يعني الجمع الأمثل بين التنظيمات المترابطة ، والبرمجيات ، والأجهزة ، والخصائص المادية وغيرها ، والتي تؤكدها ممارسة إنشاء أنظمة أمنية محلية وأجنبية وتستخدم في جميع مراحل الدورة التكنولوجية لمعالجة المعلومات .

مبدأ التطوير المستمر للنظام. هذا المبدأ ، الذي يعد أحد المبادئ الأساسية لأنظمة معلومات الكمبيوتر ، أكثر صلة بـ NIB. تتحسن طرق تنفيذ التهديدات التي تتعرض لها المعلومات في تكنولوجيا المعلومات باستمرار ، وبالتالي فإن ضمان أمن نظم المعلومات لا يمكن أن يكون عملاً يحدث لمرة واحدة. هذه عملية مستمرة ، تتكون من تبرير وتنفيذ أكثر الطرق والأساليب والطرق عقلانية لتحسين محطة الفضاء الدولية ، والرصد المستمر ، وتحديد الاختناقات ونقاط الضعف فيها ، والقنوات المحتملة لتسرب المعلومات ، والطرق الجديدة للوصول غير المصرح به.

فصل وتقليل الصلاحيات للوصول إلى المعلومات المعالجة وإجراءات المعالجة ، أي توفير حد أدنى من الصلاحيات المحددة بدقة ، لكل من المستخدمين والعاملين في مجال الملكية الفكرية أنفسهم ، بما يكفي لأداء واجباتهم الرسمية.

اكتمال الرقابة وتسجيل محاولات الوصول غير المصرح بها ، أي الحاجة إلى تحديد هوية كل مستخدم بدقة وتسجيل أفعاله لإجراء تحقيق محتمل ، فضلاً عن استحالة إجراء أي عملية معالجة معلومات في تكنولوجيا المعلومات دون تسجيلها مسبقًا.

ضمان موثوقية نظام الحماية ، أي استحالة تقليل مستوى الموثوقية في حالة الفشل أو الفشل أو الإجراءات المتعمدة للسطو أو الأخطاء غير المقصودة للمستخدمين وموظفي الخدمة في النظام.

ضمان السيطرة على عمل نظام الحماية ، أي إنشاء أدوات وطرق لمراقبة أداء آليات الحماية.

توفير كافة أنواع أدوات مكافحة البرامج الضارة.

ضمان الجدوى الاقتصادية لاستخدام نظام الحماية ، والتي يتم التعبير عنها في تجاوز الضرر المحتمل للملكية الفكرية وتكنولوجيا المعلومات من تنفيذ التهديدات على تكلفة تطوير وتشغيل NIB.

المشكلات القانونية لاستخدام تقنيات الكمبيوتر وتحسين التشريعات

تحسين الآلية المؤسسية لتوفير أمن المعلومات في الاتحاد الروسي

تحسين الآلية المؤسسية لضمان أمن المعلومات في الاتحاد الروسي

يوليا أ.كوبلوفا

مرشح العلوم الاقتصادية ، أستاذ مشارك في قسم الاقتصاد المؤسسي والأمن الاقتصادي ، معهد ساراتوف الاجتماعي والاقتصادي (فرع) من مؤسسة التعليم المهني العالي لميزانية الدولة الفيدرالية “PRUE im. ج. بليخانوف "

كاند. (الاقتصاد) ، أستاذ مشارك في قسم الاقتصاد المؤسسي ، معهد ساراتوف الاجتماعي والاقتصادي (فرع) جامعة بليخانوف الروسية للاقتصاد

البريد الإلكتروني: [البريد الإلكتروني محمي]

يبحث المقال في الجوانب المؤسسية لضمان أمن المعلومات للدولة. الكشف عن جوهر ودور الآلية المؤسسية في ضمان أمن المعلومات للدولة. يتم إعطاء تقييم الدعم المؤسسي لأمن المعلومات في روسيا. تم تسليط الضوء على المشاكل واقتراح نظام من التدابير لتحسين الآلية المؤسسية لضمان أمن المعلومات في البلاد.

الكلمات الدالة: المؤسسات ، الآلية المؤسسية ، أمن المعلومات ، مساحة الإنترنت.

تبحث الورقة في الجوانب المؤسسية لضمان أمن المعلومات للدولة. يكشف المؤلف عن جوهر ودور الآلية المؤسسية في ضمان أمن معلومات الدولة ، ويقيم الآلية المؤسسية لضمان أمن المعلومات في روسيا ، ويسلط الضوء على التحديات الرئيسية ، ويقترح نظامًا من التدابير لتحسين الآلية المؤسسية لضمان أمن المعلومات.

الكلمات المفتاحية: المؤسسات ، الآليات المؤسسية ، أمن المعلومات ، مساحة الإنترنت.

إن ضمان أمن المعلومات في الدولة هو وظيفة حكومية جديدة إلى حد ما مع نطاق ومحتوى غير مستقر من الأساليب والأدوات.

رجال الشرطة. يرجع تشكيلها إلى الحاجة إلى حماية المجتمع والدولة من تهديدات المعلومات المرتبطة بتطوير أحدث المعلومات والاتصالات

تقنيات onny. لقد أدرك المجتمع الدولي بالفعل حجم العواقب السلبية لهذه التهديدات على الدول والمنظمات والناس ، وبالتالي فإن أهم مهمة للدولة هي تطوير نظام من التدابير لمنعها وتحييدها. تلعب الآلية المؤسسية لتوفيره دورًا مهمًا في تحقيق أمن المعلومات للدولة. إن فعالية النظام المؤسسي الذي يدرك المصالح العامة هو المفتاح لمواءمتها من أجل ضمان أعلى مصالح الدولة ، بما في ذلك الأمن القومي وأمن المعلومات.

لنتذكر أن المؤسسات هي قواعد التفاعلات ("قواعد اللعبة") في المجتمع الناتجة عن الوعي البشري والخبرة ، والقيود والمتطلبات الأساسية للتطور في السياسة والمجال الاجتماعي والاقتصاد. المؤسسات التي تدعم النمو الاقتصادي طويل الأجل هي القوانين واللوائح التي تشكل الحوافز والآليات. توفر المؤسسات نظامًا من الحوافز الإيجابية والسلبية ، وتقلل من عدم اليقين ، وتجعل البيئة الاجتماعية أكثر قابلية للتنبؤ. المؤسسات التي تضمن أمن المعلومات معروفة جيداً: سيادة القانون ، محكمة مستقلة ومختصة ، غياب الفساد ، إلخ.

تعد الآلية المؤسسية لضمان أمن المعلومات مكونًا هيكليًا خاصًا للآلية الاقتصادية التي تضمن إنشاء القواعد واللوائح التي تحكم تفاعل الكيانات الاقتصادية المختلفة في مجال المعلوماتلمنع التهديدات لأمن المعلومات. تحدد الآلية المؤسسية في المؤسسات المتحركة (الرسمية وغير الرسمية) ، وتبني تفاعل الموضوعات ، وتراقب الامتثال للمعايير والقواعد المعمول بها.

يتجلى جوهر الآلية المؤسسية من خلال وظائفها. O.V. إنشاكوف ون. تعتقد ليبيديفا أن الآلية المؤسسية تؤدي الوظائف التالية ، والتي تنطبق على آلية أمن المعلومات:

1) دمج الوكلاء في مؤسسة واحدة من أجل القيام بأنشطة مشتركة في إطار الأوضاع والمعايير المشتركة ؛

2) التفريق بين القواعد والأوضاع ، وكذلك رعايا ووكلاء المؤسسات المختلفة في متطلبات تفصلهم وتتجاهلهم ؛ تنظيم التفاعل بين المؤسسات

ذلك ووكلاؤه وفقًا للمتطلبات المحددة ؛

3) تنفيذ ترجمة المتطلبات الجديدة إلى ممارسة حقيقية ؛

4) ضمان استنساخ الابتكارات الروتينية ؛

5) التبعية وتنسيق العلاقات بين الموضوعات التي تنتمي إلى مؤسسات مختلفة ؛

6) إطلاع الأشخاص على القواعد الجديدة والسلوك الانتهازي ؛

7) تنظيم أنشطة الكيانات التي تشارك وترفض المتطلبات التي تحددها المؤسسة.

8) الرقابة على تنفيذ القواعد والقواعد والاتفاقيات.

وبالتالي ، فإن الآلية المؤسسية لضمان أمن المعلومات تشمل الإطار التشريعي والهياكل المؤسسية التي تدعمه. يشمل تحسين هذه الآلية إعادة تنظيم الإطار القانوني لأمن المعلومات والهياكل المؤسسية لمواجهة تهديدات أمن المعلومات.

تشمل الآلية المؤسسية لضمان أمن المعلومات ما يلي: اعتماد قوانين جديدة تأخذ في الاعتبار مصالح جميع المواضيع في مجال المعلومات ؛ الحفاظ على التوازن بين الوظائف الإبداعية والتقييدية للقوانين في مجال المعلومات ؛ اندماج روسيا في الفضاء القانوني العالمي ؛ مع مراعاة حالة مجال تكنولوجيا المعلومات المحلية.

حتى الآن ، شكلت روسيا قاعدة تشريعية في مجال أمن المعلومات ، بما في ذلك:

1. القوانين الاتحاد الروسي: دستور الاتحاد الروسي ، "في الأمن" ؛ "حول هيئات جهاز الأمن الفيدرالي في الاتحاد الروسي" ، "حول أسرار الدولة" ، "حول الاستخبارات الأجنبية" ، "حول المشاركة في تبادل المعلومات الدولي" ، "حول المعلومات وتكنولوجيا المعلومات وحماية المعلومات" ، "على المعلومات الإلكترونية التوقيع الرقمي "وما إلى ذلك.

2 - القوانين المعيارية لرئيس الاتحاد الروسي: مبدأ أمن المعلومات في الاتحاد الروسي ؛ استراتيجية الأمن القومي للاتحاد الروسي حتى عام 2020 ، "أسس سياسة الدولة في مجال المعلوماتية" ، "في قائمة المعلومات المصنفة كأسرار الدولة" ، إلخ.

3- الإجراءات القانونية المعيارية لحكومة الاتحاد الروسي: "بشأن التصديق

وسائل حماية المعلومات "،" بشأن ترخيص أنشطة الشركات والمؤسسات والمنظمات لتنفيذ الأعمال المتعلقة باستخدام المعلومات التي تشكل سرًا من أسرار الدولة ، وإنشاء أدوات لأمن المعلومات ، فضلاً عن تنفيذ التدابير و (أو) توفير خدمات لحماية أسرار الدولة "،" ترخيص أنواع معينة من الأنشطة "، إلخ.

4. القانون المدني للاتحاد الروسي (الجزء الرابع).

5. القانون الجنائي للاتحاد الروسي.

في السنوات الأخيرة ، نفذت روسيا

مجموعة من التدابير لتحسين توفير أمن المعلومات. تم اتخاذ تدابير لضمان أمن المعلومات في الهيئات الحكومية الفيدرالية والهيئات الحكومية للكيانات المكونة للاتحاد الروسي ، في الشركات والمؤسسات والمنظمات ، بغض النظر عن شكل الملكية. والعمل جار لحماية المعلومات الخاصة وأنظمة الاتصالات. يتم تسهيل الحل الفعال لمشاكل أمن المعلومات في الاتحاد الروسي من خلال نظام حماية المعلومات الحكومي ونظام حماية أسرار الدولة ونظام إصدار الشهادات لوسائل حماية المعلومات.

تنتهج اللجنة الفنية الحكومية التابعة لرئيس الاتحاد الروسي سياسة فنية موحدة وتنسق العمل في مجال حماية المعلومات ، وهي مسؤولة عن نظام الدولة لحماية المعلومات من الاستخبارات التقنية وتضمن حماية المعلومات من التسريبات عبر القنوات التقنية في روسيا ، ويراقب فعالية تدابير الحماية المتخذة.

تلعب المؤسسات الحكومية والعامة دورًا مهمًا في نظام أمن المعلومات في البلاد: فهي تمارس السيطرة على وسائل الإعلام الحكومية وغير الحكومية.

في الوقت نفسه ، لا يلبي مستوى أمن المعلومات في روسيا احتياجات المجتمع والدولة بشكل كامل. في ظل ظروف مجتمع المعلومات ، تتفاقم التناقضات بين الحاجة العامة للتوسع وحرية تبادل المعلومات من ناحية ، والحاجة إلى الحفاظ على بعض القيود المنظمة على نشرها.

لا يوجد حاليًا أي دعم مؤسسي لحقوق المواطنين في مجال المعلومات المنصوص عليه في دستور الاتحاد الروسي (في حرمة الحياة الخاصة ، والأسرار الشخصية ، وسرية المراسلات ، وما إلى ذلك). يترك

حماية البيانات الشخصية التي يتم جمعها من قبل السلطات الاتحادية أمر مرغوب فيه.

هناك نقص في الوضوح في تسيير سياسة الدولة في تشكيل فضاء المعلومات في الاتحاد الروسي ، ووسائل الإعلام ، وتبادل المعلومات الدولي ، واندماج روسيا في فضاء المعلومات العالمي.

في رأينا ، يجب أن يهدف تحسين الآلية المؤسسية لأمن المعلومات في الدولة إلى حل المشكلات المهمة التالية.

إن ضعف التوجه العملي للتشريعات الروسية الحديثة في مجال المعلومات يخلق مشاكل ذات طبيعة قانونية ومنهجية. يتم التعبير عن آراء مفادها أن مبدأ أمن المعلومات في الاتحاد الروسي ليس له قيمة مطبقة ، ويحتوي على العديد من عدم الدقة والأخطاء المنهجية. لذا ، فإن أهداف أمن المعلومات في العقيدة هي المصالح ، والشخصية ، والمجتمع ، والدولة - وهي مفاهيم لا يمكن مقارنتها مع بعضها البعض. لفت العديد من العلماء الانتباه إلى عدم جواز قبول حماية المصالح ، وليس الشركات الناقلة لها ، ككائن لأمن المعلومات.

إن استخدام هذه الفئات ، التي يكون محتواها غامضًا ، في وثيقة تشريعية ليس مناسبًا تمامًا. على سبيل المثال ، مواضيع القانون قانونية و فرادى، المنظمات، الأشخاص عديمي الجنسية، السلطات التنفيذية. تشمل فئة "الدولة" أراضي الدولة ، وسكانها (الأمة) ، والسلطة السياسية ، والنظام الدستوري.

يُعترف بمبدأ أمن المعلومات في الاتحاد الروسي كمصادر للتهديدات لأمن المعلومات:

أنشطة الهياكل الأجنبية ؛

تطوير مفاهيم حروب المعلومات من قبل عدد من الدول ؛

رغبة عدد من الدول في الهيمنة ، إلخ.

وفقًا لـ G. Atamanov ، قد يكون المصدر كائنًا أو موضوعًا يشارك فيه عملية المعلوماتأو قادرة على التأثير عليه بطريقة أو بأخرى. على سبيل المثال ، في قانون الولايات المتحدة ، تشمل مصادر التهديدات التي تتعرض لها البنية التحتية للمعلومات ما يلي: قراصنة ضد الولايات المتحدة ؛ الجماعات الإرهابية الدول التي يمكن توجيه عملية مكافحة الإرهاب ضدها ؛

المتسللين ، الفضوليين أو الذين يثبتون أنفسهم.

تقلل أوجه القصور والطبيعة الإطارية للعقيدة من الفعالية وتحد من نطاق تطبيقها ، وتضع الاتجاه الخاطئ لتطوير التشريعات في مجال المعلومات وتشوشها أكثر فأكثر.

لضمان أمن المعلومات بشكل صحيح ، من الضروري إنشاء نظام مناسب للعلاقات القانونية ، والذي بدوره مستحيل دون مراجعة الجهاز الفئوي والأساس العقائدي والمفاهيمي للتشريع في مجال المعلومات.

2. الفجوة بين التشريع والممارسة في مجال المعلومات.

توجد فجوة كبيرة بين التشريعات والممارسات في مجال المعلومات بشكل موضوعي بسبب سرعة وحجم تطوير تقنيات المعلومات والإنترنت ، والتي تولد على الفور تهديدات جديدة. العملية التشريعية ، على العكس من ذلك ، طويلة وشائكة. لذلك ، في الظروف الحديثة ، هناك حاجة إلى آليات لمواءمة تطوير القوانين مع واقع تطور تكنولوجيا المعلومات ومجتمع المعلومات. من المهم ألا يكون التأخير كبيرًا جدًا ، حيث إن ذلك محفوف بانخفاض أو فقدان أمن المعلومات.

من الضروري سد الفجوة بين الممارسة والتشريع في مجال المعلومات لتقليل وتحييد التهديدات لأمن المعلومات الناشئة عن تقدم تطوير تكنولوجيا المعلومات وظهور فراغ في التشريع.

3. عدم وجود مؤسسات فوق وطنية تضمن أمن المعلومات.

من المستحيل مواجهة الجرائم المرتكبة على الإنترنت بقوات دولة واحدة. لن تكون الإجراءات المحظورة المطبقة على المستوى الوطني فعالة ، لأن المخالفين قد يكونون موجودين في الخارج. ولمكافحتها ، من الضروري تضافر الجهود على المستوى الدولي واعتماد قواعد السلوك الدولية في مجال الإنترنت. بذلت محاولات مماثلة. لذلك ، سمحت اتفاقية بودابست لمجلس أوروبا بمحاكمة المخالفين على أراضي دولة أخرى دون تحذير سلطاتها. هذا هو السبب في أن العديد من البلدان وجدت أنه من غير المقبول التصديق على هذه الوثيقة.

قانون نموذجي "حول أساسيات تنظيم الإنترنت" ، تمت الموافقة عليه في الجلسة العامة

اجتماع الجمعية البرلمانية الدولية للدول الأعضاء في رابطة الدول المستقلة ، يحدد الإجراء دعم الدولةوتنظيم الإنترنت ، فضلاً عن قواعد تحديد مكان ووقت ارتكاب إجراءات مهمة من الناحية القانونية على الشبكة. بالإضافة إلى ذلك ، ينظم القانون أنشطة ومسؤوليات مشغلي الخدمات.

من الضروري أيضًا ملاحظة التصديق على الوثيقة التي تسمح بتبادل المعلومات السرية حول أراضي روسيا وبيلاروسيا وكازاخستان. هذا بروتوكول يحدد الإجراء الخاص بتوفير المعلومات التي تحتوي على معلومات سرية للتحقيقات التي تسبق إدخال إجراءات الحماية الخاصة ومكافحة الإغراق والتدابير التعويضية فيما يتعلق بالبلدان الثالثة. هذه اتفاقية مهمة للغاية بين الدول الأعضاء في الاتحاد الجمركي ، والتي تسمح لنا بالتطوير المشترك وبناء تدابير وقائية لمكافحة الإغراق والتعويض. وهكذا ، تم اليوم تنظيم إطار تنظيمي متين ، مما يؤدي إلى إنشاء هيئة جديدة فوق وطنية بشكل أساسي مخولة ليس فقط إجراء التحقيقات ، وجمع الأدلة ، ولكن أيضًا لحمايتها من التسريبات ، وتحديد إجراءات تقديم.

إن تشكيل مؤسسات فوق وطنية في مجال المعلومات سيجعل من الممكن التغلب على قيود التشريع الوطني في مكافحة جرائم المعلومات.

4. قلة مؤسسات الإنترنت الفضائية.

في الوقت الحالي ، يجب أن تظهر مثل هذه المؤسسات الجديدة في القانون الدولي لتنظيم تفاعل الموضوعات في فضاء الإنترنت مثل "الحدود الإلكترونية" و "السيادة الإلكترونية" و "الضرائب الإلكترونية" وغيرها. سيساعد هذا في التغلب على الطبيعة الكامنة للجرائم الإلكترونية ، أي زيادة معدل الكشف عن الجرائم الإلكترونية.

5. تطوير الشراكة بين القطاعين العام والخاص في مجال المعلومات.

معضلة مثيرة للاهتمام تطرح معضلة مثيرة للاهتمام في مواجهة حملة المنظمات الحكومية لنشر تقارير عن صحة أنظمة أمن المعلومات الخاصة بهم. من ناحية أخرى ، تعكس هذه المنشورات جهود الدولة للحفاظ على نظام الأمن السيبراني في الارتفاع المناسب. يبدو أن مثل هذه النتيجة يجب أن تؤدي إلى هيكل تكلفة أكثر كفاءة للأمن السيبراني. ولكن ، من ناحية أخرى ، نشر المعلومات حول أوجه القصور في نظام الأمن السيبراني

مجلة علمية وعملية. ISSN 1995-5731

من المرجح أن يجعل أمن المنظمات الحكومية عرضة لهجمات المتسللين ، مما يستلزم الحاجة إلى المزيد من الموارد لصدها ومنعها.

يعتقد Gordon و Loeb أن التحدي الأكبر في ضمان التعاون وتبادل المعلومات المتعلقة بالأمن بين الوكالات الحكومية والشركات هو مشكلة "الرحلات المجانية" (// tee- ^ em). يبدو أنه نظرًا لأن أمن شبكات الكمبيوتر يعتمد على تصرفات كل مشارك ، فإن هذا التعاون هو أفضل طريقة لزيادة فعالية الأموال التي يتم إنفاقها على ضمان الأمن السيبراني. يمكن أن يوفر التبادل الناجح للمعلومات والخبرات في مجال الأمن السيبراني فرصة لتنسيق مثل هذه الأنشطة على المستويين الوطني والدولي. ولكن في الواقع ، فإن الخوف من فقدان الشركة لميزتها التنافسية من خلال المشاركة في مثل هذا التعاون الشبكي وتقديم معلومات كاملة عن نفسها يؤدي إلى التحيز.

من تقديم معلومات كاملة. لا يمكن تغيير الوضع هنا إلا من خلال تطوير شراكات بين القطاعين العام والخاص على أساس تقديم حوافز اقتصادية كبيرة بما فيه الكفاية.

وبالتالي ، فإن الآلية المؤسسية لضمان أمن المعلومات للدولة تفترض مسبقًا تشكيل إطار تشريعي وهياكل مؤسسية تضمن ذلك. تحسين الآلية المؤسسية وتشكيل بنية جديدة للأمن الاقتصادي في ظل الظروف اقتصاد المعلوماتتم اقتراح نظام من التدابير ، بما في ذلك: التغلب على الطبيعة التصريحية للتشريعات وتقليص الفجوة بين التشريع والممارسة في مجال المعلومات ، وتشكيل تشريعات فوق وطنية في مجال المعلومات ، وإنشاء مؤسسات جديدة تحدد إطار التفاعل و قواعد السلوك في مساحة الإنترنت.

قائمة ببليوغرافية (مراجع)

1. Inshakov O.V.، Lebedeva N.N. الآليات الاقتصادية والمؤسسية: الارتباط والتفاعل في ظروف التحول الاجتماعي والسوقي للاقتصاد الروسي // نشرة سانت بطرسبرغ. حالة فراء الاحذية. سر. 5. 2008. العدد. 4 (رقم 16).

2. Dzliev M.I. ، Romanovich A.L. ، Ursul A.D. المشاكل الأمنية: الجوانب النظرية والمنهجية. م ، 2001.

3. Atamanov GA أمن المعلومات في المجتمع الروسي الحديث (الجانب الاجتماعي والفلسفي): dis. ... كان. فيلوس. علوم. فولجوجراد ، 2006.

4. Kononov AA ، Smolyan GL Information Society: مجتمع يتسم بمخاطر كاملة أم مجتمع مضمون بالأمن؟ // مجتمع المعلومات. 2002. رقم 1.

1. Inshakov O.V.، Lebedeva N.N. (2008) Khozyaystvennyy i المؤسساتي "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. جوس. أون تا. سر. 5. Vyp. 4 (رقم 16).

2. Dzliyev M.I.، Romanovich A.L.، Ursul A.D. (2001) مشكلة bezopasnosti: teoretiko-metodologicheskiye aspekty. م.

3 - أتامانوف ج. (2006) Informatsionnaya bezopasnost "v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt). فولجوجراد.

4. Kononov A.A.، Smolyan G.L. (2002) In-formationnoye obshchestvo: obshchestvo total "nogo riska ili obshchestvo garantirovannoy bezopasnosti؟ // Informat-sionnoye obshchestvo. No. 1.

يجب أن تكون التدابير الوقائية المتخذة متناسبة مع احتمال حدوث هذا النوع من التهديد والأضرار المحتملة التي يمكن أن تحدث إذا تحقق التهديد بالفعل (بما في ذلك تكلفة الحماية منه).

يجب أن يؤخذ في الاعتبار أن العديد من تدابير الحماية تتطلب موارد حوسبة كبيرة إلى حد ما ، والتي بدورها تؤثر بشكل كبير على عملية معالجة المعلومات. لذلك ، فإن النهج الحديث لحل هذه المشكلة هو تطبيق مبادئ الإدارة الظرفية لأمن موارد المعلومات في ACS. جوهر هذا النهج هو أن المستوى المطلوب لأمن المعلومات يتم تحديده وفقًا للحالة التي تحدد العلاقة بين قيمة المعلومات المعالجة والتكاليف (انخفاض في أداء ACS ، والتكاليف الإضافية ذاكرة الوصول العشوائيوغيرها) ، الضرورية لتحقيق هذا المستوى ، والخسائر الإجمالية المحتملة (المادية والمعنوية ، إلخ) من التشويه والاستخدام غير المصرح به للمعلومات.

يتم تحديد الخصائص الضرورية لحماية موارد المعلومات في سياق تخطيط الموقف أثناء الإعداد المباشر للعملية التكنولوجية لمعالجة المعلومات المحمية ، مع مراعاة الوضع الحالي ، وكذلك (بحجم مخفض) أثناء عملية المعالجة . عند اختيار التدابير الوقائية ، يجب على المرء أن يأخذ في الاعتبار ليس فقط التكاليف المباشرة لشراء المعدات والبرامج ، ولكن أيضًا تكاليف إدخال عناصر جديدة وتدريب الموظفين وإعادة تدريبهم. أحد الظروف المهمة هو توافق الأداة الجديدة مع بنية الأجهزة والبرامج الحالية للكائن.

تُظهر الخبرة الأجنبية في مجال حماية الملكية الفكرية والخبرة المحلية في حماية أسرار الدولة أن الحماية الشاملة فقط هي التي يمكن أن تكون فعالة ، وتجمع بين مجالات الحماية مثل القانونية والتنظيمية والهندسية.

التوجيه القانونيينص على تشكيل مجموعة من القوانين التشريعية والوثائق التنظيمية واللوائح والتعليمات والمبادئ التوجيهية ، والتي تعتبر متطلباتها إلزامية في نطاق أنشطتها في نظام أمن المعلومات.

الاتجاه التنظيمي- هذا هو تنظيم أنشطة الإنتاج والعلاقة بين فناني الأداء على أساس تنظيمي بحيث يصبح الإفصاح والتسرب والوصول غير المصرح به إلى المعلومات السرية مستحيلًا أو يعوقه بشكل كبير الإجراءات التنظيمية.

وفقًا للخبراء ، تلعب الإجراءات التنظيمية دورًا مهمًا في إنشاء آلية موثوقة لحماية المعلومات ، نظرًا لأن احتمال الاستخدام غير المصرح به للمعلومات السرية لا يرجع إلى حد كبير إلى الجوانب التقنية ، ولكن إلى الإجراءات الخبيثة والإهمال والإهمال وإهمال المستخدمين أو الأمن شؤون الموظفين.

تشمل الأنشطة التنظيمية:

التدابير المتخذة في تصميم وبناء وتجهيز المباني والمباني المكتبية والصناعية ؛

الأنشطة المنفذة في اختيار الموظفين ؛

تنظيم وصيانة مراقبة وصول موثوقة ، وحماية المباني والأراضي ، والسيطرة على الزوار ؛

تنظيم تخزين واستخدام الوثائق وشركات نقل المعلومات السرية ؛

تنظيم حماية المعلومات ؛

تنظيم تدريب منتظم للموظفين.

أحد المكونات الرئيسية للدعم التنظيمي لأمن المعلومات للشركة هو خدمة أمن المعلومات (ISS - الهيئة الإدارية لنظام أمن المعلومات). تعتمد فعالية تدابير حماية المعلومات إلى حد كبير على الاستعداد المهني لموظفي أمن المعلومات ، وتوافر أدوات إدارة الأمن الحديثة في ترسانتهم. يتم تحديد هيكل التوظيف والعدد والتكوين وفقًا للاحتياجات الحقيقية للشركة ودرجة سرية معلوماتها والحالة الأمنية العامة.

الغرض الرئيسي من عمل محطة الفضاء الدولية ، باستخدام التدابير التنظيمية والبرامج والأجهزة ، هو تجنب أو على الأقل تقليل احتمال انتهاك السياسة الأمنية ، في الحالات القصوى ، لإشعار عواقب الانتهاك وإزالتها في الوقت المناسب.

لضمان التشغيل الناجح لـ NIB ، من الضروري تحديد حقوقه والتزاماته ، بالإضافة إلى قواعد التفاعل مع الإدارات الأخرى بشأن حماية المعلومات في المنشأة. يجب أن يكون رقم الخدمة كافياً لتنفيذ جميع الوظائف الموكلة إليها. من المستحسن ألا يكون لموظفي الخدمة مسؤوليات تتعلق بتشغيل الكائن المحمي. يجب تزويد خدمة أمن المعلومات بجميع الشروط اللازمة لأداء وظائفها.

جوهر التوجيه الهندسي والفنيهي برامج وأجهزة لحماية المعلومات ، والتي تشمل الهندسة الميكانيكية والكهروميكانيكية والإلكترونية والبصرية والليزر وهندسة الراديو والراديو والرادار وغيرها من الأجهزة والأنظمة والهياكل المصممة لضمان أمن المعلومات وحمايتها.

تحت البرمجياتيُفهم أمن المعلومات على أنه المجموع برامج خاصة، وإدراك وظائف حماية المعلومات وطريقة التشغيل.

تؤدي المجموعة المشكلة من الإجراءات القانونية والتنظيمية والهندسية والفنية إلى سياسة أمنية مناسبة.

تحدد السياسة الأمنية مظهر نظام حماية المعلومات في شكل مجموعة من القواعد القانونية والتدابير التنظيمية (القانونية) ومجموعة معقدة من البرامج و الوسائل التقنيةوالحلول الإجرائية التي تهدف إلى مواجهة التهديدات لاستبعاد أو تقليل العواقب المحتملة للتعبير عن تأثيرات المعلومات. بعد اعتماد إصدار أو آخر من سياسة الأمان ، من الضروري تقييم مستوى أمان نظام المعلومات. بطبيعة الحال ، يتم تقييم الأمن على أساس مجموعة من المؤشرات ، أهمها التكلفة والكفاءة والجدوى.

يعد تقييم خيارات بناء نظام أمن المعلومات مهمة صعبة تتطلب استخدام الأساليب الرياضية الحديثة لتقييم الكفاءة متعدد المعلمات. وتشمل هذه: طريقة تحليل التسلسلات الهرمية ، والطرق المتخصصة ، وطريقة الامتيازات المتتالية ، وعدد آخر.

عندما يتم اتخاذ التدابير المقصودة ، من الضروري التحقق من فعاليتها ، أي للتأكد من أن المخاطر المتبقية أصبحت مقبولة. عندها فقط يمكن تحديد تاريخ إعادة التقييم التالية. خلاف ذلك ، سيتعين عليك تحليل الأخطاء التي تم ارتكابها وإعادة تشغيل تحليل الثغرات الأمنية مع مراعاة التغييرات في نظام الأمان.

يتطلب السيناريو المُشكّل المحتمل لأفعال المخالف التحقق من نظام حماية المعلومات. يسمى هذا التحقق "اختبار الاختراق". والغرض من ذلك هو تقديم تأكيدات بأنه لا يوجد طرق بسيطةتجاوز آليات الحماية.

واحد من الطرق الممكنةشهادة أمن النظام - دعوة المتسللين للاختراق دون إشعار مسبق لموظفي الشبكة. لهذا ، يتم تخصيص مجموعة من شخصين أو ثلاثة أشخاص بدرجة عالية تدريب مهني... يتم تزويد المتسللين بنظام آلي مؤمن ، وكانت المجموعة تحاول منذ 1-3 أشهر اكتشاف الثغرات وتطوير أدوات الاختبار بناءً عليها لتجاوز آليات الحماية. يقدم المتسللون المستأجرون تقريرًا سريًا عن نتائج عملهم مع تقييم مستوى توفر المعلومات والتوصيات لتحسين الحماية.

إلى جانب هذه الطريقة ، يتم استخدام أدوات اختبار البرامج.

في هذه المرحلة وضع خطة حمايةوفقًا لسياسة الأمن المختارة ، يتم وضع خطة لتنفيذها. الخطة الأمنية هي وثيقة تفرض نظام أمن المعلومات ، والتي يتم اعتمادها من قبل رئيس المنظمة. لا يرتبط التخطيط فقط بالاستخدام الأفضل لجميع الفرص المتاحة للشركة ، بما في ذلك الموارد المخصصة ، ولكن أيضًا مع منع الإجراءات الخاطئة التي يمكن أن تؤدي إلى انخفاض في فعالية التدابير المتخذة لحماية المعلومات.

يجب أن تتضمن خطة أمن معلومات الموقع ما يلي:

وصف النظام المحمي (الخصائص الرئيسية للكائن المحمي: الغرض من الكائن ، قائمة المهام التي يجب حلها ، التكوين ، الخصائص ووضع الأجهزة والبرامج ، قائمة فئات المعلومات (الحزم ، الملفات ، المجموعات وقواعد البيانات التي تم تضمينها فيها) خاضعة للحماية ، ومتطلبات لضمان الوصول والسرية وسلامة هذه الفئات من المعلومات ، وقائمة المستخدمين وسلطتهم في الوصول إلى موارد النظام ، وما إلى ذلك) ؛

الغرض من حماية النظام وسبل ضمان سلامة النظام الآلي والمعلومات المتداولة فيه.

قائمة التهديدات الأمنية الهامة النظام الآليالتي تتطلب الحماية منها ، والطرق الأكثر احتمالا للتسبب في الضرر ؛

سياسة أمن المعلومات ؛

خطة تخصيص الأموال و رسم بياني وظيفيأنظمة أمن المعلومات في المنشأة ؛

تحديد أدوات أمن المعلومات وتقديرات التكلفة لتنفيذها ؛

جدول التدابير التنظيمية والفنية لحماية المعلومات ، وإجراءات تفعيل وسائل الحماية ؛

القواعد الأساسية التي تحكم أنشطة الموظفين بشأن قضايا ضمان أمن المعلومات للمنشأة (واجبات خاصة للمسؤولين الذين يخدمون النظام الآلي) ؛

إجراءات مراجعة الخطة وتحديث معدات الحماية.

تتم مراجعة خطة الحماية عند تغيير المكونات التالية للكائن:

بنية نظام المعلومات (توصيل الشبكات المحلية الأخرى ، تغيير أو تعديل معدات أو برامج الكمبيوتر المستخدمة) ؛

الموقع الإقليمي لمكونات النظام الآلي.

في إطار خطة الحماية ، من الضروري وجود خطة عمل للأفراد في المواقف الحرجة ، أي خطة توفير عمل مستمر واستعادة المعلومات... أنه يعكس:

الغرض من ضمان استمرارية عملية تشغيل النظام الآلي واستعادة قابليته للتشغيل وسبل تحقيقه ؛

قائمة وتصنيف حالات الأزمات المحتملة ؛

المتطلبات والتدابير والوسائل لضمان التشغيل المستمر واستعادة عملية معالجة المعلومات (إجراء إنشاء وتخزين واستخدام نسخ احتياطية من المعلومات ، والحفاظ على المحفوظات الحالية والطويلة الأجل والطوارئ ؛ تكوين معدات النسخ الاحتياطي وإجراءات استخدامها ، إلخ.)؛

المسؤوليات والإجراءات لمختلف فئات الموظفين في النظام في حالات الأزمات ، في القضاء على عواقبها وتقليل الضرر واستعادة الأداء الطبيعي للنظام.

إذا تبادلت المنظمة المستندات الإلكترونيةمع الشركاء لتنفيذ أوامر فردية ، من الضروري تضمين خطة الحماية اتفاقية بشأن إجراءات تنظيم تبادل المستندات الإلكترونية ، والتي تعكس القضايا التالية:

تحديد مسؤولية الموضوعات المشاركة في عمليات تبادل الوثائق الإلكترونية ؛

تحديد إجراءات إعداد وتسجيل وإرسال واستقبال والتحقق من صحة وسلامة الوثائق الإلكترونية ؛

الإجراء الخاص بإنشاء وإصدار الشهادات وتوزيع المعلومات الأساسية (المفاتيح وكلمات المرور وما إلى ذلك) ؛

إجراءات حل النزاعات في حالة الخلاف.

خطة حماية المعلومات عبارة عن حزمة من المستندات النصية والرسومات ، لذلك ، إلى جانب المكونات المدرجة في هذه الحزمة ، قد تشمل:

اللوائح الخاصة بالأسرار التجارية ، وتحديد قائمة المعلومات التي تشكل سرًا تجاريًا ، وإجراءات تحديدها ، وكذلك واجبات المسؤولين لحماية الأسرار التجارية ؛

اللوائح المتعلقة بحماية المعلومات ، والتي تنظم جميع مجالات النشاط لتنفيذ السياسة الأمنية ، بالإضافة إلى عدد من التعليمات والقواعد والأحكام الإضافية المقابلة لخصائص الكائن المحمي.

تنفيذ الخطة الأمنية (إدارة الأمن)ينطوي على تطوير الوثائق الضرورية ، وإبرام العقود مع الموردين ، وتركيب المعدات وتكوينها ، وما إلى ذلك. بعد تشكيل نظام أمن المعلومات ، يتم حل مشكلة الاستخدام الفعال له ، أي إدارة الأمن.

الإدارة هي عملية تأثير هادف على كائن ، يتم تنفيذه لتنظيم عمله وفقًا لبرنامج معين.

يجب أن تكون إدارة أمن المعلومات:

مقاومة التدخلات النشطة للجاني ؛

مستمر ، مع توفير تأثير مستمر على عملية الحماية ؛

مخفي ، لا يسمح بالكشف عن تنظيم إدارة أمن المعلومات ؛

سريع ، يوفر القدرة على الاستجابة السريعة والملائمة لإجراءات المتسللين وتنفيذ قرارات الإدارة في موعد محدد.

بالإضافة إلى ذلك ، يجب تبرير القرارات المتعلقة بحماية المعلومات من وجهة نظر حساب شامل لشروط إنجاز المهمة ، واستخدام النماذج المختلفة ، ومهام الحساب والمعلومات ، والأنظمة الخبيرة ، والخبرة وأي بيانات أخرى التي تزيد من موثوقية المعلومات الأولية والقرارات المتخذة.

مؤشر فعالية إدارة أمن المعلومات هو دورة إدارة الوقت لنوعية معينة من القرارات. تتضمن دورة التحكم جمع المعلومات اللازمة لتقييم الموقف واتخاذ القرار وتشكيل الأوامر المناسبة وتنفيذها. كمعيار للكفاءة ، يمكن استخدام وقت استجابة نظام حماية المعلومات للانتهاك ، والذي يجب ألا يتجاوز وقت تقادم المعلومات بناءً على قيمته.

كما يظهر من تطوير ACS الحقيقي ، لا توجد أي من الطرق (التدابير والوسائل والتدابير) لضمان أمان المعلومات موثوقة تمامًا ، ويتم تحقيق أقصى تأثير عندما يتم دمجها جميعًا في نظام حماية معلومات متكامل. فقط المزيج الأمثل من التدابير التنظيمية والفنية والبرنامجية ، بالإضافة إلى الاهتمام المستمر والسيطرة على الحفاظ على نظام الحماية في حالة حديثة ، هو الذي يضمن حل مشكلة دائمة بشكل أكثر فعالية.

إن الأسس المنهجية لضمان أمن المعلومات هي توصيات عامة إلى حد ما تستند إلى الخبرة العالمية في إنشاء مثل هذه الأنظمة. تتمثل مهمة كل متخصص في أمن المعلومات في تكييف الأحكام المجردة مع مجال موضوعه المحدد (المنظمة ، البنك) ، والذي سيكون له دائمًا خصائصه وخواصه الدقيقة.

يثبت تحليل التجربة المحلية والأجنبية بشكل مقنع الحاجة إلى إنشاء نظام متكامل لأمن المعلومات للشركة ، يربط بين إجراءات الحماية التشغيلية والتشغيلية والفنية والتنظيمية. علاوة على ذلك ، يجب أن يكون نظام الأمن هو الأمثل من وجهة نظر نسبة التكاليف وقيمة الموارد المحمية. مطلوب مرونة وتكييف النظام مع العوامل البيئية المتغيرة بسرعة والظروف التنظيمية والاجتماعية في المؤسسة. إن تحقيق هذا المستوى من الأمان أمر مستحيل دون تحليل التهديدات الحالية والقنوات المحتملة لتسرب المعلومات ، وكذلك بدون تطوير سياسة أمن المعلومات في المؤسسة. نتيجة لذلك ، يجب إنشاء خطة حماية تنفذ المبادئ المنصوص عليها في السياسة الأمنية.

ولكن هناك صعوبات ومزالق أخرى يجب الانتباه إليها. هذه هي المشاكل التي تم تحديدها في الممارسة العملية وغير قابلة لإضفاء الطابع الرسمي: مشاكل ليست ذات طبيعة تقنية أو تكنولوجية ، يتم حلها بطريقة أو بأخرى ، ولكن مشاكل ذات طبيعة اجتماعية وسياسية.

المشكلة 1.عدم فهم الموظفين والمديرين من الرتب المتوسطة والدنيا للحاجة إلى القيام بعمل لتحسين مستوى أمن المعلومات.

في هذه الدرجة من سلم الإدارة ، كقاعدة عامة ، لا تكون المهام الاستراتيجية التي تواجه المنظمة مرئية. يمكن أن تكون القضايا الأمنية مزعجة - فهي تخلق صعوبات "غير ضرورية".

غالبًا ما يتم الاستشهاد بالحجج التالية ضد القيام بالعمل واتخاذ التدابير لضمان أمن المعلومات:

ظهور قيود إضافية على المستخدمين النهائيين والمتخصصين في الإدارات ، مما يجعل من الصعب عليهم استخدام النظام الآلي للمؤسسة ؛

الحاجة إلى تكاليف مادية إضافية لتنفيذ مثل هذا العمل ولتوسيع طاقم المتخصصين الذين يتعاملون مع مشكلة أمن المعلومات.

هذه المشكلة هي واحدة من المشاكل الرئيسية. جميع الأسئلة الأخرى بطريقة أو بأخرى تعمل كعواقبها. للتغلب عليها ، من المهم حل المهام التالية: أولاً ، تحسين مؤهلات العاملين في مجال أمن المعلومات من خلال عقد اجتماعات وندوات خاصة. ثانياً ، رفع مستوى وعي الأفراد ، على وجه الخصوص ، بالمهام الإستراتيجية التي تواجه المنظمة.

المشكلة 2.المواجهة بين خدمة الأتمتة وخدمة أمن المنظمات.

ترجع هذه المشكلة إلى نوع النشاط ومجال التأثير ، وكذلك مسؤولية هذه الهياكل داخل المؤسسة. يتولى تنفيذ نظام الحماية متخصصون تقنيون ، وتقع مسؤولية أمنه على عاتق جهاز الأمن. يريد محترفو الأمن استخدام جدران الحماية لتقييد حركة المرور بأي ثمن. لكن الأشخاص الذين يعملون في أقسام الأتمتة لا يريدون حل المشكلات الإضافية المرتبطة بصيانة الأدوات الخاصة. هذه الخلافات ليست كذلك أفضل طريقةتؤثر على مستوى أمان المنظمة بأكملها.

يتم حل هذه المشكلة ، مثل معظم المشكلات المماثلة ، من خلال الأساليب الإدارية البحتة. من المهم ، أولاً ، أن يكون لديك آلية لحل مثل هذه النزاعات في الهيكل التنظيمي للشركة. على سبيل المثال ، قد يكون لكل من الخدمتين قيادة موحدة من شأنها معالجة مشاكل تفاعلهما. ثانياً ، يجب أن يقسم التوثيق التكنولوجي والتنظيمي بوضوح وكفاءة مجالات تأثير ومسؤولية الإدارات.

مشكلة 3.الطموحات والعلاقات الشخصية على مستوى المديرين المتوسطين والعليا.

يمكن أن تكون العلاقة بين القادة مختلفة. في بعض الأحيان ، عند القيام بعمل في دراسة أمن المعلومات ، يُظهر مسؤول أو آخر اهتمامًا فائقًا بنتائج هذه الأعمال. في الواقع ، يعد البحث أداة قوية بما يكفي لحل مشاكلهم الخاصة وإرضاء الطموحات. يتم استخدام الاستنتاجات والتوصيات المسجلة في التقرير كخطة لمزيد من الإجراءات لهذا الارتباط أو ذاك. التفسير "الحر" لاستنتاجات التقرير ممكن أيضًا بالاقتران مع المشكلة 5 الموضحة أدناه. يعد هذا الموقف عاملاً غير مرغوب فيه للغاية ، لأنه يشوه معنى العمل ويتطلب تحديدًا وتصفية في الوقت المناسب على مستوى الإدارة العليا للمؤسسة. الخيار الأفضل هو علاقة عمل ، عندما تكون مصالح المنظمة في المقدمة ، وليست شخصية.

المشكلة 4.انخفاض مستوى تنفيذ برنامج الإجراءات المخطط لإنشاء نظام أمن المعلومات.

هذا هو الوضع الشائع إلى حد ما عندما تفقد الأهداف والغايات الاستراتيجية على مستوى التنفيذ. كل شيء يمكن أن يبدأ على أكمل وجه. المدير العام يقرر ضرورة تحسين نظام أمن المعلومات. يتم التعاقد مع شركة استشارية مستقلة لإجراء التدقيق النظام الحاليحماية المعلومات. عند الانتهاء ، يتم إنشاء تقرير يتضمن جميع التوصيات اللازمة لحماية المعلومات ، والانتهاء من سير العمل الحالي في مجال أمن المعلومات ، وإدخال الوسائل التقنية لحماية المعلومات والتدابير التنظيمية ، وزيادة دعم النظام الذي تم إنشاؤه. تتضمن خطة الحماية إجراءات قصيرة وطويلة المدى. علاوة على ذلك ، يتم نقل التوصيات للتنفيذ إلى أحد الأقسام. وهنا من المهم ألا يغرقوا في مستنقع البيروقراطية والطموحات الشخصية وتباطؤ الموظفين وعشرات الأسباب الأخرى. قد يكون المقاول على دراية سيئة ، أو غير مؤهل بما فيه الكفاية ، أو ببساطة غير مهتم بأداء العمل. من المهم أن يشرف المدير العام على تنفيذ الخطة المخططة حتى لا يخسر أولاً الأموال المستثمرة في الأمن في المرحلة الأولية ، وثانياً حتى لا يتكبد خسائر نتيجة عدم وجود ذلك. الأمان.

المشكلة 5.مؤهلات متدنية لمتخصصي أمن المعلومات.

قد لا يعتبر هذا الجانب عقبة خطيرة إذا لم يكن عقبة أمام إنشاء نظام حماية المعلومات. الحقيقة هي أن خطة الحماية ، كقاعدة عامة ، تتضمن حدثًا مثل التدريب المتقدم للمتخصصين في مجال أمن المعلومات في الشركة. للمتخصصين من الخدمات الأخرى ، يمكن عقد ندوات حول أساسيات تنظيم أمن المعلومات. من الضروري إجراء تقييم صحيح للمؤهلات الحقيقية للموظفين المشاركين في تنفيذ خطة الحماية. في كثير من الأحيان ، تؤدي الاستنتاجات غير الصحيحة أو عدم القدرة على تطبيق أساليب الحماية في الممارسة العملية إلى صعوبات في تنفيذ التدابير الموصى بها. مع وجود إشارة إلى مثل هذه الظروف ، فإن أفضل طريقة للخروج هي تحسين مؤهلات متخصصي أمن المعلومات في مراكز التدريب المنشأة خصيصًا.

وبالتالي ، فإن الأنشطة العملية في مجال زيادة الأمن الاقتصادي وأمن المعلومات تُظهر بوضوح أن إنشاء نظام تشغيل حقيقي لحماية المعلومات يعتمد بشكل كبير على حل المشكلات المدرجة في الوقت المناسب. ومع ذلك ، تظهر الخبرة المتراكمة أن جميع المشكلات التي تم النظر فيها قد تم حلها بنجاح بشرط أن يعمل ممثلو العميل والشركة المنفذة معًا بشكل وثيق. الشيء الرئيسي هو إدراك أهمية هذا العمل ، وتحديد التهديدات الحالية في الوقت المناسب وتطبيق التدابير المضادة المناسبة ، والتي ، كقاعدة عامة ، محددة لكل مؤسسة محددة. وجود الرغبة والإمكانيات شرط كاف للعمل المثمر ، والغرض منه خلق نظام متكامل لضمان أمن المنظمة.

سابق

بعد تحليل أمن المعلومات للمؤسسة ، يمكننا أن نستنتج أنه لا يتم إيلاء اهتمام كاف للنقاط التالية في أمن المعلومات:

- النسخ الاحتياطي غير المنتظم لقاعدة بيانات المؤسسة ؛

- لا يتم نسخ البيانات احتياطيًا على أجهزة الكمبيوتر الشخصية للموظفين ؛

- يتم تخزين رسائل البريد الإلكتروني على خوادم الخدمات البريدية على الإنترنت ؛

- بعض الموظفين لديهم مهارات غير كافية في العمل مع الأنظمة الآلية ؛

- يمكن للموظفين الوصول إلى أجهزة الكمبيوتر الشخصية لزملائهم ؛

- غياب برامج مكافحة الفيروساتفي بعض محطات العمل ؛

- ضعف التفريق بين حقوق الوصول إلى موارد الشبكة;

- لا توجد لوائح سلامة.

كل ما سبق هو عيوب مهمة للغاية لضمان أمن المعلومات للمؤسسة.

تحليل المخاطر

يتم تحديد خطر التهديد من خلال المخاطر في حالة تنفيذه بنجاح. الخطر - الضرر المحتمل. يعني تحمل المخاطر أن الضرر في حالة التهديد لا يؤدي إلى عواقب سلبية خطيرة على مالك المعلومات. المنظمة لديها المخاطر التالية:

1. عدم انتظام النسخ الاحتياطي لقاعدة بيانات المؤسسة ؛

العواقب: فقدان البيانات على عمل المؤسسة.

2. لا يتم نسخ البيانات احتياطيًا على أجهزة الكمبيوتر الشخصية للموظفين ؛

النتيجة: في حالة حدوث أعطال في الأجهزة ، قد تُفقد بعض البيانات المهمة.

3. يتم تخزين رسائل البريد الإلكتروني على خوادم البريد على الإنترنت.

4. بعض الموظفين لديهم مهارات غير كافية في العمل مع الأنظمة الآلية.

العواقب: قد يؤدي إلى بيانات غير صحيحة في النظام.

5. للموظفين الوصول إلى أجهزة الكمبيوتر الشخصية لزملائهم.

6. عدم وجود برامج مكافحة الفيروسات في بعض محطات العمل.

العواقب: ظهور برامج فيروسات ضارة في نظام

7. ضعف التمايز بين حقوق الوصول إلى موارد الشبكة ؛

العواقب: يمكن أن يؤدي الإهمال إلى فقدان البيانات.

8. لا توجد لوائح السلامة.

الغرض والأهداف من نظام أمن المعلومات

الغرض الرئيسي من نظام أمن المؤسسة هو منع الضرر الذي يلحق بأنشطتها من خلال سرقة المواد والوسائل التقنية والوثائق ؛ تدمير الممتلكات والأشياء الثمينة ؛ الإفصاح والتسرب والوصول غير المصرح به إلى مصادر المعلومات السرية ؛ خلل في الوسائل التقنية لدعم أنشطة الإنتاج ، بما في ذلك وسائل الإعلام ، وكذلك منع إلحاق الضرر بالعاملين في المؤسسة.

أهداف نظام الأمن هي:

· حماية حقوق المؤسسة وأقسامها الهيكلية والعاملين فيها.

· المحافظة على الموارد المالية والمادية والمعلومات واستخدامها الفعال.

· تحسين صورة الشركة ونمو الأرباح من خلال ضمان جودة الخدمات وسلامة العملاء.

مهام نظام أمن المؤسسة:

· التحديد في الوقت المناسب للتهديدات التي يتعرض لها الأفراد والموارد والقضاء عليها ؛ الأسباب والظروف التي تؤدي إلى إلحاق ضرر مالي ومادي ومعنوي بمصالح المؤسسة وتعطيل سيرها الطبيعي وتطورها ؛

· تخصيص المعلومات لفئة الوصول المحدود والموارد الأخرى - إلى مستويات مختلفة من التعرض (الخطر) والخاضعة للحفظ ؛

· إنشاء آلية وشروط للاستجابة السريعة للتهديدات الأمنية ومظاهر الاتجاهات السلبية في عمل المؤسسة ؛

· القمع الفعال للتعديات على الموارد والتهديدات التي يتعرض لها الأفراد على أساس نهج متكامل للأمن.

يجب أن يستند تنظيم وتشغيل نظام الأمن إلى المبادئ التالية:

تعقيد. إنه ينطوي على ضمان سلامة الموظفين والموارد المادية والمالية ، والمعلومات من جميع التهديدات المحتملة بجميع الوسائل والأساليب القانونية المتاحة ، في جميع أنحاء دورة الحياةوفي جميع أنماط الأداء ، فضلاً عن قدرة النظام على التطور والتحسين في عملية الأداء.

مصداقية. يجب أن تكون المناطق الأمنية المختلفة موثوقة بنفس القدر من حيث احتمال حدوث تهديد.

توقيت. قدرة النظام على أن يكون استباقيًا من خلال تحليل التهديدات الأمنية والتنبؤ بها وتطوير إجراءات مضادة فعالة.

استمرارية. عدم حدوث أي انقطاع في تشغيل أنظمة السلامة بسبب الإصلاح والاستبدال والصيانة وما إلى ذلك.

الشرعية. تطوير أنظمة الأمن على أساس التشريعات القائمة.

كفاية معقولة. إنشاء مستوى أمان مقبول يتم عنده دمج احتمالية ومدى الضرر المحتمل مع الحد الأقصى للتكاليف المسموح بها لتطوير وتشغيل نظام الأمان.

مركزية الإدارة. الأداء المستقل للنظام الأمني وفقًا لمبادئ تنظيمية ووظيفية ومنهجية موحدة.

كفاءة. يجب إنشاء وإدارة النظام الأمني من قبل أشخاص حاصلين على تدريب مهني كافٍ لإجراء تقييم صحيح للوضع واتخاذ القرار المناسب ، بما في ذلك في الظروف شديدة الخطورة.

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

تم النشر على http://www.allbest.ru/

مشروع الدورة

في تخصص "أمن المعلومات"

حول الموضوع

"تحسين نظام أمن المعلومات في

شركة "Oven"

مقدمة

الحديث عن أمن المعلومات ، في الوقت الحاضر يعني ، بالمعنى الدقيق للكلمة ، أمن الكمبيوتر. في الواقع ، تلعب المعلومات الموجودة على الوسائط الإلكترونية دورًا متزايدًا في الحياة مجتمع حديث... ترجع ضعف هذه المعلومات إلى عدد من العوامل: الأحجام الضخمة ، وتعدد النقاط وإمكانية الوصول إلى مجهول ، وإمكانية "تخريب المعلومات" ... كل هذا يجعل مهمة ضمان أمن المعلومات الموضوعة في بيئة الكمبيوتر مشكلة أكثر صعوبة من الحفاظ على سرية المراسلات البريدية التقليدية ، على سبيل المثال.

إذا تحدثنا عن سلامة المعلومات المخزنة على الوسائط التقليدية (الورق ، والمطبوعات الفوتوغرافية ، وما إلى ذلك) ، فإن سلامتها تتحقق من خلال مراقبة تدابير الحماية المادية (أي الحماية من الدخول غير المصرح به إلى منطقة تخزين الوسائط). تتعلق الجوانب الأخرى لحماية مثل هذه المعلومات بالكوارث الطبيعية والكوارث التي من صنع الإنسان. وبالتالي ، فإن مفهوم أمن المعلومات "الحاسوبية" ككل أوسع مقارنة بأمن المعلومات فيما يتعلق بالوسائط "التقليدية".

إذا تحدثنا عن الاختلافات في مناهج حل مشكلة أمن المعلومات في مراحل مختلفة(الدولة ، المنطقة ، مستوى منظمة واحدة) ، إذن هذه الاختلافات ببساطة غير موجودة. نهج ضمان أمن النظام الآلي للدولة "Vybory" لا يختلف عن نهج ضمان الأمن شبكه محليهفي شركة صغيرة. لذلك ، يتم النظر في مبادئ ضمان أمن المعلومات في هذا العمل على أمثلة أنشطة منظمة منفصلة.

الهدف من مشروع الدورة هو تحسين نظام أمن المعلومات لشركة Oven LLC. مهام ورقة مصطلحسيكون - تحليل شركة Oven LLC ومواردها وهيكلها ونظام أمن المعلومات الحالي في المؤسسة والبحث عن طرق لتحسينها.

في المرحلة الأولى ، سيتم إجراء تحليل لنظام أمن المعلومات. من النتائج التي تم الحصول عليها ، في المرحلة الثانية ، سيتم إجراء بحث عن طرق تحسين حماية المعلومات ، إذا كانت هناك نقاط ضعف في هذا النظام.

1. تحليل نظام أمن المعلومات في Oven LLC

1.1 خصائص المؤسسة. الهيكل التنظيمي والموظفين للمؤسسة. خدمة التعامل مع مصادر المعلومات وحمايتها

الاسم الكامل للشركة هو شركة Oven Limited Liability Company. الاسم المختصر للشركة هو Oven LLC. يشار إليها فيما يلي باسم الجمعية. الجمعية ليس لديها فروع ومكاتب تمثيلية ؛ يقع مركزها الوحيد في إقليم بيرم ، مقاطعة سوكسونسكي ، قرية مارتيانوفو.

تأسست الجمعية عام 1990 كمزرعة صغيرة ولديها ثلاثة مؤسسين. بعد إعادة تنظيم المزرعة وتحويلها إلى مزرعة فلاحية في عام 1998 ، بقي المؤسس الوحيد. آخر مرةتمت إعادة التنظيم في أبريل 2004. من 1 أبريل ، أصبحت الشركة معروفة باسم شركة "Oven" ذات المسؤولية المحدودة.

النشاط الرئيسي للشركة هو زراعة المنتجات الزراعية ومواد البذور وبيع المنتجات الزراعية. اليوم في روسيا يحتل المجتمع المرتبة الثالثة عشرة بين مزارع البطاطا والأولى في إقليم بيرم.

العنوان القانوني: روسيا ، 617553 ، إقليم بيرم ، سوكسونسكي ، قرية مارتيانوفو.

أهداف المؤسسة ككل:

· الربح من الأعمال الأساسية.

· زيادة القدرة التنافسية للمنتجات وتوسيع أسواق البيع.

· تركيز رأس المال وزيادة الموارد الاستثمارية لتنفيذ المشاريع الاستثمارية وغيرها.

مهمة الشركة:

1. الاستمرار في احتلال مكانة رائدة في السوق.

2. إنشاء مزرعة بذور.

الهيكل التنظيمي للمؤسسة.

تستخدم المؤسسة هياكل وظيفية خطية. في الهيكل الوظيفي الخطي ، يتم تشكيل التسلسل الهرمي للخدمات. في هذا الهيكل ، يحق لرؤساء الوحدات الوظيفية إصدار أوامر للمستوى التالي من الإدارة بشأن القضايا الوظيفية.

يظهر هيكل المؤسسة في الشكل 1.

تم النشر على http://www.allbest.ru/

الشكل 1 - الهيكل التنظيمي لشركة Oven LLC

1.2 تحليل وخصائص موارد معلومات المؤسسة

الجميع قلقون بشأن السلامة اليوم معلومات الشركات... تكتسب المزيد والمزيد من الشعبية برامج فرديةومجمعات كاملة مصممة لحماية البيانات. ومع ذلك ، لا أحد يفكر في حقيقة أنه يمكنك الحصول على قدر كبير من الحماية الموثوقة كما تريد ، ولكنك لا تزال تخسر معلومات مهمة... لأن بعض موظفيك سيعتبرون ذلك غير مهم ويعرضونه على الملأ. وإذا كنت متأكدًا من أنك محمي من هذا ، فأنت مخطئ جدًا. للوهلة الأولى ، يبدو هذا الموقف وكأنه شيء غير واقعي ، مثل الحكاية. ومع ذلك ، هذا يحدث ، ويحدث في كثير من الأحيان. في الواقع ، لا يفهم الموظفون الفنيون ، الذين يتعاملون في الغالبية العظمى من الحالات مع مشاكل أمن المعلومات ، دائمًا البيانات التي يجب إخفاؤها وأيها لا يجب إخفاؤه. لكي تفهم ، تحتاج إلى تقسيم جميع المعلومات إلى أنواع مختلفة، والتي تسمى عادةً أنواعًا ، وتحدد بوضوح الحدود بينها.

في الواقع ، جميع الشركات المتخصصة في توريد أنظمة الأمان المعقدة معلومات الكمبيوتر، مع مراعاة تقسيم البيانات حسب أنواع مختلفة... هنا فقط عليك أن تكون حذرا. الحقيقة هي أن المنتجات الغربية تتبع المعايير الدولية (على وجه الخصوص ، ISO 17799 وبعضها الآخر). وفقًا لهم ، يتم تقسيم جميع البيانات إلى ثلاثة أنواع: مفتوحة وسرية وسرية للغاية. وفي الوقت نفسه ، في بلدنا ، وفقًا للتشريعات الحالية ، يتم استخدام تمييز مختلف قليلاً: المعلومات المفتوحة ، للاستخدام الداخلي ، والسرية.

مفتوحة تعني أي معلومات يمكن نقلها بحرية إلى أشخاص آخرين ، وكذلك وضعها في وسائل الإعلام. في أغلب الأحيان ، يتم تقديمها في شكل بيانات صحفية وخطب في المؤتمرات والعروض التقديمية والمعارض ، وهي عناصر إحصائية منفصلة (بشكل طبيعي وإيجابي). بالإضافة إلى ذلك ، يشمل هذا الختم جميع البيانات التي تم الحصول عليها من مصادر خارجية مفتوحة. وبالطبع ، فإن المعلومات المخصصة لموقع الويب الخاص بالشركات تعتبر أيضًا عامة.

للوهلة الأولى ، يبدو أن المعلومات المفتوحة لا تحتاج إلى الحماية. ومع ذلك ، ينسى الناس أنه لا يمكن سرقة البيانات فحسب ، بل يمكن تغييرها أيضًا. لذلك ، يعد الحفاظ على سلامة المعلومات المفتوحة مهمة مهمة للغاية. خلاف ذلك ، بدلاً من بيان صحفي مُعد مسبقًا ، قد ينتهي بك الأمر بشيء غير مفهوم. أو الصفحة الرئيسيةسيتم استبدال موقع الشركة الإلكتروني بنقوش مسيئة. لذلك تحتاج المعلومات المفتوحة أيضًا إلى الحماية.

مثل أي مؤسسة أخرى ، تمتلك الشركة معلومات مفتوحة ، والتي ترد بشكل أساسي في العروض التقديمية المعروضة على المستثمرين المحتملين.

تتضمن معلومات الاستخدام الداخلي أي بيانات يستخدمها الموظفون لأداء واجباتهم المهنية. ولكن هذا ليس كل شيء. تشمل هذه الفئة جميع المعلومات التي يتم تبادلها بين مختلف الإدارات أو الفروع لضمان أدائها. وأخيرًا ، فإن النوع الأخير من البيانات التي تندرج تحت هذه الفئة من البيانات هو المعلومات التي تم الحصول عليها من المصادر المفتوحة والتي تخضع للمعالجة (هيكلة ، تحرير ، توضيح).

في الواقع ، كل هذه المعلومات ، حتى لو وقعت في أيدي المنافسين أو المهاجمين ، لا يمكن أن تضر الشركة بشكل خطير. ومع ذلك ، قد لا يزال هناك بعض الضرر من اختطافها. لنفترض أن الموظفين قد جمعوا أخبارًا لرئيسهم حول موضوع يثير اهتمامه ، ومن بينهم اختاروا أهم الرسائل ووضعوا علامة عليها. من الواضح أن هذا الملخص هو معلومات للاستخدام الداخلي (المعلومات التي تم الحصول عليها من المصادر المفتوحة ومعالجتها). للوهلة الأولى ، يبدو أن المنافسين ، بعد أن حصلوا عليها ، لن يتمكنوا من الاستفادة منها. لكن في الواقع ، يمكنهم تخمين اتجاه النشاط الذي تهتم به إدارة شركتك ، ومن يدري ، ربما ينجحون في التقدم إليك. لذلك ، يجب حماية المعلومات للاستخدام الداخلي ليس فقط من الاستبدال ، ولكن أيضًا من الوصول غير المصرح به. صحيح ، في الغالبية العظمى من الحالات ، يمكنك تقييد نفسك بأمان الشبكة المحلية ، لأنه من غير المربح اقتصاديًا إنفاق مبالغ كبيرة عليها.

تقدم المؤسسة أيضًا هذا النوع من المعلومات ، الموجود في أنواع مختلفة من التقارير والقوائم والمقتطفات ، إلخ.

المعلومات السرية هي معلومات موثقة ، يكون الوصول إليها مقيدًا وفقًا لتشريعات الاتحاد الروسي ، وهي غير متاحة للجمهور ، وفي حالة الكشف عنها ، يمكن أن تلحق الضرر بالحقوق والمصالح المحمية قانونًا للشخص الذي قدمها. يتم إنشاء قائمة البيانات المتعلقة بهذا الطابع من قبل الدولة. في الوقت الحالي هي كما يلي: معلومات شخصية، المعلومات التي تشكل سرًا تجاريًا أو رسميًا أو مهنيًا ، معلومات هي سر من أسرار التحقيق والعمل المكتبي. الى جانب ذلك ، في في الآونة الأخيرةالبيانات المتعلقة بجوهر الاختراع أو الاكتشاف العلمي قبل أن يبدأ نشرها الرسمي في التصنيف على أنها سرية.

تتضمن المعلومات السرية في المؤسسة بيانات مثل: خطة التطوير ، وأعمال البحث ، والوثائق الفنية ، والرسومات ، وتوزيع الأرباح ، والعقود ، والتقارير ، والموارد ، والشركاء ، والمفاوضات ، والعقود ، فضلاً عن المعلومات ذات الطبيعة الإدارية والتخطيطية.

تمتلك المؤسسة حوالي عشرين جهاز كمبيوتر شخصي. بالنسبة لوجود شبكة محلية في المؤسسة ، فإن أجهزة الكمبيوتر في المجتمع ليست موحدة في شبكة واحدة. بالإضافة إلى ذلك ، تم تجهيز جميع أجهزة الكمبيوتر بمجموعة قياسية برامج المكتبوبرامج المحاسبة. ثلاثة أجهزة كمبيوتر لديها الوصول إلى الإنترنت عبر WAN Miniport. في الوقت نفسه ، لا يوجد جهاز كمبيوتر واحد في المؤسسة مزود ببرنامج لمكافحة الفيروسات. يتم تبادل المعلومات عن طريق الوسائط: محركات الأقراص المحمولة والأقراص المرنة. توجد جميع المعلومات حول الوسائط "التقليدية" في خزانات غير مقفلة. يتم الاحتفاظ بأهم الوثائق في خزانة ، حيث يحتفظ السكرتير بمفاتيحها.

أمن حماية المعلومات

1.3 التهديدات ووسائل حماية المعلومات في المؤسسة

تهديد أمن المعلومات - مجموعة من الشروط والعوامل التي تخلق خطرًا محتملاً أو حقيقيًا مرتبطًا بتسريب المعلومات و / أو التأثيرات غير المصرح بها و / أو غير المقصودة عليها

وفقًا لأساليب التأثير على كائنات أمن المعلومات ، تخضع التهديدات ذات الصلة بالمجتمع للتصنيف التالي: المعلومات ، والبرمجيات ، والمادية ، والتنظيمية ، والقانونية.

تشمل تهديدات المعلومات ما يلي:

· الوصول غير المصرح به إلى موارد المعلومات.

· سرقة المعلومات من المحفوظات وقواعد البيانات.

· انتهاك تكنولوجيا معالجة المعلومات.

· الجمع والاستخدام غير القانونيين للمعلومات.

تتضمن تهديدات البرامج ما يلي:

· فيروسات الكمبيوتروالبرمجيات الخبيثة.

تشمل التهديدات الجسدية:

· تدمير أو تدمير مرافق معالجة المعلومات والاتصالات.

· سرقة شركات المعلومات.

· التأثير على الأفراد.

تشمل التهديدات التنظيمية والقانونية ما يلي:

· شراء تقنيات المعلومات ووسائل الإعلام الناقصة أو القديمة.

وسائل أمن المعلومات هي مزيج من الأجهزة والأجهزة الهندسية والكهربائية والإلكترونية والبصرية وغيرها من الأجهزة والأجهزة و الأنظمة التقنية، بالإضافة إلى عناصر الملكية الأخرى المستخدمة في حل المشكلات المختلفة لحماية المعلومات ، بما في ذلك منع التسرب وضمان أمن المعلومات المحمية.

ضع في اعتبارك أدوات أمن المعلومات المستخدمة في المؤسسة. هناك أربعة منهم (أجهزة ، برامج ، مختلطة ، تنظيمية).

حماية الأجهزة- أقفال ، قضبان على النوافذ ، أجهزة إنذار أمنية ، واقيات زيادة التيار ، وكاميرات المراقبة بالفيديو.

حماية البرمجيات: يستخدمها نظام التشغيل مثل الحماية وكلمة المرور والحسابات.

الدفاعات التنظيمية: تجهيز الغرف بأجهزة الكمبيوتر.

2 تحسين نظام أمن المعلومات

2.1 تحديد أوجه القصور في نظام أمن المعلومات

أضعف مكان في حماية المعلومات في المجتمع هو الحماية حماية الحاسوب... في سياق التحليل السطحي في المؤسسة ، يمكن تمييز العيوب التالية:

§ نادراً ما يتم نسخ المعلومات احتياطياً ؛

§ عدم كفاية مستوى برمجيات أمن المعلومات ؛

§ بعض الموظفين لديهم مهارات غير كافية في مجال الكمبيوتر ؛

§ لا توجد سيطرة على الموظفين. في كثير من الأحيان ، يمكن للموظفين ترك وظائفهم دون إيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم والحصول على محرك أقراص محمول بمعلومات الخدمة.

§ عدم وجود وثائق تنظيمية بشأن أمن المعلومات.

§ لا تستخدم جميع أجهزة الكمبيوتر أدوات نظام التشغيل مثل كلمات المرور والحسابات.

2.2 أهداف وغايات تشكيل نظام أمن المعلومات في المؤسسة

الهدف الرئيسي من نظام أمن المعلومات هو ضمان التشغيل المستقر للمنشأة ، ومنع التهديدات لأمنها ، وحماية المصالح المشروعة للمؤسسة من التعديات غير القانونية ، ومنع سرقة الأموال ، والإفصاح ، والضياع ، والتسرب ، والتشويه ، والتدمير. المعلومات الرسمية ، وضمان أنشطة الإنتاج العادية لجميع أقسام المنشأة. الهدف الآخر لنظام أمن المعلومات هو تحسين جودة الخدمات المقدمة وضمان أمن حقوق الملكية والمصالح.

يعتمد إنشاء أنظمة أمن المعلومات (ISS) في نظم المعلومات وتكنولوجيا المعلومات على المبادئ التالية:

فصل وتقليل صلاحيات الوصول إلى المعلومات المعالجة وإجراءات المعالجة ، أي تزويد كل من المستخدمين والعاملين في مجال الملكية الفكرية أنفسهم بحد أدنى من الصلاحيات المحددة بدقة كافية لأداء واجباتهم الرسمية.

اكتمال التحكم وتسجيل محاولات الوصول غير المصرح بها ، أي الحاجة إلى تحديد هوية كل مستخدم بدقة وتسجيل أفعاله من أجل تحقيق محتمل ، فضلاً عن استحالة إجراء أي عملية معالجة معلومات في تكنولوجيا المعلومات دون تسجيلها الأولي.

ضمان السيطرة على عمل نظام الحماية ، أي إنشاء أدوات وطرق لمراقبة أداء آليات الحماية.

توفير كافة أنواع أدوات مكافحة البرامج الضارة.

2.3 الإجراءات المقترحة لتحسين نظام أمن المعلومات بالمنظمة

تتطلب أوجه القصور المحددة في المؤسسة إزالتها ، وبالتالي ، يتم اقتراح التدابير التالية.

§ نسخ احتياطي منتظم لقاعدة البيانات بالبيانات الشخصية لموظفي الشركة والبيانات المحاسبية وقواعد البيانات الأخرى المتوفرة في المنشأة. سيؤدي ذلك إلى منع فقدان البيانات بسبب أعطال القرص وانقطاع التيار الكهربائي والفيروسات والحوادث الأخرى. يسمح لك التخطيط الدقيق وإجراءات النسخ الاحتياطي المنتظمة باستعادة البيانات بسرعة في حالة فقد البيانات.

§ استخدام أدوات نظام التشغيل على كل جهاز كمبيوتر. إنشاء حسابات للمحترفين وتغيير كلمة المرور بشكل منتظم لهذه الحسابات.

§ تدريب العاملين بالمنشأة على العمل مع الحاسبات. شرط ضروري ل العمل الصحيحفي محطات العمل ومنع ضياع المعلومات وتلفها. يعتمد عمل المؤسسة بأكملها على مهارات امتلاك جهاز كمبيوتر من قبل الأفراد ، من حيث التنفيذ الصحيح.

§ تثبيت برامج مكافحة الفيروسات على أجهزة الكمبيوتر مثل: Avast و NOD و Doctor Web وما إلى ذلك. سيمنع هذا أجهزة الكمبيوتر من إصابة أجهزة الكمبيوتر ببرامج ضارة مختلفة تسمى الفيروسات. هذا مهم جدًا لهذه المؤسسة ، نظرًا لأن العديد من أجهزة الكمبيوتر لديها إمكانية الوصول إلى الإنترنت ويستخدم الموظفون وسائط الفلاش لتبادل المعلومات.

§ مراقبة الموظفين باستخدام كاميرات الفيديو. سيقلل هذا من حدوث إهمال في التعامل مع المعدات ، وخطر سرقة المعدات وتلفها ، كما سيسمح لك بالتحكم في "إزالة" المعلومات الرسمية من أراضي المجتمع.

§ تطوير وثيقة معيارية "تدابير حماية المعلومات في Oven LLC والمسؤولية عن انتهاكاتها" ، والتي من شأنها الامتثال للتشريعات الحالية للاتحاد الروسي وتحديد المخاطر والانتهاكات والمسؤولية عن هذه الانتهاكات (الغرامات والعقوبات). وايضا ادخال العمود المناسب في عقد العمل بالشركة الذي يكون على دراية به ويتعهد بالالتزام بأحكام هذه الوثيقة.

2.4 فعالية الإجراءات المقترحة

التدابير المقترحة لا تحمل فقط الجوانب الإيجابية ، مثل القضاء على المشاكل الرئيسية في المؤسسة المتعلقة بأمن المعلومات. لكن في الوقت نفسه ، سوف يتطلبون استثمارات إضافية في تدريب الموظفين ، وتطوير الوثائق التنظيمية المتعلقة بالسياسة الأمنية. سيتطلب تكاليف عمالة إضافية ولن يستبعد المخاطر تمامًا. سيكون هناك دائما عامل بشري ، قوة قاهرة. ولكن إذا لم يتم اتخاذ مثل هذه الإجراءات كتكلفة لاستعادة المعلومات ، فإن الفرص الضائعة ستكلف أكثر من التكاليف المطلوبة لتطوير نظام أمني.

انظر في نتائج الإجراءات المقترحة:

1. تحسين موثوقية نظام معلومات المنظمة في المنظمة.

2. رفع مستوى إتقان العاملين في مجال الكمبيوتر.

3. تقليل مخاطر فقدان المعلومات.

4. توفر وثيقة تنظيمية تحدد سياسة الأمن.

5. تقليل مخاطر إدخال / ترك المعلومات من المؤسسة.

3 نموذج أمن المعلومات

النموذج المقدم لأمن المعلومات (الشكل 2) هو مزيج من العوامل الخارجية والداخلية الموضوعية وتأثيرها على حالة أمن المعلومات في المنشأة وعلى سلامة المواد أو مصادر المعلومات.

الشكل 2 - نموذج لنظام أمن المعلومات

يتوافق هذا النموذج مع الوثائق التنظيمية الخاصة بأمن المعلومات المعتمدة في الاتحاد الروسي ، والمعيار الدولي ISO / IEC 15408 "تكنولوجيا المعلومات - طرق الأمن - معايير تقييم أمن المعلومات" ، ومعيار ISO / IEC 17799 "إدارة أمن المعلومات" ، ويأخذ في الاعتبار اتجاهات التنمية الإطار التنظيمي المحلي (على وجه الخصوص ، اللجنة الفنية الحكومية للاتحاد الروسي) بشأن أمن المعلومات.

الاستنتاجات والعروض

أحدث عصر المعلومات تغييراً جذرياً في الطريقة التي نؤدي بها مسؤولياتنا عدد كبيرالمهن. الآن ، يمكن للمتخصص غير التقني من المستوى المتوسط القيام بالعمل الذي اعتاد المبرمج الماهر للغاية القيام به. يمتلك الموظف تحت تصرفه قدرًا كبيرًا من المعلومات الدقيقة وفي الوقت المناسب كما لم يكن لديه من قبل.

لكن استخدام أجهزة الكمبيوتر والتكنولوجيا المؤتمتة يطرح عددًا من التحديات لإدارة أي مؤسسة. يمكن لأجهزة الكمبيوتر ، التي غالبًا ما تكون متصلة بشبكات ، أن توفر الوصول إلى كمية هائلة من مجموعة متنوعة من البيانات. لذلك ، يشعر الناس بالقلق بشأن أمن المعلومات والمخاطر المرتبطة بالأتمتة وتوفير المزيد من الوصول إلى البيانات السرية أو الشخصية أو غيرها من البيانات الهامة. يتزايد عدد جرائم الكمبيوتر ، مما قد يؤدي في النهاية إلى تقويض الاقتصاد. ولذا يجب أن يكون واضحًا أن المعلومات مورد يحتاج إلى الحماية.

ونظرًا لأن الأتمتة أدت إلى حقيقة أن العمليات باستخدام المعدات الحاسوبية يتم إجراؤها الآن من قبل موظفين عاديين في المنظمة ، وليس موظفين تقنيين مدربين تدريبًا خاصًا ، فمن الضروري أن يكون المستخدمون النهائيون على دراية بمسؤوليتهم عن حماية المعلومات.

لا توجد وصفة واحدة توفر ضمانًا بنسبة 100٪ لسلامة البيانات وتشغيل موثوق للشبكة. ومع ذلك ، فإن إنشاء مفهوم أمان شامل ومدروس جيدًا يأخذ في الاعتبار تفاصيل مهام مؤسسة معينة سيساعد في تقليل مخاطر فقدان المعلومات القيمة إلى الحد الأدنى. حماية الكمبيوتر هي صراع دائم ضد غباء المستخدمين وذكاء المتسللين.

في الختام ، أود أن أقول إن حماية المعلومات لا تقتصر على الأساليب التقنية. المشكلة أوسع بكثير. العيب الرئيسي للحماية هو الأشخاص ، وبالتالي فإن موثوقية نظام الأمان تعتمد بشكل أساسي على موقف موظفي الشركة تجاهه. بالإضافة إلى ذلك ، يجب تحسين الحماية باستمرار مع تطوير شبكة الكمبيوتر. لا تنس أنه ليس نظام الأمان هو الذي يتدخل في العمل ، ولكن غيابه.

أود أيضًا ، تلخيصًا لنتائج مشروع الدورة التدريبية هذا ، أن أشير إلى أنه بعد تحليل نظام أمن المعلومات الخاص بشركة Oven ، تم تحديد خمسة أوجه قصور. بعد البحث ، تم العثور على حلول للقضاء عليها ، ويمكن تصحيح أوجه القصور هذه ، مما يؤدي إلى تحسين IS للمؤسسة ككل.

في سياق الإجراءات المذكورة أعلاه ، تم تحديد المهارات العملية والنظرية لدراسة نظام أمن المعلومات ، وبالتالي ، تم تحقيق الهدف من مشروع الدورة. بفضل الحلول التي تم العثور عليها ، يمكننا القول أن جميع مهام المشروع قد اكتملت.

فهرس

1.GOST 7.1-2003. السجل الببليوغرافي. الوصف الببليوغرافي. الاشتراطات والقواعد العامة لوضع المواصفات (م: دار نشر المواصفات ، 2004).

2. Galatenko، V.A. "أساسيات أمن المعلومات". - م: "إينتويت" ، 2003.

3. Zavgorodniy ، V. I. "حماية المعلومات الشاملة في أنظمة الكمبيوتر". - م: شعارات 2001.

4. Zegzhda، D.P.، Ivashko، A.M. "أساسيات أمن نظم المعلومات".

5. Nosov، V.A. دورة تمهيدية في تخصص "أمن المعلومات".

6 - القانون الاتحادي للاتحاد الروسي المؤرخ 27 تموز / يوليه 2006 N 149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات"

تم النشر في Allbest.ru

وثائق مماثلة

خصائص مصادر المعلومات في حيازة الأشاتلي الزراعية. تهديدات أمن المعلومات الخاصة بالمؤسسات. تدابير وطرق ووسائل حماية المعلومات. تحليل أوجه القصور في النظام الأمني المحدث وفوائده.

ورقة مصطلح ، تمت الإضافة في 02/03/2011

معلومات عامةحول أنشطة المؤسسة. كائنات أمن المعلومات في المؤسسة. تدابير ووسائل حماية المعلومات. نسخ البيانات إلى وسائط قابلة للإزالة. تركيب خادم نسخ احتياطي داخلي. فعالية تحسين نظام أمن المعلومات.

الاختبار ، تمت إضافة 08/29/2013

مفهوم ومعنى واتجاهات أمن المعلومات. نهج منظم لتنظيم أمن المعلومات ، وحماية المعلومات من الوصول غير المصرح به. أدوات أمن المعلومات. أساليب وأنظمة أمن المعلومات.

الملخص ، تمت الإضافة في 11/15/2011

نظام تشكيل نظام أمن المعلومات. مهام أمن المعلومات للمجتمع. يعني أمن المعلومات: الأساليب والأنظمة الأساسية. حماية المعلومات في شبكات الحاسب... أحكام من أهم القوانين التشريعية لروسيا.

الملخص ، تمت إضافة 01/20/2014

تحليل مخاطر أمن المعلومات. تقييم العلاجات الحالية والمخطط لها. مجموعة من الإجراءات التنظيمية لضمان أمن المعلومات وحماية معلومات المؤسسة. حالة اختبار تنفيذ المشروع ووصفها.

أطروحة ، تمت إضافة 12/19/2012

استراتيجية أمن معلومات المؤسسة في شكل نظام للسياسات الفعالة التي من شأنها أن تحدد مجموعة فعالة وكافية من متطلبات الأمن. تحديد التهديدات لأمن المعلومات. الرقابة الداخلية وإدارة المخاطر.

ورقة المصطلح ، تمت إضافتها في 06/14/2015

وصف مجمع المهام وتبرير الحاجة إلى تحسين النظام لضمان أمن المعلومات وحماية المعلومات في المؤسسة. تطوير مشروع لاستخدام نظم إدارة قواعد البيانات وأمن المعلومات وحماية البيانات الشخصية.

أطروحة ، تمت إضافة 11/17/2012

الوثائق التنظيمية في مجال أمن المعلومات في روسيا. تحليل التهديدات لنظم المعلومات. خصائص تنظيم نظام حماية البيانات الشخصية للعيادة. تنفيذ نظام التوثيق باستخدام المفاتيح الإلكترونية.

تمت إضافة الرسالة بتاريخ 31/10/2016

المتطلبات الأساسية لإنشاء نظام أمان البيانات الشخصية. تهديدات أمن المعلومات. مصادر الوصول غير المصرح به إلى ISPD. جهاز نظم معلومات البيانات الشخصية. أدوات أمن المعلومات. سياسة الأمن.

تمت إضافة ورقة مصطلح بتاريخ 10/07/2016

إجراءات المهام والهيكل والمادية والبرمجيات والأجهزة لحماية نظام المعلومات. أنواع وأسباب جرائم الكمبيوتر وطرق تحسين السياسة الأمنية للمنظمة. الغرض والوظائف الرئيسية لمجلد "Diary" في MS Outlook 97.