UDC 004.056

UNİVERSİTETİN KORPORATİV ŞƏBƏKƏSİNİN İNFORMASİYA TƏHLÜKƏSİZLİĞİ

O. M. Protalinski, İ. M. Ajmuxamedov

Universitetdə informasiya təhlükəsizliyinin təmin edilməsinin xüsusiyyətləri açıqlanır. Təhdidlərin, onların mənbələrinin və risklərinin təhlili aparılıb. İnformasiyanın mühafizəsinin sərhədləri və hərtərəfli informasiya təhlükəsizliyi sisteminin strukturu nəzərdən keçirilir.

Açar sözlər: informasiya təhlükəsizliyi, universitet, təhlükəsizlik təhdidləri, informasiyanın mühafizəsi.

Müasir ümumi informasiyalaşdırma və informasiya texnologiyalarının inkişafı şəraitində Rusiya Federasiyasının informasiya sahəsində milli təhlükəsizliyinə təhdidlər artır.

İnformasiya sahəsinə münasibətdə Rusiya Federasiyasının milli təhlükəsizliyi konsepsiyası Rusiya Federasiyasının İnformasiya Təhlükəsizliyi Doktrinası (İS) tərəfindən hazırlanmışdır.

Doktrinada deyilir ki, Rusiya Federasiyasının informasiya təhlükəsizliyinin təmin edilməsi Rusiya Federasiyasının milli təhlükəsizliyinin təmin edilməsində əsas rol oynayır. Eyni zamanda, Rusiya Federasiyasında informasiya təhlükəsizliyi sahəsində dövlət siyasətinin prioritet istiqamətlərindən biri kadr hazırlığının təkmilləşdirilməsi və informasiya təhlükəsizliyi sahəsində təhsilin inkişafıdır. Bu problemlərin həllində universitetlərin xüsusi rolu var.

Rusiya ali təhsili təkcə informasiya cəmiyyətinin obyektiv proseslərinə deyil, həm də rəqabətin müxtəlif təzahürləri olan yeni ictimai-siyasi şəraitə uyğunlaşma dövrünü yaşayır.

Müasir şəraitdə ali təhsil sisteminin informasiya resurslarının idarə edilməsinin səmərəli mexanizmlərinin yaradılması elmi əsaslandırmadan və aşağıdakı vəzifələrin həlli əsasında formalaşa bilən universitetin tarazlaşdırılmış informasiya təhlükəsizliyi siyasətinin praktiki həyata keçirilməsi olmadan mümkün deyil:

Rusiya texniki universitetinin əsas fəaliyyətinin bütün sahələrində informasiya qarşılıqlı (II) proseslərinin təhlili: məlumat axınları, onların miqyası və keyfiyyəti, ziddiyyətlər, sahiblərin və rəqiblərin müəyyən edilməsi ilə rəqabət;

IW-nin keyfiyyətcə və sadə kəmiyyət (riyazi) təsvirinin işlənməsi;

informasiya mübadiləsinin açıqlığı, təhlükəsizliyi və ədalətliliyi kəmiyyət göstəricilərinin və meyarlarının tətbiqi;

İnformasiya açıqlığı və məxfilikdə balansın zəruriliyi və əhəmiyyəti ilə bağlı ssenarilərin hazırlanması;

Universitet informasiya ehtiyatlarının idarə olunmasında informasiya təhlükəsizliyi siyasətinin rolunun və yerinin müəyyən edilməsi və ardıcıl prinsip və yanaşmaların işlənib hazırlanması;

Siyasətin əsas komponentlərinin formalaşdırılması: informasiya təhlükəsizliyinin təmin edilməsi üçün məqsədlər, vəzifələr, prinsiplər və əsas istiqamətlər;

İnformasiya təhlükəsizliyi siyasətinin təmin edilməsi prosesinin idarə edilməsinin əsas üsullarının işlənib hazırlanması;

Normativ sənədlərin layihələrinin hazırlanması.

TƏHSİL MÜƏSSİSƏLƏRİNİN XÜSUSİYYƏTLƏRİ

Müasir universitet təkcə təhsil prosesi ilə deyil, həm də tədqiqat və inkişafla, tələbələrin və işçilərin şəxsi məlumatları, rəsmi, kommersiya və digər məxfi məlumatlarla bağlı çoxlu sayda müxtəlif məlumatları saxlayır və emal edir.

Yüksək texnologiyalar sahəsində cinayətlərin artması onun təhsil müəssisələrinin kompüter şəbəkələrinin resurslarının mühafizəsi tələblərini diktə edir və özünün inteqrasiya olunmuş təhlükəsizlik sistemini qurmaq vəzifəsini qoyur. Onun həlli təhsil müəssisəsi daxilində normativ hüquqi bazanın mövcudluğunu, təhlükəsizlik konsepsiyasının formalaşdırılmasını, təhlükəsiz iş üçün tədbirlərin, planların və prosedurların işlənib hazırlanmasını, informasiya təhlükəsizliyinin (İS) texniki vasitələrinin layihələndirilməsini, həyata keçirilməsini və saxlanmasını nəzərdə tutur. Bu komponentlər universitetdə informasiya təhlükəsizliyinin təmin edilməsi üzrə vahid siyasəti müəyyən edir.

Təhsil sistemində informasiyanın qorunmasının özəlliyi ondan ibarətdir ki, universitet qeyri-sabit auditoriyaya malik dövlət qurumu olmaqla yanaşı, həm də “naşıyan kibercinayətkarlar” üçün fəallığın artdığı yerdir.

Burada potensial pozucuların əsas qrupu tələbələrdir və onların bəzilərinin kifayət qədər yüksək hazırlıq səviyyəsi var.

ki. Yaş - 18 yaşdan 23 yaşa qədər - və gənclik maksimalizmi belə insanları tələbə yoldaşları qarşısında biliklərini "göstərməyə" təşviq edir: virus epidemiyası yaratmaq, inzibati giriş əldə etmək və müəllimi "cəzalandırmaq", İnternetə girişi bloklamaq və s. İlk kompüter cinayətlərinin universitetdə (Morris qurdu) doğulduğunu xatırlamaq kifayətdir.

Universitetin informasiyalaşdırma obyekti kimi xüsusiyyətləri həm də onun fəaliyyətinin çoxşaxəli xarakteri, tədris işinin forma və metodlarının bolluğu, infrastrukturun (filialların, nümayəndəliklərin) məkan bölgüsü ilə bağlıdır. Buraya həm də maliyyə mənbələrinin müxtəlifliyi, yardımçı şöbə və xidmətlərin (tikinti, istehsal, təsərrüfat fəaliyyətləri) inkişaf etmiş strukturunun mövcudluğu, dəyişən təhsil xidmətləri bazarına uyğunlaşma zərurəti, əmək bazarının təhlili zərurəti, əmək bazarının təhlili zərurəti daxildir. biznes proseslərinin ümumi qəbul edilmiş rəsmiləşdirilməsinin olmaması, yuxarı təşkilatlarla elektron qarşılıqlı əlaqəyə ehtiyac, işçilərin və kursantların statusunun tez-tez dəyişməsi.

Eyni zamanda, universitetin idarəetmə funksiyaları baxımından sabit, iyerarxik sistem olması, yaşayış üçün bütün lazımi şəraitə malik olması və mərkəzləşdirilmiş idarəetmə prinsipləri əsasında fəaliyyət göstərməsi problemi bir qədər yüngülləşdirir (ikincisi o deməkdir ki, inzibati resurslardan informasiyalaşdırma tapşırıqlarının idarə edilməsində fəal istifadə oluna bilər).

Yuxarıda göstərilən xüsusiyyətlər aşağıdakı tələblərə uyğunluğu tələb edir:

Konsepsiyadan proqram təminatı və aparat həllərinin dəstəyinə qədər informasiya təhlükəsizliyi tapşırıqlarının hərtərəfli inkişafı;

Biznes proseslərinin məzmununu bilən çoxlu sayda mütəxəssislərin cəlb edilməsi;

Korporativ proqramların modul strukturundan istifadə etməklə, hər bir modul vahid təhlükəsizlik tələblərini təmin etməklə bir-biri ilə əlaqəli biznes prosedurları və ya informasiya xidmətləri qrupunu əhatə edir;

İnformasiya təhlükəsizliyi problemlərinin həllində ağlabatan mərhələlər ardıcıllığının tətbiqi;

Uğurlu bir sistemin yaradılmasını təmin etmək üçün standartların ağıllı tətbiqinə əsaslanan inkişafların sənədləşdirilməsi;

Tələb olunan təhlükəsizlik səviyyəsini təmin edən müxtəlif məqsədlər üçün etibarlı və genişləndirilə bilən aparat və proqram platformalarının və texnologiyalarının istifadəsi.

Memarlıq nöqteyi-nəzərindən korporativ informasiya mühitində üç səviyyəni ayırd etmək olar:

nya, təhlükəsiz istismarını təmin etmək üçün müxtəlif yanaşmalardan istifadə etmək lazımdır:

Kompüter şəbəkəsi, kanallar və məlumat xətləri, istifadəçi iş stansiyaları, məlumat saxlama sistemləri üçün avadanlıq;

Əməliyyat sistemləri, şəbəkə xidmətləri və resurslara çıxışı idarə etmək üçün xidmətlər, orta səviyyəli proqram təminatı;

Tətbiqi proqram təminatı, informasiya xidmətləri və istifadəçi yönümlü mühitlər. Hərtərəfli məlumat yaratarkən

şəbəkə (MDB), seçilmiş həllər və ya texnologiyalar üçün təhlükəsizlik tələblərinin səviyyəli koordinasiyasını təmin etmək lazımdır. Beləliklə, ikinci səviyyədə bir çox universitetlərin MDB arxitekturası bir-biri ilə yalnız 1P ünvanlarının təyin edilməsi və ya mesajlaşma səviyyəsində koordinasiya edilmiş, müxtəlif əməliyyat mühitlərinə malik, bir-birindən fərqli və zəif əlaqəli alt sistemlərdən ibarətdir. MDB-nin zəif sistem təşkilinin səbəbləri təsdiq edilmiş arxitekturanın olmaması və əlaqələndirilməmiş fəaliyyət göstərən texnologiyanın inkişafı üçün bir neçə məsuliyyət mərkəzinin olmasıdır. Problemlər, əsas texnoloji qərarlar tamamilə mərkəzləşdirildikdə, sistemin təhlükəsizlik səviyyəsini kəskin şəkildə azaldan şöbələrdə əməliyyat mühitinin seçimini idarə etmək istəməməkdən başlayır.

İnformasiya texnologiyalarının (İT) inkişafı üçün aydın strategiyası, informasiya infrastrukturuna vahid tələblər, informasiya təhlükəsizliyi siyasəti və MDB-nin əsas komponentləri üçün təsdiq edilmiş qaydalara malik olan universitetlər adətən idarəetmədə güclü inzibati nüvəyə və yüksək nüfuza malik olması ilə seçilir. İT xidmətinin rəhbəri.

Bu cür universitetlər, təbii ki, müxtəlif əməliyyat mühitlərindən və ya orta səviyyəli sistemlərdən istifadə edə bilərlər, lakin bu, təşkilati, texniki və ya iqtisadi səbəblərlə bağlıdır və universitetin MDB-nin yerləşdirilməsinə və informasiya resurslarına təhlükəsiz çıxışın vahid prinsiplərinin tətbiqinə mane olmur. .

Üçüncü səviyyəli universitetlərdə MDB arxitekturasının inkişaf vəziyyətini aşağıdakı kimi xarakterizə etmək olar: ayrıca biznes prosesini avtomatlaşdıran və yerli məlumat toplusuna əsaslanan yerli proqram təminatından istifadəçini təmin edən korporativ müştəri-server informasiya sistemlərinə (İS) keçid. əməliyyat məlumat bazalarına giriş əsasən universitet məlumatlarını tamamlamışdır. Bu və ya digər formada müxtəlif informasiya sistemləri tərəfindən yaradılan məlumatların inteqrasiyası problemi həll edilmişdir ki, bu da biznes proseslərini təkmilləşdirməyə, idarəetmə və qərar qəbuletmə keyfiyyətini yüksəltməyə imkan verir.

4 _ Sensorlar və Sistemlər № 5.2009

Əgər 1990-cı illərin əvvəllərində. Mühasibat proqramlarına və idarəetmə uçotu proqramlarına (HR, hesabat və s.) tələbat yüksək idi, lakin bu gün bu tələbat əsasən ödənilir. İndi vəzifə təhsil müəssisəsinin fəaliyyəti haqqında etibarlı məlumatları təkcə rəhbər işçilərə deyil, həm də hər bir müəllim və tələbəyə təqdim etməkdir, yəni MDB-də dövriyyədə olan məlumatların səmərəli idarə edilməsi vəzifəsi öz növbəsində belə şəbəkələrdə informasiya təhlükəsizliyi daha da aktualdır.

UNİVERSİTETLERİN KORPORATİV ŞƏBƏKƏLƏRİNİN İNFORMASİYA TƏHLÜKƏSİZLİYİ

İnternetin və yeni informasiya texnologiyalarının tədris prosesinə və universitetin idarəetmə sisteminə fəal şəkildə tətbiqi korporativ şəbəkələrin yaranması üçün ilkin şərait yaratmışdır.

Universitetin korporativ şəbəkəsi kompüterləri, serverləri, şəbəkə avadanlığını, rabitə və telekommunikasiya vasitələrini və universitetin idarə edilməsi və təhsil fəaliyyətinin aparılması problemlərinin həlli üçün nəzərdə tutulmuş proqram təminatı sistemini özündə birləşdirən informasiya sistemidir. Korporativ şəbəkə adətən yalnız universitetin struktur bölmələrini deyil, həm də onların regional ofislərini birləşdirir. Əvvəllər universitetlər üçün əlçatmaz olan bu şəbəkələr bu gün internetin kütləvi şəkildə yayılması və onun əlçatanlığı səbəbindən təhsil strukturlarına fəal şəkildə daxil edilməyə başlayıb.

Kompleks universitetin informasiya təhlükəsizliyi sistemi universitetlərin korporativ şəbəkələrindəki serverlərdə olan məlumatların qorunması, məhdudlaşdırılması və icazəli girişi üçün sistemdir.

Məqaləbiznes məsləhətçisi Ciscoinformasiya təhlükəsizliyi üzrə Aleksey Lukatski

Bu gün İnternetin geniş yayılması və kommunikasiyaların sürətli inkişafı ilə tələbələrin gözləntiləri ilə təhsil müəssisələrinin onlara nə təklif edə biləcəyi arasındakı uçurum çox nəzərə çarpır. Təhsildə iş üsulları sosial dəyişiklikləri və texnoloji inkişafları izləyərək daim təkmilləşməlidir. Eyni zamanda, həm tədris materiallarının, həm də digər məhdudlaşdırılmış məlumatların, eləcə də İT infrastrukturunun özünün təsadüfi və ya məqsədyönlü hücumlardan qorunması ən az vacib deyil.

Müasir informasiya təhlükəsizliyi (İS) texnologiyaları təhsil müəssisələrinə aşağıdakı əsas istiqamətlərdə mövcud problemləri həll etməyə kömək edir:

• dünyanın istənilən yerindən təhsil materiallarına və sistemlərinə təhlükəsiz girişin təşkili;
• məhdud giriş məlumatlarının (şəxsi məlumatlar, kommersiya sirləri və s.) qorunması və əqli mülkiyyətin qorunması;
• informasiya təhlükəsizliyi sahəsində qanuni tələblərə əməl olunması (fərdi məlumatların mühafizəsi, əqli mülkiyyət hüquqlarının qorunması, uşaqların neqativ məlumatlardan qorunması).

Problem №1: Fərqli İstifadəçi Qrupları

Müasir universitet və onun şəbəkəsi müxtəlif istifadəçi qruplarının maraqları və məlumatlarının toqquşduğu heterojen bir mühitdir. Universitet şəbəkəsi müxtəlif informasiya təhlükəsizliyi tələblərinə malik olan aşağıdakı kateqoriyalı istifadəçiləri ehtiva edə bilər: universitet tələbələri və mübadilə tələbələri; müəllimlər və rəhbərlik; ali məktəbə daxil olmamışdan əvvəl hazırlıq kurslarında iştirak edən məktəblilər; əlavə gəlir mənbələri əldə etmək məqsədilə universitet tərəfindən təklif olunan ödənişli kursların və ixtisasartırma kurslarının ziyarətçiləri, eləcə də universiteti kommersiya sifarişləri ilə təmin edən təşkilatların nümayəndələri, məsələn, AR-GE sahəsində.

Problem №2: Giriş metodlarının transformasiyası və “İstənilən Cihaz” konsepsiyası

Ənənəvi universitet şəhərciyi şəbəkəsinin perimetri bulanıqlaşmağa davam etdikcə və universitet mühiti tədricən öz sərhədlərini itirdikcə, smartfonlar, planşetlər, digər son cihazlar və veb proqramlar təhsil prosesini dönməz şəkildə dəyişir, dünyanın istənilən yerindən təhsil materiallarına daxil olmaq imkanı verir. - universitetin sinif otağından, yataqxanasından, şəxsi evindən, universitet şəhərciyindən, tələbələrin təcrübə mübadiləsi üçün getdiyi digər universitetdən və s. Cisco-nun "İstənilən Cihaz" fəlsəfəsi ümumi və proqnozlaşdırıla bilən təcrübəni qoruyarkən kampus istifadəçiləri üçün cihaz seçim azadlığını genişləndirmək üçün nəzərdə tutulub. Bütün bunlar təhsil müəssisəsinin rəqabət qabiliyyətini, məhsuldarlığını və təhlükəsizliyini saxlayır və ya hətta artırır.

Eyni zamanda, "İstənilən Cihaz" konsepsiyasını həyata keçirərkən, həll edilməli olan bir sıra informasiya təhlükəsizliyi problemləri yaranır. Bu halda, təmin etmək lazımdır:

• şəbəkə abunəçi qurğularının icazəsiz qoşulmasının qarşısının alınması: stolüstü kompüterlər (iş stansiyaları və ya iş stansiyaları), noutbuklar (mobil iş stansiyaları), mobil qurğular (Android və iOS sistemləri ilə işləyən planşet kompüterlər), şəbəkə printerləri və İP telefonlar universitet şəbəkəsinə;
• cari informasiya təhlükəsizliyi siyasətinin tələb və tövsiyələrinə uyğunluq, o cümlədən universitet şəbəkəsinə qoşulmuş mobil cihazların mövcud informasiya təhlükəsizliyi siyasətlərinə uyğunluğuna uzaqdan nəzarət etmək imkanını təmin etmək;
• Bundan əlavə, abunəçi cihazlarını birləşdirmək üçün qonaq zonaları və məhdud giriş zonaları ayırmaq üçün mövcud infrastruktur dəyişdirilmədən (şəbəkənin mövcud seqmentlərə bölünməsi) universitet şəbəkəsinin təhlükəsizlik zonalarına məntiqi bölünməsinin təşkili təmin edilməlidir. müxtəlif istifadəçi qrupları, həmçinin Android və iOS OS ilə işləyən mobil qurğular (planşet kompüterlər) istifadəçiləri.

Problem №3: informasiya sistemlərinin və məhdudlaşdırılmış məlumatların qorunması

Müasir universitet qorunma tələb edən müxtəlif məlumatların anbarıdır. Bu, haqqındadır:

· tələbələrin, müəllimlərin, administrasiyanın və digər kateqoriyalı istifadəçilərin şəxsi məlumatları;

· ali təhsil müəssisəsinin kommersiya sirrini təşkil edən və onun yüksək keyfiyyətli təhsil və təhsil proqramları, habelə daha mütərəqqi tədris metodları ilə təmin edilməsi sahəsində digər ali məktəbləri qabaqlamağa imkan verən məlumatlar;

· universitet tərəfindən hazırlanmış tədris materialları, onlara giriş ya məhdud, ya da nəzarət altında olmalıdır, çünki onlar əqli mülkiyyət təşkil edir;

· oğurlanması təhsil müəssisəsinin rəqabətdə vəziyyətini pisləşdirə və ya cinayət və ya inzibati məsuliyyətə səbəb ola bilən proqram təminatı və ya universitet tərəfindən alınmış lisenziyalar.

· Nəhayət, universitetin kommersiya və ya dövlət sifarişçilərinin tələbi ilə həyata keçirə biləcəyi həmin Ar-Ge layihələrinin nəticələri qorunur.

Məhdud giriş məlumatlarının qorunması ilə yanaşı, təhsil prosesinin informasiya sistemlərinin təhlükəsizliyi də təmin edilməlidir. Bu sistemlərin təsadüfən və ya qəsdən söndürülməsi təlim prosesini poza və müqavilə şərtlərini poza bilər (ödənişli təlim və ya müxtəlif elmi-tədqiqat işlərinin həyata keçirilməsi halında).

Problem №4: hüquqi məhdudiyyətlər

İnformasiya təhlükəsizliyi sistemi universitetə ​​rəqabət üstünlüyü təmin edən informasiya sistemlərini və informasiyanı qorumaqla yanaşı, müxtəlif vətəndaş qruplarının və təşkilatların hüquq və mənafelərinin qorunmasına yönəlmiş qanunvericilik təşəbbüslərini həyata keçirməyə imkan verməlidir. Universitetin riayət etməli olduğu qaydalara ilk növbədə aşağıdakılar daxildir:

• "Fərdi məlumatlar haqqında" 27 iyul 2006-cı il tarixli 152-FZ nömrəli Federal Qanun;
• 28 iyul 2012-ci il tarixli 139-FZ nömrəli "Uşaqların sağlamlığına və inkişafına zərər vuran məlumatlardan qorunması haqqında" Federal Qanuna və Rusiya Federasiyasının bəzi qanunvericilik aktlarına qanunsuz girişin məhdudlaşdırılması məsələsinə dair dəyişikliklər edilməsi haqqında Federal Qanun. İnternetdə məlumat”;
• 2 iyul 2013-cü il tarixli 187-FZ nömrəli "İnformasiya və telekommunikasiya şəbəkələrində əqli hüquqların müdafiəsi ilə bağlı Rusiya Federasiyasının qanunvericilik aktlarına dəyişikliklər edilməsi haqqında" Federal Qanun.

Problem №5: artan təhdidlər

Şəbəkə təhlükəsizliyi təhdid mənzərəsi daim inkişaf edir. Onda aparıcı mövqeləri getdikcə daha çox ənənəvi mühafizə üsul və vasitələrinə qalib gələ bilən xüsusi yazılmış, gizli təhdidlər tutur. Bu təhdidlər şəbəkəyə nüfuz edir - əsas səviyyəyə, paylama səviyyəsinə və istifadəçi giriş səviyyəsinə, burada təhlükədən qorunma və görünmə minimum səviyyədədir. Oradan bu təhlükələr asanlıqla öz hədəflərini - konkret resursları və hətta universitetdəki konkret insanları seçirlər. Müasir kibertəhlükələrin məqsədi şöhrət və şöhrət qazanmaq və ya hətta gəlirli botnet yaratmaq deyil, rəqabət üstünlüklərinə nail olmaq üçün əqli mülkiyyət və ya ticarət və digər sirləri ələ keçirmək və oğurlamaqdır.

Cisco İnformasiya Təhlükəsizliyi Həlləri

Cisco SecureX Architecture™ müasir universitetin bütün paylanmış şəbəkəsində ardıcıl biznes siyasətlərini formalaşdırmaq və həyata keçirmək üçün çevik həllər, məhsul və xidmətləri birləşdirən yeni nəsil təhlükəsizlik arxitekturasıdır. Cisco SecureX arxitekturası yüksək mobil istifadəçilərin artması kimi unikal təhlükəsizlik problemlərini həll etmək üçün qlobal təhlükə kəşfiyyatını və kontekstini birləşdirir. uzadılması şəbəkəni aktivləşdirən mobil cihazların çeşidi və ya bulud infrastrukturu və xidmətlərinə keçid.

Cisco SecureX müasir şəbəkələrin ehtiyaclarına cavab verir, istənilən istifadəçi üçün, istənilən cihazda, hər yerdə, istənilən vaxt güclü təhlükəsizlik təmin edir. Bu yeni təhlükəsizlik arxitekturası vəziyyətin tam kontekstini – kim, nə, harada, nə vaxt və necə “anlayan” daha yüksək səviyyəli siyasət dilindən istifadə edir. Təhlükəsizlik siyasətlərinin paylanmış tətbiqi sayəsində mühafizə prosesi planetin istənilən yerində son istifadəçinin iş yerinə yaxınlaşır və bununla da nəinki hər bir cihazın və ya istifadəçinin təhlükəsizliyini təmin etməyə, həm də zəruri hallarda təhlükəni mümkün qədər yaxın lokallaşdırmağa imkan verir. mənbəyinə qədər mümkündür.

Cisco SecureX-ə daxil olan həllər informasiya təhlükəsizliyi sahəsində səlahiyyətli Rusiya dövlət orqanlarının tələblərinə cavab verir və təhlükəsizlik tələbləri üçün 600-dən çox müxtəlif FSTEC və FSB sertifikatına malikdir.

Mütəxəssislərdən materialları tez öyrənmək Cisco “Blog” bölməsində dərc edilmişdir Cisco . Rusiya/MDB", səhifəyə abunə olmalısınızhttp://gblogs.cisco.com/en.

Teqlər: informasiya təhlükəsizliyi, informasiya təhlükəsizliyi, təhsil, universitet, Cisco SecureX arxitekturası, əqli mülkiyyət.

Bilik bazasında yaxşı işinizi göndərin sadədir. Aşağıdakı formadan istifadə edin

Tədris və işlərində bilik bazasından istifadə edən tələbələr, aspirantlar, gənc alimlər Sizə çox minnətdar olacaqlar.

haqqında yerləşdirilib http://www.allbest.ru

• GİRİŞ
• AKTİVLİK
• 1. MÜƏSSİSƏNİN İNFORMASİYA SİSTEMİNİN Öyrənilməsi
• 1.1. Müəssisənin təsviri
• 1.2. Aparat və proqram təminatının tərkibi və şəbəkə strukturu
• 1.3. İnformasiya axınlarının təhlili
• 1.4. İnformasiya resurslarının təhlili
• 1.5. Obyektlərin fiziki təhlükəsizliyi (təhlükəsizlik)
• 2. TƏHLÜK MODELİNİN TƏHLİLİ VƏ İNKİŞAF EDİLMƏSİ
• 2.1. Təhdidlərin və təhlükəsizlik zəifliklərinin mənbələrinin təsnifatı və təhlili
• 2.2. Təcavüzkar modeli
• 2.3. İnformasiya sisteminə cari təhlükələrin müəyyən edilməsi
• 2.4. İnformasiya sisteminin təhlükəsizlik sinifinin müəyyən edilməsi
• 3. İNFORMASİYA TƏHLÜKƏSİZLİYİ SİSTEMİ MODELİNİN İNKİŞAF EDİLMƏSİ
• 3.1. Standartlara və mövcud siyasətlərə uyğunluğun təhlili
• 3.2. İnformasiya təhlükəsizliyi siyasətinin inkişafı
• 4. İLKİN İLKİN AVCİYATİ PORTALININ İNKİŞAF EDİLMƏSİ
• 4.2. Portal funksionallığı tələbləri
• 4.3. Portal inkişafı
• NƏTİCƏ
• BİBLİOQRAFİYA
• TƏTBİQ

GİRİŞ

İnformasiya resurslarının təhlükəsizliyinin təmin edilməsi uzun müddətdir ki, informasiya texnologiyalarının inkişafı ilə birlikdə bir çox qurumlarda müzakirə mövzusu olub, bu, avtomatlaşdırılmış sistemlərin inkişafına gətirib çıxarıb; Effektiv informasiya təhlükəsizliyi sistemi məlumatla bağlı riskləri minimuma endirməyə imkan verir və müəssisənin məlumat axınlarının sabit işləməsinə kömək edir.

Ali təhsil müəssisələri kimi dövlət qurumlarının təhlükəsizliyi də yüksək səviyyədə informasiya təhlükəsizliyi tələb edir.

Universitetin informasiya aktivləri təhsil fəaliyyəti və müxtəlif çıxış səviyyələri olan işçilərin fəaliyyəti haqqında çoxlu məlumatlardan ibarətdir. Universitet əməkdaşları və tələbələri də müxtəlif informasiya əldə etmək hüququ olan şəxslərin gözəl nümunəsidir. Buna görə də universitetin informasiya təhlükəsizliyini təmin etmək üçün səmərəli tədbirlər kompleksinin hazırlanması qərara alınıb.

Dissertasiyanın məqsədi Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universitetinin nümunəsindən istifadə edərək bir universitetin informasiya təhlükəsizliyinin təmin edilməsinə yönəlmiş tədbirlər kompleksini hazırlamaqdır. informasiya təhlükəsizliyi təhlükəsi

Dissertasiya işinin tədqiqat mövzusu Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universitetinin informasiya təhlükəsizliyinin qorunması sistemidir.

Tezis dörd fəsildən ibarətdir. Birinci fəsildə təşkilatın informasiya sisteminin təsviri, informasiya ehtiyatlarının və texniki vasitələrin təhlili verilmişdir. İkinci fəsildə sistem üçün potensial təhlükələr təhlil edilir və müdaxilə modeli müəyyən edilir. Üçüncü fəsildə informasiya təhlükəsizliyi siyasəti hazırlanır. Dördüncü fəsil, izahat qeydi şəklində, ilkin icazə portalının tətbiqi prosesini ehtiva edir.

AKTİVLİK

Cəmiyyətin müasir inkişafı mərhələsində informasiya texnologiyaları onun tərkib hissəsidir. İnformasiya dünya birliyinin sosial-iqtisadi, texniki və elmi tərəqqisinin əsas vasitələrindən birinə çevrilmişdir. İnformasiya texnologiyalarının inkişafı və informasiya məkanının genişlənməsi bu sahədə hücumların və pozuntuların səviyyəsinin getdikcə artmasına gətirib çıxarır ki, bu da informasiya təhlükəsizliyi problemlərini daha da aktual edir. İnformasiya təhlükəsizliyi məlumatın və onun dəstəkləyici infrastrukturunun informasiya sahiblərinə və ya istifadəçilərinə zərər vura bilən təbii və ya süni xarakterli təsadüfi və ya qəsdən təsirlərdən qorunma vəziyyətini ifadə edir.

İnformasiya təhlükəsizliyinin təmin edilməsi hər bir müəssisənin stabil fəaliyyəti üçün əsas amillərdən biridir. Bu gün məlumatın məxfiliyi, bütövlüyü və əlçatanlığı biznesin davamlılığının vacib aspektidir, buna görə də artan sayda təşkilatlar informasiya təhlükəsizliyi məsələsinə diqqət yetirirlər. Beləliklə, effektiv və inteqrasiya olunmuş informasiya təhlükəsizliyi sisteminə ehtiyac var.

Çox vaxt, bir məlumat sistemi yaratarkən, təşkilatlar öz məlumat aktivlərini yalnız texniki və proqram təminatı səviyyələrində qorumağa çalışırlar. Lakin bu təhlükəsizlik səviyyəsi səmərəsizdir və informasiya təhlükəsizliyi sahəsində qayda və qaydalarla dəstəklənməlidir.

Qurumda təhlükəsizlik sisteminin hazırlanması və tətbiqi informasiya təhlükəsizliyi sahəsində mövcud qanunvericilik və normativ tələblər əsasında həyata keçirilməlidir. Əsas sənəd Rusiya Federasiyasının Konstitusiyasıdır, ona görə "bir şəxsin şəxsi həyatı haqqında məlumatın onun razılığı olmadan toplanması, saxlanması, istifadəsi və yayılmasına icazə verilmir".

İnformasiya təhlükəsizliyi sahəsində digər əsas sənədlər 27 iyul 2006-cı il tarixli 149-FZ nömrəli "İnformasiya, informasiya texnologiyaları və məlumatların mühafizəsi haqqında" Federal Qanundur, ona görə məlumatın icazəsiz girişdən qorunmasını təmin etmək lazımdır, məlumatların dəyişdirilməsi, məhv edilməsi, surətinin çıxarılması və paylanması. "Fərdi məlumatlar haqqında" 27 iyul 2006-cı il tarixli 152-FZ nömrəli Federal Qanun avtomatlaşdırılmış sistemlərdən istifadə edərək dövlət orqanları tərəfindən fərdi məlumatların emalı ilə bağlı hərəkətləri tənzimləyir.

Məlumatın rəsmi sirr kimi təsnif edilməsi qaydasını, rəsmi sirr rejimini və prosedurunu tənzimləyən Rusiya Federasiyasının "Dövlət sirri haqqında" Qanununu və Rusiya Federasiyasının "Kommersiya sirri haqqında" Qanununu da nəzərə almalısınız. rəsmi məlumatların açıqlanmasına görə. Məlumatların məxfilik səviyyələrini formalaşdıran bir sıra qanunlar da mövcuddur (“Məxfi məlumatların Siyahısının təsdiq edilməsi haqqında”; “Dövlət sirrini təşkil edən məlumatların Siyahısının təsdiq edilməsi haqqında”; “Dövlət sirrini təşkil edən məlumatların Siyahısının təsdiq edilməsi haqqında”; Kommersiya sirri təşkil etməyən məlumatların siyahısı”).

Ümumiyyətlə, Rusiya Federasiyasının qanunvericilik bazası məxfi məlumatların saxlanması və istifadəsini nəzərə almır və tam tənzimləmir.

Prosedur və aparat-proqram səviyyəsində təhlükəsizliyin təmin edilməsi üçün əsas qaydalar standartlar və spesifikasiyalardır. Bunlar sübut edilmiş, yüksək keyfiyyətli təhlükəsizlik metodologiyaları və alətləri olan sənədlərdir.

Standartlara uyğun olaraq, informasiya sistemi obyektlərinin təhlükəsizliyinin təmin edilməsi aşağıdakı mərhələlərdən ibarət olmalıdır:

– informasiya təhlükəsizliyinin təmin edilməsi məqsədlərinin işıqlandırılması;

– effektiv idarəetmə sisteminin layihələndirilməsi;

– qarşıya qoyulan məqsədlərə uyğunluğun təhlili və qiymətləndirilməsi;

– təhlükəsizliyin ilkin vəziyyətinin təhlili;

ISO 15408: İnformasiya Texnologiyaları Təhlükəsizliyinin Qiymətləndirilməsi üçün Ümumi Meyarlar standartı proqram təminatı və aparat səviyyəsində təhlükəsizlik üçün ən əhatəli meyarları ehtiva edir. Ümumi Meyarlar təhlükəsizlik funksionallığı üçün tələbləri müəyyən edir. Proqram təminatı və aparat təminatı səviyyəsinə əlavə olaraq, standart təşkilati səviyyəli təhlükəsizlik metodları və fiziki mühafizə üçün bəzi tələbləri təsvir edir. Standart üç hissədən ibarətdir:

– birinci hissəyə informasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi üçün konseptual aparat, model və metodologiyanın təqdimatı daxildir;

– ikinci hissə bilavasitə aparat və proqram təminatının funksionallığına dair tələbləri ehtiva edir;

– üçüncü hissə təhlükəsizlik zəmanətlərinə dair tələbləri ehtiva edir;

ISO 17799: İnformasiya Təhlükəsizliyi İdarəetmə Təcrübə Kodeksi ən əhatəli təşkilati səviyyəli meyarları təmin edir.

Standart inzibati, prosessual və fiziki mühafizələri nəzərə almaqla, təşkilat səviyyəsində təhlükəsizlik təcrübələrini qiymətləndirmək üçün ən effektiv informasiya təhlükəsizliyinin idarə edilməsi qaydalarını və meyarlarını ehtiva edir. Standart aşağıdakı bölmələri ehtiva edir:

- Təhlükəsizlik siyasəti;

– informasiya təhlükəsizliyinin təşkili;

- resursların idarə edilməsi;

– insan resurslarının təhlükəsizliyi;

- fiziki təhlükəsizlik;

- girişə nəzarət;

– informasiya sistemlərinin administrasiyası;

– informasiya sistemlərinin işlənib hazırlanması və saxlanılması;

– davamlı işin planlaşdırılması;

– təhlükəsizlik tələblərinə əməl olunmasına nəzarət;

Rusiya Federasiyası Dövlət Texniki Komissiyasının "İnformasiya texnologiyalarının təhlükəsizliyinin qiymətləndirilməsi meyarları" rəhbər sənədi. Bu sənəd GOST R ISO/IEC 15408-2002 uyğun olaraq hazırlanmışdır və onun praktik istifadəsini təmin edir. RD-nin əsas məqsədi informasiya sistemlərinin təhlükəsizliyini təmin etmək və lazımi funksionallıqdan istifadə etmək üçün kompleks metodların həyata keçirilməsidir. Effektivlik və xərclər arasında tarazlığı qoruyarkən mümkün təhdidlərə cavab verən təhlükəsizlik sistemlərinin dizaynını hədəfləyir.

Rusiya Federasiyası Dövlət Texniki Komissiyasının rəhbər sənədi “Avtomatlaşdırılmış sistemlər. İnformasiyaya icazəsiz daxil olmaqdan qorunma. Avtomatlaşdırılmış sistemlərin təsnifatı və informasiyanın mühafizəsi tələbləri”. Bu RD AS-nin təsnifatını müəyyən edir və sinfə uyğun olaraq, mümkün alt sistemlər üçün tələbləri müəyyən edir.

Rusiya Federasiyası Dövlət Texniki Komissiyasının rəhbər sənədi “Kompüter qurğuları. Firewalllar. İnformasiyaya icazəsiz daxil olmaqdan qorunma. İnformasiyaya icazəsiz girişə qarşı təhlükəsizlik göstəriciləri”. Xarici analoqu olmayan ilk RD. Bu RD-nin əsas ideyası məlumat axınlarını süzgəcdən keçirən OSI şəbəkə modelinə uyğun olaraq firewallların təsnifatıdır.

Bu gün təhlükəsizlik sistemlərinin tətbiqi sahəsində “ən yaxşı təcrübə” kimi bir anlayış yaranmışdır. “Ən yaxşı təcrübələr” ən yaxşı təhlükəsizlik prosedurlarını, alətlərini, təlimatlarını və standartlarını əks etdirən və təhlükəsizlik sisteminin inkişafında istinad kimi istifadə edilə bilən təhlükəsizlik siyasətləridir. Microsoft, IBM, Symantec və s. kimi şirkətlərin siyasətləri istinad standartları hesab edilir.

1. Symantec Siyasəti

Symantec mütəxəssisləri iddia edirlər ki, effektiv təhlükəsizlik sisteminin əsasını idarəetmə sənədləri təşkil edir ki, bunlara aşağıdakılar daxildir: təhlükəsizlik siyasətləri, beynəlxalq standartlar, təhlükəsizlik prosedurlarının təsvirləri və ölçülər. Bütün bu təlimat sənədləri üç əsas suala cavab verə bilər:

Nə üçün məlumatı qorumaq lazımdır?

Təhlükəsizliyi təmin etmək üçün nə etmək lazımdır?

Siyasəti tələb olunduqda necə həyata keçirmək olar?

Kompleks təhlükəsizlik sisteminin inkişafı aşağıdakı addımları əhatə etməlidir:

– informasiya aktivlərinin təhlili;

– mümkün təhlükələrin müəyyən edilməsi;

– təhlükəsizlik risklərinin təhlili və qiymətləndirilməsi;

– təhlükəsizliyin təmin edilməsinə cavabdeh şəxslərin təyin edilməsi;

– standartlara, təlimatlara və prosedurlara uyğun kompleks sistemin yaradılması;

– təhlükəsizlik sisteminin idarə edilməsi;

2. Microsoft Siyasəti

Microsoft-un informasiya siyasəti strategiyası dörd əsas komponentdən ibarətdir:

– şirkətin informasiya təhlükəsizliyinin təmin edilməsi məqsədi;

- sistemin təhlükəsizlik standartları

– qərar qəbul etmə sxemi (risk təhlilinin nəticələrinə əsasən);

– riskləri minimuma endirmək üçün tədbirlərin müəyyən edilməsi;

Təhlükəsizlik siyasətinin inkişafı prosesi dörd kateqoriyaya bölünür:

– təşkilati (informasiya təhlükəsizliyi sahəsində işçilərin məlumatlılığının artırılmasına və biliklərinin genişləndirilməsinə, habelə idarəetmənin dəstəklənməsinə yönəldilir);

– verilənlər və istifadəçilər (məsələn, mühafizə tədbirləri daxildir: avtorizasiya, şəxsi məlumatların qorunması, autentifikasiya);

– sistemin inkişafı (təhlükəsiz sistemin inkişafı, hücum səthinin azaldılması, istifadənin asanlığının təmin edilməsi);

– dəstək (sistemin müntəzəm monitorinqi və qeydiyyatı, insidentlərə reaksiya);

Təhlükəsizlik səviyyəsini qorumaq üçün şirkət məlumat riskinə nəzarət (risklərin müəyyən edilməsi, qiymətləndirilməsi və minimuma endirilməsi) tətbiq edir. Bu yanaşma tələblər və mühafizə üsulları arasında balans əldə etməyə imkan verir.

3. IBM Siyasəti

IBM mütəxəssisləri təhlükəsizlik sisteminin qurulmasının dörd əsas mərhələsini müəyyən edir:

– informasiya risklərinin və onlarla mübarizə üsullarının müəyyən edilməsi;

– şirkətin vəzifə və məqsədlərinə uyğun olaraq aktivlərin mühafizəsi tədbirlərinin təsviri;

– hadisələr zamanı hərəkətlərin təsviri;

– qalıq risklərin təhlili və təhlükəsizlik üsullarına əlavə sərmayə qoyuluşu barədə qərar qəbul edilməsi;

“Nədən qorunmaq lazımdır?” sualının cavabı. - IBM strategiyasına uyğun olaraq informasiya təhlükəsizliyi siyasətinin əsas aspekti. Siyasətlər gələcəkdə minimal dəyişikliklər məqsədi ilə yaradılmalıdır. Effektiv təhlükəsizlik siyasəti aşağıdakıları ehtiva etməlidir:

– informasiya təhlükəsizliyinin təmin edilməsinin məqsəd və vəzifələri;

– təhlükəsizlik standartları və qanunvericiliklə qarşılıqlı əlaqə;

– informasiya təhlükəsizliyi məsələləri üzrə biliklərin genişləndirilməsi;

– virus hücumlarının aşkarlanması və aradan qaldırılması;

– işin davamlılığının təmin edilməsi;

– kadrların rol və məsuliyyətlərinin müəyyən edilməsi;

– təhlükəsizlik insidentlərinin qeydə alınması;

Sonra şirkətin risklərinin təhlili qaydalarını, tövsiyə olunan metodların və qorunma vasitələrinin təsvirini və s. ehtiva edən sənədlərin yaradılması prosesi gəlir. Sənədlər mövcud zəifliklərə və təhlükələrə uyğun olaraq dəyişdirilə bilər.

Bununla belə, hüquqi əsaslarla yanaşı, informasiya təhlükəsizliyi sistemi və onun obyektin təhlükəsizliyini təmin etmək funksiyaları aşağıdakı prinsiplərə uyğun həyata keçirilməlidir:

– legitimlik (informasiya təhlükəsizliyi sisteminin yaradılması, habelə qanunvericiliyə və qaydalara zidd olmayan mühafizə tədbirlərinin həyata keçirilməsi);

– mürəkkəblik (hazırlanmış mühafizə sistemi metodların hərtərəfli həyata keçirilməsini təmin edir, texniki və təşkilati səviyyədə informasiya ehtiyatlarının mühafizəsini təmin edir və təhlükələrin həyata keçirilməsinin mümkün yollarının qarşısını alır);

– daimilik (obyektlərin davamlı mühafizəsini təmin edir);

– mütərəqqilik (texnologiyaların və hücum üsullarının inkişafına uyğun olaraq mühafizə vasitələri və üsullarının davamlı inkişafını nəzərdə tutur);

– rasionallıq (qiymətli və səmərəli mühafizə vasitələrindən istifadə);

– məsuliyyət (hər bir işçi öz səlahiyyətləri daxilində təhlükəsizliyin təmin edilməsinə cavabdehdir);

– nəzarət (mühafizənin təmin edilməsinə və təhlükələrin vaxtında müəyyən edilməsinə daimi nəzarəti nəzərdə tutur);

– mövcud təhlükəsizlik sistemindən istifadə (layihələnmiş sistem mövcud sistem əsasında, standart aparat və proqram təminatından istifadə etməklə yaradılır);

– yerli istehsal olan aparat və proqram təminatı komponentlərinin istifadəsi (mühafizə sisteminin dizaynı yerli texniki mühafizə vasitələrinin üstünlük təşkil etməsini nəzərdə tutur);

– mərhələli (təhlükəsizlik sisteminin layihələndirilməsinin mərhələlərlə aparılmasına üstünlük verilir);

Mövcud informasiya təhlükəsizliyi siyasətlərini və standartlarını təhlil edərək iddia etmək olar ki, informasiya təhlükəsizliyinin adekvat səviyyəsini təmin etmək üçün proqram funksiyaları, təhlükəsizlik siyasətləri, metodlar və təşkilati strukturlar daxil olmaqla bir sıra tədbirlər tələb olunur. Buna uyğun olaraq və əsas məqsədə uyğun olaraq aşağıdakı vəzifələr yerinə yetirilməlidir:

– Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universitetinin ilkin məlumatlarını və təşkilati strukturunu öyrənmək;

– mənbə informasiya sisteminin təhlilinin nəticələrinə əsasən informasiya təhlükəsizliyinin spesifik təhdid və zəifliklərini müəyyən etmək;

– obyektin ilkin təhlükəsizliyinin səviyyəsini və sinfini müəyyən etmək;

– cari təhlükələri müəyyən etmək;

– təcavüzkarın modelini yaratmaq;

– orijinal sistemi təhlükəsizlik standartlarının tələbləri ilə müqayisə etmək;

– təhlükəsizlik siyasətini hazırlamaq və informasiya təhlükəsizliyini təmin etmək üçün tədbirləri müəyyən etmək;

Yuxarıda göstərilən məqsəd və vəzifələrin yerinə yetirilməsi hüquqi tələblərə və informasiya təhlükəsizliyi standartlarına cavab verən səmərəli müəssisə informasiya təhlükəsizliyi sistemini yaratmağa imkan verəcəkdir.

1. MÜƏSSİSƏNİN İNFORMASİYA SİSTEMİNİN Öyrənilməsi

1.1. Müəssisənin təsviri

Təşkilatın tam adı : Federal Dövlət Büdcə Ali Peşə Təhsili Təşkilatı "Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti".

Qısaldılmış adlar: NNGASU, Federal Dövlət Büdcə Ali Peşə Təhsili Təşkilatı "Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti".

İngilis dilində tam adı: Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti.

İngilis dilində qısa ad: NNGASU.

Universitetin yerləşdiyi yer: 603950, Nijni Novqorod vilayəti, Nijni Novqorod, st. İlyinskaya, 65.

Universitetin təsisçisi Rusiya Federasiyasıdır. Universitetin təsisçisinin funksiyaları və səlahiyyətləri Rusiya Federasiyasının Təhsil və Elm Nazirliyi tərəfindən həyata keçirilir.

Təsisçinin yeri: 125993, Moskva, st. Tverskaya, 11.

Rektor - Andrey Aleksandroviç Lapşin

FSBEI HPE "Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti" tələbələrin nailiyyətləri əsasında tələbələrin təhsil səviyyəsini artırmaqla regionun, sənayenin və Rusiyanın iqtisadiyyatını və sosial mühitini inkişaf etdirmək məqsədi ilə yaradılmış qeyri-kommersiya təşkilatıdır. elm, innovasiya və texnologiya.

"Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti" Ali Peşə Təhsili Federal Dövlət Büdcə Təhsil Təşkilatının əsas fəaliyyət istiqamətləri:

· Rusiya və beynəlxalq əmək bazarlarında rəqabətədavamlı, müasir təhsil standartlarına və elmi tədqiqatlara əsaslanan tikinti və əlaqəli sənaye sahələrində mütəxəssislərin hazırlanması;

· ölkə iqtisadiyyatının real sektorlarında rəqabətə tab gətirə bilən elmi potensialın təmin edilməsi;

· İşçilərin və tələbələrin özünü həyata keçirməsi, habelə peşəkar inkişafı üçün zəruri şəraitin yaradılması və təkmilləşdirilməsi;

· Rusiya və beynəlxalq səviyyədə universitetlərarası əməkdaşlığın inkişafı və beynəlxalq arenada mövqelərinin möhkəmləndirilməsi;

Universitetin ümumi rəhbərliyini Elmi Şura həyata keçirir, onun tərkibinə rektor (Elmi Şuranın sədri), prorektorlar, fakültə dekanları (Elmi Şuranın qərarı ilə) daxildir. Həmçinin universitetin təşkilati strukturuna kafedralar, mərkəzlər, şöbələr və digər bölmələr daxildir. Ətraflı təşkilati struktur Şəkil 1-də təqdim olunur.

Şəkil 1. "Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti" Ali Peşəkar Təhsil Federal Dövlət Büdcə Təhsil Təşkilatının təşkilati strukturu

Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti, davamlı inkişaf edən strukturu və modernləşdirilmiş təhsil və elmi bazası ilə müasir şəraitdə fəal inkişaf edən bir kompleksdir. Universitet ixtisaslaşdırılmış proqram məhsullarında olan geniş məlumat bazasına malikdir. Qurumun informasiya təhlükəsizliyi kifayət qədər yüksək səviyyədə təqdim edilir, lakin daim inkişaf edən hücumlar və pozuntular kontekstində təkmilləşdirilməyi tələb edir.

1.2 Aparat və proqram təminatının tərkibi və şəbəkə strukturu

NNGADU-da tədris prosesi əhəmiyyətli informasiya bazası, kompüter parkının inkişafı və tədris prosesinə modernləşdirilmiş informasiya sistemlərinin tətbiqi ilə müşayiət olunur. Tədris prosesini təmin etmək üçün bütün şöbə və şöbələr fərdi kompüterlər və lazımi avadanlıqlarla təchiz edilmişdir. Müasir informasiya texnologiyalarının tətbiqi sahəsində problemlərin həlli üçün universitet 8 kompüter sinfi ilə təchiz olunub. Universitetin bütün fərdi kompüterləri lisenziyalı Microsoft proqram təminatı və antivirus mühafizəsi ilə təchiz olunub. Bütün avadanlıqlar Cədvəl 1-də təqdim olunur.

Cədvəl 1. Aparat tərkibi

Bu gün universitetdə tədris prosesinin kompüterləşdirilməsinə diqqət yetirilir. Təhsil fəaliyyətini optimallaşdırmaq üçün universitet bütün zəruri müasir proqram paketlərinə malikdir. Cədvəl 2-də NNGASU-da istifadə olunan proqram təminatının siyahısı göstərilir.

Cədvəl 2. Proqram təminatı

Bütün universitetin fərdi kompüterləri lokal şəbəkəyə qoşulub və təhlükəsiz əlaqə vasitəsilə internetə çıxışı var. Optik xətt qovşaqları idarə olunan açarlarla təchiz edilmişdir. İnternetə daimi çıxışı təmin etmək üçün sistem 20 Mbit/s və 10 Mbit/s sürətlə kanalları təmin edən iki provayderlə əlaqə ilə təchiz edilmişdir. Tədris prosesinə aid olmayan məlumatları yükləməyə çalışarkən istifadəçi trafiki məhdudlaşır. Proqram təminatı səviyyəsində tələbələr və işçilər üçün müxtəlif domenlərdən istifadə olunur.

Şəbəkə seqmentləri arasında paketləri ötürmək üçün məlumatları itirmədən yükü paylamağa imkan verən MicroTic marşrutlaşdırıcısı istifadə olunur. Qlobal şəbəkə paketləri, uzaq istifadəçi saytları və NauDoc sistem paketləri ondan keçir.

Şəbəkə strukturu on bir fiziki serverlə təchiz olunub, onlardan dördü virtual maşın stansiyalarıdır. Bu şəbəkə elementlərində məlumat və arayış materialları, verilənlər bazası serverləri, həmçinin poçt serverləri və veb-saytlar quraşdırılır. Qurumun qlobal şəbəkəyə çıxışı olan 14 virtual serveri var. Bütün məlumatlardan keçən əsas server Nginx-dir. Nginx veb server, poçt proksisi və TCP proksisidir. Bu server 80-ci portda daxil olan məlumatları qəbul edir və sonra onu tələb olunan serverlərə (Ubuntu, Suse, CentOS, Win2008_IIS, Win7) yönləndirir. Universitet şəbəkəsinin strukturu Şəkil 2-də göstərilmişdir.

Şəkil 2. Ali Peşə Təhsili Federal Dövlət Büdcə Təhsil Təşkilatının şəbəkə strukturu "Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universiteti"

Demilitarizasiya zonası, kompüter sinifləri, ViPNet və universitetin özü hər biri ayrı-ayrı virtual lokal şəbəkələrə (VLAN) daxildir ki, bu da şəbəkə qurğularına yükü azaldır (bir domendən trafik digər domenə keçmir). Bu texnologiya həm də icazəsiz girişi istisna etməyə imkan verir, çünki Keçid digər virtual şəbəkələrdən paketləri kəsir.

Qurum iki provayderin xidmətlərindən istifadə etdiyi üçün əsas kanaldan ehtiyat kanala keçərkən internetin problemsiz işləməsinə ehtiyac var. Squid proqram paketi keşləmə proxy serveri kimi istifadə olunur. Bu qurum daxilində Squid-in əsas vəzifələri:

– Eyni saytlara daxil olduqda, onlar keşlənir və məlumatların bir hissəsi birbaşa serverdən gəlir;

– Sistem administratorunun ziyarət edilən saytları və yüklənmiş faylları izləmək imkanı;

– Müəyyən saytların bloklanması;

– Kanallar arasında yük paylanması;

Təşkilatın digər təhlükəsizlik divarı Microsoft Forefront Threat Management Gateway-dir. Microsoft Forefront yüksək səviyyəli təhlükəsizlik təmin edir və şəbəkə strukturunuzun təhlükəsizliyini idarə etməyə imkan verir. Xüsusilə, Microsoft Forefront TMG sizə xarici hücumlardan qorunmağa, trafikə nəzarət etməyə, daxil olan paketləri qəbul edib yönləndirməyə imkan verən proksi serverdir.

Rusiya Federasiyasının Təhsil və Elm Nazirliyi ilə qarşılıqlı əlaqə yaratmaq üçün qurum ViPNet texnologiyasından istifadə edir. ViPNet böyük şəbəkələrdə mühafizəni təmin edir və virtual özəl şəbəkənin (VPN) həyata keçirilməsi yolu ilə ictimai rabitə kanallarından istifadə etməklə məhdud giriş məlumatlarının ötürülməsi üçün təhlükəsiz mühit yaradır.

Müasir korporativ infrastrukturda yerli şəbəkənin mərkəzləşdirilmiş idarə edilməsinə və aparat virtuallaşdırılmasına ehtiyac var. Bu məqsədlə universitet Microsoft Hyper-V sistemindən istifadə edir ki, bu da sistem administratoruna korporativ sistem daxilində bir neçə problemi həll etməyə imkan verir:

- təhlükəsizlik səviyyəsinin artırılması;

– informasiya ehtiyatlarının mühafizəsi;

– məlumatların mərkəzləşdirilmiş saxlanması;

- miqyaslılıq;

1.3 İnformasiya axınlarının təhlili

Universitet informasiya resursları həm sistem daxilində, həm də xarici kanallar vasitəsilə dövr edir. İnformasiyanın mühafizəsini və təşkilini təmin etmək üçün universitet müxtəlif tipli müasir informasiya sistemlərindən istifadə edir.

Ən əhəmiyyətli və genişmiqyaslısı Tandem e - Learning - tam ştatlı təhsilə nəzarət etməyə imkan verən və modernləşdirilmiş elektron təhsil yanaşmalarından biri kimi distant təhsili həyata keçirən hərtərəfli informasiya sistemidir. Tandem e - Learning qapalı təhsil portalıdır, qeydiyyat prosedurunu başa vurduqdan sonra universitet işçiləri və tələbələrə daxil olmaq mümkündür. Sistemə daxil olmaq həm daxili kompüterlərdən, həm də xarici cihazlardan mümkündür.

Digər distant təhsil sistemi Moodle-dir. Bu portal da bağlıdır və qeydiyyat tələb olunur. Tandem kimi, Moodle sisteminə də xarici cihazlardan daxil olmaq olar.

Hər iki portal təhsilin idarə edilməsi sistemi (LMS) əsasında qurulub. LMS sizə tədris materialını idarə etməyə, yaymağa və paylaşmağa imkan verir.

Korporativ informasiya sistemi Tandem Universiteti sistemi vasitəsilə həyata keçirilir. Tələbələr, işçilər və yüksək səviyyəli menecerlər Tandem sisteminə daxil ola bilərlər. Bu sistemin qorunması onun təcrid olunmuş olması və yerli şəbəkəyə çıxışının olmaması ilə təmin edilir. Korporativ şəbəkənin bütün resursları dörd serverdə yerləşir, onlardan ikisində verilənlər bazası və əsas portal və iki test serveri var.

Universitetdə sənəd dövriyyəsi NauDoc sistemi vasitəsilə baş verir. Bu, bir qurum daxilində sənədlərin qeydiyyatı, işlənməsi və uçotu üçün bulud əsaslı sənəd idarəetmə sistemidir. Universitet ofisi, filialları və daxil olan təşkilatlar sistemə daxil ola bilərlər.

Universitet veb-saytının məzmunu 1C - Bitrix peşəkar idarəetmə sistemi tərəfindən idarə olunur. Bu sistemin üstünlüyü saytın cavab sürətini artıra bilməsidir.

Mühasibat uçotuna xidmət "PARUS - Mühasibatlıq" avtomatlaşdırılmış emal sistemi vasitəsilə həyata keçirilir. Bu proqram paketi aktivlərin, hesablaşmaların və vəsaitlərin uçotunu tam avtomatlaşdırmağa imkan verir. Tandem Universitetinin korporativ sistemi kimi, "PARUS - Mühasibatlıq" da təcrid olunub və ona yalnız mühasibatlıq şöbəsinin əməkdaşları daxil olur.

Universitet kitabxanası da MARK - SQL informasiya kitabxana sistemi vasitəsilə avtomatlaşdırılıb və idarə olunur. Bu sistem çoxlu sayda informasiya resurslarını, o cümlədən ayrıca Windows serverində saxlanılan informasiya kataloqunu ehtiva edir.

Həmçinin, resursların bəziləri aşağıdakı informasiya sistemlərində yer alır:

– Məsləhətçi+ (istinad - hüquq sistemi);

– TechExpert (“Biznes üçün Biznes” sahəsində normativ, hüquqi və texniki məlumatları ehtiva edən məlumat və arayış sistemi);

– Norma CS (layihə fəaliyyətində standartların və normativ sənədlərin axtarışı və istifadəsi üçün istinad sistemi);

– OTRS (sifariş emalı sistemi);

– RedMine (daxili verilənlər bazası);

– AIST (HR xidməti);

1.4 İnformasiya resurslarının təhlili

Nijni Novqorod Dövlət Memarlıq və İnşaat Mühəndisliyi Universitetinin informasiya sistemi öz növbəsində əsas qorunma obyekti olan çoxlu sayda məlumat ehtiyatını (məlumat bazaları, sənədlər, şəxsi məlumatlar, arxivlər, kitabxanalar) ehtiva edir. Məlumatın məxfiliyinin bir neçə səviyyəsini tətbiq etmək məsləhətdir:

· Məhdudlaşdırılmış məlumat:

– rəsmi sirr - açıqlanması iqtisadi zərər vura biləcək qurumun maliyyə, istehsal, idarəetmə və digər fəaliyyətləri haqqında məlumatları özündə əks etdirən məlumatlar;

– Peşə sirri - təhsil fəaliyyətinin və proseslərinin təşkilini ehtiva edən məlumat.

– Şəxsi məlumatlar - konkret şəxs haqqında məlumatı ehtiva edən hər hansı məlumat (tələbələr, müəllimlər və s. haqqında məlumat);

· İctimai məlumat:

– Qərarlar, fərmanlar, sərəncamlar;

– təhsil fəaliyyəti haqqında statistik məlumatları ehtiva edən məlumatlar;

– əldə edilməsi qanun və nizamnamə ilə məhdudlaşdırılmayan məlumatlar;

1.5 Obyektlərin fiziki mühafizəsi (mühafizə)

Obyekt 24 saat mühafizə postu vasitəsilə müşahidə altındadır. Universitet binalarına giriş şəxsi vəsiqələrdən istifadə etməklə həyata keçirilir. Ziyarətçilərin əraziyə yalnız qurumun əməkdaşının müşayiəti ilə daxil olmaq hüququ var. Universitetdə yanğın və mühafizə siqnalizasiyası quraşdırılıb, müvafiq sensorlar quraşdırılıb. Aparat saxlama cihazları (serverlər) ayrıca otaqda yerləşir. Obyektə videomüşahidə sistemi vasitəsilə nəzarət edilir.

Əsas mühafizə obyektlərinə aşağıdakılar daxildir:

– verilənlər bazası serverləri;

– hesabın idarə olunması stansiyası;

– ftp və www - serverlər;

– Mühasibat LAN və s.;

– Arxiv, maliyyə, statistika və təhsil şöbələrindən alınan məlumatlar;

– Xarici və daxili informasiya resursları;

2. TƏHLÜK MODELİNİN TƏHLİLİ VƏ İNKİŞAF EDİLMƏSİ

2.1 Təhlükəsizlik təhdidləri və zəiflik mənbələrinin təsnifatı və təhlili

İnformasiya təhlükəsizliyində təhlükə kompüter şəbəkəsinin işinə təsir edə biləcək və təhlükəsizlik sisteminin nasazlığına səbəb ola biləcək potensial hadisə və ya hərəkətdir. Resurslara təsir edərkən, təhlükələr qorunan məlumatların icazəsiz daxil olmasına, təhrif edilməsinə və yayılmasına səbəb olur. Təhdid mənbələrini aşağıdakı qruplara bölmək məqsədəuyğundur:

– texnogen təhlükələr (təhlükəsizlik sisteminin komponentlərinin işlənib hazırlanması və istismarı zamanı təsadüfi səhvlər, pozucunun qəsdən hərəkətləri);

– texnogen təhlükələr (texniki avadanlıqların nasazlığı və nasazlığı);

– təbii təhlükələr (təbii təhlükəsizliyə təhdidlər);

Cədvəl 2 təşkilata xas olan təsnifatı və mümkün təhlükələri təqdim edir.

Cədvəl 2. Təhlükə mənbələrinin təsnifatı

Təbii təhlükə mənbələri fors-major hallarla xarakterizə olunur və bütün təhlükəsizlik obyektlərinə şamil edilir. Bu cür təhlükələri proqnozlaşdırmaq və qarşısını almaq çətindir. Təhdidlərin əsas təbii mənbələri bunlardır: yanğınlar, daşqınlar, qasırğalar və gözlənilməz hallar. Təbii təhlükələrə qarşı qoruyucu tədbirlər hər zaman aparılmalıdır.

Yuxarıda göstərilən təhdidlərə gəlincə, ən çox ehtimal olunan və təhlükəli olan daxili istifadəçilərin və kompüter şəbəkəsi ilə bilavasitə əlaqəli şəxslərin bilmədən etdiyi hərəkətlərdir.

Ən çox yayılmış və ən təhlükəli (zərər miqdarı baxımından) müntəzəm istifadəçilərin, operatorların, sistem administratorlarının və kompüter şəbəkəsini saxlayan digər şəxslərin qəsdən səhvləridir. Texnogen təhlükələr daha çox ehtimal olunur, çünki insanların hərəkətlərini proqnozlaşdırmaq və müvafiq əks tədbirlər görmək mümkündür, bu da öz növbəsində informasiya təhlükəsizliyinin təmin edilməsinə cavabdeh olan şəxslərin hərəkətlərindən asılıdır.

Təhdidlər adətən zəifliklərin nəticəsidir ki, bu da öz növbəsində təhlükəsizlik pozuntularına səbəb olur. Zəiflik, təhlükənin uğurla həyata keçirilməsinə və sistemin bütövlüyünü pozmağa imkan verən sistemdəki qüsurdur. Zəifliklər bir neçə səbəbə görə yarana bilər:

– proqram təminatının yaradılması zamanı səhvlər;

– proqram təminatının dizayn mərhələsində zəifliklərin qəsdən tətbiqi;

– zərərli proqramların icazəsiz istifadəsi və nəticədə resursların lüzumsuz xərclənməsi;

– təsadüfi istifadəçi hərəkətləri;

- proqram təminatının və aparatın nasazlığı;

Aşağıdakı zəifliklər mövcuddur:

· Məqsəd (informasiya sisteminin texniki təchizatından asılı olaraq zəifliklər):

– Aparat əlfəcinləri (texniki və periferik avadanlıqlar üçün əlfəcinlər);

– Proqram əlfəcinləri (zərərli proqram);

· Subyektiv (insanların hərəkətlərindən asılı olaraq zəifliklər):

– Səhvlər (istifadəçilər tərəfindən proqram və texniki vasitələrin düzgün işləməsi, məlumatların səhv daxil edilməsi);

– Pozulmalar (informasiya təhlükəsizliyi siyasəti qaydalarının pozulması, giriş və məxfiliyin pozulması, avadanlıqların istismarının pozulması);

· Random (informasiya sistemini əhatə edən mühitin yaratdığı zəifliklər)

– Arızalar (məlumatların emalı vasitələrinin nasazlığı, şəbəkə vasitələrinin nasazlığı, nəzarət və təhlükəsizlik sisteminin nasazlığı, proqram təminatının nasazlığı);

– Arızalar (elektrik kəsintiləri);

– Zərər (kommunal xətlərin qırılması);

Zəifliklərin azaldılması və ya aradan qaldırılması informasiya təhlükəsizliyi təhdidlərinin baş vermə ehtimalına təsir göstərir.

2.2 İntruder modeli

Universitet informasiya aktivlərinin mühafizəsinin təmin edilməsi spesifikdir, çünki bu, daimi olmayan auditoriyaya malik bir qurumdur. Hücumların hər hansı bir varlıqdan gələ biləcəyinə görə onları iki kateqoriyaya bölmək faydalıdır: xarici hücumçular və daxili hücumçular. Xarici müdaxiləçi işçi olmayan və informasiya sisteminə çıxışı olmayan şəxsdir. Bu kateqoriyaya daxildir:

– hakerlər (zərər vurmaq və məhdud giriş məlumatı əldə etmək məqsədi ilə hücumlar yaradan və həyata keçirən qurumlar): informasiya sistemlərinə icazəsiz giriş yolu ilə onlar məlumatları məhv edə və ya dəyişdirə bilərlər; zərərli proqram və virusların, sonradan icazəsiz girişlə aparat və proqram əlfəcinlərinin tətbiqi);

– aparat və proqram təminatının provayderləri və təchizatçıları (iş stansiyaları vasitəsilə informasiya ehtiyatlarına və rabitə kanallarına icazəsiz giriş);

Bütün digər subyektlər daxili pozuculardır. FSTEC rəhbər sənədinə uyğun olaraq "Fərdi məlumatların məlumat sistemlərində işlənməsi zamanı fərdi məlumatların təhlükəsizliyinə təhdidlərin əsas modeli" daxili pozuntular səkkiz kateqoriyaya bölünür:

1. ISPD-yə giriş icazəsi olan, lakin PD-yə çıxışı olmayan şəxslər.

Bu quruma münasibətdə belə hüquqlar rəhbərliyə, informasiya texnologiyaları şöbəsinə məxsusdur. Hüquqlarına uyğun olaraq, bu şəxslər: daxili kanallar vasitəsilə yayılan şəxsi məlumatların bəzi hissələrinə çıxış əldə edə bilər; ISPD topologiyası, rabitə protokolları və xidmətləri haqqında məlumatları bilmək; qeydiyyatdan keçmiş istifadəçilərin adlarını və şifrələrini müəyyən etmək; aparat və proqram təminatının konfiqurasiyasını dəyişdirin.

2. İş yerindən ISPD resurslarına məhdud çıxışı olan qeydiyyatdan keçmiş ISPD istifadəçiləri.

Bu kateqoriyaya müəssisənin şöbə əməkdaşları, müəllim və tələbələri daxildir. Bu kateqoriyaya aid şəxslər: bir identifikator və parola malikdirlər; onların icazə verdiyi məxfi məlumatlara malikdir.

3. Yerli və (və ya) paylanmış informasiya sistemləri vasitəsilə PD-yə uzaqdan girişi təmin edən qeydiyyatdan keçmiş ISPD istifadəçiləri.

4. ISPD seqmentinin təhlükəsizlik administratorunun səlahiyyətinə malik ISPD-nin qeydiyyatdan keçmiş istifadəçiləri.

Bu kateqoriyaya aid şəxslər: bu seqmentdə istifadə olunan proqram təminatı və aparat haqqında məlumatlara malik olmaq; təhlükəsizlik və giriş alətlərinə və ISPD aparatına çıxışı var.

5. ISPD sistem administratoru hüquqlarına malik qeydiyyatdan keçmiş istifadəçilər.

Bu kateqoriyaya aid şəxslər: tam ISPD-nin proqram təminatı və avadanlıqları haqqında məlumatı bilir; bütün avadanlıqlara fiziki giriş imkanı var; avadanlıqları konfiqurasiya etmək hüququna malikdir.

6. ISPD təhlükəsizlik inzibatçısı hüquqları ilə qeydiyyatdan keçmiş istifadəçilər.

7. Proqramçılar - proqram təminatçıları və onu bu obyektdə müşayiət edən şəxslər.

Bu kateqoriyaya aid şəxslər: ISPD-də məlumatların işlənməsi prosedurları və proqramları haqqında məlumatı bilirlər; inkişaf zamanı səhvlər, səhvlər və zərərli kodlar təqdim edə bilər; ISPD-nin topologiyası və aparatı haqqında məlumatı bilə bilər.

8. ISPD-də avadanlıqların təchizatı, texniki xidməti və təmirini təmin edən tərtibatçılar və şəxslər.

Bu quruma münasibətdə daxili pozuculara aşağıdakılar daxildir:

– informasiya resurslarının istifadəçiləri (kafedra, şöbə və digər şöbələrin işçiləri, müəllimlər, tələbələr) (məlumatların qəsdən dəyişdirilməsi və ya məhv edilməsi; zərərli və sertifikatlaşdırılmamış proqram təminatının quraşdırılması; icazəsiz şəxslərə fərdi parolun ötürülməsi);

– informasiya sisteminə xidmət göstərən və dəstəkləyən şəxslər (texniki və ya şəbəkə vasitələrinin təsadüfən və ya qəsdən yanlış konfiqurasiyası);

– informasiya emalı vasitələrinə çıxışı olan digər şəxslər (texniki və texniki işçilər) (elektrik enerjisi təchizatının və mühəndis strukturlarının qəsdən pozulması);

Qanunu pozanların xüsusi və ən əhəmiyyətli kateqoriyası tələbələrdir. Bu gün onların çoxu kifayət qədər yaxşı təlim keçmişdir və kiberməkanı başa düşür. Bəzi manipulyasiyalar vasitəsilə tələbələr bir sıra təhlükəsizlik pozuntuları törədə və ziyan vura bilirlər.

2.3 İnformasiya sisteminə cari təhlükələrin müəyyən edilməsi

Həqiqi təhlükəsizlik təhdidlərini müəyyən etmək üçün iki dəyər nəzərə alınmalıdır. Birinci göstərici informasiya sisteminin ilkin təhlükəsizlik səviyyəsidir. Bu, sistemin texniki xüsusiyyətlərindən asılı olan ümumi göstəricidir. Cədvəl 4-də müəyyən təhlükəsizlik səviyyəsinin bütün mövcud təhlükəsizlik göstəricilərinə nisbəti ilə müəyyən edilən informasiya sisteminin ilkin təhlükəsizliyinin hesablanması təqdim olunur.

Cədvəl 4. Qurumun ilkin təminatının hesablanması

Təhlilin nəticələrinə əsasən, təşkilatın ISPD-nin orta təhlükəsizlik səviyyəsinə sahib olduğu qənaətinə gəlmək olar. Alınan nəticəyə uyğun olaraq bir əmsal tətbiq edilir Y 1 = 5. Bu əmsal təhlükələrin aktuallığını təyin edərkən birinci parametrdir.

Növbəti parametr təhlükənin baş vermə ehtimalıdır ( Y 2). Bu göstərici mütəxəssislər tərəfindən müəyyən edilir və dörd mümkün dəyərə malikdir:

– çətin (təhlükənin reallaşması üçün obyektiv ilkin şərtlərin olmaması - 0);

– aşağı ehtimal (təhlükənin baş verməsi üçün aydın ilkin şərtlər mövcuddur, lakin mövcud mühafizə vasitələri həyata keçirilməsini çətinləşdirir - 2);

– orta ehtimal (təhdidlərin reallaşması üçün ilkin şərtlər var və ilkin müdafiə üsulları kifayət deyil - 5);

– yüksək ehtimal (təhdidlərin baş verməsi üçün obyektiv ilkin şərtlər mövcuddur və təhlükəsizlik tədbirləri görülməmişdir - 10);

Əldə edilmiş parametrlərə əsasən Y = ( düsturu ilə təyin olunan təhlükənin həyata keçirilməsi əmsalı Y hesablanır. Y 1 +Y 2)/20. Alınan nəticəyə uyğun olaraq Y aşağıdakı dəyərləri alır:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0,8 - təhlükənin çox yüksək reallaşdırılması;

Növbəti addım təhlükənin şiddətini qiymətləndirməkdir. Bu reytinq təhlükəsizlik üzrə mütəxəssis tərəfindən verilir və aşağıdakı təhlükə dəyərlərinə malikdir:

– aşağı təhlükə - təhlükənin həyata keçirilməsi cüzi ziyana səbəb ola bilər;

– orta təhlükə - təhlükənin həyata keçirilməsi zərər verə bilər;

– yüksək təhlükə - təhlükənin həyata keçirilməsi əhəmiyyətli zərər verə bilər;

Cədvəl 5-də yuxarıda göstərilən bütün göstəriciləri nəzərə almaqla əldə edilən təhdidlərin aktuallığının hesablanması üçün matris təqdim olunur.

– “+” - təhlükə təcilidir;

– “-” - təhlükə əhəmiyyətsizdir;

Cədvəl 5. Təhdidlərin aktuallığının hesablanması üçün matrisa

Qurumun ilkin təhlükəsizliyinin və təhdid aktuallıq matrisinin təhlili nəticəsində bu qurum üçün xarakterik olan təhdidlər müəyyən edilib və onların aşağıdakı plan üzrə aktuallığı müəyyən edilib: təhlükə (təhlükə ehtimalı; təhlükənin mümkünlüyü; təhlükənin qiymətləndirilməsi). təhlükə təhlükəsi) - müvafiq/məqbul olmayan.

1. Qurumun ərazisinə, texniki təchizat obyektlərinə, sənədlərə icazəsiz daxil olma (aşağı ehtimal (2); orta texniki imkan (0,35); yüksək təhlükə) - müvafiq;

2. Avtomatlaşdırılmış sistem avadanlığının oğurlanması və ya zədələnməsi (ehtimal yoxdur (0); aşağı texniki imkan (0,25); yüksək təhlükə) - müvafiq;

3. İnformasiyanın qəsdən məhv edilməsi və dəyişdirilməsi (orta ehtimal (5); orta texniki imkan (0,5); yüksək təhlükə) - müvafiq;

4. Kağız informasiya ehtiyatlarının oğurlanması (ehtimal yoxdur (0); aşağı texniki-iqtisadi (0,25); orta təhlükə) - əhəmiyyətsiz;

5. Mobil qurğular və noutbuklar vasitəsilə məxfi məlumatların sızması (ehtimal yoxdur (0); aşağı texniki imkan (0,5); orta təhlükə) - əhəmiyyətsizdir;

6. Müvafiq biliklərin olmaması səbəbindən avadanlıqdan istifadə hüququnun qəsdən aşılması (orta ehtimal (5); orta texniki imkan (0,5); orta təhlükə) - müvafiq;

7. Şəbəkə trafikinin skan edilməsi ilə ötürülən məlumatın tutulması (aşağı ehtimal (2); orta texniki imkan (0,35); yüksək təhlükə) - müvafiq;

8. Üçüncü tərəfin zərərli proqram təminatının quraşdırılması (aşağı ehtimal (2); orta texniki imkan (0,35); orta təhlükə) - müvafiq;

9. Proqram təminatı komponentlərinin konfiqurasiyasında dəyişikliklər (orta ehtimal (5); orta texniki imkan (0,5); yüksək təhlükə) - müvafiq;

10. İstifadəçi qeydiyyatı məlumatlarının məhv edilməsi və ya dəyişdirilməsi (ehtimal yoxdur (0); aşağı texniki imkan (0,25); aşağı təhlükə) - əhəmiyyətsizdir;

11. Məxfi məlumatların işçilər tərəfindən qəsdən açıqlanması (yüksək ehtimal (10); yüksək mümkünlüyü (0,75); yüksək təhlükə) - müvafiq;

12. Texniki avadanlığın işinə təsir göstərə bilən müxtəlif növ şüalanmalar (ehtimal yoxdur (0); aşağı texniki imkan (0,25); orta təhlükə) - əhəmiyyətsiz;

13. Şəbəkə avadanlığının sıradan çıxması və sıradan çıxması (orta ehtimal (5); orta texniki imkan (0,5); orta təhlükə) - müvafiq;

14. Aparat və proqram təminatının xətaları və ya nasazlığı səbəbindən verilənlərin məhv edilməsi (orta ehtimal (5); orta texniki imkan (0,5); yüksək təhlükə) - müvafiq;

15. Proqram əlfəcinləri (aşağı ehtimal (2); orta texniki imkan (0,35); orta təhlükə) - müvafiq;

16. İnformasiya xidmətlərinə daxil olmaq üçün başqasının qeydiyyat məlumatlarından istifadə (orta ehtimal (2); orta texniki imkan (0,35); yüksək təhlükə) - müvafiq;

17. Təhlükəsizlik və təhlükəsizlik tədbirlərinin pozulması (aşağı ehtimal (2); orta texniki imkan (0,35); orta zərər) - müvafiq;

Mövcud təhlükələri təhlil edərək belə nəticəyə gəlmək olar ki, onların hamısını texniki və təşkilati tədbirlərlə aradan qaldırmaq olar. Cədvəl 6-da məlumatların qorunması üçün universitetdə istifadə oluna bilən cari təhlükələrlə mübarizə tədbirləri təqdim olunur.

Cədvəl 6. Cari təhlükələrlə mübarizə üsulları

Cədvəldə göstərilən təhdidlərlə mübarizə üsulları universitetin təhlükəsizlik siyasətinin hazırlanması zamanı nəzərə alınacaq və istifadə olunacaq.

2.4. İnformasiya sisteminin təhlükəsizlik sinifinin müəyyən edilməsi

Bir qurum üçün effektiv təhlükəsizlik sistemini inkişaf etdirmək üçün mənbə sisteminin təhlükəsizlik sinifini müəyyən etmək lazımdır. Bu məqsədlə informasiya sisteminin təhlili aparılıb və aşağıdakı nəticələr əldə edilib:

– Sistem müxtəlif məxfilik səviyyəli məlumatları emal edir;

– Sistem “gizli” kimi təsnif edilən məlumatları emal edir;

– İnformasiya sistemi çox istifadəçilidir;

- Giriş hüquqları...

Oxşar sənədlər

İnformasiyanın mahiyyəti, onun təsnifatı. Təminatın əsas problemləri və müəssisənin informasiya təhlükəsizliyinə təhdidlər. Riskin təhlili və müəssisənin informasiya təhlükəsizliyi prinsipləri. İnformasiya təhlükəsizliyini təmin etmək üçün tədbirlər kompleksinin hazırlanması.

kurs işi, 17/05/2016 əlavə edildi


MMC-nin "Style" mağazasının infrastrukturunun təhlili. Layihəqabağı ekspertizası əsasında müəssisənin mühasibat uçotu üçün informasiya təhlükəsizliyi sisteminin yaradılması. Konsepsiyanın hazırlanması, informasiya təhlükəsizliyi siyasəti və onun təmin edilməsi üçün həll yollarının seçilməsi.

kurs işi, 09/17/2010 əlavə edildi


Effektiv və kifayət qədər təhlükəsizlik tələbləri toplusunu müəyyən edən effektiv siyasətlər sistemi şəklində müəssisənin informasiya təhlükəsizliyi strategiyası. İnformasiya təhlükəsizliyi təhdidlərinin müəyyən edilməsi. Daxili nəzarət və risklərin idarə edilməsi.

kurs işi, 06/14/2015 əlavə edildi


Dövlət qurumunun informasiya sisteminin struktur və infoloji modellərinin işlənib hazırlanması. Təhdidlərin siyahısı və təhlili, hücum hədəfləri, itkilərin növləri, zərərin həcmi, mənbələri. Məxfi məlumat bazasının qorunması və təhlükəsizlik siyasətinin işlənib hazırlanması.

kurs işi, 11/15/2009 əlavə edildi


İnformasiya təhlükəsizliyi risklərinin idarə edilməsi üçün əsas anlayışlar, metodlar və texnologiyalar. Risklərin, aktivlərin, təhdidlərin, zəifliklərin, mövcud nəzarət vasitələrinin, nəticələrin müəyyən edilməsi. Riskin qiymətləndirilməsi və azaldılması. Tipik informasiya təhlükəsizliyi təhdidlərinin nümunələri.

təqdimat, 04/11/2018 əlavə edildi


Rusiyada informasiya təhlükəsizliyi sahəsində normativ sənədlər. İnformasiya sistemləri üçün təhlükələrin təhlili. Klinikanın fərdi məlumatların mühafizəsi sisteminin təşkilinin xüsusiyyətləri. Elektron açarlardan istifadə edərək autentifikasiya sisteminin tətbiqi.

tezis, 31/10/2016 əlavə edildi


Aşatlı kənd təsərrüfatı holdinqinin informasiya ehtiyatlarının xarakteristikası. Müəssisəyə xas olan informasiya təhlükəsizliyi təhdidləri. İnformasiyanın mühafizəsi tədbirləri, üsulları və vasitələri. Mövcud olan çatışmazlıqların və yenilənmiş təhlükəsizlik sisteminin üstünlüklərinin təhlili.

kurs işi, 02/03/2011 əlavə edildi


İnformasiya təhlükəsizliyi anlayışı, mənası və istiqamətləri. İnformasiya təhlükəsizliyinin təşkilinə sistemli yanaşma, məlumatın icazəsiz girişdən qorunması. İnformasiya təhlükəsizliyi vasitələri. İnformasiya təhlükəsizliyi üsulları və sistemləri.

mücərrəd, 11/15/2011 əlavə edildi


İnformasiya təhlükəsizliyi riskinin təhlili. Aktiv zəifliklərinin müəyyən edilməsi. Mövcud və planlaşdırılan mühafizə vasitələrinin qiymətləndirilməsi. İnformasiya təhlükəsizliyini təmin etmək üçün nəzərdə tutulmuş tənzimləyici, təşkilati və inzibati vasitələrin məcmusudur.

dissertasiya, 04/03/2013 əlavə edildi


UML obyekt yönümlü modelləşdirmə üsullarından istifadə edərək universitet məlumat sisteminin inkişafı. Sistem tələblərinin təhlili. Konseptual (məzmun) model. Komponent və sinif diaqramı. Tətbiqin proqram təminatının həyata keçirilməsi.

UDC 004.056

O. M. Protalinski, İ. M. Ajmuxamedov UNİVERSİTETİN İNFORMASİYA TƏHLÜKƏSİZLİYİ

Giriş

Müasir ümumi informasiyalaşdırma və informasiya texnologiyalarının inkişafı şəraitində Rusiya Federasiyasının informasiya sahəsində milli təhlükəsizliyinə təhdidlər artır.

İnformasiya sahəsinə münasibətdə Rusiya Federasiyasının milli təhlükəsizliyi konsepsiyası Rusiya Federasiyasının İnformasiya Təhlükəsizliyi Doktrinası ilə hazırlanmışdır.

Doktrinada deyilir ki, Rusiya Federasiyasının informasiya təhlükəsizliyinin təmin edilməsi Rusiya Federasiyasının milli təhlükəsizliyinin təmin edilməsində əsas rol oynayır. Eyni zamanda, Rusiya Federasiyasının informasiya təhlükəsizliyinin təmin edilməsi sahəsində dövlət siyasətinin prioritet istiqamətlərindən biri kadr hazırlığının təkmilləşdirilməsi və informasiya təhlükəsizliyi sahəsində təhsilin inkişafıdır. Bu problemlərin həllində universitetlərin xüsusi rolu var.

Rusiya ali təhsili təkcə informasiya cəmiyyətinin obyektiv proseslərinə deyil, həm də rəqabətin müxtəlif təzahürləri olan yeni ictimai-siyasi şəraitə uyğunlaşma dövrünü yaşayır.

Müasir şəraitdə ali təhsil sisteminin informasiya resurslarının idarə edilməsinin səmərəli mexanizmlərinin yaradılması elmi əsaslandırmadan və aşağıdakı vəzifələrin həlli əsasında formalaşa bilən universitetin tarazlaşdırılmış informasiya təhlükəsizliyi siyasətinin praktiki həyata keçirilməsi olmadan mümkün deyil:

Rusiya texniki universitetinin əsas fəaliyyətinin bütün sahələrində informasiyanın qarşılıqlı əlaqəsi proseslərinin təhlili: məlumat axınları, onların miqyası və keyfiyyəti, ziddiyyətlər, sahiblərin və rəqiblərin müəyyən edilməsi ilə rəqabət;

İnformasiyanın qarşılıqlı əlaqəsinin keyfiyyətcə və sadə kəmiyyət (riyazi) təsvirinin işlənməsi;

informasiya mübadiləsinin açıqlığı, təhlükəsizliyi və ədalətliliyi kəmiyyət göstəricilərinin və meyarlarının tətbiqi;

İnformasiya açıqlığı və məxfilikdə balansın zəruriliyi və əhəmiyyəti ilə bağlı ssenarilərin hazırlanması;

Universitet informasiya ehtiyatlarının idarə olunmasında informasiya təhlükəsizliyi siyasətinin rolunun və yerinin müəyyən edilməsi və ardıcıl prinsip və yanaşmaların işlənib hazırlanması;

Siyasətin əsas komponentlərinin formalaşdırılması: informasiya təhlükəsizliyinin təmin edilməsinin məqsədləri, vəzifələri, prinsipləri və əsas istiqamətləri;

İnformasiya təhlükəsizliyi siyasətinin təmin edilməsi prosesinin idarə edilməsinin əsas üsullarının işlənib hazırlanması;

Normativ sənədlərin layihələrinin hazırlanması.

Təhsil müəssisələrinin xüsusiyyətləri

Müasir universitet təkcə təhsil prosesi ilə deyil, həm də tədqiqat və inkişafla, tələbələrin və işçilərin şəxsi məlumatları, rəsmi, kommersiya və digər məxfi məlumatlarla bağlı çoxlu sayda müxtəlif məlumatları saxlayır və emal edir.

Yüksək texnologiyalar sahəsində cinayətlərin sayının artması onun təhsil müəssisələrinin kompüter şəbəkələrinin resurslarının mühafizəsi tələblərini diktə edir və özünün inteqrasiya olunmuş təhlükəsizlik sistemini qurmaq vəzifəsini qoyur. Onun həlli təhsil müəssisəsi daxilində normativ-hüquqi bazanın mövcudluğunu, təhlükəsizlik konsepsiyasının formalaşdırılmasını, təhlükəsiz iş üçün tədbirlərin, planların və prosedurların işlənib hazırlanmasını, informasiya təhlükəsizliyinin texniki vasitələrinin (ISIS) layihələndirilməsini, həyata keçirilməsini və saxlanmasını nəzərdə tutur. Bu komponentlər universitetdə informasiya təhlükəsizliyinin təmin edilməsi üzrə vahid siyasəti müəyyən edir.

Təhsil sistemində informasiyanın qorunmasının özəlliyi ondan ibarətdir ki, universitet qeyri-sabit auditoriyaya malik dövlət qurumu olmaqla yanaşı, həm də “naşıyan kibercinayətkarlar” üçün fəallığın artdığı yerdir.

Universitetdə potensial pozucuların əsas qrupu tələbələrdir, onların bəzilərinin kifayət qədər yüksək hazırlıq səviyyəsi var. Yaş (18 yaşdan 23 yaşa qədər) və gənclik maksimalizmi belə insanları tələbə yoldaşları qarşısında biliklərini nümayiş etdirməyə təşviq edir: virus epidemiyası yaratmaq, inzibati giriş əldə etmək və müəllimi "cəzalandırmaq", internetə girişi bloklamaq və s. İlk kompüter cinayətlərinin məhz universitetdə (Morris qurdu) yarandığını xatırlamaq kifayətdir.

Universitetin informasiyalaşdırma obyekti kimi xüsusiyyətləri həm də onun fəaliyyətinin çoxşaxəli xarakteri, tədris işinin forma və metodlarının bolluğu, infrastrukturun (filialların, nümayəndəliklərin) məkan bölgüsü ilə bağlıdır. Buraya həm də maliyyə mənbələrinin müxtəlifliyi, yardımçı şöbə və xidmətlərin (tikinti, istehsal, təsərrüfat fəaliyyətləri) inkişaf etmiş strukturunun mövcudluğu, dəyişən təhsil xidmətləri bazarına uyğunlaşma zərurəti, əmək bazarının təhlili zərurəti, əmək bazarının təhlili zərurəti daxildir. biznes proseslərinin ümumi qəbul edilmiş rəsmiləşdirilməsinin olmaması, yuxarı təşkilatlarla elektron qarşılıqlı əlaqəyə ehtiyac, işçilərin və kursantların statusunun tez-tez dəyişməsi.

Problem bir qədər yüngülləşir ki, universitet idarəetmə funksiyaları baxımından sabit, iyerarxik sistemdir, onun həyat üçün bütün lazımi şəraiti vardır və mərkəzləşdirilmiş idarəetmə prinsipləri əsasında fəaliyyət göstərir (sonuncu o deməkdir ki, inzibati resurslardan fəal şəkildə istifadə oluna bilər). informasiyalaşdırma tapşırıqlarının idarə edilməsində).

Yuxarıda göstərilən xüsusiyyətlər aşağıdakı tələblərə uyğunluğu tələb edir:

İnformasiya təhlükəsizliyi problemlərinin konsepsiyadan başlayaraq proqram təminatı və aparat həllərinin dəstəyinə qədər hərtərəfli öyrənilməsi;

Biznes proseslərinin məzmununu bilən çoxlu sayda mütəxəssislərin cəlb edilməsi;

Korporativ proqramların modul strukturundan istifadə etməklə, hər bir modul vahid təhlükəsizlik tələblərini təmin etməklə bir-biri ilə əlaqəli biznes prosedurları və ya informasiya xidmətləri qrupunu əhatə edir;

İnformasiya təhlükəsizliyi problemlərinin həllində ağlabatan mərhələlər ardıcıllığının tətbiqi;

Uğurlu bir sistemin yaradılmasını təmin etmək üçün standartların ağıllı tətbiqinə əsaslanan inkişafların sənədləşdirilməsi;

Tələb olunan təhlükəsizlik səviyyəsini təmin edən müxtəlif məqsədlər üçün etibarlı və genişləndirilə bilən aparat və proqram platformalarının və texnologiyalarının istifadəsi.

Memarlıq nöqteyi-nəzərindən korporativ informasiya mühitində üç səviyyəni ayırd etmək olar ki, onların təhlükəsiz işləməsini təmin etmək üçün müxtəlif yanaşmalardan istifadə etmək lazımdır:

Kompüter şəbəkəsi, kanallar və məlumat xətləri, istifadəçi iş stansiyaları, məlumat saxlama sistemləri üçün avadanlıq;

Əməliyyat sistemləri, şəbəkə xidmətləri və resurslara girişə nəzarət xidmətləri, ara proqram;

Tətbiqi proqram təminatı, informasiya xidmətləri və istifadəçi yönümlü mühitlər.

İnteqrasiya edilmiş informasiya şəbəkəsini (MDB) yaratarkən, seçilmiş həllər və ya texnologiyalar üçün təhlükəsizlik tələblərinin səviyyəli əlaqələndirilməsini təmin etmək lazımdır. Beləliklə, ikinci səviyyədə bir çox universitetlərin MDB arxitekturası bir-biri ilə yalnız Sh-ünvanların təyin edilməsi və ya mesajlaşma səviyyəsində koordinasiya edilmiş, müxtəlif əməliyyat mühitləri olan, bir-birindən fərqli və zəif əlaqəli alt sistemləri təmsil edir. MDB-nin zəif sistem təşkilinin səbəbləri təsdiq edilmiş MDB arxitekturasının olmaması və əlaqələndirilməmiş fəaliyyət göstərən texnologiyanın inkişafı üçün bir neçə məsuliyyət mərkəzinin olmasıdır. Problemlər, əsas texnoloji qərarlar tamamilə mərkəzləşdirildikdə, sistemin təhlükəsizlik səviyyəsini kəskin şəkildə azaldan şöbələrdə əməliyyat mühitinin seçimini idarə etmək istəməməkdən başlayır.

İnformasiya texnologiyalarının inkişafı üçün dəqiq strategiyaya, informasiya infrastrukturuna vahid tələblərə, informasiya təhlükəsizliyi siyasətinə və korporativ informasiya sisteminin əsas komponentləri üçün təsdiq edilmiş qaydalara malik olan universitetlər adətən idarəetmədə güclü inzibati nüvə və yüksək nüfuzu ilə seçilirlər. İT xidmətinin rəhbəri.

Bu cür universitetlər, təbii ki, müxtəlif əməliyyat mühitlərindən və ya orta səviyyəli sistemlərdən istifadə edə bilərlər, lakin bu, təşkilati, texniki və ya iqtisadi səbəblərlə bağlıdır və universitetin MDB-nin yerləşdirilməsinə və informasiya resurslarına təhlükəsiz çıxışın vahid prinsiplərinin tətbiqinə mane olmur. .

Üçüncü səviyyəli universitetlərdə MDB arxitekturasının inkişaf vəziyyətini aşağıdakı kimi xarakterizə etmək olar: ayrıca biznes prosesini avtomatlaşdıran və yerli məlumat toplusuna əsaslanan yerli proqram təminatından istifadəçinin operativ məlumatlara çıxışını təmin edən korporativ müştəri-server informasiya sistemlərinə keçid. universitet məlumat bazaları böyük ölçüdə tamamlanmışdır. Bu və ya digər formada müxtəlif informasiya sistemləri tərəfindən yaradılan məlumatların inteqrasiyası problemi həll edilmişdir ki, bu da biznes proseslərini təkmilləşdirməyə, idarəetmə və qərar qəbuletmə keyfiyyətini yüksəltməyə imkan verir.

Əgər 90-cı illərin əvvəllərində. XX əsr Mühasibat proqramlarına və idarəetmə uçotu proqramlarına (HR, hesabat və s.) tələbat yüksək idi, lakin hazırda bu tələbat əsasən ödənilmişdir. Hal-hazırda vəzifə təhsil müəssisəsinin fəaliyyəti haqqında etibarlı məlumatların təkcə idarəetmə heyətini deyil, həm də hər bir müəllim və tələbəni təmin etməkdir, yəni MDB-də dövriyyədə olan məlumatların səmərəli idarə edilməsi vəzifəsidir ki, bu da öz növbəsində belə şəbəkələrdə informasiya təhlükəsizliyinin təmin edilməsi vəzifəsi daha aktualdır.

Universitetlərin korporativ şəbəkələrinin informasiya təhlükəsizliyi

İnternetin və yeni informasiya texnologiyalarının tədris prosesinə və universitetin idarəetmə sisteminə fəal şəkildə tətbiqi korporativ şəbəkələrin yaranması üçün ilkin şərait yaratmışdır.

Universitetin korporativ şəbəkəsi kompüterləri, serverləri, şəbəkə avadanlığını, rabitə və telekommunikasiya vasitələrini və universitetin idarə edilməsi və təhsil fəaliyyətinin aparılması problemlərinin həlli üçün nəzərdə tutulmuş proqram təminatı sistemini özündə birləşdirən informasiya sistemidir.

Korporativ şəbəkə adətən yalnız universitetin struktur bölmələrini deyil, həm də onların regional ofislərini birləşdirir. Əvvəllər universitetlər üçün əlçatmaz olan bu şəbəkələr indi internetin kütləvi şəkildə yayılması və onun əlçatanlığı səbəbindən təhsil strukturlarına fəal şəkildə daxil edilməyə başlayıb.

Universitetin inteqrasiya olunmuş informasiya təhlükəsizliyi universitetlərin korporativ şəbəkələrindəki serverlərdə olan, habelə distant təhsil sistemlərində telekommunikasiya kanalları vasitəsilə ötürülən məlumatların qorunması, məhdudlaşdırılması və icazəli çıxışı sistemidir.

Daha geniş mənada “universitetin hərtərəfli informasiya təhlükəsizliyi” termini iki aspekti ehtiva edir: universitetin əqli informasiya mülkiyyətinin xarici və daxili aqressiv təsirlərdən qorunması sistemi və informasiyaya çıxışın idarə edilməsi və aqressiv informasiya məkanlarından müdafiə sistemi. Son zamanlar İnternetin nəzarətsiz kütləvi inkişafı səbəbindən təhlükəsizliyin sonuncu aspekti xüsusilə aktuallaşır.

“İnformasiya məkanı” termini təhsil müəssisələrinin, müəssisələrin, kitabxanaların korporativ şəbəkələrindəki serverlərdə və qlobal internetdə, elektron daşıyıcılarda olan, habelə televiziya rabitə kanalları və ya televiziya vasitəsilə ötürülən məlumatlara aiddir.

Aqressiv informasiya məkanı informasiya məkanıdır ki, onun məzmunu həm informasiyaya məruz qaldıqdan dərhal sonra, həm də müəyyən müddətdən sonra (uzunmüddətli təsir) istifadəçidə aqressiya təzahürlərinə səbəb ola bilər.

Termin müəyyən formada və məzmunda olan məlumatların təcavüz və düşmənçilik təzahürü ilə müəyyən təsirlərə səbəb ola biləcəyi fərziyyəsinə əsaslanır.

Universitetlərin korporativ şəbəkələrinin kompleks informasiya təhlükəsizliyi problemləri digər sistemlərə nisbətən daha geniş, müxtəlif və kəskindir. Bu, aşağıdakı xüsusiyyətlərə görədir:

Universitetin korporativ şəbəkəsi adətən “cüzi maliyyələşdirmə” (avadanlıq, kadr, lisenziyasız proqram təminatı) konsepsiyası əsasında qurulur;

Bir qayda olaraq, korporativ şəbəkələrin strateji inkişaf məqsədləri yoxdur. Bu o deməkdir ki, şəbəkələrin topologiyası, onların aparat və proqram təminatı cari vəzifələr nöqteyi-nəzərindən nəzərdən keçirilir;

Universitetin bir korporativ şəbəkəsində iki əsas vəzifə həll olunur: təhsil və elmi fəaliyyətin təmin edilməsi və təhsil və elmi proseslərin idarə edilməsi probleminin həlli. Bu o deməkdir ki, bu şəbəkədə eyni vaxtda bir idarəetmə sistemi çərçivəsində bir neçə avtomatlaşdırılmış sistem və ya alt sistem fəaliyyət göstərir (“Tələbə” ACS, “Kadrlar” ACS, “Tədris Prosesi” ACS, “Kitabxana” ACS, “Tədqiqat” ACS, ACS “Mühasibat uçotu” və s.);

Korporativ şəbəkələr müxtəlif vəzifələr üçün uzun müddət ərzində yaradıldığına görə həm aparat, həm də proqram təminatı baxımından heterojendir;

Kompleks informasiya təhlükəsizliyi planları, bir qayda olaraq, ya yoxdur, ya da müasir tələblərə cavab vermir.

Belə bir şəbəkədə informasiya təhlükəsizliyinə həm daxili, həm də xarici təhdidlər mümkündür:

Verilənlər bazasının icazəsiz idarə edilməsi cəhdləri;

Şəbəkə araşdırması, şəbəkə audit proqramlarının icazəsiz işə salınması;

Məlumatların, o cümlədən kitabxanaların silinməsi;

Oyun proqramlarının işə salınması;

Virus proqramlarının və Trojan atlarının quraşdırılması;

"VUZ" avtomatlaşdırılmış idarəetmə sistemini sındırmaq cəhdləri;

İnternet vasitəsilə şəbəkələrin, o cümlədən digər təşkilatların skan edilməsi;

Lisenziyasız proqram təminatının İnternetdən icazəsiz yüklənməsi və iş stansiyalarında quraşdırılması;

Mühasibat uçotu sistemlərinə nüfuz etmək cəhdləri;

OS, firewall, Proxy serverlərində "deşiklər" axtarın;

OS-nin icazəsiz uzaqdan idarə edilməsi cəhdləri;

Port taraması və s.

Təhdidlərin, onların mənbələrinin və risklərinin təhlili

İnformasiya üçün mümkün təhlükə mənbələri bunlardır:

Tədris prosesinin keçirildiyi kompüterləşdirilmiş sinif otaqları;

İnternet;

İnformasiya təhlükəsizliyi sahəsində ixtisası olmayan universitet əməkdaşlarının iş yerləri.

İnformasiya riskinin təhlili aşağıdakı mərhələlərə bölünə bilər:

Mühafizə olunmalı obyektlərin əhəmiyyətinə görə təsnifatı;

Oğurluq edənlər üçün mühafizə olunan obyektlərin cəlbediciliyinin müəyyən edilməsi;

Mümkün təhlükələrin və obyektlərə ehtimal olunan giriş kanallarının müəyyən edilməsi;

Mövcud təhlükəsizlik tədbirlərinin qiymətləndirilməsi;

Müdafiə zəifliklərinin və onların aradan qaldırılması yollarının müəyyən edilməsi;

Təhdidlərin sıralanmış siyahısının tərtib edilməsi;

İcazəsiz girişdən zərərin qiymətləndirilməsi, xidmət hücumlarının rədd edilməsi, avadanlıqların nasazlığı.

İcazəsiz girişdən qorunmağa ehtiyacı olan əsas obyektlər:

Mühasibat LAN-ları, planlaşdırma və maliyyə şöbəsinin məlumatları, həmçinin statistik və arxiv məlumatları;

verilənlər bazası serverləri;

Hesab idarəetmə konsolu;

WWW/ftp serverləri;

Tədqiqat layihələri üçün LAN və serverlər.

Bir qayda olaraq, İnternetlə əlaqə eyni anda bir neçə rabitə xətti (fiber optik magistral, peyk və radio kanalları) vasitəsilə həyata keçirilir. Digər universitetlərlə əlaqə və ya təhlükəsiz məlumat mübadiləsi üçün ayrıca kanallar təmin edilir.

Ötürülmüş məlumatların sızması və zədələnməsi ilə bağlı riskləri aradan qaldırmaq üçün belə şəbəkələr qlobal şəbəkələrə və ümumi universitet şəbəkəsinə qoşulmamalıdır.

Universitet məlumatlarının mübadiləsi üçün kritik qovşaqlar (məsələn, mühasibat LAN) ayrıca mövcud olmalıdır.

Müdafiə xətləri

Xarici hücumlara qarşı ilk müdafiə xətti (İnternet) marşrutlaşdırıcıdır. O, şəbəkə bölmələrini bir-biri ilə birləşdirmək, həmçinin trafiki daha effektiv ayırmaq və şəbəkə qovşaqları arasında alternativ yollardan istifadə etmək üçün istifadə olunur. Alt şəbəkələrin işləməsi və geniş ərazi şəbəkələri (WAN) ilə əlaqə onun parametrlərindən asılıdır. Onun əsas təhlükəsizlik məqsədi paylanmış xidmətdən imtina (DDOS) hücumlarından qorunmaqdır.

İkinci sərhəd təhlükəsizlik divarı (FWE) ola bilər: Cisco PIX Firewall aparat və proqram kompleksi.

Daha sonra demilitarizasiya zonası (DMZ) gəlir. Bu zonada əsas proxy server, DNS server, www/ftp, poçt serverləri yerləşdirmək lazımdır. Proksi server təlim işçilərinin iş stansiyalarından, marşrutlaşdırıcıya birbaşa qoşulmayan serverlərdən gələn sorğuları emal edir və trafiki süzür. Bu səviyyədə təhlükəsizlik siyasəti arzuolunmaz trafikin bloklanması və onun saxlanması (multimedia məzmununun, iso şəkillərin süzülməsi, açar sözlərdən istifadə etməklə arzuolunmaz/ədəbsiz məzmunun səhifələrinin bloklanması) ilə müəyyən edilməlidir. Viruslarla yoluxmuş məlumatların yüklənməsinin qarşısını almaq üçün bu serverdə antivirus alətlərinin yerləşdirilməsi əsaslandırılır.

Proksi serverdən məlumatlar paralel olaraq statistika serverinə göndərilməlidir, burada internetdə istifadəçi fəaliyyətinə baxa və təhlil edə bilərsiniz. Poçt serverində poçt antivirusu olmalıdır, məsələn, Mail serverləri üçün Kaspersky Antivirus.

Bu serverlər birbaşa qlobal şəbəkəyə qoşulduğundan, onlarda quraşdırılmış proqram təminatının yoxlanılması universitetin informasiya təhlükəsizliyi mühəndisinin əsas vəzifəsidir. Pula qənaət etmək və çevikliyi fərdiləşdirmək üçün açıq mənbə ƏS və proqram təminatından istifadə etmək məsləhətdir.

Ən çox yayılmış əməliyyat sistemlərindən bəziləri FreeBSD və GNU Linux-dur. Lakin heç bir şey sizə daha mühafizəkar Open BSD-dən və ya hətta ultra-stabil real vaxt əməliyyat sistemi - QNX-dən istifadə etməyə mane olmur.

Antivirus fəaliyyətlərini mərkəzləşdirilmiş şəkildə idarə etmək üçün sizə Dr.Web Enterprise Suite kimi müştəri-server arxitekturasına malik məhsul lazımdır. O, qrafik konsoldan istifadə edərək antivirus verilənlər bazalarının parametrlərini və yeniləmələrini mərkəzləşdirilmiş şəkildə idarə etməyə və əgər varsa, virus fəaliyyəti haqqında asan oxunan statistikanı təqdim etməyə imkan verir.

Universitet əməkdaşları üçün daha çox rahatlıq üçün VPN texnologiyasından istifadə edərək universitetin daxili şəbəkəsinə girişi təşkil edə bilərsiniz.

Bəzi universitetlərin İnternetə çıxış üçün öz dial-up hovuzu var və qurumun rabitə kanallarından istifadə edir. İcazəsiz şəxslərin bu girişdən qeyri-qanuni məqsədlər üçün istifadəsinin qarşısını almaq üçün təhsil müəssisəsinin əməkdaşları hovuzun telefon nömrəsini, loqini və ya parolunu açıqlamamalıdırlar.

Əksər Rusiya universitetlərinin şəbəkələrinin və serverlərinin təhlükəsizlik dərəcəsi arzuolunan dərəcədədir. Bunun bir çox səbəbləri var, lakin əsas səbəblərdən biri informasiya təhlükəsizliyi siyasətinin işlənib hazırlanması və həyata keçirilməsi üzrə tədbirlərin zəif təşkili və bu fəaliyyətlərin əhəmiyyətinin lazımi səviyyədə qiymətləndirilməməsidir. İkinci problem avadanlıqların alınması və informasiya təhlükəsizliyi sahəsində yeni texnologiyaların tətbiqi üçün kifayət qədər maliyyə vəsaitinin olmamasıdır.

Universitetin hərtərəfli informasiya təhlükəsizliyi sisteminin strukturu

Hərtərəfli informasiya təhlükəsizliyi sistemi aşağıdakı siyasətlərin işlənib hazırlanmasını əhatə etməlidir.

Hər şeydən əvvəl, bu, universitetin korporativ şəbəkəsinin yerləşdirilməsi, inkişafı və müasirləşdirilməsinin maliyyə siyasətidir. O, üstünlük təşkil edir və üç sahəyə bölünə bilər: qıt maliyyələşdirmə, ağlabatan kifayət qədər maliyyələşdirmə və prioritet maliyyələşdirmə.

İkinci siyasət universitetin korporativ şəbəkəsinin yerləşdirilməsi və saxlanmasının təşkili səviyyəsi ilə müəyyən edilir.

Üçüncü siyasət klirinq mərkəzinin kadr təminatına aiddir. Təcrübəli sistem administratorlarına tələbatın artması səbəbindən bu, xüsusilə universitetlər üçün aktualdır.

Proqram təminatı siyasəti hazırda korporativ şəbəkənin inkişafında baha başa gələn amillərdən biridir. ƏS və MicroSoft proqram məhsulları üçün inhisar bazarı şəraitində onun həllinə rasional yanaşmalar diqqətlə nəzərdən keçirilməsini tələb edən ayrıca məsələdir.

Texniki dəstək siyasətləri kifayət qədər maliyyələşmə kontekstində tamamilə uyğun olmaya bilər. Ancaq köhnəlmiş avadanlıqların yenilənməsi problemi həmişə var.

Nəhayət, ən son siyasət informasiya sistemlərində tolerant davranışın mənəvi və etik standartlarının formalaşdırılması və aqressiv informasiya məkanlarına girişin əsaslı məhdudiyyətləri ilə bağlıdır. Bu sahələrin düzgün qiymətləndirilməməsi universitetlərin korporativ şəbəkələrinin saxlanması üçün artan maliyyə xərcləri ilə kompensasiya ediləcək.

BİBLİOQRAFİYA

1. Rusiya Federasiyası Prezidentinin 17 dekabr 1997-ci il tarixli 1300 nömrəli Fərmanı ilə təsdiq edilmiş Rusiya Federasiyasının milli təhlükəsizliyi konsepsiyası (Rusiya Federasiyası Prezidentinin 10 yanvar 2000-ci il tarixli 24 nömrəli Fərmanı ilə əlavə edilmiş dəyişikliklərlə). ).

2. Rusiya Federasiyası Prezidentinin 9 sentyabr 2000-ci il tarixli Pr-1895-ci il tarixli qərarı ilə təsdiq edilmiş Rusiya Federasiyasının İnformasiya Təhlükəsizliyi Doktrinası.

3. Trufanov A.I. Universitet informasiya təhlükəsizliyi siyasəti tədqiqat predmeti kimi // Yer sivilizasiyasının problemləri. - Cild. 9. - İrkutsk: ISTU, 2004 / library.istu.edu/civ/default.htm.

4. Volkov A.V. Universitetlərdə informasiya təhlükəsizliyinin təmin edilməsi // İnformasiya təhlükəsizliyi. - 2006. - No 3, 4 / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006.

5. Kryukov V.V., Mayorov V.S., Shakhgeldyan K.I. Active Directory texnologiyası əsasında universitetin korporativ kompüter şəbəkəsinin həyata keçirilməsi // Proc. Ümumrusiya elmi konf. “İnternetdə elmi xidmət”. -Novorossiysk, 2002. - S. 253-255.

6. Minzov A. S. Universitetlərin korporativ şəbəkələrinin kompleks informasiya təhlükəsizliyinin xüsusiyyətləri / http: //tolerantlıq. mubiu. ru/base/Minzov(2).htm#top.

Məqalə 22 yanvar 2009-cu ildə redaktor tərəfindən qəbul edilmişdir

ALİ TƏHSİL İNSTİTUTUNUN İNFORMASİYA TƏHLÜKƏSİZLİĞİ

O. M. Protalinski, İ. M. Ajmuxamedov

Ali Təhsil İnstitutunda informasiya təhlükəsizliyinin təmin edilməsinin spesifik xarakteri açıqlanır. Təhdidlər, onların mənbələri və riskləri təhlil edilir. İnformasiyanın mühafizəsinin sərhədləri və kompleks informasiya təhlükəsizliyi sisteminin strukturu araşdırılır.

Açar sözlər: informasiya təhlükəsizliyi, ali təhsil institutu, təhlükəsizlik təhlükəsi, informasiya təhlükəsizliyi.

Universitet informasiya təhlükəsizliyi. Vahid informasiya məkanının qurulması zamanı informasiyanın mühafizəsi üzrə işin təşkili texnika elmləri namizədi, dosent Qlıbovski Pavel Anatolyeviç texnika elmləri namizədi, dosent Majnikov Pavel Viktoroviç A.F.Mojaysky A.F.Məlumatların toplanması və emalı sistemləri kafedrası.

İnformasiya sistemi məlumat bazalarında və informasiya texnologiyalarında olan məlumatların və onların işlənməsini təmin edən texniki vasitələrin məcmusudur. ("İnformasiya, informasiya texnologiyaları və məlumatların mühafizəsi haqqında" 2006 149-FZ Federal Qanunu). Dövlət informasiya sistemləri - müvafiq olaraq federal qanunlar, Rusiya Federasiyasının təsis qurumlarının qanunları, dövlət orqanlarının hüquqi aktları əsasında yaradılan federal informasiya sistemləri və regional informasiya sistemləri. ("İnformasiya, informasiya texnologiyaları və məlumatların mühafizəsi haqqında" 2006 149-FZ Federal Qanunu). Avtomatlaşdırılmış sistem. Müəyyən edilmiş funksiyaları yerinə yetirmək üçün informasiya texnologiyasını həyata keçirən kadrlardan və onların fəaliyyətinin avtomatlaşdırılması alətlərindən ibarət sistem (GOST) Terminlər və təriflər

İnformasiya sistemləri, informasiyalaşdırma vasitələri, bunlara aşağıdakılar daxildir: Girişi məhdudlaşdırılmış məlumatların işləndiyi binalarda açıq məlumatların emalı üçün texniki vasitələr və sistemlər Məhdud giriş məlumatlarından istifadə etməklə danışıqların aparılması üçün otaqlar Dövlət sirrini təşkil edən məlumatları ehtiva etməyən və girişi məhdudlaşdırılmış məlumatların mühafizəsinin əsas obyektləri və açıq məlumat Açıq məlumat Dövlət sirri təşkil edən məlumatları ehtiva etməyən məhdud giriş məlumatı FIAC əsas informasiya sistemidir. infrastruktur ISPDLVSARM Çap, surət çıxarma vasitələri Rabitə, kommutasiya və s. Məişət cihazları Yanğın və təhlükəsizlik siqnalları Telefonlar və s. Rabitə vasitələri İnformasiya sistemləri. Dövlət İD Bələdiyyə Digər İD

İnformasiyanın mühafizəsi İnformasiyanın mühafizəsi sistemi müvafiq hüquqi, təşkilati, inzibati və normativ sənədlərlə müəyyən edilmiş qaydalara uyğun təşkil edilmiş və fəaliyyət göstərən orqanların və (və ya) icraçıların, onların istifadə etdiyi informasiyanın mühafizəsi texnologiyasının, habelə mühafizə obyektlərinin məcmusudur. informasiyanın mühafizəsi sahəsində. (GOST R İnformasiyanın mühafizəsi. Əsas terminlər və təriflər). İnformasiyanın mühafizəsi fəaliyyətinin subyektləri Dövlət orqanları, səlahiyyətli dövlət orqanları, informasiyalaşdırma obyektlərində məlumatları emal edən təşkilatlar, lisenziya alan təşkilatlar Nələr qorunmalıdır Hansı təhlükələrdən necə qorunmalı İnformasiyalaşdırma obyektləri, ƏM, o cümlədən. informasiyanın işləndiyi və saxlandığı, girişi federal qanunlarla məhdudlaşdırılan proqram təminatı, informasiyanın mühafizəsi vasitələri, texniki kanallar vasitəsilə sızmasından, icazəsiz girişdən, məhv edilməsindən, dəyişdirilməsindən, bloklanmasından, surətinin çıxarılmasından, təmin edilməsindən, yayılmasından, habelə digər qanunsuz hərəkətlərdən. Hüquqi, təşkilati və texniki tədbirlər toplusu

Texniki və İxrac Nəzarəti Federal Xidmətinin (Rusiya FSTEC) 11 fevral 2013-cü il tarixli 17 nömrəli "Dövlət informasiya sistemlərində olan dövlət sirri təşkil etməyən məlumatların mühafizəsi tələblərinin təsdiq edilməsi haqqında" IS qanunvericilik sistemi

Elektron formada digər məlumatlara (imzalanmış məlumat) əlavə edilən və ya bu cür məlumatlarla başqa şəkildə əlaqəli olan və məlumatı imzalayan şəxsin müəyyən edilməsi üçün istifadə olunan elektron formada olan məlumatlar Sənədin imzalanması nəticəsində hüquq və vəzifələrin qəbul edilməsi faktı İnformasiya təhlükəsizliyi qanunvericilik sistemi elektron imza

Rusiya Federasiyasının 6 aprel 2011-ci il tarixli 63-FZ "Elektron imza haqqında" Federal Qanunu; Rusiya Federasiyası Prezidentinin 3 aprel 1995-ci il tarixli 334 nömrəli Fərmanı "Şifrələmə vasitələrinin inkişafı, istehsalı, satışı və istismarı, habelə informasiya sahəsində xidmətlərin göstərilməsi sahəsində qanunlara riayət edilməsi tədbirləri haqqında" şifrələmə"; Rusiya Federasiyası FSB-nin 9 fevral 2005-ci il tarixli 66 nömrəli əmri ilə təsdiq edilmiş "Şifrələmə (kriptoqrafik) informasiya təhlükəsizliyi vasitələrinin inkişafı, istehsalı, tətbiqi və istismarı haqqında Əsasnamə" (PKZ-2005 Qaydaları); FAPSİ-nin 13 iyun 2001-ci il tarixli, 152 nömrəli əmri “Dövlət sirri təşkil edən məlumatları ehtiva etməyən, məhdud çıxışı olan məlumatların kriptoqrafik mühafizə vasitələrindən istifadə etməklə rabitə kanalları ilə saxlanmasının, emalının və ötürülməsinin təşkili və təhlükəsizliyinin təmin edilməsi haqqında Təlimatların təsdiq edilməsi haqqında. ” İnformasiya təhlükəsizliyi qanunvericilik sistemi elektron imza

Gücləndirilmiş elektron imzalardan istifadə edərkən elektron qarşılıqlı əlaqə iştirakçıları aşağıdakılara borcludurlar: 1) elektron imza açarlarının məxfiliyini təmin etmək, xüsusən də onlara məxsus elektron imza açarlarından onların razılığı olmadan istifadəsinə icazə verməmək (63-FZ Federal Qanununun 10-cu maddəsi). 6 aprel 2011-ci il); 2) bu açarın məxfiliyinin pozulduğuna inanmaq üçün əsas olduqda elektron imza açarından istifadə etməmək (6 aprel 2011-ci il tarixli 63-FZ Federal Qanununun 10-cu maddəsi); 3) ixtisaslı elektron imzaları yaratmaq və yoxlamaq, ixtisaslı elektron açarları yaratmaq üçün bu Federal Qanuna (6 aprel 2011-ci il tarixli 63-FZ Federal Qanununun 10-cu maddəsi) uyğun olaraq müəyyən edilmiş tələblərə uyğunluq təsdiqini almış elektron imza vasitələrindən istifadə edin. imzalar və onların yoxlanılması üçün açarlar .); 4) CIPF-nin müəyyən edilmiş formalarına uyğun olaraq nüsxə-nüsxə uçotunu aparmaq, onlar üçün əməliyyat və texniki sənədlər). (FAPSİ-nin 13 iyun 2001-ci il tarixli 152 saylı əmrinin 26-cı maddəsi). İnformasiya təhlükəsizliyi qanunvericilik sistemi elektron imza

1C: Dövlət Müəssisəsinin Sənəd Hərəkəti "1C: Dövlət Müəssisəsinin Sənəd Hərəkəti 8" sənəd uçotunun avtomatlaşdırılması, işçilərin qarşılıqlı əlaqəsi, dövlət və bələdiyyə qurumlarında icra intizamına nəzarət və təhlili problemlərinin geniş spektrinin kompleks həlli üçün nəzərdə tutulmuşdur. . Rusiya Federasiyası Hökumətinin 2 oktyabr 2009-cu il tarixli 1403-r Fərmanı ilə İdarələrarası elektron sənəd dövriyyəsi sisteminin federal icra hakimiyyəti orqanlarının elektron sənəd dövriyyəsi sistemləri ilə qarşılıqlı əlaqəsinin təşkili üçün texniki tələblər; Federal icra hakimiyyəti orqanlarının elektron sənəd dövriyyəsi informasiya sistemlərinə dair tələblər, o cümlədən bu sistemlər vasitəsilə məhdud paylanan rəsmi məlumatların işlənməsi ehtiyacı (Rusiya Federasiyası Rabitə və Kütləvi İnformasiya Vasitələri Nazirliyinin 2009-cu il tarixli əmri ilə təsdiq edilmişdir). 1C: Dövlət qurumunun sənəd dövriyyəsi. İnformasiya təhlükəsizliyi tələbləri

Federal icra hakimiyyəti orqanlarının elektron sənəd dövriyyəsi informasiya sistemlərinə dair tələblər, o cümlədən bu sistemlər vasitəsilə məhdud paylanan rəsmi məlumatların işlənməsi ehtiyacı (Rusiya Federasiyası Rabitə və Kütləvi İnformasiya Vasitələri Nazirliyinin 2009-cu il tarixli əmri ilə təsdiq edilmişdir). 21. Məhdud paylanmalı mülkiyyət məlumatının mühafizəsi üçün informasiya təhlükəsizliyi tələblərinə uyğun sertifikatlaşdırılmış texniki və (və ya) proqram təminatı olan informasiyanın mühafizəsi vasitələrindən istifadə edilməlidir. 22. İnformasiyanın mühafizəsinə dair tələblər və onların həyata keçirilməsi tədbirləri, habelə xüsusi proqram və texniki vasitələrin mühafizəsi vasitələri müəyyən edilmiş təhlükəsizlik sinfindən asılı olaraq müəyyən edilməli və dəqiqləşdirilməlidir. 25. Federal icra hakimiyyəti orqanının EDMS-i Rusiya Federasiyası Prezidentinin 17 mart 2008-ci il tarixli, N 351 “İnformasiya təhlükəsizliyinin təmin edilməsi tədbirləri haqqında” Fərmanına uyğun olaraq İnternet informasiya və telekommunikasiya şəbəkəsinə birbaşa (mühafizəsiz) qoşulmamalıdır. beynəlxalq informasiya mübadiləsinin informasiya və telekommunikasiya şəbəkələrindən istifadə edərkən Rusiya Federasiyası” (Rusiya Federasiyasının Qanunvericilik Toplusu, 2008-ci il, No 12, maddə 1110; 2008-ci il, No 43, maddə 4919; 2011-ci il, No 4, Art. 572). 1C: Dövlət qurumunun sənəd dövriyyəsi. İnformasiya təhlükəsizliyi tələbləri

Rusiya Federasiyası Hökümətinin 2 oktyabr 2009-cu il tarixli 1403-r Sərəncamı İdarələrarası elektron sənəd dövriyyəsi sisteminin federal icra hakimiyyəti orqanlarının elektron sənəd dövriyyəsi sistemləri ilə qarşılıqlı əlaqəsinin təşkili üçün texniki tələblər 17. İdarələrarası elektron sənəd dövriyyəsinin qarşılıqlı fəaliyyətini təşkil edərkən. sistemi ilə elektron sənəd dövriyyəsi sistemi, anti-virus qorunması təmin edilməlidir. 18. Rəsmi sirr təşkil edən məlumat kimi təsnif edilən məlumatların mühafizəsi üçün informasiya təhlükəsizliyi tələblərinə uyğun sertifikatlaşdırılmış texniki və (və ya) proqram təminatı məlumatlarının mühafizəsi vasitələrindən istifadə edilməlidir. Şlüz avtomatlaşdırılmış iş stansiyaları və elektron sənəd dövriyyəsi sisteminin adapteri olan xüsusi fərdi elektron kompüterlər məxfi məlumatların texniki mühafizəsi tələblərinə uyğunluq sertifikatına malik olmalıdır. 19. İnformasiyanın mühafizəsinə dair tələblər və onların həyata keçirilməsi tədbirləri, habelə xüsusi mühafizə vasitələri təcavüzkarın təhdid və hərəkətlərinin işlənib hazırlanmış modeli əsasında müəyyən edilmiş təhlükəsizlik sinfindən asılı olaraq müəyyən edilməli və dəqiqləşdirilməlidir. 1C: Dövlət qurumunun sənəd dövriyyəsi. İnformasiya təhlükəsizliyi tələbləri Diqqətinizə görə təşəkkür edirik! Suallar? A.F.Mojayski adına Ali Elmlər Akademiyasının İnformasiyanın toplanması və emalı sistemləri şöbəsi