UDC 004.056

უნივერსიტეტის კორპორატიული ქსელის საინფორმაციო უსაფრთხოება

ო.მ.პროტალინსკი, ი.მ.აჟმუხამედოვი

ირკვევა უნივერსიტეტში ინფორმაციული უსაფრთხოების უზრუნველყოფის სპეციფიკა. განხორციელდა საფრთხეების, მათი წყაროებისა და რისკების ანალიზი. განხილულია ინფორმაციის დაცვის საზღვრები და ინფორმაციული უსაფრთხოების ინტეგრირებული სისტემის სტრუქტურა.

საკვანძო სიტყვები: ინფორმაციული უსაფრთხოება, უნივერსიტეტი, უსაფრთხოების საფრთხეები, ინფორმაციის დაცვა.

ზოგადი ინფორმატიზაციისა და საინფორმაციო ტექნოლოგიების განვითარების თანამედროვე პირობებში, ინფორმაციულ სფეროში რუსეთის ფედერაციის ეროვნული უსაფრთხოების საფრთხეები იზრდება.

რუსეთის ფედერაციის ეროვნული უსაფრთხოების კონცეფცია საინფორმაციო სფეროსთან დაკავშირებით შემუშავებულია რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების დოქტრინით (IS).

დოქტრინაში ნათქვამია, რომ რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების უზრუნველყოფა გადამწყვეტ როლს თამაშობს რუსეთის ფედერაციის ეროვნული უსაფრთხოების უზრუნველყოფაში. ამავდროულად, რუსეთის ფედერაციაში ინფორმაციული უსაფრთხოების სფეროში სახელმწიფო პოლიტიკის ერთ-ერთი პრიორიტეტული მიმართულებაა კადრების მომზადების გაუმჯობესება და განათლების განვითარება ინფორმაციული უსაფრთხოების სფეროში. ამ პრობლემების გადაჭრაში განსაკუთრებულ როლს ასრულებენ უნივერსიტეტები.

რუსული უმაღლესი განათლება გადის ადაპტაციის პერიოდს არა მხოლოდ ინფორმაციული საზოგადოების ობიექტურ პროცესებთან, არამედ ახალ სოციალურ-პოლიტიკურ პირობებთან კონკურენციის მრავალფეროვანი გამოვლინებით.

თანამედროვე პირობებში უმაღლესი განათლების სისტემის საინფორმაციო რესურსების მართვის ეფექტური მექანიზმების შექმნა შეუძლებელია მეცნიერული დასაბუთებისა და საუნივერსიტეტო ინფორმაციის უსაფრთხოების დაბალანსებული პოლიტიკის პრაქტიკული განხორციელების გარეშე, რომელიც შეიძლება ჩამოყალიბდეს შემდეგი ამოცანების გადაწყვეტის საფუძველზე:

ინფორმაციული ურთიერთქმედების (II) პროცესების ანალიზი რუსული ტექნიკური უნივერსიტეტის ძირითადი საქმიანობის ყველა სფეროში: ინფორმაციის ნაკადები, მათი მასშტაბები და ხარისხი, წინააღმდეგობები, კონკურენცია მესაკუთრეთა და კონკურენტების იდენტიფიკაციასთან;

IW-ის თვისებრივი და მარტივი რაოდენობრივი (მათემატიკური) აღწერის შემუშავება;

ინფორმაციის გაცვლის ღიაობის, უსაფრთხოებისა და სამართლიანობის რაოდენობრივი მაჩვენებლებისა და კრიტერიუმების დანერგვა;

ინფორმაციის ღიაობასა და კონფიდენციალურობაში ბალანსის საჭიროებისა და მნიშვნელობის სცენარების შემუშავება;

ინფორმაციული უსაფრთხოების პოლიტიკის როლისა და ადგილის განსაზღვრა უნივერსიტეტის საინფორმაციო რესურსების მართვაში და თანმიმდევრული პრინციპებისა და მიდგომების შემუშავება;

პოლიტიკის ძირითადი კომპონენტების ფორმულირება: მიზნები, ამოცანები, პრინციპები და ინფორმაციული უსაფრთხოების უზრუნველყოფის ძირითადი მიმართულებები;

ინფორმაციული უსაფრთხოების პოლიტიკის უზრუნველყოფის პროცესის მართვის ძირითადი მეთოდების შემუშავება;

მარეგულირებელი დოკუმენტების პროექტების მომზადება.

საგანმანათლებლო დაწესებულებების სპეციფიკა

თანამედროვე უნივერსიტეტი ინახავს და ამუშავებს უამრავ სხვადასხვა მონაცემს, რომელიც დაკავშირებულია არა მხოლოდ სასწავლო პროცესთან, არამედ კვლევა-განვითარებასთან, სტუდენტებისა და თანამშრომლების პერსონალურ მონაცემებთან, ოფიციალურ, კომერციულ და სხვა კონფიდენციალურ ინფორმაციას.

მაღალი ტექნოლოგიების სფეროში დანაშაულების ზრდა კარნახობს მის მოთხოვნებს საგანმანათლებლო დაწესებულებების კომპიუტერული ქსელების რესურსების დაცვის მიმართ და აჩენს საკუთარი ინტეგრირებული უსაფრთხოების სისტემის აგების ამოცანას. მისი გადაწყვეტა გულისხმობს მარეგულირებელი ბაზის არსებობას, უსაფრთხოების კონცეფციის ფორმირებას, უსაფრთხო სამუშაოს ღონისძიებების, გეგმებისა და პროცედურების შემუშავებას, საგანმანათლებლო დაწესებულებაში ინფორმაციული უსაფრთხოების ტექნიკური საშუალებების (IS) დიზაინს, დანერგვას და შენარჩუნებას. ეს კომპონენტები განსაზღვრავს უნივერსიტეტში ინფორმაციული უსაფრთხოების უზრუნველსაყოფად ერთიან პოლიტიკას.

ინფორმაციის დაცვის სპეციფიკა საგანმანათლებლო სისტემაში არის ის, რომ უნივერსიტეტი არის საჯარო დაწესებულება ცვალებადი აუდიტორიით, ასევე გაზრდილი აქტივობის ადგილი "დამწყები კიბერკრიმინალებისთვის".

აქ პოტენციურ დამრღვევთა ძირითად ჯგუფს სტუდენტები წარმოადგენენ და ზოგიერთ მათგანს აქვს საკმაოდ მაღალი მომზადების დონე.

კი. ასაკი - 18-დან 23 წლამდე - და ახალგაზრდული მაქსიმალიზმი ხელს უწყობს ასეთ ადამიანებს, "გამოაჩინონ" თავიანთი ცოდნა თანამოსწავლეების წინაშე: შექმნან ვირუსის ეპიდემია, მოიპოვონ ადმინისტრაციული წვდომა და "დასჯონ" მასწავლებელი, დაბლოკონ ინტერნეტში წვდომა და ა.შ. საკმარისია გავიხსენოთ, რომ პირველი კომპიუტერული დანაშაული უნივერსიტეტში დაიბადა (Moris worm).

უნივერსიტეტის, როგორც ინფორმატიზაციის ობიექტის მახასიათებლები ასევე დაკავშირებულია მისი საქმიანობის მულტიდისციპლინურ ხასიათთან, საგანმანათლებლო მუშაობის ფორმებისა და მეთოდების სიმრავლესთან, ინფრასტრუქტურის სივრცით განაწილებასთან (ფილიალები, წარმომადგენლობები). ეს ასევე მოიცავს დაფინანსების წყაროების მრავალფეროვნებას, დამხმარე განყოფილებებისა და სერვისების განვითარებული სტრუქტურის არსებობას (მშენებლობა, წარმოება, ეკონომიკური საქმიანობა), საგანმანათლებლო მომსახურების ცვალებად ბაზარზე ადაპტაციის აუცილებლობა, შრომის ბაზრის ანალიზის საჭიროება. ბიზნეს პროცესების ზოგადად მიღებული ფორმალიზაციის ნაკლებობა, ზემდგომ ორგანიზაციებთან ელექტრონული ურთიერთობის აუცილებლობა, თანამშრომელთა და სტაჟიორთა სტატუსის ხშირი ცვლილება.

ამავდროულად, პრობლემას რამდენადმე ამსუბუქებს ის ფაქტი, რომ უნივერსიტეტი არის სტაბილური, იერარქიული სისტემა მართვის ფუნქციების თვალსაზრისით, რომელსაც აქვს სიცოცხლისათვის აუცილებელი ყველა პირობა და მოქმედებს ცენტრალიზებული მართვის პრინციპებზე (ეს უკანასკნელი ნიშნავს, რომ ადმინისტრაციული რესურსები შეიძლება აქტიურად იქნას გამოყენებული საინფორმაციო ამოცანების მართვაში).

ზემოაღნიშნული მახასიათებლები მოითხოვს შემდეგი მოთხოვნების დაცვას:

ინფორმაციული უსაფრთხოების ამოცანების ყოვლისმომცველი განვითარება, კონცეფციიდან პროგრამული უზრუნველყოფისა და აპარატურის გადაწყვეტილებების მხარდაჭერამდე;

ბიზნეს პროცესების შინაარსის მცოდნე სპეციალისტების დიდი რაოდენობის მოზიდვა;

კორპორატიული აპლიკაციების მოდულარული სტრუქტურის გამოყენება, როდესაც თითოეული მოდული მოიცავს ბიზნეს პროცედურების ან საინფორმაციო სერვისების ურთიერთდაკავშირებულ ჯგუფს, ხოლო უსაფრთხოების ერთიანი მოთხოვნების უზრუნველყოფას;

ინფორმაციული უსაფრთხოების პრობლემების გადაჭრაში ეტაპების გონივრული თანმიმდევრობის გამოყენება;

სტანდარტების გონივრულ გამოყენებაზე დაფუძნებული მოვლენების დოკუმენტირება წარმატებული სისტემის შექმნის უზრუნველსაყოფად;

საიმედო და მასშტაბირებადი ტექნიკისა და პროგრამული უზრუნველყოფის პლატფორმებისა და ტექნოლოგიების გამოყენება სხვადასხვა მიზნებისათვის, რომლებიც უზრუნველყოფენ უსაფრთხოების საჭირო დონეს.

არქიტექტურული თვალსაზრისით, კორპორატიულ საინფორმაციო გარემოში შეიძლება გამოიყოს სამი დონე:

ნია, რომლის უსაფრთხო მუშაობის უზრუნველსაყოფად აუცილებელია სხვადასხვა მიდგომის გამოყენება:

კომპიუტერული ქსელის აღჭურვილობა, არხები და მონაცემთა ხაზები, მომხმარებლის სამუშაო სადგურები, მონაცემთა შენახვის სისტემები;

ოპერაციული სისტემები, ქსელური სერვისები და რესურსებზე წვდომის მართვის სერვისები, საშუალო დონის პროგრამული უზრუნველყოფა;

აპლიკაციის პროგრამული უზრუნველყოფა, საინფორმაციო სერვისები და მომხმარებელზე ორიენტირებული გარემო. ამომწურავი ინფორმაციის შექმნისას

ქსელი (დსთ), აუცილებელია უსაფრთხოების მოთხოვნების ჯვარედინი კოორდინაციის უზრუნველყოფა შერჩეული გადაწყვეტილებების ან ტექნოლოგიებისთვის. ამრიგად, მეორე დონეზე, მრავალი უნივერსიტეტის დსთ არქიტექტურა შედგება განსხვავებული და თავისუფლად დაკავშირებული ქვესისტემებისგან სხვადასხვა ოპერაციული გარემოთი, რომლებიც კოორდინირებულია ერთმანეთთან მხოლოდ 1P მისამართების მინიჭების ან შეტყობინებების დონეზე. დსთ-ს ცუდი სისტემის ორგანიზების მიზეზებია დამტკიცებული არქიტექტურის არარსებობა და ტექნოლოგიის განვითარების პასუხისმგებლობის რამდენიმე ცენტრის არსებობა, რომლებიც არაკოორდინირებულად მოქმედებენ. პრობლემები იწყება განყოფილებებში ოპერაციული გარემოს არჩევის არჩევის უკმარისობით, როდესაც ძირითადი ტექნოლოგიური გადაწყვეტილებები მთლიანად დეცენტრალიზებულია, რაც მკვეთრად ამცირებს სისტემის უსაფრთხოების დონეს.

უნივერსიტეტები, რომლებსაც აქვთ ინფორმაციული ტექნოლოგიების განვითარების მკაფიო სტრატეგია, ინფორმაციული ინფრასტრუქტურის ერთიანი მოთხოვნები, ინფორმაციული უსაფრთხოების პოლიტიკა და დამტკიცებული რეგულაციები დსთ-ს ძირითადი კომპონენტებისთვის, ჩვეულებრივ გამოირჩევიან ძლიერი ადმინისტრაციული ბირთვით მენეჯმენტში და მაღალი ავტორიტეტით. IT სამსახურის უფროსი.

ასეთმა უნივერსიტეტებმა, რა თქმა უნდა, შეიძლება გამოიყენონ სხვადასხვა ოპერაციული გარემო ან საშუალო დონის სისტემები, მაგრამ ეს განპირობებულია ორგანიზაციული, ტექნიკური ან ეკონომიკური მიზეზებით და ხელს არ უშლის უნივერსიტეტის დსთ-ის განთავსებას და საინფორმაციო რესურსებზე უსაფრთხო წვდომის ერთიანი პრინციპების დანერგვას. .

მესამე დონის უნივერსიტეტებში დსთ-ს არქიტექტურის განვითარების მდგომარეობა შეიძლება დახასიათდეს შემდეგნაირად: გადასვლა ლოკალური პროგრამული აპლიკაციებიდან, რომლებიც ავტომატიზირებენ ცალკეულ ბიზნეს პროცესს და ეყრდნობიან მონაცემთა ლოკალურ კომპლექტს კორპორატიულ კლიენტ-სერვერის საინფორმაციო სისტემებზე (IS), რომლებიც მომხმარებელს აწვდიან. ოპერაციულ მონაცემთა ბაზებზე წვდომა ძირითადად დასრულებულია უნივერსიტეტის მონაცემებით. ამა თუ იმ ფორმით მოგვარებულია სხვადასხვა საინფორმაციო სისტემებით წარმოქმნილი მონაცემების ინტეგრირების პრობლემა, რაც შესაძლებელს ხდის ბიზნეს პროცესების გაუმჯობესებას, მენეჯმენტისა და გადაწყვეტილების მიღების ხარისხის გაუმჯობესებას.

4 _ სენსორები და სისტემები No5.2009წ

თუ 1990-იანი წლების დასაწყისში. დიდი მოთხოვნა იყო ბუღალტრული აღრიცხვის პროგრამებზე და მენეჯმენტის საბუღალტრო პროგრამებზე (HR, ანგარიშგება და ა.შ.), მაგრამ დღეს ეს მოთხოვნა ძირითადად დაკმაყოფილებულია. ახლა ამოცანაა მიაწოდოს სანდო მონაცემები საგანმანათლებლო დაწესებულების საქმიანობის შესახებ არა მხოლოდ მენეჯმენტ პერსონალს, არამედ ყველა მასწავლებელს და სტუდენტს, ანუ დსთ-ში გავრცელებული მონაცემების ეფექტურად მართვის ამოცანას, რაც თავის მხრივ ავალდებულებს უზრუნველყოს. ინფორმაციული უსაფრთხოება ასეთ ქსელებში კიდევ უფრო აქტუალურია.

უნივერსიტეტების კორპორატიული ქსელების საინფორმაციო უსაფრთხოება

ინტერნეტისა და ახალი საინფორმაციო ტექნოლოგიების აქტიურმა დანერგვამ სასწავლო პროცესში და უნივერსიტეტის მართვის სისტემაში შექმნა წინაპირობები კორპორატიული ქსელების გაჩენისთვის.

უნივერსიტეტის კორპორატიული ქსელი არის საინფორმაციო სისტემა, რომელიც მოიცავს კომპიუტერებს, სერვერებს, ქსელურ აღჭურვილობას, კომუნიკაციებსა და ტელეკომუნიკაციებს და პროგრამულ სისტემას, რომელიც შექმნილია უნივერსიტეტის მართვისა და საგანმანათლებლო საქმიანობის პრობლემების გადასაჭრელად. კორპორატიული ქსელი ჩვეულებრივ აერთიანებს არა მხოლოდ უნივერსიტეტის სტრუქტურულ განყოფილებებს, არამედ მათ რეგიონალურ ოფისებსაც. ადრე უნივერსიტეტებისთვის მიუწვდომელი, დღეს ამ ქსელებმა აქტიურად დაიწყო საგანმანათლებლო სტრუქტურებში დანერგვა ინტერნეტის მასიური გავრცელებისა და მისი ხელმისაწვდომობის გამო.

ყოვლისმომცველი საუნივერსიტეტო ინფორმაციული უსაფრთხოების სისტემა არის სისტემა, რომელიც შეინარჩუნებს, ზღუდავს და ავტორიზებული წვდომის ინფორმაციას შეიცავს სერვერებზე, როგორც უნივერსიტეტების კორპორატიულ ქსელებში, ასევე მის წინაშე.

სტატიაბიზნეს კონსულტანტი Ciscoინფორმაციული უსაფრთხოების შესახებ ალექსეი ლუკაცკი

დღეს, ინტერნეტის ფართო ხელმისაწვდომობისა და კომუნიკაციების სწრაფი განვითარების პირობებში, შესამჩნევი ხდება უფსკრული სტუდენტების მოლოდინებსა და საგანმანათლებლო დაწესებულებებს შორის. განათლებაში მუშაობის მეთოდები მუდმივად უნდა ვითარდებოდეს სოციალური ცვლილებებისა და ტექნოლოგიური განვითარების შემდეგ. ამავე დროს, არანაკლებ მნიშვნელოვანია როგორც საგანმანათლებლო მასალების, ასევე სხვა შეზღუდული ინფორმაციის, ასევე თვით IT ინფრასტრუქტურის დაცვა შემთხვევითი ან მიზანმიმართული თავდასხმებისგან.

თანამედროვე ინფორმაციული უსაფრთხოების (IS) ტექნოლოგიები ეხმარება საგანმანათლებლო დაწესებულებებს არსებული პრობლემების გადაჭრაში შემდეგ ძირითად მიმართულებებში:

• საგანმანათლებლო მასალებზე და სისტემებზე უსაფრთხო წვდომის ორგანიზება მსოფლიოს ნებისმიერი წერტილიდან;
• შეზღუდული წვდომის ინფორმაციის (პერსონალური მონაცემები, სავაჭრო საიდუმლოებები და ა.შ.) დაცვა და ინტელექტუალური საკუთრების დაცვა;
• ინფორმაციული უსაფრთხოების სფეროში საკანონმდებლო მოთხოვნების დაცვა (პერსონალური მონაცემების დაცვა, ინტელექტუალური საკუთრების უფლებების დაცვა, ბავშვთა დაცვა უარყოფითი ინფორმაციისგან).

პრობლემა #1: მომხმარებლის სხვადასხვა ჯგუფები

თანამედროვე უნივერსიტეტი და მისი ქსელი არის არაერთგვაროვანი გარემო, რომელშიც ერთმანეთს ეჯახება მომხმარებლის სხვადასხვა ჯგუფის ინტერესები და მონაცემები. საუნივერსიტეტო ქსელი შეიძლება შეიცავდეს მომხმარებელთა შემდეგ კატეგორიებს ინფორმაციული უსაფრთხოების განსხვავებული მოთხოვნებით: უნივერსიტეტის სტუდენტები და გაცვლითი სტუდენტები; მასწავლებლები და ადმინისტრაცია; სკოლის მოსწავლეები, რომლებიც ესწრებიან მოსამზადებელ კურსებს უნივერსიტეტში შესვლამდე; უნივერსიტეტის მიერ შემოთავაზებული ფასიანი კურსებისა და კვალიფიკაციის ამაღლების კურსების სტუმრები დამატებითი შემოსავლის წყაროების მისაღებად, აგრეთვე ორგანიზაციების წარმომადგენლები, რომლებიც უნივერსიტეტს აწვდიან კომერციულ შეკვეთებს, მაგალითად, R&D სფეროში.

პრობლემა #2: წვდომის მეთოდების ტრანსფორმაცია და „ნებისმიერი მოწყობილობის“ კონცეფცია

იმის გამო, რომ ტრადიციული საუნივერსიტეტო კამპუსის ქსელის პერიმეტრი აგრძელებს ბუნდოვანებას და საუნივერსიტეტო გარემო თანდათან კარგავს თავის საზღვრებს, სმარტფონები, ტაბლეტები, სხვა ბოლო მოწყობილობები და ვებ აპლიკაციები შეუქცევად ცვლის სასწავლო პროცესს, რაც იძლევა შესაძლებლობას წვდომა იყოს სასწავლო მასალებზე მსოფლიოს ნებისმიერი წერტილიდან. - უნივერსიტეტის საკლასო ოთახიდან, საერთო საცხოვრებლიდან, პირადი სახლიდან, უნივერსიტეტის კამპუსიდან, სხვა უნივერსიტეტიდან, სადაც სტუდენტები გამოცდილების გაცვლის მიზნით დადიან და ა.შ. Cisco-ს "ნებისმიერი მოწყობილობის" ფილოსოფია შექმნილია იმისთვის, რომ გააფართოვოს მოწყობილობის არჩევანის თავისუფლება კამპუსის მომხმარებლებისთვის, საერთო და პროგნოზირებადი გამოცდილების შენარჩუნებისას. ეს ყველაფერი ინარჩუნებს ან კიდევ ზრდის საგანმანათლებლო დაწესებულების კონკურენტუნარიანობის, პროდუქტიულობისა და უსაფრთხოების დონეს.

ამავდროულად, „ნებისმიერი მოწყობილობის“ კონცეფციის განხორციელებისას წარმოიქმნება ინფორმაციული უსაფრთხოების არაერთი პრობლემა, რომელიც უნდა გადაიჭრას. ამ შემთხვევაში, თქვენ უნდა უზრუნველყოთ:

• ქსელის აბონენტთა მოწყობილობების: დესკტოპ კომპიუტერების (სამუშაო სადგურები ან სამუშაო სადგურები), ლეპტოპების (მობილური სამუშაო სადგურები), მობილური მოწყობილობების (ანდროიდის და iOS-ზე მომუშავე პლანშეტური კომპიუტერები), ქსელური პრინტერების და IP ტელეფონების უნებართვო კავშირის თავიდან აცილება უნივერსიტეტის ქსელთან;
• ინფორმაციული უსაფრთხოების მიმდინარე პოლიტიკის მოთხოვნებთან და რეკომენდაციებთან შესაბამისობა, აგრეთვე უნივერსიტეტის ქსელში ჩართული მობილური მოწყობილობების დისტანციური მონიტორინგის შესაძლებლობა ინფორმაციული უსაფრთხოების მიმდინარე პოლიტიკასთან შესაბამისობის მიზნით;
• ამასთან, უზრუნველყოფილი უნდა იყოს საუნივერსიტეტო ქსელის უსაფრთხოების ზონებად ლოგიკური დაყოფის ორგანიზება არსებული ინფრასტრუქტურის შეცვლის გარეშე (ქსელის არსებული დაყოფა სეგმენტებად), რათა გამოიყოს სტუმრის ზონები და შეზღუდული წვდომის ზონები სააბონენტო მოწყობილობების დასაკავშირებლად. სხვადასხვა მომხმარებელთა ჯგუფები, ასევე მობილური მოწყობილობების (ტაბლეტის კომპიუტერები), რომლებიც მუშაობენ Android და iOS OS) მომხმარებლები.

პრობლემა No3: საინფორმაციო სისტემებისა და შეზღუდული ინფორმაციის დაცვა

თანამედროვე უნივერსიტეტი არის სხვადასხვა ინფორმაციის საწყობი, რომელიც მოითხოვს დაცვას. ეს ეხება:

· სტუდენტების, მასწავლებლების, ადმინისტრაციის და სხვა კატეგორიის მომხმარებლების პერსონალური მონაცემები;

· ინფორმაცია, რომელიც წარმოადგენს უნივერსიტეტის კომერციულ საიდუმლოებას და საშუალებას აძლევს მას გაუსწროს სხვა უნივერსიტეტებს უმაღლესი ხარისხის განათლებისა და საგანმანათლებლო პროგრამების, ასევე უფრო პროგრესული სწავლების მეთოდების სფეროში;

· უნივერსიტეტის მიერ შემუშავებული საგანმანათლებლო მასალები, რომლებზეც წვდომა უნდა იყოს შეზღუდული ან კონტროლირებადი, რადგან ისინი შეადგენენ ინტელექტუალურ საკუთრებას;

· უნივერსიტეტის მიერ შეძენილი პროგრამული უზრუნველყოფა ან ლიცენზიები, რომელთა ქურდობამ შეიძლება გააუარესოს საგანმანათლებლო დაწესებულების მდგომარეობა კონკურსში ან გამოიწვიოს სისხლის სამართლის ან ადმინისტრაციული პასუხისმგებლობა.

· და ბოლოს, იმ R&D პროექტების შედეგები, რომლებიც უნივერსიტეტს შეუძლია განახორციელოს კომერციული ან სამთავრობო მომხმარებლების მოთხოვნით, ექვემდებარება დაცვას.

შეზღუდული წვდომის ინფორმაციის დაცვის გარდა, უზრუნველყოფილი უნდა იყოს სასწავლო პროცესის საინფორმაციო სისტემების უსაფრთხოებაც. ამ სისტემების შემთხვევით ან განზრახ გამორთვამ შეიძლება შეაფერხოს სასწავლო პროცესი და დაარღვიოს ხელშეკრულების პირობები (ფასიანი ტრენინგის ან სხვადასხვა R&D განხორციელების შემთხვევაში).

პრობლემა #4: სამართლებრივი შეზღუდვები

გარდა ინფორმაციული სისტემებისა და ინფორმაციის დაცვისა, რომელიც უზრუნველყოფს უნივერსიტეტს კონკურენტულ უპირატესობას, ინფორმაციული უსაფრთხოების სისტემამ შესაძლებელი უნდა გახადოს საკანონმდებლო ინიციატივების განხორციელება, რომელიც მიმართულია მოქალაქეთა და ორგანიზაციების სხვადასხვა ჯგუფის უფლებებისა და ინტერესების დაცვაზე. რეგულაციები, რომლებსაც უნივერსიტეტი ვალდებულია შეასრულოს, პირველ რიგში მოიცავს:

• 2006 წლის 27 ივლისის ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“;
• 2012 წლის 28 ივლისის ფედერალური კანონი No139-FZ „ფედერალურ კანონში ცვლილებების შეტანის შესახებ „ბავშვთა ჯანმრთელობისა და განვითარებისათვის მავნე ინფორმაციისგან დაცვის შესახებ“ და რუსეთის ფედერაციის გარკვეული საკანონმდებლო აქტები უკანონო წვდომის შეზღუდვის საკითხზე. ინფორმაცია ინტერნეტში“;
• 2013 წლის 2 ივლისის ფედერალური კანონი No187-FZ „რუსეთის ფედერაციის საკანონმდებლო აქტებში ცვლილებების შეტანის შესახებ ინფორმაციისა და ტელეკომუნიკაციის ქსელებში ინტელექტუალური უფლებების დაცვის შესახებ“.

პრობლემა #5: საფრთხეების მზარდი რაოდენობა

ქსელის უსაფრთხოების საფრთხის ლანდშაფტი მუდმივად ვითარდება. მასში წამყვან პოზიციებს იკავებს სპეციალურად დაწერილი, ფარული საფრთხეები, რომლებიც სულ უფრო მეტად ახერხებენ დაძლიონ დაცვის ტრადიციული მეთოდები და საშუალებები. ეს საფრთხეები აღწევს ქსელში - ძირითადი დონემდე, განაწილების დონემდე და მომხმარებლის წვდომის დონემდე, სადაც საფრთხეების დაცვა და ხილვადობა მინიმალურ დონეზეა. იქიდან ეს საფრთხეები ადვილად ირჩევენ სამიზნეებს – კონკრეტულ რესურსებს და კონკრეტულ ადამიანებსაც კი უნივერსიტეტში. თანამედროვე კიბერ საფრთხეების მიზანი არ არის პოპულარობისა და დიდების მოპოვება ან თუნდაც მომგებიანი ბოტნეტის შექმნა, არამედ ინტელექტუალური საკუთრების ან ვაჭრობის და სხვა საიდუმლოების ხელში ჩაგდება და მოპარვა კონკურენტული უპირატესობების მისაღწევად.

Cisco ინფორმაციის უსაფრთხოების გადაწყვეტილებები

Cisco SecureX Architecture™ არის შემდეგი თაობის უსაფრთხოების არქიტექტურა, რომელიც აერთიანებს მოქნილ გადაწყვეტილებებს, პროდუქტებსა და სერვისებს, რათა ჩამოაყალიბოს და განახორციელოს თანმიმდევრული ბიზნეს პოლიტიკა თანამედროვე უნივერსიტეტის მთელ განაწილებულ ქსელში. Cisco SecureX არქიტექტურა აერთიანებს გლობალური საფრთხის დაზვერვას და კონტექსტს უსაფრთხოების უნიკალური გამოწვევების გადასაჭრელად, როგორიცაა მაღალი მობილური მომხმარებლების ზრდა,გაფართოება ქსელში ჩართული მობილური მოწყობილობების დიაპაზონი ან ღრუბლოვან ინფრასტრუქტურასა და სერვისებზე გადასვლა.

Cisco SecureX აკმაყოფილებს დღევანდელი ზღვრული ქსელების საჭიროებებს და უზრუნველყოფს მძლავრ უსაფრთხოებას ნებისმიერი მომხმარებლისთვის, ნებისმიერ მოწყობილობაზე, ნებისმიერ ადგილას, ნებისმიერ დროს. უსაფრთხოების ეს ახალი არქიტექტურა იყენებს უფრო მაღალი დონის პოლიტიკის ენას, რომელიც „ესმის“ სიტუაციის სრულ კონტექსტს – ვინ, რა, სად, როდის და როგორ. უსაფრთხოების პოლიტიკის განაწილებული განხორციელების წყალობით, დაცვის პროცესი უახლოვდება საბოლოო მომხმარებლის სამუშაო ადგილს პლანეტის ნებისმიერ წერტილში, რითაც საშუალებას აძლევს არა მხოლოდ უზრუნველყოს თითოეული მოწყობილობა ან მომხმარებელი, არამედ, საჭიროების შემთხვევაში, საფრთხის ლოკალიზება მაქსიმალურად ახლოს. შესაძლებელია მისი წყარო.

Cisco SecureX-ში შეტანილი გადაწყვეტილებები შეესაბამება ინფორმაციული უსაფრთხოების სფეროში ავტორიზებული რუსეთის სამთავრობო ორგანოების მოთხოვნებს და აქვს 600-ზე მეტი სხვადასხვა FSTEC და FSB სერთიფიკატი უსაფრთხოების მოთხოვნებისთვის.

სწრაფად გაეცნოთ მასალებს სპეციალისტებისგან Cisco გამოქვეყნებულია "ბლოგის" განყოფილებაში Cisco . რუსეთი/დსთ", უნდა გამოიწეროთ გვერდიhttp://gblogs.cisco.com/en.

ტეგები: ინფორმაციული უსაფრთხოება, ინფორმაციული უსაფრთხოება, განათლება, უნივერსიტეტი, Cisco SecureX არქიტექტურა, ინტელექტუალური საკუთრება.

თქვენი კარგი სამუშაოს გაგზავნა ცოდნის ბაზაში მარტივია. გამოიყენეთ ქვემოთ მოცემული ფორმა

სტუდენტები, კურსდამთავრებულები, ახალგაზრდა მეცნიერები, რომლებიც იყენებენ ცოდნის ბაზას სწავლასა და მუშაობაში, ძალიან მადლობლები იქნებიან თქვენი.

გამოქვეყნდა http://www.allbest.ru

• შესავალი
• რელევანტურობა
• 1. საწარმოს საინფორმაციო სისტემის შესწავლა
• 1.1. საწარმოს აღწერა
• 1.2. აპარატურის და პროგრამული უზრუნველყოფის შემადგენლობა და ქსელის სტრუქტურა
• 1.3. ინფორმაციის ნაკადების ანალიზი
• 1.4. საინფორმაციო რესურსების ანალიზი
• 1.5. ობიექტების ფიზიკური დაცვა (უსაფრთხოება)
• 2. საფრთხის მოდელის ანალიზი და შემუშავება
• 2.1. საფრთხეების წყაროების და უსაფრთხოების მოწყვლადობის კლასიფიკაცია და ანალიზი
• 2.2. შემოჭრილი მოდელი
• 2.3. საინფორმაციო სისტემისთვის არსებული საფრთხეების იდენტიფიცირება
• 2.4. საინფორმაციო სისტემის უსაფრთხოების კლასის განსაზღვრა
• 3. ინფორმაციული უსაფრთხოების სისტემის მოდელის შემუშავება
• 3.1. სტანდარტებთან და არსებულ პოლიტიკასთან შესაბამისობის ანალიზი
• 3.2. ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავება
• 4. პირველადი ავტორიზაციის პორტალის შემუშავება
• 4.2. პორტალის ფუნქციონალური მოთხოვნები
• 4.3. პორტალის განვითარება
• დასკვნა
• ბიბლიოგრაფია
• აპლიკაცია

შესავალი

საინფორმაციო რესურსების უსაფრთხოების უზრუნველყოფა დიდი ხანია განხილვის საგანი იყო საინფორმაციო ტექნოლოგიების განვითარებასთან ერთად, რამაც გამოიწვია ავტომატიზირებული სისტემების განვითარება. ეფექტური ინფორმაციული უსაფრთხოების სისტემა საშუალებას გაძლევთ მინიმუმამდე დაიყვანოთ ინფორმაციასთან დაკავშირებული რისკები და ხელს უწყობს საწარმოს საინფორმაციო ნაკადების სტაბილურ მუშაობას.

სამთავრობო დაწესებულებების, როგორიცაა უმაღლესი საგანმანათლებლო დაწესებულებების უსაფრთხოება ასევე მოითხოვს ინფორმაციული უსაფრთხოების მაღალ დონეს.

უნივერსიტეტის საინფორმაციო აქტივები მოიცავს უზარმაზარ ინფორმაციას საგანმანათლებლო საქმიანობისა და ხელმისაწვდომობის სხვადასხვა დონის თანამშრომლების საქმიანობის შესახებ. უნივერსიტეტის თანამშრომლები და სტუდენტები ასევე არიან ინფორმაციის ხელმისაწვდომობის განსხვავებული უფლებების მქონე ადამიანების შესანიშნავი მაგალითი. ამიტომ გადაწყდა, შემუშავებულიყო ღონისძიებათა ეფექტური ნაკრები უნივერსიტეტის ინფორმაციული უსაფრთხოების უზრუნველსაყოფად.

დისერტაციის მიზანია ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტის მაგალითის გამოყენებით შემუშავდეს ღონისძიებების ნაკრები, რომელიც მიზნად ისახავს უნივერსიტეტის ინფორმაციული უსაფრთხოების უზრუნველყოფას. ინფორმაციული უსაფრთხოების საფრთხე

ნაშრომში კვლევის საგანია ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტის ინფორმაციული უსაფრთხოების დაცვის სისტემა.

ნაშრომი შედგება ოთხი თავისგან. პირველ თავში მოცემულია ორგანიზაციის საინფორმაციო სისტემის აღწერა, საინფორმაციო რესურსებისა და ტექნიკური საშუალებების ანალიზი. მეორე თავში გაანალიზებულია სისტემის პოტენციური საფრთხეები და განისაზღვრება შემოჭრის მოდელი. მესამე თავში შემუშავებულია ინფორმაციული უსაფრთხოების პოლიტიკა. მეოთხე თავი განმარტებითი ჩანაწერის სახით შეიცავს პირველადი ავტორიზაციის პორტალის დანერგვის პროცესს.

რელევანტურობა

საზოგადოების განვითარების ამჟამინდელ ეტაპზე ინფორმაციული ტექნოლოგიები მისი განუყოფელი ნაწილია. ინფორმაცია გახდა მსოფლიო საზოგადოების სოციალურ-ეკონომიკური, ტექნიკური და სამეცნიერო პროგრესის ერთ-ერთი მთავარი საშუალება. საინფორმაციო ტექნოლოგიების განვითარება და ინფორმაციული სივრცის გაფართოება იწვევს ამ სფეროში თავდასხმებისა და დარღვევების მზარდ მზარდ დონეს, რაც ინფორმაციული უსაფრთხოების პრობლემებს სულ უფრო აქტუალურს ხდის. ინფორმაციის უსაფრთხოება გულისხმობს ინფორმაციის უსაფრთხოების მდგომარეობას და მის დამხმარე ინფრასტრუქტურას ბუნებრივი ან ხელოვნური ბუნების შემთხვევითი ან განზრახ ზემოქმედებისგან, რამაც შეიძლება ზიანი მიაყენოს ინფორმაციის მფლობელებს ან მომხმარებლებს.

ინფორმაციული უსაფრთხოების უზრუნველყოფა არის ნებისმიერი საწარმოს სტაბილური ფუნქციონირების ერთ-ერთი მთავარი ფაქტორი. დღესდღეობით ინფორმაციის კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობა ბიზნესის უწყვეტობის მნიშვნელოვანი ასპექტია, ამიტომ ორგანიზაციების მზარდი რაოდენობა ორიენტირებულია ინფორმაციის უსაფრთხოების საკითხზე. ამრიგად, საჭიროა ეფექტური და ინტეგრირებული ინფორმაციული უსაფრთხოების სისტემა.

ხშირად, საინფორმაციო სისტემის შექმნისას, ორგანიზაციები ცდილობენ უზრუნველყონ თავიანთი ინფორმაციული აქტივები მხოლოდ დაცვის აპარატურულ და პროგრამულ დონეზე. მაგრამ უსაფრთხოების ეს დონე არაეფექტურია და უნდა იყოს მხარდაჭერილი ინფორმაციული უსაფრთხოების სფეროში არსებული წესებითა და რეგულაციებით.

დაწესებულებაში უსაფრთხოების სისტემის მომზადება და დანერგვა უნდა განხორციელდეს ინფორმაციული უსაფრთხოების სფეროში არსებული კანონმდებლობისა და მარეგულირებელი მოთხოვნების საფუძველზე. მთავარი დოკუმენტი არის რუსეთის ფედერაციის კონსტიტუცია, რომლის მიხედვითაც „ადამიანის პირადი ცხოვრების შესახებ ინფორმაციის შეგროვება, შენახვა, გამოყენება და გავრცელება მისი თანხმობის გარეშე დაუშვებელია“.

ინფორმაციული უსაფრთხოების სხვა ძირითადი დოკუმენტებია 2006 წლის 27 ივლისის ფედერალური კანონი No149-FZ „ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის დაცვის შესახებ“, რომლის მიხედვითაც აუცილებელია ინფორმაციის დაცვა არასანქცირებული წვდომისგან. მონაცემთა მოდიფიკაცია, განადგურება, კოპირება და გავრცელება. 2006 წლის 27 ივლისის ფედერალური კანონი No152-FZ „პერსონალური მონაცემების შესახებ“ არეგულირებს ქმედებებს, რომლებიც დაკავშირებულია სამთავრობო უწყებების მიერ პერსონალური მონაცემების დამუშავებასთან ავტომატური სისტემების გამოყენებით.

თქვენ ასევე უნდა გაითვალისწინოთ რუსეთის ფედერაციის კანონი „სახელმწიფო საიდუმლოების შესახებ“ და რუსეთის ფედერაციის კანონი „კომერციული საიდუმლოების შესახებ“, რომელიც არეგულირებს ინფორმაციის ოფიციალურ საიდუმლოებად მიჩნევის პროცედურას, სამსახურებრივი საიდუმლოების რეჟიმს და პროცედურას. ოფიციალური მონაცემების გასამჟღავნებლად. ასევე არსებობს მთელი რიგი კანონები, რომელთა მიხედვითაც ყალიბდება ინფორმაციის კონფიდენციალურობის დონეები („კონფიდენციალური ინფორმაციის სიის დამტკიცების შესახებ“; „სახელმწიფო საიდუმლოებად მიჩნეული ინფორმაციის სიის დამტკიცების შესახებ“; „საიდუმლო ინფორმაციის დამტკიცების შესახებ“ ინფორმაციის სია, რომელიც არ შეიძლება იყოს კომერციული საიდუმლოება“).

ზოგადად, რუსეთის ფედერაციის საკანონმდებლო ბაზა არ ითვალისწინებს და სრულად არეგულირებს კონფიდენციალური მონაცემების შენახვას და გამოყენებას.

პროცედურული და აპარატურულ-პროგრამული დონის უსაფრთხოების უზრუნველსაყოფად ძირითადი რეგულაციები არის სტანდარტები და სპეციფიკაციები. ეს არის დოკუმენტები, რომლებიც შეიცავს დადასტურებულ, მაღალი ხარისხის უსაფრთხოების მეთოდოლოგიებსა და ინსტრუმენტებს.

სტანდარტების შესაბამისად, საინფორმაციო სისტემის ობიექტების უსაფრთხოების უზრუნველყოფა უნდა შედგებოდეს შემდეგი ეტაპებისგან:

– ინფორმაციის უსაფრთხოების უზრუნველყოფის მიზნების გამოკვეთა;

– ეფექტური მართვის სისტემის შემუშავება;

– დასახულ მიზნებთან შესაბამისობის ანალიზი და შეფასება;

– უსაფრთხოების საწყისი მდგომარეობის ანალიზი;

ISO 15408: საერთო კრიტერიუმები საინფორმაციო ტექნოლოგიების უსაფრთხოების შეფასების სტანდარტი შეიცავს პროგრამული უზრუნველყოფისა და აპარატურის დონის უსაფრთხოების ყველაზე სრულყოფილ კრიტერიუმებს. ზოგადი კრიტერიუმები ადგენს მოთხოვნებს უსაფრთხოების ფუნქციონირებისთვის. პროგრამული უზრუნველყოფისა და ტექნიკის დაცვის დონის გარდა, სტანდარტი აღწერს ზოგიერთ მოთხოვნას ორგანიზაციული დონის უსაფრთხოების მეთოდებისა და ფიზიკური დაცვის მიმართ. სტანდარტი შედგება სამი ნაწილისგან:

– პირველი ნაწილი მოიცავს კონცეპტუალურ აპარატს, ინფორმაციული ტექნოლოგიების უსაფრთხოების შეფასების მოდელისა და მეთოდოლოგიის პრეზენტაციას;

– მეორე ნაწილი პირდაპირ შეიცავს მოთხოვნებს ტექნიკისა და პროგრამული უზრუნველყოფის ფუნქციონირებაზე;

– მესამე ნაწილი შეიცავს უსაფრთხოების გარანტიების მოთხოვნებს;

ISO 17799: ინფორმაციული უსაფრთხოების მართვის პრაქტიკის კოდექსი უზრუნველყოფს ორგანიზაციული დონის ყველაზე სრულყოფილ კრიტერიუმებს.

სტანდარტი შეიცავს ინფორმაციული უსაფრთხოების მართვის ყველაზე ეფექტურ წესებსა და კრიტერიუმებს ორგანიზაციული დონის უსაფრთხოების პრაქტიკის შესაფასებლად, ადმინისტრაციული, პროცედურული და ფიზიკური დაცვის გათვალისწინებით. სტანდარტი შეიცავს შემდეგ განყოფილებებს:

- Დაცვის პოლიცია;

– ინფორმაციული უსაფრთხოების ორგანიზაცია;

- რესურსების მართვა;

– ადამიანური რესურსების უსაფრთხოება;

- ფიზიკური დაცვა;

- წვდომის კონტროლი;

– საინფორმაციო სისტემების ადმინისტრირება;

– საინფორმაციო სისტემების განვითარება და შენარჩუნება;

– უწყვეტი მუშაობის დაგეგმვა;

– უსაფრთხოების მოთხოვნებთან შესაბამისობის მონიტორინგი;

რუსეთის ფედერაციის სახელმწიფო ტექნიკური კომისიის სახელმძღვანელო დოკუმენტი „ინფორმაციული ტექნოლოგიების უსაფრთხოების შეფასების კრიტერიუმები“. ეს დოკუმენტი შემუშავებულია GOST R ISO/IEC 15408-2002 შესაბამისად და უზრუნველყოფს მის პრაქტიკულ გამოყენებას. RD-ის მთავარი მიზანია ყოვლისმომცველი მეთოდების დანერგვა საინფორმაციო სისტემების უსაფრთხოების უზრუნველსაყოფად და საჭირო ფუნქციონალურობის გამოყენებას. ის მიზნად ისახავს უსაფრთხოების სისტემების შემუშავებას, რომლებიც ხვდებიან შესაძლო საფრთხეებს, ეფექტურობასა და ღირებულებას შორის ბალანსის შენარჩუნებისას.

რუსეთის ფედერაციის სახელმწიფო ტექნიკური კომისიის სახელმძღვანელო დოკუმენტი ”ავტომატური სისტემები. დაცვა ინფორმაციაზე არასანქცირებული წვდომისგან. ავტომატური სისტემების კლასიფიკაცია და ინფორმაციის დაცვის მოთხოვნები.“. ეს RD განსაზღვრავს AS-ის კლასიფიკაციას და, კლასის შესაბამისად, განსაზღვრავს მოთხოვნებს შესაძლო ქვესისტემებისთვის.

რუსეთის ფედერაციის სახელმწიფო ტექნიკური კომისიის სახელმძღვანელო დოკუმენტი „კომპიუტერული საშუალებები. Firewalls. დაცვა ინფორმაციაზე არასანქცირებული წვდომისგან. უსაფრთხოების ინდიკატორები ინფორმაციაზე არასანქცირებული წვდომისგან“. პირველი RD, რომელსაც არ აქვს უცხოური ანალოგი. ამ RD-ის მთავარი იდეა არის Firewall-ის კლასიფიკაცია OSI ქსელის მოდელის შესაბამისად, რომელიც ფილტრავს მონაცემთა ნაკადებს.

დღეს უსაფრთხოების სისტემების დანერგვის სფეროში გაჩნდა ისეთი კონცეფცია, როგორიცაა „საუკეთესო პრაქტიკა“. „საუკეთესო პრაქტიკა“ არის უსაფრთხოების ის პოლიტიკა, რომელიც ასახავს უსაფრთხოების საუკეთესო პროცედურებს, ინსტრუმენტებს, სახელმძღვანელო მითითებებს და სტანდარტებს და შეიძლება გამოყენებულ იქნას როგორც მითითება უსაფრთხოების სისტემის შემუშავებაში. ისეთი კომპანიების პოლიტიკა, როგორიცაა Microsoft, IBM, Symantec და ა.შ. მიჩნეულია საცნობარო სტანდარტებად.

1. Symantec პოლიტიკა

Symantec-ის სპეციალისტები ამტკიცებენ, რომ ეფექტური უსაფრთხოების სისტემის საფუძველია მმართველი დოკუმენტები, რომლებიც მოიცავს: უსაფრთხოების პოლიტიკას, საერთაშორისო სტანდარტებს, უსაფრთხოების პროცედურების აღწერას და მეტრიკას. ყველა ამ სახელმძღვანელო დოკუმენტს შეუძლია უპასუხოს სამ ძირითად კითხვას:

რატომ გჭირდებათ ინფორმაციის დაცვა?

რა უნდა გაკეთდეს უსაფრთხოების უზრუნველსაყოფად?

როგორ განვახორციელოთ პოლიტიკა საჭიროებისამებრ?

უსაფრთხოების ყოვლისმომცველი სისტემის შემუშავება უნდა მოიცავდეს შემდეგ ნაბიჯებს:

– საინფორმაციო აქტივების ანალიზი;

- შესაძლო საფრთხეების იდენტიფიცირება;

– უსაფრთხოების რისკების ანალიზი და შეფასება;

– უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი პირების დანიშვნა;

– ყოვლისმომცველი სისტემის შექმნა სტანდარტების, გაიდლაინების და პროცედურების შესაბამისად;

– უსაფრთხოების სისტემის მართვა;

2. Microsoft-ის პოლიტიკა

Microsoft-ის საინფორმაციო პოლიტიკის სტრატეგია შეიცავს ოთხ ძირითად კომპონენტს:

– კომპანიის ინფორმაციული უსაფრთხოების უზრუნველყოფის მიზანი;

- სისტემის უსაფრთხოების სტანდარტები

– გადაწყვეტილების მიღების სქემა (რისკების ანალიზის შედეგების საფუძველზე);

– რისკების მინიმიზაციის მიზნით ქმედებების იდენტიფიცირება;

უსაფრთხოების პოლიტიკის შემუშავების პროცესი ოთხ კატეგორიად იყოფა:

– ორგანიზაციული (მიზნად ისახავს ინფორმაციული უსაფრთხოების სფეროში თანამშრომელთა ცნობიერების ამაღლებასა და ცოდნის გაფართოებას, ასევე მენეჯმენტის მხარდაჭერას);

– მონაცემები და მომხმარებლები (მოიცავს დაცვის ისეთ ზომებს, როგორიცაა: ავტორიზაცია, პერსონალური მონაცემების დაცვა, ავთენტიფიკაცია);

– სისტემის განვითარება (უსაფრთხო სისტემის შემუშავება, თავდასხმის ზედაპირის შემცირება, გამოყენების სიმარტივის უზრუნველყოფა);

– მხარდაჭერა (სისტემის რეგულარული მონიტორინგი და აღრიცხვა, ინციდენტებზე რეაგირება);

უსაფრთხოების დონის შესანარჩუნებლად კომპანია იყენებს საინფორმაციო რისკის კონტროლს (რისკების იდენტიფიცირება, შეფასება და მინიმიზაცია). ეს მიდგომა საშუალებას გაძლევთ მიაღწიოთ ბალანსს მოთხოვნებსა და დაცვის მეთოდებს შორის.

3. IBM პოლიტიკა

IBM-ის სპეციალისტები განსაზღვრავენ უსაფრთხოების სისტემის შექმნის ოთხ ძირითად ეტაპს:

– საინფორმაციო რისკების იდენტიფიცირება და მათთან ბრძოლის მეთოდები;

– აქტივების დაცვის ღონისძიებების აღწერა კომპანიის ამოცანებისა და მიზნების შესაბამისად;

– ინციდენტების შემთხვევაში ქმედებების აღწერა;

– ნარჩენი რისკების ანალიზი და უსაფრთხოების მეთოდებში დამატებითი ინვესტიციების შესახებ გადაწყვეტილების მიღება;

პასუხი კითხვაზე "რა უნდა იყოს დაცული?" - ინფორმაციული უსაფრთხოების პოლიტიკის მთავარი ასპექტი, IBM სტრატეგიის შესაბამისად. პოლიტიკა უნდა შეიქმნას მომავალში მინიმალური ცვლილებების მიზნით. ეფექტური უსაფრთხოების პოლიტიკა უნდა შეიცავდეს:

– ინფორმაციის უსაფრთხოების უზრუნველყოფის მიზნები და ამოცანები;

– უსაფრთხოების სტანდარტებთან და კანონმდებლობასთან ურთიერთქმედება;

– ცოდნის გაფართოება ინფორმაციული უსაფრთხოების საკითხებზე;

- ვირუსული შეტევების გამოვლენა და აღმოფხვრა;

– ბიზნესის უწყვეტობის უზრუნველყოფა;

– პერსონალის როლებისა და პასუხისმგებლობების დადგენა;

– უსაფრთხოების ინციდენტების აღრიცხვა;

შემდეგ მოდის დოკუმენტაციის შექმნის პროცესი, რომელიც შეიცავს კომპანიის რისკების ანალიზის წესებს, რეკომენდებული მეთოდებისა და დაცვის საშუალებების აღწერას და ა.შ. დოკუმენტაცია შეიძლება შეიცვალოს მიმდინარე მოწყვლადობისა და საფრთხეების შესაბამისად.

თუმცა, გარდა სამართლებრივი საფუძვლისა, ინფორმაციული უსაფრთხოების სისტემა და მისი ფუნქციები ობიექტის უსაფრთხოების უზრუნველსაყოფად უნდა განხორციელდეს ქვემოთ მოცემული პრინციპების შესაბამისად:

– ლეგიტიმაცია (ინფორმაციული უსაფრთხოების სისტემის შექმნა, ასევე დაცვის ღონისძიებების განხორციელება, რომლებიც არ ეწინააღმდეგება კანონმდებლობასა და რეგულაციას);

– სირთულე (განვითარებული დაცვის სისტემა ითვალისწინებს მეთოდების ყოვლისმომცველ განხორციელებას, უზრუნველყოფს ინფორმაციული რესურსების დაცვას ტექნიკურ და ორგანიზაციულ დონეზე და ხელს უშლის საფრთხეების განხორციელების შესაძლო გზებს);

– მუდმივობა (უზრუნველყოფს ობიექტების უწყვეტ დაცვას);

– პროგრესულობა (იგულისხმება დაცვის საშუალებებისა და მეთოდების უწყვეტ განვითარებას, ტექნოლოგიების განვითარებისა და თავდასხმის მეთოდების შესაბამისად);

– რაციონალურობა (დაცვის ეფექტური და ეფექტური საშუალებების გამოყენება);

– პასუხისმგებლობა (თითოეული თანამშრომელი პასუხისმგებელია უსაფრთხოების უზრუნველყოფაზე თავისი უფლებამოსილების ფარგლებში);

– კონტროლი (იგულისხმება მუდმივი კონტროლი დაცვის უზრუნველყოფაზე და საფრთხეების დროულ იდენტიფიცირებაზე);

– არსებული უსაფრთხოების სისტემის გამოყენება (დაპროექტებული სისტემა იქმნება არსებული სისტემის საფუძველზე, სტანდარტული აპარატურის და პროგრამული უზრუნველყოფის გამოყენებით);

– შიდა წარმოების ტექნიკისა და პროგრამული უზრუნველყოფის დამცავი კომპონენტების გამოყენება (უსაფრთხოების სისტემის დიზაინი ითვალისწინებს შიდა ტექნიკური დაცვის საშუალებების უპირატესობას);

– ფაზირება (სასურველია უსაფრთხოების სისტემის დაპროექტება ეტაპობრივად);

ინფორმაციული უსაფრთხოების არსებული პოლიტიკისა და სტანდარტების გაანალიზების შემდეგ, შეიძლება ითქვას, რომ ინფორმაციული უსაფრთხოების ადეკვატური დონის უზრუნველსაყოფად საჭიროა ზომების მთელი რიგი, მათ შორის პროგრამული ფუნქციები, უსაფრთხოების პოლიტიკა, მეთოდები და ორგანიზაციული სტრუქტურები. ამ და მთავარი მიზნის შესაბამისად, შემდეგი ამოცანები უნდა შესრულდეს:

– ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტის საწყისი ინფორმაციისა და ორგანიზაციული სტრუქტურის შესწავლა;

– წყაროს საინფორმაციო სისტემის ანალიზის შედეგებზე დაყრდნობით, ინფორმაციული უსაფრთხოების კონკრეტული საფრთხეებისა და მოწყვლადობის იდენტიფიცირება;

– განსაზღვროს ობიექტის საწყისი უსაფრთხოების დონე და კლასი;

- მიმდინარე საფრთხეების იდენტიფიცირება;

– შექმენით შემოჭრის მოდელი;

– ორიგინალური სისტემის შედარება უსაფრთხოების სტანდარტების მოთხოვნებთან;

– უსაფრთხოების პოლიტიკის შემუშავება და ინფორმაციის უსაფრთხოების უზრუნველყოფის ქმედებების განსაზღვრა;

ზემოაღნიშნული მიზნებისა და ამოცანების შესრულება საშუალებას მისცემს შექმნას საწარმოს საინფორმაციო უსაფრთხოების ეფექტური სისტემა, რომელიც აკმაყოფილებს საკანონმდებლო მოთხოვნებსა და ინფორმაციული უსაფრთხოების სტანდარტებს.

1. საწარმოს საინფორმაციო სისტემის შესწავლა

1.1. საწარმოს აღწერა

ორგანიზაციის სრული სახელი : უმაღლესი პროფესიული განათლების ფედერალური სახელმწიფო საბიუჯეტო საგანმანათლებლო დაწესებულება „ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი“.

შემოკლებული სახელები: NNGASU, უმაღლესი პროფესიული განათლების ფედერალური სახელმწიფო საბიუჯეტო საგანმანათლებლო დაწესებულება „ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი“.

სრული სახელი ინგლისურად: ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი.

მოკლე სახელი ინგლისურად: NNGASU.

უნივერსიტეტის ადგილმდებარეობა: 603950, ნიჟნი ნოვგოროდის რეგიონი, ნიჟნი ნოვგოროდი, ქ. ილიინსკაია, 65 წლის.

უნივერსიტეტის დამფუძნებელი არის რუსეთის ფედერაცია. უნივერსიტეტის დამფუძნებლის ფუნქციებსა და უფლებამოსილებებს ახორციელებს რუსეთის ფედერაციის განათლებისა და მეცნიერების სამინისტრო.

დამფუძნებლის ადგილმდებარეობა: 125993, მოსკოვი, ქ. ტვერსკაია, 11.

რექტორი - ანდრეი ალექსანდროვიჩ ლაპშინი

FSBEI HPE "ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი" არის არაკომერციული ორგანიზაცია, რომელიც შექმნილია რეგიონის, მრეწველობისა და რუსეთის ეკონომიკისა და სოციალური გარემოს განვითარების მიზნით, სტუდენტების განათლების დონის ამაღლებით, მიღწევების საფუძველზე. მეცნიერება, ინოვაცია და ტექნოლოგია.

უმაღლესი პროფესიული განათლების ფედერალური სახელმწიფო საბიუჯეტო საგანმანათლებლო დაწესებულების ძირითადი საქმიანობა "ნიჟნი ნოვგოროდის სახელმწიფო არქიტექტურისა და სამოქალაქო ინჟინერიის უნივერსიტეტი":

· თანამედროვე საგანმანათლებლო სტანდარტებზე და სამეცნიერო კვლევებზე დაფუძნებული სამშენებლო და მასთან დაკავშირებული დარგების სპეციალისტების გადამზადება, რომლებიც კონკურენტუნარიანია რუსეთის და საერთაშორისო შრომის ბაზარზე;

· მეცნიერული პოტენციალის უზრუნველყოფა, რომელსაც შეუძლია გაუძლოს ქვეყნის ეკონომიკის რეალურ სექტორებში ჩართულ კონკურენციას;

· თანამშრომელთა და სტუდენტთა თვითრეალიზებისთვის, ასევე პროფესიული ზრდისთვის აუცილებელი პირობების შექმნა და გაუმჯობესება;

· საუნივერსიტეტო თანამშრომლობის განვითარება რუსულ და საერთაშორისო დონეზე და პოზიციების განმტკიცება საერთაშორისო ასპარეზზე;

უნივერსიტეტის გენერალურ მართვას ახორციელებს აკადემიური საბჭო, რომელშიც შედიან: რექტორი (აკადემიური საბჭოს თავმჯდომარე), პრორექტორები, ფაკულტეტების დეკანები (აკადემიური საბჭოს გადაწყვეტილებით). ასევე, უნივერსიტეტის ორგანიზაციული სტრუქტურა მოიცავს განყოფილებებს, ცენტრებს, დეპარტამენტებსა და სხვა განყოფილებებს. დეტალური ორგანიზაციული სტრუქტურა წარმოდგენილია სურათზე 1.

სურათი 1. უმაღლესი პროფესიული განათლების ფედერალური სახელმწიფო საბიუჯეტო საგანმანათლებლო დაწესებულების ორგანიზაციული სტრუქტურა "ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი"

ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი, მუდმივად განვითარებადი სტრუქტურით და მოდერნიზებული საგანმანათლებლო და სამეცნიერო ბაზით, თანამედროვე პირობებში არის აქტიურად პროგრესირებადი კომპლექსი. უნივერსიტეტს აქვს დიდი საინფორმაციო ბაზა, რომელიც შეიცავს სპეციალიზებულ პროგრამულ პროდუქტებს. დაწესებულების ინფორმაციული უსაფრთხოება საკმაოდ მაღალ დონეზეა წარმოდგენილი, მაგრამ მუდმივად პროგრესირებადი თავდასხმებისა და დარღვევების კონტექსტში ის გაუმჯობესებას მოითხოვს.

1.2 აპარატურის და პროგრამული უზრუნველყოფის შემადგენლობა და ქსელის სტრუქტურა

NNGASU-ში სასწავლო პროცესს თან ახლავს მნიშვნელოვანი საინფორმაციო ბაზა, კომპიუტერული პარკის განვითარება და მოდერნიზებული საინფორმაციო სისტემების დანერგვა სასწავლო პროცესში. სასწავლო პროცესის უზრუნველსაყოფად ყველა განყოფილება და განყოფილება აღჭურვილია პერსონალური კომპიუტერებითა და საჭირო ინვენტარით. თანამედროვე საინფორმაციო ტექნოლოგიების გამოყენების სფეროში არსებული პრობლემების გადასაჭრელად უნივერსიტეტი აღჭურვილია 8 კომპიუტერული კლასით. უნივერსიტეტის ყველა პერსონალური კომპიუტერი აღჭურვილია Microsoft-ის ლიცენზირებული პროგრამული უზრუნველყოფით და ანტივირუსული დაცვით. ყველა აპარატურა წარმოდგენილია ცხრილში 1.

ცხრილი 1. აპარატურის შემადგენლობა

დღეს უნივერსიტეტი ყურადღებას აქცევს სასწავლო პროცესის კომპიუტერიზაციას. საგანმანათლებლო საქმიანობის ოპტიმიზაციის მიზნით, უნივერსიტეტი ფლობს ყველა საჭირო თანამედროვე პროგრამულ პაკეტს. ცხრილი 2 გვიჩვენებს NNGASU-ში გამოყენებული პროგრამული უზრუნველყოფის ჩამონათვალს.

ცხრილი 2. პროგრამული უზრუნველყოფა

ყველა უნივერსიტეტის კომპიუტერი დაკავშირებულია ლოკალურ ქსელთან და აქვს წვდომა ინტერნეტზე უსაფრთხო კავშირის საშუალებით. ოპტიკური ხაზის კვანძები აღჭურვილია მართული კონცენტრატორებით. ინტერნეტთან მუდმივი წვდომის უზრუნველსაყოფად, სისტემა აღჭურვილია კავშირით ორ პროვაიდერთან, რომლებიც უზრუნველყოფენ არხებს 20 მბიტ/წმ და 10 მბიტ/წმ სიჩქარით. როდესაც ცდილობთ გადმოწეროთ ინფორმაცია, რომელიც არ არის დაკავშირებული სასწავლო პროცესთან, მომხმარებლის ტრაფიკი შეზღუდულია. დაცვის პროგრამულ დონეზე, სტუდენტებისა და თანამშრომლებისთვის გამოიყენება სხვადასხვა დომენები.

ქსელის სეგმენტებს შორის პაკეტების გადასაცემად გამოიყენება MicroTic როუტერი, რომელიც საშუალებას გაძლევთ გადაანაწილოთ დატვირთვა მონაცემების დაკარგვის გარეშე. მასში გადის გლობალური ქსელის პაკეტები, დისტანციური მომხმარებლის საიტები და NauDoc სისტემის პაკეტები.

ქსელის სტრუქტურა აღჭურვილია თერთმეტი ფიზიკური სერვერით, რომელთაგან ოთხი არის ვირტუალური მანქანების სადგური. ამ ქსელის ელემენტებზე დამონტაჟებულია საინფორმაციო და საცნობარო მასალები, მონაცემთა ბაზის სერვერები, ასევე ფოსტის სერვერები და ვებსაიტები. დაწესებულებას აქვს 14 ვირტუალური სერვერი გლობალურ ქსელზე წვდომით. მთავარი სერვერი, რომელიც გადის ყველა ინფორმაციას, არის Nginx. Nginx არის ვებ სერვერი, ფოსტის პროქსი და TCP პროქსი. ეს სერვერი იღებს შემომავალ მონაცემებს 80-ე პორტზე და შემდეგ გადასცემს მას საჭირო სერვერებზე (Ubuntu, Suse, CentOS, Win2008_IIS, Win7). უნივერსიტეტის ქსელის სტრუქტურა ნაჩვენებია სურათზე 2.

სურათი 2. უმაღლესი პროფესიული განათლების ფედერალური სახელმწიფო საბიუჯეტო საგანმანათლებლო დაწესებულების ქსელის სტრუქტურა "ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტი"

დემილიტარიზებული ზონა, კომპიუტერული კლასები, ViPNet და თავად უნივერსიტეტი თითოეული შედის ცალკეულ ვირტუალურ ლოკალურ ქსელებში (VLAN), რაც ამცირებს დატვირთვას ქსელის მოწყობილობებზე (ტრაფიკი ერთი დომენიდან არ გადადის სხვა დომენზე). ეს ტექნოლოგია ასევე შესაძლებელს ხდის გამორიცხოს არასანქცირებული წვდომა, რადგან გადამრთველი წყვეტს პაკეტებს სხვა ვირტუალური ქსელებიდან.

ვინაიდან დაწესებულება იყენებს ორი პროვაიდერის მომსახურებას, საჭიროა ინტერნეტის უპრობლემოდ მუშაობა ძირითადი არხიდან სარეზერვო არხზე გადასვლისას. Squid პროგრამული პაკეტი გამოიყენება როგორც ქეშირების პროქსი სერვერი. Squid-ის ძირითადი ამოცანები ამ ინსტიტუტში:

– ერთი და იგივე საიტების მონახულებისას ხდება მათი ქეშირება და ზოგიერთი მონაცემი პირდაპირ სერვერიდან მოდის;

– სისტემური ადმინისტრატორის შესაძლებლობა აკონტროლოს მონახულებული საიტები და გადმოწერილი ფაილები;

– გარკვეული საიტების დაბლოკვა;

– არხებს შორის დატვირთვის განაწილება;

ორგანიზაციის სხვა firewall არის Microsoft Forefront Threat Management Gateway. ერთად აღებული, Microsoft Forefront უზრუნველყოფს უსაფრთხოების მაღალ დონეს და საშუალებას გაძლევთ მართოთ თქვენი ქსელის სტრუქტურის უსაფრთხოება. კერძოდ, Microsoft Forefront TMG არის პროქსი სერვერი, რომელიც საშუალებას გაძლევთ დაიცვათ გარე შეტევებისგან, აკონტროლოთ ტრაფიკი და მიიღოთ და გაგზავნოთ შემომავალი პაკეტები.

რუსეთის ფედერაციის განათლებისა და მეცნიერების სამინისტროსთან ურთიერთობისთვის დაწესებულება იყენებს ViPNet ტექნოლოგიას. ViPNet უზრუნველყოფს დაცვას დიდ ქსელებში და ქმნის უსაფრთხო გარემოს შეზღუდული წვდომის ინფორმაციის გადასაცემად საჯარო საკომუნიკაციო არხების გამოყენებით ვირტუალური კერძო ქსელის (VPN) განხორციელების გზით.

თანამედროვე კორპორატიულ ინფრასტრუქტურაში საჭიროა ლოკალური ქსელის ცენტრალიზებული მართვა და აპარატურის ვირტუალიზაცია. ამ მიზნით უნივერსიტეტი იყენებს Microsoft Hyper-V სისტემას, რომელიც საშუალებას აძლევს სისტემის ადმინისტრატორს კორპორატიული სისტემის ფარგლებში გადაჭრას რამდენიმე პრობლემა:

- უსაფრთხოების დონის გაზრდა;

– საინფორმაციო რესურსების დაცვა;

- მონაცემთა ცენტრალიზებული შენახვა;

- მასშტაბურობა;

1.3 საინფორმაციო ნაკადების ანალიზი

უნივერსიტეტის საინფორმაციო რესურსები ვრცელდება როგორც სისტემის შიგნით, ასევე გარე არხებით. ინფორმაციის დაცვისა და ორგანიზების უზრუნველსაყოფად უნივერსიტეტი იყენებს სხვადასხვა ტიპის თანამედროვე საინფორმაციო სისტემებს.

ყველაზე მნიშვნელოვანი და მასშტაბურია Tandem e - Learning - ყოვლისმომცველი საინფორმაციო სისტემა, რომელიც შესაძლებელს ხდის სრულ განაკვეთზე განათლების მონიტორინგს და ახორციელებს დისტანციურ განათლებას, როგორც ელექტრონული სწავლების ერთ-ერთ მოდერნიზებულ მიდგომას. Tandem e - Learning არის დახურული საგანმანათლებლო პორტალი, რომელზეც წვდომა აქვთ უნივერსიტეტის თანამშრომლებსა და სტუდენტებს რეგისტრაციის პროცედურის გავლის შემდეგ. სისტემაში წვდომა შესაძლებელია როგორც შიდა კომპიუტერებიდან, ასევე გარე მოწყობილობებიდან.

დისტანციური სწავლების კიდევ ერთი სისტემაა Moodle. ეს პორტალიც დახურულია და რეგისტრაციას საჭიროებს. ისევე, როგორც ტანდემი, Moodle სისტემაზე წვდომა შესაძლებელია გარე მოწყობილობებიდან.

ორივე პორტალი აგებულია განათლების მართვის სისტემის (LMS) ბაზაზე. LMS საშუალებას გაძლევთ მართოთ, გაავრცელოთ და გააზიაროთ სასწავლო მასალა.

კორპორატიული საინფორმაციო სისტემა დანერგილია ტანდემის უნივერსიტეტის სისტემის მეშვეობით. ეს პორტალი შეიცავს ინფორმაციას სასწავლო პროცესის შესახებ. სტუდენტებს, პერსონალს და უფროს მენეჯმენტს აქვთ წვდომა ტანდემის სისტემაზე. ამ სისტემის დაცვას უზრუნველყოფს ის ფაქტი, რომ ის იზოლირებულია და არ აქვს წვდომა ლოკალურ ქსელში. კორპორატიული ქსელის ყველა რესურსი განთავსებულია ოთხ სერვერზე, რომელთაგან ორი შეიცავს მონაცემთა ბაზას და მთავარ პორტალს და ორ სატესტო სერვერს.

უნივერსიტეტში დოკუმენტების ნაკადი ხდება NauDoc სისტემის მეშვეობით. ეს არის ღრუბელზე დაფუძნებული დოკუმენტების მართვის სისტემა დაწესებულებაში დოკუმენტების რეგისტრაციის, დამუშავებისა და აღრიცხვისთვის. სისტემაზე წვდომა აქვთ უნივერსიტეტის ოფისს, ფილიალებსა და შემომავალ ორგანიზაციებს.

უნივერსიტეტის ვებგვერდის შიგთავსს აკონტროლებს პროფესიონალური მართვის სისტემა 1C - Bitrix. ამ სისტემის უპირატესობა ის არის, რომ მას შეუძლია გაზარდოს საიტის რეაგირების სიჩქარე.

ბუღალტერია ემსახურება ავტომატური დამუშავების სისტემის „PARUS - Accounting“-ის მეშვეობით. ეს პროგრამული პაკეტი საშუალებას გაძლევთ სრულად ავტომატიზიროთ აქტივების, ანგარიშსწორებისა და სახსრების აღრიცხვა. ტანდემის უნივერსიტეტის კორპორატიული სისტემის მსგავსად, „PARUS - Accounting“ იზოლირებულია და მასზე წვდომა მხოლოდ ბუღალტრული აღრიცხვის დეპარტამენტის თანამშრომლებს აქვთ.

უნივერსიტეტის ბიბლიოთეკა ასევე ავტომატიზირებულია და კონტროლდება MARK - SQL საინფორმაციო ბიბლიოთეკის სისტემის მეშვეობით. ეს სისტემა შეიცავს უამრავ საინფორმაციო რესურსს, მათ შორის საინფორმაციო კატალოგს, რომელიც ინახება ცალკე Windows სერვერზე.

ასევე, ზოგიერთი რესურსი შეიცავს შემდეგ საინფორმაციო სისტემებს:

– კონსულტანტი+ (მინიშნება – სამართლებრივი სისტემა);

– TechExpert (საინფორმაციო და საცნობარო სისტემა, რომელიც შეიცავს მარეგულირებელ, იურიდიულ და ტექნიკურ ინფორმაციას „ბიზნესი ბიზნესისთვის“ სფეროში);

– Norma CS (საპროექტო საქმიანობაში სტანდარტებისა და მარეგულირებელი დოკუმენტების ძებნისა და გამოყენების საცნობარო სისტემა);

– OTRS (შეკვეთის დამუშავების სისტემა);

– RedMine (შიდა მონაცემთა ბაზა);

– AIST (HR სერვისი);

1.4 საინფორმაციო რესურსების ანალიზი

ნიჟნი ნოვგოროდის არქიტექტურისა და სამოქალაქო ინჟინერიის სახელმწიფო უნივერსიტეტის საინფორმაციო სისტემა შეიცავს უამრავ საინფორმაციო რესურსს (მონაცემთა ბაზა, დოკუმენტაცია, პერსონალური მონაცემები, არქივები, ბიბლიოთეკები), რომლებიც, თავის მხრივ, დაცვის მთავარი ობიექტია. მიზანშეწონილია ინფორმაციის კონფიდენციალურობის რამდენიმე დონის შემოღება:

· შეზღუდული ინფორმაცია:

– ოფიციალური საიდუმლო – ინფორმაცია, რომელიც შეიცავს ინფორმაციას სუბიექტის ფინანსების, წარმოების, მართვის და სხვა საქმიანობის შესახებ, რომლის გამჟღავნებამ შეიძლება გამოიწვიოს ეკონომიკური ზიანი;

– პროფესიული საიდუმლო – საგანმანათლებლო საქმიანობისა და პროცესების ორგანიზების შემცველი ინფორმაცია.

– პერსონალური მონაცემები – ნებისმიერი ინფორმაცია, რომელიც შეიცავს ინფორმაციას კონკრეტული პირის შესახებ (ინფორმაცია სტუდენტების, მასწავლებლების და ა.შ.);

· საჯარო ინფორმაცია:

– დადგენილებები, განკარგულებები, ბრძანებები;

– საგანმანათლებლო საქმიანობის შესახებ სტატისტიკური ინფორმაციის შემცველი ინფორმაცია;

– ინფორმაცია, რომლის წვდომა არ არის შეზღუდული კანონით და წესდებით;

1.5 ობიექტების ფიზიკური დაცვა (უსაფრთხოება)

დაწესებულებას 24 საათიანი მეთვალყურეობა ექვემდებარება დაცვის პუნქტის მეშვეობით. უნივერსიტეტის შენობაში შესვლა ხდება პირადი საშვით. ვიზიტორებს ტერიტორიაზე შესვლის უფლება აქვთ მხოლოდ დაწესებულების თანამშრომლის თანხლებით. უნივერსიტეტს აქვს ხანძარსაწინააღმდეგო და უსაფრთხოების სიგნალიზაცია და დამონტაჟებულია შესაბამისი სენსორები. ტექნიკის შესანახი მოწყობილობები (სერვერები) განლაგებულია ცალკე ოთახში. ობიექტის მონიტორინგი ხდება ვიდეოთვალთვალის სისტემის მეშვეობით.

დაცვის ძირითადი ობიექტები მოიცავს:

– მონაცემთა ბაზის სერვერები;

– ანგარიშის მართვის სადგური;

– ftp და www - სერვერები;

– საბუღალტრო LAN და ა.შ.;

– მონაცემები საარქივო, ფინანსური, სტატისტიკური და საგანმანათლებლო დეპარტამენტებიდან;

– გარე და შიდა საინფორმაციო რესურსები;

2. საფრთხის მოდელის ანალიზი და შემუშავება

2.1 უსაფრთხოების საფრთხისა და დაუცველობის წყაროების კლასიფიკაცია და ანალიზი

ინფორმაციულ უსაფრთხოებაში, საფრთხე არის პოტენციური მოვლენა ან მოქმედება, რომელმაც შეიძლება გავლენა მოახდინოს კომპიუტერული ქსელის მუშაობაზე და გამოიწვიოს უსაფრთხოების სისტემის უკმარისობა. რესურსებზე ზემოქმედებისას, საფრთხეები იწვევს დაცული მონაცემების არაავტორიზებულ წვდომას, დამახინჯებას და გავრცელებას. მიზანშეწონილია საფრთხის წყაროების დაყოფა შემდეგ ჯგუფებად:

- ადამიანის მიერ წარმოქმნილი საფრთხეები (უსაფრთხოების სისტემის კომპონენტების შემუშავებასა და მუშაობაში შემთხვევითი შეცდომები, დამრღვევის მიზანმიმართული ქმედებები);

– ადამიანის მიერ გამოწვეული საფრთხეები (ტექნიკური აღჭურვილობის გაუმართაობა და გაუმართაობა);

– ბუნებრივი საფრთხეები (ბუნებრივი უსაფრთხოების საფრთხეები);

მე-2 ცხრილში მოცემულია დაწესებულებისთვის დამახასიათებელი კლასიფიკაცია და შესაძლო საფრთხეები.

ცხრილი 2. საფრთხის წყაროების კლასიფიკაცია

საფრთხეების ბუნებრივი წყაროები ხასიათდება ფორსმაჟორით და ვრცელდება უსაფრთხოების ყველა ობიექტზე. ასეთი საფრთხეების პროგნოზირება და პრევენცია რთულია. საფრთხეების ძირითადი ბუნებრივი წყაროებია: ხანძარი, წყალდიდობა, ქარიშხალი და გაუთვალისწინებელი გარემოებები. ბუნებრივი საფრთხეებისგან დამცავი ზომები ყოველთვის უნდა იყოს დაცული.

ზემოაღნიშნულ საფრთხეებთან დაკავშირებით, ყველაზე სავარაუდო და სახიფათოა შიდა მომხმარებლებისა და კომპიუტერულ ქსელთან უშუალოდ დაკავშირებული პირების უნებლიე ქმედებები.

ყველაზე გავრცელებული და ყველაზე საშიში (ზარალის ოდენობით) არის რეგულარული მომხმარებლების, ოპერატორების, სისტემის ადმინისტრატორების და კომპიუტერული ქსელის მწარმოებელი სხვა პირების უნებლიე შეცდომები. ადამიანის მიერ შექმნილი საფრთხეები ყველაზე სავარაუდოა, რადგან შესაძლებელია ადამიანების ქმედებების წინასწარმეტყველება და შესაბამისი კონტრზომების მიღება, რაც თავის მხრივ დამოკიდებულია იმ პირთა ქმედებებზე, რომლებიც პასუხისმგებელნი არიან ინფორმაციის უსაფრთხოების უზრუნველყოფაზე.

საფრთხეები, როგორც წესი, დაუცველობის შედეგია, რაც თავის მხრივ იწვევს უსაფრთხოების დარღვევას. დაუცველობა არის სისტემის ხარვეზი, რომელიც იძლევა საფრთხის წარმატებით განხორციელების საშუალებას და სისტემის მთლიანობის დარღვევას. დაუცველობა შეიძლება წარმოიშვას რამდენიმე მიზეზის გამო:

– შეცდომები პროგრამული უზრუნველყოფის შექმნისას;

– დაუცველობის მიზანმიმართული დანერგვა პროგრამული უზრუნველყოფის დიზაინის ეტაპზე;

– მავნე პროგრამების უნებართვო გამოყენება და, შედეგად, რესურსების არასაჭირო ხარჯვა;

- მომხმარებლის უნებლიე ქმედებები;

- პროგრამული უზრუნველყოფის და აპარატურის გაუმართაობა;

არსებობს შემდეგი დაუცველობა:

· მიზანი (დაუცველობა დამოკიდებულია საინფორმაციო სისტემის ტექნიკურ აღჭურვილობაზე):

– აპარატურის სანიშნეები (ტექნიკური და პერიფერიული აღჭურვილობის სანიშნეები);

– პროგრამული სანიშნეები (მავნე პროგრამა);

· სუბიექტური (დაუცველობა დამოკიდებულია ადამიანების ქმედებებზე):

– შეცდომები (მომხმარებლების მიერ პროგრამული უზრუნველყოფის და ტექნიკის არასწორი ფუნქციონირება, მონაცემების არასწორი შეყვანა);

– დარღვევები (ინფორმაციული უსაფრთხოების პოლიტიკის წესების დარღვევა, ხელმისაწვდომობისა და კონფიდენციალურობის დარღვევა, აპარატურის მუშაობის დარღვევა);

· შემთხვევითი (საინფორმაციო სისტემის მიმდებარე გარემოთი გამოწვეული სისუსტეები)

– წარუმატებლობები (მონაცემთა დამუშავების საშუალებების გაუმართაობა, ქსელის ობიექტების გაუმართაობა, კონტროლისა და უსაფრთხოების სისტემის გაუმართაობა, პროგრამული უზრუნველყოფის გაუმართაობა);

– გაუმართაობა (დენის გათიშვა);

– დაზიანება (კომუნალური მომსახურების დარღვევა);

მოწყვლადობის შერბილება ან აღმოფხვრა გავლენას ახდენს ინფორმაციული უსაფრთხოების საფრთხეების წარმოშობის ალბათობაზე.

2.2 Intruder მოდელი

უნივერსიტეტის საინფორმაციო აქტივების დაცვის უზრუნველყოფა სპეციფიკურია, ვინაიდან ეს არის არამუდმივი აუდიტორიის მქონე დაწესებულება. გამომდინარე იქიდან, რომ თავდასხმები შეიძლება მოდიოდეს ნებისმიერი სუბიექტისგან, სასარგებლოა მათი დაყოფა ორ კატეგორიად: გარე და შიდა თავდამსხმელებად. გარე შემოჭრილი არის ადამიანი, რომელიც არ არის თანამშრომელი და არ აქვს წვდომა საინფორმაციო სისტემაზე. ამ კატეგორიაში შედის:

– ჰაკერები (სუბიექტები, რომლებიც ქმნიან და ახორციელებენ თავდასხმებს ზიანის მიყენებისა და შეზღუდული წვდომის ინფორმაციის მოპოვების მიზნით): საინფორმაციო სისტემებზე არაავტორიზებული წვდომის საშუალებით მათ შეუძლიათ გაანადგურონ ან შეცვალონ ინფორმაცია; მავნე პროგრამების და ვირუსების, ტექნიკის და პროგრამული უზრუნველყოფის სანიშნეების დანერგვა შემდგომი არაავტორიზებული წვდომით);

– აპარატურის და პროგრამული უზრუნველყოფის პროვაიდერები და მომწოდებლები (საინფორმაციო რესურსებსა და საკომუნიკაციო არხებზე სამუშაო სადგურების მეშვეობით არაავტორიზებული წვდომა);

ყველა სხვა სუბიექტი შინაგანი დამრღვევია. FSTEC სახელმძღვანელო დოკუმენტის „პერსონალური მონაცემების უსაფრთხოების საფრთხის ძირითადი მოდელი პერსონალურ მონაცემთა საინფორმაციო სისტემებში მათი დამუშავებისას“ შესაბამისად, შიდა დამრღვევები იყოფა რვა კატეგორიად:

1. პირები, რომლებსაც აქვთ უფლება წვდომა ISPD-ზე, მაგრამ არ აქვთ წვდომა PD-ზე.

ამ დაწესებულებასთან დაკავშირებით ასეთი უფლებები ეკუთვნის მენეჯმენტს, საინფორმაციო ტექნოლოგიების დეპარტამენტს. მათი უფლებების შესაბამისად, ამ პირებს შეუძლიათ: ჰქონდეთ წვდომა პერსონალური მონაცემების ზოგიერთ ნაწილზე, რომელიც ვრცელდება შიდა არხებით; იცოდეს ინფორმაცია ISPD-ის ტოპოლოგიის, საკომუნიკაციო პროტოკოლებისა და სერვისების შესახებ; რეგისტრირებული მომხმარებლების სახელებისა და პაროლების იდენტიფიცირება; შეცვალეთ აპარატურის და პროგრამული უზრუნველყოფის კონფიგურაცია.

2. რეგისტრირებული ISPD მომხმარებლები, რომლებსაც აქვთ შეზღუდული წვდომა ISPD რესურსებზე სამუშაო ადგილიდან.

ამ კატეგორიაში შედის დაწესებულების დეპარტამენტის თანამშრომლები, მასწავლებლები და სტუდენტები. ამ კატეგორიის პირები: აქვთ ერთი იდენტიფიკატორი და პაროლი; აქვთ კონფიდენციალური მონაცემები, რომლებზეც მათ აქვთ უფლება წვდომა.

3. რეგისტრირებული ISPD მომხმარებლები, რომლებიც უზრუნველყოფენ დისტანციურ წვდომას PD-ზე ადგილობრივი და (ან) განაწილებული საინფორმაციო სისტემების მეშვეობით.

4. ISPD-ის რეგისტრირებული მომხმარებლები ISPD სეგმენტის უსაფრთხოების ადმინისტრატორის უფლებამოსილებით.

ამ კატეგორიის პირები: ფლობენ ინფორმაციას ამ სეგმენტში გამოყენებული პროგრამული უზრუნველყოფისა და აპარატურის შესახებ; აქვს წვდომა უსაფრთხოებისა და ხე-ტყის ინსტრუმენტებზე და ISPD აპარატურაზე.

5. რეგისტრირებული მომხმარებლები ISPD სისტემის ადმინისტრატორის უფლებებით.

ამ კატეგორიის პირები: იცის ინფორმაცია სრული ISPD-ის პროგრამული უზრუნველყოფისა და აპარატურის შესახებ; აქვს ფიზიკური წვდომა ყველა აპარატურაზე; აქვს უფლება მოახდინოს აპარატურის კონფიგურაცია.

6. რეგისტრირებული მომხმარებლები ISPD უსაფრთხოების ადმინისტრატორის უფლებებით.

7. პროგრამისტები – პროგრამული უზრუნველყოფის შემქმნელები და ამ დაწესებულებაში მისი თანმხლები პირები.

ამ კატეგორიის პირებმა: იციან ინფორმაცია ISPD-ზე მონაცემების დამუშავების პროცედურებისა და პროგრამების შესახებ; შეიძლება დანერგოს შეცდომები, შეცდომები და მავნე კოდი განვითარების დროს; შეუძლია იცოდეს ინფორმაცია ISPD-ის ტოპოლოგიისა და აპარატურის შესახებ.

8. დეველოპერები და პირები, რომლებიც უზრუნველყოფენ ISPD-ზე ტექნიკის მიწოდებას, ტექნიკურ მომსახურებას და შეკეთებას.

ამ დაწესებულებასთან დაკავშირებით, შიდა დამრღვევები არიან:

– საინფორმაციო რესურსების მომხმარებლები (განყოფილებების, განყოფილებების და სხვა განყოფილებების პერსონალი, მასწავლებლები, სტუდენტები) (მონაცემების უნებლიე შეცვლა ან განადგურება; მავნე და არასერტიფიცირებული პროგრამული უზრუნველყოფის ინსტალაცია; ინდივიდუალური პაროლის გადაცემა არაავტორიზებულ პირებზე);

– პირები, რომლებიც ემსახურებიან და მხარს უჭერენ საინფორმაციო სისტემას (ტექნიკური ან ქსელური საშუალებების შემთხვევითი ან განზრახ არასწორი კონფიგურაცია);

– სხვა პირები, რომლებსაც აქვთ წვდომა ინფორმაციის დამუშავების ობიექტებზე (ტექნიკური და ტექნიკური პერსონალი) (ელექტრომომარაგების და საინჟინრო სტრუქტურების უნებლიე შეფერხება);

დამრღვევთა განსაკუთრებული და ყველაზე მნიშვნელოვანი კატეგორია სტუდენტები არიან. დღეს ბევრი მათგანი საკმაოდ კარგად არის გაწვრთნილი და ესმით კიბერსივრცე. გარკვეული მანიპულაციების საშუალებით, სტუდენტებს შეუძლიათ გამოიწვიონ უსაფრთხოების არაერთი დარღვევა და ზიანი მიაყენონ.

2.3 საინფორმაციო სისტემისთვის არსებული საფრთხეების იდენტიფიცირება

უსაფრთხოების რეალური საფრთხეების დასადგენად, მხედველობაში უნდა იქნას მიღებული ორი მნიშვნელობა. პირველი მაჩვენებელი არის საინფორმაციო სისტემის საწყისი უსაფრთხოების დონე. ეს არის ზოგადი მაჩვენებელი, რომელიც დამოკიდებულია სისტემის ტექნიკურ მახასიათებლებზე. მე-4 ცხრილში მოცემულია საინფორმაციო სისტემის საწყისი უსაფრთხოების გაანგარიშება, რომელიც განისაზღვრება უსაფრთხოების კონკრეტული დონის პროცენტული მაჩვენებლით უსაფრთხოების ყველა ხელმისაწვდომ ინდიკატორთან.

ცხრილი 4. დაწესებულების თავდაპირველი უზრუნველყოფის გაანგარიშება

ანალიზის შედეგებიდან გამომდინარე, შეგვიძლია დავასკვნათ, რომ დაწესებულების ISPD-ს აქვს უსაფრთხოების საშუალო დონე. მიღებული შედეგის შესაბამისად შემოდის კოეფიციენტი ი 1 = 5. ეს კოეფიციენტი არის პირველი პარამეტრი საფრთხეების შესაბამისობის განსაზღვრისას.

შემდეგი პარამეტრი არის საფრთხის წარმოქმნის ალბათობა ( ი 2). ეს მაჩვენებელი განისაზღვრება ექსპერტების მიერ და აქვს ოთხი შესაძლო მნიშვნელობა:

– ნაკლებად სავარაუდოა (საფრთხის განხორციელების ობიექტური წინაპირობების არარსებობა - 0);

– დაბალი ალბათობა (არსებობს საფრთხის წარმოქმნის მკაფიო წინაპირობები, მაგრამ არსებული დაცვის საშუალებები ართულებს განხორციელებას - 2);

– საშუალო ალბათობა (არსებობს საფრთხის მატერიალიზაციის წინაპირობები, ხოლო დაცვის საწყისი მეთოდები არასაკმარისია - 5);

– მაღალი ალბათობა (არსებობს საფრთხის წარმოქმნის ობიექტური წინაპირობები და უსაფრთხოების ზომები არ არის მიღებული - 10);

მიღებული პარამეტრების საფუძველზე გამოითვლება საფრთხის განხორციელების კოეფიციენტი Y, რომელიც განისაზღვრება ფორმულით Y = ( ი 1 +ი 2)/20. მიღებული შედეგის შესაბამისად, Y იღებს შემდეგ მნიშვნელობებს:

– 0 < Y < 0,3 - низкая реализуемость угрозы;

– 0,3 < Y < 0,6 - средняя реализуемость угрозы;

– 0,6 < Y < 0,8 - высокая реализуемость угрозы;

– Y > 0.8 - საფრთხის ძალიან მაღალი რეალიზება;

შემდეგი ნაბიჯი არის საფრთხის სიმძიმის შეფასება. ეს ნიშანი მოცემულია უსაფრთხოების სპეციალისტის მიერ და აქვს შემდეგი საშიშროების მნიშვნელობები:

- დაბალი საფრთხე - საფრთხის განხორციელებამ შეიძლება გამოიწვიოს უმნიშვნელო ზიანი;

– საშუალო საფრთხე – საფრთხის განხორციელებამ შეიძლება ზიანი მიაყენოს;

- მაღალი საფრთხე - საფრთხის განხორციელებამ შეიძლება გამოიწვიოს მნიშვნელოვანი ზიანი;

მე-5 ცხრილში წარმოდგენილია საფრთხეების შესაბამისობის გამოსათვლელი მატრიცა, რომელიც მიღებულია ყველა ზემოთ ჩამოთვლილი ინდიკატორის გათვალისწინებით.

– „+“ – მუქარა გადაუდებელია;

– “-” - საფრთხე შეუსაბამოა;

ცხრილი 5. მატრიცა საფრთხეების შესაბამისობის გამოსათვლელად

დაწესებულების საწყისი უსაფრთხოებისა და საფრთხის შესაბამისობის მატრიცის ანალიზის შედეგად გამოიკვეთა ამ ინსტიტუტისთვის დამახასიათებელი საფრთხეები და მათი აქტუალობა შემდეგი გეგმის მიხედვით: საფრთხე (საფრთხის ალბათობა; საფრთხის მიზანშეწონილობა; საფრთხის შეფასება. საფრთხის საფრთხე) - შესაბამისი/არარელევანტური.

1. დაწესებულების ტერიტორიაზე უნებართვო წვდომა, აპარატურულ ობიექტებზე, დოკუმენტაციაზე (დაბალი ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); მაღალი საშიშროება) - შესაბამისი;

2. ავტომატური სისტემის აღჭურვილობის ქურდობა ან დაზიანება (ნაკლებად სავარაუდოა (0); დაბალი მიზანშეწონილობა (0.25); მაღალი საშიშროება) - შესაბამისი;

3. ინფორმაციის უნებლიე განადგურება და მოდიფიკაცია (საშუალო ალბათობა (5); საშუალო მიზანშეწონილობა (0.5); მაღალი საფრთხე) - შესაბამისი;

4. ქაღალდის საინფორმაციო რესურსების ქურდობა (ნაკლებად სავარაუდოა (0); დაბალი მიზანშეწონილობა (0.25); საშუალო საფრთხე) - შეუსაბამო;

5. კონფიდენციალური მონაცემების გაჟონვა მობილური მოწყობილობებისა და ლეპტოპების საშუალებით (ნაკლებად სავარაუდოა (0); დაბალი მიზანშეწონილობა (0.5); საშუალო საფრთხე) - შეუსაბამო;

6. აღჭურვილობის გამოყენების უფლების უნებლიე გადაჭარბება შესაბამისი ცოდნის არარსებობის გამო (საშუალო ალბათობა (5); საშუალო მიზანშეწონილობა (0.5); საშუალო საფრთხე) - შესაბამისი;

7. გადაცემული ინფორმაციის აღკვეთა ქსელის ტრაფიკის სკანირებით (დაბალი ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); მაღალი საფრთხე) - შესაბამისი;

8. მესამე მხარის მავნე პროგრამის დაყენება (დაბალი ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); საშუალო საფრთხე) - შესაბამისი;

9. ცვლილებები პროგრამული უზრუნველყოფის კომპონენტების კონფიგურაციაში (საშუალო ალბათობა (5); საშუალო მიზანშეწონილობა (0.5); მაღალი საფრთხე) - შესაბამისი;

10. მომხმარებლის რეგისტრაციის მონაცემების განადგურება ან მოდიფიცირება (ნაკლებად სავარაუდოა (0); დაბალი მიზანშეწონილობა (0.25); დაბალი საშიშროება) - შეუსაბამო;

11. თანამშრომლების მიერ კონფიდენციალური ინფორმაციის უნებლიე გამჟღავნება (მაღალი ალბათობა (10); მაღალი მიზანშეწონილობა (0.75); მაღალი საფრთხე) - შესაბამისი;

12. სხვადასხვა სახის გამოსხივება, რომელსაც შეუძლია გავლენა მოახდინოს ტექნიკური აღჭურვილობის მუშაობაზე (ნაკლებად სავარაუდოა (0); დაბალი მიზანშეწონილობა (0.25); საშუალო საფრთხე) - შეუსაბამო;

13. ქსელური აღჭურვილობის გაუმართაობა და გაუმართაობა (საშუალო ალბათობა (5); საშუალო მიზანშეწონილობა (0.5); საშუალო საფრთხე) - შესაბამისი;

14. ტექნიკის და პროგრამული უზრუნველყოფის შეცდომების ან გაუმართაობის გამო მონაცემების განადგურება (საშუალო ალბათობა (5); საშუალო მიზანშეწონილობა (0.5); მაღალი საშიშროება) - შესაბამისი;

15. პროგრამული სანიშნეები (დაბალი ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); საშუალო საფრთხე) - შესაბამისი;

16. საინფორმაციო სერვისებში შესვლისთვის სხვისი სარეგისტრაციო მონაცემების გამოყენება (საშუალო ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); მაღალი საფრთხე) - შესაბამისი;

17. უსაფრთხოებისა და უსაფრთხოების ზომების დარღვევა (დაბალი ალბათობა (2); საშუალო მიზანშეწონილობა (0.35); საშუალო ზიანი) - შესაბამისი;

არსებული საფრთხეების გაანალიზების შემდეგ, შეგვიძლია დავასკვნათ, რომ ყველა მათგანის აღმოფხვრა შესაძლებელია ტექნიკური და ორგანიზაციული ღონისძიებების საშუალებით. ცხრილი 6 წარმოგიდგენთ მიმდინარე საფრთხეებთან ბრძოლის ღონისძიებებს, რომლებიც შეიძლება გამოყენებულ იქნას უნივერსიტეტში მონაცემთა დასაცავად.

ცხრილი 6. მიმდინარე საფრთხეებთან ბრძოლის მეთოდები

საუნივერსიტეტო უსაფრთხოების პოლიტიკის შემუშავებისას გათვალისწინებული და გამოყენებული იქნება ცხრილში მითითებული საფრთხეებთან ბრძოლის მეთოდები.

2.4. საინფორმაციო სისტემის უსაფრთხოების კლასის განსაზღვრა

დაწესებულებისთვის უსაფრთხოების ეფექტური სისტემის შემუშავებისთვის აუცილებელია წყაროს სისტემის უსაფრთხოების კლასის განსაზღვრა. ამ მიზნით ჩატარდა საინფორმაციო სისტემის ანალიზი და მიღებული იქნა შემდეგი შედეგები:

– სისტემა ამუშავებს კონფიდენციალურობის სხვადასხვა დონის ინფორმაციას;

– სისტემა ამუშავებს „საიდუმლოებად“ კლასიფიცირებულ მონაცემებს;

– საინფორმაციო სისტემა არის მრავალ მომხმარებლის;

- წვდომის უფლებები...

მსგავსი დოკუმენტები

ინფორმაციის არსი, მისი კლასიფიკაცია. საწარმოთა ინფორმაციული უსაფრთხოების უზრუნველყოფის ძირითადი პრობლემები და საფრთხეები. რისკის ანალიზი და საწარმოთა ინფორმაციული უსაფრთხოების პრინციპები. ინფორმაციული უსაფრთხოების უზრუნველყოფის ღონისძიებების კომპლექსის შემუშავება.

კურსის სამუშაო, დამატებულია 05/17/2016


შპს მაღაზია "სტილის" ინფრასტრუქტურის ანალიზი. საწარმოს ბუღალტერიის საინფორმაციო უსაფრთხოების სისტემის შექმნა საპროექტო ექსპერტიზის საფუძველზე. კონცეფციის, ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავება და მის უზრუნველსაყოფად გადაწყვეტილებების შერჩევა.

კურსის სამუშაო, დამატებულია 09/17/2010


საწარმოს ინფორმაციის უსაფრთხოების სტრატეგია ეფექტური პოლიტიკის სისტემის სახით, რომელიც განსაზღვრავს უსაფრთხოების მოთხოვნების ეფექტურ და საკმარის კომპლექტს. ინფორმაციული უსაფრთხოების საფრთხეების იდენტიფიცირება. შიდა კონტროლი და რისკების მართვა.

კურსის სამუშაო, დამატებულია 06/14/2015


სამთავრობო უწყების საინფორმაციო სისტემის სტრუქტურული და ინფოლოგიური მოდელების შემუშავება. საფრთხეების ჩამონათვალი და ანალიზი, თავდასხმის მიზნები, დანაკარგების ტიპები, ზიანის მოცულობა, წყაროები. კონფიდენციალური ინფორმაციის მონაცემთა ბაზის დაცვა და უსაფრთხოების პოლიტიკის შემუშავება.

კურსის სამუშაო, დამატებულია 15/11/2009


ინფორმაციული უსაფრთხოების რისკის მართვის ძირითადი ცნებები, მეთოდები და ტექნოლოგიები. რისკის, აქტივების, საფრთხეების, მოწყვლადობის, არსებული კონტროლის, შედეგების იდენტიფიცირება. რისკის შეფასება და შემცირება. ინფორმაციული უსაფრთხოების ტიპიური საფრთხეების მაგალითები.

პრეზენტაცია, დამატებულია 04/11/2018


მარეგულირებელი დოკუმენტები ინფორმაციული უსაფრთხოების სფეროში რუსეთში. საინფორმაციო სისტემების საფრთხეების ანალიზი. კლინიკის პერსონალური მონაცემების დაცვის სისტემის ორგანიზაციის მახასიათებლები. ავთენტიფიკაციის სისტემის დანერგვა ელექტრონული გასაღებების გამოყენებით.

ნაშრომი, დამატებულია 31/10/2016


აშატლის სასოფლო-სამეურნეო ჰოლდინგის საინფორმაციო რესურსების მახასიათებლები. საწარმოსთვის სპეციფიკური ინფორმაციული უსაფრთხოების საფრთხეები. ინფორმაციის დაცვის ზომები, მეთოდები და საშუალებები. არსებული ნაკლოვანებებისა და განახლებული უსაფრთხოების სისტემის უპირატესობების ანალიზი.

კურსის სამუშაო, დამატებულია 02/03/2011


ინფორმაციული უსაფრთხოების კონცეფცია, მნიშვნელობა და მიმართულებები. სისტემური მიდგომა ინფორმაციული უსაფრთხოების ორგანიზებისთვის, ინფორმაციის დაცვა არაავტორიზებული წვდომისგან. ინფორმაციის უსაფრთხოების ინსტრუმენტები. ინფორმაციის უსაფრთხოების მეთოდები და სისტემები.

რეზიუმე, დამატებულია 15/11/2011


ინფორმაციის უსაფრთხოების რისკის ანალიზი. აქტივების მოწყვლადობის იდენტიფიცირება. არსებული და დაგეგმილი დაცვის საშუალებების შეფასება. ინფორმაციული უსაფრთხოების უზრუნველყოფის შემუშავებული მარეგულირებელი, ორგანიზაციული და ადმინისტრაციული საშუალებების ნაკრები.

ნაშრომი, დამატებულია 04/03/2013


უნივერსიტეტის საინფორმაციო სისტემის შემუშავება UML ობიექტზე ორიენტირებული მოდელირების ტექნიკის გამოყენებით. სისტემის მოთხოვნების ანალიზი. კონცეპტუალური (შინაარსობრივი) მოდელი. კომპონენტისა და კლასის დიაგრამა. აპლიკაციის პროგრამული დანერგვა.

UDC 004.056

ო.მ. პროტალინსკი, ი.მ. აჟმუხამედოვი უნივერსიტეტის საინფორმაციო უსაფრთხოება

შესავალი

ზოგადი ინფორმატიზაციისა და საინფორმაციო ტექნოლოგიების განვითარების თანამედროვე პირობებში, ინფორმაციულ სფეროში რუსეთის ფედერაციის ეროვნული უსაფრთხოების საფრთხეები იზრდება.

რუსეთის ფედერაციის ეროვნული უსაფრთხოების კონცეფცია ინფორმაციულ სფეროსთან დაკავშირებით შემუშავებულია რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების დოქტრინით.

დოქტრინაში ნათქვამია, რომ რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების უზრუნველყოფა გადამწყვეტ როლს თამაშობს რუსეთის ფედერაციის ეროვნული უსაფრთხოების უზრუნველყოფაში. ამავდროულად, რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების უზრუნველყოფის სფეროში სახელმწიფო პოლიტიკის ერთ-ერთი პრიორიტეტული მიმართულებაა კადრების მომზადების გაუმჯობესება და განათლების განვითარება ინფორმაციული უსაფრთხოების სფეროში. ამ პრობლემების გადაჭრაში განსაკუთრებულ როლს ასრულებენ უნივერსიტეტები.

რუსული უმაღლესი განათლება გადის ადაპტაციის პერიოდს არა მხოლოდ ინფორმაციული საზოგადოების ობიექტურ პროცესებთან, არამედ ახალ სოციალურ-პოლიტიკურ პირობებთან კონკურენციის მრავალფეროვანი გამოვლინებით.

თანამედროვე პირობებში უმაღლესი განათლების სისტემის საინფორმაციო რესურსების მართვის ეფექტური მექანიზმების შექმნა შეუძლებელია მეცნიერული დასაბუთებისა და საუნივერსიტეტო ინფორმაციის უსაფრთხოების დაბალანსებული პოლიტიკის პრაქტიკული განხორციელების გარეშე, რომელიც შეიძლება ჩამოყალიბდეს შემდეგი ამოცანების გადაწყვეტის საფუძველზე:

ინფორმაციული ურთიერთქმედების პროცესების ანალიზი რუსული ტექნიკური უნივერსიტეტის ძირითადი საქმიანობის ყველა სფეროში: ინფორმაციის ნაკადები, მათი მასშტაბები და ხარისხი, წინააღმდეგობები, კონკურენცია მესაკუთრეთა და კონკურენტების იდენტიფიკაციასთან;

ინფორმაციის ურთიერთქმედების თვისებრივი და მარტივი რაოდენობრივი (მათემატიკური) აღწერის შემუშავება;

ინფორმაციის გაცვლის ღიაობის, უსაფრთხოებისა და სამართლიანობის რაოდენობრივი მაჩვენებლებისა და კრიტერიუმების დანერგვა;

ინფორმაციის ღიაობასა და კონფიდენციალურობაში ბალანსის საჭიროებისა და მნიშვნელობის სცენარების შემუშავება;

ინფორმაციული უსაფრთხოების პოლიტიკის როლისა და ადგილის განსაზღვრა უნივერსიტეტის საინფორმაციო რესურსების მართვაში და თანმიმდევრული პრინციპებისა და მიდგომების შემუშავება;

პოლიტიკის ძირითადი კომპონენტების: მიზნების, ამოცანების, პრინციპებისა და ინფორმაციული უსაფრთხოების უზრუნველყოფის ძირითადი მიმართულებების ჩამოყალიბება;

ინფორმაციული უსაფრთხოების პოლიტიკის უზრუნველყოფის პროცესის მართვის ძირითადი მეთოდების შემუშავება;

მარეგულირებელი დოკუმენტების პროექტების მომზადება.

საგანმანათლებლო დაწესებულებების სპეციფიკა

თანამედროვე უნივერსიტეტი ინახავს და ამუშავებს უამრავ სხვადასხვა მონაცემს, რომელიც დაკავშირებულია არა მხოლოდ სასწავლო პროცესთან, არამედ კვლევა-განვითარებასთან, სტუდენტებისა და თანამშრომლების პერსონალურ მონაცემებთან, ოფიციალურ, კომერციულ და სხვა კონფიდენციალურ ინფორმაციას.

მაღალი ტექნოლოგიების სფეროში დანაშაულთა რაოდენობის ზრდა კარნახობს მის მოთხოვნებს საგანმანათლებლო დაწესებულებების კომპიუტერული ქსელების რესურსების დასაცავად და აყენებს საკუთარი ინტეგრირებული უსაფრთხოების სისტემის აგების ამოცანას. მისი გადაწყვეტა გულისხმობს მარეგულირებელი ბაზის არსებობას, უსაფრთხოების კონცეფციის ჩამოყალიბებას, უსაფრთხო სამუშაოს ღონისძიებების, გეგმებისა და პროცედურების შემუშავებას, საგანმანათლებლო დაწესებულებაში ინფორმაციული უსაფრთხოების ტექნიკური საშუალებების (ISIS) დიზაინს, დანერგვას და შენარჩუნებას. ეს კომპონენტები განსაზღვრავს უნივერსიტეტში ინფორმაციული უსაფრთხოების უზრუნველსაყოფად ერთიან პოლიტიკას.

ინფორმაციის დაცვის სპეციფიკა საგანმანათლებლო სისტემაში არის ის, რომ უნივერსიტეტი არის საჯარო დაწესებულება ცვალებადი აუდიტორიით, ასევე გაზრდილი აქტივობის ადგილი "დამწყები კიბერკრიმინალებისთვის".

უნივერსიტეტში პოტენციურ დამრღვევთა ძირითად ჯგუფს სტუდენტები წარმოადგენენ, ზოგიერთ მათგანს აქვს საკმაოდ მაღალი მომზადების დონე. ასაკი (18-დან 23 წლამდე) და ახალგაზრდული მაქსიმალიზმი ამგვარ ადამიანებს უბიძგებს გამოიჩინონ ცოდნა თანამოსწავლეების წინაშე: შექმნან ვირუსის ეპიდემია, მოიპოვონ ადმინისტრაციული წვდომა და „დასჯონ“ მასწავლებელი, დაბლოკონ ინტერნეტში წვდომა და ა.შ. საკმარისია გავიხსენოთ, რომ პირველი კომპიუტერული დანაშაულები სწორედ უნივერსიტეტში დაიბადა (Moris worm).

უნივერსიტეტის, როგორც ინფორმატიზაციის ობიექტის მახასიათებლები ასევე დაკავშირებულია მისი საქმიანობის მულტიდისციპლინურ ხასიათთან, საგანმანათლებლო მუშაობის ფორმებისა და მეთოდების სიმრავლესთან, ინფრასტრუქტურის სივრცით განაწილებასთან (ფილიალები, წარმომადგენლობები). ეს ასევე მოიცავს დაფინანსების წყაროების მრავალფეროვნებას, დამხმარე განყოფილებებისა და სერვისების განვითარებული სტრუქტურის არსებობას (მშენებლობა, წარმოება, ეკონომიკური საქმიანობა), საგანმანათლებლო მომსახურების ცვალებად ბაზარზე ადაპტაციის აუცილებლობა, შრომის ბაზრის ანალიზის საჭიროება. ბიზნეს პროცესების ზოგადად მიღებული ფორმალიზაციის ნაკლებობა, ზემდგომ ორგანიზაციებთან ელექტრონული ურთიერთობის აუცილებლობა, თანამშრომელთა და სტაჟიორთა სტატუსის ხშირი ცვლილება.

პრობლემას რამდენადმე ამსუბუქებს ის ფაქტი, რომ უნივერსიტეტი არის სტაბილური, იერარქიული სისტემა მართვის ფუნქციების თვალსაზრისით, რომელსაც აქვს სიცოცხლისთვის ყველა აუცილებელი პირობა და მოქმედებს ცენტრალიზებული მართვის პრინციპებზე (ეს უკანასკნელი ნიშნავს, რომ ადმინისტრაციული რესურსების აქტიური გამოყენებაა შესაძლებელი. საინფორმაციო ამოცანების მართვაში).

ზემოაღნიშნული მახასიათებლები მოითხოვს შემდეგი მოთხოვნების დაცვას:

ინფორმაციული უსაფრთხოების პრობლემების ყოვლისმომცველი შესწავლა, დაწყებული კონცეფციიდან და დამთავრებული პროგრამული და ტექნიკური გადაწყვეტილებების მხარდაჭერით;

ბიზნეს პროცესების შინაარსის მცოდნე სპეციალისტების დიდი რაოდენობის მოზიდვა;

კორპორატიული აპლიკაციების მოდულარული სტრუქტურის გამოყენება, როდესაც თითოეული მოდული მოიცავს ბიზნეს პროცედურების ან საინფორმაციო სერვისების ურთიერთდაკავშირებულ ჯგუფს, ხოლო უსაფრთხოების ერთიანი მოთხოვნების უზრუნველყოფას;

ინფორმაციული უსაფრთხოების პრობლემების გადაჭრაში ეტაპების გონივრული თანმიმდევრობის გამოყენება;

სტანდარტების გონივრულ გამოყენებაზე დაფუძნებული მოვლენების დოკუმენტირება წარმატებული სისტემის შექმნის უზრუნველსაყოფად;

საიმედო და მასშტაბირებადი ტექნიკისა და პროგრამული უზრუნველყოფის პლატფორმებისა და ტექნოლოგიების გამოყენება სხვადასხვა მიზნებისათვის, რომლებიც უზრუნველყოფენ უსაფრთხოების საჭირო დონეს.

არქიტექტურული თვალსაზრისით, კორპორატიულ საინფორმაციო გარემოში შეიძლება გამოიყოს სამი დონე, რომელთა უსაფრთხო მუშაობის უზრუნველსაყოფად აუცილებელია სხვადასხვა მიდგომის გამოყენება:

კომპიუტერული ქსელის აღჭურვილობა, არხები და მონაცემთა ხაზები, მომხმარებლის სამუშაო სადგურები, მონაცემთა შენახვის სისტემები;

ოპერაციული სისტემები, ქსელური სერვისები და რესურსებზე წვდომის კონტროლის სერვისები, შუალედური პროგრამა;

აპლიკაციის პროგრამული უზრუნველყოფა, საინფორმაციო სერვისები და მომხმარებელზე ორიენტირებული გარემო.

ინტეგრირებული საინფორმაციო ქსელის (დსთ) შექმნისას აუცილებელია შერჩეული გადაწყვეტილებების ან ტექნოლოგიების უსაფრთხოების მოთხოვნების ჯვარედინი კოორდინაციის უზრუნველყოფა. ამრიგად, მეორე დონეზე, მრავალი უნივერსიტეტის დსთ არქიტექტურა წარმოადგენს განსხვავებულ და თავისუფლად დაკავშირებულ ქვესისტემებს სხვადასხვა ოპერაციული გარემოთი, რომლებიც კოორდინირებულია ერთმანეთთან მხოლოდ Sh-მისამართების მინიჭების ან შეტყობინებების დონეზე. დსთ-ს ცუდი სისტემის ორგანიზების მიზეზებია დსთ-ს დამტკიცებული არქიტექტურის არარსებობა და ტექნოლოგიის განვითარების პასუხისმგებლობის რამდენიმე ცენტრის არსებობა, რომლებიც არაკოორდინირებულად მოქმედებენ. პრობლემები იწყება განყოფილებებში ოპერაციული გარემოს არჩევის არჩევის უკმარისობით, როდესაც ძირითადი ტექნოლოგიური გადაწყვეტილებები მთლიანად დეცენტრალიზებულია, რაც მკვეთრად ამცირებს სისტემის უსაფრთხოების დონეს.

უნივერსიტეტები, რომლებსაც აქვთ ინფორმაციული ტექნოლოგიების განვითარების მკაფიო სტრატეგია, ინფორმაციული ინფრასტრუქტურის ერთიანი მოთხოვნები, ინფორმაციული უსაფრთხოების პოლიტიკა და დამტკიცებული რეგულაციები კორპორატიული საინფორმაციო სისტემის ძირითადი კომპონენტებისთვის, ჩვეულებრივ გამოირჩევიან ძლიერი ადმინისტრაციული ბირთვით მენეჯმენტში და მაღალი ავტორიტეტით. IT სამსახურის უფროსი.

ასეთმა უნივერსიტეტებმა, რა თქმა უნდა, შეიძლება გამოიყენონ სხვადასხვა ოპერაციული გარემო ან საშუალო დონის სისტემები, მაგრამ ეს განპირობებულია ორგანიზაციული, ტექნიკური ან ეკონომიკური მიზეზებით და ხელს არ უშლის უნივერსიტეტის დსთ-ის განთავსებას და საინფორმაციო რესურსებზე უსაფრთხო წვდომის ერთიანი პრინციპების დანერგვას. .

მესამე დონის უნივერსიტეტებში დსთ-ს არქიტექტურის განვითარების მდგომარეობა შეიძლება დახასიათდეს შემდეგნაირად: გადასვლა ადგილობრივი პროგრამული აპლიკაციებიდან, რომლებიც ავტომატიზირებენ ცალკეულ ბიზნეს პროცესს და ეყრდნობიან მონაცემთა ლოკალურ კომპლექტს კორპორატიულ კლიენტ-სერვერის საინფორმაციო სისტემებზე, რომლებიც უზრუნველყოფენ მომხმარებლის წვდომას ოპერაციულზე. უნივერსიტეტის მონაცემთა ბაზა ძირითადად დასრულებულია. ამა თუ იმ ფორმით მოგვარებულია სხვადასხვა საინფორმაციო სისტემებით წარმოქმნილი მონაცემების ინტეგრირების პრობლემა, რაც შესაძლებელს ხდის ბიზნეს პროცესების გაუმჯობესებას, მენეჯმენტისა და გადაწყვეტილების მიღების ხარისხის გაუმჯობესებას.

თუ 90-იანი წლების დასაწყისში. XX საუკუნე დიდი მოთხოვნა იყო სააღრიცხვო პროგრამებზე და მენეჯმენტის საბუღალტრო პროგრამებზე (HR, ანგარიშგება და ა.შ.), მაგრამ ამჟამად ეს მოთხოვნა დიდწილად დაკმაყოფილებულია. ამჟამად ამოცანაა მიაწოდოს სანდო მონაცემები საგანმანათლებლო დაწესებულების საქმიანობის შესახებ არა მხოლოდ მენეჯმენტ პერსონალს, არამედ ყველა მასწავლებელს და სტუდენტს, ანუ დსთ-ში გავრცელებული მონაცემების ეფექტურად მართვის ამოცანას, რაც, თავის მხრივ, ქმნის ასეთ ქსელებში ინფორმაციის უსაფრთხოების უზრუნველყოფის ამოცანა კიდევ უფრო აქტუალურია.

უნივერსიტეტების კორპორატიული ქსელების ინფორმაციული უსაფრთხოება

ინტერნეტისა და ახალი საინფორმაციო ტექნოლოგიების აქტიურმა დანერგვამ სასწავლო პროცესსა და უნივერსიტეტის მართვის სისტემაში შექმნა კორპორატიული ქსელების გაჩენის წინაპირობები.

უნივერსიტეტის კორპორატიული ქსელი არის საინფორმაციო სისტემა, რომელიც მოიცავს კომპიუტერებს, სერვერებს, ქსელურ აღჭურვილობას, კომუნიკაციებსა და ტელეკომუნიკაციებს და პროგრამულ სისტემას, რომელიც შექმნილია უნივერსიტეტის მართვისა და საგანმანათლებლო საქმიანობის პრობლემების გადასაჭრელად.

კორპორატიული ქსელი ჩვეულებრივ აერთიანებს არა მხოლოდ უნივერსიტეტის სტრუქტურულ განყოფილებებს, არამედ მათ რეგიონალურ ოფისებსაც. ადრე მიუწვდომელი უნივერსიტეტებისთვის, ამ ქსელებმა ახლა დაიწყო აქტიურად დანერგვა საგანმანათლებლო სტრუქტურებში ინტერნეტის მასიური გავრცელებისა და მისი ხელმისაწვდომობის გამო.

უნივერსიტეტის ინტეგრირებული ინფორმაციული უსაფრთხოება არის სისტემა უნივერსიტეტების კორპორატიულ ქსელებში სერვერებზე მოთავსებულ ინფორმაციაზე, აგრეთვე დისტანციური სწავლების სისტემებში სატელეკომუნიკაციო არხებით გადაცემული ინფორმაციის შესანარჩუნებლად, შეზღუდვისა და ავტორიზებული წვდომის სისტემაზე.

უფრო ფართო გაგებით, ტერმინი „უნივერსიტეტის ყოვლისმომცველი ინფორმაციული უსაფრთხოება“ მოიცავს ორ ასპექტს: სისტემას უნივერსიტეტის ინტელექტუალური ინფორმაციის საკუთრების გარე და შიდა აგრესიული ზემოქმედებისგან დასაცავად და ინფორმაციაზე წვდომის მართვისა და აგრესიული ინფორმაციის სივრცისგან დაცვის სისტემა. ბოლო დროს, ინტერნეტის უკონტროლო მასიური განვითარების გამო, უსაფრთხოების ბოლო ასპექტი განსაკუთრებით აქტუალური გახდა.

ტერმინი „ინფორმაციული სივრცე“ გულისხმობს ინფორმაციას, რომელიც შეიცავს სერვერებზე საგანმანათლებლო დაწესებულებების, დაწესებულებების, ბიბლიოთეკების კორპორატიულ ქსელებში და გლობალურ ინტერნეტში, ელექტრონულ მედიაზე, ასევე გადაცემული სატელევიზიო საკომუნიკაციო არხებით ან ტელევიზიით.

აგრესიული საინფორმაციო სივრცე არის საინფორმაციო სივრცე, რომლის შინაარსმა შეიძლება გამოიწვიოს აგრესიის გამოვლინება მომხმარებელში როგორც ინფორმაციის გავრცელებისთანავე, ასევე გარკვეული დროის შემდეგ (გრძელვადიანი ეფექტი).

ტერმინი ემყარება ჰიპოთეზას, რომ გარკვეული ფორმით და შინაარსით ინფორმაციამ შეიძლება გამოიწვიოს გარკვეული ეფექტები აგრესიის და მტრობის გამოვლინებით.

უნივერსიტეტების კორპორატიული ქსელების კომპლექსური ინფორმაციული უსაფრთხოების პრობლემები ბევრად უფრო ფართო, მრავალფეროვანი და მწვავეა, ვიდრე სხვა სისტემებში. ეს გამოწვეულია შემდეგი მახასიათებლებით:

უნივერსიტეტის კორპორატიული ქსელი, როგორც წესი, აგებულია „მწირი დაფინანსების“ კონცეფციაზე (ტექნიკა, პერსონალი, არალიცენზირებული პროგრამული უზრუნველყოფა);

როგორც წესი, კორპორატიულ ქსელებს არ აქვთ განვითარების სტრატეგიული მიზნები. ეს ნიშნავს, რომ ქსელების ტოპოლოგია, მათი აპარატურა და პროგრამული უზრუნველყოფა განიხილება მიმდინარე ამოცანების პერსპექტივიდან;

უნივერსიტეტის ერთ კორპორატიულ ქსელში წყდება ორი ძირითადი ამოცანა: საგანმანათლებლო და სამეცნიერო საქმიანობის უზრუნველყოფა და სასწავლო და სამეცნიერო პროცესების მართვის პრობლემის გადაჭრა. ეს ნიშნავს, რომ ამ ქსელში ერთდროულად მოქმედებს რამდენიმე ავტომატიზირებული სისტემა ან ქვესისტემა ერთი მართვის სისტემის ფარგლებში (ACS „სტუდენტი“, ACS „პერსონალი“, ACS „საგანმანათლებლო პროცესი“, ACS „ბიბლიოთეკა“, ACS „კვლევა“, ACS „ბუღალტრული აღრიცხვა“ და ა.შ.);

კორპორატიული ქსელები არაერთგვაროვანია როგორც ტექნიკით, ასევე პროგრამული უზრუნველყოფით, იმის გამო, რომ ისინი შეიქმნა დიდი ხნის განმავლობაში სხვადასხვა ამოცანებისთვის;

ინფორმაციული უსაფრთხოების ყოვლისმომცველი გეგმები, როგორც წესი, ან არ არსებობს, ან არ აკმაყოფილებს თანამედროვე მოთხოვნებს.

ასეთ ქსელში შესაძლებელია როგორც შიდა, ისე გარე საფრთხეები ინფორმაციული უსაფრთხოებისთვის:

მონაცემთა ბაზის არასანქცირებული ადმინისტრირების მცდელობები;

ქსელის კვლევა, ქსელური აუდიტის პროგრამების უნებართვო გაშვება;

ინფორმაციის წაშლა, მათ შორის ბიბლიოთეკები;

თამაშის პროგრამების გაშვება;

ვირუსული პროგრამების და ტროას ცხენების დაყენება;

ავტომატური მართვის სისტემის "VUZ" გატეხვის მცდელობა;

ქსელების, მათ შორის სხვა ორგანიზაციების, ინტერნეტის საშუალებით სკანირება;

ინტერნეტიდან არალიცენზირებული პროგრამული უზრუნველყოფის უნებართვო ჩამოტვირთვა და სამუშაო სადგურებზე ინსტალაცია;

სააღრიცხვო სისტემებში შეღწევის მცდელობები;

მოძებნეთ „ხვრელები“ ​​OS-ში, firewall-ში, პროქსი სერვერებში;

OS-ის არასანქცირებული დისტანციური მართვის მცდელობები;

პორტის სკანირება და ა.შ.

საფრთხეების, მათი წყაროებისა და რისკების ანალიზი

ინფორმაციის შესაძლო საფრთხის წყაროებია:

კომპიუტერიზებული საკლასო ოთახები, რომლებშიც მიმდინარეობს სასწავლო პროცესი;

ინტერნეტი;

ინფორმაციული უსაფრთხოების სფეროში არაკვალიფიციური უნივერსიტეტის თანამშრომელთა სამუშაო სადგურები.

ინფორმაციის რისკის ანალიზი შეიძლება დაიყოს შემდეგ ეტაპებად:

დასაცავი ობიექტების კლასიფიკაცია მნიშვნელობის მიხედვით;

მძარცველებისთვის დაცული ობიექტების მიმზიდველობის განსაზღვრა;

შესაძლო საფრთხეების იდენტიფიცირება და ობიექტებთან შესაძლო წვდომის არხები;

არსებული უსაფრთხოების ზომების შეფასება;

თავდაცვითი მოწყვლადობის იდენტიფიცირება და მათი აღმოფხვრის გზები;

საფრთხეების რანჟირებული სიის შედგენა;

ზიანის შეფასება არასანქცირებული წვდომის, სერვისზე თავდასხმების უარყოფის, აღჭურვილობის გაუმართაობის შედეგად.

ძირითადი ობიექტები, რომლებიც საჭიროებენ დაცვას არასანქცირებული წვდომისგან:

საბუღალტრო LAN-ები, მონაცემები დაგეგმვისა და ფინანსური დეპარტამენტიდან, ასევე სტატისტიკური და საარქივო მონაცემები;

მონაცემთა ბაზის სერვერები;

ანგარიშის მართვის კონსოლი;

WWW/ftp სერვერები;

LAN და სერვერები კვლევითი პროექტებისთვის.

როგორც წესი, ინტერნეტთან კომუნიკაცია ხორციელდება ერთდროულად რამდენიმე საკომუნიკაციო ხაზით (ოპტიკურ-ბოჭკოვანი ხერხემალი, სატელიტური და რადიო არხები). ცალკე არხებია გათვალისწინებული სხვა უნივერსიტეტებთან კომუნიკაციისთვის ან მონაცემთა უსაფრთხო გაცვლისთვის.

გაჟონვასთან და გადაცემული ინფორმაციის დაზიანებასთან დაკავშირებული რისკების აღმოსაფხვრელად, ასეთი ქსელები არ უნდა იყოს დაკავშირებული გლობალურ ქსელებთან და საერთო საუნივერსიტეტო ქსელთან.

კრიტიკული კვანძები უნივერსიტეტის მონაცემთა გაცვლისთვის (მაგალითად, საბუღალტრო LAN) ასევე უნდა არსებობდეს ცალკე.

დაცვის ხაზები

გარე შეტევებისგან თავდაცვის პირველი ხაზი (ინტერნეტი) არის როუტერი. იგი გამოიყენება ქსელის სექციების ერთმანეთთან დასაკავშირებლად, ასევე ტრაფიკის უფრო ეფექტურად განცალკევებისთვის და ქსელის კვანძებს შორის ალტერნატიული გზების გამოსაყენებლად. ქვექსელის ფუნქციონირება და კომუნიკაცია ფართო ქსელებთან (WAN) დამოკიდებულია მის პარამეტრებზე. მისი მთავარი უსაფრთხოების მიზანია დაცვა განაწილებული სერვისის უარყოფის (DDOS) შეტევებისგან.

მეორე საზღვარი შეიძლება იყოს firewall (FWE): ტექნიკისა და პროგრამული უზრუნველყოფის კომპლექსი Cisco PIX Firewall.

შემდეგი მოდის დემილიტარიზებული ზონა (DMZ). ამ ზონაში აუცილებელია მთავარი პროქსი სერვერის, DNS სერვერის, www/ftp, ფოსტის სერვერების განთავსება. პროქსი სერვერი ამუშავებს მოთხოვნებს სასწავლო პერსონალის სამუშაო სადგურებიდან, სერვერებიდან, რომლებიც პირდაპირ არ არის დაკავშირებული როუტერთან და ფილტრავს ტრაფიკს. უსაფრთხოების პოლიტიკა ამ დონეზე უნდა განისაზღვროს არასასურველი ტრაფიკის დაბლოკვით და მისი შენახვით (მულტიმედიური შინაარსის, iso სურათების გაფილტვრა, არასასურველი/უცენზურო შინაარსის გვერდების დაბლოკვა საკვანძო სიტყვების გამოყენებით). ვირუსებით ინფიცირებული ინფორმაციის ჩამოტვირთვის თავიდან ასაცილებლად, გამართლებულია ამ სერვერზე ანტივირუსული ხელსაწყოების განთავსება.

ინფორმაცია პროქსი სერვერიდან უნდა გაიგზავნოს სტატისტიკის სერვერის პარალელურად, სადაც შეგიძლიათ ნახოთ და გაანალიზოთ მომხმარებლის აქტივობა ინტერნეტში. ფოსტის სერვერს უნდა ჰქონდეს ფოსტის ანტივირუსი, მაგალითად Kaspersky Antivirus for Mail servers.

ვინაიდან ეს სერვერები დაკავშირებულია უშუალოდ გლობალურ ქსელთან, მათზე დაინსტალირებული პროგრამული უზრუნველყოფის აუდიტი უნივერსიტეტის ინფორმაციული უსაფრთხოების ინჟინრის უპირველესი ამოცანაა. ფულის დაზოგვისა და მოქნილობის მოსაწყობად, მიზანშეწონილია გამოიყენოთ opensource OS და პროგრამული უზრუნველყოფა.

ზოგიერთი ყველაზე გავრცელებული ოპერაციული სისტემაა FreeBSD და GNU Linux. მაგრამ არაფერი გიშლით ხელს, გამოიყენოთ უფრო კონსერვატიული Open BSD ან თუნდაც ულტრა სტაბილური რეალურ დროში OS - QNX.

ანტივირუსული აქტივობების ცენტრალურად სამართავად, გჭირდებათ პროდუქტი კლიენტ-სერვერის არქიტექტურით, როგორიცაა Dr.Web Enterprise Suite. ის საშუალებას გაძლევთ ცენტრალიზებულად მართოთ ანტივირუსული მონაცემთა ბაზების პარამეტრები და განახლებები გრაფიკული კონსოლის გამოყენებით და უზრუნველყოთ ადვილად წასაკითხი სტატისტიკა ვირუსის აქტივობის შესახებ, ასეთის არსებობის შემთხვევაში.

უნივერსიტეტის თანამშრომლებისთვის მეტი კომფორტისთვის, შეგიძლიათ მოაწყოთ წვდომა უნივერსიტეტის შიდა ქსელში VPN ტექნოლოგიის გამოყენებით.

ზოგიერთ უნივერსიტეტს აქვს საკუთარი dial-up აუზი ინტერნეტთან წვდომისთვის და იყენებს დაწესებულების საკომუნიკაციო არხებს. არაავტორიზებული პირების მიერ ამ წვდომის უკანონო მიზნებისთვის გამოყენების თავიდან ასაცილებლად, საგანმანათლებლო დაწესებულების თანამშრომლებმა არ უნდა გაამჟღავნონ აუზის ტელეფონის ნომერი, შესვლა ან პაროლი.

რუსული უნივერსიტეტების უმეტესობის ქსელებისა და სერვერების უსაფრთხოების ხარისხი სასურველს ტოვებს. ამის მრავალი მიზეზი არსებობს, მაგრამ ერთ-ერთი მთავარი არის ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავებისა და განხორციელების ღონისძიებების არასათანადო ორგანიზება და ამ აქტივობების მნიშვნელობის არასაკმარისი შეფასება. მეორე პრობლემა არის არასაკმარისი დაფინანსება ტექნიკის შესაძენად და ინფორმაციული უსაფრთხოების სფეროში ახალი ტექნოლოგიების დანერგვა.

უნივერსიტეტის ინფორმაციული უსაფრთხოების ყოვლისმომცველი სისტემის სტრუქტურა

ინფორმაციული უსაფრთხოების ყოვლისმომცველი სისტემა უნდა მოიცავდეს შემდეგი პოლიტიკის შემუშავებას.

უპირველეს ყოვლისა, ეს არის უნივერსიტეტის კორპორატიული ქსელის განახლების, განვითარებისა და შენარჩუნების ფინანსური პოლიტიკა. ის დომინანტურია და შეიძლება დაიყოს სამ სფეროდ: მწირი დაფინანსება, გონივრული საკმარისი დაფინანსება და პრიორიტეტული დაფინანსება.

მეორე პოლიტიკა განისაზღვრება უნივერსიტეტის კორპორატიული ქსელის განლაგებისა და მოვლის ორგანიზების დონით.

მესამე პოლიტიკა ეხება საკლირინგო სახლის დაკომპლექტებას. ის განსაკუთრებით აქტუალურია უნივერსიტეტებისთვის გამოცდილ სისტემის ადმინისტრატორებზე გაზრდილი მოთხოვნის გამო.

პროგრამული პოლიტიკა ამჟამად ერთ-ერთი ძვირადღირებული ფაქტორია კორპორატიული ქსელის განვითარებაში. მისი გადაჭრის რაციონალური მიდგომები OS და MicroSoft პროგრამული პროდუქტების მონოპოლიური ბაზრის პირობებში ცალკე საკითხია, რომელიც მოითხოვს ფრთხილად განხილვას.

ტექნიკური მხარდაჭერის პოლიტიკა შეიძლება არ იყოს მთლიანად რელევანტური საკმარისი დაფინანსების კონტექსტში. მაგრამ ყოველთვის არის მოძველებული აღჭურვილობის განახლების პრობლემა.

და ბოლოს, უახლესი პოლიტიკა დაკავშირებულია საინფორმაციო სისტემებში ტოლერანტული ქცევის მორალური და ეთიკური სტანდარტების ჩამოყალიბებასთან და აგრესიულ საინფორმაციო სივრცეებში ვიზიტების გონივრულ შეზღუდვასთან. ამ სფეროების შეუფასებლობა კომპენსირებული იქნება უნივერსიტეტების კორპორატიული ქსელების შენარჩუნების გაზრდილი ფინანსური ხარჯებით.

ბიბლიოგრაფია

1. რუსეთის ფედერაციის ეროვნული უსაფრთხოების კონცეფცია, დამტკიცებული რუსეთის ფედერაციის პრეზიდენტის 1997 წლის 17 დეკემბრის No1300 ბრძანებულებით (შესწორებულია რუსეთის ფედერაციის პრეზიდენტის 2000 წლის 10 იანვრის No24 ბრძანებულებით. ).

2. რუსეთის ფედერაციის ინფორმაციული უსაფრთხოების დოქტრინა, დამტკიცებული რუსეთის ფედერაციის პრეზიდენტის მიერ 2000 წლის 9 სექტემბერს, პრ-1895 წ.

3. ტრუფანოვის ა.ი. უნივერსიტეტის ინფორმაციული უსაფრთხოების პოლიტიკა, როგორც კვლევის საგანი // მიწიერი ცივილიზაციის პრობლემები. - ტ. 9. - ირკუტსკი: ISTU, 2004 / library.istu.edu/civ/default.htm.

4. ვოლკოვი A.V. ინფორმაციული უსაფრთხოების უზრუნველყოფა უნივერსიტეტებში // ინფორმაციის უსაფრთხოება. - 2006. - No 3, 4 / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006.

5. Kryukov V.V., Mayorov V.S., Shakhgeldyan K.I. უნივერსიტეტის კორპორატიული კომპიუტერული ქსელის განხორციელება Active Directory ტექნოლოგიაზე დაფუძნებული // Proc. სრულიად რუსული სამეცნიერო კონფ. „სამეცნიერო სერვისი ინტერნეტში“. -Novorossiysk, 2002. - P. 253-255.

6. Minzov A. S. უნივერსიტეტების კორპორატიული ქსელების კომპლექსური ინფორმაციული უსაფრთხოების მახასიათებლები / http: //ტოლერანტობა. მუბიუ. ru/base/Minzov(2).htm#top.

სტატია რედაქტორმა მიიღო 2009 წლის 22 იანვარს

უმაღლესი სასწავლებლის საინფორმაციო უსაფრთხოება

O. M. Protalinskiy, I. M. აჟმუხამედოვი

ირკვევა უმაღლეს სასწავლებელში ინფორმაციული უსაფრთხოების უზრუნველყოფის სპეციფიკა. გაანალიზებულია საფრთხეები, მათი წყაროები და რისკები. შესწავლილია ინფორმაციის დაცვის საზღვრები და ინფორმაციული უსაფრთხოების რთული სისტემის სტრუქტურა.

საკვანძო სიტყვები: ინფორმაციული უსაფრთხოება, უმაღლესი განათლების ინსტიტუტი, უსაფრთხოების საფრთხე, ინფორმაციული უსაფრთხოება.

უნივერსიტეტის ინფორმაციული უსაფრთხოება. ინფორმაციის დაცვაზე მუშაობის ორგანიზება ერთიანი საინფორმაციო სივრცის მშენებლობის დროს ტექნიკურ მეცნიერებათა კანდიდატი, ასოცირებული პროფესორი გლიბოვსკი პაველ ანატოლიევიჩი ტექნიკურ მეცნიერებათა კანდიდატი, ასოცირებული პროფესორი მაჟნიკოვი პაველ ვიქტოროვიჩი A.F. მოჟაისკის სამხედრო აკადემიის ინფორმაციის შეგროვებისა და დამუშავების სისტემების დეპარტამენტი

საინფორმაციო სისტემა არის მონაცემთა ბაზებში და საინფორმაციო ტექნოლოგიებსა და ტექნიკურ საშუალებებში შემავალი ინფორმაციის ერთობლიობა, რომელიც უზრუნველყოფს მის დამუშავებას. (ფედერალური კანონი 2006 149-FZ „ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის დაცვის შესახებ“). სახელმწიფო საინფორმაციო სისტემები - ფედერალური საინფორმაციო სისტემები და რეგიონალური საინფორმაციო სისტემები, რომლებიც შექმნილია, შესაბამისად, ფედერალური კანონების, რუსეთის ფედერაციის შემადგენელი ერთეულების კანონების საფუძველზე, სახელმწიფო ორგანოების სამართლებრივი აქტების საფუძველზე. (ფედერალური კანონი 2006 149-FZ „ინფორმაციის, საინფორმაციო ტექნოლოგიებისა და ინფორმაციის დაცვის შესახებ“). ავტომატური სისტემა. სისტემა, რომელიც შედგება პერსონალისგან და მათი საქმიანობის ავტომატიზაციის ხელსაწყოების კომპლექტისაგან, რომელიც ახორციელებს საინფორმაციო ტექნოლოგიებს დადგენილი ფუნქციების შესასრულებლად (GOST) ტერმინები და განმარტებები.

საინფორმაციო სისტემები, საინფორმაციო ინსტრუმენტები, რომელიც შეიცავს: ღია ინფორმაციის დამუშავების ტექნიკურ საშუალებებს და სისტემებს შენობაში, სადაც დამუშავებულია შეზღუდული წვდომის ინფორმაცია. ღია ინფორმაცია ღია ინფორმაცია შეზღუდული წვდომის ინფორმაცია, რომელიც არ შეიცავს სახელმწიფო საიდუმლოების შემადგენელ ინფორმაციას FIAC არის ძირითადი საინფორმაციო სისტემა. ინფრასტრუქტურა ISPDLVSARM ბეჭდვა, კოპირება საშუალებები კომუნიკაცია, გადართვა და ა.შ. საყოფაცხოვრებო მოწყობილობები ხანძარსაწინააღმდეგო და უსაფრთხოების სიგნალიზაცია ტელეფონები და ა.შ. კომუნიკაცია ნიშნავს საინფორმაციო სისტემები. სახელმწიფო IS მუნიციპალური IS სხვა IS

ინფორმაციის დაცვა ინფორმაციის დაცვის სისტემა არის ორგანოებისა და (ან) შემსრულებლების ერთობლიობა, მათ მიერ გამოყენებული ინფორმაციული დაცვის ტექნოლოგია, ასევე დაცვის ობიექტები, ორგანიზებული და ფუნქციონირებს შესაბამისი სამართლებრივი, ორგანიზაციული, ადმინისტრაციული და მარეგულირებელი დოკუმენტებით დადგენილი წესით. ინფორმაციის დაცვის სფეროში. (GOST R ინფორმაციის დაცვა. ძირითადი ტერმინები და განმარტებები). ინფორმაციის დაცვის საქმიანობის სუბიექტები სახელმწიფო ორგანოები, უფლებამოსილი სამთავრობო ორგანოები, ორგანიზაციები, რომლებიც ამუშავებენ ინფორმაციას საინფორმაციო ობიექტებში, ლიცენზიანტი ორგანიზაციები რა ექვემდებარება დაცვას როგორ დავიცვათ რა საფრთხეებისაგან ინფორმატიზაციის ობიექტები, IP, მ.შ. პროგრამული უზრუნველყოფა, რომელშიც ხდება ინფორმაციის დამუშავება და შენახვა, რომლის წვდომა შეზღუდულია ფედერალური კანონებით, ინფორმაციის დაცვის ინსტრუმენტებით, საჯაროდ ხელმისაწვდომი ინფორმაციის ტექნიკური არხებით გაჟონვისგან, უნებართვო წვდომის, განადგურების, მოდიფიკაციის, დაბლოკვის, კოპირების, უზრუნველყოფის, გავრცელების, აგრეთვე სხვა უკანონო ქმედებებისგან. სამართლებრივი, ორგანიზაციული და ტექნიკური ღონისძიებების ერთობლიობა

რუსეთის ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახურის (FSTEC) 2013 წლის 11 თებერვლის N 17 ბრძანება "სახელმწიფო საინფორმაციო სისტემებში არსებული ინფორმაციის დაცვის მოთხოვნების დამტკიცების შესახებ, რომელიც არ წარმოადგენს სახელმწიფო საიდუმლოებას", IS საკანონმდებლო სისტემა.

ინფორმაცია ელექტრონული ფორმით, რომელიც თან ერთვის სხვა ინფორმაციას ელექტრონული ფორმით (ხელმოწერილი ინფორმაცია) ან სხვაგვარად არის დაკავშირებული ასეთ ინფორმაციასთან და რომელიც გამოიყენება ინფორმაციის ხელმომწერის დასადგენად. დოკუმენტზე ხელმოწერის შედეგად უფლება-მოვალეობების მიღების ფაქტი. ინფორმაციული უსაფრთხოების კანონმდებლობის ელექტრონული ხელმოწერის სისტემა

რუსეთის ფედერაციის 2011 წლის 6 აპრილის ფედერალური კანონი N 63-FZ „ელექტრონული ხელმოწერის შესახებ“; რუსეთის ფედერაციის პრეზიდენტის 1995 წლის 3 აპრილის ბრძანებულება N 334 „კანონის დაცვის ღონისძიებების შესახებ დაშიფვრის ხელსაწყოების შემუშავების, წარმოების, გაყიდვისა და ექსპლუატაციის სფეროში, აგრეთვე ინფორმაციის სფეროში მომსახურების მიწოდების შესახებ. დაშიფვრა“; „რეგლამენტი დაშიფვრის (კრიპტოგრაფიული) ინფორმაციის უსაფრთხოების საშუალებების შემუშავების, წარმოების, დანერგვისა და ექსპლუატაციის შესახებ“ (რეგლამენტი PKZ-2005) დამტკიცებული რუსეთის ფედერაციის FSB 2005 წლის 9 თებერვლის N 66 ბრძანებით; FAPSI 2001 წლის 13 ივნისის №152 ბრძანება „საკომუნიკაციო არხებით შენახვის, დამუშავებისა და გადაცემის უსაფრთხოების ორგანიზებისა და უზრუნველყოფის შესახებ ინსტრუქციების დამტკიცების შესახებ შეზღუდული წვდომის მქონე ინფორმაციისთვის, რომელიც არ შეიცავს სახელმწიფო საიდუმლოებას. ” ინფორმაციული უსაფრთხოების კანონმდებლობის სისტემა ელექტრონული ხელმოწერა

გაძლიერებული ელექტრონული ხელმოწერების გამოყენებისას, ელექტრონული ურთიერთქმედების მონაწილეები ვალდებულნი არიან: 1) უზრუნველყონ ელექტრონული ხელმოწერის გასაღებების კონფიდენციალურობა, კერძოდ, არ დაუშვან მათ კუთვნილი ელექტრონული ხელმოწერის გასაღებების გამოყენება მათი თანხმობის გარეშე (ფედერალური კანონის 63-FZ მე-10 მუხლი). 2011 წლის 6 აპრილის); 2) არ გამოიყენოს ელექტრონული ხელმოწერის გასაღები, თუ არსებობს საფუძველი იმის დასაჯერებლად, რომ ამ გასაღების კონფიდენციალურობა დაირღვა (2011 წლის 6 აპრილის 63-FZ ფედერალური კანონის მე-10 მუხლი); 3) გამოიყენეთ ელექტრონული ხელმოწერის ხელსაწყოები, რომლებმაც მიიღეს ამ ფედერალური კანონის შესაბამისად დადგენილ მოთხოვნებთან შესაბამისობის დადასტურება (ფედერალური კანონის 63-FZ 2011 წლის 6 აპრილის მე-10 მუხლი) კვალიფიციური ელექტრონული ხელმოწერების შესაქმნელად და შესამოწმებლად, კვალიფიციური ელექტრონული ხელმოწერების გასაღებების შესაქმნელად. ხელმოწერები და გასაღებები მათი გადამოწმებისთვის.); 4) აწარმოოს ასლი-ასლი ჩანაწერები CIPF-ის, მათთვის ოპერატიული და ტექნიკური დოკუმენტაციის დადგენილი ფორმების მიხედვით). (2001 წლის 13 ივნისის FAPSI 152-ე ბრძანების 26-ე მუხლი). ინფორმაციული უსაფრთხოების კანონმდებლობის სისტემა ელექტრონული ხელმოწერა

1C: სახელმწიფო დაწესებულების დოკუმენტების ნაკადი "1C: სახელმწიფო დაწესებულების დოკუმენტური ნაკადი 8" განკუთვნილია დოკუმენტების აღრიცხვის ავტომატიზაციის, თანამშრომელთა ურთიერთქმედების, დისციპლინის კონტროლისა და ანალიზის პრობლემების ყოვლისმომცველი გადაწყვეტისთვის სახელმწიფო და მუნიციპალურ დაწესებულებებში. . რუსეთის ფედერაციის მთავრობის 2009 წლის 2 ოქტომბრის ბრძანება N 1403-r ტექნიკური მოთხოვნები უწყებათაშორისი ელექტრონული დოკუმენტების მართვის სისტემის ურთიერთქმედების ორგანიზებისთვის ფედერალური აღმასრულებელი ხელისუფლების ელექტრონული დოკუმენტების მართვის სისტემებთან; ფედერალური აღმასრულებელი ხელისუფლების ელექტრონული დოკუმენტების მართვის საინფორმაციო სისტემების მოთხოვნები, მათ შორის ამ სისტემებით შეზღუდული გავრცელების ოფიციალური ინფორმაციის დამუშავების აუცილებლობა (დამტკიცებული რუსეთის ფედერაციის კავშირგაბმულობისა და მასმედიის სამინისტროს ბრძანებით). 1C: სახელმწიფო დაწესებულების დოკუმენტაციის ნაკადი. ინფორმაციის უსაფრთხოების მოთხოვნები

ფედერალური აღმასრულებელი ხელისუფლების ელექტრონული დოკუმენტების მართვის საინფორმაციო სისტემების მოთხოვნები, მათ შორის ამ სისტემებით შეზღუდული გავრცელების ოფიციალური ინფორმაციის დამუშავების აუცილებლობა (დამტკიცებული რუსეთის ფედერაციის კავშირგაბმულობისა და მასმედიის სამინისტროს ბრძანებით). 21. შეზღუდული გავრცელების საკუთრების ინფორმაციის დასაცავად გამოყენებული უნდა იყოს ინფორმაციის უსაფრთხოების ტექნიკური და (ან) პროგრამული უზრუნველყოფის დაცვის საშუალებები, დამოწმებული ინფორმაციული უსაფრთხოების მოთხოვნების შესაბამისად. 22. ინფორმაციის დაცვის მოთხოვნები და მათი განხორციელების ღონისძიებები, აგრეთვე სპეციალური პროგრამული და ტექნიკის დაცვის საშუალებები უნდა განისაზღვროს და დაზუსტდეს უსაფრთხოების დადგენილი კლასის მიხედვით. 25. ფედერალური აღმასრულებელი ხელისუფლების EDMS-ს არ უნდა ჰქონდეს პირდაპირი (დაუცველი) კავშირი საინფორმაციო და სატელეკომუნიკაციო ქსელის ინტერნეტთან, რუსეთის ფედერაციის პრეზიდენტის 2008 წლის 17 მარტის N 351 ბრძანებულების შესაბამისად „საინფორმაციო უსაფრთხოების უზრუნველყოფის ღონისძიებების შესახებ. რუსეთის ფედერაცია საერთაშორისო ინფორმაციის გაცვლის საინფორმაციო და სატელეკომუნიკაციო ქსელების გამოყენებისას“ (რუსეთის ფედერაციის კოლექციური კანონმდებლობა, 2008, No. 12, მუხ. 1110; 2008, No. 43, მუხ. 4919; 2011, No. 4, მუხ. 572). 1C: სახელმწიფო დაწესებულების დოკუმენტაციის ნაკადი. ინფორმაციის უსაფრთხოების მოთხოვნები

რუსეთის ფედერაციის მთავრობის 2009 წლის 2 ოქტომბრის ბრძანება N 1403-r ტექნიკური მოთხოვნები უწყებათაშორისი ელექტრონული დოკუმენტების მართვის სისტემის ურთიერთქმედების ორგანიზებისთვის ფედერალური აღმასრულებელი ხელისუფლების ელექტრონული დოკუმენტების მართვის სისტემებთან 17. უწყებათაშორისი ელექტრონული დოკუმენტების მართვის ურთიერთქმედების ორგანიზებისას. სისტემა ელექტრონული დოკუმენტების მართვის სისტემით, უზრუნველყოფილი უნდა იყოს ანტივირუსული დაცვა. 18. ოფიციალურ საიდუმლოებად კლასიფიცირებული ინფორმაციის დასაცავად გამოყენებული უნდა იქნეს ინფორმაციული უსაფრთხოების მოთხოვნების შესაბამისად დამოწმებული ტექნიკური ან (ან) პროგრამული ინფორმაციის დაცვის საშუალებები. Gateway-ის ავტომატური სამუშაო სადგურები და გამოყოფილი პერსონალური ელექტრონული კომპიუტერები ელექტრონული დოკუმენტების მართვის სისტემის ადაპტერით უნდა იყოს სერტიფიცირებული კონფიდენციალური ინფორმაციის ტექნიკური დაცვის მოთხოვნებთან შესაბამისობისთვის. 19. ინფორმაციის დაცვის მოთხოვნები და მათი განხორციელების ღონისძიებები, აგრეთვე დაცვის კონკრეტული საშუალებები უნდა განისაზღვროს და დაზუსტდეს უსაფრთხოების დადგენილი კლასის მიხედვით, დამრღვევის საფრთხეებისა და ქმედებების შემუშავებული მოდელის საფუძველზე. 1C: სახელმწიფო დაწესებულების დოკუმენტაციის ნაკადი. ინფორმაციის უსაფრთხოების მოთხოვნები გმადლობთ ყურადღებისთვის! კითხვები? ა.ფ.მოჟაისკის სახელობის მეცნიერებათა უმაღლესი აკადემიის ინფორმაციის შეგროვებისა და დამუშავების სისტემების დეპარტამენტი