Как выбрать актуальную тему дипломной работы по специальности системы информационной безопасности. Актуальность темы диплома по системам информационной безопасности, рекомендации экспертов, примеры тем дипломной работы.

Темы дипломных по специальности системы информационной безопасности посвящены решению различных научно-исследовательских и практических задач, направленных на обеспечение информационной безопасности исследуемого объекта. Проблематика подобных работ обусловлена ростом числа атак информационной безопасности на информационные системы различного направления и их компоненты.

В качестве объекта исследования может выступать компьютерная система, компонент системы, бизнес-процесс, предприятие, помещение или циркулирующие данные.

В качестве предмета исследования можно выделить методы защиты информации, методы анализа угроз или оценку эффективности системы информационной безопасности.

В качестве цели дипломной работы по специальности системы информационной безопасности можно выделить построение или исследование возможности применения риск-моделей и алгоритом защиты (подробно об этом ).

Задачи работ, связанных с темами дипломных работ по специальности системы информационной безопасности , можно определить следующим перечнем:

1. Подбор и исследование статистических данных, включая выдвижение гипотез и их доказательство относительно случайных величин.

2. Обоснование видов и функций ущербов, разработка аналитической модели риска.

3. Формирование динамической риск-модели на основе коэффициентов чувствительности.

На защиту могут выноситься следующие основные положения дипломных работ по специальности системы информационной безопасности :

1. Достоверность доказательства выдвинутых гипотез об областях эффективного применения закона для задач информационной безопасности.

2. Аналитические риск-модели для компонент систем, ущербы в которых имеют заданное распределение.

3. Аналитические модели риска для систем, компоненты которых подвергаются совместному или не совместному воздействию выявленных атак.

4. Динамические модели, функции чувствительности систем.

5. Алгоритмы управления рисками систем.

Научная новизна исследования дипломов на подобные тематики может быть формализована в следующем списке.

1. Впервые исследованы области эффективного применения закона для задач информационной безопасности.

2. Рассмотрены ранее не изученные аналитические риск-модели компонент, ущербы в которых в имеют заданное распределение.

3. Исследованы аналитические модели риска распределенных систем, подвергающихся выявленным атакам информационной безопасности.

4. Впервые проведена алгоритмизация управления рисками систем для выделенного распределения и атак информационной безопасности.

Практическая ценность может заключаться в следующем:

1. Доказательство выдвинутых гипотез позволяет обосновано применять результаты исследования для решения задач информационной безопасности.

2. Полученные аналитические риск-модели в перспективе позволят разработать комплексные модели, способные анализировать весь спектр атак информационной безопасности.

3. Динамические модели, функции чувствительности компьютерных систем позволяют решать задачи информационной безопасности с вариацией уровня риска.

Наиболее актуальные темы выпускных квалификационных работ (ВКР) и научно исследовательских работ (НИР), а также темы диплома по специальности системы информационной безопасности можно привести в следующей таблице.

1. Защита информации в части каналов управления автоматизи­рованной системой аэропорта	2. Внедрение системы обнаружения вторжений на примере ложных информационных систем
3. Проектирование и разработка систем защиты информации	4. Защита от DDOS-атак
5. Защита информации предприятия на уровне электронной почты	6. Информационная безопасность территориально распределенного предприятия
7. Комплексная защита информации на предприятии промышленного назначения	8. Информационная безопасность компьютерной системы при реализации угроз несанкцио­нированного доступа
9. Разработка риск-модели системы управления информационной безопасностью в условиях неопределенности	10. Модернизация системы защиты информационно-телекоммуни­кационных сетей
11. Обеспечение информационной безопасности мобильных автомати­зированных рабочих мест	12. Организация защиты персональных данных в условиях реализации вирусных атак
13. Организация противодействия угрозам безопасности организации на основе сетей Петри	14. Основные направления, принципы и методы обеспечения информационной безопасности в компьютерных сетях
15. Построение типовой модели действий злоумышленника, реализующего удаленные атаки	16. Проблемы информационной безопасности банков на основе дискреционных моделей
17. Разработка алгоритма противодействия использования скрытых каналов связи	18. Разработка комплекса режимных мероприятий по сохранности информации при взаимодействии М2М компонент
19. Разработка системы защиты информации режимного предприятия стратегического назначения	20. Разработка системы защиты конфиденциальной информации в банковских системах
21. ВКР: Автоматизация и обеспечение информационной безопасности рабочего места менеджера по работе с клиентами фирмы	22. Дипломная работа: Организация информационной безопасности электронного архива регистра недвижимости в БТИ
23. Бакалаврская работа: Разработка политики информационной безопасности в торгово-производственной компании	24. Дипломная работа: Разработка политики информационной безопасности компании
25. Диплом: Обеспечение информационной безопасности в инвестиционной компании	26. Диплом: Аудит информационной безопасности в системе защиты информации банка
27. Выпускная бакалаврская работа: Разработка и обеспечение информационной безопасности автомати­зированного рабочего места секретаря	28. Дипломная работа: Разработка комплекса мероприятий информационной безопасности и ЗИ в подразделениях гос. учреждения
29. Дипломная работа: Внедрение комплексной системы информационной безопасности в компании	30. Дипломная работа: Модернизация системы информационной безопасности в компании
31. Магистерская работа: Модернизация существующей системы информационной безопасности с целью повышения ее защищенности	32. Диплом: Модернизация существующей системы с целью повышения информационной безопасности
33. Диплом: Обеспечение информационной безопасности при внедрении и эксплуатации систем обработки электронных платежей	34. Магистерская диссертация: Повышение уровня информационной безопасности предприятия с помощью внедрения СКУД
35. Диплом: Разработка политики информационной безопасности в компании	36. Диплом: Обеспечение информационной безопасности в коммерческой организации

Под информационной безопасностью обычно понимается комплекс мер, направленных на реализацию требуемого уровня защищенности программных и аппаратных средств от нелегального и несанкционированного проникновения злоумышленников. На сегодняшний день максимальную популярность получает комплексная защита информации на предприятии, включающая в себя сразу все возможные методики и средства безопасности, которые доступны для реализации. Если рассматривать любой диплом по информационной безопасности, то в нем непременно можно найти анализ каждого такого средства защиты информации в ИС, а именно:

• Физические средства защиты, состоящие из установленных камер слежения, различных запирающих устройств (замков), дверей, решеток, металлических шкафов, сейфов и т.д. Предназначены в первую очередь для создания естественной преграды для злоумышленника;
• Аппаратные средства защиты, которые включают в себя различные устройства, датчики, детекторы, сканеры и шифраторы, которые наиболее эффективным образом способствуют сохранению конфиденциальности данных и защищенности систем и сетей (сфера наиболее частого применения - защита информации в локальных сетях, а также криптографическая защита информации);
• Программные средства защиты, которые в первую очередь представлены разнообразными файрволами, антивирусными системами, сетевыми экранами, политиками безопасности и т.п., т.е. различным ПО, которые так или иначе расширяет возможности стандартных средств безопасности и относительно успешно справляется с поставленной задачей. Единственный нюанс, который стоит выделить – если вы занимаетесь дипломом по разработке системы защиты персональных данных, то лучше отдавать предпочтение аппаратным средствам защиты, поскольку они становятся гораздо более эффективными и не так сильно подвержены взлому;
• Организационные средства защиты, которые представлены различными уставами, правилами и техническими регламентами работы с конкретными категориями данных. Организация и технология защиты информации в таком случает выглядит следующим образом – все сотрудники строго соблюдают предписания и требования, которые касаются проведения работ с данными, отнесенными к категории «конфиденциальных» или «персональных». В случае невыполнения требований наступают штрафные санкции, административная или уголовная ответственность.

Конечно, описанные выше методы защиты данных не являются единственными, но в процессе проведения аудита информационной безопасности предприятия важную роль играет каждый из них.

Выделим ключевые особенности, которые характеризуют практически все дипломы по защите информации:

• Четко выделенная и обоснованная цель проекта, высокая актуальность проводимого исследования и понятный желаемый результат по итогу выполнения всех работ;
• Правильно сформулированная основная задача, заключающая в себе поэтапный перечень всех необходимых действий, которые в случае успешного выполнения приводят к получению требуемого итогового результата;
• Выделение нескольких доступных решений поставленной задачи с учетом всех требований и условий защиты данных, дальнейший выбор наиболее подходящего (по времени и стоимости) возможного варианта и обоснование сделанного выбора. Основополагающий фактор в таком случае - это эффективность и выполнение всех требований по защите данных;
• Определение самого доступного и понятного представления итога исследования для большей наглядности в процессе выступления на защите.

Нетрудно догадаться, что дипломы по защите информации на предприятии достаточно сложны и охватывают самые различные сферы, и для того, чтобы правильно разработать систему защиты персональных данных, важно иметь хорошие теоретические и практические знания. Но это условие соблюдается далеко не всегда.

Не один раз студенты задавались вопросом – что делать, если я сам самостоятельно не успеваю выполнить весь объем работы. Ответ достаточно прост – нужно заранее обращаться в наш интернет-магазин, где представлено огромное количество различных работ по информационной безопасности. Достаточно привести лишь несколько примеров:

• Работа по организации информационной безопасности;
• Дипломная работа по защите информации;
• Рассмотрение проблем обеспечения информационной безопасности.

И мы абсолютно уверены, что каждый из вас сможет подобрать у нас диплом по своим требованиям, а в случае отсутствия выбранной тематики – без проблем заказать его у наших специалистов.

В данной категории представлены работы, связанные с обеспечением информационной безопасности предприятий, информационных систем и локальных вычислительных сетей, в том числе:

1. безопасность документооборота;
2. безопасность операционных систем и баз данных;
3. безопасность вычислительных систем;
4. безопасность Internet ресурсов;
5. инженерно-техническая защита информации.

Работы подготовлены для специалистов следующих специальностей:

090000 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

090100 Информационная безопасность

090101 Криптография

090102 Компьютерная безопасность

.

Если Вы не нашли подходящую готовую работу, Вы можете заказать написание новой, которая будет выполнена точно в срок и в полном соответствии с Вашими требованиями. Форма заказа по .

Введение

Глава 1. Теоретические аспекты принятия и информационная безопасность

1.1Понятие информационная безопасность

3 Методы обеспечения информационной безопасности

Глава 2. Анализ системы информационной безопасности

1 Сфера деятельности фирмы и анализ финансовых показателей

2 Описание системы информационной безопасности фирмы

3 Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности

Заключение

Список литературы

Приложение

Приложение 1. Бухгалтерский баланс за 2010г

Приложение 1. Бухгалтерский баланс за 2010г

Введение

Актуальность темы дипломной работы определяется возросшим уровнем проблем информационной безопасности даже в условиях стремительного роста технологий и инструментальной базы для защиты данных. Невозможно обеспечить стопроцентный уровень защиты корпоративных информационных систем, при этом корректно расставляя приоритеты в задачах по защите данных в условиях ограниченности доли бюджета, направленной на информационные технологии.

Надежная защита вычислительной и сетевой корпоративной инфраструктуры является базовой задачей в области информационной безопасности для любой компании. С ростом бизнеса предприятия и перехода к территориально-распределенной организации она начинает выходить за рамки отдельного здания.

Эффективная защита IT-инфраструктуры и прикладных корпоративных систем сегодня невозможна без внедрения современных технологий контроля сетевого доступа. Участившиеся случаи кражи носителей, содержащих ценную информацию делового характера, все больше заставляют принимать организационные меры.

Целью данной работы будет оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.

Поставленная цель обуславливает следующие задачи дипломной работы:

) рассмотреть понятие информационная безопасность;

) рассмотреть виды возможных угроз информационным системам варианты защиты от возможных угроз утечки информации в организации.

) выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию;

) разработать на их основе комплекс мероприятий по усовершенствованию существующей системы информационной безопасности.

Работа состоит из введения, двух глав, заключения, списка использованных источников и приложений.

Во введении обосновывается актуальность темы исследования, формулируются цель и задачи работы.

В первой главе рассматриваются теоретические аспекты понятий информационная безопасность в организации.

Во второй главе дается краткая характеристика деятельности фирмы, основные показатели деятельности, описывается текущее состояние системы информационной безопасности и предлагаются мероприятия по её усовершенствованию.

В заключении сформулированы основные результаты и выводы по работе.

Методологической и теоретической основой дипломной работы явились труды отечественных и зарубежных специалистов в области информационной безопасности, В ходе работы над дипломной работой использовалась информация, отражающая содержание законов, законодательных актов и нормативных актов, постановлений Правительства Российской Федерации, регулирующих защиту информации, международные стандарты по информационной безопасности.

Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке политики информационной безопасности.

Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации на предприятии путем грамотного проектирования политики информационной безопасности.

Глава 1. Теоретические аспекты прнятия и информационная безопасность

1.1 Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Параметры информационных систем, нуждающиеся в защите, можно разделить на следующие категории: обеспечение целостности, доступности и конфиденциальности информационных ресурсов.

доступность - это возможность получения, за короткий промежуток времени, требуемой информационной услуги;

целостность - это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;

конфиденциальность - защите от несанкционированного доступа к информации.

Информационные системы, прежде всего, создаются для получения определенных информационных услуг. Если получение информации по каким-либо причинам становится невозможным, это приносит ущерб всем субъектам информационных отношений. Из этого можно определить, что доступность информации стоит на первом месте.

Целостность является основным аспектом информационной безопасности тогда, когда точность и правдивость будут главными параметрами информации. Например, рецепты медицинских лекарств или набор и характеристики комплектующих изделий.

Наиболее проработанной составляющей информационной безопасности в нашей стране является конфиденциальность. Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем сталкивается в России с большими трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препятствия и технические проблемы.

Действия, которые могут нанести ущерб информационной системе, можно разделить на несколько категорий.

целенаправленная кража или уничтожение данных на рабочей станции или сервере;

повреждение данных пользователем в результате неосторожных действий.

. "Электронные" методы воздействия, осуществляемые хакерами.

Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:

несанкционированное проникновение в компьютерные сети;

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.

Атака типа DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.

Компьютерные вирусы. Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:

электронная почта в последнее время стала главным каналом распространения вредоносных программ;

спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;

как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);

вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.

."Естественные" угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т. д.

Система управления информационной безопасностью (ISMS или Information Security Management System) позволяет управлять комплексом мер, реализующих некую задуманную стратегию, в данном случае - в отношении информационной безопасности. Отметим, что речь идет не только об управлении уже существующей системой, но и о построении новой/перепроектировке старой.

Комплекс мер включает в себя организационные, технические, физические и другие. Управление информационной безопасностью - процесс именно комплексный, что и позволяет реализовывать как можно более эффективное и всестороннее управление ИБ в компании.

Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности.

Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется ее обработка.

В условиях крупной современной организации количество информационных активов может быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации.

Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация рассматривается как один из типов ресурсов. Задача несколько упрощается, если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.

Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.

Но экономическая эффективность процесса управления ИБ во многом зависит именно от осознания того, что нужно защищать и какие усилия для этого потребуются, так как в большинстве случаев объем прилагаемых усилий прямо пропорционален объему затрачиваемых денег и операционных расходов. Управление рисками позволяет ответить на вопрос, где можно рисковать, а где нельзя. В случае ИБ термин «рисковать» означает, что в определенной области можно не прилагать значительных усилий для защиты информационных активов и при этом в случае нарушения безопасности организация не понесет значимых потерь. Здесь можно провести аналогию с классами защиты автоматизированных систем: чем значительнее риски, тем более жесткими должны быть требования к защите.

Чтобы определить последствия нарушения безопасности, нужно либо иметь сведения о зафиксированных инцидентах аналогичного характера, либо провести сценарный анализ. В рамках сценарного анализа изучаются причинно-следственные связи между событиями нарушения безопасности активов и последствиями этих событий для бизнес-деятельности организации. Последствия сценариев должны оцениваться несколькими людьми, итерационным или совещательным методом. Следует отметить, что разработка и оценка таких сценариев не может быть полностью оторвана от реальности. Всегда нужно помнить, что сценарий должен быть вероятным. Критерии и шкалы определения ценности индивидуальны для каждой организации. По результатам сценарного анализа можно получить информацию о ценности активов.

Если активы идентифицированы и определена их ценность, можно говорить о том, что цели обеспечения ИБ частично установлены: определены объекты защиты и значимость поддержания их в состоянии информационной безопасности для организации. Пожалуй, осталось только определить, от кого необходимо защищаться.

После определения целей управления ИБ следует проанализировать проблемы, которые мешают приблизиться к целевому состоянию. На этом уровне процесс анализа рисков спускается до информационной инфраструктуры и традиционных понятий ИБ - нарушителей, угроз и уязвимостей.

Для оценки рисков недостаточно ввести стандартную модель нарушителя, разделяющую всех нарушителей по типу доступа к активу и знаниям о структуре активов. Такое разделение помогает определить, какие угрозы могут быть направлены на актив, но не дает ответа на вопрос, могут ли эти угрозы быть в принципе реализованы.

В процессе анализа рисков необходимо оценить мотивированность нарушителей при реализации угроз. При этом под нарушителем подразумевается не абстрактный внешний хакер или инсайдер, а сторона, заинтересованная в получении выгоды путем нарушения безопасности актива.

Первоначальную информацию о модели нарушителя, как и в случае с выбором изначальных направлений деятельности по обеспечению ИБ, целесообразно получить у высшего менеджмента, представляющего себе положение организации на рынке, имеющего сведения о конкурентах и о том, каких методов воздействия можно от них ожидать. Сведения, необходимые для разработки модели нарушителя, можно получить и из специализированных исследований по нарушениям в области компьютерной безопасности в той сфере бизнеса, для которой проводится анализ рисков. Правильно проработанная модель нарушителя дополняет цели обеспечения ИБ, определенные при оценке активов организации.

Разработка модели угроз и идентификация уязвимостей неразрывно связаны с инвентаризацией окружения информационных активов организации. Сама собой информация не хранится и не обрабатывается. Доступ к ней обеспечивается при помощи информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Важно понять, как информационная инфраструктура и информационные активы организации связаны между собой. С позиции управления ИБ значимость информационной инфраструктуры может быть установлена только после определения связи между информационными активами и инфраструктурой. В том случае, если процессы поддержания и эксплуатации информационной инфраструктуры в организации регламентированы и прозрачны, сбор информации, необходимый для идентификации угроз и оценки уязвимостей, значительно упрощается.

Разработка модели угроз - работа для профессионалов в области ИБ, которые хорошо представляют себе, каким образом нарушитель может получить неавторизованный доступ к информации, нарушая периметр защиты или действуя методами социальной инженерии. При разработке модели угроз можно также говорить о сценариях как о последовательных шагах, в соответствии с которыми могут быть реализованы угрозы. Очень редко случается, что угрозы реализуются в один шаг путем эксплуатации единственного уязвимого места системы.

В модель угроз следует включить все угрозы, выявленные по результатам смежных процессов управления ИБ, таких как управление уязвимостями и инцидентами. Нужно помнить, что угрозы необходимо будет ранжировать друг относительно друга по уровню вероятности их реализации. Для этого в процессе разработки модели угроз для каждой угрозы необходимо указать наиболее значимые факторы, существование которых оказывает влияние на ее реализацию.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности.

Перед тем как начать формировать саму политику информационной безопасности необходимо разобраться в основных понятиях, которыми мы будем оперировать.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Информационная безопасность (ИБ) - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.

Понятие "информация" сегодня употребляется достаточно широко и разносторонне.

Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее слабых мест и противоправных действий.

Безопасность информации может быть обеспечена лишь при комплексном использовании всего ассортимента имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм систему защиты информации. При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

Согласно стандарту ГОСТ Р ИСО/МЭК 15408:2005 можно выделить следующие виды требований к безопасности:

функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;

требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

Очень важно, что безопасность в этом стандарте рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:

определение назначения, условий применения, целей и требований безопасности;

проектирование и разработка;

испытания, оценка и сертификация;

внедрение и эксплуатация.

Итак, остановимся подробнее на функиональных требованиях безопасности. Они включают в себя:

защита данных пользователя;

защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);

управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);

аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);

приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);

использование ресурсов (требования к доступности информации);

связь (аутентификация сторон, участвующих в обмене данными);

доверенный маршрут/канал (для связи с сервисами безопасности).

В соответствии с этими требованиями нужно форимировать систему информационной безопасности организации.

Система информационной безопасности организации включает направления:

нормативные;

организационные (административные);

технические;

программные;

Для полной оценки ситуации на предприятии по всем направлениям обеспечения безопасности необходима разработка концепции информационной безопасности, которая бы устанавливала системный подход к проблеме безопасности информационных ресурсов и представляла собой систематизированное изложение целей, задач, принципов проектирования и комплекса мер по обеспечению информационной безопасности на предприятии.

В основе системы управления корпоративной сети должны лежать следующие принципы (задачи):

обеспечение защиты существующей информационной инфраструктуры предприятия от вмешательства злоумышленников;

обеспечение условий для локализации и минимизации возможного ущерба;

исключения появления на начальной стадии причин возникновения источников угроз;

обеспечения защиты информации по трем основным видам возникающих угроз (доступность, целостность, конфиденциальность);

Решение вышеназванных задач достигается путем;

регламентация действий пользователей работы с информационной системой;

регламентация действий пользователей работы с базой данных;

единые требования к надежности технических средств и программного обеспечения;

процедуры контроля работы информационной системы (протоколирование событий, анализ протоколов, анализ сетевого трафика, анализ работы технических средств);

Политика информационной безопасноти включает в себя:

основной документ - «Политика безопасности». В нем вцелом описана политика безопасности организации, общие положения, а так же по всем аспектам политики указаны соответствующие документы;

инструкция по регламентации работы пользователей;

должостная инструкция администратора локальной сети;

должостная инструкция администратора базы данных;

инструкция по работе с ресурсами Интернет;

инструкция по организации парольной защиты;

инструкция по организации антивирусной защиты.

Документ «Политика безопасности» содержит основные положения. На основе него строится программа обеспечения информационной безопасности, строятся должностные инструкции и рекомендации.

Инструкция по регламентации работы пользователей локальной сети организации регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией, обрабатываемой, хранимой и передаваемой в организации.

Должностная инструкция администратора локальной сети описывает обязанности администратора локальной сети касаемые обеспечения информационной безопасности.

Должностная инструкция администратора базы данных определяет основные обязанности, функции и права администратора базы данных. В ней очень подробно описаны все должностные обязанности и функции администратора базы данных, а так же права и ответственность.

Инструкция по работе с ресурсами интернет отражает основные правила безопасной работы с сетью интернет, так же содержит перечень допустимых и недопустимых действий при работе с ресурсами интернет.

Инструкция по организации антивирусной защиты определяет основные положения, требования к организации антивирусной защиты информационной системы организации, все аспекты связанные с работой антивирусного программного обеспечения, а так же ответственность в случае нарушения антивирусной защиты.

Инструкция по организации парольной защиты регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей). А так же регламентированы действия пользователей и обслуживающего персонала при работе с системой.

Таким образом, основой для организации процесса защиты информации является политика безопасности, формулируемая для того, чтобы определить, от каких угроз и каким образом защищается информация в информационной системе.

Под политикой безопасности понимается набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. То есть, политика безопасности заключает в себе множество условий, при которых пользователи получают доступ к ресурсам системы без потери свойства информационной безопасности этой системы.

Задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

средства идентификации и аутентификации пользователей;

средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

межсетевые экраны;

виртуальные частные сети;

средства контентной фильтрации;

инструменты проверки целостности содержимого дисков;

средства антивирусной защиты;

системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

Система аутентификации (или идентификации), авторизации и администрирования. Идентификация и авторизация - это ключевые элементы информационной безопасности. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Огромный урон компаниям, нанесенный вирусами и хакерскими атаками, - в большой мере следствие слабых мест в используемом программном обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных - резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т. д.).

Политика информационной безопасности есть пакет документов, регламентирующий работу сотрудников, описывающий основные правила работы с информацией, информационной системой, базами данных, локальной сетью и ресурсами интернет. Важно понимать, какое место политика информационной безопасности занимает в общей системе управления организацией. Ниже представлены общие организационные меры, связанные с политикой безопасности.

На процедурном уровне можно выделить следующие классы мер:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

Управление персоналом начинается с приема на работу, однако еще до этого следует определить компьютерные привилегии, связанные с должностью. Существует два общих принципа, которые следует иметь ввиду:

разделение обязанностей;

минимизация привилегий.

Принцип разделения обязанностей предписывает как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформление заявок на подобные платежи, а другому - заверять эти заявки. Другой пример - процедурные ограничения действий суперпользователя. Можно искусственно "расщепить" пароль суперпользователя, сообщив первую его часть одному сотруднику, а вторую - другому. Тогда критически важные действия по администрированию информационной системы они смогут выполнить только вдвоем, что снижает вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем ответственнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла дополнительно усложнять ее. В то же время, неразумно и совсем отказываться от предварительной проверки, чтобы случайно не принять на работу человека с уголовным прошлым или психическим заболеванием.

Когда кандидат определен, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.

Рассмотрим следующие направления физической защиты:

физическое управление доступом;

защита поддерживающей инфраструктуры;

защита мобильных систем.

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации, а также отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры и средства коммуникаций. В принципе, к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности следует выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы и всегда иметь под рукой запчасти.

Вообще говоря, при выборе средств физической защиты следует производить анализ рисков. Так, принимая решение о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка оно окажется плохим), характер и длительность сбоев электропитания, стоимость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации и т.п.)

Рассмотрим ряд мер, направленных на поддержание работоспособности информационных систем. Именно в этой области таится наибольшая опасность. К потере работоспособности, а именно повреждению аппаратуры, разрушению программ и данных могут привести нечаянные ошибки системных администраторов и пользователей. Это в худшем случае. В лучшем случае они создают бреши в защите, которые делают возможным реализацию угроз безопасности систем.

Основная проблема многих организаций - недооценка факторов безопасности в повседневной работе. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Для повседневной деятельности, направленной на поддержание работоспособности информационной системы можно выделить следующие действия:

поддержка пользователей;

поддержка программного обеспечения;

конфигурационное управление;

резервное копирование;

управление носителями;

документирование;

регламентные работы.

Поддержка пользователей подразумевает, прежде всего, консультирование и оказание помощи при решении разного рода проблем. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью. Так, многие трудности пользователей, работающих на персональных компьютерах, могут быть следствием заражения вирусами. Целесообразно фиксировать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для распространенных ситуаций.

Поддержка программного обеспечения - одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами, а также появлению утилит, действующих в обход защитных средств. Вполне вероятно также, что "самодеятельность" пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору.

Второй аспект поддержки программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержку эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и обеспечения целостности.

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей, версии. Фиксация изменений позволит легко восстановить текущую версию после аварии.

Лучший способ уменьшить количество ошибок в рутинной работе - максимально автоматизировать ее. Автоматизация и безопасность зависят друг от друга, ведь тот, кто заботится в первую очередь об облегчении своей задачи, на самом деле оптимальным образом формирует режим информационной безопасности.

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание создания полных и инкрементальных копий, а как максимум - воспользовавшись соответствующими программными продуктами. Нужно также наладить размещение копий в безопасном месте, защищенном от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесообразно иметь несколько экземпляров резервных копий и часть из них хранить вне территории организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управлять носителями необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл - от закупки до выведения из эксплуатации.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.

К хранению одних документов (содержащих, например, анализ уязвимых мест системы и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий - требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).

Регламентные работы - очень серьезная угроза безопасности. Сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит степень доверия к тем, кто выполняет работу.

Политика безопасности, принятая в организации, должна предусматривать набор оперативных мероприятий направленных на обнаружение и нейтрализацию нарушений режима информационной безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Реакция на нарушения режима безопасности преследует три главные цели:

локализация инцидента и уменьшение наносимого вреда;

предупреждение повторных нарушений.

Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.

Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью. В то же время, у каждой организации есть функции, которые руководство считает критически важными, они должны выполняться несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Отметим, что меры информационной безопасности можно разделить на три группы, в зависимости от того, направлены ли они на предупреждение, обнаружение или ликвидацию последствий атак. Большинство мер носит предупредительный характер.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

выявление критически важных функций организации, установление приоритетов;

идентификация ресурсов, необходимых для выполнения критически важных функций;

определение перечня возможных аварий;

разработка стратегии восстановительных работ;

подготовка к реализации выбранной стратегии;

проверка стратегии.

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На данном этапе желательно подключать к работе специалистов разного профиля.

Таким образом, существует большое количество различных методов обеспечения информационной безопасности. Наиболее эффективным является применение всех данных методов в едином комплексе. Сегодня современный рынок безопасности насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения рынка безопасности, многие компании видят неадекватность ранее вложенных средств в системы информационной безопасности, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны - это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой - модернизация существующих систем безопасности. Последний вариант решения этой проблемы является наименее затратным, но несет новые проблемы, например, требует ответа на следующие вопросы: как обеспечить совместимость старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; как обеспечить централизованное управление разнородными средствами обеспечения безопасности; как оценить, а при необходимости и переоценить информационные риски компании.

Глава 2. Анализ системы информационной безопасности

1 Сфера деятельности фирмы и анализ финансовых показателей

ОАО «Газпром» - глобальная энергетическая компания. Основные направления деятельности - геологоразведка, добыча, транспортировка, хранение, переработка и реализация газа, газового конденсата и нефти, а также производство и сбыт тепло- и электроэнергии.

«Газпром» видит свою миссию в надежном, эффективном и сбалансированном обеспечении потребителей природным газом, другими видами энергоресурсов и продуктов их переработки.

«Газпром» располагает самыми богатыми в мире запасами природного газа. Его доля в мировых запасах газа составляет 18%, в российских - 70%. На «Газпром» приходится 15% мировой и 78% российской добычи газа. В настоящее время компания активно реализует масштабные проекты по освоению газовых ресурсов полуострова Ямал, арктического шельфа, Восточной Сибири и Дальнего Востока, а также ряд проектов по разведке и добыче углеводородов за рубежом.

«Газпром» - надежный поставщик газа российским и зарубежным потребителям. Компании принадлежит крупнейшая в мире газотранспортная сеть - Единая система газоснабжения России, протяженность которой превышает 161 тыс. км. На внутреннем рынке «Газпром» реализует свыше половины продаваемого газа. Кроме того, компания поставляет газ в 30 стран ближнего и дальнего зарубежья.

«Газпром» является единственным в России производителем и экспортером сжиженного природного газа и обеспечивает около 5% мирового производства СПГ.

Компания входит в пятерку крупнейших производителей нефти в РФ, а также является крупнейшим владельцем генерирующих активов на ее территории. Их суммарная установленная мощность составляет 17% от общей установленной мощности российской энергосистемы.

Стратегической целью является становление ОАО «Газпром» как лидера среди глобальных энергетических компаний посредством освоения новых рынков, диверсификации видов деятельности, обеспечения надежности поставок.

Рассмотрим финансовые показатели деятельности компании за последние два года. Результаты деятельности компании представлены в приложении 1.

По состоянию на 31.12.2010 год, выручка от продаж составила 2495557 млн. руб., этот показатель гораздо ниже, по сравнению с данными 2011 года, то есть 3296656 млн. руб.

Выручка от продаж (за вычетом акциза, НДС и таможенных пошлин) увеличилась на 801 099 млн. руб., или на 32%, за девять месяцев, закончившихся 30 сентября 2011 г., по сравнению с аналогичным периодом прошлого года, и составила 3 296 656 млн. руб.

По результатам 2011 г., на долю чистой выручки от продажи газа приходилось 60% от общего объема чистой выручки от продаж (60% за аналогичный период прошлого года).

Чистая выручка от продажи газа увеличилась с 1 495 335 млн. руб. за год до 1 987 330 млн. руб. за аналогичный период 2011 г., или на 33%.

Чистая выручка от продажи газа в Европу и другие страны увеличилась на 258 596 млн. руб., или на 34%, по сравнению с аналогичным периодом прошлого года, и составила 1 026 451 млн. руб. Общее увеличение продажи газа в Европу и другие страны было обусловлено ростом средних цен. Средняя цена в рублях (включая таможенные пошлины) увеличилась на 21% за девять месяцев, закончившихся 30 сентября 2011 г., по сравнению с аналогичным периодом 2010 г. В дополнение, объем продажи газа вырос на 8% по сравнению с аналогичным периодом прошлого года.

Чистая выручка от продажи газа в страны бывшего Советского Союза выросла за по сравнению с аналогичным периодом 2010 г. на 168 538 млн. руб., или на 58%, и составила 458 608 млн. руб. Изменение, в основном, было обусловлено ростом объемов продажи газа в страны бывшего Советского Союза на 33% за девять месяцев, закончившихся 30 сентября 2011 г., по сравнению с аналогичным периодом прошлого года. В дополнение, средняя цена в рублях (включая таможенные пошлины, за вычетом НДС) выросла на 15% по сравнению с аналогичным периодом прошлого года.

Чистая выручка от продажи газа в Российской Федерации выросла на 64 861 млн. руб., или на 15%., по сравнению с аналогичным периодом прошлого года, и составила 502 271 млн. руб. В основном, это объясняется ростом средней цены на газ на 13% по сравнению с аналогичным периодом прошлого года, что связано с ростом тарифов, устанавливаемых Федеральной службой по тарифам (ФСТ).

Чистая выручка от продажи продуктов нефтегазопереработки (за вычетом акциза, НДС и таможенных пошлин) выросла на 213 012 млн. руб., или на 42%, и составила 717 723 млн. руб. по сравнению с аналогичным периодом прошлого года. В основном, данное увеличение объясняется ростом мировых цен на продукты нефтегазопереработки и увеличением реализованных объемов по сравнению с аналогичным периодом прошлого года. Выручка Группы Газпром нефть составила 85% и 84% в общей сумме чистой выручки от продажи продуктов нефтегазопереработки, соответственно.

Чистая выручка от продажи электрической и тепловой энергии (за вычетом НДС) выросла на 38 097 млн. руб., или на 19% и составила 237 545 млн. руб. Увеличение выручки от продажи электрической и тепловой энергии, в основном, объясняется ростом тарифов на электрическую и тепловую энергию, а также увеличением объемом реализации электрической и тепловой энергии.

Чистая выручка от продажи сырой нефти и газового конденсата (за вычетом акциза, НДС и таможенных пошлин) выросла на 23 072 млн. руб., или на 16%, и составила 164 438 млн. руб. по сравнению с 141 366 млн. руб. за аналогичный период прошлого года. В основном, изменение вызвано ростом цены на нефть и газовый конденсат. Кроме этого, изменение было вызвано увеличением объема продажи газового конденсата. Выручка от продажи сырой нефти составила 133 368 млн. руб. и 121 675 млн. руб. в чистой выручке от продажи сырой нефти и газового конденсата (за вычетом акциза, НДС и таможенных пошлин) 2011 и 2010 гг., соответственно.

Чистая выручка от продажи услуг по транспортировке газа (за вычетом НДС) выросла на 15 306 млн. руб., или на 23%, и составила 82 501 млн. руб., по сравнению с 67 195 млн. руб. за аналогичный период прошлого года. Такой рост объясняется, главным образом, увеличением тарифов на транспортировку газа для независимых поставщиков, а также увеличением объѐмов транспортировки газа для независимых поставщиков по сравнению с аналогичным периодом прошлого года.

Прочая выручка выросла на 19 617 млн. руб., или на 22%, и составила 107 119 млн. руб. по сравнению с 87 502 млн. руб. за аналогичный период прошлого года.

Расход по торговым операциям без фактической поставки составил 837 млн. руб. по сравнению с доходом в размере 5 786 млн. руб. за аналогичный период прошлого года.

Что касается операционных расходов, они увеличились на 23% и составили 2 119 289 млн. руб. по сравнению с 1 726 604 млн. руб. за аналогичный период прошлого года. Доля операционных расходов в выручке от продаж уменьшилась с 69% до 64% .

Расходы на оплату труда увеличились на 18% и составили 267 377 млн. руб. по сравнению с 227 500 млн. руб. за аналогичный период прошлого года. Увеличение, в основном, объясняется ростом средней заработной платы.

Амортизация за анализируемый период увеличилась на 9% или на 17 026 млн. руб., и составила 201 636 млн. руб., по сравнению с 184 610 млн. руб. за аналогичный период прошлого года. Увеличение, в основном, было связано с расширением базы основных средств.

В результате указанных выше факторов прибыль от продаж выросла на 401 791 млн. руб., или на 52%, и составила 1 176 530 млн. руб. по сравнению с 774 739 млн. руб. за аналогичный период прошлого года. Маржа прибыли от продаж увеличилась с 31% до 36% за девять месяцев, закончившихся 30 сентября 2011 г.

Таким образом, ОАО «Газпром» - глобальная энергетическая компания. Основные направления деятельности - геологоразведка, добыча, транспортировка, хранение, переработка и реализация газа, газового конденсата и нефти, а также производство и сбыт тепло- и электроэнергии. Финансовое состояние компании стабильно. Показатели деятельности имеют положительную динамику.

2 Описание системы информационной безопасности фирмы

Рассмотрим основные направления деятельности подразделений Службы корпоративной защиты ОАО "Газпром":

разработка целевых программ по развитию систем и комплексов инженерно-технических средств охраны (ИТСО), систем обеспечения информационной безопасности (ИБ) ОАО "Газпром" и его дочерних обществ и организаций, участие в формировании инвестиционной программы, направленной на обеспечение информационно-технической безопасности;

реализация полномочий заказчика работ по развитию систем обеспечения ИБ, а также систем и комплексов ИТСО;

рассмотрение и согласование бюджетных заявок и бюджетов на осуществление мероприятий по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также на создание ИТ в части систем защиты информации;

рассмотрение и согласование проектной и предпроектной документации по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также технических заданий на создание (модернизацию) информационных систем, систем связи и телекоммуникаций в части требований по обеспечению информационной безопасности;

организация работ по оценке соответствия систем и комплексов ИТСО, систем обеспечения И.Б (а также работ и услуг по их созданию) установленным требованиям;

координация и контроль выполнения работ по технической защите информации.

В "Газпроме" создана система, обеспечивающая защиту персональных данных. Однако принятие федеральными органами исполнительной власти ряда нормативных правовых актов в развитие действующих законов и постановлений правительства обуславливает необходимость совершенствования действующей системы защиты ПД. В интересах решения указанной задачи в рамках научно-исследовательских работ разработан и проходит согласование целый ряд документов. Прежде всего, это проекты стандартов организации Развития Газпром:

"Методика проведения классификации информационных систем персональных данных ОАО "Газпром", его дочерних обществ и организаций";

"Модель угроз персональным данным при их обработке в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Данные документы разработаны с учетом требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" применительно к классу специальных систем, к которым относится большая часть ИСПДн ОАО "Газпром".

Кроме того, в настоящее время ведется разработка "Положения по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Следует отметить, что в рамках системы стандартизации ОАО «Газпром» разработаны стандарты системы обеспечения информационной безопасности, которые также позволят решать задачи защиты ПД, обрабатываемых в информационных системах ОАО «Газпром».

Семь стандартов, относящихся к системе обеспечения информационной безопасности, утверждены и вводятся в действие в текущем году.

В стандартах определены основные требования по построению систем обеспечения информационной безопасности ОАО «Газпром» и его дочерних организаций.

Результаты проделанной работы позволят более рационально использовать материальные, финансовые и интеллектуальные ресурсы, сформировать необходимое нормативно-методическое обеспечение, внедрить эффективные средства защиты и, как следствие, обеспечить защищенность персональных данных, обрабатываемых в информационных системах ОАО «Газпром».

В результате проведения анализа информационной безопасности ОАО «Газпром» были выявлены следующие недостатки в обеспечении безопасности информации:

в организации отсутствует единый документ, регулирующий комплексную политику безопасности;

учитывая размеры сети и количество пользователей (более 100), следует отметить, что системным администрированием, обеспечением информационной безопасности и технической поддержки занимается один человек;

отсутствует классификация информационных активов по степени важности;

роли и обязанности по информационной безопасности не включены в должностные инструкции;

в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации;

обучение персонала в области защиты информации не проводится;

с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз;

серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек);

не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям;

несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится;

с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях;

с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода;

отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей;

все резервные копии хранятся в серверной;

используются небезопасные, легко запоминающиеся пароли;

получение паролей пользователями никак не подтверждается;

пароли в открытом виде хранятся у администратора;

пароли не меняются;

не существует порядка сообщения о событиях информационной безопасности.

Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий:

политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;

политику в отношении работы пользователей сети в процессе её эксплуатации;

политику по организации парольной защиты;

политику по организации физической защиты;

политику по работе с сетью Интернет;

а также административные меры по обеспечению безопасности.

Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.

3 Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности

В результате анализа системы информационной безопасности ОАО «Газпром» были выявлены существенные уязвимости системы. Для разработки мероприятий с целью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите:

сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные);

сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи;

сведения, связанные с профессиональной деятельностью и отмеченные как сведения «для служебного пользования»;

информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат.

С точки зрения административных мер были разработы следующие рекомендации:

система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам;

здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля;

проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу;

каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности;

аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия;

права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением);

обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы.

Сформулируем политику в отношении паролей:

не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.);

менять пароль в случае его разглашения или подозрения на разглашение;

длина должна быть не менее 8 символов;

в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последовательности символов (имена, клички животных, даты);

менять один раз в 6 месяцев (внеплановая замена пароля должна производиться немедленно после получения уведомления о происшествии, инициировавшем замену);

при смене пароля нельзя выбирать те, которые использовались ранее (пароли должны отличаться, по меньшей мере, на 6 позиций).

Сформулируем политику в отношении антивирусных программ и обнаружения вирусов:

на каждой рабочей станции должно быть установлено лицензионное антивирусное ПО;

обновление антивирусных баз на рабочих станциях с выходом в Интернет - 1 раз в сутки, без выхода в Интернет - не реже 1 раза в неделю;

установить автоматическую проверку рабочих станций на обнаружение вирусов (частота проверок - 1 раз в неделю: пятница, 12:00);

прервать обновление антивирусных баз или проверку на вирусы может только администратор (следует установить на указанное действие пользователя парольную защиту).

Сформулируем политику в отношении физической защиты:

техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям, проводить каждые 1-2 месяца;

сетевые кабели должны быть защищены от несанкционированного перехвата данных;

записи обо всех предполагаемых и действительных сбоях, произошедших с оборудованием должны сохраняться в журнале

каждая рабочая станция должна быть снабжена источником бесперебойного питания.

Определим политику в отношении резервирования информации:

для резервных копий следует отвести отдельное помещение, находящееся за пределами административного здания (помещение должно быть оборудовано электронным замком и сигнализацией);

резервирование информации следует проводить каждую пятницу, в 16:00.

Политика в отношении приема/увольнения сотрудников должна иметь следующий вид:

о любых кадровых изменениях (прием, повышение, увольнение сотрудника и т.п.) должно в течение 24 часов сообщаться администратору, который, в свою очередь, в срок, равный половине рабочего дня должен внести соответствующие изменения в систему разграничения прав доступа к ресурсам предприятия;

новый сотрудник должен проходить инструктаж у администратора, включающий ознакомление с политикой безопасности и всеми необходимыми инструкциями, уровень доступа к информации новому сотруднику назначается руководителем;

при увольнении сотрудника из системы удаляются его идентификатор и пароль, проводится проверка рабочей станции на наличие вирусов, анализ целостности данных, к которым у сотрудника имелся доступ.

Политика в отношении работы с локальной внутренней сетью (ЛВС) и базами данных (БД):

при работе на своей рабочей станции и в ЛВС сотрудник должен выполнять только задания, непосредственно касающиеся его служебной деятельности;

о сообщениях антивирусных программ о появлении вирусов сотрудник должен ставить в известность администратора;

никому, кроме администраторов, не разрешается вносить изменения в конструкцию или конфигурацию рабочих станций и другие узлы ЛВС, производить установку любого программного обеспечения, оставлять без контроля рабочую станцию или допускать к ней посторонних лиц;

администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и сниффер, использование которого позволит увидеть сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности;

следует установить ПО, препятствующее запуску других программ, кроме назначенных администратором, исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач». Все неиспользуемые порты компьютера должны быть аппаратно или программно дезактивированы;

ПО следует регулярно обновлять.

Политика в отношении работы с Интернет:

за администраторами закрепляется право ограничивать доступ к ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством;

сотруднику запрещается загружать и открывать файлы без предварительной проверки на наличие вирусов;

вся информация о ресурсах, посещаемых сотрудниками компании, должна сохраняться в журнале и, при необходимости, может быть предоставлена руководителям отделов, а также руководству

конфиденциальность и целостность электронной корреспонденции и офисных документов обеспечивается за счёт использования ЭЦП.

Помимо этого, сформулируем основные требования к составлению паролей для сотрудников компании ОАО «Газпром».

Пароль - все равно что ключи от дома, только является ключом к информации. Для обычных ключей крайне нежелательно быть потерянными, украденными, переданными в руки незнакомого человека. То же самое и с паролем. Конечно, сохранность информации зависит не только от пароля, для ее обеспечения требуется установить целый ряд специальных настроек и, быть может, даже написать программу, защищающую от взлома. Но выбор пароля - это именно то действие, где только от пользователя зависит, насколько сильным будет это звено в цепи мер, направленных на защиту информации.

) пароль должен быть длинный (8-12-15 символов);

) не должен являться словом из словаря (любого, даже словаря специальных терминов и сленга), именем собственным или словом кириллицей, набранным в латинской раскладке (латынь - kfnsym);

) его нельзя связать с владельцем;

) он меняется периодически или по мере надобности;

) не используется в этом качестве на различных ресурсах (т.е. для каждого ресурса - для входа в почтовый ящик, операционную систему или базу данных - должен использоваться свой, отличающийся от других, пароль);

) его возможно запомнить.

Выбирать слова из словаря нежелательно, поскольку злоумышленник, проводя атаку «по словарю», будет пользоваться программами, способными перебирать до сотен тысяч слов в секунду.

Любая информация, связанная с владельцем (будь то дата рождения, кличка собаки, девичья фамилия матери и тому подобные «пароли»), может быть легко узнана и угадана.

Использование заглавных и прописных букв, а также цифр значительно усложняет задачу злоумышленника по подбору пароля.

Пароль следует хранить в секрете, а если вы заподозрите, что пароль стал кому-то известен, смените его. Также очень полезно менять их время от времени.

Заключение

Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации.

Установлено, что основной причиной проблем предприятия в области защиты информации является отсутствие политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности.

Сформулировано определение политики информационной безопасности как совокупности закрепленных документально решений, целью которых является обеспечение защиты информации и связанных с ней информационных рисков.

Проведенный анализ системы информационной безопасности выявил существенные недостатки, в числе которых:

хранение резервных копий в серверной, резервный сервер находится в одном помещении с основными серверами;

отсутствие надлежащих правил в отношении парольной защиты (длина пароля, правила его выбора и хранения);

администрированием сети занимается один человек.

Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы:

прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба;

создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств.

В первой главе работы рассмотрены основные теоретические аспекты. Дан обзор нескольких стандартов в области информационной безопасности. Сделаны выводы по каждому и в целом, и выбран наиболее подходящий стандарт для формирования политики ИБ.

Во второй главе рассмотрена структура организации, проанализированы основные проблемы связанные с информационной безопасностью. Как результат сформированы рекомендации по обеспечению должного уровня информационной безопасности. Так же рассмотрены меры для предотвращения дальнейших инцидентов, связанных с нарушением информационной безопасности.

Конечно, обеспечение информационной безопасности организации - это непрерывный процесс, требующий постоянного контроля. И естественно сформированная политика не является железным гарантом защиты. Помимо внедрения политики нужен постоянный контроль за ее качественным исполнением, а так же совершенствованием в случае каких-либо изменений в компании или прецедентов. Для организации рекомендовано было взять в штат так же сотрудника, деятельность которого будет напрямую связана с этими функциями (администратор защиты).

Список литературы

информационная безопасность финансовый вред

1. Белов Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2006. - 544с

Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное

пособие. - 2-ое издание. М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2009. - 264 с.

Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2006.- 264с

Долженко А.И. Управление информационными системами: Учебный курс. - Ростов-на-Дону: РГЭУ, 2008.-125 с

Калашников А. Формирование корпоративной политики внутренней информационной безопасности #"justify">. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации/ М.2009- 280с

Мэйволд Э., Безопасность сетей. Самоучитель // Эком, 2009.-528 с

Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И., Основы организационного обеспечения информационной безопасности объектов информатизации // Гелиос АРВ, 2008 г., 192 с

Методические рекомендации предназначены для обучающихся всех форм обучения специальности 10.02.01 (090905) и представляют собой совокупность требований к организации, выполнению и защите выпускных квалификационных работ (ВКР).

• федерального государственного образовательного стандарта базовой и углубленной подготовки по специальности 10.02.01 (090905) Организация и технология защиты информации,
• федерального закона от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»,
• порядка проведения государственной итоговой аттестации по образовательным программам среднего профессионального образования, утв. приказом Министерства образования и науки РФ от 16 августа 2013 г. № 968 (далее Порядок проведения ГИА),
• положения ГБПОУ «Технологический колледж №34» «О порядке проведения государственной итоговой аттестации по образовательным программам среднего профессионального образования»,
• системы менеджмента качества.

1. ОБЩИЕ ПОЛОЖЕНИЯ

Государственная итоговая аттестация выпускника ГБПОУ г. Москвы «Технологический колледж № 34» по специальности 10.02.01(090905)Организация и технология защиты информации включает в себя подготовку и защиту выпускной квалификационной работы.

Оценка качества подготовки выпускников осуществляется по двум основным направлениям:

• оценка уровня освоения учебных дисциплин, МДК и ПМ;
• оценка уровня овладения компетенциями.

Область профессиональной деятельности выпускников. Специалист по защите информации по специальности 10.02.01(090905) выполняет работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты. Участвует в обследовании объектов защиты, их аттестации и категорировании. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации. Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений: организация сбора и анализа материалов с целью выработки и принятия мер по обеспечению защиты данных и выявлению возможных каналов утечки информации, представляющих служебную, коммерческую, военную и государственные тайны.

Объектами профессиональной деятельности выпускников являются:

• участие в планировании и организации работ по обеспечению защиты объекта;
• организация работы с документацией, в том числе и конфиденциальной;
• применение программно-аппаратных и технических средств защиты информации;
• участие в реализации комплексной системы защиты объекта;
• участие в сборе и обработке материалов для выработки решений по обеспечению защиты информации и эффективному использованию средств обнаружения возможных каналов утечки конфиденциальной информации;
• участие в разработке программ и методик организации защиты информации на объекте;
• проведение контроля соблюдения персоналом требований режима защиты информации;
• участие в подготовке организационных и распорядительных документов, регламентирующих работу по защите информации;
• организация документооборота, в том числе электронного, с учетом конфиденциальности информации.

Выпускная квалификационная работа специалиста по защите информации имеет целью систематизировать и углубить знания, совершенствовать навыки и умения выпускника в решении сложных комплексных научно-технических задач с элементами научного исследования, а также проявить степень профессиональной подготовленности выпускника, ее соответствие данному образовательному стандарту. ВКР для квалификации «специалист по защите информации» выполняются в форме дипломной работы или дипломного проекта. Тематика ВКР для базовой формы обучения предполагает соответствие содержанию одного или нескольких профессиональных модулей.

Профессиональный цикл специальности 10.02.01(090905) Организация и технология защиты информации включает в себя 4 профессиональных модуля:

1. Участие в планировании и организации работ по обеспечению защиты объекта.
2. Организация и технология работы с конфиденциальными документами.
3. Применение программно-аппаратных и технических средств защиты информации.
4. Выполнение работ по одной или нескольким профессиям рабочих, должностям служащих.

Выпускная квалификационная работа должна отвечать ряду обязательных требований:

• демонстрировать уровень сформированности общих и профессиональных компетенций;
• иметь актуальность и практико-ориентированный характер;
• соответствовать разработанному заданию;
• включать анализ источников по теме с обобщениями и выводами, сопоставлениями и оценкой различных точек зрения;
• демонстрировать уровень готовности выпускника к одному/нескольким виду (видам) профессиональной деятельности;
• логичность изложения, убедительность представленного фактологического материала;
• аргументированность выводов и обобщений.

В выпускной квалификационной работе студент должен продемонстрировать освоение общих и профессиональных компетенций, включающих в себя способность:

ОК 1. Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности.

ОК 2. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество.

ОК 3. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность.

ОК 4. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития.

ОК 5.

ОК 6. Работать в коллективе и команде, эффективно общаться с коллегами, руководством, потребителями.

ОК 7. Брать на себя ответственность за работу членов команды (подчиненных), результат выполнения заданий.

ОК 8. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации.

ОК 9. Ориентироваться в условиях частой смены технологий в профессиональной деятельности.

ОК 10.

ОК 11. Применять математический аппарат для решения профессиональных задач.

ОК 12. Оценивать значимость документов, применяемых в профессиональной деятельности.

ОК 13. Ориентироваться в структуре федеральных органов исполнительной власти, обеспечивающих информационную безопасность.

ПМ 01 Участие в планировании и организации работ по обеспечению защиты объекта.

ПК 1.1. Участвовать в сборе и обработке материалов для выработки решений по обеспечению защиты информации и эффективному использованию средств обнаружения возможных каналов утечки конфиденциальной информации.

ПК 1.2. Участвовать в разработке программ и методик организации защиты информации на объекте.

ПК 1.3. Осуществлять планирование и организацию выполнения мероприятий по защите информации.

ПК 1.4. Участвовать во внедрении разработанных организационных решений на объектах профессиональной деятельности.

ПК 1.5. Вести учет, обработку, хранение, передачу, использование различных носителей конфиденциальной информации.

ПК 1.6. Обеспечивать технику безопасности при проведении организационно-технических мероприятий.

ПК 1.7. Участвовать в организации и проведении проверок объектов информатизации, подлежащих защите.

ПК 1.8. Проводить контроль соблюдения персоналом требований режима защиты информации.

ПК 1.9. Участвовать в оценке качества защиты объекта.

ПМ 02 Организация и технология работы с конфиденциальными документами.

ПК 2.1. Участвовать в подготовке организационных и распорядительных документов, регламентирующих работу по защите информации.

ПК 2.2. Участвовать в организации и обеспечивать технологию ведения делопроизводства с учетом конфиденциальности информации.

ПК 2.3. Организовывать документооборот, в том числе электронный, с учетом конфиденциальности информации.

ПК 2.4. Организовывать архивное хранение конфиденциальных документов.

ПК 2.5. Оформлять документацию по оперативному управлению средствами защиты информации и персоналом.

ПК 2.6. Вести учет работ и объектов, подлежащих защите.

ПК 2.7. Подготавливать отчетную документацию, связанную с эксплуатацией средств контроля и защиты информации.

ПК 2.8. Документировать ход и результаты служебного расследования.

ПК 2.9. Использовать нормативные правовые акты, нормативно-методические документы по защите информации.

ПМ 03 Применение программно-аппаратных и технических средств защиты информации.

ПК 3.1. Применять программно-аппаратные и технические средства защиты информации на защищаемых объектах.

ПК 3.2. Участвовать в эксплуатации систем и средств защиты информации защищаемых объектов.

ПК 3.3. Проводить регламентные работы и фиксировать отказы средств защиты.

ПК 3.4. Выявлять и анализировать возможные угрозы информационной безопасности объектов.

ПМ 04 Выполнение работ по одной или нескольким профессиям рабочих, должностям служащих.

21299 «Делопроизводитель»

ОК 1.
ОК 2.
ОК 3.
ОК 4.
ОК 5.	Использовать информационно-коммуникационные технологии в профессиональной деятельности.
ОК 6.
ОК 7.	Исполнять воинскую обязанность, в том числе с применением полученных профессиональных знаний (для юношей).
ПК 4.1	Принимать и регистрировать поступающую корреспонденцию, направлять ее в структурные подразделения организации.
ПК 4.2	Рассматривать документы и передавать их на исполнение с учетом резолюции руководителей организации.
ПК 4.3	Оформлять регистрационные карточки и создавать банк данных.
ПК 4.4	Вести картотеку учета прохождения документальных материалов.
ПК 4.5	Осуществлять контроль за прохождением документов.
ПК 4.6.	Отправлять исполненную документацию адресатам с применением современных видов организационной техники.
ПК 4.7.	Составлять и оформлять служебные документы, материалы с использованием формуляров документов конкретных видов.
ПК 4.8	Формировать дела.
ПК 4.9	Обеспечивать быстрый поиск документов по научно- справочному аппарату (картотекам) организации
ПК 4.10	Обеспечивать сохранность проходящей служебной документации.

16199 «Оператор электронно-вычислительных и вычислительных машин»

ОК 1.	Понимать сущность и социальную значимость своей будущей профессии, проявлять к ней устойчивый интерес.
ОК 2.	Организовывать собственную деятельность, исходя из цели и способов её достижения, определённых руководителем.
ОК 3.	Анализировать рабочую ситуацию, осуществлять текущий и итоговый контроль, оценку и коррекцию собственной деятельности, нести ответственность за результаты своей работы.
ОК 4.	Осуществлять поиск информации, необходимой для эффективного выполнения профессиональных задач.
ОК 5.	Использовать информационно-коммуникационные технологии в профессиональной деятельности.
ОК 6.	Работать в команде, эффективно общаться с коллегами, руководством, клиентами.
ОК 7.	Исполнять воинскую обязанность, в том числе с применением полученных профессиональных знаний (для юношей).
ПК 4.1	Подготавливать к работе и настраивать аппаратное обеспечение, периферийные устройства, операционную систему персонального компьютера и мультимедийное оборудование.
ПК 4.2	Выполнять ввод цифровой и аналоговой информации в персональный компьютер с различных носителей.
ПК 4.3	Конвертировать файлы с цифровой информацией в различные форматы.
ПК 4.4	Обрабатывать аудио и визуальный контент средствами звуковых, графических и видео-редакторов.
ПК 4.5	Создавать и воспроизводить видеоролики, презентации. слайд-шоу, медиафайлы и другую итоговую продукцию из исходных аудио, визуальных и мультимедийных компонентов средствами персонального компьютера и мультимедийного оборудования.
ПК 4.6	Формировать медиатеки для структурированного хранения и каталогизации цифровой информации.
ПК 4.7	Управлять размещением цифровой информации на дисках персонального компьютера, а также дисковых хранилищах локальной и глобальной компьютерной сети.
ПК 4.8	Тиражировать мультимедиа контент на различных съемных носителях информации.
ПК 4.9	Публиковать мультимедиа контент в сети Интернет.

1. ВЫПОЛНЕНИЕ ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

Выпускная квалификационная работа (ВКР) - заключительная работа учебно-исследовательского характера в ходе обучения в колледже. Подготовка выпускной квалификационной работы является завершающим этапом образования студента и одновременно проверкой его способности самостоятельно решать учебные задачи. Самостоятельная работа студента над выбранной темой начинается на преддипломной практике. При этом происходит дальнейшее углубление его теоретических знаний, их систематизация, развитие прикладных умений и практических навыков, повышение общей и профессиональной эрудиции.

ВКР (дипломная работа) имеет некоторые черты сходства с курсовой работой, например, работа с теоретическими источниками или их оформление. Однако ВКР (дипломная работа) - представляет собой теоретическое и (или) экспериментальное исследование одной из актуальных проблем информационной безопасности по специальности дипломника. Исследование может включать разработку различных методов, способов, программных и аппаратных средств, моделей, систем, методик и т.п., которые служат достижению целей дипломной работы. Результаты дипломной работы оформляются в виде текста пояснительной записки с приложением графиков, таблиц, чертежей, карт, схем и т.п.

При выполнении ВКР должна быть использована информация о последних отечественных и зарубежных достижениях науки и техники в области информационной безопасности. Периоду подготовки и защиты ВКР (дипломной работы) предшествует преддипломная практика. Сроки преддипломной практики, а также сроки подготовки и защиты ВКР определяются графиком организации учебного процесса, утверждаемым приказом по колледжу перед началом текущего учебного года. ВКР должна выполняться выпускником с использованием собранных им лично материалов в период прохождения преддипломной практики, а также во время написания курсовой работы.

Тематика выпускных квалификационных работ определяется при разработке Программы ГИА . При определении темы ВКР следует учитывать, что ее содержание может основываться:

• на обобщении результатов выполненной ранее обучающимися курсовой работы;
• на использовании результатов выполненных ранее практических заданий.

Закрепление тем выпускных квалификационных работ за студентами оформляется не позднее первого ноября последнего года обучения. Одновременно происходит распределение студентов по научным руководителям. Научный руководитель помогает студенту при разработке направлений исследования, определении круга теоретических вопросов для изучения, при разработке практической части исследования. К каждому руководителю может быть прикреплено не более 8 студентов.

1. СТРУКТУРА ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

Структура теоретической части квалификационной дипломной работы: введение, теоретический раздел, практический раздел, заключение, список используемой литературы, приложения.

Объем дипломного проекта 40-50 страниц печатного текста и включает:

1. Титульный лист (Приложение 1).
2. Содержание. Содержание ВКР создается автоматически в виде ссылок для удобства работы с большим объемом текстового материала. Использование электронного оглавления также демонстрирует освоение общей компетенции ОК 5 (Использовать информационно-коммуникационные технологии в профессиональной деятельности).
3. Введение. В нем необходимо обосновать актуальность и практическую значимость выбранной темы, сформулировать цель и задачи, объект и предмет ВКР, круг рассматриваемых проблем.

4. Основная часть ВКР включает разделы в соответствии с логической структурой изложения. Название раздела не должно дублировать название темы, а название параграфов – название разделов.

Основная часть ВКР должна содержать два раздела.

• Раздел I посвящается теоретическим аспектам изучаемого объекта и предмета. В нем содержится обзор используемых источников информации, нормативной базы по теме ВКР, а также могут найти место статистические данные в виде таблиц и графиков.

Раздел II посвящается анализу практического материала, полученного во время производственной (преддипломной) практики. В этом разделе содержится:

анализ конкретного материала по избранной теме;

• описание выявленных проблем и тенденций развития объекта и предмета изучения;
• описание способов решения выявленных проблем с использованием расчетов, анализа экспериментальных данных, продукта творческой деятельности.

В ходе анализа могут использоваться аналитические таблицы, расчеты, формулы, схемы, диаграммы и графики.

5. Заключение - должно содержать выводы и рекомендации о возможности использования или практического применения результатов исследования. Должно составлять не более 5 страниц текста.

6. Список литературы оформляется в соответствии с ГОСТ .

7. Приложения располагаются в конце работы и оформляются в соответствии с

Введение, каждая глава, заключение, а также список используемых источников начинаются с новой страницы.

Раздаточный материал. Выступление сопровождается демонстрацией материалов из приложений.

Для этого необходимо подготовить электронную презентацию. Но также может быть презентация и на бумажных носителях - раздаточные материалы для комиссии в отдельных папках или плакаты, вывешиваемые перед выступлением.

Во время выступления студента комиссия знакомится с дипломной работой, выданными студентом раздаточными материалами, видео презентацией.

Электронный вариант работы прилагается к ВКР на бумажном носителе. Диск должен быть помещен в конверт и подписан.

2.2. ЭТАПЫ ПОДГОТОВКИ ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

I этап: Включенность в деятельность - предполагает:

• выбор темы исследования;
• подбор, изучение, анализ и обобщение материалов по теме;
• разработку рабочего плана.

II этап: Определение уровня работы - предполагает теоретическую проработку литературы и постановку проблемы.

III этап: Построение логики исследования. Данные этого этапа отражаются во введении.

Введение можно сравнить с аннотацией к книге: в нем рассматриваются теоретические основы диплома, рассматриваются его структура, этапы и методы работы. Поэтому введение должно быть написано как можно более грамотно и кратко (2-3 страницы). Введение должно подготовить читателя к восприятию основного текста работы. Оно состоит из обязательных элементов, которые необходимо правильно сформулировать.

1. Актуальность исследования - объяснение того, почему Ваша тема важна, кем востребована. (Отвечает на вопрос: почему это следует изучать?) В данном пункте необходимо раскрыть суть исследуемой проблемы. Данный пункт введения логично начать с определения экономического явления, на которое направлена исследовательская деятельность. Здесь же можно перечислить источники информации, используемые для исследования. (Информационная база исследования может быть вынесена в первую главу). Однако нужно понимать, что есть некоторые объективные трудности, которые как раз и разрешаются написанием Вашего диплома. Эти трудности, то есть минусы, которые существуют извне, отражают проблему диплома.
2. Проблема исследования (отвечает на вопрос: что следует изучать?) Проблема исследования показывает осложнение, нерешенную задачу или факторы, мешающие её решению. Определяется 1 - 2 терминами. (Пример проблемы исследования : «...противоречие между потребностью организации в надежной защите информации и реальной организацией работ по обеспечению защиты информации в организации»).

3. Цель исследования - это то, что в итоге Вы должны получить, то есть конечный результат диплома. (Цель предполагает ответ на вопрос: какой результат будет получен?) Цель должна заключаться в решении исследуемой проблемы путем ее анализа и практической реализации. Цель всегда направлена на объект. Например:

• Разработать проект (рекомендации)...
• Выявить условия, взаимосвязь...
• Определить зависимость чего-либо от чего-либо...

4. Объект исследования (что будет исследоваться?). Предполагает работу с понятиями. В данном пункте дается определение экономическому явлению, на которое направлена исследовательская деятельность. Объектом может быть личность, среда, процесс, структура, хозяйственная деятельность предприятия (организации).

1. Предмет исследования (как, и через что будет идти поиск?) Здесь необходимо дать определение планируемым к исследованию конкретным свойствам объекта или способам изучения экономического явления. Предмет исследования направлен на практику и отражается через результаты прохождения практики.

6. Задачи исследования - это шаги для достижения поставленных целей (показывают, как идти к результату?), пути достижения цели. Они соотносятся с гипотезой. Определяются, исходя из целей работы. Формулировки задач необходимо делать как можно более тщательно, поскольку описание их решения должно составить содержание подразделов и пунктов работы. Как правило, формулируются 3-4 задачи.

Каждая задача должна начинаться глаголом неопределённой формы. Задачи описываются через систему последовательных действий, например:

• проанализировать...;
• изучить...;

• исследовать...;
• выявить...;
• определить...;
• разработать...

Как правило, в ВКР (дипломной работе) выделяют 5-7 задач.

Каждая задача должна быть отражена в одном из подразделов теоретической или практической части. Задачи должны отражаться в оглавлении. Если задача заявлена во введении, а в оглавлении и в тексте диплома она не видна, это серьезная ошибка.

Перечень необходимых задач:

1. «На основе теоретического анализа литературы разработать...» (ключевые понятия, основные концепции).
2. «Определить... » (выделить основные условия, факторы, причины, влияющие на объект исследования).
3. «Раскрыть... » (выделить основные условия, факторы, причины, влияющие на предмет исследования).
4. «Разработать... » (средства, условия, формы, программы).
5. «Апробировать (что разработали) и дать рекомендации...

8. Теоретическая и практическая значимость исследования:
«Результаты исследования позволят осуществить...; будут способствовать

разработке...; позволят совершенствовать... Наличие сформулированных направлений реализации полученных выводов и предложений придает работе большую практическую значимость. Не носит обязательного характера.

9. Методы исследования: дается краткое перечисление. Методология исследования - это те методы, которыми пользовался студент в процессе написания диплома. К методам исследовательской деятельности относят: теоретические методы (метод анализа, синтеза, сравнения) и эмпирические методы (наблюдение, метод опроса, эксперимент).

1. База исследования - это наименование предприятия, организации, на базе которой осуществлялось исследование. Чаще всего базой исследования является место преддипломной практики студента.

Заключительной фразой введения является описание структуры и количества страниц в ВКР: «Структура работы соответствует логике исследования и включает в себя введение, теоретическую часть, практическую часть, заключение, список литературы, приложения». Здесь допустимо дать более развернутую структуру ВКР и кратко изложить содержание разделов.

Таким образом, введение должно подготовить читателя к восприятию основного текста работы.

IV этап: работа по основной части ВКР.

Основная часть ВКР должна содержать разделы, подразделы и пункты, в которых излагаются теоретические и практические аспекты темы на основе анализа опубликованной литературы, рассматриваются дискуссионные вопросы, формулируется позиция, точка зрения автора; описываются проведенные студентом наблюдения и эксперименты, методика исследования, расчеты, анализ экспериментальных данных, полученные результаты. При делении текста на подразделы и пункты необходимо, чтобы каждый пункт содержал законченную информацию.

Теоретическая часть предполагает анализ объекта исследования и должна содержать ключевые понятия, историю вопроса, уровень разработанности проблемы в теории и практики. Для того чтобы грамотно написать теоретическую часть, необходимо проработать достаточно большое количество научных, научно-методических и других источников по теме диплома. Как правило - не меньше 10.

Раздел 1 должен быть посвящен описанию объекта исследования, Раздел 2- описанию предмета исследов составляют основную часть ВКР и должны быть логически связаны между собой.

В основной части ВКР должны присутствовать таблицы, схемы, графики с соответствующими ссылками и комментариями. Разделы должны иметь заголовки, отражающие их содержание. При этом заголовки разделов не должны повторять название работы. Рассмотрим подробнее содержание каждого из разделов ВКР.

Раздел 1 носит теоретический, просветительский характер и посвящен описанию основных теоретических положений, методов, способов, подходов и аппаратно-программных средств, используемых для решения поставленной задачи или задач, подобных поставленной. В этот раздел включается только то, что необходимо в качестве исходной теоретической основы для понимания сути проведенных исследований и разработок, описанных в последующих разделах. Излагаются теоретические вопросы: методы, способы, алгоритмы решения задачи, проводится анализ информационных потоков и т.п. В последнем из основных разделов обычно приводится описание результатов экспериментирования с предложенными (разработанными) методами, способами, аппаратно-программными средствами и системами, проводится сравнительный анализ полученных результатов. Обсуждению полученных в ВКР результатов и их иллюстрации следует уделить особое внимание. Излагая содержание публикаций других авторов, необходимо обязательно давать ссылки на них с указанием номеров страниц этих информационных источников. В первом разделе рекомендуется проанализировать современное состояние проблемы и выявить тенденции развития исследуемого процесса. Для этого используются действующие нормативные документы, данные официальной статистики, материалы аналитических обзоров и журнальных статей. Следствием анализа нормативных актов должны быть выводы об их влиянии на исследуемую проблему и рекомендации по их совершенствованию. При оформлении статистического материала в тексте работы в обязательном порядке делаются ссылки на источник данных.

В первом разделе целесообразно уделить внимание истории (этапам) развития исследуемого процесса и анализу зарубежного опыта его организации. Результатом анализа зарубежной практики должно быть сравнение исследуемого процесса с отечественной практикой и рекомендации по возможностям его применения в России.

В этом разделе также должен быть осуществлен сравнительный анализ существующих подходов и методов решения проблемы. Необходимо обосновать выбор метода решения исследуемой проблемы и подробно его изложить. Можно предложить и собственный метод.

В процессе проработки теоретических источников нужно выделять и отмечать тот текст, который значим для данного раздела диплома. Эти фрагменты текста можно помещать в дипломное исследование как цитату, как иллюстрацию к Вашему анализу, сопоставлению. В теоретической части ВКР нельзя целиком помещать разделы и главы из учебников, книг, статей.

В любой работе должны присутствовать теоретические, методические и практические аспекты исследуемой проблемы.

Раздел 2 должен носить сугубо прикладной характер. В нем необходимо количественно описать конкретный объект исследования, привести результаты практических расчетов и направления их использования, а также сформулировать направления совершенствования деятельности по организации и технологии защиты информации. Для написания второго раздела, как правило, используются материалы, собранные студентом в ходе производственной практики. Данный раздел ВКР содержит описание практических результатов проведенного исследования. В нем можно описать эксперимент и применяемые методики его проведения, полученные результаты, возможности использования результатов исследования в практической деятельности.

Примерная структура практической части ВКР

В названии практической части, как правило, формулируется проблема исследования на примере конкретной организации.

1. Цель проведения исследования - приводится в первом предложении.

Технико - экономическая характеристика предприятия, на базе которого проводится исследование (статус предприятия, морфологические особенности организации, организационно - управленческая структура, особенности технологического процесса и т д).

1. Методы исследования.
2. Ход исследования. После формулировки названия каждого метода приводится цель его использования и дается описание. Далее - раскрывается применение метода исследования в конкретной организации. Все материалы по применению методик исследования (бланки анкет, внутренних документов обеспечения защиты данных организации/предприятия) размещают в Приложениях. Проводится анализ полученных результатов, делается вывод. Для получения более точных результатов используют не один, а несколько методов исследования.
3. Общие выводы. По окончании исследования подводятся общие итоги (выводы) по всей теме. Используемая методика должна подтвердить или опровергнуть гипотезу исследования. В случае опровержения гипотезы, даются рекомендации по возможному совершенствованию деятельности по организации и технологии защиты данных организации/предприятия в свете исследуемой проблемы.
4. В Заключении должен быть представлен краткий перечень полученных в работе результатов. Основное назначение заключения - резюмировать содержание работы, подвести итоги проведенного исследования. В заключении излагаются полученные выводы, анализируется их соотношение с целью работы и конкретными задачами, поставленными и сформулированными во введении, оно лежит в основе доклада студента на защите и не должно составлять более 5 страниц текста.

3. ОБЩИЕ ПРАВИЛА ОФОРМЛЕНИЯ ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

3.1 ОФОРМЛЕНИЕ ТЕКСТОВОГО МАТЕРИАЛА

Текстовая часть работы должна быть исполнена в компьютерном варианте на бумаге формата А 4 на одной стороне листа. Шрифт - Times New Roman, размер шрифта – 14, начертание - обычный, полуторный интервал, выравнивание по ширине. Страницы должны иметь поля (рекомендуемые): нижнее - 2; верхнее - 2; левое - 2; правое - 1. Объем ВКР должен составлять 40-50 страниц. Рекомендуется следующий удельный вес основных перечисленных элементов в общем объеме выпускной квалификационной работы: введение – до 10 %; разделы основной части – 80 %; заключение – до 10 %.

Весь текст ВКР должен быть разбит на составные части. Разбивка текста производится делением его на разделы и подразделы. В содержании ВКР не должно быть совпадения формулировок названия одной из составных частей с названием самой работы, а также совпадения названий разделов и подразделов. Названия разделов и подразделов должны отражать их основное содержание и раскрывать тему ВКР.

Разделы, подразделы должны иметь заголовки. Пункты, как правило, заголовков не имеют. Заголовки разделов, подразделов и пунктов следует печатать с абзацного отступа 1,25см с прописной буквы без точки в конце, не подчеркивая, шрифт № 14 «Times New Roman». Если заголовок состоит из двух предложений, их разделяют точкой. Заголовки должны четко и кратко отражать содержание разделов, подразделов.

При делении ВКР на разделы согласно ГОСТ 2.105-95 обозначение производят порядковыми номерами - арабскими цифрами без точки. При необходимости подразделы могут делиться на пункты. Номер пункта должен состоять из номеров раздела, подраздела и пункта, разделённых точками. В конце номера раздела (подраздела), пункта (подпункта) точку не ставят. Каждый раздел нужно начинать с нового листа (страницы).

Если раздел или подраздел состоит из одного пункта, то нумеровать его не следует. Пункты при необходимости могут быть разбиты на подпункты, которые должны иметь порядковую нумерацию в пределах каждого пункта, например:

1 Типы и основные размеры

Внутри пунктов или подпунктов могут быть приведены перечисления. Перед каждым перечислением следует ставить дефис или строчную букву, после которой ставится скобка. Для дальнейшей детализации перечислений необходимо использовать арабские цифры, после которых ставится скобка.

Пример:

а)_____________

б)_____________

1) ________

2) ________

в) ____________

Нумерация страниц основного текста и приложений должна быть сквозной. Номер страницы проставляют в центре нижней части листа без точки. Титульный лист включают в общую нумерацию страниц ВКР. Номер страницы на титульном листе и содержании не проставляют.

В дипломной работе должны применяться научные и специальные термины, обозначения и определения, установленные соответствующими стандартами, а при их отсутствии - общепринятые в специальной и научной литературе. Если принята специфическая терминология, то перед списком литературы должен быть приведен перечень принятых терминов с соответствующими разъяснениями. Перечень включают в содержание работы.

3.2 ОФОРМЛЕНИЕ ИЛЛЮСТРАЦИЙ

Все иллюстрации, помещаемые в выпускную квалификационную работу, должны быть тщательно подобраны, ясно и четко выполнены. Рисунки и диаграммы должны иметь прямое отношение к тексту, без лишних изображений и данных, которые нигде не поясняются. Количество иллюстраций в ВКР должно быть достаточным для пояснения излагаемого текста.

Иллюстрации следует располагать непосредственно после текста, в котором они упоминаются впервые, или на следующей странице.

Размещаемые в тексте иллюстрации следует нумеровать арабскими цифрами, например:

Рисунок 1, Рисунок 2

Допускается нумеровать иллюстрации в пределах раздела (главы). В этом случае номер иллюстрации должен состоять из номера раздела (главы) и порядкового номера иллюстрации, разделенных точкой.

Иллюстрации, при необходимости, могут иметь наименование и пояснительные данные (подрисуночный текст).

Слово «Рисунок» и наименование помещают после пояснительных данных, по середине строки например:

Рисунок 1 – Маршрут документа

3. 3 ОБЩИЕ ПРАВИЛА ПРЕДСТАВЛЕНИЯ ФОРМУЛ

В формулах и уравнениях условные буквенные обозначения, изображения или знаки должны соответствовать обозначениям, принятым в действующих государственных стандартах. В тексте перед обозначением параметра дают его пояснение, например: Временное сопротивление разрыву.

При необходимости применения условных обозначений, изображений или знаков, не установленных действующими стандартами, их следует пояснять в тексте или в перечне обозначений.

Формулы и уравнения выделяют из текста в отдельную строку. Выше и ниже каждой формулы или уравнения должно быть оставлено не менее одной свободной строки.

Пояснение значений символов и числовых коэффициентов следует приводить непосредственно под формулой в той же последовательности, в которой они даны в формуле.

Формулы следует нумеровать порядковой нумерацией в пределах всей работы арабскими цифрами в круглых скобках в крайнем правом положении на уровне формулы.

Например:

В случае если организация производит модернизацию уже существующей системы, то при расчете эффективности учитывают текущие затраты на ее эксплуатацию:

Э р =(Р1-Р2)+ΔР п , (3.2)

где Р1 и Р2 - соответственно эксплуатационные расходы до и после внедрения разрабатываемой программы;

ΔР п - экономия от повышения производительности труда дополнительных пользователей.

Нумерацию формул и уравнений допускается производить в пределах каждого раздела двойными числами, разделенными точкой, обозначающими номер раздела и порядковый номер формулы или уравнения, например: (2.3), (3.12) и т. д.

Переносы части формул на другую строку допускаются на знаках равенства, умножения, сложения, вычитания и на знаках соотношения (>;), причем знак в начале следующей строки повторяют. Порядок изложения математических уравнений такой же, как и формул.

Числовые значения величин с обозначением единиц физических величин и единиц счета следует писать цифрами, а числа без обозначения единиц физических величин и единиц счета от единицы до девяти – словами, например: провести испытания пяти труб, каждая длиной 5 м.

Приводя наибольшие или наименьшие значения величин следует применять словосочетание «должно быть не более (не менее)».

3.4 ОФОРМЛЕНИЕ ТАБЛИЦ

Таблицы применяют для лучшей наглядности и удобства сравнения показателей. Название таблицы, при его наличии, должно отражать ее содержание, быть точным, кратким. Название таблицы следует помещать над таблицей слева, без абзацного отступа в одну строку с ее номером через тире.

При переносе части таблицы название помещают только над первой частью таблицы, нижнюю горизонтальную черту, ограничивающую таблицу, не проводят.

Таблицу следует располагать непосредственно после текста, в котором она упоминается впервые, или на следующей странице.

Таблицу с большим количеством строк допускается переносить на другой лист (страницу). При переносе части таблицы на другой лист слово «Таблица» и номер ее указывают один раз справа над первой частью таблицы, над другими частями пишут слово «Продолжение» и указывают номер таблицы, например: «Продолжение таблицы 1». При переносе таблицы на другой лист заголовок помещают только над ее первой частью.

Если цифровые или иные данные в какой-либо строке таблицы не приводят, то в ней ставят прочерк.

Пример оформления таблицы:

Таблицы в пределах всей пояснительной записки нумеруют арабскими цифрами сквозной нумерацией, перед которыми записывают слово «Таблица» . Допускается нумеровать таблицы в пределах раздела. В этом случае номер таблицы состоит из номера раздела и порядкового номера таблицы, разделенных точкой «Таблица 1.2».

Таблицы каждого приложения обозначают отдельной нумерацией арабскими цифрами с добавлением перед цифрой обозначения приложения.

Заголовки граф и строк таблицы следует писать с прописной буквы в единственном числе, а подзаголовки граф – со строчной буквы, если они составляют одно предложение с заголовком, или с прописной буквы, если они имеют самостоятельное значение. В конце заголовков и подзаголовков таблиц точки не ставят.

Допускается применять размер шрифта в таблице меньший, чем в тексте.

Заголовки граф, записывают параллельно или перпендикулярно строкам таблицы. В графах таблиц не допускается проводить диагональные линии с разноской заголовков вертикальных глав по обе стороны диагонали.

1. 5 ОФОРМЛЕНИЕ СПИСКА ЛИТЕРАТУРЫ

Список литературы составляется с учетом правил оформления библиографии (Приложение 5). Список используемой литературы должен содержать не менее 20 источников (не менее 10 книг и 10-15 материалов периодической печати), с которыми работал автор дипломной работы. Литература в списке располагается по разделам в следующей последовательности:

• Федеральные законы (в очередности от последнего года принятия к предыдущим);
• указы Президента Российской Федерации (в той же последовательности);
• постановления Правительства Российской Федерации (в той же очередности)
• иные нормативные правовые акты;
• иные официальные материалы (резолюции-рекомендации международных организаций и конференций, официальные доклады, официальные отчеты и др.)
• монографии, учебники, учебные пособия (в алфавитном порядке);
• иностранная литература;
• интернет-ресурсы.

Источники в каждом разделе размещаются в алфавитном порядке. Для всего списка литературы применяется сквозная нумерация.

При ссылке на литературу в тексте пояснительной записки следует записывать не название книги (статьи), а присвоенный ей в указателе «Список литературы» порядковый номер в квадратных скобках. Ссылки на литературу нумеруются по ходу появления их в тексте ВКР. Применяется сквозная нумерация или нумерация по разделам (главам).

Порядок подбора литературы по теме ВКР и оформление списка используемой литературы

В список используемой литературы включаются источники, изученные студентом в процессе подготовки дипломной работы, в том числе те, на которые он ссылается.

Написанию ВКР предшествует глубокое изучение литературных источников по теме работы. Для этого необходимо, прежде всего, обратиться в библиотеку колледжа. Здесь на помощь студенту приходит справочно-поисковый аппарат библиотеки, главную часть которого составляет каталоги и картотеки.

Каталог - это перечень документальных источников информации (книг), имеющихся в фондах библиотеки.

Если студенту точно известны названия нужных книг или хотя бы фамилии их авторов, необходимо воспользоваться алфавитным каталогом.

Если необходимо выяснить, какие книги по конкретному вопросу (теме) имеются в данной библиотеке, студенту необходимо обратиться и систематическому каталогу.

Систематический каталог раскрывает библиотечный фонд по содержанию. Для удобства пользования систематическим каталогом к нему имеется алфавитно-предметный указатель (АПУ). В перечисленных каталогах студент может найти только название книг, тогда как ему для написания ВКР необходим также материал, напечатанный в журналах, газетах и различного рода сборниках. Для этого в библиотеках организуются библиографические картотеки, где помещаются описание журнальных и газетных статей, материалов из сборников.

При написании ВКР для выяснения и уточнения различных вариантов, фактов, понятий, терминов студентом широко используется справочная литература. К справочной литературе относятся различные энциклопедии, словари, справочники, статистические сборники.

Оформление библиографических ссылок

При написании ВКР студенту часто приходится обращаться к цитированию работ различных авторов, использованию статистического материала. В этом случае необходимо оформлять ссылку на тот или иной источник.

Кроме соблюдения основных правил цитирования (нельзя вырывать фразы из текста, искажать его произвольными сокращениями, цитаты необходимо брать в кавычки и т.п.), следует также обратить внимание на точное указание источников цитат.

1. В подстрочных примечаниях ссылки (сноски) оформляются внизу страницы, на которой расположен цитируемый материал. Для этого в конце цитаты ставится цифра, которая обозначает порядковый номер цитаты на данной странице. Внизу страницы под чертой, отделяющей сноску (ссылку) от текста, этот номер повторяется, и за ним следует название книги, из которой взята цитата, с обязательным указанием номера цитируемой страницы. Например:

"Шипунов М.З. Основы управленческой деятельности. - М.: ИНФРА - М, 2012, стр. 39.

1. Внутритекстовые ссылки применяются в тех случаях, когда сведения об анализируемом источнике являются органической частью основного текста. Они удобны тем, что не отрывают внимания от текста. Описание в подобных ссылках начинается с инициалов и фамилии автора, в кавычках указывается название книги или статьи, выходные данные приводятся в скобках.
2. Затекстовые ссылки - это указания источников цитат с отсылкой к пронумерованному списку литературы, помещенному в конце дипломной работы. Ссылка на литературный источник производится в конце фразы путем проставления порядкового номера используемого документа в прямых скобках, с указанием страницы.

Например: «В настоящее время основным документом, регулирующим приватизацию государственного и муниципального имущества на территории Российской Федерации, является Закон «О приватизации государственного и муниципального имущества» от 21.12.2001 г. № 178-ФЗ (в ред. 31.12.2005 г., с изм. 05.01.2006 г.) .

В конце работы (на отдельной странице) следует привести алфавитный список фактически используемой литературы.

3.6 ОФОРМЛЕНИЕ ПРИЛОЖЕНИЙ

Приложения оформляются в случае необходимости. Приложения к работе могут состоять из дополнительных справочных материалов, имеющих вспомогательное значение, например: копий документов, выдержек из отчетных материалов, статистических данных, схем, таблиц, диаграмм, программ, положений и т.п.

В приложения также относят те материалы, которые могут конкретизировать практическую или теоретическую части диплома. Например, к приложению могут быть отнесены: тексты опросников, анкет и других методик, которые использовались в процессе исследования, примеры ответов респондентов, фотоматериалы, схемы и таблицы, не связанные с теоретическими выводами в дипломе.

В основном тексте на все приложения должны быть даны ссылки.

Например: Производные единицы системы СИ (Приложения 1, 2, 5).

Приложения располагают в последовательности ссылок на них в тексте. Каждое приложение должно начинаться с нового листа (страницы) с указанием в верхнем правом углу страницы слова Приложение и его обозначения арабскими цифрами, исключая цифру 0.

4. ЗАЩИТА ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

4.1 КОНТРОЛЬ ГОТОВНОСТИ ВКР

Каждому обучающемуся назначается рецензент выпускной квалификационной работы из числа внешних специалистов, хорошо владеющих вопросами, связанными с данной тематикой.

По утвержденным темам научные руководители выпускной квалификационной работы разрабатывают индивидуальные задания для обучающихся, которые рассматриваются ПЦК «Информационные технологии», подписываются научным руководителем и председателем ПЦК.

Задания на выпускные квалификационные работы утверждаются заместителем директора по учебной работе и выдаются обучающимся не позднее, чем за две недели до начала преддипломной практики.

По утвержденным темам научные руководители составляют индивидуальные графики консультаций, согласно которым контролируется процесс выполнения выпускных квалификационных работ.

Контроль степени готовности ВКР осуществляется по следующему графику:

Таблица 3

№ п/п	готовности		Срок	Примечание
	Уровень готовности ВКР, в %	Указывается, какая составная часть ВКР, какой ее структурный элемент должны быть готовы к данному моменту.	Срок контроля	Указывается форма контроля
			Срок контроля

По завершении подготовки ВКР руководитель проверяет качество работы, подписывает ее и вместе с заданием и своим письменным отзывом передает заместителю руководителя по направлению деятельности.

С целью определения степени готовности выпускной квалификационной работы и выявления имеющихся недостатков преподавателями специальных дисциплин в последнюю неделю подготовки к ГИА проводится предварительная защита. Результаты предварительной защиты протоколируются.

4.2 ТРЕБОВАНИЯ К ЗАЩИТЕ ВКР

Защита выпускной квалификационной работы осуществляется на открытом заседании Государственной аттестационной комиссии по специальности, которая создается на основании Положения об итоговой государственной аттестации выпускников образовательных учреждений среднего профессионального образования в Российской Федерации (Постановление Госкомвуза России от 27.12.95 г. № 10).

На защите к ВКР предъявляются следующие требования:

• глубокая теоретическая проработка исследуемых проблем на основе анализа литературы;
• умелая систематизация цифровых данных в виде таблиц и графиков с не обходимым анализом, обобщением и выявлением тенденций развития;
• критический подход к изучаемым фактическим материалам с целью поиска направлений совершенствования деятельности;
• аргументированность выводов, обоснованность предложений и рекомендаций;

• логически последовательное и самостоятельное изложение материала;
• оформление материала в соответствии с установленными требованиями;

• обязательное наличие отзыва руководителя на дипломную работу и рецензии практического работника, представляющего стороннюю организацию.

При составлении тезисов необходимо учитывать ориентировочное время доклада на защите, которое составляет 8-10 минут. Доклад целесообразно строить не путем изложения содержания работы по главам, а по задачам , - раскрывая логику получения значимых результатов . В докладе должно присутствовать обращение к иллюстративному материалу, который будет использоваться в ходе защиты работы. Объем доклада должен составлять 7-8 страниц текста в формате Word, размер шрифта 14, полуторный интервал.

Таблица 4

	Структура доклада	Объем	Время
	Представление темы работы.	До 1,5 страниц	До 2 минут
	Актуальность темы.
	Цель работы.
	Постановка задачи, результаты ее решения и сделанные выводы (по каждой из задач, которые были поставлены для достижения цели дипломной работы).	До 6 страниц	До 7 минут
	Перспективы и направления дальнейшего исследования данной темы.	До 0,5 страницы	До 1 минуты

Для выступления на защите обучающимся самостоятельно должны быть подготовлены и согласованы с руководителем тезисы доклада и иллюстративный материал.

Иллюстрации должны отражать основные результаты, достигнутые в работе, и быть согласованными с тезисами доклада.

Формы представления иллюстративного материала:

1. Печатный материал каждому члену ГЭК (на усмотрение научного руководителя ВКР). Печатный материал для членов ГАК может включать:

• эмпирические данные;
• выдержки из нормативных документов, на основании которых проводились исследования;

• выдержки из пожеланий работодателей, сформулированные в договорах;

• другие данные, не вошедшие в слайд-презентацию, но подтверждающие правильность расчетов.

1. Слайд - презентации (для демонстрации на проекторе) .

Сопровождение представления результатов работы презентационными материалами является обязательным условием защиты ВКР.

На выполненную обучающимся выпускную квалификационную работу научный руководитель пишет отзыв.

Защита выпускных квалификационных работ проводится на открытом заседании Государственной аттестационной комиссии в специально отведенной аудитории, оснащенной необходимой техникой для демонстрации презентаций. На защиту квалификационной работы отводится до 20 минут. Процедура защиты включает доклад обучающегося (не более 10 минут), чтение отзыва и рецензии, вопросы членов комиссии, ответы обучающегося. Может быть заслушано выступление руководителя выпускной квалификационной работы, а также рецензента, если они присутствуют на заседании ГЭК.

Решения ГЭК принимаются на закрытых заседаниях простым большинством голосов членов комиссии, участвующих в заседании. При равном числе голосов голос председателя является решающим. Результаты объявляются обучающимся в день защиты ВКР.

4.3 КРИТЕРИИ ОЦЕНКИ ВКР

Защита выпускной квалификационной работы заканчивается выставлением оценок.

Оценка «Отлично» за ВКР выставляется, если дипломная работа носит исследовательский характер, имеет грамотно изложенную теоретическую главу, глубокий теоретический анализ, критический обзор практики, логичное, последовательное изложение материала с соответствующими выводами и обоснованными предложениями; имеет положительные отзывы научного руководителя и рецензента.

При защите ВКР на «отлично» обучающийся - выпускник показывает глубокое знание вопросов темы, свободно оперирует данными исследования, вносит обоснованные предложения, а во время доклада использует наглядные пособия (презентацию Power Point, таблицы, схемы, графики и т. п.) или раздаточный материал, легко отвечает на поставленные вопросы.

Оценка «Хорошо» за ВКР выставляется, если дипломная работа носит исследовательский характер, имеет грамотно изложенную теоретическую главу, в ней представлены достаточно подробный анализ и критический разбор практической деятельности, последовательное изложение материала с соответствующими выводами, но предложения студента не достаточно обоснованы. ВКР имеет положительный отзыв научного руководителя и рецензента. При ее защите обучающийся - выпускник показывает знание вопросов темы, оперирует данными исследования, вносит предложения по теме исследования, во время доклада использует наглядные пособия (презентацию Power Point, таблицы, схемы, графики и т. п.) или раздаточный материал, без особых затруднений отвечает на поставленные вопросы.

Оценка «Удовлетворительно» за ВКР выставляется, если дипломная работа носит исследовательский характер, имеет теоретическую главу, базируется на практическом материале, но имеет поверхностный анализ и недостаточно критический разбор, в ней обнаружена непоследовательность изложения материала, представлены необоснованные предложения. В отзывах рецензентов имеются замечания по содержанию работы и методике анализа. При защите такой ВКР обучающийся - выпускник проявляет неуверенность, показывает слабое знание вопросов темы, не всегда дает исчерпывающие аргументированные ответы на заданные вопросы.

Оценка «Неудовлетворительно» за ВКР выставляется, если дипломная работа не носит исследовательского характера, не имеет анализа, не отвечает требованиям, изложенным в данных методических указаниях. В работе нет выводов, либо они носят декларативный характер. В отзывах научного руководителя и рецензента имеются критические замечания. При защите ВКР обучающийся - выпускник затрудняется отвечать на поставленные вопросы по ее теме, не знает теории вопроса, при ответе допускает существенные ошибки. К защите не подготовлены наглядные пособия и раздаточный материал.

Таким образом, при определении окончательной оценки за ВКР членами ГЭК учитываются:

• качество доклада выпускника;
• представленный им иллюстративный материал;
• мобильность выпускника и его грамотность при ответах на вопросы;
• оценка ВКР рецензентом;
• отзыв руководителя ВКР.

ПРИЛОЖЕНИЕ 1

(Пример оформления титульного листа)

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ ГОРОДА МОСКВЫ

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

«ТЕХНОЛОГИЧЕСКИЙ КОЛЛЕДЖ №34»

ДИПЛОМНАЯ РАБОТА

Тема:

Студент группы / /

Специальность

Руководитель / /

Допустить к защите:

Заместитель директора по УПР / _ /

Оценка Дата

Председатель Государственной

аттестационной комиссии / /

Москва 2016 г.

ПРИЛОЖЕНИЕ 2

Согласовано

Председатель ПЦК «Информационные технологии»

Дзюба Т.С.

Задание

на выполнение дипломной работы

студента (ки)__________________________________________________________________

(ФИО полностью)

Тема дипломной работы _________________________________________________________

_______________________________________________________________________________

Срок предоставления дипломной работы к защите (дата)______________________________

1. Введение

Актуальность выбранной темы;

Цель, задачи написания дипломной работы;

Название предприятия, организации, источники написания работы.

2. - Раздел I (теоретическая часть)

Раздел II (практическая часть)

(срок предоставления на проверку) __________________________________________

Заключение ______________________________________________________________

Руководитель ___________________ __________ «___» _______ 20__г.

ФИО Подпись

Студент ____________________ __________ «____» ________20___г.

ФИО Подпись

ПРИЛОЖЕНИЕ 3

(бланк отзыва руководителя дипломной работы)

ГБПОУ «Технологический колледж №34»

Отзыв

На дипломную работу обучающегося (ФИО)

1. Актуальность темы.

2. Научная новизна и практическая значимость.

3. Характеристика деловых качеств обучающегося.

4. Положительные стороны работы.

5. Недостатки, замечания.

Руководитель _______________________________________

«_____» __________ 2016г.

ПРИЛОЖЕНИЕ 4

(бланк рецензии)

Рецензия

На дипломную работу обучающегося (ФИО) ____________________________

Выполненную на тему _________________________________________________

1. Актуальность, новизна
2. Оценка содержания работы

1. Отличительные, положительные стороны работы
2. Практическое значение работы
3. Недостатки, замечания

1. Рекомендуемая оценка выполненной работы ____________________________

_________________________________________________________________________

Рецензент (ФИО, ученое звание, должность, место работы)

ПРИЛОЖЕНИЕ 5

(Пример оформления списка использованной литературы)

Список использованной литературы

Нормативные материалы

1. "Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ)
2. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013)

Научные, технические и учебно-методические издания

1. Автоматизированные рабочие места и компьютерные системы в деятельности внутренних дел. М., 2010.
2. Андреев Б. В., Бушуев Г. И. Моделирование при решении уголовно-правовых и криминологических задач. М., 2012.
3. Делопроизводство в учреждениях образования (с использованием информационных технологий) : учеб. пособие для вузов рек. МО Респ. Беларусь / Э.М. Кравченя, Т.А. Цесарская. - Минск: ТетраСистемс, 2013
4. Информационная безопасность и защита информации: учеб. пособие / Степанов Е.А., Корнеев И.К. - М.: ИНФРА-М, 2011. -
5. Информационные системы в экономике: учеб. для вузов, обуч. по спец. экономики и управления (060000) рек. МО РФ / Г.А. Титоренко, Б.Е. Одинцов, В.В. Брага и др. ; под ред. Г.А. Титоренко. - 2-е изд., перераб. и доп. - М. : ЮНИТИ, 2011. - 463 с.
6. Информационные системы и их безопасность: учеб. пособие д / Васильков А.В. Васильков А.А., Васильков И.А.. – М: ФОРУМ, 2010.
7. Информационные технологии управления: учеб. пособие для вузов рек. МО РФ / Г.А. Титоренко, И.А. Коноплева, Г.Л. Макарова и др. ; под ред. Г.А. Титоренко. - 2-е изд., доп. - М.: ЮНИТИ, 2009.
8. Корпоративный документооборот. Принципы, технологии, методологии внедрения. Майкл Дж. Д. Саттон. Издательство Азбука, Санкт-Петербург, 2012
9. Острейковский В.А. Информатика: Учеб. Для вузов. – М.: Высш. шк., 2008.
10. Электронные документы в корпоративных сетях Клименко С. В., Крохин И. В., Кущ В. М., Лагутин Ю. Л. М.: Радио и Связь, ИТЦ Эко-Трендз, 2011

Ресурсы сети Интернет

http://www.security.ru/ - Средства криптографической защиты информации: сайт Московского отделения ПНИЭИ;

www.fstec.ru – официальный сайт ФСТЭК России

ПРИЛОЖЕНИЕ 6

Примерная структура доклада на защите дипломной работы

Требования, предъявляемые к докладу на защите дипломной работы

1. Актуальность проблемы.
2. Цель, объект, предмет исследования.
3. Задачи исследования (3 основные).
4. Алгоритм исследования (последовательность проведения исследования).
5. Краткая экономическая характеристика предприятия (организации, учреждения и т.д).
6. Краткие результаты анализа исследуемой проблемы.
7. Недостатки, выявленные в ходе анализа.
8. Направления (пути) решения выявленных недостатков исследуемой проблемы.
9. Экономическая оценка, эффективность, практическая значимость предлагаемых мероприятий.

ПРИЛОЖЕНИЕ 6

(Бланк календарного плана написания дипломной работы)

Утверждаю

Руководитель дипломной работы

«_____» _____________20 __г.

ПЛАН-ГРАФИК

написания дипломной работы на тему __________________________________________

Составление содержания дипломной работы и согласование его с руководителем.

руководитель

Введение с обоснованием актуальности выбранной темы, цели и задачи работы.

руководитель

Выполнение теоретического раздела и предоставление на проверку.

Консультант

Выполнение практического раздела и предоставление на проверку.

Консультант

Согласование с руководителем выводов и предложений

руководитель

Оформление дипломной работы

руководитель

Получение отзыва руководителя

руководитель

Получение рецензии

рецензент

10.

Предзащита дипломной работы

Руководитель, консультант

11.

Защита дипломной работы

руководитель

Обучающийся-(дипломник) _________________________________________________

(подпись, дата, расшифровка подписи)

Руководитель диплома___________________________________________________________

ПРИЛОЖЕНИЕ 8

(Пример оформления содержания дипломной работы)

Содержание

Введение …………………………………………………………………………………..3

1. Технико-экономическая характеристика предметной области и предприятия…...5

1. Общая характеристика предметной области …………………………………...5
2. Организационно-функциональная структура предприятия……………………6
3. Анализ рисков информационной безопасности………………………………...8

2. Обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии………..25

1. Выбор комплекса задач обеспечения информационной безопасности………29
2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации………………………………………………………………………35
3. Выбор защитных мер…………………………………………………………….39

3. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия…………………………………………………..43

1. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия…….…48
2. Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия……………………………51
3. Пример реализации проекта и его описание…………………………………...54
4. Расчёт показателей экономической эффективности проекта…………………57

4. Заключение…………………………………………………………………………...62
5. Список использованной литературы………………………………………………..65