Елдіктің мерейтойы — еңселі рухымызды көрсетеді.

^{(Ф.И.О. студента)}

в должности специалиста отдела телекоммуникации и информационной безопасности

 

В период с «29» июня 2015 г. по «12» июля 2015 г.

 

Краткое содержание заключения

Организация работы в рамках производственной практики была связана с представленной руководителем практики от университета программой и согласована с методистом от организации непосредственно в отделе. Непосредственная работа проходила в должности сотрудника отдела телекоммуникации и информационной безопасности. В ходе работы возникла необходимость в актуализации и систематизации имеющихся теоретических знаний по нормативно-правовому регулированию деятельности специалиста отдела, бизнес-процессов проходящих в организации, вопросов информационного сопровождения, документооборота в деятельности организации. В рамках практики мною были выполнены следующие виды деятельности: аналитическая (ознакомление со структурой организации, с информационными процессами); систематизация (рассмотрение процессов документооборота и вопросов защиты информации); обобщение (комплексная оценка имеющихся информационных угроз); проектная (внесение предложений по совершенствованию системы защиты информации в университете).

Работа была выстроена согласно перечню индивидуальных заданий на производственную практику и предложенных мероприятий. Все представленные мероприятия были осуществлены в ходе практики. В качестве результатов деятельности представлены материалы аналитического отчета о проделанной работе по каждому направлению отдельно.

В ходе практики мною были отработаны умения владения: навыками работы с документами, нормативно-правовой базой, должностными инструкциями специалиста отдела, системой контроля над информацией в локальной сети университета, защитой информации от возможных угроз и др.

Сложность при прохождении практики связана с рассмотрением вопроса сбора технической документации в рамках защиты текущей информации и работе с персональными данными сотрудников и студентов.

В целом данная практика имеет важные значения, при закреплении и обобщении теоретических и практических знаний полученных в университете, дает полное представление о будущей профессиональной деятельности и возможности сбора информации для представления материалов в ходе эмпирической части научно-исследовательских работ. Я получил опыт профессионального взаимодействия при решении поставленных начальником отдела задач. Цели и задачи, поставленные мной в начале практики, были реализованы в полном объеме.

 

Студент-практикант

___________________ / ___________________

^{(подпись, фамилия, инициалы)}

Приложение 1

Ознакомление со структурой и областью деятельности предприятия (подразделения)

Университет осуществляет свою деятельность на основании Устава федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Костромской государственный университет имени Н.А. Некрасова» утвержденный Приказом Министерства образования и науки Российской Федерации от 29.04.2011 №1562. Вуз имеет Лицензию на право ведения образовательной деятельности от 20.12.2011 №2343 и Свидетельство о Государственной аккредитации №0983 от 30.04.2014 года.

Данные документы дают возможность осуществлять образовательную деятельность по уровням профессионального образования: специалитет, бакалавриат, магистратура и в рамках ДПО.

Одним из структурных подразделений университета является Управление информатизации осуществляющее свою деятельность на основании Положения. Управление информации создано в целях поддержания и развития единой телекоммуникационной и информационной среды ВУЗа; широкого привлечения профессорско-преподавательского состава, докторантов, аспирантов, инженерно-технических работников и студентов университета к разработке и внедрению новых информационных технологий в учебный процесс университета; решение задач по развитию и обеспечению работоспособности единой телекоммуникационной среды, программных и технических средств ВУЗа; развития информационных систем телекоммуникационных технологий, а также их широкого применения для обеспечения учебного процесса; решения важных научно-технических задач для развития отраслей народного хозяйства; развития отраслевых и межотраслевых (региональных, межрегиональных, международных) связей информационного характера, а также для обеспечения информационной безопасности образовательной среды ВУЗа.

В положении одной из целей деятельности Управления информации выступает: создание, формирование и развитие единой защищенной информационной среды университета, и включение ее в региональную, Российскую и мировую информационные системы.

В рамках организационной структуры и кадрового обеспечения Управления включены отделы: телекоммуникаций и информационной безопасности; программного и технического обеспечения, дистанционного обучения.

Отдел телекоммуникаций и информационной безопасности работает (ТИБ) на основании Положения принятого на заседании Ученого совета КГУ им. Н.А. Некрасова от 18 июня 2009 года протокол №6.

Основными целями деятельности отдела ТИБ являются:

1. Обеспечение необходимых телекоммуникационных, информационных, образовательных, организационных, научно-технических и других условий для наиболее полного внедрения, использования и развития информационных технологий и электронных средств коммуникаций в учебном процессе, научных исследованиях и работе административных органов ВУЗа;

2. Создание, поддержание и развитие единой защищенной телекоммуникационной и информационной системы ВУЗа, и включение ее в региональную, российскую и мировую информационные системы.

3. Широкое привлечение профессорско-преподавательского состава, докторантов, аспирантов, инженерно-технических работников и студентов университета к разработке и внедрению новых информационных технологий в учебный процесс ВУЗа;

4. Решение задач по развитию и обеспечению работоспособности единой телекоммуникационной среды ВУЗа;

5. Решение важных научно-технических задач для развития отраслей народного хозяйства; развития отраслевых и межотраслевых (региональных, межрегиональных, международных) связей информационного характера, а также для обеспечения информационной безопасности образовательной среды ВУЗа.

Организация работы отдела

1. Организационная структура и кадровое обеспечение отдела ТИБ определяется, исходя из задач и направлений деятельности управления. Внесение изменений в структуру отдела осуществляется приказом ректора.

2. Должностные обязанности работников отдела ТИБ определяются должностной инструкцией, с которой каждый работник должен быть ознакомлен под роспись.

3. Общее руководство деятельностью отдела ТИБ осуществляет начальник Управления информатизации.

4. Организация и планирование работ отдела ТИБ осуществляется в соответствии с задачами Управления по информатизации.

5. Отдел ТИБ запрашивает, получает, обрабатывает, анализирует необходимую информацию от субъектов взаимодействия согласно формам и срокам предоставления информации, которые регламентирует начальник управления информатизации и проректор по информатизации и инновационному развитию.

6. Контроль и оценка деятельности отдела осуществляется начальником управления, проректором по информатизации и инновационному развитию, а также соответствующими службами ВУЗа.

7. Размер и форма оплаты труда, материального стимулирования и материальной помощи работникам отдела устанавливаются университетом в соответствии с действующим Положением об оплате труда в ВУЗе.

Отдел ТИБ возглавляет начальник, который назначается на должность и освобождается от должности ректором КГУ по представлению начальника управления информатизации. Начальник отдела ТИБ непосредственно подчиняется начальнику управления информатизации КГУ и несет персональную ответственность за деятельность отдела.

 

Приложение 2

Изучение бизнес-процессов, информационных процессов предприятия (подразделения)

Бизнес-процесс – это один, несколько или множество вложенных процессов (внутренних шагов деятельности), которые заканчивается созданием продукта, необходимого клиенту. Выходом или результатом выполнения бизнес-процесса всегда являются информация, услуги или товары, востребованные клиентом. При этом бизнес-процесс может иметь несколько выходов. Также предполагается что процесс – это комплекс действий, а не одно действие. В свою очередь все действия, включаемые в процесс, не случайны и не произвольны, а взаимосвязаны и организованы и только в совокупности могут дать требуемый эффект. С точки зрения осуществления деятельности компании бизнес-процесс (макропроцесс) – это связанный комплекс работ, реализуемый по заданным требованиям и обеспечивающий достижение нужного конечного результата (планирование, проектирование, снабжение, производство, торговля). В рамках места практики бизнес-процесс в университете это комплекс различных процессов (внутренних шагов деятельности), которые заканчивается оказанием образовательных услуг в рамках существующих полномочий.

Информационный процесс - процесс получения, создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации. В результате исполнения информационных процессов осуществляются информационные права и свободы, выполняются обязанности соответствующими структурами производить и вводить в обращение информацию, затрагивающую права и интересы граждан, а также решаются вопросы защиты личности, общества, государства от ложной информации и дезинформации, защиты информации и информационных ресурсов ограниченного доступа от несанкционированного доступа.

Основой организации бизнес-процессов и информационных процессов является действующая система управления системы образования. Источником выступает выстроенная в Вузе система документооборота. Основанием для оказания образовательной услуги в университете является полученная лицензия, на право ведения образовательной деятельности. Работа реализуется в рамках существующих норм права в частности ФЗ «Об образовании РФ». Данные нормы права регламентируют систему социального взаимодействия. На основании официальных запросов, как от университета в адрес организации мы можем получить необходимую информацию, так и в университет поступают запросы связанные организацией учебного процесса, информацией о студентах вуза, о работниках и др. Основанием для предоставления информации выступают российские правовые акты, официальный ответ на запрос дает администрация вуза. В работе университет использует систему социального партнерства, направленную на решение конкретных задач. Например, при трудоустройстве выпускников в качестве партнеров выступаю ведомственные департаменты, предприятия и организации региона. Вуз имеет базу данных о выпускниках (сбор и систематизация информации) и о работодателях заинтересованных в предоставлении им работы (информация по запросу вуза в профильные департаменты и запрос самих работодателей в вуз).

В университете действует система информационных процессов направленная, на организацию работы в рамках вуза в целом, так и в рамках отдельных структурных подразделений. Деятельность вуза основывается на уставе, ректор издает приказы и распоряжения по конкретным вопросам. В рамках структурных подразделений действует система официальных поручений.

Система документооборота в университете имеет два вида документооборота: внешняя и внутренняя. Внешние потоки связаны с информационными процессами, направленными в вуз из внешней среды (направлены в электронном виде, курьером, через факс, почтой России). Вся внешняя информация поступает в канцелярию, которая сортирует ее и направляет в соответствующие отделы или ректору. Ректор может переправить письмо, запрос, информацию ответственному лицу. После выполнения поручения информация вновь поступает к ректору. Он направляет информацию в канцелярию, которая отправляет ответ адресату.

Внутренние связаны с обменом информации внутри университета (приказ ректора через канцелярию поступает в структурное подразделение, далее адресату). Приказ издается в бумажном виде и рассылается по отделам: планово-экономический, бухгалтерия, канцелярия и др. Весь внутренний документооборот в университете проходит через ректора и в ряде направлений через уполномоченных решать конкретные вопросы (проректоры, начальники управлений, отделов, директора институтов).

При решении конкретных задач стоящих перед вузом в целом или отделом можно использовать различные системы обмена и получения, хранения информации необходимой как для работы университета, так и для информирования внешних партнеров.

Одним из структурных подразделений университета является Центр содействия занятости и адаптации к рынку труда студентов и выпускников. Одной из ключевых задач Центра является мониторинг трудоустройства выпускников университета. Для решения этой задачи Центр взаимодействует с Департаментом по труду и занятости Костромской области. Центр готовит официальный запрос, который через канцелярию университета поступает на подпись ректору, далее так же через канцелярию направляется почтой или курьером в Департамент. Департамент, рассматривая письмо, готовит данные о количестве выпускников зарегистрированных в службе занятости на определенный период. Информация поступает в канцелярию университета (электронным письмом, факсом, почтой), далее по системе внутренней рассылки направляется в отдел. Также Департамент может подать запрос о количестве выпускников, о намерениях трудоустройства. Активно происходит взаимодействие с Департаментом образования и науки КО. Департамент направляет запрос о вопросах трудоустройства выпускников по сферам экономики, как в регионе, так и за его пределами. Официальный запрос письмом поступает в канцелярию, далее ректор направляет его в Центр содействия занятости и уже Центр готовит всю необходимую информацию по указанному запросу. Данные согласуются с ректором и только потом отправляются в Департамент через канцелярию (письмом, факсом или электронной почтой).

Связующим звеном системы как внешних, так и внутренних связей выступает канцелярия университета. В рамках внутренней системы документооборота можно рассмотреть пример принятия сотрудника на работу. Все кадровые вопросы согласуются лично с ректором. В системе задействованы руководители нескольких отделов: кадров, планово-экономического, юридического, бухгалтерии.

Система внутреннего взаимодействия может быть связана с необходимостью информировать различные структурные подразделения о проведении мероприятия. Например, в рамках работы Центра используется такая форма работы как собрания для выпускников всех направлений подготовки. Для проведения мероприятия руководитель Центра готовит форму приказа, которая через канцелярию поступает на подпись ректору. Приказ, подписанный ректором через канцелярию (рассылка) направляется на все факультеты / институты. На основании приказа готовится и проводится организационное собрание с выпускниками. На собрании происходит информирование студентов о ситуации на рынке труда, условиях трудоустройства молодых специалистов, вопросы программного обеспечения молодежи при создании собственного дела и др. Специалисты Центра ведут мониторинг участия студентов в мероприятиях в программе «Молодого карьериста». Активное участие в программных мероприятиях способствует повышению конкурентоспособности выпускников на рынке труда.

 

Приложение 3

Сбор внутренней нормативной и технической документации предприятия в области обеспечения информационной безопасности и защиты информации. Перечень средств защиты и возможных информационных угроз.

В университете разработана модель угроз информационной безопасности. Система нормативного регулирования связана с реализаций ряда документов: Федерального закона «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27 июля 2006 года; Федеральный закон «О персональных данных» №152-ФЗ от 27 июля 2006 года; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

В качестве реализации криптозащиты в университете используется продукт компании «Инфотекс» - «Випнет кастом» - конструктор защищенных систем, предполагающий решение всего спектра задач по организации VPN, PKI.

В состав ViPNet CUSTOM КГУ им. Н.А. Некрасова входит три компонента, позволяющие реализовать защиту информации:

1. ViPNet Administrator

2. ViPNet Coordinator (Windows)

3. ViPNet Client

 

 

 

Приложение 4

Потенциальные угрозы, причины их возникновения и методы защиты от угроз.

Описание возможных нарушителей

Нарушители делятся на две группы:

· Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование, оснащенное системой криптозащиты.

· Внешние нарушители – физические лица, не имеющие право пребывания на территории контролируемой зоны,, в пределах которой размещается оборудование, оснащенное системой криптозащиты.

К внешним нарушителям могут относиться:

· физические лица

· конкуренты

К внутренним нарушителям могут относиться:

· администраторы (категория 1)

· технический персонал (категория 2)

· пользователи (категория 3)

· сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаться средства криптозащиты, но не имеющие права доступа к активам (категория 4)

· обслуживающий персонал (категория 5)

На лиц категории 1 и 2 возложены задачи по администрированию и техническому сопровождению средств криптозащиты. Администраторы и технический персонал потенциально могут реализовать атаки, используя возможности по непосредственному доступу к защищенному объекту, а также к техническим средствам системы криптозащиты.

К лицам категории 1 и 2 ввиду их исключительной роли должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категории 1 и 2 будут включаться только проверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категории 3 и 4 относятся к вероятным внутренним нарушителям.

 

 

Модель угроз

Угрозы информационной системе персональных данных (ИСПДн) Абитуриент подразделяются на:

1. Угрозы НСД на автоматизированном рабочем месте

А) Угрозы реализуемые в ходе загрузки ОС:

- отсутствие аутентификации пользователей компьютеров до загрузки ОС;

- разглашение паролей BIOS или дополнительных аппаратных средств аутентификации;

- подбор паролей BIOS или дополнительных аппаратных средств аутентификации;

- внедрение аппаратного «клавиатурного шпиона».

Б) Угрозы реализуемые после загрузки ОС

- разглашение пользовательских имен и паролей;

- неумышленное копирование печать доступной конфиденциальной информации системы криптозащиты (ключ);

- оставление без присмотра незаблокированных рабочих станций;

- вмешательство в работу средств защиты;

- установка программного «клавиатурного шпиона»;

- удаление или искажение регистрационных данных СЗИ и другое.

2. Угрозы получения НСД путем подмены доверенного объекта

- применение методов социальной инженерии

3. Угрозы внедрения по сети вредоносных программ

- установка вредоносной программы для перехвата паролей

4. Угрозы, реализуемые при обслуживании технических и программных средств ИСПДн и средств защиты

- осуществление не авторизованных действий в серверном помещении

-ошибки при обслуживании серверного оборудования и либо при проведении установочных работ

5. Угрозы социально-политического характера

- локальный конфликт

- рейдерский захват

6. Игнорирование организационных ограничений при работе с ресурсами АСЗИ

- нарушение правил хранения информации ограниченного доступа (ключевой парольной и аутентифицирующей информации)

- предоставление посторонним лицам возможности доступа к средствам защиты информации

7. Угроза проникновения нарушителя в помещение, где размещаются ресурсы ИСПДн

8. Хищение носителя информации

9. Вымогательство по отношению к персоналу ИСПДн

10. Утеря или кража оборудования ИСПДн.

Также угрозы можно систематизировать на: угрозы преднамеренного электромагнитного воздействия на ее элементы; угрозы от утечки по техническим каналам; угрозы утечки акустической информации.

Меры по противодействию угрозе подразделяются на: технические (экранирование зданий и помещений, технических средств) и организационные (удаление от границы контролируемой зоны). Меры защиты: организационно-технические (резервное копирование, изолирование участков оперативной памяти, уничтожение остаточных данных, контроль целостности данных и программ, смена паролей, ограничение на использование сетевых сервисов, служб, сетевых протоколов и сценариев); технические меры (программные средства ОС, дополнительные программные средства (криптографические средства, средства защиты от ПМВ и др.).

 

Приложение 5

Выработка предложений и рекомендаций по совершенствованию средств и систем защиты информации в Вузе. Участие в проектах.

В вузе важным является организационная и техническая работа по реализации мероприятий по защите персональных данных. Защита персональных данных основывается на нормах правового регулирования. Согласно имеющемуся законодательству должностное лицо несет персональную ответственность за несоблюдение требований законодательства о персональных данных. Для эффективности работы по данному направлению в университете необходимо проводить комплекс мероприятий направленных на защиту персональных данных. В том числе разработка пакета организационной и методической документации позволяющей эффективно оценивать и контролировать состояние защищенности ИСПДн в вузе.

В университете ряд структурных подразделений ведут работу с ПДн без использования средств автоматизации (например, Центр содействия занятости и адаптации к рынку труда студентов и выпускников). Для защиты ПДн в данном случае необходимо: обеспечить сбор, сохранность и исключить несанкционированный доступ к ним. Факт согласия на обработку персональных данных должен быть зафиксирован. Необходимо провести инструктаж с сотрудниками по особенностям данного направления работ и ответственности. Формы должны носить типовой характер.

Таким образом, меры по обеспечению безопасности ПДн систематизируются как:

- меры, обеспечивающие безопасное хранение материальных носителей ПДн (закупка и установка сейфов, специальных шкафов, специальное оборудование помещений и др.)

- меры защиты от НСД к ПДн (материальным носителям ПДн). К ним относят установка замков, систем сигнализации и видеонаблюдения и др.

- средства гарантированного уничтожения ПДн (материальным носителям ПДн). Внедрение средств измельчения, размагничивания материалов с невозможностью восстановления.

Данная работа будет являться эффективной при обеспечении постоянного контроля. Цель контроля за обеспечением уровня защищенности ПДн является проверка того, что процессы и системы обработки и защиты ПДн в университете и его структурных подразделениях:

- соответствуют требованиям, предъявляемым законодательством к защите и обработке персональных данных;

-эффективно реализованы и сопровождаются;

- выполняются в соответствии с ожиданиями, сформированными при проектировании и внедрении системы защиты персональных данных.

Основанием выступает Положение об обеспечении безопасн1сти персональных данных при их обработке в информационных системах ПДн. Данную работу необходимо осуществлять как в рамках плановых проверок, так и в рамках незапланированных заранее комплексных проверок. Основным результатом такого контроля будет – построение работы структурных подразделений вуза согласно требованиям законодательства по защите ПДн и комплексная защита информации от возможных как внешних, так и внутренних угроз.

При проведении приемной компании в университете особое внимание отводится защите персональных данных абитуриентов. В данной работе задействованы следующие структурные подразделения вуза: приемная комиссия, управление информации, институты и факультеты, бухгалтерия, планово-экономический отдел и отдел кадров. Для эффективности взаимодействия структурных подразделений университета в рамках приемной компании при защите ПДн необходим четкий контроль за соблюдением требований к сбору, хранению, защите информации об абитуриентах. В этой связи необходимо провести инструктаж со всеми заинтересованными сотрудниками и провести краткосрочные курсы. В данной работе необходимо рассмотреть законодательные основы по данному направлению, дать рекомендации по работе, как с электронными информационными источниками, так и с бумажными носителями. При этом система структурного взаимодействия должна быть четко прописана, и ее соблюдение является обязательным для всех участников приемной компании в университете.

 

Елдіктің мерейтойы — еңселі рухымызды көрсетеді.

Сабақтың мақсаты:Осынау байтақ даланың иесі екенімізді тағы бір сезініп, рухымызға серпіліс жасайтын кез келді. Әрине, тарих қойнауындағы әрбір жылнаманы назардан тыс қалдырмаған дұрыс. Алайда, «Қазақ» деген ресми атты иеленгеніміз 550 жыл бұрын құрылған хандық кезеңі. Сондықтан бұл тарихи датаны атаусыз қалдырсақ, елдігімізге сын болар еді. республика көлемінде аталып өткізіліп жатырған тойдың жас ұрпаққа берер тәрбиелік мәнін баяндау.

 

 

Жылы елімізде Қазақ хандығының 550 жылдығы тойланып жатыр. Бұл жөнінде Астанада өткен жиында Елбасы Нұрсұлтан Назарбаев айтқан еді. Қазақ зиялылары мен БАҚ өкілдері мемлекет басшысының аталмыш бастамасын бірден қолдап әкетті.

Айдана:Құрметті студенттер және оқытушылар! Бүгінгі тәрбие сағаты Қазақ Хандығының 550 жылдығына арналады.

Тәрбие сағатын бастамас бұрын, сіздерге бір сұрақ қойсақ деген ойдамыз:

«Қазақ Хандығы қай жылы құрылды?»

«1465-1847»

 

Алдымен, Елбасының сөзі-нен бастайық : «Керей мен Жәнібек 1465 жылы алғашқы хандықты құрды, қазақтың мемлекеттілігінің тарихы сол кезден бастау алады. Бәлкім ол бүгінгі шекарасындағы, бүкіл әлемге осынша танымал әрі беделді, осы ұғымның қазіргі мағынасындағыдай мемлекет болмаған да шығар. Бірақ бұлай деп сол кезеңдегі басқа да барлық мемлекеттер туралы да айтуға болады. Ең маңыздысы, сол кезде оған негіз қаланды, біз – бабаларымыздың ұлы істерін жалғастырушылармыз».

Айдана:Қазақ хандығы - Қазақстан аумағында бұрын болған мемлекеттік құрылымдардың мұрагері, этникалық процестермен байланысты әлеуметтік қатынастардың өзгерістер мен экономикалық даму нәтижесі. 1457 жылдың күзінде Әбілқайыр хан Сығанақ түбінде қалмақтардан жеңілгеннен кейін, Керей мен Жәнібек сұлтандар қол астындағы ру-тайпалармен Шу өңіріне келіп қоныстанып, Қазақ хандығының негізін салады.Мұхаммед Хайдар Дулатидің «Тарихи Рашиди» кітабында Қазақ хандығының құрылған жері - Шу бойы мен Қозыбасы деп айтылады.

Айжан: Қазақстан тарихындағы маңызды тұлғаларға тоқтамас бұрын, бір сұраққа жауап берсеңіздер:

«Қазақа хандығының негізін құраған хандар және Қазақ халқының соңғы ханы кім?»