Сетевая библиотекаСетевая библиотека

курсовая работа по информационная безопасность

Дата публикации: 08.02.2019
Тип: Текстовые документы DOC
Размер: 251 Кбайт
Идентификатор документа: -35982457_490045174
Файлы этого типа можно открыть с помощью программы:
Microsoft Word из пакета Microsoft Office
Для скачивания файла Вам необходимо подтвердить, что Вы не робот


Не то что нужно?


Вернуться к поиску
Содержание HYPER13 TOC \o "1-3" \h \z \u HYPER14 1. Актуальность и цельHYPER13 PAGEREF _Toc437504299 \h HYPER143HYPER15 2. Перечень сведений конфиденциального характераHYPER13 PAGEREF _Toc437504300 \h HYPER147HYPER15 3. Анализ угрозHYPER13 PAGEREF _Toc437504301 \h HYPER1410HYPER15 4. Правовая защитаHYPER13 PAGEREF _Toc437504302 \h HYPER1414HYPER15 5. Техническая, физическая, криптографическая защита информацииHYPER13 PAGEREF _Toc437504303 \h HYPER1415HYPER15 6. Организационная защитаHYPER13 PAGEREF _Toc437504304 \h HYPER1424HYPER15 ЗаключениеHYPER13 PAGEREF _Toc437504305 \h HYPER1430HYPER15 Список использованных источниковHYPER13 PAGEREF _Toc437504306 \h HYPER1433HYPER15 HYPER15 1. Актуальность и цель Едва ли не самое простое в теории и сложное на практике — формирование информационной политики организации. Формирование информационной безопасности в организации происходит не само по себе, а для решения конкретных задач конкретной организации в изменчивом мире. Главной целью информационной безопасности является обеспечение устойчивого функционирования службы и защита информационных ресурсов, принадлежащих Управлению, его сотрудникам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений. Без должного внимания к вопросам обеспечения безопасности последствия перехода общества к новым технологиям могут быть катастрофическими для него и его граждан. Именно так обстоит дело в области атомных, химических и других экологически опасных технологий, в сфере транспорта. Аналогично обстоит дело и с информатизацией общества Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного родаавтоматизированных информационных и управляющихсистем,к возникновению принципиально новых, так называемых,информационныхтехнологий. Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляюших системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Цель проекта – совершенствование системы информационной безопасности в отделе судебных приставов по г. Чусовому УФССП России по Пермскому краю; формирование целостного представления об информационной безопасности и взаимосвязь ее с другими элементами системы безопасности; определение путей реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности. В качестве задач можно отметить следующее: 1. Охарактеризовать деятельность отдела судебных приставов по г. Чусовому и обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; 2. Прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты; 3. Выявить направления совершенствования информационной безопасности отдела судебных приставов по г. Чусовому. Исследуемая организация находится по адресу: Пермский край, г. Чусовой, ул. Советская, 43. Начальник отдела – Мельков Владимир Викторович. Основными задачами отдела являются: - обеспечение установленного порядка деятельности судов общей юрисдикции и арбитражные судов; - организация принудительного исполнения судебных актов судов общей юрисдикции и арбитражных судов, а также актов других органов, предусмотренных законодательством Российской Федерации об исполнительном производстве; - исполнение законодательства об уголовном судопроизводстве по делам, отнесенным уголовно-процессуальным законодательством Российской Федерации к подследственности Федеральной службы судебных приставов; Отдел Федеральной службы судебных приставов в своей деятельности руководствуется Конституцией Российской Федерации, Федеральными конституционными законами, Федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации, актами Минюста России. Управление в пределах имеющейся компетенции: - обеспечивает установленный порядок деятельности судов; - осуществляет исполнительное производство по принудительному исполнению судебных актов, актов других органов и должностных лиц; - применяет меры принудительного исполнения на основании соответствующего исполнительного документа; - проводит оценку и учет арестованного и изъятого имущества; - организует хранение и принудительную реализацию арестованногои изъятого имущества; - проводит розыск должника, его имущества, розыск ребенка, а также розыск гражданина-ответчика по гражданскому делу на основании судебного акта; - участвует в защите интересов Российской Федерации как кредитора в делах о банкротстве, а также в процедурах банкротства; - создает и ведет в установленном порядке банки данных о возбуждении исполнительного производства; Организационная структура персонала отдела судебных приставов по г. Чусовому УФССП России по Пермскому краю представлена на рисунке 1. Рисунок 1 – Организационная структура персонала Структура управляющей системы отдела представлена тремя уровнями управления: Первый уровень – начальник отдела - старший судебный пристав, назначаемый главным судебным приставом Пермского края. Второй уровень - заместители начальника отдела по линии организации исполнительного производства, организации деятельности судов, дознания. Третий уровень – специалисты по разным направлениям деятельности: специалист по ведению депозитного счета, дознаватели, информатизаторы, судебные приставы-исполнители, судебные приставы по ОУПДС, судебные приставы-исполнители (по розыску), старшие специалисты (помощники СПИ). Непосредственное проведение работ по обеспечению информационной безопасности отдела осуществляется старшим специалистом (по информатизации) отдела и обеспечения информационной безопасности Управления, сформированного из специалистов, имеющих специальное образование, навыки и/или прошедших переподготовку по вопросам защиты информации. Должностные обязанности старшего специалиста (по информатизации): - участвовать в любых проверках ЛВС и БД; - запрещать устанавливать на серверах и рабочих станциях ЛВС нештатное программное и аппаратное обеспечение. - знать в совершенстве применяемые информационные технологии; - участвовать в контрольных и тестовых испытаниях и проверках ЛВС и БД; - вести контроль за процессом резервирования и дублирования важных ресурсов ЛВС и БД; - уточнять в установленном порядке обязанности пользователей ЛВС по поддержанию уровня защиты ЛВС; - вносить предложения по совершенствованию уровня защиты ЛВС и БД; - анализировать данные журнала учета работы ЛВС с целью выявления возможных нарушений требований защиты; - обеспечить доступ к защищаемой информации пользователям ЛВС согласно их прав доступа при получении оформленного соответствующим образом разрешения; - запрещать и немедленно блокировать попытки изменения программно-аппаратной среды ЛВС без согласования порядка ввода новых (отремонтированных) технических и программных средств и средств защиты ЛВС; - запрещать и немедленно блокировать применение пользователям сети программ, с помощью которых возможны факты НСД к ресурсам ЛВС и БД; - анализировать состояние защиты ЛВС и ее отдельных подсистем; - контролировать физическую сохранность средств и оборудования ЛВС; - контролировать состояние средств и систем защиты и их параметры и критерии; - контролировать правильность применения пользователями сети средств защиты; - оказывать помощь пользователям в части применения средств защиты от НСД и других средств защиты, входящих в состав ЛВС; - не допускать установку, использование, хранение и размножение в ЛВС программных средств, не связанных с выполнением функциональных задач; - своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений; - не допускать к работе на рабочих станциях и серверах ЛВС посторонних лиц; Старшему специалисту (по информатизации) запрещается оставлять свою рабочую станцию без контроля, в том числе в рабочем состоянии. Запрещается сообщать пароли, идентификаторы, ключи и др. кому бы то ни было, кроме самого пользователя. 2. Перечень сведений конфиденциального характера Конфиденциальные данные: - данные бухгалтерии; - персональные данные клиентов и сотрудников. Подразделение Информационные ресурсы Класс Отдел по работе с должниками 1. Контракты 2. Информация о должниках 3. Данные о количестве сделок 2 Бухгалтерия 1. Данные отчетности 2. Список работников 3. Сведения о работниках 3 Руководитель 1. Данные отчетности 2. Список работников 3. Сведения о работниках 3 Можно выделить 3 класса документов – секретные (3), доступные только работникам (2) и не секретные документы (1). Документы относятся ко 2 и 3 классу. Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и реализации защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учётом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от её осуществления. Объективность оценки достигается проведением детального аудита функционирования отдела. Аудит проводится собственными силами или с привлечением сторонних организаций. Угрозы можно разделить на внешние и внутренние. При этом последние могут представлять особую опасность. Угрозы объектам информационной безопасности проявляются в виде: - разглашения конфиденциальной информации; - утечки конфиденциальной информации через технические средства различного назначения; - несанкционированного доступа к охраняемым информационным ресурсам; - несанкционированного уничтожения и модификации информационных ресурсов; - нарушения работы автоматизированных систем и сетей. Источниками угроз могут быть: - некомпетентность или халатность пользователей или персонала; - злой умысел, независимо от того, внешним или внутренним относительно систем является источник угрозы; - умышленное проникновение сторонних лиц в помещения, к аппаратуре и оборудованию; - случайные события и стихийные бедствия. Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могу быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, уязвимого места, категории информации. Кризисные ситуации могут иметь следующие степени тяжести: - угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку) наиболее важной для Управления информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных. - серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий. - обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты. 3. Анализ угроз Факторы риска — возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность отдела. Основными факторами риска являются: - стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем; - несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах; - неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами; - несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи; - мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации; - нарушение конфиденциальности отдельных данных; - несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем; - повторное использование внешних и внутренних носителей информации для съема информации; - нарушение конфиденциальности массивов данных. Перечень факторов риска может уточняться. Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся: - все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов; - все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД; - все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей отдела - необходимо защищать от НСД, приводящего к нарушению целостности и доступности; - опорная сеть отдела и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД; - конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности; - ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования (сборки мусора); - помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств. Перечень уязвимых мест системы отдела может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска. Виды угроз Необходимые действия Изменение законодательства Мониторинг законодательства Риски, связанные с партнерами Поиск новых партнеров. Риски, связанные с персоналом Контроль персонала. Наличие криминала Нет. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью. Потеря данных; Проблемы с сетью Интернет; Отсутствие контроля. Ресурсы Угрозы Финансовые Кражи и потери Денежные средства Кражи и потери в результате стихийных бедствий Основные фонды Потери в результате аварий Другие средства производства Потери в результате аварий Информационные Кражи и потери Конфиденциальные данные Кража Документы бухгалтерии Кража Предлагаю использовать отдельные почтовые ящики для каждого сотрудника. Работа по обеспечению информационной безопасности в отделе включает следующие этапы: - определение конфиденциальной информации и сроков ее действия; - категорирование помещений по степени важности обрабатываемой в них информации; - определение категории информации, обрабатываемой каждой отдельной системой; - описание системы, определение факторов риска, определение уязвимых мест систем; - выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации; - выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска. Отнесение информации к конфиденциальной - установление ограничений на распространение информации, требующей защиты. Среди сведений, относимых к данной категории, применительно к отделу можно выделить: деловую информацию о деятельности, финансовую документацию, различные сведения о гражданах, сотрудниках, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п. Отнесение информации к конфиденциальной осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов отдела, вероятных последствий нарушения режима. Своевременность отнесения сведений к конфиденциальным заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно. Степень конфиденциальности информации, составляющей должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности вследствие её распространения. Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений. Для каждой информационно-вычислительной системы, а в отдельных случаях для персональных компьютеров, определяется категория обрабатываемой в ней информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе. Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются: - цели и задачи системы; - пользователи и обслуживающий персонал; - способы взаимодействия с другими системами как внутри отдела, так и с внешними объектами; - физическую топологию сети в здании отдела; - логическую топологию сети отдела, ее основные характеристики; - перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики; - перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики. 4. Правовая защита Правовая форма защиты информации - защита информации, базирующаяся на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации. Информационная безопасность базируется на следующих нормативно-правовых актах: - Федеральный Закон Российской Федерации О персональных данных от 27.07.09г. № 152-ФЗ - Уголовный Кодекс Российской Федерации от 13.06.96г., №83-ФЗ ст. 183, 272, 273, 274; - Трудовой кодекс Российской Федерации от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;- Кодекс Российской Федерации об административных правонарушениях от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14; - Федеральный Закон Российской Федерации Об информации, информационных технологиях и о защите информации от 27.07.2006г. № 149-ФЗ; - Постановление Правительства РФ от 15.08.06. №504 О лицензировании деятельности по технической защите конфиденциальной информации; Гражданский кодекс РФ и Закон Об информации, информационных технологиях и о защите информации позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации: - информация, составляющая государственную тайну; - персональные данные; - информация, составляющая коммерческую тайну. Предметом рассмотрения в данном проекте является информация второй категорий. Отдел в процессе своей служебной деятельности выступает не только собственником, но и пользователем информации, предоставленной ему гражданами или сотрудниками на законных основаниях. Отдел вправе распоряжаться такой информацией, а следовательно, и выбирать степень её защиты. Решение задач правового обеспечения информационной безопасности отдела достигается формированием системы внутренних инструкций, положений, планов, правил. В отделе судебных приставов имеется Положение о защите персональных данных работников со следующим содержанием: 1. Общие положения 2. Понятие и состав персональных данных 3. Обработка персональных данных 4. Доступ к персональным данным 5. Защита персональных данных 6. Права и обязанности работника 7. Ответственность за разглашение конфиденциальнойинформации, связанной с персональными данными. Имеется также документ Политика безопасности. Основные разделы: Общая концепция Хранение данных Основные преимущества сетевого хранения данных Репликация данных Инфраструктурные решения Основные элементы механизма защиты конфиденциальной информации на предприятии: Хранение в сейфе. Не используются меры по дополнительной охране, каждый работник имеет к ним доступ. Можно предложить хранить конфиденциальные документы в отдельном помещении и выдавать под роспись. 5. Техническая, физическая, криптографическая защита информации Под техническими и программными мероприятиями понимается комплекс действий, направленный на физическую охрану объектов информации, на защиту информации ограниченного распространения от утечки по техническим каналам, выполнение режимных требований при работе с информацией ограниченного распространения и мероприятия технического контроля. Инженерно-техническая защита отдела — это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативный мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток. Криптографические средства—это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования отдела. Основным объектом защиты является информация, циркулирующая в программно-аппаратных средствах, информационно-вычислительных системах и сетях, используемых в отделе. Основными компонентами защиты информации являются следующие этапы работ: - оценка существующего программно-аппаратного обеспечения; - приобретение дополнительных программно-технических средств; - монтаж и наладка систем безопасности; - тестирование системы безопасности, проверка эффективности средств защиты; - обучение пользователей и персонала, обслуживающего систему. Основной целью обеспечения информационной безопасности является защита информационно-вычислительных систем отдела и отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них. Информационная безопасность реализуется с помощью средств защиты и управления защитой, контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей. Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые места систем от воздействия факторов риска. Информационная безопасность достигается путем: - предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным средствам, информации, а также персоналу; - минимизации ущерба и быстрейшего восстановления программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие соответствующих мер. Меры по созданию режима защиты информационных ресурсов подразделяются на технические и организационно-правовые. При осуществлении технических мер применяются следующие средства защиты автоматизированных систем: 1. Средства контроля доступа и назначения полномочий: - средства контроля доступа в помещения; - средства идентификации и аутентификации при доступе к подсистемам программно-технических средства коллективного пользования; - средства контроля доступа к серверам; - средства контроля доступа к сети передачи данных; - средства защиты на уровне персонального компьютера (далее - ПК); - средства протоколирования действий пользователей и обслуживающего персонала в системе. 2. Средства криптографической защиты информации (СКЗИ), применяемые при обмене информацией с взаимодействующими ведомствами и организациями. 3. Средства защиты от утечки информации по каналам электромагнитного излучения с использованием внедренных технических устройств. Перечисленные средства необходимо использовать с учетом следующих базовых принципов: - каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает расследование нарушений и фактов проникновения. - все элементы системы отдела должны быть разделены на контуры защиты. Защита организуется внутри контура и между ними. Суть этого принципа заключается в том, что информация определенной категории сосредоточена внутри контура, а вход и выход за пределы контура контролируются. К организационно-правовым мероприятиям следует отнести наряду с общими обязательствами по сохранению информации, подписание специального обязательства о правилах пользования компьютерными сетями отдела. Оно должно включать следующие положения: - использование нематериальных активов отдела только в производственных интересах; - ограничение передачи информации по внешним коммуникационным сетям; - добровольное согласие на автоматизированный контроль внешних коммуникаций. Система санкционированного доступа в помещения, отнесённые к контролируемым зонам безопасности, может обеспечивать протоколирование перемещений сотрудников путем установки системы запирающих устройств, открывающихся персональными карточками - ключами и управляемых с единого рабочего места. Управление системой контроля доступа может осуществляется сотрудниками отдела по обеспечению установленного порядка судов отдела. Необходимым элементом обеспечения информационной безопасности является однозначная идентификация (определение личности) и аутентификация (подтверждение личности) пользователей, применяемые в отделе в виде парольной защиты. При этом требуется: - использовать обязательную парольную защиту в качестве базовой, с предотвращением перехвата пароля. Пароль должен обновляться не реже 1 раза в полгода. При работе с приложениями также используется механизм аутентификации; - для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию, рекомендуется использовать усиление парольной защиты в виде специальных программно-аппаратных средств. Управление средствами идентификации и аутентификации осуществляется администраторами безопасности сетей и систем. Средства защиты серверов предназначены для обеспечения конфиденциальности и целостности путем защиты от НСД к ЭВМ, среде исполнения процесса, областям пользователей, областям оперативной памяти и дискового пространства, данным на чтение/модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и диагностики, а также с помощью средств и мер безотказной работы. Конкретные способы и методы использования средств защиты определяются особенностями конкретной системы или сервера. Задачи защиты сетей отдела решаются на основе существующих программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне транспортной службы сети, должны решаться средствами операционных систем и приложений. Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования (Internet). В связи с этим предлагается применять следующие меры по защите внутренней сети: - взаимодействие с сетью общего пользования должно осуществляться через специальный программно-аппаратный шлюз; - если сеть общего пользования используется для передачи конфиденциальной информации (персональных данных), то такая передача должна осуществляться с применением сертифицированных средств криптозащиты; - доступ сотрудников Управления к сети общего пользования должен быть строго регламентирован. Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов комплексной защиты для однозначной идентификации пользователь — рабочее место. Средства защиты ПК должны (при технической возможности) обеспечивать: - идентификацию и аутентификацию пользователя; - невозможность несанкционированного изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации; - защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации; - отсутствие программ - вирусов и программ - закладок; - невозможность физического доступа к аппаратным ресурсам ПК; - запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих соответствующее разрешение; - ведение системного журнала по основным событиям. На каждом рабочем месте должны быть зарегистрированы только два пользователя - непосредственно пользователь и администратор. В настоящее время криптозащита является единственно надежным средством защиты конфиденциальной информации при передаче по каналам связи. Управление средствами криптозащиты осуществляют соответствующие должностные лица в каждой подсистеме. Контроль и учет использования средств криптозащиты осуществляет старший специалист (по информатизации). Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций, которые в соответствии с установленными факторами риска могут быть расценены как угрозы отделу. Контроль включает в себя: - регистрацию событий в целях профилактики информационной безопасности или же тех событий, которые могут быть расценены как угроза; - выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров событий в системном журнале. Средства управления предназначены для оперативной реакции со стороны специалиста (по информатизации) систем на различные, в т.ч. и кризисные ситуации, а также для настройки основных параметров системы. Основными функциями управления являются: - ликвидация аварийных ситуаций; - конфигурирование программно-аппаратных средств подсистем; - защита от НСД; - регистрация пользователей и распределение ресурсов. Для обеспечения безотказной работы и восстановления автоматизированных систем и сетей в случаях аварий, стихийных бедствий и других кризисных ситуаций, предусматриваются соответствующие меры и средства. Для обеспечения безотказной работы и восстановления сетей и систем помимо организационных мер используется специальное оборудование и процедуры: - Бесперебойное электропитание - наиболее важный элемент обеспечения безотказной работы. Оно обеспечивается путем установки системы перехода на резервное питание при выходе из строя основного, установкой источников бесперебойного питания, дающих возможность системе функционировать до прибытия сотрудников эксплуатационных служб и устранения аварии электропитания. - Резервное копирование и хранение программ и данных на внешних носителях - основной способ их сохранения. Резервное копирование может быть полным (копии со всех данных) и выборочным (копии наиболее важных данных). Способ и периодичность резервного копирования определяется для каждой системы индивидуально. Целесообразно хранить несколько поколений данных и на каждую копию иметь дубликат, который должен храниться отдельно от основной копии в специальном оборудованном защищенном помещении отдела на значительном удалении от действующей системы. - Резервирование аппаратных ресурсов - применяется для обеспечения восстановления работоспособности системы при отказах аппаратных средств. Основным критерием использования резервных ресурсов является критичность по отношению к жизнедеятельности отдела и экономическая целесообразность. Наиболее уязвимыми элементами системы являются серверы, используемые для работы систем, и каналы связи. В связи с этим целесообразно применять отказоустойчивые серверы, в которых конструктивно резервируются и дублируются наиболее критичные элементы. Для наиболее важных систем необходимо использовать холодный резерв - второй комплект оборудования. Для обеспечения функционирования систем при обмене данными по внешним сетям, рекомендуется предусматривать резервирование каналов связи и коммуникационного оборудования, в том числе разных поставщиков телекоммуникационных услуг (провайдеров). Помимо мер по предотвращению возникновения кризисных ситуаций, необходимо предусматривать организационные мероприятия для устранения их последствий, которые включают в себя: - локализацию области воздействия фактора риска; - уведомление соответствующих должностных лиц о факте возникновения кризисной ситуации; - предотвращение расширения кризисной ситуации, при необходимости выведение из эксплуатации системы, комплексов или отдельных компонентов; - обеспечение безотказной работы, оперативную корректировку параметров системы, удаление или выведение из эксплуатации пораженных элементов системы, загрузку копий программного обеспечения и/или переход на резервное оборудование; - полное устранение причин кризисной ситуации; - восстановление аппаратных, программных и информационных элементов систем; - расследование причин кризисной ситуации, пересмотр плана защиты (при необходимости). 6. Организационная защита Создание комплексной системы информационной безопасности включает в себя ряд последовательных этапов: определение профилей защиты; категорирование защищаемых ресурсов; анализ рисков; разработка политики безопасности; разработка архитектуры безопасности; создание и внедрение системы информационной безопасности; сертификация системы. Основными компонентами системы информационной безопасности являются: защита информации и поддерживающей инфраструктуры при подключении к внешним сетям; защита информации в процессе межсетевого взаимодействия; защита потоков данных; защита сервисов системы; антивирусная защита; обеспечение безопасности программной среды; аутентификация; протоколирование и аудит. Защите подлежат конфиденциальные сведения отдела, находящиеся на материальных носителях (бумажных, магнитных, оптических, чиповых картах, картах памяти и т.п.). Защита представляет собой процесс, организуемый и поддерживаемый в отделе с целью предупреждения несанкционированного доступа к охраняемой информации и исключения ее уничтожения, разглашения и утечки через различные каналы. Защита информации предусматривает: - порядок определения конфиденциальной информации, и сроков ее обработки; - систему допуска сотрудников; - порядок работы с документами, содержащими конфиденциальные сведения; - обеспечение сохранности документов, дел и изданий с грифом конфиденциальности; - принципы организации и проведения контроля за обеспечением установленного порядка при работе с конфиденциальными сведениями; - ответственность должностных лиц и сотрудников за разглашение сведений и утрату документов, содержащих конфиденциальные сведения. Система защиты конфиденциальной информации отдела основывается на: - повседневной деятельности сотрудников, отвечающих за обеспечение защиты информации; - строгом выполнении требований положений, приказов, распоряжений, других нормативных и распорядительных документов, по обеспечению безопасности информации; - применением специальных технических и программных средств защиты информации; - контроле за выполнением требований нормативных документов. Дискеты, магнитные ленты, магнитно-оптические диски, оптические диски (далее магнитные носители), содержащие конфиденциальную информацию, подлежат обязательному учету. Парольно-ключевые и криптографические материалы подлежат обязательной регистрации и учету в отделе информатизации и обеспечения информационной безопасности. При работе с документами и магнитными носителями, содержащими конфиденциальную информацию, сотрудники отдела обязаны следить как за сохранностью самих документов и носителей, так и за сохранностью содержащейся в них информации. Хранение документов с конфиденциальной информацией должно осуществляться таким образом, чтобы исключить возможность ознакомления с ними лиц, не имеющих права доступа к ним. Конфиденциальные документы выдаются исполнителям под роспись в журнале учета. Выдача конфиденциальных документов представителям сторонних организаций осуществляется по письменному указанию уполномоченного на это начальника отдела. Исполненные конфиденциальные документы в течение календарного года подшиваются в дела. Дела с исполненными документами за прошедший календарный год сдаются для хранения в архив. Дела из архива могут выдаваться исполнителям по письменному запросу должностного лица в соответствии со схемой выдачи разрешений на доступ к информации. Уничтожение конфиденциальных документов производится комиссией, назначаемой Приказом по Управлению. Уничтожению подлежат также черновики, испорченные листы и недописанные проекты конфиденциальных документов. Уничтожение производится путем измельчения, исключающим восстановление текста документа. Факт уничтожения оформляется актом по установленной форме. Хранение магнитных носителей с конфиденциальной информацией разрешается исполнителям только в металлических сейфах. Можно рекомендовать следующие мероприятия: 1. Органичить доступ к использованию ресурсов. Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и| зарегистрированные у системного администратора (ответственного должностного лица). Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ. При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным ПО. Однозначно (по умолчанию) запрещается их копирование. Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.). 2. Обеспечить хранение носителей конфиденциальной информации в ИС Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан. Магнитные носители в архиве хранятся в запечатанных конвертах с соответствующими пояснительными надписями, включая также книгу регистрации входящих и исходящих документов. На каждый пакет конвертов должен быть перечень находящихся в них документов с указанием учетных данных. Строго запрещается хранение магнитных носителей конфиденциальной информации вне специально оборудованных мест. Лицо, нарушившее порядок хранения носителей, несет за это ответственность. 3. Архивирование конфиденциальной информации. Архивирование текущей конфиденциальной информации в ИС проводится пользователями не реже чем один раз в месяц. Архивирование должно также предусматривать восстановление разрушенной архивной информации, даже при ее значительных потерях. С этой целью делаются ежедневные, еженедельные и т. д. архивные копии. Копии на твердых носителях архивируются и хранятся согласно Положению о конфиденциальной информации предприятия. 4. Уничтожение данных, содержащих конфиденциальную информацию Процесс создания конфиденциальных документов и обработки данных в ИС после получения печатных и прочих копий для дальнейшей работы должен при необходимости завершаться очисткой памяти и рабочих областей на магнитных носителях. Контроль за выполнением данных действий возлагается на непосредственного руководителя сотрудника. 5. Разработать инструкцию по защите конфиденциальной информации пользователям ресурсов Пользователь лично отвечает за понимание и соблюдение правил безопасности. Если ему не понятны функции по защите информации, он обязан спросить администратора ИС. Запрещаются любые действия, направленные на: — получение доступа к информации о пользователях; — вскрытие и использование чужих регистрационных имен и паролей; — тестирование и разрушение служб сети; — просмотр всех доступных для чтения файлов на сетевых устройствах, не принадлежащих пользователю; — модификация файлов, которые не являются собственными, даже если они имеют право записи в них; — вскрытие блоков и комплектующих, а также изменение физической конфигурации; — использование одного и того же регистрационного имени и пароля. Пользователю при работе с конфиденциальной информацией запрещено, отлучаясь из помещения, оставлять свой терминал подключенным к ИС. Рабочие файлы и базы данных, содержащие конфиденциальную информацию, пользователь обязан хранить на сетевых, а не локальных дисках. При работе с важной конфиденциальной информацией, утеря которой может нанести значительный ущерб предприятию, пользователь обязан делать резервные копии рабочих документов, делопроизводство по которым аналогично специальному делопроизводству по оригиналам. В целях выявления незаконного использования регистрационного имени пользователь должен контролировать свое время входа и выхода в ИС и проверять последние команды и, если параметры отличаются, обязан немедленно сообщить об этом администратору системы. Пользователь обязан немедленно сообщать о возникших проблемах и ошибках, которые не могут быть устранены путем перезагрузки компьютера после отключения от системных служб. Производить любые попытки восстановления работы компьютера при наличии соединения с системой категорически запрещается. Использование ресурсов в личных целях допускается с разрешения руководителя подразделения по согласованию со старшим администратором ИС. Заключение Преимущества усовершенствования: - комплексная защита информации; - разработка системной политики безопасности; - проведенный анализ известных угроз современным универсальным ОС полностью подтверждает, что большая их часть обусловлена именно реализуемым в ОС концептуальным подходом, состоящим в реализации схемы распределенного администрирования механизмов защиты. В рамках этой схемы пользователь рассматривается как доверенное лицо, являющееся элементом схемы администрирования и имеющее возможность назначать/изменять ПРД. При этом он не воспринимается как потенциальный злоумышленник, который может сознательно или несознательно осуществить НСД к информации. ОС – реализация централизованной схемы администрирования механизмов защиты, в рамках которой будет осуществляться противодействие НСД пользователя к информации. Оценка эффективности ИБ в статике не имеет практического смысла, ее смысл в динамике – показывать, что защищенность растет год от года при постоянных расходах или остается такой же при снижении расходов. Первый тип – инфраструктурная безопасность (защита технической инфраструктуры организации) деятельность отдела судебных приставов по г. Чусовому К этой части информационной безопасности можно отнести те средства, которые защищают IТ-инфраструктуру, – компьютеры, серверы, каналы передачи информации. Такая безопасность практически не зависит от того, чем занимается защищаемая организация, важным является только размер и структура организации. Другая часть ИБ – бизнес-безопасность (защита собственно информации и бизнес-процессов) деятельность отдела судебных приставов по г. Чусовому К ней можно отнести системы защиты от утечек, противодействия мошенничеству, защиты приложений. Их эффективность зависит не только от выбранного технического средства, но и от понимания того, кто это средство настраивает, процессов создания, обработки, передачи, архивирования и уничтожения информации. Оценка эффективности системы управления информационной безопасностью- это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям. Ключевые показатели эффективности могут быть измерены при помощи, например,количества проблем с информационной безопасностью, а затем интегрированы в систему управления рисками. Также на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты данного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005. Построение эффективной системы информационной безопасности в компании - это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании ИТ-специалистов, консультантов по данной тематике, технических специалистов. Одним из важных этапов построения системы информационной безопасности является создание эффективного механизма управления доступом к информации, т.е. решение вопросов как разграничения доступа, так и определения методов доступа. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и на сегодняшний день оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях. Если для хранения и защиты структурированной информации, а также доступа к ней на сегодняшний день существуют проверенные технологии, то в случае неструктурированной информации выбор технологий существенно ограничен, тогда как решение вопросов управления бумажными архивами может оказаться непростым и затратным Хотелось бы отметить, что мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. В качестве объектов рассматриваются материально-технические средства, персональные данные, документы. Было сформировано целостное представление об информационной безопасности и взаимосвязи ее с другими элементами системы безопасности. Были определены пути реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности. Спрогнозировано своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты. Выявлены направления совершенствования информационной безопасности отдела судебных приставов по г. Чусовому УФССП России по Пермскому краю. Список использованных источников 1. Федеральный закон О персональных данных от 27.07.2006 N 152-ФЗ (действующая редакция, 2016); 2. Федеральный Закон Российской Федерации Об информации, информационных технологиях и о защите информации от 27.07.2006г. № 149-ФЗ (действующая редакция, 2016); 3. Попов В.Б. Основы информационных и телекоммуникационных технологий. Часть 4. Программные средства информационных технологий. - М: Финансы и статистика, 2014. – 254 с. 4. Белкин П.Ю., Михальский О.О. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пособие для вузов. – М.: Радио и связь, 2014. – 168с. 5. Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2013. – 368 С. 6. Основы информационной безопасности. Учебное пособие для вузов/Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия – Телеком, 2016. – 544 с. 7. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2014, - 452 с. HYPER13PAGE HYPER15 3 Introduction. Enterprise Risk Management is based on the concept of acceptable risk, postulates the possibility of a rational influence on the risk level, bringing and keeping this level within acceptable limits. The risk is an objective reality projects involving all phases and stages of its development and implementation. In the context of the need for modernization of industrial enterprises, the production of non-competitive products and the increased volatility in the market environment to study methods and tools for risk management of investment projects of industrial enterprises, adequate requirements of modern market economy is one of the important tasks of the Russian economy. Purpose of the article - to explore the history of the development of risk management. The history of the development of risk management. The word "risk" has ancient roots - translated from the Old Italian risicare means "dare". The history of the concept of "risk" is largely associated with the relationship of man to the future. In ancient Greece mythological worldview was based on the fact that the future is completely predetermined by the will and desire of the gods, that is, It does not depend on the behavior of the person. The emergence of world religions and especially Christianity, has led to what the future has become ambiguous. There was an understanding that the possibility of "different" future in this life and after death depends on human behavior. Therefore, there was responsibility for the consequences of their actions [3, p. 16]. In the Middle Ages there was the realization that the future depends not only on God. One of those who first raised the issue, was an Italian monk, professor of mathematics credited Luke, who lived in the XV century. In the Renaissance, it began a serious study of the problems associated with risk. Thanks to the development of gambling and especially dice the opportunity to predict the future. Exploring gambling, French mathematician and philosopher Blaise Pascal and inventor in 1654 appealed to the Fermat math. The cooperation was established the theory of probability. It was a huge jump in philosophical and practical, for the first time allowed to make quantitative predictions of the future. Since then, forecasting tools, such as divination, sacrifice and blissful delirium began to retreat into the past. At the beginning of the XVIII century. German mathematician G. Leibniz put forward the idea, and Ya.Bernulli Swiss mathematician (1654-1705) proved the law of large numbers and developed a statistical procedure. Since 1725, when the first government of England were used mortality tables, this tool has spread rapidly throughout the world. In 1730 the French mathematician A. Moivre introduced the concept of the structure of a normal distribution and a measure of risk - standard deviation. In 1738 Bernoulli determined the expected utility, which ultimately rests the modern theory of portfolio investments. Since 1763, thanks to Bayes' theorem (Theorem hypotheses), the world learned how to influence the decision-making level of awareness about the management of the facility. The discovery of the basic laws and the development of almost all modern risk management tools related to XVII-XVIII centuries. The industrial revolution, social upheaval, the expansion of human activities have significantly increased the scope of manifestation of risk and simultaneously formed to the future as a part of the projected world. Note, in particular, the development of the theory of statistical regression English mathematician F.Galtonom in 1886 Risk is inherent in any area of ​​human activity that is associated with a variety of conditions and factors affecting the outcome (positive or negative) decisions taken by the people. The risk of shortfall in the expected results began to manifest itself particularly when the universality of commodity-money relations, competition, economic actors. Sufficiently broad and constructive interpretation of the risk at the same time began to be used in insurance, as this area of ​​business is directly related to the existence and manifestation of various forms of risk. It is because insurance is an understanding of risk as an economic category. With the emergence and development of a market economy, there are various theories of risk. One of the first challenges of economic risks considered American economist A. Marshall, whose works marked the beginning of the neoclassical theory of risk. American economist John. M. Keynes introduced to science the notion of "risk appetite", describing the investment and business risks, offered one of the first classifications of risk. The work of American economist F.Nayta "Risk, Uncertainty and Profit" was first suggested as a quantitative measure of the risk of uncertainty. In the works of American mathematicians O. Morgenstern and John. Neumann has been established relationship concepts of "uncertainty" and "risk", reflected probabilistic and mathematical treatment of risk. At the beginning of XX century. classic management theory French engineer A. Fayolle included into the basic functions of management of the organization to ensure its safety function. Another key aspect of the theory of risk are: the development of the theory of portfolio management G.Markovitsem American economist in 1952 .; G.Modilyani work on the theory of investment; N.Bleyka M.Sholsa work and on financial options; Many other researchers and practical development of many new financial instruments that have so changed the face of opportunities and the financial markets. Finally, the science of risk emerged only in the last quarter of XX century. thanks primarily to the practical needs of safety in the technosphere (in particular, nuclear power and other potentially dangerous technologies) and the stability of social reproduction in the economy. In Russia in the 20s. XX century. It was adopted legislation containing the concept of the economic risk. But by the mid-1930s. the risk was related to the phenomena of capitalist economy, since it is not combined with the proclaimed planned nature of the economy. Ignoring the problem has reached such a degree of risk that the concept of "risk" does not even include in encyclopedias. The concept of "risk" is explained only in Russian language dictionaries. However, international experience shows that ignoring or underestimating economic risk in the development of tactics and strategy of economic policy, making specific decisions inevitably constrains the development of society, scientific and technological progress. Once again, the emergence of interest in Russian to the manifestation of risk in economic activity due to its transition to a market economy. After the de-monopolization and privatization, the state has allowed to develop freely entrepreneurship, while refusing to support the role of the sole risk and shift the responsibility for economic decisions taken at business entities. However, their survival without risk factors is not possible. In the context of the economic crisis is increasingly a problem of alternative costs; changes in development strategies; review the objectives, methods and means of operation of the company. The important components of productive and continuous operation of the company is risk management. Economic operators are taking different strategic models to eliminate all kinds of unforeseen costs. Project risk management is seen as an integral part of the project management process, and the history of these disciplines are inextricably linked to each other. Milestones in the formation of the theory of project management for the past five decades, helping to identify the most significant moments in the development of risk management mechanism of the project. The historical aspect of the study contributes to the current state of the theory of risk management of the project and the prospects of its development. Modern set of methods of project management dates back to the 50s of XX century. The most important step is the development of methods of scheduling. The importance of planning, supply chain management and administration provided the basis for the formation of the theory of project management. Continue in the 60s of the last century, the development of methods of project management is particularly influenced the establishment of administrative structures and formation methods of teamwork, which have been introduced in the management of production in the '70s. In the 80-ies of XX century were developed and began to be successfully applied new ideas of modeling projects and workflow automation. The basis of this was the development of computer technology. The rapid emergence of quality management methods also influenced the content of the theory of project management. Impetus to the development of modern methods of risk management was the quantification of the risk that was given in the early 80-ies S. Kaplan and BJ Garrick [1, p. 44]. The risk, in their view, is composed of three parts: a description of the scenario, the probability of this scenario and the consequences of 15 in this scenario, with the consequences may vary according to the same scenario. In the mid 80's mechanism of risk management began to be widely discussed in the literature on project management. It formed a risk management process, which then consisted of risk identification, risk assessment, develop responses and control [2, p. 94]. Quantitative Risk Assessment, mainly was based on subjective probabilities and distributions. In industry, the basis of risk management was to analyze the possibility of monetary and time losses. Widely used diagrams impacts, checklists and risk questionnaires, methods for dealing with risky situations and important principles for the allocation of risks in the construction contracts. During the 90-ies the basis of the theory of project management has been the introduction of network technologies, methods of cooperation and business process management as a project. The rapid development of international business, quality improvement and reduce the cost of information technology and data transmission technologies have opened new opportunities to manage projects in a geographically distributed business environment. At the same time it changed the concept of risk management. The transformation took place towards greater understanding of the importance of risk management, rather than a quantitative risk analysis. Thus, the process of risk management and its integration into the project management process are now the basis for further development of the risk management framework. By the end of 90-ies of XX century new methods of risk management, based on a study of the implementation of previous projects and develop solutions based on the experience of reducing the adverse events vozdeyst16 tions to an acceptable level. That is the knowledge accumulated about failed projects or adverse situations and effects are used for the study and understanding of the causes of negative situations, losses associated with them, and response to reduce the consequences. Under the risk management project is now understood as a complex pre-planned activities aimed at identifying possible adverse situations and reduction of their possible impact on the project to an acceptable level. Current direction of scientific development theory of project risk management is presented in the form of improving the creative approaches and approaches related to the study of risk management experience. One way to improve the effectiveness of these approaches - is the use in the process of risk management of computer databases that must include not only the listing of risks, but also valuable information about retaliation on the occurrence of a particular risk situation, information on the planning of risk management and other information to take concrete decisions in the risk management process of the project. Formation of these databases comes continuously throughout the project on the basis obtain information on risks and responses. A risk information is valuable time when its formation is carried out in real time, helped by a database of risks. The history of the theory of risk management of the project shows that the current decade will be more likely to improve existing approaches to risk management based on modern concepts and ideas, and this is confirmed by the increased interest of scientists to problem Risk Management project. The author was considered a significant number of publications on the topic of risk management, published in Russia in the past five years. On the basis of the analysis, it was concluded that the vast majority of publications are based on earlier proposals made in the early and mid-90s of the last century. This contributed to the treatment to foreign experience and, therefore, the methodological basis of this study are basically the largest to date, publicly available methodological approaches to risk management of the project (the program), which have been developed in different countries [4, p. 15]. Sorry, could not find public information resources related to risk management in the implementation of construction projects only, but one containing a methodical approach developed by Finnish experts from the institute VTT Building Technology. Currently, however, there are universal guidelines for risk management, are intended for all kinds of projects [5, p. 33]. Moreover, a comparison of data to study the recommendations and specific advice such as the recommendation of NASA, ECSS, DoD et al., Showed that currently develops a typical risk management mechanism that does not depend on the type of project (program). In the study of modern concepts of risk management, the authors used a comparative analysis as a basis for the study. This method of scientific knowledge is the most efficient in the framework of this thesis research. This is due to the fact that the analysis refers to the separation of methodological aЙpproaches that are the prototype of this study, the relatively small elements and a comprehensive study of them. This comparison allows you to find the similarities of elements that show the general trends of development of the theory of risk management. On the basis of what, by analogy, constructed conclusions and suggestions in improving risk management mechanism. Through a comparative analysis, the authors identified the major differences in the majority of these approaches. It mainly is the fact that at present there was not yet a recognized sequence of steps in the risk management process. Systematization of collected data for risk management of the project suggested that in the process of risk management, the following targeted actions: planning, identification, evaluation, treatment, monitoring, documentation. No only recognized risk management function names, but the essence and the content remains unchanged. Common to most of the studied guidelines that make up the methodological basis of the thesis is the proposal to technology identification and assessment of risks, as well as the main methods of processing. Risk identification is proposed to carry through checklists and on the basis of interviews with experts. And the typical sources of risk checklists and questionnaires, as a rule, are an integral part of the recommendations. As a general rule, by means of the matrix "Lost Chance," it proposed to assess the quality or level of risk, or their degree of influence on the project. Only one methodical approach [5, p. 40] contains a qualitative assessment of the technology as the impact of risks on the project and their level. A quantitative risk assessment is most studied approach is seen as assessment of changes in the cost and duration of the project due to the impact on them of risk factors, by simulation of various negative consequences of the offensive situations. However, the approach of Finnish experts contains a methodology for quantifying the degree of negative impact on the earnings situation of the project, which is based on subjective judgments about the likelihood of risky situations and the amount of loss in the event of their occurrence. Currently, there are four basic ways of handling risk: acceptance, transfer, mitigation, avoidance. The differences appear as part of specific measures, which include the main ways, and there is no a clear classification of methods of processing risks. Introduction. Financial Management always puts the receipt of income depending on the risk. Risk and income are two interrelated and interdependent financial categories. Under the risk is the possible danger of losses arising from the specificity of certain natural phenomena and human activities. For the financial manager risk - is the likelihood of an unfavorable outcome. Various investment projects have varying degrees of risk, the most profitable option of investing can be so risky, that, as they say, "the game is not worth the candle." In the context of the need for risk analysis of companies and the increased volatility in the market environment to study methods and risk management mechanisms is shown one of the important tasks of the Russian economy. The purpose of the essay - to investigate the prospects for the development of risk management. Prospects for the development of risk management theory and practice. Risk as an economic category is a possibility of the event that may entail three economic result: negative (loss, damage, loss); null; positive (gain, gain, gain) [1, p. 39]. Risk - this action to be taken in the hope of a happy outcome on a "lucky - unlucky". Of course, the risk can be avoided that simply avoid activities associated with risk. However, for the entrepreneur, according B.C.Stupakova, GS Tokarenko, avoid risk often constitute a waiver of possible profit [4, p. 49]. Risk can be controlled, ie, use a variety of measures to a certain extent, to predict the risk events and take action to reduce risks. The effectiveness of the risk management organization is largely determined by the risk classification. risk situation - a situation in which the probability of occurrence of the events can be defined, ie in this case, there is an opportunity to objectively assess the likelihood of events that may have an impact on the technical and economic indicators of production. The main sources of risk are: 1) the unpredictability, spontaneity of natural processes and phenomena; 2) an accident of social processes; 3) the presence of the opposing trends clash of conflicting interests in market conditions; 4) the unpredictable nature of scientific and technological progress. The essence of risk, as well as any economic category, is shown in its functions. In this paper, MG Lapusta, LG Sharshukovoy "Risks in business" the following risk features are: innovation, regulatory, protective and analysis [2, p. 45]. Innovative risk function performs a stimulating search of unconventional ways of solving problems faced by the entrepreneur. In the international business practice has accumulated positive experience of innovative risk management. Most firms, companies succeed and become competitive through innovative economic activities related to the risk. The regulatory function is inconsistent and appears in two forms: the destructive and creative. entrepreneur risk, as a rule, is focused on obtaining significant results in unconventional ways. Thereby, it allows you to overcome the conservatism, dogmatism, conservatism, psychological barriers to promising innovations. The creative form of regulatory risk function is manifested in the fact that the ability to take risks - one of the ways to the success of the enterprise. However, the risk can be a manifestation of workers' discontent, if the decision is made unnecessarily. In this case it acts as a risk factor destabilizing. Protective risk function is manifested in the fact that if the risk for the entrepreneur - a natural state, the normal should be tolerant attitude to failure. apply various techniques to reduce the level of risk. The most common are: 1. diversification; 2. The acquisition of additional information on selecting and results; 3. limitation; 4. The self-insurance; 5. insurance; The risk of the economy is defined as the probability (threat) now losing some of their resources, revenue, or the appearance of additional costs resulting from the implementation of specific operational and financial performance [3, p. 33]. In the West, even in the relatively stable economic conditions, economic entities is seriously concerned with risk management. At the same time in the Russian economy, where factors of economic instability and without complicating effective management of enterprises, problems of analysis and management of complex risks that arise in the course of their economic activity, given the apparent lack of attention. Until recently, such a situation prevailed not only in the enterprises of the real sector of the economy, but also in financial and credit institutions. According to E. Stanislavchik, close attention to the issue of risk management has been given only after the financial crisis, which clearly outlined the acuteness of this problem in Russia [3, p. 34]. In the real economy, which is characterized by long-term projects, lack of investment, low turnover, and return on assets, the relatively low level of economic literacy of administrative staff, the situation is changing slowly. This leads to inefficient management of financial flows, the lack of forecasting the results of financial and economic activity, an erroneous strategic planning of enterprise development. Risk management methods are very diverse. From the current practice at the moment can be seen quite clearly that the Russian experts, on the one hand, and Western researchers - on the other hand, have developed is quite clear preferences for methods of risk management. The presence of such preferences is primarily due to the nature of the economic development of the state and, as a consequence, considered risk groups. However, the development of economic relations in Russia contributes to the spread of Western experience, resulting in a convergence of Russian and Western approaches to the management and investigation of risks. The choice of the optimal policy aimed at reducing the risk, is solved in the framework of microeconomic theory. The corresponding result reads: optimal risk management policy should be such that the marginal cost of implementation of this policy consistent with the marginal utility, delivered its application [2]. However, due to significant information requirements this principle difficult to implement in practice. In fact, it takes a more simple criteria such as minimum cost of risk reduction measures to an acceptable level. In specific cases, the choice of risk reduction resources depends on his predictions. Thus, well-known, common risks can be reduced with the help of specially developed preventive measures. For example, the risk of losing part of the company's assets as a result of theft can be reduced by setting the alarm in warehouses, to improve the current system of accounting and control the storage and use of wealth. Foreseeable, but poorly controlled risks can be reduced through diversification of production and use of a reserve supply of system resources. Each of these risk-reduction tool has both some advantages and disadvantages, so generally use a combination of these instruments "suppression" of risks. The development of risk management science largely viewed from the perspective of the risks of financial institutions in a relatively stable economic environment. The need to consider the risks of industrial enterprises in the unstable political, economic and social conditions require adjustments to the current principles of risk management and further justification effectiveness of the risk analysis methods [4, p. 80]. Currently, there are two theory approach to determining the risk. In the first approach (Lapusta MG, Sharshukova LG) are based on the outcome of the event, and the risk is considered as an opportunity or a threat of rejection of the results of specific decisions or actions of the expected [2, p. 112]. The second approach (Stanislavchik E.) considered himself the risk of the phenomenon as an action aimed at achieving specific goals related to the elements of danger, threat of loss or failure [3, p. 33]. The main objective of risk management systems in any field is the most effective use of science and the limited funds available to make the results of the most predictable (that is, as far as possible to reduce uncertainty about the results of the data). Analyzing the risk structure, it is possible to identify the main ways to change (ie. E. Control) due to the impact on the individual elements of risk. Removing at least one basic element entails the risk of extinction. By reducing the probability of a transition between the elements or the severity of the consequences, you can reduce the risk. In fact, studies show B.C.Stupakova and GS Tokarenko, one of the main causes of ineffective risk management is the lack of clear and precise methodological foundations of this process. A study cited in the literature of the principles of risk management haphazard and piecemeal, and individual attempts to systematize the inherent set of controversial issues [4, p. 9]. All of the above leads to the conclusion that in order to effectively analyze all the variety of risks in the enterprise need to apply a set of methods, which, in turn, confirms the relevance of developing an integrated risk management framework. In today's economic conditions, characterized by political, economic and social instability that exists in the enterprise management system must include a mechanism for risk management. The first stage of the formation mechanism of risk management at the company is to provide risk management services. At the present stage of development of the Russian economy the purpose of this service is to minimize losses by monitoring the activity of the enterprise, analysis of all the factors riskoobrazuyuschih, make recommendations to mitigate risks and control over their implementation. It is important to determine the place of service in the organizational structure of the enterprise, to define the rights and responsibilities of its personnel and to inform employees about the service functions and the nature of its activity [4, p. 55]. The final stage of the development program is to develop a set of measures to reduce risks with an indication of the intended effect of their implementation, implementation deadlines, sources of funding and the persons responsible for the implementation of this program. The program must be approved by management and taken into account in the financial and operational planning [5, p. 116]. In the process of implementation of the program of risk management services professionals need to analyze the effectiveness of the decisions taken and, where necessary to ensure the adjustment of goals and means to minimize the risks. It is recommended to accumulate all the information about errors and shortcomings of the program of development that emerged in the course of its implementation. This approach will allow for the development of subsequent programs of measures to reduce risks to a level of quality using the new acquired knowledge about the risk [6]. In conclusion, we emphasize that the mechanism of enterprise risk management in the current economic conditions should have a clear hierarchical structure with the need to adjust it according to the results of the program of measures to reduce risks and taking into account the varying impacts. The analysis of works of domestic and foreign research theory and risk minimization practices, current status and trends of the national economy, the problems and peculiarities of the activity of the real sector enterprises proves the relevance and timeliness of the development of enterprise risk management mechanism in the current economic conditions and leads to the conclusion about the necessity of its implementation in practice the activities of financial and economic departments of economic entities. Conclusion. The aim of the work was achieved, it was determined the risk is an integral part of business. The risk is estimated as the probability of losses arising from or additional costs, or reduce the amount of output against the expected. Completely eliminate the risk within the market system will never succeed. Risk management in the evaluation and predictive calculation requires knowledge of the classification of types of risk that vary by time factors, the area of ​​origin, taking into account the nature. In carrying out entrepreneurial activity is important not to avoid risk, and try to reduce it, to relate to each other possible losses and profits. To this end, it is important to be able to calculate the probability of high-risk operations as well as potential losses from risk. For risk prediction used a variety of methods, combined in the following groups: statistical methods; feasibility study costs; analytical; analogy method; method of expert evaluations and expert systems. What unites these methods is that they operate on the specific risk of deterministic values ​​and calculations do not take into account the random component of the evolution of the economic situation. To solve the problem of the formation of the resource base of the bank is necessary to intensify efforts to increase the number of contributors. Therefore, banks need to develop competent deposit policy, which is based on the attraction of financial resources put from other sources and maintaining the balance of liabilities to assets on terms, volumes and interest rates. Accounting for financial risks to become an integral part of the production process, often affecting the very direction of its development. The use of financial instruments when determining the right risks, avoids possible negative consequences in volatile market conditions. Начальник отдела Судебные приставы по ОУПДС Судебные приставы - исполнители Старшие специалисты (по информатизации) Инспекторы делопроизводители Главный специалист-эксперт (дознаватель) Ведущий специалист-эксперт (депозит) Заместители начальника отдела Старшие специалисты (помощники СПИ)