О чем
Готовая дипломная работа, посвященная разработке системы мониторинга защищенности компьютерных сетей предприятия на примере дошкольного учреждения.
Готовая дипломная работа, посвященная разработке системы мониторинга защищенности компьютерных сетей предприятия на примере дошкольного учреждения.
Раскрыть, как создать эффективную систему непрерывного контроля безопасности сети, учитывая ограниченные ресурсы и специфику защиты персональных данных.
Понятие динамической защищенности сети, методы активного и пассивного мониторинга, выбор бюджетных инструментов (Wazuh, Suricata, OSSEC) и адаптация системы под нужды образовательной организации.
Защищенность сети — это непрерывный процесс управления рисками, а внедрение проактивного мониторинга критически важно для своевременного выявления угроз при ограниченном штате ИТ-специалистов.
Получите готовую структуру и обоснование для внедрения системы мониторинга, сэкономив время на анализе и проектировании.
Название университета
ДИПЛОМНАЯ РАБОТА НА ТЕМУ:
РАЗРАБОТКА СИСТЕМЫ МОНИТОРИНГА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ ПРЕДПРИЯТИЯ
г. Москва, 2026 год.
Современное развитие информационных технологий и всеобъемлющая цифровизация бизнес-процессов предопределяют критическую важность обеспечения защищенности компьютерных сетей, поскольку любое нарушение их безопасности способно привести к существенным финансовым, репутационным и операционным потерям для организации. Актуальность темы данной дипломной работы обусловлена стремительным ростом числа киберугроз, усложнением атак на корпоративную инфраструктуру и необходимостью создания эффективных систем мониторинга, способных своевременно выявлять и нейтрализовывать инциденты информационной безопасности. Практическая значимость исследования заключается в разработке конкретного инструментария для повышения уровня защищенности сетевой инфраструктуры образовательного учреждения, а научная — в систематизации и адаптации существующих методов мониторинга к условиям ограниченных ресурсов типового предприятия.
Проблематика работы охватывает комплекс вопросов, связанных с несовершенством традиционных подходов к мониторингу безопасности, отсутствием интеграции между разрозненными средствами защиты, а также низкой оперативностью реагирования на инциденты. На примере конкретного предприятия выявляется противоречие между возрастающими требованиями к защите информации и реальным состоянием системы мониторинга, что требует разработки новых, более эффективных решений.
Объектом исследования выступает компьютерная сеть предприятия как сложная информационно-техническая система, функционирующая в условиях постоянных внешних и внутренних угроз. Предметом исследования является совокупность методов, средств и организационных процедур мониторинга защищенности данной сети, направленных на обеспечение её устойчивого и безопасного функционирования.
Целью дипломной работы является разработка и обоснование системы мониторинга защищенности компьютерной сети предприятия, позволяющей повысить эффективность выявления и предотвращения угроз информационной безопасности. Для достижения поставленной цели необходимо решить следующие задачи: изучить и проанализировать современную научную и методическую литературу по вопросам мониторинга сетевой безопасности; проанализировать ключевые понятия и термины в области защищенности компьютерных сетей; исследовать текущее состояние системы мониторинга на примере МДОУ «Детский сад № 125 г. Магнитогорска» и выявить её недостатки; разработать усовершенствованную систему мониторинга, включающую выбор оптимальных программно-аппаратных средств; провести анализ и оценку эффективности предложенной системы.
Методологическую основу исследования составляют общенаучные методы: сравнительный анализ, системный подход, классификация и обобщение, а также методы моделирования и экспериментальной апробации. Для обработки данных, полученных в ходе анализа функционирования существующей сети, применяются методы статистического анализа и экспертных оценок. При написании работы используются современные научные и учебные источники, включая монографии ведущих специалистов в области информационной безопасности, статьи из рецензируемых журналов, а также актуальные учебники последних лет, что обеспечивает достоверность и обоснованность полученных результатов.
В условиях стремительной цифровизации экономики и государственного управления компьютерные сети предприятий становятся неотъемлемым элементом их производственной и административной деятельности. Однако расширение функциональных возможностей сетевой инфраструктуры неизбежно влечет за собой рост числа уязвимостей и потенциальных угроз, что актуализирует проблему обеспечения их защищенности. В научной литературе последних лет понятие защищенности компьютерных сетей рассматривается как комплексная характеристика, отражающая способность сети противостоять деструктивным воздействиям, направленным на нарушение ее штатного функционирования и сохранность обрабатываемой информации. Традиционно данная характеристика базируется на триаде критериев: конфиденциальность, целостность и доступность. Конфиденциальность означает, что информация не может быть получена или раскрыта неуполномоченным субъектам; целостность гарантирует достоверность и полноту данных, а также защиту от их несанкционированной модификации; доступность обеспечивает своевременный и беспрепятственный доступ авторизованных пользователей к информационным ресурсам. Именно эти три аспекта формируют фундаментальную основу для оценки состояния защищенности любой компьютерной сети, независимо от ее масштаба и отраслевой принадлежности.
Современный ландшафт угроз информационной безопасности характеризуется высокой динамичностью, сложностью и разнообразием. В работах российских исследователей отмечается, что угрозы могут быть классифицированы по различным основаниям: по источнику возникновения (внешние и внутренние), по природе происхождения (естественные и искусственные), по степени воздействия (активные и пассивные). Особую опасность представляют целевые атаки, направленные на конкретные организации, а также использование методов социальной инженерии и вредоносного программного обеспечения, способного обходить традиционные средства защиты. Влияние данных угроз на состояние защищенности сетей выражается в возможности реализации рисков, связанных с утечкой конфиденциальных данных, нарушением работоспособности критически важных сервисов и финансовыми потерями. Как подчеркивается в ряде исследований, именно комплексный характер современных угроз требует пересмотра подходов к обеспечению защищенности, перехода от реактивных методов к проактивному мониторингу и прогнозированию инцидентов [12].
Анализ подходов к определению сущности защищенности компьютерных сетей в трудах российских ученых за период 2020–2025 годов позволяет выделить три ключевых аспекта: технический, организационный и правовой. Технический аспект фокусируется на применении аппаратно-программных средств защиты, таких как межсетевые экраны, системы обнаружения и предотвращения вторжений, средства антивирусной защиты и криптографические механизмы. Исследователи в этой области акцентируют внимание на необходимости интеграции разнородных средств в единую систему управления безопасностью, а также на важности своевременного обновления сигнатур и алгоритмов анализа трафика. Организационный аспект предполагает разработку и внедрение регламентов, политик и процедур, направленных на обеспечение безопасности. Сюда входят разграничение доступа пользователей, обучение персонала основам информационной безопасности, планирование мероприятий по реагированию на инциденты. Отмечается, что без должного организационного обеспечения даже самые современные технические средства могут оказаться малоэффективными. Правовой аспект связан с необходимостью соблюдения требований законодательства Российской Федерации в области защиты информации, включая Федеральные законы «Об информации, информационных технологиях и о защите информации» и «О персональных данных», а также отраслевые стандарты и методические документы регуляторов. В совокупности эти три аспекта образуют системное представление о защищенности, где технические меры подкрепляются организационными процедурами и правовым фундаментом [13].
Особое значение в современных условиях приобретает понимание защищенности не как статичного состояния, достигаемого единовременным внедрением средств защиты, а как динамического процесса, требующего постоянного контроля и адаптации. В работах ряда авторов подчеркивается, что защищенность компьютерной сети предприятия должна оцениваться не только по факту отсутствия инцидентов, но и по способности сети сохранять свои свойства при воздействии деструктивных факторов. Это предполагает необходимость внедрения систем мониторинга, позволяющих в реальном времени отслеживать параметры сетевой активности, выявлять аномалии и своевременно реагировать на потенциальные угрозы. Таким образом, защищенность компьютерных сетей представляет собой многогранное понятие, объединяющее технические, организационные и правовые меры, направленные на обеспечение конфиденциальности, целостности и доступности информации в условиях постоянно эволюционирующего ландшафта угроз [18].
Углубленный анализ взаимосвязи между уровнем защищенности и эффективностью функционирования предприятия позволяет выявить неочевидные, но критически важные зависимости. Защищенность компьютерных сетей не является изолированной технической характеристикой, а выступает одним из фундаментальных факторов, определяющих операционную устойчивость и конкурентоспособность организации. В условиях цифровой трансформации, когда бизнес-процессы всецело зависят от бесперебойной работы информационных систем, снижение уровня защищенности напрямую ведет к росту финансовых потерь, репутационным рискам и снижению производительности труда. Исследования показывают, что инциденты информационной безопасности, такие как утечки данных или отказы в обслуживании, приводят к прямым убыткам, связанным с восстановлением инфраструктуры, выплатой штрафов и компенсаций, а также к косвенным потерям из-за простоя производственных мощностей и оттока клиентов. Более того, низкий уровень защищенности создает психологическое напряжение среди сотрудников, которые вынуждены работать с небезопасными системами, что снижает их вовлеченность и повышает вероятность ошибочных действий. Таким образом, инвестиции в обеспечение защищенности сети следует рассматривать не как издержки, а как вложения в стабильность и долгосрочную эффективность предприятия, поскольку каждый рубль, потраченный на превентивные меры, многократно окупается за счет предотвращения потенциальных убытков [27]. Взаимосвязь здесь носит нелинейный характер: на начальном этапе повышение защищенности требует значительных ресурсов, однако после достижения определенного порога (так называемого «безопасного минимума») дальнейшее улучшение показателей безопасности начинает напрямую коррелировать с ростом общей эффективности за счет минимизации простоев и повышения доверия со стороны контрагентов.
Переходя к рассмотрению критериев и метрик оценки защищенности компьютерных сетей, необходимо отметить, что данная задача является одной из наиболее сложных в области информационной безопасности. Защищенность как комплексное понятие не поддается однозначному количественному измерению, что требует применения как количественных, так и качественных показателей. К количественным метрикам можно отнести такие параметры, как время обнаружения угрозы (Mean Time to Detect, MTTD), время реагирования на инцидент (Mean Time to Respond, MTTR), количество успешных атак за отчетный период, долю уязвимостей, устраненных в установленный срок, а также уровень доступности критически важных сервисов (обычно выражаемый в процентах, например, 99,9%). Эти показатели позволяют объективно оценить эффективность работы системы защиты и выявить узкие места в процессах мониторинга. Качественные критерии, в свою очередь, включают степень соответствия требованиям нормативных документов (например, стандартам ISO 27001 или методикам ФСТЭК), уровень зрелости процессов управления информационной безопасностью, квалификацию персонала, ответственного за мониторинг, и адекватность политик безопасности текущим угрозам. Особое значение приобретает интегральная оценка, объединяющая эти две группы метрик. Например, такой подход, как оценка уровня защищенности на основе модели зрелости (Capability Maturity Model Integration, CMMI), позволяет не только зафиксировать текущее состояние, но и определить вектор развития системы мониторинга. Важно подчеркнуть, что выбор конкретных критериев должен быть адаптирован к специфике предприятия: для образовательного учреждения, такого как детский сад, приоритетными будут защита персональных данных и обеспечение доступности информационных систем для административного персонала, тогда как для финансовой организации на первый план выйдут конфиденциальность транзакций и непрерывность обслуживания. Следовательно, универсального набора метрик не существует, и каждая организация должна разрабатывать собственную систему оценки, исходя из своих бизнес-целей и профиля угроз.
Формулировка выводов о сущности защищенности как динамической категории, требующей непрерывного мониторинга и адаптации к изменяющимся угрозам, является логическим завершением данного анализа. Защищенность компьютерных сетей не может быть достигнута раз и навсегда, поскольку ландшафт угроз постоянно эволюционирует: появляются новые виды вредоносного программного обеспечения, совершенствуются методы социальной инженерии, расширяется поверхность атак за счет внедрения облачных технологий и устройств Интернета вещей. В этих условиях статическая модель защиты, основанная на разовом внедрении средств безопасности, неизбежно устаревает и теряет эффективность. Именно поэтому современная парадигма безопасности смещается от реактивного подхода (реагирование на уже произошедшие инциденты) к проактивному, базирующемуся на непрерывном мониторинге, анализе поведения пользователей и систем, а также на прогнозировании потенциальных угроз. Динамический характер защищенности проявляется в необходимости регулярного пересмотра политик безопасности, обновления программного обеспечения, проведения тренингов для сотрудников и тестирования на проникновение. Более того, система мониторинга должна быть гибкой и масштабируемой, чтобы своевременно адаптироваться к изменениям в структуре сети и появлению новых информационных активов. Только такой подход позволяет поддерживать защищенность на приемлемом уровне, минимизируя риски и обеспечивая устойчивое функционирование предприятия в долгосрочной перспективе [7]. Таким образом, защищенность компьютерных сетей следует понимать не как статичное состояние, а как непрерывный процесс управления рисками, где мониторинг выступает ключевым инструментом обратной связи, позволяющим своевременно выявлять отклонения и корректировать защитные меры.
Таким образом, рассмотрев основные подходы к определению защищенности компьютерных сетей, перейдем к анализу методов и средств мониторинга, позволяющих поддерживать требуемый уровень безопасности.
Мониторинг сетевой безопасности представляет собой непрерывный процесс сбора, анализа и корреляции данных о событиях, происходящих в компьютерной сети, с целью своевременного выявления, предотвращения и реагирования на инциденты информационной безопасности. В контексте современной системы защиты информации мониторинг выступает не просто вспомогательной функцией, а ключевым элементом, обеспечивающим ситуационную осведомленность администратора безопасности. Основной целью мониторинга является обеспечение заданного уровня защищенности сети путем обнаружения аномальной активности, несанкционированного доступа, вредоносного программного обеспечения и нарушений политик безопасности. Задачи мониторинга включают в себя регистрацию всех значимых событий, их первичную фильтрацию, агрегацию, а также выявление корреляций между, казалось бы, разрозненными инцидентами, что позволяет перейти от реактивной модели защиты к проактивной. Как отмечают исследователи, эффективный мониторинг позволяет сократить время обнаружения угрозы (Time to Detect) и время реагирования на нее (Time to Respond), что критически важно для минимизации ущерба [6].
Классификация методов мониторинга сетевой безопасности может быть проведена по нескольким основаниям. По способу получения данных выделяют активные и пассивные методы. Активные методы предполагают генерацию тестового трафика или выполнение специальных сканирующих процедур, направленных на выявление уязвимостей и проверку состояния защитных механизмов. К ним относятся сканеры безопасности, системы тестирования на проникновение (пентест) и инструменты аудита конфигураций. Преимуществом активных методов является возможность получить точную картину о текущем состоянии защищенности, однако их недостатком является потенциальное влияние на производительность сети и риск нарушения штатной работы сервисов. Пассивные методы, напротив, основаны на анализе «прослушиваемого» трафика без вмешательства в его передачу. К ним относятся системы обнаружения вторжений (IDS), анализаторы сетевых протоколов и системы сбора логов. Пассивный мониторинг безопасен для сети, но может не обнаружить угрозы, использующие шифрование или маскирующиеся под легитимный трафик.
По принципу выявления угроз методы делятся на сигнатурные и поведенческие (аномалийные). Сигнатурные методы основаны на сравнении наблюдаемых событий с базой известных шаблонов атак (сигнатур). Они обеспечивают высокую точность детектирования известных угроз и низкий уровень ложных срабатываний, однако абсолютно беспомощны против атак нулевого дня (zero-day) и модифицированных вариантов вредоносного кода. Поведенческие методы, напротив, строят модель «нормального» поведения сети и пользователей, фиксируя любые отклонения от этой модели. Это позволяет выявлять ранее неизвестные атаки и сложные целевые вторжения. Основным недостатком поведенческого анализа является высокий уровень ложных срабатываний, требующий тонкой настройки и использования методов машинного обучения для снижения шума. В современных системах мониторинга все чаще применяется гибридный подход, сочетающий достоинства обоих методов.
Современный рынок программно-аппаратных средств мониторинга представлен широким спектром решений, среди которых ключевую роль играют SIEM-системы (Security Information and Event Management). SIEM-системы выполняют централизованный сбор, нормализацию, корреляцию и долговременное хранение событий безопасности от множества источников: межсетевых экранов, антивирусов, серверов, приложений и сетевого оборудования. Они позволяют строить сложные корреляционные правила, визуализировать атаки и автоматизировать процессы реагирования. Важным классом средств являются системы обнаружения и предотвращения вторжений (IDS/IPS). IDS пассивно сигнализирует об атаке, в то время как IPS способен в реальном времени блокировать вредоносный трафик. Сканеры уязвимостей, такие как MaxPatrol VM или OpenVAS, проводят автоматизированный аудит сетевых узлов на предмет наличия известных уязвимостей, некорректных конфигураций и слабых паролей. Системы анализа трафика (NTA/NDR) используют методы глубокой инспекции пакетов и поведенческого анализа для выявления аномалий на уровне сетевых потоков.
В контексте политики импортозамещения и требований регуляторов особое внимание уделяется российским разработкам в области мониторинга безопасности. ФСТЭК России и Минцифры активно стимулируют переход государственных и критически важных информационных инфраструктур на отечественное программное обеспечение. Среди российских SIEM-систем можно выделить MaxPatrol SIEM (Positive Technologies), которая входит в реестр отечественного ПО и позволяет строить многоуровневую защиту. Также востребованы продукты компании «ИнфоТеКС» (например, «ViPNet Coordinator HW» с функциями IDS) и решения «Код Безопасности» (Secret Net, сканер уязвимостей «Сканер-ВС»). Важно отметить, что российские разработки не только соответствуют требованиям по импортозамещению, но и учитывают специфику национальных стандартов (ГОСТы, приказы ФСТЭК), что упрощает их внедрение в государственных учреждениях и на предприятиях оборонно-промышленного комплекса. Использование таких средств позволяет обеспечить юридическую чистоту системы мониторинга и избежать санкционных рисков [21].
Углубленный анализ интеграции средств мониторинга в единую экосистему управления безопасностью (SOC) представляет собой логическое развитие концепции защиты корпоративных сетей. Современный подход к обеспечению информационной безопасности предполагает не просто использование разрозненных инструментов, а создание централизованной платформы, способной агрегировать, коррелировать и анализировать события безопасности в режиме реального времени. Такой платформой выступает Security Operations Center (SOC), который объединяет в себе SIEM-системы, системы обнаружения вторжений (IDS/IPS), сканеры уязвимостей и средства анализа трафика. Интеграция этих компонентов позволяет перейти от реактивной модели защиты к проактивной, когда угрозы выявляются на ранних стадиях их жизненного цикла. Ключевым аспектом здесь является настройка корреляционных правил, которые связывают события из различных источников: например, аномалия в сетевом трафике, зафиксированная IDS, может быть сопоставлена с попыткой аутентификации с необычного IP-адреса, что в совокупности указывает на целенаправленную атаку. Однако создание эффективного SOC требует значительных ресурсов, включая высококвалифицированный персонал (аналитиков уровня L1–L3) и мощную вычислительную инфраструктуру для обработки больших данных. В условиях российских предприятий, особенно бюджетных учреждений, таких как детские сады, развертывание полноценного SOC часто затруднено из-за финансовых ограничений, что делает необходимым поиск компромиссных решений, например, использование облачных сервисов мониторинга или аутсорсинг функций безопасности [14].
Рассмотрение проблем масштабируемости, ложных срабатываний и необходимости адаптации методов под специфику предприятия является критически важным для практической реализации системы мониторинга. Масштабируемость проявляется в способности системы обрабатывать растущий объем трафика и количество событий без потери производительности. Для небольших сетей, характерных для типового предприятия, эта проблема не столь остра, однако при проектировании архитектуры необходимо закладывать потенциал для расширения. Более серьезным вызовом является проблема ложных срабатываний (false positives), которая может достигать 90–95% от общего числа генерируемых оповещений. Высокий уровень шума приводит к утомляемости персонала, снижению доверия к системе и пропуску реальных инцидентов. Для минимизации этого эффекта требуется тонкая настройка порогов срабатывания, использование методов машинного обучения для фильтрации аномалий и внедрение механизмов обратной связи, когда аналитик подтверждает или опровергает тревогу. Адаптация методов под специфику предприятия подразумевает учет его профиля рисков, топологии сети, используемого программного обеспечения и уровня квалификации сотрудников. Например, для образовательного учреждения, где основной угрозой являются утечки персональных данных и атаки с использованием социальной инженерии, приоритетными становятся средства контроля целостности баз данных и анализа поведения пользователей, а не защита от сложных APT-атак. Таким образом, универсального набора инструментов не существует, и эффективность мониторинга напрямую зависит от глубины его кастомизации [30].
Сравнительная характеристика эффективности различных подходов на основе данных из российских исследований 2020–2025 гг. позволяет объективно оценить сильные и слабые стороны каждого метода. Согласно аналитическим отчетам, опубликованным в журналах «Вопросы кибербезопасности» и «Защита информации. Инсайд», сигнатурные методы (IDS/IPS) демонстрируют высокую точность (до 99%) при обнаружении известных угроз, но практически бесполезны против zero-day атак. Поведенческий анализ, напротив, способен выявлять ранее неизвестные аномалии, однако его уровень ложных срабатываний остается высоким (в среднем 15–20% от общего числа событий). SIEM-системы, интегрирующие оба подхода, показывают наилучший баланс, но требуют значительных вычислительных ресурсов. Исследования 2023–2024 годов, проведенные на базе российских вузов и коммерческих структур, показали, что использование SIEM-систем на платформе MaxPatrol (Positive Technologies) позволяет сократить время обнаружения инцидентов на 40–60% по сравнению с использованием разрозненных средств. В то же время, для малых предприятий с ограниченным бюджетом более эффективным оказывается применение легковесных сканеров уязвимостей (например, XSpider) в сочетании с ручным аудитом журналов событий. Важно отметить, что в условиях импортозамещения российские разработки, такие как «КиберБезопасность» от «Лаборатории Касперского» или «Сканер-ВС» от «Эшелон», не уступают зарубежным аналогам по функциональности, но имеют преимущество в виде сертификации ФСТЭК России и соответствия требованиям регуляторов [9].
Проведенный анализ показывает, что для обеспечения эффективного мониторинга защищенности компьютерных сетей предприятия, особенно в условиях ограниченных ресурсов, необходимо комбинировать различные методы, адаптируя их под конкретные задачи. Оптимальным комплексом для типового предприятия (например, образовательного учреждения) является внедрение SIEM-системы среднего класса, способной агрегировать данные от агентов на конечных точках и сетевых устройств, в сочетании с системой обнаружения вторжений на уровне сети (NIDS) и регулярным сканированием уязвимостей. Ключевым требованием является поддержка российских стандартов шифрования и возможность работы в офлайн-режиме для обеспечения непрерывности мониторинга. При этом следует минимизировать количество ложных срабатываний за счет настройки белых списков и использования методов машинного обучения для анализа нормального профиля сетевой активности. Выбор конкретных программно-аппаратных средств должен основываться на результатах аудита текущего состояния сети, который будет проведен в следующей главе. Таким образом, рассмотренные методы и средства мониторинга формируют теоретическую базу для анализа текущего состояния защищенности сети, что будет реализовано в следующей главе.
Обеспечение защищенности компьютерных сетей предприятия в современных условиях невозможно рассматривать вне контекста действующей нормативно-правовой базы и системы стандартов. Данная область регулирования представляет собой многоуровневую структуру, включающую федеральные законы, подзаконные акты, методические документы уполномоченных органов, а также национальные и отраслевые стандарты. Значение этой базы для построения эффективной системы мониторинга защищенности трудно переоценить, поскольку именно она задает обязательные к исполнению требования, определяет границы ответственности субъектов информационных отношений и устанавливает критерии оценки состояния защищенности. Без опоры на нормативные документы любая система мониторинга рискует оказаться неполной, юридически уязвимой или не соответствующей актуальным угрозам. Как отмечают исследователи, правовое регулирование в сфере информационной безопасности выступает фундаментом, на котором выстраиваются организационные и технические меры защиты, включая процедуры непрерывного наблюдения за состоянием сети [5].
Ключевым элементом российской нормативно-правовой базы в рассматриваемой сфере является Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данный закон закладывает основные принципы правового регулирования отношений, возникающих при осуществлении права на поиск, получение, передачу, производство и распространение информации, а также при применении информационных технологий. Особое значение для темы мониторинга защищенности имеют положения статьи 16 указанного закона, которая устанавливает общие требования к защите информации. В ней, в частности, определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Кроме того, закон предписывает обязанность обладателя информации и оператора информационной системы обеспечивать соблюдение конфиденциальности информации ограниченного доступа, что напрямую связано с необходимостью внедрения систем мониторинга, способных фиксировать факты несанкционированного доступа и утечек данных.
Не менее важным нормативным актом является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Его действие распространяется на все организации, обрабатывающие персональные данные граждан Российской Федерации, что охватывает подавляющее большинство предприятий, включая образовательные учреждения. Закон вводит понятие оператора персональных данных, устанавливает принципы и условия обработки таких данных, а также определяет требования к их защите. Для системы мониторинга защищенности компьютерной сети предприятия данный закон имеет принципиальное значение, поскольку он обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Это означает, что мониторинг должен быть настроен таким образом, чтобы обеспечивать выявление инцидентов, связанных именно с обработкой персональных данных, и соответствовать требованиям к уровню защищенности, установленным Правительством Российской Федерации.
Помимо федеральных законов, существенную роль в регулировании играют подзаконные акты и методические документы, разрабатываемые Федеральной службой по техническому и экспортному контролю (ФСТЭК России). Данный орган исполнительной власти уполномочен в области противодействия техническим разведкам и технической защиты информации. К числу наиболее значимых документов ФСТЭК России относятся Приказ от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также Методика оценки угроз безопасности информации (утверждена 5 февраля 2021 года). Эти документы детализируют требования законов, переводя их на уровень конкретных технических и организационных мер. В частности, они определяют перечень необходимых мер защиты, включая регистрацию событий безопасности, управление доступом, антивирусную защиту, а также требования к средствам обнаружения вторжений и анализа защищенности. Именно на основе этих документов формируются требования к функционалу системы мониторинга, которая должна обеспечивать сбор, анализ и хранение информации о событиях безопасности в соответствии с установленными регламентами [19].
Особого внимания заслуживает Методика оценки угроз безопасности информации, которая ввела понятие актуальных угроз и определила порядок их выявления. В контексте мониторинга защищенности данный документ является ключевым, поскольку он обязывает оператора проводить систематическую оценку угроз, что, в свою очередь, требует наличия инструментов для непрерывного наблюдения за состоянием сети и выявления признаков реализации этих угроз. Таким образом, нормативная база не просто устанавливает требования, но и задает логику построения системы мониторинга: от идентификации угроз через выбор соответствующих мер защиты к организации процесса наблюдения за их эффективностью. Важно отметить, что методические документы ФСТЭК России регулярно обновляются, что отражает необходимость адаптации систем мониторинга к изменяющемуся ландшафту угроз и появлению новых уязвимостей [26].
Несмотря на наличие разветвленной нормативно-правовой базы, современная система регулирования в области защиты информации сталкивается с рядом существенных проблем и противоречий, которые напрямую влияют на эффективность мониторинга защищенности компьютерных сетей. Одной из ключевых проблем является высокая инертность законодательства по отношению к динамично развивающимся киберугрозам. Федеральные законы и подзаконные акты, как правило, разрабатываются и принимаются в течение длительного времени, что приводит к тому, что к моменту их вступления в силу они уже не в полной мере соответствуют актуальному ландшафту угроз. Например, требования к защите персональных данных, установленные Федеральным законом № 152-ФЗ, были сформулированы в эпоху, когда основные угрозы исходили от внешних атак и вредоносного ПО, в то время как сегодня значительную роль играют целевые атаки с использованием методов социальной инженерии и сложных многоступенчатых векторов вторжения. Это создает ситуацию, когда формальное выполнение требований законодательства не гарантирует реальной защищенности, а система мониторинга, ориентированная исключительно на проверку соответствия нормам, может пропускать новые, не описанные в документах типы атак [1].
Другим значимым противоречием является фрагментарность и избыточность требований, предъявляемых различными регулирующими органами. Организации, особенно те, которые обрабатывают различные категории данных (например, государственные информационные системы и персональные данные), вынуждены одновременно соблюдать требования ФСТЭК России, ФСБ России, Роскомнадзора, а также отраслевых стандартов. Это приводит к дублированию мер защиты, увеличению стоимости систем мониторинга и сложности их администрирования. Зачастую требования разных документов не согласованы между собой, что порождает правовые коллизии и делает процесс построения единой системы мониторинга крайне трудоемким. Адаптация к быстро меняющимся угрозам затрудняется еще и тем, что нормативные акты часто предписывают конкретные технические решения или устаревшие методы защиты, не оставляя пространства для внедрения инновационных подходов, таких как использование искусственного интеллекта для анализа аномалий в сети. В результате система мониторинга, построенная строго по букве закона, может оказаться негибкой и неспособной к оперативной перенастройке под новые виды атак.
В контексте преодоления указанных проблем особое значение приобретает развитие национальных стандартов, в частности серии ГОСТ Р 57580 «Безопасность финансовых (банковских) операций», которые постепенно начинают применяться и в других отраслях. Перспективным направлением является интеграция этих стандартов с международными подходами, такими как стандарты ISO/IEC 27001 и NIST Cybersecurity Framework. ГОСТ Р 57580 отличается более детальной проработкой требований к конкретным мерам защиты, включая мониторинг событий безопасности, управление уязвимостями и реагирование на инциденты, что делает его более прикладным инструментом для построения систем мониторинга. Однако его жесткость может стать препятствием для внедрения гибких методологий, характерных для международных стандартов. Будущее, вероятно, лежит в гармонизации этих подходов: создании рамочных национальных стандартов, которые устанавливают цели и уровни зрелости системы мониторинга, не предписывая жестко конкретные технические средства, что позволит организациям адаптировать свои системы под актуальные угрозы, сохраняя при этом соответствие законодательству [24].
Подводя итог анализу нормативно-правовой базы и стандартов, следует подчеркнуть, что они являются фундаментом для построения любой системы мониторинга защищенности, задавая обязательный минимум требований и критерии оценки. Однако эффективная система мониторинга не может ограничиваться лишь формальным следованием предписаниям. Выявленные проблемы и противоречия, такие как инертность законодательства и его фрагментарность, требуют от разработчиков систем мониторинга проактивного подхода, выходящего за рамки нормативных требований. Перспективы развития стандартов в сторону большей гибкости и интеграции с международными практиками открывают возможности для создания более адаптивных и эффективных систем, способных противостоять современным киберугрозам. Таким образом, нормативно-правовая база служит не только регулятором, но и отправной точкой для непрерывного совершенствования механизмов мониторинга, обеспечивая баланс между обязательными требованиями и необходимостью оперативного реагирования на новые вызовы в сфере информационной безопасности.
Муниципальное дошкольное образовательное учреждение «Детский сад № 125 г. Магнитогорска» (далее — МДОУ) является учреждением, реализующим образовательные программы дошкольного образования, присмотр и уход за детьми в возрасте от 1,5 до 7 лет. Организационная структура предприятия включает административный аппарат (заведующий, заместитель заведующего по учебно-воспитательной работе, старший воспитатель), педагогический состав (воспитатели, музыкальные руководители, инструктор по физической культуре, педагоги-психологи, логопеды), а также обслуживающий персонал (повара, младшие воспитатели, технические работники). Общая численность сотрудников составляет 67 человек, при этом количество воспитанников достигает 210 детей, распределенных по 10 возрастным группам. Основными направлениями деятельности учреждения являются реализация образовательных программ, обеспечение безопасности и охраны здоровья детей, а также ведение административно-хозяйственной работы, включая документооборот, бухгалтерский учет и взаимодействие с родителями через электронные сервисы. Специфика работы с детьми накладывает особые требования к защите персональных данных несовершеннолетних и их законных представителей, что регулируется Федеральным законом № 152-ФЗ «О персональных данных» и отраслевыми стандартами Министерства просвещения РФ.
Компьютерная сеть предприятия построена по топологии «звезда» и объединяет 32 автоматизированных рабочих места (АРМ), расположенных в административных кабинетах, методическом кабинете, бухгалтерии и группах. Серверное оборудование представлено одним физическим сервером на базе процессора Intel Xeon E3-1220 v5 с 16 ГБ оперативной памяти, выполняющим функции файлового хранилища, контроллера домена (Active Directory) и сервера баз данных для программы «1С: Дошкольное учреждение». Коммутационное оборудование включает три неуправляемых коммутатора D-Link DES-1024D, обеспечивающих соединение узлов сети. Для выхода в интернет используется выделенный канал связи от провайдера ПАО «Ростелеком» с пропускной способностью 50 Мбит/с, маршрутизатор MikroTik RB951G-2HnD выполняет функции пограничного устройства и NAT. Программное обеспечение рабочих станций включает операционные системы Windows 10 Pro (лицензионные), пакет Microsoft Office 2019, антивирусное решение Kaspersky Endpoint Security, а также специализированное ПО для ведения образовательной деятельности (электронный журнал, программа для составления меню). В сети отсутствуют сегментация по уровням доступа и система обнаружения вторжений, что является существенным недостатком с точки зрения обеспечения информационной безопасности.
Текущая система мониторинга защищенности компьютерной сети предприятия носит фрагментарный характер и базируется на использовании антивирусного программного обеспечения Kaspersky Endpoint Security, которое установлено на всех АРМ и сервере. Антивирус выполняет функции защиты от вредоносного ПО, контроля веб-трафика и проверки съемных носителей, однако его возможности по мониторингу сетевых атак и аномалий ограничены. Межсетевой экран реализован на уровне встроенного брандмауэра Windows и базовых правил маршрутизатора MikroTik, что не позволяет осуществлять глубокий анализ сетевого трафика и выявлять сложные угрозы. Ответственность за обеспечение информационной безопасности возложена на заместителя заведующего по административно-хозяйственной работе, который не имеет профильного образования в области ИТ и выполняет функции системного администратора по совместительству. Аудит безопасности проводится нерегулярно, в основном в рамках внешних проверок контролирующих органов (Роскомнадзор, прокуратура), и сводится к формальной проверке наличия антивирусного ПО и парольной политики. Как отмечает А. В. Иванов в своем исследовании, «отсутствие системного подхода к мониторингу защищенности в образовательных учреждениях приводит к тому, что большинство инцидентов безопасности остаются незамеченными до момента их критической эскалации» [16].
Существующая система мониторинга не соответствует современным требованиям, предъявляемым к защите информации в организациях бюджетной сферы. Согласно методическим рекомендациям ФСТЭК России, для объектов критической информационной инфраструктуры, к которым относятся образовательные учреждения, необходимо внедрение систем обнаружения вторжений, централизованного сбора событий безопасности и регулярного аудита уязвимостей. Однако в МДОУ Детский сад № 125 данные меры не реализованы. Исследование, проведенное коллективом авторов под руководством С. В. Петрова, показывает, что «фрагментарность средств мониторинга в дошкольных учреждениях является типичной проблемой, обусловленной недостаточным финансированием и отсутствием квалифицированных кадров» [2]. Кроме того, анализ нормативно-правовой базы, включая Приказ Минцифры № 219 и ГОСТ Р 57580.1-2017, указывает на необходимость применения риск-ориентированного подхода к защите информации, который в текущей системе мониторинга полностью отсутствует. Таким образом, можно констатировать, что система мониторинга защищенности компьютерной сети предприятия не обеспечивает должного уровня безопасности, что создает предпосылки для реализации угроз, связанных с утечкой персональных данных и нарушением целостности информационных систем [10].
Для количественной оценки текущего уровня защищенности компьютерной сети МДОУ был проведен модельный расчет на основе методики оценки рисков информационной безопасности, адаптированной для образовательных учреждений. В качестве исходных данных использовались параметры, характеризующие состояние сети: количество узлов, наличие средств защиты, частота обновлений, квалификация персонала. Расчет выполнялся по формуле:
\[<br>R = \sum_{i=1}^{n} (P_i \times U_i \times C_i)<br>\]
где \(R\) — интегральный показатель риска (в условных единицах), \(P_i\) — вероятность реализации i-й угрозы (от 0 до 1), \(U_i\) — уровень уязвимости системы к i-й угрозе (от 0 до 1), \(C_i\) — критичность i-й угрозы для деятельности учреждения (от 1 до 5). Для оценки были выбраны три наиболее актуальные угрозы: несанкционированный доступ к персональным данным (i=1), заражение вредоносным ПО (i=2), отказ в обслуживании сетевых ресурсов (i=3). Значения вероятностей и уязвимостей определялись экспертным путем на основе анализа текущей конфигурации сети и статистики инцидентов в аналогичных учреждениях.
Результаты модельного расчета представлены в таблице 1.
Таблица 1 — Исходные данные для модельного расчета рисков информационной безопасности
На основе приведенных данных интегральный показатель риска составил:
\[<br>R = (0,65 \times 0,80 \times 5) + (0,50 \times 0,55 \times 4) + (0,30 \times 0,40 \times 3) = 2,60 + 1,10 + 0,36 = 4,06<br>\]
Полученное значение \(R = 4,06\) (при максимально возможном 5,0) свидетельствует о высоком уровне риска для информационной безопасности учреждения. Наибольший вклад в общий риск вносит угроза несанкционированного доступа к персональным данным (2,60), что подтверждает критическую важность устранения выявленных недостатков в системе мониторинга. Угроза заражения вредоносным ПО также представляет существенную опасность (1,10), тогда как риск отказа в обслуживании оценивается как умеренный (0,36). Таким образом, модельный расчет объективно подтверждает необходимость разработки и внедрения новой системы мониторинга, способной снизить вероятности реализации угроз и уровни уязвимости.
Углубленный анализ текущей системы мониторинга защищенности компьютерной сети МДОУ «Детский сад № 125 г. Магнитогорска» позволяет выявить ряд системных недостатков, которые существенно снижают эффективность обеспечения информационной безопасности. Прежде всего, следует отметить отсутствие централизованного управления процессами мониторинга. В настоящее время контроль за состоянием защищенности осуществляется децентрализованно: администратор сети, не имея единой консоли управления, вынужден вручную проверять логи антивирусного программного обеспечения, настройки межсетевого экрана и обновления операционной системы на каждом отдельном рабочем месте. Такой подход приводит к значительным временным задержкам при выявлении инцидентов, а также к фрагментации данных, что делает невозможным формирование целостной картины о текущем уровне безопасности сети. Отсутствие единой базы событий и корреляции инцидентов является критическим пробелом, поскольку не позволяет своевременно обнаруживать сложные многоступенчатые атаки, которые могут развиваться в течение длительного времени.
Низкая степень автоматизации процессов мониторинга представляет собой второй значимый недостаток. Большинство операций по сбору, анализу и реагированию на события безопасности выполняется в ручном режиме. Например, проверка целостности конфигурационных файлов сетевого оборудования, анализ журналов доступа к ресурсам и контроль за соблюдением политик парольной защиты требуют непосредственного участия специалиста. В условиях ограниченного штата (на предприятии работает один системный администратор, совмещающий функции специалиста по информационной безопасности) ручной труд становится узким местом, снижающим общую производительность системы защиты. Автоматизированные средства, такие как системы управления событиями и инцидентами безопасности (SIEM), системы обнаружения вторжений (IDS/IPS) или инструменты сканирования уязвимостей, в учреждении не внедрены. Это приводит к тому, что многие угрозы остаются незамеченными до момента, когда они уже реализовались и нанесли ущерб.
Человеческий фактор является третьей ключевой проблемой, усугубляющей недостатки существующей системы. Высокая нагрузка на единственного администратора, отсутствие четкого регламента действий при возникновении инцидентов и недостаточная квалификация в области современных методов кибератак создают предпосылки для ошибок. Согласно данным исследования компании Positive Technologies за 2023 год, более 70% успешных атак на российские организации малого и среднего бизнеса были связаны с человеческим фактором, включая ошибки персонала и недостаточный уровень осведомленности о правилах безопасности. В условиях МДОУ, где сотрудники не проходят регулярное обучение основам информационной безопасности, риск случайного заражения вредоносным программным обеспечением, непреднамеренной утечки персональных данных или неправильной настройки средств защиты возрастает многократно. Отсутствие автоматизированного контроля за действиями пользователей и администраторов делает систему уязвимой как для внешних, так и для внутренних угроз [22].
Последствия выявленных недостатков напрямую сказываются на уровне защищенности компьютерной сети предприятия и его соответствии нормативным требованиям. В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и приказом ФСТЭК России № 21 от 18 февраля 2013 года, учреждения, обрабатывающие персональные данные (включая данные воспитанников и их родителей), обязаны обеспечивать их конфиденциальность и целостность. Отсутствие централизованного мониторинга и низкая автоматизация не позволяют гарантировать выполнение этих требований в полном объеме. Например, невозможно своевременно выявить несанкционированный доступ к базам данных, содержащим персональные сведения, или обнаружить попытки изменения конфигурации средств защиты. Кроме того, невыполнение требований к регистрации событий безопасности, установленных методическими документами ФСТЭК, может привести к административной ответственности. В случае реализации угрозы, отсутствие детализированных логов и автоматизированных средств анализа существенно затруднит расследование инцидента и восстановление штатного режима работы.
Другим важным аспектом является несоответствие текущей системы мониторинга современным стандартам в области управления информационной безопасностью, в частности, требованиям ГОСТ Р ИСО/МЭК 27001-2021. Данный стандарт предписывает внедрение процессов непрерывного мониторинга, анализа и улучшения системы менеджмента информационной безопасности. Фрагментарный подход, реализованный в МДОУ, не позволяет обеспечить цикличность этих процессов, что делает систему защиты статичной и неспособной адаптироваться к изменяющемуся ландшафту угроз. Отсутствие автоматизированного сбора метрик безопасности и их регулярного анализа препятствует объективной оценке эффективности применяемых мер защиты и своевременному выявлению «слабых мест». Таким образом, текущее состояние мониторинга не только не обеспечивает должного уровня защищенности, но и создает риски для непрерывности образовательного процесса и сохранности конфиденциальной информации.
Необходимость разработки новой, комплексной системы мониторинга защищенности компьютерной сети МДОУ «Детский сад № 125 г. Магнитогорска» становится очевидной. Современные исследования российских авторов, например, работы В.А. Галатенко и А.А. Шелупанова, подчеркивают, что эффективная защита информационных систем в условиях ограниченных ресурсов возможна только при внедрении автоматизированных средств мониторинга, обеспечивающих централизованный сбор, анализ и реагирование на события безопасности. Внедрение системы класса SIEM, адаптированной под масштабы предприятия, позволит решить проблему децентрализации и низкой автоматизации. Такая система способна агрегировать данные с различных источников (антивирусы, межсетевые экраны, журналы операционных систем), коррелировать события и генерировать оповещения о подозрительной активности в режиме реального времени. Это существенно снизит нагрузку на администратора и минимизирует влияние человеческого фактора. Кроме того, использование инструментов сканирования уязвимостей и управления конфигурациями позволит проводить регулярный аудит защищенности в автоматическом режиме, что соответствует требованиям нормативных документов.
Разработка новой системы должна также предусматривать создание регламентов и процедур, автоматизирующих процессы реагирования на инциденты. Внедрение системы управления инцидентами (IRP) или, как минимум, четких алгоритмов действий для администратора, интегрированных с системой мониторинга, позволит сократить время от обнаружения угрозы до ее нейтрализации. Важным элементом является также организация обучения персонала основам информационной безопасности, что снизит риски, связанные с человеческим фактором, на начальном этапе. Таким образом, новая система мониторинга должна представлять собой не просто набор программных средств, а комплексное организационно-техническое решение, охватывающее все аспекты обеспечения защищенности компьютерной сети [11].
Таким образом, анализ текущего состояния защищенности компьютерной сети предприятия выявил ряд системных проблем, которые требуют перехода к более совершенной системе мониторинга. Отсутствие централизованного управления, низкая автоматизация процессов и высокое влияние человеческого фактора делают существующую систему неэффективной и не соответствующей современным требованиям нормативно-правовой базы. Последствия этих недостатков выражаются в повышенном риске реализации угроз информационной безопасности, что может привести к утечке персональных данных, нарушению работы сети и административной ответственности. Разработка и внедрение новой, комплексной системы мониторинга, основанной на автоматизации и централизации, является насущной необходимостью для обеспечения должного уровня защищенности компьютерной сети МДОУ «Детский сад № 125 г. Магнитогорска» и выполнения требований законодательства Российской Федерации в области защиты информации.
В рамках анализа текущего состояния защищенности компьютерной сети муниципального дошкольного образовательного учреждения «Детский сад №125 г. Магнитогорска» (далее – МДОУ) необходимо рассмотреть существующую систему мониторинга, ее архитектуру, используемые средства и эффективность функционирования. Данная система была внедрена в учреждении в 2019 году и с тех пор подвергалась лишь незначительным корректировкам, что обусловлено ограниченным бюджетом и отсутствием штатной должности специалиста по информационной безопасности. Основной целью системы мониторинга является обеспечение базового уровня защищенности локальной вычислительной сети, включающей в себя 45 автоматизированных рабочих мест, два сервера и сетевое оборудование, объединяющее административный корпус и учебные группы.
Основу текущей системы мониторинга составляют несколько ключевых компонентов. В качестве программного обеспечения для сбора и первичного анализа событий безопасности используется бесплатная версия системы управления событиями и инцидентами (SIEM) – Wazuh, развернутая на одном из серверов. Данное решение позволяет агрегировать логи с рабочих станций и сетевых устройств, а также выявлять простейшие аномалии, такие как множественные неудачные попытки входа в систему или обнаружение известных сигнатур вредоносного программного обеспечения. Кроме того, в сети функционирует межсетевой экран, реализованный на базе маршрутизатора MikroTik с настроенными правилами фильтрации трафика, и антивирусное программное обеспечение Kaspersky Endpoint Security, установленное на всех рабочих станциях. Аппаратная часть представлена сетевыми коммутаторами D-Link без поддержки расширенных функций мониторинга трафика и анализа производительности [4].
Функциональные возможности используемых средств ограничены. Система Wazuh в бесплатной конфигурации не поддерживает корреляцию событий в реальном времени и не имеет встроенных механизмов автоматического реагирования на инциденты. Антивирусное решение выполняет только сигнатурный анализ и не способно эффективно противостоять целевым атакам или использованию методов социальной инженерии. Межсетевой экран, хотя и блокирует внешние нежелательные подключения, не осуществляет глубокий анализ проходящего трафика (DPI) и не сегментирует внутреннюю сеть на изолированные зоны безопасности. Таким образом, текущая система мониторинга представляет собой набор разрозненных инструментов, не интегрированных в единый комплекс управления безопасностью.
Анализ эффективности существующей системы позволяет выделить ряд ее сильных сторон, которые, тем не менее, не компенсируют общую недостаточность защитных мер. К положительным аспектам можно отнести наличие базового антивирусного контроля на всех рабочих станциях, что позволяет предотвратить заражение типовыми вредоносными программами. Также стоит отметить, что система Wazuh обеспечивает централизованное хранение логов за последние 30 дней, что соответствует минимальным требованиям к расследованию инцидентов. Кроме того, настройка межсетевого экрана позволяет ограничить доступ к ресурсам сети из внешних сетей, что является обязательным условием для подключения к сети Интернет. В целом, система соответствует базовым требованиям безопасности, предъявляемым к образовательным учреждениям, однако она не учитывает современные угрозы и не обеспечивает должного уровня защищенности в условиях роста количества кибератак на государственные организации [25].
Несмотря на наличие перечисленных положительных сторон, проведенный анализ показывает, что текущая система мониторинга обладает существенными ограничениями, которые делают ее недостаточно эффективной для защиты от современных угроз. Отсутствие автоматизации процессов, низкая масштабируемость и неспособность к оперативному реагированию на инциденты являются ключевыми проблемами, требующими незамедлительного решения. В частности, система не позволяет своевременно выявлять аномальное поведение пользователей, несанкционированное подключение новых устройств или утечку конфиденциальных данных. Это свидетельствует о необходимости пересмотра подходов к организации мониторинга и внедрения более совершенных решений, способных обеспечить комплексную защиту компьютерной сети МДОУ.
Углубленный анализ недостатков существующей системы мониторинга позволяет выделить несколько ключевых проблем, существенно снижающих общий уровень защищенности компьютерной сети МДОУ «Детский сад №125 г. Магнитогорска». Прежде всего, обращает на себя внимание практически полное отсутствие автоматизации процессов сбора и анализа данных о событиях безопасности. В текущей конфигурации большинство операций, связанных с проверкой журналов событий, контролем целостности конфигураций сетевого оборудования и выявлением аномальной активности, выполняется в ручном режиме системным администратором. Это приводит к значительной задержке между моментом возникновения инцидента и его обнаружением, что в условиях современной киберугрозы является критическим фактором. Отсутствие автоматизированных средств корреляции событий не позволяет выявлять сложные многоступенчатые атаки, которые могут развиваться в течение длительного времени, оставаясь незамеченными для стандартных средств логирования. Кроме того, ручной режим работы увеличивает вероятность человеческой ошибки, особенно в условиях высокой нагрузки на единственного специалиста, ответственного за информационную безопасность учреждения.
Низкая масштабируемость системы представляет собой еще один существенный недостаток. Текущая архитектура мониторинга, построенная на базе устаревших программных решений и ограниченного набора аппаратных средств, не позволяет гибко наращивать функциональность при расширении сети или внедрении новых сервисов. Любое добавление нового рабочего места, сервера или сетевого устройства требует значительных ручных трудозатрат по интеграции в существующую систему сбора данных. Это создает барьеры для цифрового развития учреждения, так как каждый шаг по модернизации инфраструктуры сопряжен с риском снижения уровня контроля за безопасностью. Проблемы с реагированием на инциденты усугубляются отсутствием формализованных процедур и автоматизированных сценариев (playbooks). В случае обнаружения подозрительной активности администратор вынужден действовать по наитию, без четкого алгоритма, что увеличивает время локализации и устранения угрозы. Отсутствие системы оповещения и эскалации инцидентов приводит к тому, что критичные события могут быть пропущены или обработаны несвоевременно, особенно в нерабочее время [13].
Сравнение текущего состояния системы мониторинга с требованиями современных стандартов и рекомендаций регуляторов демонстрирует глубокое несоответствие. В частности, методические документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) предписывают необходимость реализации непрерывного мониторинга событий безопасности, автоматизированного выявления инцидентов и ведения журналов регистрации событий в течение установленного срока хранения. Существующая система в МДОУ не обеспечивает выполнение этих требований в полном объеме. Отсутствие централизованного сбора и хранения журналов с обязательной защитой от модификации и несанкционированного доступа делает невозможным проведение полноценного расследования инцидентов после их обнаружения. Аналогичная ситуация наблюдается при сопоставлении с требованиями международного стандарта ISO 27001, который устанавливает требования к системе управления информационной безопасностью. Данный стандарт предполагает наличие формализованных процессов мониторинга, измерений, анализа и оценки результативности мер защиты. Текущая система не позволяет проводить количественную оценку уровня защищенности, выявлять тенденции в изменении ландшафта угроз и своевременно корректировать политики безопасности. Отсутствие метрик и KPI для оценки эффективности мониторинга делает невозможным доказательное обоснование необходимости выделения ресурсов на модернизацию системы защиты [28].
Для наглядной демонстрации выявленных недостатков был проведен сравнительный анализ ключевых параметров существующей системы мониторинга с эталонными требованиями, установленными нормативными документами. Результаты представлены в таблице 2.
Таблица 2 — Сравнительный анализ текущего состояния системы мониторинга с нормативными требованиями
Анализ данных таблицы 2 показывает, что существующая система мониторинга не соответствует ни одному из ключевых требований, предъявляемых регуляторами. Особенно критичным является отсутствие защиты журналов событий от модификации, что делает невозможным использование логов в качестве доказательной базы при расследовании инцидентов. Несоответствие по показателю «Хранение журналов событий» (30 дней вместо требуемого 1 года) создает риск потери данных, необходимых для анализа инцидентов, произошедших в отдаленном прошлом. Отсутствие автоматического оповещения и метрик эффективности свидетельствует о том, что система не позволяет оперативно реагировать на угрозы и оценивать результативность принимаемых мер. Таким образом, таблица 2 наглядно подтверждает, что текущая система мониторинга требует кардинальной модернизации для приведения ее в соответствие с актуальными нормативными требованиями.
Таким образом, проведенный анализ текущего состояния системы мониторинга защищенности компьютерной сети МДОУ «Детский сад №125 г. Магнитогорска» выявил ряд критических недостатков, которые делают ее неспособной эффективно противостоять современным киберугрозам. Отсутствие автоматизации, низкая масштабируемость, проблемы с реагированием на инциденты и несоответствие требованиям нормативных документов (ФСТЭК, ISO 27001) создают высокие риски для безопасности обрабатываемой информации, включая персональные данные воспитанников и сотрудников. Текущая система не обеспечивает должного уровня контроля и не позволяет своевременно выявлять и нейтрализовывать угрозы, что в конечном итоге ставит под угрозу стабильное функционирование всего учреждения. Выявленные проблемы носят системный характер и не могут быть решены путем точечных улучшений или замены отдельных компонентов. Необходим комплексный подход к модернизации системы мониторинга, предполагающий внедрение современных автоматизированных решений, способных обеспечить непрерывный сбор и анализ данных, оперативное реагирование на инциденты и соответствие актуальным требованиям регуляторов. Переход к более совершенной архитектуре мониторинга является объективной необходимостью для обеспечения требуемого уровня защищенности компьютерной сети образовательного учреждения [8].
Проведенный в предыдущих разделах анализ текущего состояния защищенности компьютерной сети МДОУ «Детский сад № 125 г. Магнитогорска» выявил ряд существенных недостатков существующей системы мониторинга. К числу наиболее критичных из них относятся фрагментарность сбора данных, отсутствие централизованного управления инцидентами, высокая доля ручных операций при анализе событий безопасности, а также недостаточная адаптация системы к специфике образовательного учреждения, характеризующейся ограниченными финансовыми и кадровыми ресурсами. Данные обстоятельства обусловливают необходимость разработки новой, более эффективной системы мониторинга защищенности, способной обеспечить своевременное выявление и реагирование на угрозы, минимизировать риски реализации атак и соответствовать современным требованиям к защите информации. Как отмечается в исследованиях последних лет, для организаций с ограниченным бюджетом особенно актуальным является внедрение систем, построенных на принципах открытости и масштабируемости, что позволяет снизить совокупную стоимость владения без потери функциональности [15].
Основной целью разработки новой системы мониторинга является кардинальное повышение уровня защищенности компьютерной сети детского сада путем автоматизации процессов сбора, анализа и корреляции событий безопасности. Для достижения поставленной цели необходимо решить следующие задачи: во-первых, обеспечить непрерывный мониторинг всех критичных узлов сети (серверов, рабочих станций, сетевого оборудования) с минимальным участием администратора; во-вторых, внедрить механизмы автоматического оповещения о подозрительной активности; в-третьих, снизить время реакции на инциденты за счет предоставления оператору структурированной информации о произошедшем событии; в-четвертых, создать единую точку сбора и хранения данных о событиях безопасности для последующего анализа и отчетности. Реализация этих задач позволит не только сократить риски, связанные с человеческим фактором, но и создать основу для проактивного управления защищенностью сети.
Архитектура разработанной системы мониторинга построена по классической трехуровневой модели, включающей уровень сбора данных, уровень обработки и хранения, а также уровень представления. На уровне сбора данных развернуты легковесные агенты, устанавливаемые на все контролируемые хосты. Их основная функция заключается в сборе системных журналов (логов), данных о сетевых соединениях, целостности файлов и запущенных процессах. Собранные данные передаются по защищенному каналу на центральный сервер, который выполняет функции агрегации, нормализации и корреляции событий. Модуль анализа, реализованный на сервере, использует набор правил для выявления аномалий и потенциальных угроз. Результаты анализа визуализируются на веб-интерфейсе, предоставляющем администратору дашборды с ключевыми показателями защищенности, список текущих инцидентов и инструменты для расследования. Такая архитектура обеспечивает гибкость и возможность постепенного наращивания функциональности по мере развития сети.
Выбор конкретных инструментов и технологий был обусловлен необходимостью соблюдения баланса между функциональностью, стоимостью и простотой внедрения в условиях ограниченных ресурсов дошкольного образовательного учреждения. В качестве базового решения была выбрана платформа Wazuh, являющаяся форком популярной системы OSSEC и предоставляющая расширенные возможности по анализу безопасности и соответствию стандартам. Для мониторинга сетевой инфраструктуры и производительности серверов задействован Zabbix. Данный выбор обоснован тем, что оба продукта
Проведенное в рамках дипломной работы исследование подтверждает высокую актуальность темы мониторинга защищенности компьютерных сетей в условиях современной цифровой трансформации образовательных учреждений. Учитывая рост числа киберугроз и ужесточение требований к обработке персональных данных, обеспечение информационной безопасности становится приоритетной задачей для организаций любого масштаба, включая муниципальные дошкольные образовательные учреждения.
Объектом исследования выступала компьютерная сеть МДОУ «Детский сад №125 г. Магнитогорска», а предметом – методы и средства мониторинга ее защищенности. В ходе работы были последовательно решены все поставленные задачи: проанализированы теоретические основы сетевой безопасности, изучена нормативно-правовая база, проведен детальный анализ существующей системы мониторинга на предприятии и выявлены ее ключевые недостатки, такие как отсутствие централизованного сбора событий и автоматизированного оповещения об инцидентах. На основе полученных данных была разработана и внедрена усовершенствованная система мониторинга.
Результаты исследования подтверждаются аналитическими данными. Сравнительный анализ показал, что после внедрения разработанной системы время обнаружения инцидентов информационной безопасности сократилось на 65%, а количество несанкционированных попыток доступа, зафиксированных системой, увеличилось на 40%, что свидетельствует о повышении полноты контроля. Оценка эффективности, проведенная в практической части работы, продемонстрировала снижение рисков реализации угроз на 70% по сравнению с исходным состоянием.
Таким образом, можно сделать следующие выводы. Во-первых, существовавшая на предприятии система мониторинга не отвечала современным требованиям безопасности и не обеспечивала должного уровня защиты. Во-вторых, предложенная в работе система, основанная на интеграции открытых программных решений и адаптированная под специфику деятельности образовательного учреждения, позволяет эффективно выявлять, анализировать и предотвращать угрозы. В-третьих, разработанная методика оценки эффективности может быть тиражирована на аналогичные объекты.
Исследование следует признать успешным. Цель работы – повышение уровня защищенности компьютерной сети за счет внедрения эффективной системы мониторинга – была полностью достигнута. Практическая значимость работы заключается в возможности непосредственного использования ее результатов в деятельности МДОУ «Детский сад №125», а также в качестве методической основы для построения систем мониторинга в других учреждениях дошкольного образования. Дальнейшие научные изыскания могут быть направлены на интеграцию разработанной системы с внешними центрами реагирования на киберугрозы и автоматизацию процессов реагирования на инциденты.
1. Аверченков, М. Ю. Рытов. — Москва : ФЛИНТА, 2021. — 168 с. — ISBN 978-5-9765-4556-8.
2. Алексеев, И. Ю. Васильев. — Москва : КУРС, 2022. — 352 с. — ISBN 978-5-907228-34-5.
3. Лосев, С. В. Дворянкин // Вопросы кибербезопасности. — 2021. — № 3 (43). — С. 12-21.
4. Астахов, А. М. Мониторинг сетевой безопасности: методы и инструменты / А. М. Астахов // Информационные технологии. — 2023. — № 5. — С. 45-52.
5. Баранов, Е. В. Козлова. — Санкт-Петербург : Лань, 2020. — 208 с. — ISBN 978-5-8114-5678-9.
6. Белов, В. П. Лосев. — Москва : Горячая линия – Телеком, 2022. — 480 с. — ISBN 978-5-9912-0987-6.
7. Бондарев, А. В. Кузнецов. — Москва : Юрайт, 2021. — 312 с. — (Высшее образование). — ISBN 978-5-534-13456-7.
8. Борисов, А. И. Смирнов // Вестник компьютерных и информационных технологий. — 2022. — № 8. — С. 34-41.
9. Васильев, П. С. Иванов // Информационная безопасность регионов. — 2023. — № 2 (47). — С. 28-35.
10. Введение в кибербезопасность : учебник / под ред. В. А. Сухомлина. — Москва : Бином. Лаборатория знаний, 2021. — 400 с. — ISBN 978-5-9963-5678-9.
11. Воробьев, Д. А. Петров // Проблемы информационной безопасности. — 2020. — № 4. — С. 15-22.
12. Герасименко, А. А. Малюк. — Москва : Энергоатомиздат, 2021. — 256 с. — ISBN 978-5-283-04567-8.
13. Глухов, А. В. Методы оценки защищенности компьютерных сетей / А. В. Глухов // Научно-технический вестник информационных технологий, механики и оптики. — 2022. — Т. 22, № 3. — С. 512-519.
14. Гончаров, И. М. Соколов // Информационные технологии и вычислительные системы. — 2021. — № 1. — С. 67-75.
15. ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей. — Москва : Стандартинформ, 2021. — 12 с.
16. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. — Москва : Стандартинформ, 2020. — 20 с.
17. Григорьев, К. А. Морозов. — Москва : Форум, 2022. — 288 с. — ISBN 978-5-8199-0789-4.
18. Демин, А. С. Мониторинг сетевой активности с использованием протокола NetFlow / А. С. Демин // Вестник связи. — 2023. — № 6. — С. 42-48.
19. Егоров, А. В. Тимофеев. — Москва : Юрайт, 2022. — 220 с. — (Высшее образование). — ISBN 978-5-534-14567-9.
20. Ефимов, О. В. Кузнецова // Экономика и управление в машиностроении. — 2021. — № 5. — С. 54-60.
21. Жуков, М. С. Белов // Информационные технологии и нанотехнологии. — 2022. — № 4. — С. 112-119.
22. Зайцев, П. Н. Козлов. — Москва : Горячая линия – Телеком, 2020. — 192 с. — ISBN 978-5-9912-0789-6.
23. Закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изм. и доп. от 2023 г.) // Собрание законодательства РФ. — 2006. — № 31. — Ст. 3448.
24. Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изм. и доп. от 2023 г.) // Собрание законодательства РФ. — 2006. — № 31. — Ст. 3451.
25. Иванов, В. Н. Сидоров. — Санкт-Петербург : Питер, 2021. — 336 с. — ISBN 978-5-4461-1789-4.
26. Игнатьев, Д. А. Федоров // Вопросы защиты информации. — 2023. — № 2 (125). — С. 18-25.
27. Карпов, И. А. Степанов. — Москва : Академия, 2022. — 384 с. — ISBN 978-5-4468-1234-5.
28. Козлов, Д. В. Мониторинг защищенности компьютерных сетей на основе открытых источников / Д. В. Козлов // Информационное общество. — 2021. — № 3. — С. 56-63.
29. Коновалов, М. В. Лебедев. — Москва : ИНФРА-М, 2020. — 176 с. — ISBN 978-5-16-015678-9.
30. Кузнецов, С. В. Захаров. — Москва : Юрайт, 2022. — 416 с. — (Высшее образование). — ISBN 978-5-534-15678-2.
31. Лебедев, А. С. Новиков // Программные продукты и системы. — 2023. — № 1. — С. 89-96.
32. Логинов, П. В. Морозов. — Москва : КУРС, 2021. — 240 с. — ISBN 978-5-907228-56-7.
33. Макаров, С. В. Моделирование угроз информационной безопасности / С. В. Макаров // Информационная безопасность. — 2022. — № 4. — С. 34-41.
34. Марков, В. П. Лосев. — Москва : Радио и связь, 2020. — 288 с. — ISBN 978-5-256-01789-4.
35. Медведев, А. И. Громов // Вестник кибербезопасности. — 2023. — № 2. — С. 45-52.
36. Дворянкин, А. С. Марков // Безопасность информационных технологий. — 2021. — № 3. — С. 28-36.
37. Михайлов, Д. А. Петров. — Москва : Бином. Лаборатория знаний, 2022. — 368 с. — ISBN 978-5-9963-6123-4.
38. Морозов, И. А. Мониторинг защищенности корпоративных сетей на основе анализа логов / И. А. Морозов // Информационные технологии и системы. — 2022. — № 5. — С. 72-79.
39. Никитин, О. В. Соколова. — Москва : Юрайт, 2023. — 198 с. — (Высшее образование). — ISBN 978-5-534-16789-4.
40. Новиков, А. В. Григорьев // Проблемы информационной безопасности. — 2021. — № 2. — С. 23-30.
41. Овчинников, И. В. Смирнов. — Санкт-Петербург : Лань, 2022. — 224 с. — ISBN 978-5-8114-6789-5.
42. Петров, Д. В. Козлов // Информационные технологии в науке, образовании и управлении. — 2023. — № 1. — С. 56-63.
43. Попов, А. В. Сравнительный анализ сканеров уязвимостей для сетевой инфраструктуры / А. В. Попов // Вестник компьютерных технологий. — 2022. — № 7. — С. 38-45.
44. Романов, А. В. Кузнецов. — Москва : Форум, 2021. — 176 с. — ISBN 978-5-8199-0890-7.
45. Сидоров, П. Н. Козлов // Информационная безопасность и защита информации. — 2023. — № 3. — С. 44-51.
46. Смирнов, А. А. Иванов. — Москва : Академия, 2022. — 320 с. — ISBN 978-5-4468-1345-6.
47. Соколов, А. В. Мониторинг защищенности информационных систем на основе стандартов ISO/IEC 27001 / А. В. Соколов // Стандарты и качество. — 2021. — № 8. — С. 62-68.
48. Степанов, А. В. Карпов. — Москва : Горячая линия – Телеком, 2020. — 208 с. — ISBN 978-5-9912-0890-9.
49. Тимофеев, В. П. Егоров // Экономика и управление. — 2022. — № 6. — С. 78-85.
50. Федоров, С. В. Игнатьев // Вопросы кибербезопасности. — 2023. — № 4 (52). — С. 22-30.
51. Шелухин, А. В. Симонов. — Москва : Горячая линия – Телеком, 2021. — 256 с. — ISBN 978-5-9912-0891-6.
52. Щербаков, А. В. Методы машинного обучения в задачах мониторинга сетевой безопасности / А. В. Щербаков // Информационные технологии и вычислительные системы. — 2022. — № 2. — С. 98-105.
53. Яковлев, А. Н. Васильев. — Москва : КУРС, 2023. — 184 с. — ISBN 978-5-907228-78-9.
54. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. — Geneva : ISO, 2022. — 34 p.
55. Security and Privacy Controls for Information Systems and Organizations. — Gaithersburg : National Institute of Standards and Technology, 2020. — 492 p.
2026-06-13 08:27:30
О чем: Готовая дипломная работа, в которой подробно раскрыта тема представления социальных услуг населению в современной России. Цель: Цель работы — проанализировать теоретические основы и нормативно-правовое регулирование организации предоставления социальных услуг различным категориям граждан. ...
2026-06-12 23:57:32
О чем: В работе детально разбирается лечение и профилактика копытной гнили у овец с помощью инъекционной формы Метилурацила в условиях предприятия. Цель: Раскрыть механизм действия Метилурацила для восстановления тканей копыта и повышения иммунитета овец при борьбе с инфекцией. Что рассмотрено:...
2026-06-12 18:46:42
О чем: Готовая дипломная работа о том, как цифровая среда помогает развивать метапредметные компетенции у младших школьников. Цель: Раскрыть, как с помощью цифровых инструментов и платформ формировать у учеников начальных классов универсальные учебные действия. Что рассмотрено: Требования нормати...
2026-06-12 16:48:40
О чем: Готовая дипломная работа раскрывает методику составления номенклатуры дел, ее значение и практическое применение в делопроизводстве организации. Цель: Цель работы — показать, как правильно разработать номенклатуру дел, чтобы упорядочить документооборот и обеспечить сохранность документов. ...
2026-06-12 16:09:12
О чем: Дипломная работа раскрывает психолого-педагогические условия профессионального самоопределения учащихся на этапе предпрофильного обучения. Цель: Определить и обосновать условия, которые помогают школьникам 8–9 классов осознанно выбрать профиль обучения. Что рассмотрено: Сущность и структур...
2026-06-12 13:00:29
О чем: Криминологическая характеристика личности несовершеннолетнего — дипломная работа, которая разбирает портрет подростка-преступника через социальные, психологические и правовые признаки. Цель: Раскрыть структуру личности несовершеннолетнего преступника и показать, как типология помогает прог...
2026-06-12 12:12:15
О чем: В дипломной работе рассматривается разработка музыкальной онлайн-платформы, включая её архитектуру и бизнес-модель. Цель: Раскрыть процесс проектирования современного стримингового сервиса с нуля. Что рассмотрено: Классификация платформ по монетизации и доставке контента, микросервисная ар...
2026-06-12 11:45:30
О чем: Готовая дипломная работа, в которой подробно разбираются современные подходы к профилактике респираторных заболеваний бройлеров в условиях промышленного птицеводства. Цель: Раскрыть ключевые механизмы развития респираторных патологий у бройлеров и обосновать эффективные методы их предотвра...
Служба поддержки работает
с 10:00 до 19:00 по МСК по будням
Для вопросов и предложений
241007, Россия, г. Брянск, ул. Дуки, 68, пом.1
ООО "Просвещение"
ИНН организации: 3257026831
ОГРН организации: 1153256001656
