Аудит информационной безопасности и необходимость его проведения

ФГБОУ ВО НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»

Инженерно-экономический институт

Кафедра информационной и экономической безопасности

Отчет по написанию научно-исследовательской работы на тему:

«Методы и технологии аудита информационной безопасности корпоративных информационных систем»

Выполнил: Никифоров А.А.

Группа ИЭ - 41м - 11

Проверил: Минзов А.С.

 

 

Москва 2016

Содержание

Цель, задачи проекта, краткое описание работы.. 2

Аудит информационной безопасности и необходимость его проведения. 4

Цель работы.. 7

Актуальность. 7

Практическая значимость. 8

Содержание работы.. 8

Методическое обоснование проекта, основные планируемые результаты, в т.ч. оценка влияния проекта на социально- экономическую ситуацию в городе, регионе, федеральном округе, стране. 8

 

Цель, задачи проекта, краткое описание работы

Целью данного дипломного проекта является аудит безопасности информационной сети для предприятия ФБУ «НЦПИ». Необходимо пояснить, что подразумевается под понятием «аудит».

Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании (организации, предприятия) в соответствии с определенными критериями и показателями безопасности.

Актуальность проведенной работы обусловлена тем, что обеспечение безопасности информации – процесс непрерывный, то есть в условиях постоянно изменяющейся обстановки в сфере информационных технологий, в условиях появления все новых угроз конфиденциальности информации, а также и новых технических и программных средств, служащих для реализации этих угроз, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности. В связи с этим возникают вопросы о методах и результатах проведения аудита, ответы на которые и представлены в данном проекте. При этом речь в данном случае идет не о постоянном внутреннем аудите, который должна вести каждая организация, старающаяся наладить свою информационную безопасность, а о внешнем аудите, проводимом сторонней организацией, отличающимся своей независимостью и комплексностью.

Объектом исследования, проведенного в рамках дипломного проекта, стала информационная корпоративная сеть предприятия ФБУ «НЦПИ», а его задачей – выявление ее недостатков и возможностей реализации угроз конфиденциальной информации. Упор был сделан на изучение функционирования информационной сети организации.

Целью исследования, а также и дипломного проекта, стала разработка комплекса мер (рекомендаций) по улучшению системы защиты информации организации на основе выделенных типов угроз и определение приоритетных направлений ее развития на основе анализа надежности полученной системы защиты.

Практическая значимость дипломного проекта заключается в реализации разработанного комплекса мер по защите информации в деятельности ФБУ «НЦПИ», а также в дальнейшем развитии системы защиты информации по выделенным в ходе работы направлениям, что позволит существенно снизить информационные риски в будущем.

Аудит информационной безопасности и необходимость его проведения

В настоящее время информация является одним из самых ценных ресурсов в любой компании (организации, предприятии), а для некоторых – и основным производственным ресурсом, ведь от сохранности информации и бесперебойного доступа к ней нередко зависят важные технологические и бизнес-процессы. Но с развитием информационных технологий также стремительно возрастает риск утечки информации, внешнего вмешательства в работу информационно-телекоммуникационной системы (ИТС), заражение вирусами. Важно осознавать реальное состояние защищенности ценных ресурсов ИТС, чтобы противостоять внешним и внутренним угрозам ее безопасности. В этом реальную помощь может оказать независимое исследование состояния безопасности ИТС – аудит безопасности.

Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной ИТС в соответствии с критериями информационной безопасности.

Для того чтобы оценить реальное состояние защищенности ресурсов ИТС и ее способность противостоять внешним и внутренним угрозам безопасности, необходимо регулярно проводить аудит информационной безопасности.

Аудит информационной безопасности можно разделить на два вида:

ü экспертный аудит информационной безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре аудита;

ü аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», разработанному Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799–2:2002 «Системы управления информационной безопасностью. Спецификация и руководство по применению».

В число задач, которые решаются в ходе проведения аудита информационной безопасности входят:

ü сбор и анализ исходных данных об организационной и функциональной структуре ИТС организации, необходимых для оценки состояния информационной безопасности;

ü анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности;

ü анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности;

ü осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИТС и определение уязвимости в установках защиты данных узлов;

ü формирование рекомендаций по разработке (или доработке) политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности;

ü формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и безопасности ИТС организации.

Цель проведения экспертного аудита информационной безопасности – оценка состояния безопасности ИТС и разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и других ресурсов ИТС от угроз информационной безопасности.

Экспертный аудит информационной безопасности является начальным этапом работ по созданию комплексной системы защиты информации ИТС. Эта подсистема представляет собой совокупность мер организационного и программно-технического уровня, которые направлены на защиту информационных ресурсов ИТС от угроз информационной безопасности, связанных с нарушением доступности, целостности и конфиденциальности хранимой и обрабатываемой информации.

Экспертный аудит информационной безопасности позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения информационной безопасности.

Аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности (СМИБ), обязательных для сертификации. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной СМИБ в контексте существующих бизнес-рисков организации.

Таким образом, результатом проведенного аудита на соответствие международному стандарту ISO/IEC 27001:2005 является:

ü описание области деятельности СМИБ;

ü методику определения существенных активов;

ü список (опись, реестр) существенных активов организации и их ценность (критичность);

ü методику оценки рисков;

ü отчет по оценке рисков;

ü критерии для принятия рисков;

ü заявление о принятии (одобрении) остаточных рисков;

ü план обработки рисков;

ü список политик, руководств, процедур, инструкций, необходимых для функционирования СМИБ организации. Рекомендации по их разработке.

 

Цель работы

Разработка комплекса мер по улучшению системы защиты информации организации на основе выделенных типов угроз и определение приоритетных направлений ее развития на основе анализа надежности полученной системы защиты.

Основные задачи:

ü Изучить специфику деятельности предприятия;

ü Изучить структуру предприятия;

ü Изучить направленность предприятия;

ü Проанализировать систему безопасности предприятия;

ü Познакомиться с основными принципами проведения аудита информационной системы;

ü Анализ существующей системы компьютерной безопасности;

ü Изучить и построить интегрированную бизнес-модель предприятия;

ü Разработать рекомендации по улучшению системы защиты информационной сети ФБУ «НЦПИ».

 

Актуальность

Актуальность проведенной работы обусловлена тем, что обеспечение безопасности информации – процесс непрерывный, то есть в условиях постоянно изменяющейся обстановки в сфере информационных технологий, в условиях появления все новых угроз конфиденциальности информации, а также и новых технических и программных средств, служащих для реализации этих угроз, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности. В связи с этим возникают вопросы о методах и результатах проведения аудита, ответы на которые и представлены в данном проекте. При этом речь в данном случае идет не о постоянном внутреннем аудите, который должна вести каждая организация, старающаяся наладить свою информационную безопасность, а о внешнем аудите, проводимом сторонней организацией, отличающимся своей независимостью и комплексностью.

Практическая значимость

Практическая значимость дипломного проекта заключается в реализации разработанного комплекса мер по защите информации в деятельности ФБУ «НЦПИ», а также в дальнейшем развитии системы защиты информации по выделенным в ходе работы направлениям, что позволит существенно снизить информационные риски в будущем.

Содержание работы

Работа состоит из трёх частей:

ü Первая глава дипломной работы содержит общую информацию о предприятие, его структуре и деятельности.

ü В второй главе раскрывается понятие аудита информационной безопасности, его сути, содержания. Так же описаны критерии, которые необходимо учитывать при работе с информацией, чтобы защитить предприятие от её потери или кражи. Вторая глава посвящена изучению и построению интегрированной бизнес-модели предприятия.

ü Третья глава полностью посвящена разработке рекомендаций по улучшения системы информационной безопасности для ФБЦ «НЦПИ».

Методическое обоснование проекта, основные планируемые результаты, в т.ч. оценка влияния проекта на социально- экономическую ситуацию в городе, регионе, федеральном округе, стране

Результатами проведения аудита информационной безопасности сети предприятия позволяют:

ü выявить значимые угрозы для информации, циркулирующей в пределах предприятия;

ü оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;

ü составить неформальную модель нарушителя; определить основные требования к системе защиты;

ü оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты;

ü разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности.

На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий Результаты проведения аудита ИБ позволяют:

ü выявить значимые угрозы для информации, циркулирующей в пределах предприятия;

ü оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;

ü составить неформальную модель нарушителя; определить основные требования к системе защиты;

ü оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты;

ü разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности.

На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий ("Концепция информационной безопасности", "План защиты", "Положение о категорировании ресурсов автоматизированной системы" и некоторые другие), а также внести пункты, касающиеся защиты, в должностные инструкции и положения об отделах и подразделениях. Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач: Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач:

ü защиту от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;

ü защиту наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;

ü защита важных рабочих мест и ресурсов от несанкционированного доступа;

ü криптографическую защиту наиболее важных информационных ресурсов.

Проведения аудита безопасности информационной сети предприятия дают возможность обеспечить формирование единой политики и концепции безопасности предприятия; рассчитать, согласовать и обосновать необходимые затраты на защиту предприятия; объективно и независимо оценить текущий уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик оценки информационной безопасности предприятий заказчика.

Объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия заказчика, техническое состояние аппаратно-программных средств защиты информации

(межсетевые экраны, маршрутизаторы, хосты, серверы, корпоративные БД и приложения); успешно применять на практике рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно- программного уровня.