Тюмень, 2019
СОДЕРЖАНИЕ
ВВЕДЕНИЕ. 3
1 Аудит безопасности и методы его проведения. 6
1.1 Определение аудита безопасности и цели его проведения. 6
1.2 Этапы проведения аудита. 8
1.3 Концептуальные составляющие аудита. 9
1.4 Подходы к проведению аудита ИБ. 9
1.5 Суть анализа рисков и управления рисками. 10
1.6 Применение метода анализа рисков. 12
1.7 Все ли требования стандартов соблюдены?. 13
1.8 Подготовка отчётной документации. 14
2. Программные продукты для анализа и управления рисками. 15
2.1 Метод CRAMM.. 15
2.2 Программный продукт Risk Watch. 18
2.3 Система COBRA.. 18
2.4 Программный продукт Buddy System.. 19
3 Стандарты, используемые при проведении аудита безопасности. 20
3.1 ГОСТ Р ИСО/МЭК 17799:2005 Информационная технология. Практические правила управления информационной безопасностью.. 20
3.2 ГОСТ Р ИСО/МЭК 15408. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. 21
3.3 Стандарт SysTrust 22
3.4 BSI\IT Baseline Protection Manual 24
3.5 Практические стандарты SCORE и программа сертификации SANS/GIAC Site Certification. 25
ЗАКЛЮЧЕНИЕ. 27
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.. 30
В наше время информационные системы играют важную роль в обеспечении эффективности работы многих государственных и коммерческих предприятий. Использование информационных систем для хранения, обработки и передачи информации создаёт актуальность проблемы её защиты от разного рода информационных угроз, нарушающих работу предприятий. Для защиты от угроз предприятиям необходима объективная оценка уровня безопасности
информационных систем. Для этого применяют такую процедуру, как аудит безопасности. Поэтому тема моей курсовой работы актуальна в настоящее время.
Целью работы является анализ процедуры аудита безопасности
информационных систем.
Для достижения поставленной цели необходимо решить следующие задачи:
В основу написания работы легли направления по изучению аудита безопасности информационных систем. Информационные системы включают в себя информационные, программные, организационные, технические, технологические и другие продукты, предназначенные для сбора, хранения, обработки информации в производственных, коммерческих и организационных целях [19].
Безопасность определяется таким состоянием информационной системы, при котором эта система обеспечена защитой от нанесения разного рода ущерба (взломов, атак). Если рассматривать безопасность информационной системы в рамках организации, можно сказать, что информационная безопасность — это меры, предпринимаемые уполномоченным лицом с целью защиты информации от ее умышленного использования [18].
Контроль за компьютерной системой необходим, поскольку, если система не будет обладать такими свойствами, как надёжность, целостность, конфиденциальность, может произойти утечка важнейшей информации, которая повлечёт за собой потери, а, возможно, что и банкротство фирмы. Для этого и существует процедура аудита безопасности, о которой далее пойдёт речь более подробно.
При изучении основ аудита безопасности, его видов и методов, использованы разные источники. Основными источниками являются стандарты информационной безопасности, стандарты аудита информационной безопасности, учебные пособия и статьи об информационной безопасности. В исследование темы аудита безопасности особый вклад внёс Аверченков Владимир Иванович, доктор технических наук (1990г.), заведующий кафедрой «Компьютерные технологии и системы» (2003-2016гг.), проректор по информатизации и международному сотрудничеству (1994-2013гг.), а также почётный работник высшего образования в г. Брянске. Владимир Иванович является председателем диссертационного совета по защите докторских диссертаций по нескольким специальностям в области информационных технологий [17].
Без внимания нельзя оставить Бородакия Юрия Владимировича (1959-2014гг.). При жизни Юрий Владимирович был членом РАН (Российский Академии Наук), а именно специалистом в области создания информационных технологий [16].
Таким образом, пользуясь теорией вышеуказанных и других специалистов, проведем анализ аудита информационной безопасности.
В ходе написания курсовой работы были решены следующие задачи:
Посредством решения данных задач была проанализирована вся последовательность и суть процедуры аудита безопасности информационных систем. Была выявлена вся сложность и кропотливость проведения аудита в сфере информационных технологий по этапам с использованием методов и критериев оценки защищенности механизмов операционных систем.
В ходе работы был сде
лан вывод о том, что процедура аудита безопасности — это независимая экспертная оценка всех областей работы предприятия, которую осуществляют запланировано либо по приказу руководителя организации. Также было установлено, что целью аудита безопасности является проверка соответствия выполняемых процедур по обеспечению информационной безопасности установленным в политике безопасности особым требованиям, правилам и ограничениям.
Подход к проведению аудита может основываться на анализе рисков и управлении рисками, в соответствии со стандартами или объединением этих двух подходов.
Одним из сильных и используемых методов является метод CRAMM. В ходе изучения данного метода, стало ясно, что при правильном использовании этого метода можно получить хорошие результаты. Результатом проведения аудита чаще становится сертификат или документированный отчёт.
Стандарты, на которые необходимо опираться грамотному специалисту, ISO 17799 и ISO 15408. Первый стандарт отвечает за управление безопасностью, а второй стандарт ориентирован на программно-техническое обеспечение.
Стандарт SysTrust определяет не только вопросы информационных технологий, но и затрагивает финансовую деятельность предприятия.
«BSI\IT Baseline Protection Manual» — это немецкий стандарт, который отличается удобством и наличием огромного количества информации, что существенно облегчает работу аудиторам.
Стандарты и руководства SCORE существуют для технических специалистов и опубликованы в сети Интернет.
Процедура проверки Интернет-сайтов, разработанная в институте SANS, не теряет своей актуальности, поскольку в наше время число возможных угроз и атак с внутренней и внешней сторон увеличивается.
Решив вышеуказанные задачи, главная цель работы, которая заключалась в анализе процедуры аудита безопасности, была достигнута.