СИСТЕМА ТЕСТИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ
|
Введение 4
1 Актуальность аудита информационной безопасности на предприятии 6
1.1 Основные риски в области информационной безопасности 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников 18
1.3.1 Анализ печатных источников 18
1.3.2 Анализ интернет-источников 20
1.3.3 Анализ аналогичных систем и тестов 23
1.4 Анализ международных стандартов информационной безопасности 25
2 Описание системы тестирования 30
2.1 Назначение продукта 30
2.2 Описание банка вопросов 31
2.3 Выбор средства реализации 33
2.4 Описание шаблона и структура меню 36
2.5 Описание интернет-сайта 39
2.6 Описание плагина тестирования 47
2.7 Описание процедуры тестирования 50
2.8 Использование системы тестирования в образовательном процессе 57
2.9 Апробация продукта 58
2.9.1 Апробация продукта в образовательном учреждении 58
2.9.2 Апробация в учебном процессе 60
Заключение 63
Список использованных источников 65
Приложение А 71
Приложение Б 73
1 Актуальность аудита информационной безопасности на предприятии 6
1.1 Основные риски в области информационной безопасности 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников 18
1.3.1 Анализ печатных источников 18
1.3.2 Анализ интернет-источников 20
1.3.3 Анализ аналогичных систем и тестов 23
1.4 Анализ международных стандартов информационной безопасности 25
2 Описание системы тестирования 30
2.1 Назначение продукта 30
2.2 Описание банка вопросов 31
2.3 Выбор средства реализации 33
2.4 Описание шаблона и структура меню 36
2.5 Описание интернет-сайта 39
2.6 Описание плагина тестирования 47
2.7 Описание процедуры тестирования 50
2.8 Использование системы тестирования в образовательном процессе 57
2.9 Апробация продукта 58
2.9.1 Апробация продукта в образовательном учреждении 58
2.9.2 Апробация в учебном процессе 60
Заключение 63
Список использованных источников 65
Приложение А 71
Приложение Б 73
Современный мир уже невозможно представить без персональных компьютеров, высокоскоростного Интернета и прочих современных девайсов, с которыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в быту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эффективности работы коммерческих, государственных предприятий и образовательных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обуславливает актуальность проблемы защиты и сохранности информации.
Принимая во внимание тот факт, что с каждым годом возрастает количество атак на предприятия, которые наносят значительный финансовый и материальный урон, становится актуальной еще одна проблема, изучением и работой над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопасности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для проведения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема выпускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потребность в такой разработке существует.
Объект исследования — использование международных стандартов в области информационной безопасности для разработки и внедрения организациями системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекомендаций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведения аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему тестирования для проведения аудита информационной безопасности на предприятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие задачи:
• проанализировать литературу и интернет-источники по аудиту и менеджменту информационной безопасности;
• изучить международные стандарты информационной безопасности, для подготовки исходных данных и составления тестовых вопросов;
• подготовить банк тестовых вопросов по выбранным международным стандартам информационной безопасности;
• реализовать интерфейс для проведения интернет-тестирования с возможностью авторизованного доступа и вывода результатов;
• разработать интернет-сайт для представления результата работы над продуктом в среде Интернет и обеспечение доступа представителям различных организаций.
Принимая во внимание тот факт, что с каждым годом возрастает количество атак на предприятия, которые наносят значительный финансовый и материальный урон, становится актуальной еще одна проблема, изучением и работой над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопасности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для проведения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема выпускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потребность в такой разработке существует.
Объект исследования — использование международных стандартов в области информационной безопасности для разработки и внедрения организациями системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекомендаций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведения аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему тестирования для проведения аудита информационной безопасности на предприятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие задачи:
• проанализировать литературу и интернет-источники по аудиту и менеджменту информационной безопасности;
• изучить международные стандарты информационной безопасности, для подготовки исходных данных и составления тестовых вопросов;
• подготовить банк тестовых вопросов по выбранным международным стандартам информационной безопасности;
• реализовать интерфейс для проведения интернет-тестирования с возможностью авторизованного доступа и вывода результатов;
• разработать интернет-сайт для представления результата работы над продуктом в среде Интернет и обеспечение доступа представителям различных организаций.
В заключение хотелось бы сказать о том, что все поставленные в выпускной квалификационной работе задачи были решены в полном объеме. Цель достигнута. В результате выполнения выпускной квалификационной работы были разработаны:
1. Веб-приложение (сверстанный шаблон для системы управления содержимым с открытым исходным кодом — Joomla (версия 2.5.17)).
2. Плагин тестирования (исправленный и доработанный функционал плагина тестирования — ARI Quiz).
3. Банк вопросов, состоящий из 325 вопросов (закрытой формы с выбором одного варианта ответа по принципу классификации), распределенными на 10 категорий, на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408, нацеленные на выявление и оценку рисков информационной безопасности в компаниях. Возможности программного продукта предполагают прохождение тестирования как коммерческими предприятиями, так и образовательными организациями, с учетом характерной для них специфики.
Хочется отметить, что прохождение тестирования на основе использования данного программного продукта не является «внутренним» аудитом информационной безопасности. Его возможности прежде всего нацелены на выявление «слабых» мест в системе безопасности организации, с целью проверки качества информационной безопасности в организации. Полученная информация впоследствии может быть использована для проведения каких-либо дополнительных мер по улучшению как комплексной, так и отдельных систем защиты, политики информационной безопасности в организации или самостоятельной подготовки к аудиту, поскольку продукт основан на используемых аудиторами международных стандартах в области информационной безопасности
ISO/IEC 27002 и ISO/IEC 15408 и проверяет часть предъявляемых стандартами и проверяемых аудиторами требований, и критериев в организации.
В процессе работы над выпускной квалификационной работой были решены следующие задачи:
• была проанализирована литература и интернет-источники по аудиту и менеджменту информационной безопасности, анализу и управлению рисками на предприятиях;
• были изучены международные стандарты в области информационной безопасности;
• был разработан банк тестовых вопросов по международным стандартам информационной безопасности ISO/IEC 27002 и ISO/IEC 15408;
• было разработано веб-приложение и доработан функционал существующего плагина тестирования для проведения интернет-тестирования с возможностью авторизированного доступа, вывода результатов тестирования и круглосуточного доступа к нему.
Проведение оценки рисков информационной безопасности в организации является одним из наиболее эффективных инструментов по получению объективной информации о текущем уровне защищенности от всевозможных угроз, с целью их предупреждения и избежание ущерба. Именно поэтому оценка рисков на предприятиях различного уровня должна проводится на регулярной основе специалистами или руководством организации для достижения максимальной отдачи и повышения уровня информационной безопасности организации.
1. Веб-приложение (сверстанный шаблон для системы управления содержимым с открытым исходным кодом — Joomla (версия 2.5.17)).
2. Плагин тестирования (исправленный и доработанный функционал плагина тестирования — ARI Quiz).
3. Банк вопросов, состоящий из 325 вопросов (закрытой формы с выбором одного варианта ответа по принципу классификации), распределенными на 10 категорий, на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408, нацеленные на выявление и оценку рисков информационной безопасности в компаниях. Возможности программного продукта предполагают прохождение тестирования как коммерческими предприятиями, так и образовательными организациями, с учетом характерной для них специфики.
Хочется отметить, что прохождение тестирования на основе использования данного программного продукта не является «внутренним» аудитом информационной безопасности. Его возможности прежде всего нацелены на выявление «слабых» мест в системе безопасности организации, с целью проверки качества информационной безопасности в организации. Полученная информация впоследствии может быть использована для проведения каких-либо дополнительных мер по улучшению как комплексной, так и отдельных систем защиты, политики информационной безопасности в организации или самостоятельной подготовки к аудиту, поскольку продукт основан на используемых аудиторами международных стандартах в области информационной безопасности
ISO/IEC 27002 и ISO/IEC 15408 и проверяет часть предъявляемых стандартами и проверяемых аудиторами требований, и критериев в организации.
В процессе работы над выпускной квалификационной работой были решены следующие задачи:
• была проанализирована литература и интернет-источники по аудиту и менеджменту информационной безопасности, анализу и управлению рисками на предприятиях;
• были изучены международные стандарты в области информационной безопасности;
• был разработан банк тестовых вопросов по международным стандартам информационной безопасности ISO/IEC 27002 и ISO/IEC 15408;
• было разработано веб-приложение и доработан функционал существующего плагина тестирования для проведения интернет-тестирования с возможностью авторизированного доступа, вывода результатов тестирования и круглосуточного доступа к нему.
Проведение оценки рисков информационной безопасности в организации является одним из наиболее эффективных инструментов по получению объективной информации о текущем уровне защищенности от всевозможных угроз, с целью их предупреждения и избежание ущерба. Именно поэтому оценка рисков на предприятиях различного уровня должна проводится на регулярной основе специалистами или руководством организации для достижения максимальной отдачи и повышения уровня информационной безопасности организации.
Подобные работы
- Исследование технологии построения информационной системы внутреннего аудита информационной безопасности в транспортной компании
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 4950 р. Год сдачи: 2021 - Аудит эффективности системы внутреннего контроля организации
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 6300 р. Год сдачи: 2018 - АУДИТ ЭФФЕКТИВНОСТИ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ
МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
Дипломные работы, ВКР, аудит. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - Внутренний аудит в системе внутреннего контроля
организации
Дипломные работы, ВКР, аудит. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - ВНУТРЕННИЙ АУДИТ В СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ ОРГАНИЗАЦИИ
Дипломные работы, ВКР, бухгалтерский учет, анализ и аудит. Язык работы: Русский. Цена: 6500 р. Год сдачи: 2019 - Влияние состояния внеоборотных активов на экономическую безопасность организации (Алтайский Государственный Аграрный Университет)
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 2200 р. Год сдачи: 2019 - ОСОБЕННОСТИ ОРГАНИЗАЦИИ И ВНЕДРЕНИЯ СИСТЕМЫ
ВНУТРЕННЕГО КОНТРОЛЯ ФАКТОВ ХОЗЯЙСТВЕННОЙ ЖИЗНИ
Дипломные работы, ВКР, анализ хозяйственной деятельности. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2019 - Внутренний аудит в системе внутреннего контроля организации
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4370 р. Год сдачи: 2018 - Искажение бухгалтерской (финансовой! отчетности: обнаружение и предупреждение при проведении аудита
Магистерская диссертация, экономика. Язык работы: Русский. Цена: 4945 р. Год сдачи: 2017