📄Работа №211093
Тема: Разработка методики проведения внутреннего аудита ключевых систем информационной инфраструктуры АО "Фортум"
Характеристики работы
Тип работы
Дипломные работы, ВКР
Предмет
Информатика и вычислительная техника
Объем:
182 листов
Год:
2017
Просмотров:
42
4900
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
СОКРАЩЕНИЕ И ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 14
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АО
«ФОРТУМ» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 15
1.1. Разработка паспорта 16
1.2. Разработка модели деятельности 17
1.3. Выявление защищаемой информации 17
1.4. Описание информационной системы 17
1.5. Выявление объектов защиты 27
1.6. Разработка модели угроз и уязвимостей для важных объектов
защиты 29
1.7. Расчет рисков важных объектов защиты 34
1.8. Безопасность жизнедеятельности 41
1.8.1. Требования к помещениям для размещения рабочего
места 41
1.8.2. Требования к уровням шума на рабочих местах 41
1.8.3. Требования к освещению на рабочих местах 42
1.8.4. Общие требования к организации рабочих мест
пользователей 42
1.8.5. Требования к электробезопасности 44
1.8.6. Рекомендации по организации режима труда и отдыха
Пользователя 45
1.8.7. Пожарная безопасность 46
ВЫВОД ПО ПЕРВОЙ ГЛАВЕ 52
2. РАЗРАБОТКА МЕТОДИКИ ПРОВЕДЕНИЯ ВНУТРЕННЕГО
АУДИТА КЛЮЧЕВЫХ СИСТЕМ ИНФОРМАЦИОННЫХ
ИНФРАСТРУКТУР АО «ФОРТУМ» 53
2.1. Правовая защита информации 54
2.1.1. Знания сотрудниками законодательства в области защиты информации ограниченного доступа и ответственности за ее
разглашение 54
2.2. Организационная защита информации 55
2.2.1. Определен перечень сведений, составляющих
информацию ограниченного доступа 55
2.2.2. Ограничен доступ к сведениям, составляющим
информацию ограниченного доступа 56
2.2.3. Учет лиц, получивших доступ к информации, составляющей
информацию ограниченного доступа 57
2.2.4. Регулирование отношений по использованию информации, составляющей информацию ограниченного доступа с работниками
и контрагентами 57
2.2.5. Определен круг лиц, ответственных за соблюдение режима
конфиденциальности информации ограниченного доступа 58
2.2.6. Ведение документационного обеспечения информации
ограниченного доступа 58
2.3. Инженерно-техническая защита информации 59
2.3.1. Физический доступ на объект. Перемещение сотрудников
на объекте. Доступ на объект третьих лиц. Анализ СКУД 59
2.3.2. Физический доступ к серверам, узлам и линиям связи 62
2.3.3. Наблюдение за объектом и в помещениях объекта 63
2.3.4. Учет и хранения носителей защищаемой информации 63
2.4. Программно-аппаратная защита информации 65
2.4.1. Анализ инвентаризационной системы учета средств
информационной системы предприятия 65
2.4.2. Доступ к АРМ сотрудников предприятия 66
2.4.3. Система прав/уровней доступа и паролей к ресурсам
АРМ, локальной сети и интернет 67
2.4.4. Состояние антивирусной защиты АРМ сотрудников и
системы контроля обновлений ПО. Наличие замкнутой программной среды. Система контроля целостности. Межсетевое экранирование 68
2.4.5. Доступ к электронным носителям информации. Хранение
и учет электронных носителей. Система контроля подключения внешних устройств 70
2.4.6. Централизованное управление и мониторинг состояния
безопасности. Система контроля утечек. Ведение электронных журналов безопасности 71
2.4.7. Система контроля печати/копирования документов.
Ведение журналов учета распечатанных документов 72
2.4.8. Общедоступные корпоративные ресурсы локальной сети 73
2.4.9. Сетевое обеспечение информационной системы.
Защищенные соединения с филиалами и удаленными сотрудниками 74
ВЫВОДЫ ПО ВТОРОЙ ГЛАВЕ 77
3. РАЗРАБОТКА ПРОЕКТА МЕТОДИКИ ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА КЛЮЧЕВЫХ СИСТЕМ ИНФОРМАЦИОН
НЫХ ИНФРАСТРУКТУР АО «ФОРТУМ» 79
3.1. Описание информационной системы защищаемого отдела предприятия и разработка проекта методики оценки соответствия
системы защиты АО «Фортум» требованиям законодательства ИБ 80
3.1.1. Описание информационных активов предприятия 80
3.1.2. Определение ценности каждого конкретного актива 81
3.1.3. Описание информационных потоков 82
3.1.4. Описание потоков информации, ограниченного доступа 83
3.1.5. Риски внедрения проекта методики проведения внутреннего
аудита КСИИ АО «Фортум» 83
3.1.6. Разработка проекта методики оценки соответствия
системы защиты информации ограниченного доступа требованиям законодательства и общих требований информационной безопасности 84
3.2. Определение, уровня отклонения текущего состояния системы
от требований законодательства в области защиты информации ограниченного доступа и общих требований информационной безопасности 85
3.3. Разработка отчета по аудиту системы защиты информации
ограниченного доступа на предприятии 87
3.4. Сдача отчета заказчику, проведение консультации по
внедрению рекомендаций 88
ВЫВОДЫ ПО ТРЕТЬЕЙ ГЛАВЕ 89
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 90
ПРИЛОЖЕНИЕ А 92
ПРИЛОЖЕНИЕ Б 111
ПРИЛОЖЕНИЕ В 129
ПРИЛОЖЕНИЕ Г 141
ПРИЛОЖЕНИЕ Д 143
ПРИЛОЖЕНИЕ Е 145
ПРИЛОЖЕНИЕ Ж 146
ПРИЛОЖЕНИЕ З 147
ПРИЛОЖЕНИЕ И 158
ПРИЛОЖЕНИЕ К 162
ПРИЛОЖЕНИЕ Л 164
ПРИЛОЖЕНИЕ М 169
ПРИЛОЖЕНИЕ Н 173
ПРИЛОЖЕНИЕ О 175
ВВЕДЕНИЕ 14
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В АО
«ФОРТУМ» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 15
1.1. Разработка паспорта 16
1.2. Разработка модели деятельности 17
1.3. Выявление защищаемой информации 17
1.4. Описание информационной системы 17
1.5. Выявление объектов защиты 27
1.6. Разработка модели угроз и уязвимостей для важных объектов
защиты 29
1.7. Расчет рисков важных объектов защиты 34
1.8. Безопасность жизнедеятельности 41
1.8.1. Требования к помещениям для размещения рабочего
места 41
1.8.2. Требования к уровням шума на рабочих местах 41
1.8.3. Требования к освещению на рабочих местах 42
1.8.4. Общие требования к организации рабочих мест
пользователей 42
1.8.5. Требования к электробезопасности 44
1.8.6. Рекомендации по организации режима труда и отдыха
Пользователя 45
1.8.7. Пожарная безопасность 46
ВЫВОД ПО ПЕРВОЙ ГЛАВЕ 52
2. РАЗРАБОТКА МЕТОДИКИ ПРОВЕДЕНИЯ ВНУТРЕННЕГО
АУДИТА КЛЮЧЕВЫХ СИСТЕМ ИНФОРМАЦИОННЫХ
ИНФРАСТРУКТУР АО «ФОРТУМ» 53
2.1. Правовая защита информации 54
2.1.1. Знания сотрудниками законодательства в области защиты информации ограниченного доступа и ответственности за ее
разглашение 54
2.2. Организационная защита информации 55
2.2.1. Определен перечень сведений, составляющих
информацию ограниченного доступа 55
2.2.2. Ограничен доступ к сведениям, составляющим
информацию ограниченного доступа 56
2.2.3. Учет лиц, получивших доступ к информации, составляющей
информацию ограниченного доступа 57
2.2.4. Регулирование отношений по использованию информации, составляющей информацию ограниченного доступа с работниками
и контрагентами 57
2.2.5. Определен круг лиц, ответственных за соблюдение режима
конфиденциальности информации ограниченного доступа 58
2.2.6. Ведение документационного обеспечения информации
ограниченного доступа 58
2.3. Инженерно-техническая защита информации 59
2.3.1. Физический доступ на объект. Перемещение сотрудников
на объекте. Доступ на объект третьих лиц. Анализ СКУД 59
2.3.2. Физический доступ к серверам, узлам и линиям связи 62
2.3.3. Наблюдение за объектом и в помещениях объекта 63
2.3.4. Учет и хранения носителей защищаемой информации 63
2.4. Программно-аппаратная защита информации 65
2.4.1. Анализ инвентаризационной системы учета средств
информационной системы предприятия 65
2.4.2. Доступ к АРМ сотрудников предприятия 66
2.4.3. Система прав/уровней доступа и паролей к ресурсам
АРМ, локальной сети и интернет 67
2.4.4. Состояние антивирусной защиты АРМ сотрудников и
системы контроля обновлений ПО. Наличие замкнутой программной среды. Система контроля целостности. Межсетевое экранирование 68
2.4.5. Доступ к электронным носителям информации. Хранение
и учет электронных носителей. Система контроля подключения внешних устройств 70
2.4.6. Централизованное управление и мониторинг состояния
безопасности. Система контроля утечек. Ведение электронных журналов безопасности 71
2.4.7. Система контроля печати/копирования документов.
Ведение журналов учета распечатанных документов 72
2.4.8. Общедоступные корпоративные ресурсы локальной сети 73
2.4.9. Сетевое обеспечение информационной системы.
Защищенные соединения с филиалами и удаленными сотрудниками 74
ВЫВОДЫ ПО ВТОРОЙ ГЛАВЕ 77
3. РАЗРАБОТКА ПРОЕКТА МЕТОДИКИ ПРОВЕДЕНИЯ ВНУТРЕННЕГО АУДИТА КЛЮЧЕВЫХ СИСТЕМ ИНФОРМАЦИОН
НЫХ ИНФРАСТРУКТУР АО «ФОРТУМ» 79
3.1. Описание информационной системы защищаемого отдела предприятия и разработка проекта методики оценки соответствия
системы защиты АО «Фортум» требованиям законодательства ИБ 80
3.1.1. Описание информационных активов предприятия 80
3.1.2. Определение ценности каждого конкретного актива 81
3.1.3. Описание информационных потоков 82
3.1.4. Описание потоков информации, ограниченного доступа 83
3.1.5. Риски внедрения проекта методики проведения внутреннего
аудита КСИИ АО «Фортум» 83
3.1.6. Разработка проекта методики оценки соответствия
системы защиты информации ограниченного доступа требованиям законодательства и общих требований информационной безопасности 84
3.2. Определение, уровня отклонения текущего состояния системы
от требований законодательства в области защиты информации ограниченного доступа и общих требований информационной безопасности 85
3.3. Разработка отчета по аудиту системы защиты информации
ограниченного доступа на предприятии 87
3.4. Сдача отчета заказчику, проведение консультации по
внедрению рекомендаций 88
ВЫВОДЫ ПО ТРЕТЬЕЙ ГЛАВЕ 89
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 90
ПРИЛОЖЕНИЕ А 92
ПРИЛОЖЕНИЕ Б 111
ПРИЛОЖЕНИЕ В 129
ПРИЛОЖЕНИЕ Г 141
ПРИЛОЖЕНИЕ Д 143
ПРИЛОЖЕНИЕ Е 145
ПРИЛОЖЕНИЕ Ж 146
ПРИЛОЖЕНИЕ З 147
ПРИЛОЖЕНИЕ И 158
ПРИЛОЖЕНИЕ К 162
ПРИЛОЖЕНИЕ Л 164
ПРИЛОЖЕНИЕ М 169
ПРИЛОЖЕНИЕ Н 173
ПРИЛОЖЕНИЕ О 175
📖 Аннотация
В данной работе разрабатывается методика проведения внутреннего аудита ключевых систем информационной инфраструктуры (КСИИ) для АО «Фортум» с целью повышения эффективности контроля и обеспечения информационной безопасности критически важных объектов. Актуальность исследования обусловлена возрастающей зависимостью государственных и корпоративных процессов от устойчивости информационных систем, а также динамичным развитием нормативно-правового регулирования в области защиты информации, что требует от предприятий энергетического сектора постоянного совершенствования внутренних контрольных процедур. Основным результатом работы является проектирование детальной методики внутреннего аудита, адаптированной под специфику диспетчерского управления АО «Фортум», и формирование отчета по ее апробации, включающего описание информационных активов, потоков, бизнес-процессов, оценку актуальных рисков и уровня соответствия законодательным требованиям. Научная значимость заключается в структурированном подходе к интеграции моделей угроз и уязвимостей в процесс аудита КСИИ, а практическая – в предоставлении предприятию инструментария для проактивного выявления слабых мест, минимизации операционных рисков и предотвращения потенциальных чрезвычайных ситуаций. Теоретической основой исследования послужили фундаментальные нормативные документы в сфере информационной безопасности и стандартизации, такие как ГОСТ Р 50922-2006, определяющий основные термины и определения, ГОСТ 34.003-90, регламентирующий терминологию автоматизированных систем, и Руководящий документ Гостехкомиссии России по защите от несанкционированного доступа, которые задали концептуальные рамки для разработки методики.
📖 Введение
В настоящее время ключевые системы информационной инфраструктуры (КСИИ) являются неотъемлемой частью современного государства. К объектам КСИИ относятся сегменты, образуемые системами, нарушение штатного режима функционирования которых может привести к нарушению функций управления чувствительными для Российской Федерации процессами. В том числе к таким системам относят: системы органов государственной власти, системы предупреждения и ликвидации кризисных и чрезвычайных ситуаций, системы управления энергоснабжением и другие системы. Регулирование деятельности таких сегментов производится посредством внедрения информационной инфраструктуры, которая обладает рядом критичных уязвимостей. Таким образом, становится необходимым повышение роли внутреннего контроля КСИИ.
В свою очередь, методики проведения внутреннего аудита ставят перед собой цель оценки эффективности систем предприятия, а так же, следует отметить, что разработка методики внутреннего аудита и его проведение позволяет в дальнейшем избежать чрезвычайных ситуаций как на городском, так и на региональном уровне, а так же затрат на восстановление работоспособности системы.
В рамках объектов КСИИ законодательство обновляется и корректируется, позволяя регулировать государственную безопасность, вследствие, обязывая предприятия пересматривать и совершенствовать меры по обеспечению безопасности информационной инфраструктуры предприятия.
Таким образом, актуальность моей работы обусловлена необходимостью разработки методики проведения внутреннего аудита ключевых систем информационной инфраструктуры диспетчерского отдела АО «Фортум».
Объектом выпускной квалификационной работы является АО «Фортум».
Предметом выпускной квалификационной работы является методика проведения внутреннего аудита ключевых систем информационной инфраструктуры предприятия.
Целью дипломной работы является обоснование ряда мер по проведению внутреннего аудита.
В соответствии с поставленной целью необходимо решить следующие задачи:
1) Проанализировать информационную систему диспетчерского отдела АО «Фортум», с целью обоснования проведения внутреннего аудита.
2) Разработать методику проведения внутреннего аудита ключевых систем информационной инфраструктуры АО «Фортум».
3) Разработать проект методики проведения внутреннего аудита ключевых систем информационной инфраструктуры АО «Фортум».
В свою очередь, методики проведения внутреннего аудита ставят перед собой цель оценки эффективности систем предприятия, а так же, следует отметить, что разработка методики внутреннего аудита и его проведение позволяет в дальнейшем избежать чрезвычайных ситуаций как на городском, так и на региональном уровне, а так же затрат на восстановление работоспособности системы.
В рамках объектов КСИИ законодательство обновляется и корректируется, позволяя регулировать государственную безопасность, вследствие, обязывая предприятия пересматривать и совершенствовать меры по обеспечению безопасности информационной инфраструктуры предприятия.
Таким образом, актуальность моей работы обусловлена необходимостью разработки методики проведения внутреннего аудита ключевых систем информационной инфраструктуры диспетчерского отдела АО «Фортум».
Объектом выпускной квалификационной работы является АО «Фортум».
Предметом выпускной квалификационной работы является методика проведения внутреннего аудита ключевых систем информационной инфраструктуры предприятия.
Целью дипломной работы является обоснование ряда мер по проведению внутреннего аудита.
В соответствии с поставленной целью необходимо решить следующие задачи:
1) Проанализировать информационную систему диспетчерского отдела АО «Фортум», с целью обоснования проведения внутреннего аудита.
2) Разработать методику проведения внутреннего аудита ключевых систем информационной инфраструктуры АО «Фортум».
3) Разработать проект методики проведения внутреннего аудита ключевых систем информационной инфраструктуры АО «Фортум».
✅ Заключение
По результатам выполненных работ разработан проект методики проведения внутреннего аудита ключевых систем информационной инфраструктуры ОА «Фортум», а так же отчет проведения внутреннего аудита ключевых систем информационной инфраструктуры диспетчерского отдела ОА «Фортум». Проект методики был сформирован на основании дополнительных сведений об информационной системе, бизнес-процессах, потоках информационных активов и актуальных рисках информационной системы.
Необходимость описания информационных активов предприятия обусловлена формированием понимания средств образования потоков информации, в том числе ограниченного доступа, что впоследствии позволит определить актуальные угрозы ИБ и рекомендации по их предотвращению. Определение ценности выделенных информационных активов заключается в сопоставлении уровня ценности критичности информации. Описание информационных потоков позволит в дальнейшем выявить основные бизнес-процессы диспетчерского отдела, а так же положительно повлиять на них в целях обеспечения информационной безопасности.
Одним из наиболее важных этапов является определение рисков внедрения проекта методики проведения внутреннего аудита КСИИ АО «Фортум», так как именно эти показатели могут негативно повлиять на процесс разработки, проведения внутреннего аудита и информационной безопасности в целом.
Определение, уровня отклонения текущего состояния системы от требований законодательства в области защиты информации ограниченного доступа позволит в дальнейшем определить верное соответствие мер, описанных в нормативных документах, и мер, предпринятых для информационной защиты предприятия внутренними службами ИБ.
После разработки отчета о проделанной работе, производятся разъяснения требуемых мер по защите информации, в целях обеспечения понимания со стороны Заказчика сложившейся обстановки и необходимости внедрения средств защиты.
Таким образом, разработанный проект методики проведения внутреннего аудита ключевых систем информационных инфраструктур позволяет, с точки зрения отдела внутренней безопасности, оценить защищенность потоков информации ограниченного доступа и принять своевременные меры по нейтрализации существующих угроз.
Необходимость описания информационных активов предприятия обусловлена формированием понимания средств образования потоков информации, в том числе ограниченного доступа, что впоследствии позволит определить актуальные угрозы ИБ и рекомендации по их предотвращению. Определение ценности выделенных информационных активов заключается в сопоставлении уровня ценности критичности информации. Описание информационных потоков позволит в дальнейшем выявить основные бизнес-процессы диспетчерского отдела, а так же положительно повлиять на них в целях обеспечения информационной безопасности.
Одним из наиболее важных этапов является определение рисков внедрения проекта методики проведения внутреннего аудита КСИИ АО «Фортум», так как именно эти показатели могут негативно повлиять на процесс разработки, проведения внутреннего аудита и информационной безопасности в целом.
Определение, уровня отклонения текущего состояния системы от требований законодательства в области защиты информации ограниченного доступа позволит в дальнейшем определить верное соответствие мер, описанных в нормативных документах, и мер, предпринятых для информационной защиты предприятия внутренними службами ИБ.
После разработки отчета о проделанной работе, производятся разъяснения требуемых мер по защите информации, в целях обеспечения понимания со стороны Заказчика сложившейся обстановки и необходимости внедрения средств защиты.
Таким образом, разработанный проект методики проведения внутреннего аудита ключевых систем информационных инфраструктур позволяет, с точки зрения отдела внутренней безопасности, оценить защищенность потоков информации ограниченного доступа и принять своевременные меры по нейтрализации существующих угроз.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.