АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СФЕРЕ ОНЛАЙН ОБРАЗОВАНИЯ
|
ВВЕДЕНИЕ 4
1. КЛАССИФИКАЦИЯ И ОСОБЕННОСТИ ПРОВЕДЕНИЯ АУДИТА ИБ .. 5
1.1. Классификация аудита ИБ 5
1.2. Аудит ИБ - стадии проведения 5
1.3. Методы изучения и анализа информационной системы 7
2. ОБСЛЕДОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОНЛАЙН-ШКОЛЫ 8
2.1. Структура онлайн-школы 8
2.2. Типовая IT-инфраструктура онлайн-школы 9
2.3. Состав программных средств онлайн-школы 11
2.4. Анализ информационных ресурсов онлайн-школы 11
3. КОНСТРУИРОВАНИЕ МОДЕЛЕЙ НАРУШИТЕЛЯ И УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОНЛАЙН-ШКОЛЫ 13
3.1. Описание потенциальных нарушителей 13
3.2. Возможность сговора потенциальных нарушителей 16
3.3. Уровень владения информацией злоумышленниками 20
3.4. Описание объектов и целей реализации угроз информационной безопасности 23
3.5. Предположения об имеющихся у нарушителей средствах реализации угроз 24
3.6. Описание каналов реализации угроз информационной безопасности 25
3.7. Расчет исходной степени защищенности офиса, рабочих мест, страниц в социальных сетях ....25
3.8. Угрозы и уязвимости, встречающиеся в процессе работы с информацией в ИС онлайн-школы 29
3.9. Составление рекомендаций по предотвращению актуальных угроз 32
4. АКТИВНЫЙ АУДИТ И АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТУ 38
4.1. Проверка физического контроля доступа в офис 38
4.2. Проверка аппаратного обеспечения ИС 38
4.3. Аудит сетевого обеспечения ИС 39
4.4. Аудит программного обеспечения ИС 40
4.5. Проверка организационного обеспечения ИС 43
4.6. Аудит нормативного обеспечения ИС 45
4.7. Аудит на соответствие стандарту 45
5. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОЦИАЛЬНЫХ СЕТЯХ 47
ЗАКЛЮЧЕНИЕ 52
СПИСОК ЛИТЕРАТУРЫ 55
ПРИЛОЖЕНИЕ 1 57
ПРИЛОЖЕНИЕ 2 60
ПРИЛОЖЕНИЕ 3 67
ПРИЛОЖЕНИЕ 4
1. КЛАССИФИКАЦИЯ И ОСОБЕННОСТИ ПРОВЕДЕНИЯ АУДИТА ИБ .. 5
1.1. Классификация аудита ИБ 5
1.2. Аудит ИБ - стадии проведения 5
1.3. Методы изучения и анализа информационной системы 7
2. ОБСЛЕДОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОНЛАЙН-ШКОЛЫ 8
2.1. Структура онлайн-школы 8
2.2. Типовая IT-инфраструктура онлайн-школы 9
2.3. Состав программных средств онлайн-школы 11
2.4. Анализ информационных ресурсов онлайн-школы 11
3. КОНСТРУИРОВАНИЕ МОДЕЛЕЙ НАРУШИТЕЛЯ И УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОНЛАЙН-ШКОЛЫ 13
3.1. Описание потенциальных нарушителей 13
3.2. Возможность сговора потенциальных нарушителей 16
3.3. Уровень владения информацией злоумышленниками 20
3.4. Описание объектов и целей реализации угроз информационной безопасности 23
3.5. Предположения об имеющихся у нарушителей средствах реализации угроз 24
3.6. Описание каналов реализации угроз информационной безопасности 25
3.7. Расчет исходной степени защищенности офиса, рабочих мест, страниц в социальных сетях ....25
3.8. Угрозы и уязвимости, встречающиеся в процессе работы с информацией в ИС онлайн-школы 29
3.9. Составление рекомендаций по предотвращению актуальных угроз 32
4. АКТИВНЫЙ АУДИТ И АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТУ 38
4.1. Проверка физического контроля доступа в офис 38
4.2. Проверка аппаратного обеспечения ИС 38
4.3. Аудит сетевого обеспечения ИС 39
4.4. Аудит программного обеспечения ИС 40
4.5. Проверка организационного обеспечения ИС 43
4.6. Аудит нормативного обеспечения ИС 45
4.7. Аудит на соответствие стандарту 45
5. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОЦИАЛЬНЫХ СЕТЯХ 47
ЗАКЛЮЧЕНИЕ 52
СПИСОК ЛИТЕРАТУРЫ 55
ПРИЛОЖЕНИЕ 1 57
ПРИЛОЖЕНИЕ 2 60
ПРИЛОЖЕНИЕ 3 67
ПРИЛОЖЕНИЕ 4
Онлайн-школы - относительно новое явление, несомненно подобные организации нуждаются в обеспечении информационной безопасности (далее - ИБ). Онлайн-школа - организация, целевая аудитория которой меняется каждый год, именно это является одним из ключевых факторов в процессе построения информационной системы и её защиты. Кроме этого, у динамично развивающегося рынка онлайн образования ежегодно возрастает уровень конкуренции. В следствии этого, угрозы ИБ могут навредить не только владельцам бизнеса, инвесторам, сотрудникам, но и ученикам.
Аудит ИБ должен систематически проводиться организациями для выявления угроз информационной системы, оценки уровня безопасности информационной системы, создания рекомендаций по устранению угроз ИБ информационной системы (далее - ИС).
Именно поэтому организации, работающие в сфере онлайн-образования, нуждаются в проведении аудита ИБ для обеспечения собственной безопасности: информационной, правовой, экономической.
Цель работы - осуществление в онлайн-школе внутреннего аудита ИБ, аудита ИБ на соответствие стандарту, аудита ИБ в социальных сетях.
Для выполнения поставленной цели необходимо решить такие задачи, как:
1) исследовать информационную систему организации;
2) описать модель нарушителей;
3) сгенерировать модель угроз;
4) изучить настоящий уровень ИБ онлайн-школы;
5) обнаружить уязвимости ИС онлайн-школы;
6) предоставить указания по устранению уязвимостей
Аудит ИБ должен систематически проводиться организациями для выявления угроз информационной системы, оценки уровня безопасности информационной системы, создания рекомендаций по устранению угроз ИБ информационной системы (далее - ИС).
Именно поэтому организации, работающие в сфере онлайн-образования, нуждаются в проведении аудита ИБ для обеспечения собственной безопасности: информационной, правовой, экономической.
Цель работы - осуществление в онлайн-школе внутреннего аудита ИБ, аудита ИБ на соответствие стандарту, аудита ИБ в социальных сетях.
Для выполнения поставленной цели необходимо решить такие задачи, как:
1) исследовать информационную систему организации;
2) описать модель нарушителей;
3) сгенерировать модель угроз;
4) изучить настоящий уровень ИБ онлайн-школы;
5) обнаружить уязвимости ИС онлайн-школы;
6) предоставить указания по устранению уязвимостей
В результате данной работы были проведены аудиты ИБ ИС онлайн- школы:
- активный аудит ИБ;
- аудит ИБ основанный на соответствие Приказу №21 ФСТЭК России
- аудит ИБ в социальных сетях
В ходе аудита ИБ было выполнено следующее:
1) В ходе анкетирования, опроса сотрудников, осмотра и анализа элементов ИС была исследована ИС организации и описано текущее состояние ИБ организации;
2) В результате построения модели угроз, было определено 8 типов потенциальных нарушителей ИБ ИС онлайн-школы, проанализирована возможность их сговора и информация, которая может быть им известна. Проведён анализ целей потенциальных злоумышленников, каналы и средства возможной реализации атаки на ИС организации;
3) Для разных потенциальных нарушителей была составлена модель угроз, которая состоит из 14-ти угроз ИБ, в угрозах описаны возможные нарушители, предпосылки для реализации угроз, а также реализованные в организации меры по защите ИС, определена актуальность угроз:
- из 20 угроз 12 являются актуальными
- для всех актуальных угроз составлены рекомендации по их предотвращению;
4) Также основываясь на исследовании текущего состояния ИБ ИС выявлены различные уязвимости.
Активный аудит информационной безопасности позволил выявить:
- 2 уязвимости в обеспечении физической безопасности информационной системы;
- 1 уязвимость в аппаратном обеспечении информационной системы;
- 4 уязвимости в сетевом обеспечении информационной системы;
- 3 уязвимости в программном обеспечении информационной системы;
- 5 уязвимостей в организационном обеспечении информационной системы;
- 8 уязвимостей в нормативном обеспечении информационной системы.
Аудит информационной безопасности основанный на соответствие Приказу №21 ФСТЭК России позволил получить следующие результаты:
- 48% требований по защите информации выполняются полностью;
- 22% требований выполняются частично;
- 30% требований не выполняются;
В ходе аудита ИБ ИС в социальных сетях были выявлены критические уязвимости, по результатам аудита руководство организации провело собрание и инструктаж сотрудников.
5) Был составлен перечень рекомендаций по устранению выявленных уязвимостей, в перечень входят как программно-технические методы, так и организационно-нормативные. В случае выполнения данных рекомендаций повысится уровень защищённости организации и её коммерческий потенциал.
Следует, что все задачи выполнены в полной мере, цель работы достигнута - аудит информационной системы и её безопасности позволил выявить уязвимости, дать объективную оценку состоянию системы, а также
составлены рекомендации по устранению всех актуальных угроз её информационной безопасности.
- активный аудит ИБ;
- аудит ИБ основанный на соответствие Приказу №21 ФСТЭК России
- аудит ИБ в социальных сетях
В ходе аудита ИБ было выполнено следующее:
1) В ходе анкетирования, опроса сотрудников, осмотра и анализа элементов ИС была исследована ИС организации и описано текущее состояние ИБ организации;
2) В результате построения модели угроз, было определено 8 типов потенциальных нарушителей ИБ ИС онлайн-школы, проанализирована возможность их сговора и информация, которая может быть им известна. Проведён анализ целей потенциальных злоумышленников, каналы и средства возможной реализации атаки на ИС организации;
3) Для разных потенциальных нарушителей была составлена модель угроз, которая состоит из 14-ти угроз ИБ, в угрозах описаны возможные нарушители, предпосылки для реализации угроз, а также реализованные в организации меры по защите ИС, определена актуальность угроз:
- из 20 угроз 12 являются актуальными
- для всех актуальных угроз составлены рекомендации по их предотвращению;
4) Также основываясь на исследовании текущего состояния ИБ ИС выявлены различные уязвимости.
Активный аудит информационной безопасности позволил выявить:
- 2 уязвимости в обеспечении физической безопасности информационной системы;
- 1 уязвимость в аппаратном обеспечении информационной системы;
- 4 уязвимости в сетевом обеспечении информационной системы;
- 3 уязвимости в программном обеспечении информационной системы;
- 5 уязвимостей в организационном обеспечении информационной системы;
- 8 уязвимостей в нормативном обеспечении информационной системы.
Аудит информационной безопасности основанный на соответствие Приказу №21 ФСТЭК России позволил получить следующие результаты:
- 48% требований по защите информации выполняются полностью;
- 22% требований выполняются частично;
- 30% требований не выполняются;
В ходе аудита ИБ ИС в социальных сетях были выявлены критические уязвимости, по результатам аудита руководство организации провело собрание и инструктаж сотрудников.
5) Был составлен перечень рекомендаций по устранению выявленных уязвимостей, в перечень входят как программно-технические методы, так и организационно-нормативные. В случае выполнения данных рекомендаций повысится уровень защищённости организации и её коммерческий потенциал.
Следует, что все задачи выполнены в полной мере, цель работы достигнута - аудит информационной системы и её безопасности позволил выявить уязвимости, дать объективную оценку состоянию системы, а также
составлены рекомендации по устранению всех актуальных угроз её информационной безопасности.
Подобные работы
- ЭЛЕКТРОННЫЙ ОБУЧАЮЩИЙ КУРС «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4290 р. Год сдачи: 2019 - РАЗВИТИЕ ЭЛЕКТРОННЫХ УСЛУГ В КОММЕРЧЕСКОМ БАНКЕ
Магистерская диссертация, экономика. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2017 - БОРЬБА РОССИЙСКОЙ ФЕДЕРАЦИИ ПРОТИВ КИБЕРПРЕСТУПНОСТИ НА НАЦИОНАЛЬНОМ И МЕЖДУНАРОДНОМ УРОВНЕ
Магистерская диссертация, международные отношения. Язык работы: Русский. Цена: 4825 р. Год сдачи: 2018 - Технология блокчейн в СЗИ
Диссертация , информационная безопасность. Язык работы: Русский. Цена: 5800 р. Год сдачи: 2024 - Студенты за рубежом: практики использования информационно-коммуникационных технологий для поддержания отношений с родственниками
Дипломные работы, ВКР, социология. Язык работы: Русский. Цена: 4210 р. Год сдачи: 2023 - Управление рисками предприятия интернет-торговли
Дипломные работы, ВКР, менеджмент. Язык работы: Русский. Цена: 6300 р. Год сдачи: 2018 - Отражение проблем современного образования в СМИ Китая
Магистерская диссертация, журналистика. Язык работы: Русский. Цена: 5720 р. Год сдачи: 2016 - Организационно-правовое и информационное обеспечение публичной политики по предоставлению государственных услуг в г. Москве в 2007-2021 гг.
Курсовые работы, муниципальное право. Язык работы: Русский. Цена: 600 р. Год сдачи: 2022 - ИСЛАМСКОЕ ОБРАЗОВАНИЕ КАК СРЕДСТВО ПРОТИВОДЕЙСТВИЯ РАСПРОСТРАНЕНИЮ РАДИКАЛЬНЫХ ИДЕЙ СРЕДИ МОЛОДЕЖИ КЫРГЫЗСКОЙ РЕСПУБЛИКИ
Магистерская диссертация, социология. Язык работы: Русский. Цена: 4875 р. Год сдачи: 2020