
Тип работы:	Предмет:	Язык работы:

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ВЫСШЕГО УЧЕБНОГО ЗАВЕДЕНИЯ

Работа №	46564
Тип работы	Дипломные работы, ВКР
Предмет	информационная безопасность
Объем работы	143
Год сдачи	2018
Стоимость	4300 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено	607

Не подходит работа?

Узнай цену на написание

Содержание

ВВЕДЕНИЕ 5
1. ВИДЫ И ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 6
1.1. Виды аудита информационной безопасности 6
1.2. Этапы проведения аудита информационной безопасности 6
1.3. Методы изучения и анализа информационной системы 8
2. ОБСЛЕДОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ВУЗА 9
2.1. Структура вуза 9
2.2. Типовая IT-инфраструктура учебного подразделения 10
2.3. Состав программных средств вуза 13
2.4. Анализ информационных ресурсов вуза 16
2.5. Структура локальной вычислительной сети вуза 17
3. ПОСТРОЕНИЕ МОДЕЛИ НАРУШИТЕЛЯ И МОДЕЛИ УГРОЗ ДЛЯ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ВУЗА 20
3.1. Описание возможных нарушителей 20
3.2. Возможность сговора потенциальных нарушителей 22
3.3. Предположения об имеющейся у нарушителей информации 25
3.4. Описание объектов и целей реализации угроз информационной безопасности 27
3.5. Предположения об имеющихся у нарушителей средствах реализации угроз 28
3.6. Описание каналов реализации угроз информационной безопасности 29
3.7. Расчет исходной степени защищенности учебного заведения 30
3.8. Угрозы, возникающие при обработке информации в информационной
системе вуза 33
3.9. Составление рекомендаций по предотвращению актуальных угроз .. 36
4. ПРОВЕДЕНИЕ АКТИВНОГО АУДИТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ВУЗА 41
4.1. Аудит физического контроля доступа в помещения 41
4.1.1. Физический контроль доступа в помещения в рабочее и нерабочее
время 41
4.1.2. Наличие видеонаблюдения 42
4.2. Аудит аппаратного обеспечения информационной системы 42
4.2.1. Защищенность помещений, в которых находится серверное
оборудование 42
4.2.2. Наличие системы учета оборудования и привязки его к конкретным
пользователям 42
4.3. Аудит сетевого обеспечения информационной системы 43
4.3.1. Наличие общедоступных участков кабельной системы 43
4.3.2. Защищенность беспроводной сети 43
4.3.3. Анализ доменных имен 45
4.4. Аудит программного обеспечения информационной системы 47
4.4.1. Аудит прикладного программного обеспечения и средств защиты
информации 47
4.4.2. Аудит программного обеспечения, поддерживающего сетевую инфраструктуру 55
4.5. Аудит организационного обеспечения информационной системы .... 68
4.5.1. Возможность получения доступа к включенной рабочей станции в отсутствие пользователя 68
4.5.2. Анализ доменной структуры 69
4.5.3. Осуществление резервного копирования 73
4.5.4. Соблюдение политики учетных записей и парольной политики в операционной системе 74
4.5.5. Мониторинг действий пользователей в информационной системе 76
4.5.6. Наличие отдела информационной безопасности 77
4.6. Аудит нормативного обеспечения информационной системы 77
5. ПРОВЕДЕНИЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НА СООТВЕТСТВИЕ СТАНДАРТАМ 79
5.1. Проведение аудита информационной безопасности информационной
системы вуза на соответствие Приказу №17 ФСТЭК России 79
5.2. Проведение аудита информационной безопасности информационной
системы вуза на соответствие Приказу №21 ФСТЭК России 89
ЗАКЛЮЧЕНИЕ 91
СПИСОК ЛИТЕРАТУРЫ 94
ПРИЛОЖЕНИЕ 1 94
ПРИЛОЖЕНИЕ 2 107
ПРИЛОЖЕНИЕ 3 125
ПРИЛОЖЕНИЕ 4 130
ПРИЛОЖЕНИЕ 5 134
ПРИЛОЖЕНИЕ 6 137

Введение

Высшее учебное заведение (далее - вуз), как и любая организация в настоящее время, нуждается в обеспечении информационной безопасности. Отличительной особенностью в процессе защиты информации является то, что вуз - это открытая организация с постоянно меняющейся аудиторией. Это предполагает возможность появления угроз информационной безопасности и нанесения ущерба всем участникам образовательного процесса.
Для того чтобы оценить уровень защищенности информационных ресурсов и активов, организация должна регулярно проводить аудит информационной безопасности. Это позволит не только выявить уязвимости, но и определить актуальные угрозы, а также составить рекомендации по их предотвращению.
А потому проведение аудита информационной безопасности в вузе является актуальной задачей, решение которой позволит обеспечить информационную защищенность всем участникам образовательного процесса.
Целью данной работы является проведение в вузе внутреннего активного аудита информационной безопасности и аудита информационной безопасности на соответствие стандартам.
Поставленная цель потребовала решения следующих задач:
1) обследование информационной системы вуза;
2) составление модели нарушителя;
3) построение модели угроз;
4) исследование текущего состояния информационной безопасности вуза;
5) выявление уязвимостей информационной системы вуза;
6) составление рекомендаций по устранению уязвимостей и предотвращению актуальных угроз.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

Курсовые Статьи Диплом Рязань

Заключение

В результате выполнения данной работы были проведены следующие виды аудита информационной безопасности информационной системы вуза:
- активный аудит информационной безопасности;
- аудит информационной безопасности на соответствие Приказам №17 и №21 ФСТЭК России.
В процессе проведения аудита информационной безопасности были выполнены следующие задачи:
1) инструментальными методами, а также методами анкетирования, устного опроса, визуального осмотра и анализа внутренней документации обследована информационная система вуза, на основе чего описано текущее состояние информационной безопасности;
2) построена модель нарушителя, в результате чего выявлены 8 типов потенциальных нарушителей, возможности их сговора, а также предположительно известные каждому типу нарушителя сведения об информационной системе вуза. Проанализированы возможные цели, объекты, средства и каналы реализации угроз информационной безопасности;
3) с использованием модели нарушителя составлена модель угроз, которая содержит в себе описание 30-ти угроз информационной безопасности, включающее в себя наименование угрозы, возможных нарушителей, предпосылки реализации угрозы, реализованные в вузе защитные меры и определение актуальности угрозы:
- установлено, что для информационной системы вуза 23 угрозы из 30-ти являются актуальными;
- для всех актуальных угроз составлены рекомендации по их предотвращению;
4) на основе исследования текущего состояния информационной безопасности информационной системы вуза были выявлены уязвимости различного характера.
Активный аудит информационной безопасности позволил выявить:
- 4 уязвимости в обеспечении физической безопасности информационной системы;
- 3 уязвимости в аппаратном обеспечении информационной системы;
- 3 уязвимости в сетевом обеспечении информационной системы;
- 52 уязвимости в программном обеспечении информационной системы;
- 9 уязвимостей в организационном обеспечении информационной системы;
- 3 уязвимости в нормативном обеспечении информационной системы.
Аудит информационной безопасности на соответствие Приказу №17 ФСТЭК России позволил получить следующие результаты:
- 29% требований по защите информации выполняются полностью;
- 17% требований выполняются частично;
- 29% требований не выполняются;
- выполнение 25% требований не выявлено ввиду отсутствия необходимых сведений.
Аудит информационной безопасности на соответствие Приказу №21 ФСТЭК России позволил получить следующие результаты:
- 32% требований по защите информации выполняются полностью;
- 12% требований выполняются частично;
- 33% требований не выполняются;
- выполнение 23% требований не выявлено ввиду отсутствия необходимых сведений;
5) составлены рекомендации по устранению выявленных уязвимостей, включающие в себя меры как программно-технического, так и организационно-нормативного характера, практическая реализация которых повысит уровень защищенности информационной системы вуза.
Таким образом, задачи решены в полном объеме, цель достигнута - был проведен аудит информационной безопасности информационной системы вуза, который позволил получить объективную оценку защищённости информационной системы, обнаружить уязвимости информационной безопасности и составить рекомендации по их устранению и предотвращению актуальных угроз информационной безопасности.

Литература

1. Аудит информационной безопасности — что это, для чего и кто может провести? [Электронный ресурс]. - Режим доступа : http://vesbiz.ru/likbez/audit- informacionnoj-bezopasnosti.html, свободный. - Загл. с экрана. - (Дата обращения: 21.02.2018).
2. StudFiles - файловый архив студентов [Электронный ресурс]. - Режим доступа : https://studfiles.net/preview/3845260/page: 12/, свободный. - Загл. с экрана. - (Дата обращения: 26.02.2018).
3. Информационно-аналитическая система «Электронный Университет» // Руководство пользователя по работе в корпоративной сети вуза. - 12 с.
4. ARinteg [Электронный ресурс]. - Режим доступа : https://arinteg.ru/articles/modeli-ugroz-informatsionnoy-bezopasnosti-27255.html, свободный. - Загл. с экрана. - (Дата обращения: 10.03.2018).
5. Модель угроз безопасности [Электронный ресурс]. - Режим доступа : www.admin-smolensk.ru/information_security/pers/model_primer.doc,свободный. - Загл. с экрана. - (Дата обращения: 14.03.2018).
6. StudFiles - файловый архив студентов [Электронный ресурс]. - Режим доступа : https://studfiles.net/preview/2554413/page:10/, свободный. - Загл. с экрана. - (Дата обращения: 21.03.2018).
7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Текст]. - Введ. 2008-02-15. - ФСТЭК России, 2008. - 69 с.
8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Текст]. - Введ. 2008-02-14. - ФСТЭК России, 2008. - 10 с.
https://sohabr.net/habr/post/203528/, свободный. - Загл. с экрана. - (Дата обращения: 30.03.2018).
10. NetworkGuru.ru[Электронный ресурс]. - Режим доступа :
https://networkguru.ru/vzlom-wpa2-s-pomoshchiu-uiazvimosti-krack/, свободный. -
Загл. с экрана. - (Дата обращения: 10.04.2018).
11. GitHub [Электронный ресурс]. - Режим доступа : https://github.com/vanhoefm/krackattacks-scripts, свободный. - Загл. с экрана. - (Дата обращения: 18.04.2018).
12. SecurityLab.ru by Positive Technologies [Электронный ресурс]. - Режим доступа : https://www.securitylab.ru/blog/company/falcongaze/335296.php, свободный. - Загл. с экрана. - (Дата обращения: 23.04.2018).
13. Habr [Электронный ресурс]. - Режим доступа :
https://habr.com/company/aktiv-company/blog/335532/, свободный. - Загл. с экрана. - (Дата обращения: 28.04.2018).
14. Банк данных угроз безопасности информации [Электронный ресурс]. - Режим доступа : https://bdu.fstec.ru/vul, свободный. - Загл. с экрана. - (Дата обращения: 11.05.2018).
15. Приказ N 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [Текст]. - Введ. 2013-02-11. - ФСТЭК России, 2013. - 40 с.
16. Приказ N 21 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Текст]. - Введ. 2013-02-18. - ФСТЭК России, 2013. - 19 с.