ВВЕДЕНИЕ 5
1. Анализ вопросов, рассматриваемых в курсе дисциплины
«Управление информационной безопасностью ТКС» 9
1.1 Проблемы обучения ИБ 9
1.1.1 Специальность «Информационная безопасность ТКС» 9
1.1.2 Подходы к обучению 10
1.2 Анализ вопросов обучения 11
1.2.1 Терминология в области управления ИБ 11
1.2.2 Актуальные вопросы управления ИБ 14
2. Анализ существующих международных и российских
стандартов и методов в области системы менеджмента ИБ 18
2.1.1 BS 7799 18
2.1.2 Серия международных стандартов серии ISO/IEC 27000 19
2.1.3 ГОСТ Р ИСО/МЭК 27000 20
2.1.4 СТО БР ИББС 22
2.2 Средства оценки и обработки рисков предприятия 23
2.2.1 ГРИФ 24
2.2.2 РискДетектор 25
2.2.3 Матричный подход 26
2.2.4 КОНДОР 26
2.2.5 CRAMM 27
3. Разработка комплекта лабораторных работ 29
3.1 Матричный подход к анализу рисков ИБ 29
3.2 Разработка Политики ИБ организации 32
3.3 Анализ рисков на основе ПО «РискДетектор 37
3.3 Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета DigitalSecurityOffice 46
3.5 Анализ рисков на основе моделей угроз и уязвимостей с
помощью «ГРИФ» пакета DigitalSecurityOffice 61
3.6 Анализ рисков на основе DigitalSecurity.КОНДОР 71
3.7 Анализ рисков по методике CRAMM 82
4. Разработка вариантов к лабораторным работам 89
ЗАКЛЮЧЕНИЕ 99
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 100
ПРИЛОЖЕНИЕ
Информация в том или ином виде окружала человечество всюду на протяжении всего его существования. Сам термин «информация» закрепился в научном сообществе с середины XX века и в соответствии Федеральным законом от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации" означает сведения (сообщения, данные) независимо от формы их представления.
В современном мире информация и такие основные информационные процессы как обработка, хранение и передача информации играют главную роль. Данная область является приоритетной в сферах внутренней и внешней безопасности страны, разведки, малого и крупного бизнеса и многих других. Во всех этих сферах остро стоит вопрос защищенности информации и каналов ее передачи[1].
Информационные технологии одни из самых динамично развивающихся отраслей современной науки. С развитием самих технологий растет и угроза информационной безопасности. А современная рыночная экономика диктует потребность поддержания ИБ на предприятии для его нормального функционирования. Для этого необходимо предотвращать возможные потери, которые могут привести к серьёзным последствиям на предприятии, связанные с уязвимостью в ИБ. Поэтому недостаточно лишь обеспечивать ИБ, также необходимо ею управлять для достижения приемлемого уровня безопасности информационных активов предприятия.
Согласно ФГОС ВО по специальности Информационная безопасность телекоммуникационных систем один из видов профессиональной деятельности выпускника, освоившего программу, это организационно-управленческая деятельность.
Данная совокупность факторов определяет актуальность настоящей ВКР, целью является «актуализация лабораторных работ, для лучшего усвоения материала и освоения профессиональных компетенций».
Для достижение сформулированной цели в ВКР поставлена и решена задача разработки методики изучения дисциплины УИБТКС в соответствии с требованиями к будущим специалистам.
Решение поставленной задачи требует её декомпозиции на пять подзадач:
1. Анализ существующих лабораторных работ по дисциплине УИБТКС;
2. Анализ существующих международных и российских стандартов и методов в области системы менеджмента ИБ;
3. Разработка актуальных лабораторных работ;
4. Разработка вариантов лабораторных работ;
5. Выполнение пробного варианта (Приложение 1).
Объектом исследования ВКР является учебно¬образовательный процесс специальности ИБ ТКС. Предметом для исследования была выбрана учебная дисциплина УИБТКС.
Изначально для реализации поставленных задач нам дана учебная программа дисциплины УИБТКС и требуется актуализировать имеющиеся лабораторные работы.
В ходе выполнения ВКР возникли трудности такие как:
- Поиск необходимого современного ПО и его установка;
- Ответ на вопрос: «Каков уровень подготовки студентов?».
Затруднения связанные с поиском ПО преодолены путем обращения к разработчикам комплектов лабораторных работ и научному руководителю. В ходе исследования проблемы установки выяснилось, что для организации работы по установке ПО невозможно поставить нужные программы на виртуальные машины, а необходимо обладать правами администратора сети.
Затруднения, связанные с компетентностью студентов в вопросах УИБ решились обращению к учебному плану направления в целом.
Существующий комплект лабораторных работ устарел и не в полной мере отражает действительные навыки специалиста по ИБ.
Для решения поставленной задачи в рамках предлагаемого подхода ВКР имеет следующее содержание:
- Введение;
- 1 раздел - Анализ вопросов, рассматриваемых в курсе;
- 2 раздел - Анализ стандартов в области УИБ;
- 3 раздел - Разработка комплекта лабораторных работ;
- 4 раздел - Разработка вариантов к лабораторным работам;
- Заключение.
Введение имеет следующее содержание:
- 1 раздел посвящён рассмотрению основных тенденции социально-экономического и технико-технологического развития общества и их влияние на УИБ.
- 2 раздел посвящён постановке задачи на исследование в целом.
- 3 раздел посвящён состоянию вопроса.
- 4 раздел посвящён описанию содержания ВКР.
- 5 раздел посвящен основным положениям, выносимым на защиту.
В Заключении изложен отчет о решении поставленных задач и достижении поставленной цели.
Российские предприятия обладают проблемами в обеспечении ИБ. Некоторые из них:
- Непонимание руководством смысла в обеспечении ИБ;
- Недоработанная политика ИБ;
- Отсутствие процедуры анализа рисков;
- Недостаточность и нерегулярность аудитов и др.
В связи с этим основными положениями, выносимыми на защиту, являются:
- Решение данных проблем посредством управления ИБ ТКС;
- Для обучения будущих специалистов предлагается следующий список лабораторных работ:
1. Матричный подход к анализу рисков ИБ;
2. Разработка Политики ИБ организации;
3. Анализ рисков на основе ПО «РискДетектор»;
4. Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета Digital Security Office;
5. Анализ рисков на основе моделей угроз и уязвимостей с помощью «ГРИФ» пакета Digital Security Office;
6. Анализ рисков на основе Digital Security.КОНДОР;
7. Анализ рисков по методике CRAMM.
Готовность будущего выпускника к профессиональной деятельности формируется в ходе получения не столько теоретических, сколько практических навыков работы. С этой целью в рабочую программу включены лабораторные занятия.
Было выявлено, что данная область динамично развивается, но проанализировав мировой опыт в управлении ИБ на предприятиях различного типа, а также изучив стандарты в данной области были разработаны семь лабораторных работ.
Разработанный комплект работ необходимо внедрить в учебный процесс дисциплины УИБТКС для качественной оценки и дальнейшего усовершенствования.
В качестве предложения по улучшению работ можно представить использование зарубежных разработок, но для этого студент должен обладать достаточными навыками в английском языке.
В ходе работы над ВКР были решены поставленные задачи тем самым была достигнута поставленная цель.
1. Специальность «Информационная безопасность
телекоммуникационных систем». Код специальности: 10.05.02. [Электронный ресурс]. Режим доступа:
https://abiturient.tusur.ru/ru/napravleniya-podgotovki/ochnaya- forma-obucheniya/2019-10-05-02-informatsionnaya-bezopasnost- telekommunikatsionnyh-sistem-fulltime (дата обращения: 25.11.18).
2. ФГОС специальности 10.05.02 «Информационная
безопасность телекоммуникационных систем» Утвержден приказом Министерства образования и науки Российской Федерации от 16 ноября 2016 г. № 1426.
3. Вузы России со специальностью информационная
безопасность телекоммуникационных систем - 10.05.02
[Электронный ресурс]. Режим доступа:
httP://vuzoteka.ru/вузы/Информационная-безопасность- телекоммуникационных-систем-10-05-02 (дата обращения: 6.01.19).
4. Рейтинг специальностей вузов [Электронный ресурс]. Режим доступа: https://moeobrazovanie.ru/specialities rating vuz/ (дата обращения: 6.01.19).
5. Сущность управления и менеджмента [Электронный ресурс].
Режим доступа:
https://port-u.ru/managementorganizacii/sushnostupravleniya (дата обращения: 8.01.19).
6. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности организации. Основные термины и определения. - Введ. 2008-12-18. — М.: Изд-во стандартов, 2008. — 20 с.
7. Процессное управление организацией [Электронный ресурс]. Режим доступа: https://studfiles.net/preview/4002634/page:3/ (дата обращения: 6.01.19).
8. Применение цикла Шухарта-Деминга к процессу автоматизации обработки геопространственной информации. Пустынный Я. Н., Шошина К. В. Применение цикла Шухарта- Деминга к процессу автоматизации обработки геопространственной информации // Молодой ученый. — 2016.
— №15. — С. 194-198. [Электронный ресурс]. Режим доступа: https://moluch.ru/archive/119/33069/ (дата обращения: 10.01.2019).
9. Астахов, А. Искусство управления информационными
рисками / А. Астахов. — М.: ДМК Пресс, 2010. — 312
10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - Введ. 2005-12-29. — М.: Изд- во стандартов, 2006. — 62 с
11. История создания BS 7799 [Электронный ресурс]. Режим
доступа: http://www.iso27000.ru/chitalnyi-zai/standarty-
informacionnoi-bezopasnosti/bsi-i-bs-7799-2013-videnie- razrabotchikov (дата обращения: 14.01.2019).
12. Менеджмент информационной безопасности Лекция 1 Стандарт ISO 27001[Электронный ресурс]. Режим доступа: http ://present5.com/menedzhment-informacionnoj -bezopasnosti- lekciya-1-standart-iso-27001/ (дата обращения: 14.01.2019).
13. Основы управления информационной безопасностью / Курило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И.
— 2-е изд., М.: Горячая линия - Телеком, 2014. — 244 с
14. СТО БР ИББС-2.5-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности. Введ. 2014-06-01. — Москва.: 2014. — 29 с.
15. ГОСТ Р 56546-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. - Введ. 2015-08-19. — М.: Изд-во стандартов, 20015. — 12 с
16. Программные средства для управления ИБ и анализа рисков [Электронный ресурс]. Режим доступа: http://itsec.ru/articles2/control/programmnye-sredstva-dlya- upravleniya-ib-i-analiza-riskov (дата обращения: 16.01.2019).
17. Digital Security ГРИФ и КОНДОР для "Energbak".
[Электронный ресурс]. Режим доступа:
http://deeplace.md/project/digital-security-grif-i-kondor-dlya- energbak (дата обращения: 16.09.2018).
18. РискДетектор [Электронный ресурс]. Режим доступа: http://www.srisks.ru (дата обращения: 17.09.2018).
19. Матричный подход к анализу рисков информационной безопасности [Электронный ресурс]. Режим доступа: https://studref. com/312208/informatika/matrichnyy_podhod_analiz u_riskov_informatsionnoy_bezopasnosti (дата обращения: 18.09.2018).
20. Методика CRAMM [Электронный ресурс]. Режим доступа: https://www.intuit.ru/studies/courses/531/387/lecture/8996 (дата обращения: 18.01.2018).
21. Управление информационной безопасностью. / А.А. Конев, Е.М. Давыдова, А.А. Шелупанов — Т.: В-Спектр, 2017. — 122 с