Тип работы:
Предмет:
Язык работы:


РАЗРАБОТКА МЕТОДИКИ АНАЛИЗА И ОЦЕНКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ

Работа №80763

Тип работы

Магистерская диссертация

Предмет

педагогика

Объем работы68
Год сдачи2020
Стоимость4820 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
335
Не подходит работа?

Узнай цену на написание


Оглавление 3
Введение 4
Глава 1. угрозы информационной безопасности в образовательном учреждении 8
1.1 Виды угроз информационной безопасности в образовательном учреждении и их характеристика 8
1.2 Выявление угроз, уязвимостей и рисков в системе защиты информации образовательной организации 13
Выводы по первой главе 19
Глава 2. нормативная документация в области управления рисками информационной безопасности в образовательном учреждении 20
2.1. Международные стандарты управления информационной безопасностью 20
2.2. Методика ФСТЭК определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 22
Выводы по второй главе 30
ГЛАВА 3. РАЗРАБОТКА ОЦЕНКИ РИСКА УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФГБОУ ВО «Южно-Уральский государственный гуманитарно-педагогический университет» 31
3.1. Методика оценивания риска угроз, ее концепция и основные этапы 31
3.2. Анализ информационно-телекоммуникационной системы ФГБОУ ВО «Южно-Уральский государственный гуманитарно-педагогический университет» 38
Выводы по третьей главе 58
Заключение 59
Список использованной литературы

Актуальность исследования. В современном мире, где используется множество различных информационных систем, как никогда остро возникла проблема обеспечения информационной безопасности, так как полученную информацию можно использовать для совершения различных преступных действий. Информационные системы используются во всех сферах деятельности, в различных образовательных организациях, используют сеть Интернет для реализации их функционала, и поэтому они оказываются открытыми для реализации внутренних и внешних угроз, поэтому проблемы информационной безопасности становятся не менее важными для образовательного учреждения, чем экономическая или физическая безопасности.
Основное предназначение информационных систем заключается в увеличении эффективности деятельности образовательной организации, упрощения ее работы, а это означает, что меры защиты для информационной системы обязаны быть оптимальными с точки зрения выгоды и затрат на его создание.
Актуальность темы диссертации исходит из важности наилучшего выбора мер защиты для информационных систем, которые выбираются на основе оценки угроз.
Главные точки зрения на проблемы оценки рисков и подбора мер защиты информационных, автоматизированных систем отражены в работах А.Н. Атаманова, Е.В. Дойниковой, И.А. Зикратова, Д.А. Котенко, И.В. Котенко, И.В. Машкиной, А.Г. Остапенко, И.Б. Саенко, Р.М. Юсупова.
Создано множество документов, регулирующих стороны мер оценивания и анализа защиты систем.
Теоретические основы информационной безопасности отражены в трудах А.А. Варфоломеева, В.А. Герасименко, В.В. Домарева, Д.П. Зегжды, А.А Малюка, Д.С. Черешкина, А.И. Ярочкина.
После анализа работ специалистов было выявлено, что несмотря на значимость исследований, проблема оценки и анализа угроз и систем безопасности изучена и проработана не полностью.
Для того чтобы увеличить качество выбора мер защиты, нужно разработать методику анализа и оценки угроз.
Анализ рисков состоит из мероприятий по обследованию организаций с целью определения ресурсов, которые нужно защищать, и видов угроз для образовательной организации. По результатам исследований организации необходимо определить факторы, которые влияют на реализацию угроз безопасности и их воздействия.
В данный момент нет стандартизированной методики для анализа и оценки угроз информационной безопасности для образовательных учреждений. Все разработанные методики оценки угроз являются всего лишь рекомендательными, но не обязательными для исполнения организациями.
Главная проблема исследования - создать методику оценки угроз информационной безопасности образовательного учреждения, приняв за основу существующие стандарты и методики управления рисками информационной безопасности.
Цель исследования - проведения анализа информационной структуры образовательной организации и оценивание рисков и угроз информационной системы и ресурсов образовательной организации.
Объект исследования - меры защиты информационных систем, которые хранят, создают информацию, которая важна со стороны обеспечения ее конфиденциальности, сохранения целостности и доступности.
Предмет исследования - методика оценки рисков угроз и выбора защитных мер для информационных систем.
Гипотеза исследования - создание методического аппарата, который позволяет делать разумный выбор защитных мер для информационных систем, применяя научно-обоснованной методики оценки рисков угроз.
Цель достигается путем разрешения установленной гипотезы, поэтому требуется разделить ее на подзадачи:
- Рассмотрение видов угроз и составление их характеристик;
- Определение угроз, рисков и уязвимостей в защитной системе образовательного учреждения;
- Анализ методик и методов оценки рисков информационной безопасности;
- Создание способов анализа и оценки рисков информационной безопасности, которые связаны с угрозами безопасности информационных ресурсов;
- Анализ информационных ресурсов университета, уязвимостей и источников угроз;
- Создать описание угроз информационной безопасности по ранее созданным способам анализа и оценки.
Методы исследования
Для создания понятий в диссертации применяются приемы логики, анализа, синтеза и определения. Так же применяется структурный и системный анализ для создания комплекса мер защиты. Еще используются методы математической статистики.
Научная новизна результатов исследования - создать методику которая улучшит выбор мер защиты информационных систем, различия которых разнятся использованием показателя затратоемкости.
Обоснованность полученных результатов возможна при использовании современного математического аппарата и должны быть согласованы с современными практиками в области информационной безопасности.
Практическая значимость исследования - выбранная методика, которая позволяет увеличить качество подбора защитных мер для информационной системы образовательного учреждения и реализована в виде модуля управления рисками безопасности ИС.
База исследования: Федеральное государственное бюджетное образовательное учреждение высшего образования «Южно-Уральский государственный гуманитарно-педагогический университет»,
расположенный по адресу: г. Челябинск, пр. Ленина 61.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!


Магистерская диссертация разрешает проблему создания методики оценки угроз информационной безопасности, основываясь на современных стандартах и методиках. Результаты проведенного исследования позволили мне сделать следующие общие выводы:
1. Проблема выбора мер защиты для информационных систем образовательного учреждения
Угроза безопасности информации - возможность нарушения основных качественных характеристик (свойств) информации при её обработке техническими средствами: конфиденциальности, целостности, доступности.
Угрозы информационной безопасности делятся на три группы:
- Вызванные действиями субъекта (антропогенные источники угроз);
- Вызванные техническими средствами (техногенные источники угрозы);
- Вызванные стихийными источниками.
Как правило, защита от угроз определяется действующими инструкциями образовательного учреждения.
2. Документация в сфере управления рисками информационной безопасности в образовательном учреждении.
Описаны международные стандарты управления информационной безопасностью, а также Методика ФСТЭК определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Стандартом, который будет использоваться, выбран ГОСТ Р ИСО/МЭК 27005-2010, потому что он полностью применим под особенности образовательного учреждения.
3. Проведены анализ, оценивание рисков, которые связаны с угрозами безопасности информационных ресурсов ФГБОУ «Южно-Уральский государственный гуманитарно-педагогический университет» которые обнаружили риски для их обработки в дальнейшем.
Для того, чтобы достичь установленные цели, были выполнены следующие задачи:
- создана методика оценивания рисков информационной безопасности для образовательного учреждения. Основа для методики - стандарты в области информационной безопасности;
- проведен анализ информационной-телекоммуникационной структуры университета. Цель анализа - выявление угроз, уязвимостей и информационных активов;
- оценены информационные активы, угрозы и уязвимости. На их основе создана общая оценка рисков.
Исследование не полностью раскрывают существующую проблему. Обязательно появятся новые вопросы, которые тоже в дальнейшем потребует решения.



1. Bjorn A.G. CORAS, A Platform for Risk Analysis on Security Critical Systems — Model-based Risk Analysis Targeting Security, 2002.
2. BS 7799-3:2006. Системы управления информационной безопасностью - Часть 3: Руководство по управлению рисками информационной безопасности. - Введ. Март.2006
3. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Requirements. Berlin: ISO/IEC JTC 1/SC 27. 2013. 23 p.
4. Аверченков В.И. Организационная защита информации: учеб. пособие / В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2014. - 184 с.
5. Ажмухамедов И.М., Ханжина Т.Б. Определение оптимального комплекса мер по обеспечению информационной безопасности / И.М. Ажмухамедов, Т.Б. Ханжина // Мат. методы в технике и технологиях - ММТТ-24: сб. трудов XXII Междунар. науч. конф.: в 10 т. Т.9. Секция 13 / под общ. ред. В.С Балакирева. Саратов: Изд-во Саратовского гос. технического университета, 2011. 187с., С.73-75.
6. Андреева Н.В. Функциональная модель системы управления
информационной безопасностью как средство внедрения стандартов линейки ISO/IEC 2700x (BS 7799) // Научно-технический вестник
информационных технологий, механики и оптики. 2007. № 39. С. 40-44.
7. Банк данных угроз безопасности информации / ФСТЭК России // Threat List/ Список угроз - 2017. - URL: http://bdu.fstec.ru/threat. Дата обращения: 04.12.18.
8. Банк данных угроз безопасности информации // Федеральная служба по техническому и экспортному контролю. - URL: https://bdu.fstec. Ru. Дата обращения: 01.02.2018.
9. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности / Е.К. Баранова // Образовательные ресурсы и технологии. - 2015. - № 1 (9). - С. 73-79.
74
10. Баранова Е.К. Методики и программное обеспечение для оценки рисков в сфере информационной безопасности / Е.К. Баранова // Управление риском. 2009. № 1(49). С. 15-26.
11. Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации / Е.К. Баранова, А.В. Бабаш. - М.: ИНФРА-М_РИОР, 2014.
12. Бойцев О. Многофакторный анализ рисков информационной
безопасности. Подходы и методы / О. Бойцев. - URL: http://www.nestor.minsk.by/kg/2008/44/kg84403.html. Дата обращения:
01.02.2019.
13. Велигура А. О выборе методики оценки рисков информационной
безопасности / А. Велигура. - URL:
http://itsec.ru/articles2/pravo/o_vybore_metodiki_ocenki_riskov_informac_bezoр/. Дата обращения: 20.01.2019.
14. Виды и источники угроз информационной безопасности. - URL: http://infoprotect.net/note/vidyi_i_istochniki_ugroz_informacionnoy_bezopasno sti/Дата обращения: 15.11.2018.
15. Вихорев С.В. Классификация угроз информационной
безопасности / С.В. Вихров. - URL:
http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml/. Дата
обращения: 22.11.2018.
16. Глушенко С.А. Применение системы Matlab для оценки рисков информационной безопасности организации // Бизнес-информатика. 2013. № 4 (26). С. 35-42.
17. ГОСТ 12.0.003-2015. Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация. - Введ. 2015-12-10. - М.: Межгосударственный совет по стандартизации, метрологии и сертификации, 2015. - 16 с.
18. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология.
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования. - Введ. 2008-02-01 - М.:
ФСТЭК России, 2006.
19. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3¬2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введ. с 30.11.2010. Москва: Изд-во Стандартинформ, 2011.
20. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска; Введ. с 01.12.2012. Москва: Изд-во Стандартинформ; 2012.
21. Губарева О.Ю. Оценка рисков информационной безопасности в телекоммуникационных сетях. // Вестник Волжского университета им. В.Н. Татищева. 2013. № 2 (21). С. 76-81.
22. Доктрина информационной безопасности Российской Федерации, № Пр-1895 от 9 сентября 2000 г.
23. Ильченко Л.М. Анализ системы менеджмента информационной безопасности на базе стандарта ISO 27001:2013. // Материалы 5 научно¬практической конференции студентов, аспирантов и курсантов «IT вчера, сегодня, завтра». 2017. С. 51-61.
24. Ильченко Л.М. Расчет рисков информационной безопасности телекоммуникационного предприятия / Л.М. Ильченко, Е.К. Брагина, И.Э. Егоров, С.И. Зайцев // Открытое образование, №22. № 2. 2018.
25. Информационная безопасность образовательных учреждений. - URL: https://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya- bezopasnost-obrazovatelnykh-uchrezhdenij/. Дата обращения: 01.12.2018.
26. Киселева И.А., Искаджян С.О. Информационные риски: методы оценки и анализа / И.А. Киселева, С.О. Искаджян // ИТпортал, 2017. №2 (14). URL:http://itportal.ru/science/economy/informatsionnye-riski-metody- otsenk/. Дата обращения: 01.02.2019.
76
27. Королев В.Ю., Бенинг В.Е., Шоргин С.Я. Математические основы теории риска: учеб. пособие / В.Ю. Королев, В.Е. Бенинг, С.Я. Шоргин. - М.: ФИЗМАТЛИТ, 2011. 620 с.
28. Коротнев К. Методики управления рисками информационной безопасности и их оценки (часть 2) / К. Коротнев. - URL: https://safe- surf.ru/specialists/article/5194/587935/. Дата обращения: 01.02.2019.
29. Красникова Т.В., Невежин В.П. Моделирование оценки при аудите безопасности информационных систем / Т.В. Красникова, В.П. Невежин // VII Международная студенческая электронная научная конференция «Студенческий научный форум 2015».
30. Кудрявцева Р.Т. Управление информационными рисками с использованием технологий когнитивного моделирования: автореф. дис.
... канд. техн. наук. - Уфа, 2008. - 17 c.
31. Куканова Н. Современные методы и средства анализа и управление рисками информационных систем компаний / Н. Куканова // www.dsec.ru, Digital Security. Дата обращения: 20.01.2019.
32. Левченко В.Н. Этапы анализа рисков / В.Н. Левченко. - URL:
http: //masters .donntu.org/2016/fknt/levchenko/library/article6. htm. Дата
обращения: 12.01.2019.
33. Лютова И.И. Моделирование уровня приемлемого риска информационной безопасности // Вестник Адыгейского государственного университета. Серия 5: Экономика. 2014. №2 (141). URL: https://cyberleninka.ru/article/n/modelirovanie-urovnya-priemlemogo-riska- informatsionnoy-bezopasnosti. Дата обращения: 02.02.2019.
34. Малюк, А.А. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. - М.: Горячая линия-Телеком, 2012. - 148 с.
35. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний / И. Медведовский //, www.dsec.ru, Digital Security. Дата обращения: 20.01.2019.
77
36. Международный стандарт ISO/IEC 27005:2008. Информационная технология - Методы защиты - Менеджмент рисков информационной безопасности BS ISO/IEC 27005:2008.
37. Мельников В.П. Информационная безопасность и защита информации: учеб. пособие / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Издательский центр «Академия», 2013. - 336 с.
38. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г.
39. Методики и программные продукты для оценки рисков. - URL:
https://www.intuit.ru/studies/courses/531/387/lecture/8996?page=2/. Дата
обращения: 01.02.2019.
40. Методы организации защиты информации: учебное пособие для студентов 3-4 курсов всех форм обучения направлений подготовки 230400.55, 230701.51, 090300.65, 220100.55 / Ю.Ю. Громов и др. - Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», 2013. - 80 с.
41. Милютина О.В. Особенности защиты информации в образовательном учреждении / О.В. Милютина. - URL: http://www.fcoit.ru/internet_conference/information_security_training_process/f
eatures_information_security_in_an_educational_institution.php. Дата
обращения: 15.12.2018.
42. О безопасности [Электронный ресурс]: [федеральный закон: от 05.03.1992 г. № 2446-I, в ред. от 25.12.1992 г. № 4235-I, от 24.12.1993 г. №2288, от 25.07.2002 г. № 116-ФЗ, от 07.03.2005 г. № 15-ФЗ]. - Режим доступа:www.consultant.ru. Дата обращения: 28.11.2018.
43. О персональных данных [Электронный ресурс]: [федеральный закон: от 27.07.2006 г. № 152-ФЗ, в ред. от 04.06.2014 г. № 152-ФЗ]. - Режим доступа:www.consultant.ru. Дата обращения: 28.11.2018.
44. Об информации, информационных технологиях и о защите информации [Электронный ресурс]: [федеральный закон: от 27.07.2006 г.
78
№149-ФЗ, в ред. от 06.04.2011 г. № 149-ФЗ]. - Режим доступа: www.consultant.ru. Дата обращения: 28.11.2018.
45. Обеспечение информационной безопасности организации. -
URL: http://www.iccwbo.ru/blog/2016/obespechenie-informatsionnoy-
bezopasnosti/. Дата обращения: 01.12.2018.
46. Организационное обеспечение информационной безопасности [Электронный ресурс]. - Режим доступа:www.starik2222.narod.ru. Дата обращения: 22.11.2018.
47. Официальный сайт ФГБОУ ВО «Южно-Уральский государственный гуманитарно-педагогический университет». - URL: www.cspu.ru. Дата обращения: 22.12.2019.
48. Оценка информационной безопасности в деятельности организаций. Способы оценки информационной безопасности. - URL: http://www.pvsm.ru/informatsionnaya-bezopasnost/19741. Дата обращения: 05.12.2018.
49. Пащенко И.Н., Васильев В.И. Разработка требований к системе защиты информации в интеллектуальной сети Smart Grid на основе стандартов ISO/IEC 27001 и 27005 // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 117-126.
50. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. М.: Компания АйТи; ДМК Пресс, 2014.
51. Плетнев П.В., Белов В.М. Методика оценки рисков
информационной безопасности на предприятиях малого и среднего бизнеса / П.В. Плетнев, В.М. Белов. - URL:
http://old.tusur.ru/filearchive/reports-magazine/2012-25-2/083.pdf. Дата
обращения: 25.12.2019.
52. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков
информационной безопасности информационной системы предприятия / В.В. Пугин, О.Ю. Губарева. - URL:
https://rus.neicon.ru/xmlui/bitstream/handle/123456789/12956/9_st- 13.pdf?sequence=1. Дата обращения: 12.12.2019.
79
53. Садердинов А.А. Информационная безопасность предприятия: учеб. пособие / А.А. Садердинов, В.А. Трайнев, А.А. Федулов. - М.: Дашков и К, 2013. - 336 с.
54. Симонов С. Технологии и инструментарий для управления рисками / С. Симонов. JetInfo № 2, 2013.
55. Система обеспечения информационной безопасности. - URL: http://www.ec-leasing.ru/products/sistemy-obespechiniya-informacionnoi- bezopasnosti/. Дата обращения: 01.12.2019.
56. Средство оценки безопасности Microsoft Security Assessment Tool (MSAT). - URL: http://technet.microsoft.com/ru-ru/security/cc185712.aspx.Дата обращения: 12.05.2020.
57. Стандарты информационной безопасности. - URL: https://tvoi.biz/biznes/informatsionnaya-bezopasnost/prakticheskaya-polza- standartov-info.html. Дата обращения: 20.05.2020.
58. Степанов Е.А. Информационная безопасность и защита информации: учеб. пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА - М, 2013. - 304 с.
59. Шарафутдинова А.Р., Пядышев В.С. Защита информации в образовательных учреждениях / А.Р. Шарафутдинова, В.С. Пядышева. - URL:
http: //www.rusnauka. com/17_APSN_2013/Matemathics/2_140911.doc.htm.Дата обращения: 20.05.2020.
60. Ярочкин, В. И. Информационная безопасность / В.И. Ярочкин. - М. Академический проект, 2012. - 640 с.
61. Ярочкин, В. И. Словарь терминов и определений по безопасности и защите информации / В.И. Ярочкин, Т.А. Ильещова. - М.: «Ось-99», 2011. - 48 с.


Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2024 Cервис помощи студентам в выполнении работ