Для студентов по предмету Дипломы и ВКР«Применение программных средств для анализа рисков информационной безопасности».«Применение программных средств для анализа рисков информационной безопасности».
2024-12-262024-12-26СтудИзба
ВКР: «Применение программных средств для анализа рисков информационной безопасности».
Описание
Отчет о глобальных рисках для человечества 2018, представленный на Всемирном экономическом форуме в Давосе в 2018 году, прямо указывает на высокую опасность рисков информационной безопасности для современного общества. В этой связи критичной становится роль анализа и управления рисками информационной безопасности при создании комплексной системы информационной безопасности организации, как инструмента выбора необходимых и достаточных, а также экономически обоснованных мер и средств защиты информации.
На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании».
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности)». Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом. Для различных видов аудита различаются все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки. На сегодняшний день перед каждым предприятием, обеспокоенного вопросами безопасности своих информационных ресурсов, встает вопрос об организации системы защиты информации, которая бы позволила в полной мере обеспечить безопасность функционирования телекоммуникационного оборудования и циркулирующей информации в информационной системе предприятия. Эффективность защиты информации зависит от подхода к ее организации и правильного выбора методов расчета рисков информационной безопасности. Существует множество методик оценки и обработки рисков, которые применимы к любой информационной системе, вне зависимости от уровня конфиденциальности обрабатываемой в ней информации, однако, как правило, для грамотного построения системы защиты информации с использованием таких методик требуется большой объем информации о реализованных атаках, а также о попытках их реализации, подлежащий программному анализу с целью выявления наиболее актуальных угроз информационной безопасности (далее – ИБ), то есть необходима своеобразная отправная точка, с которой и следует начинать создание системы защиты, об этом говорят стандарты BS 7799-3—Британский стандарт BS 7799 третья часть. BS 7799 Part 1 — Code of Practice for Information Security Management ((Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ) и NIST 800-30- (Довольно объемный документ (95 стр.), в котором также представлены подходы не только к оценке рисков, но и к организации деятельности по управлению рисками ИБ на различных уровнях (от стратегического до прикладного на уровне отдельных информационных систем). В отличие от BS 7799-3, данный документ содержит более развернутые описания каждого из элементов, а также рекомендации по применению на практике в различных ситуациях), что не всегда возможно реализовать практически, ввиду ограниченности временных ресурсов.
Целью данной работы является определение и оценка рисков информационной безопасности для информационной системы с помощью программного обеспечения на предприятии занимающимся работой с ценного вида документами на уровне государства
Основной акцент, при обеспечении информационной безопасности в рассматриваемой информационной системе, делается на минимизацию ущерба от угроз безопасности, направленных на целостность и доступность программно-аппаратного комплекса информационной системы, а не на конфиденциальность информационных ресурсов, обрабатываемых с их помощью. В рамках исследования были рассмотрены международные и национальные стандарты в сфере защиты информации, регламентирующие вопросы менеджмента рисков информационной безопасности. В частности, были установлены основные требования к оценке и обработке рисков информационной безопасности, исходя из международного стандарта «ISO 27001:2013»
Задачей данной дипломной работы является выявление возможных рисков ИБ, рассмотрение общих принципов оценки рисков информационной безопасности с использованием программного обеспечения и применение оптимального ПО в практической части на выявленные угрозы безопасности.
На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании».
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности)». Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом. Для различных видов аудита различаются все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки. На сегодняшний день перед каждым предприятием, обеспокоенного вопросами безопасности своих информационных ресурсов, встает вопрос об организации системы защиты информации, которая бы позволила в полной мере обеспечить безопасность функционирования телекоммуникационного оборудования и циркулирующей информации в информационной системе предприятия. Эффективность защиты информации зависит от подхода к ее организации и правильного выбора методов расчета рисков информационной безопасности. Существует множество методик оценки и обработки рисков, которые применимы к любой информационной системе, вне зависимости от уровня конфиденциальности обрабатываемой в ней информации, однако, как правило, для грамотного построения системы защиты информации с использованием таких методик требуется большой объем информации о реализованных атаках, а также о попытках их реализации, подлежащий программному анализу с целью выявления наиболее актуальных угроз информационной безопасности (далее – ИБ), то есть необходима своеобразная отправная точка, с которой и следует начинать создание системы защиты, об этом говорят стандарты BS 7799-3—Британский стандарт BS 7799 третья часть. BS 7799 Part 1 — Code of Practice for Information Security Management ((Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ) и NIST 800-30- (Довольно объемный документ (95 стр.), в котором также представлены подходы не только к оценке рисков, но и к организации деятельности по управлению рисками ИБ на различных уровнях (от стратегического до прикладного на уровне отдельных информационных систем). В отличие от BS 7799-3, данный документ содержит более развернутые описания каждого из элементов, а также рекомендации по применению на практике в различных ситуациях), что не всегда возможно реализовать практически, ввиду ограниченности временных ресурсов.
Целью данной работы является определение и оценка рисков информационной безопасности для информационной системы с помощью программного обеспечения на предприятии занимающимся работой с ценного вида документами на уровне государства
Основной акцент, при обеспечении информационной безопасности в рассматриваемой информационной системе, делается на минимизацию ущерба от угроз безопасности, направленных на целостность и доступность программно-аппаратного комплекса информационной системы, а не на конфиденциальность информационных ресурсов, обрабатываемых с их помощью. В рамках исследования были рассмотрены международные и национальные стандарты в сфере защиты информации, регламентирующие вопросы менеджмента рисков информационной безопасности. В частности, были установлены основные требования к оценке и обработке рисков информационной безопасности, исходя из международного стандарта «ISO 27001:2013»
Задачей данной дипломной работы является выявление возможных рисков ИБ, рассмотрение общих принципов оценки рисков информационной безопасности с использованием программного обеспечения и применение оптимального ПО в практической части на выявленные угрозы безопасности.
Файлы условия, демо
Характеристики ВКР
Предмет
Семестр
Просмотров
1
Размер
1,94 Mb
Список файлов
Павел 2 титульный лист.docx
Павел диплом презентация.pptx
Павел Диплом с рамкой.doc
Павел текст для предзащиты.docx
Павел Титульный 1.doc
Приложение А.docx
Приложение Б.docx