Система тестирования для проведения аудита информационной безопасности на предприятии на основе международных стандартов
Описание
АННОТАЦИЯ
Выпускная квалификационная работа состоит из разработанного веб-приложения и банка вопросов, а также из доработанного плагина тестирова-ния и пояснительной записки на 73 страницах, содержащей 32 рисунка, 3 таблицы, 38 источников литературы и 2 приложений на 5 страницах.
Ключевые слова: АУДИТ, ОЦЕНКА РИСКОВ, АНАЛИЗ УГРОЗ. Филиппов И.Е.,Система тестирования для проведения аудита инфор-
мационной безопасности на предприятии на основе международных стандар-тов: выпускная квалификационная работа / И. Е. Филиппов; Рос. гос. проф.-пед. ун-т, Ин-т инж.-пед. образования, Каф. информ. систем и технологий. — Екатеринбург, 2018. — 73 с.
Принимая во внимание тот факт, что с каждым годом возрастает коли-чество атак на предприятия, наносящие им значительный финансовый и ма-териальный урон, становится актуальной проблема, изучением и работой над которой занимаются большое количество фирм, формирующие собственный рынок по услугам объективной оценки состояния уровня безопасности ин-формационных систем.
Актуальность и новизна выбранной темы заключается в том, что со-временных аналогов продукту нам найти не удалось, за исключением систе-мы Кондор, которая была основана на устаревшем стандарте ISO 17799 и прекратила поддержку в 2008 году по инициативе руководства компании.
СОДЕРЖАНИЕ
Введение....................................................................................................... 4
1 Актуальность аудита информационной безопасности на предприятии........... 6
1.1 Основные риски в области информационной безопасности..................... 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников.......................................... 18
1.3.1 Анализ печатных источников........................................................ 18
1.3.2 Анализ интернет-источников......................................................... 20
1.3.3 Анализ аналогичных систем и тестов............................................. 23
1.4 Анализ международных стандартов информационной безопасности..... 25
2 Описание системы тестирования................................................................ 30
2.1 Назначение продукта........................................................................... 30
2.2 Описание банка вопросов.................................................................... 31
2.3 Выбор средства реализации................................................................. 33
2.4 Описание шаблона и структура меню................................................... 36
2.5 Описание интернет-сайта..................................................................... 39
2.6 Описание плагина тестирования.......................................................... 47
2.7 Описание процедуры тестирования...................................................... 50
2.8 Использование системы тестирования в образовательном процессе....... 57
2.9 Апробация продукта............................................................................ 58
2.9.1 Апробация продукта в образовательном учреждении...................... 58
2.9.2 Апробация в учебном процессе...................................................... 60
Заключение.................................................................................................. 63
Список использованных источников............................................................. 65
Приложение А............................................................................................. 71
Приложение Б.............................................................................................. 73
3
ВВЕДЕНИЕ
Современный мир уже невозможно представить без персональных ком-пьютеров, высокоскоростного Интернета и прочих современных девайсов, с ко-торыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в бы-ту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эф-фективности работы коммерческих, государственных предприятий и образова-тельных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обу-славливает актуальность проблемы защиты и сохранности информации.
Принимая во внимание тот факт, что с каждым годом возрастает количе-ство атак на предприятия, которые наносят значительный финансовый и мате-риальный урон, становится актуальной еще одна проблема, изучением и рабо-той над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопас-ности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для прове-дения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема вы-пускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов
4
ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потреб-ность в такой разработке существует.
Объект исследования — использование международных стандартов в об-ласти информационной безопасности для разработки и внедрения организация-ми системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекоменда-ций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведе-ния аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему те-стирования для проведения аудита информационной безопасности на предпри-ятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие зада-
чи:
Выпускная квалификационная работа состоит из разработанного веб-приложения и банка вопросов, а также из доработанного плагина тестирова-ния и пояснительной записки на 73 страницах, содержащей 32 рисунка, 3 таблицы, 38 источников литературы и 2 приложений на 5 страницах.
Ключевые слова: АУДИТ, ОЦЕНКА РИСКОВ, АНАЛИЗ УГРОЗ. Филиппов И.Е.,Система тестирования для проведения аудита инфор-
мационной безопасности на предприятии на основе международных стандар-тов: выпускная квалификационная работа / И. Е. Филиппов; Рос. гос. проф.-пед. ун-т, Ин-т инж.-пед. образования, Каф. информ. систем и технологий. — Екатеринбург, 2018. — 73 с.
Принимая во внимание тот факт, что с каждым годом возрастает коли-чество атак на предприятия, наносящие им значительный финансовый и ма-териальный урон, становится актуальной проблема, изучением и работой над которой занимаются большое количество фирм, формирующие собственный рынок по услугам объективной оценки состояния уровня безопасности ин-формационных систем.
Актуальность и новизна выбранной темы заключается в том, что со-временных аналогов продукту нам найти не удалось, за исключением систе-мы Кондор, которая была основана на устаревшем стандарте ISO 17799 и прекратила поддержку в 2008 году по инициативе руководства компании.
СОДЕРЖАНИЕ
Введение....................................................................................................... 4
1 Актуальность аудита информационной безопасности на предприятии........... 6
1.1 Основные риски в области информационной безопасности..................... 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников.......................................... 18
1.3.1 Анализ печатных источников........................................................ 18
1.3.2 Анализ интернет-источников......................................................... 20
1.3.3 Анализ аналогичных систем и тестов............................................. 23
1.4 Анализ международных стандартов информационной безопасности..... 25
2 Описание системы тестирования................................................................ 30
2.1 Назначение продукта........................................................................... 30
2.2 Описание банка вопросов.................................................................... 31
2.3 Выбор средства реализации................................................................. 33
2.4 Описание шаблона и структура меню................................................... 36
2.5 Описание интернет-сайта..................................................................... 39
2.6 Описание плагина тестирования.......................................................... 47
2.7 Описание процедуры тестирования...................................................... 50
2.8 Использование системы тестирования в образовательном процессе....... 57
2.9 Апробация продукта............................................................................ 58
2.9.1 Апробация продукта в образовательном учреждении...................... 58
2.9.2 Апробация в учебном процессе...................................................... 60
Заключение.................................................................................................. 63
Список использованных источников............................................................. 65
Приложение А............................................................................................. 71
Приложение Б.............................................................................................. 73
3
ВВЕДЕНИЕ
Современный мир уже невозможно представить без персональных ком-пьютеров, высокоскоростного Интернета и прочих современных девайсов, с ко-торыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в бы-ту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эф-фективности работы коммерческих, государственных предприятий и образова-тельных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обу-славливает актуальность проблемы защиты и сохранности информации.
Принимая во внимание тот факт, что с каждым годом возрастает количе-ство атак на предприятия, которые наносят значительный финансовый и мате-риальный урон, становится актуальной еще одна проблема, изучением и рабо-той над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопас-ности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для прове-дения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема вы-пускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов
4
ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потреб-ность в такой разработке существует.
Объект исследования — использование международных стандартов в об-ласти информационной безопасности для разработки и внедрения организация-ми системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекоменда-ций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведе-ния аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему те-стирования для проведения аудита информационной безопасности на предпри-ятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие зада-
чи:
- проанализировать литературу и интернет-источники по аудиту и ме-неджменту информационной безопасности;
- изучить международные стандарты информационной безопасности, для подготовки исходных данных и составления тестовых вопросов;
- подготовить банк тестовых вопросов по выбранным международным стандартам информационной безопасности;
- реализовать интерфейс для проведения интернет-тестирования с воз-можностью авторизованного доступа и вывода результатов;
- разработать интернет-сайт для представления результата работы над продуктом в среде Интернет и обеспечение доступа представителям различных организаций.
Характеристики ВКР
Предмет
Учебное заведение
СПбГУСеместр
Просмотров
2
Размер
6,29 Mb
Список файлов
СИСТЕМА ТЕСТИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ .doc
Tortuga
10 августа 2024 в 06:18
Комментарии
Нет комментариев
Стань первым, кто что-нибудь напишет!
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
