Для студентов СПбГУ по предмету Информационная безопасностьСистема тестирования для проведения аудита информационной безопасности на предприятии на основе международных стандартовСистема тестирования для проведения аудита информационной безопасности на предприятии на основе международных стандартов
2024-08-102024-08-10СтудИзба
Система тестирования для проведения аудита информационной безопасности на предприятии на основе международных стандартов
Описание
АННОТАЦИЯ
Выпускная квалификационная работа состоит из разработанного веб-приложения и банка вопросов, а также из доработанного плагина тестирова-ния и пояснительной записки на 73 страницах, содержащей 32 рисунка, 3 таблицы, 38 источников литературы и 2 приложений на 5 страницах.
Ключевые слова: АУДИТ, ОЦЕНКА РИСКОВ, АНАЛИЗ УГРОЗ. Филиппов И.Е.,Система тестирования для проведения аудита инфор-
мационной безопасности на предприятии на основе международных стандар-тов: выпускная квалификационная работа / И. Е. Филиппов; Рос. гос. проф.-пед. ун-т, Ин-т инж.-пед. образования, Каф. информ. систем и технологий. — Екатеринбург, 2018. — 73 с.
Принимая во внимание тот факт, что с каждым годом возрастает коли-чество атак на предприятия, наносящие им значительный финансовый и ма-териальный урон, становится актуальной проблема, изучением и работой над которой занимаются большое количество фирм, формирующие собственный рынок по услугам объективной оценки состояния уровня безопасности ин-формационных систем.
Актуальность и новизна выбранной темы заключается в том, что со-временных аналогов продукту нам найти не удалось, за исключением систе-мы Кондор, которая была основана на устаревшем стандарте ISO 17799 и прекратила поддержку в 2008 году по инициативе руководства компании.
СОДЕРЖАНИЕ
Введение....................................................................................................... 4
1 Актуальность аудита информационной безопасности на предприятии........... 6
1.1 Основные риски в области информационной безопасности..................... 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников.......................................... 18
1.3.1 Анализ печатных источников........................................................ 18
1.3.2 Анализ интернет-источников......................................................... 20
1.3.3 Анализ аналогичных систем и тестов............................................. 23
1.4 Анализ международных стандартов информационной безопасности..... 25
2 Описание системы тестирования................................................................ 30
2.1 Назначение продукта........................................................................... 30
2.2 Описание банка вопросов.................................................................... 31
2.3 Выбор средства реализации................................................................. 33
2.4 Описание шаблона и структура меню................................................... 36
2.5 Описание интернет-сайта..................................................................... 39
2.6 Описание плагина тестирования.......................................................... 47
2.7 Описание процедуры тестирования...................................................... 50
2.8 Использование системы тестирования в образовательном процессе....... 57
2.9 Апробация продукта............................................................................ 58
2.9.1 Апробация продукта в образовательном учреждении...................... 58
2.9.2 Апробация в учебном процессе...................................................... 60
Заключение.................................................................................................. 63
Список использованных источников............................................................. 65
Приложение А............................................................................................. 71
Приложение Б.............................................................................................. 73
3
ВВЕДЕНИЕ
Современный мир уже невозможно представить без персональных ком-пьютеров, высокоскоростного Интернета и прочих современных девайсов, с ко-торыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в бы-ту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эф-фективности работы коммерческих, государственных предприятий и образова-тельных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обу-славливает актуальность проблемы защиты и сохранности информации.
Принимая во внимание тот факт, что с каждым годом возрастает количе-ство атак на предприятия, которые наносят значительный финансовый и мате-риальный урон, становится актуальной еще одна проблема, изучением и рабо-той над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопас-ности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для прове-дения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема вы-пускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов
4
ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потреб-ность в такой разработке существует.
Объект исследования — использование международных стандартов в об-ласти информационной безопасности для разработки и внедрения организация-ми системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекоменда-ций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведе-ния аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему те-стирования для проведения аудита информационной безопасности на предпри-ятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие зада-
чи:
Выпускная квалификационная работа состоит из разработанного веб-приложения и банка вопросов, а также из доработанного плагина тестирова-ния и пояснительной записки на 73 страницах, содержащей 32 рисунка, 3 таблицы, 38 источников литературы и 2 приложений на 5 страницах.
Ключевые слова: АУДИТ, ОЦЕНКА РИСКОВ, АНАЛИЗ УГРОЗ. Филиппов И.Е.,Система тестирования для проведения аудита инфор-
мационной безопасности на предприятии на основе международных стандар-тов: выпускная квалификационная работа / И. Е. Филиппов; Рос. гос. проф.-пед. ун-т, Ин-т инж.-пед. образования, Каф. информ. систем и технологий. — Екатеринбург, 2018. — 73 с.
Принимая во внимание тот факт, что с каждым годом возрастает коли-чество атак на предприятия, наносящие им значительный финансовый и ма-териальный урон, становится актуальной проблема, изучением и работой над которой занимаются большое количество фирм, формирующие собственный рынок по услугам объективной оценки состояния уровня безопасности ин-формационных систем.
Актуальность и новизна выбранной темы заключается в том, что со-временных аналогов продукту нам найти не удалось, за исключением систе-мы Кондор, которая была основана на устаревшем стандарте ISO 17799 и прекратила поддержку в 2008 году по инициативе руководства компании.
СОДЕРЖАНИЕ
Введение....................................................................................................... 4
1 Актуальность аудита информационной безопасности на предприятии........... 6
1.1 Основные риски в области информационной безопасности..................... 6
1.2 Описание терминологии и виды аудита информационной безопасности .. 7
1.3 Анализ литературы и интернет-источников.......................................... 18
1.3.1 Анализ печатных источников........................................................ 18
1.3.2 Анализ интернет-источников......................................................... 20
1.3.3 Анализ аналогичных систем и тестов............................................. 23
1.4 Анализ международных стандартов информационной безопасности..... 25
2 Описание системы тестирования................................................................ 30
2.1 Назначение продукта........................................................................... 30
2.2 Описание банка вопросов.................................................................... 31
2.3 Выбор средства реализации................................................................. 33
2.4 Описание шаблона и структура меню................................................... 36
2.5 Описание интернет-сайта..................................................................... 39
2.6 Описание плагина тестирования.......................................................... 47
2.7 Описание процедуры тестирования...................................................... 50
2.8 Использование системы тестирования в образовательном процессе....... 57
2.9 Апробация продукта............................................................................ 58
2.9.1 Апробация продукта в образовательном учреждении...................... 58
2.9.2 Апробация в учебном процессе...................................................... 60
Заключение.................................................................................................. 63
Список использованных источников............................................................. 65
Приложение А............................................................................................. 71
Приложение Б.............................................................................................. 73
3
ВВЕДЕНИЕ
Современный мир уже невозможно представить без персональных ком-пьютеров, высокоскоростного Интернета и прочих современных девайсов, с ко-торыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в бы-ту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эф-фективности работы коммерческих, государственных предприятий и образова-тельных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обу-славливает актуальность проблемы защиты и сохранности информации.
Принимая во внимание тот факт, что с каждым годом возрастает количе-ство атак на предприятия, которые наносят значительный финансовый и мате-риальный урон, становится актуальной еще одна проблема, изучением и рабо-той над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопас-ности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для прове-дения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению.
Исходя из вышеизложенных соображений, следует считать, что тема вы-пускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов
4
ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потреб-ность в такой разработке существует.
Объект исследования — использование международных стандартов в об-ласти информационной безопасности для разработки и внедрения организация-ми системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками.
Предмет исследования — банк тестовых вопросов на основе рекоменда-ций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведе-ния аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков.
Цель выпускной квалификационной работы — разработать систему те-стирования для проведения аудита информационной безопасности на предпри-ятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408.
Для достижения поставленной цели необходимо решить следующие зада-
чи:
- проанализировать литературу и интернет-источники по аудиту и ме-неджменту информационной безопасности;
- изучить международные стандарты информационной безопасности, для подготовки исходных данных и составления тестовых вопросов;
- подготовить банк тестовых вопросов по выбранным международным стандартам информационной безопасности;
- реализовать интерфейс для проведения интернет-тестирования с воз-можностью авторизованного доступа и вывода результатов;
- разработать интернет-сайт для представления результата работы над продуктом в среде Интернет и обеспечение доступа представителям различных организаций.
Характеристики ВКР
Предмет
Учебное заведение
СПбГУСеместр
Просмотров
2
Размер
6,29 Mb
Список файлов
СИСТЕМА ТЕСТИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ .doc
Tortuga
10 августа 2024 в 06:18
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
