Антиплагиат (1209233), страница 13

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 13)

39 Он отражает необходимую окупаемость в год для того, чтобывернуть стоимость проведения анализа защищенности.Нормативный коэффициент экономической эффективности капитальныхвложений определяется по формуле:, (5.13)где Тн – нормативный срок окупаемости капитальных вложений, лет. 39Таким образом, нормативный коэффициент экономической эффективности 39составляет:Расчетный коэффициент экономической эффективности капитальныхвложений составляет:(5.14) 39Подставив вычисленные выше значения в формулу 5.14, получим:Расчетный срок окупаемости капитальных вложений 39 рассчитываетсяследующим образом:, (5.15)89где Ер – коэффициент экономической эффективности капитальныхвложений.Подставив вычисленные выше значения в формулу 5.15, получим: 39Вывод: исходя из приведённых выше расчётов и анализа экономическойэффективности 39 проведения исследуемого в рамках выпускнойквалификационной работы анализа защищенности, можно сделать следующиевыводы:− проведение анализа защищенности приведет к избеганию ущерба отнарушения конфиденциальности информации, обрабатываемой винформационной системе в ;− расчетный коэффициент экономической эффективности 39 проведениявыше нормативного коэффициента эффективности капитальных затрат(Ер выше Ен (1,23>0,5));− срок окупаемости капитальных вложений 39 составит менее 1 года (297дней), что меньше нормативного, исходя из полученных расчетов;По результатам проведенных 34 оценок и расчетов можно сделать вывод о 34целесообразности затрат на проведение анализа защищенности информации винформационной системе, а также судить об экономической эффективностиего проведения.90ЗаключениеВ ходе подготовки дипломного проекта были достигнуты поставленныецели и задачи.

Были рассмотрены современные методики проведения анализазащищенности информации в информационной системе. Также были изученынормативные документы в области защиты информации, связанные с контролемзащищенности информации в информационной системе.Была выявлена недостаточность современных методик и отсутствиеподробных рекомендаций проведения анализа защищенности информации,соответствующих нормативным документам. Было предложено решение в видеметодических рекомендаций, предлагающих подробный порядок действий,выполнение которых обеспечивает соответствие требованиям нормативныхдокументов.Разработанные методические рекомендации могут быть внедрены ворганизациях, осуществляющих деятельность в области защиты информации иприменяться специалистами по защите конфиденциальной информации в ходевыполнения мероприятий по организации системы защиты.

Данныерекомендации являются лишь предложением, но в дальнейшем возможноиспользовать их для создания полноценного методического документа,использование которого гарантирует соответствие требованиям нормативныхдокументов.91Приложение АМетодический документМетодические рекомендации проведения анализа защищенностиинформации в информационной системе9220171 Общие положенияНастоящий методический документ разработан с целью обеспеченияединообразия и удобства выполнения требований нормативных документовкасательно проведения анализа защищенности информации в информационныхсистемах.Методический документ детализирует процессы реализации мер защитыинформации 16 по анализу защищенности в информационных системах в 16соответствии с методическим документом ФСТЭК «Меры защитыинформации» от 11.02.2014.Методический документ предназначен для операторов информационныхсистем, организаций, предоставляющих услуги по организации защитыинформации, и организаций, предоставляющих услуги по аттестацииинформационных систем.Методический документ применяется при выполнении действий попроведению анализа защищенности информации в информационных системахдля обеспечения их порядка и правильности выполнения.932 ОпределенияАнализ защищенности – это комплекс действий по выявлению уязвимостейинформационной системы и контролю выполнения и эффективностииспользуемых мер защиты.База данных уязвимостей – общедоступный источник информации обуязвимостях.Компонент информационной системы – 5 технические средства, программноеобеспечение и средства защиты информации, 6 используемые в информационнойсистеме для обработки информации и организации системы защитыинформации.Оператор информационной системы – собственник используемых дляобработки содержащейся в базах данных информации технических средств,который правомерно пользуется такими базами данных, или лицо, с которымэтот собственник заключил договор об эксплуатации информационной системы.

61Паспорт уязвимости – документ, содержащий описание уязвимости,определяющий характеристики уязвимости и выполненный в соответствии справилами описания уязвимости.Сканер безопасности – программное или аппаратное средство, служащеедля осуществления диагностики и мониторинга узлов сети, позволяющеесканировать их и приложения на предмет обнаружения возможных проблем в 70системе безопасности, оценивать и устранять уязвимости. 70Событие безопасности – идентифицированное появление определенногосостояния системы, указывающего на возможное нарушение политики ИБ илиотказ защитных мер, или возникновение неизвестной ранее ситуации, котораяможет иметь отношение к безопасности.

66Средство инвентаризации ресурсов информационной системы –программное средство, служащее для осуществления мониторинга узлов94информационной системы, позволяющее составить полный перечень узлов, ихтехнического и программного обеспечения и их конфигурации.Тестирование на проникновение – метод оценки безопасностикомпьютерных систем или сетей средствами моделирования действийзлоумышленника по обходу существующего комплекса средств защитыинформационной системы.Уязвимость нулевого дня – ранее неизвестная уязвимость, котораяэксплуатируется злоумышленниками в сетевых атаках и против которых ещё неразработаны защитные механизмы.Уязвимость информационной системы – недостаток или слабость в проектеили реализации информационной системы, включая меры обеспечениябезопасности, который может быть преднамеренно или непреднамеренноиспользован для оказания неблагоприятного воздействия на активы системыили ее функционирование.953 Проводимые мероприятия по анализу защищенности информации винформационной системе в ходе организации защиты информацииПроведение анализа защищенности информации в информационной системетребуется проводить на следующих этапах жизни информационной системы:Этап проектирования информационной системыЭтап внедрения информационной системы в эксплуатациюЭтап эксплуатации аттестованной информационной системы3.1 На этапе проектирования информационной системы 41На этапе проектирования информационной системы 41 требуется проводитьвыявление и устранение возможных уязвимостей информационной системыдоступными способами.3.1.1Определение и анализ возможных уязвимостей информационнойсистемыНа этапе проектирования информационной системы возможно проведениевыявления возможных уязвимостей только на основе информации изобщедоступных баз данных уязвимостей ввиду отсутствия физическогопредставления проектируемой информационной системы.3.1.1.1 С использованием общедоступных баз данных уязвимостейСледует использовать проектную документацию для составления спискамест возможного возникновения уязвимости.

Список должен включать в себя96все общесистемное, прикладное и специальное ПО, все технические средства(включая портативные) и все сетевое оборудование, используемые винформационной системе.Для дальнейших действий рекомендуется использовать следующие базыданных уязвимостей:Список уязвимостей из Банка данных угроз ФСТЭК (обязательно)Общественная база уязвимостей CVEСвободно доступная база данных уязвимостей IBM X-ForceБаза данных уязвимостей США NVD (в качестве дополнительной)Любые другие базы данных уязвимостей, выбранные доверенными.Для каждого пункта составленного списка производятся следующиедействия:а) Поиск места возникновения возможной уязвимости в каждой базе данныхуязвимостей, выбранных на предыдущем пунктеб) Если ни одной известной уязвимости не было найдено, сделать вывод оботсутствии уязвимости в данном месте возникновенияв) Иначе, для каждой найденной уязвимости:1) исследовать записи в базах данных уязвимостей на предметрекомендуемого способа устранения уязвимости (обновление доисправленной версии ПО, замена оборудования на другое ссовпадающим функционалом и другие способы).2) В случае отсутствия предлагаемых способов устранения, уязвимостиприписывается невозможность устранения.г) Все найденные уязвимости заносятся в отчет.Реквизиты отчета о проведении работ по поиску уязвимостей представленыв приложении Б к методическим рекомендациям.Каждый пункт отчета – одна найденная уязвимость.

Для каждой найденнойуязвимости составляется паспорт уязвимости согласно ГОСТ Р 56545-2015.97Дополнительная глава отчета – рекомендации по устранению уязвимостей.Каждый пункт этой главы – одно рекомендованное мероприятие. Мероприятияпереносятся из составленных паспортов уязвимостей.Не устраненные уязвимости заносятся в дополнительный отчет, используяклассификацию ГОСТ Р 56546-2015. Созданный таким образом документ будетиспользован для определения актуальных угроз в ходе разработки модели угроз.Пример записи уязвимости в дополнительный отчет указан в таблице А.1.Таблица А.1 – Пример записи уязвимости в дополнительный отчетОписание ОбластьпроисхожденияТип недостатка ИС МестовозникновенияВозможностьпримененияXSS-атаки нароутер ASUS RTG32 из-заскрипта startapply.htmУязвимостьархитектурыМежсайтовыйскриптинг,аутентификация (нароутере)СетевоеоборудованиеЭта таблица будет в дальнейшем использована для определения актуальныхугроз. Данные, содержащиеся в ней, будут являться основанием дляподтверждения наличия в информационной системе условий для реализацииугрозы.После проведения действий по выявлению уязвимостей составляется планустранения уязвимостей.

Характеристики

Список файлов ВКР