Размещено на http://www.allbest.ru/

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

«МЭИ»

ИНЖЕНЕРНО- ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

Кафедра безопасности и информационных технологий

Направление подготовки бакалавриата

10.03.01- «Информационная безопасность»

Курсовая работа

На тему: «Анализ основных способов и методов проведения аудита информационной безопасности»

Научный руководитель: Попов С.В.

Выполнил: студент 4 курса очной формы обучения группы ИЭ- 45- 19

Балабанова С.М.

Москва 2022



Содержание

Введение

1. Актуальность аудита информационной безопасности

1.1 Основные риски в области информационной безопасности

1.2 Понятие аудита информационной безопасности

1.3 Виды аудита информационной безопасности

Выводы по первой главе

2. Методы проведения аудита информационной безопасности

2.1 Выбор метода проведения аудита информационной безопасности

2.2 Анализ методов аудита. SWOT-анализ

Заключение

Список используемых источников



Введение

Аудит - форма независимого, нейтрального контроля какого- либо направления деятельности коммерческого предприятия, широко используемая в практике рыночной экономики, особенно в сфере бухгалтерского учета. Не менее важным с точки зрения общего развития предприятия является его аудит безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности информационных систем (ИС), локализацию узких мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Цель курсовой работы провести анализ методов и способов аудита информационной безопасности.

Работа состоит из введения, двух глав, заключения и списка использованной литературы.

Общая структура работы включает следующую последовательность рассматриваемых вопросов:

В первой главе рассмотрены сущность, особенности, цели и задачи аудита, а также описаны виды аудита.

Во второй главе рассмотрен выбор метода проведения аудита информационной безопасности, который является важнейшим этапом в организации самого аудита информации, от которого зависит дальнейшие результаты его проведения. Проведен анализ методов аудита на основе SWOT- анализа.

В заключении сформулированы выводы и предложения, вытекающие из результатов проведенного анализа.



1. Актуальность аудита информационной безопасности

1.1 Основные риски в области информационной безопасности

Сфера информационной безопасности образовалась, получила широкое развитие и всеобщую популяризацию в связи с постоянно растущим числом информационных атак в совокупности с необходимостью защиты от них и всевозможных рисков. Само по себе, определение риска информационной безопасности можно обобщенно рассматривается как возможность того, что может произойти определенное неблагоприятное событие, имеющее определенный размер наносимого ущерба и ожидаемую вероятность наступления с негативными последствиями.

Основными рисками информационной безопасности являются:

* риск утечки конфиденциальной информации;

* риск потери и/или недоступности важных данных;

* риск нарушения целостности информации и/или важных данных;

* риск неправомочной эксплуатации информационных ресурсов;

* риск распространения дискредитирующей во внешней среде информации, угрожающей репутации организации и т.п.

Основными видами угроз безопасности, рассматриваемыми при проведении аудита информационной безопасности, являются:

1. Организационные (законодательные, административные, процедурные), например:

* отсутствие контроля и/или неэффективно применяемые меры управления такими процессами как: управление конфигурациями, управление изменениями, управление обновлениями и т. д.;

* атаки через привлекаемые подрядные организации и т. п.

2. Эксплуатационные, например:

* неподдерживаемые и/или нелицензионные версии операционных систем, системного программного обеспечения, программных продуктов;

* уязвимости веб- серверов и/или использование небезопасных протоколов управления (использование SSL и TLS может привести к перехвату передаваемой информации об аутентификации) и передачи информации;

* слабые пароли и/или недостаточно проработанная парольная политика в организации и т. п.

3. Программнотехнические (архитектурные), например:

* возможность подключения корпоративных устройств к незащищенным сегментам гостевых беспроводных сетей компании;

* неконтролируемые информационные потоки и т. п.

4. Прочие аспекты обеспечения информационной безопасности, которые необходимо учесть в ходе проведения аудита, для определения их приоритетов.

1.2 Понятие аудита информационной безопасности

Аудит информационной безопасности - систематический, независимый и документируемый процесс получения оценок состояния ИБ объекта аудита и объективного их оценивания с целью установления степени соответствия критериям аудита. аудит информационный безопасность

Целями аудита информационной безопасности является:

· анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;

· оценка текущего уровня защищенности ИС;

· оценка соответствия ИС существующим стандартам в области ИБ и политике безопасности организации;

· выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Задачи аудита информационной безопасности:

· разработка политик безопасности и/или других организационно-распорядительных документов по защите информации на предприятии, участие в их внедрении в работу предприятия;

· постановка задач для персонала предприятия, занятого в сфере информационных технологий и информационной безопасности предприятия, касающихся обеспечения защиты информации, участие в их обучении;

· участие в обучении пользователей и обслуживающего персонала информационной системы вопросам обеспечения информационной безопасности на предприятии;

· участие в разборе и анализе инцидентов, связанных с нарушением информационной безопасности и др.

1.3 Виды аудита информационной безопасности

Основные виды аудита безопасности:

- экспертный аудит;

- оценка соответствия:

o испытания;

o аттестация;

o сертификация;

- тестирование:

o тестирование на основе моделей;

o тестирование специальными средствами и способами (в т. ч. инструментальный аудит и тестирование на проникновение);

- комплексный аудит.

Экспертный аудит предполагает процесс выявления недостатков в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре аудита. При экспертном аудите, состояние ИБ системы сравнивается с некоторым «идеальным» описанием, которое базируется на:

- требованиях, которые были предъявлены руководством в процессе проведения аудита;

- описании «идеальной» системы безопасности.

В рамках экспертного аудита, как правило, производится анализ организационно- распорядительных документов, таких как политика безопасности, план защиты различного рода инструкции, проекты внедрения и совершенствования системы защиты. Эти документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам ИБ. В ходе такого анализа выявляются недостатки и уязвимости существующей системы защиты, а также предлагается комплекс мер, направленных на повышение уровня безопасности. Необходимо отметить, что при экспертном аудите учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.

Оценка соответствия - доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены. Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. Выдачу документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких удостоверений могут быть сертификаты, аттестаты, заключения, выданные официальными органами по оценке соответствия. Наличие такого документального подтверждения отличает оценку соответствия от других типов аудита, которые могут не иметь документального подтверждения в виде документа государственного образца. При этом критерии аудита могут быть более гибкие, а способы и средства его проведения - более разнообразными. Мероприятия по оценке соответствия могут быть декомпозированы на следующие мероприятия: испытания, аттестацию, сертификацию.

Испытание - экспериментальное определение количественных или качественных характеристик объекта испытаний как результата воздействия на него при его функционировании, моделировании или воздействий. Испытания проводятся на основании документа «программа и методика испытаний», а результаты испытания оформляются в виде протоколов испытаний или технического отчёта.

Аттестация - комплексная проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню ИБ. Положительный результат аттестации оформляется в виде аттестата соответствия.

Сертификация - испытания технических средств защиты информации, которые проводятся независимыми испытательными лабораториями, с целью подтверждения соответствия объекта сертификации требованиям нормативных документов по защите информации.

Тестирование - это техническая операция, заключающаяся в определении одной или нескольких характеристик продукта, процесса или услуги соответствующей процедуре. Таким образом, тестирование применительно к аудиту ИБ информационных систем - это определение одной или нескольких параметров системы характеризующих определенную категорию ИБ (например, целостность, доступность, конфиденциальность). Тестирование может проводиться с целью анализа рисков и уязвимостей. Комплекс тестов информационной системы может быть оформлен в виде программы испытания с составлением соответствующего протокола, по итогам их завершения. В общем случае, все виды тестирования, в зависимости от использования теоретического или практического подхода к аудиту, могут быть классифицированы на:

o тестирование на основе моделей;

o теоретический подход к аудиту, когда строятся соответствующие модели и аудит проводится на основе исследования данных моделей;

o тестирование специальными средствами и способами.

Выводы по первой главе

Исходя из выше сказанного можно сделать вывод:

Для эффективной защиты от атак организациям необходимо дать объективную оценку безопасности ИС - для этих целей и используется аудит безопасности, т.е. всесторонние обследование, задачей которого является оценка текущее состояние ИБ, а результатом - построение эффективной системы защиты, которая будет соответствовать текущим целям и задачам, как предприятий, так и отдельных критичных областей ИС.

Выявили цели и задачи аудита информационной безопасности и описали виды аудита информационной безопасности.



2. Методы проведения аудита информационной безопасности

2.1 Выбор метода проведения аудита информационной безопасности

Методы аудита - это способы, правила и нормы познавательной деятельности, с помощью которых изучается информация о фактическом состоянии хозяйствующего субъекта, сравнивается текущее положение организации с запланированным, оцениваются отклонения в отчетности.

Выбор метода проведения аудита информационной безопасности является важнейшим этапом в организации самого аудита информации, от которого зависит дальнейшие результаты его проведения.

На сегодняшний день можно выделить следующие три основных метода проведения аудита информационной безопасности рис.2:

Рис. 2 Методы аудита информационной безопасности

Активный аудит

Подразумевает анализ состояния защищенности информационной системы с точки зрения злоумышленника, который обладает высокой квалификацией в исходной области.

При осуществлении данного вида аудита моделируется как можно большее количество атак на систему сетевой защиты. При этом аудитору предоставляется только та информация, которую можно найти в открытых источниках. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения.

Экспертный аудит (проведение сравнительного анализа состояния информационной безопасности с «идеальным»).

Экспертный аудит - это сравнение состояния информационной безопасности с описанием состояния информационной безопасности, которое базируется: на требованиях, предъявленных руководством компании; на аккумулированном в компании- аудиторе мировом и частном опыте. Для сбора исходных данных об информационной системе используется метод интервьюирования сотрудников компании. Технические специалисты отвечают на вопросы, связанные с функционированием информационной системы, а руководящий состав компании объясняет требования, которые предъявляются к системе защиты информации. Результаты экспертного аудита содержат различные предложения по построению или модернизации системы обеспечения информационной безопасности.

Аудит на соответствие нормативным документам (исходная система информационной безопасности исследуется на соответствие требованиям стандартов).

При проведении аудита на соответствие стандартам состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в международных и национальных стандартах. Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию: степень соответствия проверяемой информационной системы выбранным стандартам; степень соответствия собственным внутренним требованиям компании в области информационной безопасности; количество и категории полученных несоответствий и замечаний; рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом; подробную ссылку на основные документы заказчика, включая политику безопасности, описания необязательных стандартов и норм, применяемых к данной компании.

2.2 Анализ методов аудита. SWOT-анализ

Выбор метода проведения аудита информационной безопасности является важнейшим этапом в организации самого аудита информации, от которого зависит дальнейшие результаты его проведения. На сегодняшний день можно выделить следующие три основных метода проведения аудита информационной безопасности:

Активный аудит. Подразумевает анализ состояния защищенности информационной системы с точки зрения злоумышленника, который обладает высокой квалификацией в исходной области.

Экспертный аудит (проведение сравнительного анализа состояния информационной безопасности с «идеальным»).

Аудит на соответствие нормативным документам (исходная система информационной безопасности исследуется на соответствие требованиям стандартов).

В качестве метода нахождения оптимального решения поставленной проблемы был выбран SWOT - анализ (оценка сильных и слабых сторон аудита информационной безопасности. Данный способ предоставил возможность на основании исходных характеристик компании с участием руководителя и компетентных сотрудников сделать выводы о рисках, возможностях, необходимости стратегических изменений; выявить оптимальный метод проведения аудита информационной безопасности конкретного предприятия. Были построены SWOT- матрицы и приведены формулы для поиска оптимального метода проведения аудита информационной безопасности предприятия. Анализ методов аудита информационной безопасности. Метод SWOT- анализа для выбора метода проведения аудита информационной безопасности. В качестве основного инструмента регулярного стратегического управления многие компании используют матрицу «качественного» стратегического анализа - еще SWOT матрица (с английского: Strengths - силы; Weaknesses - слабости; Opportunities - возможности; Threats - угрозы).

Таблица 1 - SWOT- матрица активного аудита

Сильные стороны	Слабые стороны
Автоматизация процесса аудита; В процессе проведения аудита не требуется участие сотрудников компании; Частота проведения аудита не регламентируется; Возможно проведение стресстестирования для определения производительности и стабильности работы системы, а также проверки системы на устойчивость к DoS- атакам.	Требуется дополнительное программное обеспечение; На время проведения аудита необходимо прекратить работу системы; Аудит направлен на выявление только известных уязвимостей.
Возможности	Угрозы
Высокий спрос на рынке; Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия; Большое количество программных продуктов различных организаций; Автоматизация большей части работы экспертов.	Высокая стоимость необходимого программного обеспечения; Для каждой системы необходимо подбирать программное обеспечение для проведения аудита; Отсутствие нормативной базы для проведения аудита; Возможны ошибки в используемом программном обеспечении.

Таблица 2 - SWOT- матрица экспертного аудита

Сильные стороны	Слабые стороны
Не требуется дополнительного программного обеспечения; Не требуется прекращение работы системы на время проведения аудита; Частота проведения аудита не регламентируется; Аудит исходит из угроз информационной безопасности, тем самым позволяет покрыть большое число уязвимостей.	Необходимо участие сотрудников организации в процессе проведения аудита; Высокие требования к качеству информации, предоставляемой компанией заказчиком; Длительные подготовительные работы; Процесс аудита может занять большое количество времени.
Возможности	Угрозы
Накопленный большой опыт экспертных знаний в сфере информационной безопасности; Наличие необходимых нормативноправовых документов; Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия; Возможность автоматизации процесса аудита.	Отсутствуют средства автоматизации процесса; Необходимость доверия оценкам экспертов; Высокие требования к компетентности экспертов; Возможны противоречия во мнениях экспертов.

Таблица 3 - SWOT- матрица аудита на соответствие стандартам

Сильные стороны	Слабые стороны
Порядок проведения аудита регламентируется нормативными документами; В нормативных документах присутствует описание отчетных документов; Не требуется дополнительного программного обеспечения; Не требуется прекращение работы системы во время проведения аудита.	Необходимо участие сотрудников организации в процессе проведения аудита; Аудит необходимо проводить каждый раз при изменении системы; Высокие требования к качеству информации, предоставляемой компанией- заказчиком; Процесс аудита может занять большое количество времени.
Возможности	Угрозы
Сертификат безопасности, выдаваемый в результате проведения аудита, повышает престиж организации; В требованиях нормативных документов находят отражение лучшие практические выводы экспертов; Высокий спрос на рынке.	Большое количество нормативно- правовых документов; Нормативная база постоянно дорабатывается; Противоречия в нормативно- правовых документах; Невозможно выполнить аудит силами самой организации, т. к. сертификат соответствия выдает только аккредитованная организация.

Чтобы перейти от качественных оценок к количественным для приведенных в таблицах 1, 2 и 3 факторов, были проведены вычисления рис.3 табл.2. значимости параметров для каждого метода аудита информационной безопасности и проиллюстрировано гистограммой рис. 4.

Рис.3 Значения для перехода от качественных к количественным характеристикам

Таблица 4 - Значимости параметров

Достоинства и недостатки параметров	Активный аудит	Экспертный аудит	Аудит на соответствие стандартам
Сильные стороны	112,75	137,15	98,70
Слабые стороны	147,20	147,00	154,35
Возможности	174,80	184,95	163,80
Угрозы	165,45	181,70	184,40

Рис. 4 Результаты SWOT- анализа

Как видно из гистограммы на рис. 4, самые лучшие показатели у экспертного аудита. Следовательно, именно этот метод является наиболее перспективным методом аудита информационной безопасности.

При проектировании экспертного аудита выполняются следующие действия:

1. Выявляются основные угрозы информационной безопасности и производится их классификация.

2. Для каждой угрозы информационной безопасности определяется перечень уязвимостей, через которые может быть реализована данная угроза.

3. Для каждой уязвимости определяется перечень требований информационной безопасности, которые должны выполняться, чтобы избежать реализации угрозы.

4. Каждому требованию присваивается вес, выражающий степень важности требования.

Алгоритм проведения аудита состоит из семи этапов:

1. Определяется перечень угроз информационной безопасности, которые будут рассматриваться при проведении аудита информационной безопасности.

2. Определяется перечень уязвимостей, через которые могут быть реализованы выбранные угрозы.

3. Для каждой уязвимости аудитор указывает требования, которые выполнены в системе защиты информации.

4. На основе полученных от аудитора ответов вычисляется степень защищенности информационной системы от каждой уязвимости и объясняет полученные результаты.

5. Вычисляет степень защищенности информационной системы от каждой из выбранных угроз с учетом степени защищенности от тех уязвимостей, через которые может быть реализована угроза, и объясняет полученные результаты.

6. Вычисляет степень защищенности информационной системы от всех выбранных угроз с учетом степени защищенности системы от каждой выбранной угрозы и объясняет полученные результаты.

7. В зависимости от вычисленного значения степени защищенности выдает рекомендации относительно повышения уровня защищенности от каждой из выбранных угроз.



Заключение

В данной курсовой работе SWOT-анализ используется для определения достоинств и недостатков методов аудита информационной безопасности, а также для определения тех факторов внешней среды, которые могут способствовать или, наоборот, мешать проведению аудита. Используя результаты SWOT-анализа, можно сделать вывод о том, что для повышения качества аудита целесообразно применять экспертный аудит.



Список используемых источников

1. ГОСТ Р ИСО/МЭК 27007- 2014 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ;

2. Макаренко С.И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. №1 С. 1- 29;

3. Хлестова Д.Р., Байрушин Ф.Т. Аудит информационной безопасности в организации // Символ науки. 2016. № 11- 3 (23). С. 175- 177;

4. Просянников Р.Е. Избавиться от заблуждений. Виды аудита информационной безопасности // Connect! Мир связи. 2004. № 12.С. 148-151;

5. Фомин А.А. Исследование и оптимизация алгоритмов аудита информационной безопасности организации// Вопросы защиты информации. 2009. №3 (86). С. 57- 63;

6. SWOT- анализ: методики проведения и возможности применения на российских предприятиях / А. Н. Гвозденко // Маркетинг и маркетинговые исследования. - 2006. - № 2. - С. 144-156.

Размещено на Allbest.ru