Дипломная работа на тему "ТЮМГУ | Разработка методических рекомендаций для проведения внешнего аудита информационной безопасности испдн, гис и цод"
0
Похожие работы
Работа на тему: Разработка методических рекомендаций для проведения внешнего аудита информационной безопасности испдн, гис и цод
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326
Демо работы
Описание работы
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИФедеральное государственное автономное образовательное учреждение высшего образования
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК
Кафедра информационной безопасности
Заведующий кафедрой,
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
дипломная работа
РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ДЛЯ ПРОВЕДЕНИЯ ВНЕШНЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПДН, Гис и Цод
10.05.03 «Информационная безопасность автоматизированных систем
Тюмень 2023
РЕФЕРАТ
Работа состоит из 100 страниц, 4 глав, 2 иллюстраций и 30 источников. Ключевые слова: аудит, ИБ, беспроводные сети, НПА, ИСПДн, ГИС,
Перед автором была поставлена задача разработать методические рекомендаций для проведения внешнего аудита информационной безопасности ИСПДн, ГИС и ЦОД.
Целью работы является разработка методические рекомендаций для проведения внешнего аудита информационной безопасности ИСПДн, ГИС и ЦОД, предназначенных для ускоренного обучения новых сотрудников организации.
Для достижения поставленной цели, был выявлен ряд задач, требующих решения:
1) проанализировать действующие нормативно-правовые акты в области ИБ;
2) сформировать, на основе имеющихся требований законодательства, блоки проверок;
3) составление алгоритма проведения внешнего аудита;
4) наполнить ранее сформированные блоки проверок практико- ориентированным рекомендациями по их проведению.
Объектом исследования в работе являются ИСПДн, ГИС и ЦОД. Предметом исследования в работе является комплекс проверок,
реализуемый при проведении внешнего аудита ИБ.
Результатом данной работы является подготовленные методические рекомендации по проведению внешнего аудита, которые могут быть использованы при обучении специалистов отдела аналитики.
Результаты выпускной квалификационной работы были внедрены в деятельность отдела аналитики ООО «Анлим-ИТ», что подтверждается актом о принятии к внедрению результатов выпускной квалификационной работы.
СОДЕРЖАНИЕ
РЕФЕРАТ 2
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 6
ВВЕДЕНИЕ 9
1 Обзор теоретической базы для проведения аудита 12
1.1 Аудит информационной безопасности 12
1.2 Сети 14
1.3 Регистрация событий в Windows 16
1.4 Регистрация событий в Unix-like системах 18
1.5 Wi-Fi 20
1.6 Вывод по главе 1 21
2 Методика проверки ИСПДн 22
2.1 Сбор первоначальных сведений 22
2.2 Определение уровня защищённости и процессов обработки информации 24
2.3 Проверка ОРД 26
2.4 Сетевая и серверная инфраструктура 34
2.5 Управление доступом и парольная политика 37
2.6 Управление машинными носителями 43
2.7 Антивирусная защита 45
2.8 Регистрация событий 46
2.9 Контроль (анализ) защищённости 47
2.10 Резервное копирование и резервирование 48
2.11 Защита технических средств 49
2.12 Выявление и реагирование на инциденты ИБ 49
2.13 Управление конфигурациями 50
2.14 Защита средств виртуализации 51
2.15 Защита информационной системы 53
2.16 Группы мер, появляющиеся только со 2 уровня защищённости 54
2.17 Подготовка отчёта по результатам аудита 56
2.18 Вывод по главе 2 57
3 Методика проверки ГИС 59
3.1 Сбор первоначальных сведений 59
3.2 Определение класса защищённости и процессов обработки информации 60
3.3 Проверка ОРД 61
3.4 Сетевая и серверная инфраструктура 62
3.5 Управление доступом и парольная политика 62
3.6 Ограничение программной среды 68
3.7 Управление машинными носителями 69
3.8 Регистрация событий 71
3.9 Антивирусная защита 74
3.10 Средства обнаружения вторжений 74
3.11 Контроль (анализ) защищённости 75
3.12 Обеспечение целостности 76
3.13 Обеспечение доступности 77
3.14 Защита средств виртуализации 79
3.15 Защита технических средств 80
3.16 Защита информационной системы 81
3.17 Подготовка отчёта по результатам аудита 85
3.18 Случаи, когда система является и ГИС, и ИСПДн 85
3.19 Вывод по главе 3 85
4 Методика проверки ЦОД 87
4.1 Общая информация и классификации 87
4.2 Сбор первоначальных сведений 89
4.3 Типовая архитектура 90
4.4 IaaS 92
4.5 PaaS 93
4.6 Вывод по главе 4 94
ЗАКЛЮЧЕНИЕ 95
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 97
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ
В настоящем отчете о преддипломной практике применяют следующие сокращения и обозначения:
ASCII - American standard code for information interchange BIOS - Basic input/output system
DAS - Direct Attach Storage HDD - Hard disk drive
IaaS – Infrastructure as a Service
iSCSI - Internet Small Computer System Interface NAS - Network Attached Storage
PaaS – Platform as a Service SaaS – Software as a Service SAN – Storage Area Network
SIEM - Security information and event management SSD - Solid-State Drive
TCP - Transmission Control Protocol USB - Universal Serial Bus
VLAN - Virtual Local Area Network VPN - Virtual private network
Wi-Fi - Wireless Fidelity WPA - Wi-Fi Protected Access WPS - Wi-Fi Protected Setup
АРМ - Автоматизированное рабочее место
ГИС – Государственная информационная система
ГосСОПКА - Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак
ГОСТ Р 58811-2020 - ГОСТ Р 58811-2020 «ЦЕНТРЫ ОБРАБОТКИ
ДАННЫХ. Инженерная инфраструктура. Стадии создания»
Законопроект №1195296-7 - Законопроект №1195296-7 «О внесении изменений в Федеральный закон «О связи»
ИБ – Информационная безопасность ИС – Информационная система
ИСПДн – Информационная система персональных данных ИТ – Информационные технологии
КПП – Контрольно-пропускной пункт НПА – Нормативно-правовые акты НСД – Несанкционированный доступ
ОРД - Организационно-распорядительные документы ПДн - Персональные данные
ПО – Программное обеспечение
ПП РФ №1119 – Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
ПП РФ №211 - Постановлению Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
Приказ ФАПСИ №152 - Приказа ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Приказ ФСТЭК №17 - Приказ ФСТЭК от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК №21 - Приказ ФСТЭК от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
ЦОД – Центр обработки данных
СКЗИ – Средство криптографической защиты информации СрЗИ – Средство защиты информации
СУБД - Система управления базами данных
ФЗ-149 - Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
ФЗ-152 - Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
ФЗ-184 - Федеральный закон от 27.12.2002 N 184-ФЗ "О техническом регулировании"
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ВВЕДЕНИЕ
В течение многих лет рынок труда в сфере информационной безопасности знаменуется тем, что спрос на специалистов данной в ней не спадает и более того, неустанно растёт. Так по заверениям некоторых новостных порталов, статистические данные, предоставленные им некоторыми исследовательскими сервисами и сервисами по рекрутингу, спрос на специалистов по информационной безопасности за 2021 год возросло на 47%[1], а в 2022 году количество вакансий в данной сфере увеличилось уже на 97%[2].
Все эти данные указывают нам на то, что в настоящий момент многие компании испытывают острую потребность в специалистах по информационной безопасности и компания «Анлим-ИТ» не исключение. Более того, основной профиль работы «Анлим-ИТ» — это как раз работы в области защиты информации, что само собой повышает уровень требуемых от соискателя навыков и умений. Но если найти соискателя с подходящим уровнем умений и навыков ещё вполне посильная задача, то вот соискателя с релевантным опытом работы уже кратно сложнее. Одним из отделов компании, который страдает от этого особо сильно, является отдел аналитики. Специфика работы отдела заключается в проведении обследований и даче на основе собранной информации рекомендаций по защите информации, а также разработка внутренней документации, проведение работ по оценке эффективности принятых мер и аттестации различных объектов информатизации. Из всего вышеописанного можно понять, что специалиста с релевантным, для отдела аналитики, практическим опытом можно найти лишь в других компаниях данной сферы, в аналогичных структурных подразделениях, что превращает задачу в крайне сложно осуществимую. Чтобы справиться с существующей нехваткой кадров, отдел идёт по иному пути, пути обучения новоприбывших сотрудников.
Ввиду всего вышеизложенного от отдела аналитики поступил запрос на подготовку методических материалов для обучения новых сотрудников
принципу проведения внешнего аудита. Связан такой выбор темы для методического материала с тем, что аудит, как правило, является начальным и неотъемлемым этапом работы отдела по большинству проектов и обучение сотрудников, не имеющих соответствующего опыта, принципам проведения данного мероприятия является крайне важным и, как правило, достаточно трудоёмким занятием для наставников.
Трудность данного обучения в первую очередь заключается в том, что для результативного его проведения необходимо как работать с людьми, проводя интервьюирование, опросы и в целом общаясь с сотрудниками заказчика, так и проводить техническое обследование систем заказчика и делать это не независимо друг от друга, а в некотором симбиозе, чтобы эти работы дополняли друг друга и помогали собрать большее количество информации о системе и проходящих в ней процессах.
Моя же работа направлена как раз на то, чтобы снизить нагрузку на наставников и облегчить вхождение новоприбывшего сотрудника отдела аналитики в рабочий процесс. Актуальность же её обуславливается реальным запросом от организации, на разработку такого рода рекомендаций, в связи с нехваткой кадров, имеющих практический опыт проведения аудита.
Объектом исследования выступают ИСПДн, ГИС и ЦОД, проведение аудита которых и необходимо в большинстве проектов.
Предметом исследования в работе является комплекс проверок, реализуемый в рамках проведении внешнего аудита вышеуказанных систем.
Исходя из всего вышеописанного, целью данной работы является разработка методические рекомендаций для проведения внешнего аудита информационной безопасности ИСПДн, ГИС и ЦОД.
Для достижения поставленной цели, был произведён анализ имеющихся требований законодательства на соответствующие системы и на основании результатов анализа составлен алгоритм проведения внешнего аудита и составлен набор блоков проверок. По каждому из блоков проверок был составлен набор рекомендаций по способам их проведения, включающий
используемые при этом программные средства, типовые вопросы, позволяющие узнать ту или иную значимую для аудитора информацию и указание сотрудников и/или отделов, где соответствующую информацию можно узнать.
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1 В России в полтора раза вырос спрос на экспертов по кибербезопасности [Электронный ресурс]. – 2022.
2 SuperJob: количество вакансий в информационной безопасности и защите информации увеличилось на 96% [Электронный ресурс]. – 2022.
3 Чем отличаются внутренний и внешний аудит информационной безопасности [Электронный ресурс]. – 2022.
4 Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ
5 Аттестация информационной системы по требованиям ФСТЭК [Электронный ресурс]. – 2023.
6 Справочное руководство Nmap [Электронный ресурс]. – 2020.
7 IP Routing Configuration Guide, Cisco IOS XE 17.x [Электронный ресурс]. – 2023.
8 S1720, S2700, S5700, and S6720 V200R011C10 Configuration Guide- IP Unicast Routing [Электронный ресурс]. – 2021.
9 IP Routing – RouterOS – MikroTik Documentation [Электронный ресурс]. – 2019.
10 xStack® DGS-3400 Series Layer 2 Gigabit Managed Switch CLI Manual [Электронный ресурс]. – 2009.
11 Настройка сбора данных о событиях Windows [Электронный ресурс]. – 2023.
12 Configure Linux system auditing with auditd [Электронный ресурс].– 2021.
13 Viewing and monitoring log files [Электронный ресурс]. – 2022.
14 Средство просмотра событий Windows – как использовать [Электронный ресурс]. – 2020.
15 Е.В. Смирнова, А.В. Пролетарский, Е.А. Ромашкина, С.А. Балюк, А.М. Суровов Технологии современных беспроводных сетей Wi-Fi. - 2-е изд.
- М.: Издательство МГТУ им. Н.Э. Баумана, 2017. - 448 с.
16 Поиск беспроводных точек доступа с включённым WPS: использование программ Wash, Airodump-ng и Wifite [Электронный ресурс] – 2015.
17 Воздушные ловкости. Простые трюки, которые выручают при пентесте Wi-Fi [Электронный ресурс] – 2020.
18 Захват рукопожатий (handshake) в Kali Linux [Электронный ресурс] – 2015.
19 Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
20 Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
21 Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
22 Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
23 Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» [Электронный ресурс]. – 2017.
24 Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
25 Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
26 Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 15.04.2019) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
27 ГОСТ Р 58811-2020 «ЦЕНТРЫ ОБРАБОТКИ ДАННЫХ. Инженерная инфраструктура. Стадии создания»
28 Законопроект №1195296-7 «О внесении изменений в Федеральный закон «О связи»
29 ANSI/TIA-942 STANDARD [Электронный ресурс] – 2020.
30 Разница между IaaS, PaaS и SaaS: самая понятная статья об облаках в интернете [Электронный ресурс] – 2020.