описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе

58
ГОСТ Р ИСО/МЭК 27002 и др.), при наработке практических навыков по мето- дике поиска, анализа рисков и управления ими.
Для использования продукта в процессе обучения дисциплины «Полити- ка безопасности предприятия» необходимо развернуть локальную версию про- граммного продукта на персональном компьютере и использовать его как об- зорный и интуитивно понятный инструмент по поиску и анализу рисков в си- стеме безопасности предприятия: как конкретных, так и условно заданных пре- подавателями в рамках прохождения контрольных и самостоятельных работ после изучения теоретического материала по темам, связанным с аудитом ин- формационной безопасности; планированием, разработкой и проведением ме- роприятий по защите информации в организациях и т. д.
Для возможности использования программного продукта в образователь- ном процессе, был отдельно сформирован архив, в который была упакована его локальная версия. Для установки локальной версии потребуется предваритель- но установить на персональный компьютер OpenServer, с целью дальнейшего развертывания архива, установки баз и управления программным продуктом.
2.9
Апробация продукта
2.9.1
Апробация продукта в образовательном учреждении
Разработанный программный продукт прошел апробацию в Федеральном государственном автономном образовательном учреждении (ФГАОУ) высшего образования (ВО) «Российский государственный профессионально- педагогический университет» (РГППУ) в центре Веб-технологий и программи- рования. Руководитель центра — Ченушкина Светлана Владимировна, прошла предлагаемый веб-приложением тест для образовательных учреждений. Полу- ченный результат не подлежит огласке, но в рамках его вынесения в итоги вы- пускной квалификационной работы, стоит отметить, что уровень состояние ин-

59 формационной безопасности и степени соответствия используемых в нем си- стем защиты — высокий. Результат оценивается в 88% от 100%, при необходи- мом минимальном пороге прохождения 80% (рисунок 31).
Подробный результат о пройденном тестировании в отделе веб- технологий и программирования в ФГАОУ ВО РГППУ:
Рисунок 31 — Результат пройденного тестирования в отделе веб-технологий и программирования ФГАОУ ВО РГППУ
На основе анализа полученных результатов были определены следующие риски в образовательной организации:
1.
Защита данных пользователей. Обусловлено большим количеством сотрудников, с характерным для них постоянным перемещением (переселением по кабинетам). Большим количеством студентов, пользующихся сетью и ресур- сами образовательной организации.

60 2.
Управление информационной безопасностью. Обусловлено отсут- ствием единого отдела, который был бы уполномочен заниматься информаци- онной безопасностью и управлять правами доступа сотрудников, отделов к ре- сурсам в образовательной организации, а также наличием разрозненности структурных подразделений образовательной организации, отвечающих за без- опасность.
3.
Каналы передачи информации. Использование безопасных прото- колов отправки министерской отчетности, основанных на применении шифро- вания, в противовес недостаточно надежных и уязвимых протоколов обмена внутренне-организационной информацией между структурными и территори- альными подразделениями образовательной организации (например, RDP
(Remote Desktop Protocol — протокол удалённого рабочего стола)).
После прохождения тестирования по полному сценарию, через веб- приложение, выдается подтверждающий сертификат (рисунок 32).
Рисунок 32 — Сертификат за прохождение тестирования
2.9.2
Апробация в учебном процессе
Разработанный программный продукт был апробирован в образователь- ном процессе группы ЗИБ-401. Данной учебной группой была изучена дисци- плина «Защита сетевых информационных систем» в рамках программы подго-

61 товки академического бакалавриата, по направлению подготовки
44.03.04
Профессиональное обучение (по отраслям), профиль подготовки «Ин- форматика и вычислительная техника», профилизация «Информационная без- опасность», в программе которой содержалась глава, посвященная аудиту ин- формационной безопасности на предприятии. Поскольку большинство студен- тов-заочников являются сотрудниками организаций и предприятий различного уровня, им было предложено выполнить курсовую работу по дисциплине «За- щита сетевых информационных систем», используя возможности программно- го продукта. В рамках выполнения курсовой работы студентам было предложе- но выступить в роли условных аудиторов своего предприятия, с целью закреп- ления изученного теоретического материала, применения его на практике, по- лучения навыков по методике поиска и анализа рисков, без разглашения ре- зультатов и какой-либо сторонней информации, содержащей коммерческую тайну и способной нанести ущерб предприятию. Согласно условиям выполне- ния, студенты получили на руки методические указания к выполнению курсо- вой работы, содержащие в плане анализа деятельности предприятия пункт
«
Аудит информационной безопасности предприятия».
Для студентов выделяются два академических часа аудиторной работы из программы прохождения дисциплины. Предварительно, на каждый персональ- ный компьютер в учебном классе, согласно количеству человек в группе, раз- ворачивается локальная версия программного продукта «Система тестирования для проведения аудита информационной безопасности на предприятии на осно- ве стандартов ISO/IEC 27002 и ISO/IEC 15408», в котором студентам предстоит индивидуально выполнить работу по оценке и анализу деятельности предприя- тия, зарегистрировавшись и пройдя тестирование в веб-приложении, как работ- ник предприятия. Основанием, подтверждающим факт прохождения тестиро- вания, является занесение студентами в отчет по выполненной работе процент- ного соотношения надежности систем информационной безопасности предпри- ятия и степени их соответствия рекомендациям международных стандартов в

62 области информационной безопасности без указания какой-либо уточняющей информации. Так, студент группы ЗИБ-401 Максим Ефремов, использовал воз- можности программного продукта при выполнении курсовой работы по дисци- плине «Защита сетевых информационных систем» на тему «Анализ безопасно- сти предприятия ООО ИНСИС», будучи его сотрудником.
Хочется отметить, что работа проводилась студентами в локальной вер- сии программного продукта на персональных компьютерах, не через онлайн версию веб-приложения, с целью предупреждения фактов нарушения требова- ний действующего законодательства о защите и охране персональных данных, в том числе данных, содержащих коммерческую тайну.

63
ЗАКЛЮЧЕНИЕ
В заключение хотелось бы сказать о том, что все поставленные в выпуск- ной квалификационной работе задачи были решены в полном объеме. Цель до- стигнута. В результате выполнения выпускной квалификационной работы были разработаны:
1.
Веб-приложение (сверстанный шаблон для системы управления со- держимым с открытым исходным кодом — Joomla (версия 2.5.17)).
2.
Плагин тестирования (исправленный и доработанный функционал плагина тестирования — ARI Quiz).
3.
Банк вопросов, состоящий из 325 вопросов (закрытой формы с выбо- ром одного варианта ответа по принципу классификации), распределенными на
10 категорий, на основе данных международных стандартов ISO/IEC 27002 и
ISO/IEC 15408
, нацеленные на выявление и оценку рисков информационной безопасности в компаниях. Возможности программного продукта предполага- ют прохождение тестирования как коммерческими предприятиями, так и обра- зовательными организациями, с учетом характерной для них специфики.
Хочется отметить, что прохождение тестирования на основе использова- ния данного программного продукта не является «внутренним» аудитом ин- формационной безопасности. Его возможности прежде всего нацелены на вы- явление «слабых» мест в системе безопасности организации, с целью проверки качества информационной безопасности в организации. Полученная информа- ция впоследствии может быть использована для проведения каких-либо допол- нительных мер по улучшению как комплексной, так и отдельных систем защи- ты, политики информационной безопасности в организации или самостоятель- ной подготовки к аудиту, поскольку продукт основан на используемых аудито- рами международных стандартах в области информационной безопасности

64
ISO/IEC
27002 и ISO/IEC 15408 и проверяет часть предъявляемых стандартами и проверяемых аудиторами требований, и критериев в организации.
В процессе работы над выпускной квалификационной работой были ре- шены следующие задачи:
• была проанализирована литература и интернет-источники по аудиту и менеджменту информационной безопасности, анализу и управлению рисками на предприятиях;
• были изучены международные стандарты в области информационной безопасности;
• был разработан банк тестовых вопросов по международным стандар- там информационной безопасности ISO/IEC 27002 и ISO/IEC 15408;
• было разработано веб-приложение и доработан функционал суще- ствующего плагина тестирования для проведения интернет-тестирования с воз- можностью авторизированного доступа, вывода результатов тестирования и круглосуточного доступа к нему.
Проведение оценки рисков информационной безопасности в организации является одним из наиболее эффективных инструментов по получению объек- тивной информации о текущем уровне защищенности от всевозможных угроз, с целью их предупреждения и избежание ущерба. Именно поэтому оценка рисков на предприятиях различного уровня должна проводится на регулярной основе специалистами или руководством организации для достижения максимальной отдачи и повышения уровня информационной безопасности организации.

65
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Anti-Malware — информационная безопасность для профессионалов //
Anti-Malware [
Электронный ресурс] — Режим доступа — http://www.anti- malware.ru
(дата обращения: 26.05.2018).
2. ARI Quiz Lite —
Мощный компонент для организации тестов на сайте
//
Alekseygen
[
Электронный ресурс]
—
Режим доступа
— http://alekseygen.ru/joomla-2-5/komponenty/15-ari-quiz-lite-moshchnyj-komponent- dlya-organizatsii-testov-na-sajte-rusifikatsiya.html
(дата обращения: 03.06.2018).
3. Drupal //
Википедия [Электронный ресурс] — Режим доступа — https://ru.wikipedia.org/wiki/Drupal
(дата обращения: 27.05.2018).
4. Joomla //
Википедия [Электронный ресурс] — Режим доступа — https://ru.wikipedia.org/wiki/Joomla!
(дата обращения: 27.05.2018).
5. Joomla! Quiz Deluxe компонент для создания тестов, онлайн- опросников и викторин // Центр обучения Joomla [Электронный ресурс] — Ре- жим доступа — https://alex-kurteev.ru/extensions/full/26-oprosy/1201-joomla-quiz- deluxe-joomla-komponent-dlya-sozdaniya-testov.html
(дата обращения:
03.06.2018).
6. WordPress //
Википедия [Электронный ресурс] — Режим доступа — https://ru.wikipedia.org/wiki/WordPress
(дата обращения: 27.05.2018).
7.
Аверченков В.И. Аудит информационной безопасности [Текст]: учеб- ное пособие для вузов / В.И. Аверченков. — 3-е изд., стереотип. — Москва:
ФЛИНТА, 2016. — 269 с.
8.
Анализ рисков в управлении информационной безопасностью // Ис- кусство управления информационной безопасностью ISO27000 [Электронный ресурс] — Режим доступа — http://www.iso27000.ru/chitalnyi-zai/upravlenie- riskami-informacionnoi-bezopasnosti/analiz-riskov-v-upravlenii-informacionnoi- bezopasnostyu
(дата обращения: 22.05.2018).

66 9.
Аудит безопасности информационных систем // Искусство управле- ния информационной безопасностью ISO27000 [Электронный ресурс] — Режим доступа — http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti
(дата обращения: 22.05.2018).
10.
Аудит информационной безопасности — основа эффективной защиты предприятия // ДиалогНаука [Электронный ресурс] — Режим доступа — https://dialognauka.ru/press-center/article/4753/
(дата обращения: 01.04.2018).
11.
Аудит информационной безопасности // IBS [электронный ресурс] —
Режим доступа — https://www.ibs.ru/it-infrastructure/information-security/audit- informatsionnoy-bezopasnosti/
(дата обращения: 23.05.2018).
12.
Аудит информационной безопасности // Википедия [Электронный ре- сурс]
—
Режим доступа
— https://ru.wikipedia.org/wiki/Аудит_информационной_безопасности (дата обра- щения: 22.05.2018).
13.
Аудит информационной безопасности // Контур [Электронный ре- сурс] — Режим доступа — https://kontur.ru/security/features/audit-ib/ (дата обра- щения: 23.05.2018).
14.
Аудит информационной безопасности. Анализ защищенности систем и приложений // Pentestit [Электронный ресурс] — Режим доступа — https://www.pentestit.ru/audit/
(дата обращения: 23.05.2018).
15.
Аудит корпоративной безопасности // Group-IB [Электронный ре- сурс] — Режим доступа — https://www.group-ib.ru/audit.html (дата обраще- ния: 23.05.2018).
16.
Виды аудита информационной безопасности // Искусство управления информационной безопасностью ISO27000 [Электронный ресурс] — Режим до- ступа
— http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi- bezopasnosti/vidy-audita-informacionnoi-bezopasnosti
(дата обраще- ния: 22.05.2018).

67 17.
ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Ме- тоды и средства обеспечения безопасности. Критерии оценки безопасности ин- формационных технологий. Часть 1. Введение и общая модель» // Электронный фонд правовой и нормативно-технической документации [Электронный ресурс]
—
Режим доступа — http://docs.cntd.ru/document/1200071694 (дата обращения
25.05.2018).
18.
ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология (ИТ).
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопас- ности» // Электронный фонд правовой и нормативно-технической документа- ции
[Электронный ресурс]
—
Режим доступа
— http://docs.cntd.ru/document/1200105710
(дата обращения 25.05.2018).
19.
ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология (ИТ).
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» //
Электронный фонд правовой и нормативно-технической документации [Элек- тронный ресурс] — Режим доступа — http://docs.cntd.ru/document/1200105711
(дата обращения 25.05.2018).
20.
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология (ИТ).
Методы и средства обеспечения безопасности. Системы менеджмента инфор- мационной безопасности. Требования» // Электронный фонд правовой и норма- тивно-технической документации [Электронный ресурс] — Режим доступа — http://docs.cntd.ru/document/1200058325
(дата обращения 25.05.2018).
21.
ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ).
Методы и средства обеспечения безопасности. Свод норм и правил менеджмен- та информационной безопасности» // Электронный фонд правовой и норматив- но-технической документации [Электронный ресурс] — Режим доступа — http://docs.cntd.ru/document/1200103619
(дата обращения 26.05.2018).

68 22.
Обследование (аудит) ИСПДн // Контур [Электронный ресурс] — Ре- жим доступа — https://kontur.ru/security/features/ispdn/ (дата обращения:
23.05.2018).
23.
Общие критерии оценки защищенности информационных технологий,
Общие критерии // Википедия [Электронный ресурс] — Режим доступа — https://ru.wikipedia.org/wiki/Общие_критерии#Общие_критерии_в_России/ (дата обращения: 24.05.2018).
24.
Практическое применение международного стандарта информацион- ной безопасности ISO 17799 // CitForum [Электронный ресурс] — Режим до- ступа — http://citforum.ru/security/articles/aboutisonew.shtml (дата обращения:
25.05.2018).
25.
Программные средства аудита безопасности // StudFiles [Электронный ресурс] — Режим доступа — https://studfiles.net/preview/3508678/page:2/ (дата обращения: 24.05.2018).
26.
Программные средства проверки политики безопасности на соответ- ствие ISO 17799 // IXBT [Электронный ресурс] — Режим доступа — https://www.ixbt.com/cm/iso17799-cobra-kondor012004.shtml
(дата обращения:
24.05.2018).
27.
Риски информационной безопасности // ARinteg [Электронный ре- сурс] — Режим доступа — https://arinteg.ru/articles/riski-informatsionnoy- bezopasnosti-26222.html
(Дата обращения: 23.05.2018).
28.
Родичев Ю.А. Нормативная база и стандарты в области информаци- онной безопасности [Текст]: учебное пособие / Ю.А. Родичев. — Санкт-
Петербург: Питер, 2017 — 256 с.
29.
Сердюк В.А. Организация и технологии защиты информации. Обна- ружение и предотвращение информационных атак в автоматизированных си- стемах предприятий [Текст]: учебное пособие для вузов / В.А. Сердюк. —
Москва: ГУ-ВШЭ, 2011 — 576 с.

69 30.
Сертификация по ISO 27001 // Digital Security [Электронный ресурс]
—
Режим доступа — https://dsec.ru/certification/iso-27001/ (дата обращения:
24.05.2018).
31.
Стандарт BS 7799-1 // Википедия [Электронный ресурс] — Режим до- ступа — https://ru.wikipedia.org/wiki/BS_7799-1/ (дата обращения: 26.05.2018).
32.
Стандарт ISO/IEC 15408 // Википедия [Электронный ресурс] — Ре- жим доступа — http://www.lghost.ru/lib/security/kurs2/theme02_chapter04.htm/
(дата обращения: 26.05.2018).
33.
Стандарт ISO/IEC 17799 // Википедия [Электронный ресурс] — Ре- жим доступа — https://ru.wikipedia.org/wiki/ISO/IEC_17799/ (дата обращения:
26.05.2018).
34.
Стандарт ISO/IEC 27001 // Википедия [Электронный ресурс] — Ре- жим доступа — https://ru.wikipedia.org/wiki/ISO/IEC_27001/ (дата обращения:
26.05.2018).
35.
Стандарт на страже информационной безопасности // InformationSecu- rity
[
Электронный ресурс]
—
Режим доступа
— http://www.itsec.ru/articles2/pravo/standart_na_strazhe
(
дата обращения:
25.05.2018).
36.
Тестирование, как метод контроля качества усвоения учебного мате- риала учащимися // Педагогическая мастерская [Электронный ресурс] — Ре- жим доступа — http://открытыйурок.рф/статьи/500954/ (дата обращения:
23.05.2018)
37.
Уязвимости: рекомендации по выработке и проведению мер по ис- правлению ситуации // ДиалогНаука [Электронный ресурс] — Режим доступа
— https://www.dialognauka.ru/press-center/article/16761/
(дата обращения:
24.05.2018).
38.
Ярочкин В.И. Аудит безопасности фирмы: теория и практика [Текст]: учебное пособие для вузов / В.И. Ярочкин, Я.В. Бузанова. — Москва: Академи- ческий проект, 2005. — 352 с.

70

71