описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе
 Скачать 2.75 Mb.
|
|
ПРИЛОЖЕНИЕ А Министерство образования и науки Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Российский государственный профессионально-педагогический университет» Институт инженерно-педагогического образования Кафедра информационных систем и технологий направление 44.03.04 Профессиональное обучение (по отраслям) профиль «Информатика и вычислительная техника» профилизация «Информационная безопасность» УТВЕРЖДАЮ Заведующий кафедрой Н. С. Толстова « » 20 ___ г. ЗАДАНИЕ на выполнение выпускной квалификационной работы бакалавра студента 4 курса, группы ИБ-401 Филиппова Ивана Евгеньевича 1. Тема «Система тестирования для проведения аудита информационной безопасности на предприятии на основе международных стандартов» утверждена распоряжением по институ- ту от ___.___.2018 г. г. № ___. 2. Руководитель Ченушкина Светлана Владимировна, старший преподаватель кафедры ИС. 3. Место преддипломной практики ФГАОУ ВО «Российский государственный професси- онально-педагогический университет». 4. Исходные данные к ВКР: • Аверченков В.И. Аудит информационной безопасности [Текст]: учебное пособие для вузов; • Родичев Ю.А. Нормативная база и стандарты в области информационной без- опасности [Текст]: учебное пособие; • Анализ рисков в управлении информационной безопасностью // Искусство управ- ления информационной безопасностью ISO27000 [Электронный ресурс] — Режим доступа — http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/analiz- riskov-v-upravlenii-informacionnoi-bezopasnostyu; • ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» // Электронный фонд правовой и нормативно-технической документации [Электронный ресурс] — Режим доступа — http://docs.cntd.ru/document/1200103619. 72 5. Содержание текстовой части ВКР (перечень подлежащих разработке вопросов): • анализ литературы и интернет-источников; • изучение международных стандартов информационной безопасности; • разработка банка тестовых вопросов по стандарту ISO/IEC 27002; • разработка интернет-сайта; • разработка интерфейса для проведения интернет-тестирования. 6. Перечень демонстрационных материалов: • интернет-сайт «Система тестирования для проведения аудита информационной безопасности на предприятии на основе стандартов ISO/IEC 27002 и ISO/IEC 15408»; • презентация, выполненная в Microsoft PowerPoint. 7. Календарный план выполнения выпускной квалификационной работы № п/п Наименование этапа ВКР Срок выполнения этапа Процент выполнения ВКР Отметка руководителя о выполнении 1 Сбор информации по выпускной работе и сдача за- чета по преддипломной практике 21.05.2018 15% 2 Выполнение работ по разрабатываемым вопросам их изложение в выпускной работе 65% 2.1 Анализ литературы и интернет-источников 22.05.2018 10% 2.2 Изучение международных стандартов информаци- онной безопасности 25.05.2018 10% 2.3 Разработка банка тестовых вопросов по стандарту ISO/IEC 27002 28.05.2018 30% 2.4 Разработка интернет-сайта 01.05.2018 10% 2.5 Доработка и функционала плагина тестирования 05.06.2018 5% 3 Оформление текстовой части ВКР 10.06.2018 5% 4 Выполнение демонстрационного материала к ВКР 11.06.2018 5% 5 Нормоконтроль 12.06.2018 5% 6 Подготовка доклада к защите в ГЭК 13.06.2018 5% 8. Консультанты по разделам выпускной квалификационной работы Наименование раздела Консультант Задание выдал Задание принял подпись дата подпись дата Руководитель Задание получил подпись дата подпись студента дата 9. Выпускная квалификационная работа и все материалы проанализированы. Считаю воз- можным допустить Филиппова И. Е. к защите выпускной квалификационной работы в гос- ударственной экзаменационной комиссии. Руководитель подпись дата 10. Допустить Филиппова И. Е. к защите выпускной квалификационной работы в государ- ственной экзаменационной комиссии (протокол заседания кафедры от ___.___.2018 г. №___) Заведующий кафедрой подпись дата 73 ПРИЛОЖЕНИЕ Б Примеры разработанных вопросов по разделам банка вопросов Таблица Б.1 — Примеры разработанных вопросов по разделам банка вопросов Название раздела Формулировка вопроса Варианты ответа Политика без- опасности 1. Разработана ли в организации политика информационной безопасности, положения которой внедрены в существующую инфор- мационную систему? • Да (верно) • Нет 2. Включены ли в состав разработанной поли- тики информационной безопасности компо- ненты: определение информационной без- опасности, основные цели и область примене- ния информационной безопасности, а также учтено ли значение политики при коллектив- ном использовании информации? • Да (верно) • Нет 3. Отражает ли разработанная политика ин- формационной безопасности позицию руко- водства организации по реализации целей и принципов информационной безопасности? • Да (верно) • Нет Организация ин- формационной безопасности 1. Принято ли в организации проводить регу- лярные совещания руководителей организа- ции по вопросам информационной безопасно- сти? • Да (верно) • Нет 2. Приняты ли в организации четкие обязан- ности и ответственность по защите отдельных ресурсов к выполнению конкретных действий по обеспечению информационной безопасно- сти? • Да (верно) • Нет 3. Заключается ли договор со сторонними компаниями при их доступе к ресурсам орга- низации, в котором согласованы и зафиксиро- ваны процедуры проверки? • Да (верно) • Нет Управление ре- сурсами 1. Определены ли все основные информаци- онные ресурсы и сервисы? • Да (верно) • Нет 2. Идентифицированы ли все основные ре- сурсы и сервисы? • Да (верно) • Нет 3. Есть ли определенные обязанности между владельцами информационных ресурсов, направленные на поддержание соответству- ющего уровня информационной безопасности организации? • Да (верно) • Нет 74 Продолжение таблицы Б.1 Безопасность персонала 1. Включена ли задача обеспечения информа- ционной безопасности в служебные обязанно- сти всех сотрудников на стадии приема на ра- боту? • Да (верно) • Нет 2. Проводятся ли периодические проверки того, что каждый сотрудник выполняет свои служебные обязанности? • Да, сотрудником, занимающим более высокую должность (верно) • Нет 3. Проводится ли проверка репутации со- трудников, работающих по контракту, и вре- менных служащих? • Да (верно) • Нет Физическая без- опасность и без- опасность окру- жения 1. Какие правила физической безопасности соблюдаются для критичных информацион- ных ресурсов? • Располагаются в безопасном месте • Физически защи- щены от неавторизи- рованного доступа и повреждений (верно) 2. Доступны ли случайным лицам каталоги и внутренние телефонные книги, которые могут дать информацию о нахождении критичных ресурсов? • Да • Нет (верно) 3. Расположены ли ключевые информацион- ные системы так, чтобы исключить случай- ный доступ к ним неавторизированным лиц? • Да (верно) • Нет Управление коммуникациями и операциями 1. Осуществляется ли распределение обязан- ностей как средство снижения риска от слу- чайных и преднамеренных угроз? • Да, если критич- ные операции вы- полняются, как ми- нимум, двумя со- трудниками или су- ществует возмож- ность сговора со- трудников с целью нанесения ущерба организации (верно) • Нет 2. Осуществляется ли оценка возможного риска и ущерба и занесение в контракт мер защиты, согласованных с подрядчиком, при привлечении сторонних организаций к управ- лению информационной системой? • Да (верно) • Нет 3. Закреплен ли документально процесс вы- полнения операций, определенных политикой безопасности? • Да (верно) • Нет 75 Окончание таблицы Б.1 Управление до- ступом 1. Отражаются ли в политике контроля до- ступа правила и права каждой группы пользо- вателей? • Да • Нет (верно) 2. Учитывает ли политика контроля доступа требования по безопасности отдельных биз- нес-приложений и идентификацию всей ин- формации, связанной с ними? • Да (верно) • Нет 3. Соблюдается ли соответствие между поли- тикой управления доступом и классификаци- ей информации различных систем и сетей? • Да (верно) • Нет Приобретение, разработка и поддержка си- стем 1. Определена ли ответственность для всего персонала, вовлеченного в процесс обработки и ввода исходных данных? • Да (верно) • Нет 2. Проводится ли проверка того, что про- граммы запускаются в соответствующем ре- жиме и останавливаются в случае неисправ- ностей, а также, что связанные процессы останавливаются до устранения всех про- блем? • Да (верно) • Нет 3. Проводится ли периодическая проверка це- лостности и правильности содержимого клю- чевых полей или файлов данных? • Да (верно) • Нет Управление бес- перебойной ра- ботой организа- ции 1. Сформулирована и задокументирована ли стратегия непрерывности ведения бизнеса, согласующая с установленными целями и приоритетами бизнеса? • Да (верно) • Нет 2. Определен ли четкий порядок внедрения контраварийных процедур для восстановле- ния бизнес-процессов за требуемый промежу- ток времени? • Да (верно) • Нет 3. Является ли частью процесса обеспечения непрерывности ведения бизнеса соответству- ющая уровню рисков форма страхования? • Да (верно) • Нет Соответствие нормативным требованиям 1. Возможно ли превышение максимального числа пользователей в лицензии при исполь- зовании программного обеспечения? • Да • Нет (верно) 2. Соответствует ли законодательству поря- док обращения с информацией о персональ- ных данных сотрудников и клиентов? • Да (верно) • Нет 3. Разработаны ли в компании типовые про- цедуры приобретения программного обеспе- чения? • Да (верно) • Нет |