описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе
 Скачать 2.75 Mb.
|
|
Екатеринбург 2018 Министерство образования и науки Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Российский государственный профессионально-педагогический университет» СИСТЕМА ТЕСТИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА по направлению подготовки 44.03.04 Профессиональное обучение (по отраслям) профилю подготовки «Информатика и вычислительная техника» профилизации «Информационная безопасность» Идентификационный номер ВКР: 189 Екатеринбург 2018 Министерство образования и науки Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Российский государственный профессионально-педагогический университет» Институт инженерно-педагогического образования Кафедра информационных систем и технологий К ЗАЩИТЕ ДОПУСКАЮ Заведующая кафедрой ИС Н. С. Толстова « » 2018 г. ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА СИСТЕМА ТЕСТИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ Исполнитель: обучающийся группы № ИБ-401 И. Е. Филиппов Руководитель: ст. преподаватель каф. ИС С. В. Ченушкина Нормоконтролер: Т. В. Рыжкова АННОТАЦИЯ Выпускная квалификационная работа состоит из разработанного веб- приложения и банка вопросов, а также из доработанного плагина тестирова- ния и пояснительной записки на 73 страницах, содержащей 32 рисунка, 3 таблицы, 38 источников литературы и 2 приложений на 5 страницах. Ключевые слова: АУДИТ, ОЦЕНКА РИСКОВ, АНАЛИЗ УГРОЗ. Филиппов И.Е., Система тестирования для проведения аудита инфор- мационной безопасности на предприятии на основе международных стандар- тов: выпускная квалификационная работа / И. Е. Филиппов; Рос. гос. проф.- пед. ун-т, Ин-т инж.-пед. образования, Каф. информ. систем и технологий. — Екатеринбург, 2018. — 73 с. Принимая во внимание тот факт, что с каждым годом возрастает коли- чество атак на предприятия, наносящие им значительный финансовый и ма- териальный урон, становится актуальной проблема, изучением и работой над которой занимаются большое количество фирм, формирующие собственный рынок по услугам объективной оценки состояния уровня безопасности ин- формационных систем. Актуальность и новизна выбранной темы заключается в том, что со- временных аналогов продукту нам найти не удалось, за исключением систе- мы Кондор, которая была основана на устаревшем стандарте ISO 17799 и прекратила поддержку в 2008 году по инициативе руководства компании. 3 СОДЕРЖАНИЕ Введение ....................................................................................................................... 4 1 Актуальность аудита информационной безопасности на предприятии ............ 6 1.1 Основные риски в области информационной безопасности ........................ 6 1.2 Описание терминологии и виды аудита информационной безопасности .. 7 1.3 Анализ литературы и интернет-источников ................................................ 18 1.3.1 Анализ печатных источников ................................................................. 18 1.3.2 Анализ интернет-источников ................................................................. 20 1.3.3 Анализ аналогичных систем и тестов .................................................... 23 1.4 Анализ международных стандартов информационной безопасности ...... 25 2 Описание системы тестирования.......................................................................... 30 2.1 Назначение продукта ...................................................................................... 30 2.2 Описание банка вопросов ............................................................................... 31 2.3 Выбор средства реализации ........................................................................... 33 2.4 Описание шаблона и структура меню .......................................................... 36 2.5 Описание интернет-сайта ............................................................................... 39 2.6 Описание плагина тестирования ................................................................... 47 2.7 Описание процедуры тестирования .............................................................. 50 2.8 Использование системы тестирования в образовательном процессе ........ 57 2.9 Апробация продукта ....................................................................................... 58 2.9.1 Апробация продукта в образовательном учреждении ......................... 58 2.9.2 Апробация в учебном процессе .............................................................. 60 Заключение ................................................................................................................ 63 Список использованных источников ...................................................................... 65 Приложение А ........................................................................................................... 71 Приложение Б ............................................................................................................ 73 4 ВВЕДЕНИЕ Современный мир уже невозможно представить без персональных ком- пьютеров, высокоскоростного Интернета и прочих современных девайсов, с ко- торыми люди взаимодействует каждый день. Они становятся неотъемлемыми атрибутами, которые сопровождают человека в повседневной жизни, как в бы- ту, так и на рабочем месте. Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эф- фективности работы коммерческих, государственных предприятий и образова- тельных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обу- славливает актуальность проблемы защиты и сохранности информации. Принимая во внимание тот факт, что с каждым годом возрастает количе- ство атак на предприятия, которые наносят значительный финансовый и мате- риальный урон, становится актуальной еще одна проблема, изучением и рабо- той над которой на сегодняшний день занимаются большое количество фирм, тем самым формируя собственный рынок, со своей конкуренцией и правилами, которые предлагают услуги по объективной оценке состояния уровня безопас- ности информационной системы, действующей политики информационной безопасности на предприятии. Услуги данных фирм привлекаются для прове- дения какого-либо одного из существующих видов аудита информационной безопасности, так и для проведения комплексного аудита систем безопасности на предприятии, по результатам которого выдается комплексное заключение о выявленных рисках и практические рекомендации по их предотвращению и предупреждению. Исходя из вышеизложенных соображений, следует считать, что тема вы- пускной квалификационной работы «Система тестирования для проведения аудита информационной безопасности на предприятиях на основе стандартов 5 ISO/IEC 27002 и ISO/IEC 15408» является актуальной в силу того, что потреб- ность в такой разработке существует. Объект исследования — использование международных стандартов в об- ласти информационной безопасности для разработки и внедрения организация- ми системы менеджмента информационной безопасности, в контексте выбора, внедрения, улучшения мер безопасности и управления имеющимися рисками. Предмет исследования — банк тестовых вопросов на основе рекоменда- ций международных стандартов ISO/IEC 27002 и ISO/IEC 15408 для проведе- ния аудита информационной безопасности на предприятии на предмет оценки и анализа существующих рисков. Цель выпускной квалификационной работы — разработать систему те- стирования для проведения аудита информационной безопасности на предпри- ятии на предмет оценки рисков на основе данных международных стандартов ISO/IEC 27002 и ISO/IEC 15408. Для достижения поставленной цели необходимо решить следующие зада- чи: • проанализировать литературу и интернет-источники по аудиту и ме- неджменту информационной безопасности; • изучить международные стандарты информационной безопасности, для подготовки исходных данных и составления тестовых вопросов; • подготовить банк тестовых вопросов по выбранным международным стандартам информационной безопасности; • реализовать интерфейс для проведения интернет-тестирования с воз- можностью авторизованного доступа и вывода результатов; • разработать интернет-сайт для представления результата работы над продуктом в среде Интернет и обеспечение доступа представителям различных организаций. 6 1 АКТУАЛЬНОСТЬ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ 1.1 Основные риски в области информационной безопасности Сфера информационной безопасности образовалась, получила широкое развитие и всеобщую популяризацию в связи с постоянно растущим числом информационных атак в совокупности с необходимостью защиты от них и все- возможных рисков. Само по себе, определение риска информационной без- опасности можно обобщенно рассматривается как возможность того, что может произойти определенное неблагоприятное событие, имеющее определенный размер наносимого ущерба и ожидаемую вероятность наступления с негатив- ными последствиями [27]. Основными рисками информационной безопасности являются: • риск утечки конфиденциальной информации; • риск потери и/или недоступности важных данных; • риск нарушения целостности информации и/или важных данных; • риск неправомочной эксплуатации информационных ресурсов; • риск распространения дискредитирующей во внешней среде инфор- мации, угрожающей репутации организации и т. п. [27]. Основными видами угроз безопасности, рассматриваемыми при проведе- нии аудита информационной безопасности, являются [37]: 1. Организационные (законодательные, административные, процедур- ные), например: • отсутствие контроля и/или неэффективно применяемые меры управления такими процессами как: управление конфигурациями, управление изменениями, управление обновлениями и т. д.; • атаки через привлекаемые подрядные организации и т. п. 7 2. Эксплуатационные, например: • неподдерживаемые и/или нелицензионные версии операционных систем, системного программного обеспечения, программных продуктов; • уязвимости веб-серверов и/или использование небезопасных про- токолов управления (использование SSL и TLS может привести к перехвату пе- редаваемой информации об аутентификации) и передачи информации; • слабые пароли и/или недостаточно проработанная парольная по- литика в организации и т. п. 3. Программно-технические (архитектурные), например: • возможность подключения корпоративных устройств к незащи- щенным сегментам гостевых беспроводных сетей компании; • неконтролируемые информационные потоки и т. п. 4. Прочие аспекты обеспечения информационной безопасности, которые необходимо учесть в ходе проведения аудита, для определения их приоритетов. 1.2 Описание терминологии и виды аудита информационной безопасности Говоря об аудите информационной безопасности стоит знать и разводить значение двух терминов: информационная безопасность и аудит информацион- ной безопасности. Информационная безопасность — состояние сохранности информацион- ных ресурсов и защищенности законных прав личности и общества в информа- ционной сфере [12]. Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии ин- формационной безопасности компании в соответствии с определенными крите- риями и показателями безопасности [12]. 8 Связав оба термина, на выходе можно получить обобщенное определение аудита информационной безопасности, рассматриваемое как процесс сбора и анализа информации об информационной системе для качественной и количе- ственной оценки уровня ее защищенности от атак злоумышленников. Основными целями и задачами при проведении аудита информационной безопасности являются [7, 9, 10, 12]: 1. Цели аудита информационной безопасности: • анализ рисков информационной безопасности, которые напрямую связаны с возможностью осуществления угроз безопасности для предприятия в отношении ресурсов информационной системы; • оценка текущего состояния уровня защищенности информацион- ной системы предприятия; • определение «узких мест» в системе безопасности информацион- ной системы предприятия; • оценка информационной системы предприятия на предмет соот- ветствия существующим стандартам и нормативно-правовым документам в об- ласти информационной безопасности; • разработка рекомендаций по внедрению новых и/или повышению эффективности существующих механизмов безопасности информационной си- стемы предприятия. 2. Задачи аудита информационной безопасности: • разработка политик безопасности и/или других организационно- распорядительных документов по защите информации на предприятии, участие в их внедрении в работу предприятия; • постановка задач для персонала предприятия, занятого в сфере информационных технологий и информационной безопасности предприятия, касающихся обеспечения защиты информации, участие в их обучении; 9 • участие в обучении пользователей и обслуживающего персонала информационной системы вопросам обеспечения информационной безопасно- сти на предприятии; • участие в разборе и анализе инцидентов, связанных с нарушением информационной безопасности и др. Основные направления аудита информационной безопасности [12]: 1. Аттестация объектов информатизации по требованиям стандартов и другой нормативной документации в области информационной безопасности, например: • аттестация автоматизированных систем, средств связи, обработки и передачи информации; • аттестация помещений, предназначенных для ведения конфиден- циальных переговоров; • аттестация технических средств, установленных в выделенных помещениях и т. п. 2. Контроль защищенности информации ограниченного доступа, напри- мер: • выявление технических каналов утечки и способов несанкциони- рованного доступа к информации; • контроль эффективности применяемых средств защиты и т. п. 3. Специальные исследования технических средств на наличие побоч- ных электромагнитных излучений и наводок, например: • исследование персональных компьютеров, средств связи и обра- ботки информации; • исследование локальных вычислительных систем; • оформление результатов исследований в соответствии с требова- ниями Гостехкомиссии Российской Федерации (РФ) и т. п. 10 4. Проектирование и разработка систем, документации по обеспечению информационной безопасности компании, например: • разработка концепции информационной безопасности; • проектирование автоматизированных систем, средств связи, обра- ботки и передачи информации в защищенном исполнении; • проектирование помещений, предназначенных для ведения кон- фиденциальных переговоров и т. п. Аудит безопасности предприятия — нужный и полезный процесс, осо- бенно для крупных компаний. В основном он крайне необходим на этапе под- готовки технического задания по проектированию систем защиты информации и/или после внедрения системы безопасности для оценки уровня ее эффектив- ности. Также, аудит информационной безопасности проводится на приведение действующей системы безопасности в соответствие требованиям, предъявляе- мым законодательством РФ, и/или международным законодательством, и/или требованиям нормативной документации в области информационной безопас- ности. Помимо этого, целесообразно проводить аудит информационной без- опасности на предприятии в случае если необходимо систематизировать и/или упорядочить существующие меры защиты информации или расследовать про- изошедший инцидент, связанный с нарушением установленного режима ин- формационной безопасности на предприятии. Проведение аудита информационной безопасности в компании-заказчике включает в себя ряд последовательных этапов [9]: 1. Инициирование процедуры аудита. 2. Сбор информации, необходимой для проведения аудита. 3. Анализ данных аудита. 4. Формирование и составление рекомендаций. 5. Подготовка аудиторского отчета. Инициирование процедуры аудита. Зачастую инициатором проведения аудита информационной безопасности становится руководство компании, ко- 11 торое в наибольшей степени заинтересовано в его проведении. Аудит инфор- мационной безопасности на предприятии — довольно длительный, трудоемкий и всеобъемлющий процесс, в который оказываются вовлечены многие, если не все структурные подразделения и сотрудники компании, поэтому на этапе ини- циирования процедуры аудита должны быть решены следующие организаци- онные вопросы [9]: • должны быть четко определены и документально закреплены права и обязанности аудитора в его должностных инструкциях, а также в положении о проведении аудита компанией-аудитором в компании-заказчике; • аудитором должен быть составлен и согласован с руководством ком- пании-заказчика план проведения аудита; • в положении о проведении аудита компанией-аудитором в компании- заказчике должно быть документально закреплено, что сотрудники компании- заказчика должны оказывать содействие аудитору (группе аудиторов) и предо- ставлять всю необходимую информацию; • должны быть определены границы проведения аудита (касаемо всех систем и подсистем компании-заказчика, которые могут быть недоступны для проверки из-за соображений конфиденциальности): список обследуемых физи- ческих, программных, информационных ресурсов и помещений компании, по- падающих под проверку. Сбор информации аудита. Данный этап проведения аудита является наиболее длительным и сложным, но это целиком зависит от того, насколько полно и своевременно аудитор получает необходимую для проверки докумен- тацию, а также, насколько плотно происходит взаимодействие аудитора с должностными лицами компании-заказчика и лицами, уполномоченными по- могать аудитору. Компетентные выводы относительно текущего состояния уровня защищенности и имеющихся рисков в компании-заказчике могут быть сделаны аудитором только при условии наличия всей необходимой для анализа документации. Получение информации о принятых в компании процедурах 12 информационной безопасности, о функционировании и текущем состоянии ин- формационной системы осуществляется аудитором в ходе специально прово- димого интервьюирования ответственных лиц компании, а также путем изуче- ния технической, организационно-распорядительной документации и исследо- вания информационной системы с помощью специализированных программ- ных средств. Аудитору может потребоваться следующая организационно- распорядительная документация для анализа [9]: • описание автоматизированных функций; • описание основных технических решений; • схема организационной структуры пользователей; • схема организационной структуры обслуживающих подразделений; • различные функциональные схемы; • другая проектная и рабочая документация на информационную си- стему компании-заказчика. |