Методы анализа и аудита информационной безопасности предприятия в условиях цифровой экономики

В современном мире цифровая экономика стремительно вытесняет старый уклад почти во всех сферах деятельности общества. Изменяется частная жизнь и рабочие места, появляются новые инструменты взаимодействия и профессии. В эпоху столь масштабных преобразований всё большую актуальность принимает проблема аудита ИБ на предприятиях.

Главной целью аудита информационной безопасности можно назвать проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.

Информационные технологии нашего времени предоставляют большие возможности по улучшению качества работы предприятий, заменяя человеческий труд машинным, повышая рост производительности труда и снижая затраты на персонал и транспортировку данных. Работа в реальном времени стала одним из главных требований, предъявляемых к корпоративным сетям. Благодаря цифровизации стало возможным значительно повысить как оперативность, так и качество выполняемых работ на предприятиях. Автоматизация процесса обмена информацией на предприятии также отражается на качестве управления персоналом. К примеру, при использовании корпоративной сети отданный приказ администрацией предприятия будет моментально доводиться до подчиненных.

Но в то же время нельзя забывать про безопасность и надежность системы. Информация, передаваемая через открытую сеть Интернет, может быть перехвачена злоумышленниками при помощи специальных программ-снифферов и использоваться в корыстных целях. Сюда относятся важнейшая информация, содержащаяся в конфиденциальных документах. Кроме этого могут быть извлечены логины и пароли от почты или иных сервисов, используемых на предприятии.

Из изложенного выше, можно заключить что, актуальность выбранной темы обусловлена необходимостью обеспечения надежного и защищенного обмена информацией в государственной информационной системы для конкретной организации.

Целью данной выпускной квалификационной работы является применение методов анализа и аудита ИБ в государственных информационных системах.

Для достижения цели необходимо решить следующие задачи:

• изучить теоретически аспекты методов анализа и аудита ИБ;
• изучить нормативно-правовое обеспечение ИБ;
• проанализировать структуру информационной системы управления пенсионного фонда, в ходе которой выявить основные уязвимости информационной системы и определить информационные активы, подлежащие защите;
• оценить риски возникновения угроз безопасности информационным активам государственной информационной системы, в ходе которой определить актуальные угрозы;
• оценить существующие меры защиты, реализованные в информационной системе, и оценить соответствующие риски.

Объектом выступает управление пенсионного фонда города Екатеринбурга.

Предметом является государственная информационная система управления пенсионного фонда Российской Федерации.

1.1  ПОНЯТИЕ АУДИТА БЕЗОПАСНОСТИ

Аудит ИБ – это процедура оценки уровня безопасности ИТ-инфраструктуры, проводимый на основании целевых показателей ИБ. Во время аудита обычно проверяют организационные и распорядительные документы (приказы, распоряжения и т.п.), связанные с обеспечением ИБ, настройки межсетевых экранов и систем защиты периметра сети, журналы безопасности сетевых серверов и сетевого оборудования и многое другое в зависимости от целей, которые были поставлены предприятием перед аудиторами. Аудит позволяет понять, насколько ИТ-инфраструктура компании защищена от несанкционированного доступа и внешних угроз, а также при необходимости — насколько её уровень ИБ соответствует требованиям регуляторов, отраслевых или международных стандартов.

К основным целям аудита ИБ можно отнести следующие:

• анализ информационных рисков, связанных с возможностью возникновения угроз безопасности в отношении ресурсов;
• оценка действующего уровня защищенности ИС;
• устранение узких мест в системе безопасности ИС;
• оценка соответствия ИС существующим стандартам в области ИБ;
• разработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Аудит безопасности предприятия следует рассматривать как инструмент конфиденциального управления, исключающий возможность предоставления информации о результатах своей деятельности третьим лицам и организациям с целью сохранения секретности.

Исходя из объёмов анализируемых объектов предприятия выделяют следующие масштабы аудита:

• аудит защиты всего предприятия в целом;
• аудит защиты отдельных помещений или зданий на предприятии;
• аудит определенных видов и типов оборудования и технических средств.

Так же следует уточнить, что аудит проводиться по инициативе руководителей предприятия, а не по инициативе аудитора, которые в данной ситуации являются основной заинтересованной стороной. Поэтому необходимым условием для проведения качественного аудита является непосредственная поддержка руководства предприятия.

Для проведения аудита ИБ предприятия может быть рекомендован следующий порядок действий:

• Подготовка для проведения аудита:
• выбор объекта аудита (предприятие, отдельные здания и помещения, отдельные системы или их компоненты, оборудование или технические средства);
• составление команды аудиторов-экспертов;
• определение объема и масштаба аудита, так же установление конкретных сроков работы.
• Проведение аудита:
• общий анализ состояния безопасности объекта аудита;
• регистрация, сбор и проверка статистических данных и результатов инструментальных измерений опасностей и угроз;
• оценка результатов проверки;
• составление отчета о результатах проверки по отдельным составляющим.
• Завершение аудита:
• оставление итогового отчета;
• разработка плана мероприятий по локализации узких мест и недостатков в обеспечении защиты предприятия.

Для эффективного проведения аудита ИБ предприятия необходимо:

• высокий профессионализм и компетентность аудиторов, так же объективная и независимая оценка;
• четко построенная структура процедуры проведения аудита;
• активное участие руководства предприятия в проведении аудита;
• реализация рекомендованных мер обеспечения и усиления ИБ.

Аудит является комплексом мероприятий, в которых участвуют представители большинства структурных подразделений предприятия. Действия всех участников этого процесса должны быть согласованы. Исходя из этого на этапе проведения проверки необходимо решить следующие организационные вопросы:

• обязанности и права аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
• аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
• в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники предприятия обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

1. Федеральный закон Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» URL: [Электронный ресурс] URL: consultant.ru (дата обращения 15.12. 2020).
2. Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О Персональных данных» [Электронный ресурс] URL: http:\\www.consultant.ru (дата обращения 16.12.2020).
3. Федеральный закон Российской Федерации от 29.07.2004 №98-ФЗ «О коммерческой тайне» [Электронный ресурс] URL: consultant.ru (дата обращения 15.12.2020).
4. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности [Электронный ресурс] URL: http:\\www.consultant.ru\ cons_doc_LAW_185051\ (дата обращения 30.12.2020).
5. Требования к защите персональных данных при их обработке в информационных системах персональных данных: утв. постановлением Правительства Рос. Федерации от 1 ноября 2012 г. № 1119 [Электронный ресурс] URL: http://www.consultant.ru (дата обращения 20.12.2020).
6. ГОСТ Р ИСО/МЭК ТО 18044-2007 от 27.12.2007 N 513-ст «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов инф-ой безопасности». М.: Стандартинформ, 2009.
7. Абрамов А. М., Никулин О. Ю, Петрушин А. И. Системы управления доступом. М.: «Оберег-РБ», 2018.
8. Баринов, В.В. Компьютерные сети: Учебник / В.В. Баринов, И.В. Баринов, А.В. Пролетарский. - М.: Academia, 2018. - 192 c.
9. Блинов А.М. Информационная безопасность: Учебное пособие. Часть 1. – СПб.:Изд-воСПбГУЭФ, 2017. – 96 с.
10. Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации. — М.:Горячая линия Телеком, 2017. 240 с.
11. Варлатая С.К., Шаханова М.В. Программно-аппаратная защита информации. уч. пособ. - Владивосток: Изд-во ДВГТУ, 2015.
12. Гольдштейн Б. С, Маршак М. А., Мишин Е. Д., Соколов Н. А., Тум А. В. Контроль показателей качества обслуживания с учетом перехода к сети связи следующего поколения // Техника Связи. - 2009. - № 1.
13. Гришина Н.В. Комплексная система защиты информации на предприятии: учеб. пособие для студентов вузов / Н.В. Гришина. – М.: ФОРУМ, 2016. - 238 с.
14. Зайцев А.П., Голубятников И.В., Мещеряков Р.В., ШелупановА.А. Программно-аппаратные средства обеспечения информационной безопасности: Учебное пособие. – М.: Машиностроение-1, 2018. -260 с.
15. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; Технические средства и методы защиты информации: М.: ООО «Издательство Машиностроение», 2018 – 508 с.
16. Каторин Ю.Ф., Разумовский А.В., Спивак А.И. Защита информации техническими средствами: Учебное пособие / Под редакцией Ю.Ф. Каторина – СПб:НИУ ИТМО, 2016. – 416 с.
17. Кухарев Г. А. Биометрические системы. Методы и средства идентификации личности человека, 2016.
18. Максимов, Н.В. Компьютерные сети: Учебное пособие / Н.В. Максимов, И.И. Попов. - М.: Форум, 2017. - 320 c.
19. Новожилов, Е.О. Компьютерные сети: Учебное пособие / Е.О. Новожилов. - М.: Академия, 2018. - 176 c.
20. Организация и современные методы защиты информации. Инф.-справочное пособие. – М.: Ассоциация "Безопасность", 2015, c. 440с.
21. Олифер, В. Компьютерные сети, принципы, технологии, протоколы. – СПб.: Питер, 2016. – 176 c.
22. Соколов Н. А. Качество обслуживания трафика речи в сети NGN. - Connect! Мир связи. - 2006. - № 7.
23. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов.-М.:Академический Проект; Фонд "Мир", 2016.-640с.
24. Ясенев В.Н. «Информационные системы и технологии» / Юнити-Дата-2019, 560 с.
25. Возможные каналы утечки информации [Электронный ресурс] // URL: http://ftemk.mpei.ac.ru/ip/iptextbook/05/5-4/5-4.htm (дата обращения: 12.12.2020).
26. Интегрированные, комплексные системы безопасности [Электронный ресурс] // URL: http://www.secnews.ru/articles/security.php (дата обращения: 12.12.2020).
27. Комплексный подход к безопасности [Электронный ресурс] // URL: http://www.mascom.ru. (дата обращения: 12.12.2020).
28. Специальные требования и рекомендации по технической защите конфиденциальной информации [Электронный ресурс] // URL: http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm. (дата обращения: 12.12.2020).
29. Электронная электротехническая библиотека [Электронный ресурс] // URL: http://www.electrolibrary.info/electrobez.htm. (дата обращения: 12.12.2020).
30. «Требования к организационно-техническому обеспечению функционирования сети связи общего пользования». - Приказ Министерства информационных технологий и связи Российской Федерации № 113 от 27.09.2007 г.
31. Olsson U. Towards the all-IP vision // Ericsson Review. - 2005. -№1.-Vol. 82. Darling P. Telstra's «Next Generation Network» // Telecommunications Journal
32. Зайцев А.П., Голубятников И.В., Мещеряков Р.В., ШелупановА.А. Программно-аппаратные средства обеспечения информационной безопасности: Учебное пособие. – М.: Машиностроение-1, 2018. - 260 с.
33. Информатика и информационные технологии: учебное пособие для студентов, обучающихся по направлению "Экономика" и другим экономическим специальностям / под ред. Ю. Д. Романовой. - 2-е изд., испр. и доп. - М. : Эксмо, 2015. - 704 с.
34. Аудит информационной безопасности предприятий и систем. Учебное пособие. Московская академия комплексной безопасности, Тульский филиал. Тула, 2008.
35. Лукацкий А. Аудит информационной безопасности: какой, кому, зачем? // Банковское обозрение. - 2012. - №10.
36. Петренко С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А. Петренко - М: Академии АиТи: ДМК Пресс, 2002. - 438с.
37. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов - М: Академия АиТи: ДМК Пресс, 2004. - 384с.
38. Стрекалова Н. Б., Маризина В. Н. Современные технологии в профессиональной подготовке специалистов: учебное пособие. - Тольятти: Тольяттинская академия управления, 2016. - 128 с.
39. Гагарин А. Г., Костикова А. В. Проектирование информационных систем: учебное пособие. - Волгоград: ВолГТУ, 2015. – 57 с.
40. Сурушкин М. А. Анализ предметной области и проектирование информационных систем с примерами: учебное пособие. - Белгород: НИУ "БелГУ", 2019. - 155 с.