Разработка методических рекомендаций по проведению аудита информационной безопасности информационной системы организации

МИНистерство  образования и науки российской федерации

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ «Ставропольский государственный  университет»

Физико-математический факультет

Кафедра ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИИ

 

Утверждена  приказом по университету от «»  2010 г.

Допущена к  защите «» 2010 г. Зав. кафедрой организации  и  технологии защиты информации канд. техн. наук                Н.Г.Демурчев   __________________________________   М.П.

 

 

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

РАЗРАБОТКА  МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ

 

Рецензент:   Дата защиты: «_____» ______________ 2010 г.     Оценка _____________________

Выполнил: Галенин Денис Владимирович студент 5 курса ФМФ  специальности «Организация и технология защиты информации» очной формы обучения   ______________________________   Научный руководитель: Якушев Дмитрий Владимирович канд. техн. наук, доцент кафедры организации и технологии защиты информации

Ставрополь, 2010 г.

СОДЕРЖАНИЕ

 

 

ВВЕДЕНИЕ…………………………………………………………………5

1 ИССЛЕДОВАНИЕ СИСТЕМЫ  ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ «СТИЛСОФТ»  С ОРГАНИЗАЦИОННО-ПРАВОВОЙ ФОРМОЙ  СОБСТВЕННОСТИ ЗАКРЫТОГО АКЦИОНЕРНОГО  ОБЩЕСТВА…………………………………………………………….................7

1.1 Характеристика ЗАО  «Стилсофт»………………………………….…7

1.1.1 Организационная структура  закрытого акционерного общества..9

1.1.2 Структура и руководство ЗАО «Стилсофт»………………………10

1.1.3 Преимущества и  недостатки закрытого акционерного  общества……………………………………………………………………...…..12

1.1.4 Исследование подходов  к анализу финансовой отчетности  закрытого акционерного общества……………………………………………..14

1.2 Анализ рисков и  угроз системы защиты информации  ЗАО «Стилсофт»………………………………………………………………...…….16

1.2.1 Перечень угроз информационной безопасности ЗАО «Стилсофт», составленный на основе германского стандарта IT Baseline Protection Manual…………………………………………………………………...………..16

1.2.2. Выявление угроз  информационной безопасности, актуальных  с точки зрения уровней опасности  для объектов защиты ЗАО «Стилсофт»………………………………………………………………..…..…21

1.2.3 Оценка рисков информационной  безопасности ЗАО «Стилсофт»………………………………………………………………………22

1.3 Анализ комплексной системы защиты информации ЗАО «Стилсофт»………………………………………………………………………28

1.3.1 Разработка схемы расположения компонент подсистем комплексной системы защиты информации в помещениях ЗАО «Стилсофт»…………………………………………………………………..…..29

1.3.2 Разработка схемы  информационной системы ЗАО «Стилсофт»...32

1.3.3 Достоинства и недостатки  комплексной системы защиты информации ЗАО «Стилсофт»……………………………………………….…33

1.4 Исследование видов аудита информационной безопасности……...35

1.5 Выводы по главе………………………………………………………37

2 АНАЛИЗ ПОДХОДОВ К ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «СТИЛСОФТ» НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ………………………..……39

2.1 Исследование подходов  к проведению аудита информационной  безопасности на основе международного  стандарта ISO 15408…………..….39

2.2 Исследование подходов  к проведению аудита информационной  безопасности на основе международного стандарта ISO 17799……………...45

2.3 Исследование подходов  к проведению аудита информационной  безопасности на основе международного  стандарта ISO 27001………..…….49

2.4 Исследование подходов к проведению аудита информационной безопасности на основе международного стандарта COBIT…………………54

2.5 Сопоставление возможностей  стандартов информационной безопасности  относительно перспектив проведения аудита информационной системы ЗАО «Стилсофт»....................................................................................61

2.6 Выводы по главе………………………………………....................64

3 РАЗРАБОТКА практических рекомендаций по проведению аудита информационной безопасности информационной системы зао «Стилсофт»………………...….66

3.1 Разработка рекомендаций  по проведению аудита информационной безопасности ЗАО «Стилсофт» на соответствие стандартам ISO 17799 и ISO 27001………………………………………………………………………….…..67

3.1.1 Планирование, организация работ по проведению аудита информационной безопасности………………………………………...………67

3.1.2 Разработка алгоритма по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт»………………...68

3.2 Исследование программных  комплексов ГРИФ и КОНДОР для  проведения аудита информационной  безопасности………………………..…72

3.3 Отчет по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт» на соответствие стандарту ISO 17799 на основе программного комплекса КОНДОР…………………...…….76

3.4 Разработка экономического обоснования для проведения аудита информационной безопасности организации………………………………….85

3.5 Выводы по главе………………………………………………………91

ЗАКЛЮЧЕНИЕ……………………………………………...……………92

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ……………………..95

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

 

Аудит информационной безопасности, как форма проверки соответствия разработки мер по защите бизнес-процессов  организации от рисков и угроз  информационной безопасности появился вместе с развитием информационных технологий. И в настоящее время  является перспективным практическим приложением информационной безопасности. Это связано с актуальностью исследований в области защиты информации, так как реализация той или иной угрозы, актуальной для информационной безопасности конкретной организации, значительно увеличивает вероятность рисков и приводит к ущербу ее активам.

В современных условиях развития экономических процессов  для обеспечения непрерывности  бизнеса информационная безопасность для организаций различных форм собственности играет ключевую роль. Экономико-информационные системы обеспечивают жизнедеятельность организации на большинстве уровней ее деятельности. Защита от реализации угроз информационной безопасности и управление рисками становится необходимостью менеджмента организации, не менее актуальной, чем экономическая или технологическая состоятельность. Эффективность менеджмента информационной безопасности зависит от качества процедур контроля и проверки систем, обеспечивающих целостность информационных, функциональных и технологических процессов организации.

Цель исследования – разработка рекомендаций по проведению аудита информационной безопасности компании «Стилсофт» с организационно-правовой формой собственности закрытого акционерного общества.

Для достижения сформулированной цели решались следующие задачи:

• провести исследование системы защиты информации ЗАО «Стилсофт»;
• выявить угрозы информационной безопасности, актуальные с точки зрения уровней опасности для объектов защиты ЗАО «Стилсофт» и оценить риски информационной безопасности ЗАО «Стилсофт»;
• проанализировать комплексную систему защиты информации и разработать схему расположения компонентов данной системы в ЗАО «Стилсофт» и схему информационной системы данной компании;
• проанализировать подходы к проведению аудита информационной безопасности ЗАО «Стилсофт» на основе международных стандартов;
• разработать практические рекомендации по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт»;
• разработать алгоритм по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт»;
• разработать экономическое обоснование для проведения аудита информационной безопасности организации;

Объект исследования – система защиты информации ЗАО  «Стилсофт».

Предмет исследования – подходы к проведению аудита информационной безопасности организации.

Теоретико-методологической основой работы послужили труды  отечественных авторов, анализировавших  различные аспекты информационной безопасности, методы и средства аудита информационной безопасности, а также алгоритмы проведения аудита.

Практическая значимость работы заключается в возможности  использования полученных результатов  исследования для проведения аудита информационной безопасности организации. Возможности увеличения эффективности управления рисками с помощью модификации системы информационной безопасности компании.

Работа состоит из трех глав, введения и заключения.

 

 

1 ИССЛЕДОВАНИЕ  СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ  «СТИЛСОФТ» С ОРГАНИЗАЦИОННО-ПРАВОВОЙ  ФОРМОЙ СОБСТВЕННОСТИ ЗАКРЫТОГО  АКЦИОНЕРНОГО ОБЩЕСТВА

 

Аудит информационной безопасности проводится на основе комплексного анализа системы защиты информации организации. Также необходимо изучить виды деятельности, организационную структуру и финансовую отчетность организации [1, 2, 3, 4]. Правовые основы ее деятельности. Таким образом, проведение аудита информационной безопасности ЗАО «Стилсофт» связано не только с анализом системы защиты информации, но также с исследованием существующей организационно-функциональной структуры данной компании, правовой основе ее деятельности и бизнес-процессам.

 

1.1 Характеристика  ЗАО «Стилсофт»

 

Стилсофт – это группа предприятий, работающих на рынке систем безопасности с 2002 года. ЗАО «Стилсофт» производит программное обеспечение, оборудование для систем безопасности, ведет исследования в различных областях прикладной математики и физики, выполняет монтаж и пуско-наладку систем безопасности своего производства [5].

Офисы компании располагаются  в городах Москва, Санкт-Петербург, Самара, Иркутск. Главный офис находится  в городе Ставрополе.

В компании Стилсофт трудится более 200 человек, из них 90% имеют высшее образование, 5 сотрудников защитили кандидатские диссертации на основании исследований в области систем безопасности. Компании принадлежит ряд патентов в области анализа видеоизображения.

Стилсофт – молодая  и быстрорастущая компания. Средний  возраст сотрудников компании 26 лет. ЗАО «Стилсофт» ежегодно расширяет номенклатуру производимых систем и увеличивает объем продаж более чем на 50%.

Заказчики ЗАО «Стилсофт» – министерство обороны РФ, пограничная служба ФСБ РФ, министерство внутренних дел РФ, крупные градообразующие предприятия нефтегазового сектора, крупные машиностроительные предприятия, более 200 организаций - инсталляторов и торговых домов, работающих на рынке систем безопасности РФ, ближнего и дальнего зарубежья.

ЗАО «Стилсофт» имеет сертификат в системе сертификации «Военный регистр» о соответствии системы менеджмента качества, внедренной на предприятии, стандартам ИСО 9001 и ГОСТ РВ 15.002-2003.

ЗАО «Стилсофт» имеет лицензии на разработку, производство и ремонт вооружений и военной техники, лицензию на осуществление работ, связанных с государственной тайной, лицензии на строительство и проектирование зданий и сооружений, лицензии на проектирование и монтаж охранно-пожарной сигнализации и целый ряд других лицензий.

ЗАО «Стилсофт» постоянный участник всех основных международных выставок в области безопасности, лауреат ряда конкурсов и премий.

Основные продукты, производимые ЗАО «Стилсофт»:

• система видеонаблюдения и аудиорегистрации «Видеолокатор»;
• система контроля и управления доступом «СтилПост»;
• комплексная система обеспечения безопасности «Синергет».

Линейка производимого  оборудования включает контроллеры  системы контроля доступа, контроллеры  охранно-пожарной сигнализации, IP видеосерверы, видеокамеры, тепловизоры, видеорегистраторы, контроллеры для защиты периметра объекта, IP контроллеры системы оповещения и другое оборудование.

Цель компании – внедрение современных технологий обеспечения безопасности во все сферы жизнедеятельности человека.

1.1.1 Организационная  структура закрытого акционерного  общества

Организационная структура закрытого акционерного общества может быть представлена следующим образом, рисунок 1.

Рисунок 1 – Организационная структура закрытого акционерного общества

 

Таким образом, в данном примере представлена линейная структура закрытого акционерного общества. Линейная организационная структура составляет так называемый «шахтный» принцип построения и специализация управленческого процесса по функциональным подсистемам организации (маркетинг, производство, исследования и разработки, финансы, персонал и т. д.). По каждой подсистеме формируется иерархия служб («шахта»), пронизывающая всю организацию сверху донизу. Результаты работы каждой службы оцениваются показателями, характеризующими выполнение ими своих целей и задач. Соответственно строится и система мотивации и поощрения работников. При этом конечный результат (эффективность и качество работы организации в целом) становится как бы второстепенным, так как считается, что все службы в той или иной мере работают на его получение [1, 2, 3, 4]. На рисунке 2 представлена еще одна схема линейной организационной структуры.