Разработка методических рекомендаций по проведению аудита информационной безопасности информационной системы организации

Автор работы: Пользователь скрыл имя, 07 Октября 2013 в 20:15, дипломная работа

Краткое описание

Цель исследования – разработка рекомендаций по проведению аудита информационной безопасности компании «Стилсофт» с организационно-правовой формой собственности закрытого акционерного общества.
Для достижения сформулированной цели решались следующие задачи:
провести исследование системы защиты информации ЗАО «Стилсофт»;
выявить угрозы информационной безопасности, актуальные с точки зрения уровней опасности для объектов защиты ЗАО «Стилсофт» и оценить риски информационной безопасности ЗАО «Стилсофт»;
проанализировать комплексную систему защиты информации и разработать схему расположения компонентов данной системы в ЗАО «Стилсофт» и схему информационной системы данной компании;

Содержание

ВВЕДЕНИЕ…………………………………………………………………5
1 ИССЛЕДОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ «СТИЛСОФТ» С ОРГАНИЗАЦИОННО-ПРАВОВОЙ ФОРМОЙ СОБСТВЕННОСТИ ЗАКРЫТОГО АКЦИОНЕРНОГО ОБЩЕСТВА…………………………………………………………….................7
1.1 Характеристика ЗАО «Стилсофт»………………………………….…7
1.1.1 Организационная структура закрытого акционерного общества..9
1.1.2 Структура и руководство ЗАО «Стилсофт»………………………10
1.1.3 Преимущества и недостатки закрытого акционерного общества……………………………………………………………………...…..12
1.1.4 Исследование подходов к анализу финансовой отчетности закрытого акционерного общества……………………………………………..14
1.2 Анализ рисков и угроз системы защиты информации ЗАО «Стилсофт»………………………………………………………………...…….16
1.2.1 Перечень угроз информационной безопасности ЗАО «Стилсофт», составленный на основе германского стандарта IT Baseline Protection Manual…………………………………………………………………...………..16
1.2.2. Выявление угроз информационной безопасности, актуальных с точки зрения уровней опасности для объектов защиты ЗАО «Стилсофт»………………………………………………………………..…..…21
1.2.3 Оценка рисков информационной безопасности ЗАО «Стилсофт»………………………………………………………………………22
1.3 Анализ комплексной системы защиты информации ЗАО «Стилсофт»………………………………………………………………………28
1.3.1 Разработка схемы расположения компонент подсистем комплексной системы защиты информации в помещениях ЗАО «Стилсофт»…………………………………………………………………..…..29
1.3.2 Разработка схемы информационной системы ЗАО «Стилсофт»...32
1.3.3 Достоинства и недостатки комплексной системы защиты информации ЗАО «Стилсофт»……………………………………………….…33
1.4 Исследование видов аудита информационной безопасности……...35
1.5 Выводы по главе………………………………………………………37
2 АНАЛИЗ ПОДХОДОВ К ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «СТИЛСОФТ» НА ОСНОВЕ МЕЖДУНАРОДНЫХ СТАНДАРТОВ………………………..……39
2.1 Исследование подходов к проведению аудита информационной безопасности на основе международного стандарта ISO 15408…………..….39
2.2 Исследование подходов к проведению аудита информационной безопасности на основе международного стандарта ISO 17799……………...45
2.3 Исследование подходов к проведению аудита информационной безопасности на основе международного стандарта ISO 27001………..…….49
2.4 Исследование подходов к проведению аудита информационной безопасности на основе международного стандарта COBIT…………………54
2.5 Сопоставление возможностей стандартов информационной безопасности относительно перспектив проведения аудита информационной системы ЗАО «Стилсофт»....................................................................................61
2.6 Выводы по главе………………………………………....................64
3 РАЗРАБОТКА практических рекомендаций по проведению аудита информационной безопасности информационной системы зао «Стилсофт»………………...….66
3.1 Разработка рекомендаций по проведению аудита информационной безопасности ЗАО «Стилсофт» на соответствие стандартам ISO 17799 и ISO 27001………………………………………………………………………….…..67
3.1.1 Планирование, организация работ по проведению аудита информационной безопасности………………………………………...………67
3.1.2 Разработка алгоритма по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт»………………...68
3.2 Исследование программных комплексов ГРИФ и КОНДОР для проведения аудита информационной безопасности………………………..…72
3.3 Отчет по проведению аудита информационной безопасности информационной системы ЗАО «Стилсофт» на соответствие стандарту ISO 17799 на основе программного комплекса КОНДОР…………………...…….76
3.4 Разработка экономического обоснования для проведения аудита информационной безопасности организации………………………………….85
3.5 Выводы по главе………………………………………………………91
ЗАКЛЮЧЕНИЕ……………………………………………...……………92
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ……………………..95

Вложенные файлы: 1 файл

диплом Галенина.doc

— 3.84 Мб (Скачать файл)

Т4. Угрозы, связанные  с техникой:

  • Т4.1. Разрушения системы электроснабжения.
  • Т4.2. Отказы внутренних сетей электроснабжения.
  • Т4.3. Недействительность имеющихся гарантий.
  • Т4.4. Ухудшение состояния линий из-за воздействия окружающей среды.
  • Т4.5. Перекрестные подключения.
  • Т4.6. Броски напряжения в системе электроснабжения.
  • Т4.7. Дефекты кабелей информационных сетей.
  • Т4.8. Обнаруженные уязвимости ПО.
  • Т4.9. Разрушение внутренних источников электропитания.
  • Т4.10. Сложности доступа к сетевым ресурсам.
  • Т4.11. Недостатки аутентификации между NIS-сервером и NIS-клиентом.
  • Т4.12. Недостатки аутентификации между серверами и клиентами.
  • Т4.13. Потеря хранимых данных.
  • Т4.14. Отсутствие специальной бумаги для факсов.
  • Т4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.
  • Т4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.
  • Т4.17. Дефект факсимильного аппарата.
  • Т4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.
  • Т4.19. Потери информации из-за старения (ухудшения качества) носителя данных.
  • Т4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

Т5. Угрозы, возникающие  на предпроектном этапе:

  • Т5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы.
  • Т5.2. Манипуляция данными или ПО.
  • Т5.3. Нарушения системы контроля доступа в помещениях.
  • Т5.4. Воровство.
  • Т5.5. Вандализм.
  • Т5.6. Нападения.
  • Т5.7. Перехват в линиях связи.
  • Т5.8. Манипуляции линиями связи.
  • Т5.9. Неавторизованное использование информационной системы.
  • Т5.10. Злоупотребления, связанные с удаленным доступом.
  • Т5.11. Несанкционированный доступ к конфиденциальным данным, сохраненным в процессе инсталляции офисной АТС.
  • Т5.12. Перехват телефонных звонков и передаваемых данных.
  • Т5.13. Подслушивание.
  • Т5.14. Пользование <span class="dash041e_0431_044b_0447_043d_044b_

Информация о работе Разработка методических рекомендаций по проведению аудита информационной безопасности информационной системы организации