Файл: И занятости населения приморского края краевое государственное автономное профессиональное образовательное учреждение.docx

ВУЗ: Не указан

Категория: Отчет по практике

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 84

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Способ проведения аудита зависит от задач и уровня угрозы. Чем меньше компания и ниже продвинутость используемых технологий, тем меньше интерес злоумышленников и проще оценка. Важное условие перед началом аудита — составление технического задания на работающую систему информационной безопасности: и руководство компании и аудитор должны представлять, как будет работать идеальная в их понимании служба.

Любой аудит состоит из обязательных этапов. Определение границ и глубины оценки — на этом этапе руководство компании решает, в каких областях из перечисленных выше проводить обследование. Оптимальный вариант — сделать оценку по всем направлениям и максимально глубоко, но всегда встает вопрос соответствия затрат и экономической эффективности применения полученных данных.

Один из способов сокращения разного вида затрат — сужение зоны оценки до типовых блоков.

Например, если в разных подразделениях схожие информационные системы, высока вероятность, что в них присутствуют одинаковые уязвимости.

Проверив полностью один филиал компании, остальные можно обследовать уже только на ошибки, обнаруженные в первом.

Второй этап — сбор и систематизация данных о видах информации, которая возникает, хранится и передается внутри компании, и которой обмениваются с внешними контрагентами. На этом же этапе проводят инвентаризацию всех технических и программных средств, используемых для генерации, хранения и передачи данных. Далее следует этап обследования информационных процессов. Здесь очень много подпунктов и желательно не упустить ни один из них. Лучше всего, если человек, проводящий аудит, будет обследовать прохождение процессов прямо на рабочих местах, а не со слов исполнителей.

В ходе этапа определяют участников информационных процессов, как они проходят, какие ресурсы используют, требуемые согласования. По сути, процедура ничем не отличается от описания других бизнес-процессов в компании.

Далее основные пункты этого этапа, которые нужно проанализировать:

  • как с информацией работает персонал;

  • как происходит обучение сотрудников по обеспечению безопасности;

  • кто и как управляет доступом к информации;

  • понятие и документальное оформление тайны и конфиденциальной информации на предприятии;

  • как обеспечивается защита от вредоносных программ;

  • кто и как отслеживает события в сфере безопасности, как на них реагируют;

  • алгоритмы шифрования данных, генерация, хранение и ликвидация паролей как происходит архивация, восстановление, дублирование данных;

  • как используют мобильные, переносные, съемные устройства хранения данных;

  • организация доступа в интернет и использования электронной почты в компании;

  • как происходит доступ к информации для лиц, не являющихся сотрудниками;

  • как контролируется доступ к сети внутри организации и извне.


Следующим шагом оценивают техническое и программное обеспечение: сетевое оборудование и компьютеры, базы данных, антивирусы и сетевые экраны, операционные системы на сервере и локальных машинах, средства интернет-коммуникации и другие пользовательские программы и приложения.

Важно исследовать состояние не только виртуальных хранилищ, но и физических — архивные комнаты, сейфовое оборудование, в том числе, охранные и противопожарные сигнализации и средства. На пятом этапе, когда создана целостная картина «как есть», ее сравнивают с тем, как надо, то есть с техническим заданием на структуру и функции безопасной информационной системы. В ходе этапа выявляют слабые места, ищут уязвимости и определяют риски.

Последний этап аудита — отчет для руководства (заказчика) с указанием недостатков и степени их опасности. Возможно составление плана первоочередных мероприятий по борьбе с высокорисковыми угрозами.

Для небольших предприятий наибольшую опасность с точки зрения информационных уязвимостей представляют сотрудники и банальная халатность в отношении простых правил. Например, часто предприниматели опасаются передавать ведение собственной бухгалтерии на аутсорс, полагая, что бухгалтер в штате надежнее и безопаснее. Это серьезное заблуждение — узнайте, как бухгалтеры разоряют компании и что делать, чтобы обезопасить себя.

Этапы проведения аудита

Проведение аудита информационной безопасности включает в себя несколько этапов:

  • Подготовительный этап. На этом этапе определяются цели и задачи аудита, а также формируется команда, которая будет проводить аудит.

  • Сбор информации. На этом этапе аудиторы собирают информацию о системе защиты информации, изучают документацию, протоколы и журналы системы, а также проводят интервью с сотрудниками, ответственными за информационную безопасность.

  • Анализ собранной информации. На этом этапе аудиторы анализируют собранную информацию и оценивают эффективность системы защиты информации.

  • Проверка соответствия законодательству и стандартам. На этом этапе проводится проверка соответствия системы защиты информации законодательству и стандартам безопасности.

  • Выявление уязвимостей и возможных угроз безопасности. На этом этапе аудиторы выявляют уязвимости и возможные угрозы безопасности системы защиты информации.

  • Подготовка отчета. По результатам аудита составляется отчет, в котором указываются выявленные уязвимости и возможные угрозы безопасности, а также рекомендации по усовершенствованию системы защиты информации.

  • Дополнительные рекомендации:

  • Важно выбрать правильных аудиторов, которые обладают опытом и знаниями в области информационной безопасности.

  • Проведение аудита должно быть регулярным процессом, который позволяет поддерживать систему защиты информации в актуальном состоянии.

  • Отчет по результатам аудита должен быть доступен только ответственным лицам, чтобы предотвратить утечку информации.

  • После проведения аудита следует принять меры для устранения выявленных уязвимостей и угроз безопасности.

  • В итоге, проведение аудита информационной безопасности является необходимым процессом для обеспечения безопасности информационных систем и защиты конфиденциальной информации.





Тема 7. Обоснование предварительных проектных решений по ИС.


Информационное обеспечение (ИО) включает в себя:

систему классификации и кодирования;

систему унифицированной документации, используемой в ИО;

информационную базу.

Классификатор - это систематизированных свод наименований группировок объектов, признаков и их кодовых обозначений. Классификаторы служат средством описания данных, обуславливают единство классификации и кодирования информации и предназначены для обеспечения машинной обработки и выдачи данных в удобной форме потребителям при решении различных задач. В зависимости от применения они делятся на три группы:

  • общегосударственные классификаторы,

  • отраслевые (ведомственные) классификаторы, используемые в пределах определенной отрасли (ведомства);

  • локальные классификаторы, используемые в пределах организации или группы организации.

Значительную долю вне машинного ИО составляет документация. В условиях автоматизации важное значение придается унификации документации, устанавливающей единые требования к содержанию и построению документов. Унифицированные формы документов вырабатываются как для всех предприятий РФ (например, формы бухгалтерской отчетности), так и для отдельных предприятий (например, формы управленческой отчетности). Унификация заключается в тщательном отборе и четком определении необходимой номенклатуры документов. При этом определяются сферы назначения и использования документов и выявляются специфические особенности, характерные для соответствующих видов документов. Документы могут быть унифицированными и локальными.

В данном дипломном проекте использованы локальные документы: «Заявка на закупку материальных ценностей», «Заявка на регистрацию пользователя и доступ к программным ресурсам», «Заявка на устранение неполадок», «Заявка на доступ к сетевым ресурсам». Информационные файлы формируются на основе исходной информации, содержащейся в вышеуказанных первичных документах - основных носителях первичной экономической информации в системах машинной обработки данных. К ним предъявляется ряд требований:


  • достаточная полнота информации для решения задачи;

  • исключение избыточности информации;

  • достоверность и своевременность информации;

  • согласованность форм первичных документов с макетами размещения информации на машинном носителе;

  • логичность построения документа;

Под файловой организацией ИБ понимается локальное размещение базы на компьютере, доступ к которому других пользователей осуществляется стандартными методами ОС для обмена данными по сети, например в MS Windows это Sharing и Security, что уменьшает скорость обработки данных в локальной базе. Под смешанной организацией ИБ подразумевается распределённая база данных, хранящаяся на нескольких серверах и реплицирующая изменения в каждой из них по расписанию, данная структура ИБ используется в системах класса ERP для работы в одной ИБ территориально удалённым офисам одновременно.

Интегрированный способ организации ИБ представляет собой совокупность взаимосвязанных и хранящихся вместе данных при такой минимальной избыточности, которая допускает их использование оптимальным образом для любых приложений и при этом обеспечивается независимость данных от программы, а для актуализации данных используется общий способ управления

В данном дипломном проекте наиболее целесообразной организацией ИБ считаю интегрированную организацию ИБ, так как размер базы будет увеличиваться каждый день на 700-800 записей. И оптимальным выбором будет использование СУБД вместо файлового хранения базы данных

Существует три модели логической структуры базы данных (по способу установления связей между данными): иерархическая, сетевая и реляционная.

В иерархической модели каждой информационной единице (сегменту), кроме корневого, соответствует один исходный сегмент и между исходным и порожденным сегментом устанавливается только одна связь. В иерархических моделях экземпляру исходного сегмента соответствует в общем случае какое-то число экземпляров порожденного сегмента. Такие структуры удобны для отображения отношений типа «один ко многим» в предметной области. Просмотр иерархической структуры возможен только с корневой вершины. Пропуск сегмента в иерархическом пути при доступе к заданному сегменту не допускается. Основные недостатки иерархической структуры: трудность (неэффективность) отображения отношений типа «многие ко многим»; длительность доступа к сегментам, находящимся на нижних уровнях иерархии; ориентированность на определенный тип (разрез) запроса.[19]