Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ОКТЯБРЬСКОГО РАЙОНА Г. БАРНАУЛА

y_nika 520 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 87 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 22.06.2018
Для защиты персональных данных от утечки по техническим каналам необходимо применять организационные и технические мероприятия, направленные на исключение утечки видовой информации, а также утечки информации за счет побочных электромагнитных излучений и наводок. В основе методики аудита информационной безопасности лежит стремление руководства администрации района с помощью проведения независимой и компетентной оценки определить истинный уровень организации работ по защите персональных данных, степень соответствия информационных систем персональных данных выдвинутым критериям аудита и принять эффективные меры по устранению недостатков.
Введение

Администрация Октябрьского района города Барнаула (далее – администрация района) является территориальным органом местного самоуправления, обладающим собственными полномочиями и осуществляющим исполнительно-распорядительные функции на соответствующей территории в соответствии с Положением об Октябрьском районе в городе Барнауле и администрации Октябрьского района города Барнаула, утвержденным решением Барнаульской городской Думы от 27.03.2009 №75. Направлением исследования будет изучение методики аудита информационной безопасности администрации района, который является способом получения объективных качественных и количественных оценок текущего состояния информационной безопасности организации в соответствии с требованиями Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности по защите конфиденциальной информации и персональных данных. Актуальность выбранной темы обусловлена тем, что развитие информационного общества способствует развитию и эффективному использованию информационных и информационно-коммуникационных технологий гражданами, бизнесом и органами государственной власти и как следствие увеличивает значимость информации, что вынуждает повышать уровень защищенности информации. Один из эффективных инструментов обеспечения целостности информационных систем является аудит информационной безопасности. Объектом исследования является ИТ-инфраструктура администрации района. Предметом исследования является методика аудита информационной безопасности администрация Октябрьского района города Барнаула. Цель работы: Совершенствование методики аудита информационной безопасности на примере администрации района. Для достижения цели необходимо выполнить следующие задачи: ? рассмотреть основные этапы, задачи, цели проведения аудита; ? изучить законодательство в сфере обеспечения информационной безопасности; ? рассмотреть модель угроз безопасности персональных данных при их обработке в информационных системах; ? рассмотреть текущее состояние информационной безопасности в администрации района по защите конфиденциальной информации и персональных данных; ? предложить рекомендации по совершенствованию методики аудита информационной безопасности на примере администрации района. В данной работе на основе изученного материала и анализа объекта практики будет дана полная характеристика администрации Октябрьского района города Барнаула, будет получена объективная и качественная оценка текущего состояния информационной безопасности администрации района и разработка предложений и рекомендаций по совершенствованию системы защиты информации. Теоретической базой исследования послужили нормативные правовые акты и работы ученых в области информационной безопасности, разработок методов и проведения аудита информационной безопасности. Информационной базой исследования послужила информация об инфраструктуре информационных технологий администрации Октябрьского района города Барнаула. Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений. ?
Содержание

ВВЕДЕНИЕ…………………………………………………………………. 4 1 Теоретические аспекты проведения аудита информационной безопасности……………………………………………………………...… 6 1.1 Понятие аудита безопасности и цели его проведения……………….. 6 1.2 Основные виды и способы аудита информационной безопасности... 9 1.3 Основные принципы аудита информационной безопасности………. 11 1.4 Критерии аудита информационной безопасности…………………… 15 1.5 Взаимоотношение аудиторов с представителями проверяемой организации………………………………………………………………… 17 1.6 Управление программой аудита информационной безопасности….. 20 1.7 Этапы проведения аудита информационной безопасности…………. 25 1.8 Нормативно-правовая база в сфере обеспечения информационной безопасности. Правовой режим…………………………………………… 28 1.9 Ограничение доступа к информации……………………...………….. 32 1.10 Органы (подразделения), обеспечивающие информационную безопасность………………………………………………………………... 35 1.11 Модель нарушителя в автоматизированной системе администрации, обрабатывающей конфиденциальную информацию (персональные данные)………………………………………………….…. 45 2 Характеристика предприятия и его деятельности……………………... 51 2.1 Существующая организационная, программно-аппаратная и инженерно-техническая архитектура системы обеспечения информационной безопасности организации по защите конфиденциальной информации и персональных данных……………… 54 2.2 Методика проведения аудита информационной безопасности……... 58 2.3 Характеристика аудита информационной безопасности персональных данных администрации района …………………………... 60 2.4 Анализ результатов проведения методики аудита информационной. 61 3 Совершенствование методики аудита информационной безопасности 64 3.1 Цели и задачи проведения методики аудита информационной безопасности………………………………………………………………... 64 3.2 Требования к проведению аудита информационной безопасности и его методика проведения ………………………………………………..… 66 3.3 Рекомендации по совершенствованию методики аудита информационной безопасности…………………………………………… 69 ЗАКЛЮЧЕНИЕ…………………………………………………………….. 77 СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ………………………….. 78 Приложение А…………………………………………………………...…. 83 Приложение Б………………………………………………………………. 87
Список литературы

1. ISO/IEC 17799:2005 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности». 2. ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования». 3. ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Система управления рисками информационной безопасности». 4. Аверченков, В. Аудит информационной безопасности: учебное службы пособие изменения / В. Аверченков. – ЛитРес, 2015. – 18 с. ISBN: 9785457370036. 5. ГОСТ Р 50922-2006 — Защита информации. 6. ГОСТ Р 51241-98. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. 7. ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. 8. ГОСТ Р 56545-2015. «Национальный стандарт Российской Федерации. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» 9. ГОСТ Р 56938-2016. «Национальный стандарт Российской Федерации. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». 10. Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ// СПС КонсультантПлюс. 11. Закон «О коммерческой тайне» от 29.07.04. № 98// СПС КонсультантПлюс. 12. Закон «Об архивном деле в Российской Федерации» от 22.10.04. № 125// СПС КонсультантПлюс. 13. Закон «Об обязательном экземпляре документов» от 29.12.94. № 77 // СПС КонсультантПлюс. 14. Конституция Российской Федерации от 12.12.1993 // СПС КонсультантПлюс. 15. Лепехин А. Н. Расследование изменения преступлений против информационной безопасности. Теоретико-правовые положения и прикладные положения аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2. 16. Мак-Мак, В.П. Служба безопасности органов предприятия. Организационно-управленческие изменения и правовые положения аспекты деятельности органов / В.П. Мак-Мак – М.: ИД МБ, 1999. –160 с. 17. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006). 18. Новиков В. К. Организационное службы и правовое службы обеспечение изменения информационной безопасности: в 2-х ч.: Учеб. пособие. Ч. 2: Организационное службы обеспечение изменения информационной безопасности; Министерство управления образования жизни и науки человека РФ, Национальный исследовательский университет «МИЭТ».— М.: МИЭТ, 2013. 19. Октябрьский район Барнаул: Официальный сайт города – Режим доступа: http://barnaul.org/vlast/rajony/oktiabr/ 20. Основы информационной безопасности в ОВД : курс лекций / В. В. Лапин. - М. : Московский университет МВД России, 2009. - 164 с. - ISBN 978-5-9694-0267-6. 21. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность/ С.А. Петренко, С.В. Симонов – М: Академия АиТи: ДМК Пресс, 2004. – 384с. 22. Постановление администрации города Барнаула «Об утверждении Положения о комитете информатизации администрации города Барнаула» от 09.09.2014 №1944. 23. Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)»// СПС КонсультантПлюс. 24. ПРИКАЗ ФСТЭК от 21 декабря 2016 года N 195 «О внесении изменений в административные регламенты Федеральной службы по техническому и экспортному контролю по исполнению государственных функций по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации». 25. Приказ ФСТЭК России от 28.02.2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах». 26. Прохоров С.А., Федосеев А.А., Иващенко А.В. Автоматизация комплексного управления безопасностью предприятия 2011 год – 53с. 27. Рабочая лекция по дисциплине Основы информационной безопасности в органах внутренних дел по теме 2/1 «Правовое регулирование в области информационной безопасности» / Министерство внутренних дел Российской Федерации Санкт-Петербургский университет /Санкт-Петербург2013 Г. 28. Распоряжение администрации города Барнаула «Об утверждении Политики информационной безопасности администрации города» от 31.12.2010 № 392. 29. РЕШЕНИЕ от 27 марта 2009 г. № 75 «Об утверждении положений о районах в городе Барнауле и администрациях районов города Барнаула. 30. Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9. 31. Руководящий документ. Приказ председателя Гостехкомиссии России от 19.06.2002 № 187 «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». 32. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». 33. Руководящий документ. Решение председателя Гостехкомиссии России от 02.03.2001 N 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». 34. Руководящий документ. Решение председателя Гостехкомиссии России от 30.031992 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». 35. Руководящий документ. Решение председателя Гостехкомиссии России от 30.03.1992 «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 36. Руководящий документ. Решение председателя Гостехкомиссии России от 30.03.1992 «Защита от несанкционированного доступа к информации. Термины и определения». 37. Угрозы и уязвимости предприятия[Электронный ресурс]. – Режим доступа: http://kzdocs.docdat.com/docs/index-28705.html 38. Указ Президента Российской Федерации от 05.12.2016 №646 Указ Президента РФ от «Об утверждении Доктрины информационной безопасности Российской Федерации» // СПС КонсультантПлюс. 39. Указ Президента РФ от 17.03.2008 № 351 (ред. от 22.05.2015) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» // СПС КонсультантПлюс. 40. Указ Президента РФ от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации» // СПС КонсультантПлюс.
Отрывок из работы

1 Теоретические аспекты проведения аудита информационной безопасности 1.1 Понятие аудита безопасности и цели его проведения Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. [4] Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются: ? анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; ? оценка текущего уровня защищенности ИС; ? локализация узких мест в системе защиты ИС; ? оценка соответствия ИС существующим стандартам в области информационной безопасности; ? выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: ? разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации; ? постановка задач для ИТ персонала, касающихся обеспечения защиты информации; ? участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; ? участие в разборе инцидентов, связанных с нарушением информационной безопасности и другие.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg