Порядок проведения аттестационных испытаний по требованиям безопасности информации на примере объекта информатизации

Введение 3 1. Теоретические основы аттестации объектов защиты информации 5 1.1 Активный аудит информационной безопасности 5 1.2. Уязвимости информационной безопасности 9 1.3. Сканеры уязвимостей 11 1.4. Выводы по первой главе 14 2. Аттестация объектов защиты информации ООО «Вектор» 16 2.1 Общая характеристика ООО «Вектор» 16 2.2. Описание объектов защиты 17 2.3 Программная компонента обеспечения защиты информации 22 2.4. Использование сканера безопасности ПО Nessus 25 2.5. Выводы по второй главе 30 Заключение 32 Список использованных источников 33 ?

1. Организация системы аудита информационной безопасности. [Электронный ресурс]. Режим доступа: http://mirznanii.com/a/19714/organizatsiya-audita-informatsionnoy-bezopasnosti-informatsionnoy-sistemy 2. Сканер уязвимостей Nessus. Описание. [Электронный ресурс]. Режим доступа: https://networkguru.ru/tenable-nessus-vulnerability-scanner/ 3. Сканирование уязвимостей в ИТ-инфраструктуре. Обзор программных продуктов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/reviews/tenable-analysis-security-corporate-infrastructure. 4. Сравнение программных продуктов – сканеров уязвимостей. [Электронный ресурс]. Режим доступа: https://www.tiger-optics.ru/resources/tenable-sc-maxpatrol/?yclid=1913900678926858974 5. Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с. 6. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. 7. Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2015. – 314 с. 8. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с. 9. Шалак М. Е. Архивное дело и делопроизводство: учебное пособие / М. Е. Шалак; РОСЖЕЛДОР. - Ростов-на-Дону : ФГБОУ ВО РГУПС, 2017. - 78 с. 10. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с. 11. Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с. 12. Лопатин Д. В. Программно-аппаратная защита информации: учебное пособие / Лопатин Д. В. - Тамбов: ТГУ, 2014. – 254с. 13. Никифоров С. Н. Защита информации : учебное пособие / С.Н. Никифоров. - Санкт-Петербург : СПбГАСУ, 2017. – 76с. 14. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с. 15. Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 c 16. Никифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 129 17. Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014. 18. Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с. 19. Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 c. 20. Российские системы мониторинга ИТ-безопасности. [Электронный ресурс]. Режим доступа: http://samag.ru/archive/article/3753. 21. Nessus [Электронный ресурс]. Режим доступа: https://www.tenable.com/downloads/nessus?loginAttempted=true.

1. Теоретические основы аттестации объектов защиты информации 1.1 Активный аудит информационной безопасности Активный аудит информационной безопасности (ИБ) представляет собой периодическую проверку защиты информационной системы компании с использованием различного инструментального обеспечения и методик. Целью аудита является выявление уязвимостей, связанных с функционированием системы защиты информации. Периодическое проведение активного аудита системы информационной безопасности (ИБ) – это одно из обязательных условий при эксплуатации ИТ-инфраструктуры компании, в рамках стандартов жизненного цикла ISO/IEC 27001:2005 [3]. Активный аудит также называется практическим или инструментальным. Проведение аудита связано с проведением экспертами тестовых атак на ИТ-ресурсы компании-заказчика. Далее проводится тестирование успешности отражения атак, оценивается степень надежности системы защиты информации в реальных условиях. При успешной компрометации информационной системы деструктивные действия не производятся, проводится фиксация факта компрометации и наличия уязвимостей, позволивших реализовать атаку [13].