Аудит эффективности политики информационной безопасности в организации АО АКБ «ЦентроКредит».

Введение 6
Глава 1. Основные задачи разработки системы безопасного доступа к информационным ресурсам АО АКБ «ЦентроКредит» 8
1.1 Этапы проведения аудита 8
1.2 Описание объекта 9
1.3 Структура организации 11
1.4 Структура АО АКБ «ЦентроКредит» 14
1.5 Модель угроз и нарушителя 15
Выводы по главе 1 31
Глава 2. Теоретические основы для проведения аудита эффективности политики информационной безопасности в организации АО АКБ «ЦентроКредит» 33
2.1 Нормативно-правовые основы для проведения информационной безопасности в РФ 33
2.2 Критерии выставления оценок показателей ИБ (степень документированности, степень выполнения требования) 34
2.3 Текущий уровень ИБ 34
2.4 Расчет значений групповых показателей 37
2.5 Инструментальные средства аудита ИБ 39
Выводы по главе 2 40
Глава 3. Разработка по результатам аудита практических рекомендаций для защиты к информационным ресурсам организации 43
3.1 Средства защиты информации от НСД 43
3.2 Средства межсетевого экранирования 49
1.3. Средства обнаружения вторжений 52
3.4 Затраты на внедрение 53
Выводы по главе 3 53
Заключение 54
Список литературы 55
Приложение 1. 58

Весь текст будет доступен после покупки

Вопросы, связанные с инфо?рмационной безопасностью являются одними из основных для организации. Для ее обеспечения необходим комплекс мероприятий, кото?рый нап?равлен на обеспечение должного у?ровня целостности, дост?упности, конфиденциальности той инфо?рмации, кото?рая об?рабатывается на предприятии. Исходя из этого, под информационной безопасностью нужно понимать целый ряд п?рограммных, технических и о?рганизационных ме?р, га?рантирующих достижение целостности, дост?упности и конфиденциальности информации.
Бывают случаи пост?роения информационной системы, воп?росы безопасности которой не учитываться. Поэтом?у уровень защищенности, кото?рый обеспечивается исключительно техническими с?редствами, имеет ряд недостатков и ограничений и должен дополнятся необходимыми о?рганизационными ме?рами. Чтобы достигнуть надлежащего у?ровня ИБ т?ребуется выполнение комплекса ме?роприятий, кото?рые мог?ут быть п?редставлены ф?ункциями ПО, п?роцедурами, методами, политиками, о?рганизационными структурами.
Информация является ценным активом организации и, следовательно, должен иметь необходимый у?ровень защищенности. Целью инфо?рмационной безопасности является защита инфо?рмации от ши?рокого спект?ра уг?роз и обеспечение неп?рерывности бизнеса, минимизация уще?рба и максимизация прибыли.

Весь текст будет доступен после покупки

Глава 1. Основные задачи разработки системы безопасного доступа к информационным ресурсам АО АКБ «ЦентроКредит»
1.1 Этапы проведения аудита

При проведении аудита ИБ выполняются следующие мероприятия:
Этап 1:
• выбор объекта аудита;
• выбор методов и критериев аудита;
• выбор способов и средств аудита;
Этап 2:
• анализ состояния ИБ объекта аудита;
• сбор и проверка статистических данных и результатов инструментальных измерений уязвимостей и угроз;
• анализ состояния ИБ объекта аудита;
• оценка результатов проверки;
Этап 3:
• составление итогового отчета;
• формирование рекомендаций по комплексу мер, направленных на повышение эффективности существующей системы защиты;
• разработка плана мероприятий по устранению уязвимостей и недостатков в обеспечении ИБ.








Таблица1.1
Перечень исходных данных.
Тип информации Состав исходных данных
Организационно-распорядительная документация, связанная с ИБ политика информационной безопасности ИС;
руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
регламенты работы пользователей с информационными ресурсами ИС
Информация об аппаратном обеспечении хостов перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС;
аппаратные конфигурации серверов и рабочих станций;
сведения о периферийном оборудовании
Информация об общесистемном ПО сведения об операционной системе, установленных на рабочих станциях и серверах;
сведения о СУБД, установленных в ИС
Информация о прикладном ПО перечень прикладного ПО общего и специального назначения, установленного в ИС;
описание функциональных задач, решаемых с помощью прикладного ПО
Информация о средствах защиты, установленных в ИС производитель средства защиты;
конфигурационные настройки средства защиты;
схема установки средства защиты
Информация о топологии ИС топология локальной вычислительной сети
типы коммуникационных каналов связи, используемых в ИС;
используемые в ИС сетевые протоколы;
схема информационных потоков ИС

1.2 Описание объекта

АО АКБ "ЦентроКредит" стабильно работает на российском финансовом рынке, предоставляя клиентам полный спектр банковских и инвестиционных услуг на высоком технологическом уровне. Консервативный подход к оценке рисков, разумная финансовая политика и высокий уровень достаточности капитала позволяют банку занимать высокие позиции в рейтингах надежности российских банков. Уставной капитал составляет 900 000 000руб.
Деятельность организации связана с взаимодействием с юридическими и физическими лицами на основе контракта оказания услуг, связанных с кредитной деятельностью, в частности:
• краткосрочные кредиты при недостатке средств на расчетном (текущем) счете (овердрафт);
• кредиты на пополнение оборотных средств в форме открытых кредитных линий;
• целевые кредиты на финансирование коммерческих проектов;
• кредиты на покупку основных средств;. Клиенты организации предоставляют сведения о своих должниках, и дебиторах;
• Банковское хранение.

Весь текст будет доступен после покупки

1. Аверченков В.И., Системы защиты информации в ведущих зарубежных странах [Электронный ресурс] / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский - М. : ФЛИНТА, 2016. - 224 с. (Серия "Организация и технология защиты информации") - ISBN 978-5-9765-1274-0 - Режим доступа: http://www.studentlibrary.ru/book/ISBN9785976512740.html
2. Макаренко С.И. Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография. – СПб.: Наукоемкие технологии, 2018. – 122 с.
3. Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1-29. URL: http://sccs.intelgr.com/archive/2018-01/01 -Makarenko.pdf
4. Скрабцов Николай. Аудит безопасности информационных систем. ISBN: 978-5-4461-0662-2. Издательство: Питер. 2017г.
5. Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ;
6. N 98-ФЗ «О коммерческой тайне»;
7. ФЗ 395-1 «О банках и банковской деятельности»;
8. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 № 149-ФЗ;
9. Федеральный закон «О национальной платежной системе» от 27 июня 2011 г. № 161-ФЗ;
10. Серия стандартов ИСО 27000 «Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности»;

Весь текст будет доступен после покупки