Средства и методы аудита информационной безопасности предприятий в условиях цифровой экономики

Объектом выполненной работы является компания СКБ Контур.
Предметом выпускной квалификационной работы является оценка защищенности системы информационной компании СКБ Контур.
Целью данной работы является проведение аудита информационной безопасности компании СКБ Контур в условиях цифровой экономики.
Задачами выполненной работы являются:
- анализ правовых основ защиты конфиденциальной информации;
- описание методов аудита информационной безопасности;
- анализ архитектуры информационной системы объекта;
- оценка уровня защищенности информационной системы;
- обзор средств анализа защищенности;
- проведение инструментального анализа защищенности информационной системы объекта;
- формирование рекомендаций по повышению уровня защищенности.
При написании выпускной работы были использованы научная и учебно-методическая литература, стандарты в области защиты информации и информационных технологиях. Основными источниками, раскрывающими теоретические основы обеспечения комплексной защиты информации, являлись работы Астахова А. М., Баранова Е. К., Бирюкова А. А., Гришина Н.В., Денисова Ю., Лушникова Н. Д., Эпельфельда И. И. В данных источниках подробно рассмотрено понятие угроз информационной безопасности, а также информационных рисков организации.

ВВЕДЕНИЕ 4
1 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ В УСЛОВИЯХ ЦИФРОВОЙ ЭКОНОМИКИ 7
1.1 ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 7
1.2 МЕТОДЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 9
1.3 ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ ЦИФРОВОЙ ЭКОНОМИКИ 14
2 АУДИТ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ СКБ КОНТУР 17
2.1 ОПИСАТЕЛЬНАЯ МОДЕЛЬ ИС СКБ КОНТУР 17
2.2 ОБЗОР СРЕДСТВ АНАЛИЗА ЗАЩИЩЕННОСТИ ИС 28
2.3 АНАЛИЗ И ОЦЕНКА УРОВНЯ ЗАЩИЩЕННОСТИ ИС 34
2.4 ИНСТРУМЕНТАЛЬНЫЙ АНАЛИЗ ЗАЩИЩЕННОСТИ ИС 35
3 ФОРМИРОВАНИЕ РЕКОМЕНДАЦИЙ ПО ПОВЫШЕНИЮ УРОВНЯ ЗАЩИЩЕННОСТИ ИС СКБ КОНТУР 43
3.1 МОДЕРНИЗАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ 43
3.2 РАСЧЕТ СМЕТЫ ЗАТРАТ НА МОДЕРНИЗАЦИЮ 46
3.3 ЭКОНОМИЧЕСКАЯ ОЦЕНКА МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ 52
ЗАКЛЮЧЕНИЕ 55
СПИСОК ЛИТЕРАТУРЫ: 58
Приложение А 63
Приложение Б 66
Приложение В 72

В XXI в. наиболее ярко выраженной тенденцией мировой экономики является опережающее развитие информационных и телекоммуникационных технологий. Для граждан это означает новые формы коммуникации и доступа к информационным ресурсам, начиная с чтения новостей, приобретения товаров в интернет-магазинах, заканчивая онлайн-доступом к сервисам электронного правительства, дистанционным образовательным услугам, а для предприятий это экономическая деятельность, сфокусированная на цифровых и электронных технологиях.
В мае 2017 г. Указом Президента была утверждена «Стратегия развития информационного общества в Российской Федерации на 2017-2020 годы». В этом документе появилось первое официальное определение цифровой экономики: «Цифровая экономика – хозяйственная деятельность, в которой ключевым фактором производства являются данные в цифровом виде, обработка больших объемов и использование результатов анализа которых по сравнению с традиционными формами хозяйствования позволяют существенно повысить эффективность различных видов производства, технологий, оборудования, хранения, продажи, доставки товаров и услуг» [1].
Вслед за указанным документом была утверждена «Стратегия экономической безопасности Российской Федерации на период до 2030 года» [2]. Анализ содержания двух документов позволяет сделать следующие выводы: во-первых, обе стратегии направлены на решение проблем информационной безопасности цифровой экономики; во-вторых, оба документа указывают на наличие процессов конвергенции информационной и экономической безопасности. [3]
С каждым годом угрозы взлома информационных систем и компрометации данных становятся все более и более актуальными, более того вектор угроз смещается от простых методов к серьезным, продуманным и нетривиальным атакам. По итогам 2020 года экспертами Positive Technologies был отмечен рост числа целенаправленных атак по сравнению с 2019 годом на 10%. Такие атаки направлены на конкретную организацию или отрасль промышленности или бизнеса.
Все это демонстрирует особую важность решения проблем информационной безопасности в цифровой экономике. Один из способов решения этих проблем – аудит информационной безопасности. Определение аудита безопасности не уточняется, но на основе различных источников его можно описать как процесс сбора и анализа качественной или количественной оценки уровня защищенности информационной системы организации от компьютерных атак. Другими словами, это комплексное обследование, задача которого – оценить текущее состояние информационной безопасности, а в результате построить эффективную систему защиты, которая будет соответствовать текущим целям и задачам.

1. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017— 2020 годы». URL: http://consultant.ru
2. Указ Президента РФ от 13.05.2017 № 208 «О Стратегии экономической безопасности Российской Федерации на период до 2030 года». URL: http://consultant.ru
3. Программа «Цифровая экономика Российской Федерации». Утв. Распоряжением Правительства Российской Федерации от 28.07.2017 № 1632-р // Собрание законодательства Российской Федерации. М., 2017. 7 августа. № 32. Ст. 5138.
4. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 2006. N 21. Ст. 1929.
5. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
6. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 5 декабря 2016 г. № 646).
7. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008
9. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
10. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения;
11. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью;
12. ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности;
13. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2016 - 312 с.
14. Атаманов А.Н. Динамическая итеративная оценка рисков информационной безопасности в автоматизированных системах: автореферат диссертации на соискание ученой степени кандидата технических наук по специальности 05.13.19. М., 2012. 23 с.
15. Алешников С.И., Проблемы информационной безопасности организации (предприятия) и пути их решения [Электронный ресурс] – Режим доступа: https://cyberleninka.ru.
16. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
17. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Образовательные ресурсы и технологии. 2017. № 1 (9). С. 73-79
18. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2018. - 474 c.
19. Варфоломеев А.А. Основы информационной безопасности. М.: РУДН, 2018. 412 с.
20. Воронов А.А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности / А.А. Воронов, И.Я. Львович, Ю.П. Преображенский, В.А. Воронов // Информация и безопасность. 2016. – 234 с.
21. Выборнов А. Устранение уязвимостей // BIS Journal. Информационная безопасность банков. 2018. № 4.
22. Глухов, Н.И. Оценка информационных рисков предприятия: учебное пособие. – Иркутск: ИрГУПС, 2017. – 148 с
23. Гончаренко, Л.П. Управление безопасностью. М.: КноPус, 2018. 272 с
24. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.
25. Денисов Ю. Экономьте время и деньги. Часть 1. Построение локальной сети. // «Системный администратор», №7-8, 2016 г. - 74 с.
26. Емельянов Н.А. Исследование угроз и проектирование модели разграничения прав доступа для систем электронного документооборота // Молодой ученый. – 2017. № 22. – С. 126-130 [Электронный ресурс] – Режим доступа: https://moluch.ru/
27. Колмыкова Т. С., Исследование динамики развития национального банковского сектора в условиях цифровизации экономического пространства // Известия Юго-Западного государственного университета. Серия: Экономика. Социология. Менеджмент.2020. Т. 10, № 3. С. 99–110
28. Лушников, Н.Д. Современные технические средства борьбы с хакерскими атаками / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 80 с.
29. Макаренко, С.И. Информационная безопасность: учебное пособие. – Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. – 372 с
30. Мамаева Л.Н. Основные направления обеспечения информационной безопасности предприятия [Электронный ресурс] – Режим доступа: https://cyberleninka.ru/
31. Родичев, Ю.А. Информационная безопасность: нормативно – правовые аспекты: Учебное пособие. – СПб.: Питер, 2017. – 272 с.
32. Рытов М.Ю., Аудит информационной безопасности органов исполнительной власти. Москва. Флинта, 2019. 100 с.
33. Сергеев, А. А. Экономическая безопасность предприятия: учебник и практикум для вузов / А. А. Сергеев. — Москва: Издательство Юрайт, 2020. - 273 с
34. Тищенко Е.Н. Методика оценки рисков информационной безопасности экономических информационных систем электронной коммерции. Ростов-на-Дону, 2017. 42-53 с.
35. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2018. - 416 c.
36. Шелупанов, А.А., Основы защиты информации: учебное пособие. Изд. 5-е, перераб. и доп. – Томск: В – Спектр, 2018. – 244 с.
37. Черников С.Ю. Использование системного анализа при управлении организациями / С.Ю. Черников, Р.В. Корольков // Моделирование, оптимизация и информационные технологии. 2018. – 350с.
38. Эпельфельд И.И., Сухотерин А.И. Рекомендации по внедрению защищенного документооборота на предприятии // Ресурсам области - эффективное использование / Сборник материалов XV Ежегодной научной конференции студентов Финансово-технологической академии. Часть 1. - Королёв: Финансово, 2017. - С. 175-183.
39. Федеральный проект «Информационная безопасность», утвержденный заседанием Правительства Российской Федерации от 28 мая 2019. [Электронный ресурс]. – Режим доступа:-https://digital.gov.ru/ru/activity/directions/874/
40. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М: Академический Проект, Парадигма, 2017. 544 с
41. Актуальные киберугрозы: итоги 2019 года // Positive Technologies. URL: https://www. ptsecurity.com/upload/corporate/ru-ru/analytics/cybersecurity-threatscape-2019-rus.pdf
42. Глобальное исследование утечек конфиденциальной информации в первом полугодии 2019 года 130 [Электронный ресурс] – Режим доступа: https://infowatch.ru/.
43. Концепция стратегии кибербезопасности Российской Федерации. URL: http://council.gov.ru/media/files/ 41d4b3dfbdb25cea8a73.pdf
44. Краткая характеристика состояния преступности в Российской Федерации за январь–декабрь 2019 г. // Министерство внутренних дел РФ. URL: https://мвд.рф/reports/ item/19412450/
45. TAdVISER. Государство. Бизнес. ИТ. URL: https://www.tadviser.ru/index.php/.