Методика аудита информационной безопасности объектов электронной коммерции

Методика аудита информационной безопасности объектов электронной коммерции

Автор: Ерохин, Сергей Сергеевич

Год защиты: 2010

Место защиты: Томск

Количество страниц: 128 с. Прил. ( с. 1-213 )

Артикул: 4721964

Автор: Ерохин, Сергей Сергеевич

Шифр специальности: 05.13.19

Научная степень: Кандидатская

Стоимость: 250 руб.

Методика аудита информационной безопасности объектов электронной коммерции  Методика аудита информационной безопасности объектов электронной коммерции 

Введение.
1. Система защиты информации и методики оценки защищенности информационных систем.
1.1. Система защиты информации.
1.2. Оценка защищенности в соответствии с зарубежными стандартами
1.2.1. Стандарт I 0
1.2.2. Стандарт i 4 ii.
1.2.3. Стандарт I
1.3. Оценка защищенности в соответствии с российскими стандартами
1.3.1. Стандарт ГОСТ Р ИСОМЭК ТО .
1.3.2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования к защите.
1.3.3. Профили защиты.
1.4. Инструментальные средства оценки защищенности.
1.4.1. ГРИФ из состава ii i i.
1.4.2. Экспертная система АванГард
1.4.3. i .
1.4.4. Метод
1.5. Обоснование цели и задач исследования.
1.6. Основные результаты главы I.
2. Исследование безопасности информационных систем электронных коммерции.
2.1. Процессный подход при исследовании безопасности.
2.2. Модели безопасности информационных систем электронной коммерции
2.2.1. Модель Бизнес потребитель
2.2.2. Модель Бизнес бизнес.
2.2.3. Модель Бизнес государство
2.3. Математический аппарат для оценки защищенности организаций электронной коммерции
2.3.1. Марковские цепи
2.3.2. Марковский процесс.
2.4. Методы экспертного оценивания для решения вспомогательных задач оценки защищенности
2.4.1. Постановка задач экспертного оценивания
2.4.2. Основы методов экспертного оценивания
2.4.3. Метод лингвистических термов.
2.4.4. Метод формирования множества элементов оценивания
2.4.5. Метод парных сравнений.
2.4.6. Метод количественной оценки на непрерывной шкале.
2.5. Основные результаты главы 2.
3. Оценка защищенности с использованием Марковских процессов.
3.1. Описание объекта исследования.
3.2. Идентификация угроз информационной безопасности.
3.2.1. Методика идентификации уроз информационной безопасности
3.2.2. Прогнозирование и оценка инцидентов по субъективным и объективным дестабилизирующим факторам.
3.3. Основные результаты главы 3.
4. Исследование методики аудита информационной безопасности в автоматизированной информационной системе Электронные торговые площадки
4.1. Описание автоматизированной информационной системы Электронные торговые площадки.
4.1.1. Функциональные требования
4.1.2. Цель и задачи.
4.1.3. Архитектура подсистемы информационной безопасности
4.1.4. Объекты автоматизированной информационной системы.
4.1.5. Технические характеристики объектов.
4.1.6. Перечень конфиденциальной информации
4.2. Идентификация угроз информационной безопасности
4.2.1. Оценка количества инцидентов информационной безопасности
4.2.2. Оценка степени влияния угроз
4.2.3. Оценка вероятности восстановления автоматизированной информационной системы после реализации угроз.
4.2.4. Оценка степени значимости угроз.
4.3. Исследование методики аудита информационной безопасности в
автоматизированной информационной системе Электронные торговые площадки по одной базовой угрозе информационной безопасности.
4.3.1. Графа автоматизированной информационной системы.
4.3.2. Формальное описание состояний графа.
4.3.3. Матрица переходных вероятностей.
4.3.4. Планирование эксперимента.
4.3.5. Исходные данные для моделирования.
4.4. Исследование методики аудита информационной безопасности в
информационной системе по трем базовым угрозам конфиденциальность, целостность, доступность.
4.4.1. Графа автоматизированной информационной системы.
4.4.2. Формальное описание состояний графа.
4.4.3. Матрица переходных вероятностей.
4.4.4. Исходные данные для моделирования.
4.5. Исследование методики аудита информационной безопасности в
информационной системе по всем угрозам
4.5.1. Граф автоматизированной информационной системы
4.5.2. Формальное описание состояний графа.
4.5.3. Матрица переходных вероятностей.
4.5.4. Исходные данные для моделирования.
4.6. Исследование методики аудита информационной безопасности в информационной системе по всем угрозам информационной безопасности для классов нарушителей.
4.6.1. Исследование по экспертным оценкам нарушитель В
4.6.2. Исследование по экспертным оценкам нарушитель В
4.6.3. Исследование по экспертным оценкам нарушитель ВЗ.
4.6.4. Исследование по экспертным оценкам нарушитель 1.
4.6.5. Исследование по экспертным оценкам нарушитель 2.
4.6.6. Исследование по экспертным оценкам нарушитель 3.
4.6.7. Исследование по статистическим данным нарушитель В
4.6.8. Исследование но статистическим данным ВЗ.
4.6.9. Исследование по статистическим данным 1.
4.6 Исследование по статистическим данным
4.6 Исследование по статистическим данным
4.7. Оценка инцидентов информационной безопасности по объективным факторам, воздействующим на информацию.
4.8. Рекомендации по увеличению уровня защищенности.
4.8.1. Рекомендации по увеличению уровня защищенности для нарушителя В1
4.8.2. Рекомендации но увеличению уровня защищенности для нарушителя В2.
4.8.3. Рекомендации по увеличению уровня защищенности для нарушителя
4.8.4. Рекомендации но увеличению уровня защищенности для нарушителя 1.
4.8.5. Рекомендации по увеличению уровня защищенности для нарушителя
4.8.6. Рекомендации по увеличению уровня защищенности для нарушителя .
4.9. Оценка эффекта работы методики
4 Основные результаты главы 4.
Заключение
Список использованных источников


Таким образом, к основному достоинству стандарта i 4 ii можно отнести его достаточность, сравнительно не сложную адаптацию к специфике решаемой задачи, допустимость масштабирования и наращивания возможностей исследуемых информационных систем. Стандарт характеризуется большим диапазоном решаемых задач от стратегического планирования до работы отдельных элементов информационной системы. В большей степени i 4 направлен на систему управления и оценки качества информационной системы. К основному недостатку стандарта i 4 ii относится отсутствие требований безопасности и количественной меры оценки защищенности информационных систем, что зазрудняет процесс оценки защищенности на соответствие требований данного стандарта. Этот недостаток закрывает британский стандарт I 2, в котором приведены требования к базовому уровню обеспечения безопасности. Стандарт I 2 является практическим руководством по обеспечению безопасности информационных систем, поэтому его применяют большинство аудиторов при оценке защищенности информационных систем. Оценка уровня защищенности ИС заключается в оценке степени не выполнения гребований обеспечения безопасности стандарта I 2. Политика обеспечения информационной безопасности. Управление ресурсами. Управление ресурсами в соответствии со стандартом 1БО 2 разделяется на инвентаризацию, владение и классификацию ресурсов. При инвентаризации ресурсов организация должна идентифицировать все ресурсы и документирован ценность этих ресурсов. Реестр ресурсов должен включать в себя информацию, необходимую для восстановления после катастрофы, включая тип ресурса, его формат, размещение, информацию о резервных копиях, информацию о лицензиях, а так же ценность для бизнеса. Безопасность кадровых ресурсов. Безопасность кадровых ресурсов разделяется тремя областями перед наймом, во время найма, увольнение или смена работы. Физическая безопасность и безопасность окружающей среды. Контроль доступа. Управление инцидентами информационной безопасности. Анализ стандарта 0 2 Практические правила управления безопасностью показывает, что применение данного стандарта возможно при оценке защищенности информационной системы в терминах не выполнения требований информационной безопасности. В стандарте приведены требования к различным подсистемам обеспечения информационной безопасности, но не приведен алгоритм или методика оценки защищенности информационной системы, что не представляет возможным получить количественные оценки уровня защищенности информационной системы, а так же затрудняет процесс оценки степени не выполнения требований ИБ. Наряду с международными стандартами по оценки защищенности существует российская нормативно правовая база по оценки защищенности. К такой нормативнометодической базе относятся руководящие документы Гостехкомиссии ФСТЭК России и профили защиты. Российская нормативнометодическая база по обеспечению безопасности информационных систем, значительно уже и имеет основную направленность на сертификацию и аттестацию автоматизированных систем 2,,,,,, так же существуют руководящие документы по защите информационных систем от несанкционированного доступа. В последние годы российская нормативнометодическая база стала существенно расширяться, за счет принятия новых ГОСТов ,, что позволяет расширить и область применения стандартов по информационной безопасности. В данном разделе будут рассмотрены стандарты и руководящие документы, которые можно адаптировать для оценки защищенности информационных систем. Стандарт ГОСТ Р ИСОУМЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий относится к серии стандартов регламентирующих деятельность по оценке защищенности информационных систем в РФ. Методика оценки защищенности приведена на рисунке 1. ПРИЛОЖЕРШЕ 1. Установление границ рассмотрения должно четко определить, какие из ресурсов должны быть учтены при рассмотрении оценки защищенности. Актив информационной системы является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, соответственно, требует защиты со стороны организации.

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.176, запросов: 244