Средства и методы аудита информационной безопасности предприятий в условиях цифровой экономики

Внедрение новых информационных технологий во всех сферах деятельности человека обуславливает рост значимости информационной безопасности. Нарушения, которые могут быть вызваны несвоевременным выявлением и предотвращением угроз информационной безопасности федеральных органов исполнительной власти, предоставляют угрозу национальной безопасности. Вследствие этого, сфера выявления и противодействия угроз является приоритетной. Актуальность темы исследования обусловлена отсутствием комплексного подхода к предотвращению угроз информационной безопасности федеральных органов исполнительной власти и непрерывным ростом объемов обрабатываемой информации в налоговых органах.

---

Если вас интересуют докторские диссертации , можете заказать их на Work5.

---

Кроме того, актуальность выбранной темы обусловлена Приказом Федеральной налоговой службы от 13 января 2012 г. «Об утверждении Концепции информационной безопасности Федеральной налоговой службы». Цель магистерской работы: внедрение комплексной методики аудита информационной безопасности. Для достижения поставленной были сформулированы следующие задачи: – рассмотреть основные понятия аудита информационной безопасности организации; – изучить нормативно правовое обеспечение аудита информационной безопасности организации; – провести анализ методов аудита информационной безопасности организации; – привести характеристику деятельности Государственного бюджетного учреждения Свердловской области «Оператор электронного правительства»; – описать особенности применения методов и средств аудита информационной безопасности бюджетной организации; – привести критерии выбора инструментальных средств аудита информационной безопасности бюджетной организации; – привести основные характеристики программного обеспечения Max Patrol 8; – осуществить реализацию методики аудита и обеспечения информационной безопасности в Государственном бюджетном учреждении Свердловской области «Оператор электронного правительства» с использованием Max Patrol 8 – провести анализ результатов методики аудита и обеспечения информационной безопасности в Государственном бюджетном учреждении Свердловской области «Оператор электронного правительства». Объектом данного исследования является информационная безопасность предприятия, а предметом – меры аудита информационной безопасности предприятия. Используемые методы исследования: – анализ литературы и нормативно-правовых документов по теме исследования; – сравнение; – моделирование (получение информации о предмете через созданную модель); – измерение (получение количественных данных); – изучение и обобщение сведений. Степень разработанности темы: Проблеме предотвращения угроз информационной безопасности федеральных органов исполнительной власти посвящены работы таких авторов, как Коровяковский Д.Г., Кириллова О.С., Терещенко Л.К., Тиунов О.И., Соколов Д.В., Джафарова З.К. Работы данных авторов содержат фундаментальные знания об информационной безопасности органов исполнительной власти, раскрывают основные понятия, определения, функции, рассматривают нормативно- правовую базу, которая регламентирует деятельность налоговых органов в сфере обеспечения информационной безопасности. Данные работы несут теоретических характер и не могут быть применимы для минимизации угроз информационной безопасности в процессе работы территориальных налоговых органов. В работе был проведен анализ литературы и нормативно- справочной документации, по результатам исследования были сформированы дополнительные регламенты, которые необходимы для комплексного регулирования информационной безопасности территориальных налоговых органов. Была сформирована таблица перечня угроз с наивысшим уровнем возможной реализации в процессе работы территориальных налоговых органов. В ходе работы были построены модели исследуемых бизнес-процессов и разработана новая методика выявления и предотвращения угроз информационной безопасности. Структура работы состоит из введения, трех разделов, заключения и списка использованных источников.  

В данной работе были рассмотрены базовые возможности сканера уязвимостей MaxPatrol 8. Из эксперимента видно, что, для того чтобы начать работу со сканером, не требуется проходить дополнительное обучение, и долго изучать руководства администратора. Весь интерфейс интуитивно понятен, и полностью на русском языке. Конечно, был показан простейший сценарий сканирования. И такой сценарий не требует тонкой настройки сканера. На практике же, сканер Max Patrol 8 может решать гораздо более серьёзные, и запутанные сценарии. Мало того, что использование сканера уязвимостей поможет значительно повысить защищённость инфраструктуры, он так же поможет в выполнении важных, но всеми нелюбимых задач по инвентаризации всех элементов IT инфраструктуры, включая программное обеспечение установленное на рабочие станции пользователей. После анализа и оценки безопасности компании эксперты могут предсказать вероятность возникновения угрозы и масштаб потенциального ущерба. Как правило, эксперты обращаются к следующим данным: – проведенные опросы; – результаты анализа ИБ; – данные о предыдущих атаках. Эксперты делят свою работу на два основных направления: 1. Устранение последствий успешной атаки. 2. Принятие и проработка рисков. Эксперты определяют уровень производственных затрат на проведение корректирующих мероприятий на основе статистических данных компании. Как правило, статистика собирается за несколько отчетных периодов. Статистика отражает реальные случаи нарушения конфиденциальности данных, репутационный риск и эффективность системы защиты. На основе собранной информации компания определяет действия, которые необходимо предпринять для обеспечения адекватного уровня защиты. При расчете риска эксперты также обращают внимание на стоимость устранения риска. Если стоимость снижения риска превышает ожидаемые потери, некоторые компании могут предпочесть минимизировать потенциальные потери, а не устранять риск полностью. Такой анализ позволяет компаниям правильно распределить бюджеты на защиту данных и избежать непредвиденных расходов. Обзоры и оценки безопасности могут помочь повысить осведомленность об уровне защиты в компании. Понимание и смягчение потенциальных рисков и уязвимостей позволяет повысить безопасность данных, сетей и серверов организации.  

1. «Блок-хост—сеть К». Руководство администратора безопасности. СПб., 2013. – [Электронный ресурс] – http://federalbook.ru/files/Reestr/Company/Bezopasnost/NB%201-58-1.pdf (дата обращения 21.05.2023); 2. Айдинян А.Р., Цветкова О.Л., Кикоть И.Р., Казанцев А.В., Каплун В.В. О подходе к оценке информационной безопасности предприятия // Системный анализ, управление и обработка информации: сб. тр. V Междунар.науч. семинара, п. Дивноморское, 2-6 окт. — Ростов н/Д: ДГТУ, 2014. — С. 109-111. – [Электронный ресурс] – http://www.ivdon.ru/uploads/article/pdf/IVD_51_Ajdinyan_Tsvetkova.pdf_da25c0a2 03.pdf (дата обращения 21.05.2023); 3. Аронов А.В. Налоги и налогообложение: - М.: Налоги, 2017. - 450 с. – [Электронный ресурс] – https://knigi.news/nalogooblojenie/nalogi- nalogooblojenie-uchebnoe.html (дата обращения 21.05.2023); 4. Аронов А.В., Кашин В.А. Налоговая политика и налоговое администрирование: учеб. пособие. М.: Экономист, 2006. 188 с. – [Электронный ресурс] –http://elibrary. ru/item.asp?id=19780724 (дата обращения: 21.05.2023); 5. Артемов А.В. Информационная безопасность. Курс лекций. Орел: Литагент «МАБИВ», 2014. 51 с. – [Электронный ресурс] – https://royallib.com/book/artemov_a/informatsionnaya_bezopasnost_kurs_lektsiy.ht ml (дата обращения 21.05.2023); 6. Архипов А.И. Комментарий к налоговому кодексу РФ - М.: Ланс, 2018. - 600 с. – [Электронный ресурс] – http://www.consultant.ru/document/cons_doc_LAW_19671/ (дата обращения 21.05.2023); 7. Беспалов М.В. Информационное взаимодействие в системе налоговых органов: основные задачи, проблемные точки и перспективы развития // Бухгалтер и закон. 2013. № 5. С. 13—17. – [Электронный ресурс] – http://elibrary.ru/item. asp?id=20500502 (дата обращения: 21.05.2023); 8. Вихорев С.В. Классификация угроз информационной безопасности– [Электронный ресурс]. – http://www.cnews.ru/reviews/free/security (дата обращения 21.05.2023); 9. Галатенко В.А. Основы информационной безопасности. М., 2016. 264 с. – [Электронный ресурс]. – http://en.bookfi.net/book/584428 (дата обращения 21.05.2023); 10. Гарифуллина Г.В. Внедрение АИС «Налог-3» - это реализация инновационных проектов службы / Г.В. Гарифуллина // Материалы первой научно-практической конференции: Изд-во УГАТУ, 2016. С. 72-78. – [Электронный ресурс] – https://cyberleninka.ru/article/n/avtomatizirovannaya- informatsionnaya-sistema-nalog-3-kak-edinoe-tsentralizovannoe-informatsionnoe- prostranstvo-federalnoy-nalogovoy (дата обращения 21.05.2023); 11. Гацко М. О соотношении понятий «угроза» и «опасность» – [Электронный ресурс] – http://old.nasledie.ru/oboz/N07_97/7_06.HTM (дата обращения 21.05.2023); 12. Горский И.В. Налоговая политика РФ: проблемы и совершенствование - М.: Финансы, 2016. - 350 с. – [Электронный ресурс] – https://cyberleninka.ru/article/n/aktualnye-problemy-i-puti-sovershenstvovaniya- nalogovoy-sistemy-rossiyskoy-federatsii (дата обращения 21.05.2023); 13. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» 14. Дашян М.С. Право информационных магистралей – Law of Information Highways: вопросы правового регулирования в сфере Интернет. М.: ВолтерсКлувер, 20171963 – [Электронный ресурс]. – http://www.telecomlaw.ru/monograph/Dashyan.pdf (дата обращения 21.05.2023); 15. Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ 05.12.2016 г. №646) [Электронный ресурс] // СПС «Консультант-Плюс». URL: http//www.consultant.ru/document/cons_doc_LAW_28679/ (дата обращения 21.05.2023); 16. Еременко С.П., Хитов С.Б. Оценка результативности как важнейший аспект построения системы обеспечения информационной безопасности в системе распределенных ситуационных центров МЧС России // Науч.-аналит. журн. «Вестник С.-Петерб. ун-та ГПС МЧС России». 2016. № 2. С. 84-90. – [Электронный ресурс] – https://cyberleninka.ru/article/n/zaschischennost-slozhnyh-informatsionnyh-sistem- situatsionnyh-tsentrov-mchs-rossii (дата обращения: 21.05.2023); 17. Ключевые возможности MaxPatrol 8 – [Электронный ресурс] – http://www.ptsecurity.ru/mp8/ (дата обращения: 21.05.2023); 18. Котина Г.А., Карпеева Н.М. Функции налогового администрирования в проекте модернизации ФНС России. Планы и реальность // Актуальные вопросы налогового администрирования: от теории к практике: тез. докл. науч.-практ. конф. Н. Новгород, 21 нояб. 2015 г. Н. Новгород, 2015. С. 26—29. – [Электронный ресурс] – http://elibrary.ru/item.asp?id=25705824 (дата обращения: 21.05.2023); 19. Кучеров И.И. Налоговая тайна в системе мер защиты конфиденциальной информации / Налоговое право России: учебник / отв.ред. Ю.А. Крохина. - 6-е изд., испр. - М.: Норма, 2015. С. 403 – [Электронный ресурс] – https://cyberleninka.ru/article/n/pravovoy-rezhim-zaschity-nalogovoy- informatsii-i-voprosy-ego-optimizatsii (дата обращения 21.05.2023); 20. Лапшина С. Н. Информационный менеджмент: методические указания к выполнению лабораторных работ по курсу «Методы управления проектами» – Прикладная информатика [Текст] / сост. С. Н. Лапшина, В. В. Ташлыков. Екатеринбург: УрФУ, 2011. 74 с; 21. Лиференко А.В. Модернизация автоматизированной информационной системы налогового учета в России // Актуальные проблемы авиации и космонавтики: межвузовский сборник научных трудов. 2016. №12. С. 67-69. – [Электронный ресурс] – https://elibrary.ru/item.asp?id=28146277 (дата обращения: 21.05.2023); 22. Методика определения угроз безопасности информации в информационных системах. Методический документ утвержден ФСТЭК России 2015 г. – [Электронный ресурс] – https://fstec.ru/component/attachments/download/812 (дата обращения 21.05.2023); 23. Научный интернет журнал «Мир науки». Выпуск 6 – 2016 – [Электронный ресурс]. – https://mir-nauki.com/issues.html (дата обращения 21.05.2023); 24. Новицкая Е.А., Зубарева Е.Г. Информационные технологии, их развитие в сфере налогообложения и переход налоговых органов на АИС 25. Положение о Федеральной налоговой службе от 30 сентября 2004 года, действующая редакция; 26. Селифанов В.В., Слонкина И.С., Юракова Я.В. Определение актуальных угроз безопасности информации в государственных информационных системах, используя Банк данных угроз // Наука. Технологии. Инновации: сборник научных трудов в 9 частях. -Новосибирск, 2016. - С. 69-71. – [Электронный ресурс] – https://cyberleninka.ru/article/n/metodika- avtomatizirovannogo-vyyavleniya-vzaimosvyazey-uyazvimostey-i-ugroz- bezopasnosti-informatsii-v-informatsionnyh-sistemah (дата обращения 21.05.2023); 27. Ст. 7 Закона «О персональных данных» от 27 июля 2006 года № 152 (принят 27.06.2006, действующая редакция); 28. Стрельцов А.А. Содержание понятия «обеспечения информационной безопасности» // Информационное общество №4. С.12 2015 29. Толмачев А.В., Оценка экономической эффективности IT-проектов: методические указания к выполнению ВКР [Текст] / А.В. Толмачев. Екатеринбуг: УрФу, 2020. 30. Травников Н.О. Конституционно-правовой анализ понятия «право на информацию» // Российский юридический журнал. 2014. N 4. С. 18 - 22. – [Электронный ресурс] – http://www.ruzh.org/?q=node/292 (дата обращения 21.05.2023); 31. Указ Президента РФ от 31 декабря 2015 N 683 «О стратегии национальной безопасности» (принят 27.12.2015, действующая редакция); 32. Федеральный Закон «О безопасности» от 07 декабря 2010 года №2446-1 (принят 07.12.2010, действующая редакция); 33. Федеральный Закон «О персональных данных» от 27 июля 2006 года № 152 (принят 27.06.2006, действующая редакция); 34. Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 года № 149 (принят 27.07.2006, действующая редакция); 35. Федеральный Закон от 21 июля 1993 года «О государственной тайне» №5485-1 (принят 21.07.1993, действующая редакция); 36. Цветкова О.Л., Айдинян А.Р. Интеллектуальная система оценки информационной безопасности предприятия от внутренних угроз // Вестник компьютерных и информационных технологий. — 2014. — № 8(122). — С. 48 37. Ч. 1 ст. 24 Конституции РФ от 25 декабря 1993 года, действующая редакция; 38. Шеховцева Е.В. Налоговая тайна: правовой режим охраны // Ленинградский юридический журнал. 2013. N 1. С. 38 - 42. – [Электронный ресурс] – http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=CJI&n=78577#046840 073397521276 (дата обращения 21.05.2023) 39. Шубинский М.И. Информационная безопасность для работников бюджетной сферы. Учебное пособие / НИУ ИТМО. СПб., 2012. – [Электронный ресурс] – https://books.ifmo.ru/file/pdf/934.pdf (дата обращения: 21.05.2023); 40. ERPScan Security Monitoring Suite – [Электронный ресурс] – http://dsec.ru/products/erpscan/ (дата обращения: 21.05.2023);