Аудит систем защиты информации - Бухгалтерский учет и аудит лабораторная работа

Главная

Бухгалтерский учет и аудит
Аудит систем защиты информации

Особенности применения программно-технических средств контроля выполнения требований политики безопасности организации. Разработка перечня аппаратуры, необходимой для проведения проверки объектов. Создание итоговой документации по результатам аудита.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Министерство образования и науки Республики Казахстан
Карагандинский Государственный Технический Университет
Цели выполнения лабораторной работы
1. Изучить и получить навык применения программно-технических средств контроля выполнения требований политики безопасности организации.
2. Используя полученные знания, спланировать и описать области проверки в рамках аудита информационной безопасности вымышленной компании.
3. Получения навыков в создании итоговой документации по результатам проведенного аудита.
1. Ознакомление с представленными средства инструментального контроля
а) Изучение возможностей представленных средств контроля.
б) Проведение пробных проверок систем/компьютеров установленных в учебном классе.
в) Получение одного либо нескольких отчётов и подготовка предложений по устранению выявленных несоответствий.
2. Подготовка плана мероприятий по аудиту информационной безопасности
а) Выбор одной из представленных компаний.
б) Формулирование требований аудита на основании одного из стандартов информационной безопасности.
в) Разработка плана мероприятий с указанием сроков, подразделений и видов проверок для выбранной компании.
3. Разработка итогового отчёта по результатам аудита
а) Подготовка простейшей методики анализа результатов аудита.
б) Подготовка формы аудиторского отчёта с указанием персонала, его заполняющего, и плана проведения повторных проверок.
5. Компания состоит из 3-х филиалов на территории РФ. ЦО в Москве. Численность ЦО 100 чел., в филиалах 20 чел. Занимается производством и разработкой средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.
Центральный офис компании «DLoyd Group» находится в городе Москва, Российская Федерация, который непосредственно руководит работой трех филиалов компании, которые в свою очередь находятся также на территории РФ, в таких городах как Санкт-Петербург, Владивосток и Екатеринбург.
По численности сотрудников преобладает компания «Dloyd Group» (100 чел.), так как он является центральным офисом и осуществляет главную документационную и представительскую деятельность. А непосредственно производством и разработкой средств аутентификации занимаются филиалы «IT Entertainment», «Transcend Group», «IT ID», численностью по 20 сотрудников в каждом городе.
Ниже представлена вышеуказанная информация в виде таблицы:
Направление деятельности компании - производство и разработка средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.
Разработка перечня аппаратуры, необходимой для проведения проверки помещени й и объектов
1) Комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения - выявление информативных побочных электромагнитных излучений. Дабы избежать утечки информации нужно использовать комплекс средств устранение и мониторинг помещения, проверка помещения на жучки, микрофоны, камеры и т.д.
2) Комплекс по проверке активного аудита. Был выявлен неограниченный доступ к USB и DVD приводом в трех компаниях, который имеет каждый и может унести информации, нужно провести ограничение доступа к портам и учетным данным с ввода пароля администратора.
3) Комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации. Такие аппаратно технические устройства, как личные мобильные телефоны сотрудников и клиентов. Из этого следует, разграничить возможность использования данного устройства в определенной территории.
4) Комплекс по проверке биометрических систем аутентификации показал хорошее оснащение по данной системе. Во-первых, была проанализирована работа и надежность электронных подписей, доступных ограниченному количеству сотрудников. Во-вторых, особо важные объекты были доступны лишь по средству определения личности с помощью личных биометрических данных, таких как отпечаток пальца, сканирование сетчатки глаза и воспроизведение аудио ключа определенным лицом, то есть аудио сканирование голоса.
Ниже приведены данные проверки выше указанных комплексов в виде сравнительной таблицы:
Сверхнормативные побочные электромагнитные излучения
Наличие комплекса средств для устранения утечки информации
По проведенному комплексу была проведена оценка безопасности информации в помещениях каждой компании. Сверхнормативные побочные электромагнитные излучения были лишь частично выявлены в двух компаниях - «IT Entertainment» и «IT ID», тогда как в центральном офисе «Dloyd Group» и в компании «Transcend Group» они не были обнаружены. То есть в «IT Entertainment» и «IT ID» возможность утечки выше чем в «Dloyd Group» и «Transcend Group». В ходе проверки была оценен комплекс средств для устранения утечки информации в «Dloyd Group» и «Transcend, который показал хорошую оснащенность и работу по устранению утечки информации, в то время как в «IT Entertainment» и «IT ID» данный комплекс средств для устранения утечки информации отсутствует, что непосредственно повышает риск не только утечки информации, но и потери и важной информации и разглашения секретных алгоритмов продуктов программ. Крайне строго рекомендуется внесения поправок по безопасности информации и введения комплекса средств для устранения утечки информации в «IT Entertainment» и «IT ID» в самое ближайшее время, так как по ранним отчетам сотрудников были выявлены нарушения по хранению информации, который привел к утечки информации. Так же вопрос по мониторингу помещений, компаниям «IT Entertainment» и «IT ID» необходимо увеличить периодичность проверок и мониторинга в соответствии компании «Dloyd Group» и «Transcend Group», так как мониторинг помещений в этих компаниях проводится еженедельно, и это значительно уменьшает угрозы со стороны утечки информации.
Доступ к USB и DVD приводом в помещениях
Парольная идентификация каждого сотрудника
Отсутствие парольной идентификации (Общий доступ)
Отсутствие парольной идентификации (Общий доступ)
Отсутствие парольной идентификации (Общий доступ)
Комплекс по проверке активного аудита выявил неограниченный доступ к USB и DVD приводом в трех компаниях, который имеет каждый и может унести информации вне зависимости от занимаемой должности. Лишь ЦО, выполняющий административные действия имеет разграниченный доступ к системе, который затрудняет использование USB и DVD приводов в помещениях, соответственно снижая риск утечки информации. В ЦО каждый сотрудник имеет определенные права доступа, для некоторых сотрудников доступ ограничен полностью, не говоря уже о посторонних лицах, присутствие которых в указанных помещениях более чем возможно. Так как парольная идентификация отсутствует во всех трех филиалах компаний, то есть действует общий доступ, который может привести к утечки информации не только среди сотрудников, но и может быть получен посторонними лицами в подходяще подобранное время. В связи с этим строго рекомендуется провести ограничение доступа к портам и учетным данным с ввода пароля администратора, или же ввести парольную идентификация для каждого пользователя с разной степенью ограничения в зависимости от рода деятельности сотрудника и его полномочий, что существенно снизит риск потери и кражи информации, или расстройства всей сети и потери важных данных с помощью вирусов, используя USB и DVD приводов.
Использование личных аппаратно технических устройств
Виды разрешенных аппаратно технических устройств
Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.
Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.
Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.
Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.
Комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации выявил следующее: использование личных аппаратно технических устройств ограничено в «Dloyd Group» и «IT ID» лишь частично, использование выше указанных средств разрешено только для сотрудникам, при этом ограничивая клиентов и др. посетителей компании в использовании личных аппаратно технических устройств для уменьшения риска кражи информации. В компаниях «IT Entertainment» и «Transcend Group» ограничений нет, сотрудники и клиенты обоих компаний имеют право использовать любые личные аппаратно технические устройства. Такие аппаратно технические устройства, как личные мобильные телефоны сотрудников и клиентов, их личные планшеты и мп3 плееры, и т.д. Из этого следует, что необходимо разграничить возможность использования данного устройства в определенной территории. Данное территориальное разграничение присутствует в двух компаниях, при этом не имеющих ограничений в использовании личных аппаратно технических устройств, таких как «IT Entertainment» и «Transcend Group». Данные компании имеют специальные помещения, где работа выше перечисленных личных устройств прекращает свое действие. В связи с этим центральному офису «Dloyd Group» и филиалу компании «IT ID» рекомендуется введение территориального разграничение, так как данные метод является одним из наиболее продуктивных.
Наличие биометрических систем аутентификации
Аутентификация по отпечатку пальцев
Аутентификация по радужной оболочке глаза
Аутентификация по геометрии лица/рук
Комплекс по проверке биометрических систем аутентификации показал хорошее оснащение по данной системе всех компании включая центральный офис. Во-первых, была проанализирована работа и надежность электронных подписей, доступных ограниченному количеству сотрудников. Так как данная системы аутентификации присутствует в ЦО и во всех филиалах компаний. Во-вторых, особо важные объекты были доступны лишь по средству определения личности с помощью личных биометрических данных, таких как отпечаток пальца, сканирование сетчатки глаза и воспроизведение аудио ключа определенным лицом, то есть аудио сканирование голоса. В выше приведенной таблице был проведен расчет по наличию тех или иных биометрических систем аутентификации. Как видно в таблице, АО всех учреждениях используются электронная подпись и аутентификация по голосу. Эти методы очень надежны, так как трудна для подделки, так как при аутентификация по голосу всегда сопровождается видео наблюдением в режиме реального времени. Так же широко используется аутентификация по отпечатку пальцев, по радужной оболочке глаза, по сетчатке глаза, по геометрии лица/рук и по термограмме лица. Данная система защиты информации, являясь достаточно надежной, имеет определенный недостаток. Это непосредственное влияние на данных сотрудников, которые имеют доступ к ограниченным объектом. То есть данные операции должны сопровождаться охраной, для обеспечения безопасности данным лицам, либо камерами видеонаблюдения в режиме реального времени.
программный безопасность аудит документация
В ходе аппаратно-технической проверки ЦО офиса компании «Dloyd Group» и филиалов компании, таких как «IT Entertainment», «Transcend Group» и «IT ID» были всесторонне изучены навыки применения программно-технических средств контроля, который выполняет требования политики безопасности вышеперечисленных организации. Далее были спланированы и описаны области проверки в рамках аудита информационной безопасности вымышленных компании. В течении работы были получены такие навыки как создание итоговой документации по результатам проведенного аудита, включающий все исходные данные организации и проверок. В процессе аудита систем защиты информации мною были использованы следующие комплексы: комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения - выявление информативных побочных электромагнитных излучений; комплекс по проверке активного аудита; комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации.
Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений. лекция [803,6 K], добавлен 08.10.2013
Теоретические основы организации аудита денежных средств предприятия, методика его проведения, цели и задачи. Основные источники информации аудита кассовых операций. Оценка внутрихозяйственного контроля и соблюдения учетной политики на предприятии. курсовая работа [96,4 K], добавлен 15.04.2014
Особенности организации синтетического и аналитического учета основных средств в ЗАО "Факел". Оценка системы внутреннего контроля. Разработка плана и программы аудита основных средств. Подготовка аудиторского заключения и выводы по результатам проверки. дипломная работа [169,4 K], добавлен 07.10.2016
Аудит учетной политики и учредительных документов. Оценка состояния внутреннего контроля ЗАО "ПГС". Программа аудита основных средств: наличие и сохранность, поступление и выбытие, начисление износа. Аудиторское заключение по результатам аудита. курсовая работа [73,2 K], добавлен 02.02.2011
Задачи аудита сохранности, учета и использования основных средств, виды аудита. Нормативное регулирование аудита. Аудиторская программа проверки основных средств и соответствие счетов. Совершенствование организации внутреннего контроля в ООО "Успех". курсовая работа [61,2 K], добавлен 13.02.2014
Аудит как форма контроля, его особенности и методы. Методические приемы проведения аудиторской проверки. Методические приемы организации аудиторской проверки. Становление аудита в Украине и странах СНГ. Международные стандарты и национальные нормативы. реферат [33,6 K], добавлен 26.10.2008
Методы эффективного общения при проведении аудита: барьеры, возникающие в процессе, создание благоприятной атмосферы. Содержание и границы аудита. Выбор руководителя и членов аудиторской группы. Разработка внутреннего плана и необходимой документации. курсовая работа [38,0 K], добавлен 30.11.2013
Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д. PPT, PPTX и PDF-файлы представлены только в архивах. Рекомендуем скачать работу .

© 2000 — 2021



Аудит систем защиты информации лабораторная работа. Бухгалтерский учет и аудит.
Доклад: Формирование здоровья детей
Курсовая Проектная Деятельность Учащихся
Сочинение По Литературе Станционный Смотритель Краткое
Курсовая работа: Общая характеристика эмоциональных процессов
Качество Населения Реферат
Реферат: Эпоха "Дворцовых переворотов"
Доклад: Художественное своеобразие "Путешествия из Петербурга в Москву" Радищева и его влияние на передовую мысль эпохи
Реферат Массаж При Травмах Позвоночника
Доклад по теме Герберт Спенсер
Дипломная работа по теме Планирование приоритетных направлений развития некоммерческого образовательного учреждения на основе анализа финансовых результатов его деятельности
Полугодовая Контрольная Работа По Английскому Языку
Курсовая работа по теме Структурные автоматы
Дипломная работа по теме Алгебраические системы замыканий
Реферат: Истории - исторический ландшафт. Скачать бесплатно и без регистрации
Контрольная Работа По Теме Водоросли 7 Класс
Реферат: Наркотики и жизнь
Восстановление храма Христа Спасителя в Москве
Контрольная работа: Сохранение права на жилую площадь за временно отсутствующими гражданами
Основные наружные технические средства охраны безопасности образовательных учреждений
Реферат По Наркологии На Заказ
Кальций как регулятор жизни организма - Биология и естествознание реферат
Анализ качества продукции - Бухгалтерский учет и аудит курсовая работа
Проблема единства человека и Вселенной - Биология и естествознание реферат