Организация аудита информационной безопасности объектов критической информационной инфраструктуры

Диплом лета 2022 года. Оригинальность высокая.

Целью работы выпускной квалификационной работы является разработка технологий аудита для объекта КИИ – ТФОМС СО с использованием стандартов и регламентирующих документов, регулирующих сферу безопасности критической информационной инфраструктуры.

Для достижения цели работы поставлены следующие задачи:

- проанализировать нормативно правовые акты, регулирующие отношения в области обеспечения безопасности КИИ Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак;

- проанализировать общую характеристику ТФОМС свердловской области на предмет идентификации его, как субъекта КИИ;

- определить требования, предъявляемые к субъектам КИИ, в том числе к ТФОМС Свердловской области;

- разработать методику аудита объектов КИИ ТФОМС СО на базе стандартов и контролей;

- проведение процедуры категорирования и сформирования требований по информационной безопасности для ТФОМС СО.

Список сокращений 4

Введение 5

1 Теоретические аспекты информационной безопасности субъектов критической информационной инфраструктуры 7

1.1 Основные понятия критической информационной инфраструктуры 7

1.2 Типология и классификация субъектов и объектов критической информационной инфраструктуры 9

1.3 Нормативно-правовое обеспечение информационной безопасности субъекта критической информационной инфраструктуры 16

2 Методика оценки и аудита объектов критической информационной инфраструктуры 27

2.1 Анализ методик аудита обектов критической информационной инфраструктуры 27

2.2 Инструментальные средства оценки объектов критической информационной инфраструктуры 28

2.3 Алгоритм аудита и оценки критической информационной инфраструктуры 36

2.4 Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры 37

2.5 Аудит на этапе создания СОИБ ЗОКИИ 39

2.6 Инструментальный аудит с тестированием на проникновение 41

2.7 Периодический аудит 44

3 Практические аспекты разработки требований по информационной безопасности ТФОМС Свердловской области как субъекта критической информационной инфраструктуры 48

3.1 Общая характеристика ТФОМС Свердловской области как субъекта критической информационной инфраструктуры 48

3.2 Реализация методики аудита и оценки объектов критической информационной инфраструктуры ТФОМС Свердловской области 50

3.3 Результат аудита информационной безопасности критической информационной инфраструктуры ТФОМС Свердловской области 52

3.4 Последствия связнные с нарушением деятельности ТФОМС СО 58

Заключение 61

Список литературы 62

Приложение А 66

Приложение Б 67

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993).

2. Гражданский кодекс Российской Федерации.

3. Трудовой кодекс Российской Федерации.

4. Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».

5. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

6. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

7. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

8. Федеральный закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

9. Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

10. Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

11. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12. Постановление Правительства РФ от 25.07.2015 № 757 «О порядке создания, эксплуатации и совершенствования государственной информационной системы промышленности».

13. Постановление Правительства РФ от 14.02.2017 № 181 «О Единой государственной информационной системе социального обеспечения».

14. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 № 28375).

15. Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

16. Приказ ФСТЭК России №227 от 06.12.2017 «Об утверждении Порядка ведения реестра значимых объектов КИИ РФ».

17. Приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

18. Приказ ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».

19. Приказ ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

20. Постановление Правительства Российской Федерации от 08.06.2019 №743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры»

21. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2014 N 33620).

22. Безопасность объектов критической информационной инфраструктуры [Электронная книга] // URL: http://aciso.ru/ (дата обращения: 23.05.2022)

23. Гришина Н.В. Организация комплексной системы защиты информации [Электронный ресурс] // URL: http://coollib.com/b/166590/read#nav (дата обращения: 23.05.2022)

24. Громыко И.А. Общая парадигма защиты информации: проблемы защиты информации в аспектах математического моделирования: монография / И. А. Громыко. — Х.: ХНУ имени В.Н. Каразина. 2014. — 216 с.

25. Кендалл Д.И. и Роллинз С.К. Современные методы: управления портфелями проектов и офис управления проектами – М.: ПМСОФТ, 2004. – 338 с.

26. Саматов К.М. Особенности проведения аудита информационной безопасности объектов КИИ // Журнал "Information Security/ Информационная Безопасность" № 3, 2019, СТР. 8-10

27. Саматов К.М. Практические рекомендации для реализации требований 187-ФЗ // Журнал "Information Security/ Информационная Безопасность" № 2, 2020, стр. 8-10

28. Саматов К.М. Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры // Журнал "Information Security/ Информационная Безопасность" №3, 2020, стр. 6-8

29. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. – СПб.: Питер, 2008. – 320 с.: ил.

30. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Том 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. – 436 с.: ил.

31. Харрис Шон. CISSP All-in-One Exam Guide. CISSP. Руководство для подготовки к экзамену [Электронный ресурс] // Информационная безопасность: [сайт]. URL: http://dorlov.blogspot.ru/2011/05/issp-cissp-all-in-one-exam-guide.html (дата обращения: 24.05.2022)

32. Андреев П.Г. Оптимизация законодательного обеспечения служебной тайны / П.Г. Андреев // Вестник УрФО. Безопасность в информационной сфере. 2012. N 1. С. 19 - 21.

33. Астахов А. Есть решение. Как рассчитать окупаемость DLP-системы? // Директор по безопасности. Февраль 2017. С. 46 – 55.

34. Безопасность // материал из Википедии – свободной энциклопедии [сайт]. URL: http://ru.wikipedia.org/wiki/Безопасность (дата обращения: 24.05.2022)

35. Курс лекций: «Проекты в управленческой деятельности. Виды проектов». CBS.

36. Курс лекций «Финансирование проекта. Управление стоимостью и издержками». СВS.

37. Маркова Е.В. «Современные технологии в управлении проектами. Курс лекций». MBS.

38. PM Expert [Электронный ресурс] // [сайт]. URL: www.pmexpert.ru/library/material/project-templates.doc (дата обращения 25.05.2022).