ДИПЛОМНЫЙ ПРОЕКТ «Разработка методов эффективного аудита информационной безопасности информационных систем малых предприятий» Перескоков К. М., группа 4361 Руководитель Андреев Г. И., старший системный администратор ООО «ОСТ Рус» 2010 г., Санкт-Петербург

Введение. Рынок ИБ Популярность ИБ растет Растет спрос на специалистов Растет цена услуг ИБ

Введение. Проблемы малых предприятий Малые предприятия не могут позволить себе иметь в штате специалиста по ИБ Стоимость услуг компаний, предоставляющих услуги ИБ, велика Непонятно, как и когда окупятся издержки на ИБ Системный администратор не обладает необходимыми навыками

Введение. Задача Необходим простой и эффективный метод аудита ИБ Для реализации собственными силами

Введение. Решение Аудит информационной системы на соответствие стандартам информационной безопасности !

Введение. Обоснование Простота – Набор требований к ИС уже определен в стандатре, не надо ничего выдумывать Надежность – стандарт есть стандарт и его требования никто не попытается оспорить Наглядность результата – вот то, что есть, а вот то, что нужно сделать

Обзор средств Microsoft Security Assessment Tool 4 «Кондор 2006» от Digital Security

Обзор средств. Microsoft Security Assessment Tool 4

Достоинства Бесплатен Прост в использовании Процедура ввода информации занимает мало времени Содержит большое количество рекомендаций

Обзор средств. Microsoft Security Assessment Tool 4 Недостатки Отсутствует прямое соответствие конкретному стандарту Отчет основывается на сложных для быстрого восприятия и осмыслениях понятиях ПРБ и DiD

Обзор средств. «Кондор 2006» от Digital Security

Достоинства Непосредственно основан на популярном стандарте ISO 17799:2005 Прост в использовании Активно поддерживается и развивается Отчет содержит рекомендации экспертов

Обзор средств. «Кондор 2006» от Digital Security Недостатки Стоит недешево, рублей, для покупки нужно обоснованное решение

Разработка архитектуры. Требования Веб-сервис – Работа с сервисом возможна с любого компьютера, подключенного к интернету Бесплатность Непосредственная связь со стандартом – Возможность выбора стандарта Простота и удобство – удобный ввод информации аудита – понятный отчет Наличие рекомендаций – В виде советов других пользователей – В виде предложений от поставщиков услуг ИБ Социальность – Возможность обсуждения с другими пользователями требований стандарта

Диаграмма классов

Модель прецедентов. Пользователь Регистрируется в системе Выбирает стандарт (присутствует вариант по умолчанию для новичков) Вводит информацию аудита

Модель прецедентов. Пользователь Знакомится с отчетом – Просматривает рекомендации, относящиеся к выполнению требования стандарта. – Выбирает поставщика или поставщиков услуг для выполнения требований системы. – Обсуждает с другими пользователями требования стандарта. – Для каждого требования аудита при желании пользователя отображается текст стандарта, в котором данное требование сформулировано.

Модель прецедентов. Пользователь При повторном аудите при желании пользователь оставляет собственные рекомендации по выполнению определенных требований стандарта

Модель прецедентов. Поставщик услуг ИБ Регистрируется в системе Заполняет список базовых услуг- рекомендаций. Просматривает отчет, содержащий информацию о том, к каким требованиям стандартов относятся предоставляемые им услуги.

Модель прецедентов. Поставщик услуг ИБ Регистрируется в системе Заполняет список базовых услуг- рекомендаций. Просматривает отчет, содержащий информацию о том, к каким требованиям стандартов относятся предоставляемые им услуги.

Модель прецедентов. Поставщик услуг ИБ При желании добавляет уникальные услуги, привязывая их к определенным требованиям стандарта. – Ждет модерации. Производит оплату услуг – Абонемент – Количество показов

Модель прецедентов. Поставщик услуг ИБ Регулярно получает статистику просмотров рекомендаций и переходов по ссылкам. Участвует в обсуждениях требований.

Модель прецедентов. Модератор системы Производит наполнение базы данных стандартов. – Выполняет необходимую разметку. – Формулирует требования. – При необходимости разрабатывает функции обработки пользовательских данных. – Заполняет список базовых услуг, относящихся к каждому требованию.

Модель прецедентов. Модератор системы Проверяет, соответствуют ли предложения поставщиков требованиям стандартов. – Либо утверждает, либо советует отнести к другим требованиям.

Модель прецедентов. Модератор системы Участвует в обсуждении требований, отвечает на вопросы пользователей.

Структура системы. Клиентская часть Технологии: HTML, CSS, JavaScript, XML, XSL

Структура системы. Клиентская часть Интерфейс пользователя Интерфейс модератора Интерфейс поставщика Интерфейс обсуждения требований.

Структура системы. Серверная часть База данных – Технологии: MySQL, PostgreSQL

Структура системы. Серверная часть Ядро системы, обеспечивающее взаимосвязь всех компонентов. – Технологии: PHP, Python, ASP.NET, Ruby on Rails

Экономическое обоснование Себестоимость проекта – рублей за первый год Окупаемость – от 6 месяцев до 2-х лет Риски – Конкурирующая система – Отсутствие спроса

Заключение. Что сделано Проведен обзор 2-х популярных средств аудита ИС на соответствие стандартам ИБ Разработана архитектура системы аудита ИС на соответствие стандартам ИБ Придумана уникальная бизнес-модель, и проведено ее экономическое обоснование

СПАСИБО ЗА ВНИМАНИЕ Перескоков Константин, группа 4361, Дипломный проект «Разработка методов эффективного аудита информационной безопасности информационных систем малых предприятий»