Проектирование систем аудита соответствия требованиям информационной безопасности.
Актуальность
Цель
Задачи
Инструментальные средства разработки
Нормативная база (Стандарты)
Функциональные требования к системе
Архитектура системы аудита
Ролевая модель и интерфейс пользователя
Процесс проведения аудита (Алгоритм работы)
Оценка эффективности и ожидаемый эффект
Заключение
СПАСИБО ЗА ВНИМАНИЕ!
1.51M

PPTX for Olga Klukovkina

1. Проектирование систем аудита соответствия требованиям информационной безопасности.

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ ГОРОДА МОСКВЫ
Государственное бюджетное профессиональное образовательное учреждение города Москвы
«Колледж автоматизации и информационных технологий № 20»
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
ИНДИВИДУАЛЬНЫЙ ПРОЕКТ
НА ТЕМУ
Проектирование систем аудита
соответствия требованиям
информационной безопасности.
ВЫПОЛНИЛ СТУДЕНТ ГРУППЫ
СА152
Клюковкина Ольга Андреевна
РУКОВОДИТЕЛЬ
ВЫПУСКНОЙ
КВАЛИФИКАЦИОННОЙ
РАБОТЫ: Ш.Т.Шихрагимов
ИНДИВИДУАЛЬНОГО
ПРОЕКТА:

2. Актуальность

Динамичный рост кибератак и усложнение ИТ-инфраструктур
требуют от современного бизнеса непрерывного контроля
защищенности данных. При этом традиционный ручной аудит не
успевает за изменениями систем. Внедрение автоматизированных
систем аудита позволяет компаниям мгновенно выявлять
уязвимости, исключать человеческий фактор. Проектирование
такого решения критически важно для обеспечения непрерывной
безопасности бизнеса и его соответствия закону.

3. Цель

Спроектировать систему аудита соответствию требованиям
информационной безопасности, направленной на автоматизацию
процедур контроля, своевременное выявление отклонений от
стандартов защищенности и повышение прозрачности процессов
управления ИБ в организации.

4. Задачи

Разработать архитектуру и функциональную модель
автоматизированной системы для регулярного контроля, анализа и
оценки соответствия ИТ-инфраструктуры организации
профильным стандартам ИБ.

5. Инструментальные средства разработки

PowerShell
Python

6. Нормативная база (Стандарты)

В соответствие нормативной базе которой проектируется система,
наш инструмент должен быть гибким, чтобы проверять ITинфраструктуру как на соответствие российским законам — например,
152-му закону о персданных и приказам ФСТЭК, так и международным
стандартам вроде ISO 27001. Главная инженерная задача здесь —
превратить сложные юридические формулировки стандартов в строгие
алгоритмы и правила, которые система сможет проверять
автоматически без участия человека.

7. Функциональные требования к системе

На этапе формулирования требований мы выделили четыре ключевые
функции. Во-первых, система должна уметь собирать данные из любых
источников и приводить их к единому формату. Во-вторых, проводить умный
анализ — сравнивать то, что есть, с тем, как должно быть по инструкции. Втретьих, мгновенно реагировать на нарушения. И в-четвертых, выдавать
понятные отчеты как для технических специалистов, так и для внешних
аудиторов имеющих доступ к ним.

8. Архитектура системы аудита

Архитектура системы имеет
классическую
четырехкомпонентную
структуру. В самом низу
находятся объекты аудита. Над
ними разворачивается модуль
сбора, который забирает
конфигурации и логи. Вся
информация стекается в ядро
системы — бэкенд, где
происходят основные
вычисления и хранятся правила
ИБ. Верхний уровень — это вебинтерфейс, через который
пользователи взаимодействуют с
системой.
Схема динамических потоков данных
при аудите

9. Ролевая модель и интерфейс пользователя

Для обеспечения
безопасности самой системы
спроектирована строгая ролевая
модель доступа. Офицер
безопасности видит всю картину
и настраивает правила. Внешний
или внутренний аудитор имеет
права только на запуск проверок
и выгрузку отчетов, без
возможности менять настройки.
А системный администратор
видит только технические
рекомендации по исправлению
ошибок в своей зоне
ответственности, например, на
конкретных серверах.
Пример ролевой модели и интерфейса
пользователя

10. Процесс проведения аудита (Алгоритм работы)

Процесс начинается либо
по календарю, либо по
требованию. Система
опрашивает серверы,
скачивает текущие файлы
конфигураций, сравнивает их
с эталоном — например,
проверяет, отключены ли
неиспользуемые порты и
учетные записи. По итогам
рассчитывается общий
процент соответствия
стандарту, а все критические
находки тут же
подсвечиваются на дашборде.
Пример Алгоритма раобты аудита на
языке программирования Python

11. Оценка эффективности и ожидаемый эффект

Эффективность внедрения спроектированной системы очевидна. Вместо
долгих и дорогих ручных проверок, которые устаревают уже на следующий
день, компания получает непрерывный контроль безопасности. Риск
пропустить уязвимость сводится к минимуму благодаря автоматизации, а
затраты времени ИБ-департамента на рутину сокращаются более чем на 80
процентов. Организация всегда готова к любой проверке регуляторов.

12. Заключение

С помощью данной разработанной системы можно автоматизировать
процесс контроля соответствия требованиям ИБ, что приведет к повышению
уровня защищенности информационных активов, снижению регуляторных
рисков и уменьшению трудозатрат на проведение аудитов. Дальнейшее
развитие системы предполагает интеграцию с SIEM-решениями, внедрение
механизмов непрерывного мониторинга и использование технологий
машинного обучения для прогнозирования нарушений.

13. СПАСИБО ЗА ВНИМАНИЕ!

English     Русский Правила