МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Инс титут комплекс ной безопаснос ти и специального приборос трое ния
Кафедра КБ-1 «Защита информации»
КУРСОВАЯ РАБОТА
по дис циплине Основы управления информационной безопаснос тью
(наименование д исц ипл ины)
Тема курсовой работы
«Разработка системы аудита состояния информационной безопасности на
предприятии»
Студент группы БББО-01-21 Мысливец Л.В.
(учебная группа, фамилия, имя , отчество студента)(подпись студента)
Руководитель курсовой работы Васильев Н.П.
_____________
(должность, звание, ученая степень)
(подпись руководителя)
Рецензент (приналичии)
(должность, звание, ученая степень)
(подпись рецензента)
Работа представлена к защите « »
2024г.
(подпись студента)
«Допущен к защите» « »
2024г.
_______________
(подпись руководителя)
Москва 2024

МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего
образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Утверждаю
Заведующий кафедрой КБ-1
Артемова С.В.
ФИО
подпись
ЗАДАНИЕ
на выполнение курсовой работы по дисциплине
«Управление информационной безопасностью»
(наименование дисциплины)
Студент Мысливец Л.В .
Группа БББО-01-21
Тема Разработка системы аудита состояния информационной безопасности на предприятии
Исходные данные: вариант No 19
Перечень вопросов, подлежащих разработке, и обязательного графического материала: оценка
защищённости объектов ИС, оценка защищённости процессов и программ ИС, оценка
защищённости каналов связи ИС, оценка защищённости от утечки по техническим каналам, оценка
защищённости элементов системы защиты, достигнутый профиль безопасности, количественные
показатели степени выполнения требований по защите информации, обобщенные показатели
уровня защищенности ИС, матрица количественных оценок, матрица качественных оценок
Перечень предоставляемых для защиты курсового проекта материалов:
1. Пояснительная записка.
2. Доклад по теме проекта.
3. Презентация по теме проекта.
Срок представления к защите курсовой работы
до «__»
________
2024 г.
Задание по курсовой работе выдал
______________________
(Васильев Н.П ..)
_
(подпись руководителя)
(ФИО
руководителя)
Задание по курсовой работе получил _____________________ (Мысливец Л.В.)_
(подпись обучающегося)
(ФИО
исполнителя)
«» 2024 г.

Содержание
Список сокращений и обозначений ............................................................. 4
Введение и задание на курсовую работу..................................................... 5
1 Модел ь комплексной оценки СЗИ ......................................................... 7
1.1 Блок «Основы» .................................................................................. 8
1.2 Блок «Направления» ......................................................................... 8
1.3 Блок «Этапы» ..................................................................................... 8
2 Оценка качества СЗИ на основе матрицы знаний ............................... 11
Выводы ........................................................................................................ 31
Заключение.................................................................................................. 32
Список использованных источников .......................................................... 33

Спис ок с окращений и обозначе ний
СЗИ – система защиты информации
ИС – информационная система
ПЭМИН – побочные электромагнитные излучения и наводки
ИБ – информационная безопасности
ФЗ – федеральный закон
ИТ – информационные технологии
ФСТЭК – федеральная служба по техническому и экспортному
контролю
ФСБ – федеральная служба безопасности
aj – коэффициент важности
Qтр – профиль безопасности требуемый
Qд – профиль безопасности достигнуты
Qdaj – показатель Qd x aj
Sпр – параметр сравнения профилей
Qгруп – степень выполнения требований
Q – качественная оценка
S – количественная оценка
Qсзи – достигнутый суммарный профиль безопасности

Введение и задание на курсовую работу
В настоящее время очень важным является вопрос защиты
информации. Переход в XXI век – век информационных технологий
ознаменовался появлением огромного количества угроз информационной
безопасности, поэтому защита информации является одним из
основополагающих векторов обеспечения безопасности на предприятии.
Государство понимает всю важность обеспечения информационной
безопасности, поэтому предусмотрело целый ряд статей, нормативных
актов и федеральных законов, в соответствии с которыми необходимо
обеспечивать информационную безопасность на предприятии. Основными
документами, регулирующими обеспечении информационной безопасности
на предприятии, являются: федеральные законы ФЗ-149 "Об информации,
информационных технологиях и о защите информации", ФЗ-152 "О
персональных данных",
ФЗ-187 "О безопасности
критической
информационной инфраструктуры Российской Федерации"; приказы
ФСТЭК No 17 «Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в государственных
информационных системах», No 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных», No 31 «Об утверждении Требований к обеспечению
защиты информации в автоматизированных системах управления
производственными и технологическими процессами».
Таким образом, предприятие обязано обеспечивать полноценную
защиту информации, что невозможно без хорошей системы аудита
состояния информационной безопасности на предприятии.
Целью данной курсовой работы является ознакомление с одной из
методик комплексной оценки состояния ИБ на предприятии – методикой
Домарёва В.В., а также получение навыков по разработке системы аудита
состояния информационной безопасности на предприятии.

Для достижения поставленной цели, в ходе выполнения курсовой
работы необходимо выполнить следующие основные задачи:
1) ознакомиться с моделью комплексной оценки СЗИ;
2) оценить защищенность объектов ИС организации;
3) оценить защищенность процессов и программ ИС организации;
4) оценить защищенность каналов связи ИС организации;
5) оценить защищенность информации от ПЭМИН;
6) оценить
защищенность
элементов
системы
защиты
информации;
7) оценить достигнутый суммарный профиль безопасности;
8) свести в одну таблицу обобщённые показатели уровня
защищённости ИС;
9) построить матрицу количественных оценок;
10) построить матрицу качественных оценок;
11) сделать выводы о состоянии защищённости ИС в организации.

1 Модель комплекс ной оценки СЗИ
Методика Домарёва В.В. основывается на оценочной матрице модели
комплексной оценки применения средств защиты информации на
предприятии. Произведём описание данной матрицы.
Модель комплексной оценки СЗИ представляет собой систему,
описывающую субъекты защиты информации по всем возможным
элементам (сторонам) защиты информации на предприятии. Это
достигается за счёт декомпозиции средств защиты информации на блоки:
основы, направления и этапы.
Взаимосвязь блоков модели комплексной оценки СЗИ отражена на
рисунке 1.
Рисунок 1 – Взаимосвязь блоков модели
Проведём исследование информационной системы предприятия и
опишем каждый из блоков модели.

1.1 Блок «Основы»
Проведём анализ подходов и концепций анализа СЗИ предприятия.
Основами или составными частями практически любой сложной системы,
как и в нашем случае, являются:
1) законодательная, нормативно-правовая и научная база;
2) структура и задачи органов (подразделений), обеспечивающих
безопасность ИТ;
3) организационно-технические и режимные меры и методы
(политика информационной безопасности);
4) программно-технические способы и средства.
1.2 Блок «Направления»
Проведём анализ структуры ИС как объекта защиты.
В нашем случае, учитывая структуру информационной системы и
виды работ по защите информации, рассмотрим следующие направления:
1) защита объектов информационных систем;
2) защита процессов, процедур и программ обработки
информации;
3) защита каналов связи;
4) подавление побочных электромагнитных излучений.
5) управление системой защиты.
1.3 Блок «Этапы»
В результате анализа методик создания средств защиты информации
были получены следующие этапы создания:
1) определение информационных и технических ресурсов, а также
объектов ИС подлежащих защите;
2) выявление полного множества потенциа льно возможных угроз
и каналов утечки информации;
3) проведение оценки уязвимости и рисков информации (ресурсов
ИС) при имеющемся множестве угроз и каналов утечки;

4) определение требований к системе защиты информации;
5) осуществление выбора средств защиты информации и их
характеристик;
6) внедрение и организация использования выбранных мер,
способов и средств защиты.
7) осуществление контроля целостности и управление системой
защиты.
Блоки «Основы», «Направления» и «Этапы» неразрывно связаны друг
с другом. Каждое из 5-ти направлений разбивается на 7 этапов, каждый из
этапов разбивается на 4 основы, в результате чего составляется матрица
модели оценки СЗИ предприятия, которая показана на рисунке 2.
Рисунок 2 – Матрица модели оценки СЗИ

Как отмечено на рисунке 2, количество элементов матрицы
определяется выражением К=О*Н*М , в нашем случае количество
элементов матрицы К=4*5*7=140.
Элементы матрицы имеют следующую нумерацию:
o
*00 – этапы;
o
0*0 – направления;
o
00* – основы, где * - соответствующая цифра блоков О (Основы,
изменяется от 1 до 4), Н (Направления, изменяется от 1 до 5), М (Этапы,
изменяется от 1 до 7).
Наименования всех элементов матрицы, полученные при
исследовании информационной системы предприятия, а также средств
защиты информации на предприятии приведены в Приложении 4.

2 Оценка качества СЗИ на основе матрицы знаний
Далее эксперт-аудитор по информационной безопасности должен
провести анализ СЗИ предприятия в соответствии с опросником,
основанным на элементах матрицы. Полученные в результате анализа
данные необходимо занести в таблицу.
По каждому направлению представитель организации выдвинул
требования к желаемому профилю безопасности (Qтр).
В строках Qд таблицы отображаются достигнутые профили
безопасности, которые удалось определить эксперту в результате анализа
СЗИ предприятия. Оценку параметра Qд проводит эксперт.

Рисунок 3 – Полученные данные

Для комплексной оценки качества СЗИ на основе матрицы знаний,
необходимо провести некоторые расчёты по каждому из направлений
(Рисунок 4).
Рисунок 4 – Оценка защищенности объектов ИС
В столбце Qdaj мы получаем достигнутый профиль безопасности,
который учитывает коэффициент важности (aj) параметра СЗИ. Это
делается потому, что не все бреши в системе могут привести к угрозе,
способной повлечь большие потери, поэтому коэффициенты важности
проставляются экспертом-аудитором с учётом возможных рисков – чем
больше риск, тем больше коэффициент важности.
Коэффициенты важности (aj) выставляются аудитором на основании
экспертной оценки в результате анализа соответствующих рисков в

конкретной компании, при этом сумма параметров aj в каждом из этапов
должна равняться 1, то есть ∑ ai
4
i=1
=1.
Как видно из столбца «Сравнение профилей» Рисунка 4, всего 7
рассчитанных профиля безопасности достигли требуемого уровня.
Параметр «Качественная оценка Q» Рисунка 4 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 1 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном случае
параметр «Качественная оценка Q» равна 0,64, что является меньше
требуемого уровня защиты (0,71).
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,25 (расчет параметра представлен ниже
в Таблице 3), что является «Плохим» (соответствующим заданному
значению «оборонительной» (из литературы обычно равным 0,75) или
«наступательной» стратегии (из литературы обычно равным 0,79) защиты
информации на предприятии) показателем для СЗИ предприятия в целом.
Способы определения параметров и окончательного параметра
«Количественная оценка S» для Рисунка 4 представлены в Таблице 3.
Т а б л и ц а 3 – Способы определения параметров
Название параметра
Парамет
р
Формула / Способ определения
Коэффициент важности
aj
Определяется экспертным путём(по
варианту)
Профиль безопасности
требуемый
Qтр
Выдвигается заказчиком (по варианту)
Профиль безопасности
достигнутый
Qд
Результат анализа (по варианту)
Qd xaj
Qdaj
Qd*aj
Сравнение профилей
Sпр
ЕСЛИ Qд>= Qтр, то 1. Иначе - 0
Степень выполнения
требований
Qгруп
Сумма Qdaj для этапа в целом
Качественная оценка
Q
Сумма всех Qгруп / 7
Количественная оценка
S
Сумма всех Sпр / 28

Для более наглядного представления полученной информации,
необходимо построить графики параметров: «Сравнение профилей
защиты» (сравнение достигнутого профиля защиты с требуемым), «Оценка
этапов» (Qгруп), «Оценка достигнутого профиля защиты» (Sпр) (Рисунки
3а, 3б и 3в).
Рисунок 4а – Сравнение профилей защиты
Рисунок 4б – Оценка этапов

Рисунок 4в – Оценка достигнутого профиля защиты
Аналогичным образом проведём оценку направления 2 – «Защита
процессов и программ» (Рисунок 5).
Рисунок 5 – Оценка защищенности процессов и программ ИС

11 рассчитанных профиля безопасности достигли требуемого уровня.
Параметр «Качественная оценка Q» равна 0,66, что является меньше
требуемого уровня защиты (0,72). «Количественная оценка S» равна 0,39,
что является «плохим» показателем.
Построим графики параметров: «Сравнение профилей защиты»,
«Оценка этапов», «Оценка достигнутого профиля защиты» (Рисунки 5а, 5б
и 5в).
Рисунок 5а – Сравнение профилей защиты
Рисунок 5б – Оценка этапов

Рисунок 5в – Оценка достигнутого профиля защиты
Аналогичным образом проведём оценку направления 3 – «Защита
каналов связи» (Рисунок 6).
Рисунок 6 – Оценка защищенности каналов связи ИС
Только 16 рассчитанных профиля безопасности достигли требуемого
уровня. Параметр «Качественная оценка Q» равна 0,17, что является меньше

требуемого уровня защиты (0,78). «Количественная оценка S» равна 0,07,
что является «плохим» показателем, т.к. он существенно меньше заданного
значения стратегии информационной безопасности.
Построим графики параметров: «Сравнение профилей защиты»,
«Оценка этапов», «Оценка достигнутого профиля защиты» (Рисунки 5а, 5б
и 5в).
Рисунок 6а – Сравнение профилей защиты
Рисунок 6б – Оценка этапов

Рисунок 6в – Оценка достигнутого профиля защиты
Аналогичным образом проведём оценку направления 4 – «ПЭМИН»
(Рисунок 7).
Рисунок 7 – Оценка защищенности от утечки по техническим
каналам ПЭМИН

13 рассчитанных профиля безопасности достигли требуемого уровня.
Параметр «Качественная оценка Q» равна 0,66, что является меньше
требуемого уровня защиты (0,69). «Количественная оценка S» равна 0,46,
что является «плохим» показателем.
Построим графики параметров: «Сравнение профилей защиты»,
«Оценка этапов», «Оценка достигнутого профиля защиты» (Рисунки 7а, 7б
и 7в).
Рисунок 7а – Сравнение профилей защиты
Рисунок 7б – Оценка этапов

Рисунок 7в – Оценка достигнутого профиля защиты
Аналогичным образом проведём оценку направления 5 – «Управление
системой защиты» (Рисунок 8).
Рисунок 8 – Оценка защищенности элементов системы защиты

0 рассчитанных профиля безопасности достигли требуемого уровня.
Параметр «Качественная оценка Q» равна 0,68, что является меньше
требуемого уровня защиты (0,8). «Количественная оценка S» равна 0, что
является «плохим» показателем.
Построим графики параметров: «Сравнение профилей защиты»,
«Оценка этапов», «Оценка достигнутого профиля защиты» (Рисунки 7а, 7б
и 7в).
Рисунок 8а – Сравнение профилей защиты
Рисунок 8б – Оценка этапов

Рисунок 8в – Оценка достигнутого профиля защиты
Объединив результаты сравнения требуемых и достигнутых
профилей защиты (Sпр) по всем направлениям, получим табличное
представление обобщённых количественных оценок (Рисунок 9). Оценка
каждого параметра «Перечень показателей» - Qсзи здесь высчитывается как
сумма Sпр по всем направлениям, делённая на количество направлений
защиты.

Рисунок 9 – Достигнутый суммарный профиль безопасности
На основании рисунка 9 можно построить графики обобщённых
количественных оценок степени выполнения требований (рисунок 9а) и
достигнутых профилей защиты для 5 направлений (рисунок 9б) по каждому
из 28-ми параметров столбца Рисунка 9 «Перечень показателей».

Рисунок 9а – Графическое представление обобщенных
количественных оценок степени выполнения требований
Рисунок 9б – Достигнутые профили защиты для
пяти направлений

По рисунку 9 построим график, показывающий вклад направлений в
достижение информационной безопасности (рисунок 10).
Рисунок 10 – Вклад направлений в обеспечение ИБ
Как видно из графика на рисунке 10, наилучшие результаты у
показателей с порядковыми номерами: 4, 8, 10, 17. Наихудшие результаты у
показателей: 3,7,11,13,18,22,23,25,26,27 и 28, поэтому можно сделать вывод,
что каждый из них является слабым звеном в системе защиты информации
(СЗИ) предприятия.
Для удобства восприятия оценки защищённости ИС в целом,
необходимо сгруппировать полученные в результате анализа направлений
количественные и качественные оценки в одну матрицу. Рисунок 11
является полученной матрицей обобщённых показателей уровня
защищённости ИС. Здесь параметр Qсзи рассчитывается как среднее
арифметическое количественных или качественных оценок для 5
направлений защиты.

Рисунок 11 – Обобщённые показатели уровня защищённости ИС
Следующим шагом составим матрицу количественных оценок
(Рисунок 10). Данная матрица отображает, по каким элементам матрицы
модели комплексной оценки СЗИ был достигнут требуемый профиль
безопасности, а по каким не был достигнут.
Также составим матрицу качественных оценок (Рисунок 11). Она
отображает какой профиль безопасности достигнут по каждому элементу
матрицы модели комплексной оценки СЗИ.
Благодаря рисункам 12 и 13 можно удобно оценить состояние ИБ
предприятия в целом по достигнутым профилям защиты и сформировать
выводы-результаты аудита средств защиты информации.

Рисунок 12 – Матрица количественных оценок

Рисунок 13 – Матрица качественных оценок

Выводы
В рассмотренном случае ни одно из направлений не достигло
требуемого уровня безопасности. Для достижения необходимого уровня по
этим направлениям следует улучшить профиль безопасности элементов
матрицы количественных оценок, относящихся к направлениям 1, 2, 3, 4 и 5.

Заключение
В заключение, важно подчеркнуть, что качественный аудит
информационной безопасности предприятия позволяет не только
соответствовать требованиям федеральных законов, ФСТЭК и ФСБ, но и
защищает персонал и общество, предотвращая значительные материальные
потери. Комплексная оценка средств защиты информации (СЗИ) помогает
своевременно выявлять уязвимости в системе безопасности и устранять их, не
давая злоумышленникам возможности воспользоваться этими пробелами.

Список использованных источников
1. Методические указания по выполнению курсовой работы по
дисциплине основы управления информационной безопасностью – к.т.н.
Журавлев Сергей Иванович, Ершов Никита Сергеевич
2. Основы управления информационной безопасностью. Учебное
пособие для вузов – А. П . Курило, Н. Г . Милославская, М. Ю . Сенаторов. А.
И. Толстой. - М .: Горячая линия - Телеком, 2012.
3. Управление рисками информационной безопасности. Учебное
пособие для вузов / Н. Г . Милославская. М . 10 . Сенаторов, А. И . Толстой. - М:
Горячая линия-Телеком, 2012.
4. Домарев В.В. Безопасность информационных технологий.
Методология создания систем защиты. К.: ООО "ТИД "СД", 2001.
5. Домарев В.В. Безопасность информационных технологий.
Системный подход. К .: ООО "ТИД "ДС", 2004.