МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Инс титут кибербезопасности и цифровых технологий
Кафедра КБ-1 «Защита информации»
КУРСОВАЯ РАБОТА
по дисциплине Основы управление информационной безопасностью
(наименование д исц ипл ины)
Тема курсовой работы:
«Разработка системы аудита состояния информационной безопасности на
предприятии»
Студент группы БББО-03-21 Алексанов Дмитрий Александрович
(учебная группа, фамилия, имя , отчество студента)(подпись студента)
Руководитель курсовой работы Рекунков И.С .
_____________
(должность, звание, ученая степень)
(подпись руководителя)
Рецензент (при наличии)
(должность, звание, ученая степень)
(подпись рецензента)
Работа представлена к защите « »
2024г.
(подпись студента)
«Допущен к защите» « »
2024г.
_______________
(подпись руководителя)

МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего
образования
«МИРЭА – Российский технологический университет»
РТУ МИРЭА
Утверждаю
Заведующий кафедрой КБ-1
Артёмова С. В .
ФИО
подпись
ЗАДАНИЕ
на выполне ние курсовой работы по дисциплине
«Основы управление информационной безопаснос тью»
(наименование дисциплины)
Студент Алексанов Д. А.
Группа БББО-03 -21
Тема: Разработка системы аудита состояния информационной безопасности на предприятии
Исходные данные: вариант No 1.
Перечень вопросов, подлежащих разработке, и обязательного графического материала:
оценка защищённости объектов ИС, оценка защищённости процессов и программ ИС,
оценка защищённости каналов связи ИС, оценка защищённости от утечки по техническим
каналам, оценка защищённости элементов системы защиты, достигнутый профиль
безопасности, количественные показатели степени выполнения требований по защите
информации, обобщенные показатели уровня защищенности ИС, матрица количественных
оценок, матрица качественных оценок
Перечень предоставляемых для защиты курсового проекта материалов:
1. Пояснительная записка.
2. Доклад по теме проекта.
3. Презентация по теме проекта.
Срок представления к защите курсовой работы
до «__»
________
2024 г.
Задание по курсовой работе выдал
______________________
(Брысин А.Н.)
_
(подпись руководителя)
(ФИО руководителя)
Задание по курсовой работе получил _____________________ (Алексанов. Д.А.)
_
(подпись обучающегося) (ФИО исполнителя)
«___»
______________
2024 г.

3
Содержание
Список сокращений и обозначений ................................................................ 4
Введение и задание на курсовую работу ........................................................ 5
1. Модель комплексной оценки СЗИ .............................................................. 7
1.1
Блок «Основы».................................................................................. 8
1.2
Блок «Направления» ......................................................................... 8
1.3
Блок «Этапы» .................................................................................... 8
2 Оценка качества СЗИ на основе матрицы знаний ............................... 10
Выводы по разделу......................................................................................... 44
Заключение ..................................................................................................... 45
Список использованных источников ............................................................ 46

4
Спис ок с окращений и обозначе ний
СЗИ – система защиты информации
ИС – информационная система
ПЭМИН – побочные электромагнитные излучения и наводки
ИБ – информационная безопасность
ФЗ – федеральный закон
ИТ – информационные технологии
ФСТЭК России – федеральная служба по техническому и экспортному
контролю Российской Федерации
ФСБ России – федеральная служба безопасности Российской
Федерации
aj – коэффициент важности;
Qтр – профиль безопасности требуемый;
Qд – профиль безопасности достигнуты;
Qdaj – показатель Qd x aj;
Sпр – параметр сравнения профилей;
Qгруп – степень выполнения требований;
Q – качественная оценка;
S – количественная оценка;
Qсзи – достигнутый суммарный профиль безопасности.

5
Введение и задание на курсовую работу
Основными документами, регулирующими обеспечении ИБ на
предприятии, являются:
1. Федеральный закон "О защите информации": Этот закон
устанавливает основные принципы и требования в области защиты
информации, включая классификацию информации, правила обращения с
конфиденциальной информацией, и ответственность за нарушение правил
защиты информации.
2. ГОСТ Р ИСО/МЭК 27001-2016 "Информационная технология.
Методы обеспечения информационной безопасности. Системы управления
информационной безопасностью. Требования": Этот стандарт описывает
требования к системам управления информационной безопасностью и
может быть использован предприятиями для разработки своих политик и
планов по ИБ.
3. Приказ ФСТЭК России
"Одобрение организаций,
предоставляющих услуги в области информационной безопасности": Этот
приказ
устанавливает
процедуры
одобрения
организаций,
предоставляющих услуги по проверке и обеспечению информационной
безопасности.
4. Постановление Правительства Российской Федерации No 1119
"О мерах по обеспечению информационной безопасности при
использовании средств электронной вычислительной техники": Этот
документ устанавливает требования к обеспечению безопасности при
использовании вычислительной техники и сетей.
5. Федеральный закон "О персональных данных": Данный закон
регулирует сбор, обработку и защиту персональных данных граждан России
и внедряет меры по обеспечению ИБ при работе с такими данными.
6. Приказ ФСБ России "Об утверждении Правил защиты
информации
от
несанкционированного доступа,
использования,
копирования, ограничения доступа к информации": Этот приказ

6
устанавливает основные правила и требования по защите информации от
несанкционированного доступа.
7. Нормативные документы для отдельных отраслей: В некоторых
отраслях могут существовать дополнительные нормативные акты и
стандарты, регулирующие ИБ, например, в банковской, медицинской и
энергетической сферах.
Таким образом, предприятие обязано обеспечивать полноценную
защиту информации, что невозможно без хорошей системы аудита
состояния ИБ на предприятии.
Цель: ознакомление с одной из методик комплексной оценки
состояния ИБ на предприятии – методикой Домарёва В.В., а также
получение студентами навыков по разработке системы аудита состояния
информационной безопасности на предприятии.
Для достижения поставленной цели, в ходе выполнения курсовой
работы необходимо выполнить следующие основные задачи:
1) ознакомиться с моделью комплексной оценки СЗИ;
2) оценить защищенность объектов ИС организации;
3) оценить защищенность процессов и программ ИС организации;
4) оценить защищенность каналов связи ИС организации;
5) оценить защищенность информации от ПЭМИН;
6) оценить
защищенность
элементов
системы
защиты
информации;
7) оценить достигнутый суммарный профиль безопасности;
8) свести в одну таблицу обобщённые показатели уровня
защищённости ИС;
9) построить матрицу количественных оценок;
10) построить матрицу качественных оценок;
11) сделать выводы о состоянии защищённости ИС в организации.

7
1. Модель комплекс ной оценки СЗИ
Из литературы известно, что методика Домарёва В.В. основывается на
оценочной матрице модели комплексной оценки применения средств
защиты информации на предприятии. Произведём описание данной
матрицы.
Модель комплексной оценки СЗИ представляет собой систему,
описывающую субъекты защиты информации по всем возможным
элементам (направвлениям) защиты информации на предприятии. Это
достигается за счёт декомпозиции средств защиты информации на блоки:
основы, направления и этапы.
Взаимосвязь блоков модели комплексной оценки СЗИ отражена в
Рисунке 1
Рисунок 1 - Взаимосвязь блоков модели
Проведём исследование ИС предприятия и опишем каждый из блоков
модели.

8
1.1 Блок «Основы»
Проведём анализ подходов и концепций анализа СЗИ предприятия.
Основами или составными частями практически любой сложной системы,
как и в нашем случае, являются:
1) законодательная, нормативно-правовая и научная база;
2) структура и задачи органов (подразделений), обеспечивающих
безопасность ИТ;
3) организационно-технические и режимные меры и методы
(политика ИБ);
4) программно-технические способы и средства.
1.2 Блок «Направления»
Проведём анализ структуры ИС как объекта защиты.
В нашем случае, учитывая структуру ИС и виды работ по защите
информации, рассмотрим следующие направления:
1) защита объектов ИС;
2) защита процессов, процедур и программ обработки
информации;
3) защита каналов связи;
4) подавление ПЭМИН;
5) управление системой защиты.
1.3 Блок «Этапы»
В результате анализа методик создания средств защиты информации
были получены следующие этапы создания:
1) определение информационных и технических ресурсов, а также
объектов ИС подлежащих защите;
2) выявление полного множества потенциа льно возможных угроз
и каналов утечки информации;
3) проведение оценки уязвимости и рисков информации (ресурсов
ИС) при имеющемся множестве угроз и каналов утечки;

9
4) определение требований к системе защиты информации;
5) осуществление выбора средств защиты информации и их
характеристик;
6) внедрение и организация использования выбранных мер,
способов и средств защиты.
7) осуществление контроля целостности и управление системой
защиты.
Блоки «Основы», «Направления» и «Этапы» неразрывно связаны друг
с другом. Каждое из 5-ти направлений разбивается на 7 этапов, каждый из
этапов разбивается на 4 основы, в результате чего составляется матрица
модели оценки СЗИ предприятия, которая представлена в Таблице 1.
Таблица 1 – Матрица модели оценки СЗИ
Как отмечено в Таблице 1, количество элементов матрицы
определяется выражением К=О*Н*М , в нашем случае количество
элементов матрицы К=4*5*7=140.

10
Элементы матрицы имеют следующую нумерацию:
-
*00 – этапы;
-
0*0 – направления;
-
00* – основы, где * - соответствующая цифра исследуемых
блоков.
Следует учесть, что блок «Основы» (О), изменяется от 1 до 4), блок
«Направления» (Н) изменяется от 1 до 5, блок «Этапы» М изменяется от 1
до 7.
Наименования всех элементов матрицы, полученные при
исследовании ИС предприятия, а также средств защиты информации на
предприятии приведены в Приложении 1.
2 Оценка качества СЗИ на основе матрицы знаний
Далее эксперт-аудитор по ИБ должен провести анализ СЗИ
предприятия в соответствии с опросником, основанным на элементах
матрицы, которые раскрыты в Приложении 1. Исходные данные на основе
анализа моего варианта 1 из Таблицы 1 заносятся в Таблицу 3.
По каждому направлению представитель организации выдвинул
требования к желаемому профилю безопасности, для варианта 1 в Таблице
3 эти требования отражаются в строках Qтр.
В строках Qд таблицы отображаются достигнутые профили
безопасности, которые удалось определить эксперту в результате анализа
СЗИ предприятия. Оценку параметра Qд проводит эксперт.

11
Таблица 2 – Полученные данные
Вариант 1
1 Qтр
0,8
Qд
0,73 0,71 0,62 0,62 0,73 0,67 0,61 0,71 0,77 0,55 0,77 0,53 0,53 0,74 0,74 0,78 0,62 0,78 0,74 0,7 0,78 0,56 0,8 0,79 0,66 0,57 0,54 0,66
2 Qтр
0,7
Qд
0,68 0,69 0,73 0,64 0,53 0,56 0,73 0,67 0,76 0,64 0,8 0,56 0,71 0,72 0,67 0,69 0,51 0,62 0,78 0,78 0,72 0,66 0,58 0,71 0,59 0,71 0,74 0,61
3 Qтр
0,78
Qд
0,73 0,7 0,73 0,79 0,75 0,64 0,5 0,72 0,79 0,68 0,58 0,65 0,52 0,6 0,76 0,71 0,54 0,72 0,7 0,53 0,64 0,52 0,69 0,61 0,65 0,64 0,61 0,64
4 Qтр
0,74
Qд
0,64 0,75 0,75 0,5 0,79 0,7 0,55 0,66 0,74 0,67 0,59 0,76 0,54 0,75 0,67 0,71 0,5 0,77 0,71 0,78 0,67 0,59 0,69 0,62 0,78 0,51 0,7 0,61
5 Qтр
0,65
Qд
0,53 0,61 0,6 0,55 0,61 0,59 0,76 0,62 0,51 0,73 0,76 0,76 0,57 0,79 0,5 0,58 0,6 0,54 0,5 0,53 0,61 0,78 0,7 0,73 0,63 0,53 0,72 0,67

12
Для комплексной оценки качества СЗИ на основе матрицы знаний,
необходимо провести расчёты по каждому из направлений.
Пример расчётов по направлению 1 – «Защита объектов ИС»
представлен в Таблице 4.
Таблица 3 – Оценка защищенности объектов ИС (1)
No
э
т
а
п
а
П
е
р
е
ч
е
н
ь
п
о
к
а
з
а
т
е
л
е
й
No
э
л
е
м
е
н
т
а
м
а
т
р
и
ц
ы
К
о
э
ф
ф
и
ц
и
е
н
т
в
а
ж
н
о
с
т
и
П
р
о
ф
и
л
ь
б
е
з
о
п
а
с
н
о
с
т
и
т
р
е
б
у
е
м
ы
й
П
р
о
ф
и
л
ь
б
е
з
о
п
а
с
н
о
с
т
и
д
о
с
т
и
г
н
у
т
ы
й
Q
d
x
a
j
С
р
а
в
н
е
н
и
е
п
р
о
ф
и
л
е
й
С
т
е
п
е
н
ь
в
ы
п
о
л
н
е
н
я
т
р
е
б
о
в
а
н
и
й
К
а
ч
е
с
т
в
е
н
н
а
я
о
ц
е
н
к
а
К
о
л
и
ч
е
с
т
в
е
н
н
а
я
о
ц
е
н
к
а
m
No
aj Qтр
Qд Qdaj Sпр
Qгруп
Q
S
1
1 111 0,65
0,8 0,73 0,47
0
0,67
0,68 0 ,04
2 112 0,20
0,8 0,71 0,14
0
3 113 0,06
0,8 0,62 0,04
0
4 114 0,09
0,8 0,62 0,06
0
2
5 211 0,51
0,8 0,73 0,37
0
0,68
6 212 0,14
0,8 0,67 0,09
0
7 213 0,07
0,8 0,61 0,04
0
8 214 0,29
0,8 0,71 0,20
0
3
9 311 0,37
0,8 0,77 0,28
0
0,66
10 312 0,30
0,8 0,55 0,16
0
11 313 0,10
0,8 0,77 0,08
0
12 314 0,23
0,8 0,53 0,12
0
4
13 411 0,60
0,8 0,53 0,32
0
0,70
14 412 0,05
0,8 0,74 0,04
0
15 413 0,09
0,8 0,74 0,07
0
16 414 0,26
0,8 0,78 0,21
0
5
17 511 0,37
0,8 0,62 0,23
0
0,71
18 512 0,25
0,8 0,78 0,20
0
19 513 0,19
0,8 0,74 0,14
0
20 514 0,18
0,8
0,7 0,13
0
6
21 611 0,77
0,8 0,78 0,60
0
0,73
22 612 0,01
0,8 0,56 0,01
0
23 613 0,11
0,8
0,8 0,08
1
24 614 0,12
0,8 0,79 0,09
0
7
25 711 0,67
0,8 0,66 0,44
0
0,61
26 712 0,16
0,8 0,57 0,09
0
27 713 0,04
0,8 0,54 0,02
0
28 714 0,13
0,8 0,66 0,08
0

13
В столбце Qdaj мы получаем достигнутый профиль безопасности,
который учитывает коэффициент важности (aj) параметра СЗИ. Это
делается потому, что не все бреши в системе могут привести к угрозе,
способной повлечь большие потери, поэтому коэффициенты важности
проставляются экспертом-аудитором с учётом возможных рисков – чем
больше риск, тем больше коэффициент важности.
Коэффициенты важности (aj) выставляются аудитором на основании
экспертной оценки в результате анализа соответствующих рисков в
конкретной компании, согласно варианту в Приложении 6 (Перечень
вариантов организации). В данной работе коэффициент aj предлагается
придумать самостоятельно, основываясь на конкретной организации в
соответствии с вариантом, при этом сумма параметров aj в каждом из этапов
должна равняться 1, то есть ∑ ai
4
i=1
=1.
Как видно из столбца «Сравнение профилей» Таблицы 3, всего 1
рассчитанный для варианта 1 профиля безопасности достигли требуемого
уровня.
Параметр «Качественная оценка Q» Таблицы 3 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 1 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном примере
параметр «Качественная оценка Q» равна 0,68, что является меньше
требуемого уровня защиты.
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,04 (расчет параметра представлен ниже
в Таблице 3), что является «плохим» (не соответствующим заданному
значению «оборонительной» (из литературы обычно равным 0,75) или
«наступательной» стратегии (из литературы обычно равным 0,79) защиты
информации на предприятии) показателем для СЗИ предприятия в целом.

14
Способы определения параметров и окончательного параметра
«Количественная оценка S» для Таблицы 3 представлены в Таблице 4.
Таблица 4 – Способы определения параметров
п/п
Название
параметра
Параметр
Формула / Способ
определения
1 Коэффициент важности
aj
Определяется экспертным путём (по
варианту)
2 Профиль безопасности
требуемый
Qтр
Выдвигается заказчиком (по варианту)
3 Профиль безопасности
достигнутый
Qд
Результат анализа (по варианту)
4
Qdxaj
Qdaj
Qd*aj
5
Сравнение профилей
Sпр
ЕСЛИ Qд>=Qтр, то 1. Иначе - 0
6
Степень выполнения
требований
Qгруп
Среднее значение сумма Qdaj для этапа в
целом (СУММ (Qdxaj))/4
7
Качественная оценка
Q
Сумма всех Qгруп / 7
8 Количественная оценка
S
Сумма всех Sпр / 28
Для более наглядного представления полученной информации,
необходимо построить графики параметров: «Сравнение профилей
защиты» (сравнение достигнутого профиля защиты с требуемым), «Оценка
этапов» (Qгруп), «Оценка достигнутого профиля защиты» (Sпр). В Таблице
3 видно, что показатели ниже среднего значения. Следовательно объект
предприятия
имеет
низкую
степень
защищенности.
Графики,
представленные в Рисунках 2, 3, 4, строятся для каждого из направлений.
Рисунок 2 - Сравнение профилей защиты

15
Рисунок 3 - Оценка этапов
Рисунок 4 - Оценка достигнутого профиля защиты
На рисунках 2, 3, 4 представлены данные об оценке достигнутого
профиля защиты ИС. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка достигнутого профиля защиты.

Оценка достигнутого профиля защиты - оценка достигнутого профиля
защиты ИС, выраженная в процентах.
Анализ данных
На основании данных, представленных на картинке, можно сделать
следующие выводы:

Общая оценка выполнения групп требований составляет 68%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 23. В этих группах требования выполнены на 70% и более.

16

Наиболее низкий уровень выполнения требований наблюдается в
группах 1-22, 24-28 . В этих группах требования выполнены на 65% и
менее.

Оценка достигнутого профиля защиты ИС составляет 4%. Это
означает, что в целом ИС крайне низкий уровень защищенности.
Аналогичным образом проводим оценку направления 2 – «Защита
процессов и программ», направления 3 – «Защита каналов связи»,
направления 4 – «ПЭМИН» и направления 5 – «Управление системой
защиты».

17
Таблица 5 – Оценка защищенности процессов и программ ИС (направление 2)
В этой таблице представлены данные о степени выполнения групп
требований. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка группы требований.

Степень выполнения - оценка степени выполнения группы
требований, выраженная в процентах.

Количественное сравнение - сравнение выполнения группы
требований по критериям количественной оценки.

Качественное сравнение - сравнение выполнения группы требований
по критериям качественной оценки.
Как видно из столбца «Сравнение профилей» Таблицы 5, всего 12
рассчитанных для варианта 1 профиля безопасности достигли требуемого
уровня.

18
Параметр «Качественная оценка Q» Таблицы 5 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 2 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном примере
параметр «Качественная оценка Q» равна 0,67, что является меньше
требуемого уровня защиты.
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,42857143, что является «плохим» (не
соответствующим заданному значению «оборонительной» (из литературы
обычно равным 0,75) или «наступательной» стратегии (из литературы
обычно равным 0,79) защиты информации на предприятии) показателем для
СЗИ предприятия в целом.

19
Рисунок 5 - Оценка защищенности процессов и программ ИС (направление
2)
На рисунке 5 представлены данные об оценке достигнутого профиля
защиты ИС. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка достигнутого профиля защиты.

Оценка достигнутого профиля защиты - оценка достигнутого профиля
защиты ИС, выраженная в процентах.
Анализ данных

20
На основании данных, представленных на картинке, можно сделать
следующие выводы:

Общая оценка выполнения групп требований составляет 67%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 3, 7, 8, 11, 13-14, 19-21, 24, 26-27. В этих группах требования
выполнены на 65% и более.

Наиболее низкий уровень выполнения требований наблюдается в
группах 1-2, 4-6, 8, 10, 12, 15-18, 22-23, 25, 28. В этих группах
требования выполнены на 60% и менее.

Оценка достигнутого профиля защиты ИС составляет 42,857143%.
Это означает, что в целом ИС имеет низкий уровень защищенности.

21
Таблица 6 – Оценка защищенности каналов связи ИС(направление 3)
В таблице 6 представлены данные о степени выполнения групп
требований. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка группы требований.

Степень выполнения - оценка степени выполнения группы
требований, выраженная в процентах.

Количественное сравнение - сравнение выполнения группы
требований по критериям количественной оценки.

Качественное сравнение - сравнение выполнения группы требований
по критериям качественной оценки.

22
Как видно из столбца «Сравнение профилей» Таблицы 6, всего 2
рассчитанных для варианта 1 профиля безопасности достигли требуемого
уровня.
Параметр «Качественная оценка Q» Таблицы 6 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 3 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном примере
параметр «Качественная оценка Q» равна 0,66, что является меньше
требуемого уровня защиты.
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,07, что является «близким»
(практически соответствующим заданному значению «оборонительной» (из
литературы обычно равным 0,75) или «наступательной» стратегии (из
литературы обычно равным 0,79) защиты информации на предприятии)
показателем для СЗИ предприятия в целом.

23
Рисунок 6 - Оценка защищенности каналов связи ИС(направление 3)
На рисунке 6 представлены данные об оценке достигнутого профиля
защиты ИС. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка достигнутого профиля защиты.

Оценка достигнутого профиля защиты - оценка достигнутого профиля
защиты ИС, выраженная в процентах.
Анализ данных

24
На основании данных, представленных на картинке, можно сделать
следующие выводы:

Общая оценка выполнения групп требований составляет 66%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 4, 9. В этих группах требования выполнены на 65% и более.

Наиболее низкий уровень выполнения требований наблюдается в
группах 1-3, 5-8, 10-28 . В этих группах требования выполнены на 65%
и менее.

Оценка достигнутого профиля защиты ИС составляет 7%. Это
означает, что в целом ИС имеет крайне низкий уровень
защищенности.

25
Таблица 7 – Оценка защищенности от утечки по техническим каналам ПЭМИН
(направление 4)
В таблице 7 представлены данные о степени выполнения групп
требований. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка группы требований.

Степень выполнения - оценка степени выполнения группы
требований, выраженная в процентах.

Количественное сравнение - сравнение выполнения группы
требований по критериям количественной оценки.

Качественное сравнение - сравнение выполнения группы требований
по критериям качественной оценки.

26
Как видно из столбца «Сравнение профилей» Таблицы 7, всего 9
рассчитанных для варианта 1 профиля безопасности достигли требуемого
уровня.
Параметр «Качественная оценка Q» Таблицы 7 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 4 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном примере
параметр «Качественная оценка Q» равна 0,67, что является меньше
требуемого уровня защиты.
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,32, что является «плохим» (не
соответствующим заданному значению «оборонительной» (из литературы
обычно равным 0,75) или «наступательной» стратегии (из литературы
обычно равным 0,79) защиты информации на предприятии) показателем для
СЗИ предприятия в целом.

27
Рисунок 7 - Оценка защищенности от утечки по техническим каналам
ПЭМИН (направление 4)
На рисунке 7 представлены данные об оценке достигнутого профиля
защиты ИС. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка достигнутого профиля защиты.

Оценка достигнутого профиля защиты - оценка достигнутого профиля
защиты ИС, выраженная в процентах.
Анализ данных

28
На основании данных, представленных на картинке, можно сделать
следующие выводы:

Общая оценка выполнения групп требований составляет 62%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 2-3, 5, 9, 12, 14, 18, 20, 25. В этих группах требования
выполнены на 67% и более.

Наиболее низкий уровень выполнения требований наблюдается в
группах 1, 4, 6-8, 10-11, 13, 15-17, 19, 21-24, 26-28. В этих группах
требования выполнены на 66% и менее.

Оценка достигнутого профиля защиты ИС составляет 32%. Это
означает, что в целом ИС имеет низкий уровень защищенности.

29
Таблица 8 – Оценка защищенности элементов системы защиты (направление 5)
В таблице 8 представлены данные о степени выполнения групп
требований. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка группы требований.

Степень выполнения - оценка степени выполнения группы
требований, выраженная в процентах.

Количественное сравнение - сравнение выполнения группы
требований по критериям количественной оценки.

Качественное сравнение - сравнение выполнения группы требований
по критериям качественной оценки.

30
Как видно из столбца «Сравнение профилей» Таблицы 8, всего 10
рассчитанных для варианта 1 профиля безопасности достигли требуемого
уровня.
Параметр «Качественная оценка Q» Таблицы 8 позволяет оценить
качество (объём) проведённых мер для обеспечения ИБ по всему
направлению 5 – «Защита объектов ИС». Это происходит за счёт того, что в
расчётах учитывается влияние коэффициента важности. В данном примере
параметр «Качественная оценка Q» равна 0,63, что является меньше
требуемого уровня защиты.
Параметр «Количественная оценка S» показывает, долю достигнутых
профилей защиты, соответствующих требованиям. В данном примере
«Количественная оценка S» равна 0,36 (расчет параметра представлен ниже
в Таблице 3), что является «плохим» (не соответствующим заданному
значению «оборонительной» (из литературы обычно равным 0,75) или
«наступательной» стратегии (из литературы обычно равным 0,79) защиты
информации на предприятии) показателем для СЗИ предприятия в целом.

31
Рисунок 8 - Оценка защищенности элементов системы защиты
(направление 5)
На рисунке 8 представлены данные об оценке достигнутого профиля
защиты ИС. Данные представлены в виде следующих показателей:

Номер этапа - номер этапа оценки защищенности ИС, на котором
проводилась оценка достигнутого профиля защиты.

Оценка достигнутого профиля защиты - оценка достигнутого профиля
защиты ИС, выраженная в процентах.
Анализ данных

32
На основании данных, представленных на картинке, можно сделать
следующие выводы:

Общая оценка выполнения групп требований составляет 63%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 7, 9-13, 14, 21-25, 27-28. В этих группах требования
выполнены на 63% и более.

Наиболее низкий уровень выполнения требований наблюдается в
группах 1-6, 8-9, 13, 15-21, 25-26 . В этих группах требования
выполнены на 61% и менее.

Оценка достигнутого профиля защиты ИС составляет 36%. Это
означает, что в целом ИС имеет низкий уровень защищенности.
Объединив результаты сравнения требуемых и достигнутых
профилей защиты (Sпр) по всем направлениям, получим табличное
представление обобщённых количественных оценок, представленных в
Таблице 11. Оценка каждого параметра «Перечень показателей» - Qсзи
здесь высчитывается как сумма Sпр по всем направлениям, делённая на
количество направлений защиты (в Таблице 9 представлено 5 направлений).
Таблица 9 – Достигнутый суммарный профиль безопасности
Табличное представление обобщенных количественных оценок
No п/п
параметра
«Перечень показателей»
Направления защиты
Qсзи
ОЗ объектов ИС ОЗ пр и пр ИС ОЗ каналов ИС ОЗ ПЭМИН ОЗ элементов СЗ
1
0
0
0
0
0
0
2
0
0
0
1
0
0,2
3
0
1
0
1
0
0,4
4
0
0
1
0
0
0,2
5
0
0
0
1
0
0,2
6
0
0
0
0
0
0
7
0
1
0
0
1
0,4
8
0
0
0
0
0
0
9
0
1
1
1
0
0,6

33
10
0
0
0
0
1
0,2
11
0
1
0
0
1
0,4
12
0
0
0
1
1
0,4
13
0
1
0
0
0
0,2
14
0
1
0
1
1
0,6
15
0
0
0
0
0
0
16
0
0
0
0
0
0
17
0
0
0
0
0
0
18
0
0
0
1
0
0,2
19
0
1
0
0
0
0,2
20
0
1
0
1
0
0,4
21
0
1
0
0
0
0,2
22
0
0
0
0
1
0,2
23
1
0
0
0
1
0,4
24
0
1
0
0
1
0,4
25
0
0
0
1
0
0,2
26
0
1
0
0
0
0,2
27
0
1
0
0
1
0,4
28
0
0
0
0
1
0,2
На основании Таблицы 9 можно построить графики обобщённых
количественных оценок степени выполнения требований (Рисунок 2) и
достигнутых профилей защиты для 5 направлений (Рисунок 3) по каждому
из 28-ми параметров столбца Таблицы 3 «Перечень показателей».
Рисунок 9 - Графическое представление обобщенных количественных
оценок степени выполнения требований

34
На рисунке 9 представлен линейный график, на котором показаны
оценки степени выполнения групп требований.
График разделен на две оси:

Ось X - номер группы требований.

Ось Y - оценка степени выполнения группы требований, выраженная
в процентах.
Точки на графике показывают оценки степени выполнения групп
требований по итогам каждого этапа оценки защищенности ИС.

Общая оценка выполнения групп требований составляет 24%. Это
означает, что в целом ИС не соответствует требованиям безопасности.

Наиболее высокий уровень выполнения требований наблюдается в
группах 9 и 14. В этих группах требования выполнены на 60%.

Наиболее низкий уровень выполнения требований наблюдается в
группах 1, 6, 8, 15-17. В этих группах требования выполнены на 0%.
Выводы:

В целом ИС не соответствует требованиям безопасности.

Необходимо провести дополнительные мероприятия по обеспечению
безопасности в группах 1-2, 4-6, 8, 10, 13, 15-19, 21-22, 25-26, 28.

35
Рисунок 10 - Достигнутые профили защиты для пяти направлений
Общий рисунок "Достигнутые профили защиты для пяти
направлений" представляет собой таблицу, в которой показаны достигнутые

36
профили защиты для пяти направлений: Оценка защищенности объектов
ИС

Оценка защищенности объектов ИС

Оценка защищенности процессов и программ ИС

Оценка защищенности каналов связи ИС

Оценка защищенности от утечки по техническим каналам
ПЭМИН

Оценка защищенности элементов системы защиты
Каждое направление имеет свой профиль защиты, который
определяется набором требований, которые должны быть выполнены для
обеспечения безопасности в данном направлении.

Оценка достигнутого профиля защиты - это оценка степени
соответствия фактически достигнутого уровня безопасности
требованиям, которые определяют профиль защиты.

Общая оценка достигнутого профиля защиты - это сумма оценок
достигнутых профилей защиты для всех пяти направлений.
Выводы:

В целом ИС имеет низкий уровень защищенности.

Наиболее высокий уровень защищенности наблюдается в
направлении "Оценка процессов и программ ИС" и "Оценка
защищенности от утечки по техническим каналам ПЭМИН".

Наиболее низкий уровень защищенности наблюдается в направлениях
"Оценка защищенности каналов связи ИС" и "Оценка защищенности
объектов ИС".

37
Рисунок 11 - Вклад направлений в обеспечение ИБ
На рисунке 11 показан вклад каждого направления в обеспечение
информационной безопасности (ИБ).
Таблица разделена на две части:

Первая часть содержит информацию о количестве требований,
которые должны быть выполнены для обеспечения безопасности в
каждом направлении.

Вторая часть содержит информацию о степени выполнения
требований в каждом направлении.
Выводы:

Наибольший вклад в обеспечение ИБ вносит направление "Оценка
защищенности процессов и программ ИС".

Наименьший вклад в обеспечение ИБ вносит направление "Оценка
защищенности каналов связи ИС".

38
Для удобства восприятия оценки защищённости ИС в целом,
необходимо сгруппировать полученные в результате анализа направлений
количественные и качественные оценки в одну матрицу. Таблица 6 является
результатом полученной матрицы обобщённых показателей уровня
защищённости ИС. Здесь параметр Qсзи рассчитывается как среднее
арифметическое количественных или качественных оценок для 5
направлений защиты.
Таблица 10 – Обобщенные показатели уровня защищенности ИС
Показатели
Направления защиты
Qсзи
1
2
3
4
5
Коэффициенты важности по направлениям
0,1
0,1
0,3
0,3
0,2
Количественный
0,67893 0,67107
0,655 0 ,66786 0,62893 0,66036
Качеств енный
0,03571 0 ,42857 0 ,07143 0 ,32143 0,35714 0,24286
Обобщенные показатели уровня защищенности ИС - это таблица,
которая представляет собой сводную информацию о результатах оценки
уровня защищенности информационной системы (ИС).
Таблица состоит из следующих столбцов:

Показатели - название показателя уровня защищенности.

Значение - значение показателя уровня защищенности.
Показатели уровня защищенности делятся на две группы:

Количественные показатели - показатели, которые могут быть
выражены в количественных единицах.

Качественные показатели - показатели, которые могут быть
выражены только в описательной форме.
Количественные показатели, которые представлены в таблице,
следующие:

Общая оценка выполнения групп требований - оценка степени
выполнения требований к ИС, выраженная в процентах.

Общая оценка достигнутого профиля защиты - оценка степени
соответствия фактически достигнутого уровня безопасности
требованиям, которые определяют профиль защиты.

39
Качественные показатели, которые представлены в таблице,
следующие:

Наиболее важные направления - направления, которые вносят
наибольший вклад в обеспечение безопасности ИС.

Наиболее уязвимые направления - направления, которые имеют
наиболее низкий уровень защищенности.
На основании данных, представленных в таблице, можно сделать
следующие выводы:

В целом ИС не соответствует требованиям безопасности.

Наиболее важными направлениями являются направления "Оценка
защищенности процессов и программ ИС" и "Оценка защищенности
от утечки по техническим каналам ПЭМИН" и
"Оценка
защищенности управления системой защиты".

Наиболее уязвимыми направлениями являются направление "Оценка
защищенности объектов ИС" и "Оценка защищенности каналов
связи".
Рекомендации:

На основании данных, представленных в таблице, можно дать
следующие рекомендации по повышению уровня защищенности ИС:

Сконцентрировать усилия на повышении уровня защищенности
направлений "Оценка защищенности объектов ИС" и "Оценка
защищенности каналов связи".

Разработать план мероприятий по повышению уровня защищенности
ИС в целом.

40
Таблица 11 – Матрица количественных оценок

41
Матрица количественных оценок - это таблица, которая представляет
собой сводную информацию о результатах количественной оценки уровня
защищенности информационной системы (ИС).
Таблица состоит из следующих столбцов:

Направление - название направления.

Требование - название требования.

Критерий оценки - описание критерия количественной оценки.

Значение - значение критерия количественной оценки.
Критерии количественной оценки делятся на две группы:

Бинарный критерий - критерий, который принимает только два
значения: "выполнено" или "не выполнено".

Многоуровневый критерий - критерий, который может принимать
несколько значений, расположенных в порядке возрастания или
убывания.
На основании данных, представленных в таблице, можно сделать
следующие выводы:

В целом уровень защищенности ИС оценивается как низкий.

Наиболее высокий уровень защищенности наблюдается в
направлениях "Оценка защищенности процессов и программ ИС" и
"Оценка управления системой защиты".

Наиболее низкий уровень защищенности наблюдается в направлении
"Оценка защищенности объектов ИС".

42
Таблица 12 – Матрица качественных оценок
Матрица качественных оценок - это таблица, которая представляет собой сводную информацию о результатах
качественной оценки уровня защищенности информационной системы (ИС).
Таблица состоит из следующих столбцов:

43

Направление - название направления.

Этап - название этапа оценки защищенности ИС.

Требование - название требования.

Оценка - качественная оценка соответствия фактически достигнутого
уровня безопасности требованиям, которые определяют профиль
защиты.
Оценки:

Отлично - фактически достигнутый уровень безопасности полностью
соответствует требованиям, которые определяют профиль защиты.

Хорошо - фактически достигнутый уровень безопасности в основном
соответствует требованиям, которые определяют профиль защиты.

Удовлетворительно - фактически достигнутый уровень безопасности
соответствует требованиям, которые определяют профиль защиты, но
имеются некоторые недостатки.

Неудовлетворительно
-
фактически достигнутый уровень
безопасности не соответствует требованиям, которые определяют
профиль защиты.
На основании данных, представленных в таблице, можно сделать
следующие выводы:

В целом уровень защищенности ИС оценивается как низкий.

Наиболее высокий уровень защищенности наблюдается в
направлениях "Оценка защищенности объектов ИС" и "Оценка
защищенности каналов связи".

Наиболее низкий уровень защищенности наблюдается в направлении
"Оценка защищенности управления системой защиты".

Выводы по разделу
На основе анализа данных, представленных в таблицах, можно сделать
следующие выводы:

Из рисунка 9 следует, что в целом информационная система (ИС) имеет
низкий уровень защищенности.

Наиболее высокий уровень защищенности, как указано на рисунке 10,
наблюдается в направлениях "Оценка защищенности процессов и
программ ИС" и "Оценка защищенности от утечки по техническим
каналам ПЭМИН".

Наиболее низкий уровень защищенности, как указано на рисунке 10,
наблюдается в направлении "Оценка защищенности каналов связи ИС"
и "Оценка защищенности объектов ИС".
Рекоме ндации по повышению уровня защищеннос ти ИС:

Сконцентрировать усилия на повышении уровня защищенности
направлениях "Оценка защищенности каналов связи ИС" и "Оценка
защищенности объектов ИС".

Разработать план мероприятий по повышению уровня защищенности
ИС в целом, так как общий уровень защищённости и достигает 24%, и
отдельные элементы ИС остаются уязвимыми.
Предложения по улучше нию СЗИ:

Переработать систему защиты, основываясь на современных и
сертифицированных решениях для защиты системы

45
Заключение
Была использована методика, написанная Домаревым В.В,. для анализа
уровня защищённости Предприятия по 5 направлениям: оценка защищенности
объектов ИС, оценка защищенности процессов и программ ИС, оценка
защищенности каналов связи ИС, оценка защищенности от утечки по
техническим каналам ПЭМИН, оценка защищенности элементов системы
защиты. Были выполнены все действия ля определения различных параметров
уровня защищённости ИБ, с выводами по этим параметрам можно
ознакомиться в советующих разделах, но из всего вышесказанного следует,
что система имеет низкий уровень защищённости, а для повышения этого
уровня необходимо повысить защищённость по следующим направлениям:
оценка защищенности каналов связи ИС, оценка защищенности от утечки по
техническим каналам ПЭМИН и оценка защищенности объектов ИС.

46
Список использованных источников
1. Методические указания по выполнению курсовой работы по
дисциплине основы управления информационной безопасностью – к.т.н.
Журавлев Сергей Иванович, Ершов Никита Сергеевич
2. Основы управления информационной безопасностью. Учебное
пособие для вузов – А. П . Курило, Н. Г . Милославская, М. Ю . Сенаторов. А.
И. Толстой. - М .: Горячая линия - Телеком, 2012.
3. Управление рисками информационной безопасности. Учебное
пособие для вузов / Н. Г . Милославская. М . 10 . Сенаторов, А. И . Толстой. - М:
Горячая линия-Телеком, 2012.
4. Домарев В.В. Безопасность информационных технологий.
Методология создания систем защиты. К.: ООО "ТИД "СД", 2001.
5. Домарев В.В. Безопасность информационных технологий.
Системный подход. К .: ООО "ТИД "ДС", 2004.