курсовая работа на тему . Аудит и совершенствование информационной безопасности предприятия

Целью написания курсовой работы является изучение теоретических и практических основ аудита и совершенствования информационной безопасности предприятия.

В случае проведения аудита безопасности согласно данного подхода, аудитор оценивает применимость требований стандарта к обследуемой системе и ее соответствие требованиям стандарта. Основываясь на данных о соответствии различных областей функционирования ИС требованиям стандарта, определяется, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям принятого на предприятии стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к информационной системе, определяется выбранным стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной информационной системы, формируются на основе анализа рисков.
Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой информационной системы предприятия.

На основе проведенного исследования, можно говорить о том, что определение аудита безопасности конкретизировано не устоялось, но исходя из различных источников, его можно описать как процесс сбора и анализа об информационной системе для качественной или количественной оценки уровня ее защищенности от атак злоумышленников.
Иными словами, это всесторонние обследование, задачей которого является оценка текущее состояние информационной безопасности, а результатом - построение эффективной системы защиты, которая будет соответствовать текущим целям и задачам, как предприятий, так и отдельных критичных областей информационных систем.
Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться. Но в общем, можно выделить 3 подхода, которые были детально изучены в курсовой работе. Также были детально изучены и описаны основные этапы проведения аудита информационной безопасности предприятия.
Благодаря результатам аудита появляется основа формирования стратегии, развития системы обеспечения информационной безопасности предприятий. Но следует заметить, что аудит безопасности должен осуществляться на регулярной основе, это зависит не только от того что любая информационная система имеет возможность видоизменятся в ходе работы, но и от увеличения разновидностей угроз безопасности. Только в этом случае аудит будет приносить пользу и способствовать повышению уровня информационной безопасности предприятий.
В качестве объекта исследования в курсовой работе было выбрано отечественное предприятие ПАО «Северсталь». ПАО «Северсталь» — одна из крупнейших в мире вертикально интегрированных сталелитейных и горнодобывающих компаний c активами в России, Беларуси, Украине, Латвии, Польше, Италии и Либерии. Акции компании котируются на российской торговой площадке ММВБ-РТС, глобальные депозитарные расписки представлены на Лондонской фондовой бирже.
Рассмотрев деятельность предприятия, можно говорить о том, что уже сформирована собственная служба по защите информации. Вся документация предприятия обрабатывается этой службой и под строгим контролем выдается уполномоченным работникам. Также эта служба предоставляет права доступа к информационным системам предприятия и сети Интернет.
На основе анализа аудиторского заключения об информационной безопасности предприятия можно говорить о том, что ПАО «Северсталь» подвержено значительным угрозам информационной безопасности.
Система информационной безопасности предприятия включает в себя четыре основных элемента, которые направлены на ликвидацию каждого отдельного вида угроз. Это приводит к формированию единого комплексного подхода к обеспечению информационной безопасности на предприятии. В рамках курсовой работы проведено детальное исследование каждого из элементов системы информационной безопасности предприятия.
По итогам формирования направлений повышения эффективности информационной безопасности предприятия было выявлено, что наиболее важные изменения в информационной безопасности ПАО «Северсталь» направлены на улучшение работы персонала с информационной системой, поскольку значительные риски информационной безопасности формируются из-за человеческого фактора.