Магистерский диплом (ВКР) на тему Разработка подходов к оценке внеплановых потерь от инцидентов информационной безопасности на объектах ТЭК
-
Оформление работы
-
Список литературы по ГОСТу
-
Соответствие методическим рекомендациям
-
И еще 16 требований ГОСТа,которые мы проверили
Введи почту и скачай архив со всеми файлами
Ссылку для скачивания пришлем
на указанный адрес электронной почты
Содержание:
ВВЕДЕНИЕ 4
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ РАССМОТРЕНИЯ ВОПРОСОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТАХ ТЭК 6
1.1 Понятие, сущность информационной безопасности и инцидентов информационной безопасности 6
1.2 Законодательное регулирование обеспечения информационной безопасности 14
1.3 Задачи обеспечения информационной безопасности в системе экономической защиты объектов топливно-энергетического комплекса 17
ГЛАВА 2. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ОЦЕНКИ ВНЕПЛАНОВЫХ ПОТЕРЬ ОТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТАХ ТЭК 34
2.1 Методы оценки инцидентов информационной безопасности и внеплановых потерь от них 34
2.2 Порядок и особенности анализа инцидентов информационной безопасности в отрасли ТЭК 41
2.3 Экономическая оценка внеплановых потерь инцидентов информационной безопасности 49
ГЛАВА 3. РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ВНЕПЛАНОВЫХ ПОТЕРЬ ОТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТАХ ТЭК С ЦЕЛЬЮ МИНИМИЗАЦИИ ЭКОНОМИЧЕСКИХ ПОТЕРЬ 55
3.1 Совершенствование методического подхода оценки внеплановых потерь от инцидентов информационной безопасности на объектах ТЭК 55
3.2 Разработка комплексного плана мероприятий, направленного на сокращение угроз информационной безопасности 62
3.3 Обоснование экономической эффективности предложенного подхода 65
ЗАКЛЮЧЕНИЕ 72
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 74
ПРИЛОЖЕНИЯ 79
Введение:
Внедрение новых информационных технологий во всех сферах дея-тельности человека обуславливает рост значимости информационной без-опасности. Нарушения, которые могут быть вызваны несвоевременным выявлением и предотвращением угроз информационной безопасности фе-деральных органов исполнительной власти, предоставляют угрозу нацио-нальной безопасности. Вследствие этого, сфера выявления и противодей-ствия угроз является приоритетной.
Актуальность темы исследования обусловлена отсутствием ком-плексного подхода к предотвращению угроз информационной безопасно-сти предприятий топливно-энергетического сектора (далее – ТЭК) и воз-растающей ролью процессов автоматизации и цифровизации отрасли.
Цель исследования — разработка подходов к оценке внеплановых по-терь от инцидентов информационной безопасности на объектах ТЭК.
Для достижения поставленной были сформулированы следующие задачи:
— рассмотреть понятие, сущность информационной безопасности и инцидентов информационной безопасности;
— изучить законодательное регулирование обеспечения информаци-онной безопасности;
— определить задачи обеспечения информационной безопасности в системе экономической защиты объектов топливно-энергетического ком-плекса;
— исследовать методы оценки инцидентов информационной безопас-ности и внеплановых потерь от них;
— раскрыть порядок и особенности анализа инцидентов информаци-онной безопасности в отрасли ТЭК;
— рассмотреть экономическую оценку внеплановых потерь инциден-тов информационной безопасности;
— предложить совершенствование методического подхода оценки внеплановых потерь от инцидентов информационной безопасности на объ-ектах ТЭК;
— разработать комплексный план мероприятий, направленный на со-кращение угроз информационной безопасности;
— представить обоснование экономической эффективности предло-женного подхода.
Объектом данного исследования является информационная безопас-ность предприятий ТЭК, а предметом – меры предотвращения угроз ин-формационной безопасности предприятия.
Используемые методы исследования:
анализ литературы и нормативно-правовых документов по теме исследования;
сравнение;
моделирование (получение информации о предмете через создан-ную модель);
измерение (получение количественных данных);
изучение и обобщение сведений.
Степень разработанности темы. Проблеме предотвращения угроз информационной безопасности посвящены работы таких авторов, как Ко-ровяковский Д.Г., Кириллова О.С., Терещенко Л.К., Тиунов О.И., Соко-лов Д.В., Джафарова З.К.
Практическая значимость данного проекта заключается в усовер-шенствовании методики предотвращения угроз информационной безопас-ности.
Цель и задачи исследования определили структуру работы, которая представлена введением, тремя главами, заключением и списком использо-ванных источников.
Заключение:
Цифровизация энергетической отрасли революционизирует процес-сы производства, хранения, транспортировки и потребления энергии. Наши энергетические инфраструктуры, которые были спроектированы не-сколько десятилетий назад и должны были оставаться функциональными в течение многих лет, не связаны с цифровым оборудованием, с которым они взаимодействуют на ежедневной основе. Эти изменения способствова-ли значительному повышению доступности, эффективности и реактивности энергетических систем. Но они также открывают возможность кибератак, которые были относительно неважны в энергетической отрасли до 2010 года. Количество и техничность таких атак возросли с тех пор, как вирус Stuxnet был обнаружен миру, хотя эта атака на иранский ядерный объект остается самой сложной из когда-либо наблюдавшихся на сегодняшний день. И хотя сейчас существует реальная осведомленность об этих угрозах в энергетическом секторе, риски остаются. Политика энергетического пе-рехода и инициативы по интеграции возобновляемых источников энергии усугубляют эти тенденции до тех пор, пока кибербезопасность не интегри-рована в проектирование будущих энергетических систем.
Критические свойства автоматизированных систем как объектов кри-тической информационной инфраструктуры можно отнести к конфиденци-альности, целостности и доступности защищаемых ресурсов с различными категориями важности.
Достоверность оценок безопасности ау-томатизированных систем существенно зависит от модальности формирования структуры системы информационной безопасности, которая должна обладать свойством адап-тивности к нейтрализуемым угрозам информационная безопасность.
На основе модели формирования структуры системы информацион-ной безопасности автоматизированных систем путем распространения ме-ханизмов защиты по нейтрализуемым угрозам информационной безопас-ности реализованы валы потенциального риска от реализации фактиче-ских угроз определяются для каждого уровня защиты.
В результате проведенного анализа в работе была предложена мето-дика оценки защиты критически важных свойств автоматизированных си-стем как объектов критической информационной инфраструктуры. Кон-фиденциальность, целостность и доступность защищенных ресурсов с раз-личными категориями важности определяются как критические свойства.
В работе показано, что существующие модели информационных си-стем безопасности в составе автоматизированных систем и методов обес-печения безопасности критических свойств не в полной мере отражают специфику систем информационной безопасности как сложных организа-ционно-технических систем, поведение которых, как правило, отражает динамику плохо структурированных процессов, характеризующихся вы-сокой степенью неопределенности из-за нестационарности, неточности и недостаточности наблюдений, нечетких и нестабильных тенденций.
Достоверность оценок ресурсной безопасности автоматизированных систем существенно зависит от выбранной модели формирования структу-ры системы информационной безопасности.
На основе модели формирования структуры системы информацион-ной безопасности автоматизированных систем путем распределения меха-низмов защиты по нейтрализуемым угрозам информационной безопасно-сти определены значения потенциального риска от ре-алиментации акту-альных угроз для каждого уровня защиты.
Методика используется при проектировании и разработке автомати-зированных систем государственного и военного управления.
Фрагмент текста работы:
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ РАССМОТРЕНИЯ ВОПРОСОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТАХ ТЭК
1.1 Понятие, сущность информационной безопасности и инцидентов информационной безопасности
Информационная безопасность (далее – ИБ), также называемая information security или infosec, — это практика защиты данных и информа-ции от несанкционированного доступа и поддержания ее конфиденциаль-ности, целостности и доступности в любое время. Она включает в себя ме-тоды защиты частной и конфиденциальной информации на печатных или цифровых носителях от несанкционированного изменения, удаления, рас-крытия или нарушения.
Любая хорошая программа управления информационной безопас-ностью должна быть разработана для достижения трех принципов инфор-мационной безопасности. Вместе они широко известны как цели устойчи-вого развития (далее – ЦРУ): конфиденциальность, целостность и доступ-ность. Рассмотрим содержание каждого из них.
1. Конфиденциальность. Принцип конфиденциальности защищает критически важную информацию от разглашения неуполномоченным ли-цам, организациям или процессам. Это гарантирует, что конфиденциаль-ная информация остается частной, если кто-то не нуждается в ней для вы-полнения своих служебных обязанностей.
Самое элементарное и известное всем обеспечение конфиденциально-сти информации с помощью паролей, шифрования, многофакторной аутентификации и нескольких других способов. Но сначала важно опреде-лить, кто может получить доступ к чему, чтобы можно было ограничить несанкционированный доступ к определенной информации.
2. Целостность. Следующим элементом триады ЦРУ являет-ся целостность информации, хранящейся в организации. Проще говоря, он
