Аудит информационной безопасности сайта «BES22.RU»
ВВЕДЕНИЕ
Из-за высокой конкуренции и роста объемов информации невозможно представить себе организацию, в которой нет информационной системы. В ней хранится большое количество информации, из чего следует, что информационная система становится ценной и стратегически важной. Эффективность информационной системы зависит от того, насколько хорошо обеспечена ее защита с точки зрения информационной безопасности. Согласно отчету «РТК-Солар» с января по апрель 2023 года, в сеть Интернет попали данные 123 российских организаций, а общий объем опубликованных данных составил 1,1 терабайта из них 76 % утечек составляют различные базы данных, 24 % утечек составляют массивы документов, украденных с файловых серверов.
Актуальность работы обусловлена тем, что при всем желании создать абсолютно идеальную защиту информации для сайта попусту невозможно. Так как от этого зависит множество факторов и в этом случае необходимо найти, изучить и дать оценку информационной безопасности системы
СОДЕРЖАНИЕ
ВВЕДЕНИЕ……………………………………………………………………………4
ГЛАВА 1. ПОНЯТИЕ АУДИТА ИБ………………………………………………5
1.1 Классификация аудита ИБ5
1.2 Этапы проведения аудита ИБ7
1.3 Основы аудита информационной безопасности7
ГЛАВА 2. САЙТ И ЕГО КЛАССИФИКАЦИЯ…………………………………10
2.1 Понятие об веб-сайте и его классификации10
2.2 Стек разработки13
2.3 Состав программных средств14
ГЛАВА 3. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ САЙТА………………….17
3.1 Понятие об информационной безопасности сайта17
3.2 Модель вероятного нарушителя информационной безопасности18
ГЛАВА 4. АУДИТ ВЕБ-САЙТА НА WORDPRESS……………………………23
4.1 Результаты аудита сайта. Часть 123
4.2 Результаты аудита сайта. Часть 232
4.3 Рекомендации по предотвращению актуальных угроз35
ЗАКЛЮЧЕНИЕ……………………………………………………………………...38
СПИСОК ЛИТЕРАТУРЫ…………………………………………………………..39
СПИСОК ЛИТЕРАТУРЫ
1. Аудит информационной безопасности органов исполнительной власти: Учеб. пособие/ Аверичников В. И., Рытов М. Ю., Кувылкин А. В., Рудановский М. В.– М.: Флинта, 2011. – 100 с.
2. Мониторинг и аудит информационной безопасности автоматизированных систем. Кульба В. В., Шелков А. Б., Гладков Ю. М., Павельев С. В.– М.: ИПУ им. В.А. Трапезникова РАН, 2009. – 94 с.
3. Методы оценки несоответствия средств защиты информации / под ред. А.С. Маркова. Марков А. С., Цирлов В. Л., Барабанов А. В. – М.: Радио и связь, 2012. – 192 с.
4. Хомяков В. А. Аудит как метод модернизации системы обеспечения информационной безопасности // Экономический вестник Ярославского университета. 2013. No 29. С. 48-52.
5. Астахов А. Введение в аудит информационной безопасности [Доклад] // GlobalTrust Solutions [Электронный ресурс]. 2018. – URL: http://globaltrust.ru (дата обращения: 12.01.2023)
6. Методический документ. Утвержден ФСТЭК России 5 февраля 2021 г. [Электронный ресурс]: - Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021 (дата обращения: 10.01.2023).
7. БДУ - Типовые уязвимости веб-приложений. [Электронный ресурс]: - Режим доступа: https://bdu.fstec.ru/webvulns (дата обращения: 16.01.2023).
8. Website. [Электронный ресурс]: - Режим доступа: https://www.searchmetrics.com/glossary/website/ (дата обращения: 16.01.2023).
9. Сайт. [Электронный ресурс]: - Режим доступа: https://ru.wikipedia.org/wiki/Сайт (дата обращения: 16.01.2023).
10. Типы и виды сайтов. [Электронный ресурс]: - Режим доступа: https://sait-sozdat.ru/vidy-sait/ (дата обращения: 18.01.2023).
11. Website Security. [Электронный ресурс]: - Режим доступа: https://www.cisa.gov/uscert/ncas/tips/ST18-006 (дата обращения: 10.01.2023).
12. How to Secure A Website. [Электронный ресурс]: - Режим доступа: https://www.malcare.com/blog/website-security/ (дата обращения: 14.01.2023).
13. Основные угрозы безопасности сайта. [Электронный ресурс]: - Режим доступа: https://habr.com/ru/post/279787/ (дата обращения: 15.01.2023).
14. Языки программирования для создания сайтов. [Электронный ресурс]: - Режим доступа: https://studiobit.ru/blog/sozdanie-web-saytov/yazyki-programmirovaniya-dlya-sozdaniya-saytov/ (дата обращения: 15.01.2023).
15. Выбор технологий для большого и не очень большого веб-проекта. [Электронный ресурс]: - Режим доступа: https://habr.com/ru/company/SECL_GROUP/blog/315734/ (дата обращения: 15.01.2023).
16. Контрольный список аудита веб-сайта. [Электронный ресурс]: - Режим доступа: https://www-growfox-co-uk.translate.goog/topics/seo-website-audit?_x_tr_sl=en&_x_tr_tl=ru&_x_tr_hl=ru&_x_tr_pto=sc (дата обращения: 19.01.2023).
Например, CMS может быть более подходящим для простых веб-сайтов, в то время как сложные веб-приложения могут требовать использования нативного языка программирования.
В основном использование шаблонов или CMS является выбором большинства. Так как пользователь может создавать, управлять и изменять контент на веб-сайте без необходимости иметь специальные технические знания.
2.3 Состав программных средствВ целях безопасности название объекта аудита в названии было изменено. Официальное название организации рассматриваемого сайта – ООО «Бюро экономических споров», название сайта – бэс22.рф.
Чтобы определить откуда может возникать угроза необходимо понять из чего сделан сам сайт. Написан ли он полностью с нуля или с помощью фреймворка или CMS. В первом и во-втором случае разработчику сайта необходимы не только знание языков программирования, а также понимание