Аудит информационной безопасности МБОУ «СОШ №117»
ВВЕДЕНИЕ
Защита информационной безопасности в образовательном учреждении представляет собой комплекс мер, направленных на достижение двух основных целей. Первая цель состоит в защите персональных данных и информационного пространства от несанкционированного доступа, кражи информации и изменений в системе со стороны третьих лиц. Вторая цель заключается в обеспечении защиты учеников от любого вида непозволительной пропаганды, запрещенной рекламы и информации, противоречащей законодательству.В соответствии с действующим законодательством информационная безопасность в современной образовательной среде включает защиту информации и данных, относящихся к следующим категориям:Персональные данные и сведения, относящиеся к учащимся, преподавателям, административному персоналу учреждения, а также цифровые архивные документы.Учебные программы, базы данных, библиотеки и другая структурированная информация, используемая в учебном процессе.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ГЛАВА I АУДИТ. ОСНОВНЫЕ МЕТОДИКИ ПРОВЕДЕНИЯ АУДИТА
1 Основные понятия по теме аудита информационной безопасности
2 Основные методики проведения аудита
3 Процессы проведения внутреннего и внешнего аудита безопасности информационных систем.
4 План проведения аудита информационной безопасности
ГЛАВА II СТРУКТУРА ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
1 Описание структуры учреждения
2 Программно-аппаратное описание учреждения
3 Сбор информации о мерах и средствах защиты ИС
4 Исследование существующей документации по информационной безопасности
ГЛАВА III АНАЛИЗ ДАННЫХ И УСТАНОВЛЕНИЕ СООТВЕТСВИЙ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬНЫХ АКТОВ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1 Определение категорий ПДн, хранящихся в информационной системе
2 Составление модели угроз с учетом полученных данных
3 Оценка соответствия ИСПДн требованиям Постановления Правительства РФ №1119
4 Проведение оценки ИС согласно требованиям Приказа ФСТЭК России №21
5 Проведение оценки согласно требованиям ГОСТ Р 50739-95
Глава IV РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО РЕЗУЛЬТАТАМ АНАЛИЗА ДАННЫХ С ЭКОНОМИЧЕСКОЙ ЧАСТЬЮ ЗАЩИТЫ
1 Рекомендации направленные на выполнение ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006
2 Рекомендации, направленные на организационные меры обеспечения защиты информации
3 Рекомендации обновления программного обеспечения образовательного учреждения
4 Проведение расчета экономических затрат, направленных на обеспечение информационной безопасности организации
ЗАКЛЮЧЕНИЕ
Не найдено
Сфера информационных технологии на данный момент постоянно изменятся, что приводит к появлению новых программных и технических средств, а также угроз, которые не были изучены ранее. Для защиты требуется постоянно отслеживать изменчивость технологий, а также осуществлять контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности (далее — аудит ИБ). Аудит ИБ — это проверка средств управления в организации, на соблюдение обязательных требований и норм, которая проходит в рамках инфраструктуры информационных технологий (ИТ) и проходит в соответствии со стандартами Российской Федерации. Оценка полученных результатов проверки определяет, обеспечивают ли информационные системы защиту учреждения, поддержание целостности данных и эффективное функционирование для предотвращения угроз. Аудит выполняет проверку соответствия всем обязательным требованиям, установленным нормативными правовыми актами и внутренними документами (локальными актами), которые разрабатываются юридическим лицом самостоятельно. При анализе нормативно-правовой базы в области защиты информационной системы персональных данных (далее - ИСПДн) выяснилось, что в российском законодательстве отсутствуют документы, описывающие методику проведения аудита информационной безопасности ИСПДн. Также отсутствуют документы, которые являются основой для регламента аудита ИСПДн в образовательных учреждениях Российской Федерации. Именно поэтому разработка методики аудита информационной безопасности ИСПДн средней общеобразовательной школы (далее - СОШ) является вопросом первостепенной важности в контексте обеспечения конфиденциальности информации с ограниченным доступом.