Разработка программы для оценки рисков информационной безопасности в банковской сфере

Как написать ВКР МУИВ на тему Разработка программы для оценки рисков информационной безопасности в банковской сфере

Нужна ВКР по этой теме?
Ответим за 10 минут!
Telegram: @Diplomit
Телефон/WhatsApp: +7 (987) 915-99-32, Email: admin@diplom-it.ru

Оформите заказ онлайн: Заказать ВКР МУИВ

Введение

Банковская сфера — одна из самых уязвимых и регулируемых отраслей с точки зрения информационной безопасности. Каждый год финансовые организации несут миллиардные убытки из-за кибератак, утечек данных и внутренних инцидентов. В этих условиях разработка программного инструмента для оценки рисков ИБ становится не просто актуальной задачей, а необходимостью. Однако перевод этой идеи в формат выпускной квалификационной работы (ВКР) по направлению 09.03.02 «Информационные системы и технологии» в Московском университете имени С.Ю. Витте (МУИВ) — задача колоссальной сложности.

Студенту предстоит не только создать работающую программу, но и глубоко проанализировать нормативную базу (ФЗ-152, ФЗ-187, стандарты Банка России), провести аудит реального или модельного банка, применить методики оценки рисков (например, OCTAVE, ISO/IEC 27005), спроектировать архитектуру ПО, реализовать алгоритмы расчёта, протестировать решение и обосновать его экономическую целесообразность. При этом вся работа должна строго соответствовать методическим указаниям МУИВ, включая структуру, оформление и содержание каждой главы.

Если вы совмещаете учёбу с работой в IT-отделе или испытываете дефицит времени на изучение специализированных методик, самостоятельное выполнение такой работы может привести к задержкам, стрессу и даже риску не сдать в срок. В этой статье мы детально разберём стандартную структуру ВКР по вашей теме, дадим практические шаблоны, примеры таблиц и чек-лист для самооценки. Это поможет вам трезво оценить свои ресурсы и принять осознанное решение: писать самому или доверить задачу профессионалам, которые уже успешно защитили более 350 подобных работ в МУИВ.

Стандартная структура ВКР МУИВ по 09.03.02: детальный разбор по главам

ВВЕДЕНИЕ

• Назначение: Обосновать выбор темы, сформулировать цель и задачи работы, определить объект и предмет исследования.
• Содержание:
  • Актуальность темы в современных условиях
  • Объект и предмет исследования
  • Цель и задачи работы (4–6 конкретных задач)
  • Структура работы (краткое описание глав)
• Сложности: Расплывчатая формулировка актуальности, несоответствие задач цели, отсутствие чёткой структуры.
• Рекомендации: Начинать с глобальных тенденций (рост DDoS-атак на банки, ужесточение требований ЦБ РФ), затем переходить к конкретной проблеме предприятия. Задачи должны логически вытекать из цели.
• Шаблон: «Актуальность работы обусловлена необходимостью автоматизации процесса оценки рисков информационной безопасности в условиях постоянного роста киберугроз и ужесточения регуляторных требований со стороны Банка России...»

АНАЛИТИЧЕСКАЯ ЧАСТЬ

1 АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ

1.1 Анализ подразделения информационной безопасности банка ПАО «Финанс-Банк»

1.1.1 Дерево бизнес-направлений организации

• Назначение: Визуализировать структуру банка и выделить подразделение, отвечающее за ИБ.
• Содержание: Иерархическая схема направлений деятельности банка.
• Сложности: Отсутствие реальных данных о структуре банка.
• Рекомендации: Использовать информацию из открытых источников (годовые отчёты, сайт банка) или условную модель.
• Пример: [Здесь приведите схему: Совет директоров → Правление → Блок операционного риска → Управление ИБ → Отдел анализа угроз]

1.1.2 Сопоставление бизнес-процессов и критических факторов успеха организации

• Назначение: Выявить приоритетные для защиты бизнес-процессы.
• <Содержание: Матрица сопоставления процессов и факторов успеха, матрица ранжирования.
• Сложности: Неправильное определение критических факторов успеха.
• Рекомендации: Использовать методику CSF (Critical Success Factors).
• Шаблон таблицы:

  Бизнес-процесс	КФУ 1: Непрерывность	КФУ 2: Конфиденциальность	КФУ 3: Соответствие регуляторам
  Обработка клиентских платежей	Высокий	Высокий	Высокий
  Хранение персональных данных	Средний	Высокий	Высокий

1.1.3 Анализ структуры и нормативной документации подразделения

• Назначение: Изучить регламенты, регулирующие процессы ИБ.
• Содержание: Описание организационной структуры, должностных инструкций, политик ИБ.
• Сложности: Отсутствие доступа к внутренней документации.
• Рекомендации: Для университетских работ использовать типовые политики ИБ и требования Банка России (Указание №793-У).

1.2 Моделирование бизнес-процесса

1.2.1 Моделирование "КАК ЕСТЬ"

• Назначение: Детально описать текущий процесс оценки рисков.
• Содержание: Диаграммы в нотациях:
  • IDEF0 (обязательно с декомпозицией)
  • DFD
  • Диаграмма активностей (BPMN)
  • Матрица RACI
• Сложности: Неправильное использование нотаций, отсутствие декомпозиции.
• Рекомендации: Для каждого элемента диаграммы давать подробное текстовое описание.
• Пример: [Ссылка на рисунок 1.3 — IDEF0: A0 «Оценка рисков ИБ», A1 «Сбор данных об активах», A2 «Идентификация угроз»]

1.2.2 Моделирование процесса "КАК ДОЛЖНО БЫТЬ"

• Назначение: Разработать оптимизированную версию процесса.
• Содержание:
  • Оценка проблемности процесса (по таблице 1.3)
  • Цели и KPI (срок оценки, точность, покрытие активов)
  • Оптимизированная модель в той же нотации
• Сложности: Отсутствие конкретных методов оптимизации.
• Рекомендации: Использовать методы: автоматизация сбора данных, стандартизация шкал рисков, интеграция с SIEM.
• KPI примеры: Снижение времени оценки на 40%, повышение полноты охвата активов до 95%.

1.3 Анализ рынка программного обеспечения для автоматизации оценки рисков ИБ

• Назначение: Изучить аналоги разрабатываемой системы.
• Содержание: Обзор 3–5 систем-аналогов (например, RiskWatch, Securonomics, внутренние решения Сбера).
• Сложности: Путаница со средствами разработки.
• Рекомендации: Анализировать именно готовые решения для банковского сектора.
• Шаблон таблицы:

  Система	Производитель	Методика оценки	Интеграция с банковскими системами
  RiskWatch	RiskWatch Inc.	OCTAVE, NIST	Через API
  Securonomics	«Лаборатория Касперского»	ISO/IEC 27005	Да

1.4 Анализ стейкхолдеров и их требований к разрабатываемой системе

• Назначение: Выявить всех заинтересованных лиц (CISO, аудиторы, регуляторы, ИТ-отдел).
• Содержание: Перечень стейкхолдеров и их требования (соответствие стандартам, отчётность, простота использования).
• Сложности: Неполный охват сторон.
• Рекомендации: Использовать матрицу заинтересованных сторон.

1.5 Выбор средств разработки

• Назначение: Обосновать выбор технологического стека.
• Содержание:
  • Анализ существующего ПО в банке
  • Сравнение языков (Python, C#), СУБД (PostgreSQL, MSSQL), фреймворков
  • Обоснование выбора
• Сложности: Смешение с разделом 1.3.
• Рекомендации: Приводить таблицы сравнения по критериям: безопасность, масштабируемость, поддержка.

1.6 Техническое задание на разработку системы оценки рисков ИБ

• Назначение: Формализовать требования к системе.
• Содержание: ТЗ по ГОСТ 34.602-2020 (выносится в Приложение 1).
• Сложности: Несоблюдение структуры ГОСТ.
• Рекомендации: Строго следовать разделам ГОСТ.

1.7 Выводы по разделу

• Назначение: Подвести итоги аналитической части.
• Содержание: Краткие выводы по каждому подразделу, обоснование необходимости разработки системы.

ПРОЕКТНАЯ ЧАСТЬ

2 ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА ПРОЕКТА

2.1 Структурирование требований к разрабатываемой системе

2.1.1 Логическое моделирование данных

• Назначение: Определить функциональные требования.
• Содержание:
  • UseCase диаграмма (UML): актеры — аналитик ИБ, CISO, аудитор
  • Диаграмма последовательности
  • Диаграмма функций
• Сложности: Неправильное выделение актеров.
• Рекомендации: Для каждой диаграммы давать подробное описание.

2.1.2 Конструирование модели данных

• Назначение: Разработать структуру базы данных.
• Содержание:
  • ER-диаграмма: сущности — Актив, Угроза, Уязвимость, Риск, Контроль
  • Диаграмма классов (UML)
• Сложности: Неправильная нормализация.
• Рекомендации: Подробно описать каждую сущность и связи.

2.2 Разработка программного обеспечения

2.2.1 План разработки ПО

• Назначение: Спланировать этапы разработки.
• Содержание: Диаграмма Ганта с этапами: анализ, проектирование, кодирование, тестирование.
• Сложности: Нереалистичные сроки.
• Рекомендации: Учитывать время на согласование с регуляторными требованиями.

2.2.2 Frontend-разработка

• Назначение: Описать интерфейс системы.
• Содержание: Прототипы экранов: карта рисков, журнал инцидентов, отчёты.
• Сложности: Сложность визуализации многомерных данных.
• Рекомендации: Использовать heat-map для отображения уровня риска.

2.2.3 Backend-разработка

• Назначение: Описать серверную часть.
• Содержание: Архитектура (микросервисы), алгоритмы расчёта риска (R = P × I), интеграция с Active Directory.
• Сложности: Излишняя детализация кода.
• Рекомендации: Привести ключевые фрагменты с комментариями.

2.2.4 Разработка модели доступа к данным

• Назначение: Описать систему разграничения прав.
• Содержание: Модель ролей: аналитик (только просмотр), администратор (редактирование), аудитор (экспорт отчётов).
• Сложности: Неполное описание функционала для разных ролей.
• Рекомендации: Таблица с ролями и разрешениями.

2.2.5 Тестирование разработанного ПО

• Назначение: Оценить качество системы.
• Содержание: Методы: unit-тесты, интеграционное тестирование, тестирование безопасности.
• Сложности: Повторение отчёта из практики.
• Рекомендации: Кратко описать процесс и результаты.

2.2.6 План внедрения и развертывания ПО

• Назначение: Спланировать внедрение.
• Содержание: Этапы: пилотное внедрение, обучение, полномасштабный запуск.
• Сложности: Отсутствие этапа обучения.
• Рекомендации: Включить обучение сотрудников ИБ-отдела.

2.3 Руководства администратора и пользователя

• Назначение: Подготовить документацию.
• Содержание: Руководства по РД 50-34.698-90 (выносятся в Приложения 3,4).
• Сложности: Несоблюдение структуры ГОСТ.
• Рекомендации: Разделить на руководство администратора и пользователя.

2.4 Выводы по главе 2

• Назначение: Подвести итоги проектной части.
• Содержание: Краткие выводы по проектированию и разработке.

ЭКОНОМИЧЕСКАЯ ЧАСТЬ

3 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ОТ РАЗРАБОТКИ ИС

3.1 Расчет затрат на разработку ИС

• Назначение: Определить затраты на создание системы.
• Содержание: Методика TCO.

3.2 Выбор и обоснование методики расчёта экономической эффективности

• Назначение: Обосновать выбранный метод.
• Содержание: Описание методики REJ или NPV.

3.3 Оценка затрат на разработку и внедрение АИС

3.3.1 Затраты на этапе разработки

• Содержание: Оборудование, ПО, оплата труда (Σ(Ti * Rj)), начисления.

3.3.2 Затраты на этапе внедрения

• Содержание: Обучение, лицензии, консалтинг.

3.3.3 Затраты на этапе эксплуатации

• Содержание: Зарплата администратора, обновления, мониторинг.

3.4 Эффект от внедрения АИС

• Назначение: Определить положительные изменения.
• Содержание: Снижение числа инцидентов, уменьшение штрафов ЦБ, повышение рейтинга ИБ.

3.5 Экономический эффект

• Формула: Эффект = Стоимость ресурсов до - Стоимость ресурсов после

3.6 Социальный эффект

• Содержание: Повышение доверия клиентов, улучшение репутации банка.

3.7 Научный эффект

• Содержание: Применение гибридных методик оценки рисков, адаптация международных стандартов под российское регулирование.

3.8 Организационный эффект

• Содержание: Повышение управляемости рисками, соответствие требованиям Банка России.

3.9 Эффективность внедрения АИС

• Содержание: Расчёт NPV, IRR, ROI, срока окупаемости.
• Формула: NPV = -IC + Σ(CFt/(1+i)^t)

3.10 Расчёт показателей экономической эффективности проекта

• Содержание: Подробный расчёт по методике REJ (5 шагов).

3.11 Выводы по главе 3

• Содержание: Оценка целесообразности и эффективности.

ЗАКЛЮЧЕНИЕ

• Содержание: Обобщение результатов, подтверждение достижения цели, практическая значимость.

СПИСОК ЛИТЕРАТУРЫ

• Содержание: 15–20 источников по ГОСТ Р 7.0.100-2018 (стандарты Банка России, ISO/IEC 27005, монографии по ИБ).

ПРИЛОЖЕНИЯ

Приложение 1. Техническое задание на разработку системы оценки рисков ИБ

Приложение 2. Исходный код модуля расчёта риска

Приложение 3. Руководство администратора

Приложение 4. Руководство пользователя

Готовые инструменты и шаблоны для разработки программы оценки рисков ИБ в банковской сфере

Шаблоны формулировок:

• «Целью работы является разработка программного средства, обеспечивающего автоматизированную оценку рисков информационной безопасности в ПАО «Финанс-Банк» на основе методики ISO/IEC 27005 и требований Банка России».
• «Актуальность темы обусловлена ростом числа кибератак на финансовые организации и необходимостью соответствия Указанию Банка России №793-У».

Пример расчёта риска:

Актив	Угроза	Вероятность	Воздействие	Риск (P×I)
Сервер БД клиентов	Взлом хакерами	0.3	900 000 руб.	270 000 руб.

Чек-лист "Оцени свои силы":

• Знакомы ли вы с требованиями Банка России к ИБ (Указание №793-У)?
• Уверены ли вы в правильности применения методики ISO/IEC 27005?
• Есть ли у вас опыт работы с банковскими данными (даже модельными)?
• Готовы ли вы потратить 180+ часов на написание, тестирование и расчёты?
• Есть ли у вас доступ к научному руководителю, специализирующемуся на ИБ?

И что же дальше? Два пути к успешной защите

Путь 1: Самостоятельный. Вы берёте на себя весь объём: анализ регуляторных требований, моделирование процессов, проектирование ПО, реализацию алгоритмов оценки рисков, экономические расчёты. Этот путь потребует от вас от 150 до 200 часов упорной работы, готовности разбираться в банковском регулировании и стрессоустойчивости при работе с правками.

Путь 2: Профессиональный. Вы выбираете надёжность и экономию времени. Мы предоставим:

• Гарантированное соответствие требованиям МУИВ и Банка России;
• Качественную реализацию всех разделов — от аналитики до экономики;
• Поддержку до самой защиты и бесплатные доработки без ограничений по времени.

Если после прочтения этой статьи вы осознали, что самостоятельное написание отнимет слишком много сил, или вы просто хотите перестраховаться — обращение к нам является взвешенным и профессиональным решением. Мы возьмём на себя все технические сложности, а вы получите готовую, качественную работу и уверенность перед защитой.

Оформите заказ онлайн: Заказать ВКР МУИВ

Заключение

Написание ВКР по теме «Разработка программы для оценки рисков информационной безопасности в банковской сфере» — это вызов даже для подготовленного студента. Работа требует глубоких знаний в области кибербезопасности, банковского регулирования, проектирования ПО и экономического анализа. Написание ВКР МУИВ — это марафон. Вы можете пробежать его самостоятельно, имея хорошую подготовку и запас времени, или доверить эту задачу профессиональной команде, которая приведёт вас к финишу с лучшим результатом и без лишних потерь. Правильный выбор зависит от вашей ситуации, и оба пути имеют право на существование. Если вы выбираете надёжность и экономию времени — мы готовы помочь вам прямо сейчас.

Перечень тем с руководствами по написанию. для 38.03.05 Бизнес-информатика Направленность: Цифровая экономика, МУИВ

Все готовые работы

• Условия работы и как сделать заказ
• Наши гарантии
• Отзывы наших клиентов