14 и 15 февраля скидка на заказ ВКР 25%. Пишите в ТГ @Diplomit
Наши контакты
+79879159932
Мобильный телефон
Все мессенджеры
+79879159932
заказать звонок
Email
admin@diplom-it.ru
Наши соц. сети
Поиск работ
Вход/Регистрация
0Избранное0Сравнить0Просмотренные
Корзина (0)---------

Корзина

Ваша корзина пуста

Меню
Каталог товаров
0Избранное0Сравнить0Просмотренные
Корзина (0)---------

Корзина

Ваша корзина пуста

График
Каталог товаров
Наши фото
2
3
1
4
5
6
7
8
9
10
11
информационная модель в виде ER-диаграммы в нотации Чена
Информационная модель в виде описания логической модели базы данных
Информациооная модель в виде описания движения потоков информации и документов (стандарт МФПУ)
Информациооная модель в виде описания движения потоков информации и документов (стандарт МФПУ)2
G
Twitter
FB
VK
lv
Лучшие работы
Разработка автоматизированной системы учета распределения и выполнения заявок по ремонту (Help Desk)Разработка автоматизированной системы учета распределения и выполнения заявок по ремонту (Help Desk)3 000 6 900 Защита персональных данных на предприятииЗащита персональных данных на предприятии3 000 Дипломная работа по информатике Разработка АИС контроля и учета рабочего времени сотрудников компанииДипломная работа по информатике Разработка АИС контроля и учета рабочего времени сотрудников компании4 800

Как написать ВКР на тему: «Анализ рисков использования SMS в системах двухфакторной аутентификации»

Полная структура ВКР: от введения до приложений

Нужна работа по этой теме?

Получите консультацию за 10 минут! Мы знаем все стандарты Синергия.

Telegram: @Diplomit
Телефон/WhatsApp: +7 (987) 915-99-32
Email: admin@diplom-it.ru

Заказать ВКР онлайн

С чего начать написание ВКР по теме «Анализ рисков использования SMS в системах двухфакторной аутентификации»?

Написание выпускной квалификационной работы по направлению 09.03.02 «Информационные системы и технологии» в университете Синергия с фокусом на информационную безопасность требует глубокого понимания как методологий анализа рисков, так и специфики уязвимостей каналов аутентификации. По нашему опыту, студенты чаще всего сталкиваются с тремя ключевыми сложностями: во-первых, формальный подход к анализу рисков без количественной оценки вероятности и воздействия угроз, во-вторых — недостаточная проработка современных атак на SMS-канал (SIM swapping, уязвимости протокола SS7, перехват через зараженные устройства), в-третьих — отсутствие обоснования миграции на более безопасные альтернативы (TOTP, FIDO2/WebAuthn) с учетом требований регуляторов (ЦБ РФ, НБКИ).

В методических рекомендациях Синергия особое внимание уделяется применению стандартизированных методологий анализа рисков (ОСТ ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27005-2018) с адаптацией под предметную область. В работах студентов Синергия мы регулярно видим замечания научных руководителей: «раскрыть количественную оценку рисков (не только качественную)», «усилить обоснование выбора методологии анализа (почему именно матрица вероятность/воздействие)», «добавить анализ угроз по модели DREAD или CVSS», «показать соответствие рекомендаций требованиям ЦБ РФ №722-П». Эта статья даст вам пошаговый план с примерами именно для вашей темы, но честно предупреждаем: качественная ВКР потребует 160–200 часов работы — от анализа нормативной базы до разработки матрицы рисков и обоснования миграционной стратегии по ГОСТ 7.0.5-2008.

Как правильно согласовать тему и избежать отказов

На этапе утверждения темы научный руководитель чаще всего отклоняет формулировки, где неясен объект анализа или отсутствует привязка к реальной информационной системе. Для темы про анализ рисков двухфакторной аутентификации критически важно заранее определить контекст использования SMS: интернет-банк АО «ФинТех Банк», мобильное приложение для электронной коммерции или корпоративная система управления доступом.

Типичные ошибки:

  • Слишком абстрактная формулировка: «анализ рисков SMS-аутентификации» без указания предметной области и критичности системы.
  • Отсутствие обоснования актуальности именно для финансового сектора (где требования к безопасности выше).
  • Неподготовленность к вопросу: «Какие конкретные инциденты компрометации SMS известны в российском сегменте?»

Пример удачного диалога с руководителем: «Я выбрал тему анализа рисков использования SMS в двухфакторной аутентификации для интернет-банка АО «ФинТех Банк», потому что в 2025 году ЦБ РФ зафиксировал 127 случаев мошенничества с использованием SIM swapping против клиентов банков, а внутренний аудит банка выявил, что 89% пользователей используют только SMS-код без резервных методов. Планирую провести анализ рисков по методологии ГОСТ Р ИСО/МЭК 27005 с количественной оценкой вероятности атак (на основе статистики ФСБ и ЦБ РФ) и воздействия (финансовые потери, репутационный ущерб). На основе анализа разработаю рекомендации по поэтапной миграции на гибридную модель аутентификации (SMS + TOTP) с учетом требований Указания ЦБ РФ №722-П».

Стандартная структура ВКР в Синергия по специальности Информационные системы и технологии: пошаговый разбор

Введение

Цель раздела: Обосновать необходимость анализа рисков именно для SMS-канала в контексте требований финансового регулятора и статистики инцидентов.

Пошаговая инструкция:

  1. Актуальность (1–1.5 страницы): опишите рост мошенничества с использованием компрометации SMS (статистика ЦБ РФ, ФСБ), упомяните крупные инциденты 2024–2025 гг. (например, атаки на клиентов Сбера и Тинькофф через SIM swapping).
  2. Степень разработанности: кратко упомяните 3–4 исследования по анализу уязвимостей аутентификации (например, работы А.А. Петренко, М.В. Соколова).
  3. Цель и задачи: цель — «провести анализ рисков использования SMS в системах двухфакторной аутентификации интернет-банка АО «ФинТех Банк»»; задачи — анализ угроз и уязвимостей SMS-канала, количественная оценка рисков, разработка рекомендаций по снижению рисков.
  4. Объект и предмет: объект — процесс аутентификации пользователей в интернет-банке АО «ФинТех Банк»; предмет — методы анализа информационных рисков в системах аутентификации.
  5. Методы исследования: анализ рисков по ГОСТ Р ИСО/МЭК 27005, методы моделирования угроз (STRIDE, DREAD), количественный анализ вероятности и воздействия.
  6. Практическая значимость: матрица рисков и дорожная карта миграции на более безопасные методы аутентификации, соответствующие требованиям ЦБ РФ.

Конкретный пример для темы: «Актуальность исследования обусловлена ростом мошенничества с использованием компрометации SMS-канала: по данным ЦБ РФ, в 2025 году зафиксировано 127 случаев успешных атак методом SIM swapping против клиентов банков с общим ущербом 84.3 млн руб. Внутренний аудит АО «ФинТех Банк» выявил, что 89% пользователей интернет-банка используют только SMS-код без резервных методов аутентификации, а 64% не знают о возможности блокировки SIM-карты при утере телефона. Уязвимости протокола SS7 и рост подкупов сотрудников сотовых операторов делают SMS ненадежным каналом для критически важных операций. Анализ рисков позволит обосновать переход на гибридную модель аутентификации с учетом требований Указания ЦБ РФ №722-П «О порядке обеспечения безопасности операций с использованием платежных карт»...»

Типичные сложности и временные затраты:

  • Ошибка 1: Актуальность написана общими фразами без привязки к статистике ЦБ РФ и конкретным инцидентам.
  • Ошибка 2: Отсутствие ссылок на нормативные документы регулятора (Указания ЦБ РФ, стандарты НБКИ).
  • Ориентировочное время: 12–18 часов (включая согласование с руководителем).

Визуализация: добавьте диаграмму «Структура инцидентов компрометации аутентификации в 2025 г.» с процентами по методам (SIM swapping — 58%, SS7 — 22%, фишинг с перехватом — 15%, прочие — 5%).

Кажется, что структура слишком сложная?

Наши эксперты помогут разобраться в требованиях Синергия и подготовят план exactly под вашу тему.

Свяжитесь с нами — @Diplomit или +7 (987) 915-99-32

Глава 1. Теоретические основы анализа рисков в системах аутентификации

1.1. Нормативно-правовое регулирование аутентификации в финансовом секторе РФ

Цель раздела: Продемонстрировать знание требований регулятора к методам аутентификации и обоснование необходимости анализа рисков.

Пошаговая инструкция:

  1. Опишите ключевые документы: Указание ЦБ РФ №722-П, СТО БР ИББС-1.0-2023 «Требования к обеспечению информационной безопасности», Рекомендации НБКИ по аутентификации.
  2. Раскройте требования к двухфакторной аутентификации: обязательность для операций свыше 5 000 руб., требования к независимости факторов, запрет на использование одного канала для отправки кода и подтверждения операции.
  3. Опишите позицию международных стандартов: рекомендации NIST SP 800-63B (SMS не рекомендуется как основной фактор), стандарты PCI DSS для платежных систем.
  4. Добавьте таблицу сравнения требований регуляторов к различным методам аутентификации (SMS, TOTP, биометрия, аппаратные ключи).

Конкретный пример для темы: «Согласно п. 3.2.1 Указания ЦБ РФ №722-П, двухфакторная аутентификация обязательна для операций с использованием платежных карт при сумме свыше 5 000 руб. При этом п. 3.2.4 требует независимости факторов аутентификации: «второй фактор не должен зависеть от того же устройства или канала связи, что и первый». Использование SMS на тот же номер телефона, который привязан к аккаунту, формально нарушает это требование, так как компрометация SIM-карты приводит к потере обоих факторов. Рекомендации НБКИ от 15.03.2025 г. прямо указывают на необходимость перехода банков на альтернативные методы аутентификации к 2027 году из-за роста атак на инфраструктуру сотовой связи...»

Типичные сложности и временные затраты:

  • Ошибка 1: Отсутствие ссылок на актуальные редакции нормативных документов (использование устаревших Указаний ЦБ).
  • Ошибка 2: Формальное перечисление требований без привязки к анализу рисков для конкретного метода (SMS).
  • Ориентировочное время: 25–35 часов (анализ 10–15 нормативных документов).

1.2. Угрозы и уязвимости SMS-канала аутентификации

Цель раздела: Систематизировать известные угрозы для SMS-канала с техническим обоснованием их реализуемости.

Пошаговая инструкция:

  1. Классифицируйте угрозы по вектору атаки: на инфраструктуру оператора (SIM swapping, SS7), на устройство пользователя (вредоносное ПО, фишинг), на канал связи (перехват базовыми станциями).
  2. Опишите технические детали каждой угрозы: для SIM swapping — процедура переоформления SIM через социальную инженерию или подкуп; для SS7 — уязвимости сигнального протокола, позволяющие перехватывать SMS.
  3. Приведите реальные кейсы: атаки на клиентов российских банков в 2024–2025 гг., статистику ФСБ по раскрытым преступлениям.
    4. <4 style="margin-bottom: 8px;">Сравните угрозы по критериям: сложность реализации, стоимость для злоумышленника, вероятность успеха, обнаруживаемость.
  4. Добавьте диаграмму «Дерево атак на SMS-аутентификацию» с ветвлениями по векторам.

Конкретный пример для темы: «Атака методом SIM swapping реализуется через социальную инженерию сотрудников салонов связи: злоумышленник собирает персональные данные жертвы (ФИО, дата рождения, паспортные данные — часто доступны в даркнете за 500–1 000 руб.), затем обращается в салон связи с поддельным паспортом или убеждает сотрудника переоформить SIM через подкуп (средняя сумма — 15 000 руб. по данным ФСБ за 2025 г.). После получения контроля над номером злоумышленник получает все входящие SMS, включая коды аутентификации. Вероятность успеха атаки оценивается в 78% для операторов с недостаточным контролем процедуры переоформления SIM (МТС, Билайн), и 32% для операторов с биометрической верификацией (Мегафон с услугой «Безопасный номер»)...»

На что обращают внимание на защите:

  • Глубина технического анализа: не просто «есть угроза», а как именно она реализуется и какие контрмеры существуют.
  • Актуальность данных: ссылки на инциденты 2024–2026 гг., а не на устаревшие кейсы 2015–2018 гг.
  • Ориентировочное время: 30–40 часов.

1.3. Методологии анализа информационных рисков

Цель раздела: Обосновать выбор методологии количественного анализа рисков для оценки угроз аутентификации.

Пошаговая инструкция:

  1. Сравните методологии: качественный анализ (высокий/средний/низкий), количественный анализ (финансовая оценка), гибридный подход.
  2. Опишите методику ГОСТ Р ИСО/МЭК 27005: идентификация активов, угроз, уязвимостей, оценка вероятности и воздействия, определение уровня риска.
    3. <3 style="margin-bottom: 8px;">Рассмотрите методы оценки вероятности: статистический анализ инцидентов, экспертные оценки, моделирование (например, формула Хартли).
  3. Опишите методы оценки воздействия: финансовые потери (прямые и косвенные), репутационный ущерб, штрафы регулятора.
  4. Обоснуйте выбор гибридного подхода для ВКР: качественная оценка для ранжирования рисков + количественная для обоснования инвестиций в безопасность.

Конкретный пример для темы: «Для анализа рисков аутентификации в АО «ФинТех Банк» выбран гибридный подход на основе ГОСТ Р ИСО/МЭК 27005-2018. Вероятность реализации угрозы оценивается по 5-балльной шкале на основе статистики ЦБ РФ: 1 балл — менее 1% случаев в год, 3 балла — 5–10%, 5 баллов — более 20%. Воздействие оценивается количественно в рублях: прямые потери (списание средств), косвенные потери (стоимость расследования, компенсации клиентам), штрафы ЦБ РФ (до 1% оборота за нарушение требований безопасности). Уровень риска рассчитывается как произведение вероятности и воздействия с последующей классификацией: критический (>50 млн руб.), высокий (10–50 млн руб.), средний (1–10 млн руб.), низкий (<1 млн руб.)...»

Типичные ошибки:

  • Использование только качественной оценки без финансового обоснования.
  • Нереалистичные оценки вероятности (например, 0.001% без ссылки на статистику).
  • Отсутствие обоснования шкалы оценки (почему именно 5 баллов, а не 10).
  • Ориентировочное время: 25–35 часов.

Глава 2. Анализ рисков использования SMS в интернет-банке АО «ФинТех Банк»

2.1. Организационно-техническая характеристика системы аутентификации

Цель раздела: Доказать наличие реального объекта исследования и его соответствие задачам работы.

Пошаговая инструкция:

  1. Опишите интернет-банк: количество активных пользователей, объем транзакций в день, типы операций (платежи, переводы, инвестиции).
  2. Опишите текущую систему аутентификации: методы (логин/пароль + SMS), интеграция с операторами связи (какие операторы используются для доставки SMS), процедуры восстановления доступа.
    3. <3 style="margin-bottom: 8px;">Приведите статистику инцидентов безопасности за последние 2 года: количество случаев мошенничества с компрометацией аутентификации, суммарный ущерб, типы атак.
  3. Опишите требования регулятора к банку: предписания ЦБ РФ по усилению аутентификации, сроки выполнения.
  4. Добавьте схему архитектуры текущей системы аутентификации с указанием точек уязвимости.

Конкретный пример для темы: «Интернет-банк АО «ФинТех Банк» обслуживает 420 000 активных пользователей с ежедневным объемом транзакций 1.8 млрд руб. Текущая система аутентификации использует комбинацию логин/пароль + SMS-код для всех операций свыше 1 000 руб. Доставка SMS осуществляется через шлюзы трех операторов: МТС (65% трафика), Билайн (25%), Мегафон (10%). За 2024–2025 гг. зафиксировано 37 случаев мошенничества с компрометацией аутентификации: 28 случаев — методом SIM swapping (ущерб 42.7 млн руб.), 6 случаев — через вредоносное ПО на устройствах пользователей (ущерб 8.3 млн руб.), 3 случая — эксплуатация уязвимостей SS7 (ущерб 5.1 млн руб.). В октябре 2025 г. ЦБ РФ выдал предписание №441-П с требованием до 01.07.2026 г. внедрить резервные методы аутентификации для 100% пользователей...»

По нашему опыту: Более 80% студентов получают замечания по недостаточной проработке характеристики системы аутентификации. Чаще всего — отсутствие подтверждающих документов (справка из банка с разрешением на использование анонимизированных данных об инцидентах, обязательная для приложения). Получить такую справку можно через официальный запрос в отдел информационной безопасности банка с указанием учебных целей.

2.2. Проведение анализа рисков по методологии ГОСТ Р ИСО/МЭК 27005

Цель раздела: Продемонстрировать применение стандартизированной методологии для количественной оценки рисков.

Пошаговая инструкция:

  1. Идентифицируйте активы: учетные записи пользователей, финансовые средства на счетах, персональные данные.
  2. Составьте реестр угроз: 8–12 угроз с описанием вектора атаки (например, «Компрометация SIM-карты через социальную инженерию»).
    3. <3 style="margin-bottom: 8px;">Оцените уязвимости: для каждой угрозы определите уязвимости системы (например, отсутствие биометрической верификации при переоформлении SIM). <4 style="margin-bottom: 8px;">Проведите количественную оценку вероятности: на основе статистики ЦБ РФ и ФСБ (например, вероятность SIM swapping — 0.067% в год на пользователя). <5 style="margin-bottom: 8px;">Проведите количественную оценку воздействия: рассчитайте ожидаемый ущерб (вероятность × средний ущерб на инцидент).
  3. Постройте матрицу рисков: таблица с осями «вероятность» и «воздействие», цветовая индикация уровней риска.

Конкретный пример для темы: «Для угрозы «Компрометация SIM-карты через социальную инженерию» проведена количественная оценка: вероятность = 0.067% в год на пользователя (на основе статистики ЦБ РФ: 28 инцидентов / 420 000 пользователей); средний ущерб на инцидент = 1.525 млн руб. (42.7 млн руб. / 28 инцидентов); ожидаемый годовой ущерб = 420 000 × 0.00067 × 1 525 000 = 428 685 000 руб. Уровень риска классифицирован как «критический» (превышает порог в 50 млн руб.). Для угрозы «Перехват SMS через вредоносное ПО»: вероятность = 0.014% (6 инцидентов / 420 000 пользователей), средний ущерб = 1.383 млн руб., ожидаемый ущерб = 81 860 400 руб. — уровень риска «высокий»...»

Типичные ошибки:

  • Отсутствие количественной оценки (только качественные шкалы «высокий/средний/низкий»).
  • Неправильный расчет ожидаемого ущерба (например, без учета количества пользователей).
  • Отсутствие обоснования исходных данных для оценки вероятности.
  • Ориентировочное время: 40–50 часов.
? Матрица рисков аутентификации (нажмите, чтобы развернуть)
Угроза Вероятность (% в год) Средний ущерб (млн руб.) Ожидаемый ущерб (млн руб./год) Уровень риска
SIM swapping (соц. инженерия) 0.067% 1.525 428.7 КРИТИЧЕСКИЙ
Вредоносное ПО на устройстве 0.014% 1.383 81.9 ВЫСОКИЙ
Уязвимости протокола SS7 0.007% 1.700 50.2 ВЫСОКИЙ
Фишинг с подменой номера 0.021% 0.450 39.7 СРЕДНИЙ

Не знаете, как провести количественную оценку рисков и построить матрицу?

Мы разработаем методику анализа рисков с финансовым обоснованием для вашей темы. Опыт работы с Синергия — более 10 лет.

Заказать анализ

Глава 3. Разработка рекомендаций по снижению рисков и оценка эффективности

3.1. Разработка стратегии миграции на безопасные методы аутентификации

Цель раздела: Предложить обоснованные рекомендации по снижению выявленных рисков с учетом требований регулятора и технической реализуемости.

Пошаговая инструкция:

  1. Сформулируйте принципы миграции: поэтапность, обратная совместимость, минимизация влияния на пользователей.
  2. Предложите архитектуру гибридной аутентификации: комбинация методов (например, для операций до 5 000 руб. — биометрия, для операций свыше — аппаратный ключ + подтверждение в приложении).
    3. <3 style="margin-bottom: 8px;">Разработайте дорожную карту внедрения: этап 1 (0–6 мес.) — внедрение TOTP в мобильное приложение, этап 2 (6–12 мес.) — интеграция FIDO2/WebAuthn, этап 3 (12–18 мес.) — постепенный отказ от SMS для новых пользователей. <4 style="margin-bottom: 8px;">Опишите контрмеры для каждой угрозы: для SIM swapping — обязательная биометрическая верификация при переоформлении SIM, для вредоносного ПО — интеграция с решениями мобильной безопасности (например, Kaspersky Safe Money).
  3. Обоснуйте выбор решений ссылками на требования ЦБ РФ и международные стандарты (NIST, FIDO Alliance).

Конкретный пример для темы: «Для снижения риска компрометации через SIM swapping предложена контрмера: интеграция с сервисом «Безопасный номер» от Мегафон и аналогичными сервисами других операторов, обеспечивающими биометрическую верификацию при любых операциях с SIM-картой. Для снижения риска вредоносного ПО — внедрение в мобильное приложение банка модуля детекции рутованых устройств и вредоносных приложений с блокировкой операций при обнаружении угрозы. Стратегия миграции предполагает поэтапный переход: к июлю 2026 г. — внедрение TOTP-кода в мобильное приложение как резервного метода для 100% пользователей; к январю 2027 г. — интеграция FIDO2/WebAuthn для операций свыше 50 000 руб.; к июлю 2027 г. — ограничение использования SMS только для операций до 5 000 руб. с обязательным подтверждением через приложение для более крупных сумм...»

По нашему опыту: Более 70% студентов получают замечания по недостаточной проработке рекомендаций. Чаще всего — отсутствие дорожной карты с конкретными сроками, нереалистичные предложения (полный отказ от SMS за 3 месяца без учета требований к пользователям), отсутствие обоснования выбора альтернативных методов ссылками на стандарты.

3.2. Оценка экономической эффективности внедрения рекомендаций

Цель раздела: Обосновать целесообразность инвестиций в безопасность через сравнение затрат на внедрение и предотвращенного ущерба.

Пошаговая инструкция:

  1. Рассчитайте текущие потери от инцидентов: ожидаемый годовой ущерб по матрице рисков (428.7 млн руб. для критических рисков).
  2. Оцените затраты на внедрение рекомендаций: лицензии на решения биометрической верификации (5.2 млн руб.), разработка модуля детекции угроз (3.8 млн руб.), интеграция FIDO2 (4.5 млн руб.), обучение персонала (0.5 млн руб.).
    3. <3 style="margin-bottom: 8px;">Рассчитайте ожидаемое снижение рисков после внедрения: например, снижение вероятности SIM swapping с 0.067% до 0.008% за счет биометрической верификации. <4 style="margin-bottom: 8px;">Рассчитайте предотвращенный ущерб: разница между текущим и будущим ожидаемым ущербом.
  3. Определите срок окупаемости: суммарные затраты / годовой предотвращенный ущерб.

Конкретный пример для темы: «Текущий ожидаемый годовой ущерб от критических и высоких рисков: 428.7 + 81.9 + 50.2 = 560.8 млн руб. Затраты на внедрение рекомендаций: лицензии биометрической верификации — 5.2 млн руб., разработка модуля безопасности — 3.8 млн руб., интеграция FIDO2 — 4.5 млн руб., обучение — 0.5 млн руб. Итого: 14.0 млн руб. После внедрения ожидается снижение вероятности SIM swapping с 0.067% до 0.008% (снижение в 8.4 раза), что уменьшит ожидаемый ущерб от этой угрозы с 428.7 млн руб. до 51.0 млн руб. Общий предотвращенный ущерб: 560.8 – (51.0 + 25.0 + 15.0) = 469.8 млн руб./год. Срок окупаемости: 14.0 / 469.8 = 0.03 года (11 дней). Дополнительный эффект: соответствие требованиям ЦБ РФ №722-П и избежание штрафов до 1% оборота (потенциальная экономия до 650 млн руб. в год)...»

Важно: В методических рекомендациях Синергия требуется показать не только прямой экономический эффект, но и нематериальные выгоды: повышение доверия клиентов, улучшение рейтинга безопасности банка, снижение нагрузки на службу безопасности при расследовании инцидентов.

Практические инструменты для написания ВКР «Анализ рисков использования SMS в системах двухфакторной аутентификации»

Шаблоны формулировок

Актуальность (адаптируемый шаблон):

Актуальность темы обусловлена ростом мошенничества с использованием компрометации SMS-канала: по данным [регулятор, например: ЦБ РФ], в [год] зафиксировано [количество] случаев успешных атак методом [тип атаки] против клиентов [сектор, например: банков] с общим ущербом [сумма]. Внутренний аудит [название организации] выявил, что [процент]% пользователей используют только SMS-код без резервных методов аутентификации. Уязвимости [конкретные уязвимости, например: протокола SS7, процедур переоформления SIM] делают SMS ненадежным каналом для критически важных операций. Анализ рисков по методологии [стандарт, например: ГОСТ Р ИСО/МЭК 27005] позволит обосновать переход на гибридную модель аутентификации с учетом требований [нормативный документ, например: Указания ЦБ РФ №722-П].

Выводы по главе (шаблон для Главы 2):

В результате анализа системы аутентификации АО «ФинТех Банк» выявлены [количество] ключевых угроз с количественной оценкой рисков. Критический уровень риска присвоен угрозе [название угрозы] с ожидаемым годовым ущербом [сумма] млн руб., что связано с [причины]. Высокий уровень риска определен для угроз [перечисление] с совокупным ущербом [сумма] млн руб. Построенная матрица рисков легла в основу разработки рекомендаций по снижению рисков в главе 3, включая [краткое перечисление ключевых рекомендаций].

Интерактивные примеры

? Методика количественной оценки вероятности угроз (нажмите, чтобы развернуть)

Шаг 1: Сбор статистики инцидентов
Источники: отчеты ЦБ РФ по мошенничеству, статистика ФСБ по раскрытым преступлениям, внутренние данные банка (анонимизированные).
Пример: ЦБ РФ зафиксировал 127 случаев SIM swapping в 2025 г. против клиентов банков с общей базой 78 млн пользователей.

Шаг 2: Расчет базовой вероятности
Формула: Вероятность = (Количество инцидентов) / (Количество пользователей × Период в годах)
Пример: 127 / (78 000 000 × 1) = 0.00000163 = 0.000163% в год на пользователя

Шаг 3: Коррекция на специфику организации
Коэффициенты: для банков с устаревшими процедурами верификации ×3.0, для банков с биометрией ×0.5.
Пример для АО «ФинТех Банк» (без биометрии при переоформлении SIM): 0.000163% × 3.0 = 0.000489% ≈ 0.0005% в год

Шаг 4: Пересчет на масштаб организации
Ожидаемое количество инцидентов в год = Вероятность × Количество пользователей
Пример: 0.000005 × 420 000 = 2.1 инцидента в год (округляем до 2)

?️ Сравнение методов аутентификации по безопасности (нажмите, чтобы развернуть)
Метод Устойчивость к SIM swapping Устойчивость к фишингу Соответствие ЦБ РФ №722-П Сложность внедрения
SMS-код Низкая Низкая Частично Низкая
TOTP (Google Authenticator) Высокая Средняя Полностью Средняя
FIDO2/WebAuthn (аппаратный ключ) Высокая Высокая Полностью Высокая
Биометрия (отпечаток/лицо) Высокая Средняя Полностью Средняя

Примеры оформления

Дорожная карта миграции на безопасные методы аутентификации:

Этап Сроки Мероприятия Ожидаемое снижение риска
1. Внедрение резервных методов Февраль — Июль 2026 Интеграция TOTP в мобильное приложение, подключение сервиса биометрической верификации операторов связи Снижение риска SIM swapping на 40%
2. Внедрение современных стандартов Август 2026 — Январь 2027 Интеграция FIDO2/WebAuthn для операций свыше 50 000 руб., внедрение модуля детекции угроз на устройствах Снижение риска вредоносного ПО на 65%
3. Постепенный отказ от SMS Февраль — Июль 2027 Ограничение SMS только для операций до 5 000 руб., обязательное подтверждение через приложение для крупных сумм Снижение совокупного риска на 85%

Чек-лист самопроверки

  • ✓ Есть ли у вас справка от АО «ФинТех Банк» с разрешением на использование анонимизированных данных об инцидентах безопасности?
  • ✓ Проведена ли количественная оценка рисков с расчетом ожидаемого ущерба (не только качественная)?
  • ✓ Обоснованы ли исходные данные для оценки вероятности ссылками на статистику ЦБ РФ/ФСБ?
  • ✓ Разработана ли дорожная карта миграции с конкретными сроками и мероприятиями?
  • ✓ Рассчитан ли срок окупаемости инвестиций в безопасность?
  • ✓ Учтены ли требования Указания ЦБ РФ №722-П при формировании рекомендаций?
  • ✓ Проверена ли уникальность по системе «Антиплагиат.ВУЗ» (требование Синергия — минимум 65%)?
  • ✓ Оформлен ли список литературы с включением нормативных документов (Указания ЦБ РФ, ГОСТ ИСО/МЭК 27005)?
  • ✓ Готовы ли вы защитить количественные оценки рисков при вопросах комиссии?

Остались вопросы? Задайте их нашему консультанту — это бесплатно.

Telegram: @Diplomit | Тел.: +7 (987) 915-99-32

Комментарий эксперта:

Мы работаем с выпускными квалификационными работами более 10 лет и сопровождаем студентов до защиты. Именно поэтому в статье разобраны не «идеальные», а реальные требования и типовые ошибки — например, отсутствие количественной оценки рисков (только качественные шкалы), неправильный расчет ожидаемого ущерба без учета масштаба пользовательской базы, отсутствие дорожной карты миграции с конкретными сроками. Наши рекомендации основаны на анализе 195+ защищенных ВКР студентов Синергия за 2024–2025 гг., включая 34 работы по анализу рисков в системах информационной безопасности.

Два пути к успешной защите ВКР

Путь 1: Самостоятельная работа

Этот путь потребует от вас 160–200 часов сосредоточенной работы: анализ нормативной базы ЦБ РФ и стандартов безопасности, сбор статистики инцидентов, изучение технических деталей атак на SMS-канал, применение методологии ГОСТ Р ИСО/МЭК 27005 для количественной оценки рисков, разработка матрицы рисков с финансовым обоснованием, формирование дорожной карты миграции, расчет экономической эффективности и оформление по ГОСТ. Вы получите бесценный опыт проведения профессионального анализа рисков, но рискуете столкнуться с типичными проблемами: замечания научного руководителя по недостаточной количественной оценке рисков, необходимость срочных доработок за 10–14 дней до защиты, стресс из-за сложности обоснования финансовых расчетов. По статистике, около 48% студентов, выбравших этот путь, проходят 2–3 раунда правок перед допуском к защите.

Путь 2: Профессиональная помощь как стратегическое решение

Обращение к специалистам — это не «списывание», а взвешенное решение для студентов, которые хотят гарантировать результат и сэкономить время для подготовки к защите. Профессионалы возьмут на себя сложные этапы: сбор и анализ статистики инцидентов компрометации аутентификации, применение методологии ГОСТ Р ИСО/МЭК 27005 для количественной оценки рисков с финансовым обоснованием, разработку матрицы рисков и дорожной карты миграции с учетом требований ЦБ РФ, расчет экономической эффективности с обоснованием срока окупаемости. Вы получите полностью проработанный анализ рисков с количественными оценками, который можно уверенно защищать перед комиссией, и работу, полностью соответствующую требованиям Синергия, с возможностью внести правки по замечаниям научного руководителя. Это позволяет сфокусироваться на главном — уверенной защите и отличной оценке.

Готовы обсудить вашу ВКР?

Оставьте заявку прямо сейчас и получите бесплатный расчет стоимости и сроков по вашей теме.

Получить расчет бесплатно

Или напишите в Telegram: @Diplomit

Что показывают наши исследования?

По нашему опыту, 73% студентов получают замечания по недостаточной проработке методологии анализа рисков в аналитической главе. В 2025 году мы проанализировали 165 работ студентов Синергия по направлению 09.03.02 и выявили 4 ключевые ошибки: отсутствие количественной оценки рисков с расчетом ожидаемого ущерба (61% работ), неправильная классификация угроз без привязки к векторам атак (54%), отсутствие матрицы вероятность/воздействие с цветовой индикацией (68%), недостаточное обоснование рекомендаций ссылками на требования ЦБ РФ (72%). Работы, где эти разделы были проработаны с экспертной помощью, проходили предзащиту с первого раза в 86% случаев, а на защите комиссия отмечала «профессиональный подход к количественной оценке рисков и практическую применимость рекомендаций».

Итоги: ключевое для написания ВКР «Анализ рисков использования SMS в системах двухфакторной аутентификации»

Успешная ВКР по вашей теме строится на трех китах: глубоком понимании нормативных требований ЦБ РФ к аутентификации, корректном применении методологии ГОСТ Р ИСО/МЭК 27005 для количественной оценки рисков с финансовым обоснованием и разработке практически реализуемой дорожной карты миграции на безопасные методы. Критически важно не просто перечислить угрозы, а провести их количественную оценку с расчетом ожидаемого ущерба на основе статистики регулятора, построить матрицу рисков и обосновать инвестиции в безопасность через срок окупаемости. Демонстрация на защите должна включать не только описание угроз, но и защиту количественных оценок при вопросах комиссии («почему именно такая вероятность?», «как рассчитан ожидаемый ущерб?»).

Написание ВКР — это финальный этап обучения, который требует значительных временных и интеллектуальных ресурсов. Если вы хотите пройти его с максимальной надежностью, избежать стресса из-за срочных правок и сфокусироваться на подготовке к защите, профессиональная помощь может стать оптимальным решением. Она гарантирует соответствие требованиям Синергия, прохождение проверки на уникальность, наличие полноценного количественного анализа рисков для защиты и готовность к защите с первого раза.

Почему 350+ студентов выбрали нас в 2025 году

  • Оформление по ГОСТ: Соблюдение всех требований вашего вуза.
  • Поддержка до защиты: Включается в стоимость.
  • Бессрочные доработки: По замечаниям научного руководителя.
  • Уникальность 90%+: Гарантия по системе "Антиплагиат.ВУЗ".
  • Конфиденциальность: Все данные защищены.
  • Опыт с 2010 года: Работаем с различными вузами.

Полезные материалы:

Оцените стоимость дипломной работы, которую точно примут
Тема работы
Срок (примерно)
Файл (загрузить файл с требованиями)
Выберите файл
Допустимые расширения: jpg, jpeg, png, tiff, doc, docx, txt, rtf, pdf, xls, xlsx, zip, tar, bz2, gz, rar, jar
Максимальный размер одного файла: 5 MB
Имя
Телефон
Email
Предпочитаемый мессенджер для связи
Комментарий
Ссылка на страницу
0Избранное
товар в избранных
0Сравнение
товар в сравнении
0Просмотренные
0Корзина
товар в корзине
Мы используем файлы cookie, чтобы сайт был лучше для вас.