- •Фгбоу впо «кубанский государственный технологический университет»
- •Введение
- •1 Нормативные ссылки
- •2 Определения и сокращения
- •3 Общие требования, предъявляемые к выпускным
- •4 Структура и содержание вкр по разработке промышленного изделия, программного продукта или комплекса технических средств защиты информации
- •4.1 Структура пояснительной записки
- •4.2 Содержание и оформление графической части
- •4.3 Оформление программного документа
- •5 Структура и содержание вкр, представляющей собой
- •3 Разработка рекомендаций…
- •6 Оформление текстовой части Выпускной
- •6.1 Общие требования по оформлению
- •6.2 Оформление рубрикаций выпускной квалификационной работы
- •6.3 Оформление иллюстраций
- •6.4 Оформление таблиц
- •6.5 Оформление формул
- •6.6 Оформление списка использованных источников
- •6.7 Оформление приложений
- •6.8 Оформление плакатов
- •7 Порядок защиты выпускных квалификационных работ
- •Список использованных источников
- •Тематика вкр студентов по специальностям
- •Образец оформления задание на дипломное проектирование
- •Задание на выпускную квалификационную работу
- •Содержание выпускной квалификационной работы
- •Объем иллюстративной части
- •Образец оформления титульного листа вкр, содержащей
- •Образец оформления
- •1 Анализ защищенности локальной вычислительной сети предприятия
- •2 Разработка и обоснование методики повышения защищенности функционирования локальной вычислительной сети
- •3 Разработка и обоснование предложений по повышению защищенности локальной вычислительной сети предприятия
- •Приложение е
- •Образец оформления реферата вкр Реферат
- •Образец оформления листа с основной надписью
- •Основная надпись для всех видов текстовых документов
- •Т е к с т
- •Учебно-методическое пособие по подготовке выпускных квалификационных работ
4 Структура и содержание вкр по разработке промышленного изделия, программного продукта или комплекса технических средств защиты информации
ВКР состоит из пояснительной записки и графических материалов, установленных заданием на проектирование.
4.1 Структура пояснительной записки
Текстовый документ (далее - пояснительная записка) ВКР содержит следующие структурные элементы:
титульный лист (см. Приложение В);
задание на проектирование (см. Приложение Б);
реферат (см. Приложение Е);
реферат (на иностранном языке);
лист с основной надписью (см. Приложение Ж);
содержание (см. Приложение Г);
введение;
нормативные ссылки;
термины и определения;
сокращения;
основную часть (разделы и подразделы);
экономическую часть;
вопросы сертификации и обеспечения качества;
вопросы безопасности жизнедеятельности;
заключение;
список использованных источников (см. Приложение Л);
приложения.
Титульный лист оформляется в соответствии с образцом, приведенным в приложении В.
Реферат оформляется в соответствии с ГОСТ 7.32 (см. Приложение Е) и должен содержать:
- сведения об объеме, количестве иллюстраций, таблиц, приложений, количестве использованных источников;
- перечень ключевых слов;
- текст реферата (объект разработки, цель, метод проведения работ, результаты, основные технико-эксплуатационные характеристики, степень внедрения, экономическую эффективность, рекомендации, прогнозные предположения о развитии объекта). Пример оформления реферата приведен в Приложении Е.
Лист с основной надписью включают между листами реферата и содержания. Этот лист выполняет функции заглавного листа, на котором приводят рамку (см. Приложение И) и основную надпись по форме 5 по ГОСТ 21.1101-2009 СПДС, приведенной в приложении Ж.
Пример расположения упрощенной основной надписи и границы текста на последующих листах пояснительной записки приведен в приложении К.
Заполнение основных надписей производится в соответствии с установленными требованиями в системе обозначений документа:
КТИБ - кафедра, 090104-специальность, 001-номер дипломника в списке, КЗ - разработка комплекса тех.ср. защиты (ПП-программного продукта, ТП- технологического процесса, НИ-научные исследования).
Содержание включает заголовки всех разделов и подразделов, а также приложений, брошюруемых в одной книге с основным текстом. В конце наименования каждого раздела, каждого подраздела, приложения указывается номер листа, с которого они начинаются. Содержание помещается в начале выпускной квалификационной работы и включается в общую нумерацию страниц рукописи. Пример оформления содержания приведен в приложении Г.
Нормативные ссылки, определения и сокращения оформляются так, как это показано на с. 5 предлагаемой работы.
Сокращения (условные обозначения), символы и термины располагаются в перечне столбцом, в котором слева приводятся сокращения (символ, термин), а справа – его детальная расшифровка.
Если общее количество применяемых в пояснительной записке сокращений, символов и терминов менее 20 и каждое из них повторяется не более 3…5 раз, достаточно их детальной расшифровки при первом упоминании непосредственно в тексте (в скобках), или в подстрочном примечании.
Введение является вступительной частью работы, в котором в предельно кратком виде характеризуется актуальность, содержание, новизна, практическая значимость, объем работы. Кроме того, необходимо указать, где внедрены или могут быть внедрены результаты проекта.
Содержание основной части ВКР по разработке промышленного изделия, программного продукта или по комплексной защите информации объектов информатизации
Типовое содержание ВКР по комплексной защите информации объектов информатизации различного назначения должно соответствовать требованиям Руководящего документа Гостехкомиссии России 2001 года «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), и разрабатываться в виде системы (подсистемы) защиты информации (СЗИ) во взаимосвязи с другими мерами по защите информации.
В полном виде проект комплексной защиты объекта информатизации представляет собой значительный объем, поэтому в ВКР конкретные разделы и подразделы, разрабатываемые студентом до уровня проектного документа, указываются руководителем в задании на выполнение ВКР.
Рекомендуются следующие разделы основной части ВКР, соответствующие стадиям создания СЗИ:
Предпроектное обследование объекта информатизации.
1.1 Разработка аналитического обоснования необходимости создания СЗИ
1.2 Техническое (частное техническое) задания на ее создание СЗИ (предпроектная стадия);
Разработка СЗИ в составе объекта информатизации (стадия проектирования);
2.1 Разработка эскизного проекта СЗИ. Разработка предварительных проектных решений по системе в целом и её частям.
2.2 Разработка документации на СЗИ и её части.
Разработка технического проекта.
3.1 Разработка проектных решений по системе в целом и её частям.
3.2 Разработка документации на СЗИ и её части.
3.3 Разработка заданий на проектирование в смежных частях проекта объекта автоматизации.
Разработка документации стадии ввода в действие объекта информатизации.
4.1 Приемо-сдаточные испытания и опытная эксплуатация средств защиты информации.
4.2 Аттестация объекта информатизации на соответствие требованиям безопасности информации.
На предпроектной стадии обследования объекта информатизации определяют следующие задачи:
необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
перечень сведений конфиденциального характера, подлежащих защите;
угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта (уточняются);
условия расположения объектов информатизации относительно границ контролируемой зоны;
конфигурация и топология АС и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
режимы обработки информации в АС в целом и в отдельных компонентах;
класс защищенности АС;
степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативно-методических документов по ЗИ, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части касающейся определения защищаемой информации, должно базироваться на документально оформленных перечнях сведений конфиденциального характера.
Аналитическое обоснование необходимости создания СЗИ должно содержать:
информационную характеристику и организационную структуру объекта информатизации;
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных средств защиты информации;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
ориентировочные сроки разработки и внедрения СЗИ;
перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Техническое (частное техническое) задание на разработку СЗИ должно содержать:
обоснование разработки;
исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
класс защищенности АС;
ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;
перечень предполагаемых к использованию сертифицированных средств защиты информации;
обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения;
перечень подрядных организаций-исполнителей видов работ;
перечень предъявляемой заказчику научно-технической продукции и документации.
Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями действующих нормативно-методических документов и оформляется актом.
На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации с учетом требований технического (частного технического) задания на разработку СЗИ;
разработка раздела технического проекта на объект информатизации в части защиты информации;
строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификация;
закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
выполнение инсталляции пакета прикладных программ в комплексе с программными средствами защиты информации;
разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
Техническое задание (ТЗ) на проектирование объекта информатизации в ВКР оформляется подразделом.
Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы работы, и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ, состоящие из:
пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
технического паспорта объекта информатизации (формы технических паспортов на АС и ЗП приведены в РД СТР-К);
инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
аттестация объекта информатизации по требованиям безопасности информации.
На стадии ввода в действие объекта информатизации и СЗИ оформляются:
акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
протоколы аттестационных испытаний и заключение по их результатам;
аттестат соответствия объекта информатизации требованиям по безопасности информации.
В полном виде проект комплексной защиты объекта информатизации представляет собой значительный объем, поэтому в ВКР конкретные разделы и подразделы, разрабатываемые студентом до уровня проектного документа, указываются руководителем в задании на выполнение ВКР.
Типовое содержание ВКР по созданию автоматизированных систем в защищённом исполнении (АСЗИ) должно соответствовать требованиям ГОСТ 34.601 и ГОСТ 51583. В этом случае рекомендуются следующие разделы работы, соответствующие стадиям создания СЗИ:
1 Обоснование необходимости создания АСЗИ.
2 Разработка предварительных требований с СЗИ на АСЗИ.
3 Разработка концепции АС.
3.1 Изучение объекта.
3.2 Проведение НИР и ОКР.
3.3 Разработка вариантов концепции АС и выбор варианта концепции АС.
4 Разработка технического задания на создание АСЗИ.
5 Разработка эскизного проекта АСЗИ.
5.1 Разработка предварительных проектных решений по системе в целом и её частям
5.2 Разработка документации на АСЗИ и её части
6 Разработка технического проекта
6.1 Разработка проектных решений по системе в целом и её частям.
6.2 Разработка документации на АСЗИ и её части.
6.3 Разработка заданий на проектирование в смежных частях проекта объекта автоматизации.
На этапе обоснования необходимости создания АСЗИ приводятся данные о проводимых работах на объекте информатизации по обработке информации различной степени секретности, определяются факторы, воздействующие на информацию. Разрабатывается технико-экономическое обоснование целесообразности создания АСЗИ.
В разделе разработки предварительных требований к системе ЗИ (СЗИ) на АСЗИ используются данные формирования требований по ЗИ на АС и процессов её создания и эксплуатации, полученные в ходе преддипломной практики.
В разделе разработки концепции автоматизированной системы описываются условия эксплуатации АСЗИ и уточняются категории важности обрабатываемой информации. Формируется перечень угроз защищаемой информации (по ГОСТ Р 51275) и номенклатура требований, предъявляемых к АСЗИ. Определяются пути реализации требований по ЗИ в АС. Формируется система критериев для выбора СЗИ. Разрабатываются альтернативные варианты концепции ЗИ в АС, облика СЗИ и процессов её создания с учётом требований. Производится обоснованный выбор оптимального варианта концепции ЗИ в АС и СЗИ АС. Приводится детальное технико-экономическое обоснование выбранного варианта ЗИ в АС, процессов её создания и эксплуатации.
В разделе Техническое задание (ТЗ) разрабатываются требования по защите информации в раздел ТЗ (ЧТЗ) на создание АСЗИ. Приводятся предварительные проектные решения АСЗИ и технико-экономическое обоснование эффективности вариантов СЗИ. Разрабатывается ТЗ на средства ЗИ (СрЗИ) и средства контроля эффективности ЗИ. Отражаются вопросы сертификации СрЗИ и СЗИ на соответствие требованиям по безопасности информации и решение вопросов о спецпроверках приобретённых ТС.
В случае, если ВКР доводится до стадии технического проекта, в нем приводится технический проект СЗИ и предложения по ЗИ в технический проект АСЗИ. Разрабатываются отдельные документы по ЗИ в АС. Приводится план проведения испытания СрЗИ порядок сертификация СрЗИ и СЗИ на соответствие требованиям по безопасности информации. Приводятся проекты помещений АС с учётом требований НД по защите информации.
Типовое содержание в ВКР по созданию конкретных средств защиты информации должно соответствовать требованиям ГОСТ Р 50739.
Оформление схем алгоритмов, программ, данных и систем должны соответствовать ГОСТ 19.701.
В список использованных источников включается вся использованная литература, располагающаяся в порядке появления ссылок в тексте. Пример применения библиографических ссылок представлен в приложении О.
В приложения выносятся различные вспомогательные материалы, дополняющие и иллюстрирующие основной текст ВКР: промежуточные математические выкладки и расчеты, таблицы вспомогательных цифровых данных, описания аппаратуры и приборов, примененных при проведении экспериментов, программная документация, инструкции (и т.д.), разработанные в процессе выполнения работы, иллюстрации вспомогательного характера.
Приложения могут быть сброшюрованы в одну книгу с основным текстом ВКР или оформлены в виде отдельной книги. В первом случае они должны иметь общую с текстом ВКР сквозную нумерацию листов. Если приложения оформлены в виде отдельной книги, нумерация страниц производится в пределах этой книги. Порядок следования приложений должен соответствовать порядку ссылок на них в тексте ВКР. Если приложения оформлены отдельной книгой, на титульном листе под названием ВКР печатается слово «Приложения».