- •Методичні вказівки до виконання курсової роботи з дисципліни «комплексні системи інформаційної безпеки»
- •1 Основні вимоги до курсової роботи
- •1.1 Мета і задачі курсової роботи
- •1.2 Тематика курсової роботи
- •2 Короткі теоретичні відомості
- •2.1 Аналіз інформаційної безпеки об’єкту захисту.
- •2.2 Дослідження небезпечних чинників
- •2.3 Визначення математичного апарату
- •2.4 Ранжування загроз
- •3 Етапи виконання курсової роботи
- •Аналіз об’єкта захисту.
- •Опис небезпечних чинників.
- •Побудова оптимальної системи захисту інформаційних ресурсів об’єкту
- •3.1 Аналіз об’єкта захисту
- •3.2 Опис небезпечних чинників
- •3.3 Побудова оптимальної системи захисту інформаційних ресурсів об’єкту
- •3.4 Побудова нечіткої експертної системи для задач оцінки рівня інформаційної програми
- •3. 5 Розробка політики інформаційної безпеки
- •4 Оформлення пояснювальної записки
- •4.1 Загальні правила оформлення
- •4.2 Загальна структура пояснювальної записки
- •4.3 Вступна частина пояснювальної записки Титульний аркуш
- •Індивідуальне завдання
- •Анотація
- •4.4 Зміст та оформлення основної частини Вступ
- •Аналіз інформаційної безпеки об’єкту захисту
- •Розробка політики інформаційної безпеки
- •Висновки
- •Перелік літератури
- •4.5 Оформлення додатків
- •5 Графік виконання курсової роботи і порядок його захисту
- •Перелік рекомендованої літератури
- •Додаток а. Варіанти завдань на курсову роботу
- •Додаток б. Приклад оформлення титульного аркуша
- •7.05090303, 8.05090303– Технології та засоби телекомунікацій
- •Вінниця 20__ Додаток в. Приклад оформлення індивідуального завдання
- •Додаток г. Зразок оформлення технічного завдання Додаток а
- •5 Вимоги до супровідної документації
- •Додаток ґ. Зображення базових елементів дерева ризиків-відмов
- •Додаток д. Ймовірності появи загроз
- •Додаток е. Ймовірності появи вразливостей
- •Додаток є. Дерево загроз
- •Додаток ж. Дерево вразливостей
1.2 Тематика курсової роботи
Зміст курсової роботи відповідає навчальній програмі та робочому плану дисципліни "Комплексні системи інформаційної безпеки" і повинен відображати суть обраної студентом теми. Зміст КР визначається завданням, яке видається не пізніше шести днів з початку семестру на консультації викладачем кожному студенту.
Курсова робота включає декілька послідовних етапів, які повинні бути пов’язані зі змістовною постановкою задачі, розробкою індивідуального та технічного завдання, ідентифікацією загроз, вразливостей та оцінюванням стану захищеності, побудовою оптимальної системи захисту інформаційних ресурсів об’єкту, побудовою нечіткої експертної системи для задач оцінювання рівня інформаційної безпеки та вибір політики інформаційної безпеки та формулюванням обґрунтованих висновків щодо ефективності розробленого захисту. Орієнтовний графік виконання курсової роботи наведено у подальших розділах. Студентам бажано дотримуватись наведеного графіка, починаючи роботу над проектом з перших тижнів триместру. Під час проведення поточного контролю знань з дисципліни "Комплексні системи інформаційної безпеки" якість, зацікавленість та ефективність роботи студентів буде оцінюватись відповідною кількістю балів, що суттєво впливатимуть на загальну оцінку з дисципліни за модуль.
Індивідуальне завдання для курсових робіт визначається викладачем із загального списку завдань на курсову роботу (Додаток В). Заохочуються пропозиції студентів щодо самостійного, за узгодженням з викладачем, вибору теми курсової роботи поза межами запропонованого в методичних вказівках переліку. Самостійний вибір підприємства, для якого буде проводитись дослідження, методів його моделювання, методик оцінювання стану його захищеності, розробка програмних засобів оцінювання відповідно цих методів, використання додаткових методик щодо розробки політики інформаційної безпеки, дозволяє зробити висновок щодо рівня творчої активності студента, його вміння самостійно здійснити попередній аналіз предметної області, поставити перед собою конкретну задачу та ефективно її реалізувати.
2 Короткі теоретичні відомості
2.1 Аналіз інформаційної безпеки об’єкту захисту.
Існують різні класифікації аналізу інформаційної безпеки. Вибір тієї чи іншої класифікації для аналізу доречно робити, зважаючи на класифікаційний критерій (ознаку). Якісна класифікація має чітке розмежування між різними класами.
Наприклад, розрізняють підходи залежно від оригінальності проекту, що пропонується:
- "від продукту". Цього підходу дотримуються, як правило, компанії-виробники, що мають в своєму складі проектну групу. Фактично, в таких компаніях інтеграція виросла з просто напряму впровадження, в той момент, коли замовник попросив не просто продукт, а проект. Таким чином, вся технологія проектування орієнтована на те, щоб продукт, що виробляється компанією, був центральним незалежно від завдання, що вирішується. Даний підхід не завжди реально обґрунтований, особливо в умовах агресивного маркетингу та позиціонування продукту, як "панацеї" від більшості загроз безпеці.
Проте, у випадку, коли замовник володіє достатньою кваліфікацією, щоб широко дивитися на проблему захисту інформації і уникати однобоких рішень, реалізуються проекти високої якості, що зрозуміло – ніхто, окрім виробника, не знає продукту краще. Але в цьому випадку потрібна або наявність власних висококваліфікованих фахівців, проектувальників системних, або залучення зовнішніх консалтингових компаній.
- компанія виступає постачальником рішень в галузі захисту інформації. Усвідомлюючи відсутність єдиного продукту, що захищає від всіх загроз, компанія пропонує комплексне вирішення проблеми. Воно складається з комбінації декількох відомих технологій захисту, наприклад, брандмауерів для захисту від атак з Інтернету, VPN - для закритих каналів зв’язку і тому подібне. Такий підхід досить ефективний, але тут існує одна проблема. Виникає спокуса починати будувати систему, відштовхуючись не від потреб замовника, а від засобів захисту, що є в наявності.
Можливо, така технологія роботи була б виправдана в умовах повністю електронного документообігу в організації, але реалії такі, що більшість комп’ютерних систем є друкарськими машинками, об’єднаними мережею. В умовах паперового документообігу всі документи готуються на комп’ютері, роздруковуються, а потім в паперовому вигляді рухаються по організації. У мережі існують лише вогнища автоматизації, наприклад, в бухгалтерії, в конструкторському відділі і тому подібне. А решта всіх співробітників спілкується один з одним, в кращому разі, по е-mail або через загальні теки, тому буває важко пояснити, навіщо використовувати, наприклад, VPN, якщо вся інформація відправляється поштою або факсу. Або навіщо встановлювати на комп’ютери електронні замки, якщо всі документи зберігаються в shared теках, не закриті паролями, і їх може отримати практично будь-який співробітник.
- третя позиція - найскладніша і така, що достатньо рідко зустрічається на нашому ринку. Яка стандартна схема продажу деякого продукту або системи? Постачальник приходить до замовника, вивчає його проблему і пропонує те або інше рішення, продукт або варіанти рішення, або замовник організовує тендер, отримує декілька пропозицій. І в тому і в іншому випадку замовник самостійно ухвалює рішення про те яку систему, технологію упроваджувати. Тобто відповідальність за ухвалення рішень по захисту інформації покладається на замовника, який, взагалі кажучи, не є експертом в області захисту інформації. Найскладніше завдання, яке може і повинна стояти перед компанією-інтегратором, - це перейняти на себе відповідальність за вибір стратегії забезпечення безпеки організації, розвиток системи, її адекватність технологіям, що розвиваються. Системний інтегратор повинен реалізовувати єдину комплексну політику, як технічну, так і організаційну, проводячи її на всіх рівнях організації-замовника.
Перед виробленням рішення по інформаційній безпеці інтегратор повинен провести всебічне глибоке обстеження не просто інформаційної системи замовника, а всього "інформаційного життя" організації. Обстеження повинне вестися на трьох рівнях: на рівні бізнес-процесів, який виявляє документальні потоки, типи оброблюваної інформації, рівні її конфіденційності; на інфраструктурному рівні – для виявлення вразливостей серверного парку, мережевого устаткування; на рівні застосувань, на якому виявляються уразливості в програмному забезпеченні, помилки в налаштуваннях механізмів розмежування доступу і ін.
На основі отриманих даних необхідно формувати спочатку концептуальне рішення по захисту інформації, що складається з комплексу організаційних, процедурних і програмно-апаратних заходів захисту, а потім, чітко обгрунтувувавши вибір, пропонувати впровадження тих або інших технологій захисту. При цьому потрібно враховувати, що підсистема інформаційній безпеці є підтримуючою системою по відношенню до всієї інформаційної системи організації. Вона не повинна грати домінуючу роль в розвитку організації та її інформаційної системи. Тобто система інформаційної безпеки повинна захищати інформацію, що забезпечує бізнес-завдання організації.