- •Введение
- •1.Тематика курсового проектирования
- •2. Объем и оформление курсового проекта, требования к оформлению
- •2.2. Пз должна содержать:
- •3. Содержание основной части пояснительной записки
- •4. Содержание практической части
- •Содержание графической части
- •График выполнения работы
- •Перечень алгоритмов шифрования и их характеристик
3. Содержание основной части пояснительной записки
Основная часть пояснительной записки должна содержать материал, на основании которого проводится проектирование. Её рекомендуется разбить на следующие разделы:
1. Описание информационной системы
2. Анализ угроз информационной безопасности
3. Разработка политики информациооной безопасности информации в ИС
4. Анализ эффективности системы защиты информации.
В разделе “Описание информационной системы” должно быть представлено:
1. Цель, задачи ИС предприятия. Информационные технологии, применяемые для их реализации.
2. Анализ технической оснащенности ИС предприятия.
3. Анализ информации, циркулирующий на предприятии.
4. Информационная политика предприятия.
При описании информационной системы предприятия необходимо указать полное название предприятия, его основную форму деятельности, приблизительную величину доходов, цель создания ИС, т.е. цель информатизации деятельности предприятия. А так же, необходимо перечислить задачи информатизации. Например:
“Предприятие ООО «Три слона» является предприятием оптово-розничной торговли и объединят сеть продуктовых магазинов под общим названием «Слонёнок»… Для обеспечения непрерывности работы магазинов и качества обслуживания покупателей развёрнута распределённая база данных… В магазинах установлены терминалы с фискальным учётом... ”
Анализ технической оснащённости включает схему ЛВС и технический паспорт объекта. Схема ЛВС выполняется с указанием размещения АРМ, серверов, коммутационного оборудования, линий связи, электроснабжения, заземления, сигнализации, оргтехники и других элементов информационной системы предприятия. Технический паспорт представляет собой таблицу, форма которой представлена в таблице 1:
Таблица 1. Технический паспорт объекта
Наименование объекта |
(Название предприятия) |
|
Этаж (этажей в многоэтажном здании) |
|
|
Наличие комнат с неконтролируемым доступом |
Сколько? Какие? |
|
Порядок доступа в помещения |
Какие комнаты и как сдаются по охрану? |
|
Наличие других предприятий |
Да/нет? |
|
Состав технических средств |
||
Количество и тех. характеристики серверов |
Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/ОС |
|
Количество и характеристики АРМ |
Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/монитор/ОС |
|
Количество и характеристики терминалов |
Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/монитор/ОС |
|
Количество коммутаторов ЛВС |
производитель/модель/пропускная способность/количество портов |
|
Выход в Internet |
||
Тип подключения |
(Dial-Up/ADSL/коммутированный канал)/скорость передачи |
|
Коммуникационное оборудование |
производитель/модель |
|
Коммуникационное ПО |
Шлюз, сетевой экран |
|
Характеристика ПО |
||
Информационное ПО |
|
|
Тип ПО |
Сетевое? (да/нет)/количество мест |
|
Структура ПО (Клиент-сервер/Файл-сервер) |
Производитель/версия |
|
Объем базы данных |
|
|
Дополнительное ПО |
||
Наименование |
Назначение/версия/сетевое? (да/нет) |
|
Дополнительное оборудование |
||
Факсы |
Производитель/модель/количество |
|
Факс-модемы (не используемые для Internet) |
Производитель/модель/количество |
|
Внутренняя АТС |
Производитель/модель/количество |
|
Телефоны |
Производитель/модель/количество |
|
Графы, которые являются неактуальными для данного предприятия, разрешается не заполнять. Графы для описания различных моделей устройств или программного обеспечения должны повторятся.
Анализ информации циркулирующей в ИС предприятии представляется в виде таблицы 2.
Таблица 2. Анализ информации в ИС
№ п.п. |
Тип информации |
Размещение |
1 |
2 |
3 |
В графе 2 “Тип информации” таблицы 2 необходимо указать информационных ресурс (ИР) и характер информации, которая в нём храниться. Например: “База данных продуктов”, “Каталог с текстовыми документами” и т.д. В графе 3 “Размещение” необходимо указывать где размещён ИР. Например: “Сервер баз данных”, “Файловый сервер”, “АРМ менеджера” и т.п.
Во второй части курсовой работы необходимо провести анализ угроз информационной безопасности (УИБ). Результатом анализа является таблица, форма которой представлена в таб. 3.
Таблица 3. Анализ угроз информационной безопасности
№ ИР |
Угроза информационной безопасности |
Степень опасности |
Уровень потерь |
1 |
2 |
3 |
4 |
В графе 1 “№ ИР” (номер информационного ресурса) указывается номер ИР в соответствии с таб. 2. В графе 2 “Угроза информационной безопасности” необходимо указать перечень угроз, которые могут угрожать данному ресурсу. Например: “Несанкционированный доступ”, “Утеря”, “Воздействие вирусов” и т.п. Каждую угрозу необходимо отделять новой строкой и пронумеровать. Номер каждой УИБ должен содержать номер ИР и номер угрозы в списке по порядку, например: 1.1, 1.2, и т.д. Угрозы могут повторяться для разных ресурсов.
Степень опасности каждой угрозы оценивается методом экспертных оценок способом неформального оценивания. В качестве эксперта выступает студент. Для оценки степени опасности необходимо определить значения, например: “не опасно”, “опасно”, “очень опасно”.
Уровень потерь указывается для всего ресурса целиком. Измеряться он должен в рублях или в любой другой валюте.
После проведения анализа угроз необходимо определить методы защиты информации. Их необходимо представить в виде таблицы 4.
№ п.п. |
№ УИБ |
Мероприятия по защите |
1 |
2 |
3 |
В графе 2 “№ УИБ” необходимо указать номер угрозы в соответствии с номером, указанным в графе 2 таб. 3. В графе 3 “Мероприятия по защите” указываются мероприятии, которые предполагается провести для нейтрализации данной угрозы. В таблице необходимо указывать принципиальные мероприятия без подбора аппаратуры и программных средств. Например: “Разграничение доступа к ресурсу”, “Организация учета носителей”, “Обучение персонала” и т.д.
В третьей части работы необходимо провести подбор технических и программных средств защиты информации, а также, разработать политику информационной безопасности.
Подбор технических средств (ТС) производиться студентов исходя из его знаний опыта и предложений на рынке. Для каждого подобранного средства необходимо указывать его стоимость, а так же затраты на его внедрение.
При разработке политики информационной безопасности (ПИБ) должны быть решены следующие вопросы:
1. Определён перечень информации подлежащей защите.
2. Определён тип ПИБ (избирательный, мандатный, ролевой).
3. Определены категории пользователей, доступные им ресурсы ИС и порядок доступа к этим ресурсам.
4. Разработан порядок применения ТС.
Перечни информации подлежащей защиты формируются на основании законодательства РФ и реальной необходимости. Основой для них должен послужить анализ информации циркулирующей на объекте защиты.
Категории пользователей и тип ПИБ определяются исходя из структуры ИС, должностных обязанностей работников, порядка доступа к ресурсам и методов защиты информации, представленных в таблице 4. Порядок применения ТС разрабатывается на основе методов защиты информации (таблица 4), назначения и функциональных возможностей выбранных ТС. Необходимо, так же, представить схему их размещения. Схема размещения ТС должна повторять схему ЛВС с указанием на ней подобранных средств защиты информации.
В конце основной части курсовой работы необходимо произвести приближенный анализ эффективности системы. Стоимость всей системы защиты информации не должна превышать 10% от доходов предприятия. А стоимость каждого технического средства – 10% от суммы ущерба, который может нанести реализация угрозы, нейтрализуемая этим средством.
В тексте основной части ПЗ необходимо отразить только основные положения ПИБ, указанные выше. Полнотекстный вариант документа, отражающего ПИБ, рекомендуется приводить в приложении.