- •Министерство образования и науки российской федерации Федеральное агентство по образованию
- •Методические рекомендации
- •Методические рекомендации
- •1. Введение
- •2. Цели курсовой работы.
- •3. Тематика курсовой работы.
- •4. Политика обеспечения информационной безопасности
- •5. Аудит информационной безопасности
- •6. Структура и содержание курсовой работы.
- •7. Оформление курсовой работы.
- •8. Организация выполнения и защиты курсовой работв.
- •9. Рекомендуемая литература.
3. Тематика курсовой работы.
Тема курсового проекта должна ориентировать студента на создание целостной системы решений по обеспечению безопасности автоматизированной системы (согласно выбранному направлению обеспечения защиты).
При выборе темы необходимо исходить из того, что:
1. К функциям программно-аппаратных средств защиты информации можно отнести разграничение доступа между подсетями различных подразделений, выделение сильно защищенных контуров, обрабатывающих строго конфиденциальную информацию; защиту каналов связи между различными офисами организации, между отдельными подразделениями или сотрудниками; защиту рабочих станций пользователей от непосредственного доступа к ним других сотрудников; строгое разграничение доступа к архивам документов, рабочей информации; протоколирование и аудит действий сотрудников организации с конфиденциальной информацией; резервное копирование архивов документов и др.
2. Важным фактором применимости системы защиты является ее экономическая эффективность, под которой в простейшем случае можно понимать абсолютную разницу либо соотношение потерь до и после установки системы, а так же отношение затрат на разработку/приобретение защиты к приросту прибыли.
3. На каждом конкретном предприятии построение его внутренней системы зашиты информации определяется, прежде всего, следующими факторами:
1. финансовые возможности организации;
2. технические возможности организации;
3. размеры организации;
4. размещение организации;
5. номенклатура выпускаемой продукции;
6. система внутреннего документооборота;
7. объем защищаемой информации;
8. вид защищаемой информации и др.
4. Любая система информационной безопасности, защищающая крупную организацию с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.
5. Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:
1. Обеспечение комплексной безопасности;
2. Компоненты комплексной системы защиты информации;
3. Направления работ по созданию комплексной системы информационной безопасности;
4. Основные принципы построения системы комплексной информационной безопасности:
о принцип равномощности (комплексности); о принцип непрерывности защиты; о разумная достаточность; о гибкость системы защиты;
о принцип независимости стойкости СЗИ от раскрытия информации о механизмах ее
использования; о принцип простоты применения.
5. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
о создание службы обеспечения конфиденциальности (СОК);
о перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
6. Рекомендации по методологии построения матрицы конфиденциальности:
о определение объектов и субъектов информационных потоков;
о определение характеристик и признаков объектов и субъектов информационных
потоков (матрицы конфиденциальности); о построение правил разграничения доступа субъектов к объектам информационных
потоков на основании матрицы конфиденциальности.
7. Методика оценки рисков:
о методика анализа угроз конфиденциальной информации и построения
неформальной модели нарушителя; о методика определения общих требований к защищенности автоматизированной
системы:
■ классификационные требования ФСТЭК (Гостехкомиссии) России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
■ классификационные требования ФСБ (ФАПСИ) к системам защиты информации;
■ основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
8. Методика определения уровня ЗИ в соответствии с РД ФСБ (ФАПСИ) и ФСТЭК (ГТК).
Основные темы курсовых работ:
1. Программно - аппаратные средства от несанкционированного доступа (НСД) к ПЭВМ и в ЛВС, серверам БД и пр. Организация парольной защиты;
2. Системы криптографической защиты информации (СКЗИ), с функцией ЭЦП. Организация электронного документооборота в соответствии с Федеральным законом № 1-ФЗ от 10 января 2002 года «Об электронной цифровой подписи». Технология открытого распределения ключей;
3. Обеспечение защиты информации при передаче по каналам связи. Защищенные Интернет технологии. Межсетевые экраны. Учет и мониторинг IP - трафика. Обнаружение и предупреждение атак.
4. Аудит информационной безопасности и аттестация АС. Инструментальные средства поддержки аудита информационной безопасности и аттестации АС (системные сканеры, ревизоры сети, средства анализа защищенности и.т.д.).
Рекомендуется, чтобы при выполнении курсового проекта осуществлялась преемственность и совместная работоспособность тех или иных программно-аппаратных средств защиты, указанных в п. 1,2,3,4. Согласование с прикрепленным руководителем, имея в виду единую систему исследовательских решений, выполняемых студентом. Такой подход к выбору тематики полезен, как с точки зрения сбора конкретной информации и данных, так и с точки зрения дополнительной специализации в предметной области.
Задание на курсовую работу Постановка задачи:
Обеспечение, организация и проектирование Системы и Технологии защиты информации (коммерческая, конфиденциального характера, в том числе и персональные
данные, государственная тайна) в организации, с использованием программно-аппаратных средств информационной безопасности.
Экономическое обоснование применения тех или иных программно-аппаратных средств защиты.
Имеется 3 вида организации:
1. Коммерческая организация, обрабатывает как коммерческую (до 50%), так и информацию конфиденциального характера, в том числе и персональные данные (до 20%), в процентном соотношении от всего объема фигурирующей информации;
2. Государственная организация, обрабатывает информацию конфиденциального характера, в том числе и персональные данные (до 80%) информацию, в процентном соотношении от всего объема фигурирующей информации;
3. Государственная организация, обрабатывает коммерческую (до 20%), как информацию конфиденциального характера, в том числе и персональные данные (до 50%), так и государственную тайну (до 30%), в процентном соотношении от всего объема фигурирующей информации.
Все организации имеют 3-х (4-х), некоторые и 2-х уровневую иерархию:
Головной Центр (1) - подчиненные Управления (100) - Отделения (10) - Отделы (5).
Входные технические данные для курсового проекта определяются номером варианта (т.е. масштабностью организации, а именно: количеством сотрудников; серверов; ПЭВМ и типами каналов связи), изложенными в Таблице №1.
Для мелких организаций (коммерческих), численностью до 40\20 чел.:
- курсовой проект делается по всем программно - аппаратным средствам, указанным в п. 1,2,3,4;
- подробно описать принцип работы и взаимодействия программно - аппаратных средств;
- экономически обосновать применение тех или иных программно - аппаратных средств.
Для средних и крупных организаций:
- должно соблюдаться дублирование № вариантов (минимум как у 4-х студентов), для осуществления преемственности и совместной работоспособности тех или иных программно-аппаратных средств защиты, указанных в п. 1,2,3,4.
Тема курсового проекта может согласовываться с руководителем по окончании 8-го семестра.