- •Министерство образования и науки российской федерации Федеральное агентство по образованию
- •Методические рекомендации
- •Методические рекомендации
- •1. Введение
- •2. Цели курсовой работы.
- •3. Тематика курсовой работы.
- •4. Политика обеспечения информационной безопасности
- •5. Аудит информационной безопасности
- •6. Структура и содержание курсовой работы.
- •7. Оформление курсовой работы.
- •8. Организация выполнения и защиты курсовой работв.
- •9. Рекомендуемая литература.
6. Структура и содержание курсовой работы.
Работа должна включать следующие разделы, в соответствии с темой проекта:
- Введение;
Описание структуры организации. Основные угрозы информационной безопасности на предприятии;
Исследование рынка программно-аппаратных средств информационной безопасности, для обеспечения необходимого уровня безопасности. Оценка защищенности информации.
- Разработка нового средства обеспечивающего защиту информации (при необходимости);
- Разработка системы и технологии обеспечения информационной безопасности организации в соответствии с темой проекта, согласование применимости и совместной работоспособности программно-аппаратных средств, указанных в основных темах проекта п. 1.2.3.4.;
- Экономическое обоснование применения тех или иных программно-аппаратных средств защиты;
- Заключение;
- Приложения;
- Литература.
Содержание разделов.
Введение. Здесь должна быть показана необходимость защиты информации в организации.
Описание структуры организации. В этом разделе необходимо отразить структуру организации и основные угрозы информационной безопасности. Принятие решения по возможному использованию средств защиты (перечни угроз ИБ, оценки рисков и рекомендации по снижению вероятности их возникновения).
Исследование рынка программно-аппаратных средств информационной безопасности. Оценка защищенности информации.
При исследовании рынка первоочередной задачей является квалифицированный анализ средств защиты информации, в соответствии с принципом системного подхода к построению системы противодействия угрозам безопасности и совместимость создаваемой системы с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.
Оценка защищенности информации проводится с целью определения состояния информационной безопасности в автоматизированной системе и формирования требований по защищенности информации для разработки политики информационной безопасности.
В ходе оценки защищенности проводится:
• определение класса защищенности автоматизированной системы;
■ анализ состояния информационной безопасности в автоматизированной системе, достаточности и корректности реализации организационных, нормативно-правовых и технических мер защиты;
• формирование требований по защищенности информации, исходя из видов и критичности обрабатываемой информации, требований нормативных и законодательных документов по защите информации, а также информационных и технических характеристик автоматизированной системы;
• подготовка исходных данных и рекомендаций для формирования политики информационной безопасности, создания или модернизации подсистемы защиты информации от угроз безопасности информации, идентифицированных при проведении обследования системы и анализе рисков;
• аудит информационной безопасности и аттестация АС. Инструментальные средства поддержки аудита информационной безопасности и аттестации АС (системные сканеры, ревизоры сети).
Разработка нового средства обеспечивающего защиту информации (разрабатывается при необходимости, для обеспечения низкой стоимости и соответствующего качества защиты, а также для совместимости с существующими средствами защиты).
Разработка системы и технологии обеспечения информационной безопасности организации.
В этом разделе необходимо отразить программно-технические средства, реализующие заданные требования по оптимальной комплексной системе защиты информации (СЗИ) в процессе создания автоматизированной системы или в уже функционирующей АС.
Создание системы обеспечения безопасности информации в АС включает:
• проведение обследования АС, анализа проектной и конструкторской документации для определения приоритетов, требований и ограничений на систему защиты информации;
• разработку архитектуры системы защиты информации;
• выбор и обоснование решений по обеспечению безопасности информации в АС;
• определение состава, характеристик и мест установки средств защиты информации в
АС;
• определение режимов функционирования и настроек средств защиты информации в АС;
• разработку порядка администрирования системы защиты информации в АС;
• разработку рекомендаций по использованию средств обнаружения уязвимостей и контроля эффективности системы защиты информации в АС;
• разработку порядка сопровождения СЗИ в АС;
• разработку спецификаций необходимых средств защиты информации;
• разработку комплекса организационных мероприятий по ОБИ в АС;
разработку необходимых организационно-распорядительных документов по обеспечению безопасности информации в АС;
• разработку порядка и этапов внедрения СЗИ;
• консультирование Заказчика при внедрении СЗИ.
Если требования формулировались в терминах функций (сервисов) безопасности, рассматриваются механизмы безопасности и соответствующие им варианты программных и аппаратных реализаций.
Если требования формулировались по подсистемам АС, рассматривается варианты программно-аппаратной реализации этих подсистем.
При рассмотрении различных вариантов рекомендуется учитывать следующие аспекты:
• управление доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
• регистрация значительных событий в журнале для целей повседневного контроля или специальных расследований;
• проверка и обеспечение целостности критически важных данных на всех стадиях их обработки;
• защита конфиденциальных данных от НСД, в том числе использование средств шифрования;
• резервное копирование критически важных данных;
• восстановление работы АС после отказов, особенно для систем с повышенными требованиями к доступности;
• защита от внесения несанкционированных дополнений и изменений; обеспечение средств контроля, например, посредством использования программы
для выборочного контроля и альтернативные варианты программного обеспечения для повторения критически важных вычислений.
Экономическое обоснование применения тех или иных программно-аппаратных средств защиты. Этот раздел должен содержать оптимизацию затрат на обеспечение безопасности конфиденциальной информации и информации коммерческого характера.
Уровень финансовых средств, выделяемых на создание и эксплуатацию СЗИ, должен быть сбалансированным и соответствовать масштабу угроз. Если стоимость СЗИ по сравнению с предполагаемым ущербом мала, то основным фактором риска собственника являются экономические потери от несанкционированных действий с принадлежащей ему информацией. Когда ситуация противоположна, то основные потери связаны с чрезмерно высокой стоимостью реализованной СЗИ. Таким образом, установлено существование области экономически оптимальных СЗИ, обеспечивающих наименьший риск собственника (владельца) информации. В качестве меры риска приняты ожидаемые суммарные потери в процессе защиты информации в течение определенного периода времени. Проведенные исследования, которые были основаны на количественном моделировании риска, подтвердили это предположение, и обеспечили оценку параметров экономически оптимальных СЗИ. Анализ показывает, что применение даже недорогих способов и средств защиты информации резко снижает суммарные потери собственника. Таким образом, вложение средств в СЗИ уже в сравнительно небольших размерах является очень эффективным. При некоторой стоимости СЗИ риск имеет наименьшее значение. Эта стоимость является оптимальной. Дальнейшей, сверх оптимального значения, рост затрат на СЗИ будет вести и к неограниченному увеличению экономических потерь собственника информации. Его выигрыш в повышении надежности системы защиты и соответствующем снижении вероятности ущерба от несанкционированных действий будет нивелироваться и обесцениваться чрезвычайно высокой стоимостью самой СЗИ. Поэтому наилучшей стратегией собственника информации будет, очевидно, использование СЗИ, обеспечивающих минимум риска. Эффективность такого решения подтверждается результатами численного моделирования, в соответствии с которыми использование экономически оптимальных СЗИ приводит к снижению суммарных ожидаемых потерь более чем в 10 раз по сравнению с базовыми решениями. Оптимальные СЗИ, обеспечивающие минимум риска, могут быть созданы при помощи настоящего бизнес-решения.
Дополнительную информацию Вы можете получить, изучив статьи А.Баутова "Экономический взгляд на проблемы информационной безопасности", издание "Открытые системы. СУБД", №2(70), 2002 год, с. 34 - 37 и А.Баутова и А.Козлова "Страховая стоимость информационных ресурсов. Анализ нормативной базы." Издание "Страховое дело" №7, 2001 год, с. 15 - 23.