Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 222
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Тематика дипломных проектов
2. Структура дипломного проекта
3. Требования по оформлению дипломного проекта
3.1 Требования и правила оформления текстового материала
3.2 Правила оформления иллюстративного материала
3.3 Правила составления списка литературы
3.4 Правила оформления приложений
3.5 Порядок проверки дипломного проекта
Назначение и область применения
Приложение 1. Наименование приложения
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер.
I. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)
1.1.1. Общая характеристика предметной области
В качестве основных компонентов предметной области (в различных сочетаниях) рассматриваются:
-
предприятие, фирма, объединение, государственное учреждение и т.д., функционирование которого предусматривает проведение мероприятий по обеспечению информационной безопасности (обеспечению конфиденциальности, целостности и доступности информации); -
система защиты информации предприятия, функционирование которой не в полной мере обеспечивает адекватное реагирование на угрозы информационной безопасности; -
отдельный вид деятельности по обеспечению информационной безопасности, рассматриваемый, как бизнес-процесс, требующий оптимизации.
В зависимости от выбранной предметной области в данном пункте необходимо отразить, или пункт должен содержать:
-
цель функционирования предприятия (задачи системы защиты информации, содержание выхода бизнес-процесса); -
краткую историю развития (предприятия) и его место на рынке аналогичных товаров\услуг (историю, создания системы защиты информации, этапа внедрения бизнес-процесса, обеспечивающего информационную безопасность); -
все основные виды (направления) деятельности, связанные с созданием, хранением и обработкой информации (функции системы защиты информации; содержание процедур, составляющих бизнес-процесс), например:
-
обработка заявок клиентов, обмен корреспонденцией; -
предоставление защищенных каналов телекоммуникаций; -
обеспечение непрерывной работы Web-портала; -
внутренний аудит корпоративной информационной системы -
регламентация деятельности по обработке информации; -
доступ к информационным ресурсам; -
контроль корпоративного трафика и т.п.
-
основные характеристики (показатели эффективности) видов деятельности
При выборе набора наиболее важных характеристик следует иметь ввиду то, что они должны отражать масштабы деятельности компании, должны отражать масштабы реализации того направления, в рамках которого планируется проводить исследование. Приведённые показатели будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта.
Таблица 1
Основные характеристики (показатели эффективности) видов деятельности
| № п\п | Наименование характеристики (показателя) | Значение показателя на определённую дату либо за период |
| | | |
| | | |
| | | |
Показатель эффективности представляет собой количественную (реже качественную) меру, позволяющую вынести суждение об эффективности функционирования системы защиты информации (дать оценку эффективности процесса). При выборе и/или формировании показателя эффективности следует помнить о том, вне зависимости от содержания процесса, показатель должен иметь ясный физический смысл, то есть размерность показателя должна наглядно отражать сущность оцениваемого процесса, виды расходуемых ресурсов, а также однозначно характеризовать выходной продукт процесса. Например:
-
Характеристикой документооборота является его объем, под которым понимается количество документов, поступивших в организацию и созданных ею за определенный период. -
Характеристика функционирования системы связи (телекоммуникаций) – коэффициент исправного действия (КИД), который определяется как отношение времени, в течение которого система функционировала нормально, к общему времени «жизни» системы на данном предприятии, исключая время, затраченное на запланированные мероприятия, такие как техническое обслуживание, модернизация и т.п. -
Характеристика деятельности службы безопасности – отношение количества выявленных угроз к количеству угроз нейтрализованных. -
Ущерб от реализованной угрозы информационным ресурсам – объем недополученной прибыли (утерянная выгода), затраты на устранение последствий реализованных угроз и т.п.
Выбранная или сформированная количественная мера должна обеспечивать сравнимость результатов. Так, например, показатели, характеризующие скорость обработки информации в зависимости от рассматриваемых программно-аппаратных средств, могут иметь вид:
Мбайт/сек и Мбит/сек, а выходная характеристика одного и того же процесса в зависимости от выбора продолжительности отчетного периода, может иметь размерность: количество документов/месяц, количество документов/квартал, количество документов/год. Очевидно, что сравнение численных значений показателей, имеющих разную размерность недопустимо.
1.1.2. Организационно-функциональная структура предприятия.
В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.
В
организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей, либо названия подразделений.
Рис.1 Организационно-функциональная структура предприятия
1.2. Анализ рисков информационной безопасности.
Положения действующей нормативной базы в области информационной безопасности (международные стандарты, ГОСТы) требует от организации идентификации и принятия систематического метода и подхода к оценке рисков, где риск – комбинация вероятности события и его последствий. (другими словами, риск – это математической ожидание ущерба информационным активам компании).
Тем не менее, результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск
Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации.
Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации.
Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией.
Какое бы решение не приняла организация,
важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации.
Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков для организации и указать:
-
кто принимает решение о проведении анализа рисков? -
кто проводит анализ рисков, с какой периодичностью? -
в какой форме представлена оценка рисков? -
если данный анализ не проводится, то по каким причинам?
1.2.1. Идентификация и оценка информационных активов
Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. При идентификации активов следует иметь в виду, что всякая система информационных технологий включает в себя не только информацию – сведения, данные, независимо от формы их представления, но и аппаратные средства, программное обеспечение и т.д. Могут существовать следующие типы активов:
-
информация/данные (например, файлы, содержащие информацию о платежах или продукте); -
аппаратные средства (например, компьютеры, принтеры); -
программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения); -
оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели); -
программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM); -
документы (например, контракты); -
фонды (например, в банковских автоматах); -
продукция организации; -
услуги (например, информационные, вычислительные услуги); -
конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей); -
- оборудование, обеспечивающее необходимые условия работы; -
- персонал организации; -
- престиж (имидж) организации.
В данном пункте необходимо определить состав и, по возможности, содержание информации, циркулирующей на предприятии и подлежащей обязательной защите. После чего провести ранжирование активов по степени их важности для компании. Поскольку защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то результаты анализа должны быть сформулированы в терминах доступности, целостности и конфиденциальности.