Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 209

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

1. Тематика дипломных проектов

2. Структура дипломного проекта

2.1 Общие положения

2.2. Структура первой главы

I. Аналитическая часть

2.3. Структура второй главы

2.4. Структура третьей главы

3. Требования по оформлению дипломного проекта

3.1 Требования и правила оформления текстового материала

3.2 Правила оформления иллюстративного материала

3.3 Правила составления списка литературы

3.4 Правила оформления приложений

3.5 Порядок проверки дипломного проекта

Назначение и область применения

Нормативные ссылки

Обозначения и сокращения

Термины и определения

Ответственность

Основное содержание

Требования

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления



Например, если организация занимается продажами, то во главу угла ставится актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Для организации, отвечающей за поддержание критически важных баз данных, на первом плане должна стоять целостность данных. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.

Результат ранжирования информационных активов, должен соответствовать сформулированной во введении цели дипломного проектирования. Так, например, недопустимо при выборе темы, связанной с криптографической защиты данных, отдавать приоритет информации, зафиксированной в бумажной форме, либо, если тематика предусматривает защиту какого-либо конкретного актива (персональных данных), присваивать данному активу низший приоритет по сравнению с другими активами, подлежащими оценке.

Пункт должен содержать:

а) обоснование выбора активов, подлежащих оценке, т.е. необходимо аргументировать, почему обязательной защите должны подлежать именно указанные активы.

б) перечень видов деятельности организации (определенных в п.1.1.1), а также наименование и краткое описание используемых (создаваемых) информационных активов для каждого вида, форму представления актива (бумажный документ, информация на электронном носителе, материальный объект);

в) перечень владельцев активов, определенных в п.п (б). Термин «владелец» обозначает лицо или субъект, наделенный утвержденной руководством ответственностью за осуществление контроля производства, разработки, сопровождения, использования и безопасности активов. Следовательно, формирование данного перечня должно осуществляться на основе информации, изложенной в п.1.1.2.;

г) результаты оценки активов. При проведении оценки следует руководствоваться приведенными ниже рекомендациями.

  • Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность.

  • Ответственность за определение ценности активов должны нести их владельцы.

  • Для обеспечения полного учета активов (рассматриваемых в дипломной работе) рекомендуется сгруппировать их по типам, например, информационные активы, активы программного обеспечения, физические активы и услуги.

  • Необходимо определить критерии определения конкретной стоимости активов. Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. Возможны следующие критерии определения ценности активов:

  • первоначальная стоимость актива,

  • стоимость его обновления или воссоздания.

  • ценность актива может также носить нематериальный характер, например, цена доброго имени или репутации компании.

Другой подход к оценке активов предполагает учет возможных затрат, вследствие

  • утраты конфиденциальности;

  • нарушения целостности;

  • утраты доступности.

  • Необходимо определить размерность оценки, которая должна быть произведена. Некоторые активы могут быть оценены в денежных единицах, в то время как другие активы могут оцениваться по качественной шкале.

Например, для количественной шкалы используется размерность тыс. рублей. Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение".

Для одного и того же выбранного актива должны быть определены значения для обоих типов оценки.

Информация в подпункте (а) может быть представлена в произвольной тестовой форме. Желательно привести результаты внутреннего аудита информационной безопасности. При необходимости возможно использование статистических данных, полученных из внешних источников.

Информация по подпунктам б-г должна быть сведена в таблицу 2

Вид деятельности
Наименование актива
Форма представления
Владелец актива
Критерии определения стоимости
Размерность оценки

Количественная оценка (ед.изм)
Качественная

Информационные активы











































Активы программного обеспечения











































Физические активы











































Услуги











































Таблица 2

Оценка информационных активов предприятия

В зависимости от постановки задачи некоторые разделы таблицы могут не заполняться

д) перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведенных в таблицу 3.

Таблица 3

Перечень

сведений конфиденциального характера ООО «Информ-Альянс»

п/п
Наименование сведений
Гриф конфиденциальности
Нормативный документ, реквизиты, №№ статей

1.
Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.






2.
Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.



Гражданский кодекс РФ ст.ХХ

3.
Персональные данные сотрудников



Федеральный закон ХХ-ФЗ


е) результат ранжирования активов. Результат ранжирования должен представлять собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и внесенную в таблицу 4.

Именно активы, имеющие наибольшую ценность (ранг) должны в последующем рассматриваться в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия, но в дипломной работе целесообразно рассматривать 5-9 активов.

Таблица 4

Результаты ранжирования активов

Наименование актива
Ценность актива (ранг)

Информационный актив №1
1

Физический актив № 3
1





Информационный актив №3
4

Актив программного обеспечения №2
5

Физический актив №4
5


Активы, имеющие наибольшую ценность:

1.

2.

1.2.2. Оценка уязвимостей активов;

В данном пункте необходимо провести идентификацию уязвимостей окружающей среды, организации, процедур, персонала, менеджмента, администрации, аппаратных средств, программного обеспечения или аппаратуры связи, которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности организации, осуществляемой с их использованием.

Оценка должна проводиться для активов, определенных в п.п. (е) п.1.2.1.

При проведении оценки рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение D).

Пункт должен содержать:

а) Описание процедуры оценки уязвимости активов, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.

б) Перечень уязвимостей с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, например "высокая", "средняя" или "низкая", сведенный в таблицу 5

Следует обратить внимание на то что, в указанной таблице уязвимости сгруппированы по областям существования/возникновения. Один и тот же информационный актив может присутствовать в нескольких разделах таблицы. Иными словами, один и тот же информационный актив может иметь несколько уязвимостей.


Таблица 5

Результаты оценки уязвимости активов

Группа уязвимостей

Содержание уязвимости
Актив №1
Актив №2
Актив №3
Актив №4
Актив №5
Актив №6
Актив №7

1. Среда и инфраструктура

Уязвимость 1.1.
низкая























высокая















Уязвимость 1.n





















2. Аппаратное обеспечение

Уязвимость 2.1.












































Уязвимость 2.n












средняя






3. Программное обеспечение

Уязвимость 3.1.












































Уязвимость 3.n





















4. Коммуникации

Уязвимость 4.1.












































Уязвимость 4.n





















5. Документы (документооборот)

Уязвимость 5.1.












































Уязвимость 5.n





















6.Персонал

Уязвимость 6.1.












































Уязвимость 6.n





















7. Общие уязвимые места

Уязвимость 7.1.












































Уязвимость 7.n






















1.2.3. Оценка угроз активам;

Перед началом выполнения данного пункта необходимо уяснить, что угроза – это потенциальная причина инцидента, который может нанести ущерб системе или организации, а инцидент, (инцидент информационной безопасности) – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно.

В ходе выполнения пункта источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена.

Следует учесть, что, с одной стороны, важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий, а с другой не акцентировать внимание на заведомо маловероятных угрозах.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации.

При формировании перечня угроз рекомендуется руководствоваться требованиями стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С).

Также полезно использование каталогов угроз (наиболее соответствующих нуждам конкретной организации или виду ее деловой деятельности).

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы. При этом следует учитывать:

- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;

- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;

- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Смотрите также файлы