Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 229

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

1. Тематика дипломных проектов

2. Структура дипломного проекта

2.1 Общие положения

2.2. Структура первой главы

I. Аналитическая часть

2.3. Структура второй главы

2.4. Структура третьей главы

3. Требования по оформлению дипломного проекта

3.1 Требования и правила оформления текстового материала

3.2 Правила оформления иллюстративного материала

3.3 Правила составления списка литературы

3.4 Правила оформления приложений

3.5 Порядок проверки дипломного проекта

Назначение и область применения

Нормативные ссылки

Обозначения и сокращения

Термины и определения

Ответственность

Основное содержание

Требования

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления



После завершения оценки угроз составляют перечень идентифицированных угроз, активов или групп активов, подверженных этим угрозам, а также определяют степень вероятности реализации угроз с разбивкой на группы высокой, средней и низкой вероятности.

Пункт должен содержать:

а) описание процедуры оценки угроз активам, при этом должно быть отражено, что является основанием для проведения такой оценки, как часто проводится оценка, кто проводит оценку, какие при этом используются методики, в какой форме представляются результаты оценки.
Таблица 6

Результаты оценки угроз активам

Группа угроз

Содержание угроз
Актив №1
Актив №2
Актив №3
Актив №4
Актив №5
Актив №6
Актив №7

1. Угрозы, обусловленные преднамеренными действиями

Угроза 1.1.
средняя























высокая















Угроза 1.n





















2. Угрозы, обусловленные случайными действиями

Угроза 2.1.












































Угроза 2.n












высокая






3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)

Угроза 3.1.












































Угроза 3.n























1.2.4. Оценка существующих и планируемых средств защиты
Для защиты информации, составляющей коммерческую тайну, её владелец создает собственную систему защиты информации. Законодательно структура такой системы не закреплена.

Задачи по защите информации, в зависимости от возможностей и масштабов организации, может выполнять как профильное структурное подразделение, входящее в штатную структуру предприятия (для крупных компаний), так и сотрудники, уполномоченные руководством для проведения мероприятий по защите информации параллельно с выполнением основных функциональных обязанностей.

Защита информации может осуществляться также в рамках абонентского обслуживания.

Вне зависимости от того, на кого возложены организация и выполнение мероприятий по защите информационных активов, данный пункт должен содержать:

а) данные о подразделении (должностных лицах), на которых возложены задачи по защите информации: организационную структуру подразделения и функционал. Информация должна детализировать данные по п.1.1.1. с точки зрения обеспечения информационной безопасности..

б) техническую архитектуру – состав и взаимодействие аппаратных средств, используемых (даже частично) для обработки информационных активов, подлежащих защите. Схему (Рис.2) и таблицу описания технических характеристик;

в) программную архитектуру – программное обеспечение, используемое (даже частично) для обработки информационных ресурсов, подлежащих защите Схему (Рис.3) и таблицу описания технических характеристик;

г) описание как минимум одной из подсистем инженерно-технических средств защиты информации: системы видеонаблюдения, системы контроля и управления доступом, системы периметровой охраны, внедрение и/или модернизация которой предусмотрено темой дипломного проекта. Схемы (Рис.4-7) и таблицу описания технических характеристик.




Рис.2. Пример технической архитектуры предприятия

Р
ис.3. Пример программной архитектуры предприятия
Рис.4. Расположение камер охранного видеонаблюдения.






Рис.5. Расположение датчиков движения

Р

ис. 6. Расположение систем контроля периметра (вариант 1)
Рис. 7 Расположение систем контроля периметра (вариант 2)
г) результаты оценки действующей системы безопасности информации, отражающие, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации. Если некоторые задачи решаются не в полном объеме, следует указать, как предусмотренные мероприятия выполняются в действительности. Результаты обследования внести в Таблицу 7.
Таблица 7

Анализ выполнения основных задач

по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности
Степень выполнения

обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;



организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;



организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;



предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;



выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;



обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;



обеспечение охраны территории, зданий помещений, с защищаемой информацией.




1.2.5. Оценка рисков
На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз.


Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельность в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:

  • ценности активов;

  • угроз и связанной с ними вероятности возникновения опасного для активов события;

  • легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;

  • существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных воздействий.

Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие опасного события и его вероятность.

Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:
Пример 1

Суть подхода заключается в определении наиболее критичных активов в организации с точки зрения рисков ИБ по «штрафным баллам». Оценивание рисков производится экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается, например, таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (табл. 8).
Таблица 8


В случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса.
Однако такой подход не приводит к интерпретации результатов аудита или самооценки ИБ, ориентированной на бизнес, на бизнес-процессы.


Если оставить за границей анализа угрозы, слабо поддающиеся управлению со стороны системы обеспечения ИБ, и оценить риски по степени влияния уязвимостей на бизнес-процессы, то можно получить оценки рисков бизнес-процессов на основе оцененного профиля процессов.
Пример 2

Д
ля такого оценивания может быть применена таблица, (Таблица 9)в которой строками являются уровни степени влияния уязвимости на бизнес-процессы , столбцами — уровни уязвимостей.

Таблица 9

То есть уровень уязвимости бизнес-процесса показывает (отображает) степень влияния на конкретный бизнес-процесс организации уязвимости, а уровень уязвимости отражает величину отклонения оцененного профиля от рекомендованного (целевого профиля).

Таким образом, столбец в таблице 9 есть характеристика бизнеса, а строка — характеристика уязвимости. Чем больше оцененный профиль отличается от рекомендованного, тем больше величина (уровень) уязвимости.

Предопределенные «штрафные баллы» меры риска бизнес-процессов могут отражать историю инцидентов, связанных с бизнес-процессами, и их последствия, если таковая история имеется. С другой стороны, баллы могут быть внесены в таблицу экспертным способом.

Далее для оценки рисков каждый реализуемый в организации бизнес-процесс рассматривается экспертами и относится ими к одному из 4 классов (столбец табл. 9). Фактически при этом оценивается степень влияния ИБ на каждый конкретный бизнес-процесс.

Понятно, что если процесс имеет сильную стохастическую составляющую, связанную с его природой (например, невозврат кредита, курс валют и т.д.), то влияние ИБ на этот процесс существенно меньше, чем на детерминированный процесс, в котором потери в основном возникают при фальсификации и манипулировании информацией.

Каждый бизнес-процесс может классифицироваться в целом по профилю либо по каждому показателю профиля. (Профиль – наименование совокупности информационного актива, уязвимости, угроз, состояния средств защиты информации). В последнем случае будет получена более точная оценка. Если бизнес-процессы классифицированы экспертами по каждому показателю профиля, то он получает пару координат в таблице 9 и для него может быть определено количество «штрафных баллов» путем их выборки из таблицы и суммирования.

Если бизнес-процессы классифицированы в целом по профилю, то нет необходимости рассматривать далее каждый показатель профиля в отдельности — достаточно взять разницу между значением рекомендованного профиля и средним значением оцененного профиля. По ее величине будет выбран один из столбцов таблицы 9, каждому бизнес-процессу будет присвоен «штрафной балл» из соответствующей для него степени влияния этого столбца. Далее «штрафные баллы» всех бизнес-процессов организации суммируются и получается интегральная оценка в «штрафных баллах» для организации.

Смотрите также файлы