Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 227

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

1. Тематика дипломных проектов

2. Структура дипломного проекта

2.1 Общие положения

2.2. Структура первой главы

I. Аналитическая часть

2.3. Структура второй главы

2.4. Структура третьей главы

3. Требования по оформлению дипломного проекта

3.1 Требования и правила оформления текстового материала

3.2 Правила оформления иллюстративного материала

3.3 Правила составления списка литературы

3.4 Правила оформления приложений

3.5 Порядок проверки дипломного проекта

Назначение и область применения

Нормативные ссылки

Обозначения и сокращения

Термины и определения

Ответственность

Основное содержание

Требования

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления

Приложение 1. Наименование приложения

Лист согласования

Лист ознакомления



После этого вычисляются значения двух характеристических точек для бизнес-процессов организации на оси «штрафных баллов».

Первая характеристическая точка отображает состояние, когда оцененный профиль совпадает с рекомендованным, т.е. соответствует столбцу «очень малый» таблицы 10. При этом окажется, что даже при полной реализации рекомендованного профиля будет ненулевое количество «штрафных баллов». Эта величина отображает остаточный риск, и он будет тем больше, чем больше бизнес-процессов отнесено к высокому уровню зависимости от ИБ.

Вторая характеристическая точка определяется при условии максимального отклонения оцененного и рекомендованного профиля, то есть для ее подсчета используется столбец «высокий» таблицы 9.

Как размещаются эти точки на оси «штрафных баллов», показано на рисунке 8. Как видно из рисунка , на оси образовалось три интервала:

  • [0; 1-я характеристическая точка];

  • [1-я характеристическая точка; интегральная оценка];

  • [интегральная оценка; 2-я характеристическая точка].

Кроме того, представляют также интерес интервалы [0; интегральная оценка] и [0; 2-я характеристическая точка].

С
уждение о величине риска ИБ для организации выносится на основе сопоставления длин указанных интервалов. Они же используются и для прогноза состояния информационной безопасности, которое изменяется вследствие изменчивости структуры активов и бизнес-процессов организации и ее деятельности по совершенствованию защитных мер, что приводит к изменению указанных точек на оси «штрафных баллов».

Рис. 8. Размещение характеристических точек на оси штрафных баллов
На рисунке 9 представлена взаимосвязь основных понятий информационной безопасности: «владелец», «актив», «угроза», «уязвимость» и, наконец «риск». Именно величина риска является тем интегрированным показателем, который позволяет владельцу актива принять адекватное решение для определению перечня мер по уменьшению уязвимостей активов.
Р
ис.9. Основные понятия информационной безопасности и их взаимосвязь
Данный пункт должен включать

а) обоснование выбора методики оценки риска;

б) описание проведения процедуры оценки рисков, с указанием:

  • должностных лиц, участвующих в оценке;

  • способов (форм) представления исходной информации;

  • способов (форм) представления результатов оценки рисков

в) результаты проведения оценки риска, проведенные с учетом ценности информационных активов (п.1.2.1.), наличия уязвимостей (п.1.2.2.), степени угроз (п.1.2.3) и состояния действующей в организации системы защиты информации (п.1.2.4.).

г) определить (при наличии) приемлемые риски, обосновать данное решение.

Результаты проведения оценки целесообразно свести в таблицу, которая должна содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания.

Таблица 10

Результаты оценки рисков информационным активам организации

Риск
Актив
Ранг риска




























Следует обратить особое внимание на то, что именно результаты оценки рисков являются основанием для:

  • выбора и формулировки задач по обеспечению информационной безопасности предприятия (п.1.3.);

  • выбора защитных мер (п.1.4.);


1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

1.3.1. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности.

Кроме общих угроз информационной безопасности специфика деятельности предприятия накладывает и специфические угрозы. Отсюда, при общем анализе возможных угроз предприятию необходимо провести глубокий анализ специфических рисков (например, в финансово-экономической сфере, в сфере государственной на режимном предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для которых будет в дальнейшем разрабатываться дипломный проект и провести обоснование, используя для этого информацию из п.1.2.

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

В этом разделе необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.

При описании целесообразно выделить:


  • границы рассматриваемой задачи (от какого состояния до какого трансформируется объект);

  • взаимосвязи с другими задачами и комплексами задач предприятия;

  • важность задачи в целом для предприятия;

  • задействованных в решении специалистов;

  • основные определения и понятия, свойственные рассматриваемой области;

  • описание перечня результатных показателей, рассчитываемых на базе использования совокупности исходных показателей в процессе выполнения этих функций;

  • указать на особенности методов расчета показателей;

  • указать исполнителей этапов и регламенты их исполнения.

Данный пункт призван описать внешнее окружение задачи и ее внутреннее содержание. Описание задачи должны быть выполнено в виде единого связного текста и может сопровождаться диаграммами и обобщающими таблицами или разъясняющими схемами.

1.4. Выбор защитных мер
Выбор защитных мер должен всегда включать в себя комбинацию организационных (нетехнических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность.

1.4.1. Выбор организационных мер.
Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.

Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.

При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы).

Можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 11.


Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

Таблица 11

Учитываемые угрозы
Влияние на информационные системы

отсутствует
частичное
существенное

Наиболее опасные
Оборонительная стратегия






Все идентифицированные угрозы



Наступательная стратегия



Все потенциально возможные






Упреждающая стратегия


Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.


К числу разрабатываемых планов можно отнести:

  • положение о пропускном режиме предприятия;

  • регламент защищенного (конфиденциального) документооборота

  • порядок реагирования на инциденты

Пункт должен содержать:

а) обоснование и выбор стратегии обеспечения информационной безопасности

б) обоснование и выбор необходимых документов, регламентирующих проведение мероприятий по решению задач, определенных в п.1.3.2.
1.4.2. Выбор инженерно-технических мер.
При выборе инженерно-технических мер желательно дать краткое описание и провести анализ таких разработок, указав основные характеристики и функциональные возможности.

Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы дипломного проекта.

Затем следует отметить, чем, с точки зрения решаемой задачи, должно и будет отличаться выбранное техническое решение от существующих. Кроме того, необходимо провести обоснование выбора инженерно-технических мер, с точки зрения способа реализации, а именно:

а) создание;

б) доработка

в) модернизация.

При анализе рынка целесообразно руководствоваться следующим планом:

  • выявить и обосновать требуемые классы средств обеспечения информационной безопасности и защиты информации;

  • выявить критерии анализа, помимо функциональных возможностей;

  • провести сбор информации по существующим технологиям;

  • составить сводную таблицу по найденным разработкам в сравнении с планируемым решением;

  • написать вывод, исходя из анализа.


Смотрите также файлы