Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 225

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

2.3. Структура второй главы



II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.

2.2.2. Контрольный пример реализации проекта и его описание.

Проектная часть дипломной работы является описанием решений, принятых по всей вертикали проектирования. Глава должна быть основана на информации, представленной в аналитической части, и содержать описание реализации проектных решений комплекса задач, сформулированных в первой главе. Поэтому недопустимо, если при проектировании используются данные об объекте управления, не описанная в первой главе.

В зависимости от выбранной тематики (организационная или инженерно-техническая защита) содержание второй главы может быть различным.

В первом случае внимание уделяется наличию и содержанию нормативных документов, регламентирующих порядок проведения мероприятий, определенных в п.1.4.1. Следовательно, результатом выполнения п.2.2. должны быть данные документы, разработанные установленным порядком. В пункте 2.3. должно быть подробное описание как минимум одного мероприятия инженерно-технической защиты, предусмотренного документами п.2.2

Во втором случае п.2.2. должен содержать перечень нормативных документов предприятия, краткое описание каждого документа и не менее одного детально разработанного внутреннего документа, регламентирующего проведение мероприятия инженерно-технической защиты. Пункт 2.3. должен содержать развернутое описание всех мероприятий инженерно-технической защиты, определенных в п.1.4.2.


2.1. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
Раздел подразумевает выбор нормативных актов отечественного и международного права, в качестве основы для формирования организационной системы обеспечения информационной безопасности и защиты информации предприятия. Отечественные и международные нормативные правовые акты2, во-первых — это совокупность специальных принципов и норм, регулирующих права и обязанности субъектов права в процессе использования и защиты информации, во-вторых, комплекс отечественных и международных стандартов в конкретной сфере реализации информационной безопасности и защиты информации.

Подбор норм данной сферы регламентирует как аппаратно-программные, инженерно-технические аспекты системы обеспечения информационной безопасности защиты информации, так и вопросы их содержания.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия.
Выбор организационно-административных средств подразумевает использование управленческих функций руководством (администрацией) предприятия, по организации конфиденциального делопроизводства, службы безопасности и охраны предприятия посредством приказов, распоряжений, директив и инструкций и их документирование.

Пункт должен содержать:

а) обоснование выбора типов и количества документов, регламентирующих выполнение организационных мероприятий;

б) формы разработанных документов.

Документы должны быть разработаны в соответствии с требованиями ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов

, ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения.

Шаблоны основных документов приведены в Приложении 1.
2.2. Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности.

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности.
Вне зависимости от рассматриваемого направления инженерно-технической защиты, данный пункт должен содержать:

  • описание модели (образца, версии) ПиАСИБ, сведения о сертификации;

  • описание принципа работы выбранных ПиАСИБ

  • функциональные возможности, насколько эти возможности позволяют минимизировать риски, определенные в п.1.2.5.

  • порядок лицензирования (при необходимости) использования выбранного ПиАСИБ;

  • порядок установки, инсталляции (демонтажа, деинсталляции) выбранных ПиАСИБ;

  • порядок закрепления выбранных ПиАСИБ за должностными лицами

  • описание режимов работы (способов размещения, включения);

  • порядок проведения технического обслуживания;

  • порядок взаимодействия с организацией-поставщиком

  • порядок подготовки (обучения) персонала;

  • правила и меры безопасности при эксплуатации выбранных ПиАСИБ


2.2.2. Контрольный пример реализации проекта и его описание
Данный пункт должен содержать:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)

б) схемы:

  • технической архитектуры;

  • программной архитектуры;

  • размещения средств видеонаблюдения (элементов системы контроля и управления доступом)

За основу рекомендуется взять схемы из п 1.2.4. и дополнить/изменить их в соответствии с принятыми решениями;

в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:

  • доступ пользователей к ресурсам системы;

  • настройка межсетевого экрана;

  • формирование и распределение ключей;

  • выдача, проверка и аннулирование идентификаторов;

  • реагирование на инциденты;

  • проведение текущего аудита;

  • настройка и эксплуатация средств противодействия ИТР конкурентов;

  • проверка аппаратных средств на наличие закладок;

  • проверка помещений на наличие средств промышленного шпионажа;

  • настройка антивирусного программного обеспечения;

  • настройка систем обнаружения и предотвращения вторжений;

  • настройка систем резервного копирования;

  • настройка VPN и др.


г) экранные формы для ввода и отображения информации

д) формы документов

Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2. Другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.


2.4. Структура третьей главы


III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности

Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.

Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),

  • во-первых, ожидаемые потери при нарушении защищенности информации;

  • во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

  • во-первых, полный перечень угроз информации;

  • во-вторых, потенциальную опасность для информации для каждой из угроз;

  • в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации: