Файл: Методические указания по дипломному проектированию для специальности Информационные системы и технологии.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 228
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Тематика дипломных проектов
2. Структура дипломного проекта
3. Требования по оформлению дипломного проекта
3.1 Требования и правила оформления текстового материала
3.2 Правила оформления иллюстративного материала
3.3 Правила составления списка литературы
3.4 Правила оформления приложений
3.5 Порядок проверки дипломного проекта
Назначение и область применения
Приложение 1. Наименование приложения
Ri = 10(Si + Vi – 4),
где:
Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов Si и Vi, приведенные в таблице 12
Таблица 12
Значения коэффициентов Si и Vi
| Ожидаемая (возможная) частота появления угрозы | Предполагаемое значениеSi |
| Почти никогда | 0 |
| 1 раз в 1 000 лет | 1 |
| 1 раз в 100 лет | 2 |
| 1 раз в 10 лет | 3 |
| 1 раз в год | 4 |
| 1 раз в месяц (примерно, 10 раз в год) | 5 |
| 1-2 раза в неделю (примерно 100 раз в год) | 6 |
| 3 раза в день (1000 раз в год) | 7 |
| | |
| Значение возможного ущерба при проявлении угрозы, руб. | Предполагаемое значение Vi |
| 30 | 0 |
| 300 | 1 |
| 3 000 | 2 |
| 30 000 | 3 |
| 300 000 | 4 |
| 3 000 000 | 5 |
| 30 000 000 | 6 |
| 300 000 000 | 7 |
С
уммарная стоимость потерь определяется формулойR=
где N – количество угроз информационным активам, определенных в п.1.2.3.
Данный пункт должен содержать:
а) обоснование выбора методики оценки экономической эффективности;
б) описание методики;
в) результаты расчетов, представленные в таблице 13 и содержащие:
-
величины потерь (рисков) для критичных информационных ресурсов; -
суммарную величину потерь
При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным.
Таблица 13
Величины потерь (рисков) для критичных информационных ресурсов
до внедрения/модернизации системы защиты информации
| Актив | Угроза | Величина потерь (тыс.руб.) |
| | | |
| | | |
| | | |
| Суммарная величина потерь | | |
3.2 Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
-
расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии; -
величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Данный пункт должен содержать
а) данные о содержании и объеме разового ресурса, выделяемого на защиту информации (таблица 14);
б) данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации (таблица 15);
Таблица 14
Содержание и объем разового ресурса, выделяемого на защиту информации
| Организационные мероприятия | |||||
| № п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| Стоимость проведения организационных мероприятий, всего | | ||||
| | |||||
| Мероприятия инженерно-технической защиты | |||||
| № п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| Стоимость проведения мероприятий инженерно-технической защиты | | ||||
| Объем разового ресурса, выделяемого на защиту информации | | ||||
Таблица 15
Содержание и объем постоянного ресурса, выделяемого на защиту информации
| Организационные мероприятия | |||||
| № п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| Стоимость проведения организационных мероприятий, всего | | ||||
| | |||||
| Мероприятия инженерно-технической защиты | |||||
| № п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| Стоимость проведения мероприятий инженерно-технической защиты | | ||||
| Объем постоянного ресурса, выделяемого на защиту информации | | ||||
в) суммарное значение ресурса выделяемого на защиту информации
г) выводы о степени экономической эффективности системы защиты информации, сделанные после сравнения объема выделенного ресурса и рассчитанной величины ущерба. Поскольку совпадение данных величин маловероятно, пояснить, в каком случае имеет место «приемлемый риск», а в каком «избыточная защита» с обязательной детализацией активов, угроз и уязвимостей.
д) расчет времени окупаемости внедряемой/модернизируемой системы защиты информации, выполненный аналитическим и графическим способом.
Для проведения расчета необходимо получить прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты формируются по результатам экспертного опроса и вносятся в таблицу 16.
Таблица 16
Величины потерь (рисков) для критичных информационных ресурсов
после внедрения/модернизации системы защиты информации
| Актив | Угроза | Величина потерь (тыс.руб.) |
| | | |
| | | |
| | | |
| Суммарная величина потерь | | |
Также необходимо оценить динамику величин потерь за период не менее 1 года и внести данные в таблицу 17
Таблица 17
Оценка динамики величин потерь
| | 1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год |
| До внедрения СЗИ | | | | | | | | |
| После внедрения СЗИ | | | | | | | | |
| Снижение потерь | | | | | | | | |