2.Выполнить классификацию сегмента, являющегося государственной информационной системой, разработать модель нарушителя и модель угроз.

3. Провести аналитический обзор средств анализа защищенности.

2 Структура курсового проекта
Пояснительная записка должна включать в себя следующие элементы, располагаемые последовательно:

• 
  титульный лист (приложение Б);
  
• 
  задание на курсовой проект (приложение В);
  
• 
  реферат (приложение Г);
  
• 
  лист с основной надписью;
  
• 
  содержание;
  
• 
  введение;
  
• 
  основная часть;
  
• 
  заключение;
  
• 
  список использованных источников;
  
• 
  приложения.
  

3 Требования к содержанию разделов пояснительной записки
Введение является вступительной частью работы, в котором в предельно кратком виде характеризуется актуальность, содержание, новизна, практическая значимость, объем работы. Кроме того, необходимо указать, где внедрены или могут быть внедрены результаты проекта.

При выполнении курсового проекта студент должен в основной части выполнить:

• 
  определение перечня защищаемых ресурсов и их критичности;
  
• 
  определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности.
  
• 
  определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение уязвимостей автоматизированной системы, модели нарушителя, частной модели угроз безопасности информации, класса защищенности АС;
  
• 
  формирование требований к построению СЗИ, выбор мер защиты информации;
  
• 
  аналитический обзор существующих наборов средств защиты информации по одному из механизмов, заданному номером варианта индивидуального задания на курсовое проектирование;
  
• 
  обоснование выбора всего комплекса средств защиты информации.
  
• 
  оформление пояснительной записки и графической части проекта.
  

Заключение должно содержать:

• 
  степень раскрытия темы и реализация поставленных целей, степень достижения результатов;
  
• 
  новизна работы, соответствие предложений автора требованиям руководящих документов;
  
• 
  результаты оценки эффективности предложенных решений. Рекомендации по применению полученных результатов в практике. Определение вопросов, требующих дальнейших исследований.
  

---

Кроме того, по решению кафедры в состав проекта могут быть включены дополнительные разделы, связанные с научно-исследовательской работой.

3. 4 Методические рекомендации по выполнению разделов курсового проекта

В первой части задания на курсовой проект студентам предлагается разработать эскизный проект системы защиты информации от несанкционированного доступа (СЗИ от НСД) для автоматизированной системы (АС).

На этапе разработки модели разграничения доступа к информации при создании СЗИ от НСД должна быть сформулирована политика информационной безопасности и разработан проект защищенной информационной архитектуры АС, которая должна поддерживать эту политику безопасности и быть согласованной с информационной архитектурой по задачам обработки и защиты данных.

Под политикой информационной безопасности (далее политикой безопасности) будем понимать совокупность принципов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение защищаемой информации в конкретной АС, зафиксированных документально.

Информационная архитектура может быть представлена набором функциональных схем, таблиц и других документов, содержащих следующую информацию:

• 
  состав подразделений и должностных лиц, в чьих интересах будет функционировать информационная система (отделов и служб), а также подразделений и должностных лиц информационных служб (секретных частей, канцелярий, шифрорганов, подразделений связи и автоматизации и т. п.), предназначенных для реализации функций обработки информации с указанием функциональных обязанностей, необходимости и порядка взаимодействия при решении задач управления;
  
• 
  перечни функциональных задач и задач по обработке информации, которые предполагается решать в системе с указанием их характеристик;
  
• 
  перечень информационных массивов, наборов и банков данных, которые необходимо формировать и поддерживать в ходе решения функциональных задач и задач по обработке информации, с указанием носителей информации, предназначенных для их хранения и ответственных за их актуализацию должностных лиц;
  
• 
  структура физической и логической топологии информационной системы с указанием планируемых информационных потоков между элементами системы и каналов связи между ними;
  
• 
  организационно-техническая структура (архитектура) автоматизированных участков – сегментов АС с указанием технических средства обработки и передачи данных, методов и алгоритмов обработки данных в виде пакетов общего и специального программного обеспечения;
  

---

В качестве задания на курсовое проектирование предлагается разработать эскизный проект подсистемы программно-аппаратной защиты АС от НСД при наличии первой из рассмотренных ситуаций, когда необходимо автоматизацию и защиту информационных процессов в АС проводить одновременно. Следовательно, стоит задача по обследованию информационной архитектуры АС, выработке политики информационной безопасности и модели разграничения доступа, созданию проекта АС в защищенном исполнении для решения задач управления. Основные этапы этой задачи рассмотрены ниже.
4.1 Определение перечня защищаемых ресурсов и их

критичности
4.1.1 Определение необходимости формирования политики безопасности

При автоматизации информационных процессов необходимо иметь четко сформулированную на основе законодательных и нормативно-руководящих документов политику информационной безопасности, которая должна реализовывать принятую в государстве концепцию обеспечения информационной безопасности и защиты информации.

Исходными данными для формулирования политики безопасности АС являются:

• 
  законы, указы и другие государственные законодательные акты, регулирующие правовые отношения в области информационной безопасности [9];
  
• 
  руководящие, нормативные и методические документы, регламентирующие вопросы обеспечения безопасности информации, которые разрабатываются федеральными и ведомственными органами, входящими в систему защиты государственной тайны [7,8];
  
• 
  информационная архитектура конкретной системы (формируется в ходе исследования организационно-штатной структуры существующей или создаваемой АС с указанием подразделений, должностных лиц, выполняемых ими функциональных задач с классификацией их по грифам секретности и категориям (тематике) и т.д.);
  
• 
  архитектура автоматизированного участка защищаемой АС (формируется в ходе исследования состава и структуры существующей или в ходе проектирования создаваемой АС);
  
• 
  варианты построения систем защиты информации от НСД в АС;
  
• 
  тактико-технические характеристики средств вычислительной техники (СВТ) и защиты информации.
  

Система защиты информации от НСД, которая создается для обеспечения безопасности информации в автоматизированных системах, должна реализовать необходимые и достаточные требования по защите информации от НСД, изложенные в государственных нормативно-руководящих документах. Состав требований по защите информации от НСД для конкретной АС формируется с учетом организационно-штатной структуры системы управления, характеристик решаемых задач и обрабатываемых данных, условий расположения, режимов функционирования и архитектуры комплекса технических средств обработки информации, в том числе средств вычислительной техники.

---

Основой для построения СЗИ от НСД в АС является формальная модель политики безопасности, которая представляет собой взаимосвязанную совокупность следующих элементов:

• 
  множество защищаемых ресурсов информационной системы R={r_i}, r_i=(id_i, rp_i,), где id - идентификатор ресурса, rp - уровень безопасности;
  
• 
  множество пользователей информационной системы U={u_j}, u_j=(id_j,ul_j), id - идентификатор пользователя, ul - уровень доступа;
  
• 
  совокупность правил разграничения доступа пользователей к ресурсам информационной системы M=R´U;
  
• 
  совокупность правил поведения пользователей системы;
  
• 
  множество источников угроз безопасности информации и соответствующих им угроз S={s_k}, s_k={t,p,d}, t - угроза безопасности, p - вероятность проявления угрозы, d - величина наносимого ущерба;
  
• 
  множество механизмов защиты информации M={m_n,}, m_n=(f_n, c_n), f_n - реализуемая функция, c_n - стоимость реализации механизма;
  
• 
  совокупность правил управления механизмами защиты и средствами их интеграции;
  
• 
  совокупность оценок результатов применения механизмов защиты информации R_t=S´M;
  
• 
  множество мероприятий по поддержанию и восстановлению работоспособности информационной системы.
  

Упрощенную модель политики информационной безопасности можно сформировать в неформальном виде в результате выполнения комплекса мероприятий. Формулирование и разработка политики информационной безопасности проводится в два этапа.

На первом этапе высшими звеньями управления определяются общие требования к политике информационной безопасности. Соответствующие законодательные и исполнительные федеральные органы власти, а также высшие должностные лица заинтересованных ведомств и организаций определяют важность сведений, обрабатываемых в информационных системах, выделяют тематические разделы и информационные службы, которые нуждаются в особой защите с точки зрения обеспечения целостности, доступности и конфиденциальности информации. Решения принимаются на основе концепции национальной безопасности и доктрины информационной безопасности РФ [8, 9], национальных и ведомственных концепций защиты информации и законов, регулирующих правовые отношения в информационной сфере. Требования политики безопасности фиксируются в государственных и ведомственных системах нормативно-руководящих документов по защите информации.

В системе нормативно-руководящих документов, определяющих порядок формирования политики информационной безопасности используется первичная система нормативно-руководящих документов по защите информации от НСД в АС, разработанная ФСТЭК РФ [3-6], система нормативно-руководящих документов по защите информации с использованием криптографических средств защиты, разработанная ФСБ, а также нормативно-руководящие документы министерств и ведомств.

---

На втором этапе разрабатывается политика безопасности и, соответствующая, модель разграничения доступа для конкретной АС, которые определяются начальниками учреждений, в интересах которых будет функционировать АС, с привлечением специалистов органов обеспечения безопасности информации, и согласуется с подрядчиками на разработку и производство защищенной АС.

Действие политики безопасности распространяется на объект информатизации, под которым здесь понимается автоматизированная информационная система или ее относительно функционально независимая часть, включающая в себя объединенные каким-либо образом компоненты, выполняющие функции по автоматизированной обработке информации в интересах подразделений и предоставляющие информационные услуги различного характера должностным лицам – пользователям.

Под пользователем понимается должностное лицо, которое самостоятельно обрабатывает информацию на средствах ВТ или в чьих интересах производится ее автоматизированная обработка.

Специальная комиссия определяет необходимость формирования политики информационной безопасности, исходя из наличия задач, которые предполагается решать в АС, и которые нуждаются в защите с точки зрения требований нормативно-руководящих документов, относящих информационные ресурсы системы к государственной, служебной или другим видам тайн и/или к определенным категориям информации ограниченного доступа. К таким ресурсам может быть отнесена информация, включенная в перечень сведений, подлежащих засекречиванию в РФ, или информация, доступ к которой ограничен требованиями законов, наставлений, руководств и других руководящих документов (например, сведения по шифрам, кадрам и т. п.).

При наличии информации ограниченного доступа принимается решение на создание системы защиты информации от НСД и определяются подразделения, информация которых наиболее критична. Для информации ограниченного доступа определяются грифы секретности и категории (тематики), соответствующие их важности с точки зрения защиты. В то же время определяются наиболее важные направления обеспечения безопасности информации в разных подразделениях, т. е. выделяются информационные компоненты, которые являются более зависимыми от нарушения их целостности и/или доступности и/или конфиденциальности.

4.1.2 Классификация защищаемой информации

---

Смотрите также файлы

• Конституция Российской Федерации Уголовнопроцессуальный кодекс.docx

• Знаний о государстве и праве. В узком смысле система юридических наук. Появление государства и права, задачи по их обслуживанию и развитию вызвали к жизни возникновение правоведения, как особой отрасли общественных знаний.docx

• Иерхический метод Макаронные изделия.docx

• Контрольная работа 2 Тема. Средняя линия треугольника. Трапеция. Вписанные и описанные четырёхугольники.odt

• Комплект задач по теории вероятностей и математической статистике.docx