Реферат: Московская финансово-промышленная академия

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ


МОСКОВСКАЯ ФИНАНСОВО-ПРОМЫШЛЕННАЯ АКАДЕМИЯ


Факультет Информационных систем и технологий


Методические указания по

дипломному проектированию


для специальности «Информационные системы и технологии», специализация «Безопасность информационных систем»


Под редакцией декана факультета ИСиТ Денисова Д.В.


Авторский коллектив:

Денисов Д.В. Лихоносов А.Г. Шептура С.В.


Москва 2010 г.

Содержание


1. Тематика дипломных проектов

2. Структура дипломного проекта

2.1 Общие положения

2.2 Структура первой главы

2.3 Структура второй главы

2.4 Структура третьей главы

3. Требования по оформлению дипломного проекта


1. Тематика дипломных проектов

1.1 Общие рекомендации по формированию темы дипломного проекта

Тематика дипломных проектов делиться по следующим признакам:

по объему охвата объектов защиты информации, организации комплексной защиты информации, информационных систем и ее компонентов (например, «Разработка комплексной системы защиты информации и организационно-технических мероприятий по предотвращению утечки информации в ООО «Атман», автоматизация процесса обеспечения безопасности»);

по типу той информации, которой требуется защита и по среде ее распространения, предлагаемые мероприятии по обеспечению информационной безопасности и защите информации (например, «Разработка алгоритма и программного обеспечения маскирования данных локальной сети компании ЗАО «Интеко», исследование вопросов стойкости каналов передачи данных и физической защиты информации», «Защита информации при использовании электронной почты компанией ЗАО «Российские железные дороги», реализация политики безопасности компанией при использовании сети интранет, разработка модуля защиты информации каналов управления комплекса связи»);

по исследованию уязвимости информационных систем от угроз информационной безопасности, проведение и оценка аудита информационной безопасности, выработка рекомендаций и разработка организационно-административных и других мер по защите информации (например, «Разработка политики безопасности и комплекса организационно-административных мероприятий и программно-аппаратных средств по информационной безопасности и защите информации банка «Московский кредитный банк» на основе комплексного аудита информационной безопасности банка);

по разработке и внедрению программных, аппаратных и инженерно-технических средств борьбы с вредоносными программными и техническими продуктами (например, «Разработка и внедрение технологии защиты авторских прав на фильмы и музыкальные произведения в p2p сетях Интернет-компании «Диалог – Онлайн»)

Тематика дипломных работ должна соответствовать современному состоянию и перспективам развития науки и техники.

Тема дипломной работы должна соответствовать направлению «Информационные системы», специальности «Информационные системы и технологии» и специализации «Безопасность информационных систем»

Каждый тип тем предполагает определенную специфику в составе и содержании разделов проекта. Содержание дипломных работ для названных типов должно иметь следующие примерные составляющие:

Для теоретического типа

- разработка криптографических систем защиты информации;

- разработка математических моделей безопасности компьютерных систем;

- разработка новых теоретических подходов по решению задач защиты информации и информационных ресурсов.

Для аппаратно-программного типа

разработка контроллеров различного назначения с поддерживающими драйверами и программами;

разработка аппаратных устройств защиты информации с соответствующим поддерживающим программным обеспечением;

Для сетевого типа

разработка системы информационной безопасности однородных ЛВС для малых предприятий;

разработка системы информационной безопасности гетерогенных ЛВС для предприятий с развитой организационной структурой;

разработка системы информационной безопасности корпоративных вычислительный сетей (КВС) для крупных предприятий с компактным размещением (в пределах района,

города);

Для организационного типа

- разработка политики информационной безопасности;

- разработка организационных мероприятий по предотвращению утечки информации через сотрудников компании;

- разработка комплексной системы защиты коммерческой информации.

Для программного типа

разработка драйверов для различного типа устройств;

разработка защитного программного обеспечения для ЭВМ и компьютерных сетей;

разработка антивирусных программных систем;

разработка защитного программного обеспечения баз данных;

Независимо от типа дипломной работы проектно-конструкторская часть должна отражать основные этапы выполнения работы:

обзор литературы, анализ и выбор прототипа изделия (если прототипы отсутствуют, то дается описание предметной области);

разработка технического задания;

эскизное проектирование;

техническое проектирование;

рабочее проектирование.
^ 2. Структура дипломного проекта 2.1 Общие положения
Вне зависимости от решаемой задачи и подхода при проектировании структура дипломного проекта такова:

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

^ I АНАЛИТИЧЕСКАЯ ЧАСТЬ

II ПРОЕКТНАЯ ЧАСТЬ

III ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЯ


ВВЕДЕНИЕ (общим объемом не менее 2 стр. и не более 5 стр.1) должно содержать общие сведения о проекте, его краткую характеристику, перечень задач, которые студент планирует решить в ходе дипломного проектирования. Также во введении необходимо отразить актуальность выбранной темы, используемые методики, практическую значимость полученных результатов, а также цель исследования. Например, целью дипломного проекта – является совершенствование системы защиты информации в ООО «Профи». Объектом дипломного проектирования является – технология обеспечения информационной безопасности, а предметом дипломного проектирования – информационная безопасность предприятия.

^ В соответствие с поставленной целью решаются следующие задачи:

1. Рассмотреть аппаратно-программную, инженерно-техническую и нормативно-правовую базу организации защиты информации на предприятии.

2. Проанализировать систему обеспечения информационной безопасности защиты информации на предприятии ООО «Профи».

3. Исследовать актуальные проблемы защиты информации для ООО «Профи».

4. Разработать и внедрить комплекс практических предложений и мероприятий по обеспечению информационной безопасности и защите информации на предприятии ООО «Профи».

^ К числу задач, решаемых в дипломном проекте можно отнести:

изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации, определяющих необходимость разработки данного проекта;

разработку постановки задачи;

обоснование выбора основных проектных решений;

разработку всех видов обеспечивающих подсистем;

обоснование экономической эффективности проекта.

Дополнительно могут решаться задачи совершенствование информационной системы, применением новых информационно технических средств сбора, передачи, обработки, выдачи и защиты информации.

Во введении необходимо также перечислить вопросы, которые будут рассмотрены в проекте, выделив вопросы, которые предполагается решить практически. Рекомендуется писать введение по завершении основных глав проекта, перед заключением. В этом случае исключена возможность несоответствия «желаемого» и «действительного».

Введение кратко раскрывает план выполнения дипломного проекта, то, что студенту необходимо сделать для выбранной задачи.


^ В ЗАКЛЮЧЕНИИ (общим объемом не менее 2 стр. и не более 4 стр.) рекомендуется определить, какие задачи были решены в ходе дипломного проектирования, определить пути внедрения и направления дальнейшего совершенствования информационной безопасности и защиты информации.

Для удобства изложения заключение рекомендуется оформить в виде краткого конспекта по разделам дипломного проекта, отразив основные проектные решения, разработанные методики и модели, используемые классификаторы, входные и выходные документы, показатели экономической эффективности и другие существенные показатели.


^ В ПРИЛОЖЕНИИ должен быть представлен (при выбранной тематики) листинг программы: распечатка на исходном языке программирования отлаженных основных расчетных модулей - около 400 операторов языка высокого уровня или адаптированных программных средств, использованных в работе.

Материалы (листы спецификаций, распечатки программ, чертежи, таблицы, графики, блок-схемы, фотографии изготовленных устройств и макетов, распечатки большого формата и т.п.), включение которых в основной текст по каким-либо причинам признано необязательным.

Приложения должны располагаться в логической последовательности появления ссылок на них из основной части диплома.

Каждое приложение должно обязательно иметь номер и название, характеризующее его содержание. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.

Изложение материала должно быть кратким, точным и технически правильным. Сокращения слов, кроме разрешенных ГОСТ 2.316-68 (правила нанесения на чертежах надписей, технических требований и таблиц) и общепринятых (например, к т.д.; и т.п.; ГОСТ, ТУ, ТЗ и др.) не допускаются. При необходимости сокращенного обозначения сигналов или шин, следует привести таблицу сокращений.

При нумерации рисунков и таблиц в приложении возможно использовать внутреннюю нумерацию в рамках каждого приложения с обозначением номера приложения: например «Рис. П1.1 Программно-аппаратная архитектура комплекса защиты информации ООО «Атман»». Здесь П1 означает «Приложение 1»

^ 2.2 Структура первой главы
I Аналитическая часть

Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности «КАК ЕСТЬ».

Характеристика предприятия и его деятельности.

Организационно-функциональная структура предприятия.

Существующая организационная, программно-аппаратная и инженерно-техническая архитектура системы обеспечения информационной безопасности и защиты информации предприятия.

Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих угроз, характеристика существующих средств информационной безопасности и защиты информации.

Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

Анализ целесообразности автоматизации системы обеспечения информационной безопасности и защиты информации предприятия.

Анализ существующих технологий и выбор стратегии развития информационной безопасности и защиты информации предприятия «КАК ДОЛЖНО БЫТЬ».

Анализ существующих технологий для решения задачи обеспечения информационной безопасности и защиты информации.

Обоснование внедрения существующих технологий с учетом стратегии развития информационной безопасности и защиты информации предприятия.

Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия.


Основными отличиями в содержании пунктов первой главы дипломного проекта от отчёта о практике являются следующие:

максимально формальный стиль изложения материала;

полное соответствие содержания каждого из пунктов всем остальным пунктам диплома;

наличие абсолютно всех схем и рассмотрение всех требуемых вопросов в каждом из пунктов.

Необходимо обратить внимание на выполнение данных требований в рамках дипломного проектирования, так как к нему предъявляются более высокие требования, чем к отчёту о практике, и общий результат работы студента-дипломника – дипломный проект будет проходить предзащиту, рецензирование и защищаться на заседании ГАК.


^ Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности «КАК ЕСТЬ».




Характеристика предприятия и его деятельности.

В качестве предметной области может выступать предприятие, банк, фирма, объединение, государственное учреждение и т.д., или отдельный вид деятельности, протекающий в нем, поэтому в данном разделе необходимо отразить:

цель функционирования предприятия;

краткую историю его развития и его место на рынке аналогичных товаров\услуг;

все основные виды (направления) деятельности;

основные параметры его функционирования;

Главными технико-экономическими свойствами объекта управления являются: цель и результаты деятельности, продукция и услуги, основные этапы и процессы рассматриваемой деятельности, используемые ресурсы. В ходе рассмотрения перечисленных свойств, для них, по возможности, необходимо указать количественно-стоимостные оценки и ограничения, которые желательно представить в виде таблицы следующей структуры:

№ п\п

Наименование характеристики (показателя)

Значение показателя на определённую дату либо за период




























При выборе набора наиболее важных характеристик следует иметь ввиду то, что они должны отражать масштабы деятельности компании, должны отражать масштабы реализации того направления в рамках которого планируется проводить исследование. Приведённые показатели будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта.


Организационно-функциональная структура предприятия.

В данном разделе необходимо представить схему общей организационно-функциональной структуры предприятия, которая бы отражала содержание аппарата управления и объекта управления на предприятии, основные административные и функциональные подразделения предприятия. Схема должна носить целостный характер.

В организационной структуре должна соблюдаться логичность представления должностей и подразделений. Например, на втором уровне подчиненности указываются либо должности руководителей либо названия подразделений.



Существующая организационная, программно-аппаратная и инженерно-техническая архитектура системы обеспечения информационной безопасности и защиты информации предприятия.

Под архитектурой понимается концепция организации информационной безопасности и защиты информации, определяющая её соответствующие элементы, а также характер взаимодействия этих элементов.

В данном разделе необходимо в совокупности рассмотреть программно-аппаратную, инженерно-техническую, а также физическую архитектуру системы обеспечения информационной безопасности и защиты информации на предприятии. Должны быть представлены схемы и структуры архитектуры, а также дано их описание.

Программно-аппаратную архитектуру целесообразно формировать исходя из существующих программных и аппаратных средств, которые функционируют в рамках или параллельно с прочими обеспечивающими информационными системами. В качестве основы работы программно-аппаратных средств целесообразно использовать операционную систему, в рамках которой они функционируют.

Инженерно-техническая архитектура представляет собой множество инженерно-технических средств: межсетевые экраны, сервера, клиентские устройства доступа, каналы связи и т.д.

При описании инженерно-технической архитектуры необходимо провести детальное рассмотрение элементов и технологий обеспечения их взаимодействия, раскрывая:

версии и производителей элементов;

технические характеристики элементов;

технологии управления элементами;

протоколы взаимодействия;

требования к техническим характеристикам аппаратного обеспечения, необходимым для функционирования программного элемента;

а также другие характеристики.

При описании физической защиты предприятия необходимо провести анализ существующей службы безопасности, средств видеонаблюдения, строительный материал, средств радиоэлектронного подавления и поиска жучков, средств сигнализации и т.д.

Общее для всех элементов системы обеспечения безопасности - необходимо описать цели применения элементов и решаемые ими задачи в системе.


Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих угроз, характеристика существующих средств информационной безопасности и защиты информации.

Кроме общих угроз информационной безопасности специфика деятельности предприятия накладывает и специфические угрозы. Отсюда, при общем анализе возможных угроз предприятию необходимо провести глубокий анализ специфических угроз (например, в финансово-экономической сфере, в сфере государственной и военной тайны на режимном предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для которых будет в дальнейшем разрабатываться дипломный проект.


Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

В этом разделе необходимо кратко специфицировать ту задачу из комплекса задач, которую в дальнейшем планируется исследовать и разрабатывать. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.

При описании целесообразно выделить:

границы рассматриваемой задачи (от какого состояния до какого трансформируется объект);

взаимосвязи с другими задачами и комплексами задач предприятия;

важность задачи в целом для предприятия;

задействованных в решении специалистов;

основные определения и понятия, свойственные рассматриваемой области;

описание перечня результатных показателей, рассчитываемых на базе использования совокупности исходных показателей в процессе выполнения этих функций;

указать на особенности методов расчета показателей;

указать исполнителей этапов и регламенты их исполнения.

Данный пункт призван описать внешнее окружение задачи и ее внутреннее содержание. Описание задачи должны быть выполнено в виде единого связного текста и может сопровождаться диаграммами и обобщающими таблицами или разъясняющими схемами.


Анализ целесообразности автоматизации системы обеспечения информационной безопасности и защиты информации предприятия.

В этом разделе требуется проанализировать целесообразность автоматизации системы обеспечения информационной безопасности и защиты информации, и сформулировать общие цели использования средств автоматизации для рассматриваемой задачи.

Необходимо осуществить расчёт планируемого эффекта, который будет достигаться при устранении выявленных недостатков, и сделать вывод о возможной целесообразности проектных решений.








Анализ существующих технологий и выбор стратегии развития информационной безопасности и защиты информации предприятия «КАК ДОЛЖНО БЫТЬ».

Анализ существующих технологий для решения задачи обеспечения информационной безопасности и защиты информации.

В этом разделе следует отметить, используются ли при существующей технологии решения задачи обеспечения информационной безопасности и защиты информации, если используются, то каким образом.




Обоснование внедрения существующих технологий с учетом стратегии развития информационной безопасности и защиты информации предприятия.

При выбор технологий на желательно дать краткое описание и провести анализ таких разработок, указав основные характеристики и функциональные возможности.

Обзор рынка средств удобно проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы дипломного проекта.

Затем следует отметить, чем, с точки зрения решаемой задачи, должна и будет отличаться проектируемая технология решения задачи от существующей, а также, почему необходимо разрабатывать новое решение или дорабатывать имеющиеся, и чем оно должно отличаться от существующих средств.

При анализе рынка целесообразно руководствоваться следующим планом:

выявить и обосновать требуемые классы средств обеспечения информационной безопасности и защиты информации;

выявить критерии анализа, помимо функциональных возможностей;

провести сбор информации по существующим технологиям;

составить сводную таблицу по найденным разработкам в сравнении с планируемым решением;

написать вывод, исходя из анализа.

Разработка стратегии развития информационной безопасности и защиты информации предприятия предполагает наличие ряда взаимосвязанных между собой последовательных действий — этапов, на каждом из которых решается определенная задача. В качестве примера можно привести следующие этапы:

анализ бизнеса;

анализ стратегии развития бизнеса;

определение стратегических задач обеспечения информационной безопасности и защиты информации;

определение функциональности защиты информации в целом;

формирование комплексного проекта обеспечения информационной безопасности и защиты информации;

определение архитектуры.

В рамках данного раздела необходимо привести собственный вариант этапов, раскрыть их содержание, цель и взаимосвязь, применительно к своему проекту.

В заключении к данному пункту необходимо сделать вывод о той стратегии обеспечения информационной безопасности и защиты информации, которая будет применяться.




Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия.


Раздел является логическим продолжением раздела 1.3.2. Здесь необходимо рассмотреть основные возможные варианты совершенствование средств обеспечения информационной безопасности и защиты информации для предприятия, в том числе обоснование средств автоматизации системы обеспечения информационной безопасности и защиты информации, описав то, как ее реализация будет выглядеть для предприятия, каковы преимущества и недостатки рассматриваемых способов. В результате необходимо выбрать подходящий для своего проекта вариант.

^ 2.3. Структура второй главы
Проектная часть дипломной работы является описанием решений, принятых по всей вертикали проектирования. Глава должна быть основана на информации, представленной в аналитической части, обобщать ее. По сути, проектная часть является решением проблематики, изложенной в аналитической части. Поэтому недопустимо, если при проектировании используется информация об объекте управления, не описанная в первой главе.


II Проектная часть


Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия

2.1. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.3. Обоснование выбранной политики информационной безопасности предприятия.


^ 2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1. Общие положения.

2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.

2.2.3. Контрольный пример реализации проекта и его описание.


^ 2.3. Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия.

2.3.1. Общие положения.

2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия.

2.3.3. Контрольный пример реализации проекта и его описание.

Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия


^ 2.1. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Раздел подразумевает выбор и проектирование в качестве инструмента регулирования процессов функционирования системы обеспечения информационной безопасности и защиты информации на основе отечественного и международного права. Отечественные и международные нормативные правовые акты2, во-первых — это совокупность специальных принципов и норм, регулирующих права и обязанности субъектов права в процессе использования и защиты информации, во-вторых, комплекс отечественных и международных стандартов в конкретной сфере реализации информационной безопасности и защиты информации.

Подбор норм данной сферы регламентирует как аппаратно-программные, инженерно-технические аспекты системы обеспечения информационной безопасности защиты информации, так и вопросы их содержания.


2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Выбор организационно-административных средств подразумевает использование управленческих функций руководством (администрацией) предприятия, по организации конфиденциального делопроизводства, службы безопасности и охраны предприятия по средствам приказов, распоряжений, директив и инструкций.


2.1.3. Обоснование выбранной политики информационной безопасности предприятия.

В разделе необходимо дать полную и обоснованную Политику обеспечения информационной безопасности и защиты информации предприятия. При этом необходимо отразить следующие аспекты:

определения ИБ, ее общих целей и области применения;

целей управления;

поддержки задач и принципов ИБ в соответствии со стратегией и целями предприятия (бизнеса);

структурной основы постановки целей управления и определения средств управления, включая структуру определения рисков и управления рисками;

пояснения политик, принципов и стандартов безопасности;

управления непрерывностью бизнеса;

последствий нарушений политики ИБ;

определения общих и конкретных обязанностей по управлению ИБ, включая отчетность по инцидентам ИБ;

ссылок на документацию, которая может поддерживать политику.


^ 2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1. Общие положения.

В разделе необходимо дать полную и обоснованную характеристику проектируемым для решения задач программно-аппаратным средствам обеспечения информационной безопасности и защиты информации. При этом необходимо отразить следующие аспекты.

1. Защита от внутренних угроз (разработка внутренней политики безопасности, разграничение прав доступа к информации и так далее). Для этого необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Данные рекомендуется представить в форме таблиц. Пример такой обобщенной таблицы приведен ниже.

1. Защита от внутренних угроз (разработка внутренней политики безопасности, разграничение прав доступа к информации и так далее). Для этого необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Данные рекомендуется представить в форме таблиц. Пример такой обобщенной таблицы приведен ниже.


^ Разграничение прав пользователей.

Группы пользователей

Общая папка «Врачи»

Общая папка «Регистратор»

Модуль «Регистра-тура»

Модуль «Управление»

Доступ в Internet

Врачи

Чтение/создание

Чтение

Чтение

Чтение

Нет

Главный врач

Чтение/создание/удаление

Чтение

Чтение

Полный

Ограничен

Регистраторы

Чтение

Чтение/создание

Полный

Нет

Нет

Старший регистратор

Чтение

Чтение/создание/ удаление

Полный

Чтение

Ограничен

Системный администратор

Чтение/создание/удаление

Чтение/создание/ удаление

Полный

Полный

Не ограничен


2. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасная пересылку ключей и т.д.).

Состав проектируемых программных и аппаратных средств может быть оформлен в виде таблицы с содержанием граф:

нормативные правовые акты, нормативные правовые документы, стандарты (международные и отечественные);

антивирусные и антишпионские средства;

проактивная защита от внешних угроз и защита внешнего периметра;

защита от сетевых угроз;

защита от инсайдерских угроз и защита информационных ресурсов.

3. Обоснование выбора политики безопасности, а также тех или иных программных и аппаратных средств, где должно быть:

обоснование организационно-правовым методам и программно-аппаратным средствам (средства должны быть конкретные, лицензионные, с требованиями соответствующих стандартов);

обоснование различным аспектам защиты системы: защита базы, резервное копирование, защита от хищения данных, защита от порчи данных, защита от инсайдерских угроз, уровни или сферы защиты (обоснование разрабатываемого решения на предмет уязвимостей, в том числе ошибки кода, ошибочные действия пользователя «защита от дурака»).


2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации.

Обязательным требованием к структуре программно-аппаратного комплекса является описание в соответствии с основными требованиями ГОСТов, составляющих Единую систему программной документации (ЕСПД). В реальной практике в ТЗ (техническое задание) включается раздел "Требования к программной документации", в котором определяется состав документов, с программным и аппаратным обеспечением: например, "Руководство системного программиста", "Руководство оператора", "Программа и методика испытаний" и т.д.



Пример, структуры программно-аппаратного комплекса сетевой защиты

2.2.3. Контрольный пример реализации проекта и его описание

Раздел подразумевает описание практической реализации проектируемого программно-аппаратного комплекса


^ 2.3. Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия.

2.3.1. Общие положения

Раздел включает раскрытие инженерно-технической защиты информации, как одного из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

Обязательным при представлении комплекса инженерно-технических средств является следующих задач:

Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.

Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

Предотвращение утечки информации по различным техническим каналам.

Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

что защищать техническими средствами в данной организации, здании, помещении;

каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;

как организовать и реализовать техническую защиту информации в организации.


2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия.

Обязательным в разделе является описание:

1. Демаскирующих признаков объектов защиты.

Классификация демаскирующих признаков. Опознавательные признаки и признаки деятельности объектов. Видовые, сигнальные и вещественные демаскирующие признаки. Информативность признаков. Понятие о признаковых структурах. Основные видовые демаскирующие признаки объектов наблюдения. Особенности видовых признаков в оптическом и радиодиапазонах.

2. Источники и носители конфиденциальной информации.

Понятие об источниках, носителях и получателях информации. Классификация источников информации. Источники технической и экономической информации при научных исследованиях, разработке, производстве и эксплуатации продукции, на различных этапах и видах коммерческой деятельности. Виды носителей информации (люди, физические поля, электрические сигналы и материальные тела).

3. Источники опасных сигналов.

Понятие об опасном сигнале и их источниках. Основные и вспомогательные технические средства и системы. Побочные электромагнитные излучения и наводки. Акустоэлектрические преобразователи, их виды и принципы работы. Принципы высокочастотного навязывания. Высокочастотные и низкочастотные побочные излучения технических средств и систем (ТСС). Паразитная генерация усилителей. Виды паразитных связей между цепями ТСС. Паразитные наводки в цепях электропитания, заземления, в токопроводящих конструкциях помещений и зданий.

Обязательным требованием к структуре комплекса инженерно-технических средств является описание в соответствии с основными требованиями ГОСТов.



Пример инженерно-технических средств включенных в систему физической защиты объекта


2.3.3. Контрольный пример реализации проекта и его описание

Раздел подразумевает описание практической реализации проектируемого комплекса инженерно-технических средств информационной безопасности и защиты информации

^ 2.4. Структура третьей главы
III Обоснование экономической эффек