Logo GenDocs.ru


Поиск по сайту:  


Белова Н.Е., Бражников С.А. Основы информационной безопасности. Методическое пособие - файл n1.doc


Белова Н.Е., Бражников С.А. Основы информационной безопасности. Методическое пособие
скачать (187.5 kb.)

Доступные файлы (1):

n1.doc188kb.21.12.2012 13:49скачать


n1.doc

Реклама MarketGid:
Министерство образования и науки Российской Федерации.

Государственное образовательное учреждение высшего профессионального образования «Санкт-Петербургский Государственный Архитектурно-Строительный Университет».

Факультет Экономики и управления.

Кафедра Управления.
Методические указания по разработке реферата на тему:

"Предложения по структуре и функционированию системы информационной безопасности организации".

по дисциплине

"Основы информационной безопасности"

для студентов специальности "Менеджмент организации".
Санкт - Петербург.

2008.
УДК (658. )
Методические указания по разработке реферата на тему: "Предложения по структуре и функционированию системы информационной безопасности организации" по дисциплине "Основы информационной безопасности" для студентов специальности 061100 - "Менеджмент организации". /СПбГАСУ; Сост.: Белова Н. Е. Бражников С. А., - СПб., 2008. - ?28? с.
В методическом пособии даются конкретные рекомендации по разработке важного для современного организационного управления и весьма специфичного вида управленческого документа - реферата на заданную тему. Реферат, как правило, задаётся руководством организации и преследует цель общей предварительной оценки состояния некоторого, возможно сложного, чаще всего, нового перспективного, но дорогостоящего объекта (технологии, устройства и др.). Интерес к таким объектам сегодня естественно всё чаще возникает с целью возможного последующего их внедрения и использования для совершенствования производственных процессов или/и процессов управления организацией и получения конкурентных преимуществ на рынке. Реферат разрабатывается на основе анализа целенаправленно отбираемого и затем изучаемого, как правило, достаточно представительного, перечня источников, публикаций, документов. Реферат при этом призван дать лишь общие главные сведения об объекте и обоснованные соображения о его возможном дальнейшем внедрении и использовании в организации. Поэтому современный менеджер и должен уметь оперативно, со знанием дела и содержательно отрабатывать такие документы, как рефераты.

1. Введение. Понятие реферата, его назначение и роль в современном организационном управлении.
Под рефератом (от латинского refero - доношу, излагаю) понимается некое краткое изложение на заданную тему основных положений учения, научной проблемы или некоторого актуального для организации, но пока что недостаточно изученного объекта (вопроса, положения, сущности и пр.), в письменном виде и/или в форме публичного доклада.

Изучаемая при реферировании по целенаправленно выбранным и/или предложенным источникам сущность, чаще всего, представляется как слабо структурированный и довольно сложный, но функционально многогранный и семантически разнородный объект нередко, к тому же, интенсивно развивающийся и совершенствующийся. Именно такие объекты, всё чаще сегодня именуемые инновационными, и представляют повышенный интерес для руководства организаций. Этот интерес вполне понятен и оправдан, так как внедрение и использование именно таких объектов с высокой вероятностью могут гарантировать конкурентные преимущества на современных рынках. Но инновационные сложные объекты чаще всего стоят дорого и риски от неэффективного их применения весьма высоки. Поэтому и возникает естественная необходимость предварительного ознакомительного исследования характеристик такого объекта и целесообразности его применения в организации для целей получения вышеупомянутых конкурентных преимуществ на рынке. В дальнейшем, как правило, предполагается на основе материалов реферата и предварительном положительном решении руководства организации о возможности применения объекта более углубленное его изучение. В настоящее время именно такими объектами и являются современные системы информационной безопасности (СИБ) организаций, значимость которых в информационном процессе управления сегодня постоянно возрастает. Так, например, стоимость средств автоматизации организационного управления, как было отмечено выше, непрерывно увеличивается и для некоторых организаций уже составляет величину более 50% от годового дохода. Однако, отказаться от постоянного увеличения вложений с целью совершенствования средств автоматизации управления уже невозможно, так как именно они составляют информационную основу конкурентной борьбы. Именно поэтому основной "интерес" злоумышленников это, естественно, информационное обеспечение (ИО) процессов управления, а конкретнее - базы данных (БД) информационных систем организаций – конкурентов. По данным статистики США на рубеже веков, при полной потере БД из общего числа потерпевших организаций в первые три дня объявляли о своем банкротстве 60%, а в течение года - 90% из оставшихся. То есть, за год из 100 организаций "на плаву" оставались только 8! И подобных примеров весьма эффективных результатов информационных атак (в основном со стороны конкурентов) можно привести достаточное количество. Целенаправленные разрушающие воздействия конкурентов и прочих "доброжелателей" на информационные системы организаций сегодня становятся обычным средством конкурентной борьбы и этот факт игнорировать уже просто невозможно. Поэтому и используются в организациях достаточно сложные и дорогостоящие СИБ как обязательный и весьма важный элемент информационной системы управления.

2. Цели и задачи разработки реферата.
Основная цель предлагаемого к разработке реферата заключается в определении структуры и основных положений функционирования некоторого пускового варианта СИБ, способного обеспечить некоторый наперёд заданный удовлетворительный уровень безопасности информационной системы организации при возможном установленном комплексе как внешних, так и внутренних угроз процессу функционирования. Для простоты, предлагается рассмотреть в реферате только вопросы обеспечения безопасности основного коллективного инструментария современного менеджера, а именно корпоративной локальной вычислительной сети (ЛВС) организации. Такая ЛВС изучалась в дисциплине “Аппаратно-программные комплексы управления“, по рабочей программе которой выполнялся соответствующий курсовой проект. Под структурой СИБ далее будем понимать некоторое множество средств безопасности, – различного вида обеспечений (ресурсов), которые должны “встраиваться” в структуру ЛВС и обеспечивать требуемый уровень безопасности её функционирования. Кроме того, в вышеупомянутую ЛВС необходимо включить дополнительно подсистему – комплекс средств администратора системы безопасности организации, а также средства обеспечения безопасности обмена с внешними сетями (Интернет, интранет, местные радиосети (типа WiFi и др.), VPN (виртуальные частные сети) и пр.). Все вышеупомянутые средства обеспечения безопасности и должны выбираться из литературных и прочих источников (например, сайты Интернет), которые должны быть перечислены в обязательном прилагаемом перечне реферированных источников и на которые в тексте реферата должны быть обязательно даны соответствующие ссылки в общепринятой редакции.

Прямое переписывание текстов из первичных источников будет считаться плагиатом, а реферат к рассмотрению принят не будет!
Основные задачи реферата должны сводиться к обоснованному выбору и краткому описанию предлагаемых к использованию средств информационной безопасности из приведенных в списке реферируемых источников. Указанный список должен содержать хорошо известные и положительно зарекомендовавшие себя на практике средства СИБ, производимые фирмами с высоким рейтингом на современном рынке средств обеспечения безопасности. При выборе этих средств, кроме основных характеристик, определяющих их функциональные возможности, обязательно должны приводиться и значения ценовых характеристик. При этом, каждый тип средства безопасности должен представляться, как минимум, в двух вариантах, ибо только в этом случае возможна процедура выбора и обоснование выбора конкретного средства. Все вопросы отбора средств обеспечения безопасности и их характеристик обязательно должны согласовываться с преподавателем, ведущим лекционную часть дисциплины. Результаты выбора вариантов этих средств рекомендуется расположить в Excel-таблице, или в Word-таблице (Приложение 2) со следующими основными атрибутами:

- Полное официальное наименование средства;

- Краткое наименование (идентификатор);

- Фирма – производитель;

- Основное функциональное назначение;

- Тип средства; (аппаратура, программа, информационный файл и пр.);

- Цена;

- Единица измерения цены.

Естественно, при необходимости, состав атрибутов таблицы может быть пополнен. Таблица позволит оперативно и с высокой точностью выполнить расчёты ценовых характеристик всей СИБ, или её отдельных частей, а также просчитать, при необходимости, несколько вариантов системы оптимизируя её структуру и значения ценовые характеристик этих вариантов. Общий объём пояснительной записки реферата не должен превышать 25 листов печатного текста стандарта А4. При этом титульный лист, оглавление, иллюстрации, список литературных и других источников, таблицы, возможные иллюстрации средств обеспечения безопасности и прочее в расчёт листов не включать.

3. Обязательные разделы содержания реферата, рекомендации по разработке материалов конкретных разделов.
Реферат предлагается разрабатывать путём последовательного изучения и отработки следующих основных вопросов.

1. Основные характеристики организации и специфика её информационной системы.

2. Классификация, специфика и краткий анализ основных угроз информационной системе организации.

3.Основная цель реферата.

4. Формулировка основных задач СИБ организации и средства их возможной реализации.

5. Средства разграничения доступа к глобальным сетям, данным и программам.

6. Средства идентификации и аутентификации пользователей информационной системы организации.

7. Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации.

8. Предложения по структуре СИБ и размещению её элементов в ЛВС АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ.

9. Основные экономические характеристики СИБ и предложения по этапности её внедрения.

10. Выводы, предложения и рекомендации по дальнейшему развитию и совершенствованию СИБ.
В первом разделе должны быть кратко, но конкретно, описаны следующие основные характеристики организации и её информационной системы.

1. Полное название организации, сфера её деятельности, количество работающих, примерный годовой доход, список организаций, с которыми осуществляется наиболее интенсивный обмен данными с указанием примерного объёма обмениваемых данных за сутки, а также и другие характеристики внешних организаций, которые достойны, по мнению автора реферата, внимания;

2. Основные структурные характеристики информационной системы организации и процессов этой системы. При описании особое внимание следует уделить входам и выходам информационной системы, перечислить все сетевые подключения: Интернет, интранет-сети, виртуальные частные сети, радиосети передачи данных и др.

3.- Структурные характеристики ЛВС на основе прилагаемой схемы (взять из курсового проекта по дисциплине “Аппаратно-программные комплексы управления”). Здесь для основных элементов ЛВС: рабочих станций (РС), серверов, корпоративных сетевых устройств (КСУ) необходимо задать степень их конфиденциальности: высокая (В), средняя (С) или низкая (Н). Задание и обоснование значений этих характеристик далее даст возможность обосновано выбирать и предлагать к применению средства обеспечения безопасного доступа к вышеуказанным ресурсам ЛВС.
Во втором разделе должны быть перечислены и идентифицированы все основные угрозы информационной системе организации, как внешние, так и внутренние, с обязательным указанием степени их опасности, опять же: высокая (В), средняя (С) или низкая (Н). Кроме того, для всех угроз должны быть указаны их предполагаемые (или желательно известные) источники и их известные, или, опять же предполагаемые, характеристики. Все вышеуказанные сведения об угрозах и позволят в дальнейшем обоснованно выбирать средства защиты от них и строить структуру и процесс защиты в СИБ. Целесообразно данные об угрозах представить в виде таблицы со следующими основными атрибутами:

- полное наименование угрозы;

- идентификатор угрозы;

- предполагаемый источник (источники) угрозы;

- частость появления угрозы;

- проявления (результаты) воздействия угрозы;

- степень опасности угрозы;

- оценка вреда угрозы;

- объекты ЛВС, на которые воздействует угроза;

- предполагаемое среднее время восстановления работоспособности ЛВС после воздействия угрозы;

- предполагаемая экономическая оценка вреда от воздействия угрозы;

- важность, весомость угрозы;

- существующие средства борьбы с угрозой.

Как видно из содержательного состава атрибутов таблицы результатов анализа угроз, приведенные в ней данные вполне могут служить основой для поиска средств защиты от описанных угроз, их обоснованного выбора и выработки предложений по их приобретению и внедрению в информационный процесс организации.
В третьем разделе формулируется основная цель реферата, которая основывается на данных, полученных на первом и втором этапах его разработки. Выше, в разделе 2 настоящего пособия, приводятся основные общие положения о формировании конкретной цели реферата, которую необходимо сформулировать на основе двух первых разделов реферата, то есть когда автор уже уяснил основные характеристики информационной системы организации, а также перечень и особенности главных наиболее вероятных информационных угроз её нормальному функционированию
В четвёртом разделе формулируются основные задачи СИБ, и предлагается перечень (пока только перечень!) возможных средств реализации задач СИБ, которые, в конечном итоге, позволят эффективно противостоять всем выявленным угрозам информационной системе организации.
В пятом разделе уже конкретно отрабатывается перечень реальных средств обеспечения безопасности доступа в информационную систему организации из всех внешних сетей, то есть предлагаются средства защиты периметра информационной системы организации – её внешних входов и выходов. Выбор всех средств обязательно обосновывается, указываются ссылки на соответствующие информационные источники и данные об этих средствах заносятся в таблицу (Приложение 2). Причём, конкретные реализации каждого типа средства защиты отбираются и заносятся в Таблицу, как минимум, дважды, чтобы в дальнейшей работе иметь возможность сравнивать, по крайней мере, два конкретных средства защиты, и аргументировано выбирать лучшее из них. Указанный порядок формирования Таблицы должен выполняться и для всех других средств. В этом же разделе реферата аналогичным образом отбираются и средства защиты данных и программ. Но при выборе этого типа средств защиты необходимо иметь в виду, что здесь необходимо предложить как средства общей, коллективной защиты, так и средства защиты программ и данных личного, индивидуального применения. Эта особенность индивидуальных средств защиты должна отмечаться в Таблице в колонке “Тип средства“ (индивидуальный или общий соответственно).
В шестом разделе работы выбираются и предлагаются к применению средства идентификации и аутентификации пользователей – должностных лиц организации. При выборе средств этого типа, кроме учёта их традиционной функциональности необходимо обязательно учесть и их перспективную функциональность – необходимость борьбы с самой актуальной сегодня “бедой“ всех информационных систем управления организациями, пожалуй, без исключения, - это борьба с инсайдерами – “засланными казачками”. Для решения этой комплексной и весьма деликатной задачи необходимо применение и соответствующего комплекса средств и методов борьбы. Кроме того, для должностных лиц, попавших под подозрение, служба безопасности должна иметь и практически использовать дополнительные средства защиты, которые способны выявить инсайдера и убедительно, на конкретных неопровержимых фактах, доказать сотрудничество с “недружественными”, например, с активно конкурирующими с нами организациями. В комплекс средств борьбы с инсайдерами в настоящее время включают такие средства как интеллектуальные турникеты на проходной, фиксирующие для всех без исключения должностных лиц организации факты входа и выхода, время, видеофайл с фактом прохода через турникет и, возможно, прочее. Для подозрительных должностных лиц необходимо иметь средства отслеживания телефонных переговоров со всех видов телефонов, контроля над электронной почтой и посещением “подозрительных сайтов” в Интернет, любые факты обмена во всех доступных глобальных сетях, особенно по адресам подозрительных корреспондентов и прочее. На сервере СИБ обязательно необходимо предусмотреть наличие специальных комплексных средств борьбы с предполагаемыми инсайдерами. При выборе таких средств защиты обязательно нужно учитывать тот весьма важный факт, что при своём функционировании они ни в коем случае не должны накапливать и/или оперировать конфиденциальными личными данными сотрудников, даже в том случае, если они подозреваются в незаконных действиях, так как такие действия со стороны администрации могут преследоваться по закону. Но грань между дозволенным и недозволенным здесь весьма тонкая, но о ней необходимо помнить постоянно, даже при выборе и внедрении средств обеспечения информационной безопасности

Естественно, назначение средств идентификации и особенно аутентификации пользователей не ограничивается только задачей борьбы с инсайдерами. Более распространённой и ощутимой “бедой” в информационном процессе являются самые банальные непредумышленные ошибки должностных лиц при обмене с базами данных, с файлами документов, с различными средствами программного обеспечения. Для предотвращения нежелательных воздействий на программы и данные необходимо предусмотреть основные и резервные средства борьбы, причём, желательно как искусственные, так и естественные, применяемые совместно и функционально дополняющие друг друга. Но все предложения по аутентификации должны быть сделаны в строгом соответствии с требованиями основного регламентирующего документа по аутентификации для информационных систем организационного управления:

ГОСТ Р 51241 – 98 “Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний”.

И особенно дополнительного приложения к этому ГОСТ: Приложение Б. “Средства вычислительной техники. Показатели защищённости от несанкционированного доступа к информации по классам защищённости”. Перечисленные выше документы, разработанные Гостехкомиссией Российской Федерации, являются обязательными для всех систем информационной безопасности государственных организаций и всех прочих организаций России, которые обмениваются любыми данными с государственными структурами.

Конкретно, из Приложения Б к ГОСТ Р 51241 – 98 необходимо заполнить Таблицу В.1. (Приложение 3), в которой конкретно по всем 16 строкам с наименованиями показателей защищённости задать для описываемой СИБ конкретные данные по классам защищённости 4, 5 и 6. В таблице Приложения 3 по всем классам защищённости задано исходное состояние, помеченное знаком “-” (отсутствие признака). Задача при разработке реферата состоит в том, чтобы при анализе ситуации, конкретно сложившейся в информационной системе организации, задать в вышеупомянутой Таблице В.1 в соответствующей её строке вместо знаков “-” знаки “+”, определив, таким образом, каждую конкретную характеристику описываемой СИБ.
В седьмом разделе реферата следует рассмотреть применение для целей обеспечения информационной безопасности организации электронной цифровой подписи (ЭЦП). Хотя федеральный закон “Об электронной цифровой подписи” принят Государственной Думой Российской Федерации ещё в самом начале текущего века, но практического применения это универсальное и надёжное средство обеспечения безопасности “электронного” документооборота у нас в стране до сих пор не получило, что является, в частности, и причиной недостаточной защищённости вышеупомянутого документооборота в России. В реферате необходимо показать основные возможности и преимущества отечественных средств обеспечения применения ЭЦП, которые, по общему признанию, являются на текущий момент самыми совершенными в мире и, вместе с тем, предложить конкретные средства и способы использования ЭЦП для борьбы с угрозами информационной системе организации. Необходимо при этом учесть, что в настоящее время необходимость использования ЭЦП признано в мире повсеместно и эти средства поддерживаются сейчас уже некоторыми программными продуктами общего применения, например, OS MS Vista, даже в редакции Home Edition.

В реферате основное внимание рекомендуется сосредоточить в основном на отечественных разработках обеспечения безопасности и выбирать такие из них, которые позволят реализовать комплексную защиту объектов информационной системы организации, что и характерно для таких средств какими является ЭЦП. Ярким примером таких средств может служить комплекс программ шифрования данных на основе ЭЦП “Веста”, который обеспечивает стойкость шифрования данных на уровне более 1055, в то время как алгоритм DES (США) обеспечивает стойкость шифрования только на уровне не лучше чем 1018. Данные закрытые ЭЦП с помощью “Весты” можно, например, гарантированно безопасно передавать сегодня по любым открытым каналам связи. Все предложения по структуре средств выбранных в этом разделе также должны быть занесены в таблицу Приложения 2. После этого указанная таблица может считаться сформированной полностью.
В восьмом разделе реферата необходимо сформулировать основные предложения по структуре СИБ, которая формируется на основании данных таблицы Приложения 2. Основным критерием выбора комплекса средств СИБ считается экономический критерий, точнее min стоимость совокупности отобранных для использования средств обеспечения безопасности. Для достижения указанной цели можно поступить следующим образом. Сначала путём аргументированного сравнения пар одинаковых по функциональности средств безопасности в таблице оставляют единственные средства и, задав по колонке “Цена” функционал суммирования получают некоторую стоимость отобранных для реализации средств СИБ. Указанную операцию повторяют несколько раз до получения функционально полного набора средств при их рациональной приемлемой стоимости.

На основании данных окончательной редакции таблицы и формируется аппаратный комплекс подсистемы управления СИБ, куда включаются следующие обязательные элементы:

- сервер подсистемы управления СИБ;

- рабочая станция администратора СИБ;

- коммутатор подсистемы управления СИБ;

- брандмауэр, который включается в разрыв линии связи соединяющей центральный коммутатор ЛВС организации и коммутатор подсистемы управления СИБ;

- возможно многофункциональное устройство, работающее только на информационные потребности СИБ.
В девятом разделе реферата анализируются путём сравнения, полученные ценовые характеристики стоимости отобранных к реализации средств обеспечения безопасности и данные годового дохода организации. Если стоимость отобранных средств СИБ составляет 5 – 7 % от годового дохода организации, то можно внедрять отобранные средства СИБ сразу полностью. Если же полученная стоимость элементов СИБ превышает установленную заранее ценовую норму, то необходимо выработать предложения по поэтапному внедрению средств СИБ. В этом случае все предлагаемые к внедрению средства СИБ располагаются в таблице Приложения 2 в порядке важности, значимости, весомости угроз информационной безопасности организации, которые соответствующие средства призваны предотвращать. Реализация полнокровной системы информационной безопасности в таком случае может осуществляться на протяжении нескольких лет, поэтапно.
В десятом последнем разделе реферата подводятся итоги проделанной работы, которые должны быть чётко и доказательно сформулированы в виде основных количественных характеристик, главным образом экономического содержания. Например, желательно сравнить объём финансов, затраченных на приобретение и запуск в эксплуатацию средств СИБ и естественное уменьшение объёма убытков от воздействия соответствующих угроз информационной безопасности. Естественно, если результат такого сравнения окажется положительным, то затраты на СИБ следует считать выгодными. В противном же случае надо продолжить исследования комплекса угроз информационной безопасности и соответствующих средств их ликвидации. Кроме того, в Заключении следует оценить хотя бы ближайшие перспективы дальнейшего развития и совершенствования средств СИБ и необходимость, предполагаемую выгодность их внедрения и практического использования в СИБ организации.
4. Реферируемые источники. Специфика работы над реферируемыми источниками.

Успех или неудача любого реферата определяется в значительной степени объёмом совокупности и содержательностью отобранных для реферирования источников. Немаловажную роль играет и умение работать с различными печатными и электронными источниками, умение и настойчивость при работе в библиотеках, читальных залах, на выставках, конференциях. Наконец, умение правильно оценивать важность и перспективность данных, добывать из них ИНФОРМАЦИЮ, накапливать, селектировать, обобщать полученные данные, отвергать ненужные, делать правильные выводы. При формировании перечня источников для рассматриваемой конкретной темы реферата необходимо в первую очередь отобрать источники, достаточно полно описывающие современные угрозы информационным системам организационного управления, От полноты и содержательности именно этих данных в первую очередь будет зависеть успех реферата (или его неудача!). Очень важны в этом плане реальные статистические данные организации о конкретных угрозах желательно за более длительный период, например, хотя бы за год. В нашем случае написания учебного варианта реферата такими данными следует просто задаться на консультации с преподавателем, ведущим лекционную часть дисциплины. Именно эти статистические данные и перечень источников об угрозах позволят начать работу над рефератом, начать подбор источников по средствам борьбы с наиболее “актуальными” угрозами информационной системе организации. Но подбор литературных источников, естественно, только фундамент для работы. Основная цель реферирования отобранных источников двоякая.

Во-первых, составить список и отобрать перечень характеристик информационных угроз типичных для информационной системы рассматриваемой организации.

Во-вторых, реферируя отобранные источники, поставить всем элементам перечня угроз во взаимно однозначное соответствие перечень средств информационной безопасности, призванных ликвидировать или же снизить ущерб от угрозы до допустимого уровня. Кроме того, во втором перечне необходимо при реферировании задать по возможности наиболее представительный перечень характеристик (желательно количественных), которые нейтрализуют угрозу полностью или хотя бы частично, но до приемлемого допустимого уровня. После получения из источников вышеперечисленных сведений в дальнейшей работе над рефератом к ним следует обращаться только за справками, уточнениями, дополнительными сведениями, потребность в которых возникла уже в процессе обработки полученных первоначально данных. И ещё одно весьма важное замечание. Прямое переписывание в реферат материалов источников без ссылок на авторов (плагиат), говоря честно не столько преступен, это скорее социальная сторона проблемы, сколько разительно показывает неподготовленность, неграмотность, а порою (прости меня читатель!) просто глупость “автора” такого “реферата”, его неспособность, непригодность к творческой работе. Таким “специалистам” деньги платить нельзя, так как они берут чужие и рано или поздно подведут, не исключено и в серьёзном деле.
5. Заключение. Оформление Пояснительной записки реферата.

Оформление Пояснительной записки реферата важный и весьма ответственный период работы. Одна из задач этого этапа весьма прозаична – показать товар лицом. Но с другой стороны, надлежащее оформление любого официального документа – важное требование делопроизводства любой организации. Если эти требования выполняться не будут, то с документами просто невозможно будет работать эффективно.

При оформлении результатов реферирования необходимо обязательно использовать предлагаемые типовые бланки документов – Приложений настоящего методического пособия. При заполнении бланка титульного листа вписываются только:

- полное официальное название организации, в интересах которой разрабатывается реферат;

- корректируется шифр группы;

- вписываются фамилия и инициалы студента исполнившего реферат;

- надпись в левом верхнем углу бланка “Приложение 1” - убирается.

Конкретные указания по использованию таблиц Приложений 2 и 3 даются в соответствующих описаниях в тексте настоящего Методического пособия. При размещении этих бланков таблиц в тексте реферата надписи “Приложение 2” и “Приложение 3” - убираются.

Срок сдачи отчёта устанавливается и вписывается в титульный лист преподавателем, ведущим лекционную часть дисциплины.
Содержание реферата.

Стр.

1. Основные характеристики организации и ее информационной

системы.

2. Цели и задачи предлагаемого к разработке реферата.

3. Специфика, классификация и краткий анализ основных

угроз информационной системе организации.

4. Формулировка основных задач СИБ и средства их возможной

реализации.

5. Средства разграничения доступа к глобальным сетям, данным

и программам.

6. Средства идентификации и аутентификации пользователей

информационной системы организации.

7. Обоснование необходимости и предполагаемой

эффективности использования ЭЦП и предложения по её

внедрению в информационный процесс организации.

8. Предложения по структуре СИБ и размещению ее элементов

в АПКУ организации.

9. Основные экономические характеристики СИБ и предложения

по этапности её внедрения.

10. Выводы, предложения и рекомендации по

дальнейшему совершенствованию СИБ.

11.. Список реферированных источников.
Государственное образовательное учреждение высшего профессионального образования «Санкт-Петербургский Государственный Архитектурно-Строительный Университет».

Факультет Экономики и управления.

Кафедра Управления.



Дисциплина: «Основы информационной безопасности».
Пояснительная записка реферата на тему:

"Предложения по структуре и функционированию системы информационной безопасности организации:
_____________________________________________________________________________".

(полное официальное наименование организации)
Срок сдачи отчёта “___”_____2010 года. Реферат выполнил

студент группы 2МО4

Николаева Е.А.

Реферат проверил

доцент кафедры Управления

_________________________

(Бражников С. А.)

“_____” ___________ 2010 г.

“________________________”

(оценка)

Санкт – Петербург.

2010

Приложение 2.
Таблица состава и основных характеристик

средств защиты системы информационной безопасности.



Полное

наименование

средства.

Краткое

наименование

средства.

Фирма–

производитель.

Основное

функциональное

назначение.

Тип

средства.

Цена.

Единица

измерения

цены.






















































































































Общая

цена:

0000.00

Тыс. рублей.


Приложение 3.

Таблица В. 1. Приложение Б к ГОСТ Р 51241 – 98.
Классы защищённости.

N N

П/П

Н а и м е н о в а н и я п о к а з а т е л е й.

6

5

4

1.

Дискреционный принцип контроля доступа.

-

-

-

2.

Мандатный принцип контроля доступа.

-

-

-

3.

Очистка памяти.

-

-

-

4.

Изоляция модулей.

-

-

-

5.

Маркировка документов.

-

-

-

6.

Защита ввода и вывода на отчуждаемый физический носитель данных.

-

-

-

7.

Сопоставление пользователя с устройством.

-

-

-

8.

Идентификация и аутентификация.

-

-

-

9.

Гарантии проектирования.

-

-

-

10.

Р е г и с т р а ц и я.

-

-

-

11.

Целостность комплекса средств защиты. (КСЗ - СИБ).

-

-

-

12.

Т е с т и р о в а н и е.

-

-

-

13.

Руководство пользователя.

-

-

-

14.

Руководство по комплексу средств защиты.

-

-

-

15.

Тестовая документация.

-

-

-

16.

Конструкторская (проектная) документация.

-

-

-

















Приложение 4.
Рекомендуемая литература.


  1. Ященко. Введение в криптографию. – СПб. : Питер, 2001. – 288 стр.

  2. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться.

– М. :Ск Пресс, 1998. – 288 стр.

  1. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем.

– М. :Горячая линия – Телеком, 2000.

  1. Девянин П. Н., Михальский О. О., Правиков Д. И.,

Щербаков А. Ю. Теоретические основы компьютерной безопасности.

/Учебное пособие. – М. :Радио и связь, 2000.

  1. Степанов Е. А., Корнеев И. К. Информационная безопасность и

защита информации./Учебное пособие. – М. :Инфра , 2001.

  1. Романец Ю. В., Шаньгин В. Ф. Защита информации в компьютерных

системах и сетях. – М. :Радио и связь, 2001.

7. Специальная техника и информационная безопасность. /Учебник/

под ред. Кирилина В. И. – М. :Академия управления МВД России, 2000.

8.. Способы и средства защиты информации от утечки по техническим каналам.

/Учебное пособие. – М. :ЗАО НПЦ Фирма «Нелк», 2001.

9.. Халяпин Д. Б. Вас подслушивают? Защищайтесь! – М. :Мир безопасности, 2001.

10..Торокин А. А. Основы инженерно-технической защиты информации.

–М. :Издательство «Ось-89», 1998.

11.. Хорев А. А. Способы и средства защиты информации. – М. :МО РФ, 2000.

12.. Минаев В. А., Скрыль С. В., Фисун А. П., Потанин В. Е., Дворянкин С. В.

13.. Основы информационной безопасности. /Учебник. – Воронеж,

:Воронежский институт МВД, 2000.

14.. Шнайер Б. Безопасность данных в электронном мире. – СПб. :Питер,

2000, 400 с.

15.. Андрианов. Шпионские штучки 2 или как сберечь свои базы данных.

– СПб. :Полигон, 1998. – 272стр.

16.. Бьюис П., Келли Р., Наченберг К. и др. Защита и безопасность сетей.

/ Энциклопедия. – СПб. :Питер, 1998. – 1024 с.

17.. Вакка. Секреты безопасности в Internet. – М. :Диалектика, 1997. – 512 с.

18.. Герасименко В. А., Малюк А. А. Основы защиты информации. – М., 1997.

19.. Виноградов С. М. и др. Информационное общество: Информационные

войны, Информационное управление, Информационная безопасность.

– СПб. :Изд. СпбУ, 1999.

20.. Копылов В. А. Информационное право. – М. :Юристъ, 1997.

21.. Федеральный закон Российской Федерации «Об информации,

информатизации и защите информации» от 20. 02 1995. № 24 – ФЗ.

22.. Закон Российской Федерации «О государственной тайне»

от 21. 07. 1993. № 5485 – 1 с изменениями и дополнениями от 06. 10. 1997.

23.. Информационная безопасность в фактах и цифрах. – PC Week/RE, 1999, №1 – 16 стр.

24.. Анин Б. Ю. Защита компьютерной информации. – С-Пб. :БХВ-Петербург, 2000.

25.. Ярочкин В. И. Информационная безопасность. - М. :Международные

отношения, 2000.

26.. Афонин М. ИБП нового поколения. - PC Week/RE, 1998, №32-33, 29 стр.

27.. Комплекс кодирования межсетевых потоков «Тропа - Джет». – Системы безопасности, 2001, № 40 (4), 84-86 стр.

28.. Межутков А., Мяснянкин В. Электронная подпись, или тернистый путь

избавления от бумаги. – Системы безопасности, 2001, №40 (4), 80-83 стр.
29.. Лукацкий А. В. Real Secure 6.0 – реальная защита от компьютерных атак.

– Системы безопасности, 2001, №40 (4) , 87 стр.

30.. Оранжереев В. М. Безопасность сетей связи России. – Системы безопасности,

2001, №39, 7-9 стр.

31.. Применко Э. А., Винокуров А. А. Сравнение стандарта шифрования алгоритма

ГОСТ 28147-89 и алгоритма Rijndael.- Системы безопасности, 2001, №39, 71-72 стр.

32.. Лукацкий А. В. Сетевая безопасность – это не только межсетевой экран.

– Системы безопасности, 2001, № 39, 73 стр.

33.. Защита информации в гетерогенных сетях. – Системы безопасности, 2001,

№ 38, 83 стр.

34.. Бардаев Э. А., Борисов А. В., Ловцов Д. А. Информационная

безопасность в интранет. – Системы безопасности, 2001, № 38, 88-91 стр.

35.. Шерстюк В.П. Доктрина информационной безопасности РФ.

Основные положения и принципы реализации. – Системы безопасности, 2000,

№ 37, 6-7 стр.

36.. Корольков А. В., Кузьмин А. С., Мурашов Н. Н. Перспективные

технологии в области электронной цифровой подписи. – Системы

безопасности, 2001, № 37, 72-75 стр.

37.. Винокуров А. А., Применко Э. А. Сравнение российского стандарта

шифрования алгоритма ГОСТ 28147-89 и алгоритма Rijndael, выбранного в

качестве нового стандарта шифрования США. – Системы безопасности, 2001,

№ 37, 79 – 82 стр.

38.. Емельянов Г. В. Основы государственной политики РФ в области

обеспечения информационной безопасности. Безопасность

компьютеризированных систем. – Системы безопасности, 2000, № 36, 6 – 8 стр.

39.. Волчинская Е. К. Развитие законодательной базы защиты информации

в РФ. – Системы безопасности, 2000, № 36, 9-11 стр.

40.. Пярин В. А. Интеллектуальные карты России: тенденции развития и

области применения. – Системы безопасности, 2000, № 36, 16-18 стр.

41.. Минаев В. А. Современные технологии обеспечения

информационной безопасности: состояние и перспективы развития.

– Системы безопасности, 2000, № 36, 29 – 33 стр.

42.. Сердюк В.А. Обеспечение безопасности передачи информации и роль

SSL – протокола. – Системы безопасности, 2000, № 36, 38 – 40 стр.

43.. Кивиристи А. Новые грани обнаружения и отражения угроз.

– Системы безопасности, 2000, № 36, 44 – 47 стр.

44.. Контилов С., Труфанов А. Категория «РЕГИОН» в проблеме

информационной безопасности. – Мир и безопасность, 2001, № 4, 14- 15 стр.

45.. Климов В. Промышленный (информационный) шпионаж в новейшей

истории России. Мифы и реальность. – Мир и безопасность, 2001, № 5, 9 – 13 стр.

46.. Боровикова Н. Аутентификация в компьютерных сетях: новейшие разработки.

– Мир и безопасность, 2001, № 5, 14 – 16 стр.

47.. ГОСТ 15971-90 «Системы обработки информации. Термины и определения».

48.. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения».

49.. ГОСТ Р 51170-98 «Качество служебной информации. Термины и определения».

50.. Сердюк В. А. Средства защиты информационных систем от

компьютерных атак. – Системы безопасности, 2000, № 34, 38 – 42 стр.

51.. Кивиристи А. Безопасность eCommerce. Защита в eCommerce. Ситуация

меняется. – Системы безопасности, 2000, № 34, 44 – 46 стр.

52.. Волчихин В. И., Иванов А. И. Использование тайных биометрических

образов человека. – Системы безопасности, 2002, № 2 (44), 40 – 41 стр.

53.. Создание систем информационной безопасности. - Системы безопасности,

2002, № 2 (44), 84 –85 стр.

54.. Савельев М. Последний рубеж обороны сети. – Системы безопасности,

2002, № 2 (44), 87 стр.

55.. Сердюк В. А. Уязвимость информационных сетей, функционирующих

на базе стека протоколов TCP/IP, и методы их защиты. – Системы безопасности,

2000, № 3 (33), 77 – 81 стр.





Реклама:





Скачать файл (187.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru