- •Міністерство транспорту та зв’язку України
- •2 Структура та об’єм курсового проекту
- •2.1. Титул
- •2.2 Завдання на проектування
- •2.3 Реферат
- •2.4 Зміст
- •2.5 Перелік умовних позначень, символів, одиниць, скорочень і термінів
- •2.6 Вступ
- •2.7 Суть роботи
- •2.7.1. Аналіз завдання, що виконується
- •2.7.2 Дослідження існуючого стану
- •2.7.3 Дослідження шляхів та методів виконання завдання
- •2.7.4 Опис творчого процесу виконання завдання
- •2.8 Висновки
- •2.9 Вимоги до переліку використаних джерел
- •2.10 Вимоги до додатків
- •2.10.1 Призначення додатків
- •2.10.2 Типи додатків
- •3 Оформлення пояснювальної записки
- •3.1 Загальні вимоги
- •3.2 Нумерація сторінок пояснювальної записки
- •3.2 Нумерація розділів, підрозділів, пунктів і підпунктів
- •3.4 Ілюстрації
- •3.5 Таблиці
- •4.6 Переліки
- •3.7 Примітки
- •3.8 Формули та рівняння
- •3.9 Посилання
- •3.10 Титульний аркуш
- •3.11 Додатки
- •4 Основні етапи проектування
- •4.1 Формування загальних вимог до ксзі в ітс
- •4.1.1 Обґрунтування необхідності створення ксзі
- •4.1.2 Обстеження середовищ функціонування ітс
- •4.1.3 Формування завдання на створення ксзі
- •4.2 Розробка політики безпеки інформації в ітс
- •4.2.1 Вивчення об’єкта, на якому створюється ксзі, проведення науково-дослідних робіт
- •4.2.2 Вибір варіанту ксзі
- •4.2.3 Оформлення політики безпеки
- •4.3. Розробка плану захисту ітс
- •4.3.1 Завдання захисту інформації в ітс
- •4.3.2 Класифікація інформації, що обробляється в ітс
- •4.3.3 Опис компонентів ітс та технології обробки інформації
- •4.3.4 Загрози для інформації в ітс
- •4.3.5 Політика безпеки інформації в ітс
- •4.4 Розробка технічного завдання на створення ксзі
- •4.4.1 Загальні положення щодо створення тз
- •4.4.2 Визначення вимог до засобів захисту
- •4.5 Обґрунтування та вибір методів та засобів захисту ітс
- •4.5.1 Адміністративний рівень забезпечення безпеки
- •4.5.2 Організаційний рівень забезпечення інформаційної безпеки
- •4.5.3 Технічний рівень забезпечення інформаційної безпеки
- •4.5.4 Забезпечення безперебійної роботи організації
- •4.5.5 Документи по політиці інформаційної безпеки
- •4.6 Документація щодо забезпечення режиму інформаційної безпеки
- •4.6.1 Керування доступом користувачів
- •4.6.2 Організація роботи персоналу
- •Додаток а Приклад оформлення курсового проекту
- •Додаток а.3 Оформлення рецензії на курсовий проект
- •Рецензія
- •На курсовий проект
- •Комплексна система захисту інформації автоматизованої системи класу 2
- •Додаток а.4 Оформлення реферату курсового проекту
- •Додаток а.5 Оформлення змісту курсового проекту
- •Додаток а.6 Оформлення переліку умовних позначень, символів, одиниць, скорочень і термінів Позначення та скорочення
- •Додаток а.7 Оформлення переліку використаних джерел
- •Позначення та скорочення
- •Література
- •1 Загальні положення 2
4.5 Обґрунтування та вибір методів та засобів захисту ітс
Комплекс методів та засобів із забезпечення режиму інформаційної безпеки повинен розглядатися на трьох рівнях:
адміністративному (система підтримки керівництвом організації робіт із забезпечення інформаційної безпеки);
організаційному (конкретні організаційні заходи із забезпечення режиму інформаційної безпеки);
технічному (реалізація механізмів захисту апаратно-програмними засобами).
4.5.1 Адміністративний рівень забезпечення безпеки
Повинні бути розроблені:
система підтримки керівництвом організації заходів із забезпечення інформаційної безпеки;
процедура доведення до відома співробітників основних положень концепції інформаційної безпеки, вимог із навчання персоналу правил інформаційної безпеки;
система контролю за реалізацією прийнятих рішень та відповідальні посадові особи.
4.5.2 Організаційний рівень забезпечення інформаційної безпеки
На організаційному рівні повинні бути розглянуті:
організаційна структура служби, відповідальної за забезпечення режиму інформаційної безпеки, розподіл обов'язків;
комплекс профілактичних мір (попередження появи вірусів, попередження ненавмисних дій, що ведуть до порушення інформаційної безпеки);
організація доступу співробітників сторонніх організацій до ресурсів ІТС;
організація доступу користувачів і персоналу до конкретних ресурсів ІТС;
політика стосовно окремих аспектів: вилучений доступ в АС, використання відкритих ресурсів (наприклад Інтернету), використання несертифікованого програмного забезпечення й т.ін.).
4.5.3 Технічний рівень забезпечення інформаційної безпеки
Розглядаються програмно-технічні засоби, що реалізують задані вимоги.
Якщо вимоги формулювалися в термінах функцій (сервісів) безпеки, розглядаються механізми безпеки й відповідні їм варіанти програмних й апаратних реалізацій.
Якщо вимоги формулювалися по підсистемах ІТС, розглядається варіанти програмно-апаратної реалізації цих підсистем.
При розгляді різних варіантів рекомендується враховувати наступні аспекти:
керування доступом до інформації й сервісів, включаючи вимоги до поділу обов'язків і ресурсів;
реєстрація значних подій у журналі для цілей повсякденного контролю або спеціальних розслідувань;
перевірка й забезпечення цілісності критично важливих даних на всіх стадіях їхньої обробки;
захист конфіденційних даних від НСД, у тому числі використання засобів шифрування;
резервне копіювання критично важливих даних;
відновлення роботи ІТС після відмов, особливо для систем з підвищеними вимогами до доступності;
захист від внесення несанкціонованих доповнень і змін;
забезпечення засобів контролю, наприклад, за допомогою використання програми для вибіркового контролю й альтернативні варіанти програмного забезпечення для повторення критично важливих обчислень.
4.5.4 Забезпечення безперебійної роботи організації
У процесі планування безперебійної роботи організації розглядаються наступні питання:
виявлення критично важливих процесів у роботі ІТС;
визначення можливого впливу аварій різних типів на роботу ІТС;
визначення й узгодження всіх обов'язків і планів дій у надзвичайних ситуаціях;
планування підготовки персоналу до роботи в надзвичайних ситуаціях.
План забезпечення безперебійної роботи організації повинен включати:
процедури реагування на надзвичайні ситуації, що описують міри, які слід прийняти відразу після великого інциденту, що піддає небезпеки роботу організації й/або порушення інформаційної безпеки;
процедури переходу на аварійний режим, що описують міри, які слід прийняти для тимчасового перекладу основних робіт і сервісів в інші місця;
процедури поновлення роботи організації, що описують міри, які слід прийняти для поновлення нормальної виробничої діяльності організації;
графік випробувань, що визначає, як і коли буде проведене тестування плану.
Плани забезпечення безперебійної роботи організації необхідно обновляти при виникненні істотних змін. Такими змінами є:
установка нового обладнання або модернізація функціонуючих систем;
установка нових систем сигналізації або пожежогасіння;
організаційні зміни;
зміни у виробничих процесах;
зміни в програмному забезпеченні;
зміни в процедурах обслуговування ІТС.
Необхідно призначити відповідального для відстеження змін і корекції планів. Інформацію про оновлення планів необхідно доводити до відома співробітників.