Кафедра прикладной математики и информационных систем

Кафедра прикладной математики и информационных систем

 

А.Н. Силаенков

 

Учебное пособие для выполнения курсовой работы

по дисциплине

«Информационная безопасность»

для студентов специальностей
080801 «Прикладная информатика в экономике»

 

Омск 2009

Составитель: Силаенков А.Н.

УДК 681.3

 

Учебное пособие к курсовой работе по дисциплине «Информационная безопасность» для студентов специальности – «Информационная безопасность»

 

 

В учебном пособии приводятся требования к содержанию и оформлению курсовой работы по дисциплине «Информационная безопасность», варианты типовых заданий, указания к их выполнению.

Предназначено для студентов специальности – «Прикладная информатика в экономике»

 

 

Введение

Важной формой активизации процесса усвоения знаний при подготовке специалистов в области информационных технологий является выполнение курсовых работ.

Целью курсовой работы по информационной безопасности является систематизация, закрепление и углубление теоретических знаний студентов о методологии и методике аудита информационной безопасности на предприятии, определения исходных данных для проектирования системы защиты информации и собственно проектирования систем защиты информации, а также выработка у них навыков решения практических задач по защите информации.

Учебное пособие по дисциплине «Информационная безопасность» предназначено для оказания помощи студентам при выполнении курсовой работы.

Учебное пособие обеспечивает единство требований со стороны преподавателя относительно структуры, содержания, объема, оформления и подготовки курсовой работы к защите.

Настоящее учебное пособие курсовой работе по дисциплине «Информационная безопасность» предназначено для студентов дневного и заочного обучения по специальности 080801 «Прикладная информатика в экономике».

Учебное пособие содержит методику и последовательность выполнения отдельных элементов курсовой работы, рекомендации по оформлению курсовой работы.

Основная задача учебного пособия - оказание необходимой методической помощи, с целью направить усилия студентов на качественное выполнение курсовой работы.

Учебное пособие составлено с учетом типовых требований к курсовым работам студентов старших курсов и ориентированны на повышение качества их выполнения.

Данное учебное пособие обеспечивает соблюдение требований Государственного образовательного стандарта высшего профессионального образования Российской Федерации специальности «Прикладная информатика в экономике».

Курсовая работа по дисциплине «Информационная безопасность» направлена на формирование у студентов представления о проектировании системы защиты информации с требованиями к грамотному применению современных технологий защиты информации.

 

 

Назначение и задачи курсовой работы

Курсовая работа является составной частью учебного курса "Информационная безопасность" и предназначена для практического закрепления и расширения полученных теоретических знаний.

Задачей курсовой работы является изучение научно–технической и справочной литературы в области информационной безопасности, приобретение студентами навыков проектирования системы защиты информации и обоснованного выбора программных средств для защиты информации для конкретного предприятия.

При выполнении курсовой работы по проектированию системы информационной безопасности следует руководствоваться следующими принципами:

• Система информационной безопасности является интегральной частью информационной системы компании и должна функционировать, не нарушая эксплуатационных параметров информационной системы.
• Система информационной безопасности основывается на политике безопасности компании, в соответствии с которой четко определяются физические и логические границы системы.
• Анализ рисков является основой проектирования и дальнейшего использования системы информационной безопасности (при вводе системы в эксплуатацию риски должны быть снижены до приемлемого, заранее определенного и утвержденного уровня).
• Внедрение средств обеспечения ИБ должно быть экономически обосновано: инвестируемые в систему информационной безопасности средства должны быть адекватны тем преимуществам, которые получит компания при достижении заданного уровня информационной безопасности.

 

Содержание курсовой работы

Организация курсовой работы

Продолжительность выполнения курсовой работы – 15 недель. Каждый студент выполняет индивидуальное задание, которое выдается ему преподавателем. Типовые задания на выполнение курсового проекта приведены в п. 3. Базовое предприятие, тема курсовой работы, ее примерное содержание обсуждаются с преподавателем курса не позднее, чем за три месяца до срока защиты работы, а первый вариант курсовой работы - не позднее, чем за один месяц до срока сдачи/защиты работы.

По всем текущим вопросам проводятся регулярные консультации.

По результатам выполнения задания оформляется пояснительная записка. После проверки пояснительной записки преподавателем студент защищает выполненную курсовую работу с получением итоговой оценки.

Исходные данные к курсовой работе

В качестве исходных данных студенты выбирают объект защиты в виде офиса фирмы или предприятия (отдела), информационной системы, используемой на предприятии, локальной сети, выделенного помещения, в котором осуществляется работа с конфиденциальной информацией и т.п. Необходимо дать общую характеристику предприятия.

Затем необходимо провести предпроектное обследование системы защиты информации всей компании (если предприятие небольшое) или информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.) для крупной компании, рассмотрев:

· все ресурсы, на которых хранится ценная информация;

· все сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);

· отделы, к которым относятся ресурсы;

· виды ценной информации;

· ущерб для каждого вида ценной информации по трем видам угроз: внешние, внутренние, комбинированные;

· бизнес-процессы, в которых обрабатывается информация;

· группы пользователей, имеющих доступ к ценной информации;

· класс группы пользователей;

· доступ группы пользователей к информации;

· характеристики этого доступа (вид и права);

· средства защиты информации;

· средства защиты рабочего места группы пользователей.

Кроме того, при проведении диагностического обследования/аудита системы ИБ необходимо выполнить:

• классификацию информационных ресурсов по степени важности/критичности лица и выявление должностных лиц, ответственных за целостность этих ресурсов;

Предлагаемый порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). Для этого с учетом предметной области системы пакеты информации разделяются на типы по ее тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

2. Затем для каждого типа пакетов, выделенного в первом пункте, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

· перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

· уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.)и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

· стоимость возможных потерь при получении информации конкурентом;

· стоимость восстановления информации при ее утрате;

· затраты на восстановление нормального процесса функционирования АС и т.д.

Если возникают трудности из-за большого разброса оценок для различных частей информации одного типа пакетов, то следует пересмотреть деление информации на типы пакетов, вернувшись к предыдущему пункту методики.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.

 

Таблица 1.

Субъекты	Уровень ущерба по свойствам информации
	Конфиденциальность	Целостность	Доступность	Защита от тиражирования
N	Нет	Средняя	Средняя	Нет
N	Высокая	Средняя	Средняя	Нет
N	Низкая	Низкая	Низкая	Нет
В итоге	Высокая	Средняя	Средняя	Нет

• выявить организацию системы резервного копирования;
• определить требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе компании;
• провести предварительный анализ уязвимостей активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов;
• выполнить оценку информационных рисков*;

*Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Итак, из анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

Оценка рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации с точки зрения ИБ:

Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.

Идентифицировать и оценить активы, разработать модель нарушителя и модель угроз, идентифицировать уязвимости — все это стандартные шаги анализа рисков.

Процесс анализа рисков включает в себя выполнение следующих групп задач:

1) анализ ресурсов ИТ-инфраструктуры, включая информационные ресурсы, программные и технические средства, людские ресурсы, и построение модели ресурсов, учитывающей их взаимозависимости;

2) анализ бизнес-процессов и групп задач, решаемых информационной системой, позволяющий оценить критичность ИТ-ресурсов, с учетом их взаимозависимостей;

3) идентификация угроз безопасности в отношении ресурсов информационной системы и уязвимостей защиты, делающих возможным осуществление этих угроз;

4) оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации;

5) определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость;

6) ранжирование существующих рисков;

7) разработка системы первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня на основе проводимого анализа рисков.

· определение угроз безопасности (внутренних и внешних) информации и разработку модели вероятного нарушителя применительно к конкретным условиям функционирования**;

**Первоначальную информацию о модели нарушителя, как и в случае с выбором изначальных направлений деятельности по обеспечению ИБ, целесообразно получить у высшего менеджмента компании или же из специализированных исследований по нарушениям в области компьютерной безопасности в той сфере бизнеса, в которой работает компания.

Разработка модели угроз — выявление всех потенциальных угроз:

- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры и иные лица, осуществляющие несанкционированный доступ (НСД);

 

- внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы сетевых приложений и т.п.);

комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.

Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:

- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);

- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.

Наиболее актуальные источники угроз на уровне бизнес-процессов:

- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);

- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.

-определение комплекса мероприятий по ликвидации (локализации) выявленных «брешей» в системе защиты;

 определение функциональных отношений и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия;

· подготовку итогового отчета, содержащего оценку текущего уровня информационной безопасности, выработку рекомендаций по совершенствованию системы защиты информации с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.

3. Формирование требований к проектируемой системе защиты информации

Перед тем как приступить к проектированию системы информационной безопасности необходимо сформулировать требования к разрабатываемой системе.

Это можно сделать на основании результатов предпроектного обследования информационной безопасности компании (в компании должна быть разработана внутренняя нормативная документация: политика информационной безопасности, методика определения ценности или критичности для бизнеса различных данных, правила реагирования на инциденты в области нарушения информационной безопасности и т. п.) и на основе организационно-нормативной документации Гостехкомиссии РФ).

На основании выполненного отчета определить к какому классу защищенности СВТ или АСОД (в зависимости от того, что используется в фирме: только средства вычислительной техники или же информационные системы) следует отнести СВТ или АСОД данной компании, чтобы реализовать выработанные рекомендации по совершенствованию системы защиты информации с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.

Примечание. Рекомендуемый класс защищенности для СВТ- четвертый.

Показатели защищенности для него:

1. Контроль доступа.

2. Очистка памяти.

3. Идентификация и аутентификация.

4. Гарантии проектирования. На начальном этапе проектирования СВТ должна быть построена модель защиты, включающая в себя ПРД к объектам и непротиворечивые правила изменения ПРД.

5. Регистрация: прав доступа; запросов к защищаемым ресурсам; создания и уничтожения объектов; действий по изменению ПРД; даты, времени и действий пользователей.

6. Выборочное ознакомление с регистрационной информацией.

7. Контроль за целостностью КСЗ.

8. Тестирование реализации ПРД, идентификации и аутентификации, а также их средств защиты;

9. Очистка памяти.

10. Регистрация событий и средства защиты регистрационной информации, возможность санкционированного ознакомления с ней;

11. Контроль за целостностью КСЗ.

12. Руководство пользователя.

13. Руководство по КСЗ.

14. Тестовая документация.

15. Конструкторская и проектная документация.

16. Механизм, претворяющий в жизнь ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД

17. Мандатный принцип контроля доступа − сопоставление классификационных меток каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

18. Изоляция модулей

При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

19. Маркировка документов

При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).
20.Защита ввода и вывода на отчуждаемый физический носитель информации.
КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи. Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.
21. Сопоставление пользователя с устройством.

КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).

Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

22.Целостность КСЗ. В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.

23. Тестирование. Проводится более широкое тестирование, включая кроме реализации ПРД, очистку оперативной и внешней памяти, маркировку документов, защиту ввода и вывода информации на носители, идентификацию и аутентификацию, запрет на доступ несанкционированного пользователя, контроль за целостностью СВТ, регистрацию событий.

Требования к показателям защищенности автоматизированных систем смотри в конспекте лекций.

Проектирование системы ИБ

Следующим этапом построения системы ИБ является ее проектирование.

Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость СИБ, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.

Эффективность системы ИБ может быть достигнута, если все ее компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.

Интегрированная архитектура систем ИБ включает в себя набор следующих подсистем:

• подсистему защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.);
• подсистему защиты серверов сети;
• средства защиты рабочих станций;
• подсистему мониторинга и аудита безопасности;
• средства обнаружения атак и автоматического реагирования;
• подсистему комплексной антивирусной защиты;
• средства анализа защищенности и управления политикой безопасности;
• средства контроля целостности данных;
• средства криптографической защиты информации;
• инфраструктуру открытых ключей;
• подсистему резервного копирования и восстановления данных;

· автоматизированную систему установки обновлений ПО;

• подсистему управления ИБ;
• подсистему аутентификации и идентификации;
• подсистему защиты внутренних сетевых ресурсов;
• подсистему защиты Web-ресурсов;
• подсистему контроля содержимого Интернет-трафика;
• подсистему физической защиты.

Проектируемая система информационной безопасности не обязательно будет содержать все подсистемы. Архитектура проектируемой системы ИБ будет определяться в соответствии с требованиями к проектируемой системе ИБ.

Остановимся подробнее на задачах, которые решаются с помощью компонентов комплексной системы ИБ.

Внутренняя безопасность

Средства обеспечения безопасности внутренних ресурсов сегодня востребованы многими компаниями. Статистика свидетельствует, что около 80% всех инцидентов ИБ возникают по вине или при содействии сотрудников компании. Существуют стратегии (Check Point Total Acess Protection, Cisco NAC) и разработки (Microsoft NAP), направленные на противодействие внутренним угрозам. Чтобы снять нагрузку с МЭ и разделить системы защиты периметра и внутренних ресурсов (это также позволяет избежать создания единственной "точки компрометации"), а также снизить стоимость системы защиты, можно использовать решения по защите внутренних ресурсов.

Внутри сети есть множество приложений и сервисов, зачастую написанных собственными силами, в разное время, слабо документированных. Как правило, при их создании разработчики не уделяли должного внимания средствам безопасности, предполагая, что с этими приложениями будут работать только "свои" сотрудники, которым можно доверять. К сожалению, системные администраторы и администраторы безопасности обычно не имеют исчерпывающих сведений о том, какие приложения функционируют в сети, как они взаимодействуют, кто и как пользуется этими ресурсами. Казалось бы, достаточно просто выделить серверы в отдельный сегмент сети, применить какой-нибудь межсетевой экран и определить права доступа пользователей. Однако на практике создать четкие правила, разрешающие и запрещающие доступ внутри сети, почти невозможно. Обязательно кто-нибудь из пользователей что-то забудет, и реализованная политика разграничения доступа заблокирует что-то лишнее и нарушит предоставление каких-то ИТ-сервисов. А в большинстве организаций предъявляются повышенные требования к постоянной работоспособности систем. В результате непрерывность ИТ-процессов становится первоочередной задачей, гораздо более приоритетной, чем безопасность. И это различие подходов к обеспечению безопасности периметра и внутренних ресурсов приводит к тому, что для периметра используется политика по умолчанию - "запрещено все, что не разрешено", в то время как внутри сети принят диаметрально противоположный подход - "разрешено все, что не запрещено".

Подсистема защиты внутренних ресурсов обеспечивает решение следующих задач:

· сегментацию сети;

· превентивные меры защиты;

· защиту рабочих станций;

· защиту серверов;

· защиту данных.

Внутренние шлюзы безопасности должны блокировать распространение сетевых червей, внутренние атаки, проводить сегментацию сети по уровням доверия, иметь развитые средства мониторинга и отчетности о сетевой активности. На рынке пока немного таких решений, хотя потребность в них очень высока.

Еще один аспект обеспечения внутренней безопасности связан с необходимостью у некоторых компаний предоставлять мобильным пользователям доступ к внутренним ИТ-ресурсам. Основная задача системы ИБ в этом случае - обеспечить безопасность рабочего места пользователя и безопасное его соединение с информационной системой компании. При этом мобильный пользователь находится в зоне с пониженным уровнем доверия.

Вредоносный код

Необходимость защиты от вредоносного кода, проще говоря, антивирусной защиты, сегодня очевидна. Любая информационная система содержит те или иные антивирусные средства (антивирусы). Сравнивать или оценивать эффективность работы решений разных производителей предоставим авторитетным организациям и техническим экспертам. Хотя некоторые вещи учитывать необходимо: эффективность антивируса не определяется максимальным числом вирусных сигнатур в базах, и ни один антивирус не может гарантировать уничтожение 100% вирусов.

Применение антивирусных средств в малых компаниях, как правило, не создает проблем владельцам или руководству. Использование антивирусных решений в средних и крупных компаниях имеет некоторые особенности, которые могут обернуться серьезными проблемами, если их не принять во внимание. Во-первых, комплексная антивирусная безопасность невозможна, если не защищена каждая точка сети: шлюзы, рабочие станции и серверы. Сегодня антивирусная защита требуется любым мобильным устройствам, подключаемым в корпоративную ИС. Во-вторых, антивирусные системы должны, по возможности, защищать ИС от всех видов вредоносного кода, а не только от "вирусов и троянов". Если система антивирусной безопасности построена из разных продуктов, то их совместное использование должно быть оправданным, учитывая, что многие решения "не уживаются" вместе, а решения сторонних производителей поддерживаются далеко не всеми поставщиками. В результате интеграция этих средств защиты в единый комплекс часто недостижима. В-третьих, управление такой системой, обновление сотен и тысяч рабочих станций должно осуществляться централизованно и максимально просто. Решения Enterprise-уровня (уровня корпорации) позволяют существенно снижать совокупную стоимость (TCO) владения такой системой. Немногие решения удовлетворяют все требования к корпоративной антивирусной системе.

Содержание пояснительной записки

Пояснительная записка оформляется на листах формата А4 и должна содержать:

1) титульный лист;

2) задание на курсовой проект;

3) содержание;

4) введение;

5) основную часть;

6) заключение;

7) список литературы;

8) приложения.

Введение

В этом разделе даются сведения о назначении и области применения разрабатываемой системы информационной безопасности. Анализируются современное состояние и тенденции развития информационной безопасности информационных систем. Формулируются цель и задачи курсовой работы. Указать, что является предметом и объектом исследования. Ориентировочный объем введения – 2 страницы.

Основная часть

Текст основной части делится на разделы. В основной части отразить проектирование системы информационной безопасности.

Заключение

В заключении делаются краткие выводы по работе.

Примерный объем заключения – 0,5 стр.

Приложения

В приложениях приводится разработанная принципиальная схема устройства, выполненная на миллиметровке формата А4 (или А1, А2 в сложенном виде). Принципиальная схема сопровождается спецификацией элементов (перечнем элементов). Условные обозначения элементов выполняются в соответствии с требованиями ГОСТов и ЕСКД.

6.6. Типовые задания на курсовую работу

Ниже приведен перечень заданий курсовых работ, которые сгруппированы по темам.

Оформление текстовых документов

1. Правила оформления текстовых документов должны соответствовать требованиям ГОСТ 2.105-95 или ГОСТ 7.32-2001, а графический материал по ЕСКД.

2. Титульный лист выполняется машинописным способом (приложение 2). На титульном листе пояснительной записки и чертежах курсового проекта (работы) должен быть код:

КР – 2068998 - && -@@ -00.00.000.$$,

где: 2068998 – шифр ОмГТУ;

&& - шифр кафедры;

@@ -порядковый номер студента в списке группы;

00.00.000 – сборочные комплексы, сборочные единицы, детали;

$$ -вид чертежа или пояснительная записка.

3. Текст набирается и редактируется с помощью текстового процессора Word.

4. Иллюстрации располагаются по тексту, после ссылки на них. Иллюстрации должны быть выполнены в соответствии с требованиями стандартов.

5. Пояснительная записка должна быть написана деловым языком, мысли изложены точно и кратко. Наличие орфографических и синтаксических ошибок не допускается.

6. В записку не следует выписывать из учебников и книг общеизвестные положения, определения, переписывать стандарты, заводские нормали и т.д.

7. Не допускается сокращение слов в тексте, кроме общепринятых сокращений.

8. Материал, дополняющий текст пояснительной записки, допускается помещать в приложениях. Приложения оформляют как продолжение данного документа на последующих его листах или выпускают в виде самостоятельного документа.

9. Содержание включает наименование всех разделов, подразделов и приложения с указанием номера страниц, на которых размещается начало материала.

Оформление курсовой работы

Текстовый документ должен быть подготовлен с помощью текстового процессора Microsoft Word. Текст оформляется с соблюдением следующих размеров полей: левое – 30 мм, правое – 10 мм, верхнее – 20 мм, нижнее – 25 мм. Размер шрифта основного текста - 14 пунктов. Тип шрифта - Times New Roman. Величина абзацного отступа должна быть 10 мм. Межстрочный интервал - полуторный.

Разделы текстового документа начинаются с новой страницы. Заголовки и подзаголовки разделов текстового документа отделяются от основного текста сверху и снизу одним дополнительным интервалом. Шрифт и регистр заголовков и подзаголовков выделяется полужирным начертанием. Ненумерованные заголовки и заголовки разделов первого уровня выполняются жирными прописными, второго уровня - жирным строчным регистром. Нумерованные заголовки и подзаголовки выравниваются по левому краю с красной строки, ненумерованные - по центру страницы. Точка в конце заголовков не ставится.

Все страницы текста должны быть пронумерованы, номер страницы располагается внизу страницы по центру. Первой страницей является титульный лист. На титульном листе номер страницы не ставят.

Титульный лист оформляется в соответствии с приведенным образцом. Перенос слов на титульном листе и в заголовках по тексту не разрешается. Сокращения и аббревиатуры на титульном листе не допускаются.

Все рисунки и таблицы нумеруются последовательно арабскими цифрами. Подписи к рисункам и таблицам не нужны, если в тексте есть их расшифровка.

7. Пример выполнения курсовой работы*

 

Федеральное агентство по образованию

Государственное образовательное учреждение
высшего профессионального образования

«Н-ский государственный технический университет»

Кафедра «Прикладной математики и информационных систем»

Курсовая работа

по дисциплине

«Информационная безопасность»

Тема: «Разработка концепции информационной безопасности ОАО «Н-ский аэропорт»

 

Выполнил: ст. гр. ПИ

Проверил: А. Н. Силаенков

Омск 2008

 

СОДЕРЖАНИЕ

 

Введение

1. Характеристика предприятия

2. Производственно-экономическая деятельность предприятия

3. Основные цели защиты информации на предприятии

4. Обязанности должностных лиц предприятия по обеспечению защиты информации

5. Ввод в эксплуатацию и сопровождение программного обеспечения

6. Каналы утечки информации и способы защиты

7. Защита ПО и информационного обеспечения (ИО) от программ-вирусов.

8. Учет, хранение и обращение с машинными носителями информации и документами

9. Порядок размещения и установки СВТ по обработке конфиденциальной информации

10. Организация противопожарной защиты

11. Допуск к конфиденциальной информации

12. Анализ рисков

13. Уровни обеспечения режима информационной безопасности

14. Структура системы информационной безопасности

Заключение

Список литературы

 

 

Введение

 

Актуальность темы курсовой работы определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится. 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.
Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению. Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.