Напишите нам в чат

Курсовая работа


Задание на курсовую работу
Курсовая работа «Разработка инструмента по управлению и контролю информационной безопасности организаций отраслевым требованиям» выполняется в рамках дисциплины «Управление информационной безопасностью в телекоммуникационных системах», студентами заочного обучения (с применением дистанционных технологий).
Для достижения цели студенты решают следующие задачи:
1) сбор и анализ актуальных нормативных документов из открытых источников в соответствии с заданием;
2) осуществление выбора критериев для степени соответствия сформированным актуальным требованиям по обеспечению информационной безопасности организации (далее просто соответствия);
3) разработка опросных листов для оценки соответствия;
4) разработка процедуры оценки соответствия;
5) разработка программы, реализующей оценку соответствия;
6) разработка рекомендаций по работе с программой.
В рамках работы необходимо разработать программный инструмент, позволяющий оценить соответствие в организациях заданного профиля и предложить вариант её интерпретации.
Индивидуальные варианты размещены в приложении А.
Итоговый балл по курсовой работе будет определяться уровнем выполняемой работы на основании:
- качества выполненного обзора источников (нормативные документы);
- качеством сформулированных критериев оценки (структурированность, количество, правильность составления вопросов (правила русского языка), полнота требований и другое);
- сложностью реализации процедуры оценки соответствия организации требованиям по ИБ (язык программирования, оригинальность математического аппарата);
- наличием и качеством материала, сопровождающего программную реализацию (инструкция пользователя, пояснения по интерпретации результатов).

Приложение А Задание на курсовую работу

Вариант определяется по вашему номеру пароля.
  1. региональный банк (ОАО «Акцепт»);
  2. провайдер услуг сотовой связи («Теле2»);
  3. юридическая компания (ООО «Первая Юридическая Компания»);
  4. Медицинский исследовательский центр (НМИЦ им. Е.Н. Мешалкина);
  5. проектный институт, (ОАО, ГИПРОСВЯЗЬ Сибирский филиал);
  6. международная социальная сеть («Facebook»);
  7. государственная страховая компания («Югория»);
  8. торговые электронные площадки (Электронная торговая площадка B2B-Cente);
  9. региональная строительная компания (ОАО «СибМост»);
  10. крупная торговая сеть (ООО «Муниципальная Новосибирская аптечная сеть»);
  11. новосибирский филиал федерального телекоммуникационного провайдера (ОАО «Ростелеком);
  12. компания в сфере информационной безопасности (ЗАО «Инфовотч»);
  13. промышленное предприятие (ОАО "Производственное объединение "Новосибирский приборостроительный завод");
  14. компания, оказывающая услуги в области информационной безопасности (ООО «БИТ»);
  15. международный торговый интернет-центр («eBay» Inc);
  16. компания из сферы платежей и переводов средств через Интернет («компания PayPal»);
  17. провайдер решений для участников финансового рынка РФ (ГК ЦФТ);
  18. разработчик геоинформационных систем (ООО «ДубльГИС);
  19. крупное предприятие оборонного значения (НАЗ им. В.П.Чкалова);
  20. служба, занимающаяся обеспечением ИБ на железной дороге (ОАО «РЖД»);
  21. крупная гидроэлектростанция (Саяно-Шушенская ГЭС);
  22. электронная коммерция (букмекерская контора «Лига ставок»).
  23. компания по предоставлению услуг по IT-аутсорсингу (дата-центр) (компания IT-Lite https://www.it-lite.ru/about)

По согласованию можно обсудить ваш вариант проектируемого объекта.

Приложение Б Список рекомендуемых нормативных документов
Семейство стандартов ISO 27000
ISO 27001-2005: Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ISO 27002-2005:Информационные технологии. Свод правил по управлению защитой информации
ISO 27004-2009: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
ISO 27005-2008: Информационная технология. Методы обеспечения безопасности. Менеджмент рисков безопасности информации
ISO 27006-2008: Информационные технологии. Методы и средства обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности
ISO 27007-2011: Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по аудиту систем менеджмента систем информационной безопасности
ISO 27011-2008: Информационные технологии. Методы защиты. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002
ISO 27033 -1-2009: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции
ISO 27033 -2-2012: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 2. Руководство по разработке и реализации сетевой безопасности
ISO 27033 -3-2010: Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления
ISO 27035-2011: Информационные технологии. Метод обеспечения безопасности. Управление случайностями в системе информационной безопасности
ISO 17799-2005: Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности
ISO 13569-2005: Услуги финансовые. Руководящие указания по обеспечению информационной безопасности
ISO 15408- 3-2008: Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты
ISO 18045-2008: Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ
ISO 18028-3-2005: Информационные технологии. Методы и средства обеспечения безопасности. Безопасность информационной сети. Часть 3. Коммуникации для обеспечения безопасности между сетями с применением шлюзов безопасности
ISO 18028-4-2005: Информационные технологии. Методы и средства обеспечения безопасности. Безопасность информационной сети. Часть 4. Обеспечение безопасности удаленного доступа
ISO 18028-4-2006: Информационные технологии. Методы и средства обеспечения безопасности. Безопасность информационной сети. Часть 5. Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем
ISO 13335-1-2004: Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий
ISO 13335-5-2001: Информационная технология (ИТ). Рекомендации по управлению безопасностью информационных технологий. Часть 5. Руководство по управлению безопасностью сети


BS 7799- 1-2000: Практические правила управления информационной безопасностью
BS 7799- 2-2002: Спецификация системы управления информационной безопасностью
Рекомендация Х.805: Архитектура безопасности для систем, обеспечивающих межконцевую связь.
ГОСТ Р 52448-2005: Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
СТО БР ИББС-2.2-2009: Методика оценки рисков нарушения информационной безопасности
СТО БР ИББС-1.0-2010: Общие положения
СТО БР ИББС-1.2-2010: Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх

Special Publication 800-30 Risk Management Guide for Information Technology Systems

Важно ответить, что данными документами область не ограничивается, следует провести качественный поиск нормативно-технических источников. Качественным можно считать работу, когда идет ссылка на 7-10 источников, а также следует уточнять их актуальность, со временем они заменяются или перевыпускаются.

Приложение В Список рекомендуемых Интернет-источников
1. www.iso.org (Международный институт по стандартизации);
2. www.etsi.org (Европейский институт стандартизации по телекоммуникациям);
3. www.ieee.org (Институт инженеров по электротехнике и электронике)
4. www.normativ-nt.ru(информационный сайт);
5. www.gostinfo.ru (Федеральное агентство по техническому регулированию и метрологии);
6. www.citforum.ru (информационный сайт);
7. www.iso27000.ru (Интернет портал).
------------------------------------------------------------------------------
Выбор варианта задания по курсовой работе определяется как сумма последней цифры пароля и номера группы (при нарушении данного правила преподаватель оставляет за собой право не зачесть работу) (пример, номер группы – 35, цифры пароля – 10, значит 45). Если же полученный результат превышает максимальный номер вариантов, то определяется как вычитанием из вашего варианта максимального номера варианта.
Примеры:
1.Ваш вариант 50, максимальный предложенный вариант- 25, таким образом: 50-25=25,
2.Ваш вариант 62, максимальный предложенный вариант- 25, таким образом: 62-25-25=12
Действуете по аналогии.
=============================================

Лабораторная работа № 1

Знакомство с возможностями программного комплекса Microsoft Security Assessment Tool (MSAT)

1.1 Цель Ознакомиться и получить практические навыки работы с программные продукты для оценки рисков.

1.2 Теоретические положения
Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) — это бесплатное средство, разработанное чтобы помочь организациям оценить уязвимости в ИТ-средах, предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз. MSAT — это простой, экономичный способ приступить к усилению безопасности вычислительной среды предприятия. Начните процесс, сделав снимок текущего состояния безопасности, и затем используйте MSAT для постоянного отслеживания способности инфраструктуры отвечать на угрозы.
В корпорации Microsoft основным приоритетом является безопасность сетей, бизнес-серверов, компьютеров конечных пользователей, мобильных устройств и данных наших клиентов. Мы намерены предоставлять средства безопасности, подобные MSAT, чтобы помочь клиентам повысить безопасность бизнеса.

1.5 Контрольные вопросы
1.Что подразумевается под оценкой рисков?
2.Как взаимосвязан процесс управления информационной безопасностью и управления рисками (поясните своими, собственными словами).
3.Удобно ли использование данной программы при оценке информационной безопасности в государственных организаций? Почему?
4.Какие разделы для поднятия точности результата вы бы добавили в программу при выполнении вашего индивидуального задания? Какие бы убрали?
5.Сколько бы вы готовы выделить из вашего годового бюджета средств на пользование данной программой. Обоснуйте свой ответ?

=============================================

Лабораторная работа № 2

«Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager»

1 Цель работы
Изучить способы проведения оценки рисков информационной системы в программе «R-Vision: SGRC», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.

Варианты заданий: выдаются преподавателем. Вам необходимо направить в его адрес письмо, в ответ будет прислана ссылка на скачивание методических указаний, ваш уникальный логин и пароль, а также номер варианта.


2 Теоретические сведения

2.1 Функциональные возможности R-Vision SGRC

R-Vision SGRC — это центр контроля информационной безопасности, состоящий из объединенных и интегрированных в единое решение модулей, и предназначенный для консолидации информации из различных процессов информационной безопасности с целью поддержки руководителя в принятии решений по дальнейшему стратегическому и тактическому управлению ИБ в компании.


5 Контрольные вопросы
1) Что понимается под термином «информационный актив»? Приведите примеры информационных активов.
2) Что понимается под термином «инцидент информационной безопасности»?
3) Каков жизненный цикл инцидента ИБ?
4) Охарактеризуйте функции и возможности модуля «Активы».
5) Охарактеризуйте функции и возможности модуля «Риски».
6) Охарактеризуйте функции и возможности модуля «Инциденты».
7) Охарактеризуйте функции и возможности модуля «Аудит».
8) Охарактеризуйте функции и возможности модуля «Задачи».
9) Какие уровни ущерба предусмотрены при создании нового инцидента в R-Vision-SGRS?
10)Какие меры могут быть предприняты по итогам инцидента? Приведите примеры.
11)Какие типы документов можно добавлять в систему в качестве организационной защитной меры?
12)Какая категория пользователей имеет возможность создавать замечания?
13)Каков жизненный цикл задачи?
14)Существует ли возможность создавать новый тип информационного актива, а не использовать ранее созданный? Рассмотрите пример.
15)Какие типы действий можно выбрать для плана обработки риска?
16)Как выбор мероприятий по обработке рисков влияет на целевой уровень риска?
17)Существует ли возможность завести для одного и того же сотрудника несколько учетных записей?
18)Какими способами заполняется информация о сетевом оборудовании и структуре сети?
19)Каким образом можно посмотреть с какими объектами ИТ-инфраструктуры связан документ, являющийся организационной защитной мерой?

20)Какую информацию необходимо заполнить, чтобы R-Vision-SGRS автоматически определила риски определенного актива?

Обсудим вашу работу?
При заказе дарим онлайн-тест!
Заполните форму
и мы свяжемся с вами за 2 часа