САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ,
МЕХАНИКИ И ОПТИКИ
Кафедра проектирования компьютерных систем
«УТВЕРЖДАЮ»
Заведующий кафедрой ПКС
д.т.н., профессор
Гатчин Ю. А.
ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ
по дисциплине «Защита информационных процессов в компьютерных системах»Студенту группы _ _ Руководитель — д.т.н., профессор Арустамов С. А.
Тема работы: «Анализ угроз, использующих уязвимости защиты, и разработка методов повышения уровня защищенности объектов информационных процессов»
Срок сдачи проекта: 01 июня 2010 года.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ И СОДЕРЖАНИЕ
1.Индивидуальное задание для каждой подгруппы состоит из двух частей, взаимосвязанных между собой по объекту защиты информационных процессов (далее — объекта). Объект необходимо исследовать таким образом, чтобы можно было применить все основные элементы защиты информации, определяя его возможное размещение, внешние и внутренние характеристики среды с учетом возможных сценариев атаки.Для выполнения первой части работы необходимо для предложенного объекта провести анализ его защищенности по следующим направлениям:
а) виды угроз;
б) характер и виды происхождения угроз;
в) классы каналов несанкционированного получения информации (нарушения конфиденциальности);
г) возможные причины нарушения целостности информации;
д) возможные причины нарушения доступности;
е) определить класс защиты информации в соотвествии с Руководящими документами Гостехкомиссии России.
Для выполнения второй части работы необходимо предложить методы повышения уровня защищенности объекта в соответствии со следующим анализом:
а) определить требования к системе защиты;
б) определить факторы, влияющие на требуемый уровень;
в) предложить программно-аппаратные и организационно-административные способы защиты объекта;
г) разработать основы политики безопасности в области эксплуатации анализируемого объекта.
2. Содержание курсовой работы. Курсовая работа должна включать:
а) введение (1–2 стр.) с характеристикой защищаемого объекта, б) анализ уязвимостей и угроз (первая часть, 12–15 стр.), в) предложения по повышению уровны защиты (вторая часть, 12–15 стр.), г) заключение (1–2 стр.), список использованных источников.
3. Оформление курсовой работы должно соответствовать общим требованиям к текстовым документам, изложенным на соответствующей странице кафедрального сайта.
Общий объем курсовой работы — примерно 30–35 страниц.
4. Рекомендуемый график подготовки материалов:
а) введение и Раздел 1 — 30.04.2010;
б) раздел 2 и заключение — 15.05.2010;
в) окончательное оформление — 31.05.2010.
ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ К КУРСОВОЙ РАБОТЕ
Виды объектов информационных процессов Сервер базы данных, содержащий сведения о клиентах кампании Задание Компьютер в бухгалтерии, под управлением Win 2003, используемый для Задание передачи отчетноcти в головной офис через VPN Почтовый сервер крупной компании Задание Веб-сервер, использумый для электронной коммерции Задание Сервер, содержащий бухгалтерские отчеты крупной компании Задание Локальная сеть с выходом в Интернет Задание Программно-аппаратные средства платежных банковских систем Задание Программно-аппаратные средства системы дистанционного обучения Задание Система автоматизированого проектирования узлов вычислительной Задание аппаратуры Информационная система управления бизнесом в области объектов Задание недвижимости Автоматизированная система управления персоналом в крупной компании Задание Телекоммуникационный канал связи между филиалами банка Задание Телекоммуникационный канал связи между дилерами банка и валютной Задание биржей Широкополосный канал выхода в Интернет крупной международной Задание компании Межсетевой экран, обеспечивающий сегментацию локальной сети Задание Сервер учебного заведения, содержащий результаты тестирования Задание студентовСПИСОК РЕКОМЕНДОВАННОЙ ЛИТЕРАТУРЫ
1. CC Profiling Knowledge Base™. User Guide. Profiling Assumptions, Threats, and Policies.Through Objectives to Requirements. Version 1.0 j, k. — NIAP, May, 2000. — 94 p.
(http://niap.nist.gov).
2. Белов Е.В., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности :Учеб. пособие для вузов — М. :Горячая линия — Телеком, 2006. — 544 с.
3. Галатенко В.А. Стандарты информационной безопасности: курс лекций: учебное пособие/ Второе издание. Под редакцией академика РАН Бетелина В,Б./ — М.:ИНТУИТ.РУ «Интернет-университет информационных технологий”, 2006. 264 с.
4. ГОСТ Р 52448—2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
5. ГОСТ Р 52611—2006 Системы промышленной автоматизации и их интеграция.
Средства информационной поддержки жизненного цикла продукции. Безопасность информации. Основные положения и общие требования.
6. ГОСТ Р 52633—2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
7. ГОСТ Р ИСО/МЭК 15408—1—2002, 15408—2—2002, 15408—3— Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1, Часть 2, Часть 3.
8. ГОСТ Р ИСО/МЭК 15408—2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. — М.: Изд-во стандартов, 2002. — 527 с.
9. Кобзарь М.Т., Сидак А.А. Методология оценки безопасности информационных технологий по Общим критериям//Инф. бюлл. Jet Info. — 2004. — N6 (133). — 16c.
10. Общие критерии оценки безопасности информационных технологий: Учеб.
пособие/Под ред. М.Т.Кобзаря, А.А.Сидака. — М.: МГУЛ, 2001. — 81с.
11. Оценка безопасности информационных технологий/А.П.Трубачев и др. — М.: Изд-во СИП РИА, 2001. — 356с.
12. Профиль защиты межсетевых экранов трафикового уровня для сред низкого риска.Traffic-Filter Firewall. Protection Profile For Low-Risk Environments. Version 1.1//U.S.
Department of Defense — April 1999. — 59 p.
13. Профиль защиты межсетевых экранов трафикового уровня для сред средней робастности.Traffic-Filter Firewall. Protection Profile For Medium Robustness Environments.
Version 1.4//U.S. Department of Defense — May 1, 2000. — 52 p.
(http://www.radium.ncsc.mil/tpep).
14. Руководство по разработке профилей защиты и заданий по безопасноcти. ISO/IEC 15446: 2000. Information technology. Security techniques. Guide for the production of protection profiles and security targets. — 156 p.
15. С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков, Информационная безопасность информационных систем Учебник для вузов. В 2-х томах. Том 1 — Угрозы, уязвимости, атаки и подходы к защите/ — М.: Горячая линия — Телеком, 2006. — 536 с.
16. Сидак А.А. Формирование требований безопасности современных сетевых информационных технологий. Серия «Безопасность информационных технологий» - М.:
МГУЛ, 2001. — 278с.
17. Шаньгин В.Ф.. Защита компьютерной информации. Эффективные методы и средства — М:. ДМК Пресс, 2008 — 544 с.
18. http://www.5ballov.ru.
19. http://www.cbi-info.ru/map/.
20. http://www.cesg.gov.uk/.
21. http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=19.
22. http://www.iccconference.com/.
23. http://www.jetinfo.ru/.
24. http://www.radium.ncsc.mil/tpep/library/ccitse/index.html.
25. http://www.ssga.ru.
Дата выдачи задания _ 2010 года Руководитель д.т.н., профессор Арустамов С. А.
Студент