3. Требования к оформлению курсового проекта

1. Текстовые документы выполняются на белой бумаге формата А4 (210х297 мм). Шрифт – Times New Roman, 14 пт, междустрочный интервал – полуторный, отступы: слева – 2,5, справа – 1,5, сверху – 1,5, снизу – 1,5 см. Выравнивание текста – по ширине.

2. Титульный лист выполняется по форме (прил. 1):

3. Номер страницы текстового документа проставляется в нижней части листа по центру.

4. Допускается расстановка переносов.

5. Рисунки, схемы, диаграммы должны быть пронумерованы и выполнены (за исключением копий экранов и фотографий) в векторной форме (Visio, CorelDraw, Adobe illustrator, windows meta file).

6. В тексте пояснительной записки должны присутствовать ссылки на литературные источники.

7. В оглавлении обязательно указывать номера страниц разделов пояснительной записки.

8. Графическая часть должна оформляться в соответствии с правилами оформления конструкторско-технологических документов

Список рекомендуемой литературы

1. Алексенцев, А.И. Конфиденциальное делопроизводство /А.И. Алексенцев/ -М.: ООО Журнал «Управление персоналом», 2003.-200с.

2. Башлы, П.Н. Информационная безопасность /П.Н. Башлы. –Ростов н/Д: Феникс, 2006.- 254с.

3. Бузов, Г.А. Защита от утечки информации по техническим каналам: учеб.пособие / Г.А. Бузов, С.В. Калинин, А.В. Кондратьев/-М.: Горячая линия-Телеком,2005.-414 с

4. Гудов, Г.Н. Защита конфиденциальной информации в акционерных обществах: учебное пособие. /Г.Н. Гудов, Г.Е. Шепитько/ -М.: Академия экономической безопасности МВД России, 2007.-303с.

5. Некраха, А.В. Организация конфиденциального делопроизводства и защита информации: учебное пособие /А.В. Некраха, Г.А Шевцова/ -М.:Академический Проект, 2007. -224с

6. Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 №35

7. Сборник руководящих документов по защите информации от несанкционированного доступа /Гостехкомиссия России. М., 1998

8. Семкин, С.Н. Основы организационного обеспечения информационной безопасности объектов информатизации : учебное пособие. /С.Н. Сёмкин, Э.В. Беляков, С.В. Гребенев, В.И. Козачок .-М.: Гелиос АРВ, 2005.-192с

9. Соловьев, Э.Я. Коммерческая тайна и ее защита./ Э.Я. Соловьев/- М.:Ось-89,2001. -127с

10. www.sec.ru – Интернет-портал по безопасности

11. www.sec4all.net - Безопасность для всех» интернет-портал

12. bre.ru/security - Корпоративная безопасность

13. art.thelib.ru/computers/security- Статьи на тему безопасность: в каталоге статей Art.Thelib.Ru

Приложение 1

Методика определения актуальных угроз безопасности

Рекомендации по разработке частной модели угроз содержатся в "Методике определения актуальных угроз безопасности персональных данных при их обработке в информационной системе ПД". Согласно этому документу, разработка частной модели угроз предполагает:

1. Определение исходных данных для построения частной модели угроз.

2. Выявление угроз персональных данных.

3. Составление перечня источников угроз.

4. Формирование перечня актуальных угроз.

Актуальность угрозы безопасности персональных данных определяется на основе   возможности   реализации угрозы и показателя опасности угрозы. При этом для каждой угрозы вычисляется возможность реализации угрозы (Y):

Y = (Y₁ + Y₂)/20,

где Y₁ – числовой коэффициент, определяющий исходную степень защищенности; Y₂ – числовой коэффициент, определяющий вероятность возникновения угрозы; 20 – нормирующий коэффициент.

Коэффициент Y1 определяется, исходя из набора технических и эксплуатационных характеристик, общих для всех информационных систем. Коэффициент Y2 определяется на основе экспертной (субъективной) оценки вероятности возникновения угрозы.

Рассмотрим подробнее данную методику.

Актуальной считается угроза, которая может быть реализована и представляет опасность для информации. Для оценки возможности реализации угрозы применяются два показателя - уровень исходной защищенности и частота (вероятность) реализации рассматриваемой угрозы.

Исходная степень защищенности определяется следующим образом:

• система имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик системы соответствуют уровню «высокий»;

• система имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик система соответствуют уровню не ниже "средний";

• система имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности данных каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1.

0 - для высокой степени исходной защищенности,

5 - для средней степени исходной защищенности

10 - для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности информации для данной системы в складывающихся условиях обстановки.

Вводятся четыре вербальных градации частоты реализации угрозы:

• маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

• низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

• средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности данных недостаточны;

• высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности данных не приняты.

При составлении перечня актуальных угроз безопасности данных каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2.

0 - для маловероятной угрозы,

2 - для низкой вероятности угрозы,

5 - для средней вероятности угрозы

10 - для высокой вероятности угрозы.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы:

• 0 < Y < 0,3 - возможность реализации угрозы низкая;

• 0,3 < Y < 0,6 - возможность реализации угрозы средняя;

• 0,6 < Y < 0,8 - возможность реализации угрозы высокая;

• Y > 0,8 - возможность реализации угрозы очень высокая.

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой системы.

Этот показатель имеет три значения:

• низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов данных;

• средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов данных;

• высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов данных.

Возможность реализации угрозы	Показательопасности угрозы (вербальный)
	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Типовой пример оформления результатов в частной модели угроз

Угрозы утечки информации по техническим каналам и за счёт НСД	Уровень исходной защищён-ности (Y1)	Вероятность реализации угрозы (Y2)				Коэффициент реализуемости угрозы Y=(Y1+Y2)/20	Показатель опасности угрозы (определяется на основе опроса специалистов в области ЗИ)			Вывод об актуальности угрозы
		Малая вероятность (0)	Низкая вероятность (2)	Средняя вероятность (5)	Высокая вероятность (10)	Возможность реализации угрозы	Низкая опасность	Средняя опасность	Высокая опасность
утечка информации по каналу ПЭМИН	5		2			0,35	да			нет
						средняя
утечка речевой информации	5	0				0.25	да			нет
						низкая
перехват паролей (идентификаторов)	5			5		0,5			да	да
						средняя

Приложение 2

Убытки от потери информации или ее утечки в системе документооборота проводятся с учетом меры (вероятности) реализуемости Pp рассматриваемого пути, а также цены соответствующего элемента информации Cи. Угроза безопасности информации, выраженной в величине ущерба Сущ от попадания ее к злоумышленнику, определяется для каждого пути в виде Сущ=Си*Рр Общий ущерб определяется суммой найденных значений.

Приложение 3

Примеры заполнения некоторых таблиц.

Название документа	Конфиденциальные сведения в нем содержащиеся	Обоснование отнесения к КД	Примечание
Расчетные ведомости по выплате зарплаты	Сведения о зарплате всех работников предприятия.	ФЗ № 98 РФ 2004 г.	---
Персонифицированные сведения для подачи в Пенсионный фонд РФ	Индивидуальные сведения о каждом работающем в организации застрахованном лице	ФЗ № 152 РФ 2006 г.	Данные предоставляются в пенсионный фонд РФ (ПФР)
Сведения по Налогу с доходов физических лиц (НДФЛ)	Информация о доходах предприятия, а также персональные данные работников	ФЗ № 98 РФ 2004 г. ФЗ № 152 РФ 2006 г.	Данные предоставляются в ИФНС.
Доверенности на получение материальных ценностей, товаров и услуг от поставщиков	Информация о поставках продукции (товаров, услуг).	ФЗ № 98 РФ 2004 г.	---
Материальные отчеты	Документы, содержащие информацию о материальных ресурсах предприятия	ФЗ № 98 РФ 2004 г.	---

Название документа	Источник сведений	Место нахождения документа	Угрозы НСД	Вероятность возникновения угрозы	Возможный ущерб от разглашения	Имеющиеся методы и средства защиты	Оценка степени защищенности
Расчетные ведомости по выплате зарплаты	Составляется в бухгалтерии в единственном экземпляре	Депозитный шкаф	Копирование	+	Средний	Замок на шкафу ++	++
Персонифицированные сведения для подачи в Пенсионный фонд РФ	Собирается со всей бухгалтерской отчетности	Депозитный шкаф	Копирование, хищение	+++ +	Средний	Замок на шкафу, разграничение +	++
Сведения по Налогу с доходов физических лиц (НДФЛ)	Собирается со всей бухгалтерской отчетности	Депозитный шкаф	Копирование, хищение	+++ +	Средний	Замок на шкафу, разграничение +	++
Доверенности на получение материальных ценностей, товаров и услуг от поставщиков	Выдают руководители подразделений (отдел сбыта, склад и д.р.)	Бухгалтерия, стеллаж для документов	Копирование, модификация уничтожение	+ +++ +	Высокий	Разграничение доступа -	+
Материальные отчеты	Уполномоченные работники предприятия	Бухгалтерия, стеллаж для документов.	Копирование, модификация, уничтожение	+++ + +	Высокий	Разграничение доступа +	+

Примечание: 1.Вероятность возникновения угрозы: «+» (присутствует) или «-» (отсутствует).

2. Имеющиеся методы и средства защиты: «++» (достаточные), «+» (не достаточные), «-» (отсутствуют).

3. Оценка степени защищенности / Вывод об актуальности угрозы: «++» (достаточная степень защищенности), «+» (не достаточная степень защищенности), «-» (степень защищенности равна нулю).