САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ Кафедра проектирования компьютерных систем «УТВЕРЖДАЮ» Заведующий кафедрой ПКС д.т.н., профессор ______________Гатчин Ю. А. ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ по дисциплине «Защита информационных процессов в компьютерных системах» Студенту группы ___________ _____________________________ Руководитель — д.т.н., профессор Арустамов С. А. Тема работы: «Анализ угроз, использующих уязвимости защиты, и разработка методов повышения уровня защищенности объектов информационных процессов» Срок сдачи проекта: 01 июня 2011 года. ТЕХНИЧЕСКОЕ ЗАДАНИЕ И СОДЕРЖАНИЕ 1.Индивидуальное задание для каждой подгруппы состоит из двух частей, взаимосвязанных между собой по объекту защиты информационных процессов (далее — объекта). Объект необходимо исследовать таким образом, чтобы можно было применить все основные элементы защиты информации, определяя его возможное размещение, внешние и внутренние характеристики среды с учетом возможных сценариев атаки. Для выполнения первой части работы необходимо для предложенного объекта провести анализ его защищенности по следующим направлениям: а) виды угроз; б) характер и виды происхождения угроз; в) классы каналов несанкционированного получения информации (нарушения конфиденциальности); г) возможные причины нарушения целостности информации; д) возможные причины нарушения доступности; е) определить класс защиты информации в соотвествии с Руководящими документами Гостехкомиссии России. Для выполнения второй части работы необходимо предложить методы повышения уровня защищенности объекта в соответствии со следующим анализом: а) определить требования к системе защиты; б) определить факторы, влияющие на требуемый уровень; в) предложить программно-аппаратные и организационно-административные способы защиты объекта; г) разработать основы политики безопасности в области эксплуатации анализируемого объекта. 2. Содержание курсовой работы. Курсовая работа должна включать: а) введение (1–2 стр.) с характеристикой защищаемого объекта, б) анализ уязвимостей и угроз (первая часть, 12–15 стр.), в) предложения по повышению уровны защиты (вторая часть, 12–15 стр.), г) заключение (1–2 стр.), список использованных источников. 3. Оформление курсовой работы должно соответствовать общим требованиям к текстовым документам, изложенным на соответствующей странице кафедрального сайта. Общий объем курсовой работы — примерно 30–35 страниц. 4. Рекомендуемый график подготовки материалов: а) введение и Раздел 1 — 12.04.2011; б) раздел 2 и заключение — 26.04.2011; в) окончательное оформление — 10.05.2011. ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ К КУРСОВОЙ РАБОТЕ Виды объектов информационных процессов Сервер базы данных, содержащий сведения о клиентах кампании Компьютер в бухгалтерии, под управлением Win 2003, используемый для передачи отчетноcти в головной офис через VPN Почтовый сервер крупной компании Веб-сервер, использумый для электронной коммерции Сервер, содержащий бухгалтерские отчеты крупной компании Локальная сеть с выходом в Интернет Программно-аппаратные средства платежных банковских систем Программно-аппаратные средства системы дистанционного обучения Система автоматизированого проектирования узлов вычислительной аппаратуры Информационная система управления бизнесом в области объектов недвижимости Автоматизированная система управления персоналом в крупной компании Телекоммуникационный канал связи между филиалами банка Телекоммуникационный канал связи между дилерами банка и валютной биржей Широкополосный канал выхода в Интернет крупной международной компании Межсетевой экран, обеспечивающий сегментацию локальной сети Сервер учебного заведения, содержащий результаты тестирования студентов Задание 1 Задание 2 Задание Задание Задание Задание Задание Задание Задание 3 4 5 6 7 8 9 Задание 10 Задание 11 Задание 12 Задание 13 Задание 14 Задание 15 Задание 16 СПИСОК РЕКОМЕНДОВАННОЙ ЛИТЕРАТУРЫ 1. CC Profiling Knowledge Base™. User Guide. Profiling Assumptions, Threats, and Policies. Through Objectives to Requirements. Version 1.0 j, k. — NIAP, May, 2000. — 94 p. (http://niap.nist.gov). 2. Белов Е.В., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности :Учеб. пособие для вузов — М. :Горячая линия — Телеком, 2006. — 544 с. 3. Галатенко В.А. Стандарты информационной безопасности: курс лекций: учебное пособие/ Второе издание. Под редакцией академика РАН Бетелина В,Б./ — М.:ИНТУИТ.РУ «Интернет-университет информационных технологий”, 2006. 264 с. 4. ГОСТ Р 52448—2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. 5. ГОСТ Р 52611—2006 Системы промышленной автоматизации и их интеграция. Средства информационной поддержки жизненного цикла продукции. Безопасность информации. Основные положения и общие требования. 6. ГОСТ Р 52633—2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. 7. ГОСТ Р ИСО/МЭК 15408—1—2002, 15408—2—2002, 15408—3—2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1, Часть 2, Часть 3. 8. ГОСТ Р ИСО/МЭК 15408—2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. — М.: Изд-во стандартов, 2002. — 527 с. 9. Кобзарь М.Т., Сидак А.А. Методология оценки безопасности информационных технологий по Общим критериям//Инф. бюлл. Jet Info. — 2004. — N6 (133). — 16c. 10. Общие критерии оценки безопасности информационных технологий: Учеб. пособие/Под ред. М.Т.Кобзаря, А.А.Сидака. — М.: МГУЛ, 2001. — 81с. 11. Оценка безопасности информационных технологий/А.П.Трубачев и др. — М.: Изд-во СИП РИА, 2001. — 356с. 12. Профиль защиты межсетевых экранов трафикового уровня для сред низкого риска.Traffic-Filter Firewall. Protection Profile For Low-Risk Environments. Version 1.1//U.S. Department of Defense — April 1999. — 59 p. 13. Профиль защиты межсетевых экранов трафикового уровня для сред средней робастности.Traffic-Filter Firewall. Protection Profile For Medium Robustness Environments. Version 1.4//U.S. Department of Defense — May 1, 2000. — 52 p. (http://www.radium.ncsc.mil/tpep). 14. Руководство по разработке профилей защиты и заданий по безопасноcти. ISO/IEC 15446: 2000. Information technology. Security techniques. Guide for the production of protection profiles and security targets. — 156 p. 15. С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков, Информационная безопасность информационных систем Учебник для вузов. В 2-х томах. Том 1 — Угрозы, уязвимости, атаки и подходы к защите/ — М.: Горячая линия — Телеком, 2006. — 536 с. 16. Сидак А.А. Формирование требований безопасности современных сетевых информационных технологий. Серия «Безопасность информационных технологий» - М.: МГУЛ, 2001. — 278с. 17. Шаньгин В.Ф.. Защита компьютерной информации. Эффективные методы и средства — М:. ДМК Пресс, 2008 — 544 с. Дата выдачи задания ___________________ 2011 года Руководитель __________________________________ д.т.н., профессор Арустамов С. А. Студент ____________________________________________