«Разработка инструмента по оценки соответствия информационной безопасности организаций отраслевым требованиям»

Задание на курсовую работу
Курсовая работа «Разработка инструмента по оценки соответствия информационной безопасности организаций отраслевым требованиям» выполняется в рамках дисциплины «Методология оценки безопасности информационных технологий», студентами заочного обучения (с применением дистанционных технологий).

Для достижения цели студенты решают следующие задачи:

1) сбор и анализ актуальных нормативных документов из открытых источников в соответствии с заданием;

2) осуществление выбора критериев для степени соответствия сформированным актуальным требованиям по обеспечению информационной безопасности организации (далее просто соответствия);

3) разработка опросных листов для оценки соответствия;

4) разработка процедуры оценки соответствия;

5) разработка программы, реализующей оценку соответствия;

6) разработка рекомендаций по работе с программой.

В рамках работы необходимо разработать программный инструмент, позволяющий оценить соответствие в организациях заданного профиля и предложить вариант её интерпретации.

Индивидуальные варианты размещены в приложении А.

Итоговый балл по курсовой работе будет определяться уровнем выполняемой работы на основании:

- качества выполненного обзора источников (нормативные документы);

- качеством сформулированных критериев оценки (структурированность, количество, правильность составления вопросов (правила русского языка), полнота требований и другое);

- сложностью реализации процедуры оценки соответствия организации требованиям по ИБ (язык программирования, оригинальность математического аппарата);

- наличием и качеством материала, сопровождающего программную реализацию (инструкция пользователя, пояснения по интерпретации результатов).





2. Выполнение работы
2.1 Поиск нормативных источников, относящихся к заданной сфере деятельности организации

Необходимо сформировать список нормативных документов (законодательные акты (Законы, Постановления Правительства, Указы Президента), международные стандарты и рекомендации в области ИБ; государственные стандарты РФ, отраслевые и ведомственные, а также стандарты компании), имеющих отношение к регулированию вопросов ИБ, в соответствии с индивидуальным заданием (см. в Приложение А), далее Источник.

Так как на основании полученного списка будет основываться дальнейшая работа, то необходимо привести аргументацию своего выбора по каждому документу, путем краткого обзора выбранного источника с приведением подытоживающего аргумента;

Поиск нормативных документов рекомендуется начать с официальных сайтов по стандартизации, форумов по ИБ и полезных ресурсов сети Интернет (см. приложение В).

2.2. Выбор критериев оценки на основании анализа найденных источников

Из списка нормативных документов необходимо выбрать один документ («эталон»), наиболее полно, с вашей правильной точки зрения, отражающий структуру оценки соответствия ИБ из индивидуального задания с четко выделенными критериями по оценке соответствия.

Необходимо аргументировать свой выбор (на основе критериев данного документа будет базироваться дальнейшая разработка). Чем больше критериев и чем качественнее они проработаны в «эталоне», тем меньше работы по дополнению эталона будет проводиться.

В качестве «эталона» может использоваться нормативный документ, относящийся к оценке соответствия организаций, не относящихся к заданной сфере деятельности, если:

критерии, перечисленные в данном документе, могут быть отнесены к организации в соответствии с заданием,

нет других нормативных документов, более точно (или на таком же уровне) отражающих критерии соответствия ИБ организации (в соответствии с заданием).

После того, как выбран «эталон», на его основе формируется список критериев оценки соответствия ИБ. Если критерии относятся к оценке соответствия в организации другого профиля, то необходимо скорректировать данные критерии к своему заданию.

2.3. Выявление наличия и качественная оценка выполнения критериев в выбранных Источниках

Необходимо оценить наличие в документах (п.2.1) критериев, выбранных в п.2.2. Должна быть оценена степень описания критерия в тексте Источника по принципу:

есть/нет данный критерий в тексте;

если есть, то насколько полно рассмотрены положения данного критерия.

Данный пункт курсовой работы рекомендуется представить в виде таблицы, столбцами которой являются документы из списка, составленного в п.2.1, а строками - критерии из п.2.2. на пересечении столбцов и строк должно быть отображено (математически, графически (цвет) и др.) степень описания критерия в документе.

Рассмотрим пример формирования данной таблицы. Список стандартов выбран для сферы телекоммуникаций, а критериями оценки являются групповые показатели, обозначенные в СТО БР ИББС – 1.2.2010.