Защищенный документооборот. Методические указания к выполнению курсовой работы

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

А.В.Печерский

ЗАЩИЩЕННЫЙ ДОКУМЕНТООБОРОТ методические указания к выполнению курсовой работы

Пенза 2005

1

ББК 67.99(2Рос)116.3

Печерский А.В.

Информационная безопасность и защита информации; методические указания к выполнению курсовой работы.

Курсовая работа имеет отношение к вопросам обеспечения защиты документооборота в офисе и предпринимательских структурах различного типа, работы с персоналом, обладающим сведениями ограниченного распространения. Приводится пример структуры курсовой работы, даются методические рекомендации по выполнению отдельных разделов. Предназначено студентам специальности 032001 "Документоведение и документационное обеспечение управления" при изучении курса "Информационная безопасность и защита информации". Материалы пособия рекомендуются при выполнении соответствующего раздела дипломной работы по специальности.

Стр. 19, Табл. 1

Методические указания рекомендованы к использованию в учебном процессе методической комиссией факультета вычислительной техники.

Р е ц е н з е н т В.В.Живаев, заместитель начальника Управления государственной службы и контроля Правительства Пензенской области

2

1. Цели и результаты Цели курсового проектирования определены действующим стандартом по специальности и примерной рабочей программой курса, рекомендованной учебно-методическим объединением по специальности 032001 министерства образования и науки РФ. Основные цели самостоятельной работы студента - приобретение знаний и навыков в решении комплекса проблем информационной безопасности предпринимательских структур различны типов и направлений деятельности, построения, функционирования и совершенствования правовых и организационных процессов, обеспечивающих информационную безопасность и формирующих структуру системы защиты информации в сферах охраны интеллектуальной собственности предпринимателей и сохранности их информационных ресурсов. Правильная организация защищенного делопроизводства в организации является составной частью комплексного обеспечения безопасности информации и имеет большое значение в достижении цели ее защиты. Как известно, специалисты в области информационной безопасности утверждают, что порядка 80% защищаемой информации находится в документах делопроизводства. Поэтому вопросы совершенствования защищенного документооборота организации, несомненно, играют важную роль в достижении экономических успехов. 2. Порядок выполнения и защиты курсовой работы Курсовая работа выполняется в восьмом семестре. Задание на курсовую работу оформляется по установленной форме, подписывается руководителем, студентом и утверждается руководителем кафедры ИнОУП. Предусмотрены еженедельные консультации и отчеты о выполнении плана курсового проектирования. Работа завершается оформлением и защитой отчета. Защита курсовой работы перед преподавателем - руководителем или комиссией из преподавателей и представителей предприятий должна быть завершена до начала зачетной сессии.

3

3. Методическая часть 3.1 Примерная тематика курсовых работ • Анализ и совершенствование защищенного документооборота в отделе кадров фирмы. • Разработка организационно-методических решений по обеспечению конфиденциальности при проведении переговоров и совещаний в офисе. • Разработка организационно-методических решений по обеспечению конфиденциальности при проведении презентаций и выставок. • Анализ и совершенствование защищенного делопроизводства секретаря-референта. • Разработка организационно-методических решений по совершенствованию защищенного документооборота в организации. • Анализ и совершенствование защищенного делопроизводства в органах государственного управления. • Обеспечение конфиденциальности на этапах документационного сопровождения производства товаров и услуг. • Совершенствование документационного обеспечения отдела информационной безопасности организации (банка). •

Обеспечение защиты интеллектуальной собственности фирмы.

• Обеспечение конфиденциальности при реализации договорных отношений. Объектом курсовой работы может быть любая структурная часть организации вне зависимости от форм собственности, где имеются информационные ресурсы, требующие защиты. Ввиду того, что специфика курсовой работы связанна с анализом защищенных документов, темы курсовых работ планируются в форме открытой деловой игры без какой-либо "привязки" к реальным объектам или организациям. Выполнение реальной курсовой работы производится, как правило, в рамках договорных отношений с организацией.

4

Тематика курсовой работы может иметь научную направленность и выполняться в рамках госбюджетной или иных договорных тем кафедры. При выполнении курсовой работы должны активно использоваться современные информационные технологии для сбора информации по сети Интернет, а для оформления работы и выполнения необходимых расчетов компьютерные средства. В соответствии с рекомендациями учебно-методического объединения по специальности 032001 самостоятельные курсовые работы студентов могут быть представлены в виде рефератов. Тематика рефератов рекомендуется в различных областях проблемы информационной безопасности. Например: обзор методов анализа документированной информации с целью получения сведений конфиденциального характера; анализ информационной ценности документа на периоде его жизненного цикла; обзор методов работы с персоналом фирмы, обладающим конфиденциальными сведениями и другие темы. 3.2 Структура отчета курсовой работы Курсовая работа должна быть творческим трудом ее автора и отражать исследования на реальном или предполагаемом объекте информационной защиты. Примерная структура отчета может быть следующей. Аннотация. Оглавление. Введение. Глава 1 - "Анализ нормативной законодательной базы" Глава 2- "Анализ документооборота организации; структурирование защищаемой информации " или "Построения моделей объектов защиты информации, необходимых для диагностики состояния безопасности информации и слабых мест существующей системы её защиты". Глава 2 "Анализ способов проникновения к защищаемой информации в структуре документооборота и каналов её утечки" или "Оценка рисков информационных угроз безопасности защищенного документооборота". Глава 3 "Совершенствование документационного обеспечения управления (ДОУ) системы информационной безопасности организации". Выводы по работе. Приложения (образцы документов, должностные инструкции и.т. п.). Отчет оформляется на листах формата А4, представляется в стандартной файловой папке (общий объем не менее 25 листов и не более 60,

5

включая список литературных источников, таблицы, документы), шрифт Times New Roman, размер шрифта - 14, через полтора интервала. В задании может быть предусмотрена разработка презентации по теме работы со слайдами (5 - 6шт.) в среде Microsoft Power Point. Рекомендуется представить к защите электронную версию отчета с материалами презентации. 3.3 Методические рекомендации по выполнению основных разделов курсовой работы 3.3.1. Введение Отмечаются актуальность достижения цели курсовой работы по усилению информационной безопасности организации средствами совершенствования ДОУ. Приводится краткая характеристика предприятия и его отношение к форме собственности. Во введении уместно связать рассматриваемую проблему с директивными документами федерального или ведомственного уровней, например, с "Доктриной информационной безопасности Российской федерации" от 9 сентября 2000 г. № Пр-1895. Выводы должны намечать основные пути достижения цели в усилении информационной безопасности анализируемого объекта средствами документационного обеспечения управления. 3.3.2. Глава 1. Анализ нормативной законодательной базы Законодательные меры по защите информации предусматривают создание в стране действенной системы контроля над исполнением нормативных и законодательных документов. Нормативная законодательная база включает пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов. Указом Президента РФ от 17 декабря 1997 года № 1300 утверждена “Концепция национальной безопасности Российской Федерации”, в которой указывается на необходимость защиты государственного информационного ресурса от утечки важной политической, экономической, научнотехнической и военной информации. Главу 1 следует начинать с анализа нормативной законодательной базы федерального уровня, имеющего отношение к теме курсовой работы.

6

Затем следует рассмотреть межведомственные документы и действующие стандарты (при необходимости) в области информационной безопасности. Большинство нормативных документов при выполнении курсовой работы доступно на сайтах интернета: www/security.ru; www.fstec.ru, а также в правовых системах "Гарант" и "Консультант Плюс" и [13].

3.3.3. Глава 2. Анализ документооборота организации; структурирование защищаемой информации.

Объектом анализа является бумажный и электронный документооборот предприятия. На первом этапе необходимо произвести структурирование информации, подлежащей защите. Ее идентифицируют в отношении типа, носителей, ценности, грифа секретности или конфиденциальности, места хранения, путей передвижения. Ценность информации например, коммерческая ценность, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, а также возможностью ее опубликования и перехода в число общеизвестных. В данном случае ценность является экспертной оценкой. Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании. Так в основном учебном пособии по курсу авторы Степанов Е.А. и Корнеев И.К. [1, стр. 32] рекомендуют выделять два вида информации, интеллектуально ценной для предпринимателя: техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т. п. деловая: стоимостные показатели, результаты исследования рынка, списка клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

7

Процесс выделения и регламентации реального состава ценной информации, составляющей тайну фирмы, является основополагающей частью системы защиты информации. В курсовой работе студент представляет свои экспертные варианты, например, стоимостной оценки. В виду того, что большая часть защищаемой информации содержится в документах делопроизводства, при выполнении курсовой работы необходимо проанализировать документационные ресурсы фирмы. Эти ресурсы включают в себя весь массив ценной информации, необходимой для работы сотрудников и решения задач, стоящих перед фирмой. Под информационными ресурсами, отнесенными законом к категории ограниченного доступа к ним любых лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и т. п.) текстовая, изобразительная или электронная, но обязательно ценная информация за исключением той, которая не может быть отнесена к информации с ограниченным доступом [6, статья 10]: • "законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации; • документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарноэпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом; • документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о

8

состоянии экономики и потребностях населения, за исключением отнесенных к государственной тайне; • документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан". Необходимо учитывать и требования [6, статья 11]: "Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения". В курсовой работе обращается внимание на следующие документы ограниченного доступа. В государственных структурах это документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения или содержащие сведения, имеющие юридически не подтвержденный, предположительный или рабочий характер (например, черновики, варианты редакции документов). Эти материалы часто отражают личное мнение работающих с ними сотрудников. Сюда включаются также документы, содержащие сведения исключительно для служебного использования (например, различные инструкции, методики расчета и др.). В предпринимательских структурах анализируются документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой, тайне [7]. Так, рассматриваются документы и базы данных, фиксирующие любые персональные сведения о гражданах или содержащие профессиональную тайну (врачебную, страхования, тайну предприятий связи, сферы об-

9

служивания и т. п.). Объектом рассмотрения являются также несекретные технические и технологические новшества, пока не переданные для патентования. По своей природе защищаемые документы бывают: нормативнометодические, руководящие, распорядительные, информационносправочные;, организационные, финансово-бухгалтерские, кадровые (по личному составу). Для классификации информации в качестве исходных данных необходимо применять кроме рекомендованных в [5,6,7,15]: - действующий в данном органе государственной власти, на данном предприятии, в данном учреждении или организации Перечень сведений, составляющих государственную, ведомственную или коммерческую тайну; - перечень источников информации в организации (офисе); Трудовой кодекс Российской Федерации (в части защиты персональных данных работников); другие законодательные и нормативные акты, относящиеся к вопросам защиты информации, действующие в данной организации. На первом этапе анализа производится классификация информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам. Детализацию информации целесообразно проводить до уровня, на котором элементу информации соответствует один источник. Затем производят моделирование объекта защиты: - определение источников защищаемой информации; - описание пространственного размещения основных мест источников защищаемой информации; - выявление путей распространения носителей защищаемой информации за пределы контролируемых зон (помещений, зданий, территории организации); - описание с указанием характеристик существующих преград на путях распространения носителей информации за пределы контролируемых зон.

10

Источниками считаются субъекты и объекты, от которых информация может поступать к несанкционированному получателю (злоумышленнику). Ценность этой информации определяется информативностью источника. Основными источниками информации являются следующие: люди, документы, продукция, измерительные датчики, интеллектуальные средства обработки информации, черновики и отходы производства, материалы и технологическое оборудование. В практике информационной защиты моделирование проводится на основе пространственных моделей контролируемых зон с указанием мест расположения источников защищаемой информации. При выполнении этой части курсовой работы можно воспользоваться методикой анализа информационных угроз, рекомендованной в [3]. Моделирование пространственных зон защищаемой информации не является обязательным элементом курсовой работы. Результаты рекомендуется представить в виде таблицы 1. Таблица 1 На именование элемента информации

Гриф секретности (конфиденциальности) информации

Це на информации

Наименование источника информации

Местонахождение источника информации

Первая глава может содержать модель документооборота в виде графа, где вершинам соответствуют документы, элементам вершин - значения ценности, идентифицированные носители и места хранения, а дугам соответствуют маршруты движения в организации. В выводах необходимо вербально выделить наиболее ценную информацию, указать тип носителей этой информации и пути движения в

11

организации. По результатам моделирования в курсовой работе делается вывод о состоянии безопасности информации и о наличии слабых мест существующей системы ее защиты. 3.3.4. Глава 3. Оценка рисков информационных угроз безопасности защищенного документооборота Целью анализа является оценка рисков информационных угроз безопасности объекта. Понятие риска определено согласно документам ИСО/МЭК 73:2002 и ГОСТ Р 51897 - 20002 "Менеджмент риска. Термины и определение". Согласно определению это - "сочетание вероятности нанесения ущерба и тяжести этого ущерба". Оценка риска достигается моделированием угроз. Автору курсовой работы рекомендуется поставить себя на место предполагаемого злоумышленника, стремящегося преодолеть имеющуюся информационную защиту. Моделирование информационного риска предусматривает анализ уязвимости мест хранения документов, путей их передвижения. Надо предположить, что документы могут быть скопированы, похищены, изменены или уничтожены злоумышленником [17], в результате чего организация несет ущерб от потери информации, имеющую определенную ценность. Этот ущерб необходимо оценить путем введения собственных экспертных оценок вероятности реализации каждой из возможных угроз. Убытки от потери информации или ее утечки в системе документооборота проводятся с учетом меры (вероятности) PP реализуемости рассматриваемого пути, а также цены соответствующего элемента информации Cи . Угроза безопасности информации, выраженной в величине ущерба C уи от попадания ее к злоумышленнику, определяется для каждого пути в

виде С уи = С и ⋅ PP . Общий ущерб определяется суммой найденных значений. Однако, как вероятности угрозы, так и ожидаемые потери не всегда можно оценить количественно. Например, рассчитать стоимость замены пораженного вирусом накопителя ("винчестера") компьютера достаточно просто, но трудно оценить потенциальный ущерб от задержки выдачи вос-

12

становленных данных, искажения информации, разглашения отдельных сведений и т.д. Некоторые инциденты могут нанести ущерб репутации фирмы, вызвать социальную напряженность в коллективе, повлечь юридическое преследование предприятия со стороны пользователей и т.д. Оценку риска принято производить по методике, приводимой в документе ИСО [18]. Либо по методике ISO TR 13569. При выполнении указанного раздела курсовой работы можно использовать простые способы оценки вероятностей проявления угроз и возможных потерь, приведенные ниже. Экспертная оценка событий. Методы экспертных оценок часто применяются при оценке трудно предсказуемых угроз, например стихийных бедствий, уязвимости охраняемых объектов, являются самыми простыми, но неточными. Это методика определения приемлемости уровня риска по трехбалльной шкале [7]. Согласно методике, вводятся три категории уязвимости элементов информационной защиты (или документов) и возможного ущерба от реализации угроз по трехбалльной шкале {1, 2, 3}. Большие оценки имеют наиболее уязвимые элементы. Полученные два множества оценок уязвимости и ущербов перемножаются. Множество возможных значений будет следующим: {1, 2, 3, 4, 6, 9}. Полагается, что первые два значения характеризуют низкий уровень риска ( PP =0,1 - 0,3), третий и четвертый — средний ( PP =0,3 - 0,6), два последних — высокий ( PP = 0,6 - 0,99). Методика определения приемлемости уровня риска с учетом видимости угроз и их последствий [8]. Здесь вводится понятие видимости угрозы для внешнего мира — мера информации о системе, доступной злоумышленнику (и вызывающей нездоровый интерес). Согласно указанной методике, оцениваемым рискам, видимости, физическим ущербам и моральным ущербам ставятся оценки по трехбалльной шкале {1, 2, 3}. Значения рисков умножаются на значения для видимости, а значения для физического ущерба умножаются на значения для морального ущерба. Затем полученные два числа складываются. Считается, что уровень риска низкий

13

( PP =0,1 - 0,3), если итоговое число меньше 7, высокий ( PP = 0,6 - 0,99) , если итоговое число больше 11, иначе — средний ( PP =0,3 - 0,6). Статистическая оценка событий и использование статистических моделей (отражающих законы распределения конкретных типов угроз). Данный метод позволяет получить приемлемые результаты для оценки часто проявляемых регистрируемых угроз, например: сбоев и отказов вычислительного процесса из-за влияния электромагнитных помех, хакерских атак и др. К событиям данного типа можно отнести неправомерное копирование документов, их утрату т.п. Такие оценки можно получить при выполнении реальной курсовой работы на основе статистической обработки данных мониторинга событий. Выводы по главе должны содержать оценку общего информационного риска и выражать обоснование работ по совершенствованию документационного обеспечения информационной безопасностью организации. 3.3.5. Глава 3. Совершенствование ДОУ системы информационной безопасности организации Целью выполнения этого раздела курсовой работы является разработка ряда документов по согласованию с преподавателем, которые способствуют совершенствованию ДОУ системы информационной безопасности. Делопроизводства включает в себя: бумажное делопроизводство; электронное делопроизводство; системы взаимодействия и сопряжения бумажного и электронного делопроизводства. Специалистами в области конфиденциального делопроизводства рекомендуются следующие необходимые нормативные документы для его эффективного функционирования [9]. Нормативно-правовые документы организации с внесенными изменениями и дополнениями, связанными с сохранностью конфиденциальной информации: • "Устав организации"; • “Коллективный договор”;

14

• "Правила внутреннего трудового распорядка для сотрудников"; • "Трудовой договор"; • "Заключаемые договора"; • "Договор между руководством организации и сотрудником о сохранении конфиденциальной информации"; • "Инструкция по обеспечению сохранности конфиденциальной информации в организации. Примерный план инструкции: 9 общие положения; 9 определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия; 9 организация работы с конфиденциальными документами; 9 порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию; 9 порядок допуска к сведениям, составляющим конфиденциальную информацию; 9 контроль за выполнением требований внутри объектного режима при работе со сведениями, содержащими конфиденциальную информацию; 9 обязанности сотрудников организации, работающих со сведениями представляющими конфиденциальную информацию, и их ответственность за ее разглашение. • Инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов: 9 Общие положения. 9 Правила составления и оформления документов. 9 Составление и оформление основных видов документов. 9 Организация документооборота. 9 Порядок движения и обработки входящих документов. 9 Порядок движения и обработки исходящих документов. 9 Порядок движения и обработки внутренних документов.

15

9 Регистрация документов. 9 Контроль исполнения документов. 9 систематизация документов. 9 Разработка номенклатуры дел. 9 Формирование дел. 9 Подготовка документов к архивному хранению. 9 Экспертиза ценности документов. 9 Описание документов постоянного и временного сроков хранения; 9 Обеспечение сохранности дел. 9 Передача дел в архив. 9 Примерный перечень документов, не подлежащих регистрации. 9 Перечень документов, на которых ставится печать. 9 Перечень документов, подлежащих утверждению. 9 Перечень документов, подлежащих согласованию; 9 Форма регистрационно–контрольной карточки. 9 Перечень документов, подлежащих контролю над исполнением, с указанием сроков хранения. 9 Акт о выделении к уничтожению документов с истекшими сроками хранения. 9 Внутренняя опись документов дела. 9 Опись дел, передаваемых на архивное хранение. • Инструкция по конфиденциальному делопроизводству, определяющая: 9 Порядок выноса-вноса конфиденциальных документов применительно к охраняемой территории. 9 Порядок работы с конфиденциальными документами вне служебных помещений. 9 Порядок изготовления и использования бланков организации, печатей и штампов.

16

9 Порядок использования бланков строгой отчетности (бланков организации, подготавливаемых за подписью первых лиц организации). 9 Порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнение с работы. 9 Порядок подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, корректорами, а также порядок подписи конфиденциальных документов. 9 Порядок пересылки конфиденциальных документов вне контролируемых помещений. • Положение о Секретариате (подразделении, сотрудника, отвечающего за бумажное и электронное делопроизводство). • Должностные обязанности сотрудников Секретариата по обеспечению делопроизводства. В рамках курсовой работы студент разрабатывает 2 - 3 из перечисленных выше документов, которые по выводам автора курсовой работы, либо отсутствуют в организации, либо не отвечают требованиям безопасного документооборота. Также в выводах по разделу необходимо указать на другие пути совершенствования ДОУ, которые не нашли освещения в курсовой работе. 3.3.6. Выводы по работе Выводы отражают основные результаты курсовой работы и представляются в виде нескольких (например, 6) пунктов. Каждый их выводов - это предложение, состоящие из двух частей. В первой части выделяется полученный в работе теоретический или практический результат, а во второй части указывается, на основании чего он получен.

17

4. Рекомендуемые источники информации 4.1. Основная литература 1. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учеб. пособие для вузов по спец. "Документоведение и документационное обеспечение управления. ". — М.: ИНФРА-М, 2001. — 301 с. — (Сер.: Высшее образование) 2. Документы и делопроизводство: Справочное пособие /Т.В.Кузнецова, М.Т.Лихачев, А.Л.Райхцаум, А.В.Соколов: Сост. М.Т.Лихачев. – М.: Экономика, 1991, 271 с. 3. Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство "Ось-982, 1998 г. - 336 с. 4. Домарев В.В. Защита информации и безопасность компьютерных систем. - К.: Издательство "Диасофт", 1999. - 480 с. 5. Быкова Т.А.. Кузнецова Т.В. Подготовка совещаний и собраний (практическое пособие). – М.: ЗАО «Бизнес-школа «ИнтелСинтез», 2000, 76 с. 6. Шиверский А.А. Защита информации: проблемы теории и практики. - М.: Юристъ, 1996. - 112 с. 7. Никитин Ф.Н. Администратор безопасности корпоративной сети и его инструментарий. //Защита Информации. Конфидент. - 1997. - № 2. - С. 60-65. 8. Теория и практика обеспечения информационной безопасности. / Под pед. П.Д.Зегжды. - М.: Яхтсмен, 1996. - 192 с. 9. Панкратьев В. Организация конфиденциального делопроизводства. На сайте www.Daily.Sеc.Ru 10. Печерский А.В., Кирюхин Ю.Г., Тростянский Г.М. Анализ объектов и угроз при защите информации в офисе. (Методические указания к выполнению лабораторных работ) Изд-во Пез. гос. университа, Пенза, 2001. -32 с. 11. Алексеев В.М. Нормативное обеспечение защиты информации от несанкционированного доступа

18

12. Алексеев В.М., Зефиров С.Л. Анализ угроз и разработка политики безопасности информационной системы организации (Методические указания к курсовой работе). 13. Копылов В.А. Информационное право: Учебник - 2-е издю, перераб. доп., - М.: Юрист, 2002.-512 с. 14. Гринберг А.С., Горбачев Н.Н., Тепляков А.А. Защита информационных ресурсов государственного управления: Учебное пособие для вузов. - М.: ЮНИТА-ДАНА, 2003. 327 с. 15. Информационные технологии в управлении: Учебное пособие/ под ред. Ю.М. Черкасова. - М.: ИНФРА-М, 2001. 216 с. 16. Организация работы с документами: Учебник / В.А. Кудряев и др. - М.: ИНФРА-М, 1999. 575 с. 17. Информационное обеспечение механизмов управления регионом. - М.: Финансы и статистика, 2002. 128 с. 4.2 Перечень нормативных актов Приводится перечень только основных нормативных актов в области информационной безопасности. Законы и Законодательные акты 1. Конституция Российской Федерации. 2. Гражданский кодекс Российской Федерации. 3. Уголовный кодекс Российской Федерации. 4. Уголовно-процессуальный кодекс Российской Федерации. 5. Закон РФ от 21 июля 1993 года N 5485-1 "О Государственной тайне". 6. Закон РФ от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (с комментариями). 7. Федеральный закон «О коммерческой тайне" от 29 июля 2004 года N 98-ФЗ. 8. Закон РФ "О связи". № 15-Ф3 от 20.01.1995г. 9. Закон РФ № 2446-1 от 5 марта 1992 года. “О безопасности”. 10. Закон РФ от 27 декабря 1991 года. “О средствах массовой информации”.

19

11. Федеральный закон № 40-ФЗ от 3 апреля 1995 года. 12. “Об органах Федеральной службы безопасности в Российской Федерации”. 13. Закон РФ от 4 июля 1996 года N 85-ФЗ "Об участии в международном информационном обмене". 14. "Доктрина Информационной безопасности Российской федерации" от 9 сентября 2000 г. № пр-1895. 15. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера"; 16. Постановление Правительства РФ от 04 сентября 1995г. N 870 "Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности". 17. ГОСТ З 51275-99 "Защита информации. Объект информации. Факторы воздействующие на информацию. Общие положения". 18. ISO/IEC 13335-3 Информационные техноголии. Рекомендации по управлению безопасностью ИТ. Методы управления безопасностью ИТ.

1. ЦЕЛИ И РЕЗУЛЬТАТЫ .........................................................................................3 2. ПОРЯДОК ВЫПОЛНЕНИЯ И ЗАЩИТЫ КУРСОВОЙ РАБОТЫ........................3 3. МЕТОДИЧЕСКАЯ ЧАСТЬ.....................................................................................4

3.1 Примерная тематика курсовых работ ......................................................... 4 3.2 Структура отчета курсовой работы............................................................. 5 3.3 Методические рекомендации по выполнению основных разделов курсовой работы.................................................................................................. 6 3.3.1. Введение................................................................................................. 6

20

3.3.2. Глава 1. Анализ нормативной законодательной базы....................... 6 3.3.3. Глава 2. Анализ документооборота организации; структурирование защищаемой информации. ............................................ 7 3.3.4. Глава 3. Оценка рисков информационных угроз безопасности защищенного документооборота................................................................. 12 3.3.5. Глава 3. Совершенствование ДОУ системы информационной безопасности организации ........................................................................... 14 3.3.6. Выводы по работе ............................................................................... 17 4. РЕКОМЕНДУЕМЫЕ ИСТОЧНИКИ ИНФОРМАЦИИ .........................................18

4.1. Основная литература ................................................................................. 18 4.2 Перечень нормативных актов .................................................................... 19

21

1.

22