РЭУ, информационная безопасность (дипломная работа)

ПРИМЕРНЫЕ ТЕМЫ ВКР ПО НАПРАВЛЕНИЮ 10.03.01 "ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ"

1. Оценка эффективности существующих подходов к идентификации пользователей в информационных системах   .

2. Исследование вопроса применимости итерационных функций в системах информационной безопасности.

3. Методы управления защитой данных организации на основе анализа циркулирующей информации.      

4. Исследование существующих методов повышения уровня безопасности каналов передачи данных

5. Разработка методики и анализ существующих средства раннего выявления и противодействия угрозам информационной безопасности.        

6. Разработка математической модели обеспечения безопасности видеоинформации от угроз нарушения целостности.

7. Исследование моделей, методов и алгоритмов защиты информации систем интеллектуальной поддержки принятия решений.   

8. Риск-анализ и управление рисками нарушения информационной безопасности серверов территориально распределенных сетей.

9. Совершенствование моделей и методов обеспечения информационной безопасности от вредоносных программ на основе физической защиты     .

10. Разработка методики проведения оценки рисков реализации деструктивных воздействий на системы распределенных удостоверяющих центров.

11. Исследование существующих алгоритмов оценки эффективности систем информационной безопасности в сетях LTE.  

12. Исследование вопроса достаточности обеспечения защиты критически важных объектов информатизации.

13. Исследование деструктивного воздействия твитов в социальных сетях, разработка модели управления рисками распространения.        

14. Разработка моделей и алгоритмов оценки эффективности систем информационной безопасности от несанкционированного доступа в ИС государственных служб.

15. Исследование вопроса обеспечения эффективности подходов к информационной безопасности от вирусных атак в автоматизированных информационных системах.     

16. Разработка методики обеспечения информационной безопасности в рамках аутентификации пользователей на WEB – ресурсах.

17. Разработка методики узнавания Интернет-пользователей на базе стилистических и лингвистических характеристик публикуемой информации       

18. Разработка алгоритмов и методов повышения уровня информационной безопасности систем с архитектурой “тонкий клиент”

19. Исследования вопроса безопасности коммерческих предприятий в отношении использования сотрудниками мобильных устройств и других современных гаджетов 

20. Совершенствование методики повышения уровня информационной безопасности компьютерных сетей на основе вероятностной модели

21. Методическое и алгоритмическое обеспечение проведения информационно-технических экспертиз

22. Исследование технологий и подходов к оценке уровня защиты информации в государственных структурах

23. Создание методологии оценки уровня информационной безопасности на базе комплексного подхода         

24. Разработка системы мониторинга действий пользователей сетей коммерческих предприятий на основе анализа поведенческих факторов

25. Исследование методов повышения эффективности систем обнаружения злоумышленников в системах информационной безопасности защищаемых объектов26. Разработка модели защищенности пользователей современных телекоммуникационных систем

27. Исследование вопроса обеспечения защиты конфиденциальных данных в Интернет-пространстве      

28. Управление рисками информационной безопасности мультисерверных web-систем.

29. Автоматизация подхода к применению средств защиты персональных данных на основе анализа содержащейся информации.   

30. Исследование эффективности работы средств противодействия скрытым угрозам информационной безопасности.

31. Разработка требований к системе автоматизированного обнаружения конфликтов в комплексе программных средств обеспечения информационной безопасности.   

32. Оценка эффективности существующей методики снижения рисков реализации вредоносных воздействий в облачных сервисах с учетов классификации составляющих их ресурсов.

33. Разработка подхода к выявлению потенциально нежелательных файлов на основе интеллектуального анализа данных.      

34. Разработка методики обеспечение информационной безопасности автоматизированных систем с учетом менеджмента инцидентов кибербезопасности.

35. Разработка современного подхода к обеспечению контроля и управления доступом в распределенных системах.   

36. Исследование вопросов обеспечения аудита и мониторинга информационной безопасности открытых Интернет-ресурсов.

37. Разработка методики обеспечения и проведения аудита информационной безопасности предприятий на основе риск-ориентированного подхода 

38. Анализ методов обнаружения угроз информационной безопасности передачи данных по каналам газотранспортного предприятия

39. Исследование методов и алгоритмов обеспечения безопасности данных для защиты от спама.        

40. Исследование вопросов влияния резервированного копирования конфигураций вычислительных систем на уровень рисков информационной безопасности

41. Разработка системы обнаружения и предупреждения атак информационной безопасности в банковской сфере.

42. Исследование вопросов обеспечения защиты автоматизированных систем на основе решений задач комбинаторной оптимизации.

43. Повышение уровня защиты сред облачных вычислений путём верификации пользователей на наличие факторов деструктивного поведения в открытых Интернет-источниках.        

44. Разработка модели и алгоритма повышения уровня безопасности на основе внедрения биометрической аутентификации пользователей информационных систем.

45. Исследование вопросов совершенствования системы обеспечения информационной безопасности работы семантических баз данных.    

46. Оценка возможности повышения безопасности систем удаленного администрирования средствами защиты информации.

47. Поиск современных способов повышения эффективности средств выявления зараженных файлов компьютерных систем.   

48. Исследование статистических методов и средств оценки уровня информационной безопасности.

Объем выпускной квалификационной работы бакалавра, не считая приложений, должен составлять как правило 50–60 страниц с оригинальностью не менее 60%.

Требования к содержанию выпускной квалификационной работы

ВКР по направлению подготовки должна соответствовать следующим требованиям.

Работа должна включать:

· титульный лист (Приложение 3);

· аннотация на русском и иностранном языках (Приложение 4);

· содержание;

· введение;

· основную часть, состоящую из трех разделов;

· заключение, включающее выводы и предложения (рекомендации);

· список используемых источников;

· приложения (при необходимости).

· задание и календарный план (Приложение 6);

· отзыв руководителя ВКР (Приложение 5);

· рецензия (Приложение 7);

· отчёт о проверке на наличие плагиата;

· ВКР на электронном носителе.

ВКР должна быть выполнена по актуальной для получаемого направления теме. Актуальность темы и основные цели работы должны быть аргументированы самим студентом во введении.

ВКР должна быть выполнена автором самостоятельно со ссылками на используемую литературу и другие источники, о чем в конце работы должна быть сделана соответствующая запись за подписью студента.

Результатом выполнения работы является достижение целей и задач, сформулированных студентом во введении. Содержание работы и уровень ее исполнения должны удовлетворять современным требованиям по присваиваемой квалификации и степень этого соответствия отмечается в отзыве руководителя.

Требования к структуре и объёму ВКР

В структуре ВКР выделяются: титульный лист, аннотации на русском и иностранном языках, оглавление, введение, основная часть, заключение, список используемой литературы и приложения.

Во введении должна содержаться аргументация актуальности темы, цель и задачи работы, практическая значимость, источники информации и краткая аннотация ее содержания. Объем введения не более 5 страниц.

В структуре основной части должны быть выделены главы (1,2,3), и в их составе – подглавы (1.1,1.2, 1.3…, 2.1, 2.2 и т.п.). Названия глав и подглав (параграфов) должны быть сформулированы, по возможности, кратко и отражать их содержание. Названия подглав (параграфов) не должны повторять названия глав.

ВКР может иметь структуру для проектного или аналитического (исследовательского) вида деятельности.

Требуемый объем ВКР 50–60  страниц (не более 80 страниц) компьютерного текста 14 шрифта, включая таблицы, графический и табличный материал. Приложения не входят в требуемый объем работы. Объем приложения не ограничен. Приложение не должно носить нормативный характер, т.е. содержать законы. Количество источников литературы – не менее 30, все источники должны иметь ссылки по тексту диплома и быть не старше 5-8 лет. Оригинальность выпускной квалификационной работы должна быть не менее 60%.

Примерная структура выпускной квалификационной работы (ВКР)

Дипломная работа оформляется в виде текста с приложением таблиц, схем, чертежей, графиков и представляется в срок, указанный студенту в задании на ВКР. Форма титульного листа приведена в приложении 3. К работе прилагается компакт-диск с полным текстом и презентацией выпускной квалификационной работы.

Типовая структура оформленной выпускной работы состоит из следующих частей:

1. Титульный лист.

2. Аннотация на русском и иностранном языках

3. Содержание (с обязательным указанием страниц).

4. Введение.

5. Глава 1. Теоретическая часть. Название.

6. Глава 2. Аналитическая часть. Название.

7. Глава 3. Практическая часть. Название.

8. Заключение.

9. Список литературы.

10. Приложения (объем не ограничивается).

СОДЕРЖАНИЕ ВКР

Текстовая часть дипломной работы либо дипломного проекта оформляется в виде пояснительной записки к ВКР. Она является основным документом, предъявляемым студентом на защите, поскольку в ней наиболее полно отражаются результаты ВКР.

Титульный лист ВКР оформляется в соответствии с Приложением 3. Титульный лист подписывается студентом, научным руководителем, заведующим выпускающей кафедрой.

Задание и календарный план на ВКР оформляется в соответствии с Приложением 6. Задание и календарный план на дипломную работу подписывается научным руководителем и утверждается заведующим выпускающей кафедрой.

Аннотация включает краткую характеристику ВКР (дипломной работы, дипломного проекта), сведения о структуре, цели и содержании глав.

Аннотация информирует об основных моментах и позволяет быстро составить предварительное мнение о работе. Аннотация должна соответствовать научному стилю оформления и не иметь малопонятных терминов и сложных синтаксических конструкций. Аннотация оформляется в соответствии с Приложением 4.

В содержании должна просматриваться логика всей ВКР (дипломной работы, дипломного проекта). Следует поэтапно (по главам) отразить теоретическое исследование предмета ВКР и решение проблем связанных с обеспечением информационной безопасности.

Содержание включает введение, порядковые номера и заголовки разделов, при необходимости подразделов, заключение, список использованных источников, приложения с указанием их обозначений и заголовков. После заголовка каждого из указанных структурных элементов ставят отточие, а затем приводят номер страницы, на которой начинается данный структурный элемент.

Элемент ВКР «Содержание» размещают после аннотации, начиная с нового листа.

ВВЕДЕНИЕ

Введение по объему должно занимать 1–3 страницы. Во введении излагаются общие сведения по тематике разработки или исследования, определяется актуальность выбранного направления, кратко отмечаются проблемные вопросы, степень их решения в области информационной безопасности. Рассматриваются новые возможности на базе применения современных средств, обеспечивающих защиту информации исследуемых объектов. Во введении отражается актуальность рассматриваемой прикладной задачи, цели и задачи исследования, объект и предмет, использованные в процессе работы методы и методики, практическая значимость исследования, его информационная база.

Отдельно следует подчеркнуть, что актуальность темы должна быть определена не вообще, а для того объекта (предприятия, организации), на материалах которого выполняется дипломная работа либо дипломный проект.

Пример цели, задач и результатов ВКР:

«Цель исследования – предотвращение несанкционированного доступа к носителям конфиденциальной информации.

Задачи исследования:

- анализ теоретических аспектов обеспечения информационной безопасности объектов;

- анализ действий злоумышленника при проникновении к источникам конфиденциальной информации;

- обоснование состава и спецификации элементов системы технической охраны;

- расчет этапов внедрения элементов системы;

- анализ экономической целесообразности внедрения дополнительных элементов системы технической охраны.

Решение указанных задач позволит исключить:

- проникновение посторонних лиц на охраняемую (режимную) территорию и объекты предприятия, а также в служебные помещения, в которых проводятся работы с пользованием сведений, составляющих конфиденциальную информацию;

- посещение режимных помещений без служебной необходимости сотрудниками предприятия, не имеющими к ним прямого отношения, а также командированными лицами, которым не предоставлено право на их посещение (работу в них);

- внос (ввоз) на территорию предприятия личных технических средств (кино-, фото-, видео-, звукозаписывающей аппаратуры и других технических средств);

- несанкционированный вынос (вывоз) с территории предприятия носителей сведений, составляющих государственную тайну;

- нарушения установленного регламента служебного времени, распорядка работы структурных подразделений, а также установленного порядка и режима работы сотрудников предприятия и командированных лиц с носителями сведений, составляющих конфиденциальную информацию.

Практическая значимость должна заключаться в возможности применения результатов, созданных средств или составных частей защищенных автоматизированных систем, либо их проблемно ориентированных моделей на практике, для повышения эффективности: информационной безопасности реального процесса, учреждения или учебного процесса (подтверждается соответствующими актами).

Объект исследования— это то, на что направлена познавательная деятельность. Это материальное явление или предмет, который существует вне зависимости от сознания человека. Это та часть практики или научного знания, с которой работает исследователь. Указание в работе объекта исследования является обязательным.

Примеры объекта исследования: система защиты, информационная система, программное обеспечение, подсистема информационной безопасности и т.п.

Предмет исследования— это целостная составляющая объекта исследования, определённый аспект его рассмотрения, одна или несколько сторон. Это точка зрения, с которой исследователь познаёт целостный объект, выделяя при этом наиболее существенные свойства, признаки, отношения, характеризующие объект исследования. Объект и предмет исследования соотносятся между собой как общее и частное. В объекте выделяется та часть, которая служит предметом исследования. Например: взаимодействия элементов защищенных автоматизированных информационных систем в процессе функционирования и управления, методы и средства повышения защищенности объекта исследования, способы анализа и оценки рисков и т.п.

Методы исследования делятся на две большие группы: теоретические и эмпирические. Это деление основано на используемом способе получения информации: эмпирические методы построены на основе наблюдений за объектом, описания, измерений, счёта сравнения, эксперимента и моделирования, а теоретические — на основе полученной информации. Кроме того, методы исследования делятся на количественные и качественные. С помощью количественных методов исследования измеряют свойства или характеристики объекта в численных показателях (ответ на вопрос “сколько?”), а с помощью качественных — получить развернутую аналитическую информацию (ответ на вопросы “как?” и “почему?”).

Некоторые методы исследования, применяемые в информационной безопасности:

• Экспертная оценка. Группа специалистов определяет список объектов, включенных в исследование. Для полной оценки эффективности работы ИБ экспертам потребуется описание IT-инфраструктуры, процессов обработки конфиденциальной информации, общие сведения об объекте и т. д.. Используя собранную информацию, специалисты оценивают потенциальные источники риска. 

• Статистический анализ. Этот метод основан на статистике о ранее совершённых кибератаках. Исследуются кибератаки, которым подверглась организация, и таким образом выявляются дыры в ИБ. 

• Факторный анализ. Эксперты выделяют факторы, влияющие на возникновение той или иной киберугрозы, и определяют предполагаемые векторы атак и способы их совершения. В ходе исследования специалисты выявляют, какие уязвимости залатать в приоритете, а какими можно пренебречь. 

• Моделирование угроз. Эксперты проверяют самые важные элементы IT-системы на предмет уязвимостей и оценивают вероятность возникновения угрозы, её последствия. Также специалисты выявляют потенциальные источники киберопасности и определяют способы их устранения. 

• Матрица угроз. Она представляет собой сводную таблицу, которую разрабатывают специалисты. Матрица отображает потенциальные угрозы и степень их влияния. На основе матрицы компания сможет организовать защиту от наиболее вероятных киберугроз. 

• Количественный метод. Применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человеко-ресурсах и прочее. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности. 

• Качественный метод. При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трёхбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи. 

Выбор метода следует делать исходя из целей и задач, поставленных в ВКР

В конце введения приводится описание структуры ВКР.

Например:

Во введении обоснована актуальность исследования, сформулирована цель работы и перечислены решаемые задачи. В первой главе рассмотрены теоретические вопросы…, применяемая методика…. и проведен обзор литературы по ….Во второй главе проведен анализ ….. проведена оценка рисков… В третьей главе разработаны проектные решения по…В заключение дипломной работы сформулированы общие выводы по...

Основной текст ВКР

Основной текст ВКР (дипломной работы, дипломного проекта) содержит несколько структурных элементов.

Структурные элементы основной части ВКР

- теоретические аспекты (основы) предмета ВКР;

- аналитические аспекты исследования;

- практическое исследование объекта, в т. ч. предмета ВКР;

- оценка целевой и экономической эффективности предложенных решений.

ГЛАВА 1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Теоретические аспекты (основы) предмета ВКР представляют собой результат анализа и синтеза совокупности теоретических источников по определенной теме. В данном разделе следует:

- дать, с учётом выбранной темы исследования, характеристику степени проработанности задач в области информационной безопасности в литературных источниках (монографиях, журнальных и газетных статьях, материалах конференций и т.п.) и в материалах специализированных сайтов сети Интернет, а также уровня ее реализации в практике работы организаций;

- провести анализ действующей нормативно-правовой базы в области информационной безопасности (Конституция РФ, Доктрины ИБ, Федеральные законы, постановления правительства РФ, Указы Президента, нормативно-правовая база ФСТЭК, нормативно-правовая база ФСБ, нормативно-правовая база МВД, ГОСТы и т.д.) с учётом тематики работы;

- определить сущность прикладной задачи, обобщить опыт (как положительный, так и отрицательный) обеспечения информационной безопасности в свете рассматриваемой задачи, в деятельности отечественных и зарубежных организаций, например, по методическому обеспечению, степени проработки организационного, технического, правового механизма реализации задачи;

- определить, какие процессы (информационные, технологические, организационные, экономические, правовые) составляют основу рассматриваемой прикладной задачи;

- указать, какое место занимает рассматриваемая прикладная задача в сложившейся системе информационной безопасности организации;

- наметить возможные пути решения прикладной задачи.

Задачами теоретической части являются раскрытие понятий и сущности изучаемых явлений или процессов и обоснование на этой основе мер и методов по

обеспечению защиты информации выбранного объекта.

В теоретической части на основе обзора отечественной и зарубежной литературы, достижений в области информационной безопасности и по другим источникам обосновывается выбор применяемых методов, описывается их суть, принципы их использования. Здесь также возможно рассмотреть тенденции развития тех или иных социальных, экономических, информационных процессов на предприятии в результате реализации предлагаемых решений.

Для задач, решаемых на основе программно-аппаратной защитой информации объектов, необходимо рассмотреть модели компьютерных систем, модели безопасного взаимодействия и управления безопасностью в информационных системах, модели сетевых средств безопасности, методы декомпозиции моделей угроз, обосновать выбор методов и средств защиты информации выбранного объекта на аппаратном и/или программном уровнях.

Для задач, связанных с защитой и обработкой конфиденциальных документов, необходимо рассмотреть типовой состав технологических стадий входного, выходного и внутреннего документопотоков, провести анализ несанкционированного получения документированной информации, каналов практической реализации возможных угроз, принципов защиты документопотоков, обосновать выбор защищенной технологии и уровень ее автоматизации.

Для задач, решаемых с правовым обеспечением защиты информации на предприятиях, в телекоммуникационных и информационных сетях, организациях, а также информации, составляющую государственную, коммерческую и другие тайны, интеллектуальную собственность, должны быть рассмотрены и проанализированы соответствующие законодательные акты, виды, условия и порядок их применения. Должен быть выбран и обоснован комплекс правовых мер и мероприятий, обеспечивающих защиту выбранного объекта.

Для задач, решаемых с использованием криптографических систем защиты объектов, необходимо обосновать выбор криптосистем, требования к ним, характеристики, режимы их применения, определить алгоритмы их реализации в виде блок-схем или пошагового описания, соответствующего языка программирования, рассмотреть модели таких систем с позиций надежности защиты и экономики.

Для задач, решаемых на основе применения организационных мер по защите информации выбранного объекта, необходимо рассмотреть совокупность нормативных и распорядительных документов, определяющих политику информационной безопасности объектов, обладающих конфиденциальной информацией, принципы изадачи ограничения и разграничения доступа к такого рода информации, обосновать необходимость применения такого рода мер, разработать модель их использования.

Для решения задач комплексной защиты информации на предприятии должен быть проведен системный анализ основ защиты информации, должны быть рассмотрены модели комплексной системы защиты информации (КСЗИ).

В теоретической части дипломник имеет право сделать собственные предложения по развитию, совершенствованию, модернизации, адаптации математических моделей, алгоритмов, аналитических выражений к особенностям рассматриваемых задач, может предложить собственные концепции решения задач, собственные подходы к тем или иным аспектам информационной безопасности. Теоретическая часть должна заканчиваться выводами по рассмотренным вопросам с обоснованием решений по главным направлениям работы.

Объем теоретической части дипломного проекта может составлять 20–25 страниц.

При разработке разделов ВКР следует иметь в виду, что те материалы по выбранной теме, которые содержатся в лекциях и имеющихся учебниках и учебных пособиях, нормативно-правовой базе, должны восприниматься студентом как уже известные истины, и если при этом студентом не высказываются оригинальные суждения или не осуществляются практические исследования, то эти материалы не подлежат описанию.

Теоретическая часть завершается выводами по главе, в которых необходимо подвести итог рассмотрения теоретических вопросов исследования. Выводы не должны носить абстрактный характер и декларирования общеизвестных истин. Выводы должны быть конкретными и связаны объектом и предметом исследования, а также решаемыми задачами.

ГЛАВА 2. АНАЛИТИЧЕСКАЯ ЧАСТЬ

Исследовательская (аналитическая) часть ВКР выполняется на основе конкретных материалов организаций и предприятий различных форм собственности, а также других открытых источников.

Задачами аналитической части являются описание объекта защиты, построение модели злоумышленника и анализ его уязвимостей с точки зрения информационной безопасности, а также выявление недостатков в существующем объекте исследования.

Аналитическая часть дипломного проектирования включает:

- общую характеристику объекта защиты или исследования;

- анализ подсистемы руководства, целевых, функциональных и обеспечивающих подсистем и системы управления информационной безопасностью организации.

- анализ системы безопасности и ее организации внутри предприятия;

 - анализ выявленных угроз, уязвимостей, активов, рисков нарушения информационной безопасности, получение количественных оценок уровня ИБ организации;

Анализ следует проводить в поэлементном разрезе: кадры, технические средства, программные средства, методы организации системы безопасности, технология

безопасности, функции системы безопасности, организационная структура управления системой безопасности);

- анализ и систематизация уязвимостей объекта защиты (Построение модели угроз, оценка рисков).

- выбор и обоснование моделей защиты.

В процессе анализа исследуемого объекта следует определить место в ней проблемы ВКР и остановиться на подробном анализе состояния системы информационной безопасности по выбранной теме ВКР (например, персональные данные, аппаратная защита данных, программная защита данных, управление системой информационной безопасности.и т.п.).

Аналитическая часть должна заканчиваться выводами по рассмотренным вопросам с обозначением выявленных недостатков и обоснованием главных направлений проектных решений, которые обосновываются и описываются в третьей главе. В тезисной форме следует подвести общий итог, характеризующий нерешенность методических, организационных, технических, программных, правовых, управленческих, документальных вопросов в области информационной безопасности для исследуемой организации. При этом могут содержаться ссылки на передовой опыт отечественных и зарубежных организаций, подтверждающий негативные моменты в деятельности анализируемого объекта. В данном разделе следует описать все недостатки, выявленные при анализе состояния изучаемой проблематики по ВКР. Объем аналитической части может составлять 20–25 страниц.

ГЛАВА 3. ПРАКТИЧЕСКАЯ (ПРОЕКТНО-РАСЧЕТНАЯ) ЧАСТЬ

Задачей практической части ВКР (дипломной работы, дипломного проекта) является реализация и описание предложенных студентом проектных решений в рамках выбранной темы и с учетом специфики конкретного объекта и аспектов исследования, подходов, методов и средств решения конкретных задач в области информационной безопасности, обеспечивающих устранение выявленных недостатков.

В рамках проектных решений обосновываются предложения по совершенствованию (улучшению) существующих систем обеспечения информационной безопасности выбранного объекта. При этом на основе принятых проектных предложений следует определить и указать в работе имеющиеся системы защиты информации, указать их конкретную конфигурацию, схему применения и дополнить предложенными студентом комплексом мер, улучшающих безопасность объекта исследования.

Практическая часть должна содержать материал, соответствующий исключительно конкретным особенностям объекта и задачам разработки. Здесь должен быть реализован технический и/или рабочий проект, содержащие проведение расчетов и их результаты. В соответствии с поставленными задачами могут быть представлены:

- модели безопасности объектов;

- алгоритмы решения поставленных задач по защите выбранного объекта;

- схемы алгоритмов основных программных модулей, их взаимосвязи и описания;

- программные модули, их взаимосвязи и описания;

- информационные модели защищаемой информации;

- комплексы инженерно-технических средств по обеспечению безопасности

объекта;

- структуры аппаратных защитных средств;

- шифровальные средства и их ключи;

- правовые меры, ориентированные на защиту выбранного объекта;

- организационные меры по защите исследуемого объекта;

- комплекс организационно-технических мероприятий по внедрению предложенных решений.

Наряду с изложенным, необходимо количественно оценить улучшение ключевых характеристик информационной безопасности.

При разработке дипломного проекта следует предусмотреть технологический раздел (параграф), посвященный разработке документации для сопровождения технических, программных или информационных ресурсов разработанной автоматизированной системы защиты. При описании информационных моделей необходимо подробно осветить в них организацию данных, рассмотрев следующие вопросы:

- обоснование принятых форм хранения данных в памяти компьютера (база данных или совокупность файлов);

- обоснование выбора модели логической структуры защиты данных;

- обоснование выбора СУБД;

- обоснование методов организации файлов;

- использование диалога.

В практической части должны быть представлены количественные оценки эффективности разработанных предложений (целевой и экономической эффективности) на предприятии проектных решений по обеспечению информационной безопасности объектов защиты. Оценки целевой эффективности целесообразно привести в виде столбчатых диаграмм, которые позволяют наглядно показать соотношение между текущим уровнем защищенности и достигаемым с помощью внедрения проектных решений. Оценки экономической эффективности также представляются в виде столбчатых диаграмм, которые отражают потери (ущерб) от нарушения информационной безопасности и затраты на совершенствование системы защиты.

Используются следующие подходы к их определению:

- сравнение вариантов существующей системы безопасности объекта(ов) защиты и разработанной в ВКР на основе проектных решений. Столбчатая диаграмма должна иллюстрировать изменение показателей защищенности в лучшую сторону или достижение требуемых значений показателей защищенности. Подтверждением целесообразности проектных решений является справка (акт реализации) о внедрении разработанных проектных решений на конкретном предприятии, полученная в ходе преддипломной практики. Справка (скан справки) подшивается в приложение к ВКР.

- расчет количественных характеристик экономической эффективности, определяется из соотношений между величиной материального ущерба из-за отсутствия надежной системы безопасности на объектах защиты, и затратами на совершенствование системы безопасности путем внедрения разработанных проектных решений.

Практическая часть должна содержать 20–25 страниц. Если данного объема недостаточно, допускается материалы справочного характера, вспомогательные расчеты и др. включить в приложение ВКР.

ЗАКЛЮЧЕНИЕ

Заключение, изложенное на 1–2 страницах, должно содержать полученные результаты, краткие выводы по результатам выполненной работы, оценку полноты решения поставленных задач, рекомендации по конкретному использованию результатов работы, ее научную, экономическую и социальную значимость. Также могут быть приведены перспективы и прогнозы развития системы на объекте проектирования или возможности типизации проектных решений.

Как правило в первом абзаце заключения констатируется решение актуальной задачи (совокупности задач) в рамках ВКР. Далее перечисляются через дефис (не нумеруются) поученные результаты.

В конце заключения делается вывод о достижении поставленных целей ВКР и кратко описываются перспективы развития предложенных подходов и решений.

СПИСОК ИСПОЛЬЗОВАНЫХ ИСТОЧНИКОВ

Список должен содержать сведения об источниках, которые использовались при написании ВКР. При этом он должен отвечать следующим требованиям:

- соответствовать теме и полноте отражения всех аспектов ее рассмотрения;

- содержать отечественные и зарубежные источники, в т.ч. периодические издания, опубликованные за последние 5–8 лет;

- включать разнообразные виды изданий: официальные, нормативные, справочные, учебные, научные, производственно-практические, периодические и др.

Список наименований должен содержать не менее 20 источников. располагать сведения об источниках по видам источников. В каждом виде - в алфавитном порядке:

- нормативно-правовые документы;

- книги, статьи, электронные ресурсы на русском языке;

- книги, статьи, электронные ресурсы на иностранном языке.

При составлении списка в алфавитном порядке и наличии в нем источников на разных языках образуются дополнительные алфавитные ряды, которые приводят в следующей последовательности: на русском языке, на языках с кириллическим алфавитом, на языках с латинским алфавитом, на языках с оригинальной графикой.

Нумерация источников в списке сохраняется сквозная. Сведения об источниках приводятся в соответствии с ГОСТ. В ВКР необходимо использовать только действующие документы нормативно-правовой базы и ГОСТы. Рекомендуется осуществить их проверку на сайте https://docs.cntd.ru/ .

ПРИЛОЖЕНИЯ

В приложении содержится справочный, вспомогательный или дополнительный материал, позволяющий расширить или пояснить отдельные проектные решения в приложения включают:

- промежуточные формулы и расчеты;

- таблицы большого формата;

- иллюстрации вспомогательного характера, инструкции, анкеты, сводные анкеты, методики;

- протоколы испытаний, заключения экспертизы, акты внедрения;

- графический материал большого объема и/или формата;

- описания аппаратуры и приборов;

- описания алгоритмов и программ, задач, решаемых на ЭВМ, и т.д.

Приложения следует оформлять как продолжение ВКР на листах, следующих за списком использованных источников.

Пример доклада по ВКР на защите (представлен развернутый доклад по ВКР, при подготовке доклада необходимо ориентироваться на время не более 8 мин.)

Уважаемые председатель и члены Государственной экзаменационной комиссии!

Вашему вниманию представляется доклад по выпускной квалификационной работе, выполненной студентом ФИО на тему Разработка предложений по совершенствованию системы информационной безопасности страховой компании на основе результатов проведенного аудита ИБ, научный руководитель (научная степень, должность) ФИО.

2024 год ознаменован интенсивным развитием сферы информационных технологий (далее – ИТ), решения которой находят свое применение практически во всех как бытовых, так и профессиональных направлениях жизнедеятельности человека. Актуальность ИТ-решений обусловлена возможностью значительной рационализации и повышения эффективности решений различных задач. Во многом это достигается в результате автоматизации рутинных задач, а также снижения влияния человеческого фактора. Однако, несмотря, на ряд преимуществ, достигаемых в результате цифрового развития сфер жизнедеятельности человека, наблюдается возникновение целого множества проблем, связанных с информационной безопасностью (далее – ИБ). Перевод бумажной и иных форм физических носителей информации в электронную форму непременно приводит к возникновению угроз и рисков ИБ. Реализация данных опасностей способна привести к значительным экономическим потерям и нарушению репутации компаний. Одной из сфер, активно использующих технологические решения ИТ-сектора является страховая отрасль. Представленная работа посвящена детальному исследованию вопросов, связанных с обеспечением высокого уровня информационной безопасности страховой компании на примере Тинькофф Страхование. Предполагается, что использование результатов исследования на практике позволит обеспечить не только высокий уровень ИБ, но и, как следствие, повысить эффективность, а также оптимизировать деятельность данной компании.

В связи с вышесказанной целью работы является – совершенствование системы информационной безопасности страховой компании на основе результатов проведенного аудита ИБ            

Объектом исследования является обеспечение информационной безопасности в деятельности страховых компаний.

Предметом исследования является обеспечение аудита информационной безопасности при реализации построения комплексной системы защиты страховых компаний.

Для достижения поставленной цели в работе решены следующие взаимосвязанные задачи:

1. Анализ основных вопросов, связанных с обеспечением информационной безопасности в современных организациях;

2. Анализ актуальности вопроса, угроз и рисков информационной безопасности;

3. Анализ технологии аудита информационной безопасности, а также принципы и методы по его проведению;

4. Выявление проблем и недостатков существующих решений к проведению аудита информационной безопасности;

5. Формирование авторской методики подхода и этапов проведения аудита информационной безопасности в деятельности страховой компании;

6. Выполнение оценки экономической эффективности – рентабельности и преимуществ представленных решений.

В ходе решения 1-й задачи проведен анализ основных вопросов, связанных с обеспечением информационной безопасности в современных организациях. На начало 2024 практически каждое предприятие проводит активную политику по цифровой трансформации, внедряя на своем производстве передовые информационные технологии. Можно с уверенностью заявить, что интеграция ИТ-решений является неотъемлемой частью функционирования современных предприятий и организаций. Так, наблюдается перевод бумажных документов в электронную форму, использование различных баз данных, информационных систем, автоматизированных технологий, роботизированных комплексов и иных решений. Проблема информационной безопасности современных предприятий становится ключевым аспектом, реализация незаконных действий при которых, способна принести значительные финансовые потери. Среди основных угроз информационной безопасности является нарушение работы критически-важной информационной инфраструктуры, хищение информации ограниченного доступа, вывод из строя технологического оборудования и иное. Каждая из данных угроз имеет высокую степень актуальности и необходимости своего решения. На слайде представлена дифференциация наиболее распространенных угроз ИБ для современных предприятий. Примерами угроз информационной безопасности, наиболее распространенных в настоящее время времени является хищение информации, проникновение на объект ограниченного доступа, кража оборудования и иное. Среди основных целей атак по анализу последних лет следует выделить получение информации, нарушение функционирования информационных систем и промышленного оборудования и утечку данных. На слайде представлено распределение наиболее актуальных угроз информационной безопасности за период 2022–2023 годов.

В ходе решения 2-й задачи проведен анализ актуальности вопроса, угроз и рисков информационной безопасности. На слайде представлены результаты анализа наиболее распространенных угроз ИБ, наблюдаемых в период до 2023 года. Риски и угрозы, связанные с защитой информации, представляют серьезную проблему для организаций и частных лиц. Понимание этих рисков и угроз, а также методов их предотвращения и минимизации, является ключевым аспектом обеспечения безопасности информационных систем. На слайде представлены наиболее распространенные виды атак на момент конца 2023 года. Также определены недостатки и уязвимости аудита ИБ, используемого в настоящее время времени в компании Тинькофф Страхование.

В ходе решения 3-й задачи проведен анализ технологии аудита информационной безопасности, а также принципы и методы по его проведению. Аудит информационной безопасности представляет собой систематическую оценку и анализ информационных систем, процессов и политик организации с целью выявления уязвимостей, оценки соответствия установленным стандартам и требованиям безопасности, а также выработки рекомендаций по улучшению и обеспечению надежности защиты информации (слайд). Этот процесс позволяет выявить потенциальные угрозы, риски и слабые места в системах безопасности, что является основой для разработки и внедрения эффективных мер по укреплению защиты. Процесс аудита информационной безопасности обычно включает в себя следующие этапы: подготовку и планирование, сбор и анализ данных, оценку текущего состояния информационной безопасности, выявление уязвимостей и рисков, разработку рекомендаций по улучшению системы защиты, а также составление отчета о результатах аудита и представление его заказчику. Этот процесс может проводиться как внутренними специалистами по информационной безопасности организации, так и независимыми внешними аудиторами или консультантами. Аудит информационной безопасности может применяться при решении различных задач, связанных с управлением и обеспечением безопасности информации в организации. Он является важным инструментом для выявления уязвимостей, оценки текущего состояния системы защиты, а также разработки рекомендаций по улучшению информационной безопасности (слайд).

В ходе решения 4-й задачи выявлены проблемы и недостатки существующих решений к проведению аудита информационной безопасности.  Важно подчеркнуть, что исследуемая компания ведет свою деятельность полностью в удаленном режиме. Это повышает риски и угрозы ИБ на программном уровне. Проблемы обеспечения информационной безопасности в страховой компании Тинькофф Страхование в 2024 году обусловлены отсутствием комплексного и целостного подхода к проведению аудита информационной безопасности. В условиях быстро изменяющихся угроз и технологий, наличие разрозненных мер безопасности без единой стратегии может приводить к уязвимостям и недостаточной защите конфиденциальных данных. Часто в таких случаях безопасность обеспечивается на уровне отдельных систем и процессов, что создает пробелы в общей защите и позволяет злоумышленникам находить и использовать слабые места.

Без комплексного подхода аудит ИБ может быть только фрагментарным, не охватывающим все аспекты защиты данных. Это может привести к пропуску критических уязвимостей, особенно в интеграционных зонах между различными системами и процессами. Например, даже при наличии надежной защиты баз данных, отсутствие эффективных мер контроля доступа или мониторинга может сделать эти данные уязвимыми к внутренним и внешним угрозам. Кроме того, отсутствие целостного подхода к аудиту может привести к неэффективному использованию ресурсов и недостаточному вниманию к ключевым аспектам ИБ. Это особенно актуально в условиях ограниченных бюджетов и времени, когда компании вынуждены приоритизировать свои усилия. Фрагментарные аудиты могут давать ложное чувство безопасности, оставляя критические уязвимости незамеченными и не устранёнными.

Комплексный и целостный подход к аудиту ИБ должен включать оценку всех уровней и аспектов защиты, от технических средств до управленческих процессов и кадровой политики. Он должен быть интегрированным, систематическим и регулярным, обеспечивая постоянный мониторинг и улучшение системы защиты данных. Важно также учитывать взаимодействие между различными компонентами информационной системы и их влияние на общую безопасность. Таким образом, для эффективного обеспечения ИБ в страховой компании Тинькофф Страхование необходим переход к комплексному и целостному подходу к проведению аудита информационной безопасности. Это позволит выявлять и устранять уязвимости на всех уровнях, обеспечивая надежную защиту конфиденциальных данных и соответствие современным требованиям и стандартам.

В ходе решения 5-й задачи разработана авторская методика проведения аудита информационной безопасности в деятельности страховой компании. Эти требования к разработке аудита ИБ помогут Тинькофф Страхованию обеспечить высокий уровень в общей системе информационной безопасности, защитить конфиденциальные данные клиентов и соответствовать современным стандартам и требованиям в этой области.

Также важно отметить, что тестирование сотрудников на предмет профессионального уровня как часть методики аудита информационной безопасности (ИБ) в страховой компании является важным компонентом для обеспечения надежности и устойчивости системы защиты данных. В условиях растущих угроз кибербезопасности, страховые компании обязаны гарантировать, что их сотрудники обладают необходимыми знаниями и навыками для эффективного противодействия возможным инцидентам. Первым шагом в этой методике является разработка комплексного плана тестирования, который охватывает все аспекты информационной безопасности, релевантные для страховой компании. Это включает в себя понимание основных угроз и уязвимостей, знание политики и процедур безопасности, а также умение применять защитные меры на практике. Тестирование может включать как теоретические задания, так и практические сценарии, моделирующие реальные угрозы.

В связи с этим автором рекомендуется использование инструментов для тестирования сотрудников на предмет профессионального уровня и компетенций в области ИБ. На слайде представлены инструменты (ПО) и итоговая тест-таблица для определения навыков и компетенций сотрудников. Для этого предлагается использование ПО - оценка по модели компетенций (assessment center). Вместе с этим предлагается выполнять итоговую оценку по критериям, также указанным на слайде.

Новый подход проведения аудита ИБ авторской разработки включает в себя 10 основных этапов, реализующих основные подзадачи. В табл. представлены основные этапы данного аудита ИБ, а также их состав и используемые методы с технологиями. Данные этапы могут обеспечить комплексный и целостный подход к аудиту информационной безопасности, способствуя повышению уровня защиты данных и соответствия современным стандартам в компании Тинькофф Страхование.

На следующем слайде указан конкретный перечень с разработанными предложениями, которые необходимо учитывать при разработке аудита ИБ в страховых компаниях.

В ходе решения 6-й задачи проведена оценка экономической эффективности – рентабельности и преимуществ представленных решений. Наиболее важные преимущества авторской методики состоят в следующих факторах, представленных на слайде.

Определение затрат включало стоимость приобретения необходимых технических средств и программного обеспечения, а также операционные расходы. Важно также учитывать время и ресурсы, необходимые для проведения исследований. Результаты оценки экономической эффективности показывают, что проект окупается с первого года после внедрения. Это свидетельствует о высокой экономической эффективности разработанных решений. Во многом это достигается за счет автоматизации труда рабочих и исключения необходимости использования человека при работе нового метода аудита ИБ в страховой компании. Все операции выполняются в автоматическом режиме, передавая полученные данные ответственному сотруднику для принятия последующих соответствующих мер.

Таким образом в ходе выполнения выпускной квалификационной работы получены следующие основные результаты:

- проанализированы основные вопросы, связанные с обеспечением информационной безопасности в современных организациях;

- проанализированы актуальность вопроса, угрозы и риски информационной безопасности страховой компании;

- выполнен анализ технологии аудита информационной безопасности, а также принципов и методов по его проведению;

- выявлены проблемы и недостатки существующих решений к проведению аудита информационной безопасности;

- разработана авторская методика подхода и этапов проведения аудита информационной безопасности в деятельности страховой компании;

- выполнена оценка экономической эффективности – рентабельности и преимуществ представленных решений.

Доклад окончен. Спасибо за внимание. Готов(а) ответить на ваши вопросы.

Требования к оформлению презентации

Презентация должна отражать содержание выполненной ВКР. Общее требование к презентации – она должна включать минимум текста и максимум иллюстративного материала. Текст на слайдах должен представлять собой «опорный конспект», т.е. содержать ключевые слова. Не допускается размещение на слайдах фрагментов доклада автора, например: «VPN-технология является эффективным инструментом для обеспечения безопасного и защищенного доступа к сети и ресурсам высшего учебного заведения. Использование VPN-решений позволяет создать защищенные каналы связи, шифровать данные и контролировать доступ, что способствует повышению защищенности информационной системы».

Названия слайдов, по первой и второй главе должны содержать ключевые слова «Анализ….», т.к . в этих главах представляются результаты проведенного анализа. Названия слайдов по третьей главе должны содержать ключевые слова «Разработка…», «Оценка…» , т.к. она содержит результаты разработки проектных решений и оценки их эффективности.

Презентацию желательно представить в цветовом оформлении. Рисунки на слайдах должны отражать содержание работы. Не допускается размещение на слайдах иллюстраций, не имеющих отношение к ВКР. Предпочтительным шрифтом для заголовков является Arial Black, 32; для текста внутри слайда– Arial, 20–24. Шрифт Arial лучше воспринимается при чтении. Текст на слайдах должен быть черного цвета на светлом фоне.

Обязательными компонентами презентация являются следующие слайды:

- титульный слайд, на котором должны быть сведения об организации, ее логотип, название ВКР, сведения об авторе и руководителе;

- «Актуальность», на котором кратко путем перечисления ключевых слов даются пояснения об актуальности;

- Цель исследования, Объект исследования, Предмет исследования, Перечень решаемых задач;

- 2–3 слайда по первой главе;

- 3–4 слайда по второй главе;

- 3–4 слайда по третьей главе;

- Оценка целевой и экономической эффективности разработанных предложений;

- Заключение:

- «Благодарю за внимание!», отражающий окончание доклада;

- Титульный слайд.

Характерные ошибки при подготовке и оформлении презентации:

- содержание слайдов не в полной мере отражают содержание ВКР;

- слайды перегружены текстовой информацией;

- на слайде «Актуальность» размещается фрагмент доклада, а не ключевые слова, отражающие актуальность;

- на слайдах размещается общеизвестная информация;

- содержание слайда не отражает полученный результат;

- на слайдах размещаются заголовки из ВКР: Введение, Глава 1, параграф 1 и др.

- на слайдах размещаются подрисуночные подписи Рис. и названия Таблица…

- на слайдах размещаются логотипы компаний и рисунки, не имеющие отношения к содержанию ВКР;

- на слайдах отсутствуют количественные оценки, расчеты и их результаты;

- на слайде размещается подзаголовок Модель…, а в качестве модели представлено перечисление нарушителей:

- на слайде «Заключение» представлено перечисление не полученных результатов, а решаемых в ВКР задач.