Московская финансово-промышленная академия
Кафедра Информационной безопасности
Учебная программа по дисциплине
«Информационная безопасность и защита информации»
для специальности: 230201 «Информационные системы и технологии»
Москва, 2009
Содержание
Цели и задачи изучения дисциплины
Курс «Информационная безопасность и защита информации» направлен на развитие информационных компетенций, необходимых будущим специалистам в любой предметной области.
В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности – информационная безопасность.
Примечательной особенностью перехода от индустриального общества к информационному является то, что информация становится более важным ресурсом. Информационные ресурсы являются собственностью, находятся в ведении государственных органов и коммерческих организаций, подлежат учету и защите, так как информацию можно использовать, не только для производства товаров и услуг, но и превратить ее в наличность, продав ком-нибудь, или, что, ещё хуже, уничтожить.
В конкурентной борьбе широко распространены разнообразные действия, на получение информации самыми различными способами, с использованием современных технических средств разведки. Около половины (47%) охраняемых сведений добывается с использованием методов промышленного шпионажа. В этих условиях защите информации отводится весьма значительное место.
Целью курса «Информационная безопасность и защита информации» является рассмотрение обеспечения информационной безопасности организации и предприятия, как решение емкой и многогранной проблемы, охватывающей не только определение необходимости защиты информации, но и то, как её защищать, от чего защищать, когда защищать, чем защищать и какой должны быть эта защита.
Выпускник должен уметь решать задачи, соответствующие его квалификации, указанные в Государственном образовательном стандарте высшего профессионального образования направление подготовки 230200 - Информационные системы.
Целью курса «Информационная безопасность и защита информации» является ознакомление студентов с основными направлениями деятельности по обеспечению информационной безопасности и защите информации, рассмотрение аспектов нормативно-правовой базы, регламентирующей данную деятельность, задач руководителей, специалистов по сохранности информационных ресурсов, средств и механизмов, в том числе аппаратно-программных, используемых для этих целей и, конечно, методов их применения.
Задачи курса:
- сформировать общее представление об информационной безопасности, как о состоянии защищенности информационного ресурса сложной системы, понимание необходимости системного подхода к практической реализации такого состояния;
- передать знания о порядке организации и практической реализации типовых мероприятий по обеспечению информационной безопасности и защите информации;
- привить навыки анализа информационных ресурсов по следующим факторам: важность, конфиденциальность, уязвимость.
Связь с другими дисциплинами. Для изучения дисциплины требуется знания и навыки студентов по базовым экономическим и инженерно-техническим курсам и дисциплинам специальности (предметная область), а также по курсам «Базы данных» и «Информационные технологии».
Знания по дисциплине «Информационная безопасность и защита информации» могут использоваться в курсах, связанных с обоснованием, поддержкой и принятием управленческих решений в процессе осуществления финансово-хозяйственной деятельности предприятия, а также в курсах «Программные и аппаратные средства информационной безопасности», «Математические методы защиты информации», «Защита и обработка конфиденциальных документов» и другие.
Требования к уровню освоения содержания курса
Успешно изучив курс, студент должен:
Знать:
- основы организационной защиты информации, ее современные проблемы и терминологию;
- концептуальные, информационные, программные, физические, психологические, математические, криптологические, правовые, экономические, системотехнические и практические основы защиты информации;
- принципы организации информационных систем в соответствии с требованиями информационной защищенности, в том числе в соответствии с требованиями по защите коммерческой и государственной тайны;
- принципы и методы организационной защиты информации в различных сферах деятельности;
- принципы построения современных систем защиты информации в компьютерных системах;
- принципы и методы противодействия несанкционированному информационному воздействию на вычислительные системы и системы передачи информации;
- методы проведения анализа надежности системы защиты информации в компьютерных системах;
- методы анализа и оценки величины возможного ущерба, наносимого безопасности организации вследствие несанкционированного (противоправного) распространения информации, составляющей коммерческую тайну;
- состав компонентов комплексной системы обеспечения информационной безопасности, функциональные и вспомогательные подсистемы, технологию проектирования и оценки надежности системы защиты;
- основные организационные меры обеспечения защиты коммерческой тайны в конкретной сфере деятельности;
- основные правовые понятия, правовые акты Российской Федерации в области защиты коммерческой и государственной тайны;
- правовые нормы и стандарты по лицензированию в области обеспечения защиты коммерческой и государственной тайны и сертификации средств защиты информации;
- правовые акты в области защиты коммерческой тайны в конкретной сфере деятельности;
- руководящие документы по оценке защищенности компьютерных систем;
- основные руководящие документы по обеспечению режима и секретности (конфиденциальности) в организации;
- конструкцию и основные характеристики технических устройств хранения, обработки и передачи информации, потенциальные каналы утечки информации, характерные для этих устройств, способы их выявления и методы оценки опасности, основную номенклатуру и характеристики аппаратуры, используемой для перехвата и анализа сигналов в технических каналах утечки информации, методы и средства инженерно-технической защиты информации;
- типовую структуру службы безопасности, ее основные задачи и функции должностных лиц.
Уметь:
- самостоятельно анализировать и оценивать угрозы информации, применяя соответствующие модели;
- анализировать основные механизмы, реализованные в современных операционных системах и базах данных, и модифицировать их для решения задач обеспечения информационной безопасности;
- проектировать архитектуру системы информационной защиты, ее технологическое и организационное построение;
- проектировать базы данных и распределенные системы обработки информации, обладающие требуемыми характеристиками обеспечения безопасности данных;
- применять эффективные методы управления информационной безопасностью;
- применять системный подход к обеспечению информационной безопасности в различных сферах деятельности, включая комплекс организационных мер, учитывающих особенности функционирования организации и решаемых ею задач;
- оценивать состояние организационной защиты информации на объекте (организации);
- используя современные методы и средства разрабатывать и оценивать модели и политику информационной безопасности;
- проектировать и реализовывать комплексную систему защиты информации оценивать ее качество;
- использовать правовые акты в области информационной безопасности;
- применять стандарты по оценке защищенности информационных систем при их анализе и проектировании;
- применять действующую законодательную базу в области информационной безопасности для обеспечения необходимых действий профессиональной деятельности, применять правовые акты в области информационной безопасности и защиты коммерческой и государственной тайны в конкретной сфере деятельности, включая адекватные организационные меры;
- реализовывать системы защиты информации в информационных системах в соответствии со стандартами по оценке защищенных систем.
Иметь навыки:
- выявления угроз информационной безопасности в организации;
- выявления и оценки источников, способов и результатов дестабилизирующего воздействия на информацию;
- определения компонентов комплексной защиты информации в организации;
- проектирования, построения и эксплуатации комплексных систем защиты информации;
- разработки моделей комплексной защиты информации в организации;
- проектирования архитектуры и выбора комплекса программно-аппаратных средств функционирования сети с учетом требований безопасности и порядка ее эксплуатации различными категориями пользователей;
- разработки и исследования моделей надежности и безопасности информационных систем;
- разработки нормативно-методических документов по организационной защите информации;
- определения организационных и технических каналов утечки информации.
- организации и управления деятельностью служб защиты информации.
Быть компетентным в вопросах:
- анализа угроз информационной безопасности на объекте (организации);
- современной постановки проблемы защиты информации;
- моделирования, проектирования, создания и эксплуатации комплексных систем защиты информации в организации;
- организации службы безопасности на объекте (организации);
- роли персонала в обеспечении информационной безопасности на объекте (организации);
- постановки задач и методов подбора и работы с кадрами в интересах обеспечения информационной безопасности на объекте (организации);
- формулирования задач, использования методов и средств обеспечения информационной безопасности.
Национальные интересы и безопасность. Национальные интересы и безопасность России. Национальная безопасность, ее определения. Уровни обеспечения национальной безопасности. Основные угрозы безопасности России. Основные определения предметной области. Основные концептуальные положения системы защиты информации. Концептуальная модель информационной безопасности. Жизненно важные интересы в информационной сфере и угрозы жизненно важным интересам в информационной сфере. Информационная война. Информационное превосходство в обычных и информационных войнах. Информационное оружие. Информационно-психологические аспекты безопасности. Принципы, основные задачи и функции обеспечения информационной безопасности. Функции государственной системы по обеспечению информационной безопасности. Защита информации (ЗИ). Основные предметные направления ЗИ. Действия, приводящие к неправомерному овладению конфиденциальной информацией. Принципы и подходы к построению информационной безопасности компании.
Правовые основы информационной безопасности. Источники права на доступ к информации. Уровни доступа к информации с точки зрения законодательства. Виды доступа к информации. Ответственность за нарушение законодательства в информационной сфере. Понятие и виды информации, защищаемой законодательством Российской Федерации. Государственное регулирование информационной безопасности. Доктрина информационной безопасности. Правовое регулирование технологического обмена. Отечественные и зарубежные стандарты в области информационной безопасности. Электронная цифровая подпись. Криптографические стандарты DES и ГОСТ 28147-89. Защита интеллектуальной собственности. Критерии ценности документов. Предпосылки к разглашению сведений, составляющих коммерческую тайну. Экспертиза ценности документов. Информация, представляющая интерес при ведении переговоров.
Административный уровень информационной безопасности. Политика безопасности и программа безопасности. Процедурный уровень информационной безопасности. Основные классы мер процедурного уровня. Управление персоналом. Рекомендации для повышения точности и объективности выбора (принятия решения) лицом, принимающим решение. Классификация способов защиты (мероприятий по защите информации). Организационная защита. Характеристика основных защитных действий. Способы пресечения разглашения конфиденциальной информации.
Понятие системы защиты информации и общеметодологические принципы ее построения. Понятие и определение функций и задач непосредственной защиты информации и функций и задач управления механизмами защиты информации. Обоснование состава и системная классификация средств защиты информации в информационных системах. Типизация и стандартизация систем защиты информации. Типовая модель многорубежной системы защиты информации.
Алгоритм создания системы информационной безопасности в организации и на предприятии. Содержание этапов создания (реконструкции) системы информационной безопасности организации, предприятия. Роли должностных лиц при создании системы информационной безопасности.
Предмет и объекты защиты информации в информационных системах (ИС). Уязвимость информации в ИС. Элементы и объекты защиты в ИС. Дестабилизирующие факторы ИС. Причины нарушения целостности информации. Каналы несанкционированного получения информации в ИС. Преднамеренные угрозы безопасности ИС. Функции непосредственной защиты информации. Задачи защиты информации в ИС. Методы и системы защиты информации. Аппаратные средства защиты. Программные средства защиты. Криптографические средства защиты. Идентификация и аутентификация. Подтверждение подлинности пользователей и разграничение их доступа к компьютерным ресурсам. Контроль доступа к аппаратуре. Использование пароля. Методы модификации схемы простых паролей. Методы идентификации и установления подлинности субъектов и различных объектов. Своевременное обнаружение несанкционированных действий пользователей. Общие сведения о контроле информационной целостности. Управление доступом. Протоколирование и аудит Способы определения модификаций информации. Организация контроля. Регистрация действий пользователей. Контроль правильности функционирования системы защиты. Обеспечение отказоустойчивости. Обеспечение безопасного восстановления. Туннелирование. Шифрование. Инженерно-техническая защита. Физические средства защиты. Формирование оценки эффективности системы информационной безопасности. Защита информации от утечки по визуально-оптическим каналам. Методические рекомендации по оценке угроз оптических каналов утечки информации. Защита информации от утечки по акустическим каналам. Методические рекомендации по оценке угроз акустических каналов утечки информации. Защита информации от утечки по электромагнитным каналам. Методические рекомендации по оценке угроз электромагнитных каналов утечки информации. Защита информации от утечки по материально-вещественным каналам. Методические рекомендации по оценке угроз материально-вещественных каналов утечки информации.
1. Каковы основные отечественные и зарубежные стандарты в области информационной безопасности?
2. Какая система называется безопасной и какая надежной?
3. Что такое политика безопасности?
4. Каковы основные предметные направления ЗИ?
5. Что такое государственная тайна?
6. Что называется коммерческой тайной?
7. Что такое служебная тайна?
8. Что представляет профессиональная тайна?
9. Что такое персональные данные?
10. Каковы источники права на доступ к информации?
11. Каковы уровни доступа к информации с точки зрения законодательства?
12. Что такое информация ограниченного распространения?
13. Каковы виды доступа к информации?
14. В чем может заключаться ответственность за нарушение законодательства в информационной сфере?
15. Что такое Доктрина ИБ РФ?
16. Перечислите основные составляющие национальных интересов РФ в информационной сфере.
17. Дайте определение ИБ.
18. Сформулируйте интересы государства, общества и личности в информационной сфере.
19. Что такое доступность информации?
20. Чем определяется ценность информации для владельца?
21. Что такое конфиденциальная информация, государственная и коммерческая тайна?
22. Назовите три степени секретности.
23. Назовите три категории ценности коммерческой информации.
24. Что такое товарная ценность информации и каковы пути ее получения?
25. Назовите основные методы определения количества информации.
26. Что такое энтропийный подход? Приведите формулу К.Шеннона.
27. Дайте характеристику оценки количества информации по вероятностной мере целесообразности управления.
28. Что является предметом защиты в компьютерных сетях? Приведите особенности этого предмета.
29. Перечислите основные виды угроз ИБ.
30. В чем заключается комплексное обеспечение ИБ?
31. Перечислите основные принципы обеспечения ИБ.
32. Сформулируйте основные направления международного сотрудничества Российской Федерации в области ИБ.
33. Перечислите основные функции системы обеспечения ИБ.
34. Как подразделяются общие методы обеспечения ИБ?
35. Перечислите внешние источники угроз ИБ.
36. Перечислите внутренние источники угроз ИБ.
37. Каковы особенности обеспечения ИБ РФ в сферах экономики, внешней политики, внутренней политики, областях науки и техники, сфере духовной жизни, информационных и телекоммуникационных системах, в сфере обороны, правоохранительной и судебной сферах, в условиях чрезвычайных ситуаций?
38. Дайте определение информационно-психологическому воздействию. Назовите основные способы тайного принуждения личности.
39. В чем заключаются национальные интересы и безопасность РФ.
40. Назовите основные источники информационно-психологического воздействия на человека.
41. В чем заключаются манипулятивные возможности масс-медиа?
42. Назовите основные предметные направления ЗИ.
43. В чём заключаются основные задачи государства в сфере обеспечения информационной безопасности?
44. Назовите основные отечественные и зарубежные стандарты в области информационной безопасности.
45. Раскройте содержание основных принципов Доктрины ИБ РФ.
46. Перечислите основные направления обеспечения ИБ в мировой практике.
47. Сформулируйте основные задачи обеспечения ИБ.
48. Приведите основные функции государственной системы обеспечения ИБ РФ.
49. Сформулируйте задачи обеспечения безопасности функционирования информации в КС.
50. Назовите основные критерии предъявляемые международными и отечественными стандартами к информационной безопасности и защите информации.
51. Понятие и виды информации, защищаемой законодательством Российской Федерации. Основные концептуальные положения системы защиты информации.
52. Концептуальная модель информационной безопасности. Действия, приводящие к неправомерному овладению конфиденциальной информацией.
53. Правовая защита – направление защиты информации. Государственное регулирование информационной безопасности. Доктрина информационной безопасности РФ.
54. Организационная защита – направление защиты информации. Содержание основных организационных мероприятий. Функционал службы защиты информации.
55. Инженерно-техническая защита – направление защиты информации. Классификация средств инженерно-технической защиты. Краткая характеристика основных классов.
56. Способы защиты информации. Классификация способов защиты (мероприятий по защите информации).
57. Характеристика основных защитных действий. Способы пресечения разглашения конфиденциальной информации.
58. Модель канала утечки информации. Методические рекомендации по оценке угроз материально-вещественных каналов утечки информации.
59. Защита информации от утечки по визуально-оптическим каналам. Методические рекомендации по оценке угроз оптических каналов утечки информации.
60. Защита информации от утечки по акустическим каналам. Методические рекомендации по оценке угроз акустических каналов утечки информации.
61. Защита информации от утечки по электромагнитным каналам. Методические рекомендации по оценке угроз электромагнитных каналов утечки информации.
62. Правовое регулирование технологического обмена. Защита интеллектуальной собственности. Критерии ценности документов.
63. Предпосылки к разглашению сведений, составляющих коммерческую тайну. Экспертиза ценности документов.
64. Алгоритм создания системы информационной безопасности на предприятии. Содержание этапов создания (реконструкции) системы информационной безопасности предприятия.
65. Эвристические рекомендации при решении слабоформализуемых задач. Формирование оценки эффективности системы информационной безопасности.
66. Кому принадлежит право разрешать или ограничивать доступ к информации и определять условия такого доступа?
67. Чем определен перечень сведений конфиденциального характера?
68. Что понимается под информационной безопасностью (безопасностью информации)?
69. Что такое угроза?
70. В чем выражаются угрозы информационной безопасности?
71. Какие мероприятия защиты информации относятся к правовым?
72. Какие мероприятий защиты информации относятся к организационным?
73. Какие мероприятий защиты информации относятся к инженерно-техническим?
74. Что составляет систему защиты информации?
75. Что относится к недостаткам аппаратных средств инженерно-технической защиты.
76. Что относится к достоинствам программных средств инженерно-технической защиты.
77. Назовите основные мероприятиями по защите от разглашения конфиденциальной информации.
78. Чем обеспечивается защита от несанкционированного доступа к конфиденциальной информации?
79. Определение состояния технической безопасности объекта.
80. Какие принципы нецелесообразно использовать при организации защиты информации?
81. Что включает в себя система передачи информации?
82. В чем заключается отличие канала утечки информации от основного канала связи?
83. Какой из факторов, влияющих на вероятность обнаружения (распознавания) объекта, является неконтролируемым для владельца объекта?
84. Насколько уровень шума должен превышать уровень речевого сигнала, чтобы обеспечить гарантированную защищенность речевой информации от подслушивания?
85. Что относиться к основным мерам защиты информации от утечки по вещественному каналу?
86. Что относится к общим критериям ценности документов?
87. Что представляет собой работа по созданию и совершенствованию системы защиты информации (СЗИ)?
88. Что является определяющим при оценке эффективности системы защиты?
1. Аскеров Т.М. Защита информации и информационная безопасность: учебное пособие / Под общей редакцией К.И. Курбакова. - М.: Рос. экон. акад., 2001. 387с.
2. Галатенко В.А. Информационная безопасность. – М.: Финансы и статистика, 2009. – 158 с.
3. Куприянов А.И. Основы защиты информации. Учебное пособие для студентов высших учебных заведений./ А.И.Куприянов, А.В.Сахаров, В.А.Швецов. – М.: Издательский центр академия, 2006.
4. Партыка Т.Л., Попов И.И. Информационная безопасность: Учеб. пособие. М.:ФОРУМ: ИНФРА-М, 2008. - 368с.
5. Торокин А.А. Инженерно-техническая защита информации: учебное пособие для студентов, обучающихся в области информационной безопасности. – М.: Гелиос АРВ. 2005.
6. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. – М.: ДМК Пресс, 2008.
7. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. – М.: Инфра-М, 2007.
8. Ярочкин В.И. Информационная безопасность. Учебник для вузов. – 5-е издание. – М.: Академический проект, 2008. (Gaudeamus).
1. Барсуков В.С. Безопасность: технологии, средства, услуги. – М.: Кудиц-Образ, 2001.
2. Батурин Ю.М. Компьютерная преступность и компьютерная безопасность / Ю.М. Батурин, А.М. Жодзишский. – М.: Юридическая литература,1991.
3. Девянин П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. – М.: Радио и связь, 2006.
4. Маккарти Л. IT-Безопасность: стоит ли рисковать корпорацией. – М.: Кудиц-Образ, 2004.
5. Мельников В.П. Информационная безопасность / В.П. Мельников, С.А. Клеймёнов, А.М. Петраков. – М.: Academia, 2005
6. Сычёв Ю.Н. Информационная безопасность. – М.: МЭСИ, 2001.
7. ГОСТ Р ИСО/МЭК 27001-2006 – Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
8. ГОСТ Р ИСО/МЭК 17799-2005 – Информационная технология. Практические правила управления информационной безопасностью.
9. ГОСТ Р ИСО/МЭК 15408-1-2002 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
10. ГОСТ Р ИСО/МЭК 15408-2-2002 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
11. ГОСТ Р ИСО/МЭК 15408-3-2002 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
12. ГОСТ Р ИСО/МЭК 13335-1-2006 – Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
13. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 – Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
14. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 – Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер.
15. ГОСТ Р ИСО/МЭК ТО 13335-5-2006 – Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
16. ГОСТ 34.311-95 – Информационная технология. Криптографическая защита информации. Функция хэширования.
17. ГОСТ Р 51275-99 – Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения Предыдущий вариант.
18. ГОСТ Р 50922-96 – Защита информации. Основные термины и определения Предыдущий вариант.
19. ГОСТ Р 52633-2006 – Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
20. ГОСТ Р 52447-2005 – Защита информации. Техника защиты информации. Номенклатура показателей качества.
21. ГОСТ Р 52069.0-2003 – Защита информации. Система стандартов. Основные положения.
22. ГОСТ Р 34.10-2001 – Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
23. ГОСТ Р 50739-95 – Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
24. ГОСТ Р 51188-98 – Испытания программных средств на наличие компьютерных вирусов.
1. http://firewall.ru/law.htm - раздел сайта компании Infotecs. Сборник законодательных актов РФ, ведомственных нормативных документов.
2. http://www.gosecure.ru/ - сайт компании Gosecure Software Development.
3. http://www.securit.ru/ - сайт компании SecurIT.
4. http://www.abipage.ru/ - сайт компании «Агентство безопасности информации АБИ».
Коллектив авторов программы: Лихоносов А.Г. , Шептура С.В.