Московский Государственный Индустриальный Университет комплексная защита объектов информатизации программа

Вид материалаПрограмма

Содержание


1. Цели государственного экзамена
2. Требования к уровню подготовки специалиста
3. Методические указания по подготовке к экзамену и форма экзамена
4. Критерии оценки знаний
Содержание программы государственного междисциплинарного экзамена
1.2.Сущность и понятие информационной безопасности
1.3.Значение информационной безопасности и ее место в системе национальной безопасности
1.4. Современная доктрина информационной безопасности Российской Федерации. Понятие и назначение доктрины информационной безопас
1.5. Сущность и понятие защиты информации
1.6. Цели и значение защиты информации
1.7. Теоретические и концептуальные основы защиты информации. Понятие и назначение теории защиты информации
1.8. Критерии, условия и принципы отнесения информации к защищаемой
1.9. Классификация конфиденциальной информации по видам тайны
1.10. Классификация носителей защищаемой информации
1.11. Понятие и структура угроз информации
1.12. Источники, виды и способы дестабилизирующего воздействия на информацию
1.13. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию
1.14. Каналы и методы несанкционированного доступа к информации
1.15. Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации
1.16. Организационные основы и методологические принципы защиты информации
...
Полное содержание
Подобный материал:
  1   2

Федеральное агентство по образованию

Государственное образовательное учреждение

Московский Государственный Индустриальный Университет


КОМПЛЕКСНАЯ ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ


Программа государственного междисциплинарного квалификационного экзамена по специальности 090104


Методические указания по подготовке и проведению государственного междисциплинарного квалификационного экзамена по специальности 090104


Москва 2010

Комплексная защита объектов информатизации. Программа государственного междисциплинарного квалификационного экзамена по специальности 090104. – М.,МГИУ, 39 стр.

Составители:

  1. Бутакова Наталья Георгиевна, к.ф.-м.,н., доцент, доцент каф. информационной безопасности ГОУ МГИУ (раздел 3,6)
  2. Масленников Дмитрий Павлович, к.т.н., с.н.с., профессор каф. информацион­ной безопасности ГОУ МГИУ (раздел 2,4)
  3. Рагозин Юрий Николаевич, доцент каф. информационной безопасности ГОУ МГИУ (раздел 5,8)
  4. Семененко Вячеслав Алексеевич, к.т.н., профессор, зав. каф. информационной безопасности ГОУ МГИУ (раздел 1, общая редакция)
  5. Федоров Николай Владимирович, к.т.н., доцент, зам. зав. каф. информационной безопасности ГОУ МГИУ (раздел 7)


Под редакцией Семененко Вячеслава Алексеевича, к.т.н., проф., зав. каф. информационной безопасности

ГОУ МГИУ


Утверждено на заседании кафедры информационной безопасности

(протокол № 05/09 от 09.12.2009)


Рецензент заведующий кафедры «Математические методы в экономике» профессор, д.т.н. Казаков Олег Леонидович

В методических указаниях рассматриваются вопросы подготовки к государственному междисциплинарному квалификационному экзамену по специальности 090104, приведена программа экзамена, а также список вопросов для подготовки.


ББК 32.811 ISBN 5-276-0515-X


© МГИУ, 2010 г.

Содержание

  1. Цели государственного экзамена …………………………………..…… 4
  2. Требования к уровню подготовки специалиста ……..………………… 5
  3. Методические указания по подготовке к экзамену и форма экзамена … 8
  4. Критерии оценки знаний ………………………………………………..… .9
  5. Содержание программы государственного междисциплинарного

экзамена ……………………………………………………………………. 10
    1. Раздел 1. Теория информационной безопасности и

методология защиты информации …………………………….……. 10
    1. Раздел 2. Правовое обеспечение информационной

безопасности …………………………………………………..……… 15
    1. Раздел 3. Защита и обработка конфиденциальных документов ….. .18
    2. Раздел 4. Организационное обеспечение информационной

безопасности ………………………………………………….………. 22
    1. Раздел 5. Инженерно-техническая защита информации ..…………. 25
    2. Раздел 6. Криптографические методы и средства обеспечения информационной безопасности …………………………….……… ..28
    3. Раздел 7. Программно-аппаратная зашита информации и защита информационных процессов в компьютерных системах ……….... 30
    4. Раздел 8. Комплексная зашита информации на предприятии ….. 32

6. Вопросы для подготовки к экзамену ……………………………….…… 35


1. ЦЕЛИ ГОСУДАРСТВЕННОГО ЭКЗАМЕНА


Государственный междисциплинарный квалификационный экза­мен по специальности 090104 «Комплексная защита объектов информатизации» проводится с целью оценки знаний, полученных за период обучения, в области зашиты информации.

Программа экзамена состоит из восьми разделов:
  1. Теория информационной безопасности и методология защиты информации.
  2. Правовое обеспечение информационной безопасности.
  3. Защита и обработка конфиденциальных документов.
  4. Организационное обеспечение информационной безопасности.
  5. Инженерно-техническая защита информации.
  6. Криптографические методы и средства обеспечения информационной безопасности.
  7. Программно-аппаратная защита информации и защита инфор­мационных процессов в компьютерных системах.
  8. Комплексная защита информации на предприятии.


Данные темы являются определяющими для специалистов в об­ласти комплексной защиты объектов информатизации.


2. ТРЕБОВАНИЯ К УРОВНЮ ПОДГОТОВКИ СПЕЦИАЛИСТА


Специалист в области защиты информации должен уметь решать задачи, соответствующие его квалификации по специальности 090104 «Комплексная защита объектов информатизации».

Специалист по защите информации должен знать:
  • базовый понятийный аппарат в области информационной безо­пасности и защиты информации;
  • виды и состав угроз информационной безопасности;
  • принципы и общие методы обеспечения информационной бе­зопасности;
  • основные положения государственной политики обеспечения информационной безопасности;
  • критерии, условия и принципы отнесения информации к за­щищаемой;
  • виды носителей защищаемой информации;
  • виды и подвиды тайн конфиденциальной информации;
  • виды уязвимости защищаемой информации и формы ее прояв­ления;
  • источники, виды и способы дестабилизирующего воздействия на защищаемую информацию;
  • каналы и методы несанкционированного доступа к конфиден­циальной информации;
  • состав объектов защиты информации;
  • классификацию видов, методов и средств защиты информации;
  • состав кадрового и ресурсного обеспечения защиты инфор­мации.
  • теоретические и методические основы рационального по­строения защищенного документооборота в любых организа­ционных структурах;
  • функциональные возможности и предпосылки эффективного применения различных типов технологических систем и спо­собов обработки и хранения конфиденциальных документов;
  • принципы и методы обработки конфиденциальных документов в потоках при любых используемых типах систем и способах выполнения процедур и операций по обработке и хранению этих документов;
  • методы и приемы защиты документированной информации и носителя этой информации от несанкционированного доступа в процессе выполнения каждой процедуры и операции;
  • порядок обработки, движения, хранения и использования кон­фиденциальных документов в ведомственных архивах;
  • организацию работы руководителей, специалистов и техниче­ского персонала с конфиденциальными документами на любом носителе информации;
  • теоретические основы функционирования систем защиты ин­формации, ее современные проблемы и терминологию;
  • цели, функции и процессы управления системами организаци­онной защиты информации в организациях с различными фор­мами собственности;
  • основные направления и методы организационной защиты ин­формации;
  • принципы построения, структуру и методологию правовой за­щиты информации в стране и за рубежом;
  • содержание и прак­тику применения основных законодательных актов и подза­конных документов, регламентирующих отношения и меру от­ношений субъектов информационного обмена, и должностных лиц, ответственных за защиту информации;
  • возможные действия противника, направленные на нарушение политики безопасности информации;
  • наиболее уязвимые для атак противника элементы компьютер­ных систем;
  • механизмы решения типовых задач программно-аппаратной защиты информации;
  • основные понятия, цели и задачи КСЗИ на предприятии;
  • сущность и составляющие КСЗИ;
  • принципы организации и этапы разработки КСЗИ;
  • факторы, влияющие на организацию КСЗИ;
  • технологическое и организационное построение КСЗИ;
  • технологию управления КСЗИ;
  • методику проведения анализа эффективности функционирова­ния КСЗИ.

Специалист по защите информации должен уметь:
  • выявлять угрозы информационной безопасности применитель­но к объектам защиты;
  • определять состав конфиденциальной информации примени­тельно к видам тайны;
  • выявлять причины, обстоятельства и условия дестабилизи­рующего воздействия на защищаемую информацию со сторо­ны различных источников воздействия;
  • выявлять применительно к объекту защиты каналы и методы несанкционированного доступа к конфиденциальной инфор­мации;
  • определять направления и виды защиты информации с учетом характера информации и задач по ее защите;
  • организовывать системное обеспечение защиты информации;
  • разрабатывать и оформлять нормативно-методические мате­риалы по регламентации процессов обработки, хранения и за­щиты конфиденциальных документов;
  • разрабатывать эффективные технологические схемы рацио­нального документооборота с использованием современных систем и способов обработки и хранения конфиденциальных документов;
  • формулировать задачи по разработке потребительских требо­ваний к автоматизированным системам обработки и хранения конфиденциальных документов;
  • разрабатывать и совершенствовать внемашинную часть орга­низации и технологии функционирования автоматизированных систем обработки и хранения конфиденциальных документов;
  • практически выполнять технологические операции по защите и обработке конфиденциальных документов в организацион­ных структурах;
  • руководить службой конфиденциальной документации;
  • контролировать и анализировать уровень организационной и технологической защищенности документов;
  • анализировать эффективность систем организационной защи­ты информации и разрабатывать направления ее развития;
  • разрабатывать нормативно-методические материалы по регла­ментации системы организационной защиты информации;
  • организовывать работу с персоналом, обладающим конфиден­циальной информацией;
  • организовывать охрану персонала, территорий, зданий, поме­щений и продукции организаций;
  • организовывать и проводить служебное расследование по фак­там разглашения, утечки информации и несанкционированного доступа к ней;
  • организовывать и проводить аналитическую работу по преду­преждению утечки конфиденциальной информации;
  • анализировать механизмы реализации программно-аппаратных методов защиты конкретных объектов и процессов для реше­ния профессиональных задач;
  • применять штатные средства программно-аппаратной защиты и специализированные продукты для решения типовых задач;
  • квалифицированно оценивать область применения конкретных механизмов программно-аппаратной защиты информации;
  • использовать аппаратные средства защиты информации при решении практических задач;
  • определять состав защищаемой информации и объектов защиты;
  • выявлять угрозы защищаемой информации, определять сте­пень их опасности;
  • разрабатывать структуру КСЗИ с учетом условий ее функцио­нирования;
  • определять состав кадрового, нормативно-методического и мате­риально-технического обеспечения функционирования КСЗИ;
  • выбирать методы и средства, необходимые для организации и функционирования КСЗИ;
  • осуществлять текущее руководство функционированием КСЗИ;
  • обеспечить взаимодействие персонала, реализовывающего функционирование КСЗИ.



3. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ПОДГОТОВКЕ К ЭКЗАМЕНУ И ФОРМА ЭКЗАМЕНА


Подготовка к государственному экзамену осуществляется в стро­гом соответствии с целевой установкой и в тесной взаимосвязи с по­требностями области применения. Основу теоретической подготовки студентов составляет освоение лекционного и практического мате­риала по базовым дисциплинам «Теория информационной безопасно­сти и методология защиты информации», «Правовое обеспечение информационной безопасности», «Защита и обработка конфиденциальных документов», «Орга­низационное обеспечение информационной безопасности», «Инженерно-техническая защита информации», «Криптографические методы и средства обеспечения информационной безопасности», «Про­граммно-аппаратная защита информации», «Защита информационных процессов в компьютерных системах», «Комплексная защита инфор­мации на предприятии», дополненной изучением соответствующих разделов рекомендуемой учебной литературы.

Проведенные практические и лабораторные занятия в компью­терных классах и специализированных лабораториях по защите ин­формации позволяют закрепить знания, полученные студентами на лекциях и в процессе самостоятельной работы. Особое внимание об­ращается на развитие умений и навыков установления связи положе­ний теории с профессиональной деятельности будущего специалиста.

Комплексная защита объектов информатизации требует углуб­ленного знания предметной области. В связи с этим необходимо ис­пользовать знания, приобретенные при изучении соответствующих специальных дисциплин, таких, как «Информатика», «Дискретная ма­тематика», «Программирование», «Вычислительные системы, сети и телекоммуникации» и т.д.

Для проверки уровня освоения учебного материала студенты имеют возможность воспользоваться контрольными вопросами по каждому разделу данной программы.

Государственный экзамен проводится в письменном виде. В со­став экзаменационного задания могут быть включены задачи, охваты­вающие содержание всех тем основополагающих дисциплин специ­альности.


4. КРИТЕРИИ ОЦЕНКИ ЗНАНИЙ


Знания, проявленные выпускником на государственном экзамене, оцениваются по четырехбалльной системе.

Оценка «отлично» выставляется студентам, успешно сдавшим эк­замен и показавшим глубокое знание теоретической части курса, умение проиллюстрировать изложение практическими примерами, полно и подробно ответившим на вопросы билета и вопросы членов экзаменационной комиссии.

Оценка «хорошо» выставляется студентам, сдавшим экзамен с незначительными замечаниями, показавшим глубокое знание теоре­тических вопросов, умение проиллюстрировать изложение практиче­скими примерами, полностью ответившим на вопросы билета и вопросы членов экзаменационной комиссии, но допустившим при отве­тах незначительные ошибки, указывающие на наличие не систематичности в знаниях.

Оценка «удовлетворительно» выставляется студентам, сдавшим экзамен со значительными замечаниями, показавшим знание основ­ных положений теории при наличии существенных пробелов в дета­лях, испытывающим затруднения при практическом применении тео­рии, допустившим существенные ошибки при ответе на вопросы би­летов и вопросы членов экзаменационной комиссии.

Оценка «неудовлетворительно» выставляется, если студент пока­зал существенные пробелы в знаниях основных положений теории, не умеет применять теоретические знания на практике, не ответил на во­просы билета или членов экзаменационной комиссии.


5. СОДЕРЖАНИЕ ПРОГРАММЫ ГОСУДАРСТВЕННОГО МЕЖДИСЦИПЛИНАРНОГО ЭКЗАМЕНА


5.1. Раздел 1. Теория информационной безопасности

и методология защиты информации

    1. Информация как предмет защиты


Понятия «информация», «документированная информация», «информационные ресурсы». Значение информации в информатиза­ции общества. Информация как основа прогресса. Информация как товар. Информация как предмет защиты. Современные факторы, оп­ределяющие значение информации.


1.2.Сущность и понятие информационной безопасности


Становление и развитие понятия «информационная безопас­ность». Современные подходы к определению понятия. Сущность информационной безопасности. Объекты информационной безопас­ности. Связь информационной безопасности с информатизацией об­щества. Структура информационной безопасности. Определение по­нятия «информационная безопасность».


1.3.Значение информационной безопасности и ее место в системе национальной безопасности


Значение информационной безопасности для обеспечения прав граждан, удовлетворения информационных потребностей субъектов информационных отношений, предотвращения негативного инфор­мационного воздействия, обеспечения безопасности различных сфер деятельности. Понятие и современная концепция национальной безо­пасности. Место информационной безопасности в системе нацио­нальной безопасности.


1.4. Современная доктрина информационной безопасности Российской Федерации. Понятие и назначение доктрины информационной безопасности


Интересы личности, общества и государства в информационной сфере Составляющие национальных интересов в информационной сфере, пути их достижения. Виды и состав угроз информационной безопасности. Состояние информационной безопасности Российской Федерации и основные задачи по их обеспечению. Принципы обеспе­чения информационной безопасности. Общие методы обеспечения информационной безопасности. Особенности обеспечения информа­ционной безопасности в различных сферах общественной жизни. Ос­новные положения государственной политики обеспечения информа­ционной безопасности, мероприятия по их реализации. Организаци­онная основа системы обеспечения информационной безопасности.


1.5. Сущность и понятие защиты информации


Значение раскрытия сущности и определения понятия защиты информации. Существующие походы к содержательной части поня­тия «защита информации» и способы реализации содержательной части. Методологическая основа для раскрытия сущности и опреде­ления понятия защиты информации. Формы выражения нарушения статуса информации. Обусловленность статуса информации ее уязви­мостью. Понятие уязвимости информации. Формы проявления уязви­мости информации. Виды уязвимости информации. Понятие «утечка информации». Соотношение форм и видов уязвимости информации. Содержательная часть понятия «защита информации». Способ реали­зации содержательной части защиты информации. Определение поня­тия «защита информации», его соотношение с понятием, сформули­рованным в ГОСТ 5092296 «Защита информации. Основные терми­ны и определения»

.

1.6. Цели и значение защиты информации


Существующие подходы к определению целей защиты информа­ции. Понятие целей защиты, информации, их отличие от задач защи­ты информации. Увязка целей защиты информации с защищаемой информацией и субъектами информационных отношений. Непосред­ственная цель защиты информации. Опосредованные (конечные) цели защиты информации.

Место защиты информации в системе нацио­нальной и информационной безопасности. Значение защиты инфор­мации для субъектов информационных отношений: государства, об­щества, личности. Значение защиты информации в политической, во­енной, экономической и других областях деятельности. Социальные последствия защиты информации.


1.7. Теоретические и концептуальные основы защиты информации. Понятие и назначение теории защиты информации


Основные положения теории защиты информации: объективная необходимость и общественная потребность в защите информации, включенность ее в систему общественных отношений, зависимость защиты информации от политико-правовых, социально-экономи­ческих, военно-политических реальностей, увязка с проблемами ин­форматизации общества, обеспечения баланса интересов личности, общества и государства, правовое регулирование и взаимный кон­троль субъектов информационных отношений в сфере защиты ин­формации, содействие повышению эффективности соответствующей области деятельности. Теоретические основы национальной политики в сфере защиты информации. Понятие и назначение концепции защи­ты информации. Теория защиты информации как основа концепции защиты информации. Содержание концепции защиты информации, ее значение для разработки стратегии, формирования целевых про­грамм и практических мероприятий по защите информации. Уровни и виды концепции защиты информации. Становление и развитие госу­дарственной концепции защиты информации.


1.8. Критерии, условия и принципы отнесения информации к защищаемой


Современные подходы к составу защищаемой информации. Ос­нова для отнесения информации к защищаемой, категории информа­ции, подпадающие под эту основу. Понятия «конфиденциальная ин­формация», «секретная информация», «открытая информация», пара­метры их защиты. Понятие защищаемой информации. Критерии от­несения открытой информации к защищаемой, их обусловленность необходимостью защиты информации от утраты. Критерии отнесения конфиденциальной информации к защищаемой, их обусловленность необходимостью защиты информации от утраты и утечки. Условия, необходимые для отнесения информации к защищаемой. Правовые и организационные принципы отнесения информации к защищаемой.


1.9. Классификация конфиденциальной информации по видам тайны


Понятие «тайна информации». Виды тайны конфиденциальной информации. Показатели разделения конфиденциальной информации на виды тайны. Становление и современное определение понятия «государственная тайна». Основания и организационно-правовые формы отнесения информации к государственной тайне. Перечни сведений, являющихся государственной тайной, их назначение и структура. Степени секретности сведений, отнесенных к государст­венной тайне. Критерии отнесения сведений к различным степеням секретности. Грифы секретности носителей информации. Различия между степенью и грифом секретности. Основания для рассекречива­ния информации. Становление и современное определение коммерче­ской тайны. Место коммерческой тайны в системе предприниматель­ской деятельности. Основания и методика отнесения сведений к ком­мерческой тайне. Функции государства в сфере защиты коммерческой тайны. Тенденция и определяющие факторы развития коммерческой тайны. Современные подходы к сущности служебной тайны. Понятие служебной тайны, границы и области ее действия. Распределение полномочий по отнесению сведений к служебной тайне. Понятие «личная тайна». Разновидности личной тайны. Функции государства и граждан в сфере защиты личной тайны. Современные подходы к сущности профессиональной тайны. Понятие и особенности профес­сиональной тайны. Сфера действия профессиональной тайны. Соот­ношение между профессиональной и другими видами тайны. Разно­видности профессиональной тайны.


1.10. Классификация носителей защищаемой информации


Понятие «носитель защищаемой информации». Соотношение между носителем и источником информации. Виды и типы носителей защищаемой информации. Способы фиксирования информации в но­сителях. Виды отображения информации в носителях. Методы вос­произведения отображенной в носителях информации. Опосредован­ные носители защищаемой информации.


1.11. Понятие и структура угроз информации


Современные подходы к понятию угрозы информации. Связь уг­розы информации с уязвимостью информации. Признаки и состав­ляющие угрозы: явления, факторы, условия. Понятие угрозы инфор­мации. Структура явлений как сущностных проявлений угрозы ин­формации. Структура факторов, создающих возможность дестабили­зирующего воздействия на информацию.


1.12. Источники, виды и способы дестабилизирующего воздействия на информацию


Источники дестабилизирующего воздействия на информацию как определяющая структурная часть угрозы. Состав и характеристика источников дестабилизирующего воздействия на информацию. Виды и способы дестабилизирующего воздействия на информацию со сто­роны различных источников. Соотношение видов дестабилизирую­щего воздействия на информацию с формами проявления уязвимости информации.


1.13. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию


Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию, их обусловлен­ность источниками и видами воздействия. Причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздейст­вие на информацию со стороны людей. Обстоятельства (предпосыл­ки), способствующие появлению этих причин. Условия, создающие возможность для дестабилизирующего воздействия на информацию. Причины, обстоятельства и условия дестабилизирующего воздейст­вия на информацию со стороны других источников воздействия.


1.14. Каналы и методы несанкционированного доступа к информации


Канал несанкционированного доступа к информации как состав­ная часть угрозы информации. Современные подходы к понятию ка­нала несанкционированного доступа к информации. Соотношение между каналами несанкционированного доступа и каналами утечки информации, их сущность и понятия. Состав и характеристика кана­лов несанкционированного доступа к информации. Специально соз­даваемые и потенциально существующие каналы. Методы несанк­ционированного доступа к информации, применяемые при использо­вании каждого канала. Зависимость методов и форм их использования от целей и возможностей соперника. Существующая классификация каналов, ее недостатки.


1.15. Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации


Структура государственных разведывательных органов ведущих зарубежных стран. Органы политической, военной и радиотехниче­ской разведки. Структура разведывательных служб частных объеди­нений. Направления и виды разведывательной деятельности, их соот­ношение и взаимосвязь. Особенности деятельности разведывательных органов, их сочетание при добывании информации.


1.16. Организационные основы и методологические принципы защиты информации


Организационные основы как необходимые условия для осуще­ствления защиты информации. Основы, обеспечивающие технологию защиты информации. Основы, необходимые для обеспечения сохран­ности и конфиденциальности информации. Значение методологиче­ских принципов защиты информации. Принципы, обусловленные принадлежностью, ценностью, конфиденциальностью, технологией защиты информации.


1.17. Объекты защиты информации


Понятие объекта защиты. Соотношение объекта с рубежом защи­ты информации. Носители информации как конечные объекты защи­ты. Особенности отдельных видов носителей как объектов защиты. Состав объектов хранения носителей информации, подлежащих за­щите. Состав подлежащих защите технических средств отображения, обработки, хранения, воспроизведения и передачи информации. Дру­гие объекты защиты информации. Виды и способы дестабилизирую­щего воздействия на объекты защиты.


1.18. Классификация видов, методов и средств защиты информации


Виды защиты информации, сферы их действия. Классификация методов защиты информации. Универсальные методы защиты ин­формации, области их применения. Области применения организаци­онных, криптографических и инженерно-технических методов защи­ты информации. Понятие и классификация средств защиты информа­ции. Назначение программных, криптографических и технических средств защиты. Кадровое и ресурсное обеспечение защиты информации

Значение и состав кадрового обеспечения защиты информации. Полномочия руководства предприятия в области защиты информа­ции. Полномочия подразделений по защите информации. Полномочия специальных комиссий по защите информации. Полномочия пользо­вателей защищаемой информации. Состав и назначение ресурсного обеспечения защиты информации. Значение ресурсного обеспечения для организации и эффективности защиты информации.

Назначение и структура систем защиты информации. Понятие «система защиты информации». Назначение систем. Классификация систем защиты информации, сферы их действия. Сущность и значение комплексной системы защиты информации как формы организации деятельности по защите информации. Структура системы защиты информации, назначение составных частей системы. Требования к системам защиты информации.


Основная литература

  1. Семененко В.А. Информационная безопасность: Учебное посо­бие. - М.: МГИУ, 2008.-215 с.
  2. Семененко В.А., Бутакова Н.Г. Основы информационной безо­пасности компьютерных систем: Учебное пособие. - М.: МОСУ, 2005. -220 с.


Дополнительная литература

  1. Алексенцев А.И. Защита информации. Словарь базовых терминов и определений. - М.: РГГУ, 2000.
  2. Алексенцев А.А. О концепции защиты информации // Безопас­ность информационных технологий. 1999. № 2.
  3. Алексенцев А.А. О составе защищаемой информации // Безопас­ность информационных технологий. 1999. № 2.


5.2. Раздел 2. Правовое обеспечение информационной безопасности


2.1. Назначение и структура правового обеспечения защиты информации


Правовое определение информации. Правовые последствия документирования информации. Доктрина информационной безопасности. Угрозы информационной безопасности. Роль права в противодействии информационным угрозам. Система нормативно-правовых актов, посвященных защите информации в Российской Федерации. Отрасли права, обеспечивающие законность в области защиты информации. Законодательное закрепление права на защиту информации. Право­вые основы защиты государственной тайны и иных видов тайн. Пра­вовая ответственность за утечку информации.


2.2. Правовые нормы и методы обеспечения правовой защиты информации


Правовая характеристика сферы защиты информации. Объекты и субъекты этой сферы. Особенности правовой защиты информации с использованием института вещных отношений и института защиты нематериальных благ. Запретительные и разрешительные правовые нормы. Правоспособность и дееспособность в сфере защиты информации. Лицензирова­ние и сертификация как методы правового регулирования. Правомерность использо­вания положений закона «О техническом регулировании» в сфере за­щиты информации.

    1. Основные законодательные акты, содержащие правовые нормы,

направленные на защиту информации.


Конституционное законодательство о защите информации. Зако­нодательные акты общего характера, содержащие положения о защи­те информации. Специальное законодательство по защите информа­ции. Особая роль законов «Об информации, информационных технологиях и о защи­те информации», «Об электронной цифровой подписи», «О государственной тайне», «О коммерческой тайне», «О персональных данных». Назначение подзаконных правовых актов, регулирующих процессы защиты ин­формации. Нормативно-правовые акты, отражающие меру ответственности за противоправные деяния в сфере защиты информации.


2.4. Правовая защита открытой, общедоступной информации


Правовое определение общедоступной информации. Обеспечение свободы доступа к информации. Виды информации, ограничение доступа к которым запрещено законом. Социально-вредная информация. Правовая защита субъектов информационного обме­на от социально-вредной информации. Правовое обеспечение сохранности ин­формации в «ключевых» или «критических» технологиях.


2.5. Проблемы правовой защиты интеллектуальной собственности


Интеллектуальный информационный продукт как объект интел­лектуальной собственности и предмет правовой защиты. Авторское исключительное право и право авторства. Виды интеллектуальной собственности и особенности их защиты. Правовая защита ноу-хау. Авторские и лицензионные договоры. Контрафактная продукция. Меры пресече­ния нарушений в сфере интеллектуальной собственности.


2.6. Информация ограниченного доступа

Необходимость введения ограничений доступа к информации. Конфиденциальность информации. Современные виды тайн. Государ­ственная тайна и иные виды тайн. Особенности организации правовой защиты различ­ного вида тайн. Основные нормативно-правовые документы по защи­те различных видов информации ограниченного доступа.


2.7. Государственная система правовой защиты государственной тайны


Законодательство РФ в области защиты государственной тайны. Органы государственной власти и должностные лица, отвечающие за сохранность государственной тайны. Сведения, составляющие предмет госу­дарственной тайны. Принципы засекре­чивания сведений, составляющих государствен­ную тайну. Распоряжение сведениями, составляющими государственную тайну. По­рядок допуска и доступа персонала к сведениям, составляющим гос­ударственную тайну. Правовые последствия, возникающих для лиц, нарушающих правила обраще­ния с информацией, составляющей государственную тайну.


2.8. Особенности правовой защиты различного вида тайн


Правовая защита служебной тайны. Правовая защита профессиональной тайны. Организация защиты коммерческой тайны. Защита тайны кредитной организации. Профили по защите конфиденциальной информации.


    1. Правовое обеспечение безопасности информационных

и телекоммуникационных систем


Особенности правовой защиты информационных и телекоммуни­кационных систем. Правовой порядок использования электронной цифровой подписи в телекоммуникационных системах. Уголовно-правовые и административные нормы, направленные на защиту информационных и телекоммуникационных систем. Структура нормативного документа ФСТЭК по технической защите информационных систем - СТР-К.


Основная литература

  1. Конституция Российской Федерации // Российская газета. 1993. 25 декабря.
  2. Закон РФ «Об информации, информационных системах и о защите информа­ции» от 27.07.2006, № 14973.
  3. Закон РФ «О государственной тайне» от 02.07.1993 № 5481-1.
  4. Закон РФ «О персональных данных» от 27.07.2006 № 152Ф3.
  5. Закон РФ «О коммерческой тайне» от 29.04.2004. № 98.
  6. Закон РФ « Об электронной цифровой подписи» от 19.01.2002. №193.
  7. Закон РФ «О техническом регулировании» от 27.12.2002. № 184Ф3.
  8. Закон РФ «О лицензировании отдельных видов деятельности» от 08.08.2001. № 128Ф3.
  9. Закон РФ «Об оперативно-розыскной деятельности» от 12.08.1995. № 144Ф3.


Дополнительная литература

  1. Копылов В.А. Информационное право. - М.: Юрист, 2003.
  2. Фисун А.П., Касимов А.И. И др. Право и информационная безопасность. - М.: Прифизат, 2005.
  3. Казанцев С.Я., Загздай О.Э. И др. Правовое обеспечение информационной безопасности. - М.: Издательский центр «Академия», 2005.
  4. Чапков С.Е. Информационное право. - Мю: Юрайт-Издат, 2006.



    1. Раздел 3. Защита и обработка конфиденциальных документов



    1. Технология конфиденциального документооборота


Понятие документооборота. Основополагающее единство движе­ния документов и информации. Документооборот и жизненный цикл документа. Роль и место документооборота в процессе управления организационными структурами и производственными процессами. Информационно-документационное обеспечение деятельности, рабо­ты. Требования, предъявляемые к документообороту.

Особенности автоматизированного безбумажного документообо­рота. Единство принципов и направлений движения традиционных и электронных документов. Стабильная для всех типов носителей ин­формации структура документооборота.

Типовой состав технологических стадий входного (входящего, поступающего), выходного (отправляемого, исходящего) и внутрен­него документопотоков.

Анализ угроз несанкционированного получения документиро­ванной информации, хищения или уничтожения документов, их фальсификации или подмены в документопотоках. Классификация каналов практической реализации возможных угроз. Предполагаемые рубежи и уровни защиты документопотоков.

Понятие защищенного документооборота, его цели и задачи. Взаимосвязь защищенного документооборота с системами, средства­ми и методами защиты документированной информации. Защищен­ный документооборот и используемая технологическая система обра­ботки и хранения документов. Цели и принципы функциональной и персональной избирательности в доставке документированной ин­формации потребителям. Избирательность и разрешительная система доступа к конфиденциальным документам и базам данных. Персо­нальная ответственность за сохранность информации, носителя ин­формации и документа.

Выделенный поток конфиденциальных документов и автономная технология их обработки и хранения. Организационные и технологи­ческие особенности делопроизводства по конфиденциальным доку­ментам.

Пооперационный учет движения конфиденциальных документов и доступа к ним руководителей и специалистов. Учет чистых носите­лей информации, предназначенных для документирования конфиден­циальной информации. Периодические и разовые проверки наличия конфиденциальных документов.

Потоки конфиденциальных документов. Принципы защиты до­кументопотоков, защищенная технология.

Уровень конфиденциальности информации. Организационное обеспечение защиты потоков документированной информации. Принципы, способы и средства защиты технических носителей ин­формации и машиночитаемых документов на разных стадиях их об­работки, движения и хранения.


    1. Стадии обработки и защиты конфиденциальных документов входного потока


Назначение и задачи стадии приема и первичной обработки кон­фиденциальных документов. Типовой состав операций процедуры приема пакетов, конвертов и иных отправлений, поступивших из поч­тового отделения или от нарочного. Учет поступлений, состав фикси­руемых данных. Типовой состав операций процедуры первичной обра­ботки документов. Назначение и задачи стадии предварительного рас­смотрения и распределения поступивших документов. Типовой состав операций процедуры предварительного рассмотрения документов.

Порядок определения рационального маршрута движения доку­мента. Принципы распределения документов между руководителями, структурными подразделениями и специалистами. Функциональная принадлежность документированной информации. Уровень компетен­ции должностных лиц при решении вопросов, поставленных в докумен­тах. Реализация порядка доступа к документам. Типовой состав опера­ций процедуры распределения поступивших документов.

Назначение и задачи стадии учета поступивших документов. Од­нократность регистрации документа. Состав процедур стадии учета документов.

Типовой состав операций процедуры первичной регистрации ис­ходных сведений о документе. Носители записи исходных сведений о документе.

Журналы учета (регистрации) документов. Регистрационно-контрольные карточки. Правила заполнения граф и зон учетной формы.

Задачи и порядок ведения журналов учета и картотек. Обоснова­ние состава дополнительно регистрируемых сведений, их назначение. Правила внесения изменений и дополнений в имеющиеся записи.

Типовой состав операций процедуры рассмотрения документов руководителем. Требования к формулированию заданий, поручений по исполнению документа и определению состава исполнителей и сроков исполнения. Правила работы руководителя и его референта с конфиденциальными документами, порядок хранения документов на их рабочих местах.

Типовой состав операций процедуры передачи документов на ис­полнение. Порядок доведения до исполнителя содержания конфиден­циального документа и резолюции руководителя. Порядок передачи документа на исполнение нескольким структурным подразделениям или специалистам. Порядок перемещения документа между руково­дителями и специалистами. Типовой состав учетных операций.

    1. Стадии обработки и защиты конфиденциальных документов выходного потока


Назначение и задачи стадии исполнения документов. Понятие исполнение документа, инициирующие условия начала исполнения. Состав процедур.

Типовой состав операций процедуры составления текста доку­мента. Состав, особенности применения и оформления, учет бумаж­ных и технических носителей информации. Критерии и порядок оп­ределения степени конфиденциальности документов, изменения и снятия грифа. Типовой состав операций процедуры изготовления до­кумента. Машинописное оформление конфиденциального документа. Типовой состав учетных операций при печатании и перепечатывании проекта документа, передаче печатного материала исполнителю. Формы учета и правила их заполнения. Порядок уничтожения черно­вика документа, испорченных листов и сопутствующих материалов. Оформление результатов уничтожения. Правила печатания под дик­товку и с диктофона.

Типовой состав операций процедуры издания документа. Техно­логия согласования, подписания, утверждения документа.

Документирование санкционирования доступа персонала к базам данных, учет доступа. Опись документов и носителей информации, находящихся у специалиста. Правила работы специалиста с конфи­денциальными документами, порядок обеспечения сохранности до­кументов на его рабочем месте.

Назначение и задачи стадии контроля исполнения документов. Контроль сроков исполнения документов, заданий и поручений. Кон­троль предупредительный (текущий) и последующий (итоговый). За­дачи и сферы защиты информации в процессе контроля исполнения документов. Состав контролируемых документов и сроки их испол­нения. Типовой состав операций процедуры постановки документов на контроль. Типовой состав операций процедуры ведения контроля. Напоминания исполнителям и справочная работа по контролируемым документам.

Назначение и задачи стадии копирования и размножения доку­ментов. Учет документов. Типовой состав операций процедуры оформ­ления результатов копирования или размножения.

Учет изготовленных экземпляров документа. Порядок уничтоже­ния печатных форм, брака и документирование результатов уничто­жения в соответствии с уровнем грифа конфиденциальности. Назна­чение и задачи стадии учета отправляемых и внутренних документов. Централизация учета. Состав процедур. Состав фиксируемых сведе­ний об отправляемых инициативном и ответном документах, о внут­реннем документе. Обоснование состава сведений, назначение и сфе­ра последующего использования каждого показателя.

Процедура передачи внутренних документов для исполнения или использования.

Типовой состав операций процедуры подготовки и передачи от­правляемых документов для экспедиционной обработки. Назначение и задачи стадии экспедиционной обработки отправляемых докумен­тов. Типовой состав операций процедуры контроля комплектности документов. Типовой состав операций процедуры конвертования до­кументов. Правила оформления конвертов (пакетов) с конфиденци­альными документами. Типовой состав операций процедуры переда­чи конвертов (пакетов) нарочным или в почтовое отделение. Оформ­ление реестров. Прядок документирования факта передачи нарочным конверта (пакета) адресату. Правила отправления телеграмм, теле­факсов и телетайпограмм.

    1. Систематизация и оперативное хранение конфиденциальных документов и дел


Назначение и задачи стадии составления и ведения номенклату­ры дел. Методика составления номенклатуры дел: изучение состава документов, разработка классификационной схемы номенклатуры, формулирование заголовков дел и их систематизация, индексирова­ние дел, определение сроков хранения дел. Правила формулирования заголовков дел. Перечень документов с указанием сроков их хране­ния. Назначение перечня. Типовые и ведомственные перечни. Оформ­ление номенклатуры дел, ее согласование и утверждение. Типовой состав операций процедуры ведения и закрытия номенклатуры дел.

Назначение и задачи стадии формирования и оперативного хра­нения дел. Понятие формирование дел. Единство регистрационного индекса и места хранения документа. Типовой состав операций про­цедуры формирования дел. Заведение дел постоянного и временного сроков хранения, оформление обложки дела. Требования, предъяв­ляемые к группировке документов в дела. Технологические операции группировки. Разложение документов внутри дела. Особенности формирования личных дел. Дополнительные требования к формиро­ванию в дела конфиденциальных документов. Нумерация листов. За­полнение описи документов дела. Составление заверительной надпи­си. Прошивка и опечатывание дела. Оформление карточки учета вы- дачи дела. Типовой состав операций процедуры хранения дел. Прави­ла хранения документов, выдачи и приема дел, изъятие документов из дела.

Назначение и состав документов и дел выделенного хранения. Формы учета и содержания регистрируемых сведений. Технологиче­ские операции перевода документов и дел на выделенное хранение.

Назначение и задачи стадии подготовки и передачи дел в архив. Процедура экспертизы ценности документов. Понятие «экспертиза ценности документов», ее задачи, принципы и критерии. Требования, предъявляемые к экспертизе. Организация проведения экспертизы ценности документов. Задачи, функции, состав и порядок работы экс­пертной комиссии. Этапы проведения экспертизы ценности докумен­тов. Типовой состав операций каждого этапа. Дополнительные требо­вания к проведению экспертизы ценности конфиденциальных доку­ментов. Оформление результатов экспертизы.

Назначение и виды описей дел. Порядок составления описи, ее оформление, согласование и утверждение. Типовой состав операций процедуры подготовки дел к передаче в архив. Типовой состав опера­ций процедуры передачи дел в архив/

Назначение и задачи стадии уничтожения документов и носите­лей информации. Процедура отбора документов и носителей инфор­мации для уничтожения. Организация и порядок отбора. Типовой со­став операций. Оформление результатов отбора. Порядок составления и оформления акта о выделении к уничтожению документов, не под­лежащих хранению. Требования по включению в акт документов, дел и носителей информации. Подготовка к уничтожению бумажных, машиночитаемых, аудиовизуальных, конструкторских, технологиче­ских и научно-технических документов. Процедура уничтожения до­кументов и носителей информации. Требования к процессу уничто­жения документов в соответствии со степенью их конфиденциально­сти. Порядок внесения отметок об уничтожении документов и носи­телей информации в учетные формы. Средства организационной тех­ники, используемые при выполнении процедуры.

    1. Проверка наличия конфиденциальных документов, дел и носителей информации


Назначение и задачи проверки наличия документов, дел и носите­лей информации. Сферы распространения проверки. Требования, предъявляемые к проверке. Виды проверок. Периодичность проверок наличия и уровень конфиденциальности информации. Проверки регламентированные (периодические) и нерегламентированные (неперио­дические). Типовой состав процедур и операций проверки наличия.

Организация поиска отсутствующих конфиденциальных доку­ментов. Специализированная комиссия для установления причин от­сутствия документов. Оформление заключения о результатах работы комиссии. Списание документов, отметки в учетных формах.

Текущая проверка наличия документов, дел и носителей инфор­мации. Ее цели, состав проверяемых документов. Оформление ре­зультата проверки.

Квартальная и годовая проверки наличия документов, дел и но­сителей информации. Цели проверок и состав проверяемых докумен­тов. Оформление результатов проверок.

Ежемесячная проверка наличия особо важных конфиденциаль­ных документов. Ее цели, состав проверяемых документов. Оформле­ние результата проверки.

Проверка наличия документов, дел и носителей информации при увольнении сотрудника. Ее цели и оформление результата проверки. Порядок приема от увольняющегося документов, дел и носителей информации. Оформление результата приема.

Проверки наличия и сохранности баз данных в ЭВМ. Цели про­верки и порядок ее проведения. Оформление результата проверки.

Предпосылки нерегламентированных проверок наличия доку­ментов, дел и носителей информации. Цели проверки, состав прове­ряемых документов и оформление результата проверки.


Основная литература

  1. Семененко В.А., Бутакова Н.Г. Защита и обработка конфиденциальных документов: Учебное пособие. - М.: МГИУ,2008. 284 с.
  2. Бутакова Н.Г. Основы защиты конфиденциальных документов: Учебное пособие. - М.: МОСУ, 2005 — 246 с.
  3. Семененко В.А., Бутакова Н.Г. Основы защиты информации в ком­пьютерных системах: Учебное пособие. - М.: МОСУ, 2004. - 238 с.


Дополнительная литература

  1. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: ООО «Журнал «Управление персоналом», 2003. - 200 с.
  2. Андреева Т.И. Делопроизводство: Практическое пособие. - М.: ООО «Управление персоналом», 2005. - 200 с.
  3. Рогожин М.Ю. Справочник кадровика. Оформление документов. - М.: Бератор, 2004. - 344 с.
  4. Крысин А.В. Информационная безопасность: Практическое руко­водство. - М.: «СПАРРК», Киев: «ВЕК+», 2003. - 320 с.


5.4. Раздел 4. Организационное обеспечение информационной безопасности

    1. Политика информационной безопасности предприятия


Основные цели и задачи системы организационной защиты информации. Угрозы информационной безопасности. Внутренние и внешние угрозы. Случайные и преднамеренные угрозы. Организаци­онные меры противодействия угрозам. Каналы утечки информации

Концепция информационной безопасности предприятия. Структура и тре­бования по информационной безопасности предприятия. Процедуры и методы информационной безопасности предприятия. Особенности информационной защиты компьютерных сетей. Реализация принципа разделения полномочий.

    1. Работа с персоналом, допущенным к конфиденциальной информации


Задачи и направления работы с персоналом. Особенности приема сотрудников на работу. Критерии подбора персонала, процедуры подбора и документирования приема. Учет психологических особен­ностей сотрудников, принимаемых на работу. Обязательство о нераз­глашении тайны. Особенности увольнения сотрудников с работы. Процедуры увольнения и их документирование. Направления и мето­ды текущей работы с персоналом. Инструктирование и обучение со­трудников, задачи, принципы и способы. Меры поощрения и наказания, используемые для поддержания дисциплины сотрудников, допущенных к работе с конфиденциальной информации.

    1. Организационная защита информации в процессе проведения совещаний и переговоров по конфиденциальным вопросам


Задачи и направления защиты информации в процессе проведе­ния совещаний и переговоров, а также при приеме посетителей. Тре­бования к отбору информации для ее оглашения в процессе перегово­ров. Правила подготовки и проведения совещаний и переговоров. До­кументирование информации, оформление стенограмм, протоколов и итоговых документов. Порядок использования аудио- и видеозаписи хода переговоров. Требования к помещениям и их охране. Обязанно­сти лиц, ответственных за проведение совещаний и переговоров. Ме­тоды контроля за действиями посетителей. Требования к помещениям для приема посетителей.

    1. Организация защиты информации в автоматизированных информационных системах, обрабатывающих конфиденциальную информацию


Стадии создания информационных систем. Порядок организаци­онной защиты информации в процессе проектирования, пуско - наладочных работ и эксплуатации информационных систем. Органи­зация защиты информации при выходе в сети общего пользования. Порядок аттестации объектов информатизации и информационных систем, обрабатывающих конфиденциальную информацию.

    1. Организационная защита информации при взаимодействии со сторонними организациями в процессе договорной, выставочной, рекламной и иной внешней деятельности предприятия


Угроза информационной безопасности при взаимодействии со сторонними организациями. Порядок отбора и подготовки информа­ции к оглашению. Отражение вопросов защиты информации при под­готовке договоров. Виды публикации информации. Оформление раз­решения на опубликование информации. Осо­бенности обеспечения безопасности информации в процессе выста­вочной деятельности.

    1. Порядок установления пропускного и объектового режимов


Виды, назначение и задачи охраны объектов. Состав функции ох­раны. Построение системы охраны объекта, рубежи охраны. Регла­ментация деятельности, обязанностей и ответственности персонала охраны. Взаимодействие персонала с техническими средствами сиг­нализации, информирования и идентификации. Порядок сдачи под охрану и снятия с охраны объектов и режимных помещений. Назна­чение и задачи пропускного режима. Понятие, задачи и структура пропускного и объектового режима. Порядок организации доступа персонала в помещения различной категории. Функционирование контрольно-пропускных пунктов. Виды пропусков и идентификато­ров, их учет и порядок выдачи.


4 .7. Порядок допуска и доступа персонала и иных лиц к конфиденциальной информации

Назначение, принципы и задачи разрешительной системы допус­ка и доступа к информации ограниченного доступа. Структура разрешительной системы. Назначение и формы допусков, порядок оформления, учета и хранения. Несанкциониро­ванный доступ. Порядок оформления разрешения на доступ, мандат­ная и матричная системы доступа. Порядок доступа к ин­формации ограниченного доступа лиц, командированных другими организациями. Особенно­сти доступа к конфиденциальной информации.


4.8. Аналитическая и плановая работа в сфере организационной защиты информации


Контроль состояния информационной безопасности. Назначение и взаимосвязь аналитической, плановой и контрольной работы, ее ме­сто в построении и функционировании системы организационной за­щиты информации. Цели и задачи аналитической работы по выявле­нию угроз безопасности информации. Этапы аналитической работы. Оценка надежности информационной защи­ты. Цели и задачи планирования мероприятий по формированию и совершенствованию системы организационной защиты информации. Виды программ и планов. Контроль за выполнением программ и пла­нов. Аудит информационной безопасности. Методы прогнозирования и верификации состояния безопасности информации.


4.9. Организация служебного расследования по фактам утраты конфиденциальной информации


Цели и задачи служебного расследования. Основания для слу­жебного расследования. Меры, принимаемые по результатам рассле­дования. Документирование хода и результатов служебного рассле­дования. Порядок проведения служебного расследования в случаях возникновения сложных инцидентов. Особенности проведения служебного расследования инцидентов, происшедших в компьютер­ных сетях.


4.10. Организационные меры по обеспечению и поддержанию информационной безопасности в период чрезвычайных ситуаций


Виды и характерные особенности чрезвычайных ситуаций. Эта­пы развития чрезвычайных ситуаций. Основные задачи по поддержа­нию информационной безопасности в период чрезвычайных ситуа­ций. Кризисные группы. Планирование и проверка готовности под­разделений предприятий к действиям период чрезвычайных ситуаций. Особенности подготовки распорядительных документов по действиям сотрудников, обеспечивающих безопасность информации на период чрезвычайных ситуаций. Организационные меры, принимаемые на предприятии по обеспечению пожарной безопасности. Порядок вос­становления целостности и доступности информации в период после окончания чрезвычайной ситуации.


Основная литература

  1. Семененко В.А. Информационная безопасность. - М.: МГИУ, 2008.

2. Завгородний В.И. Комплексная защита информации в компью­терных системах. - М., 2003.

3. Ярочкин В.И. Информационная безопасность: Учебное пособие для вузов. - М., 2005.

4. Консер И., Беляев А. Информационная безопасность предпри­ятий. -СПб., 2003.


Дополнительная литература

  1. Ярочкин В.И. Система безопасности фирмы. - М.: 2006.
  2. Марченко О.И., Бурмистров Е.В. и др. Управление персоналом. - М.: 2004.
  3. Садердиков А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. - М.: 2004.
  4. Аверченков В.И., Аудит информационной безопасности. - М.: 2006.



5.5. Раздел 5. Инженерно-техническая защита информации

    1. Объекты информационной безопасности


Основные свойства информации как предмета инженерно-техни­ческой защиты. Понятие объекта защиты и его структурное представление. Демаскирующие признаки объектов защиты и их классификация. Источ­ники и носители конфиденциальной информации. Источники опас­ных сигналов.

    1. Угрозы безопасности информации


Виды угроз безопасности информации. Органы добывания ин­формации. Классификация видов и средств технической разведки. Принципы ведения разведки. Технология добывания информации. Каналы и методы несанкцио­нированного доступа к источникам информации.

    1. Способы и средства добывания информации техническими средствами


Способы и средства наблюдения. Способы и средства перехвата сигналов. Способы и средства подслушивания акустических сигналов. Способы и средства добывания информации о демаскирующих при­знаках веществ.

    1. Технические каналы утечки информации


Типовая структура технического канала утечки информации. Характеристики каналов утечки информации. Оптические каналы утечки информации. Радиоэлектронные каналы утечки информации. Акустические каналы утечки информации. Материально-веществен­ные утечки информации.


5.5. Методы, способы и средства инженерно-технической охраны объекта


Концепция инженерно-технической защиты информации. Спосо­бы и средства технической охраны. Способы и средства инженерной защиты объектов. Способы и средства обнаружения злоумышленни­ков и пожара. Способы и средства видеоконтроля. Средства контроля и управления доступом на объект защиты. Автоматизированные интегральные системы безопасности.

    1. Способы и средства защиты информации от наблюдения


Способы и средства противодействия наблюдению в оптическом диапазоне волн. Способы и средства противодействия радиолокаци­онному и гидроакустическому наблюдению.

    1. Способы и средства защиты информации от подслушивания


Способы и средства информационного скрытия акустических сигналов и речевой информации. Способы и средства энергетическо­го скрытия акустических сигналов.

    1. Способы и средства предотвращения утечки информации с помощью закладных устройств


Классификация закладных устройств. Основные демаскирующие признаки проводных и радиозаклад­ных устройств, качественная оценка их информативности. Способы подавления сигналов закладных устройств. Мотивация и порядок проведения поисковых исследований закладных устройств. Аппаратура поиска обнаружения закладных устройств.

    1. Способы и средства предотвращения утечки информации через побочные электромагнитные излучения и наводки


Подавление сигналов побочных электромагнитных излучений и наводок. Средства пассивной и активной защиты (фильтры, экраны).

.

5.10. Способы предотвращения утечки информации по материально-вещественному каналу


Классификация способов предотвращения утечки информации по материально-вещественному каналу. Способы и средства уничтоже­ния информации, содержащейся в отходах делопроизводства и про­мышленного производства. Способы и средства стирания инфор­мации на магнитных носителях. Способы защиты демаскирующих веществ.


5.11. Организация инженерно-технической защиты информации


Общие положения по инженерно-технической защиты информа­ции в организации. Организационные и технические меры по инже­нерно-технической защите информации в организации.

      1. 12. Основы методического обеспечения инженерно-технической защиты информации


Моделирование угроз безопасности информации. Системный подход к защите информации. Моделирование объек­та защиты. Методические рекомендации по разработке типовых мер защиты.


Основная литература

  1. Торокин А.А. Инженерно-техническая защита информа­ции. - М: «Гелиос», 2005. - 959 с.
  2. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки. - М.: Изд-во РГГУ, 2001.
  3. Хорев А.А. Техническая защита информации. Часть 1. Технические каналы утечки информации: Учебное пособие. - М.: НПЦ «Аналитика», 2008. - 432 с.


Дополнительная литература

  1. Петраков А.В. Основы практической защиты информации. - М.: Радио и связь, 1999.


5.6. Раздел 6. Криптографические методы и средства обеспечения информационной безопасности


6.1. Основные задачи современной криптографии


Конфиденциальность. Целостность. Аутентификация. Неотслеживаемость. Цифровая подпись. Управление ключами. Общие требования к криптосистемам.


6.2. Шифры перестановки, шифры замены, Шифры гаммирования


Шифр Сцитала. Маршрутные перестановки. Шифры вертикальной перестановки. Поворотные решетки. Элементы криптоанализа простых шифров перестановки.

Поточные шифры простой замены. Шифры многоалфавитной замены Биграммные и n-граммные шифры замены. Матричные шифры. Модель шифров замены. Классификация шифров замены. Криптоанализ поточного шифра простой замены.

Основные требования к гамме. Шифр Виженера. Одноразовый блокнот К.Шеннона. Аддитивные методы шифрования. Режим гаммирования ГОСТ 28147-89.


6.3.Блочные и поточные системы шифрования


Регистры сдвига с обратной связью. Скремблеры. Методы рандомизации сообщений. Поточные шифрсистемы. Блочные системы шифрования. Конструкции Фейстеля. Режимы шифрования блочных шифров. Алгоритмы блочного шифрования. Стандарты шифрования DES, AES, ГОСТ 28147-89.


6.4.Системы шифрования с открытыми ключами


Асимметричные системы. Открытое распределение ключей. Схема Диффи-Хеллмана. Криптосистема RSA. Схема шифрования Эль-Гамаля. Криптография на эллиптических кривых. Криптоанализ шифра RSA.


6.5. ЭЛЕКТРОННЫЕ Цифровые подписи


Механизм действия электронной цифровой подписи. Функции хеширования. Алгоритмы цифровой подписи. Криптоанализ односторонних хеш-функций. Стандарты цифровой подписи ГОСТ Р 34.10, DSA (ECDSA).


Основная литература

  1. Бутакова Н.Г., Семененко В.С., Федоров В.Н. Криптографическая защита информации. – М.:МГИУ, 2010.-376с.
  2. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебное пособие. – М.: Гелиос АРВ, 2002. – 480 с.
  3. Словарь криптографических терминов / Под редакцией Б.А.Погорелова и В.Н.Сачкова.- М: МЦНМО, 2006.
  4. Бутакова Н.Г.Основы защиты конфиденциальных документов: Учебное пособие. - М.:МОСУ, 2005. – 246 с.
  5. Семененко В.А., Бутакова Н.Г. Основы защиты информации в компьютерных системах: Учебное пособие. – М.: МОСУ, 2004. – 238 с.
  6. Закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 года N 149-ФЗ.
  7. Федеральный Закон “Об электронной цифровой подписи” от 10 января 2002 г. N 1-ФЗ.
  8. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.- М., Госстандарт, 1990.
  9. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.- М., Госстандарт, 2001.
  10. ГОСТ Р 34.11-94. Функция хеширования.- М., Госстандарт, 1994.



Дополнительная литература
  1. Нечаев В.И. Элементы криптографии (Основы теории защиты информации): Учеб. пособие для ун-тов и пед. Вузов / Под ред. В.А.Садовничего – М.: Высш.шк., 1999, - 109 с.
  2. Зубов А.Ю. Совершенные шифры.- М: Гелиос АРВ , 2003.- 162 с.
  3. Коутинхо С.. Введение в теорию чисел. Алгоритм RSA. – М.: Постмаркет, 2001. – 328 с.
  4. Виноградов И.М. Основы теории чисел. – 10-е изд., стер. – СПб.: Издательство «Лань», 2004. – 176 с.
  5. Введение в криптографию / Под общей редакцией В.В.Ященко. – 3-е изд., доп. – М.: МЦНМО: «ЧеРо», 2000. – 288 с.
  6. Масленников М. Практическая криптография. – СПб.: БХВ-Петербург, 2003. – 464 с.



5.7. Раздел 7. Программно-аппаратная зашита информации и защита информационных процессов в компьютерных системах


7.1. Информационная безопасность

в компьютерных системах


Компьютерная система как объект защиты информации. Понятие угрозы информационной безопасности в КС. Классификация и общий анализ угроз. Информационной безопасности в КС. Случайные угрозы информационной безопасности. Преднамеренные угрозы информационной безопасности.


7.2. Понятие политики безопасности в компьютерных системах


Разработка политики информационной безопасности. Методология политики безопасности компьютерных систем. Основные положения политики информационной безопасности. Жизненный цикл политики безопасности. Принципы политики безопасности.


7.3. Архитектура системы программно-аппаратной защиты


Функциональная модель системы защиты. Состав и назначение функциональных блоков. Основные группы механизмов защиты. Функциональная модель. Рекомендации по отдельным уровням функциональной модели.