Учебная программа по дисциплине информационная безопасность и защита информации скородумов

Вид материалаПрограмма

Содержание


Цели преподавания дисциплины
В результате изучения курса студент должен
Содержание курса
Тема 2 Концепция информационной безопасности
Тема 3 Нормативно-правовое обеспечение информационной безопасности
Тема 4. Угрозы и риски информационной безопасности
Тема 5 Экономика информационной безопасности
Тема 6 Организационное обеспечение системы защиты информации
Тема 7 Технические средства защиты информации
Тема 8 Технологические основы обработки конфиденциальных документов
Тема 9 Модели и методики безопасности
Тема 10 Средства защиты информации в автоматизированных системах
Тема 11 Компьютерные вирусы
Тема 12 Основы криптографии
Тема 14 Протоколы сетевой безопасности
Тема 15 Электронная почта и ее защита
Тема 16 Методология построения защищенных автоматизированных информационных систем
Подобный материал:
УЧЕБНАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ
Скородумов


Требования к обязательному минимуму содержания основной

образовательной программы:

Общая проблема информационной безопасности информационных систем; защита информации при реализации информационных процессов (ввод, вывод, передача, обработка, накопление, хранение); организационное обеспечение информационной безопасности; защита информации от несанкционированного доступа; математические и методические средства защиты; компьютерные средства реализации защиты в информационных системах; программа информационной безопасности России и пути ее реализации.


Цели преподавания дисциплины:

формирование у студентов знаний, умений и навыков, необходимых для построения и анализа безопасных информационных систем и технологий

В результате изучения курса студент должен

знать:
  • основы организации отечественных и международных стандартов в области информационной безопасности

уметь:
  • обоснованно выбирать необходимые для выполнения задач информационной безопасности политику и модели безопасности
  • использовать технологии защиты информации при решении задач управления и создания безопасных информационных систем

Часы, отведенные на изучение дисциплины, согласно учебному плану (136ч):

Форма обучения

Всего ауд. занятий

Самостоятельная работа

очная

68ч

68ч

очно-заочная(вечерняя)

36ч

100ч

заочная

16ч

120ч




СОДЕРЖАНИЕ КУРСА

Тема 1 Введение в информационную безопасность и защиту информации

Назначение, задачи и общая характеристика курса, общие понятия и определения, краткая историческая справка. Данные и информация. Свойства информации. Машинное представление информации. Физическое представление информации и процессы ее обработки. Виды и формы представления информации. Носители информации. Информация как объект защиты. Определение и цели, механизмы, инструментарий, основные направления информационной безопасности. Информация и ресурсы. Информация как объект права собственности. Информация как коммерческая тайна. Информация как рыночный продукт.

Тема 2 Концепция информационной безопасности

Концепция информационной безопасности. Объекты обработки и защиты информации. Классификация информационных систем и объектов, модель классификации. Требования к функциональности безопасности. Требования к достоверности безопасности. Понятие системы защиты информации. Виды обеспечения защиты информации. Служба информационной безопасности. Основные понятия, задачи, функции, структура, принципы и этапы создания. Уровень подготовки специалистов. Подбор кадров. Взаимодействие с другими подразделениями организации. Оценка эффективности службы информационной безопасности.

Тема 3 Нормативно-правовое обеспечение информационной безопасности

Место информационной безопасности в национальной безопасности страны. Обзор законодательных актов. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Закон Российской Федерации «О государственной тайне». Федеральный закон Российской Федерации «Об информации, информационных технологиях и защите информации». Федеральный закон Российской Федерации «Об электронной цифровой подписи». Стандарты предприятия.

Тема 4. Угрозы и риски информационной безопасности

Понятие угрозы и риска. Естественные и искусственные, случайные и преднамеренные, пассивные и активные, внешние и внутренние и т.п. угрозы. Источники угроз. Виды угроз: нарушение конфиденциальности, нарушение целостности, нарушение уровня доступности. Систематизация рисков. Виды противников или «нарушителей». Модель нарушителя (злоумышленника).

Типовые модели нападения. Классификация атак. Типовая атака: снаружи и внутри. Локальные атаки. Удаленные атаки. Атаки на поток данных: пассивные и активные.

Тема 5 Экономика информационной безопасности

Определение риска. Объективные и субъективные вероятности реализации угроз посредством уязвимостей и их оценка. Измерение рисков, шкалы рисков. Формирование качественных и количественных оценок рисков. Оценки потерь. Технологии оценки угроз, уязвимостей, рисков и потерь. Оптимизация потерь, обоснование прогноза потерь и ущерба. Экономические проблемы информационных ресурсов; экономическая безопасность; информация как важнейший ресурс экономики; информация как товар, цена информации; основные подходы к определению затрат на защиту информации; система ресурсообеспечения защиты информации и эффективность ее использования; управление ресурсами в процессе защиты информации; виды ущерба, наносимые информации; степень наносимого ущерба информации; формирование бюджета службы защиты информации.

Тема 6 Организационное обеспечение системы защиты информации

Особенности работы с персоналом, владеющим конфиденциальной информацией. Персонал как основная опасность утраты конфиденциальной информации. Методы добывания ценной информации у персонала. Особенности приема на работу, связанную с владением конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Текущая работа с персоналом, владеющим конфиденциальной информацией. Особенности увольнения сотрудников. Идентификация и установление подлинности объекта (субъекта). Объект идентификации и установления подлинности. Идентификация и установление подлинности личности. Идентификация и установление подлинности документов. Идентификация и установление подлинности информации на средствах ее отображения.

Тема 7 Технические средства защиты информации

Устройства и системы противоправного преднамеренного овладения конфиденциальной информацией. Технические средства защиты объектов. Инженерно-техническая защита. Системы охранной сигнализации на территории и в помещениях объекта обработки информации. Требования к системам охранной сигнализации. Наружные системы охраны и охранной (пожарной) сигнализации. Защита информации от утечки за счет побочного электромагнитного излучения и наводок. Методы и средства защиты информации от случайных воздействий. Методы защиты информации от аварийных ситуаций. Биометрия, интеллектуальные карты.

Тема 8 Технологические основы обработки конфиденциальных документов

Понятие защищенного документооборота. Технологические системы защиты и обработки конфиденциальных документов. Принципы учета конфиденциальных документов. Этапы подготовки конфиденциальных документов: учет, изготовление и издание. Технология контроля исполнения документов и поручений. Порядок работы персонала с конфиденциальными документами и материалами. Обработка изданных документов. Проверка наличия и уничтожение конфиденциальных документов, дел и носителей информации. Порядок уничтожения документов, дел и носителей информации. Формирование и хранение конфиденциальных дел. Обеспечение безопасности информации на наиболее уязвимых участках офисной деятельности, защита информации при проведении совещаний и переговоров. Защита информации при работе с посетителями.

Тема 9 Модели и методики безопасности

Модели безопасности и их применение. Модель матрицы доступа: добровольное и принудительное управление доступом. Модель распространения прав доступа. Модель многоуровневой защиты данных. Модель безопасности информационных потоков. Управление рисками. Методики оценки рисков. Модель качественной оценки. Количественная модель рисков. Определение вероятности события. Определение стоимости активов. Использование списков уязвимостей в управлении рисками.

Тема 10 Средства защиты информации в автоматизированных системах

Классификация систем. Основные средства защиты информации: технические, программные, криптографические, организационные, законодательные. Средства контроля физического доступа. Автоматизированные средства защиты информации. Системы управления политикой безопасности. Работа с персоналом и оборудованием. Автоматизированные системы как объекты защиты информации. Организация проектирования автоматизированных систем в защищенном исполнении. Условия и режимы эксплуатации автоматизированных систем.

Тема 11 Компьютерные вирусы

Определение компьютерного вируса. Основные признаки вирусного поражения. Понятия о видах вирусов. Классификация по среде обитания вируса; по способу заражения среды обитания; по деструктивным возможностям; по особенностям алгоритма вируса. Методы борьбы с вирусами. Обзор антивирусных программ.

Тема 12 Основы криптографии

Основные понятия. Классификация шифров. Симметричное и асимметричное шифрование, поточное и блочное шифрование. Практическая стойкость шифров. ГОСТ 28147-89. Хэш-функции. Протоколы и алгоритмы. Криптосистемы. Системы управления ключами. Электронная цифровая подпись. ГОСТ Р 34.10-2001.

Тема 13 Основы безопасности в Internet/Intranet

Угрозы. Классификация удаленных атак: по сценарию, по цели, по характеру взаимодействия с жертвой. Удаленный сбор информации. Выяснение адресов. Поиск уязвимостей. Наиболее распространенные классы удаленных атак. Вирусы и троянские программы. Отказ в обслуживании. Переполнение буфера. Пассивные атаки. Обзор программных средств защиты. Сканеры уязвимости. Системы и технологии обнаружения атак. Программные шлюзы и прокси- серверы. Internet-серверы. Межсетевые экраны. Функции межсетевого экранирования. Фильтрация трафика. Средства защиты трафика.

Тема 14 Протоколы сетевой безопасности

Задачи протоколов сетевой безопасности. Техническое описание протоколов. Инфраструктура открытых ключей. Цифровые сертификаты. Аудит использования сетевых протоколов безопасности.

Тема 15 Электронная почта и ее защита

Безопасность электронной почты. Методы обеспечения конфиденциальности переписки. Защита шифрованием, средства шифрования. Линейное шифрование. Абонентское шифрование. Индивидуальная и корпоративная защита от спама и почтовых вирусов.

Электронные платежи, использование кредитных карт. Виды мошенничества. Средства идентификации и аутентификации.

Тема 16 Методология построения защищенных автоматизированных информационных систем

Критерии защищенности. Анализ и оценка действующей концепции защиты. Выбор концептуальной модели построения защиты. Исходные данные для постановки задачи. Введение в проблему теории защиты информации. Общий методический подход. Модель элементарной защиты. Модель многозвенной защиты. Многоуровневая защита. Метод построения защиты информации в системах с сосредоточенной обработкой данных. Классификация возможных каналов НСД.


Рекомендуемая литература

Основная литература

Петраков А.В. Основы практической защиты информации.- Учеб. пособие. – М.: Солон-Пресс , 2005. – 384 с.

Современная компьютерная безопасность: Теоретические основы. Практические аспекты. – М.: Книжный мир. Щербаков А.Ю., 352стр, 2009 г.

Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академический проект, 2008. – 544 с.

Дополнительная литература

Владимир Скиба, Владимир Курбатов. Руководство по защите от внутренних угроз информационной безопасности. – М.: Издательство: Питер, 2008