Программа дисциплины дс. 08 «Информационная безопасность» для студентов специальности 010501 «Прикладная математика и информатика» направления 010500 «Прикладная математика и информатика»

Целью преподавания дисциплины «Информационная безопасность» является оз-накопление студентов с общими проблемами информационной безопасности про-граммои информационной безопасности Российской Федерации и путями ее реализа-ции, с законодательством и стандартами в этой области, с понятиями и определениями источниками, рисками и формами атак на информацию, политикой и стандартами крипто-алгоритмами аутентификации, обеспечением информационной безопасности в сетях в том числе и при работе в сети Интернет.

2. Требования к уровню освоения содержания дисциплины

В результате изучения дисциплины студент должен

знать: правовые основы информационной безопасности, организационные технические и программные методы и средства зашиты информации, стандарты, модели и методы шифрования, методы идентификации пользователей, методы защиты программ от вирусов; иметь представление о направлениях развития и перспективах информационной безопасности;

уметь: применять методы информационной безопасности при моделировании, программировании, применении математических методов в финансовой и страховой деятельности, а также в других предметных областях;

иметь навыки: установки и настройки программного обеспечения, применяемо­го для защиты от несанкционированного доступа, как из сетей общего пользования, так и внутренних сетей предприятия.

Входные дисциплины: Операционные системы, Практикум на ЭВМ, Системное и прикладное программное обеспечение, Компьютерные сети.

Выходные дисциплины: Дипломное проектирование.

3. Содержание дисциплины
3.1. Лекции

1. Правовое обеспечение информационной безопасности (4 часа) [1, 2]. Кон­ституционные гарантии прав граждан на информацию и механизмы их реализации. По­нятие и виды защищаемой информации по законодательству РФ. Системы защиты го­сударственной тайны и конфиденциальной информации. Лицензирование и сертифика­ция в области защиты государственной тайны и конфиденциальной информации. За­щита интеллектуальной собственности. Преступления в сфере компьютерной инфор­мации.
   
2. Основы информационной безопасности (4 часа) [2,3]. Понятие национальной безопасности Российской Федерации. Информационная безопасность (ИБ) в системе национальной безопасности РФ, проблемы информационной войны. Основные поня­тия, общеметодологические принципы теории ИБ. Модели информационной безопас­ности; международные и отечественные стандарты информационной безопасности, по­литика безопасности; показатели защищенности средств вычислительной техники и классы защищенности автоматизированных систем от несанкционированного доступа . Угрозы ИБ. Оценка и управление рисками. Обеспечение конфиденциальности, целост­ности и доступности информации.
   
3. Безопасность операционных систем (4 часа) [4, 5]. Общая операционных систем. Назначение, возможности, модели безопасности систем группы Windows, NetWare, клона UNIX. Организация управления защиты ресурсов ОС. Основные механизмы безопасности: средства и методы аутентификации в ОС, модели разграничения доступа, организация и использование средств аудита. Администрирование ОС: задачи и принципы сопровождения системного про­граммного обеспечения, генерация, настройка, измерение производительности и моди­фикация систем, управление безопасностью ОС.
   
4. Безопасность вычислительных сетей (4 часа) [5, 6]. Безопасность ресурсов сети: средства идентификации и аутентификации, методы разделения ресурсов и тех­нологии разграничения доступа. Интеграция локальных вычислительных сетей в гло­бальные. Основные механизмы обеспечения безопасности и управления распределен­ными ресурсами. Протоколы аутентификации Kerberos, SSL, TLS. Многоуровневая за­щита корпоративных сетей. Виртуальные частные сети, варианты построения и про­дукты реализации. Режим функционирования межсетевых экранов и их основные ком­поненты. Основные схемы сетевой защиты на базе межсетевых экранов. Системы адап­тивного анализа защищенности. Задачи и программно-аппаратные средства админист­ратора безопасности сети.
   
5. Безопасность систем управления базами данных (4 часа) [7]. Методы и сред­ства идентификации и аутентификации пользователей СУБД, системные и объектные привилегии, разграничение прав на выполнение операций над объектами баз данных, средства языка SQL для организации разграничения доступа, концепция и реализация механизма ролей, использование представлений, организация аудита системных собы­тий и действий пользователя в системах баз данных. Триггеры и их применение в базах данных. Обеспечение непротиворечивости, транзакции. Использование блокировок. Ограничения ссылочной целостности баз данных. Организация взаимодействия СУБД и базовой ОС, журнализация, методы и средства создания резервных копий и восста­новления баз данных. Защита баз данных от аппаратных и программных сбоев. Обес­печение безопасности доступа к базам данных в технологии клиент/сервер. Задачи и программно-аппаратные средства администратора безопасности баз данных.
   
6. Организационное обеспечение информационной безопасности (2 часа) [8]. Исходная концептуальная схема (парадигма) обеспечения информационной безопасно­сти (ИБ) организации. Общие и специальные принципы обеспечения ИБ организации. Модели угроз и нарушителей информационной безопасности организации. Политика ИБ организации: состав, назначение, общие требования по обеспече­нию ИБ, отображаемые в политике ИБ организации; общие требования по обеспечению ИБ при распределении ролей и обеспечении доверия к персоналу; общие требования по обеспечению ИБ автоматизированных систем на стадиях жизненного цикла; общие требования по обеспечению ИБ при управлении доступом и регистрации; общие требо­вания по обеспечению ИБ средствами антивирусной защиты; общие требования по обеспечению ИБ при использовании ресурсов сети Интернет; общие требования по обеспечению ИБ при использовании средств криптографической защиты информации. Система менеджмента ИБ организации: планирование; реализация и эксплуата­ция СМИБ; проверка (мониторинг и анализ) СМИБ; совершенствование СМИБ; систе­ма документации; обеспечение непрерывности деятельности и восстановление после прерываний; служба информационной безопасности организации. Проверка и оценка информационной безопасности организации. Модель зрело­сти процессов менеджмента информационной безопасности организации.
   
7. Программно-аппаратные средства защиты информации (4 часа) [9]. Назна­чение и принципы создания программно-аппаратных средств обеспечения информаци­онной безопасности. Программно-аппаратные средства, реализующие отдельные функ­циональные требования по защите, принципы их действия и технологические взаимодействие с общесистемными компонентами вычислительных систем, методы и средства ограничения доступа к компонентам вычислительных систем. Методы и средства привязки программного обеспечения к аппаратному окружению и физич ским носителям. Методы и средства хранения ключевой информации. Защита про­грамм от изучения, способы встраивания средств защиты в программное обеспечение Защита от разрушающих программных воздействий, защита программ от изменения и контроль целостности, построение изолированной программной среды. Задачи и техно­логия сертификации программно-аппаратных средств на соответствие требованиям безопасности информации. Основные категории требований к программно-аппаратной реализации средств обеспечения информационной безопасности. Программно-аппаратные средства защиты информации в сетях передачи данных.
   
8. Криптографические методы защиты информации (4 часа) [10, 11]. Моноал­фавитные и полиалфавитные шифры. Блочные и потоковые шифры. Симметричные криптосистемы. Стандарты шифрования данных DES, Triple-DES, AES и основные ре­жимы их работы. Отечественный стандарт ГОСТ 28147-89 и режимы его работы. Асимметричные криптосистемы. Однонаправленные функции. Криптосистема RSA, ее безопасность и быстродействие. Схема шифрования Полига-Хеллмана. Схема шифрования Эль-Гамаля. Комбинированный метод шифрования. Идентификация и аутентификация пользователя. Взаимная проверка подлинности пользователей. Проблема аутентификации данных и электронная цифровая подпись. Однонаправленные хэш-функции. Алгоритм хэширования SHA-1. Однонаправленные хэш-функции на основе симметричных блочных алгоритмов. Отечественный стандарт хэш-функции ГОСТ Р.34.11-94. Алгоритм цифровой подписи DSA. Отечественный стандарт цифровой подписи ГОСТ Р34.10-94. Реализация блочных шифров 3DES, CAST и IDEA, а также поддержка алгоритм хэширования SHA-1 для вычисления цифровой подписи в пакете PGP. Российские раз­работки: «Верба», «Криптон», «Крипто-Про», «Лан-Крипто» и др.
   
9. Комплексное обеспечение информационной безопасности автоматизиро­ванных информационных систем (4 часа) [12]. Постановка проблемы комплексного обеспечения ИБ автоматизированньгх информационных систем. Состав компонентов комплексной системы обеспечения информационной безопасности (КСИБ), методоло­гия формирования задач защиты. Этапы проектирования КСИБ и требования к ним: предпроектное обследование, техническое задание, техническое проектирование, рабо­чее проектирование, испытания и внедрение в эксшгуатацию, сопровождение. Типовая структура комплексной системы защиты информации от НСД. Методика выявления возможных каналов НСД, последовательность работ при проектировании КСИБ, моде­лирование как инструментарий проектирования. Методы оценки качества КСИБ. Тре­бования к эксплуатационной документации КСИБ, аттестация по требованиям безопас­ности информации.
   

3.2. Практические и семинарские занятия - только для группы 010500-03

3.3. Лабораторный практикум

4. Курсовые проекты (работы) - не предусмотрены.
   
5. Формы текущего контроля.
   

Раздел (ы) Форма контроля		Неделя
1-9	Домашнее задание при защите лабораторных работ	в течение семестра

3.6. Самостоятельная работа

Темы 1 - 9 в рамках подготовки к лабораторным работам.

4.1. Рекомендуемая литература

4.1.1. Основная литература

1. Сёмкин С. Н., Сёмкин А. Н. Основы правового обеспечения защиты информа­
ции. Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2008. - 238 с.

2. Фисун А.П. Информационное право и информационная безопасность инфор­мационной сферы: учебное пособие. - Орел: ОГУ, 2004- 303 с. I
   
3. Малюк А.А. Информационная безопасность: концептуальные методологиче­ские основы защиты информации. - М.: Горячая линия - Телеком, 2004. - 280 с.
   
4. Волобуев СВ. Защита в операционных системах: учебное пособие по курсу «Методы и средства защиты компьютерной информации». - Обнинск: ИАТЭ, 2003. -80 с.
   
5. Зихерт К., Ботт Э. Безопасность Windows. - СПб.: «Питер», 2003. - 688 с.
   
6. Волобуев СВ., Волобуев КС. Применение системы защиты информации ViP-Net в электронном документообороте: учебно-методическое пособие. - Обнинск: ГОУ «ГЦИПК», 2004. — 181 с.
   
7. Волобуев СВ., Бологов Е.П. Информационная безопасность баз данных: учеб­ное пособие по курсу «Методы и средства защиты компьютерной информации». - Об­нинск: ИАТЭ, 2005. - 76 с.
   
8. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информацион­ной безопасности организаций банковской системы Российской Федерации. Общие по­ложения. - М.: ЗАО «АЭИ «Прайм-ТАСС». - 2006.
   
9. Волобуев СВ., Волобуев Е.С. Программно-аппаратные средства защиты ком­пьютерной информации: учебное пособие по курсу «Методы и средства защиты ком­пьютерной информации». - Обнинск: ИАТЭ, 2006. - 80 с.
   

10. Запечников С В. Криптографические протоколы и их применение в
вой и коммерческой деятельности: Учебное пособие для вузов. - М.: Горячая линю
Телеком, 2007. - 320 с.

11. Горбатов B.C., Полянская О.Ю. Основы технологии PKI. - М: Горячая линия -Телеком, 2004.-248 с.
    
12. Волобуев СВ., Волобуев Е.С. Комплексное обеспечение информационной безопасности автоматизированных систем: учебное пособие. - Обнинск- ФГОУ «ГЦИПК», 2006. - 137 с.
    

4.1.2. Дополнительная литература

1. Волобуев СВ. Безопасность социотехнических систем. - Обнинск, «Викинг» 2000. - 340 с.
   
2. Волобуев СВ. Введение в информационную безопасность: учебное пособие -Обнинск: ИАТЭ, 2001. - 80 с.
   
3. Волобуев СВ. Информационная безопасность автоматизированных систем: учебное пособие - Обнинск: ИАТЭ, 2001. - 80 с.
   
4. Волобуев СВ. Философия безопасности социотехнических систем. - М.: Ву­зовская книга, 2002. - 360с.
   
5. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Защита программ и дан­ных: учебное пособие. - М.: Радио и связь, 2000. - 168 с.
   
6. Проскурин В.Г., Кругов СВ., Мацкевич И.В. Защита в операционных систе­мах: учебное пособие. - М.: Радио и связь, 2000. - 168 с.
   
7. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита: учебное пособие. - Щ Юнити, 2000. - 528 с.
   
8. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компью­терных системах и сетях. Под ред. Шаньгина В.Ф. - 2-е изд., перераб. и доп. - М: Ра­дио и связь, 2001. - 376 с.
   
9. Зегжда П.Д., Ивашко A.M. Основы безопасности информационных систем: учебное пособие. - М.: Горячая линия - Телеком, 2000. - 452с.
   

10. Теоретические основы информатики и информационная безопасность: Под ред. докторов технических наук, профессоров В.А. Минаева, В.Н. Саблина. - М: Радио и связь, 2000. - 468 с.
    
11. Меньшаков Ю.К. Защита информации от технических разведок. - М.: РГТУ, 2002.-400 с.
    
12. Петраков А.В. Основы практической защиты информации, 2-е изд.: учебное пособие. - М.: Радио и связь, 2000. - 368 с.
    
13. Конституция Российской Федерации (принята 12 декабря 1993 года).
    
14. Гражданский кодекс РФ от 18.12.2006 № 230-ФЗ. Часть четвертая. Раздел VII Права на результаты интеллектуальной деятельности и средства индивидуализации.
    
15. Кодекс РФ от 30.12.2001 № 195-ФЗ «Об административных правонарушени­ях» (в части вопросов защиты информации) (с изм. и доп. от 30.06.2003 №86-ФЗ).
    
16. Доктрина информационной безопасности Российской Федерации (утв. Прези­дентом РФ 09.09.2000).
    
17. Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» (с изм. и доп. от 6.10.1997 № 131-ФЗ; от 30.06.2003 № 86-ФЗ; от 11.11. 2003. № 153-ФЗ; от 29.06. № 58-ФЗ; от 22.08. 2004 № 122-ФЗ).
    
18. Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информа­ционных технологиях и защите информации».
    
19. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
    
20. Федеральный закон РФ от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
    
21. Федеральный закон РФ от 7.07.2003 № 126-ФЗ «О связи».
    
22. Федеральный закон РФ от 10.01.2002 г. № 1-ФЗ. «Об электронной цифровой подписи».
    

23. Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационных телекоммуникационных сетей международного информационного обмена»

24. Постановление Правительства РФ от 15.08.2006 № 504 «О лицензировании
деятельности по технической защите конфиденциальной информации»

25. Постановление Правительства РФ от 31.08.2006 № 532 «Об утверждении положения о лицензировании деятельности по разработке и (или) производству средств
защиты конфиденциальной информации».

26. Постановление Правительства РФ от 23.09.2002 № 691 «Об утверждении по­ложений о лицензировании отдельных видов деятельности, связанных с шифроваль­ными (криптографическими) средствами».

27. ГОСТ 28147-89. Системы обработки информации. Защита криптографиче­ская. Алгоритмы криптографического преобразования.

28. ГОСТ Р.34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на ба­зе асимметричного криптографического алгоритма.
    
29. ГОСТ Р.34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
    
30. ГОСТ Р.34.10 - 2001. Информационная технология. Криптографическая за­щита информации. Процессы формирования и проверки электронной цифровой подпи­си.
    
31. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
    
32. Гостехкомиссия России. Сборник руководящих документов по защите ин­формации от несанкционированного доступа. 1 М., 1998.
    
33. Гостехкомиссия России. Руководящий документ. Защита от несанкциониро­ванного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных воз­можностей. - М., 1999.
    
34. Гостехкомиссия России. Руководящий документ. Безопасность информаци­онных технологий. Критерии оценки безопасности информационных технологий. - М., 2002.
    

4.2. Средства обеспечения освоения дисциплины

Программные продукты: операционные системы Windows ХР, Windows 2003, СУБД Oracle 9, система зашиты информации от несанкционированного доступа «Secret Net», программный пакет PGP, почтовая программа The Bat!, межсетевой экран Outpost Firewall, сетевые сканеры: NMap, XSpider, GFI LANGuard Network Security Scanner, Mi­crosoft Baseline Security Analyzer, сетевой монитор системы обнаружения атак Snort, антивирусный пакет Dr. Web - сканер для Windows.

5. Материально-техническое обеспечение дисциплины

Сетевой компьютерный класс, каждый компьютер которого, должен иметь до­полнительный винчестер, установленный в съемное устройство MobileRack, и предна­значенный только для лабораторных работ по данной учебной дисциплине. Во время проведения лабораторных работ по другим учебным дисциплинам устройство Mobile Rack с установленным в нем винчестером должно физически изыматься из компьютера и храниться в запираемом сейфе.