Министерство образования и науки российской федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«СЫКТЫВКАРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Институт точных наук и информационных технологий

Кафедра информационной безопасности

УТВЕРЖДАЮ: УТВЕРЖДЕНО:

Проректор СыктГУ на заседании Учного Совета института по учебной работе точных наук и информационных технологий Л.И. Быковская Председатель УС института «_»_ 2012 В.В. Миронов Протокол № 04 от «15» ноября 2012

ПРОГРАММА

ГОСУДАРСТВЕННОГО ЭКЗАМЕНА ПО

СПЕЦИАЛЬНОСТИ

090104 - КОМПЛЕКСНАЯ ЗАЩИТА ОБЪЕКТОВ

ИНФОРМАТИЗАЦИИ

Сыктывкар Программа составлена на основании ГОС ВПО по специальности 090104 – Комплексная защита объектов информатизации; учебного плана, рекомендации УМО по историкоархивоведению (РГГУ).

Программа обсуждена и одобрена на заседании кафедры информационной безопасности, протокол № 3 от “15” ноября 2012 г.

Программа обсуждена и одобрена на заседании Учебно-методической комиссии института точных наук и информационных технологий, протокол № 4 от “15” ноября 2012 г.

В работе над программой приняли участие следующие преподаватели кафедры информационной безопасности:

Доцент Гольчевский Юрий Валентинович, к.ф.-м.н., доцент.

Доцент Носов Леонид Сергеевич, к.ф.-м.н..

Доцент Миронов Владимир Валерьевич, к.ф.-м.н..

Доцент Едомский Дмитрий Николаевич.

Преподаватель Оленева Наталья Рудольфовна.

Старший преподаватель Басенко Алексей Олегович.

Руководитель РАЦ СыктГУ Носаль Елена Юрьевна.

Программа ГЭК по специальности 090104, 2012 г.

ТРЕБОВАНИЯ К ПРОФЕССИОНАЛЬНОЙ ПОДГОВЛЕННОСТИ

ВЫПУСКНИКОВ

Программа и порядок проведения государственного квалификационного экзамена разработана в соответствии с требованиями:

– государственного образовательного стандарта высшего образования по специальности 090104 (075400) – «Комплексная защита объектов информатизации» (Комплексная защита объектов информатизации. Специальность 075400: Государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального компонента (циклы естественно-научных, общепрофессиональных дисциплин и дисциплин специализаций) / Отв. ред. В.В.Минаев. – М.: РГГУ, 2001. – 358 с.), – положения об итоговой аттестации выпускников ВУЗов (Положение об итоговой государственной аттестации выпускников высших учебных заведений Российской федерации. Утверждено приказом Минобразования России №1155 от 25.03.2003.).

– положения об итоговой государственной аттестации выпускников СыктГУ, утвержднном на заседании Ученого Совета 28 января 2004 г.

Государственный экзамен по специальности имеет целью определение степени соответствия уровня подготовленности выпускников требованиям образовательного стандарта.

При этом проверяются как теоретические знания, так и практические навыки выпускника в соответствии со специальностью. В частности, проверяются следующие требования к профессиональной подготовленности выпускника как специалиста по защите информации.

Знание и умение использовать:

– современные аппаратные и программные средства вычислительной техники;

– принципы организации информационных систем в соответствии с требованиями информационной защищенности, в том числе в соответствии с требованиями по защите государственной тайны;

– конструкцию и основные характеристики технических устройств хранения, обработки и передачи информации, потенциальные каналы утечки информации, характерные для этих устройств, способы их выявления и методы оценки опасности, основную номенклатуру и характеристики аппаратуры, используемой для перехвата и анализа сигналов в технических каналах утечки информации, методы и средства инженерно-технической защиты информации;

– принципы и методы противодействия несанкционированному информационному воздействию на вычислительные системы и системы передачи информации;

Программа ГЭК по специальности 090104, 2012 г.

– принципы построения современных криптографических систем, стандарты в области криптографической защиты информации;

– основные правовые положения в области информационной безопасности и защиты информации.

– методы анализа и оценки величины возможного ущерба, наносимого безопасности Российской Федерации вследствие несанкционированного (противоправного) распространения информации, составляющей государственную тайну;

– основные правовые понятия, правовые акты Российской Федерации в области защиты государственной тайны;

– законодательные основы организации защиты государственной тайны, задачи органов защиты государственной тайны;

– правовые нормы и стандарты по лицензированию в области обеспечения защиты государственной тайны и сертификации средств защиты информации;

– основные организационные меры обеспечения защиты государственной тайны в конкретной сфере деятельности;

– правовые акты в области защиты государственной тайны в конкретной сфере деятельности;

владеть:

– методами организации и управления деятельностью служб защиты информации на предприятии;

– технологией проектирования, построения и эксплуатации комплексных систем защиты информации;

– методами научного исследования уязвимости и защищенности информационных процессов;

– методиками проверки защищенности объектов информатизации на соответствие требованиям нормативных документов.

ПОДГОТОВКА И ПРОВЕДЕНИЕ ГОСЭКЗАМЕНА

Цель настоящей программы – помочь студентам подготовиться к государственному экзамену, который является одним из двух видов итоговых аттестационных испытаний выпускников высших учебных заведений. Второй вид испытаний – защита выпускной квалификационной работы.

Программа включает 12 дисциплин, в том числе 9 общепрофессиональных дисциплин Федерального компонента, 2 дисциплины специализации Федерального компонента, одна дисциплина специализации регионального (вузовского) компонента, списка вопросов, включаемых в экзаменационные билеты и списка информационных источников к каждому разделу.

Предлагаемая структура программы позволяет осуществить комплексный контроль знаний студентов по основным направлениям защиты информации, предусмотренным стандартом данной специальности. Разделы программы включают дисциплины федерального компонента, читаемые с четвертого по девятый семестр преподавателями кафедры защиты информации. Руководители курсов принимали непосредственное участие в формировании перечня вопросов и информационных источников к ним. Они несут ответственность за подготовленность студентов к экзамену. В течении двух недель перед проведением госэкзамена по включенным в программу дисциплинам проводятся консультации и, если необходимо читаются дополнительные лекции.

Всего представлено к включению в билеты по 2 – 8 вопросов и 2-9 практических заданий от каждой из 12 дисциплин. Количество вопросов от каждой дисциплины пропорционально количеству часов, отведенных в стандарте на изучение каждой дисциплины. Таким образом, всего 65 теоретических вопросов и 35 практических заданий. В билеты государственного квалификационного экзамена включаются 2 теоретических вопроса и 1 практическое задание, которые равномерно случайным образом выбираются из всех 5 разделов программы. Количество билетов – 30. В билет включаются вопросы из разных разделов, а следовательно и из разных дисциплин. В билетах нет повторяющихся вопросов. Количество представленных на экзамен экзаменационных билетов превышает экзаменуемых в учебной группе на 31%. Ознакомление обучаемых с содержанием экзаменационных билетов запрещается. Обучаемые обязаны готовиться к экзаменам, руководствуясь данной программой.

На проведение итогового экзамена выделяется время из расчета не менее пяти дней для подготовки и сдачи. Сроки проведения государственного экзамена утверждаются ректором СыктГУ и доводятся до сведения студентов не позднее, чем за месяц до начала государственной итоговой аттестации.

Ответы обучаемых на все поставленные вопросы заслушиваются членами экзаменационной комиссии и выставляется сводная оценка. Оценка знаний обучаемого на экзамене выводится по частным оценкам ответов на вопросы билета. В случае равного количества голосов мнение председателя является решающим.

Знания обучаемых на экзамене, определяются оценками «отлично», «хорошо», «удовлетворительно», «неудовлетворительно». Оценки за экзамен объявляются в день сдачи экзамена после их утверждения председателем ГАК.

Ниже приводится перечень дисциплин, включенных в 5 разделов программы государственного экзамена. Почти все дисциплины представляют федеральный компонент, поэтому их содержание определено требованиями ГОС по специальности 090104.

НАИМЕНОВАНИЕ ДИСЦИПЛИНЫ

Организационное обеспечение информационной безопасности ОПД.Ф. Криптографические методы и средства обеспечения информационной безо- ОПД.Ф. пасности Защита информационных процессов в компьютерных системах ОПД.Ф. 10 Организация и управление службы защиты информации на предприятии ДС.

КРИТЕРИИ ОЦЕНОК ЗА ГОСУДАРСТВЕННЫЙ ЭКЗАМЕН

За государственный экзамен выпускнику выставляется оценка по следующей шкале:

Выставляется в том случае, если, по мнению всех членов государственной экзаменационной комиссии, выпускник дал полные развернутые ответы на теоретические вопросы билета и полностью выполнил практическое задание. Допускается неполный ответ на один дополнительный вопрос.

Выставляется в том случае, если, по мнению всех членов государственной экзаменационной комиссии, выпускник дал полные развернутые ответы на теоретические вопросы билета и полностью выполнил практическое задание, однако не ответил на ряд дополнительных вопросов. Так же может быть выставлена в случае, если ответ на один из теоретических вопросов неполный, либо практическое задание выполнено не в полном объеме.

Удовлетворительно Выставляется в том случае, если, по мнению всех членов государственной экзаменационной комиссии, выпускник дал неполные ответы на теоретические вопросы билета и не полностью выполнил практическое задание.

Неудовлетворительно Выставляется в том случае, если ответы на вопросы билета и практическое задание отсутствуют и студент не способен выполнить практическое задание. Как правило, такие студенты не допускаются до государственного экзамена.

Оценка за государственный экзамен выставляется коллегиально и в том случае, когда мнение членов государственной экзаменационной комиссии расходится, проводится голосование по выставлению выпускнику той или иной оценки. При этом голос председателя государственной экзаменационной комиссии является решающим.

СПИСОК ВОПРОСОВ, ВКЛЮЧАЕМЫХ В

ЭКЗАМЕНАЦИОННЫЕ БИЛЕТЫ

РАЗДЕЛ 1. ПРОГРАММИРОВАНИЕ И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА

Основные топологии физических связей. Полносвязная, ячеистая топологии, шина, звезда, кольцо, смешанные топологии.

Модель OSI: протокол, стек протоколов, уровни (физический, канальный, сетевой, прикладной, уровень представления).

Стек протоколов TCP/IP: прoтоколы IP.TCP. UDP. ICMP Практические задания 1. Перевести компьютер А из сети 192.168.1.0 (VLAN 121) в сеть 192.168.2. (VLAN 122), для чего назначить соответствующий интерфейс на коммутаторе выбранной VLAN и произвести переключение. Номер узла в IP-адресе оставить неизменным. Результат показать, выполнив команды 192.168.2.1 и 192.168.1.116.

2. Перевести компьютер В из сети 192.168.1.0 (VLAN 121) в сеть 192.168.3. (VLAN 123), для чего назначить соответствующий интерфейс на коммутаторе выбранной VLAN, и произвести переключение. Номер узла в IP-адресе оставить неизменным. Результат показать, выполнив команды 192.168.3.1 и 192.168.1.115. Объяснить различие в ТТL.

РАЗДЕЛ 2. КРИПТОГРАФИЧЕСКОЕ ОБЕСПЕЧЕНИЕ

Криптографические методы и средства обеспечения информационной Классические и новые задачи использования криптографии.

Симметричные криптосистемы. Пояснить принципы работы современных блочных шифров (DES, ГОСТ 28147-89) для базовых режимов (ЕСВ, простая замена), режимов сцепления блоков (СВС), обратной связи по шифру (СFВ), по выходу (ОFВ), режимы гаммирования, гаммирования с обратной связью.

Ассиметричные системы шифрования. Секретные характеристики и выполнение шифрования (расшифрования) по алгоритмам RSA и ГОСТ. Сравнение симметричных и асимметричных схем.

Понятие электронно-цифровая подпись. Основные этапы реализации электронной цифровой подписи. Выполнение цифровой подписи по алгоритму RSA и ГОСТ.

Понятие хэш-функции. Примеры применения хэш-функций. Общая схема подписывания и проверки подписи с использованием хэш-функции. Кратко пояснить схему вычисления хэш-функции по ГОСТ Р 34.11-94 и по алгоритму SHA.

Понятие PKI. Классификация PKI. Схемы реализации PKI. Структура PKIX.

Шифрованная файловая система EFS. Назначение и принципы работы. Особенности использования.

Практические задания 3. Зашифровать произвольное значение, используя алгоритм шифрования RSA.

4. Обеспечить шифрование сетевого трафика встроенными средствами Windows, используя протокол IPSec.

5. Обеспечить шифрование указанных данных (файлов и папок) встроенными средствами Windows, используя шифрованную файловую систему (EFS).

РАЗДЕЛ 3. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА

Инженерно-техническая защита информации Характеристика защищаемой информации. Основные понятия инженернотехнической защиты информации. Виды защищаемой информации. Демаскирующие признаки объектов защиты, классификация демаскирующих признаков. Виды носителей информации. Запись и съем информации с носителя.

Характеристика угроз безопасности информации. Виды угроз. Источники угроз.

Опасные сигналы и их источники. Методы добывания информации. Основные принципы разведки. Классификация технической разведки. Показатели эффективности добывания инфорПрограмма ГЭК по специальности 090104, 2012 г.

мации техническими средствами.

Технические каналы утечки информации. Особенности технических каналов утечки информации. Структура и виды технических каналов утечки информации. Акустические каналы утечки информации. Оптические каналы утечки информации. Радиоэлектронные каналы утечки информации. Вещественные каналы утечки информации. ПЭМИН. Методы предотвращения каналов утечки информации.

Основные способы и принципы работы средств наблюдения, подслушивания и перехвата. Характеристика средств технической разведки. Технические средства подслушивания. Технические средства наблюдения. Средства перехвата сигналов.

Система инженерно-технической защиты информации. Моделирование объектов защиты. Технические средства защиты информации. Принцип работы технических средств защиты информации. Контроль эффективности инженерно-технической защиты информации.

Методика оценки защищенности помещения от утечки акустической информации. Пассивные методы защиты акустической информации. Свойства акустических материалов. Методы активного подавления распространяющегося акустического сигнала по элементам конструкций здания. Генераторы акустического зашумления: виды, принцип работы.

Методы съема информации с линий связи. Обнаружение устройств несанкционированного съема информации с телефонных линий. Методы защиты информации в телефонных линиях. Защита от прослушивания. Защита от акустоэлектрического преобразования.

Защита от высокочастотного навязывания.

Методика оценки защищенности ОТСС от несанкционированного съема информации посредством ПЭМИН. ПЭМИ вычислительных устройств. Особенности ПЭМИ дисплеев. Методы защиты от несанкционированного съема информации посредством ПЭМИ. Пассивные средства защиты. Активные средства защиты. Генераторы электромагнитного зашумления: виды, принцип работы.

Защита информации от утечки по электрической сети. Причины появления информативного сигнала в электрической сети. Требования к заземлению. Обнаружение устройств несанкционированного съема информации, распространяющейся по электрической сети. Методы защиты электрической сети. Пассивные методы. Электрические фильтры. Активные методы. Генераторы зашумления электрической сети: виды, принцип работы.

Закладные устройства. Виды закладных устройств. Радиозакладки: схемотехниПрограмма ГЭК по специальности 090104, 2012 г.

ческие решения, параметры. Диктофоны: виды, принцип работы. Демаскирующие признаки радиозакладок и диктофонов. Способы, средства обнаружения и локализации радиозакладок и диктофонов. Способы подавления сотовой связи.

Система охранно-тревожной сигнализации. Охранные извещатели. Принцип обнаружения злоумышленника детекторами движения. Система охранно-пожарной сигнализации.

Пожарные извещатели и оповещатели. Системы автоматического пожаротушения.

Системы контроля и управления доступом. Назначение и виды систем контроля и управления доступом. Системы телевизионного наблюдения. Видеокамеры и видеосервера.

Системы периметровой охраны. Функциональные зоны охраны. Тепловизионные системы. Охранные извещатели. Средства обнаружения злоумышленника: емкостные, радиолучевые, радиоволновые. Электрошоковые системы охраны периметров.

Интегрированные системы безопасности (ИСБ). Степень интеграции ИСБ (ИСО1, ИСО2, ИСО3). Элементы, структура и принцип действия технических средств охраны.

Принцип автономной и централизованной охраны.

Практические задания 6. При помощи лабораторной установки для изучения ПЭМИН вычислительной техники обнаружить не менее трех первых гармоник ПЭМИ монитора. По представленной методике на основании результатов измерения произвести расчет рекомендуемой контролируемой зоны R2. (Параметры разрешения и развертки монитора получить у преподавателя).

Используемое ПО и оборудование:

- ПЭВМ (системный блок, монитор, мышь, клавиатура) - спектроанализатор Rohde&Schwarz FS - антенна активная АИ-5. 7. При помощи лабораторной установки для изучения методики оценки защищенности помещений от утечки акустической информации произвести замеры акустического сигнала в указанной преподавателем контрольной точке (КТ). По представленной методике расчета произвести оценку словесной разборчивости речи в данной КТ.

Используемое оборудование:

- виброшумомер SVAN-959 в комплекте - генератор акустического тестового (белого) шума.

8. При помощи лабораторной установки для изучения методов съема информации с телефонных линий произвести исследование телефонной линии с включенным в нее имитатором закладного устройства. По результатам измерений определить вид представленного закладного устройства.

Используемое оборудование:

- телефонный аппарат - имитатор закладного устройства - прибор для поиска закладных устройств на проводных коммуникациях «УланПри помощи прибора «Катран» произвести исследование предложенного преподавателем объекта, в котором находится закладное устройство. По показаниям прибора определить вид закладного устройства.

Используемое оборудование:

- имитатор закладного устройства - нелинейный локатор «Катран».

10. При помощи прибора «Катран», используемом в режиме детектора поля, в заданном секторе помещения определить наличие и местоположение закладного устройства. Произвести его изъятие и отключение.

Используемое оборудование:

- закамуфлированная модель активного радиоизлучающего закладного устройства - нелинейный локатор «Катран»

- набор инструментов.

11. На примере прибора «Пиранья» продемонстрировать принцип работы многофункциональных поисковых приборов. Провести пробные замеры во всех доступных режимах работы прибора.

Используемое оборудование:

- универсальный прибор «Пиранья» в комплекте - многофункциональный имитатор закладного устройства «Тест».

12. Собрать на стенде модель охранной сигнализации, основанной на пассивном оптико-электронном извещателе. Настроить извещатель на зону обнаружения, заданную преподавателем.

Используемое оборудование:

- унифицированный блок питания - пассивный оптико-электронный извещатель типа Фотон или аналогичный - набор соединительных проводов - набор инструментов.

13. Собрать на стенде модель системы КУД на основе домофонной системы «Полис». Запрограммировать систему на работу с указанными исполнительными устройствами и указанный преподавателем режим охраны.

Используемое оборудование:

- унифицированный блок питания - домофон «Полис»

- переговорная трубка - имитатор исполнительного устройства (тестер) - набор соединительных проводов - набор инструментов

РАЗДЕЛ 4. ОРГАНИЗАЦИОННО - ПРАВОВАЯ ЗАЩИТА

ИНФОРМАЦИИ

Защита и обработка конфиденциальных документов Сущность, особенности и основные определения конфиденциального делопроизводства. Виды тайн. Формы уязвимости информации. Задачи конфиденциального делопроизводства.

Технологические основы обработки конфиденциальных документов. Документирование конфиденциальной информации. Определение состава конфиденциальных документов. Отнесение информации к разделу коммерческой тайны. Перечень сведений, которые не могут быть отнесены к коммерческой тайне.

Подготовка и издание конфиденциальных документов. Оформление и учет носителей конфиденциальной информации. Виды бумажных носителей. Машинные носители информации. Оформление и учет носителей конфиденциальной информации. Изготовление и учет проектов конфиденциальных документов. Особенности оформления конфиденциальных документов.

Технология обработки поступивших и изданных конфиденциальных документов. Учет поступивших и изданных конфиденциальных документов. Размножение конфиденциальных документов. Формы размножения. Учет изготовленных документов.

Понятия и принципы организации конфиденциального документооборота.

Система доступа к конфиденциальным документам. Организация контроля исполнения конфиденциальных документов. Номенклатура конфиденциальных дел. Формирование и оперативное хранение конфиденциальных дел. Подготовка конфиденциальных дел для архивного хранения и уничтожения. Экспертиза ценности конфиденциальных документов.

Режим хранения конфиденциальных документов и обращения с ними. Проверки правильности проставления регистрационных данных конфиденциальных носителей, документов, дел, учетных журналов (картотек). Проверки наличия конфиденциальных документов, дел, учетных форм.

Практические задания 14. Оформление конфиденциальных дел. (Оформить обложку дела, список лиц,….) 15. Подготовка и оформление бумажных носителей конфиденциальной информации на примере рабочей тетради (титульный лист, учетный номер и гриф конфиденциальности, нумерация листов, прошивка, заверительная надпись).

16. Технология обработки исходящих конфиденциальных документов. (Подготовка и оформление пакета к отправке конфиденциальных документов, подготовка сопроводительного письма).

17. Подготовить «Положение о системе доступа к конфиденциальным документам».

Организационное обеспечение информационной безопасности Аналитические исследования в системе мер по предупреждению утечки конфиденциальной информации.

Организация защиты информации при приеме в организации посетителей, командированных лиц и иностранных представителей.

Организационные мероприятия по допуску к конфиденциальной информации.

Лицензирование отдельных видов деятельности в различных областях защиты информации (государственная тайна, разработка, производство, реализация и приобретение СТС, криптографическая защита информации, разработка и (или) производство средств защиты конфиденциальной информации и т.д.).

Организация и планирование контроля функционирования системы защиты информации.

Организационные мероприятия по доступу к конфиденциальной информации.

Организация защиты секретной (конфиденциальной) информации, обрабатываемой с использованием средств вычислительной техники.

Организация охраны территории, зданий, помещений и персонала.

Практические задания 18. Оформить пакет документов на допуск к сведениям, составляющим государственную тайну по форме 2 (сов.секретно) для направления их в органы безопасности в соответствии с требованиями «Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне», утвержденной Постановлением Правительства РФ № 63-2010г. (приложение: анкета ф. 2, карточки ф. 3 и ф. 5, список ф. 4, типовой договор (контракт) ф.9).

19. Оформить пакет документов на допуск к сведениям, составляющим государственную тайну по форме 3 (секретно) для направления их в органы безопасности в соответствии с требованиями «Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне», утвержденной Постановлением Правительства РФ № 63-2010г. (приложение: карточка ф. 5, списки ф. 4 и 6, типовой договор (контракт) ф.9).

20. Подготовить номенклатуру должностей в соответствии с требованиями «Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне», утвержденной Постановлением Правительства РФ № 63-2010г. (приложение: ф.1).

Правовое обеспечение информационной безопасности Формирование информационных ресурсов и их классификация.

Правовые основы защиты государственной, коммерческой и профессиональной тайны.

Правовые формы защиты интеллектуальной собственности.

Система правовой ответственности за разглашение, утечку информации.

Правовая защита от компьютерных преступлений.

Практическое задание 21. Акционер АО «Синтез» обратился в суд, обжалуя отказ администрации АО «Синтез» предоставить ему копии документов бухгалтерского учта. Администрация АО «Синтез» мотивировала отказ тем, что истребуемые истцом документы содержат сведения, составляющие коммерческую тайну. Законно ли требование акционера АО «Синтез»? Решение обоснуйте.

22. ОАО «Синтез» производит обработку персональных данных на СВТ и хранит информацию о работников в виде отдельных файлов. Система защиты информации на СВТ отсутствует. Один из работников обратился в суд с требованием привести защиту его персональных данных в соответствии с требованиями законодательства. Каково может быть решение суда?

Организация и управление службой защиты информации на предприятии.

Роль и место службы защиты информации (СЗИ) в системе безопасности предприятия. Назначение СЗИ. Статус СЗИ. СЗИ как составная часть системы защиты экономической, информационной безопасности. СЗИ как орган координации деятельности по безопасностью предприятия. Особенности работы СЗИ при наличие на предприятии РСП.

Порядок создания службы защиты информации (СЗИ) на предприятии, учреждении, организации не зависимо от формы собственности. Подготовка необходимых документов для функционирования СЗИ (вид, форма). Какими законодательными и нормативными актами необходимо руководствоваться при создании СЗИ.

Подбор, расстановка и обучение сотрудников службы защиты информации (СЗИ). Общие и специфические требования, предъявляемые к сотрудникам СЗИ (образование, стаж, навыки, знание программных продуктов, применяемых при защите информации).

Ответственность за организацию работы, делегирование полномочий. Структура и содержание должностных инструкций. Обоснование количественного состава СЗИ.

Аспекты понятия управления службой защиты информации (СЗИ) на предприятии независимо от формы собственности (цель, функция). Принципы и методы управления СЗИ (Административно-правовые, экономические, социально-психологические). Их взаимосвязь. Комплексное применение методов управления СЗИ.

Разработка и осуществление мероприятий (планы, инструкции) по подготовке службы защиты информации (СЗИ) в работе при ЧС (пожар, теракт, катастрофа техногенного характера). Создание условий работы СЗИ соответствующих требованиям пожарной безопасности, технике безопасности, охране труда. Разработка и наличие необходимых документов.

Оргпроектирование деятельности службы защиты информации (СЗИ) на предприятии (понятие, сущность и назначение). Методы оргпроектирования СЗИ.

Взаимосвязь элементов объекта и субъекта управления при планировании и проектировании работы службы защиты информации.

Роль внутренней и внешней среды в управлении службой защиты информации (СЗИ): определение, характеристики. Их влияние на политику безопасности предприятия. Основные свойства управления СЗИ на предприятии.

Практические задания 23. Подготовить должностную инструкцию руководителя подразделения ЗИ на предприятии (структура, содержание) 24. Подготовить инструкцию о порядке отнесения сведений к коммерческой тайне.

25. Подготовить положение об обработке и защите персональных данных работников.

26. Подготовить положение с службе защиты информации на предприятии, на котором идет обработка персональных данных и коммерческой тайны.

27. Подобрать рациональное оборудование для оснащения службы защиты информации, состоящей из 3 человек (начальник, сотрудник, отвечающий за защиту баз данных, сотрудник, отвечающий за защиту информации при работе локальных и открытых сетях)

РАЗДЕЛ 5. ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Программно-аппаратная защита информации Идентификация, аутентификация и авторизация пользователя (понятие идентификации, задача идентификации пользователя, понятие идентифицирующей информации, понятия аутентификации и авторизации, понятия «трех А» (Triple A или AAА) и «четырех А», аутентификационный фактор, многофакторная аутентификация, понятие и примеры протоколов аутентификации, локальная и удаленная аутентификация, усиленная аутентификация).

Средства, реализующие идентификацию и аутентификацию пользователя (классификация, электронные идентификаторы TouchMemory, USB-токены, магнитные и смарт-карты, RFID метки и т.д., примеры и особенности реализации, области применения).

Механизмы разграничения доступа к объектам (иерархический доступ к объектам, дискреционный механизм разграничения доступа, понятие атрибутов доступа, мандатный механизм разграничения доступа, замкнутая программная среда, контроль потоков, преимущества и недостатки различных механизмов разграничения доступа, организация доступа к объектам в различных ОС).

Разрушающие программные воздействия (понятия разрушающего программного воздействия и вредоносного ПО, классификация вредоносного ПО и особенности классов, возможные источники заражения и каналы проникновения, подходы и средства защиты, централизованные системы защиты от вредоносного ПО, использование замкнутой программной среды для борьбы с вредоносным ПО).

Несанкционированное копирование и тиражирование программного обеспечения (понятие, правовые аспекты, подходы к защите от копирования, программно-аппаратные средства защиты ПО от копирования, примеры и особенности реализации средств защиты с применением электронных ключей, а также средств защиты, предназначенных для защиты от копирования с оптических носителей информации).

Гарантированное уничтожение информации (понятие, остаточная информация, подходы к гарантированному уничтожению информации, алгоритмы гарантированного стирания информации, средства гарантированного уничтожения и стирания информации, области применения).

Практические задания 28. СЗИ от НСД «Аккорд NT/2000»:

С использованием мандатного механизма разграничить доступ пользователя USER1 (уровень доступа – секретно) и USER2 (уровень доступа – совершенно секретно) к трем созданным папкам со следующими метками конфиденциальности: общедоступно, секретно, совершенно секретно.

С использованием дискреционного механизма «Аккорд NT/2000» разграничить доступ пользователей USER1 и USER2 к данным папкам следующим образом:

- общедоступная папка – полный доступ (кроме возможности удалить саму папку) USER1, полный доступ USER2;

- секретная папка – доступ на чтение и выполнение USER1 и USER2;

- совершенно секретная папка – нет доступа USER1, полный доступ (кроме возможности удалить саму папку и возможности запуска программ) USER2.

При этом на данные папки другие пользователи не имеют никаких прав доступа, группа SYSTEM и Администраторы имеют полные права по доступу.

Начальные условия: Компьютер с установленным, но не активированным СЗИ от НСД «Аккорд NT/2000». В СЗИ от НСД прописан только Главный администратор.

Пользователи и папки не созданы.

29. СЗИ от НСД «SecretNet 5.1»:

С использованием мандатного механизма разграничить доступ пользователя USER1 (уровень доступа – секретно) и USER2 (уровень доступа – совершенно секретно) к трем созданным папкам со следующими метками конфиденциальности: общедоступно, секретно, совершенно секретно.

С использованием дискреционного механизма разграничить доступ пользователей USER1 и USER2 к данным папкам следующим образом:

- общедоступная папка – полный доступ (кроме возможности удалить саму папку) USER1, полный доступ USER2;

- секретная папка – доступ на чтение и выполнение USER1 и USER2;

- совершенно секретная папка – нет доступа USER1, полный доступ (кроме возможности удалить саму папку и возможности запуска программ) USER2.

При этом на данные папки другие пользователи не имеют никаких прав доступа, группа SYSTEM и Администраторы имеют полные права по доступу.

Начальные условия: Виртуальная машина с установленным СЗИ от НСД «SecretNet 5.1» (автономным) и настройками по умолчанию. В ОС присутствует только пользователь «Администратор». Папки не созданы.

30. СЗИ от НСД «SecretNet 5.1»:

Создать ЗПС для пользователя USER со следующими доступными задачами:

WordPad, Windows Movie Maker, Windows Media Player. Запуск иных задач (кроме тех, что расположены в директории c:\windows\ и ее подкаталогах) должен быть запрещен.

Начальные условия: Виртуальная машина с установленным СЗИ от НСД «SecretNet 5.1» (автономный). В ОС присутствует только пользователь «Администратор». Папки не созданы.

31. Active Directory:

Включить клиентский компьютер в домен. Создать доменного пользователя USER. Групповой политикой настроить ЗПС, применяемую для данного пользователя при его работе на клиентском компьютере. Для пользователя USER необходимо разрешить запуск WordPad. Запуск иных задач (кроме тех, что расположены в директории c:\windows\ и ее подкаталогах) должен быть запрещен Начальные условия: Виртуальная машина (сервер) с развернутым контроллером домена (пользователи и групповые политики, кроме тех, что были созданы поумолчанию, отсутствуют). Виртуальная машина (клиент) с настройками по умолчанию, не подключенная в домен. Обе виртуальные машины находятся в одной виртуальной сети.

32. DeviceLock:

Развернуть на виртуальной машине сервер и клиентскую часть DeviceLock.

Ограничить доступ пользователя USER к USB, Floppy и DVD-ROM следующим образом: Floppy – только чтение, USB – разрешено использовать только 1 конкретный флеш-накопитель на чтение, CD-ROM – разрешено использовать 1 конкретный CD.

Доступ к остальным портам и устройствам (кроме жесткого диска) должен быть запрещен. Настройка должна проводиться с сервера управления по шаблону, а также должен быть реализован постоянный мониторинг ее состояния.

Начальные условия: Виртуальная машина без установленного ПО DeviceLock.

1 флеш-накопитель и 1 CD.

33. Kaspersky Administration Kit:

Подключить клиентскую машину к серверу централизованного управления антивирусами. Произвести настройки антивируса с использованием политик (настройки функционирования, задачи обновления и задачи проверок на наличие вирусов).

Начальные условия: Виртуальная машина (сервер) с развернутым сервером централизованного управления Kaspersky Administration Kit (политики и задачи отсутствуют). Виртуальная машина (клиент) с настройками по умолчанию и установленным Антивирусом Касперского 6.0 (агент администрирования не установлен).

Обе виртуальные машины находятся в одной виртуальной сети.

Защита информационных процессов в компьютерных системах Международные стандарты информационной безопасности. «Оранжевая книга». Европейские стандарты. Канадские стандарты. Общие критерии.

Государственная политика России в области безопасности компьютерных систем. Руководящие документы ФСТЭК России по оценке защищнности автоматизированных систем. Подготовка нормативной базы и проведение аттестации защищнных систем.

Основные требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники. Особенности защиты служебной тайны и персональных данных. Основные правила использования съемных накопителей большой емкости для работы с конфиденциальной информацией.

Процесс квалификационного анализа ИТ-продуктов с использованием профилей защиты и заданий по безопасности. ГОСТ Р ИСО/МЭК 15408 – 2002: структура и области применения. Последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности и краткая спецификация объекта оценки. Представление функциональных требований – классы, семейства, компоненты.

Примеры функциональных классов.

Практическое задание 34. Для кафедры информационной безопасности разработайте правила разграничения доступа работы преподавателей, сотрудников и студентов на аттестованном компьютере. На ПК имеются диски A,C,D, порты USB, LPT1. Все пользователи имеют одинаковую метку секретности, но работают с разными файлами, размещаемых на разных дисках. Преподаватели и сотрудники должны иметь возможность доступа к портам USB и LPT1, студенты – LPT1. Преподаватели и сотрудники должны иметь возможность работать с WinWord 2003. студенты - WinWord 2003 и программой расчета ПЭМИН. Преподаватели и сотрудники могут читать и записывать информацию на диск А.

Моделирование процессов и систем защиты информации Модель Харрисона-Руззо-Ульмана. Анализ безопасности систем ХаррисонаРуззо-Ульмана.

Модели мандатного доступа. Модель Белла и Лападула. Проблемы модели Белла и Лападула.

Вероятностная модель безопасности информационных потоков.

Практические задания 35. Покажите на примере из 3 субъектов доступа и 4 объектов доступа, как матрицу доступа модели Харрисона-Руззо-Ульмана представить в виде системы Белла-Лападуллы.

36. Определить уровень согласованности и компетентности экспертов (список экспертов и объектов получить у членов комиссии).

СПИСОК ОСНОВНЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ

РАЗДЕЛ 1. ПРОГРАММИРОВАНИЕ И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА

1. Бройдо В.Л.«Вычислительные системы, сети и телекоммуникации», М.: «Питер», 2. Олифер В., Олифер Н. Сетевые операционные системы, М.: «Питер», 2006г.

3. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы.-СПБ:

Питер, 2003. - 864с.

4. Тим Паркер, Каранжит Сиян ТСР/IР, изд. ПИТЕР, Москва,2004г.

РАЗДЕЛ 2. КРИПТОГРАФИЧЕСКОЕ ОБЕСПЕЧЕНИЕ

Криптографические методы и средства обеспечения информационной безопасности.

5. Беляев Д.А., Гольчевский Ю.В. Введение в криптологию: Учебное пособие. Сыктывкар: Издательство Сыктывкарского университета, 2004. 152 с.

6. ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

7. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма..

8. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования.

9. Молдовян А.А. и др. Криптография и скоростные шифры. - Санкт-Петербург: БХВ – Петербург, 2002.

10. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М: Радио и связь, 2001.

11. Чмора Л.Л. Современная прикладная криптография. - М: Гелиос АРВ, 2002.

12. Шнайер Б. Прикладная криптография. - М: Триумф, 2002, 2003.

РАЗДЕЛ 3. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА

Инженерно-техническая защита информации.

13. Торокин А.А. « Инженерно-техническая защита информации»,изд, «Гелиос АРВ», Москва, 2005г.

14. Технические средства и методы защиты информации: Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. - М.: ООО "Издательство Машиностроение", 2009. - 508 с.

Технические средства защиты информации.

15. Г.А.Бузов, С.В. Калинин, А.В. Кондратьев «Защита от утечки информации по техническим каналам», Москва, изд. Горячая линия-Телеком, 2005г.

16. Технические средства и методы защиты информации: Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. - М.: ООО "Издательство Машиностроение", 2009. - 508 с.

17. Торокин А.А. « Инженерно-техническая защита информации»,изд, «Гелиос АРВ», Москва, 2005г.

18. Технические средства и методы защиты информации: Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. - М.: ООО "Издательство Машиностроение", 2009. - 508 с.

Программа ГЭК по специальности 090104, 2012 г.

19. Справочник инженерно-технических работников технических средств охраннопожарной сигнализации РМ 78.36.001- 20. Магауенов Р.Г. Системы охранной сигнализации: основы теории и принципы построения М.: Радиософт, 2004, 346с.

21. Лепешкин О.М., Копытов В.В., Жук А.П. Комплексные средства безопасности и технические средства охранно-пожарной сигнализации.: Учебное пособие. – М.: Гелиос АРВ, 2009. – 288 с.

РАЗДЕЛ 4. ОРГАНИЗАЦИОННО- ПРАВОВАЯ ЗАЩИТА

ИНФОРМАЦИИ

Организационное обеспечение информационной безопасности.

22. Федеральный закон от 30.12.2001 №195-ФЗ. Кодекс административных правонарушений.

23. Федеральный закон от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи».

24. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации».

25. «Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне», утвержднной Постановлением правительства РФ № 63-2010г.

26. Инструкции по обеспечению режима секретности в Российской Федерации», утвержднной постановлением Правительства РФ №3-1 от 05.01.2004г.

27. Постановление Правительства РСФСР от 05.12.91 «О перечне сведений, которые не могут составлять коммерческую тайну».

28. Постановление Правительства РФ №1233 от 03.11.94 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

29. Смкин С.Н.,.Беляков Э.В, Гребенв С.В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации., М.:

- Гелиос АРВ, 2005г.

30. Ст.13.12.Нарушение правил защиты информации.

31. Ст.13.13. Незаконная деятельность в области защиты информации.

32. Ст.13.14. Разглашение информации с ограниченным доступом.

33. Ст.13.20. Нарушение правил хранения, комплектования, учета или использования архивных документов.

34. Указ Президента РФ № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера».

35. Федеральный закон от 15.07.2004 №98-ФЗ «О коммерческой тайне».

36. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Правовое обеспечение информационной безопасности.

37. А. А. Сытников «Лицензирование и сертификация в области информационной безопасноси», изд. «Гелиос АРВ», Москва, 2003г.

38. Нормативно-правовые акты Российской Федерации в области информационных технологий, Санкт-Питербург, 2004г.

39. Под редакцией А.А. Стрельцова «Развитие правового обеспечения информационной безопасности», изд. Престиж, Москва, 2005г.

40. С.Я.Казанцев, О.Э. Згадзай, Р.М. Оболенский, Е.Б. Белов, С.В. Полникова «Правовое обеспечение информационной безопасности», Изд. АСАДЕМА, Москва, 2005г.

Организация и управление службой защиты информации на предприятии.

41. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия – Старый Оскол: «ТНТ», 2005. – 448с.

42. Основы информационной безопасности/ В.А.Минаев, С.В. Скрыль и др. – Воронеж, ВИ МВД РФ, 2001.- 464с.

43. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия:

- М.: ИТК «Дашков и К», 2005. – 336с.

Защита и обработка конфиденциальных документов.

44. ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов». М., 2003.

45. Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».

46. Федеральный закон Российской Федерации от 06.04.2011 г. N 63-ФЗ «Об электронной подписи»

47. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

48. Конституция Российской Федерации / Принята ГД 12.12.1993.

49. Постановление Правительства РСФСР от 05.12.91 «О перечне сведений, которые не могут составлять коммерческую тайну».

50. Постановление Правительства РФ №1233 от 03.11.94 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

51. Ст.13.12.Нарушение правил защиты информации.

52. Ст.13.13. Незаконная деятельность в области защиты информации.

53. Ст.13.14. Разглашение информации с ограниченным доступом.

54. Ст.13.20. Нарушение правил хранения, комплектования, учета или использования архивных документов.

55. Указ Президента РФ № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера».

56. Федеральный закон №195-ФЗ от 30.12.2001. Кодекс административных правонарушений.

57. Федеральный Закон РФ №98–ФЗ «О коммерческой тайне» / Принят ГД 09.07.2004, одобрен Советом Федерации 15.07.2004.

58. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

59. Алексенцев А.И. Документ и тайна. М., 2004.

60. Алексенцев А.И. Конфиденциальное делопроизводство. М., 2004.

61. Делопроизводство. Более 120 документов. Образцы, документы. Организация и технология работы. М.: ООО «ТК Веби», 2003. 448 с. (Раздел 8. Организация работы с конфиденциальными документами. С.209 – 289).

62. Охотников А.В., Булавина Е.А. Документоведение и делопроизводство: Уч.пос. М.:

МарТ; Р н/Д: МарТ, 2004. 288 с.

63. Ярочкин В.И. Информационная безопасность: Учебник для вузов. М.: Академический проспект, 2004. 544 с.

РАЗДЕЛ 5. ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Программа ГЭК по специальности 090104, 2012 г.

Защита информационных процессов в компьютерных системах.

64. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. – М.: Изд-во стандартов, 2002. – Сайт кафедры ЗИ.

65. Журнал «Защита информации. Инсайд» за 1995 -2006 гг. Сайт кафедры ЗИ 66. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000, 452с.

67. Петров В.Н. Информационные системы: – СПб.: Питер, 2002. – 688 с.

68. Руководящие материалы Гостехкомиссии РФ по концепции защиты от НСД, АС, СВТ, АВС, МЭ, анализу на недекларированные возможности ПО, СЗЗ. – Сайт ФСТЭК России. / URL : http://fstec.ru.

69. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).- М.:2002.

Программно-аппаратная защита информации.

70. Бабенко Л.К., Ищуков С.С., Макаревич О.Б. Защита информации с использованием интеллектуальных карт и электронных брелоков. – М: Гелиос АРВ, 2003.

71. Конявский В.А. Управление защитой информации на базе СЗИ НСД «АККОРД ». – М.:Радио и связь, 1999. – 325с.

72. Эксплуатационная и техническая документация на СЗИ от НСД «Secret Net 5.0».

73. Эксплуатационная и техническая документация на СЗИ от НСД «Аккод NT/2000».

Моделирование систем и средств защиты информации 74. Девянин В.П. Модели безопасности компьютерных систем. Уч. пособие. М.: Издательский центр "Академия", 2005. 144 с.

75. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000, 452с.