МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Государственное образовательное учреждение высшего профессионального
образования
«Новосибирский государственный университет» (НГУ)
Факультет информационных технологий
УТВЕРЖДАЮ
_
« _» _ 20_г.
РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ
«Инженерное проектирование систем информационной безопасности»НАПРАВЛЕНИЕ ПОДГОТОВКИ 230100 «ИНФОРМАТИКА И
ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА»
Квалификация (степень) выпускника Бакалавр Форма обучения очная Новосибирск Программа дисциплины «Инженерное проектирование систем информационной безопасности» составлена в соответствии с требованиями ФГОС ВПО к структуре и результатам освоения основных образовательных программ бакалавриата по «профессиональному» циклу по направлению подготовки «Информатика и вычислительная техника», а также задачами, стоящими перед Новосибирским государственным университетом по реализации Программы развития НГУ.Автор: Пермяков Р.А.
Факультет информационных технологий Кафедра Систем информатики 1. Цели освоения дисциплины (курса) Целями освоения дисциплины «Информационная безопасность бизнеса» являются:
освещение основных практических подходов, диктуемых современными бизнеспроцессами, к проектированию комплексных систем информационной безопасности различной степени сложности, в зависимости от характера объекта защиты.
Для достижения поставленной цели выделяются задачи курса:
1. Знакомство с основными этапами построения комплексных систем информационной безопасности.
2. Обзор практических аспектов построения модели нарушителя.
3. Изучение проблем создания и реализации комплексной политики безопасности.
4. Изучение практики реализации системы централизованного управления системой защиты информации.
5. Обзор особенностей построения комплексных систем защиты информации для предприятий среднего и малого бизнеса.
6. Изучение методов снижения общей стоимости владения системой.
2. Место дисциплины в структуре образовательной программы Данная дисциплина относится к циклу профессиональных дисциплин М2 (вариативная часть). С другими частями образовательной программы соотносится следующим образом:
Дисциплины, предшествующие по учебному плану:
Теория вероятностей и математическая статистика Введение в теорию кодирования Проектирование программных систем Теория передачи, хранения и защиты информации Требования к первоначальному уровню подготовки обучающихся для успешного освоения дисциплины:
Уровень «знать»:
Технические средства обеспечения информационной безопасности Программно-аппаратные средства информационной безопасности Методы и средства защиты компьютерной информации.
Стандарты безопасности информационных технологий Мягкие вычисления: математические основы и приложения Современные методы распределенных вычислений Уровень «уметь»:
использовать основные законы естественнонаучных дисциплин для понимания преподаваемой дисциплины иметь представление о принципах сетевого взаимодействия знать принципы маршрутизации в сетях информационного обмена знать основные задачи информационной безопасности иметь представление о возможностях современных средств защиты иметь представление о теории принятия решений иметь представления о протоколах современных систем распределенных Дисциплины, последующие по учебному плану:
Итоговая государственная аттестация 3. Компетенции обучающегося, формируемые в результате освоения дисциплины «Инженерное проектирование систем информационной безопасности»
В результате освоения дисциплины студент должен:
Знать методы первичного анализа объекта защиты технические и эксплуатационные характеристики основных элементов системы информационной безопасности жизненный цикл системы информационной безопасности этапы построения многокомпонентных систем защиты информации.
Уметь аргументированно определить состав системы защиты информации оценить отказоустойчивость полученного решения выделить критически важные подсистемы балансировать нагрузку на элементы системы защиты информации проводить анализ инцидентов информационной безопасности.
Владеть методами снижения стоимости системы защиты информации методами анализа структуры объекта информатизации методами построения типовых моделей угроз и нарушителя методами проведения аудита объекта информатизации.
В результате освоения дисциплины у учащегося формируются следующие компетенции:
Общекультурные компетенции:
Способность совершенствовать и развивать свой интеллектуальный и общекультурный уровень (ОК-1) Способность к самостоятельному обучению новым методам исследования, к изменению научного и научно-производственного профиля своей профессиональной деятельности (ОК-2) Способность свободно пользоваться русским и иностранным языками, как средством делового общения (ОК-3) способен проявлять инициативу, в том числе в ситуациях риска, брать на себя всю полноту ответственности (ОК-5) способен самостоятельно приобретать с помощью информационных технологий и использовать в практической деятельности новые знания и умения, в том числе в новых областях знаний, непосредственно не связанных со сферой деятельности Профессиональные компетенции:
Способность применять перспективные методы исследования и решения профессиональных задач на основе знания мировых тенденций развития вычислительной техники и информационных технологий (ПК-1) Способность планировать научно-исследовательскую деятельность, анализированть риски, управлять проектами, командой проекта (ПК-3) Способность формировать технические задания и участвовать в разработке аппаратных и/или программных средств вычислительной техники (ПК-4);
Умение выбирать методы и разрабатывать алгоритмы решения задач управления и проектирования объектов автоматизации (ПК-5);
применять современные технологии разработки программных комплексов с использованием CASE-средств, контролировать качество разрабатываемых программных продуктов (ПК-6);
организовывать работу и руководить коллективами разработчиков аппаратных и/или программных средств информационных и автоматизированных систем (ПКприменять математические модели и методы для постановки и решения экономических задач (ПК-10) использование методов, технологий и правовых норм для планирования политики и технологической поддержки информационной безопасности бизнеса (ПК-16) 4. Структура и содержание дисциплины «Инженерное проектирование систем информационной безопасности»
Общая трудоемкость дисциплины составляет 4 зачетных единицы 144 уч.часа.
систем информационной 5. Образовательные технологии Преподавание дисциплины Информационная безопасность бизнеса ведется с применением следующих видов образовательных технологий:
Информационные технологии: использование электронных образовательных ресурсов НГУ, обеспечивающие обучение в электронной образовательной среде, реализуемые с использованием современных средств дистанционного взаимодействия преподавателя с обучающимся.
Cade-study: разбор реальных ситуаций сложившихся на реальных объектах информатизации, разбор возможных вариантов решений.
Обучение на основе опыта: за счет сильной связности с ранее изученными курсами и примерами с параллельных областей знания позволяет ассоциировать изучаемую дисциплину с собственным опытом обучающегося.
Раздел 1. Основные этапы построения и внедрения систем информационной безопасности – 20 часов.
Теоретическая часть - 8 часов Рассматриваемые вопросы: жизненный цикл системы защиты информации, характеристика этапов, определение документации и результатов по окончании каждого этапа.
Управление самостоятельной работой студента – 12 часов.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
Раздел 2. Основы управления рисками. – 18 часов.
Теоретическая часть - 6 часов Рассматриваемые вопросы: Основы управления рисками, классификация рисков, стратегии управления рисками.
Case-study – 2 часа:
Разбор практических ситуаций. Цель разбора – выделение ключевых рисков, разбор возможных стратегий управления, определение наиболее целесообразных решений.
Управление самостоятельной работой студента – 10 часов.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
Раздел 3. Построение модели нарушителя, обзор методов. – 18 часов.
Теоретическая часть - 6 часов Рассматриваемые вопросы: Практические вопросы построение модели угроз, модели нарушителя, принципы актуализации угроз.
Case-study – 2 часа:
Разбор практических ситуаций. Цель разбора – актуализация угроз для конкретного объекта информатизации, разбор возможных стратегий управления угрозами, построение модели нарушителя.
Управление самостоятельной работой студента – 10 часов.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
Раздел 4. Создание и внедрение политики безопасности. – 24 часа.
Теоретическая часть - 12 часов Рассматриваемые вопросы: Практические вопросы разработки политики безопасности предприятия, корреляция с используемыми программно-аппаратными средствами защиты информации.
Управление самостоятельной работой студента – 12 часов.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
Раздел 5. Управление инцидентами, цели, задачи, способы. – 8 часов.
Теоретическая часть - 2 часов Рассматриваемые вопросы: Рассмотрения алгоритма управления инцидентами, оперативное построение матрицы угроз связанных с инцидентом.
Case-study – 2 часа:
Разбор практических ситуаций. Разработка стратегии управления инцидентом.
Управление самостоятельной работой студента – 4 часа.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
Раздел 6. Методы снижения полной стоимости системы защиты информации. – 16 часов.
Теоретическая часть - 8 часов Рассматриваемые вопросы: Рассмотрения алгоритма управления инцидентами, оперативное построение матрицы угроз связанных с инцидентом.
Управление самостоятельной работой студента – 8 часов.
Работа студента в электронной образовательной среде, дистанционная работа со студентом.
6. Учебно-методическое обеспечение самостоятельной работы студентов. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов Трудоемкость освоения дисциплины составляет 144 часа, из них 64 часа аудиторных занятий 80 часов самостоятельной работы студента.
По окончании занятия студентам сообщается тема следующего занятия и рекомендуемый список вопросов для подготовки к нему.
Оценка текущей успеваемости студентов производится путем проведения раз в месяц 10 минутных контрольных работ в свободной форме.
6.1. Примерная тематика рефератов Темы рефератов соответствуют названиям тем занятий 6.2. Перечень экзаменационных вопросов:
Примерный перечень вопросов к зачету (экзамену) по всему курсу:
1. Основные этапы построения СЗИ.
2. Методы оценки стоимости информационных ресурсов.
3. Методы оценки информационных рисков.
4. Политика безопасности, назначение.
5. Криптография, критерии качества криптографических систем.
6. Технические характеристики и применение пакетного фильтра.
7. Технические характеристики и применение антивирусной защиты.
8. Системы авторизации, преимущества, недостатки и особенности 9. Полная стоимость СЗИ, состав и принципы минимизации.
10. Централизованная система управления безопасностью, принципы реализации, основные задачи и требования к режиму безопасности.
11. Методы управления рисками в системе информационной безопасности.
12. Специальное программное обеспечение администратора информационной 7. Учебно-методическое и информационное обеспечение дисциплины а) основная литература:
1. С. Норткатт, Д.Новак. Обнаружение вторжений в сеть. М. Лори 2001.
2. С. Норткатт, М.Купер. и д.р. Анализ типовых нарушений безопасности в сетях.
3. Галатенко В.А. Основы информационной безопасности. ИНТУИТ. ру, 2004 г.
4. Д. Маллери, Д.Занн, П. Келли и д.р Безопасная сеть вашей компании.
Подробная пошаговая инструкция. NT Press Москва 5. А.Торокин. Инженено-техническая защита информации. Гелиос АРВ, 6. Информационная безопасность систем организационного управления.
Теоретические основы. В 2 томах. М., Наука б) дополнительная литература:
1. Д. Айков К. Сейгер У. Фонсторх Компьютерные преступления. М. Мир 2. В.А. Герасименко, А.А. Малюк. Основы защиты информации. М:МИФИ, 3. Галлагер Р. Теория информации и надежная связь. М. Мир. 1974.
4. Роберт Л. Зиглер. Брандмауэры в Linux. Москва.Вильямс. 5. Н.П. Бусленко. Моделирование сложных систем. М. Наука. 6. С.Мафтик Механизмы защиты в сетях ЭВМ. М. Мир 7. И. Медведовский П, Семьянов Д. Леонов Атака на Internet МЖ ДМК 8. Д. Айков К. Сейгер У. Фонсторх Компьютерные преступления. М. Мир 9. В.А. Герасименко, А.А. Малюк. Основы защиты информации. М:МИФИ, в) программное обеспечение и Интернет-ресурсы:
http://www.intuit.ru/ http://lukatsky.blogspot.com/ http://wikisec.ru http://www.securitylab.ru http://csrc.nist.gov http://itdefence.ru 8. Материально-техническое обеспечение дисциплины Аудитория Мультимедиа проектор, ноутбук, экран Материалы по теме лекций в формате мультимедиа презентаций Рецензент (ы) _ Программа одобрена на заседании Методической комиссии ФИТ от _ года, протокол №