Государственное бюджетное образовательное учреждение высшего
профессионального образования Московской области
«Международный университет природы, общества и человека «Дубна»
(университет «Дубна»)
Институт системного анализа и управления
Кафедра системного анализа и управления
УТВЕРЖДАЮ
проректор по учебной работе С.В. Моржухина «_»_20 г.
Программа дисциплины Информационная безопасность и защита информации (наименование дисциплины) Направление подготовки 220100 Системный анализ и управление Магистерская программа «Системный анализ и управление в больших системах»
Квалификация (степень) выпускника Магистр Форма обучения Очная г. Дубна, Автор программы (ученое звание, степень, ФИО полностью):
Профессор, дтн, Минзов Анатолий Степанович _ (подпись) Программа составлена в соответствии с Федеральным государственным образовательным стандартом высшего профессионального образования и ПрООП ВПО по направлению подготовки 220100 «Системный анализ и управление», магистерская программа:
«Системный анализ и управление в больших системах»
Программа рассмотрена на заседании кафедры _САУ_ (название кафедры) Протокол заседания № _ от «» 20 г.
Заведующий кафедрой, профессор_ / Черемисина Е.Н. / (ученое звание) (подпись) (фамилия, имя, отчество) «» _ 20 г.
СОГЛАСОВАНО
Заведующий выпускающей кафедрой, профессор_ /Е.Н. Черемисина / (ученое звание) (подпись) (ФИО) «» _ 20 г.И.о. директора института, профессор_ / Е.Н. Черемисина / (ученое звание, степень) (подпись) «» _ 20 г.
Рецензент: _ (ученая степень, ученое звание, Ф.И.О., место работы, должность) «» _ 20 г.
Руководитель библиотечной системы _ / В.Г. Черепанова/ (подпись) (ФИО) «» _ 20 г.
Оглавление 1. Цель освоения дисциплины
2. Место дисциплины в структуре ООП магистратуры
3. Требования к уровню освоения содержания дисциплины
4. Объем дисциплины и виды учебной работы (час):
4.1 Структура преподавания дисциплины
4.2 Содержание разделов дисциплины
5. Образовательные технологии
6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов
7. Учебно-методическое и информационное обеспечение дисциплины
8. Материально-техническое обеспечение дисциплины
1. Цель освоения дисциплины Основная цель дисциплины – овладеть методологией организации защиты информации хозяйствующего субъекта на основе:
требований существующих нормативно-правовых актов и стандартов к организации защиты информации;
анализа возможных угроз информационным активам и оценкой уязвимостей информационных систем, применения инженерно-технических, программно-аппаратных и организационных механизмов защиты информации;
экономически обоснованного управления информационными рисками.
Задачи изучения дисциплины:
Ознакомить студентов с терминологией в сфере информационной безопасности и основными положениями существующих концепций и нормативно-правовых актов по организации защиты информации.
Овладеть методологией анализа возможных угроз информационным активам, оценкой уязвимостей информационных систем оценкой ценности информационных активов организации.
Ознакомиться с механизмами эффективной защиты информационных активов организации.
Овладеть методологией анализа информационных рисков и обоснования эффективных решений в сфере защиты информации.
В ходе изучения курса студенты на практических занятиях ознакомятся с методами защиты информации в информационных системах.
Для изучения методов организации защиты информации студенты выполняют домашнее задание в форме Case-studies, а результаты решения обсуждаются на практических занятиях.
2. Место дисциплины в структуре ООП магистратуры Перечень дисциплин, усвоение которых студентами необходимо для изучения дисциплины «Информационная безопасность и защита информации»:
Философские проблемы науки и техники Современные проблемы системного анализа и управления Современные компьютерные технологии Формы работы студентов в ходе изучения дисциплины предусмотрены лекционные(Л), лабораторные работы (Лр), практические занятия (Пз), Самостоятельная работа студентов, предусмотренная учебным планом выполняется в ходе семестра в форме выполнение индивидуального домашнего задания (Дз).
Отдельные темы теоретического курса прорабатываются студентами самостоятельно в соответствии с планом самостоятельной работы и конкретными заданиями преподавателя с учетом индивидуальных особенностей студентов.
Виды текущего контроля – проверка домашних заданий, защита лабораторных работ, защита результатов выполнения домашнего задания, устный опрос (Уо).
Форма итогового контроля – экзамен.
3. Требования к уровню освоения содержания дисциплины В результате изучения дисциплины студенты должны иметь общее представление о теории и методологии защиты информации в информационных системах различного назначения с информацией различного уровня ее конфиденциальности. Знать современные проблемы информационной безопасности и существующие технологии их решения. Уметь практически организовать защиту информации в информационных системах хозяйствующего субъекта на основе современных требований нормативных документов. Компетенции обучающегося, формируемые в результате освоения дисциплины: ОК-4,ОК-5,ОК-8,ПК-3.
Список компетенций:
ОК-4: способность использовать на практике умения и навыки в организации исследовательских и проектных работ, в управлении коллективом.
ОК-5: способность проявлять инициативу, в том числе в ситуациях риска, брать на себя всю полноту ответственности.
ОК-8: способность понимать сущность и значение информации в развитии современного информационного общества, сознавать опасности и угрозы, возникающие в этом процессе, соблюдать основные требования информационной безопасности, в том числе защиты государственной тайны.
ПК-3: способность анализировать, синтезировать и критически резюмировать информацию.
Результат обучения Компетенция Образовательная Вид контроля умения:
Результат обучения компетенция Образовательная Вид контроля Проводить анализ состояния ОК-8, ПК-3 Пз3-Пз17 Выполнение основе моделирования угроз и оценки рисков применение:
Результат обучения Компетенция Образовательная Вид контроля владение:
Методологией разработки ОК-8, ПК-3 Пз3-Пз17 Выполнение оценки рисков анализ:
Результат обучения компетенция Образовательная Вид контроля Оценка Результат обучения компетенция Образовательная Вид контроля Умение провести анализ состояние системы информационной безопасности хозяйствующего субъекта и предложить эффективное решение на основе моделирования рисков информационной безопасности и требований нормативных документов 4. Объем дисциплины и виды учебной работы (час):
Общая трудоемкость дисциплины составляет 4 зачетные единицы, 144 часов, из них _54 часа аудиторной нагрузки.
Общая трудоемкость Аудиторные занятия:
Лекции (проблемные) Семинары (С) Лабораторные работы (ЛР) Самостоятельная работа:
Расчетно-графические работы Вид итогового контроля 4.1 Структура преподавания дисциплины Содержание раздела содержание дисциплины.
Проблемы защиты информации безопасности в ИТ результаты 4.2 Содержание разделов дисциплины Тема 1.Введение в предмет. Цели, задачи и содержание дисциплины. Проблемы защиты информации.
Предмет, цели, задачи и содержание дисциплины. Сущность понятия информация, информационный актив, информационная безопасность. Понятие «национальная безопасность» РФ, ее цели и задачи. Система информационной безопасности РФ. Система информационной безопасности хозяйствующего субъекта.
Тема 2. Основные термины и определения в сфере ИБ.
Основные понятия и определения дисциплины. Предмет защиты, объекты и элементы защиты. Понятия безопасность, угроза, уязвимость, риск, конфиденциальная информация, тайна. Понятия конфиденциальность, целостность, доступность, неотказуемость.
Проблема применения терминологии в сфере защиты информации. Система обеспечения информационной безопасности хозяйствующего субъекта.
Тема 3.Система правового обеспечения и управления информационной безопасностью.
Система правового обеспечения информационной безопасности: концепция информационной безопасности, доктрина информационной безопасности, федеральное законодательство РФ, система отечественных и международных стандартов ы сфере информационной безопасности, руководящие документы по защите информации, локальные нормативные акты хозяйствующих субъектов. Система управления информационной безопасностью.
Тема 4. Теория и методология защиты информации в информационных системах.
Теория и методы обеспечения конфиденциальности, целостности и доступности информации. Концепции защиты информации информационных систем различного назначения. Особенности защиты государственной тайны и конфиденциальной информации. Концепция и политика информационной безопасности хозяйствующего субъекта. Оценка ценность информационных активов и угроз информационной безопасности. Организационные меры защиты информации. Особенности управления персоналом при организации защиты информации. Криптографические методы защиты информации. Программно-аппаратные средства защиты информации. Инженернотехнические средства защиты информации. Защита корпоративных информационных систем.
Тема 5. Методология создания эффективных систем защиты информации Понятие «эффективные системы защиты информации», критерии и показатели эффективности. Моделирование угроз и оценка рисков информационной безопасности.
Многофакторные модели оценки рисков информационной безопасности. Понятие «компромиссных» решений в сфере информационной безопасности.
Тема 6. Методы проектирования систем безопасности в ИТ.
Методы обеспечения безопасности в проектируемых информационных технологиях.
Методика проектирования задания по информационной безопасности и профиля безопасности. Технологии формализованного описания систем безопасности на основе модели Пароджанова.
5. Образовательные технологии В учебном процессе широко используются активные и интерактивные формы (обсуждение отдельных разделов дисциплины, защита расчетно-графической работы). В сочетании с внеаудиторной работой это способствует формированию и развитию профессиональных навыков обучающихся.
Перечень обязательных видов работы студента:
посещение лекционных занятий;
решение домашних заданий и Cast-studies;
выполнение лабораторных работ;
Интерактивные образовательные технологии, используемые в аудиторных занятиях При изучении теоретического курса на лекциях предусматривается изложение материала в виде презентации. Отдельные лекции излагаются по проблемной технологии.
Практические занятия призваны закрепить теоретические знания студентов и познакомить их с методами решения конкретных задач, возникающих при практическом приложении химических знаний.
Список практических занятий Система информационной безопасности: цели, критерии функционирования, структура.
Система правового обеспечения информационной Разработка механизмов обеспечения доступа к информационным активам Разработка механизмов обеспечения целостности информации (копирование активов, создание образов дисков, восстановление ОС, контроль целостности активов) Антивирусное ПО и методы его настройки Безопасные настройки сервисов ИНТЕРНЕТ (http, e-mail, ftp) Криптографические методы защиты информации Безопасность операционных систем Аудит компьютерных систем с использованием сканеров безопасности (Xspider) Расследование инцидентов компьютерной безопасности информационных активов Пз15 Разработка предложений по программно-аппаратной 9- защите корпоративной сети Пз16- Моделирование рисков информационной безопасности 13- Пз Пз18 Проектирование систем информационной безопасности 17- безопасности хозяйствующего субъекта и разработка предложений по ее совершенствованию (6 этапов) 6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов Обобщающий Организация самостоятельной работы Самостоятельная работа студентов предполагается в виде:
• изучения отдельных вопросов тематического плана дисциплины;
• подготовка докладов и презентаций по результатам выполнения домашнего задания, • подготовка к практическим занятиям и лабораторным работам;
• выполнение домашних работ;
• • подготовка к экзамену Вопросы к экзамену (зачету) по дисциплине «Информационная безопасность и защита информации»
1. Система правового обеспечения защиты информации РФ.
2. Основные активы организации, рассматриваемые с позиции защиты информации.
3. Основные механизмы защиты информации (стандарты ИСО 17799 и ИСО 13335).
4. Конфиденциальность информации и механизмы ее обеспечения.
5. Целостность информации и механизмы ее обеспечения.
6. Доступность информации и механизмы ее обеспечения.
7. Какие другие механизмы защиты информации используются на практике?
обеспечения.
8. Какие направления включает в себя комплекс мер по защите информации ?
9. Понятие «угрозы информационной безопасности». Статистика и примеры угроз.
Проблемы моделирования угроз.
10. Понятие «уязвимость информационной системы». Примеры уязвимостей.
11. Информационные риски: определение, особенности, методы измерения.
12. Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.
13. Методики оценки рисков по трем и более факторам. В чем преимущество этих методик ?
14. Модель оценки рисков, основанная на превентивных и ликвидационных затратах:
краткая характеристика, достоинства и недостатки.
15. Методика управления рисками на основе оценки эффективности инвестиций (NPV):
достоинства и недостатки.
16. Методика управления рисками на основе оценки совокупной стоимости владения (TCO): достоинства и недостатки.
17. Чем отличаются взгляды на цели и способы защиты информации ЛПР (лица, принимающего решения) от специалиста по защите информации ?.
18. Методы идентификации и аутентификации пользователя в информационных системах.
19. Методы разграничения доступа к информационным активам организации.
20. Что такое криптографическая хэш-функция и какими свойствами она обладает ?
21. Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать ?
22. Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.
23. Проблемы использования симметричных криптосистем.
24. Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.
25. Проблемы использования асимметричных криптосистем.
26. Механизм защиты информации в открытых сетях по протоколу SSL.
27. Методы защиты внешнего периметра информационных систем и их краткая характеристика.
28. Принципы обеспечения целостности информации Кларка и Вильсона.
29. Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.
30. Цифровые сертификаты и технологии их использования в электронной цифровой подписи.
31. Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
32. Механизмы построения системы защиты от угроз нарушения доступности.
33. Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.
34. Формы проявления компьютерных угроз.
35. DLP-системы: назначение, область применения, перспективы развития.
36. Стеганография: назначение, принципы и применяемые методы защиты информации.
37. Безопасность работы в социальных сетях: угрозы, механизмы защиты.
38. Как обеспечивается непрерывность бизнеса в система защиты информации.
39. Физическая защита информационных активов: назначение, классификация технических средств и их краткая характеристика.
40. Методы защиты корпоративных информационных систем и сетей.
Пример экзаменационного билета 1. Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.
2. Понятие «уязвимость информационной системы». Примеры уязвимостей.
7. Учебно-методическое и информационное обеспечение дисциплины Основная литература 1. Малюк А.А. Введение в защиту информации в автоматизированных системах:
Учебное пособие (гриф) / Малюк Анатолий Александрович, Пазизин Сергей Владимирович, Погожин Николай Семенович. - 3-е изд.,стер. - М.: Горячая линияТелеком, 2005. - 147с.: ил. - (Учебное пособие для высших учебных заведений:
Специальность). - Лит.:с.143. - ISBN 5-93517-062-0. (10) 2. Семененко В.А. Информационная безопасность: Учебное пособие для вузов / Семененко Вячеслав Алексеевич. - 2-е изд.,стер. - М.: МГИУ, 2005. - 215с. - Список лит.:с.212. - ISBN 5-276-00641-5. (25) 3. Сердюк В.А. Новое в защите от взлома корпоративных систем: Учебник (гриф) / Сердюк Виктор Александрович; Рец. И.В.Суминов, С.К.Дулин. - М.: Техносфера, 2007. - 360с. - (Мир программирования; VIII. 07). - Терм.и опред.:с.299.-Лит.:с.340.
- ISBN 978-5-94836-133-8. (2) 4. Минзов А.С. Методология применения терминов и определений в сфере информационной, экономической и комплексной безопасности. Уч.-мет. Пособие.М.:ВНИИгеосистем, 2011.-84 с. (в электронном виде).
Дополнительная литература (вся литература представлена студентам в электронном виде) 1. Доктрина информационной безопасности от 9.09.2000 г. N Пр-1895.
2. Федеральный закон Российской Федерации от 5 марта 1992 года N 2446-1ФЗ «О безопасности»
3. Федеральный закон Российской Федерации от 06.10.1997 N 131-ФЗ "О Государственной тайне" 4. Федеральный закон Российской Федерации 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
5. Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" 6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 7. Федеральный закон Российской Федерации от 27.12.2002 № 184-ФЗ «О техническом регулировании».
8. Стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология.
Практические правила управления информационной безопасностью»;
9. Стандарт ГОСТ Р ИСО/МЭК 27001-2006 ««Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
10. Стандарт ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
11. Стандарт ГОСТ Р ИСО/МЭК 13335-3-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»;
12. Стандарт ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в 13. Стандарт ГОСТ Р 51275-2006 "Защита информации. Объекты информатизации.
факторы, воздействующие на информацию.
14. Стандарт ГОСТ Р 50922-2006 Основные термины и определения.
15. Стандарт ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
16. Рекомендации по стандартизации Р 50.1.056-2005 "Защита информации. Основные термины и определения".
конфиденциальной информации/ Документ Гостехкомиссии при Президенте РФ, 18. Стандарт банка России СТО БР ИББС-1.0-2008 Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения.
19. Стандарт банка России СТО БР ИББС-1.1-2007 Обеспечение информационной безопасности банковской системы. Аудит информационной безопасности.
20. Стандарт банка России СТО БР ИББС-1.2-2007 Обеспечение информационной безопасности организации банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы РФ требованиям СТО БР ИББС-1.0- 21. Risk Management Guide for Information Systems. NIST, Special publication 800-30.
22. РД Руководящий документ. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требований по защите информации. Гостехкомиссия России. М.: Военное издательство, 1997.
23. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Гостехкомиссия России. М.: Военное издательство, 1992.
24. BS 7799-3:2005 «Information security management systems. Guidelines for information security risk management».
25. Руководящий документ Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 8. Материально-техническое обеспечение дисциплины Условия в которых должны проводиться занятия (аудитории, компьютерные классы, лаборатории и т.д.) Компьютерные классы и аудитории должны быть оборудованы презентационным оборудованием (компьютерным проектором).