Государственное бюджетное образовательное учреждение высшего

профессионального образования Московской области

«Международный университет природы, общества и человека «Дубна»

(университет «Дубна»)

Институт системного анализа и управления

Кафедра системного анализа и управления

УТВЕРЖДАЮ

проректор по учебной работе С.В. Моржухина «_»_20 г.

Программа дисциплины Информационная безопасность и защита информации (наименование дисциплины) Направление подготовки 220100 Системный анализ и управление Магистерская программа «Системный анализ и управление в больших системах»

Квалификация (степень) выпускника Магистр Форма обучения Очная г. Дубна, Автор программы (ученое звание, степень, ФИО полностью):

Профессор, дтн, Минзов Анатолий Степанович _ (подпись) Программа составлена в соответствии с Федеральным государственным образовательным стандартом высшего профессионального образования и ПрООП ВПО по направлению подготовки 220100 «Системный анализ и управление», магистерская программа:

«Системный анализ и управление в больших системах»

Программа рассмотрена на заседании кафедры _САУ_ (название кафедры) Протокол заседания № _ от «» 20 г.

Заведующий кафедрой, профессор_ / Черемисина Е.Н. / (ученое звание) (подпись) (фамилия, имя, отчество) «» _ 20 г.

СОГЛАСОВАНО

Заведующий выпускающей кафедрой, профессор_ /Е.Н. Черемисина / (ученое звание) (подпись) (ФИО) «» _ 20 г.

И.о. директора института, профессор_ / Е.Н. Черемисина / (ученое звание, степень) (подпись) «» _ 20 г.

Рецензент: _ (ученая степень, ученое звание, Ф.И.О., место работы, должность) «» _ 20 г.

Руководитель библиотечной системы _ / В.Г. Черепанова/ (подпись) (ФИО) «» _ 20 г.

Оглавление 1. Цель освоения дисциплины

2. Место дисциплины в структуре ООП магистратуры

3. Требования к уровню освоения содержания дисциплины

4. Объем дисциплины и виды учебной работы (час):

4.1 Структура преподавания дисциплины

4.2 Содержание разделов дисциплины

5. Образовательные технологии

6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов

7. Учебно-методическое и информационное обеспечение дисциплины

8. Материально-техническое обеспечение дисциплины

1. Цель освоения дисциплины Основная цель дисциплины – овладеть методологией организации защиты информации хозяйствующего субъекта на основе:

требований существующих нормативно-правовых актов и стандартов к организации защиты информации;

анализа возможных угроз информационным активам и оценкой уязвимостей информационных систем, применения инженерно-технических, программно-аппаратных и организационных механизмов защиты информации;

экономически обоснованного управления информационными рисками.

Задачи изучения дисциплины:

Ознакомить студентов с терминологией в сфере информационной безопасности и основными положениями существующих концепций и нормативно-правовых актов по организации защиты информации.

Овладеть методологией анализа возможных угроз информационным активам, оценкой уязвимостей информационных систем оценкой ценности информационных активов организации.

Ознакомиться с механизмами эффективной защиты информационных активов организации.

Овладеть методологией анализа информационных рисков и обоснования эффективных решений в сфере защиты информации.

В ходе изучения курса студенты на практических занятиях ознакомятся с методами защиты информации в информационных системах.

Для изучения методов организации защиты информации студенты выполняют домашнее задание в форме Case-studies, а результаты решения обсуждаются на практических занятиях.

2. Место дисциплины в структуре ООП магистратуры Перечень дисциплин, усвоение которых студентами необходимо для изучения дисциплины «Информационная безопасность и защита информации»:

Философские проблемы науки и техники Современные проблемы системного анализа и управления Современные компьютерные технологии Формы работы студентов в ходе изучения дисциплины предусмотрены лекционные(Л), лабораторные работы (Лр), практические занятия (Пз), Самостоятельная работа студентов, предусмотренная учебным планом выполняется в ходе семестра в форме выполнение индивидуального домашнего задания (Дз).

Отдельные темы теоретического курса прорабатываются студентами самостоятельно в соответствии с планом самостоятельной работы и конкретными заданиями преподавателя с учетом индивидуальных особенностей студентов.

Виды текущего контроля – проверка домашних заданий, защита лабораторных работ, защита результатов выполнения домашнего задания, устный опрос (Уо).

Форма итогового контроля – экзамен.

3. Требования к уровню освоения содержания дисциплины В результате изучения дисциплины студенты должны иметь общее представление о теории и методологии защиты информации в информационных системах различного назначения с информацией различного уровня ее конфиденциальности. Знать современные проблемы информационной безопасности и существующие технологии их решения. Уметь практически организовать защиту информации в информационных системах хозяйствующего субъекта на основе современных требований нормативных документов. Компетенции обучающегося, формируемые в результате освоения дисциплины: ОК-4,ОК-5,ОК-8,ПК-3.

Список компетенций:

ОК-4: способность использовать на практике умения и навыки в организации исследовательских и проектных работ, в управлении коллективом.

ОК-5: способность проявлять инициативу, в том числе в ситуациях риска, брать на себя всю полноту ответственности.

ОК-8: способность понимать сущность и значение информации в развитии современного информационного общества, сознавать опасности и угрозы, возникающие в этом процессе, соблюдать основные требования информационной безопасности, в том числе защиты государственной тайны.

ПК-3: способность анализировать, синтезировать и критически резюмировать информацию.

Результат обучения Компетенция Образовательная Вид контроля умения:

Результат обучения компетенция Образовательная Вид контроля Проводить анализ состояния ОК-8, ПК-3 Пз3-Пз17 Выполнение основе моделирования угроз и оценки рисков применение:

Результат обучения Компетенция Образовательная Вид контроля владение:

Методологией разработки ОК-8, ПК-3 Пз3-Пз17 Выполнение оценки рисков анализ:

Результат обучения компетенция Образовательная Вид контроля Оценка Результат обучения компетенция Образовательная Вид контроля Умение провести анализ состояние системы информационной безопасности хозяйствующего субъекта и предложить эффективное решение на основе моделирования рисков информационной безопасности и требований нормативных документов 4. Объем дисциплины и виды учебной работы (час):

Общая трудоемкость дисциплины составляет 4 зачетные единицы, 144 часов, из них _54 часа аудиторной нагрузки.

Общая трудоемкость Аудиторные занятия:

Лекции (проблемные) Семинары (С) Лабораторные работы (ЛР) Самостоятельная работа:

Расчетно-графические работы Вид итогового контроля 4.1 Структура преподавания дисциплины Содержание раздела содержание дисциплины.

Проблемы защиты информации безопасности в ИТ результаты 4.2 Содержание разделов дисциплины Тема 1.Введение в предмет. Цели, задачи и содержание дисциплины. Проблемы защиты информации.

Предмет, цели, задачи и содержание дисциплины. Сущность понятия информация, информационный актив, информационная безопасность. Понятие «национальная безопасность» РФ, ее цели и задачи. Система информационной безопасности РФ. Система информационной безопасности хозяйствующего субъекта.

Тема 2. Основные термины и определения в сфере ИБ.

Основные понятия и определения дисциплины. Предмет защиты, объекты и элементы защиты. Понятия безопасность, угроза, уязвимость, риск, конфиденциальная информация, тайна. Понятия конфиденциальность, целостность, доступность, неотказуемость.

Проблема применения терминологии в сфере защиты информации. Система обеспечения информационной безопасности хозяйствующего субъекта.

Тема 3.Система правового обеспечения и управления информационной безопасностью.

Система правового обеспечения информационной безопасности: концепция информационной безопасности, доктрина информационной безопасности, федеральное законодательство РФ, система отечественных и международных стандартов ы сфере информационной безопасности, руководящие документы по защите информации, локальные нормативные акты хозяйствующих субъектов. Система управления информационной безопасностью.

Тема 4. Теория и методология защиты информации в информационных системах.

Теория и методы обеспечения конфиденциальности, целостности и доступности информации. Концепции защиты информации информационных систем различного назначения. Особенности защиты государственной тайны и конфиденциальной информации. Концепция и политика информационной безопасности хозяйствующего субъекта. Оценка ценность информационных активов и угроз информационной безопасности. Организационные меры защиты информации. Особенности управления персоналом при организации защиты информации. Криптографические методы защиты информации. Программно-аппаратные средства защиты информации. Инженернотехнические средства защиты информации. Защита корпоративных информационных систем.

Тема 5. Методология создания эффективных систем защиты информации Понятие «эффективные системы защиты информации», критерии и показатели эффективности. Моделирование угроз и оценка рисков информационной безопасности.

Многофакторные модели оценки рисков информационной безопасности. Понятие «компромиссных» решений в сфере информационной безопасности.

Тема 6. Методы проектирования систем безопасности в ИТ.

Методы обеспечения безопасности в проектируемых информационных технологиях.

Методика проектирования задания по информационной безопасности и профиля безопасности. Технологии формализованного описания систем безопасности на основе модели Пароджанова.

5. Образовательные технологии В учебном процессе широко используются активные и интерактивные формы (обсуждение отдельных разделов дисциплины, защита расчетно-графической работы). В сочетании с внеаудиторной работой это способствует формированию и развитию профессиональных навыков обучающихся.

Перечень обязательных видов работы студента:

посещение лекционных занятий;

решение домашних заданий и Cast-studies;

выполнение лабораторных работ;

Интерактивные образовательные технологии, используемые в аудиторных занятиях При изучении теоретического курса на лекциях предусматривается изложение материала в виде презентации. Отдельные лекции излагаются по проблемной технологии.

Практические занятия призваны закрепить теоретические знания студентов и познакомить их с методами решения конкретных задач, возникающих при практическом приложении химических знаний.

Список практических занятий Система информационной безопасности: цели, критерии функционирования, структура.

Система правового обеспечения информационной Разработка механизмов обеспечения доступа к информационным активам Разработка механизмов обеспечения целостности информации (копирование активов, создание образов дисков, восстановление ОС, контроль целостности активов) Антивирусное ПО и методы его настройки Безопасные настройки сервисов ИНТЕРНЕТ (http, e-mail, ftp) Криптографические методы защиты информации Безопасность операционных систем Аудит компьютерных систем с использованием сканеров безопасности (Xspider) Расследование инцидентов компьютерной безопасности информационных активов Пз15 Разработка предложений по программно-аппаратной 9- защите корпоративной сети Пз16- Моделирование рисков информационной безопасности 13- Пз Пз18 Проектирование систем информационной безопасности 17- безопасности хозяйствующего субъекта и разработка предложений по ее совершенствованию (6 этапов) 6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов Обобщающий Организация самостоятельной работы Самостоятельная работа студентов предполагается в виде:

• изучения отдельных вопросов тематического плана дисциплины;

• подготовка докладов и презентаций по результатам выполнения домашнего задания, • подготовка к практическим занятиям и лабораторным работам;

• выполнение домашних работ;

• • подготовка к экзамену Вопросы к экзамену (зачету) по дисциплине «Информационная безопасность и защита информации»

1. Система правового обеспечения защиты информации РФ.

2. Основные активы организации, рассматриваемые с позиции защиты информации.

3. Основные механизмы защиты информации (стандарты ИСО 17799 и ИСО 13335).

4. Конфиденциальность информации и механизмы ее обеспечения.

5. Целостность информации и механизмы ее обеспечения.

6. Доступность информации и механизмы ее обеспечения.

7. Какие другие механизмы защиты информации используются на практике?

обеспечения.

8. Какие направления включает в себя комплекс мер по защите информации ?

9. Понятие «угрозы информационной безопасности». Статистика и примеры угроз.

Проблемы моделирования угроз.

10. Понятие «уязвимость информационной системы». Примеры уязвимостей.

11. Информационные риски: определение, особенности, методы измерения.

12. Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.

13. Методики оценки рисков по трем и более факторам. В чем преимущество этих методик ?

14. Модель оценки рисков, основанная на превентивных и ликвидационных затратах:

краткая характеристика, достоинства и недостатки.

15. Методика управления рисками на основе оценки эффективности инвестиций (NPV):

достоинства и недостатки.

16. Методика управления рисками на основе оценки совокупной стоимости владения (TCO): достоинства и недостатки.

17. Чем отличаются взгляды на цели и способы защиты информации ЛПР (лица, принимающего решения) от специалиста по защите информации ?.

18. Методы идентификации и аутентификации пользователя в информационных системах.

19. Методы разграничения доступа к информационным активам организации.

20. Что такое криптографическая хэш-функция и какими свойствами она обладает ?

21. Какие задачи решают с использованием смарт-карт и какие проблемы при этом могут возникать ?

22. Симметричные криптографические алгоритмы и принципы их работы. Примеры реализации симметричных криптографических алгоритмов.

23. Проблемы использования симметричных криптосистем.

24. Асимметричные криптографические алгоритмы и принципы их работы. Примеры реализации.

25. Проблемы использования асимметричных криптосистем.

26. Механизм защиты информации в открытых сетях по протоколу SSL.

27. Методы защиты внешнего периметра информационных систем и их краткая характеристика.

28. Принципы обеспечения целостности информации Кларка и Вильсона.

29. Криптографические методы обеспечения целостности информации: цифровые подписи, криптографические хэш-функции, коды проверки подлинности. Краткая характеристика методов.

30. Цифровые сертификаты и технологии их использования в электронной цифровой подписи.

31. Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.

32. Механизмы построения системы защиты от угроз нарушения доступности.

33. Механизмы построения системы защиты от угроз нарушения неизменяемости информации и неотказуемости действий персонала с информацией.

34. Формы проявления компьютерных угроз.

35. DLP-системы: назначение, область применения, перспективы развития.

36. Стеганография: назначение, принципы и применяемые методы защиты информации.

37. Безопасность работы в социальных сетях: угрозы, механизмы защиты.

38. Как обеспечивается непрерывность бизнеса в система защиты информации.

39. Физическая защита информационных активов: назначение, классификация технических средств и их краткая характеристика.

40. Методы защиты корпоративных информационных систем и сетей.

Пример экзаменационного билета 1. Механизм обеспечения достоверности информации с использованием электронной цифровой подписи.

2. Понятие «уязвимость информационной системы». Примеры уязвимостей.

7. Учебно-методическое и информационное обеспечение дисциплины Основная литература 1. Малюк А.А. Введение в защиту информации в автоматизированных системах:

Учебное пособие (гриф) / Малюк Анатолий Александрович, Пазизин Сергей Владимирович, Погожин Николай Семенович. - 3-е изд.,стер. - М.: Горячая линияТелеком, 2005. - 147с.: ил. - (Учебное пособие для высших учебных заведений:

Специальность). - Лит.:с.143. - ISBN 5-93517-062-0. (10) 2. Семененко В.А. Информационная безопасность: Учебное пособие для вузов / Семененко Вячеслав Алексеевич. - 2-е изд.,стер. - М.: МГИУ, 2005. - 215с. - Список лит.:с.212. - ISBN 5-276-00641-5. (25) 3. Сердюк В.А. Новое в защите от взлома корпоративных систем: Учебник (гриф) / Сердюк Виктор Александрович; Рец. И.В.Суминов, С.К.Дулин. - М.: Техносфера, 2007. - 360с. - (Мир программирования; VIII. 07). - Терм.и опред.:с.299.-Лит.:с.340.

- ISBN 978-5-94836-133-8. (2) 4. Минзов А.С. Методология применения терминов и определений в сфере информационной, экономической и комплексной безопасности. Уч.-мет. Пособие.М.:ВНИИгеосистем, 2011.-84 с. (в электронном виде).

Дополнительная литература (вся литература представлена студентам в электронном виде) 1. Доктрина информационной безопасности от 9.09.2000 г. N Пр-1895.

2. Федеральный закон Российской Федерации от 5 марта 1992 года N 2446-1ФЗ «О безопасности»

3. Федеральный закон Российской Федерации от 06.10.1997 N 131-ФЗ "О Государственной тайне" 4. Федеральный закон Российской Федерации 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

5. Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" 6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 7. Федеральный закон Российской Федерации от 27.12.2002 № 184-ФЗ «О техническом регулировании».

8. Стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология.

Практические правила управления информационной безопасностью»;

9. Стандарт ГОСТ Р ИСО/МЭК 27001-2006 ««Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

10. Стандарт ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;

11. Стандарт ГОСТ Р ИСО/МЭК 13335-3-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»;

12. Стандарт ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в 13. Стандарт ГОСТ Р 51275-2006 "Защита информации. Объекты информатизации.

факторы, воздействующие на информацию.

14. Стандарт ГОСТ Р 50922-2006 Основные термины и определения.

15. Стандарт ГОСТ Р ИСО/МЭК 15408-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

16. Рекомендации по стандартизации Р 50.1.056-2005 "Защита информации. Основные термины и определения".

конфиденциальной информации/ Документ Гостехкомиссии при Президенте РФ, 18. Стандарт банка России СТО БР ИББС-1.0-2008 Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения.

19. Стандарт банка России СТО БР ИББС-1.1-2007 Обеспечение информационной безопасности банковской системы. Аудит информационной безопасности.

20. Стандарт банка России СТО БР ИББС-1.2-2007 Обеспечение информационной безопасности организации банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы РФ требованиям СТО БР ИББС-1.0- 21. Risk Management Guide for Information Systems. NIST, Special publication 800-30.

22. РД Руководящий документ. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требований по защите информации. Гостехкомиссия России. М.: Военное издательство, 1997.

23. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Гостехкомиссия России. М.: Военное издательство, 1992.

24. BS 7799-3:2005 «Information security management systems. Guidelines for information security risk management».

25. Руководящий документ Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 8. Материально-техническое обеспечение дисциплины Условия в которых должны проводиться занятия (аудитории, компьютерные классы, лаборатории и т.д.) Компьютерные классы и аудитории должны быть оборудованы презентационным оборудованием (компьютерным проектором).