МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Государственное образовательное учреждение высшего профессионального
образования
«Новосибирский государственный университет» (НГУ)
Факультет информационных технологий
УТВЕРЖДАЮ
_
« _» _ 20_г.
РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ
Защита информации (наименование дисциплины) НАПРАВЛЕНИЕ ПОДГОТОВКИ 230100 «ИНФОРМАТИКА ИВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА»
Квалификация (степень) выпускника Бакалавр Форма обучения очная Новосибирск Программа дисциплины «Защита информации» составлена в соответствии с требованиями ФГОС ВПО к структуре и результатам освоения основных образовательных программ бакалавриата по Профессиональному циклу по направлению подготовки «Информатика и вычислительная техника», а также задачами, стоящими перед Новосибирским государственным университетом по реализации Программы развития НГУ.Автор (авторы) Пермяков Руслан Анатольевич (ФИО, ученая степень, ученое звание) Факультет информационных технологий Кафедра Компьютерных систем 1. Цели освоения дисциплины (курса) Дисциплина Защита информации имеет своей целью:
Изучение основных принципов, методов и средств защиты информации в процессе ее обработки, передачи и хранения с использованием компьютерных средств в информационных системах.
2. Место дисциплины в структуре образовательной программы Дисциплина входит в блок дисциплин профессионального цикла программы бакалавра по направлению 230100 Информатика и вычислительная техника.
Дисциплины, предшествующие по учебному плану: Информатика, Математическая логика и теория алгоритмов, Дискретная математика, Программирование, ЭВМ и периферийные устройства, Операционные системы.
Дисциплины, последующие по учебному плану:
Итоговая государственная аттестация Учебная и производственная практики Выполнение выпускной квалификационной работы 3. Компетенции обучающегося, формируемые в результате освоения дисциплины Общекультурные компетенции:
владение культурой мышления, способен к обобщению, анализу, восприятию информации, постановке цели и выбору путей ее достижения (ОК-1);
умение логически верно, аргументированно и ясно строить устную и письменную речь (ОК-2);
готовность к кооперации с коллегами, работе в коллективе (ОКспособность находить организационно-управленческие решения в нестандартных ситуациях и готов нести за них ответственность (ОК-4);
умение использовать нормативные правовые документы в своей деятельности (ОК-5);
стремление к саморазвитию, повышению своей квалификации и мастерства (ОК-6);
способность понимать и ставить задачи (ОК-19) Профессиональные компетенции:
проектно-конструкторская деятельность:
способность осваивать методики использования программных средств для решения практических задач (ПК-2);
способность разрабатывать интерфейсы "человек - электронновычислительная машина" (ПК-3);
способность разрабатывать модели компонентов информационных систем, включая модели систем защиты информации;
способность использовать основные практические подходы, обусловленные современными бизнес-процессами, к проектированию комплексных систем информационной безопасности различной степени сложности, в зависимости от характера объекта защиты (ПК-89) проектно-технологическая деятельность:
способность разрабатывать компоненты программных комплексов и баз данных, использовать современные инструментальные средства и технологии программирования владение современными средствами управления базами данных, включая средства объектно-реляционного отображения, объектные и иерархические базы данных (ПК-16) научно-исследовательская деятельность:
способность обосновывать принимаемые проектные решения, осуществлять постановку и выполнять эксперименты по проверке их корректности и эффективности (ПК-6);
способность готовить презентации, научно-технические отчеты по результатам выполненной работы, оформлять результаты исследований в виде статей и докладов на научно-технических Изучение дисциплины направлено на формирование следующих компетенций:
владеет культурой мышления, способен к обобщению, анализу, восприятию информации, постановке цели и выбору путей ее достижения способен находить организационно-управленческие решения в нестандартных ситуациях и готов нести за них ответственность знать основные практические подходы, обусловленные современными бизнес-процессами, к проектированию комплексных систем информационной безопасности различной степени сложности, в зависимости от характера объекта защиты В результате освоения дисциплины обучающийся должен:
Знать: основные понятия и направления в защите компьютерной информации, принципы защиты информации, принципы классификации и примеры угроз безопасности компьютерным системам, современные подходы к защите продуктов и систем информационных технологий, реализованные в действующих отечественных и международных стандартах ИТ-безопасности, основные инструменты обеспечения многоуровневой безопасности в информационных системах.
Уметь: конфигурировать встроенные средства безопасности в операционной системе, проводить анализ защищенности компьютера и сетевой среды с использованием сканера безопасности; устанавливать и использовать одно из средств для шифрования информации и организации обмена данными с использованием электронной цифровой подписи; устанавливать и использовать один из межсетевых экранов; устанавливать и настраивать программное обеспечение для защиты от вредоносного программного обеспечения; настроить инструменты резервного копирования и восстановления информации.
Владеть: методами аудита безопасности информационных систем, методами системного анализа информационных систем.
4. Структура и содержание дисциплины «Защита иныормации»
Общая трудоемкость дисциплины составляет 4 зачетных единиц, 144 часа.
определения.
Концептуальные основы правовые аспекты ЗИ. Политика безопасности и управление рисками.
сфере ИТбезопасности в задачах защиты информации компьютерных системах и сетях.
аттестация 5. Образовательные технологии Преподавание дисциплины Защита информации ведется с применением следующих видов образовательных технологий:
Информационные технологии: использование электронных образовательных ресурсов НГУ, обеспечивающие обучение в использованием современных средств дистанционного взаимодействия преподавателя с обучающимся.
Cade-study: разбор реальных ситуаций сложившихся на реальных объектах информатизации, разбор возможных вариантов решений.
Обучение на основе опыта: за счет сильной связности с ранее изученными курсами и примерами с параллельных областей знания позволяет ассоциировать изучаемую дисциплину с собственным опытом обучающегося.
6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебнометодическое обеспечение самостоятельной работы студентов Темы рефератов:
1. Системы управления доступом в Интернет и контроля корпоративной электронной почты 2. Утечки информации: источники, правовые и технологические аспекты борьбы.
3. Утилизация данных: проблемы повторного использования.
4. SELinux: реализация мандатного (принудительного) контроля доступа.
5. Распределенные системы управления доступом LDAP и ActiveDirectory: описание и сравнение.
6. Rootkits –примеры (для Windows, для *nix), методы и средства выявления и противодействия 7. Применение технологий «honeypots» для обеспечения сетевой безопасности.
8. SQL-инъекции: принципы атак, способы их обнаружения и противодействия.
9. Атаки межсайтового скриптинга (XSS-атаки): принципы атак, способы их обнаружения и противодействия.
10. Проблемы противодействия фишингу и фармингу.
11. P2P-приложения: тенденции развития и аспекты безопасности.
12. Безопасность Web-браузеров.
13. Безопасность беспроводных технологий.
14. Виртуальные частные сети (VPN) – технологии и средства организации.
15. Биометрические системы аутентификации: принципы, технологии и перспективы.
16. Средства взлома парольных систем и противодействие им.
17. Распределенные атаки отказ в обслуживании и противодействие им.
18. «Электронное государство» - общее понятие, технологии, аспекты безопасности 19. Проблемы безопасности «виртуальных» инфраструктур e-commerce.
20. Расследование ИТ-инцидентов 21. Эволюция вредоносного ПО (malware) и средств борьбы с ним.
22. СПАМ: способы распространения, принципы и средства противодействия 23. Методы защиты от нелегального использования ПО (и др. ITресурсов).
24. Безопасность информационных систем построенных с использованием с использованием технологий виртуализации.
25. Методы и средства борьбы и противодействия внутренним нарушителям.
26. Защита персональных данных, типовые решения.
27. Аспекты защиты информации в системах автоматизированного управления технологическими процессами.
28. Понятие политики безопасности 29. Управление рисками. Методы численного анализа рисков 30. Управление рисками. Оценка и минимизация рисков.
31. Понятие модели нарушителя. Типы моделей.
32. Методы поиска уязвимостей в информационных системах. Оценка возможности использования для проникновения.
33. Применение межсетевых экранов, цели, перечень основных уязвимостей, перечень возможных рисков.
34. Основные угрозы Интернет. Модель нарушителя.
35. Уязвимости технологии web 2.0.
36. Основы безопасной работы в интернет, минимизация рисков web 2.0.
37. Методика обеспечения бесперебойной работы информационной системы. Принципы резервирования.
38. Управление программным обеспечением, как аспект обеспечения информационной безопасности. Структура, требования, задачи.
39. Защита персональных данных. Требования, технические решения.
40. Обеспечение безопасности при облачных вычислениях.
41. Проблемы безопасности в виртуальных средах.
7. Учебно-методическое и информационное обеспечение дисциплины а) основная литература:
1. Обеспечение информационной безопасности. под редакцией А.П.
Курило. М. Альпина 2. Безопасность интранет. Дж. Вакка. М. БукМедиаПаблишер. 3. Безопасность сети Вашей компании. М. NTPress 4. Информационная безопасность систем организационного управления в 2 томах под редакцией Н.А.Кузнецова. М. Наука 5. Руководство по защите от внутренних угроз информационной безопасности. В. Скиба, В. Курбатов М. Питер. 6. Безопасность Oracle глазами аудитора: нападение и защита. А.М.
Поляков. М. ДМК 7. С. Норткатт, Д.Новак. Обнаружение вторжений в сеть. М. Лори 2001.
8. С. Норткатт, М.Купер. и д.р. Анализ типовых нарушений безопасности в сетях. М. Вильямс. б) дополнительная литература:
1. Д. Айков К. Сейгер У. Фонсторх Компьютерные преступления. М.
2. В.А. Герасименко, А.А. Малюк. Основы защиты информации.
3. Галатенко В.А. Основы информационной безопасности. ИНТУИТ.
4. Д. Маллери, Д.Занн, П. Келли и д.р Безопасная сеть вашей компании.
Подробная пошаговая инструкция. NT Press Москва 5. А.Торокин. Инженено-техническая защита информации. Гелиос АРВ, 6. Галлагер Р. Теория информации и надежная связь. М. Мир. 1974.
7. Роберт Л. Зиглер. Брандмауэры в Linux. Москва.Вильямс. 8. Н.П. Бусленко. Моделирование сложных систем. М. Наука. 9. С.Мафтик Механизмы защиты в сетях ЭВМ. М. Мир 10. И. Медведовский П, Семьянов Д. Леонов Атака на Internet МЖ ДМК 11. Д. Айков К. Сейгер У. Фонсторх Компьютерные преступления. М.
12. В.А. Герасименко, А.А. Малюк. Основы защиты информации.
в) программное обеспечение и Интернет-ресурсы:
Программное обеспечение:
1. Программный комплекс VipNet 2. Программный комплекс КриптроПро 3. Программный комплекс Гриф 4. Программный комплекс Кондор 5. ПАК SecretNet 6. Программный комплекс Kaspersky internet Security Информационные ресурсы Internet:
www.fstec.ru, www.securitylab.ru, www.cyberpol.ru, www.azi.ru, www.infotecs.ru, www.infosec.ru, www.infoforum.ru, www.cnews.ru, ww.brighttalk.com, www.coresecurity.com, r-a-permyakov.blogspot.com Дополнительные источники информации:
Computer and Information Security Handbook - John R. Vacca — Elsevier Inc. (2009) How To Achieve 27001 Certification — Auerbach Publications (2008) The Security Risk Assessment Handbook — Douglas J. Landoll / Auerbach Publications (2006) Hacking Exposed (серия книг) Payment Card Industry Data Security Standard Handbook - Timothy M.
Virtue / John Wiley & Sons (2009) 7. Материально-техническое обеспечение дисциплины В ходе изучения дисциплины в лекционные занятия проводятся в аудитории оборудованной мультимедийным проектором?
Компьютером преподавателя и подключением к Internet.
Лабораторные занятия проводятся в терминальном классе с возможностью выходя в Internet/ Рецензент (ы) _ Программа одобрена на заседании Методической комиссии ФИТ от _ года, протокол № _.