Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение
advertisement
Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Чеченский государственный университет» ФАКУЛЬТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Кафедра «Программирование и инфокоммуникационные технологии» УТВЕРЖДАЮ Проректор по учебной работе и информатизации _____________С.С. Абдулазимов «_____»________________2015 г. РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ «Информационная безопасность» Направление подготовки 11.03.02 «Инфокоммуникационные технологии и системы связи» (код и наименование направления подготовки) Профиль подготовки «Сети связи и системы коммутации» (наименование профиля подготовки) Квалификация (степень) выпускника Академический бакалавриат Форма обучения Очная Согласовано: Начальник УМУ ________Ш.В. Дукаев «____» ____________2015 г. Рекомендовано кафедрой: Протокол № _______ И.о. зав. кафедрой____С. Р. Шамилев «____» ____________2015 г. Грозный 2015 г. Рецензент кандидат технических наук, доцент Сайдаев Х. Л.-А. Рабочая программа дисциплины безопасность» «Информационная /сост. С.Р. Шамилев – Грозный: ФГБОУ ВПО ЧГУ, 2015. – 33 с. Рабочая программа предназначена для преподавания дисциплины вариативной части студентам очной формы обучения по направлению подготовки 11.03.02 - Инфокоммуникационные технологии и системы связи в 5 семестре. Рабочая программа составлена с учетом Федерального государственного образовательного стандарта высшего профессионального образования по направлению подготовки 11.03.02 – «Инфокоммуникационные технологии и системы связи», утвержденного приказом Министерства образования и науки Российской Федерации от 06 марта 2015 г. № 174. Составитель _______________ С.Р. Шамилев (подпись) С.Р. Шамилев, 2014 ФГБОУ ЧГУ, 2014 Содержание 1. Цели и задачи дисциплины ...........................................................................................................4 2. Место дисциплины в структуре ооп впо ......................................................................................4 3. Требования к результатам освоения дисциплины ......................................................................4 4. Содержание и структура дисциплины .........................................................................................7 4.1. Содержание разделов дисциплины ...........................................................................................7 4.2. Структура дисциплины ...............................................................................................................8 4.3. Разделы дисциплины, изучаемые в 5 семестре ........................................................................8 4.4. Лабораторные работы .................................................................................................................8 4.5. Практические занятия .................................................................................................................8 4.6. Курсовой проект (курсовая работа)...........................................................................................9 4.7. Самостоятельное изучение разделов дисциплины ..................................................................9 5. Образовательные технологии .....................................................................................................10 5.1. Интерактивные образовательные технологии, используемые в аудиторных занятиях .....10 6 оценочные средства для текущего контроля успеваемости и промежуточной аттестации ..11 6.1. Вопросы к экзамену ..................................................................................................................11 7. Учебно-методическое обеспечение дисциплины (модуля) .....................................................26 7.1. Основная литература. ...............................................................................................................26 7.2. Дополнительная литература .....................................................................................................26 7.3. Периодические издания ............................................................................................................27 7.4. Программное обеспечение и интернет - ресурсы ..................................................................28 7.5. Методические указания к лабораторным занятиям ...............................................................29 7.6. Методические указания к практическим занятиям................................................................29 7.7. Методические указания к курсовому проектированию и другим видам самостоятельной работы................................................................................................................................................29 7.7. Программное обеспечение современных информационно-коммуникационных технологий ............................................................................................................................................................29 8. Материально-техническое обеспечение дисциплины ..............................................................29 лист согласования рабочей программы .........................................................................................30 дополнения и изменения в рабочей программе дисциплины ......................................................33 1. Цели и задачи дисциплины Цель дисциплины: развить творческие подходы при решении сложных задач, связанных с обеспечением информационной безопасности государства и его информационной инфраструктуры, развить профессиональную культуру, привить стремление к поиску оптимальных, простых и надежных решений, расширить кругозор. Задачи дисциплины – подготовить студентов по вопросам: обеспечения информационной безопасности государства; методологии создания систем защиты информации; процессов сбора, передачи и накопления информации; методов и средств ведения информационных войн; оценки защищенности и обеспечения информационной безопасности компьютерных систем. 2. Место дисциплины в структуре ООП ВПО Дисциплина «Информационная безопасность» относится к вариативной части. Дисциплина базируется на изучении следующих курсов «Информатика», «Метрология, стандартизация и сертификация в инфокоммуникационных системах». Дисциплина является базовой для следующих курсов: «Проектирование и эксплуатация инфокоммуникационных систем и сервисов», «Основы искусственного интеллекта», для учебной и производственной практики, выпускной квалификационной работы. 3. Требования к результатам освоения дисциплины В результате освоения дисциплины должны быть сформированы следующие компетенции: ОПК-1 – способностью понимать сущность и значение информации в развитии современного информационного общества, сознавать опасности и угрозы, возникающие в этом процессе, соблюдать основные требования информационной безопасности, в том числе защиты государственной тайны ОПК-2 – способностью решать стандартные задачи профессиональной деятельности на основе информационной и библиографической культуры с применением инфокоммуникационных технологий и с учетом основных требований информационной безопасности ОПК-5 – способностью использовать нормативную и правовую документацию, характерную для области инфокоммуникационных технологий и систем связи (нормативные правовые акты Российской Федерации, технические регламенты, международные и национальные стандарты, рекомендации Международного союза электросвязи) ПК-1 – готовностью содействовать внедрению перспективных технологий и стандартов ПК-2 – способностью осуществлять приемку и освоение вводимого оборудования в соответствии с действующими нормативами ПК-4 – умением составлять нормативную документацию (инструкции) по эксплуатационно-техническому обслуживанию сооружений, сетей и оборудования связи, а также по программам испытаний ПК-14 – умением осуществлять первичный контроль соответствия разрабатываемых проектов и технической документации национальным и международным стандартам и техническим регламентам ПК-16 – готовностью изучать научно-техническую информацию, отечественный и зарубежный опыт по тематике исследования ПК-18 – способностью организовывать и проводить экспериментальные испытания с целью оценки соответствия требованиям технических регламентов, международных и национальных стандартов и иных нормативных документов ПК-19 – готовностью к организации работ по практическому использованию и внедрению результатов исследований ПК-20 – готовностью к созданию условий для развития российской инфраструктуры связи, обеспечения ее интеграции с международными сетями связи ПК-24 – способностью подготовки установленной регламентом отчетности ПК-30 – способностью применять современные методы обслуживания и ремонта ПК-31 – умением осуществлять поиск и устранение неисправностей ПК-32 – способностью готовить техническую документацию на ремонт и восстановление работоспособности инфокоммуникационного оборудования В результате освоения дисциплины студент должен: Знать: цели, задачи, принципы и основные направления обеспечения информационной безопасности государства; основные термины по проблематике информационной безопасности; методологию создания систем защиты информации; перспективные направления развития средств и методов защиты информации; роль и место информационной безопасности в системе национальной безопасности страны; угрозы информационной безопасности государства; содержание информационной войны, методы и средства ее ведения; современные подходы к построению систем защиты информации; компьютерную систему как объект информационного воздействия, критерии оценки ее защищенности и методы обеспечения ее информационной безопасности; особенности обеспечения информационной безопасности компьютерных систем при обработке информации, составляющей государственную тайну; Уметь: выбирать и анализировать показатели качества и критерии оценки систем и отдельных методов и средств защиты информации; пользоваться современной научно-технической информацией по исследуемым проблемам и задачам; применять полученные знания при выполнении курсовых проектов и выпускных квалификационных работ, а также в ходе научных исследований; Владеть: навыками формальной постановки и решения задачи обеспечения информационной безопасности компьютерных систем. Приобрести опыт деятельности: применения современных информационных технологий в будущей профессиональной деятельности; по обеспечению информационной безопасности компьютерных систем. 4. Содержание и структура дисциплины 4.1. Содержание разделов дисциплины Содержание раздела № разд ела 1 Наименование раздела 2 Информационная 1. безопасность в системе национальной безопасности Российской Федерации Информационная 2. война, методы и средства ее ведения Критерии 3. защищенности компьютерных систем Методы 4. оценки защищенности компьютерных систем от НСД Защита 5. информации, обрабатываемой в автоматизированных системах, от технических разведок. Защита 6. АС и СВТ от внешнего электромагнитного воздействия 3 Понятие национальной безопасности. Виды безопасности и сферы жизнедеятельности личности, общества и государства: экономическая, внутриполитическая, социальная, международная, информационная, военная, пограничная, экологическая и другие. Виды защищаемой информации. Роль информационной безопасности в обеспечении национальной безопасности государства. Национальные интересы и угрозы информационной безопасности Российской Федерации в информационной сфере и их обеспечение. Интересы личности в информационной сфере. Интересы общества в информационной сфере. Интересы государства в информационной сфере. Основные составляющие национальных интересов Российской Федерации в информационной сфере. Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России. Угрозы информационному обеспечению государственной политики Российской Федерации. Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов. Угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Содержание информационного противоборства на межгосударственном уровне. Информационная безопасность и информационное противоборство. Субъекты информационного противоборства. Цели информационного противоборства. Составные части и методы информационного противоборства. Информационное оружие, его классификация и возможности Содержание информационного противоборства на военном уровне. Методы нарушения конфиденциальности, целостности и доступности информации. Причины, виды, каналы утечки и искажения информации. Основные направления обеспечения информационной безопасности объектов информационной сферы государства в условиях информационной войны. Компьютерная система как объект информационного воздействия. Методы и средства обеспечения информационной безопасности компьютерных систем. Компьютерная система как объект информационной безопасности. Общая характеристика методов и средств защиты информации. Организационно-правовые, технические и криптографические методы обеспечения информационной безопасности. Программно-аппаратные средства обеспечения информационной безопасности. Методы оценки защищенности компьютерных систем от НСД. Модели, стратегии и системы обеспечения информационной безопасности. Критерии и классы защищенности средств вычислительной техники и автоматизированных информационных систем. Общие критерии. Классификация и возможности технических разведок. Компьютерная разведка. Технические каналы утечки информации при эксплуатации АС. Методы защиты информации, обрабатываемой в автоматизированных системах, от технических разведок. Форм а теку щего контр оля 4 Р ДЗ Эссе Генераторы электромагнитных импульсов. Эффекты, возникающие от внешнего электромагнитного воздействия на АС и СВТ. Методы защиты АС и СВТ от внешнего электромагнитного воздействия. В графе 4 приводятся планируемые формы текущего контроля: защита лабораторной работы (ЛР), выполнение курсового проекта (КП), курсовой работы (КР), расчетнографического задания (РГЗ), домашнего задания (ДЗ), написание реферата (Р), эссе (Э), коллоквиум (К), рубежный контроль (РК), тестирование (Т) и т.д. 4.2. Структура дисциплины Общая трудоемкость дисциплины составляет 8 зачетных единиц (288 часов) Трудоемкость, часов Семестр 2 Вид работы Общая трудоемкость Аудиторная работа: Лекции (Л) Практические занятия (ПЗ) Лабораторные работы (ЛР) Самостоятельная работа: Курсовой проект (КП), курсовая работа (КР)1 Расчетно-графическое задание (РГЗ) Реферат (Р) Эссе (Э) Домашнее задание Самостоятельное изучение разделов Контрольная работа (К) Самоподготовка (проработка и повторение лекционного материала и материала учебников и учебных пособий, подготовка к лабораторным и практическим занятиям, коллоквиумам, рубежному контролю и т.д.), Подготовка и сдача экзамена Вид итогового контроля 288 64 32 32 188 8 8 8 164 36 144 4.3. Разделы дисциплины, изучаемые в 7 семестре № раздела Наименование разделов Количество часов Аудиторная работа Л ПЗ ЛР Внеаудиторная работа 42 4 4 30 42 42 42 4 6 4 6 6 6 30 30 30 6 6 50 6 6 252 32 32 Информационная безопасность в системе национальной безопасности Российской Федерации Информационная война, методы и средства ее ведения Критерии защищенности компьютерных систем Методы оценки защищенности компьютерных систем от НСД Защита информации, обрабатываемой в автоматизированных системах, от технических разведок. Защита АС и СВТ от внешнего электромагнитного воздействия 1 2 3 4 5 6 42 30 38 188 4.4. Лабораторные работы № раздела Наименование разделов Информационная безопасность в системе национальной безопасности Российской Федерации Информационная война, методы и средства ее ведения Критерии защищенности компьютерных систем Методы оценки защищенности компьютерных систем от НСД Защита информации, обрабатываемой в автоматизированных системах, от технических разведок. Защита АС и СВТ от внешнего электромагнитного воздействия 1 2 3 4 5 6 Кол-во часов 4 4 6 6 6 6 4.5. Практические занятия № раздела 1 2 3 4 5 6 1 Наименование разделов Информационная безопасность в системе национальной безопасности Российской Федерации Информационная война, методы и средства ее ведения Критерии защищенности компьютерных систем Методы оценки защищенности компьютерных систем от НСД Защита информации, обрабатываемой в автоматизированных системах, от технических разведок. Защита АС и СВТ от внешнего электромагнитного воздействия На курсовой проект (работу) выделяется не менее одной зачетной единицы трудоемкости (36 часов) Кол-во часов 4 4 6 6 6 4 4.6. Курсовой проект (курсовая работа) Не предусмотрены 4.7. Самостоятельное изучение разделов дисциплины № раздела 1 2 3 4 5 6 Вопросы, выносимые на самостоятельное изучение Информационная безопасность в системе национальной безопасности Российской Федерации Информационная война, методы и средства ее ведения Критерии защищенности компьютерных систем Методы оценки защищенности компьютерных систем от НСД Защита информации, обрабатываемой в автоматизированных системах, от технических разведок. Защита АС и СВТ от внешнего электромагнитного воздействия Кол-во часов 30 30 30 30 30 38 5. ОБРАЗОВАТЕЛЬНЫЕ ТЕХНОЛОГИИ Предусмотрено использование в учебном процессе активных форм проведения занятий (индивидуальный и фронтальный опрос в ходе занятий, контроль выполнения индивидуальных и групповых заданий, заслушивание рефератов и эссе, обсуждение, дискуссии, разработка конкретных ситуаций, компьютерных симуляций, деловых и ролевых игр, разбор конкретных ситуаций, компьютерные и иные тренинги). Внеаудиторные работы проводятся в компьютерном классе с использованием современных программных систем, проектора, интерактивной доски, интернет. 5.1. Интерактивные образовательные технологии, используемые в аудиторных занятиях Семестр 3 Итого: Вид занятия (Л, ПР, ЛР) Л ПР ЛР Используемые интерактивные образовательные технологии Компьютер, интерактивная доска, интернет Компьютерный класс, интерактивная доска, интернет Количество часов 32 32 64 6. ОЦЕНОЧНЫЕ СРЕДСТВА ДЛЯ ТЕКУЩЕГО КОНТРОЛЯ УСПЕВАЕМОСТИ И ПРОМЕЖУТОЧНОЙ АТТЕСТАЦИИ 6.1. Вопросы к экзамену 7. Дать определение понятию национальной безопасности. 8. Виды безопасности и сферы жизнедеятельности личности, общества и государства. 9. Виды защищаемой информации. 10. Основные понятия и общеметодологические принципы теории информационной безопасности. 11. Роль информационной безопасности в обеспечении национальной безопасности государства. 12. Интересы личности в информационной сфере. 13. Интересы общества в информационной сфере. 14. Интересы государства в информационной сфере. 15. Основные составляющие национальных интересов Российской Федерации в информационной сфере. 16. Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России. 17. Угрозы информационному обеспечению государственной политики Российской Федерации. 18. Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов. 19. Угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. 20. Внешние источники угроз. 21. Внутренние источники угроз. 22. Направления обеспечения информационной безопасности государства. 23. Содержание информационного противоборства на межгосударственном уровне 24. Информационная безопасность и информационное противоборство. 25. Субъекты информационного противоборства. 26. Цели информационного противоборства. 27. Составные части и методы информационного противоборства. 28. Информационное оружие, его классификация и возможности. 29. Компьютерная система как объект информационного воздействия. 30. Компьютерная система как объект информационной безопасности. 31. Общая характеристика методов и средств защиты информации. 32. Организационно-правовые методы обеспечения информационной безопасности. 33. Технические методы обеспечения информационной безопасности. 34. Криптографические методы обеспечения информационной безопасности. 35. Программно-аппаратные средства обеспечения информационной безопасности. 36. Методы оценки защищенности компьютерных систем от НСД. 37. Критерии и классы защищенности средств вычислительной техники и автоматизированных информационных систем. 38. Классификация и возможности технических разведок. 39. Компьютерная разведка, ее объекты и содержание. 40. Технические каналы утечки информации при эксплуатации АС. 41. Методы защиты информации, обрабатываемой в автоматизированных системах, от технических разведок. 42. Эффекты, возникающие при внешнем электромагнитного воздействия на АС и 43. Методы защиты АС и СВТ от внешнего электромагнитного воздействия. 44. Информационная безопасность и ее основные компоненты. 45. Основные положения доктрины информационной безопасности в области СВТ. защиты информации. 46. Стандарты в области информационной безопасности 47. Задачи обеспечения информационной безопасности на государственном уровне. 48. Классификация атак, уровни безопасности. 49. Уязвимости и политика информационной безопасности. 50. Основные угрозы и способы обеспечения безопасности 51. Основные аспекты проблемы кодирования. 52. Коды обнаруживающие и исправляющие ошибки. 53. Концепция информационной безопасности. 54. Типы кодов, примеры. 55. Основные компоненты и их назначение в стандарте шифрования данных DES. 56. Достоинства и недостатки аппаратной и программной реализации шифров. 57. Блочные системы шифрования, примеры. 58. Поточные системы шифрования. Примеры. 59. Криптоаналитические атаки и их виды. 60. Методы генерации псевдослучайных последовательностей на базе ЛРС. 61. Модели и критерии распознавания открытых текстов. 62. Понятие шифра, типы шифров их сильные и слабые стороны. 63. Принципы криптографической защиты информации. Симметричные и асимметричные криптосистемы. 64. Принципы разработки вычислительно стойких шифров. 65. Принципы построения криптосистем с открытым ключом. 66. Проблемы защиты информации в компьютерных сетях и пути их решения. 67. Проблемы идентификации и проверки подлинности. 68. Требования к шифрам и «правило Керкгоффса» 69. Управление криптографическими ключами: проблемы и методы их решения. 70. Хэш-функции и их применение. 71. Шифрование методом гаммирования. Пример. 72. Шифры замены. Примеры 73. Шифры перестановки. Примеры. 74. Электронная цифровая подпись. Правовой и технический аспекты. 75. Отличительные особенности AES от DES. 76. Межсетевые экраны и их предназначение. 77. Вирусные атаки и защита от них. 78. Виды нарушений информационной системы. 79. Целостность данных и аутентификация сообщений. 80. Административный и процедурный уровни информационной безопасности. 81. Основные положения теории информационной безопасности информационных систем. 82. Обеспечение информационной безопасности в ОС 83. Проблемы надежности шифров. 84. Классы моделей политик безопасности. 85. Политика информационной безопасности. 86. Проблемы защиты информации в глобальных компьютерных сетях. 87. Обеспечение безопасности в приложениях MS Word и MS Excel. 88. Защита информации в БД на примере MS Access. Тесты 1. Кто является основным ответственным за определение уровня классификации информации? Руководитель среднего звена Высшее руководство Владелец Пользователь 2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности? Сотрудники Хакеры Атакующие Контрагенты (лица, работающие по договору) 3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству? Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации Улучшить контроль за безопасностью этой информации Снизить уровень классификации этой информации 4. Что самое главное должно продумать руководство при классификации данных? Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным Необходимый уровень доступности, целостности и конфиденциальности Оценить уровень риска и отменить контрмеры Управление доступом, которое должно защищать данные 5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены? Владельцы данных Пользователи Администраторы Руководство 6. Что такое процедура? Правила использования программного и аппаратного обеспечения в компании Пошаговая инструкция по выполнению задачи Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах Обязательные действия 7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании? Поддержка высшего руководства Эффективные защитные меры и методы их внедрения Актуальные и адекватные политики и процедуры безопасности Проведение тренингов по безопасности для всех сотрудников 8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков? Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски Когда риски не могут быть приняты во внимание по политическим соображениям Когда необходимые защитные меры слишком сложны Когда стоимость контрмер превышает ценность актива и потенциальные потери 9. Что такое политики безопасности? Пошаговые инструкции по выполнению задач безопасности Общие руководящие требования по достижению определенного уровня безопасности Широкие, высокоуровневые заявления руководства Детализированные документы по обработке инцидентов безопасности 10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер? Анализ рисков Анализ затрат / выгоды Результаты ALE Выявление уязвимостей и угроз, являющихся причиной риска 11. Что лучше всего описывает цель расчета ALE? Количественно оценить уровень безопасности среды Оценить возможные потери для каждой контрмеры Количественно оценить затраты / выгоды Оценить потенциальные потери от угрозы в год 12. Тактическое планирование – это: Среднесрочное планирование Долгосрочное планирование Ежедневное планирование Планирование на 6 месяцев 13. Что является определением воздействия (exposure) на безопасность? Нечто, приводящее к ущербу от угрозы Любая потенциальная опасность для информации или систем Любой недостаток или отсутствие информационной безопасности Потенциальные потери от угрозы 14. Эффективная программа безопасности требует сбалансированного применения: Технических и нетехнических методов Контрмер и защитных механизмов Физической безопасности и технических средств защиты Процедур безопасности и шифрования 15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют: Внедрение управления механизмами безопасности Классификацию данных после внедрения механизмов безопасности Уровень доверия, обеспечиваемый механизмом безопасности Соотношение затрат / выгод 16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации? Только военные имеют настоящую безопасность Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности Военным требуется больший уровень безопасности, т.к. их риски существенно Коммерческая компания обычно больше заботится о доступности и выше конфиденциальности данных, а военные – о целостности 17. Как рассчитать остаточный риск? Угрозы х Риски х Ценность актива (Угрозы х Ценность актива х Уязвимости) х Риски SLE x Частоту = ALE (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля 18. Что из перечисленного не является целью проведения анализа рисков? Делегирование полномочий Количественная оценка воздействия потенциальных угроз Выявление рисков Определение баланса между воздействием риска и стоимостью необходимых контрмер 19. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности? Поддержка Выполнение анализа рисков Определение цели и границ Делегирование полномочий 20. Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании? Чтобы убедиться, что проводится справедливая оценка Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку 21. Что является наилучшим описанием количественного анализа рисков? Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков рисков Метод, сопоставляющий денежное значение с каждым компонентом оценки Метод, основанный на суждениях и интуиции 22. Почему количественный анализ рисков в чистом виде не достижим? Он достижим и используется Он присваивает уровни критичности. Их сложно перевести в денежный вид. Это связано с точностью количественных элементов Количественные измерения должны применяться к качественным элементам 23. Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа? Много информации нужно собрать и ввести в программу Руководство должно одобрить создание группы Анализ рисков не может быть автоматизирован, что связано с самой природой оценки Множество людей должно одобрить данные 24. Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств? Стандарты Должный процесс (Due process) Должная забота (Due care) Снижение обязательств 25. Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности? Список стандартов, процедур и политик для разработки программы безопасности Текущая версия ISO 17799 Структура, которая была разработана для снижения внутреннего мошенничества в компаниях Открытый стандарт, определяющий цели контроля 26. Из каких четырех доменов состоит CobiT? Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка 27. Что представляет собой стандарт ISO/IEC 27799? Стандарт по защите персональных данных о здоровье Новая версия BS 17799 Определения для новой серии ISO 27000 Новая версия NIST 800-60 28. CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO? COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень COSO учитывает корпоративную культуру и разработку политик COSO – это система отказоустойчивости 29. OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами? NIST и OCTAVE являются корпоративными NIST и OCTAVE ориентирован на ИТ AS/NZS ориентирован на ИТ NIST и AS/NZS являются корпоративными 30. Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой? Анализ связующего дерева AS/NZS NIST Анализ сбоев и дефектов 31. Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом? Безопасная OECD ISO\IEC OECD CPTED 32. Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста, это метод: гаммирования; подстановки; кодирования; перестановки; аналитических преобразований. 33. Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов, это метод: гаммирования; подстановки; кодирования; перестановки; аналитических преобразований. 34. Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, это метод: гаммирования; подстановки; кодирования; перестановки; аналитических преобразований. 35. Защита информации от утечки – это деятельность по предотвращению: получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации; воздействия с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации; воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений; неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа; несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации. 36. Защита информации это: процесс сбора, накопления, обработки, хранения, распределения и поиска информации; преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа; получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств; совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям; деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё. 37. Естественные угрозы безопасности информации вызваны: деятельностью человека; ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения; воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека; корыстными устремлениями злоумышленников; ошибками при действиях персонала. 38 Икусственные угрозы безопасности информации вызваны: деятельностью человека; ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения; воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека; корыстными устремлениями злоумышленников; ошибками при действиях персонала. 39 К основным непреднамеренным искусственным угрозам АСОИ относится: физическое разрушение системы путем взрыва, поджога и т.п.; перехват побочных электромагнитных, акустических и других излучений устройств и линий связи; изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.; чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы. 40. К посторонним лицам нарушителям информационной безопасности относится: представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации; персонал, обслуживающий технические средства; технический персонал, обслуживающий здание; пользователи; сотрудники службы безопасности. представители конкурирующих организаций. лица, нарушившие пропускной режим; 41. Спам, который имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п: черный пиар; фишинг; нигерийские письма; источник слухов; пустые письма. 42. Спам распространяет поддельные сообщения от имени банков или финансовых компаний, целью которых является сбор логинов, паролей и пин-кодов пользователей: черный пиар; фишинг; нигерийские письма; источник слухов; пустые письма. 43. Антивирус обеспечивает поиск вирусов в оперативной памяти, на внешних носителях путем подсчета и сравнения с эталоном контрольной суммы: детектор; доктор; сканер; ревизор; сторож. 44. Антивирус не только находит зараженные вирусами файлы, но и "лечит" их, т.е. удаляет из файла тело программы вируса, возвращая файлы в исходное состояние: детектор; доктор; сканер; ревизор; сторож. 45. Антивирус запоминает исходное состояние программ, каталогов и системных областей диска когда компьютер не заражен вирусом, а затем периодически или по команде пользователя сравнивает текущее состояние с исходным: детектор; доктор; сканер; ревизор; сторож. 46. . Антивирус представляет собой небольшую резидентную программу, предназначенную для обнаружения подозрительных действий при работе компьютера, характерных для вирусов: детектор; доктор; сканер; ревизор; сторож. 47. Активный перехват информации это перехват, который: заключается в установке подслушивающего устройства в аппаратуру средств обработки информации; основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций; неправомерно использует технологические отходы информационного процесса; осуществляется путем использования оптической техники; осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера. 48. Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется: активный перехват; пассивный перехват; аудиоперехват; видеоперехват; просмотр мусора. 49. Перехват, который основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций называется: активный перехват; пассивный перехват; аудиоперехват; видеоперехват; просмотр мусора. 50. . Перехват, который осуществляется путем использования оптической техники называется: активный перехват; пассивный перехват; аудиоперехват; видеоперехват; просмотр мусора. 51. К внутренним нарушителям информационной безопасности относится: клиенты; пользователи системы; посетители; любые лица, находящиеся внутри контролируемой территории; представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации. персонал, обслуживающий технические средства. сотрудники отделов разработки и сопровождения ПО; технический персонал, обслуживающий здание 7. УЧЕБНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ (МОДУЛЯ) 7.1. Основная литература. Ахметова С.Г. Информационная безопасность Учеб.-метод. пособие. – Пермь : Изд-во Перм. нац. исслед. политехн. ун-та, 2013. – 123 с. — ISBN 978-5-398-01070-1. Блинов А.М. Информационная безопасность Учебное пособие. Часть 1 – СПб.: Изд-во СПбГУЭФ, 2010. – 96 с. Гафнер В.В. Информационная безопасность Учебное пособие. — Ростов н/Д : Феникс, 2010. — 324 с. ISBN 978-5-222-17389-3. 7.2. Дополнительная литература Бухарин, С. Н. Методы и технологии информационных войн / С.Н. Бухарин, В. В. Цыганов. – М. : Академический Проект, 2007. – 382 с. Галатенко В.А. Информационная безопасность / В. А. Галатенко под редакцией академика РАН В.Б. Бетелина М.: ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 2003. – 280 с. Информационная безопасность: курс лекций: учебное пособие. Авторы: Галатенко В.А., под ред. В.Б. Бетелина. Издательство: Интернет-Университет Информационных Технологий, 2006 г. Криптография и безопасность сетей: Учебное пособие. Автор: Фороузан Б.А. Издательство: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2010 г. Обеспечение безопасности сетевой инфраструктуры на основе операционных систем Microsoft: практикум. Авторы: Ложников П.С., Михайлов Е.М. Издательство: ИнтернетУниверситет Информационных Технологий; БИНОМ. Лаборатория знаний, 2008 г. Обеспечение информационной безопасности в условиях виртуализации общества. Опыт Европейского Союза: монография. Автор: Смирнов А.А. Издательство: ЮНИТИДАНА; Закон и право, 2012 г. Основы информационных и телекоммуникационных технологий. Информационная безопасность: Учебное пособие. Автор: Попов В.Б. Издательство: Финансы и статистика, 2005 г. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия: курс лекций: учебное пособие. Автор: Лапонина О.Р. Издательство: Интернет-Университет Информационных Технологий, 2005 г. Расторгуев С.П. Информационная война. Проблемы и модели. Экзистенциальная математика: учебное пособие для студентов вузов, обучающихся по специальностям в области информационной безопасности / С.П. Расторгуев – М.: Гелиос АРВ, 2006. – 240 с. Стандарты информационной безопасности: курс лекций: учебное пособие. Автор: Галатенко В.А. Издательство: Интернет-Университет Информационных Технологий, 2006 г. 7.3. Периодические издания • «Мир ПК», Издательство: «Открытые системы», М. • «Компьютер», Издательство: ООО «Компьютер-Медиа» • «Upgrade», Издательство: «Венето» • «Windows IT Pro/RE», Издательство: «Открытые системы» • «PC Magazine», Издательство: «СК Пресс» 7.4. Программное обеспечение и интернет - ресурсы Портал «Информационная безопасность»: новости, публикации, инновации Курс Интернет-университета информационных технологий «INTUIT» Архив изданий по информационной безопасности Основы информационной безопасности Портал об информационной безопасности: новости, форум, программные новинки Платонов В.В. «Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей». Интернет-портал по безопасности. Видеонаблюдение, контроль доступа, охраннопожарные системы и сигнализация. Форум по вопросам безопасности, доска объявлений, тендеры по техническим средствам безопасности. Новости, вакансии, средства защиты и др. Вопросы информационной безопасности, форум, статьи. Information Security http://www.kodges.ru/2008/02/27/programmnoapparatnye-sredstva.html Сайт ежегодной отраслевой конференции «Информационная безопасность». Продукт Спамоборона, Спамоборона1024 (free). Набор защиты о спама по электронной почте, как корпоративная версия так и бесплатная для домашнего пользования и малого бизнеса. Сайт Российской криптографической ассоциации. Российская криптографическая ассоциация - это общественная организация, объединяющая разработчиков и потребителей информационных технологий, юристов и экономистов, бизнесменов и политиков, всех тех, кто заинтересован в развитии гражданской криптологии в России. Agnitum Ltd. – признанный профессионал в области создания программных средств для защиты корпоративных и домашних компьютеров. Компания предлагает четыре основных продукта – Outpost Firewall PRO, защищающий домашние компьютеры, Outpost Network Security, обеспечивающий надежную защиту конечных пользователей корпоративной сети от повреждения и кражи ценных данных, Outpost Antivirus Pro, просто и понятно защищающий ПК от вредоносного ПО и новых угроз, и Outpost Security Suite PRO, обеспечивающий комплексную защиту компьютера от всего спектра Интернет-угроз. Agnitum предлагает решения безопасности как для средних и малых предприятий, так и для домашних пользователей. Система двухфакторной аутентификации, предполагающая использование электронных ключей для хранения учетных записей пользователей: учетные данные считываются из памяти электронного ключа или смарт-карты при его подсоединении к компьютеру. Программное обеспечение класса single sign-on, которое позволяет автоматизировать процесс аутентификации пользователей для доступа к приложениям. Средство защиты информации на локальных рабочих станциях, позволяющее создавать и использовать защищенные логические диски, информация в которых хранится в зашифрованном виде и недоступна для посторонних даже при изъятии диска или компьютера. Система Zgate обеспечивает контроль и архивирование электронной почты в масштабах предприятия, минимизируя риск утечки конфиденциальной информации и существенно облегчая расследование инцидентов. Система Zlock позволяет гибко настроить права доступа к портам и устройствам и минимизировать риск утечки информации, связанный с несанкционированным использованием внешних устройств, прежде всего, USB-накопителей. Система защиты информации в процессе ее резервного копирования на магнитные ленты и CD/DVD-диски, гарантирующая защиту от несанкционированного доступа к резервным копиям информации. Система защиты информации, хранимой и обрабатываемой на корпоративных серверах, работающее по принципу «прозрачного» шифрования разделов жестких дисков. Разработчик и поставщик систем защиты информации Информационная безопасность: ФСТЭК, инсайдеры, шифрование, ЭЦП, вирусы, трояны, спам. Авторский сайт кандидата технических наук Домарева В.В. по безопасности информационных технологий. Статьи, форум, файлы и новости из мира ИТ. Текст книги Домарев В.В. «Безопасность информационных технологий». Обозрение уязвимостей систем. Много статей разной категории на тему информационной безопасности, конкурсы, форум. Мировые события в сфере информационной безопасности. Каталог порталов посвященных Информационной безопасности. Статьи и обзоры, каталог продукций и компаний. http://www.avconf.ru http://sec.ru http://www.citforum.ru/security http://so.yandex.ru http://www.ruscrypto.ru http://www.agnitum.com Zlogin Zshell Zdisk Zgate Zlock Zbackup Zserver http://www.securit.ru http://www.egovernment.ru http://www.security.ukrnet.net http://bugtraq.ru http://infosecurity.report.ru Уязвимости, обзоры, аналитика и многое другое Портал информационной безопасности — Securitylab.ru Отслеживание тенденций, аналитика, информирование о наиболее значимых событиях BugTraq.Ru Один из самых популярных журналов, посвященных информационной безопасности Сайт проекта Linux для анализа компьютерной безопасности Журнал «Хакер» онлайн Интернет-ресурс автора-разработчика одного из лучших сетевых сканеров — NMAP Сайт Гордона Лиона Блоги и статьи специалистов по ИБ InformIT Backtrack Linux LiveCD и образ для виртуальной машины 7.5. Методические указания к лабораторным занятиям Для эффективного процесса усвоения содержания дисциплины студенту рекомендуется: конспектирование лекционного материала; подготовка к лабораторным занятиям с использованием конспекта лекций; обязательное чтение вступительного текста лабораторной работы с внесением необходимых заметок в конспект лекций; чёткое следование алгоритму выполнения лабораторной работы. В случае затруднений рекомендуется вначале прочитать «ключу к заданию», и только затем обращаться к преподавателю за разъяснением, если это необходимо; регулярная работа над вопросами и заданиями для самоконтроля. При этом желательно обращаться к различным источникам информации, включая основную, дополнительную литературу и ресурсы Интернета; выполнение дополнительных заданий на домашнем компьютере (для этого требуется установить необходимое программное обеспечение) или в компьютерном классе во внеучебное время. 7.6. Методические указания к практическим занятиям Для обеспечения текущего контроля прохождения дисциплины применяется балльнорейтинговая система, которая основана на использовании совокупности контрольных точек, оптимально расположенных на всем временном интервале изучения дисциплины. Дисциплина разделена на ряд логически завершенных блоков (модулей), по которым проводится промежуточный контроль. Итоговая оценка по курсу: определяется на основе суммы баллов, полученных по всем разделам по результатам самостоятельной работы при условии, что студент по каждому виду набрал количество баллов не менее зачетного минимума. 7.7. Методические указания к курсовому проектированию и другим видам самостоятельной работы Не предусмотрены 7.7. Программное обеспечение современных информационно-коммуникационных технологий MS Windows; MS Office 2003/07; браузеры 8. МАТЕРИАЛЬНО-ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ Компьютерный класс с мультимедийным оборудованием и доступом к сети Интернет. Приложение В (обязательное) В1 Форма листа согласования рабочей программы дисциплины ООП ВПО подготовки бакалавра и специалиста Приложение 1 к приказу №____ от «_____» 2011 г. ЛИСТ согласования рабочей программы Направление подготовки: _____________________________________________________________ код и наименование Специальность:2 _____________________________________________________________________ код и наименование Специализация:1 ____________________________________________________________________ наименование Дисциплина: _______________________________________________________________________ Форма обучения: ____________________________________________________________________ (очная, очно-заочная, заочная) Учебный год ____________ РЕКОМЕНДОВАНА заседанием кафедры _______________________________________________ наименование кафедры протокол N ________от "___" __________ 20__г. Ответственный исполнитель, заведующий кафедрой ________________________________________________________________________________ ___ наименование кафедры подпись расшифровка подписи дата Исполнители: ____________________________ ___________ ___________________ _________ должность подпись расшифровка подписи дата ____________________________ ___________ ___________________ _________ должность подпись расшифровка подписи дата Рабочая программа зарегистрирована в УМУ под учетным номером __________ на правах учебно-методического электронного издания. Начальник УМУ _______________________________________________________________________ личная подпись дата 2 Для рабочих программ ООП ВПО подготовки специалистов расшифровка подписи СОГЛАСОВАНО: Заведующий кафедрой3 _________________________________________________________ наименование кафедры личная подпись расшифровка подписи дата Заведующий кафедрой ___________________________________________________________ наименование кафедры личная подпись расшифровка подписи дата Председатель методической комиссии по специальности (направлению подготовки) _____________________________________________________________________________ шифр наименование личная подпись расшифровка подписи дата Заведующий отделом комплектования научной библиотеки ______________________________________________________________________________ личная подпись расшифровка подписи дата Согласование осуществляется со всеми кафедрами, за которыми приказом закреплены дисциплины, изучение которых опирается на данную дисциплину 3 В2 Форма листа согласования рабочей программы дисциплины ООП ВПО подготовки магистра ЛИСТ согласования рабочей программы Направление подготовки: _______________________________________________________ код и наименование Наименование магистерской программы: __________________________________________ _____________________________________________________________________________ Дисциплина: __________________________________________________________________ Форма обучения: ______________________________________________________________ (очная, очно-заочная, заочная) Учебный год ____________ РЕКОМЕНДОВАНА заседанием кафедры ____________________________________________________ наименование кафедры протокол N ________от "___" __________ 20__г. Ответственный исполнитель, заведующий кафедрой _____________________________________________________________________________ наименование кафедры подпись расшифровка подписи дата Исполнители: _____________________________________________________________________________ должность подпись расшифровка подписи дата _____________________________________________________________________________ должность подпись расшифровка подписи дата СОГЛАСОВАНО: Заведующий кафедрой4 _________________________________________________________ наименование кафедры личная подпись расшифровка подписи дата Заведующий кафедрой _________________________________________________________ наименование кафедры личная подпись расшифровка подписи дата Председатель методической комиссии, научный руководитель по направлению подготовки __________________________________________________________________ код наименование личная подпись расшифровка подписи дата Научный руководитель магистерской программы __________________________________ личная подпись расшифровка подписи дата Заведующий отделом комплектования научной библиотеки _____________________________________________________________________________ личная подпись расшифровка подписи дата Рабочая программа зарегистрирована в УМУ под учетным номером __________ на правах учебно-методического электронного издания. Начальник УМУ_______________________________________________________________ личная подпись расшифровка подписи дата Согласование осуществляется со всеми кафедрами, за которыми приказом закреплены дисциплины, изучение которых опирается на данную дисциплину 4 Дополнения и изменения в рабочей программе дисциплины В рабочую программу дополнения и изменения не внесены, утверждена на заседании кафедры «Программирование и инфокоммуникационные технологии», протокол № ____ от «____» ____________ 201 г. Заведующий кафедрой ________________ (подпись) С.Р. Шамилев (Ф.И.О.) Одобрено советом факультета____________________________ протокол № ____ от «____» __________ 201 г. Председатель (подпись) ________________ (Ф.И.О.) _____________