ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ

АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ КУРСКОЙ ОБЛАСТИ
«КУРСКАЯ АКАДЕМИЯ ГОСУДАРСТВЕННОЙ И МУНИЦИПАЛЬНОЙ СЛУЖБЫ»
(АКАДЕМИЯ ГОССЛУЖБЫ)
УТВЕРЖДЕНО:
Решением ученого совета
от «___» ________ 201_ протокол №__
ПРОГРАММА
ГОСУДАРСТВЕННОЙ ИТОГОВОЙ АТТЕСТАЦИИ
СПЕЦИАЛЬНОСТЬ:
090103.65– «ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ»
Специализация:
«Безопасность систем управления и принятия решений»
КУРСК – 2014
Общие положения.
В соответствии с Законом Российской Федерации «Об образовании» освоение образовательных программ высшего профессионального
образования по специальности 090103.65 – «Организация и технология
защиты информации» завершается обязательной государственной аттестацией выпускников.
Итоговая государственная аттестация выпускников, завершивших
обучение в высших учебных заведениях по образовательным программам основного общего, среднего (полного) общего, начального и среднего профессионального образования, проводится в соответствие с положениями об итоговой государственной аттестации выпускников образовательных учреждений соответствующих типов и видов.
Целью итоговой государственной аттестации является установление уровня подготовки выпускника высшего учебного заведения по
специальности «Организация и технология защиты информации» к выполнению профессиональных задач и соответствия его подготовки требованиям государственного образовательного стандарта высшего профессионального образования (включая федеральный, национальнорегиональный и компонент образовательного учреждения).
Итоговая государственная аттестация выпускников проводится в
Курской академии государственной и муниципальной службы по всем
основным образовательным программам высшего профессионального
образования, имеющим государственную аккредитацию.
К итоговым аттестационным испытаниям, входящим в состав итоговой государственной аттестации, допускается лицо, успешно завершившие в полном объеме освоение основной образовательной программы по специальности « Организация и технология защиты информации», разработанной Курской академии государственной и муниципальной службы в соответствии с требованиями государственного образовательного стандарта высшего профессионального образования.
При условии успешного прохождения всех установленных видов
итоговых аттестационных испытаний, входящих в итоговую государственную аттестацию, выпускнику Курской академии государственной
и муниципальной службы присваивается квалификация «специалист» и
выдаётся диплом государственного образца о высшем профессиональном образовании.
К видам итоговых аттестационных испытания итоговая государственная аттестация выпускников Курской академии государственной и
муниципальной службы относится:
- государственный экзамен по специальности «Организация и
технология защиты информации» - защита выпускной квалификационной работы.
Конкретный перечень обязательных итоговых аттестационных испытаний устанавливается государственным образовательным стандар-
том высшего профессионального образования в части требований к
итоговой государственной аттестации выпускника и утверждается Министерством образования России.
Темы выпускных квалификационных работ определяются Курской
академией государственной и муниципальной службы. Студенту может
предоставляться право выбора темы выпускной квалификационной работы в порядке, установленном институтом, вплоть до предложения
своей тематики с необходимым обоснованием целесообразности ее разработки. Для подготовки выпускной квалификационной работы студенту назначается руководитель и при необходимости консультанты.
Выпускные квалификационные работы, выполненные по завершении основных образовательных программ подготовки специалистов,
подлежат рецензированию. Порядок рецензирования устанавливается
Курской академией государственной и муниципальной службы.
Условия и сроки выполнения выпускных квалификационных работ устанавливаются Ученым советом Курской академии государственной и муниципальной службы на основании соответствующих
государственных образовательных стандартов высшего профессионального образования в части, касающейся требований к итоговой государственной аттестации выпускников, и рекомендации учебнометодических объединений высших учебных заведений.
Программы государственных экзаменов и критерии оценки выпускных квалификационных работ утверждаются Курской академией
государственной и муниципальной службы с учетом рекомендаций
учебно-методических объединений высших учебных заведений.
Итоговые аттестационные испытания, входящие в перечень обязательных итоговых аттестационных испытаний, не могут быть заменены
оценкой качества освоения обязательных программ путем осуществления текущего контроля успеваемости и промежуточной аттестации студента.
Государственный итоговый экзамен по специальности «Организация и технология защиты информации»
Подготовка и проведение государственного экзамена
Цель настоящей программы — помочь студентам подготовиться к
государственному экзамену, который является одним из двух видов итоговых
аттестационных испытаний выпускников высших учебных заведений. Второй вид испытаний – защита выпускной квалификационной работы.
Программа государственного квалификационного экзамена включает
в себя:

рекомендации по подготовке и проведению государственного экзамена;

описание требований к профессиональной подготовленности выпускников специальности 090103.65;

описание основных вопросов тематических разделов:
комплексная система защиты информации
организационная защита информации,
инженерно-техническая защита информации,
программно-аппаратная защита информации;

вопросы для включения в экзаменационные билеты государственного экзамена.

Примерные темы ВКР

Список основной литературы
Предлагаемая структура программы позволяет осуществить комплексный контроль знаний студентов по основным направлениям защиты
информации, предусмотренным стандартом данной специальности. Руководители курсов принимали непосредственное участие в формировании перечня вопросов и информационных источников к ним. Они несут ответственность за подготовленность студентов к экзамену. В течение месяца перед
проведением государственного экзамена по включенным в программу дисциплинам проводятся консультации и, если необходимо читаются дополнительные лекции. В билеты государственного квалификационного экзамена
включаются 3 вопроса, которые равномерно случайным образом выбираются
из всех разделов программы. Количество билетов – 30. В билет включаются
вопросы из разных разделов, а следовательно и из разных дисциплин. В билетах нет повторяющихся вопросов. Количество представленных на экзамен
экзаменационных билетов превышает экзаменуемых в учебной группе. Ознакомление обучаемых с содержанием экзаменационных билетов запрещается.
Обучаемые обязаны готовиться к экзаменам, руководствуясь данной программой.
На проведение итогового экзамена выделяется время из расчета не
менее пяти дней для подготовки и сдачи. Расписание государственных экзаменов утверждается ученым советом и доводится до сведения студентов не
позднее, чем за месяц до начала государственной итоговой аттестации.
Ответы обучаемых на все поставленные вопросы заслушиваются членами экзаменационной комиссии и выставляется сводная оценка. Оценка
знаний обучаемого на экзамене выводится по частным оценкам ответов на
вопросы билета. В случае равного количества голосов мнение председателя
является решающим.
Знания обучаемых на экзамене, определяются оценками «отлично»,
«хорошо», «удовлетворительно», «неудовлетворительно». Оценки за экзамен
объявляются в день сдачи экзамена после их утверждения председателем
ГАК.
Требования к профессиональной подготовленности выпускников
Программа и порядок проведения государственного квалификационного экзамена разработана в соответствии с требованиями:

государственного образовательного стандарта высшего образования по специальности 090103.65– «Организация и технология защиты информации» (Организация и технология защиты информации». Специальность 075300: Государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального
компонента, циклы естественнонаучных, общепрофессиональных дисциплин
и дисциплин специализаций/Отв. ред. В.В.Минаев. – М.: РГГУ, 2001. – 358
с.);

положения об итоговой аттестации выпускников ВУЗов (Положение об итоговой государственной аттестации выпускников высших учебных заведений Российской федерации. Утверждена приказом Минобразования России №1155 от 25.03.2003.).
Государственный экзамен по специальности имеет целью определение
степени соответствия уровня подготовленности выпускников требованиям
образовательного стандарта. При этом проверяются как теоретические знания, так и практические навыки выпускника в соответствии со специальностью. В частности, проверяются следующие требования к профессиональной
подготовленности выпускника как специалиста по защите информации.
Знание и умение использовать:

методы обработки экспериментальных данных;

основные положения теории информации;

структуру систем управленческой и научно-технической документации;

принципы построения информационных систем с применением
современных технических средств хранения, обработки, поиска и передачи
информации;

структуру, правовые основы и содержание деятельности предприятий различных форм собственности;

законы и принципы теории организации;

инфраструктуру и формы организации менеджмента, природу и
состав его функций;

логические основы и модели системного анализа, методы сетевого планирования и управления;

закономерности, мотивации и способы регулирования поведения
человека в социальной группе;

методы, приемы и инструментарий социальной психологии при
прогнозировании поведения человека в различных ситуациях;

структуру и содержание составных частей, формирующих систему управления персоналом;

особенности защиты информации на предприятиях различного
профиля и различных форм собственности;

принципы защиты интеллектуальной собственности;
владеть:

методами количественного анализа процессов обработки, поиска
и передачи информации;

методами моделирования с учетом их иерархической структуры и
оценки пределов применимости полученных результатов;

методами обработки и анализа экспериментальных данных;

методикой отнесения информации к государственной и другим
видам тайны и ее засекречивания;

методикой выявления и анализа потенциально существующих
угроз безопасности информации, составляющей государственную и другие
виды тайны;

методами анализа и оценки риска, методами определения размеров возможного ущерба вследствие разглашения сведений, составляющих
государственную и другие виды тайны;

методами организации и моделирования комплексной системы
защиты информации, составляющей государственную и другие виды тайны;

методами управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;

методами организации и управления службами защиты информации.
Ниже приводится краткое содержание вопросов, включенных в программу государственного экзамена. Вопросы взяты из дисциплин федерального компонента, поэтому их содержание определено требованиями ГОС по
специальности 090103.65.
Программа государственного экзамена.
1. Сущность и задачи комплексной защиты информации.
Понятийный аппарат в области обеспечения безопасности информации. Цели, задачи и принципы построения КСЗИ. О понятиях безопасности и
защищенности. Разумная достаточность и экономическая эффективность.
Управление безопасностью предприятия. Международные стандарты. Цели и
задачи защиты информации в автоматизированных системах. Современное
понимание методологии защиты информации. Особенности национального
технического регулирования. Что понимается под безопасностью ИТ? Документы пользователя. Требования к средствам обеспечения безопасности.
2. Принципы организации и этапы разработки комплексной системы защиты информации.
Методологические основы организации КСЗИ. Разработка политики
безопасности и регламента безопасности предприятия. Основные положения
теории сложных систем. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями. Требования, предъявляемые к КСЗИ. Требования к организационной и технической составляющим КСЗИ. Требования по безопасности,
предъявляемые к изделиям ИТ. Этапы разработки КСЗИ.
3. Факторы, влияющие на организацию комплексной системы защиты информации.
Влияние формы собственности на особенности защиты информации
ограниченного доступа. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа. Характер
основной деятельности предприятия. Состав, объекты и степень конфиденциальности защищаемой информации. Структура и территориальное расположение предприятия. Режим функционирования предприятия. Конструктивные особенности предприятия. Количественные и качественные показатели ресурсообеспечения. Степень автоматизации основных процедур обработки защищаемой информации.
4. Определение и нормативное закрепление состава защищаемой
информации.
Классификация информации по видам тайны и степеням конфиденциальности. Нормативно-правовые аспекты определения состава защищаемой
информации. Определение состава защищаемой информации, отнесенной к
коммерческой тайне предприятия. Методика определения состава защищаемой информации. Порядок внедрения Перечня сведений, составляющих КТ,
внесение в него изменений и дополнений.
5. Дестабилизирующие воздействия на информацию и их нейтрализация.
Факторы, создающие угрозу информационной безопасности. Угрозы
безопасности информации. Модели нарушителей безопасности АС. Подходы к оценке ущерба от нарушений ИБ. Обеспечение безопасности информа-
ции в непредвиденных ситуациях. Реагирование на инциденты ИБ. Резервирование информации и отказоустойчивость
6. Потенциальные каналы и методы несанкционированного доступа
к информации.
Технические каналы утечки информации, их классификация. Задачи
КСЗИ по выявлению угроз и КУИ. Особенности защиты речевой информации. Особенности защиты компьютерной информации от утечки по каналам
ПЭМИН.
7. Компоненты комплексной системы защиты информации.
Особенности синтеза СЗИ АС от НСД. Методика синтеза СЗИ. Общее
описание архитектуры АС, системы защиты информации и политики безопасности. Формализация описания архитектуры исследуемой АС. Формулирование требований к системе защиты информации. Выбор механизмов и
средств защиты информации. Определение важности параметров средств защиты информации. Оптимальное построение системы защиты для АС. Выбор структуры СЗИ АС. Проектирование системы защиты информации для
существующей АС.
8. Условия эффективного функционирования комплексной системы
защиты информации.
Содержание концепции построения КСЗИ. Объекты защиты. Цели и
задачи обеспечения безопасности информации. Основные угрозы безопасности информации АС организации. Основные положения технической политики в области обеспечения безопасности информации АС организации. Основные принципы построения КСЗИ. Меры, методы и средства обеспечения
требуемого уровня защищенности информационных ресурсов. Первоочередные мероприятия по обеспечению безопасности информации АС организации.
9. Основные этапы разработки модели комплексной системы защиты информации.
Формальное построение модели защиты: пример. Описание объекта
защиты. Декомпозиция АС на субъекты и объекты. Модель безопасности:
неформальное описание. Декомпозиция системы защиты информации. Противостояние угрозам. Реализация системы защиты информации субъекта АС
субъектно-объектной модели. Формализация модели безопасности. Процедура создания пары субъект-объект, наделение их атрибутами безопасности.
Осуществление доступа субъекта к объекту. Взаимодействие с внешними сетями. Удаление субъекта-объекта.
10. Технологическое и организационное построение комплексной
системы защиты информации.
Общее содержание работ по организации КСЗИ. Характеристика основных стадий создания КСЗИ. Назначение и структура технического задания (общие требования к содержанию). Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию.
11. Кадровое обеспечение функционирования комплексной системы
защиты информации.
Специфика персонала предприятия как объекта защиты. Распределение функций по защите информации. Функции руководства предприятия.
Функции службы защиты информации. Функции специальных комиссий.
Обязанности пользователей защищаемой информации. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию
ограниченного доступа. Подбор и обучение персонала.
12. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации.
Состав и значение материально-технического обеспечения функционирования КСЗИ. Перечень вопросов ЗИ, требующих документационного закрепления.
13. Назначение, структура и содержание управления комплексной
системы защиты информации.
Понятие, сущность и цели управления КСЗИ. Принципы управления
КСЗИ. Структура процессов управления. Основные процессы, функции и задачи управления КСЗИ. Основные стили управления. Структура и содержание общей технологии управления КСЗИ.
14. Принципы и методы планирования функционирования комплексной системы защиты информации.
Понятие и задачи планирования функционирования КСЗИ. Способы и
стадии планирования. Факторы, влияющие на выбор способов планирования.
Основы подготовки и принятия решений при планировании. Методы сбора,
обработки и изучения информации, необходимой для планирования. Организация выполнения планов.
15. Сущность и содержание контроля функционирования комплексной системы защиты информации.
Виды контроля функционирования КСЗИ. Цель проведения контрольных мероприятий в КСЗИ. Анализ и использование результатов проведения
контрольных мероприятий.
16. Общая характеристика подходов к оценке эффективности комплексной системы защиты информации.
Вероятностный подход. Оценочный подход. Требования РД СВТ и РД
АС. Задание требований безопасности информации и оценка соответствия им
согласно ГОСТ 15408—2002. Экспериментальный подход.
17. Методы и модели оценки эффективности комплексной системы
защиты информации.
Показатель уровня защищенности, основанный на экспертных оценках. Методы проведения экспертного опроса. Экономический подход к оценке эффективности КСЗИ.
18. Классификация и содержание возможных угроз информации.
Определение угрозы информации, состав угроз, человеческий фактор,
виды угроз – классификация.
19. Организационно-правовое и документальное обеспечение работ
по защите информации.
Нормативно-правовые акты, документы предприятий в области защиты информации: перечень и характеристики.
20. Организация и технические меры защиты информации в государственных и коммерческих структурах.
Постановка задачи защиты информации на предприятиях, перечень
возможных технических каналов утечки информации, комплекс мер по защите информации.
21. Характеристика руководящих документов по организации работ
инженерной и технической защиты информации.
Перечень руководящих документов по ЗИ на предприятиях
22. Управление доступом к защищаемой информации. Организационные и технические меры контроля доступа.
Управление доступом. Задачи управления доступом. Идентификация
и установление подлинности (УП). Методы паролирования. Проверка полномочий субъектов на доступ к ресурсам. Модели разграничения доступа.
23. Контроль эффективности организации защиты информации.
Эффект, эффективность, показатели эффективности ЗИ на предприятиях, периодический и постоянный контроль эффективности ЗИ.
24. Возможные пути получения конфиденциальной информации.
Проблема защиты информации, постановка задачи защиты информации, анализ путей получения информации злоумышленником.
25. Цели и задачи обеспечения информационной безопасности.
Понятие информационной безопасности предприятия, цели, задачи,
объект, предмет обеспечения информационной безопасности.
26. Системный подход к защите информации. Защита информации
как сложно-формализуемая задача.
Системный анализ, системные факторы информационной безопасности, постановка задачи защиты информации.
27. Моделирование объектов защиты. Структурирование защищаемой информации.
Цели и задачи защиты информации, анализ способов моделирования
систем защиты, методы классификации и структурирования защищаемой
информации.
28. Описание источников и носителей информации на современном
предприятии.
Постановка задачи защиты информации, каналы утечки информации,
перечень источников угроз утечки, перечень носителей информации, требующих защиты.
29. Каналы утечки информации. Характеристики каналов утечки информации. Классификация каналов утечки информации.
Постановка задачи защиты информации, каналы утечки информации,
характеристика каналов утечки, меры противодействия возможной утечке
информации.
30. Информационные угрозы на современном предприятии.
Виды информационных угроз современного предприятия. Источники
угроз современного предприятия. Прогнозирование (выявление) угроз ИБ.
31. Принципы построения систем защиты от угроз нарушения целостности информации.
Постановка задачи защиты информации, защита целостности информации, информационные системы с поддержкой контроля целостности.
Принципы построения систем защиты от угроз нарушения целостности информации.
32. Модели управления доступом к защищаемой информации. Ролевое управление доступом.
Классификация степеней конфиденциальности информации предприятий, управление доступом к информационным ресурсам, матрица доступа.
Классификация степеней конфиденциальности информации предприятий,
управление доступом на основе выделения ролей, организационное обеспечение реализации ролевого доступа к информационным ресурсам
33. Стандарты в области управления информационной безопасностью.
Определение понятия информационная безопасность, нормативные
акты в области защиты информации, стандарты в области информационной
безопасности
34. Демаскирующие признаки объектов защиты информации.
Классификация демаскирующих признаков. Опознавательные признаки и признаки деятельности объектов. Видовые, сигнальные и вещественные
демаскирующие признаки. Информативность признаков. Понятие о признаковых структурах. Основные видовые демаскирующие признаки объектов
наблюдения. Особенности видовых признаков в оптическом и радиодиапазонах.
35. Способы и средства перехвата сигналов.
Задачи, решаемые при перехвате сигналов. Структура средств перехвата и их функции. Классификация и характеристики антенн. Структура радиоприемника и его характеристики. Особенности и основные характеристики сканирующих радиоприемников. Принципы определения координат источников радиоизлучений и анализа сигналов.
36. Способы и средства подслушивания акустических сигналов.
Параметры слуховой системы человека. Структура и характеристики
технических средств подслушивания. Классификация и характеристики микрофонов. Виды и принципы работы остронаправленных микрофонов. Стетоскопы. Принципы работы и характеристики диктофонов для скрытной записи. Классификация и характеристики закладных устройств. Варианты камуфлирования закладных устройств. Способы и средства лазерного подслушивания и ВЧ-навязывания.
37. Технические каналы утечки информации.
Характеристики каналов утечки информации. Структура технических
каналов утечки информации. Отличия технического канала утечки информации от канала связи. Виды технических каналов утечки информации. Типо-
вая структура технического канала утечки информации. Основные характеристики технических каналов утечки информации. Способы комплексного
использования злоумышленниками технических каналов утечки информации.)
38. Оптические каналы утечки информации.
Структура оптического канала утечки информации. Условия освещенности объектов наблюдения в видимом и ИК-диапазонах в различные периоды времени. Характеристики среды распространения оптических лучей.
Основные показатели оптоэлектронных линий связи и способы снятия с них
информации. Варианты оптических каналов утечки информации для типовых
контролируемых зон организации.
39. Радиоэлектронные каналы утечки информации.
Особенности радиоэлектронных каналов утечки информации. Виды и
структура радиоэлектронных каналов утечки информации.
40. Акустические каналы утечки информации.
Структура акустического канала утечки информации. Отражение и
поглощение акустических волн в среде распространения. Понятие о реверберации и влияние времени реверберации на разборчивость речи. Способы увеличения протяженности акустического канала утечки информации.
41. Материально-вещественные каналы утечки информации.
Структура материально-вещественного канала утечки информации и
характеристики ее элементов.
42. Концепция инженерно-технической защиты информации.
Цели и задачи инженерно-технической защиты информации. Принципы инженерно-технической защиты информации. Уровни безопасности информации. Методы защиты информации. Сущность инженерной защиты и
технической охраны источников информации. Понятие об информационном
портрете объекта защиты. Способы изменения информационного портрета
при маскировке и дезинформировании. Зависимость качества информации от
отношения мощностей носителя информации и помехи. Сущность энергетического скрытия. Показатели эффективности инженерно-технической защиты информации.
43. Способы и средства инженерной защиты информации и технической охраны.
Концепция охраны объектов. Категорирование объектов охраны. Демаскирующие признаки злоумышленника и стихийных сил (пожара, воды).
Модели злоумышленников. Уровни физической безопасности объектов
охраны. Типовая структура системы охраны. Системы автономной и централизованной охраны. Основные показатели системы охраны. Показатели эффективности инженерно-технической охраны объектов. Типовые инженерные конструкции. Естественные и искусственные преграды. Двери и ворота.
Виды замков. Способы и средства защиты окон. Виды стекол, используемых
для укрепления окон. Контрольно-пропускные пункты пропуска людей и автотранспорта. Способы и средства идентификации людей. Металлические
шкафы, сейфы и хранилища. Показатели стойкости сейфов и хранилищ.
44. Способы и средства видеоконтроля. Структура системы видеоконтроля.
Способы и средства видеоконтроля. Структура системы видеоконтроля.
45. Способы и средства нейтрализации возможных угроз безопасности информации.
Виды способов и средств нейтрализации угроз. Подразделение охраны. Средства тревожной сигнализации. Средства управления системой охраны. Способы и средства передачи извещений. Автоматизированные интегральные системы охраны объектов, их структура и тенденция развития.
46. Способы и средства защиты информации от наблюдения.
Способы и средства противодействия наблюдению в оптическом диапазоне волн. Виды маскировки и их сущность. Особенности маскировки в
видимом и ИК-диапазонах света. Виды и принципы применения искусственных масок, аэрозолей и воздушной пены. Способы и средства противодействия радиолокационному и гидроакустическому наблюдению. Способы информационного скрытия объектов от радиолокационного наблюдения. Средства дезинформирования и пассивного зашумления изображения на экране
радиолокатора. Способы уменьшения эффективной площади рассеяния объекта наблюдения. Виды радиопоглощающих покрытий. Способы активного
подавления сигналов радиолокаторов.
47. Способы и средства информационного скрытия акустических
сигналов и речевой информации.
Способы и средства информационного скрытия информации от подслушивания. Виды информационного скрытия речевой информации. Классификация способов технического закрытия. Сущность способов технического закрытия, их сравнительный анализ. Типы и параметры скремблеров.
48. Способы и средства энергетического скрытия акустических сигналов.
Методы энергетического скрытия акустических сигналов: звукоизоляция и звукопоглощение. Классификация, сущность и параметры звукоизоляции ограждений, кабин, акустических экранов, глушителей. Способы повышения звукоизоляции окон и дверей. Основные звукопоглощающие материалы и способы их применения. Типы и способы применения генераторов
акустического и вибрационного зашумления. Способы оценки энергетических и информационных показателей безопасности речевой информации.
49. Способы и средства предотвращения утечки информации с помощью закладных устройств.
Основные демаскирующие признаки проводных и радиозакладных
устройств, качественная оценка их информативности. Классификация
средств обнаружения, локализации и подавления закладных устройств.
Принципы работы и основные характеристики обнаружителей электромагнитного поля, их достоинства и недостатки, способы применения. Возможности бытовых приемников и селективных вольтметров. Особенности специальных радиоприемников. Типы и параметры сканирующих приемников. Со-
став, принципы работы, возможности и параметры автоматизированных
комплексов радиоконтроля помещений. Способы контроля телефонных линий и цепей электропитания. Способы подавления сигналов закладных
устройств. Типы генераторов радиопомех.
50. Способы и средства предотвращения утечки информации через
побочные электромагнитные излучения и наводки.
Требования к средствам подавления сигналов побочных электромагнитных излучений и наводок. Методы и средства пассивного подавления
опасных сигналов акустоэлектрических преобразователей. Экранирование
электрических, магнитных и электромагнитных полей. Экранирование проводов и кабелей. Материалы для экранирования. Требования к заземлению и
конструкция заземлителей. Развязка и фильтрация цепей электропитания.
Средства активного линейного и пространственного зашумления.
51. Способы предотвращения утечки информации по материальновещественному каналу.
Классификация способов предотвращения утечки информации по материально-вещественному каналу. Способы и средства уничтожения информации, содержащейся в отходах дело и промышленного производства. Способы и средства стирания информации магнитных носителях. Способы защиты демаскирующих веществ.
52. Общие сведения защиты информации в автоматизированных системах.
Информационные технологии. Классификация ИТ. Объект защиты.
Элемент защиты. Классификация объектов ЗИ. Задачи применимые к объектам ЗИ. Организация проектирования АСОД с точки зрения ЗИ. Условия и
режимы эксплуатации АСОД. Информационная безопасность.
53. Программное обеспечение ЭВМ. Системное и прикладное программное обеспечение.
54. Программное обеспечение ЭВМ. Инструментарий программирования. Языки программирования.
55. Аппаратные средства обеспечения функционирования ЭВM.
Центральный процессор.
56. Аппаратные средства обеспечения сохранности компьютерной
информации.
Центральный процессор. Классификационная схема аппаратных
средств обеспечения защиты информации. Средства защиты центрального
процессора. Защита процесса ввода-вывода. Общие методы защиты. Защита
информации от искажений. Защита информации от побочных электромагнитных излучений.
57. Операционные системы. Классификация и функции операционных систем. Операционные системы реального времени.
58. Сетевые операционные системы. Функции и классификация сетевых операционных систем.
59. Сущность процессов идентификации и авторизации пользователей компьютерных систем.
60. Угрозы информационной безопасности. Классификация угроз
информационной безопасности. Понятие злоумышленника.
Угрозы сохранности информации. Утечка информации. Целостность
информации. Доступность информации. Классификация угроз информационной безопасности. Понятие злоумышленника. Классификация злоумышленников. Методы применяемые злоумышленниками для достижения своих
целей. Естественные угрозы. Искусственные угрозы. Угрозы случайного действия. Угрозы преднамеренного действия. Угрозы доступа к информации.
Классификация по непосредственному источнику угроз. По положению источника угроз. По степени воздействия на АС. По способу доступа к ресурсам АС.
61. Системы управления базами данных. Защита информации в
СУБД.
62. Классификация баз данных. Реляционные базы данных. Языки
запросов. Механизмы защиты баз данных.
63. Защищенные хранилища информации.
64. Обеспечение надёжности баз данных.
Возможность шифрования (Encrypt / Decrypt). Распределенные технологии обработки и хранения данных. Организация доступа к БД. Разделение
БД на группы защиты. Назначение полномочий в БД. Резервное копирование. Удалённое зеркалирование. Журналирование изменений.
65. Защита в сетях. Межсетевые экраны. Виртуальные частные сети.
Угрозы безопасности информации в распределённых системах. Перехват информации по каналам передачи данных. Несанкционированный доступ пользователей. Съём информации с носителей техническими средствами. Целенаправленный вывод из строя части распределённой системы в результате сетевой атаки. Кража носителей. Анализ защищенности
66. Угрозы безопасности в современных операционных системах.
Понятие операционной системы. Механизмы защиты ОС. Субъекты и
объекты ОС. Контроль доступа к данным в ОС. Многоуровневая модель доступа в ОС. Текущий уровень защиты субъекта. Управление доступом к данным в ОС. Защита хранимых данных. Восстановление файловой системы.
Безопасность сетевых ОС
67. Безопасность в операционных системах. Механизмы защиты операционных систем семейств.
Понятие операционной системы. Механизмы защиты ОС Windows
NT. Контроль доступа к данным в ОС Windows NT. Управление доступом к
данным в ОС Windows NT. Санкционированность доступа. Размер файла.
Тип файла. Расположение на диске. Усовершенствование механизмов защиты в ОС Windows NT.
68. Информационные системы. Корпоративные информационные системы. MRP, ERP, CSRP системы. Перспективы развития информационных
систем.
69. Информационные системы. Инжиниринг и Реинжиниринг бизнес-процессов. Внедрение информационной системы. Жизненный цикл информационной системы.
70. Системы поддержки принятия решений.
71. Вычислительные сети. Каналы связи. Способы организации локальных вычислительных сетей. Аппаратное обеспечение для защиты вычислительных сетей.
72. Глобальные вычислительные сети. Сеть Internet. Программное
обеспечение глобальных вычислительных сетей. Уровни организации вычислительных сетей.
73. Информационные системы принятия и поддержки управленческих решений и аналитических исследований.
74. Основные понятия и определения теории надежности информационных систем. Характеристики надежности восстанавливаемых и невосстанавливаемых информационных систем. Модель накопления повреждений.
Основные понятия теории надежности. вероятность отказа Вероятность безотказной работы. Свойства функции надежности. Долговечность.
Ремонтопригодность. Сохраняемость. Характеристики надежности восстанавливаемых и невосстанавливаемых информационных систем. Модель
накопления повреждений.
75. Классификация отказов в информационных системах. Повышение надежности информационных систем. Резервирование.
Опасность отказа. Среднее время безотказной работы. Виды резервирования. Наработка на отказ. Учет условий эксплуатации.
76. Характеристики надежности при внезапных и постепенных отказах. Марковские процессы с непрерывным временем.
77. Факторы, влияющие на надежность программного обеспечения.
Надежность функционально-программных комплексов для автоматизированных систем обработки информации и управления
78. Факторы, влияющие на надёжность электронной аппаратуры и
изделий.
Факторы, влияющие на надёжность при проектировании. Факторы,
влияющие на надёжность при эксплуатации. Факторы, влияющие на надёжность при изготовлении изделия.
79. Повышение надежности архитектуры программного средства.
Понятие архитектуры и задачи ее описания. Основные классы архитектур программных средств. Взаимодействие между подсистемами и архитектурные функции. Контроль архитектуры программных средств.
80. Особенности отладки программных средств. Обеспечение функциональности и надежности программного средства.
Принципы и виды отладки программного средства. Стратегия проектирования тестов. Заповеди отладки. Автономная отладка и тестирование
программного модуля. Комплексная отладка и тестирование программного
средства
Функциональность и надежность как обязательные критерии качества
программного средства. Обеспечение завершенности программного средства.
Защитное программирование и обеспечение устойчивости программного модуля. Виды защиты и обеспечение защищенности программного средства.
81. История развития систем защиты информации в зарубежных
странах.
Развитие средств и методов защиты информации. Этапы развития системы защиты информации в настоящее время. Структура систем защиты
информации, применяемых в общемировой практике обеспечения информационной безопасности.
82. Информационное противоборство в системе международных отношений современного общества.
Современная картина международных отношений в мире. Основы
информационно-психологического воздействия. Типы информационного
оружия.
83. Информационные войны и сетевое противоборство.
Составные части информационной войны. Виды информационных
атак. Цели информационной войны. Сетевое противоборство
84. Организация взаимоотношений службы защиты информации
предприятия с сотрудниками и внешней средой.
Правовой статус службы безопасности. Обязанности сотрудников
службы ЗИ и других подразделений предприятия в области защиты информации. Ответственность, контроль. Плановые мероприятия, оперативное реагирование. Нормативно-правовое обеспечение.
85. Принципы организации международного сотрудничества в области обеспечения информационной безопасности.
Развитие международного сотрудничества в области информационной
безопасности. Международные организации в области информационной безопасности Правовое регулирование сети Интернет
86. Сравнительный анализ российских и зарубежных систем защиты
информации.
87. Электронная цифровая подпись. Алгоритмы формирования ЭЦП.
Классификации видов атак на ЭЦП.
Современные отечественные и зарубежные стандарты на алгоритмы
цифровой подписи. Хеш-функция. Открытый и закрытый ключ. Лицензионный центры. Классификации видов атак на ЭЦП.
88. Простейшие симметричные шифры.
Общая схема симметричного шифрования Шифр замены (одноалфавитный, пропорциональный, многоалфавитный, шифр Цезаря, таблица Вижинера, книжный, гаммирование). Шифр перестановки (периодический, табличный, усложненный по маршрутам).
89. Блочные симметричные шифры.
Операции, используемые в блочных алгоритмах симметричного шифрования; структура блочного алгоритма; требования к блочному алгоритму
шифрования. Сети Фейштеля. Стандарты блочных шифров.
90. Совершенно секретные системы.
Энтропия и неопределенность сообщений, норма языка, избыточность
сообщений и расстояние единственности шифра.
Вопросы Государственного экзамена.
1. Сущность и задачи комплексной защиты информации.
2. Принципы организации и этапы разработки комплексной системы защиты информации.
3. Факторы, влияющие на организацию комплексной системы защиты информации.
4. Определение и нормативное закрепление состава защищаемой
информации.
5. Дестабилизирующие воздействия на информацию и их нейтрализация.
6. Потенциальные каналы и методы несанкционированного доступа
к информации.
7. Компоненты комплексной системы защиты информации.
8. Условия эффективного функционирования комплексной системы
защиты информации.
9. Основные этапы разработки модели комплексной системы защиты информации.
10. Технологическое и организационное построение комплексной
системы защиты информации.
11. Кадровое обеспечение функционирования комплексной системы
защиты информации.
12. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации.
13. Назначение, структура и содержание управления комплексной
системы защиты информации.
14. Принципы и методы планирования функционирования комплексной системы защиты информации.
15. Сущность и содержание контроля функционирования комплексной системы защиты информации.
16. Общая характеристика подходов к оценке эффективности комплексной системы защиты информации.
17. Методы и модели оценки эффективности комплексной системы
защиты информации.
18. Классификация и содержание возможных угроз информации.
19. Организационно-правовое и документальное обеспечение работ
по защите информации.
20. Организация и технические меры защиты информации в государственных и коммерческих структурах.
21. Характеристика руководящих документов по организации работ
инженерной и технической защиты информации.
22. Управление доступом к защищаемой информации. Организационные и технические меры контроля доступа.
23. Контроль эффективности организации защиты информации.
24. Возможные пути получения конфиденциальной информации.
25. Цели и задачи обеспечения информационной безопасности.
26. Системный подход к защите информации. Защита информации
как сложно-формализуемая задача.
27. Моделирование объектов защиты. Структурирование защищаемой информации.
28. Описание источников и носителей информации на современном
предприятии.
29. Каналы утечки информации. Характеристики каналов утечки информации. Классификация каналов утечки информации.
30. Информационные угрозы на современном предприятии.
31. Принципы построения систем защиты от угроз нарушения целостности информации.
32. Модели управления доступом к защищаемой информации. Ролевое управление доступом.
33. Стандарты в области управления информационной безопасностью.
34. Демаскирующие признаки объектов защиты информации.
35. Способы и средства перехвата сигналов.
36. Способы и средства подслушивания акустических сигналов.
37. Технические каналы утечки информации.
38. Оптические каналы утечки информации.
39. Радиоэлектронные каналы утечки информации.
40. Акустические каналы утечки информации.
41. Материально-вещественные каналы утечки информации.
42. Концепция инженерно-технической защиты информации.
43. Способы и средства инженерной защиты информации и технической охраны.
44. Способы и средства видеоконтроля. Структура системы видеоконтроля.
45. Способы и средства нейтрализации возможных угроз безопасности информации.
46. Способы и средства защиты информации от наблюдения.
47. Способы и средства информационного скрытия акустических
сигналов и речевой информации.
48. Способы и средства энергетического скрытия акустических сигналов.
49. Способы и средства предотвращения утечки информации с помощью закладных устройств.
50. Способы и средства предотвращения утечки информации через
побочные электромагнитные излучения и наводки.
51. Способы предотвращения утечки информации по материальновещественному каналу.
52. Общие сведения защиты информации в автоматизированных системах.
53. Программное обеспечение ЭВМ. Системное и прикладное программное обеспечение.
54. Программное обеспечение ЭВМ. Инструментарий программирования. Языки программирования.
55. Аппаратные средства обеспечения функционирования ЭВM.
Центральный процессор.
56. Аппаратные средства обеспечения сохранности компьютерной
информации.
57. Операционные системы. Классификация и функции операционных систем. Операционные системы реального времени.
58. Сетевые операционные системы. Функции и классификация сетевых операционных систем.
59. Сущность процессов идентификации и авторизации пользователей компьютерных систем.
60. Угрозы информационной безопасности. Классификация угроз
информационной безопасности. Понятие злоумышленника.
61. Системы управления базами данных. Защита информации в
СУБД.
62. Классификация баз данных. Реляционные базы данных. Языки
запросов. Механизмы защиты баз данных.
63. Защищенные хранилища информации.
64. Обеспечение надёжности баз данных.
65. Защита в сетях. Межсетевые экраны. Виртуальные частные сети.
66. Угрозы безопасности в современных операционных системах.
67. Безопасность в операционных системах. Механизмы защиты операционных систем семейств.
68. Информационные системы. Корпоративные информационные системы. MRP, ERP, CSRP системы. Перспективы развития информационных
систем.
69. Информационные системы. Инжиниринг и Реинжиниринг бизнес-процессов. Внедрение информационной системы. Жизненный цикл информационной системы.
70. Системы поддержки принятия решений.
71. Вычислительные сети. Каналы связи. Способы организации локальных вычислительных сетей. Аппаратное обеспечение для защиты вычислительных сетей.
72. Глобальные вычислительные сети. Сеть Internet. Программное
обеспечение глобальных вычислительных сетей. Уровни организации вычислительных сетей.
73. Информационные системы принятия и поддержки управленческих решений и аналитических исследований.
74. Основные понятия и определения теории надежности информационных систем. Характеристики надежности восстанавливаемых и невосстанавливаемых информационных систем. Модель накопления повреждений.
75. Классификация отказов в информационных системах. Повышение надежности информационных систем. Резервирование.
76. Характеристики надежности при внезапных и постепенных отказах. Марковские процессы с непрерывным временем.
77. Факторы, влияющие на надежность программного обеспечения.
78. Факторы, влияющие на надёжность электронной аппаратуры и
изделий.
79. Повышение надежности архитектуры программного средства.
80. Особенности отладки программных средств. Обеспечение функциональности и надежности программного средства.
81. История развития систем защиты информации в зарубежных
странах.
82. Информационное противоборство в системе международных отношений современного общества.
83. Информационные войны и сетевое противоборство.
84. Организация взаимоотношений службы защиты информации
предприятия с сотрудниками и внешней средой.
85. Принципы организации международного сотрудничества в области обеспечения информационной безопасности.
86. Сравнительный анализ российских и зарубежных систем защиты
информации.
87. Электронная цифровая подпись. Алгоритмы формирования ЭЦП.
Классификации видов атак на ЭЦП.
88. Простейшие симметричные шифры.
89. Блочные симметричные шифры.
90. Совершенно секретные системы.
Примерные темы ВКР.
1.
Повышение эффективности системы защиты информации экономического объекта «НАЗВАНИЕ» за счет внедрения новых информационных технологий.
2.
Разработка структуры информационной системы защиты конфиденциальных данных «НАЗВАНИЕ».
3.
Комплексная система защиты информации «НАЗВАНИЕ».
4.
Разработка комплекса организационных мер по обеспечению защиты
информации «НАЗВАНИЕ».
5.
Построение автоматизированной системы защиты данных бухгалтерского учета для «НАЗВАНИЕ».
6.
Автоматизированная система обеспечения контроля доступа в помещения филиала банка «НАЗВАНИЕ».
7.
Разработка стратегии защиты информации в «НАЗВАНИЕ».
8.
Разработка комплекса мер по защите информации, составляющей коммерческую тайну, для «НАЗВАНИЕ».
9.
Система поддержки принятия решений руководителя службы защиты
информации «НАЗВАНИЕ».
10. Организационная защита информации в компании «НАЗВАНИЕ».
11. Создание инженерно-технической системы защиты информации для
«НАЗВАНИЕ».
12. Моделирование угроз защиты информации на «НАЗВАНИЕ».
13.
Повышение эффективности защиты системы документооборота
«НАЗВАНИЕ» за счёт использования (разработки) ....
14. Разработка мер защиты информации на малом предприятии «НАЗВАНИЕ».
15. Разработка концепции организационной защиты информации банка
«НАЗВАНИЕ».
16. Стратегия защиты коммерческой тайны в подразделениях «НАЗВАНИЕ».
17. Разработка структуры информационной системы мониторинга, перемещений сотрудников и транспортных средств «НАЗВАНИЕ».
18. Программно-технические средства защиты информации в распределенной сети «НАЗВАНИЕ».
19. Разработка комплекса мер инженерно-технической защиты информации «НАЗВАНИЕ».
20. Совершенствование программно-аппаратной защиты информации филиала «НАЗВАНИЕ».
21. Разработка организационной защиты информации и концепции информационной безопасности для «НАЗВАНИЕ».
22. Стратегия защиты коммерческой тайны в подразделениях «НАЗВАНИЕ».
23. Разработка структурно-функциональной организации системы защиты
информации «НАЗВАНИЕ»
24. Совершенствование системы защиты информации «НАЗВАНИЕ» за
счет разработки и внедрения электронной цифровой подписи на предприятии.
25. Разработка системы защиты персональных данных сотрудников на
примере компании «НАЗВАНИЕ».
26. Разработка предложений по защите персональных данных при их обработке в автоматизированных системах в коммерческого банка «НАЗВАНИЕ».
27. Организация технических мер по защите информации на примере
«НАЗВАНИЕ».
28. Разработка проекта системы защиты информации на примере
«НАЗВАНИЕ».
29. Разработка структуры системы защиты информации филиала
«НАЗВАНИЕ».
30. Организация защиты информации в информационной системе
«НАЗВАНИЕ»
31. Предложения по совершенствованию электронного документооборота
в филиале «НАЗВАНИЕ»
32. Разработка предложений по совершенствованию системы обмена информацией между «НАЗВАНИЕ» и «НАЗВАНИЕ»
33. Разработка автоматизированного рабочего места сотрудника «НАЗВАНИЕ»
34. Организация защиты информации в информационной системе
«НАЗВАНИЕ»
35. Разработка элементов комплексной системы защиты информации в
«НАЗВАНИЕ»
36. Разработка предложений по совершенствованию системы информационной безопасности «НАЗВАНИЕ»
37. Разработка предложений по организации и совершенствованию комплексной системы защиты информации на примере «НАЗВАНИЕ»
38. Разработка защиты информации в беспроводных каналах связи на
предприятии «НАЗВАНИЕ»
39. Разработка базы данных предприятия «Название».
40. Разработка автоматизированной информационной системы «Название»
41. Предложения по организации защиты системы управления базами данных на предприятии «Название»
42. Защита систем управления и принятия решений предприятия «Название»
43. Разработка программного средства поддержки принятия решений
«НАЗВАНИЕ»
44. Организация реинжиниринга бизнес-процесса предприятия на основе
разработки корпоративной информационной системы «НАЗВАНИЕ»
45. Особенности использования СКУД в организации «НАЗВАНИЕ»
46. Условия эффективного использования аппаратных ключей и токенов в
организации «НАЗВАНИЕ»
47. Особенности организации защиты персональных данных в условиях
эксплуатации систем «Умный Дом» для «НАЗВАНИЕ».
Основная литература для подготовки ГАК
1. Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов,
Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с.
2. Базы данных: учебник для вузов / под ред. А.Д. Хомоненко. Изд.6-е. – М: Бином Пресс; СПб.: Корона – Век, 2007
3. Безопасность операционных систем : учебное пособие / А.А. Безбогов, А.В. Яковлев, Ю.Ф. Мартемьянов. – М. : "Издательство Машиностроение-1", 2007. – 220 с. – 400 экз. ISBN 978-5-94275-348-1
4. Бернацкий Ф.И. Надежность средств вычислительной техники
(СВТ): Учебное пособие, Владивосток: ИАПУ ДВО РАН, 1999.
5. Бройдо В. Л., Ильина О. П. Вычислительные системы, сети и телекоммуникации. Учеб. пособие. СПб. Питер, 2008.
6. Грибунин В.Г., Чудовский В.В. Комплексная защита информации
на предприятии: Учебн. пособие. М.: Академия, 2009. 416 с.
7. Денисов Д. В., Артюхин В. В., Седеноков М. Ф, Аппаратное
обеспечение вычислительных систем. Учебник для вузов. М.: Маркет ДС,
2007 – 184 с.
8. Кузин А.В., Левонисова С.В. Базы данных. Учебное пособие для
вузов.- М.: Академия, 2008
9. Морозов Ю.Д., Бобков В.П. Качество, надежность и эффективность экономических информационных систем: Учебное пособие/ М.: Моск.
гос. ун-т эконом. стат. и информатики, 1996.
10. Нечаев В.И. Элементы криптографии: Основы теории защиты
информации. Учебное пособие для ВУЗов. – М.: Высш. шк., 2001
11. Основы криптографии: Учебное пособие. 3-е изд., испр. и доп. –
М.: Гелиос АРВ, 2005. – 480с., ил.
12. Родичев Ю. А. Информационная безопасность: нормативноправовые аспекты : учебное пособие. – СПб.: Питер, 2008, - 272 с.
13. Романов О. А. Организационное обеспечение информационной
безопасности: учебник для студ. высш. учебных заведений. / О. А. Романов,
С. а. Бабин, С. Г. Жданов.: М: Издательский центр «Академия», 2008 - 192 с.
14. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: учеб. пособие для вузов. – М.: Горячая линия – Телеком, 2005
15. Смирнов С.Н. Безопасность систем баз данных: учеб. пособие для
вузов. – М.: Гелиос АРВ, 2007
16. Торокин А.А.
Инженерно-техническая защита информации.
Учебное пособие для ВУЗов. – М.: Гелиос АРВ, 2005
17. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах:Учебное пособие.-М. :Форум: Инфра-М, 2010.-592 с.-(Высшее
образование).Допущено УМО вузов по университетскому политехническому
образованию.
Зав. кафедрой
О. В. Воробьева