Учебная программа по дисциплине комплексное обеспечение информац

УЧЕБНАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ

КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ ЭКОНОМИЧЕСКИХ СИСТЕМСкородумов Б.И.

Цели преподавания дисциплины:

Освоение студентами возможностей экономически обоснованного обеспечения комплексной информационной безопасности АС в рыночных условиях хозяйствования.

В результате изучения курса студент должен

знать:

принципы обеспечения информационной безопасности международной коммерческой деятельности в условиях информационного общества;

современные тенденции использования безопасных информационных технологий в отечественной и мировой экономиках;

возможности использования новых информационных технологий при практической реализации требований отечественных и международных стандартов информационной безопасности;

способы использования безопасных информационных технологий в работе современной коммерческой организации;

основные тенденции развития рынка безопасных автоматизированных систем управления организацией;

условия создания и способы функционирования безопасных порталов, электронных торговых площадок и автоматизированных систем управления коммерческой организацией;

правовую основу и правила работы защищенного электронного документооборота в коммерческой организации;

безопасные сетевые технологии платежных систем; принципы формирования и обеспечения безопасности клиентских автоматизированных рабочих мест и баз данных;

способы оценки экономической эффективности функционирования безопасных автоматизированных экономических систем управления организацией

уметь:

создавать необходимую информационную базу с использованием безопасных информационных технологий;

эффективно использовать средства и способы безопасных информационных технологий в профессиональной деятельности;

владеть навыками работы со средствами защиты информации (на основе учебных имитационных программ);

создавать и эксплуатировать системы защищенного электронного документооборота в организации;

создавать электронные документы; использовать безопасные электронные торговые системы.

Основными видами занятий являются лекции и практические занятия.

Основными видами промежуточного контроля знаний являются: тестировние

Основным видом рубежного контроля знаний является зачет.

Часы, отведенные на изучение дисциплины, согласно учебному плану (90ч):

Форма обучения

Всего ауд. занятий

Самостоятельная работа

очная

51ч

39ч

очно-заочная(вечерняя)

24ч

66ч

заочная

16ч

74ч

СОДЕРЖАНИЕ КУРСА

Введение в безопасность АЭС, постановка проблемы информационной безопасности.

Информация и безопасные информационные технологии. Информационное общество. Информация, информатизация и информационная безопасность. Определение и назначение комплексной системы защиты информационной технологии коммерческой организации.

Терминология. Основные понятия информатики, термины и положения теории информационных систем. Общие положения теории управления применительно к информационной безопасности. Понятия информационные ресурсы и безопасные информационные технологии. Определение системы защиты информации.

Состав компонентов комплексной системы обеспечения информационной безопасности (КСИБ).

Сущность и общее содержание комплексной системы обеспечения безопасности информационных технологий коммерческой организации.

Задачи и методологические основы КСИБ коммерческой организации.

Основные этапы разработки КСИБ информационных технологий. Определение состава носителей защищаемой информации. Особенности защиты различных носителей информации. Персонал и информационная технология организации как объект защиты. Определение и нормативное закрепление состава защищаемой информации. Этапы работы по выявлению защищаемой информации. Классификация защищаемой информации. Порядок нормативного закрепления состава защищаемой информации. Организационно-правовые, социально-психологические и морально-этические вопросы обеспечения информационной безопасности. Закон РФ «Об информации, информатизации и защите информации».

Методология формирования задач защиты информации.

Факторы, влияющие на организацию системы информационных ресурсов организации. Основные формы организации предприятия. Факторы, определяющие организацию КСИБ. Нормативно-правовая база. Характер и степень влияния различных факторов на построение КСИБ.

Анализ и оценка угроз безопасности защищаемым информационным ресурсам и технологиям. Выявление и оценка источников, способов и результатов негативного воздействия на информационные ресурсы и технологии. Этапы работы по выявлению защищаемой информации. Виды и категории информации ограниченного доступа: государственная и другие виды тайн. Закон РФ «О государственной тайне», государственная система лицензирования и сертификации деятельности в области защиты информации.

Интеграция средств информационной безопасности в технологическую среду.

Классификация защищаемой информации. Порядок нормативного закрепления состава защищаемой информации. Экономические аспекты защиты информации. Система охраны интеллектуальной собственности, патентное законодательство и авторское право. Законы РФ «О правовой охране программ для ЭВМ и баз данных» и «О правовой охране топологии интегральных микросхем». Практика договорных правоотношений.

Риски и их анализ. Определение и виды рисков. Оценка рисков.

Управление рисками. Рискменеджмент и автоматизация управления рисками. Случайные воздействия. Статистика случайных нарушений. Экономический ущерб от случайных негативных воздействий.

Этапы проектирования КСИБ и требования к ним.

Международные и отечественные стандарты и другие нормативные акты в области информационной безопасности. Документы ГОСТЕХКОМИССИИ и ФАБСИ, их требования. Основные понятия и задачи криптологии. Терминология и задачи криптологии (криптографии). Краткий исторический экскурс развития.

Типовая структура комплексной системы защиты информации от несанкционированного доступа (НСД).

Определение возможностей несанкционированного доступа к защищаемой информации. Способы выявления категорий незаконных пользователей. Определение степени уязвимости информации в зависимости от категории нарушителя.

Определение потенциальных каналов и методов несанкционированного доступа к информации. Выявление каналов несанкционированного доступа к информации. Соотношение между каналами несанкционированного доступа и источниками воздействия на информацию. Методы несанкционированного доступа к защищаемой информации.

Математические основы современной криптологии. Односторонние функции. Односторонние функции с секретом. Криптосистемы с открытым ключом (ассиметричные).

Методики оценки качества КСИБ

Сущность и содержание контроля функционирования. Понятие и виды контроля. Цель проверки контроля. Анализ результатов проведения контрольных мероприятий. Общая характеристика подходов к оценке эффективности. Основные подходы к оценке эффективности. Вероятностный подход. Статистические (экспертные) и качественные методы оценки эффективности. Методы и модели оценки эффективности. Классификация и основные понятия, используемые в различных методах и моделях оценки. Показатели защищенности (эффективности).

Требования к эксплуатационной документации КСИБ.

Положения государственных стандартов, требования к эксплуатационной документации. Нормативно-правовое обеспечение информационной безопасности. Международное и отечественное законодательство в области обеспечение информационной безопасности. Структура государственных организаций, контролирующих защиту информации в стране.

Эксплуатация КСИБ на объекте защиты.

Способы и стадии планирования функционирования КСИБ. Структура и общее содержание планов. Организация выполнения планов. Управление КСИБ в условиях чрезвычайных ситуаций. Понятие и виды чрезвычайных ситуаций. Особенности принятия решений в условиях чрезвычайных ситуаций. Мероприятия на случай возникновения чрезвычайных ситуаций.

Правовое обеспечение защиты информационных технологий организаций различных форм собственности.

Политика, концепция и план по обеспечению информационной безопасности на предприятии.

Задачи системы и службы ИБ.

Определение, классификация и общая характеристика организационно-технических задач. Каналы утечки информации. Визуальные и акустические каналы. ПЭМИН. Технические закладки. Способы обнаружения. Методы оценки степени опасности. Способы и методы перекрытия каналов утечки информации. Особенности защиты ПЭВМ от утечки информации по техническим каналам. Определение и основные цели защиты современных объектов информатики. Технические средства обеспечения защиты объекта: определение, системная классификация, общий анализ. Технические средства и системы охраны территории, зданий и помещений, а также наблюдения и контроля за перемещением людей и предметов. Технические средства и системы опознавания людей, управления доступом на территорию, в здания и помещения, к средствам обработки и хранения информации.

Сущность и роль административных аспектов информационной безопасности. Человек как главное звено в системе защиты информации и как злоумышленник. Структура органов, ответственных за информационную безопасность на предприятиях, учреждениях и других организациях. Функции таких органов.

ЛИТЕРАТУРА

Основная:

Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М., 1999. Ч. 1, 2

Основы информационной безопасности / Галатенко В.А. М.:ИНТУИТ.РУ, 2006.-280с.

Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95 // Собрание законодательства Российской Федерации. 1995. № 8. С. 609.

Закон Российской Федерации от 27.12.2002 № 184-ФЗ «О техническом регулировании» ( HYPERLINK «http://WWW.GOST.RU/»WWW.GOST.RU).Закон Российской Федерации от 22.01.2002 № 1-ФЗ «Об электронной цифровой подписи».

Дополнительная.

Мартынова В.В., Скородумов Б.И. Автоматизированные системы с пластиковыми идентифицированными карточками// Безопасность информационных технологий, 1995, № 4. С.47-60.

Симонов С. Анализ рисков, управление рисками// Информационный бюллетень Jet Info №1 (68), 1999, с. 1-26.

Безопасность электронного финансового документооборота. Б.И. Скородумов, «Вестник НАУФОР» №8,2000, с42-45.

ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель» ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»

Скородумов Б.И. Безопасность информации кредитно-финансовых автоматизированных систем. Уч. Пособие. М.:МИФИ, 2002.-164с.