МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Государственное образовательное учреждение высшего профессионального образования Национальный исследовательский Томский государственный университет УТВЕРЖДАЮ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ Рабочая программа Специальность 032001 – Документоведение и документационное обеспечение управления Томск – 2012 Рабочая программа по курсу «Информационная безопасность и защита информации» составлена на основе требований Государственного образовательного стандарта высшего профессионального образования по специальности 032001 – Документоведение и документационное обеспечение управления, утверждённого 10 марта 2000 г. Общий объём курса 32 часа. Составитель: А.В. Журавлёв, старший информационных технологий Рецензент: преподаватель кафедры системного анализа и I. Учебно-методический раздел. Курс «Информационная безопасность и защита информации» предназначен для студентов, обучающихся по специальности 032001 – Документоведение и документационное обеспечение управления, входит в цикл общепрофессиональных дисциплин, связан с курсами «Информационное обеспечение управления», «Информационные системы». Цель курса - изучение комплекса проблем информационной безопасности предпринимательских структур различных типов и направлений деятельности, построения, функционирования и совершенствования правовых, организационных, технических и технологических процессов, обеспечивающих информационную безопасность и формирующих структуру системы защиты ценной и конфиденциальной информации в сферах охраны интеллектуальной собственности предпринимателей и сохранности, их информационных ресурсов. Задачи курса - овладение теоретическими, практическими и методическими вопросами обеспечения информационной безопасности и освоение системных комплексных методов защиты предпринимательской информации от различных видов объективных и субъективных угроз в процессе ее возникновения, обработки, использования и хранения. Изучаемые вопросы рассматриваются в широком диапазоне современных проблем и затрагивают предметные сферы защиты как документированной информации (на бумажных и технических носителях), циркулирующей в традиционном или электронном документообороте, находящейся в компьютерных системах, так и недокументированной информации, распространяемой персоналом в процессе управленческой (деловой) или производственной деятельности. II. Содержание курса 1. Понятие информационной безопасности. Основные составляющие. Важность проблемы. Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений. Ниже описаны основные ее составляющие – конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи. 2. Наиболее распространенные угрозы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. 3. Законодательный уровень информационной безопасности. Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве. 4. Стандарты и спецификации в области информационной безопасности. Дается обзор международных и национальных стандартов и спецификаций в области ИБ - от "Оранжевой книги" до ISO 15408. Демонстрируются как сильные, так и слабые стороны этих документов. 5. Административный уровень информационной безопасности Вводятся ключевые понятия - политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем. 6. Процедурный уровень информационной безопасности Описываются основные классы мер процедурного уровня. Формулируются принципы, позволяющие обеспечить надежную защиту. 7. Основные программно-технические меры Вводится понятие сервиса безопасности. Рассматриваются вопросы архитектурной безопасности, предлагается классификация сервисов. 8. Идентификация и аутентификация, управление доступом В данной лекции кратко описываются традиционные сервисы безопасности – идентификация и аутентификация, управление доступом. Сервисы безопасности мы будем рассматривать применительно к распределенным, разнородным системам, содержащим большое число компонентов. 9. Протоколирование и аудит, шифрование, контроль целостности Описываются протоколирование и аудит, а также криптографические методы защиты. Показывается их место в общей архитектуре безопасности. 10. Экранирование, анализ защищенности Рассматриваются сравнительно новые (развивающиеся с начала 1990-х годов) сервисы безопасности – экранирование и анализ защищенности. 11. Концептуальная модель информационной безопасности 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. III. Контрольные вопросы Определить место информационной безопасности в обеспечении системы общественной безопасности. Дать определение информационной безопасности. Назвать основные направления и задачи обеспечения информационной безопасности общества. Назвать основные компоненты информационной безопасности автоматизированных информационных систем. Охарактеризовать уровни реализации информационной безопасности. Дать определение и классификацию информационных ресурсов. Определить основные виды угроз информационным ресурсам. Охарактеризовать особенности угроз конфиденциальной информации. Проанализировать причины возникновения угроз утраты или утечки конфиденциальной информации. Описать причины возникновения каналов несанкционированного доступа к информации. Классифицировать виды каналов несанкционированного доступа к информации. Описать характер действия организационных каналов несанкционированного доступа к информации. Охарактеризовать технические каналы несанкционированного доступа к информации. Охарактеризовать легальные и нелегальные методы обеспечения действия каналов утечки информации. Проанализировать особенности угроз автоматизированным информационным системам. Дать классификацию удаленных атак. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. Проанализировать основные направления правовой защиты информации. Раскрыть содержание нормативных актов, защищающих право граждан на своевременное получение достоверной информации. Изложить законный порядок реализации права гражданина на опровержение ложной информации о нем в средствах массовой информации. Показать порядок защиты прав граждан на личную тайну и неприкосновенность частной жизни законодательством Российской Федерации о СМИ. Определить объекты защиты авторских прав. Назвать основные права автора в отношении его произведения. Определить объекты интеллектуальной собственности, защищаемые патентным законодательством. Охарактеризовать основные права патентообладателя в отношении его произведения (промышленного образца, полезной модели). Дать определение государственной тайны и назвать грифы секретности. Перечислить сведения, составляющие государственную тайну и сведения, которые не могут относиться к государственной тайне. Изложить порядок отнесения сведений к государственной тайне и их засекречивания. Раскрыть последовательность условия и формы допуска должностных лиц к государственной тайне. Дать определение коммерческой тайны и перечислить сведения, которые не могут быть ее объектом. Охарактеризовать порядок установления режима коммерческой тайны и основные права ее субъектов. Назвать основные виды служебной тайны определенные законодательством Российской Федерации. Изложить принципы и направления комплексного подхода к обеспечению информационной безопасности предприятия. Назвать основные положения концепции информационной безопасности предприятия. Изложить содержание регламента обеспечения информационной безопасности предприятия. Определить основные методы и способы работы службы безопасности предприятия по защите конфиденциальной информации. Определить критерии ценности информационных ресурсов и длительности сохранения ими этой характеристики. Проанализировать содержание понятия разрешительной системы доступа персонала к конфиденциальным сведениям фирмы. Обосновать критерии выделения конфиденциальных документов из общего потока поступающих документов. Обосновать состав показателей учетной карточки (по выбору преподавателя) и правила их заполнения. Проанализировать особенности контроля за исполнением конфиденциальных документов, его организационное и технологическое отличие от контроля открытых документов. Классифицировать состав бумажных и технических носителей информации, применяемых для составления деловой (управленческой) и технической конфиденциальной документации. Проанализировать особенности текста конфиденциального документа. Регламентировать в виде фрагмента инструкции порядок работы исполнителей с конфиденциальными документами. Проанализировать пути использования существующих средств копирования и тиражирования документов для изготовления экземпляров и копий 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. конфиденциальных документов. Сформулировать возможности, трудности и направления использования электронной почты для передачи конфиденциальных документов. Составить фрагмент номенклатуры дел, содержащих конфиденциальные документы. Проанализировать задачи защиты информации, которые должны быть решены при формировании и оформлении дел с конфиденциальными документами. Классифицировать способы и средства физического уничтожения документов, изготовленных на носителях различных типов. Проанализировать пути поиска документов и дел, не обнаруженных при проверке их наличия, дать рекомендации, повышающие эффективность поиска и предотвращающие утрату документов и дел. Составить и проанализировать технологическую схему (цепочку) приема (перевода) лиц на работу, связанную с владением конфиденциальной информацией. Составить и проанализировать технологическую схему (цепочку) увольнения сотрудников, владеющих конфиденциальной информацией. . Проанализировать виды угроз безопасности конфиденциальной информации фирмы при демонстрации на выставке новой продукции. Составить схему каналов возможной утраты конфиденциальной информации, находящейся в компьютере, локальной сети, проанализировать степень опасности каждого канала. Назвать основные элементы физической защиты территории и помещений предприятия. Охарактеризовать способы и элементы программно-технической защиты информационных ресурсов. Дать классификацию компьютерных вирусов. Описать основные антивирусные программы. Охарактеризовать основные способы криптографического преобразования данных. IV. Распределение часов курса по темам и видам работ Тема Наименование темы занятия №№ 1. 2. 3. 4. 5. 6. 7. 8. Понятие информационной безопасности. Основные составляющие. Важность проблемы Наиболее распространенные угрозы Законодательный уровень информационной безопасности Стандарты и спецификации в области информационной безопасности Административный уровень информационной безопасности Процедурный уровень информационной безопасности Основные программно-технические меры Идентификация и аутентификация, управление доступом Всего часов 2 Аудиторные Самостоязанятия тельная работа Лекции Семин. 2 2 4 2 2 4 4 2 2 2 2 4 2 2 2 2 2 9. 10. 11. Протоколирование и аудит, шифрование, контроль целостности Экранирование, анализ защищенности Концептуальная модель информационной безопасности Всего 6 2 4 2 1 1 2 2 32 23 9 V. Форма итогового контроля знаний студентов: зачет Литература: Основная: Ярочкин, В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академический Проект; Гаудеамус, 2-е изд. – 2004. – 544 с. Электронные ресурсы: 1. Справочно-поисковые системы информационно-правового обеспечения ГАРАНТ-Максимум и КОНСУЛЬТАНТ + 2. Основы информационной безопасности http://www.intuit.ru/department/security/secbasics/