Программно-аппаратные средства обеспечения

реклама
УЧЕБНАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Скородумов Б.И.
Цели преподавания дисциплины:
Освоение студентами возможностей экономически обоснованного выбора и
рационального использования программно-аппаратных средств обеспечения
информационной безопасности АЭС в рыночных условиях хозяйствования.
В результате изучения курса студент должен
знать:

принципы обеспечения информационной безопасности международной
коммерческой деятельности в условиях информационного общества;

современные тенденции использования безопасных информационных
технологий в отечественной и мировой экономиках;

возможности использования новых информационных технологий и их
средств при практической реализации требований отечественных и
международных стандартов информационной безопасности;

способы использования безопасных информационных технологий в
работе современной коммерческой организации;

основные тенденции развития рынка программно-аппаратных средств
обеспечения информационной безопасности автоматизированных систем
управления организацией;

условия создания и эксплуатации программно-аппаратных средств
обеспечения информационной безопасности автоматизированных систем
управления коммерческой организацией;

правовые основы и правила работы программно-аппаратных средств
обеспечения информационной безопасности в коммерческой организации;

безопасные сетевые технологии, в которых используются программноаппаратные средств обеспечения информационной безопасности;

принципы функционирования и обеспечения защиты программноаппаратных средств информационной безопасности;

способы оценки экономической эффективности функционирования
программно-аппаратных средств обеспечения информационной безопасности
автоматизированных экономических систем управления организацией.
уметь:

создавать необходимые условия использования программно-аппаратных
средств для обеспечения информационной безопасности современных
информационных технологий;

экономически эффективно использовать программно-аппаратные
средства обеспечения информационной безопасности
информационных
технологий в профессиональной деятельности;

владеть навыками работы со средствами защиты информации (на основе
учебных
имитационных
программ);создавать
и
эксплуатировать
автоматизированные системы, используя программно-аппаратные средства
обеспечения информационной безопасности АЭС в организации;

создавать документацию для использования программно-аппаратных
средств обеспечения информационной безопасности;

применять в различных проектах программно-аппаратные средства
обеспечения информационной безопасности.
Основными видами занятий являются лекции и практические занятия.
Основными видами промежуточного контроля знаний являются:тестирование
Основными видами рубежного контроля знаний являются зачет и экзамен.
Часы, отведенные на изучение дисциплины, согласно учебному плану (220ч):
Форма обучения
очная
очно-заочная(вечерняя)
заочная
Всего ауд. занятий
140ч
84ч
48ч
СОДЕРЖАНИЕ КУРСА
Самостоятельная работа
80ч
36ч
172ч
Тема 1. Введение в проблематику программно-аппаратных средств защиты
информации
Информация, информатизация и информационная безопасность. Определение
назначения
программно-аппаратных
средств
защиты
информации
для
информационной технологии коммерческой организации.
Терминология. Основные понятия информатики применительно к программноаппаратным средствам защиты информации, термины и положения теории
информационных систем. Общие положения теории информационной безопасности.
Ключевые понятия программно-аппаратных средств защиты информации и
безопасных информационных технологий. Определение места программноаппаратных средств защиты информации в общей проблеме информационной
безопасности. Информационные риски и статистика угроз для информации.
Постановка задач учебного пособия.
Тема 2. Современные требования
к программно-аппаратным
обеспечения информационной безопасности
Стандарты и рекомендации в области информационной безопасности.
средствам
Сущность и общее содержание комплексной системы обеспечения безопасности ЭВМ
и сетей на их основе с применением программно-аппаратных средств защиты
информации в информационных технологиях коммерческой организации.
Задачи и методологические основы использования программно-аппаратных средств
защиты информации в компьютерах.
Технические требования стандартов к программно-аппаратным средствам защиты
информации.
Международный стандарт критериев оценки безопасности информационных технологий
и ГОСТ Р ИСО/МЭК 15408-2002
Тема 3. Нормативно-правовой аспект создания и использования средств защиты
информации
Понятие безопасности информации и комплекс угроз в отношении оборудования
пользователя и вычислительной сети. «Вредоносные программы» типа: «троянский
конь»,
«червь»,
вирус
«жадная»
программа,
захватчик
паролей.
Несанкционированный доступ (НСД).
Политика безопасности организации и определение субъекта, потенциально
совершающего несанкционированные действия. Статьи уголовного кодекса,
предусматривающие ответственность за компьютерные преступления.
Эффективная защита информации при учете характеристик среды ее обработки и
хранения. Международный стандарт по критериям оценки безопасности
информационных технологий.
Лицензирование всех видов деятельности в области связи, использования ЭЦП и
шифровальных средств. Интеллектуальная собственность под защитой закона.
Законодательство Российской Федерации о коммерческой тайне.
Тема 4. Аппаратные средства информационной безопасности
Аппаратное средство — электротехническое, электронное или радиоэлектронное
изделие. Пластиковые карты – характерный пример аппаратных средств.
Многоуровневые схемы управления доступом. Два типа аутентификации: статическая
и динамическая. Идентификационные карты.
Идентификационные карточки с магнитной полосой. Карточки с интегральной
микросхемой и металлическими контактами. Карточки с незащищенной памятью.
Микропроцессорные или интеллектуальные карточки. Бесконтактные карточки.
Среда использования смарт-карт в персональных компьютерах.
Криптографические средства защиты информации серии КРИПТОН.
Аппаратный ключ или токен.
Тема 5. Программные средства и их безопасность
Программное средство — компьютерная программа или логически связанная
совокупность программ, записанная на носители данных. Проблема обеспечения
технологической безопасности программного обеспечения. Алгоритмические и
программные закладки,
мотивы злоумышленных действий. Распространение
компьютерных вирусов. Спам (несанкционированные электронные письма).
Классификация компьютерных вирусов. Качество антивирусной программы.
«Меморандум о противодействии распространению вредоносных программ (вирусов)
и несанкционированных рекламных рассылок (спама)».
Тема 6. Программные средства информационной безопасности
Программные
средства
защиты
от
несанкционированного
доступа.
Сертифицированное программное средство криптографической защиты информации
(СКЗИ) «ВЕРБА»/ «ВЕРБА-O». Встраивание СКЗИ в прикладное программное
обеспечение. Шифрование файлов и областей оперативной памяти, формирование и
проверка электронной цифровой подписи в соответствии с российскими стандартами
ГОСТ Р 34.10-94,
ГОСТ Р 34.11-4,
ГОСТ 28147-89.
Основные
функции
криптобиблиотек.
Тема 7. Комплексы
программно-аппаратных
средств
обеспечения
информационной безопасности
Комплексы средств защиты телекоммуникаций в режиме on-line и в режиме off-line.
Средства защиты информации телекоммуникаций. Управление ключевой системой
защищенной сети из одного или нескольких центров управления в гетерогенных
технологиях (технологии «криптосервер-криптоклиент»). Обеспечение защищенного
подключения автономного (не входящего в состав ЛВС) компьютера к ресурсам
корпоративной сети. Программно-аппаратный комплекс шифрования трафика IP.
Межсетевые
защитные экраны. Руководящий документ, устанавливающий
классификацию межсетевых экранов.
Тема 8. Специфические средства защиты информации
Сущность и содержание функционирования парольной защиты. Правила
формирования и ввода пароля.
Биометрические методы идентификации и
аутентификации.
Процедуры
биометрического
опознания.
Устройства
биометрической идентификации и аутентификации для автоматизированных систем и
виды контроля. Голографические метки для защиты информации на материальных
(бумажных, пластиковых) носителях. Руководящий документ, устанавливающий
классификацию по классам защиты специальных защитных знаков. Показатели
защищенности (эффективности) защитных знаков.
Тема 9. Принципы технологии создания безопасного программного обеспечения
Общие рекомендации по написанию устойчиво работающих алгоритмов. Принципы
обеспечения технологической безопасности при обосновании, планировании работ и
проектном анализе ПО. Общие требования к составу и содержанию документов,
поддерживающих создание программных средств. Положения государственных
стандартов, требования к эксплуатационной документации. Нормативно-правовое
обеспечение информационной безопасности ПО.
Тема 10. Экономика применения средств информационной безопасности
Экономическая безопасность хозяйствующего субъекта. Количественный критерий
уровня защищенности. Анализ информационных рисков. Мониторинг совокупности
общих рисков предприятия. Расчет вероятности проявления угроз и ущерб от них.
Модель стоимости – эффективности средств защиты информации.
ЛИТЕРАТУРА
Основная:
1. Герасименко В.А. Защита информации в автоматизированных системах обработки
данных. – М., 1999. - Ч. 1, 2.
2. Основы информационной безопасности / Галатенко В.А. М.: ИНТУИТ.РУ, 2006. –
280 с.
3. Закон Российской Федерации «Об информации, информатизации и защите
информации» от 25.01.95 // Собрание законодательства Российской Федерации. 1995. - № 8. - С. 609.
4. Закон Российской Федерации от 27.12.2002
№ 184-ФЗ «О техническом
регулировании» (WWW.GOST.RU).
5. Закон Российской Федерации от 22.01.2002 № 1-ФЗ «Об электронной цифровой
подписи».
Дополнительная:
1. Мартынова В.В., Скородумов Б.И. Автоматизированные системы с пластиковыми
идентифицированными карточками// Безопасность информационных технологий. –
1995. - № 4. - С.47-60.
2. Симонов С. Анализ рисков, управление рисками// Информационный бюллетень Jet
Info №1 (68), 1999. - с. 1-26.
3. Безопасность электронного финансового документооборота. Б.И. Скородумов,
«Вестник НАУФОР» №8,2000, с42-45.
4. ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности информационных
технологий. Часть 1. Ведение и общая модель» ГОСТ Р ИСО/МЭК 15408-2-2002
«Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий. Часть 2.
Функциональные требования безопасности» ГОСТ Р ИСО/МЭК 15408-3-2002
«Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий. Часть 3. Требования
доверия к безопасности»
5. Скородумов
Б.И.
Безопасность
информации
кредитно-финансовых
автоматизированных систем. Уч. Пособие. М.:МИФИ, 2002.-164с.
Скачать