Правительство Российской Федерации Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский университет "Высшая школа экономики" Департамент Прикладной математики Программа дисциплины Информационная безопасность для направления 230700.62 «Прикладная информатика » подготовки бакалавра Автор программы: Семин В.Г. semin_valeriy@mail.ru Одобрена на заседании кафедры Кибернетики «___»____________ 2013 г Зав. кафедрой Афанасьев В.Н. Рекомендована секцией УМС [Введите название секции УМС] «___»____________ 20 14 г Председатель [Введите И.О. Фамилия] Утверждена УС факультета Прикладной математики и кибернетики «___»_____________20 15 г. Ученый секретарь [Введите И.О. Фамилия] ________________________ [подпись] Москва, 2014 Настоящая программа не может быть использована другими подразделениями университета и другими вузами без разрешения кафедры-разработчика программы. Область применения и нормативные ссылки Настоящая программа учебной дисциплины устанавливает минимальные требования к знаниям и умениям студента и определяет содержание и виды учебных занятий и отчетности. Программа предназначена для преподавателей, ведущих данную дисциплину, учебных ассистентов и студентов для направления 230700.62 «Прикладная информатика» подготовки бакалавра, изучающих дисциплину «Информационная безопасность». Программа разработана в соответствии с: ФГОС для направления 2307000.62 «Прикладная информатика» подготовки бакалавра. Рабочим учебным планом университета по направлению 2307000.62 «Прикладная информатика» подготовки бакалавра, утвержденным в 2014 г. Цели освоения дисциплины Целью освоения дисциплины «Информационная безопасность» является формирование устойчивых знаний в области современных методов обеспечения компьютерной безопасности и национальных и международных стандартов безопасности компьютерных систем и информационных технологий, необходимых и достаточных для профессиональной деятельности в условиях широкого применения инфокоммуникационных технологий Учебные задачи дисциплины Учебные задачи дисциплины «Информационная безопасность» определяется содержанием и спецификой ее предмета, с целью приобретения комплекса знаний, умений, навыков, а также необходимых компетенций, которыми должен овладеть студент в результате изучения дисциплины. Учебными задачами дисциплины являются: - изучение основных понятий, определений и словаря терминов, используемых в области обеспечения компьютерной безопасности; - изучение понятия политики безопасности компьютерных систем и основных формальных моделей безопасности; -теоретико- множественная алгоритмизация теоретических основ компьютерной безопасности -изучение основных современных национальных и международных стандартов. безопасности компьютерных систем и информационных технологий. . 3. Компетенции обучающегося, формируемые в результате освоения дисциплины В результате освоения дисциплины студент должен: Знать: - Основные современные концепции обеспечения безопасности компьютерных систем и стандарты в области обеспечения информационной безопасности. - Знать базовые принципы разработки формальных моделей информационной безопасности. - Дискреционные, мандатные и ролевые модели политики безопасности. - Основные методы обеспечения конфиденциальности информации. - Основные методы обеспечения целостности информации - Основные метода обеспечения от отказа в доступе к компьютерной информации Уметь: - Применять основные средства обеспечения компьютерной безопасности в профессиональной деятельности. Иметь навыки (приобрести опыт) - Решения задач идентификации и аутентификации пользователя компьютерной системы. - Решения типовых задач обеспечения конфиденциальности компьютерной информации. В результате освоения дисциплины студент осваивает следующие компетенции: Компетенция Способность понимания социальной значимости своей будущей профессии, цели и смысла государственной службы, обладает высокой мотивацией к выполнению профессиональной деятельности , готовность и способность к активной состязательной деятельности в условиях информатизации общества. Способность к логически правильному мышлению, обобщению, анализу, критическому осмыслению информации, систематизации, прогнозированию, постановке исследовательских задач и выбору путей их решения на основании методологии системного подхода и системного анализа Способность понимать сущность и значение информации в развитии современного общества, применять достижения современных Код по Дескрипторы – основные признаки ФГОС/ освоения (показатели достижения НИУ результата) Формы и методы обучения, способствующие формированию и развитию компетенции ОК-5 Демонстрирует способность самостоятельного поиска, анализа информации по темам, выносимым на самостоятельное изучение Самостоятельная работа ОК-9 Демонстрирует, владеет, применяет Самостоятельная работа, выполнение курсовых работ ПК-3 Демонстрирует, владеет, применяет Самостоятельная работа Компетенция информационных технологий для поиска и обработки больших объемов информации по профилю деятельности в глобальных компьютерных системах, сетях, в библиотечных фондах и в иных источниках информации в условиях необходимости выполнения требовании по обеспечению безопасности. Способность использовать инструментальные средства обеспечения компьютерной безопасности для решения различных профессиональных, исследовательских и прикладных задач Способность проводить обоснование и выбор рационального решения по обеспечению безопасности компьютерных систем с учетом заданных требований Способность проводить анализ решений по обеспечению эффективности систем обеспечения компьютерной безопасности Способность оценивать эффективность методов обеспечения компьютерной безопасности Способность принимать участие в решении задач обеспечения безопасности компьютерных систем с Код по Дескрипторы – основные признаки ФГОС/ освоения (показатели достижения НИУ результата) Формы и методы обучения, способствующие формированию и развитию компетенции ПК-9 Демонстрирует, владеет, применяет Самостоятельная работа, курсовая работа ПК-19 Демонстрирует, владеет, применяет ПК-23 Демонстрирует Самостоятельная работа, выполнение курсовой работы ПК-29 Демонстрирует Самостоятельная работа, выполнение курсовых работ ПК-35 Демонстрирует Самостоятельная работа, выполнение курсовой работы Самостоятельная работа, выполнение курсовой работы Компетенция Код по Дескрипторы – основные признаки ФГОС/ освоения (показатели достижения НИУ результата) Формы и методы обучения, способствующие формированию и развитию компетенции использованием программных инструментальных средств систем обеспечения компьютерной безопасности. Место дисциплины в структуре образовательной программы Настоящая дисциплина относится к циклу «Профессиональные дисциплины» и блоку дисциплин, обеспечивающих базовую подготовку. Изучение данной дисциплины базируется на следующих дисциплинах: Алгебра; Теория вероятностей и математическая статистика; Для освоения учебной дисциплины, студенты должны владеть следующими знаниями и компетенциями: знать основы информатики ; знать основы линейной алгебры; знать основы теории вероятностей и математической статистики. Основные положения дисциплины должны быть использованы в дальнейшем при изучении следующих дисциплин: Производственная практика и выпускная квалификационная работа Тематический план учебной дисциплины 1. Цели и задачи дисциплины: изучение современных принципов, моделей, методов и средств решения задач информационной безопасности информации в современных корпоративных системах управления и обработки информации. В ходе изучения дисциплины студенты должны овладеть следующими знаниями: Структура теории информационной безопасности (основные понятия и определения). Классификация угроз информационной безопасности, источники, риски и формы атак на информацию. Понятие политики безопасности, доступа и монитора безопасности. Основные типы политики безопасности. Формальные описания основных моделей безопасности. Основные криптографические методы обеспечения информационной безопасности Основные критерии защищенности автоматизированных систем (Руководящие документы Государственной технической комиссии РФ, Федеральные критерии безопасности информационных технологий.) 2. Место дисциплины в структуре ООП: Дисциплина относится к базовой части раздела ООП На входе от студента требуются компетенции по следующим областям знаний: Информационные технологии Программирование; Сети и телекоммуникации; Операционные системы; База данных Для изучения дисциплины студент должен обладать следующими компетенциями: ОК-1. Владеть культурой мышления, обладать способностью к обобщению, анализу и восприятию информации, постановке цели и выбору путей достижения; ОК-5. Уметь использовать нормативно-правовые документы в своей деятельности; ОК-11. Осознает сущность и значение информации в развитии современного общества; владеет основными методами .способами и средствами получения, хранения, переработки информации; ОК-12. Имеет навыки работы с компьютером как средством управления информацией; ОК-13. Владеет английским языком на уровне не ниже разговорного; ПК-2.Осваивать методики использования программных средств для практических задач; ПК-4. Разрабатывать модели компонентов программных комплексов и баз данных: ПК-10.Сопрягать аппаратные и программные средства в составе информационных и автоматизированных систем; ПК-11.Инсталировать программное и аппаратное обеспечение для информационных и автоматизированных систем. Компетенции, полученные в результате изучения данной дисциплины, необходимы для изучения следующих дисциплин и выполнения видов деятельности: Б3Б 8 Технология программирования. Б3.Б9 Информационные технологии. Б3.Б12 Сетевые технологии. Производственная и преддипломная практики 3. Требования к результатам освоения дисциплины: Процесс изучения дисциплины направлен на формирование следующих компетенций: ПК-6. Обосновывать принимаемые проектные решения, осуществлять постановку и выполнять эксперименты по проверке их корректности и эффективности; ПК-10.Сопрягать аппаратные и программные средства в составе информационных и автоматизированных систем; ПК-11.Инсталировать программное и аппаратное обеспечение для информационных и автоматизированных систем. В результате изучения дисциплины студент должен: Знать:теоретические основы построения формальных политик безопасности; основные критерии защищенности автоматизированных систем (Руководящие документы Государственной технической комиссии РФ, Федеральные критерии безопасности информационных технологий); основные криптографические и стеганографичские методы обеспечения информационной безопасности современных корпоративных системах управления и обработки информации. Уметь: обосновывать выбор и разработку формальных моделей внутренних и внешних нарушителей, разрабатывать постановки задач защиты информации на основе принципа гарантированного результата. Владеть: теоретическими подходами к обоснованию. формулированию и выбору политики информационной безопасности современной корпоративной инфокоммуникационной структуры 4. Объем дисциплины и виды учебной работы Вид учебной работы Всего часов 7 Семестры 7 7 7 Общая трудоемкость дисциплины Аудиторные занятия Лекции Практические занятия (ПЗ) Семинары (С) Лабораторные работы (ЛР) другие виды аудиторных занятий Самостоятельная работа Курсовая работа Расчетно-графические работы Реферат другие виды самостоятельной работы Вид итогового контроля (зачет, экзамен) 40 20 20 зкзамен 4. 5. Содержание дисциплины 5.1. Содержание разделов дисциплины № п/п 1. 2. Наименование раздела дисциплины Основные результаты в области теории информационной безопасности Содержание раздела Основные определения и базовые принципы построения формальных моделей политик безопасности. Теоретико-множественная алгоритмизация политики безопасности. Доверенная вычислительная среда. Формальные модели Дискреционная модель Харрисона-Рузо-Ульмана основных политик разграничения, управления безопасности распространением прав и контроля доступа. за Критерий безопасности. Типизованная матрица доступа. Классическая мандатная модель политики безопасности Белла-Лападулы, особенности и области применения. Критерий безопасности. Ролевая модель управления доступом. Формальные модели ролевой политики безопасности. Критерий безопасности. Угрозы, 3 риски информационной безопасности Определение угрозы информационной безопасности. Основные типы угроз. Уязвимости и риски .каналы несакционированного информационной безопасности..Каналы несанкционированного доступа (НСД) к информации доступа Стандарты 4 и Роль стандартов в области защиты информации. спецификации Основные национальные стандарты и спецификации информационной информационной безопасности автоматизированных безопасности систем. автоматизированных автоматизированных систем. Федеральные систем. критерии,Канадские,Европейские критерии Классы защищенности СВТ и безопасности информационных технологий. Понятия продукта информационных технологий, профиля защиты, плана защиты. Структура профиля зашиты Единые критерии безопасности информационных технологий …. Протоколы сетевой Понятие корпоративной среды. Задачи протоколов безопасности сетевой безопасности. Протоколы идентификации и аутентификации, удаленного доступа защиты от угроз нарушения конфиденциальности, целостности информации. Технология электронной цифровой подписи. защиты информации. Стеганографические 5 методы обеспечения конфиденциальности с ключом Задачи цифровой стеганографической малозначищих форматов бит. стеганографии. системы Структура .Метод Классификация стеганографических замены основных контейнеров .Алгоритим Вижинера. 5.2 Разделы дисциплины и междисциплинарные связи с обеспечиваемыми (последующими) дисциплинами № п/п № № разделов данной дисциплины, необходимых для изучения обеспечиваемых (последующих) дисциплин 1. Наименование обеспечиваемых (последующих) дисциплин Информационные 1 2 3 4 5 6 7 … 8 + технологии 2. Операционные + + + системы 3 + 5.3. Разделы дисциплин и виды занятий № Наименование раздела дисциплины Лекц. п/п Практ. Лаб. зан. зан. Всего . 1. Основные результаты в области теории информационной безопасности(ИБ) 2 2 2. Формальные модели основных 6 6 политик безопасности 3 Стандарты и спецификации 6 6 6 информационной безопасности автоматизированных систем. 4 Стеганографические методы 2 20 22 обеспечения информационной безопасности 5. Протоколы сетевой 4 безопасности 5.4Список лекционных занятий 1.Основные определения и базовые принципы построения формальных моделей политики безопасности. 2.Формальные модели политик безопасности. 4 3.Угрозы ,риски ИБ, ,каналы НСД, и формы атак на информацию. 4.Стандарты и спецификации ИБ автоматизированных систем. 5. Руководящие документы Гостехкомиссии России. 6. Федеральные критерии безопасности информационных технологий 7..Канадские критерии безопасности компьютерных систем 8..Единые критерии безопасности информационных технологий 9.Сравнение обобщенных показателей стандартов 10.Электронная цифровая безопасности подпись и основные протоколы сетевой 6. Лабораторный практикум № п/п № раздела дисциплины Наименование лабораторных работ 1 4 Исследование стеганографической системы с ключом. Трудоемкость (часы/зачетн ые единицы) 18/0,125 2 4 Экспериментальны методы обнаружения скрытых 18/0,125 сообщений 3 4 18/0,125 7. Примерная тематика курсовых проектов (работ) планом_ не предусмотрена 7.1 Примерная тематика домашних работ. № п.п. Содержание домашних работ Объе м в час. 1 2 3 Иследование методов формализации доверительной вычислительной среды. Исследование симметричных криптосистем. Исследование асимметричных криптосистем. 8. Учебно-методическое и информационное обеспечение дисциплины: а) основная литература: 12 12 12 1. В.Г. Семин. Методы и средства защиты информации: Учебное пособие. -М: МИЭМ ,2008.-72 с. 2. В.Г. Семин .Обеспечение информационной безопасности автоматизированных систем транснациональных корпораций. Учебное пособие. Приоритетный национальный проект «Образование». Российский университет дружбы народов..М.:РУДН.2008.-290 с. 3. П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. Теоретические основы компьютерной безопасности. Москва. Радио и связь. 2000г. 4.П.Н. Девянин, А.М. Ивашко, А.С. Першаков, В. Г. и др.Программноаппаратные средства защиты от несанкционированного доступа к компьютерным криптографическим системам обработки информации. Учебное пособие. МИЭМ, 2004г.,стр.6-8..стр. 81-186. 5.Зима В.Н.,Молдовян А.А. и др. Безопасность глобальных сетевых технологий. - Спб.: БХВ-Петербург,2000. б) дополнительная литература: 1.Проблемы управления информационной безопасностью. Под ред. Д.С. Черешкина. ИСА РАН,2002. 2.И.Д. Медведовский. Руководство по управлению информационными рисками корпоративных информационных систем. Internet\Intranet.-Domina Security, 2002. в) программное обеспечение: _Комплекс_стеганогафических систем обеспечения конфиденциальности информации. г) базы данных, информационно-справочные и поисковые системы не используются 9. Материально-техническое обеспечение дисциплины: - электронные конспекты лекций,методических указаний к проведению лабораторных работ. - компьютерные классы на 24 места, оснащенные 24 персональными компьютерами. 10. Методические рекомендации по организации изучения дисциплины: В учебном процессе, помимо чтения лекций, которые составляют 50% аудиторных занятий, широко используются интерактивные формы (обсуждение отдельных разделов дисциплины). В сочетании с внеаудиторной работой это способствует формированию и развитию профессиональных навыков обучения. Для формирования практических навыков проводится лабораторные работы Основной целью проведения лабораторных работ является приобретение опыта и навыков использования формальных криптографических и стеганографических методов обеспечения конфиденциальности информации. С целью текущего контроля успеваемости и промежуточной аттестации предусмотрены выполнение и защита лабораторных работ. Формирование оценки за лабораторную работу Оценка учитывает: Точность и правильность полученных результатов; Насколько полно изучены средства обработки данных; Качество оформления результатов; Насколько студент правильно и аргументировано ответил на все вопросы при обсуждении выполненного задания. Для итоговой аттестации студентов предусмотрен зачет. В интерактивных формах проводятся 20 часов практических занятий. В качестве оценочного контроля используется текущий контроль освоения дисциплины, который осуществляется лектором и преподавателем, ведущим практические занятия, в виде: - устного опроса по теории; - результатов защиты лабораторных работ. 10.1.Перечень вопросов к зачету по курсу: Билет №1 1 . Определения (информация,данные, безопасность информации ,целостность информации(данных) ,угрозы безопасности 2. Понятие политики безопасности. Билет № 2 . 1.Определения понятий идентификация,аутентификация,субъект , объект. 2. Понятия доступа и монитора безопасности. Билет №3 1.Классификация основных угроз безопасности информации 2.Основные типы политик безопасности. Билет № 4 1. Основные аксиомы защищеных автоматизированных систем. 2. Определение понятия доступа к информации. Билет № 5 1. Субъекты,объекты, доступ , сущности. 2. Классификация моделей обеспечения безопасности информации. Билет № 6 1. Уровни безопасности , доверие и секретность . 2. Модели управления доступом. Билет №7 1. Дискреционная модель Харрисона –Рузо-Ульмана . Общее описание. 2 . Определение модели безопасности. Билет № 8 1. Пример команды внесения изменений в матрицу доступа. 2. Понятие несанкционированного доступа. Билет № 9. 1. Перечень и характеристики элементарных операций в дискреационной модели политики безопасности. 2.Условия разрешимости безопасного состояния модели Харрисона-Руза-Ульмана.. Билет № 10. 1.Критерий безопасности модели Харрисона- Рузо-Ульмана. 2.Условия разрешимости безопасного состояния системы. Билет № 11. 1. Типизованная матрица доступа. Общее описание. 2. Субъекты, объекты ,доступ. Билет № 13. 1. Пример команды и основные операции в модели типизованной матрицы доступа. 2. Угрозы безопасности. Билет № 14. 1.Мандатная модель Белла-Лападулы. 2. Определения понятий идентификация ,аутентификация. Билет №15. 1.Классическая модель Белла-Лападулы. 2.Основные аксиомы защищеных систем. Билет№ 16 1.Применение мандатных моделей. 2.Угрозы безопасности АС. Билет № 17. 1.Ролевая модель политики безопасности. 2. Определения потока информаци и доступа. Билет № 18. 1.Правила управления доступом ролевой политики безопрасности. 2. Область применения ролевой модели безопасности. Билет № 19 1.Европейские критерии безопасности информационных технологий (основные понятия ,функциональные критерии). 2.Область применения ролевой политики безопасности. Билет № 20. 1.Федеральные критерии безопасности информационных технологий (основные положения, профиль защиты). 1. Область применения мандатной политики безопасности . Билет № 21. 1.Правила управления доступом ролевой политики безопасности. 2. Область применения мандатной политики безопасности. Билет №22 1. Определения понятий идентификация ,аутентификация. 2.Общая схема стеганографической системы. Билет №23 2. 1. Перечень и характеристики элементарных операций в дискреационной модели политики безопасности. 2.Метод замены младших битов в графических и звуковых файлах. Билет №24 1. .Правила управления доступом ролевой политики безопасности. 2.Применение криптографических преобразований в компьютерной стеганографии. Билет №25 1. Области применений компьютерной стеганографии. 2. Угрозы безопасности АС. Результаты защиты лабораторной и итогового контроля( зачет ) формируют рейтинговую оценку работы студента. 10.Формы контроля знаний студентов Тип контроля Итоговый Форма контроля Зачет 4 Письменный зачет Критерии оценки знаний, навыков Порядок формирования оценок по дисциплине.преподватель оценивает работу студентов на лекционных и лабораторных занятиях по следующей формуле: Олаб.раб оценивается как оценка за выполнение лабораторной работ в форме выполнения и защиты лабораторной работы.. Итговая оценка за учитывает результаты студента по текущему контролю следующим образом: Оитоговаа = 0,5· Олаб+ 0,5· Озач, , Озач – оценка за письменный и устные пояснения .к письменному ответу