Б.3 Профессиональный цикл В результате освоения цикла студент должен: знать:
– место и роль информационной безопасности в системе национальной безопасности Российской Федерации;
– методы программирования и методы разработки эффективных алгоритмов решения прикладных задач;
– современные средства разработки и анализа программного обеспечения на языках высокого уровня;
– аппаратные средства вычислительной техники;
– операционные системы персональных ЭВМ;
– основы администрирования вычислительных сетей;
– системы управления базами данных;
– принципы построения информационных систем;
– структуру систем документационного обеспечения;
– основные нормативные правовые акты в области информационной безопасности и защиты информации, а также нормативные методические документы Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю в данной области;
– правовые основы организации защиты государственной тайны и конфиденциальной информации, задачи органов защиты государственной тайны;
– правовые нормы и стандарты по лицензированию в области обеспечения защиты государственной тайны и сертификации средств защиты информации;
– принципы и методы организационной защиты информации;
– технические каналы утечки информации, возможности технических разведок, способы и средства защиты информации от утечки по техническим каналам, методы и средства контроля эффективности технической защиты информации;
– принципы и методы противодействия несанкционированному информационному воздействию на вычислительные системы и системы передачи информации;
– принципы построения криптографических алгоритмов, криптографические стандарты и их использование в информационных системах;
– принципы организации информационных систем в соответствии с требованиями по защите информации;
– эталонную модель взаимодействия открытых систем, методы коммутации и маршрутизации, сетевые протоколы;
– сигналы электросвязи, принципы построения систем и средств связи;
– методы анализа электрических цепей;
– принципы работы элементов современной радиоэлектронной аппаратуры и физические процессы, протекающие в них;
– основы схемотехники;
– опасные и вредные факторы системы "человек
– среда обитания", методы анализа антропогенных опасностей, научные и организационные основы защиты окружающей среды и ликвидации последствий, аварий, катастроф, стихийных бедствий.
уметь:
– выбирать необходимые инструментальные средства для разработки программ в различных операционных системах и средах;
– составлять, тестировать, отлаживать и оформлять программы на языках высокого уровня, включая объектно-ориентированные;
– формулировать и настраивать политику безопасности распространенных операционных систем, а также локальных вычислительных сетей, построенных на их основе;
– осуществлять меры противодействия нарушениям сетевой безопасности с использованием различных программных и аппаратных средств защиты;
– анализировать и оценивать угрозы информационной безопасности объекта;
– применять отечественные и зарубежные стандарты в области компьютерной безопасности для проектирования, разработки и оценки защищенности компьютерных систем;
– пользоваться нормативными документами по защите информации;
– применять на практике методы анализа электрических цепей;
– анализировать и оценивать степень риска проявления факторов опасности системы "человек
– среда обитания", осуществлять и контролировать выполнение требований по охране труда и технике безопасности в конкретной сфере деятельности.
владеть:
– методикой анализа сетевого трафика, результатов работы средств обнаружения вторжений;
– навыками выявления и уничтожения компьютерных вирусов;
– навыками работы с нормативными правовыми актами;
– методами и средствами выявления угроз безопасности автоматизированным системам;
– навыками организации и обеспечения режима секретности;
– методами технической защиты информации;
– методами формирования требований по защите информации;
– методами расчета и инструментального контроля показателей технической защиты информации;
– навыками чтения электронных схем;
– методами анализа и формализации информационных процессов объекта и связей между ними;
– методами организации и управления деятельностью
– служб защиты информации на предприятии;
– методиками проверки защищенности объектов информатизации на соответствие требованиям нормативных документов;
– профессиональной терминологией;
– навыками безопасного использования технических средств в профессиональной деятельности.
Базовая часть Основы информационной безопасности
Международные стандарты информационного обмена. Понятие угрозы. Информационная безопасность в условиях функционирования в России глобальных сетей. Виды противников или «нарушителей». Виды возможных нарушений информационной системы и особенности защиты от этих нарушений. Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование. Задачи в сфере обеспечения информационной безопасности на уровне государства. Государственная концепция информационной безопасности. Основные технологии построения защищенных информационных систем. Место информационной безопасности экономических систем в национальной безопасности страны. Анализ способов нарушений информационной безопасности объекта. Использование защищенных компьютерных систем. Место криптографии в информационной безопасности.
Всего часов – 72, зачетных единиц 2. В том числе лекции – 12, семинары и практические занятия – 20, самостоятельная работа – 40, вид промежуточной аттестации – зачёт.
Аппаратные средства вычислительной техники
Арифметические и логические основы вычислительных машин. Элементы и узлы ЭВМ. Периферийные устройства ЭВМ. Микропроцессоры. Архитектура и принципы работы ЭВМ. Компьютер, рабочие станции и серверы, специализированные компьютеры.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Программно-аппаратные средства защиты информации
Программно-аппаратные средства защиты информации. Основные понятия и определения. Уязвимость компьютерных систем. Политика безопасности в компьютерных системах. Оценка защищенности компьютерной системы от НСД. Идентификация пользователей КС – субъектов доступа к данным. Основные подходы к защите данных от НСД. Организация доступа к файлам. Фиксация доступа к файлам. Доступ к данным со стороны процесса. Особенности защиты данных от изменения.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Криптографические методы защиты информации
Классические шифры. История развития криптографии. Шифры гаммирования и колонной замены; простейшие шифры и их свойства. Основные понятия криптографии. Определение шифра, понятие криптографической стойкости, вопросы практической стойкости, предположения об исходных условиях криптоанализа. Основные требования к шифрам, имитостойкость и помехоустойчивость шифров, однонаправленные функции, перестановки, инволюции, блочные и поточные шифры. Принципы построения криптографических алгоритмов; различие между программными и аппаратными реализациями шифров. Криптосистемы с открытым ключом, функции хэширования. Регистры сдвига с обратной связью. Методы получения случайных и псевдослучайных последовательностей. Анализ генераторов псевдослучайных чисел. Блочные шифры, примеры, режимы использования. Математика для систем с открытым ключом. Генерация больших простых чисел. Особенности использования вычислительной техники в криптографии. Вопросы организации сетей засекреченной связи. Режимы использования систем с открытым ключом. Электронная цифровая подпись; криптографические протоколы.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Организационное и правовое обеспечение
информационной безопасности
Назначение и структура правового обеспечения защиты информации; методы правовой защиты информации; правовые основы защиты государственной, коммерческой, служебной, профессиональной и личной тайны, персональных данных; правовая основа допуска и доступа персона-ла к защищаемым сведениям; система правовой ответственности за утечку информации и утрату носителей информации; правовые основы деятельности подразделений защиты информации; роль права в регулировании комплекса отношений в сфере защиты информации; отрасли права, обеспечивающие законность в области защиты информации; основные законодательные акты, правовые нормы и положения; назначение и задачи под-законных правовых актов, регулирующих процессы защиты информации в отраслях, на предприятиях различных форм собственности; закрепление права предприятия на защиту информации в нормативных документах; правовое регулирование взаимоотношений администрации и персонала в области защиты информации; виды и условия применения правовых норм уголовной, гражданско-правовой, административной и дисциплинарной ответственности за разглашение защищаемой информации и невыполнение правил ее защиты; правовые проблемы. связанные с защитой прав обладателей собственности на информацию и распоряжением информацией; понятие интеллектуальной собственности, ее виды и основные объекты образования; интеллектуальный продукт как объект интеллектуальной собственности и предмет защиты; содержание гражданско-правовых норм в области защиты интеллектуальной собственности; авторское право; патентное право; товарный знак; договорное право, авторские и лицензионные договоры.
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Техническая защита информации
Основные свойства информации как предмета инженерно-технической защиты; виды защищаемой информации; демаскирующие признаки объектов защиты; источники и носители конфиденциальной информации; способы записи информации на различные виды носителей и принципы съема информации; источники опасных сигналов; виды угроз безопасности информации; органы добывания информации; виды зарубежной разведки и разведки коммерческих структур; классификация технической разведки; возможности зарубежной космической, воздушной и морской разведки; способы и средства добывания информации техническими средствами; технические каналы утечки информации; концепция инженерно-технической защиты информации; способы и средства инженерной защиты и технической охраны; концепция охраны объектов; инженерная защита объектов; структура комплекса технических средств охраны; структура системы видеоконтроля; способы и средства нейтрализации угроз; средства управления системой охраны. Способы и средства защиты информации от наблюдения, от подслушивания; способы и средства предотвращения утечки информации через побочные электромагнитные излучения и наводки, по материально-вещественному каналу. Общие положения по инженерно-технической защите информации в организации; характеристика государственной системы противодействия технической разведке; основные руководящие и нормативные документы по противодействию технической разведке; организационные и технические меры по инженерно-технической защите информации в организации; системный подход к защите информации; моделирование объекта защиты и угроз информации; методические рекомендации по разработке мер защиты.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Сети и системы передачи информации
Общие принципы построения сетей передачи информации. Эволюция вычислительных и сетей систем. Основные программные и аппаратные компоненты сети. Сетевые службы. Понятие «открытая система» и проблемы стандартизации. Многоуровневый подход. Протокол. Интерфейс. Стек протоколов. Модель OSI. Уровни модели OSI. Модульность и стандартизация. Источники стандартов. Стандартные стеки коммуникационных протоколов. Локальные и глобальные сети. Особенности локальных, глобальных и городских сетей. Отличия локальных сетей от глобальных. Требования, предъявляемые к современным вычислительным сетям. Основы передачи дискретных данных. Линии связи. Типы линий связи. Аппаратура линий связи. Методы передачи дискретных данных на физическом уровне. Методы передачи данных канального уровня. Методы коммутации. Коммутация каналов. Коммутация пакетов. Коммутация сообщений. Базовые технологии локальных сетей. Протоколы и стандарты локальных сетей. Структурированная кабельная система. Концентраторы и сетевые адаптеры. Логическая структуризация сети с помощью мостов и коммутаторов. Сетевой уровень как средство построения больших сетей. Принципы объединения сетей на основе протоколов сетевого уровня. Принципы маршрутизации. Протоколы маршрутизации. Реализация межсетевого взаимодействия средствами TCP/IP. Адресация в IP-сетях. Таблицы маршрутизации в IP-сетях. Протокол надежной доставки TCP-сообщений. Протоколы маршрутизации в IP-сетях. Внутренние и внешние протоколы маршрутизации Internet. Дистанционно-векторный протокол RIP. Протокол состояния связей OSPF. Основные характеристики маршрутизаторов и концентраторов. Глобальные сети. Основные понятия и определения. Обобщенная структура и функции глобальной сети. Типы глобальных сетей. Глобальные связи на основе выделенных линий. Аналоговые выделенные линии. Цифровые выделенные линии. Протоколы канального уровня для выделенных линий. Использование выделенных линий для построения корпоративной сети. Глобальные связи на основе сетей с коммутацией каналов. Удаленный доступ. Функции и архитектура систем управления сетями. Функциональные группы задач управления. Многоуровневое представление задач управления. Архитектуры систем управления сетями. Стандарты систем управления. Стандартизуемые элементы системы управления. Стандарты систем управления на основе протокола SNMP. Стандарты управления OSI. Мониторинг и анализ локальных сетей.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Безопасность жизнедеятельности
Введение в безопасность. Основные понятия и определения. Человек и техносфера. Идентификация и воздействие на человека вредных и опасных факторов среды обитания. Защита человека и среды обитания от вредных и опасных факторов природного, антропогенного и техногенного происхождения. Обеспечение комфортных условий для жизни и деятельности человека. Психофизиологические и эргономические основы безопасности. Чрезвычайные ситуации и методы защиты в условиях их реализации. Управление безопасностью жизнедеятельности. Человек и среда обитания; характерные состояния системы "человек - среда обитания"; основы физиологии труда и комфортные условия жизнедеятельности в техносфере; критерии комфортности; негативные факторы техносферы, их воздействие на человека, техносферу и природную среду; критерии безопасности; опасности технических систем: отказ, вероятность отказа, качественный и количественный анализ опасностей; средства снижения травмоопасности и вредного воздействия технических систем; безопасность функционирования автоматизированных и роботизированных производств; безопасность в чрезвычайных ситуациях; управление безопасностью жизнедеятельности; правовые и нормативно-технические основы управления; системы контроля требований безопасности и экологичности; профессиональный отбор операторов технических систем; экономические последствия и материальные затраты на обеспечение безопасности жизнедеятельности; международное сотрудничество в области безопасности жизнедеятельности.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Языки программирования
Понятие алгоритма. Основные алгоритмические конструкции. Основные этапы компьютерного решения задач. Основные понятия языков программирования Простая переменная. Массивы и указатели. Связь массивов и указателей. Структуры. Доступ к полям структуры. Функция main. Прототип функции. Передача параметров. Динамическое выделение памяти и динамические структуры данных. Файл. Типы файлов. Чтение и запись в файл. Оптимизированная архитектура под язык программирования. Режимы адресации. Доступ к ячейкам памяти ввода-вывода. Объекты, свойства, методы. Иерархия объектов. Наследование и встраивание.
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Технологии и методы программирования
Основные этапы решения задач на ЭВМ. Постановка задачи – первый этап решения задачи. Различные модели жизненного цикла программных систем (ЖЦ ПС): сходства и отличия. Основные технологии и методологии разработки ПС. Спецификация программы. Структурный подход к проектированию ПС. Основные принципы проектирования. Модульное программирование как основной способ повышения надежности ПС. Основные характеристики программного модуля. Внутренняя организация модуля. Методы конструирования ПС (нисходящий, восходящий). Основные достоинства и недостатки. Принципы разработки интерфейса пользователя. Тестирование программного обеспечения (ПО). Основные определения. План тестирования. Принципы и методы тестирования ПС. Автономная и комплексная отладка ПС. Показатели качества ПС. Основные парадигмы программирования. Базовые методы программирования (продукционное, логическое, функциональное, объектно-ориентированное). Основные принципы, обеспечивающие качество программирования. Эволюция развития языков программирования. Развитие концепций структуризации в языках программирования. Методы представления знаний: стандартные типы данных; структуры данных, определяемые пользователем; динамические структуры данных. Абстрагирование типов, инкапсуляция как способ сокрытия данных в модуле. Объектно-ориентированное программирование. Спецификация классов на основе абстрагирования, иерархия классов. Механизм наследования (виды наследования). Основные понятия ООП на примере интегрированной среды Delphi. Иерархия классов в среде Delphi. Создание и уничтожение объектов. Инкапсуляция, свойства. Области видимости. Наследование. Разновидности методов: статические, динамические, виртуальные. Полиморфизм. Перекрытие и перегрузка методов. Внутренняя организация объекта. Таблицы динамических и виртуальных методов. Документирование ПС, основные разделы сопроводительных документов, основные стандарты и руководящие материалы по документированию и стандартизации ПС.
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Управление информационной безопасностью
Ведение в стандарты семейства ISO 27000. Корпоративное управление и Управление безопасностью ИТ. Контроль бизнес-рисков. Политика безопасности. Организация информационной безопасности. Управление активами. Безопасность персонала. Физическая и экологическая безопасность. Управление коммуникациями и операциями. Контроль доступа. Разработка и обслуживание информационных систем. Управление непрерывностью бизнеса. Управление инцидентами безопасности. Мониторинг и отчетность. Внутренний аудит информационной безопасности. Доведение политики безопасности до руководства и персонала.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Документоведение
Документоведение и история. Взаимосвязи документоведения с науками об управлении, правоведением, экономикой, лингвистикой. Частно-научные документоведческие дисциплины. Использование документоведением достижений технических и естественных наук. Общенаучные и специальные методы документоведческих исследований. Понятие и происхождение документа. Символическая и условная сигнализация. Возникновение письменности и документа. Изменение содержания понятия «документ» на разных этапах исторического развития общества. Соотношение понятий «информация» и «документ». Источниковедческая и информационная концепции документа. Определение документа в законах и стандартах. Полифункциональность документа: функция закрепления и сохранения информации, коммуникативная, культурная, управленческая, правовая, статистическая, познавательная, образовательная, политическая, идеологическая, художественно-эстетическая, досуговая, товарная функции, функция исторического источника. Документирование на естественных и искусственных языках. Понятия «документирование», «правила документирования», «кодирование информации». Техническое документирование. Понятия «способ документирования», «средства документирования», «система документирования». Материальные носители документированной информации. Понятия: «носитель информации» и «носитель документированной информации». Специфические свойства документированной информации: фиксированный характер, целевое назначение, инвариантность, бренность, транслируемость и мультипликативность, рассеяние, дискретность. Внешние свойства (показатели качества) социальной информации: ценность, полезность, полнота, достоверность, новизна, доступность, защищенность, эргономичность, адекватность. Физический и информационный объем документа. Элементы документа. Понятия «реквизит», «формуляр», «метаданные». Индивидуальный и типовой формуляры, формуляр-образец. Юридическая сила официального документа. Семантические и функциональные классификации документов. Классификации материальных носителей информации. Основные функциональные системы документации в Российской Федерации. Унифицированные системы документации. Классификаторы документированной информации. Виды классификаторов. Документирование управленческой деятельности. Правила оформления реквизитов. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов Оформление реквизитов бланка и ограничительных отметок. Реквизиты, определяющие юридическую силу документа, и их оформление. Реквизиты, отражающие обработку и движение документа (делопроизводственные отметки). Особенности изготовления и применения бланков. Угловой и продольный бланки. Правила размещения основных реквизитов. Бланк письма, общий бланк, бланк вида документа, бланки должностных лиц и структурных подразделений, бланки на двух языках. Типичные ошибки в подготовке бланков. Функции организационных документов. Структура и особенности подготовки и оформления документов. Функции распорядительных документов. Критерии выбора видов распорядительных документов. Особенности подготовки. Функции информационно-справочных документов. Особенности подготовки основных видов документов.
Всего часов – 72, зачетных единиц 2. В том числе лекции – 12, семинары и практические занятия – 20, самостоятельная работа – 40, вид промежуточной аттестации – зачёт.
Электротехника
Элементы электрической цепи. Режимы работы электрических цепей. Потери напряжения в проводах. Расчет электрических цепей при произвольном соединение элементов и одном источнике. Понятие переменного электрического тока. Уравнение и графики синусоидальных величин, их характеристики. Получение синусоидального тока. Фаза, начальная фаза. Среднее и действующее значение переменного синусоидального тока. Выражение синусоидальных величин в прямоугольной системе координат. Векторные диаграммы. Сопротивление в комплексной форме. Проводимость в комплексной форме. Мощность в комплексной форме. Основные законы электротехники в комплексной форме. Основные понятия и определения трехфазной системы ЭДС, напряжений и токов. Получение трехфазного тока. Волновая, векторная диаграмма. Соединение обмоток генератора «звездой» и «треугольником». Симметричная нагрузка в трехфазной цепи при соединении обмоток генератора «звездой». Симметричная нагрузка в трехфазной цепи при соединении обмоток генератора «треугольником». Расчет несимметричной трехфазной системы. Расчет мощности в трехфазной системе. Основные сведения о переходных процессах. Первый закон коммутации. Второй закон коммутации. Заряд и разряд конденсатора на сопротивление. Графики переходного процесса. Постоянная времени. Нелинейные элементы. Основные понятия и определения. Статическое и динамическое сопротивление нелинейного элемента. Аналитический расчет нелинейных цепей. Графический расчет нелинейных цепей. Общие сведения о нелинейных цепях переменного тока. Причины возникновения несинусоидальных ЭДС, напряжений и токов. Аналитическое разложение периодической функции в ряд Фурье. Определение коэффициентов ряда Фурье аналитическим и графо-аналитическим способом. Виды симметричных периодических кривых. Действующее значение тока и напряжения. Мощность в цепи с несинусоидальными токами и напряжениями. Расчет цепи с несинусоидальными токами и напряжениями.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Электроника и светотехника
Основные понятия теории электрических цепей. Сложные электрические цепи. Электрические цепи при гармоническом воздействии Анализ электрических цепей в частотной области. Четырехполюсники и фильтры. Радиотехнические сигналы и их спектры. Линейные электрические цепи. Основы теории электронных приборов. Транзисторные усилители электрических сигналов. Нелинейные и параметрические преобразователи сигналов. Аналоговые импульсные и цифровые элементы и устройства Комбинационные и запоминающие цифровые устройства Дискретная и цифровая обработка электрических сигналов. Аналоговые, дискретные и цифровые сигналы Волоконно-оптические линии связи (ВОЛС).
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Информационные технологии
Информация и информатика. Понятие об информации. Свойства информации. Носители данных. Операции с данными. Кодирование данных двоичным годом. Кодирование целых и действительных чисел. Кодирование текстовых и графических данных. Основные структуры данных. Файлы и файловая структура. Технические средства вычислительной техники. История развития. Классификация компьютеров. Программное обеспечение компьютера. Системное программное обеспечение. Операционные системы, их классификация и функции. Операционные оболочки. Утилиты операционных систем. Системы программирования. Прикладное программное обеспечение. Интегрированные пакеты прикладных программ. Современные офисные системы информационного обеспечения. Понятия и классификации банков и баз данных. Системы управления базами данных (СУБД). Основные положения реляционной модели данных. Средства работы с графикой. Растровая и векторная графика.
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Вариативная часть, в т.ч. дисциплины по выбору студента Защита информации в ведущих зарубежных странах
Становление и развитие систем защиты информации в ведущих зарубежных странах; современные системы защиты информации в США, Германии, Великобритании, Франции, Японии; международное сотрудничество в области защиты информации. Научно-техническое сотрудничество с зарубежными партнерами. Организация защиты информации в процессе проведения международных конференций, симпозиумов, обмена специалистами и др. Регламентация процедур обеспечения защиты информации в ходе посещения представителями зарубежных фирм охраняемых объектов. Система контроля. Порядок предоставления защищаемой информации другим странам. Международный опыт защиты информации в процессе банковской деятельности. Международный опыт стандартизации в области защиты информации. Международная защита интеллектуальной собственности. Международные договоры и иные международно-правовые документы о защите информации, предупреждении недобросовестной конкуренции в процессе международного предпринимательства, предупреждении компьютерных преступлений.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Безопасность в сетевых протоколах семейства TCP/IP
Методы и инструменты. Прослушивание сети. Сканирование сети. Генерация пакетов. Перехват данных. Ложные ARP-ответы. Навязывание ложного маршрутизатора. Имперсонация. Имперсонация без обратной связи. Десинхронизация TCP-соединения. Несанкционированное подключение к сети. Несанкционированный обмен данными. Туннелирование. Атака крошечными фрагментами (Tiny Fragment Attack). Принуждение к ускоренной передаче данных. Расщепление подтверждений. Ложные дубликаты подтверждений. Преждевременные подтверждения. Отказ в обслуживании. Истощение ресурсов узла или сети. Сбой системы. Изменение конфигурации или состояния узла. Обсуждение. Фильтрация на маршрутизаторе. Анализ сетевого трафика. Защита маршрутизатора. Защита хоста. Превентивное сканирование.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Международные стандарты в области информационной безопасности
ISO 27000 – Международные стандарты управления информационной безопасностью. SO 15408 – Общие критерии оценки безопасности информационных технологий. PCI DSS – стандарт защиты информации в индустрии платежных карт. BS 25999, BS 25777 – Британские стандарты по управлению непрерывностью бизнеса и информационно-коммуникационных технологий. ISO 20000 и ITIL – библиотека лучших практик в области управления ИТ. ISO 18028 – Международные стандарты сетевой безопасности серии. ISO 13335 – Международные стандарты безопасности информационных технологий BSI\IT Baseline Protection Manual. Basel II – Международная конвергенция измерения капитала и стандартов капитала: новые подходы. Международные стандарты, открытые для публичного доступа. The BCI Good Practice Guidelines – Руководства BCI по обеспечению непрерывности бизнеса. Стандарты Федерального Агентства по Информационной Безопасности (BSI) Германии. NIST SP 800 Series – Специальные публикации Национального Института Стандартов и Технологий США.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Администрирование систем информационной безопасности
Общие сведения о службах безопасности Протоколы безопасности Определение бизнес-требований при проектировании. Системы безопасности в операционных средах. Технические требования к системе безопасности корпоративной сети. Настройка безопасности Active Directory. Проектирование пользователей и групп. Проектирование организационных подразделений. Планирование делегирования управления. Планирование развертывания групповой политики. Аутентификация Kerberos Аутентификация NTLM Аутентификация устаревших клиентских систем. Планирование размещения сервера для аутентификации анализ инфраструктуры сетевой аутентификации проектирование аутентификации для сети. Проектирование состава административных групп. Защита административного доступа к сети. Проектирование безопасного административного доступа. Проектирование вторичного доступа. Оценка администрирования через службы терминалов. Проектирование структуры администрирования. Группы безопасности. Проектирование прав пользователей. Определение прав пользователей на основе групповой политики. Безопасность файловых ресурсов определение эффективных разрешений. Безопасность доступа к общим принтерам.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Конфиденциальный документооборот
Структура защищаемых документопотоков, состав технологических этапов и операций, подготовка и издание конфиденциальных документов; учет конфиденциальных документов; порядок рассмотрения и исполнения конфиденциальных документов; размножение конфиденциальных документов; контроль исполнения конфиденциальных документов; составление и оформление номенклатуры дел; формирование и хранение дел, содержащих конфиденциальные документы; уничтожение конфиденциальных документов; проверка наличия конфиденциальных документов; порядок комплектования ведомственного архива конфиденциальной документации и классификация хранилищ документов; учет деловых (управленческих) и научно-технических документов в архиве; обеспечение сохранности конфиденциальных документов; научно-справочный аппарат к архивам конфиденциальных документов; порядок использования конфиденциальных архивных документов; оборудование архивохранилищ; организационные и методические проблемы автоматизации делопроизводственных операций по документам; машиноориентация содержания и форм конфиденциальных документов; принцип включения различных типов автоматизированных систем в традиционный документооборот; безбумажный документооборот; локальная и комплексная автоматизация процессов обработки конфиденциальных документов в документной службе; домашинная и послемашинная технология выполнения операций по блокам: блока подготовки и издания документов, справочно-информационного блока, блока оперативного хранения и использования документов; состав конфиденциальных документов вычислительного центра, их обработка и хранение.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Информационная безопасность телекоммуникационных сетей
Меры по обеспечению безопасности на уровне доступа к сети (сетевой среде). Меры по обеспечению безопасности на сетевом и транспортном уровнях. Угрозы, возникающие на прикладном уровне. Меры по обеспечению безопасности. Общая характеристика процесса проектирования; этапы проектирования защищенных телекоммуникационных систем; управление процессом проектирования; проектная документация; инструментальные средства проектирования; типизация проектных решений; графические средства представления проектных решений; принципы тестопригодного проектирования; основы конструирования.
Основные понятия технической эксплуатации; организация технической эксплуатации; техническая диагностика; проблемы автоматизации технической диагностики; модели ЗИП; методики технического обслуживания защищенных телекоммуникационных систем. Факторы, влияющие на надежность защищенных телекоммуникационных систем; модели надежности; оценка показателей надежности; методы обеспечения надежности; влияние человеческого фактора на надежность защищенных телекоммуникационных систем; испытания систем на надежность.
Всего часов – 216, зачетных единиц 6. В том числе лекции – 39, семинары и практические занятия – 58, самостоятельная работа – 119, вид промежуточной аттестации – экзамен.
Оценка информационных рисков объектов информатизации
Основные элементы управления рисками информационной безопасности. Стандарты в области управления рисками информационной безопасности. Количественное определение величины риска. Качественное определение величины риска. Информационная составляющая бизнес-рисков. Активы организации как ключевые факторы риска. Подходы к управлению рисками. Уровни зрелости бизнеса в отношении рисков .Анализ факторов риска Система управления информационными рисками. Структура документации по управлению рисками. Политика и контекст управления рисками. Процессная модель управления рисками. Непрерывная деятельность по управлению рисками. Сопровождение и мониторинг механизмов безопасности. Пересмотр и переоценка риска. Взаимосвязь процессов аудита и управления рисками. Управление документами и записями. Корректирующие и превентивные меры. Коммуникация рисков. Аутсорсинг процессов управления рисками. Распределение ответственности за управление рисками. Требования к риск-менеджеру Требования к эксперту по оценке рисков. Реестр требований безопасности. Требования законодательства и нормативной базы. Определение ценности активов. Критерии оценки ущерба. Контрактные обязательства. Требования бизнеса. Таблица ценности активов. Определение приоритетов аварийного восстановления. Анализ угроз и уязвимостей. Профиль и жизненный цикл угрозы. Описание угроз безопасности. Способы классификации угроз. Уязвимости информационной безопасности. Идентификация организационных уязвимостей. Идентификация технических уязвимостей. Оценка угроз и уязвимостей. Определение величины риска. Обработка рисков информационной безопасности. Принятие риска. Уменьшение риска. Передача риска. Избежание риска. Оценка возврата инвестиций в информационную безопасность. Инструментальные средства для управления рисками.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Стандартизация и регулирование
информационной безопасности в России
ГОСТ Р 50922-2006 – Защита информации. Основные термины и определения. Р 50.1.053-2005 – Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р 51188–98 – Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-2006 – Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2008 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-2-2008 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-3-2008 – Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408 – «Общие критерии оценки безопасности информационных технологий» – стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности – благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» – защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами. ГОСТ Р ИСО/МЭК 17799 – «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением – ISO/IEC 17799:2005. ГОСТ Р ИСО/МЭК 27001 – «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта – ISO/IEC 27001:2005. ГОСТ Р 51898-2002 – Аспекты безопасности. Правила включения в стандарты.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Комплексная система защиты информации на предприятии
Сущность и задачи комплексной системы защиты информации (КСЗИ); принципы организации и этапы разработки КСЗИ; факторы, влияющие на организацию КСЗИ; определение и нормативное закрепление состава защищаемой информации; определение объектов защиты; анализ и оценка угроз безопасности информации: выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию; определение потенциальных каналов и методов несанкционированного доступа к информации; определение возможностей несанкционированного доступа к защищаемой информации; определение компонентов КСЗИ; определение условий функционирования КСЗИ; разработка модели КСЗИ; технологическое и организационное построение КСЗИ; кадровое обеспечение функционирования КСЗИ; материально-техническое и нормативно-методическое обеспечение функционирования КСЗИ; назначение, структура и содержание управления КСЗИ; принципы и методы планирования функционирования КСЗИ; сущность и содержание контроля функционирования КСЗИ; управление КСЗИ в условиях чрезвычайных ситуаций; состав методов и моделей оценки эффективности КСЗИ.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Информационная безопасность в сетях мобильной связи
Системы менеджмента качества услуг мобильной связи. Механизмы защиты от НСД, предусмотренные различными стандартами мобильной связи, анализ уязвимости механизмов защиты. Обобщение перечня угроз информационной безопасности сетей мобильной связи. Анализ методов и алгоритмов обеспечения информационной безопасности в сетях мобильной связи. Основные процессы по обеспечению информационной безопасности в компаниях-операторах мобильных сетей. Процессы по обеспечению информационной безопасности от угроз "конкурентной разведки". Процессы по противодействию "легальному" съему информации. Система сбора данных для расследования инцидентов нарушения информационной безопасности в сетях мобильной связи. Организационно-режимные аспекты политики информационной безопасности. Основные принципы построения систем защиты объектов связи. Определение и классификация мошенничества (фрода) в мобильных сетях. Особенности безопасность в «мобильном банкинге». Концепция BYOD и безопасность корпоративных сетей. Использование криптографических средств. Проблемы проектирования и мониторинга в системах сотовой мобильной связи.
Всего часов – 144, зачетных единиц 4. В том числе лекции – 25, семинары и практические занятия – 39, самостоятельная работа – 80, вид промежуточной аттестации – экзамен.
Курсы по выбору студента Выявление информационных утечек и инсайдеров
в корпоративной среде (на предприятии)
Понятие инсайдера. Мотивация инсайдеров. Правовые и организационные аспекты борьбы с инсайдерами. Роль отдельных подразделений и должностных лиц в борьбе с инсайдерами. Методы проверки сотрудников на благонадёжность. Технические средства мониторинга корпоративных сетей. Системы предотвращения утечек информации. Средства строгой аутентификации. Системы контроля побочных каналов. Data mining и выявление инсайдеров. Доведение дела по факту инсайдерской утечки до суда. Проблемы на пути внедрения защиты от инсайдеров. Профилактика и воспитательные аспекты в борьбе с инсайдерами.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Профессиональная подготовка и воспитание сотрудников служб информатизации и информационной безопасности
Требования к кадровому составу служб информатизации и информационной безопасности ИиИБ. Организационные, правовые, технические, психологические и иные особенности подготовки сотрудников служб ИиИБ. Особенности приобретения теоретических знаний и представлений. Особенности отработки практических умений и навыков. Особенности использования систем дистанционного обучения. Основные этапы и структура процесса подготовки сотрудников служб ИиИБ. Оценка квалификации сотрудников и контроль качества подготовки.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
История защиты информации в России и ведущих зарубежных странах
Предпосылки формирования системы защиты информации в России и зарубежных странах. Основные исторические этапы развития мировой отрасли защиты информации в «докомпьютерный» и «посткомпьютерный» период. Основные особенности организации защиты информации на современном этапе. Современная международная нормативная база по защите информации как результат исторического развития отрасли. Современное состояние системы защиты информации и перспективы ее совершенствования.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Компьютерная стеганография в информационной безопасности
Понятие компьютерной стеганографии. Математические и технические основы стеганографического скрытия информации в изображениях, видеоряде, звуке, текстовых массивах. Стеганография на уровне носителей информации, разделов диска, особенностей построения файловой системы. Стеганография на уровне конкретных форматов файлов. Стеганография на уровне кадров, пакетов, сессий и сообщений телекоммуникационных сетей. Стеганография и защита авторского права, скрытые «водяные знаки». Авторская стегозащита печатных документов. Методы маскировки без использования стеганографических средств. Известные стеганографические средства.
Всего часов – 108, зачетных единиц 3. В том числе лекции – 20, семинары и практические занятия – 29, самостоятельная работа – 50, вид промежуточной аттестации – зачёт.
Аутсорсинг информационной безопасности
Понятие аутсорсинга информационной безопасности. Случаи, в которых организации нуждаются именно в аутсорсинге ИБ. Основные достоинства и недостатки аутсорсинга ИБ, вопрос рисков. Основные компании, предлагающие ИТ-аутсорсинг в России и зарубежных странах. Оценка качества услуг ИБ-аутсорсинга. Особенности ответственности, в т.ч., материальной, поставщиков услуг ИБ. Особенности несения ИБ-дежурства аутсорсерами. Особенности первичных действий, и проведения расследований по инцидентам информационных утечек. Роль аутсорсинговой компании в качестве экспертов и компьютерных криминалистов в суде.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
Ведущие программно-аппаратные решения в области информационной безопасности
Известные зарубежные и отечественные компании на рынке информационной безопасности. Примерная классификация продуктов компаний на рынке. Наиболее известные на настоящее время аппаратные, программные и программно-аппаратные решения этих компаний. Анализ сведений по тестированию, независимым оценкам, отзывам заказчиков и пользователей, рекламных заявлений по возможностям данных продуктов.
Всего часов – 180, зачетных единиц 5. В том числе лекции – 32, семинары и практические занятия – 49, самостоятельная работа – 99, вид промежуточной аттестации – экзамен.
|
