Цели и задачи дисциплины
Цель дисциплины – приобретение знаний, умений и практических навыков в области информационной безопасности и защиты информации, необходимых при выполнении повседневной деятельности с использованием информационно-телекоммуникационных систем.
Задачами дисциплины является освоение организационно-правовых основ защиты информации в информационно-телекоммуникационных системах, методов и средств зашиты информации в информационных системах, организационно-правовых и технических особенностей зашиты конфиденциальной информации и персональных данных, методов оценки защищенности информации, порядка осуществления работ по защите конфиденциальной информации в информационных системах.
Краткое содержание разделов (тем, модулей)
1. Понятие информационной безопасности. Основные составляющие. Важность проблемы. Распространение объектно-ориентированного подхода на информационную безопасность.
Защита интересов субъектов информационных отношений. Основные составляющие информационной безопасности – конфиденциальность, целостность, доступность. Статистика нарушений информационной безопасности, описание наиболее характерных случаев.
Методические основы курса. Формулировка необходимых понятий объектно-ориентированного подхода. Уровни мер в области информационной безопасности с небольшим числом сущностей на каждом из них.
2. Наиболее распространенные угрозы.
Возможные угрозы и уязвимые места защиты. Эксплуатирование угрозами уязвимых мест защиты. Выбор наиболее экономичных средств обеспечения безопасности..
3. Законодательный уровень информационной безопасности.
Российское и зарубежное законодательство в области информационной безопасности. Проблемы существующие в настоящее время в российском законодательстве.
4. Стандарты и спецификации в области информационной безопасности.
Обзор международных и национальных стандартов и спецификаций в области информационной безопасности. "Оранжевая книга", ISO 15408, ISO 27000, ГОСТ Р 50922-2006, ГОСТ Р 51275-2006, ГОСТ Р 52447-2005. Сильные и слабые стороны этих документов.
5. Административный уровень информационной безопасности. Управление рисками.
Ключевые понятия информационной безопасности – политика безопасности и программа безопасности. Описание структуры соответствующих документов, меры по их разработке и сопровождению. Увязка мер безопасности с этапами жизненного цикла информационных систем.
Достижение информационной безопасности экономически оправданными мерами. Методики сопоставления возможных потерь от нарушений информационной безопасности со стоимостью защитных средств.
6. Процедурный уровень информационной безопасности.
Описание основных классов мер процедурного уровня. Принципы, позволяющие обеспечить надежную защиту.
7. Основные программно-технические меры.
Понятие сервиса безопасности. Основные вопросы архитектурной безопасности. Классификация сервисов.
8. Идентификация и аутентификация, управление доступом.
Описание традиционных сервисов безопасности – идентификация и аутентификация, управление доступом. Рассматривание сервисов безопасности применительно к распределенным, разнородным системам, содержащим большое число компонентов.
9. Протоколирование и аудит, шифрование, контроль целостности. Экранирование, анализ защищенности.
Понятия протоколирования и аудита. Криптографические методы защиты. Их место и роль в общей архитектуре безопасности.
Сравнительно новые (развивающиеся с начала 1990-х годов) сервисы безопасности – экранирование и анализ защищенности.
10. Обеспечение высокой доступности. Туннелирование и управление.
Виды средств поддержания высокой доступности. Обеспечение отказоустойчивости (нейтрализация отказов, живучесть). Обеспечение безопасного и быстрого восстановления после отказов (обслуживаемость).
Разномасштабные сервисы безопасности. Основы туннелирования и управления.
- Преподаватель: Вадим Михайлович Трофимов