МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Саратовский государственный университет имени

Факультет компьютерных наук и информационных технологий

УТВЕРЖДАЮ

___________________________

"__" __________________20__ г.

Рабочая программа дисциплины

Организационное и правовое обеспечение информационной безопасности

Специальность

090301 Компьютерная безопасность

Специализация

Математические методы защиты информации

Квалификация выпускника

Специалист

Форма обучения

очная

Саратов,

2012

1. Цели освоения дисциплины

Целью освоения дисциплины «Организационное и правовое обеспечение информационной безопасности» является овладение основами использования нормативно-правовых актов для разработки организационно-распорядительной документации, организации и планирования деятельности по защите информации.

2.Место дисциплины в структуре ООП

Данная учебная дисциплина входит в раздел «Профессиональный цикл. Базовая часть» ФГОС-3.

Для изучения дисциплины необходимы компетенции, знания, умения и готовности, сформированные у обучающихся в результате освоения курсов «Теория информации», «Физика», «Информатика», «Аппаратные средства вычислительной техники», «Компьютерные сети», «Основы информационной безопасности», «Системы и сети передачи информации».

Логически и содержательно-методически данная дисциплина взаимосвязана с дисциплинами «Операционные системы», «Электорника и схемотехника».

Компетенции, знания, умения и готовности, сформированные у обучающихся в результате освоения данной дисциплины, могут быть полезны для изучения следующих курсов: «Модели безопасности компьютерных систем» и «Техническая защита информации».

3. Компетенции обучающегося, формируемые в результате освоения дисциплины

В результате освоения дисциплины у студента должны сформироваться или закрепиться следующие профессиональные компетенции:

способность выявлять естественнонаучную сущность проблем, возникающих в ходе профессиональной деятельности, и применять соответствующий физико-математический аппарат для их формализации, анализа и выработки решения (ПК-1);

способность применять математический аппарат, в том числе с использованием вычислительной техники, для решения профессиональных задач (ПК-2);

способность понимать сущность и значение информации в развитии современного общества, применять достижения современных информационных технологий для поиска и обработки больших объемов информации по профилю деятельности в глобальных компьютерных системах, сетях, в библиотечных фондах и в иных источниках информации (ПК-3)

способность использовать нормативные и правовые документы в своей профессиональной деятельности (ПК-5);

способность работать с программными средствами прикладного, системного и специального назначения (ПК-8);

способность использовать языки и системы программирования, инструментальные средства для решения различных профессиональных, исследовательских и прикладных задач (ПК-9);

способность формулировать результат проведенных исследований в виде конкретных рекомендаций, выраженных в терминах предметной области изучавшегося явления (ПК-10);

способность осуществлять подбор, изучение и обобщение научно-технической информации, нормативных и методических материалов по методам обеспечения информационной безопасности компьютерных систем (ПК-14);

способность применять современные методы и средства исследований для обеспечения информационной безопасности компьютерных систем (ПК-15);

способность проводить анализ безопасности компьютерных систем с использованием отечественных и зарубежных стандартов в области компьютерной безопасности (ПК-16);

способность готовить научно-технические отчеты, обзоры, публикации по результатам выполненных работ (ПК-17);

способность проводить сбор и анализ исходных данных для проектирования систем защиты информации (ПК-21);

способность проводить анализ проектных решений по обеспечению защищенности компьютерных систем (ПК-23);

способность участвовать в разработке системы защиты информации предприятия (организации) и подсистемы информационной безопасности компьютерной системы (ПК-24);

способность оценивать степень надежности выбранных механизмов обеспечения безопасности для решения поставленной задачи (ПК-25);

способность участвовать в проведении экспериментально-исследовательских работ при аттестации системы защиты информации с учетом требований к уровню защищенности компьютерной системы (ПК-26);

способность оценивать эффективность систем защиты информации в компьютерных системах (ПК-29);

способность организовывать работу малых коллективов исполнителей, находить и принимать управленческие решения в сфере профессиональной деятельности (ПК-30);

способность разрабатывать оперативные планы работы первичных подразделений (ПК-31);

способность разрабатывать предложения по совершенствованию системы управления информационной безопасностью компьютерной системы (ПК-32);

способность разрабатывать проекты нормативных и методических материалов, регламентирующих работу по обеспечению информационной безопасности компьютерных систем, а также положений, инструкций и других организационно-распорядительных документов в сфере профессиональной деятельности (ПК-33);

способность разрабатывать и составлять инструкции и руководства пользователей по эксплуатации средств обеспечения информационной безопасности компьютерных систем и аппаратно-программных средств защиты информации (ПК-38).

способность ориентироваться в современных и перспективных математических методах защиты информации, оценивать возможность и эффективность их применения в конкретных задачах защиты информации (ПСК-2.1);

В результате изучения базовой части цикла обучающийся должен:

Знать:

требования к подсистеме аудита и политике аудита;

сущность и понятие информации, информационной безопасности и характеристику ее составляющих;

место и роль информационной безопасности в системе национальной безопасности Российской Федерации, основы государственной информационной политики, стратегию развития информационного общества в России;

источники и классификацию угроз информационной безопасности;

основные средства и способы обеспечения информационной безопасности, принципы построения систем защиты информации;

основы организационного и правового обеспечения информационной безопасности, основные нормативные правовые акты в области обеспечения информационной безопасности и нормативные методические документы ФСБ России и ФСТЭК России в области защиты информации;

правовые основы организации защиты государственной тайны и конфиденциальной информации, задачи органов защиты государственной тайны и служб защиты информации на предприятиях;

организацию работы и нормативные правовые акты и стандарты по лицензированию деятельности в области обеспечения защиты государственной тайны, технической защиты конфиденциальной информации, по аттестации объектов информатизации и сертификации средств защиты информации;

Уметь:

применять нормативные правовые акты и нормативные методические документы в области обеспечения информационной безопасности;

разрабатывать проекты нормативных и организационно-распорядительных документов, регламентирующих работу по защите информации;

формулировать и настраивать политику безопасности основных операционных систем, а также локальных компьютерных сетей, построенных на их основе;

применять отечественные и зарубежные стандарты в области компьютерной безопасности для проектирования, разработки и оценивания защищенности компьютерной системы;

применять действующую законодательную базу в области обеспечения компьютерной безопасности;

пользоваться нормативными документами по противодействию технической разведке;

Владеть:

навыками работы с нормативными правовыми актами;

навыками организации и обеспечения режима секретности; методами организации и управления деятельностью служб защиты информации на предприятии;

методами формирования требований по защите информации;

4. Структура и содержание дисциплины

Общая трудоемкость дисциплины составляет 108 часов и 3 зачетные единицы.

Раздел «Введение». Необходимость защиты информации. Виды защищаемой информации. Комплексность и контролируемость защиты.

Раздел «Базовые нормативные документы по защите информации». Мировая нормативная практика по защите информации в информационных системах. Европейское законодательство о защите информации и персональных данных. Конституция РФ о защите информации и гарантии прав на информацию. Доктрина информационной безопасности РФ, принципы и методы защиты информации. ФЗ «Об информации, информационных технологиях и о защите информации», классификация информации, права и обязанности обладателя информации. ФЗ «О персональных данных», понятие и состав персональных данных, особенности их защиты и передачи по каналам связи. ФЗ Закон РФ «О государственной тайне». ФЗ «О техническом регулировании», понятие и требования аккредитации и сертификации. ФЗ «О лицензировании отдельных видов деятельности», понятие, виды лицензируемой деятельности, контроль за лицензируемой деятельностью.

Раздел «Нормативные акты, служащие основанием для организационно-распорядительной документации по защите информации для автоматизированных систем». «Положение по аттестации объектов информатизации по требованиям безопасности информации», порядок аттестации, требования к подготовке к аттестации. РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», направления защиты информации, основы организационной деятельности по защите информации. РД «Защита от несанкционированного доступа к информации». Термины и определения. Основные понятия. РД Автоматизированные системы. Защита от НСДИ. «Классификация автоматизированных систем и требования по защите информации», классификация АС, требования защищенности. РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. «Показатели защищенности от несанкционированного доступа к информации», классы защищенности АС, требования к средствам защиты АС. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», требования к защите сетевых подключений. РД Средства вычислительной техники. «Межсетевые экраны». Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, классы СЭ, требования к обеспечению защиты. Специальные требования и рекомендации по технической защите конфиденциальной информации. Основные требования и мероприятия по защите информации в АС и в «предназначенных» помещениях.

Раздел «Нормативные акты, служащие основанием для организационно-распорядительной документации по защите информации для информационных систем персональных данных». Приказ ФСТЭК, ФСБ, Минсвязи России «Об утверждении порядка проведения классификации информационных систем персональных данных», классификация ИСПДн, основные требования к защите ПДн в ИСПДн. Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», правила защиты ПДн в ИСПДн и в защищенных помещениях. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн, понятие угроз их реализации, источники и основные модели угроз. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн, уровни и характеристики защищенности ИСПДн, вычисление вероятности угроз. Приказ ФСТЭК «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», методы и способы защиты информации от НСД в зависимости от класса ИСПДн. Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн, создание средств защиты, мероприятия по обнаружению вторжений. Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн, алгоритм защиты информации. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации, модели угроз, объекты атаки, типы нарушителей. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн, порядок проведения мероприятий по криптографической защите информации, учет и контроль защищающих средств. Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», основные положения. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», основные положения.

Раздел «Документарное обеспечение мероприятий». Перечень и содержание основных документов, необходимых при построении системы защиты в организации: приказы, распоряжения, перечни, матрицы, модели, акты, технические паспорта, схемы контролируемых зон, методические пособия, памятки, журналы. Перечень документов заявителя для аттестации автоматизированной системы и типовые формы. Некоторые рекомендации по проведению мероприятий по защите информации и выбору параметров защиты.

Раздел «Планирование и проведение мероприятий по защите информации в организации». Порядок деятельности по осуществлению требований организационно-распорядительной документации, периоды проверок, составы комиссий, привлечение аттестованных организаций. Рекомендации по составлению отчетности и ведению журналов учета доступа и СКЗИ.

Задания на практические занятия:

1. Просмотр и обсуждение 1-й части фильма о правонарушениях в области защиты информации (2 часа).

Вопросы для обсуждения:

- почему современные средства связи представляют угрозу информационной безопасности?

- какие уязвимые точки для прослушивания телефонных разговоров указаны в фильме?

- какие средства маскировки устройств прослушивания обсуждаются в фильме?

2. Просмотр и обсуждение 2-й части фильма о правонарушениях в области защиты информации (2 часа).

Вопросы для обсуждения:

- какие уязвимые области (участки местности, помещений) для прослушивания телефонных разговоров указаны в фильме?

- какое специальное оборудование может быть использовано для прослушивания телефонных переговоров?

- каковы признаки прослушивания телефонных переговоров?

- какие средства борьбы с использованием акустических каналов утечки информации указаны в фильме?

3. Работа со списком сертификатов (2 часа).

- просмотр списка сертификатов различными утилитами.

- добавление и удаление личных и корневых сертификатов.

4. Задание политик безопасности (4 часа).

- разработка плана политик безопасности,

- установка настроек политик безопасности в соответствии с планом.

5. Основы использования СКЗИ КриптоПро CSP (4 часа).

- установка и настройка КриптоПро CSP,

- установка личных сертификатов посредством КриптоПро CSP,

- действия с ключевыми контейнерами: копирование ключей между контейнерами, проверка валидности скопированных ключей, удаление ключей.

6. Основные операции с использованием КриптоАРМ (4 часа).

- генерация ключа,

- создание запроса на сертификат,

- подписание файла документа,

- чтение файла документа.

7. Составление матрицы доступа для АС, содержащей многопользовательскую СУБД, имеющую собственную систему аутентификации пользователей (2 часа).

- разработка диссертационной модели доступа,

- планирование разрешений для субъектов и объектов доступа.

8. Разработка базового блока документов для обеспечения информационной безопасности ИСПДн (по группам) (8 часов).

- Составление перечня ПДн,

- Составление перечня защищаемых ресурсов ПДн,

- Классификация ИСПДн

- Составление частной модели угроз ИСПДн.

10. Обсуждение результатов работы групп по составлению базового блока документов и планирования мероприятий для обеспечения информационной безопасности ИСПДн (4 часа).

5. Образовательные технологии

Рекомендуемые образовательные технологии: виртуальные машины и среды, создание их помощью модели защищаемой сети, просмотр фильмов об организации защиты информации и проведении специальных исследований и проверок.

6. Учебно-методическое обеспечение самостоятельной работы студентов. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины.

7. Учебно-методическое и информационное обеспечение дисциплины

а) основная литература:

1) Гортинский -правовые основы защиты персональный данных. Учебное пособие [электронный ресурс]: http://library. *****/uch_lit/621.pdf Проверено 7.05.2012.

2) Организационно-правовое обеспечение информационной безопасности [Текст] : учеб. пособие для студентов вузов / под ред. . - М. : Изд. центр "Академия", 20с.

б) дополнительная литература:

1) , Ивашко безопасности информационных систем [Текст] : Учеб. пособ. для студ. вузов, обучающихся по спец. "Компьютер. безопасность" и "Комплекс. обеспечение информ. безопасности автоматизир. систем" / Дмитрий Петрович Зегжда, Андрей Михайлович Ивашко. - М. : Горячая линия - Телеком, 2000. – 449 с.

2) Мельников безопасность и защита информации [Текст]: учеб. пособие для студентов вузов / , , . - 4-е изд., стер. - М. : Изд. центр "Академия", 2009. – 330 с.

3) Ярочкин безопасность [Текст] : учеб. для вузов / . - 5-е изд. - М. : Акад. Проект, 20с.

в) программное обеспечение и Интернет-ресурсы

1) Аверченков защита информации : учеб. пособие для вузов [электронный ресурс] / , . -3-е изд., стереотип. - М. : ФЛИНТА, 20с. - (Серия «Организация и технология защиты информации»). - http://umk. *****/www/umk/download/14/. Проверено 7.05.2012.

2) Основы информационной безопасности. Учебное пособие для вузов [электронный ресурс] / , , . - М.: Горячая линия - Телеком, 20с – http://*****/v17483/?download=1. Проверено 30.08.2012.

3) Ярочкин безопасность: Учебник. [электронный ресурс] - М.: Фонд "Мир": Акад. проект, 20с. http://nashaucheba.ru/v27858/?download=file

4) http://*****/ - Всё об информационных системах персональных данных

5) http://*****/organizacionnaya-zashhita/ - Информационная безопасность

6) http://*****/content/osnovi-zasiti-informacii/osnovi_zasiti_informacii_part_1.html - Организационные основы защиты информации на предприятии

7) http://www. *****/inform11_97/aiti1.htm - Правовое обеспечение системы защиты информации на предприятии

8) http://iintb. *****/section. html? id=2786 - Институт информационных наук и технологий безопасности

8. Материально-техническое обеспечение дисциплины

Лекционная аудитория с возможностью демонстрации электронных презентаций при уровне освещения, достаточном для работы с конспектом.

Компьютерный класс, оснащенный OC Windows или ОС Linux, Virtual Box, КриптоПро CSP, желательно носители eToken или ruToken по количеству рабочих мест.

Программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и Примерной ООП ВПО по специальности 090301 «Компьютерная безопасность» и специализации «Математические методы защиты информации».

Автор

Доцент

Программа одобрена на заседании кафедры теоретических основ компьютерной безопасности и криптографии СГУ от «____» ___________2012года, протокол № ___.

Зав. кафедрой

теоретических основ

компьютерной безопасности и криптографии

профессор

Декан факультета

компьютерных наук

и информационных технологий

доцент