Министерство образования и науки РФ

Государственное образовательное учреждение высшего профессионального образования «Удмуртский государственный университет»

Институт права, социального управления и безопасности

 

Кафедра информационной безопасности в управлении

 

 

 

 

 

 

ПРОГРАММА ГОСУДАРСТВЕННОГО ЭКЗАМЕНА

 

по специальности 075300 (ОКСО 090103)

Организация и технология защиты информации

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ижевск

2011


 

Программа составлена на основании «Программы государственного экзамена по специальности 075300 «Организация и технология защиты информации», одобренной комиссией учебно-методического объединения по образованию в области историко-архивоведения, прикладной лингвистики, музейного дела и научно-технической информации и «Методических рекомендаций по организации итоговой государственной аттестации в Удмуртском государственном университете»

 

 

Составители программы:

Доктор технических наук, профессор                                                                                     И.З. Климов

Кандидат технических наукоцент                                                                                        Ю.И. Фадеев

Кандидат технических наук, профессор                                                                                П.А. Ушаков

Старший преподаватель

Кафедры информационной безопасности в управлении                                                   И.В. Волкова

 

Программа утверждена на заседании кафедры информационной безопасности в управлении

« ___ »_____________2011 г.

 

 

 

Заведующий кафедрой                                                                                                 И.З.Климов

 

«_____»_____________2011 г.

 

 

Одобрено методической комиссией Института права, социального управления и безопасности

 

«_____»_____________2011 г.

Председатель методической комиссии

 

 

 


 

1.Общие положения

Итоговый государственный экзамен по специальности предназначен для определения степени соответствия уровня подготовленности выпускников требования, установленным государственным образовательным стандартом. В соответствии с государственным образовательным стандартом итоговый государственный экзамен  позволяет проверить теоретические знания и практические навыки выпускника по данной специальности. Итоговый государственный экзамен включает вопросы по следующим дисциплинам: теория информационной безопасности и методологии защиты информации; инженерно-техническая защита информации;  организационная защита информации, криптографическая защита информации; комплексная система защиты информации; средства и системы технического обеспечения, обработки, хранения и передачи информации;  защита и обработка конфиденциальных документов; защита информационных процессов в компьютерных системах.

Для оценки знаний выпускников используются сформированные кафедрой билеты. Каждый билет включает три вопроса из разных дисциплин. Вопросы содержат базовые элементы каждой дисциплины, знание которых необходимо для формирования профессиональных представлений и навыков специалиста.

Государственный экзамен проводится в устной форме в присутствии не менее 2/3 состава государственной аттестационной комиссии, при обязательном присутствии председателя или его заместителя. На экзамене кроме членов комиссии могут присутствовать ректор, проректор по учебной работе, декан (директор) и его заместитель по учебной работе. Другим лицам присутствие на экзамене не разрешается.
На подготовку ответа на вопросы билета отводится 1 час, 15-20 мин отводится на ответ студента по билету и 10-12 мин - на дополнительные вопросы членов комиссии. Лица, присутствующие на экзамене (не члены комиссии) вопросов задавать не могут.
Результаты государственного экзамена оцениваются по четырехбалльной системе – «отлично», «хорошо», «удовлетворительно», «неудовлетворительно». Решение принимается в конце экзамена на закрытом заседании комиссии простым большинством голосов членов комиссии. При равном числе голосов, председатель обладает правом решающего голоса. Результаты экзамена объявляются в тот же день после оформления протоколов заседания экзаменационной комиссии.

 


2. Требования ГОС ВО, оценка соответствия которым проводится в процессе проведения государственного квалификационного экзамена

В соответствии с государственным образовательным стандартом по специальности «Организация и технология зашиты информации» выпускник –специалист по защите информации должен знать и уметь использовать:

владеть:

 


3. Программа государственного экзамена

 

Теория информационной безопасности и методология защиты информации

 

1.                  Понятие «защищенная система». Автоматизация процесса обработки конфиденциальной информации. Противодействие угрозы безопасности (свойства, виды угроз). Информатизация и проблемы защиты информации. Унифицированная технология автоматизированной обработки информации.

Защищенная система и ее свойства. Свойства защищенных системграниченность понятия «защищенная система».

2.                  Формальная модель безопасности. Модель OSI-ISO. Формальная модель безопасности (с точки зрения политики безопасности). Модели систем и формальные методы защиты. Унифицированная концепция защиты информации.

Формализация действий по  защите информации. Формальные критерии защищенности информационной системы.  Ролевые модели безопасноти.

3.                  Оранжевая книга (политика безопасности, 6 основных требований). Классы критериев защиты. Угрозы информации. определение полного множества угроз, определяющих целостность информации (ПМУИ, 6 классов). Методика формального предоставления систем угроз.

«ОК»-первые стандарты безопасности. Особенности применения. Основные определения

4.                  Угрозы конфиденциальной информации .Понятие «конфиденциальная информация». Каналы несанкционированного доступа к конфиденциальной информации (2 вида). Система защиты конфиденциальной информации.

   Основные угрозы для конфиденциальной информации. Перечень каналов несанкционированного доступа. Основные средства защиты.

5.                  Модель Харрисона-Руззо-Ульмана. Критерии безопасности модели Харрисона-Руззо-Ульмана.

Основные свойства дискреционных моделей. Теорема безопасности.

6.                  Мандатная модель Белла-Ла Падула.

Понятие  мандата. Градация мандатов.  Теорема безопасности.

7.                  Методы формирования функции защиты информации. Методы формирования множества задач защиты. Система классификации средств защиты информации.

Деление на классы. Состав системы защиты информации

8.                  Архитектура построения системы защиты. Защита информации от копирования. Защита информации от закладок. Классификация закладок.

   Средства защиты от копирования. Методы построения систем защиты информации.

 

Средства и системы технического обеспечения обработки, хранения и передачи информации

1.                   Канал связи. Квантование. Формирование цифровых сигналов.

Определения канала связи. Угрозы информации в канале связи. Основные средства защиты.

2.                  Направляющие системы. Кабель на витой паре. Входное или полное сопротивление витой пары. Экранированные кабели. Коаксиальные кабели. Оптический кабель. Телексная связь.

Свойства направляющих систем. Виды направляющих систем. Защищенность таких систем.

3.                  Активные способы НСД к информации. Излучения и наводки от средств видеотехники.

Понятие «ПЭМИН». Спектры паразитных наводок.

4.                  Эффективная площадь рассеяния цели. Дальность радиолокационного наблюдения. Принцип работы нелинейного радиолокатора. Физические предпосылки использования нелинейных локаторов.

Физические характеристики объектов рассеяния. Расчет дальности действия

Нелинейные эффекты при рассеянии радиоволн.

 


Организационная защита информации

1. Основные направления защиты информации.

Основные направления защиты информации: охранные мероприятия, правовая защита, техническая защита, страхование, организационная защита. Сущность организационных методов защиты информации. Соотношение организационных методов защиты информации с правовыми, охранными и техническими. Организационные методы как реализация полномочий и их распределение между уровнями управления организацией.

 

2. Основные каналы утечки информации: разглашение, НСД, ТКУИ.

Источники конфиденциальной информации: люди, документы, изделия, технические носители и средства коммуникации. Организационные каналы передачи информации: разглашение и несанкционированный доступ. Технические каналы утечки информации.

 

3. Защита информации на корпоративном уровне на основании закона о коммерческой тайне.

Основные положения Закона «о коммерческой тайне». Требования закона по внедрению режима коммерческой тайны. Разработка необходимых для предприятия нормативно-правовых документов, ориентированных на обеспечение собственной информационной безопасности.

 

4. Контрольно-пропускной и внутриобъектовый режимы.

Понятие системы охраны объекта. Основные принципы организации охраны. Режимы охраны. Постовая охрана. Пропускной режим. Цели и задачи пропускного режима. Организация пропускного режима. Контрольно-пропускные пункты, их оборудование и организация работы. Внутриобъектовый режим, его назначение при проведении конфиденциальных работ сохраняемыми документами и изделиями. Общие требования внутриобъектового режима. Зоны режимности объекта.

 

5. Разрешительная система как основа защиты информации

Принципы построения, цели и задачи разрешительной системы. Понятие допуска и доступа. Условия разрешения на доступ. Иерархическая последовательность доступа к информации. Разграничение доступа. Формы разрешительных документов.

 

6. Допуск и доступ к сведениям, составляющими государственную тайну.

Понятие допуска и доступа к сведениям, составляющим государственную тайну. Формы допусков, их назначение и классификация. Основные принципы допускной работы. Процедура оформления и переоформления допусков и ее документирование, подлежащих согласованию с органами государственной безопасности. Особенности оформления допуска, не требующего такого согласия. Доступ к сведениям, составляющим государственную тайну.

 

7. Особенности подбора персонала на должности, связанные с работой с коммерческой информацией.

Персонал организации как источник конфиденциальной информации. Особенности подбора персонала на должности, связанные с работой с конфиденциальной информацией. Оценка кандидатов на должности, связанные с доступом к конфиденциальной информацией. Основные критерии оценки. Особенности документирования трудовых отношений с персоналом, обладающим конфиденциальной  информацией.

 

8. Текущая работа с персоналом.

 Ознакомление сотрудника с правилами, процедурами и методами защиты информации. Организация обучения персонала, инструктажи, аттестация. Основные формы обучения и методы контроля знаний. Основные формы воздействия на персонал. Факторы. Организация контроля за соблюдением персоналом требований режима защиты информации. Методы проверки персонала.

 

9. Защита информации при проведении совещаний и переговоров.

Основные требования, предъявляемые к подготовке и проведению совещаний и переговоров по конфиденциальным вопросам. Порядок назначения ответственных лиц. Составление списков участников совещания. Определение состава информации, используемой в ходе совещания, переговоров. Порядок прохода приглашенных лиц на совещание, переговоры. Документирование хода совещаний и их результатов. Требования к помещениям, где проводятся совещания и переговоры по конфиденциальным вопросам. Порядок реализации режимных мер в ходе подготовки и проведения закрытого совещания и переговоров.

 

10. Защита информации в открытой печати публикаторской и рекламной деятельности.

Общие требования режима защиты конфиденциальной информации при опубликовании материалов в открытой печати. Особенности защиты информации при опубликовании материалов, определяемые характером деятельности организации, целями публикации, содержанием и характером публикации. Система защиты информации при подготовке к открытой печати. Роль и задачи экспертной комиссии предприятия.

 

11. Аналитическая работа, как основа управления системой защиты информации.

Понятие, цели и задачи аналитической работы по защите информации. Технология аналитической работы и основные этапы. Основные методы анализа. Использование аналитических методов при определении объектов и субъектов защиты, их взаимоотношений при проектировании, построении, функционировании и оценке эффективности системы организационной защиты информации.

 

12. Планирование и контроль функционирования системы защиты информации.

Сущность планирования как одной из основных функций управления системой организационной защиты информации. Цели планирования. Стратегические и тактические планы. Методы планирования. Сущность контроля как функции управления. Цели контроля. Функции контроля: сбор, обработка и анализ информации о фактических результатах деятельности по защите информации, сравнение их с планами. Объекты контроля. Методы контроля: анализ, наблюдение, проверка, сравнение, учет. Формы контроля: предварительный, текущий и заключительный. Выбор методов контроля, используемых на различных его этапах в зависимости от объектов контроля.

 

Защита и обработка конфиденциальных документов

 

  1. Учет и оформление носителей конфиденциальной информации

Значение предварительного учета носителей конфиденциальной информации. Виды и назначение бумажных носителей, их оформление и подготовка для передачи исполнителю. Оформление технических носителей информации. Состав информации при учете носителей.

  1. Изготовление и учет проектов конфиденциальных документов

Типовой состав операций процедуры изготовления документа. Машинописное оформление конфиденциального документа. Типовой состав учетных операций при печатании и перепечатывании проекта документа, передаче отпечатанного материала исполнителю. Формы учета и правила их заполнения. Порядок уничтожения черновика документа, испорченных листов и сопутствующих материалов. Оформление результатов уничтожения. Правила печатания под диктовку и с диктофона. Требования к изготовлению особо конфиденциальных документов. Состав учетных операций при автоматическом изготовлении документа на принтере ЭВМ. Состав учетных операций при изготовлении чертежно-графических, аудиовизуальных и машиночитаемых документов. Типовой состав операций процедуры издания документа. Технология согласования, подписания, утверждения документа.

  1. Учет конфиденциальных документов

Значение учета конфиденциальных документов. Общие требования к учету конфиденциальных документов. Виды учета. Особенности учета поступивших, изданных документов и документов выделенного хранения. Учетные формы и особенности их применения для учета конфиденциальных документов.

  1. Понятие и принципы организации конфиденциального документооборота

Понятие «защищенный документооборот», его цели и задачи. Принципы организации защищенного документооборота. Цели и принципы функциональной и персональной избирательности в доставке документированной информации потребителям. Избирательность и разрешительная система доступа к конфиденциальным документам и базам данных. Персональная ответственность за сохранность информации, носителя информации и документа. Выделенный поток конфиденциальных документов и автономная технология их обработки и хранения.

  1. Формирование и оформление конфиденциальных дел

Признаки заведения дел. Понятие номенклатуры дел. Назначение и задачи стадии составления и ведения номенклатуры дел. Методика составления номенклатуры дел: изучение состава документов, разработка классификационной схемы номенклатуры, формулирование заголовков дел и их систематизация, индексирование дел, определение сроков хранения дел. Правила формулирования заголовков дел. Типовые и ведомственные перечни документов с указанием сроков их хранения. Особенности составления номенклатуры дел для конфиденциальных документов различного типа и уровня конфиденциальности. Оформление номенклатуры дел, ее согласование и утверждение. Назначение и стадии формирования и оперативного хранения дел. Состав операций по оформлению дел при их заведении, формировании и закрытии. Правила хранения документов, выдачи и приема дел.

  1. Подготовка конфиденциальных документов для хранения и уничтожения

Процедура экспертизы ценности документов. Понятие «экспертиза ценности документов», ее задачи, принципы и критерии. Требования, предъявляемые к экспертизе. Организация проведения экспертизы ценности документов. Задачи, функции и порядок работы постоянно действующей экспертной комиссии. Этапы проведения экспертизы ценности документов. Дополнительные требования к проведению экспертизы ценности конфиденциальных документов. Оформление результатов экспертизы. Назначение и виды описей дел. Порядок составления описи, ее оформление, согласование, утверждение. Назначение и задачи стадии уничтожения документов и носителей информации. Организация и порядок отбора документов и носителей информации для уничтожения.. Оформление результатов отбора. Порядок составления и оформления акта о выделении к уничтожению документов, не подлежащих хранению. Требования по включению в акт документов, дел и носителей информации. Подготовка к уничтожению бумажных, машиночитаемых, аудиовизуальных, конструкторских, технологических и научно-технических документов.

  1. Режим хранения конфиденциальных документов

Задачи защиты информации, решаемые при организации хранения конфиденциальных документов. Требования к помещениям и их оборудованию. Порядок доступа в помещения. Личная ответственность за сохранность документов. Состав процедур по охране документов при возникновении чрезвычайных обстоятельств.

  1. Проверка наличия конфиденциальных документов

Назначение и задачи проверки наличия документов, дел и носителей информации. Сферы распространения проверки. Требования, предъявляемые к проверке. Виды проверок. Периодичность проверок наличия и уровень конфиденциальности информации. Проверки регламентированные (периодические) и нерегламентированные (непериодические). Типовой состав процедур и операций проверки наличия. Текущая проверка наличия документов, дел и носителей информации; квартальная и годовая проверки наличия документов, дел и носителей информации. Цели проверок и состав проверяемых документов. Оформление результатов проверок. Предпосылки нерегламентированных проверок наличия документов, дел и носителей информации. Цели проверки, состав проверяемых документов. Оформление результата проверки.

 

Инженерно-техническая защита информации.

 

1.      Сущность этапов проектирования системы инженерно-технической защиты информации или разработки предложений по ее модернизации. Структурирование защищаемой информации.

Понятие системного подхода к защите информации. Алгоритм проектирования системы защиты информации: моделирование объекта защиты, моделирование информационных угроз, выбор методов и средств защиты, оценка затрат на защиту информации, защита проекта, доработка проекта. Виды информации и ее носители. Информационный элемент. Иерархический принцип структурирования информации.

2.      Моделирование технических каналов утечки информации. Виды моделей. Формы представления результатов моделирования. Статистическая и экономическая модели информационных угроз. Методика определения спектра информационных угроз.

Задачи моделирования технических каналов утечки информации. Вербальные, физические и математические модели. Модели объекта защиты (статические и динамические модели). Степень информационной угрозы и ее зависимость от ценности информации и от возможностей технических каналов утечки информации. Понятие спектра информационных угроз и его использование при проектировании системы ИТЗИ.

3.      Методика выбора технических средств защиты от утечки по техническим каналам и расходов на инженерно-техническую защиту.

Понятие среднего риска и надежности защиты информации. Связь между уровнями защиты и их надежностью. Пространство угроз. Постановка решения задачи распределения ресурсов при выборе направлений защиты и средств защиты от информационных угроз.

4.      Характеристика обобщенного акустического канала утечки информации. Методика оценки безопасности акустического канала утечки информации.

Характеристика сред передачи информации по обобщенному акустическому каналу (ОАК). Источники сигналов, распространяющихся по ОАК. Громкость, разборчивость и понятность речи. Виды разборчивости речи. Оценка разборчивости речи за пределами ограждающих конструкций. Критерии оценки безопасности речевых сообщений, распространяющихся по ОАК.

5.      Методы и средства защиты от утечки информации по обобщенному акустическому каналу.

Методы энергетического и информационного скрытия речевой информации. Пассивные способы энергетического скрытия: звукоизоляция и звукопоглощение. Применяемые технические решения и материалы. Активные способы энергетического скрытия: акустическое и виброакустическое зашумление. Применяемое оборудование и тактика его применения.

6.      Характеристика обобщенного электромагнитного канала утечки информации Методика оценки безопасности электромагнитного канала утечки информации.

Причины возникновения обобщенного электромагнитного канала (ОЭК). Характеристика среды распространения информации по ОЭК. Методы оценки уровня атмосферных помех. Методы оценки затухания сигналов в среде распространения. Критерии оценки безопасности сообщений, распространяющихся по ОЭК.

7.      Методы и средства защиты от утечки информации по обобщенному электромагнитному каналу.

Пассивные методы и средства защиты: экранирование и фильтрация. Способы экранирования, виды экранов, применяемые материалы. Электрические фильтры, развязывающие трансформаторы и их использования для защиты информации в сетях электропитания. Заземление экранов и устройств. Активные методы и средства защиты: генераторы шума (ГШ). Виды помех, создаваемых ГШ. Требования, предъявляемые к техническим характеристикам ГШ.

8.      Утечка речевой информации по телефонным линиям. Способы и средства защиты информации от утечки по телефонным линиям.

Характеристика источников сигналов, распространяющихся по телефонным линиям (ТЛ) связи. Наиболее вероятные зоны перехвата сигналов, распространяющихся по ТЛ. Пассивные способы защиты ТЛ: фильтрация, ограничение слабых сигналов. Активные способы защиты ТЛ: метод синфазной маскирующей НЧ помехи, метод ВЧ маскирующей помехи, метод повышения напряжения, метод "обнуления", метод "выжигания". Контроль параметров телефонных линий. Применяемое оборудование.

9.      Средства обнаружения, локализации и подавления закладных устройств. Принципы работы и основные характеристики.

Закладные устройства: классификация и основные технические характеристики. Классификация средств обнаружения и локализации закладных устройств: индикаторы поля, частотомеры, "интерсепторы", нелинейные локаторы. Принципы действия, технические характеристики и тактика применения. Подавление закладных устройств: постановка широкополосной помехи, постановка направленной узкополосной помехи.

 

 


Криптографическая защита информации

 

1.      Применение криптографических методов для решения задач защиты информации в информационно-телекоммуникационных системах. Классификация. Этапы развития криптологии.

Основные задачи защиты пользовательской информации. Применение криптографических методов защиты. Основные разделы криптологии. Основные разделы криптографии. Стеганография. Термины. Процедуры зашифрования и расшифрования. Типы алгоритмов. Преимущества и недостатки. Этапы развития криптологии.

2.      Шифры замены и перестановки. Гаммирование. Примеры.

Определения. Виды шифров замены и перестановки. Квадрат Полибия. Система Цезаря. Шифр Тритемиуса. Диск Альберти. Шифрующие таблицы Тритемиуса. Шифры Плейфейра, Уитстона. Гаммирование. Одноразовые блокноты. Шифр Гронсфельда, самоключ Вижинера.

3.      Криптографические протоколы. Протоколы с посредником и самодостаточные протоколы. Передача информации с использованием симметричных и асимметричных криптоалгоритмов. Обмен сеансовыми ключами.

Определение, требования к протоколу. Виды посредников. Преимущества самодостаточных протоколов. Передача информации с использованием симметричных и асимметричных криптоалгоритмов. Определение сеансового ключа, гибридная криптосистема.

4.      Цифровые подписи, их свойства. Структура ЭЦП и ее использование. Центры сертификации.

Назначение и требования, предъявляемые к ЭЦП. Подписывание документов асимметричными методами с использованием хеш-функций. Метки времени. Необходимость использования центров сертификации. Структура сертификата открытого ключа. Хранение закрытого ключа подписи.

5.      Классическая криптография. Энтропия и неопределенность. Норма, избыточность языка. Перемешивание и рассеивание.

Количество информации. Энтропия как мера неопределенности. Энтропия криптосистемы. Норма, абсолютная норма, избыточность языка. Расстояние уникальности; совершенная и идеальная криптосистемы. Перемешивание и рассеивание, их использование в современных криптосистемах.

6.      Data Encryption Standard. Характеристики. Архитектура и режимы работы. Сеть Фейстеля. Варианты DES.

История создания шифра. Характеристики. Сеть Фейстеля, формулы расчета. Схема вычисления функции шифрования. Выработка раундовых ключей. Режимы шифрования ECB, CBC, CFB, OFB. TripleDES, DES с независимыми подключами, DESX, GDES.

7.      ГОСТ 28147-89. Характеристики. Архитектура и режимы работы. Сравнительная характеристика с DES.

Характеристики. Сеть Фейстеля, формулы расчета. Схема вычисления функции шифрования. Выработка раундовых ключей. Режимы шифрования ECB, CBC, CFB, OFB. Сравнительная характеристика ГОСТ 28147-89 и DES.

8.      Функции хеширования. Требования, предъявляемые к хеш-функциям. Вскрытие в день рождения. Принцип работы, MD-усиление. Описание MD5.

Свойства однонаправленных хеш-функций, варианты использования. Коллизии, вскрытие в день рождения. Идея функции сжатия. MD-усиление. Характеристики MD5. Главный цикл MD5, используемые нелинейные функции. Переменные сцепления.

9.      Асимметричные криптосистемы. Алгоритмы «укладки ранца», RSA.

Характеристики, преимущества и недостатки перед симметричными системами. Постановка задачи укладки ранца. Нормальные и сверхвозрастающие последовательности весов. Зашифрование и расшифрование, создание открытого ключа из закрытого. Характеристики RSA, зашифрование и расшифрование, создание открытого ключа из закрытого.

 

 


Защита информационных процессов в компьютерных системах

 

1.                  Основные определения информационной безопасности. Классификация угроз информационной безопасности.

Задачи информационной безопасности. Информационная безопасность, автоматизированная система, субъекты информационных отношений, конфиденциальность, целостность, доступность информации, правила разграничения доступа, объект и субъект доступа, авторизованный субъект доступа, несанкционированный доступ, нарушитель, злоумышленник. Классификация угроз ИБ по различным признакам, в том числе по трем базовым свойствам защищаемой информации.

2.                  Идентификация и аутентификация: базовая схема, классификация методов. Парольная аутентификация: угрозы безопасности, рекомендации по применению, количественная оценка стойкости.

Идентификация, аутентификация, авторизация. Три основных класса методов аутентификации. Блок-схема, преимущества и недостатки парольного метода. Виды угроз безопасности парольного метода и рекомендации по их устранению. Оценка стойкости парольного метода при угрозе полного перебора множества паролей.

3.                  Модели разграничения доступа, их свойства.

Дискреционная модель разграничения. Права доступа, матрица прав доступа. Мандатная модель, ее свойства. Преимущества и недостатки каждой из моделей.

4.                  Методы защиты периметра АС: межсетевое экранирование, системы обнаружения вторжений. Классификация, структура, алгоритмы функционирования.

Назначение МЭ, классификация МЭ по уровням модели OSI. Назначение, структура и принцип действия СОВ. Виды СОВ, ошибки I и II рода.

5.                  Методы защиты от угроз нарушения доступности: дублирование шлюзов, резервное копирование, использование RAID-массивов.

Модель защиты от угроз нарушения доступности. Использование Failover-связи при дублировании шлюзов. Назначение, виды и применение резервного копирования. Назначение, уровни RAID-массивов и их свойства.

6.                  Определение и классификация компьютерных вирусов. Антивирусное ПО: классификация, состав, принципы работы.

Компьютерный вирус, классификация по среде обитания, принципам работы, деструктивным возможностям. Классификация антивирусов по принципам действия, применению. Компоненты антивирусов. Сканирование по сигнатурам, обнаружение подозрительного поведения программ, метод «белого списка», эвтристический анализ.

7.                  Стандарты в области информационной безопасности: определение, классификация, примеры.

Определение и обоснование использования стандарта. Два вида стандартов в области ИБ, примеры.

8.                  Критерии оценки доверенных компьютерных систем («Оранжевая книга»): структура требований, классы защищенности АС.

Требования ОК к политике безопасности, к подотчетности системы, гарантии системы. Классы защищенности автоматизированных систем D-A.

9.                  Нормативные документы Гостехкомиссии России:  этапы классификации АС, классы защищенности АС и МЭ, набор требований защищенности к АС.

Поэтапная классификация АС. Три группы защищенности АС. Набор требований к подсистеме управления доступом, регистрации и учету, криптографической подсистеме, подсистеме обеспечения целостности. Сопоставление классов защищенности МЭ и АС. Показатели защищенности МЭ.

10.              «Общие критерии»: структура, объект оценки, категории пользователей, среда безопасности, ограничения.

Определение в ОК объекта оценки, продукта, системы. Три категории пользователей. Компоненты среды безопасности. Ограничения по использованию ОК.

 


Комплексная система защиты информации

 

1. Понятие и сущность КСЗИ. Роль комплексности при построении системы защиты информации.

Понятие и сущность КСЗИ. Назначение КСЗИ. Задачи КСЗИ. Методология защиты информации как теоретический базис построения КСЗИ. Комплексный подход как основа построения КСЗИ.

 

2. Принципы организации и основные требования, предъявляемые к КСЗИ.

Методологические основы организации КСЗИ. КСЗИ как сложная че­ловеко-машинная система. Основные положения теории систем. Принципы организации КСЗИ. Основные требования, предъявляемые к КСЗИ

 

3. Содержательная характеристика этапов разработки КСЗИ.

Постановка целей и задач защиты. Разработка перечня конфиденциальных сведений. Структуризация перечня на носители информации. Определение потенциальных каналов утечки информации. Описание существующей системы защиты информации и выявление незащищенных каналов утечки. Анализ угроз, источников угроз и моделей нарушителя. Анализ рисков и выбор политики управления рисками. Разработка рекомендаций по защите информации.

 

4. Определение и нормативное закрепление состава защищаемой информации.

Методика определения состава защищаемой информации. Этапы ра­боты по выявлению состава защищаемой информации. Классификация информации по степени конфиден­циальности. Структура перечня конфиденциальных сведений. Порядок внедрения перечней, внесения в них изменений и дополнений.

 

5. Классификация угроз, источников угроз и видов ущерба. Модель нарушителя.

Понятие и классификация угроз конфиденциальной информации. Угрозы конфиденциальности, целостности и доступности. Ущерб как категория классификации угроз. Понятие и классификация источников угроз: антропогенные, внутренние и внешние; техногенные, внутренние и внешние; стихийные.  Определение и описание различных моделей нарушителя: модель нарушителя, использующего канал разглашение; модели несанкционированного доступа; технические каналы утечки. Классификации нарушителей в автоматизированных системах обработки информации.  

 

6. Моделирование как инструмент анализа сложных систем Моделирования КСЗИ.

Понятие модели объекта, основные виды моделей и их характеристика. Модель как инструмент количественного и качественного анализа КСЗИ. Значение моделирования процессов КСЗИ. Выбор структуры КСЗИ, ее зависимость от объектов защиты, характера и условий функционирования предприятия. Функциональная модель КСЗИ. Организационная модель КСЗИ. Информационная модель КСЗИ.

 

7. Методология анализа и управления рисками как инструмент построения КСЗИ.

Классификация организаций по уровням зрелости понимания проблемы информационной безопасности. Основные термины методологии анализа рисков и постановка задачи. Факторы риска. Идентификация и оценивание рисков: шкалы и критерии измерения рисков, оценка вероятности событий. Оценка рисков по одному, двум и трем факторам.

 

8. Факторы, влияющие на выбор компонентов КСЗИ.

Факторы общего характера. Внутренние факторы: организаци­онно-право­вая форма и характер основной деятельности предприятия; состав, объем и степень конфиденциальности защищаемой информации; структура и территориальное расположение предприятия; режим функ­ционирования предприятия; степень автоматиза­ции основных процедур обработки защищаемой инфор­мации и др. Внешние факторы. Психологические факторы.

 

9. Основные стадии организационно-технологического построения КСЗИ.

Предпроектная работа. Рабочее проектирование: состав рабочего проекта, сметная документация. Реализация рабочего проекта: управление процессом создания системы защиты; построение системы защиты; аттестация системы на соответствие установленным требованиям;  предъявление объекта к сдаче. Внедрение системы: опытная эксплуатация и обучение персонала, сдача в эксплуатацию.

 

10. Основные подходы к оценке эффективности КСЗИ

Классификация подходов к оценке эффективности систем защиты информации. Вероятностный подход. Оценочный подход на основе формирования требований к защищенности объекта: классы защищенности и их характеристика, контрольно-испытательные процедуры определения соответствия защиты установленным требованиям. Содержание и особенности экспертной оценки эффективности защиты: выбор шкалы измерений (вербальные и вербально-числовые шкалы), организация процедуры экспертного оценивания (подбор экспертов, составление вопросников, проведение опроса, обработка результатов). Сравнительный анализ подходов.

Технические средства охраны и защиты объекта

 

  1. Общие понятия и классификация технических средств защиты объекта.

Понятие угроз и защищенности объекта. Анализ недостатков человека-часового и основные требования к системам сигнализации. Назначение и классификация технических средств охраны.

 

  1. Система охранной сигнализации.

Термины и определения. Назначение и структура системы охранной сигнализации: извещатели, шлейфы сигнализации, контрольная панель, оповещатели, системы реагирования; системы передачи извещений. Физические принципы работы основных охранных извещателей,  области применения, достоинства и недостатки.

 

  1. Система  охранной сигнализация периметра.

Назначение и роль средств охраны периметра в общей системе защиты объекта. Основные компоненты защиты периметра: ограждение, периметровая зона, охранные извещатели. Основные характеристики средств охраны периметра: вероятность обнаружения нарушителя, частота ложных срабатываний, уязвимость и надежность системы. Тактика защиты периметра. Условия в периметровой зоне объекта, определяющие выбор извещателей. Физические принципы работы основных охранных извещателей,  области применения, достоинства и недостатки.

 

4. Система пожарной сигнализации

Назначение и структура системы пожарной сигнализации. Особенности пожарных контрольных панелей и их виды. Особенности систем оповещения о пожаре. Физические факторы, используемые для обнаружения пожара. Общая классификация пожарных извещателей. Принципы работы основных пожарных извещателей, области применения, достоинства и недостатки.

 

5. Системы контроля и управления доступом (СКУД).

Назначение, принцип работы и основные решаемые задачи. Основные функции СКУД: санкционирование, идентификация, аутентификация, авторизация, разрешение или отказ в доступе, регистрация, реагирование. Структура и основные элементы СКУД.  Общая классификация идентификаторов.  Автономные и сетевые СКУД. Функциональные возможности СКУД. 

 

6.      Системы охранного теленаблюдения (СОТ).

Задачи, решаемые СОТ. Структура и характеристика основных компонентов СОТ. Три цели видеоконтроля.  Классификация СОТ: по назначению, тактике наблюдения, количеству камер в системе, условиям эксплуатации и др. Аналоговые и цифровые системы и их преимущества. Классификация цифровых систем: компьютерные системы, цифровые регистраторы, системы на основе сетевых камер. Достоинства и недостатки. Основные характеристики цифровых систем. Рекомендации по выбору.

 


 

Рекомендуемые источники и литература

 

Источники

Конституция Российской Федерации. Принята всенародным голосованием 12.12.1993.

Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи»

Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. — М.: ИПК Издательство стандартов, 1990.

ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. — М.: ИПК Издательство стандартов, 2001.

ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. — М.: ИПК Издательство стандартов, 1994.

ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования. — М.: ИПК Издательство стандартов, 1994.

Алексенцев А.И. Понятие и структура угроз защищаемой информации. – «Безопасность информационных технологий», 2000,  N 3.

Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черёмушкин А.В. Основы  криптографии: Учебное пособие.  — М.: Изд-во Гелиос АРВ, 2001. — 480 с

Бабаш А.В., Шанкин Г.П. Криптография. Под ред. В.П. Шерстюка, Э.А. Применко/ Бабаш А.В., Шанкин Г.П. — М.: СОЛОН-Р. 2002. — 512 с. — (Серия книг «Аспекты защиты»).

Баричев С. Г., Гончаров В. В., Серов Р. Е. Основы современной криптографии. — 2-е изд., испр. и доп. .: Горячая линия — Телеком, 2002. — 175 с: ил.

Белов Е. Б., Лось В. П., Мещеряков Р. В., Шелупанов А. А. Основы информационной безопасности. — М.: Горячая линия — Телеком, 2005. — 464 с.

Блэк У. Интернет   протоколы безопасности. — СПб, «Питер», 2001.

Брагг Р. Система безопасности Windows 2000: Пер. с англ. — М.: Издательский  дом «Вильямс», 2001.— 595 с.: ил.

Волхонский В.В. Приборы охранной сигнализации: –СПб., Изд. “Экополис и культура”, 2000, 280 с.

Волхонский В.В. Системы охранной сигнализации. –СПб., Изд. “Экополис и культура”, 2000, 164 с.

Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.

Галатенко В.А. Основы информационной безопасности / Под ред. члена-корреспондента РАН В.Б. Бетелина. — М.: ИНТУИТУ «Интернет-Университет Информационных Техгологий», 2003. — 280 с.

Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. — М.: Горячая линия — Телеком, 2000. 452 с., ил.

Мао В. Современная криптография: теория и практика: Пер. с англ. — М.: Издательский дом «Вильямс», 2005. — 768 с.: ил.

Нормативные документы Российской Федерации по вопросам государственного регулирования в области организации защиты информации: Сборник материалов по курсу «Защита информационных процессов в компьютерных системах» / Сост. В.В. Майшев. Ижевск: Детектив-информ, 2005. 163 с.

Нормативные документы Российской Федерации по вопросам государственного регулирования в области организации защиты информации. Лицензирование: Сборник материалов по курсу «Защита информационных процессов в компьютерных системах» / Сост. В.В. Майшев. Ижевск: Детектив-информ, 2005. 171 с.

Нормативные документы Российской Федерации по вопросам государственного регулирования в области организации защиты информации. Сертификация: Сборник материалов по курсу «Защита информационных процессов в компьютерных системах» / Сост. В.В. Майшев. Ижевск: Детектив-информ, 2005. 152 с.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты. — М.: ДМК, 2000. — 448 с., ил.

Степанов Е. А. Управление персоналом: Персонал в системе защиты информации. М.: ФОРУМ-ИНФРА-М, 2002.

Торокин А.А. Инженерно-техническая защита информации. – М.: Гелиос АРВ, 2005. – 959 с.

Халяпин Д.Б. Защита информации. Вас подслушивают? Защищайтесь! – М.: Байярд, 2004. – 431 с

Хорев А.А Способы и средства защиты информации. М.: МО РФ, 2000 г. – 316 с.

Ярочкин В.И. Информационная безопасность. – М.: Академический проект, 2006. – 543 с.