ТИБМЗИ 2010 МРСРС ПВ
.pdfСЕМИНАР №12 МЕТОДЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Вопросы
1.Методы несанкционированного доступа к конфиденциальной информации. Методы НСД с использованием организационного канала. Методы НСД с использованием технических каналов утечки информации. Методы НСД с использованием инфо - телекоммуникационного канала. Методы НСД с использованием системно – программного канала. Методы НСД с использованием комбинированных каналов.
2.Неформальная модель нарушителя безопасности информации АС. Квалификационные характеристики нарушителя. Уровни знаний, возможностей нарушителя и соответствующие им способы НСД.
Доклады:
1.Современные методы несанкционированного доступа к конфиденциальной информации в автоматизированных системах;
2.Криптоанализ как метод НСД к защищаемой информации.
3.Направления, виды и особенности деятельности иностранных спецслужб по несанкционированному доступу к защищаемой информации.
Литература
Основная
1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие.- Барнаул: АлтГТУ, 2010. –[элетр. с диск.].
2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.
Дополнительная 3. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-
Санкт Петербург, 2000 -384с.:ил.
31
4.Дейнес А.В., Загинайлов Ю.Н. Методы и средства защиты компьютерной информации : учебное пособие.- Барнаул: АлтГТУ, 2002.-240с.
5.Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность сетевых технологий. -СПб.: БХВ - Санкт-Петербург, 2000.-320с.
Электронные ресурсы
1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-
режим доступа: http:// www.fstec.ru.
2.Правовая справочная система «Гарант» [электронный ресурс]: - режим доступа: 1. Ауд.94 ПК АлтГТУ.(Платформа F1 Гарант); 2. http://www.garant.ru/
3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//
Методические рекомендации по подготовке к занятиям
Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа и соотнесения методов несанкционированного доступа с каналами утечки и НСД к информации, соотнесения уровней знаний и возможностей нарушителей со способами НСД, формирование профессионального мышления.
Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов.
При подготовке особое внимание обратить на:
1) методы несанкционированного доступа к ИОД с использованием различных каналов НСД;
2) соотношение уровней знаний и возможностей нарушителя безопасности информации в АС со способами НСД.
32
СЕМИНАР №13 ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ
Вопросы
1.Понятие и общая классификация объектов защиты информации. Понятие объекта защиты. Классификация объектов защиты. Хранилища носителей информации ограниченного доступа. Понятие и виды объектов информатизации. Классификация ЗОИ по видам и типам.
2 Средства и системы обработки информации как объекты защиты информации. Понятие ОТСС. Автоматизированные системы. Средства вычислительной техники. Системы связи, приема, обработки
ипередачи данных. Системы отображения и размножения.
3.Средства обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации. Учёт средств обеспечения ОИ при аттестации объектов информатизации по требованиям безопасности информации.
4.Помещения, в которых установлены средства обработки и помещения для конфиденциальных переговоров как объекты защиты информации. Общая характеристика помещений как объектов защиты информации. Помещения, в которых установлены средства обработки защищаемой информации. Помещения для конфиденциальных переговоров.
Доклады:
1.Средства и системы обработки информации как объекты
защиты.
2.Помещения для конфиденциальных переговоров как объекты защиты информации.
Вопросы для дискуссии:
1.Соответствие определения объекта защиты информации приводимого в ГОСТ Р 50922-2006 реальным объектам защиты информации аттестуемым по требованиям безопасности.
2.Средства вычислительной техники, материальные носители информации должны оцениваться как самостоятельные объекты защиты информации или как элементы объектов защиты информации.
3.Операционные системы и базы данных как объекты защиты информации.
33
Литература
Основная
1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:
АлтГТУ, 2010 –[элетр. с диск.] (тема 13, стр.186-197).
2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.
3.Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К 2001).. Гостехкомиссия России.
4.ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008 -10с. [электронный ресурс]:- режим доступа: http:// www.fstec.ru
5.ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2007 -7с. [электронный ресурс]:- режим доступа: http:// www.fstec.ru
Дополнительная 6. Положение по аттестации объектов информатизации по
требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.) [электронный ресурс]: -режим доступа : http://www.fstec.ru/_razd/_isp0o.htm
Электронные ресурсы
1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-
режим доступа: http:// www.fstec.ru.
2.Правовая справочная система «Гарант» [электронный ресурс]: -
режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/
3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//
34
Методические рекомендации по подготовке к занятиям
Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа нормативных правовых документов в области информационной безопасности, формирование навыков профессионального мышления.
Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия. Доклады представляются при рассмотрении вопросов семинара.
При подготовке особое внимание обратить на:
1)определение понятия «объект защиты информации» и его соотношение с аттестуемыми по требованиям безопасности объектами информатизации;
2)состав основных технических средств и систем (ОТСС) аттестуемых по требованиям безопасности информации.
3) состав вспомогательных средств и систем (ВТСС ) подлежащих оценке в интересах безопасности информации на объекте информатизации.
4) помещения для конфиденциальных переговоров как объекты защиты, и каким основным требованиям они должны удовлетворять
35
СЕМИНАР №14 КЛАССИФИКАЦИЯ ВИДОВ, МЕТОДОВ И СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ
Вопросы
1.Виды защиты информации и сферы их действия. Правовая.
Организационная. Физическая. Техническая. Криптографическая.
2.Общие способы защиты информации. Понятие способа защиты информации. Классификация и характеристика общих способов защиты информации.
3.Классификация средств защиты информации. Понятие средства защиты информации. Классы средств защиты информации. Характеристика классов средств защиты информации: организационные, технические, криптографические, средства физической защиты.
4.Достоинства и недостатки различных способов и средств защиты информации. Правовые. Организационные. Технические. Криптографические.
Доклады:
1.Современные криптографические средства защиты информации (на примере сертифицированных средств защиты).
2.Современные программно-аппаратные средства защиты информации (на примере сертифицированных средств защиты).
Вопросы для дискуссии:
1.Соотношение понятий «способ» и «метод» защиты информации и их использование в теории и практике защиты.
2.Можно ли средства физической защиты относить к техническим средствам.
Литература
Основная
1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул: АлтГТУ, 2010 –[элетр. с диск.].
2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.
36
Дополнительная
3.Расторгуев С.П. Основы информационной безопасности. .- М.: Издательский центр «Академия», 2008.- 192с.
4.Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков; под. ред. С. А. Клейменова. — 3-е изд., стер. - М.: Издательский центр «Академия», 2008. — 336 с.
5.ГОСТ Р 50922-2006. Защита информации. Основные термины
иопределения. [электронный ресурс]: -режим доступа http://www.fstec.ru/_
Электронные ресурсы
1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-
режим доступа: http:// www.fstec.ru.
2.Правовая справочная система «Гарант» [электронный ресурс]: -режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/
3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//
Методические рекомендации по подготовке к занятиям
Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений отнесения различных методов и средств к соответствующему классу и анализа их достоинств и недостатков в интересах решения задач защиты, формирование профессионального мышления.
Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия.
Доклады представляются при рассмотрении вопросов семинара.
При подготовке особое внимание обратить на:
1)сферы действия различных видов защиты информации;
2)характеристику общих способов защиты;
3)классификацию средств защиты информации;
4)достоинства и недостатки различных способов и средств защиты информации.
37
СЕМИНАР №15 НАЗНАЧЕНИЕ И СТРУКТУРА СИСТЕМ ЗАЩИТЫ
ИНФОРМАЦИИ
Вопросы
1. Понятие и общая структура системы защиты информации.
Понятие системы защиты. Общая структура систем защиты информации.
2. Общеметодологические требования и принципы построения систем защиты информации. Общеметодологические требования к системам защиты информации. Принципы построения систем защиты информации.
3.Типизация, стандартизация, классификация систем защиты. Типизация и стандартизация систем защиты. Классификация систем защиты: по уровню обеспечиваемой защиты, по активности реагирования СЗИ на несанкционированные действия.
Доклады:
1. Cтандартизация в области информационной безопасности и защиты информации в Российской Федерации.
Литература
Основная
1.Малюк А.А. Информационная безопасность: концептуальные
иметодологические основы защиты информации. Учеб.пособие для вузов.-М:Горячая линия-Телеком, 2004.-280с. (стр.168-175).
2.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:
АлтГТУ, 2010 –[элетр. с диск.] (тема 15, стр.215-225).
3.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.
4.Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [электронный ресурс] : -режим доступа: http://www.fstec.ru/_razd/_isp0o.htmЗагл. с экрана.
38
Дополнительная
5.Расторгуев С.П. Основы информационной безопасности. .- М.: Издательский центр «Академия», 2008.- 192с.
6.Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков; под. ред. С. А. Клейменова. — 3-е изд., стер. - М.: Издательский центр «Академия», 2008. — 336 с.
7.ГОСТ Р 50922-2006. Защита информации. Основные термины
иопределения. [электронный ресурс]: -режим доступа http://www.fstec.ru/_
Электронные ресурсы
1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-
режим доступа: http:// www.fstec.ru.
2.Правовая справочная система «Гарант» [электронный ресурс]: -
режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/
3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//
Методические рекомендации по подготовке к занятиям
Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа структуры и классификации систем, представлений о системе защиты, закрепление знаний о требованиях и принципах построения систем защиты, формирование профессионального мышления.
Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия.
При подготовке особое внимание обратить на:
1)компоненты структуры системы защиты;
2)результаты, достигаемые выполнением общеметологических требований к системам защиты информации;
3)принципы построения систем защиты информации;
4)классификацию систем по уровню защиты и факторы, влияющие на уровни.
39
СЕМИНАР №16 КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
НА ПРЕДПРИЯТИИ
Вопросы
1. Понятие и общая структура комплексной системы защиты информации на предприятии. Основные показатели,
задающие необходимый комплекс мероприятий и средств по защите информации. Понятие КСЗИП. Структура КСЗИП: основные компоненты.
2.Назначение и структура подсистем КСЗИП. Подсистема управления. Подсистема физической защиты. Подсистема защиты в АС и ИТКС. Подсистема защиты от вредоносных программ. Подсистемы защиты от утечки по ТКУИ и ПДТР.
3.Автоматизированные системы как основной объект защиты КСЗИ. Понятие АСЗИ. Разделение классов АС на группы для определения требований по защите информации. Минимально необходимые классы защищенности АСЗИ для работы с информацией ограниченного доступа. Классы АС, классы СВТ, классы МЭ, классы АВС. Документы, определяющие классы и содержащие требование по защите для каждого класса.
Доклады:
1.Классификация автоматизированных систем и требования по защите информации.
2.Классификация средств вычислительной техники по уровню защищённости от НСД.
Литература
Основная
1.Малюк А.А. Информационная безопасность: концептуальные
иметодологические основы защиты информации. Учеб.пособие для вузов.-М:Горячая линия-Телеком, 2004.-280с. (стр.168-175).
2.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:
АлтГТУ, 2010 –[элетр. с диск.] (тема 16, 226-243).
3.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты
40