ТИБМЗИ 2010 МРСРС ПВ

СЕМИНАР №12 МЕТОДЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Вопросы

1.Методы несанкционированного доступа к конфиденциальной информации. Методы НСД с использованием организационного канала. Методы НСД с использованием технических каналов утечки информации. Методы НСД с использованием инфо - телекоммуникационного канала. Методы НСД с использованием системно – программного канала. Методы НСД с использованием комбинированных каналов.

2.Неформальная модель нарушителя безопасности информации АС. Квалификационные характеристики нарушителя. Уровни знаний, возможностей нарушителя и соответствующие им способы НСД.

Доклады:

1.Современные методы несанкционированного доступа к конфиденциальной информации в автоматизированных системах;

2.Криптоанализ как метод НСД к защищаемой информации.

3.Направления, виды и особенности деятельности иностранных спецслужб по несанкционированному доступу к защищаемой информации.

Литература

Основная

1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие.- Барнаул: АлтГТУ, 2010. –[элетр. с диск.].

2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.

Дополнительная 3. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-

Санкт Петербург, 2000 -384с.:ил.

31

4.Дейнес А.В., Загинайлов Ю.Н. Методы и средства защиты компьютерной информации : учебное пособие.- Барнаул: АлтГТУ, 2002.-240с.

5.Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность сетевых технологий. -СПб.: БХВ - Санкт-Петербург, 2000.-320с.

Электронные ресурсы

1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-

режим доступа: http:// www.fstec.ru.

2.Правовая справочная система «Гарант» [электронный ресурс]: - режим доступа: 1. Ауд.94 ПК АлтГТУ.(Платформа F1 Гарант); 2. http://www.garant.ru/

3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//

Методические рекомендации по подготовке к занятиям

Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа и соотнесения методов несанкционированного доступа с каналами утечки и НСД к информации, соотнесения уровней знаний и возможностей нарушителей со способами НСД, формирование профессионального мышления.

Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов.

При подготовке особое внимание обратить на:

1) методы несанкционированного доступа к ИОД с использованием различных каналов НСД;

2) соотношение уровней знаний и возможностей нарушителя безопасности информации в АС со способами НСД.

32

СЕМИНАР №13 ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Вопросы

1.Понятие и общая классификация объектов защиты информации. Понятие объекта защиты. Классификация объектов защиты. Хранилища носителей информации ограниченного доступа. Понятие и виды объектов информатизации. Классификация ЗОИ по видам и типам.

2 Средства и системы обработки информации как объекты защиты информации. Понятие ОТСС. Автоматизированные системы. Средства вычислительной техники. Системы связи, приема, обработки

ипередачи данных. Системы отображения и размножения.

3.Средства обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации. Учёт средств обеспечения ОИ при аттестации объектов информатизации по требованиям безопасности информации.

4.Помещения, в которых установлены средства обработки и помещения для конфиденциальных переговоров как объекты защиты информации. Общая характеристика помещений как объектов защиты информации. Помещения, в которых установлены средства обработки защищаемой информации. Помещения для конфиденциальных переговоров.

Доклады:

1.Средства и системы обработки информации как объекты

защиты.

2.Помещения для конфиденциальных переговоров как объекты защиты информации.

Вопросы для дискуссии:

1.Соответствие определения объекта защиты информации приводимого в ГОСТ Р 50922-2006 реальным объектам защиты информации аттестуемым по требованиям безопасности.

2.Средства вычислительной техники, материальные носители информации должны оцениваться как самостоятельные объекты защиты информации или как элементы объектов защиты информации.

3.Операционные системы и базы данных как объекты защиты информации.

33

Литература

Основная

1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:

АлтГТУ, 2010 –[элетр. с диск.] (тема 13, стр.186-197).

2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.

3.Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К 2001).. Гостехкомиссия России.

4.ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008 -10с. [электронный ресурс]:- режим доступа: http:// www.fstec.ru

5.ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2007 -7с. [электронный ресурс]:- режим доступа: http:// www.fstec.ru

Дополнительная 6. Положение по аттестации объектов информатизации по

требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.) [электронный ресурс]: -режим доступа : http://www.fstec.ru/_razd/_isp0o.htm

Электронные ресурсы

1.Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК ) России [электронный ресурс]:-

режим доступа: http:// www.fstec.ru.

2.Правовая справочная система «Гарант» [электронный ресурс]: -

режим доступа: 1. Ауд.94 ПК АлтГТУ; 2. http://www.garant.ru/

3.Официальный сайт федерального агентства по техническому регулированию и метрологии [электронный ресурс]: режим доступа: http://protect.gost.ru//

34

Методические рекомендации по подготовке к занятиям

Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа нормативных правовых документов в области информационной безопасности, формирование навыков профессионального мышления.

Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия. Доклады представляются при рассмотрении вопросов семинара.

При подготовке особое внимание обратить на:

1)определение понятия «объект защиты информации» и его соотношение с аттестуемыми по требованиям безопасности объектами информатизации;

2)состав основных технических средств и систем (ОТСС) аттестуемых по требованиям безопасности информации.

3) состав вспомогательных средств и систем (ВТСС ) подлежащих оценке в интересах безопасности информации на объекте информатизации.

4) помещения для конфиденциальных переговоров как объекты защиты, и каким основным требованиям они должны удовлетворять

35

СЕМИНАР №14 КЛАССИФИКАЦИЯ ВИДОВ, МЕТОДОВ И СРЕДСТВ

ЗАЩИТЫ ИНФОРМАЦИИ

Вопросы

1.Виды защиты информации и сферы их действия. Правовая.

Организационная. Физическая. Техническая. Криптографическая.

2.Общие способы защиты информации. Понятие способа защиты информации. Классификация и характеристика общих способов защиты информации.

3.Классификация средств защиты информации. Понятие средства защиты информации. Классы средств защиты информации. Характеристика классов средств защиты информации: организационные, технические, криптографические, средства физической защиты.

4.Достоинства и недостатки различных способов и средств защиты информации. Правовые. Организационные. Технические. Криптографические.

Доклады:

1.Современные криптографические средства защиты информации (на примере сертифицированных средств защиты).

2.Современные программно-аппаратные средства защиты информации (на примере сертифицированных средств защиты).

Вопросы для дискуссии:

1.Соотношение понятий «способ» и «метод» защиты информации и их использование в теории и практике защиты.

2.Можно ли средства физической защиты относить к техническим средствам.

Литература

Основная

1.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул: АлтГТУ, 2010 –[элетр. с диск.].

2.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.

36

СЕМИНАР №15 НАЗНАЧЕНИЕ И СТРУКТУРА СИСТЕМ ЗАЩИТЫ

ИНФОРМАЦИИ

Вопросы

1. Понятие и общая структура системы защиты информации.

Понятие системы защиты. Общая структура систем защиты информации.

2. Общеметодологические требования и принципы построения систем защиты информации. Общеметодологические требования к системам защиты информации. Принципы построения систем защиты информации.

3.Типизация, стандартизация, классификация систем защиты. Типизация и стандартизация систем защиты. Классификация систем защиты: по уровню обеспечиваемой защиты, по активности реагирования СЗИ на несанкционированные действия.

Доклады:

1. Cтандартизация в области информационной безопасности и защиты информации в Российской Федерации.

Литература

Основная

1.Малюк А.А. Информационная безопасность: концептуальные

иметодологические основы защиты информации. Учеб.пособие для вузов.-М:Горячая линия-Телеком, 2004.-280с. (стр.168-175).

2.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:

АлтГТУ, 2010 –[элетр. с диск.] (тема 15, стр.215-225).

3.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты информации. Уч.-справ.пособие. Барнаул: АлтГТУ, 2010.-202с.

4.Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [электронный ресурс] : -режим доступа: http://www.fstec.ru/_razd/_isp0o.htmЗагл. с экрана.

38

СЕМИНАР №16 КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

НА ПРЕДПРИЯТИИ

Вопросы

1. Понятие и общая структура комплексной системы защиты информации на предприятии. Основные показатели,

задающие необходимый комплекс мероприятий и средств по защите информации. Понятие КСЗИП. Структура КСЗИП: основные компоненты.

2.Назначение и структура подсистем КСЗИП. Подсистема управления. Подсистема физической защиты. Подсистема защиты в АС и ИТКС. Подсистема защиты от вредоносных программ. Подсистемы защиты от утечки по ТКУИ и ПДТР.

3.Автоматизированные системы как основной объект защиты КСЗИ. Понятие АСЗИ. Разделение классов АС на группы для определения требований по защите информации. Минимально необходимые классы защищенности АСЗИ для работы с информацией ограниченного доступа. Классы АС, классы СВТ, классы МЭ, классы АВС. Документы, определяющие классы и содержащие требование по защите для каждого класса.

Доклады:

1.Классификация автоматизированных систем и требования по защите информации.

2.Классификация средств вычислительной техники по уровню защищённости от НСД.

Литература

Основная

1.Малюк А.А. Информационная безопасность: концептуальные

иметодологические основы защиты информации. Учеб.пособие для вузов.-М:Горячая линия-Телеком, 2004.-280с. (стр.168-175).

2.Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Учебное пособие. .- Барнаул:

АлтГТУ, 2010 –[элетр. с диск.] (тема 16, 226-243).

3.Загинайлов Ю.Н. Урминский Е. Информационная безопасность в терминах и определениях стандартов защиты

40