- •Пояснительная записка
- •Конспект лекций по дисциплине «Информационная безопасность» Лекция 1-2 «Роль и место знаний по дисциплине в сфере профессиональной деятельности»
- •Лекция 2-3 «Понятие информационной безопасности» Уровни зрелости соиб организации
- •Законодательная, нормативно-правовая и научная база
- •Структура и задачи органов (подразделений), обеспечивающих безопасность ит
- •Программно-технические способы и средства обеспечения информационной безопасности
- •Средства защиты от несанкционированного доступа (нсд)
- •Криптографические средства
- •Лекция 5-6 «Наиболее распространенные угрозы»
- •Лекция 7-8 «Оценочные стандарты и технические спецификации»
- •"Оранжевая книга" как оценочный стандарт
- •Лекция 9-10 «Рекомендации х.800»
- •Лекция 11-12 «Стандарт iso/ise 15408. Критерии безопасности информационных технологий»
- •Часть 1. Введение и общая модель.
- •Часть 2. Функциональные требования безопасности.
- •Часть 3. Гарантийные требования безопасности (вариант перевода - "требования гарантированности").
- •Требования общих критериев и результаты оценки
- •Лекция 13-14 «Обзор российского законодательства в области информационной безопасности»
- •Виды угроз информационной безопасности Российской Федерации
- •Лекция 15-16 «Обзор зарубежных законодательных актов»
- •Лекция 17-18 «Основные понятия. Политика безопасности»
- •Лекция 19-20 «Программа безопасности»
- •Лекция 21-22 «Управление рисками» Основные принципы управления рисками информационной безопасности
- •Лекция 23-24 «Основные понятия. Классы мер процедурного уровня»
- •Лекция 25-26 «Поддержание работоспособности информационных систем»
- •Требования к системе резервного копирования
- •Виды резервного копирования
- •Лекция 27-28 «Планирование восстановительных работ»
- •Лекция 29-30 «Основные понятия программно-технического уровня информационной безопасности»
- •Лекция 31-32 «Архитектурная безопасность»
- •Сервисы безопасности: Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Контроль защищенности
- •Лекция 33-34 «Идентификация и аутентификация. Управление доступом»
- •1. Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля.
- •2. Основанные на использовании уникального предмета: жетона, электронной карточки и др.
- •3. Основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.
- •4. Основанные на информации, ассоциированной с пользователем, например, с его координатами.
- •Лекция 35-36 «Протоколирование и аудит, шифрование, управление доступом»
- •Лекция 37-38 «Обзор антивирусных и иных защитных программ» Принципы работы антивирусных программ Общие сведения
- •Сигнатурный поиск
- •Эвристический анализ
- •Детектирование аномального поведения
- •Шифрование методом замены (подстановки)
- •Одноалфавитная подстановка
- •Многоалфавитная одноконтурная обыкновенная подстановка
- •Многоалфавитная одноконтурная монофоническая подстановка
- •Практическое занятие 2 (лекция 41-42) «Шифрование файлов»
- •Простая перестановка
- •Перестановка, усложненная по таблице
- •Практическое занятие 3, 4 (лекция 43-44) «Работа с антивирусным программным обеспечением. Архивация файлов» Архиватор WinZip
- •Архиватор WinRar
- •Практическое занятие 5 (лекция 45-46) «Настройка параметров безопасности пк»
Пояснительная записка
Учебная дисциплина «Информационная безопасность» является специальной, формирующей профессиональные знания, необходимые для будущей трудовой деятельности. Преподавание учебной дисциплины «Информационная безопасность» должно иметь практическую направленность и проводиться в тесной взаимосвязи с другими общепрофессиональными и специальными дисциплинами: «Операционные системы и среды», «Основы алгоритмизации и программирования», «Технические средства информатизации», «Базы данных», «Компьютерные сети».
В результате изучения дисциплины студент должен:
иметь представление:
- о роли и месте знаний по дисциплине «Информационная безопасность» при освоении смежных дисциплин по выбранной специальности и в сфере профессиональной деятельности;
знать:
- источники возникновения информационных угроз;
- модели и принципы защиты информации от несанкционированного доступа;
- методы антивирусной защиты информации;
- состав и методы организационно-правовой защиты информации;
уметь:
- применять правовые, организационные, технические и программные средства защиты информации.
Программа рассчитана на 50 часов аудиторных занятий, в том числе 10 часов отводится на практические занятия.
Для закрепления теоретических знаний и приобретения необходимых практических умений программой дисциплины предусматривается проведение практических занятий. Для лучшего усвоения учебного материала его изложение производится с применением технических средств обучения.
Конспект лекций по дисциплине «Информационная безопасность» Лекция 1-2 «Роль и место знаний по дисциплине в сфере профессиональной деятельности»
Понятие «информационная безопасность» рассматривается в следующих значениях:
-
состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.).
-
деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).
В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
Кортеж защиты информации - это последовательность действий для достижения определённой цели.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
-
Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
-
Целостность: неизменность информации в процессе ее передачи или хранения.
-
Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:
-
выявить требования защиты информации, специфические для данного объекта защиты;
-
учесть требования национального и международного Законодательства;
-
использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
-
определить подразделения, ответственные за реализацию и поддержку СОИБ;
-
распределить между подразделениями области ответственности в осуществлении требований СОИБ;
-
на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
-
реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
-
реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
-
используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
-
Комитет Государственной думы по безопасности;
-
Совет безопасности России;
-
Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
-
Федеральная служба безопасности Российской Федерации (ФСБ России);
-
Служба внешней разведки Российской Федерации (СВР России);
-
Министерство обороны Российской Федерации (Минобороны России);
-
Министерство внутренних дел Российской Федерации (МВД России);
-
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
-
Служба экономической безопасности;
-
Служба безопасности персонала (Режимный отдел);
-
Отдел кадров;
-
Служба информационной безопасности.