Рабочая программа по основам ИБЗИ

Министерство образования и науки Кыргызской Республики

Ошский технологический университет

Узгенский колледж технологии и образования имени академика Б.Мурзубраимова

Кафедра “Табигый-техникалык илимдер”

Утверждаю Одобрено

заместитель директора по учебной работе на заседании учебно-методического

___________________________________ совета колледжа, протокол № _____

«______» _________________ 20____ г. «______» ____________________ 20____ г.

Согласовано

форма обучения – очная

Распределение объема учебной нагрузки по учебному плану

Рецензенты: 1. _____________________________________________________________________________

2. _____________________________________________________________________________

Рассмотрено на заседании кафедры, протокол № ________, _________________________ 20______ г.

Зав.кафедрой _____________ Сапарова Б.К.

Разработали: Раманкулов М., Жороева М.

Программа разработана на основе основной профессиональной образовательной программы среднего профессионального образования подготовки специалистов среднего звена, разработана на основе ГОС СПО утвержденного приказом Министерства образования и науки Кыргызской Республики 2019 г.

Содержание программы реализуется в процессе освоения студентами основной профессиональной образовательной программы в соответствии с требованиями ГОС СПО.

СОДЕРЖАНИЕ

1. Паспорт программы учебной дисциплины

1.1 Область применения программы

Рабочая программа учебной дисциплины «Основы информационной безопасности и защиты информации» (далее Основы ИБиЗИ) является частью примерной основной профессиональной образовательной программы в соответствии с ГОС СПО.

1.2 Место дисциплины в структуре ОПОП СПО

Дисциплина «Основы информационной безопасности и защиты информации» является одной из основных профессиональных дисциплин вариативной части ООП. Методология курса данной дисциплины опирается на системную согласованность с сопутствующими дисциплинами профессионального цикла ОПП, а именно Информатика.

1.3 Цели и задачи дисциплины – требования к результатам освоения дисциплины

Цель дисциплины Основы ИБиЗИ имеет целью обучить студентов принципам обеспечения информационной безопасности государства, подходам к анализу его информационной инфраструктуры и решению задач обеспечения информационной безопасности компьютерных систем и сетей.

Знания и практические навыки, полученные из курса «Основы информационной безопасности», используются студентами при разработке курсовых и дипломных работ.

Задачи дисциплины - дать основы:

• обеспечения информационной безопасности государства;

• методологии создания систем защиты информации;

• процессов сбора, передачи и накопления информации;

• оценки защищенности и обеспечения информационной безопасности компьютерных систем.

В результате изучения дисциплины студент должен уметь:

• классифицировать защищаемую информацию по видам тайны и степеням конфиденциальности;

• применять основные правила и документы системы сертификации в КР;

• классифицировать основные угрозы безопасности информации.

В результате освоения дисциплины студент должен знать:

• сущность и понятие информационной безопасности, характеристику ее составляющих;

• место информационной безопасности в системе национальной безопасности страны;

• источники угроз информационной безопасности и меры по их предотвращению;

• жизненные циклы конфиденциальной информации в процессе ее создания, обработки, передачи;

• современные средства и способы обеспечения информационной безопасности.

1.4 Требования к результатам освоения содержания дисциплины

В процессе освоения дисциплины у студентов должны формировать общие компетенции (ОК):

ОК 1. Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности.

ОК 2. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития.

ОК 3. Использовать информационно-коммуникационные технологии в профессиональной деятельности.

ОК 4. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации.

ОК 5. Ориентироваться в условиях частой смены технологий в профессиональной деятельности.

Процесс изучения дисциплины направлен на формирование следующих профессиональных компетенций:

ПК 1.6. Обеспечивать технику безопасности при проведении организационно-технических мероприятий.

ПК 3.1. Применять программно-аппаратные и технические средства защиты информации на объектах профессиональной деятельности.

ПК 3.2. Участвовать в эксплуатации систем и средств защиты информации защищаемых объектов.

ПК 3.3. Фиксировать отказы в работе средств защиты.

ПК 3.4. Выявлять и анализировать возможные угрозы информационной безопасности объектов.

1.5 Количество часов на освоение программы дисциплины:

Максимальной учебной нагрузки студента 60 часов, в том числе:

- обязательной аудиторной учебной нагрузки студента 30 часов;

- самостоятельной работы студента 30 часа.

2. Структура и содержание учебной дисциплины

2.1. Объем учебной дисциплины и виды учебной работы.

2.2 Тематический план и содержание учебной дисциплины

Лекционные занятия

1. Введение в понятие информационной безопасности. Основные определения и критерии классификации угроз.

• Основные составляющие информационной безопасности.

• Важность проблемы информационной безопасности.

• Некоторые примеры угроз доступности.

• Вредоносное программное обеспечение.

Тема 2. Уровни информационной безопасности.

• Основные понятия.

• Политика безопасности.

• Программа безопасности.

Тема 3. Антивирусная защита информации.

• Виды антивирусных программ. Установка. Обновление сигнатур.

• Проверка компьютера.

Практические занятия

1. Рассмотреть пример объектно-ориентированного подхода на информационную безопасность.

2. Понятие мобильные агенты, вирусов, "червей" статической и динамической целостностью.

3. Обзор законодательного уровня информационной безопасности и почему он важен, обзор законодательства в области информационной безопасности, закон "Об информации, информатизации и защите информации", другие законы и нормативные акты, обзор зарубежного законодательства в области информационной безопасности.

4. Основные понятия, механизмы безопасности, классы безопасности, информационная безопасность распределенных систем, рекомендации X.800, администрирование средств безопасности,

5. Стандарты информационной безопасности и критерии оценки безопасности компьютерных систем и сете. Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий". Руководящие документы Гостехкомиссии.

6. Разработка архитектуры модели безопасности информационных систем и сетей. Синхронизация программы безопасности с жизненным циклом систем.

7. Подготовительные этапы управления рисками, основные этапы управления рисками, создания карты информационной системы организации.

8. Управление персоналом, физическая защита, планирование восстановительных работ.

9. Сервиса безопасности, анализ защищенности, обеспечение отказоустойчивости, обеспечение безопасного восстановления. Сервиса безопасности, анализ защищенности, обеспечение отказоустойчивости, обеспечение безопасного восстановления.

10. Одноразовые пароли, сервер аутентификации Kerberos. Идентификация/аутентификация с помощью биометрических данных. Управление доступом в Java-среде. Правила разграничения доступа.

11. Разработка практических рекомендаций по обеспечению безопасности информационных систем. Функциональные компоненты и архитектура. Шифрование. Контроль целостности. Цифровые сертификаты.

12. Экранирование. Понятие конфиденциальности. Архитектурные аспекты. Анализ защищенности. Туннелирование, управление, многоуровневая архитектура менеджер/агент, контроль производительности.

2.3 Образовательные технологии

Образовательные технологии, используемые при реализации различных видов учебной работы и дающие наиболее эффективные результаты освоения дисциплины.

В соответствии с требованиями ГОС СПО по специальности реализация компетентностного подхода должна предусматривать широкое использование в учебном процессе активных и интерактивных форм проведения занятий (компьютерных симуляций, деловых и ролевых игр, разбор конкретных ситуаций, психологические и иные тренинги и т.д.) в сочетании с внеаудиторной работой с целью формирования и развития требуемых компетенций обучающихся.

Виды образовательных технологий.

Образовательная технология – это совокупность научно и практически обоснованных методов и инструментов для достижения запланированных результатов в области образования. Применение конкретных образовательных технологий в учебном процессе определяется спецификой учебной деятельности, ее информационно-ресурсной основы и видов учебной работы.

1. Традиционные образовательные технологии ориентируются на организацию образовательного процесса, предполагающую прямую трансляцию знаний от преподавателя к студенту (преимущественно на основе объяснительно-иллюстративных методов обучения). Учебная деятельность студента носит в таких условиях, как правило, репродуктивный характер.

Примеры форм учебных занятий с использованием традиционных технологий:

Лекция – последовательное изложение материала в дисциплинарной логике, осуществляемое преимущественно вербальными средствами (монолог преподавателя).

Семинар – беседа преподавателя и студентов, обсуждение заранее подготовленных сообщений, проектов по каждому вопросу плана занятия с единым для всех перечнем рекомендуемой обязательной и дополнительной литературы.

Практическое занятие – занятие, посвященное освоению конкретных умений и навыков по предложенному алгоритму.

Лабораторная работа – организация учебной работы с реальными материальными и информационными объектами, экспериментальная работа с аналоговыми моделями реальных объектов.

2. Технологии проблемного обучения – организация образовательного процесса, которая предполагает постановку проблемных вопросов, создание 20 учебных проблемных ситуаций для стимулирование активной познавательной деятельности студентов.

Примеры форм учебных занятий с использованием технологий проблемного обучения:

Проблемная лекция – изложение материала, предполагающее постановку проблемных и дискуссионных вопросов, освещение различных научных подходов, авторские комментарии, связанные с различными моделями интерпретации изучаемого материала.

Практическое занятие в форме практикума – организация учебной работы, направленная на решение комплексной учебно-познавательной задачи, требующей от студента применения как научно-теоретических знаний, так и практических навыков.

Практическое занятие на основе кейс-метода («метод кейсов», «кейс-стади») – обучение в контексте моделируемой ситуации, воспроизводящей реальные условия научной, производственной, общественной деятельности. Обучающиеся должны проанализировать ситуацию, разобраться в сути проблем, предложить возможные решения и выбрать лучшее из них. Кейсы базируются на реальном фактическом материале или же приближены к реальной ситуации.

3. Игровые технологии – организация образовательного процесса, основанная на реконструкции моделей поведения в рамках предложенных сценарных условий.

Примеры форм учебных занятий с использованием игровых технологий:

Деловая игра – моделирование различных ситуаций, связанных с выработкой и принятием совместных решений, обсуждением вопросов в режиме «мозгового штурма», реконструкцией функционального взаимодействия в коллективе и т.п.

Ролевая игра – имитация или реконструкция моделей ролевого поведения в предложенных сценарных условиях.

4. Технологии проектного обучения – организация образовательного процесса в соответствии с алгоритмом поэтапного решения проблемной задачи или выполнения учебного задания. Проект предполагает совместную учебно-познавательную деятельность группы студентов, направленную на выработку концепции, установление целей и задач, формулировку ожидаемых результатов, определение принципов и методик решения поставленных задач, планирование хода работы, поиск доступных и оптимальных ресурсов, поэтапную реализацию плана работы, презентацию результатов работы, их осмысление и рефлексию.

Основные типы проектов:

Исследовательский проект – структура приближена к формату научного исследования (доказательство актуальности темы, определение научной проблемы, предмета и объекта исследования, целей и задач, методов, источников, выдвижение гипотезы, обобщение результатов, выводы, обозначение новых проблем).

Творческий проект, как правило, не имеет детально проработанной структуры; учебно-познавательная деятельность студентов осуществляется в рамках рамочного задания, подчиняясь логике и интересам участников проекта, жанру конечного результата (газета, фильм, праздник и т.п.).

Информационный проект – учебно-познавательная деятельность с ярко выраженной эвристической направленностью (поиск, отбор и систематизация информации о каком-то объекте, ознакомление участников проекта с этой информацией, ее анализ и обобщение для презентации более широкой аудитории).

5. Интерактивные технологии – организация образовательного процесса, которая предполагает активное и нелинейное взаимодействие всех участников, достижение на этой основе личностно значимого для них образовательного результата. Наряду со специализированными технологиями такого рода принцип интерактивности прослеживается в большинстве современных образовательных технологий. Интерактивность подразумевает субъект-субъектные отношения в ходе образовательного процесса и, как следствие, формирование саморазвивающейся информационно-ресурсной среды.

Примеры форм учебных занятий с использованием специализированных интерактивных технологий:

лекция «обратной связи» – лекция–провокация (изложение материала с заранее запланированными ошибками),

лекция-беседа,

лекция-дискуссия,

семинар-дискуссия – коллективное обсуждение какого-либо спорного вопроса, проблемы, выявление мнений в группе.

6. Информационно-коммуникационные образовательные технологии – организация образовательного процесса, основанная на применении специализированных программных сред и технических средств работы с информацией.

Примеры форм учебных занятий с использованием информационно-коммуникационных технологий:

Лекция-визуализация – изложение содержания сопровождается презентацией (демонстрацией учебных материалов, представленных в различных знаковых системах, в т.ч. иллюстративных, графических, аудио- и видеоматериалов).

Практическое занятие в форме презентации – представление результатов проектной или исследовательской деятельности с использованием специализированных программных сред.

Удельный вес занятий, проводимых в интерактивных формах, определяется главной целью программы, особенностью контингента обучающихся и содержанием конкретных дисциплин, и в целом в учебном процессе они должны составлять не менее определенного процента от всего объема аудиторных занятий.

Технологии, используемые при формировании образовательных компетенций приведены ниже.

Технология формирования ОК (на учебных занятиях)

ОК 1. Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности.

Технология «публичная презентация проекта» (представление содержания, выделение и иллюстрация сообщения)

ОК 2. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество.

Технология развития критического мышления (групповое обсуждение проблемных вопросов, выполнение творческих заданий, учебная дискуссия)

ОК 3. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность.

Технология электронных образовательных ресурсов (умение ориентироваться в специальной юридической литературе – работа с нормативно-правовыми актами)

ОК 4. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития.

Технология электронных образовательных ресурсов.

ОК 5. Использовать информационно-коммуникационные технологии в профессиональной деятельности.

Обучение коллективной мыслительной и практической работе, формирование умений и навыков социального взаимодействия и общения, навыков индивидуального и совместного принятия решений; воспитание ответственного отношения к делу, уважения к социальным ценностям и установкам коллектива и общества в целом.

ОК 8. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации.

Технология «Анализ конкретных ситуаций» (выявление проблемы; поиск причин возникновения проблемы; анализ проблемы с использованием теоретических конструкций; анализ положительных и отрицательных последствий решения проблемы; обоснование лучшего варианта решения проблемы).

ОК 9. Ориентироваться в условиях частой смены технологий в профессиональной деятельности.

Технология развития критического мышления (групповое обсуждение проблемных вопросов, выполнение творческих заданий, учебная дискуссия)

3. Условия реализации программы дисциплины

3.1 Требования к минимальному материально-техническому обеспечению

1. Компьютерный класс с развернутой ЛВС на базе ПЭВМ типа IBM PC (процессор Intel Pentium (Celeron), ОЗУ не менее 2Gb RAM, HDD не менее 30 Gb), подключенной к ИВС ОП (Internet) из расчета одна ПЭВМ на одного обучаемого;

2. Принтер для печати на бумаге формата А4.

3. LCD-проектор.

4. Экран.

3.2 Информационное обеспечение обучения

Основная литература:

Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / Шаньгин В. Ф. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2016. - 416 с.

Ищейнов В.Я. Основные положения информационной безопасности: Учебное пособие/В.Я.Ищейнов, М.В.Мецатунян - М.: Форум, НИЦ ИНФРА-М, 2015. - 208 с.:

Партыка Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - 5-e изд., перераб. и доп. - М.: Форум: НИЦ ИНФРА-М, 2016. - 432 с.:

Баранова Е. К. Информационная безопасность и защита информации: Учебное пособие/Баранова Е. К., Бабаш А. В., 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2016. - 322 с.

Васильков А.В. Безопасность и управление доступом в информационных системах: учебное пособие / Васильков А.В., Васильков И.А. - М.:Форум, НИЦ ИНФРА-М, 2017. - 368 с.

Мельников, В.П. и др. Информационная безопасность: учеб. пособие для СПО/Мельников, В.П.,Клей-8-е изд., стереотип.-М.:Академия,2013.-336 с.

Ищейнов В.Я. , Мецатунян М.В. Защита конфиденциальной информации: учеб. пособие.- М.: ФОРУМ, 2015.-208 с.

Дополнительная литература:

1. Основные положения информационной безопасности: Учебное пособие/В.Я.Ищейнов, М.В.Мецатунян - М.: Форум, НИЦ ИНФРА-М, 2015. - 208 с.

2. Информационная безопасность компьютерных систем и сетей: Учебное пособие / Шаньгин В. Ф. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2016. - 416 с.

Периодические издания:

1. Информатика. Методический журнал для учителей информатики. М.: Издательский дом «Первое сентября». Издается ежемесячно.

Интернет-ресурсы:

1. http://www.znanium.com

2. http://www.citforum.ru

3.3 Методические указания для обучающихся по освоению учебной дисциплины

Рабочая программа учебной дисциплины разработана на основе государственного образовательного стандарта среднего профессионального образования, по специальностям СПО, утвержденного приказом Министерства образования и науки КР 2019 г.

Методические указания по дисциплине разработаны на основе ГОС СПО 2019 г. Указания включают в себя методические указания по выполнению практических занятий и самостоятельной работы. Методические указания рассмотрены и одобрены Предметно-цикловой комиссией.

3.4 Программное обеспечение современных информационно-коммуникационных технологий

Преподавание и подготовка студентов предполагает использование стандартного программного обеспечения для персонального компьютера:

1. Операционная система Microsoft Windows XP, 7

2. Офисный пакет Microsoft Office Professional

3. Браузер для поиска информации по дисциплине в глобальной сети интернет: mozilla firefox, google chrome, opera, Internet explorer

4. Характеристика основных видов деятельности обучающихся

ПК 1.6. Обеспечивать технику безопасности при проведении организационно-технических мероприятий

Уметь:

Рассмотреть пример объектно-ориентированного подхода на информационную безопасность.

Тематика практических работ:

Обзор законодательного уровня информационной безопасности и почему он важен, обзор российского законодательства в области информационной безопасности, закон "Об информации, информатизации и защите информации", другие законы и нормативные акты, обзор зарубежного законодательства в области информационной безопасности.

Знать:

1. Распространение объектно-ориентированного подхода на информационную безопасность.

2. Законодательный уровень информационной безопасности.

Перечень тем:

1. Понятие компонент, класс, семейства.

2. Что такое законодательный уровень информационной безопасности и почему он важен.

3. Обзор российского законодательства в области информационной безопасности.

4. Закон "Об информации, информатизации и защите информации".

5. Другие законы и нормативные акты.

6. Обзор зарубежного законодательства в области информационной безопасности.

ПК 3.1. Применять программно-аппаратные и технические средства защиты информации на объектах профессиональной деятельности

Уметь:

1. Разработать архитектуры модели безопасности информационных систем и сетей.

2. Разработать практические рекомендации по обеспечению безопасности информационных систем.

Тематика лабораторных/практических работ:

1. Сервиса безопасности, анализ защищенности, обеспечение отказоустойчивости, обеспечение безопасного восстановления.

2. Экранирование.

3. Понятие конфиденциальности.

4. Архитектурные аспекты.

Знать:

1. Административный уровень информационной безопасности.

2. Основные программно-технические меры.

3. Основные понятия программно-технического уровня информационной безопасности.

4. Основные программно-технические меры.

5. Основные понятия программно-технического уровня информационной безопасности.

Перечень тем:

1. Основные понятия.

2. Политика безопасности.

3. Программа безопасности.

4. Синхронизация программы безопасности с жизненным циклом систем.

5. Основные понятия программно-технического уровня информационной безопасности.

6. Сервиса безопасности, анализ защищенности, обеспечение отказоустойчивости, обеспечение безопасного восстановления.

7. Основные понятия регистрационной информации.

8. Активный аудит.

9. Функциональные компоненты и архитектура.

10. Шифрование.

11. Контроль целостности.

12. Цифровые сертификаты.

ПК 3.2. Участвовать в эксплуатации систем и средств защиты информации защищаемых объектов

Уметь:

Разработать архитектуру модели безопасности информационных систем и сетей.

Тематика лабораторных/практических работ:

1. Основные понятия, механизмы безопасности, классы безопасности, информационная безопасность распределенных систем, рекомендации X.800, администрирование средств безопасности.

2. Подготовительные этапы управления рисками, основные этапы управления рисками, создания карты информационной системы организации.

Знать:

1. Стандарты и спецификации в области информационной безопасности.

2. Управление рисками.

3. Идентификация и аутентификация, управление доступом.

Перечень тем:

1. Механизмы безопасности.

2. Классы безопасности.

3. Информационная безопасность распределенных систем. Рекомендации X.800.

4. Администрирование средств безопасности.

5. Основные понятия и подготовительные этапы управления рисками.

6. Основные этапы управления рисками.

7. Основные понятия, наложение технических ограничений, управление сроком действия паролей.

ПК 3.3. Фиксировать отказы в работе средств защиты

Уметь:

1. Организовать физическую защиту информации.

2. Разработать план восстановление работы.

3. Разграничит доступ.

Тематика лабораторных/практических работ:

1. Управление персоналом, физическая защита, планирование восстановительных работ.

2. Одноразовые пароли, сервер аутентификации Kerberos. Идентификация/аутентификация с помощью биометрических данных.

3. Управление доступом в Java-среде.

4. Правила разграничения доступа.

Знать:

1. Процедурный уровень информационной безопасности.

2. Основные классы мер процедурного уровня.

Перечень тем:

1. Управление персоналом.

2. Физическая защита.

3. Планирование восстановительных работ.

ПК 3.4. Выявлять и анализировать возможные угрозы информационной безопасности объектов

Уметь:

Выявит и анализировать угрозы защиты информации.

Тематика лабораторных/практических работ:

1. Понятие мобильные агенты, вирусов, "червей" статической и динамической целостностью.

2. Туннелирование, управление, многоуровневая архитектура менеджер/агент, контроль производительности.

Знать:

Наиболее распространенные угрозы.

Перечень тем:

1. Основные определения и критерии классификации угроз.

2. Некоторые примеры угроз доступности.

3. Вредоносное программное обеспечение.

5. Контроль и оценка результатов освоения дисциплины

Контроль и оценка результатов освоения дисциплины осуществляется преподавателем в процессе проведения практических занятий, тестирования, а также выполнения обучающимися индивидуальных заданий, проектов, исследований.

Результаты обучения (освоенные умения, усвоенные знания)

Формы и методы контроля и оценки результатов обучения

В результате освоения дисциплины обучающийся должен уметь:

Формы контроля обучения:

классифицировать защищаемую информацию по видам тайны и степеням конфиденциальности, применять основные правила и документы системы сертификации Российской Федерации, классифицировать основные угрозы безопасности информации.

устный опрос, письменное тестирование; самостоятельная работа, практические задания, активность на занятиях

В результате освоения дисциплины обучающийся должен знать:

сущность и понятие информационной безопасности, характеристику ее составляющих, место информационной безопасности в системе национальной безопасности страны, источники угроз информационной безопасности и меры по их предотвращению, современные средства и способы обеспечения информационной безопасности

устный опрос, письменное тестирование; самостоятельная работа, практические задания, активность на занятиях.

Вопросы для самоконтроля

1. Регистрация авторских прав на компьютерные программы

2. Закон РФ "О правовой охране программ для ЭВМ и баз данных"

3. Закон РФ "О правовой охране программ ...". Основные понятия

4. Закон РФ "О правовой охране программ ...". Отношения, регулируемые Законом

5. Закон РФ "О правовой охране программ ...". Объект правовой охраны

6. Закон РФ "О правовой охране программ ...". Условия признания авторского права

7. Закон РФ "О правовой охране программ ...". Авторское право на базу данных

8. Закон РФ "О правовой охране программ ...". Срок действия авторского права

9. Закон РФ "О правовой охране программ ...". Авторство

10. Закон РФ "О правовой охране программ ...". Личные права

11. Закон РФ "О правовой охране программ ...". Исключительное право

12. Закон РФ "О правовой охране программ ...". Передача исключительного права

13. Закон РФ "О правовой охране программ ...". Принадлежность исключительного права на программу

14. Закон РФ "О правовой охране программ ...". Право на регистрацию

15. Закон РФ "О правовой охране программ ...". Использование программы

16. Закон РФ "О правовой охране программ ...". Свободное воспроизведение и адаптация программы

17. Закон РФ "О правовой охране программ ...". Контрафактные экземпляры программы

18. Закон РФ "О правовой охране программ ...". Защита прав на программу

19. Свободное программное обеспечение

20. Жизненный цикл экземпляра программы и «общая стоимость владения им.

21. Свободная и несвободная модели коммерческого ПО

22. Несвободное программное обеспечение

23. Несвободное программное обеспечение. Монополизация услуг

24. Возможности экономии за счет свободы ПО

25. Государство как правообладатель свободного ПО

Вопросы к экзамену

1. Понятие информационной безопасности. Основные составляющие.

2. Распространение объектно-ориентированного подхода на информационную безопасность.

3. Основные определения и критерии классификации угроз.

4. Законодательный уровень информационной безопасности.

5. Вредоносное программное обеспечение.

6. Закон "Об информации, информатизации и защите информации".

7. Понятие информационной безопасности. Основные составляющие. Важность проблемы.

8. Наиболее распространенные угрозы.

9. Стандарты и спецификации в области информационной безопасности.

10. Административный уровень информационной безопасности.

11. Управление рисками.

12. Процедурный уровень информационной безопасности.

13. Основные программно-технические меры.

14. Идентификация и аутентификация, управление доступом.

15. Моделирование и аудит, шифрование, контроль целостности.

16. Экранирование, анализ защищенности.

17. Туннелирование и управлениe.

18. Понятие национальной безопасности.

19. Виды безопасности личности, общества и государства.

20. Роль информационной безопасности в обеспечении национальной безопасности государства.

21. Обеспечение информационной безопасности в нормальных и чрезвычайных ситуациях.

22. Основные правовые и нормативные акты в области информационной безопасности.

23. Понятие класса, компонента.

24. Структурированное программирование, декомпозиции, структурный подход. Основным инструментом борьбы со сложностью в объектно-ориентированном подходе.

25. Понятие мобильные агенты, вирусов, "червей" статической и динамической целостностью.

26. Механизмы безопасности, классы безопасности, информационная безопасность распределенных систем.

27. Программирование для бизнеса

28. Важность проблемы.

29. Компьютерные технологии в бизнесе

30. Бизнес в программировании

31. Программа как товар

32. Офшорное программирование. Достоинства и недостатки

33. Лицензионные программные продукты. Основные правила использования

34. Получение сертификата у полномочного представителя (Certification Authority). Сертификация 2 и 3 класса

35. Авторское право на ПО. Совокупность правомочий автора

36. Передача авторских прав по договорам. Виды договоров. Договора о передаче исключительных прав на ПО

1. Виды авторских (лицензионных) договоров

2. Договор о передаче исключительных прав

3. Договор о передаче неисключительных прав

4. Стороны авторского (лицензионного) договора

5. Содержание авторского (лицензионного) договора. Существенные условия

6. Содержание авторского (лицензионного) договора. Гарантии и ответственность.

7. Содержание авторского (лицензионного) договора. Права сторон на последующие модификации

8. Содержание авторского (лицензионного) договора. Обеспечение доступа к исходному коду

9. Содержание авторского (лицензионного) договора. Лицензионные платежи

10. "Оберточные" лицензии

11. Свободно программное обеспечение

12. Жизненный цикл экземпляра программы и «общая стоимость владения» им

13. Свободная и несвободная модели коммерческого ПО

14. Несвободное программное обеспечение

15. Несвободное программное обеспечение. Монополизация услуг

16. Возможности экономии за счет свободы ПО

17. Государство как правообладатель свободного ПО

18. Администрирование средств безопасности.

19. Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий.

20. Гармонизированные критерии Европейских стран, интерпретация "Оранжевой книги" для сетевых конфигураций.

21. Руководящие документы Гостехкомиссии.

22. Программа безопасности, роли и обязанности, непрерывность защиты.

23. Синхронизация программы безопасности с жизненным циклом систем.

24. Подготовительные этапы управления рисками.

25. Основные этапы управления рисками.

26. Создания карты информационной системы организации.

27. Идентификации угрозы, оценка вероятности.

28. Управление персоналом, физическая защита, планирование восстановительных работ.

29. Основные понятия программно-технического уровня информационной безопасности.

30. Анализ защищенности, обеспечение отказоустойчивости.

31. Идентификация и аутентификация.

32. Наложение технических ограничений, управление сроком действия паролей.

33. Правила разграничения доступа.

34. Протоколирование и аудит. Основные понятия регистрационной информации Активный аудит.

35. Шифрование.

36. Контроль целостности.

37. Цифровые сертификаты.

38. Экранирование.

39. Понятие конфиденциальности.

40. Архитектурные аспекты.

41. Анализ защищенности.

42. Туннелирование.

43. Многоуровневая архитектура менеджер/агент.

44. Контроль производительности.

Лекционный материал

Основы информационной безопасности и защиты информации

1.1. Информация и информационная безопасность.

1.2. Основные составляющие информационной безопасности.

1.3. Объекты защиты.

1.4. Категории и носители информации.

1.5. Средства защиты информации.

1.6. Способы передачи конфиденциальной информации на расстоянии.

Вопросы для самопроверки.

1.1. Информация и информационная безопасность

Информация (лат. informatio - разъяснение, изложение), первоначально - сведения, передаваемые людьми устным, письменным или другим способом с помощью условных сигналов, технических средств и т.д. С середины 20-го века информация является общенаучным понятием, включающим в себя:

- сведения, передаваемые между людьми, человеком и автоматом, автоматом и автоматом;

- сигналы в животном и растительном мире;

- признаки, передаваемые от клетки к клетке, от организма к организму;

- и т.д.

Другими словами, информация носит фундаментальный и универсальный характер, являясь многозначным понятием. Эту мысль можно подкрепить словами Н. Винера (отца кибернетики): «Информация есть информация, а не материя и не энергия».

Согласно традиционной философской точке зрения, информация существует независимо от человека и является свойством материи. В рамках рассматриваемой дисциплины, под информацией (в узком смысле) мы будем понимать сведения, являющиеся объектом сбора, хранения, обработки, непосредственного использования и передачи в информационных системах¹.

Опираясь на это определение информации, рассмотрим понятия информационной безопасности и защиты информации.

В Доктрине информационной безопасности под термином информационная безопасность понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В более узком смысле, под информационной безопасностью мы будем понимать состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений [18].

Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.

Важно отметить, что информационная безопасность – это одна из характеристик информационной системы, т.е. информационная система на определенный момент времени обладает определенным состоянием (уровнем) защищенности, а защита информации – это процесс, который должен выполняться непрерывно на всем протяжении жизненного цикла информационной системы².

Рассмотрим более подробно составляющие этих определений.

Под субъектами информационных отношений понимаются как владельцы, так и пользователи информации и поддерживающей инфраструктуры [18].

К поддерживающей инфраструктуре относятся не только компьютеры, но и помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

Ущерб может быть приемлемым или неприемлемым. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений [18].

Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере или разглашению информации.

Таким образом, концепция информационной безопасности, в общем случае, должна отвечать на три вопроса:

- Что защищать? - От чего (кого) защищать? - Как защищать?

¹Информационная система (автоматизированная информационная система) — это совокупность технических (аппаратных) и программных средств, а также работающих с ними пользователей (персонала), обеспечивающая информационную технологию выполнения установленных функций.

²Жизненный цикл информационной системы – непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного изъятия ее из эксплуатации.

1.2. Основные составляющие информационной безопасности

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие составляющие: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного доступа (НСД) к информации, под которым понимают доступ к информации, нарушающий правила разграничения доступа с использование штатных средств³. В то же время обеспечение конфиденциальности как раз и подразумевает защиту от НСД.

Дадим определения основных составляющих информационной безопасности [18].

Доступность информации – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизованных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними. Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность информации – свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций⁴)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.

Конфиденциальность информации – свойство информации быть известной и доступной только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальная информация есть как у организаций, так и отдельных пользователей.

Из всего выше приведенного следует два следствия.

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные заведения. В первом случае «пусть лучше все сломается, чем враг узнает хотя бы один секрет», во втором – «да нет у нас никаких секретов, лишь бы все работало».

2. Информационная безопасность не сводится исключительно к защите от НСД к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от НСД, но и от поломки системы, вызвавшей перерыв в работе.

³Штатные средства - совокупность программного и аппаратного обеспечения рассматриваемой информационной системы.

⁴Транзакция - одно действие или их последовательность, выполняемых одним или несколькими пользователями (прикладными программами) с целью осуществления доступа или изменения информации, воспринимаемых как единое целое и переводящих ее из одного непротиворечивого (согласованного) состояния в другое непротиворечивое состояние.

1.3. Объекты защиты

Основными объектами защиты при обеспечении информационной безопасности являются:

- все виды информационных ресурсов. Информационные ресурсы (документированная информация) - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать;

- права граждан, юридических лиц и государства на получение, распространение и использование информации;

- система формирования, распространения и использования информации (информационные системы и технологии, библиотеки, архивы, персонал, нормативные документы и т.д.);

- система формирования общественного сознания (СМИ, социальные институты и т.д.).

1.4. Категории и носители информации

Неотъемлемой частью любой информационной системы является информация. По характеру ограничений (реализации) конституционных прав и свобод в информационной сфере выделяют четыре основных вида правовой(регламентированной законами) информации:

- информация с ограниченным доступом;

- информация без права ограничения;

- иная общедоступная информация (например, за деньги);

- «вредная» информация (информация, не подлежащая распространению как недостоверная, ложная и т.п.).

Информация с ограниченным доступом делится на государственную тайну и конфиденциальную.

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Владельцем государственной тайны является само государство. Требования по защите этой информации и контроль за их соблюдением регламентируются Законом РФ «О государственной тайне» [4]. В нем законодательно установлен Перечень сведений, сопоставляющих государственную тайну, и круг сведений, не подлежащих к отнесению к ней. Предусмотрена судебная защита прав граждан в связи с необоснованным засекречиванием. Определены органы защиты государственной тайны:

- межведомственная комиссия по защите государственной тайны;

- федеральные органы исполнительной власти, уполномоченные в области:

- обеспечения безопасности - Федеральная служба по техническому и экспортному контролю (ФСТЭК);

- обороны – Министерство обороны;

- внешней разведки – Федеральная служба безопасности (ФСБ обеспечивает, в т.ч. криптографическую защиту);

- противодействия техническим разведкам и технической защиты информации – ФСТЭК;

- другие органы.

Конфиденциальная информация – документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности. Этой информацией владеют различные учреждения, организации и отдельные индивидуумы. В Указе Президента РФ «Перечень сведений конфиденциального характера» [5] конфиденциальная информация разбита на шесть видов:

- тайна следствия и судопроизводства;

- служебная тайна;

- профессиональная тайна;

- коммерческая тайна;

- сведения о сущности изобретения, полезной модели или промышленного образца по официальной публикации информации о них;

- персональные данные.

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на то, что это информация ограниченного доступа, она является полностью открытой для субъекта персональных данных. Только сам субъект решает вопрос о передаче, обработке и использовании своих персональных данных, а также определяет круг субъектов, которым эти данные могут быть сообщены. Некоторая часть персональных данных может не иметь режима защиты, являясь общеизвестными (например, фамилия, имя и отчество). В Законе РФ «О персональных данных» [6] выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.):

- информационное самоопределение;

- доступ к своим персональным данным;

- внесение изменений в свои персональные данные;

- блокирование персональных данных;

- обжалование неправомерных действий в отношении персональных данных;

- возмещение ущерба.

Государственные органы и организации, органы местного самоуправления имеют право на работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, или на основании лицензии. В последнем случае с ними могут работать также негосударственные юридические и физические лица.

Основными носителями информации являются:

- открытая печать (газеты, журналы, отчеты, реклама и т.д.);

- люди;

- средства связи (радио, телевидение, телефон, пейджер и т.д.);

- документы (официальные, деловые, личные и т.д.);

- электронные, магнитные и другие носители, пригодные для автоматической обработки данных.

1.5. Средства защиты информации

Принято различать следующие средства защиты:

Рис.1.1. Классификация средств защиты

I. Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.

Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от информационных систем, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, забор, экраны).

Аппаратные средства - механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в информационных системах или сопрягаемые с ней специально для решения задач защиты информации.

Программные средства - пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако они ведут к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п.

К специфическим средствам защиты информации относятся криптографические методы. В информационных системах криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.

II. Неформальные средства защиты – регламентируют деятельность человека.

Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на всех субъектов информационных отношений. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами и нормативными документами, иногда достаточно противоречивыми.

Организационные средства - организационно-технические и организационно-правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой информационной системы (строительство помещений, проектирование информационных систем, монтаж и наладка оборудования, испытания и эксплуатация информационных систем). Другими словами – это средства уровня организации, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к информационным системам, а также режимов их работы и использования. К организационным мерам также относят сертификацию информационных систем или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д.

Морально-этические средства - сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета. Наиболее показательные пример – кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

1.6. Способы передачи конфиденциальной информации на расстоянии

Способов передачи конфиденциальной информации на расстоянии существует множество, среди которых можно выделить три основных направления [9].

1. Создать абсолютно надежный, недоступный для других канал связи между абонентами.

2. Использовать общедоступный канал связи, но скрыть сам факт передачи информации.

3. Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат.

Проанализируем эти возможности.

1. С древних времен практиковалась охрана документа (носителя информации) физическими лицами, передача его специальным курьером (человеком (дипломатом) или животным (голубиная почта)) и т.д. Но, документ можно выкрасть, курьера можно перехватить, подкупить, в конце концов, убить. В настоящий момент для реализации данного механизма защиты используются современные телекоммуникационные каналы связи. Однако следует заметить, что данный подход требует значительных капитальных вложений. При современном уровне развития науки и техники сделать такой канал связи между удаленными абонентами для многократной передачи больших объемов информации практически нереально.

2. Разработкой средств и методов скрытия факта передачи сообщения занимается стеганография. Первые следы стеганографических методов теряются в глубокой древности. Так, в трудах древнегреческого историка Геродота встречается описание двух методов сокрытия информации: на обритую голову раба записывалось необходимое сообщение, а когда его волосы отрастали, он отправлялся к адресату, который вновь брил его голову и считывал доставленное сообщение. Второй способ заключался в следующем: сообщение наносилось на деревянную дощечку, а потом она покрывалась воском, и, тем самым, не вызывала никаких подозрений. Потом воск соскабливался, и сообщение становилось видимым. В настоящий момент стеганографические методы в совокупности с криптографическими нашли широкое применение в целях сокрытия и передачи конфиденциальной информации.

3. Разработкой методов преобразования информации с целью ее защиты от несанкционированного прочтения занимается криптография.

Вопросы для самопроверки

1. Дайте определение понятиям: «информация», «информационная безопасность», «защита информации», «информационная угроза».

2. Дайте характеристику основным составляющим информационной безопасности.

3. Перечислите основные объекты защиты.

4. Дайте характеристику понятиям «государственная тайна», «конфиденциальная информация» и «персональные данные».

5. Дайте характеристику средствам защиты информации.

6. Перечислите способы тайной передачи информации на расстоянии.