НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ

УНИВЕРСИТЕТ МЭИ

ЦЕНТР ПОДГОТОВКИ «ИНСТИТУТ БЕЗОПАСНОСТИ БИЗНЕСА»

ИТОГОВАЯ ГОСУДАРСТВЕННАЯ АТТЕСТАЦИЯ

ПРОГРАММА

КОМПЛЕКСНОГО ГОСУДАРСТВЕННОГО ЭКЗАМЕНА ПО СПЕЦИАЛЬНОСТИ ОБУЧЕНИЯ

090104 - «Комплексная защита объектов информатизации»

«Утверждаю»

Директор Центра подготовки «Институт безопасности бизнеса» Л. М. Кунбутаев

(Ф.И.О., должность)

Заведующий кафедрой

«Комплексная безопасность бизнеса» А. С. Минзов

(Ф.И.О., должность)

Программа обсуждена на заседании кафедры КББ

Протокол № 60 от « 23 » декабря 2011 г.

МОСКВА 2011

1. Программа подготовки по общепрофессиональным

ДИСЦИПЛИНАМ

1.1. Теория информационной безопасности и методология защиты информации

1.1.1. Содержание разделов дисциплины

Система обеспечения информационной безопасности в Российской Федерации.

Понятие «система обеспечения информационной безопасности». Государственная система обеспечения информационной безопасности РФ и ее структура. Коллегиальность в обеспечении информационной безопасности: вневедомственная комиссия РФ по защите государственной тайны, ее состав, полномочия и порядок обеспечения деятельность в соответствии с Положением о Межведомственной комиссии РФ по защите государственной тайны (Указ Президента РФ от 6.10.2004 г. №1286). Общая характеристика деятельности федеральных органов исполнительной власти РФ в области обеспечения информационной безопасности: ФСТЭК, ФСБ, ФСО, СВР, МО, МВД РФ.

Значение и цели защиты информации в современной России.

Общая характеристика целей защиты информации. Соответствие целей защиты информации характеру защищаемой информации и характеристикам субъектов информационных отношений. Анализ положений Федерального Закона РФ №149-ФЗ 2006 года «Об информации, информационных технологиях и защите информации»: сфера действия закона, информация как объект правовых отношений, правовая регламентация доступа к информации, государственное регулирование в сфере применения информационных технологий, ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

Угрозы безопасности информации.

Понятие «угроза безопасности информации». Причины возникновения угроз безопасности информации. Классификация и характеристика угроз. Разработка моделей угроз безопасности информации конкретной организации. Определение актуальности угроз. Ущерб организации в результате реализации угроз безопасности информации. Виды ущерба. Структура прямых и косвенных потерь при реализации угроз безопасности информации.

Каналы и методы несанкционированного доступа к информации. 

Понятие и сущность канала несанкционированного доступа к информации и канала утечки информации. Различия между этими видами каналов, их состав и общая характеристика. Специально создаваемые и потенциально существующие каналы. Методы несанкционированного доступа к информации, применяемые при использовании каждого канала. Классификация каналов несанкционированного доступа к информации. Понятие «атаки» на информационную систему. Основные методы реализации атак на информационные системы.

Уязвимость информации в информационных системах.

Понятие уязвимости информации в информационных системах. Причины возникновения уязвимости информации. Классификация уязвимостей информации. Понятие «утечка информации». Общая характеристика каналов утечки информации из информационных систем. Порядок оценки уязвимости информации в информационных системах.

Риски информационной безопасности.

Понятие «риск информационной безопасности». Менеджмент рисков информационной безопасности на основе положений стандарта ГОСТ Р ИСО/МЭК 27005-2010: задачи системы менеджмента информационной безопасности организации, процесс управления рисками, критерии оценки риска, порядок оценки рисков, технология обработки рисков.

Объекты защиты информации. 

Понятие «рубеж защиты информации». Классификация и особенности видов носителей информации с позиции обеспечения безопасности. Организация защиты информации на основе «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К): защита речевой конфиденциальной информации; защита конфиденциальной информации, обрабатываемой в автоматизированных системах; защита конфиденциальной информации при взаимодействии с сетями общего пользования.

Классификация методов и средств защиты информации. 

Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности.

Механизмы защиты государственной тайны.

Правовой режим государственной тайны в соответствии с требованиями Федерального Закона РФ №5485-1 1993 года «О государственной тайне»: сфера действия Закона, отнесение сведений к государственной тайне и их засекречивание, принципы отнесения, степени секретности и грифы.

Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента РФ № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».

Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны.

Понятие «коммерческая тайна». Правовой режим коммерческой тайны и порядок его установления в организации на основе требований Федерального Закона РФ №98-ФЗ 2004 года «О коммерческой тайне»: охрана конфиденциальности информации при осуществлении трудовых отношений, при предоставлении информации, ответственность за нарушения Закона. Основания и методика отнесения сведений к коммерческой тайне на основе требований Указа Президента РФ № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».

Понятие «служебная тайна» в соответствии с требованиями Указа Президента РФ № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера». Правовой режим «служебной информации ограниченного распространения» в соответствии с «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (Постановление Правительства РФ №1233 от 3.11.1994 г.): порядок отнесения сведений, порядок обращения с документами, содержащими служебную информацию ограниченного доступа.

Понятие «персональные данные». Обеспечение безопасности персональных данных граждан РФ в соответствии с требованиями Федерального Закона РФ №152-ФЗ 2006 года «О персональных данных»: сфера действия Закона, обеспечение конфиденциальности персональных данных, специальные категории персональных данных, особенности обработки персональных данных в государственных и муниципальных информационных системах персональных данных, права субъектов и обязанности операторов персональных данных. Структура федеральных органов исполнительной власти, участвующих в организации защиты персональных данных в РФ: ФСТЭК РФ, ФСБ России, Роскомнадзор РФ и выполняемые ими функции.

Механизмы защиты информации в информационных системах документооборота.

Системы электронного документооборота: понятие, архитектура, выполняемые функции, преимущества и недостатки, перечень механизмов защиты информации, примеры программных реализаций систем электронного документооборота.

Использование механизма электронной подписи (ЭП) в соответствии с требованиями Федерального Закона РФ №63-ФЗ 2011 г. «Об электронной подписи»: сфера действия Закона, принципы использования ЭП, виды и характеристика; порядок обеспечения юридической значимости документов, подписанных ЭП. Средства и технологии ЭП: удостоверяющие центры и их функции, сертификаты ключа проверки ЭП; классы сертификатов и их отличия.

Механизмы управления информационной безопасностью.

Обеспечение конфиденциальности, доступности и целостности информационных активов организации на основе положений стандарта ГОСТ Р ИСО/МЭК 17799-2005: классификация и управление активами; вопросы безопасности, связанные с персоналом организации; управление информационной безопасностью организации; контроль доступа к информационным активам; управление непрерывностью бизнеса.

Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов. Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.

Механизмы менеджмента информационной безопасности.

Управление информационной безопасностью предприятия на основе положений ГОСТ Р ИСО/МЭК 27001-2006. Использование процессного подхода в управлении информационной безопасностью на основе модели PDCA: планирование - реализация - проверка - улучшение. Перечень действий на каждой стадии модели.

1.1.2. Литература

Основная:

1. Минзов А.С. Методология применения терминов и определений в сфере информационной , экономической и комплексной безопасности бизнеса. под ред. Кунбутаева Л.М. М.: ВНИИгеосистем, 2011.

2. Стрельцов А.А. Организационно-правовое обеспечение информационной безопасности. М.: Изд. «Академия», 2008.

3. Невский А.Ю., Баронов О.Р. Комплексная система обеспечения информационной безопасности хозяйствующего субъекта М.: Издательский Дом МЭИ, 2009.

Дополнительная:

1. Белов Е.Б. Основы защиты информации. М.: Изд. «Горячая линия – Телеком», 2006.

Вспомогательные материалы:

1. Учебные материалы по дисциплине «Теория информационной безопасности и методология защиты информации». М.: ЦП ИББ (МЭИ).

2. Федеральный Закон РФ № 131-ФЗ 1997 года «О государственной тайне».

3. Федеральный Закон РФ № 149-ФЗ 2006 года «Об информации, информационных технологиях и защите информации».

4. Федеральный Закон РФ №63-ФЗ 2011 года «Об электронной подписи»:

5. Федеральный Закон РФ № 98-ФЗ 2004 года «О коммерческой тайне».

6. Федеральный Закон РФ № 152-ФЗ 2006 года «О персональных данных».

7. Указ Президента РФ № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне».

8. Указ Президента РФ № 188 1997 года «Об утверждении Перечня сведений конфиденциального характера».

9. Национальные стандарты в области информационной безопасности: ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 15408-2002, ГОСТ Р ИСО/МЭК 27001-2006.

10. Стандарт Банка России. СТО БР ИББС-1,0-2010.Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

11. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России, 2002.

1.2. Программно-аппаратная защита информации