Метод Указ_Инф безоп_Назарова_Шевцов_06 авг 2014

Формат документа: doc
Размер документа: 0.4 Мб




Прямая ссылка будет доступна
примерно через: 45 сек.



  • Сообщить о нарушении / Abuse
    Все документы на сайте взяты из открытых источников, которые размещаются пользователями. Приносим свои глубочайшие извинения, если Ваш документ был опубликован без Вашего на то согласия.

АКАДЕМИЯ МАРКЕТИНГА И СОЦИАЛЬНО-ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ – ИМСИТ (г. Краснодар)


Институт информационных технологий и инноваций
Факультет информатики и вычислительной техники
Кафедра информационных технологий



О.В. Назарова, В.В. Шевцов


Информационная безопасность


Задания и методические указания
для самостоятельной работы
и подготовке к практическим занятиям
для студентов направления подготовки
230700.62 Прикладная информатика














Санкт-Петербург
2014УДК 004.056.5
ББК 30 ф

Рецензенты:
С.П. Пшенецкий – к.т.н, доцент НЧОУ ВО "Кубанский и институт информзащиты",
Ю.В. Чернуха – к.т.н, доцент НЧОУ ВО "Кубанский и институт информзащиты".

Составители: Назарова О.В. – к.п.н., доцент; Шевцов В.В. – д.э.н., профессор.

Информационная безопасность: метод. указания /авт.-сост. О.В. Назарова, В.В. Шевцов – СПб.: Издательство "Инфо-да" , 2014. – 32 с.


Представленные материалы носят практико-ориентированный характер, нацелены на деятельностное освоение теоретических основ и нормативно-правовой базы современных принципов обеспечения информационной безопасности. Данные методические рекомендации предназначены для самостоятельной работы студентов и проведения практических занятий.
Издание рекомендуется бакалаврам факультета ИВТ Академии ИМСИТ направления подготовки 230700.62 "Прикладная информатика", изучающих дисциплину "Информационная безопасность".
УДК 004.056.5
ББК 30 ф
ISBN
Методические указания рассмотрены и одобрены на заседании
кафедры информационных технологий Академии ИМСИТ
20 июня 2014 г., протокол № 11.
Назарова О.В., Шевцов В.В., 2014
НАН ЧОУ ВО Академия ИМСИТ, 2014
Издательство "Инфо-да", 2014




содержание
HYPER13 HYPERLINK \l "_Toc395050575" HYPER141. Цели и задачи дисциплиныHYPER13 PAGEREF _Toc395050575 \h HYPER144HYPER15
2. Место дисциплины в структуре ООПHYPER13 PAGEREF _Toc395050576 \h HYPER144HYPER15
3. Требования к результатам освоения дисциплины:HYPER13 PAGEREF _Toc395050577 \h HYPER145HYPER15
4. Содержание и объём контрольных работHYPER13 PAGEREF _Toc395050578 \h HYPER146HYPER15
5. Методические указания по оформлению контрольных работHYPER13 PAGEREF _Toc395050579 \h HYPER146HYPER15
6. Указания по выполнению заданий контрольных работHYPER13 PAGEREF _Toc395050580 \h HYPER149HYPER15
7. Задание 1. Методика построения системы доступа на объект. Указания по выполнениюHYPER13 PAGEREF _Toc395050582 \h HYPER1410HYPER15
8. Содержание Задания 1HYPER13 PAGEREF _Toc395050583 \h HYPER1415HYPER15
9. Задание 2. Составление плана защиты информации. Указания по выполнениюHYPER13 PAGEREF _Toc395050584 \h HYPER1415HYPER15
10. Содержание Задания 2HYPER13 PAGEREF _Toc395050585 \h HYPER1422HYPER15
11. Задание 3. Анализ статьи из тематического журнала. Указания по выполнениюHYPER13 PAGEREF _Toc395050586 \h HYPER1425HYPER15
12. Содержание Задания 3HYPER13 PAGEREF _Toc395050587 \h HYPER1426HYPER15
13. Список тем рефератов, выступлений с иллюстрированными докладами, презентацийHYPER13 PAGEREF _Toc395050588 \h HYPER1427HYPER15
14. Перечень командных практических работHYPER13 PAGEREF _Toc395050589 \h HYPER1430HYPER15
15. ЛитератураHYPER13 PAGEREF _Toc395050590 \h HYPER1432HYPER15
HYPER15




1. Цели и задачи дисциплины

Целью изучения дисциплины Информационная безопасность является приобретение студентами знаний, навыков и умений, связанных с правовыми и программно-техническими проблемами защиты информации государственных и негосударственных организаций и учреждений.
В задачи курса Информационная безопасность входят:
- определение понятийного аппарата, используемого в области обеспечения безопасности информации в компьютерных системах; систематизация теоретических знаний по обеспечению безопасности информации в системах управления, использующих современные информационные технологии; выявление сущности, целей, задач и места методов и средств защиты информационных процессов в компьютерных системах в общей системе обеспечения безопасности информации на объектах информатизации;
- изучение основных принципов применения методов и средств защиты информации при организации защиты информационных процессов в компьютерных системах; изучение нормативно-руководящих документов, регламентирующих вопросы обеспечения безопасности информации в автоматизированных системах;
- развитие у обучаемых управленческих и инженерных навыков обоснованного принятия решений по организации комплексной защиты информации, оценке защищенности и управления процессами защиты в автоматизированных системах.
Предмет изучения дисциплины Информационная безопасность - правовые и программно-технические проблемы защиты информации.

2. Место дисциплины в структуре ООП

Дисциплина Информационная безопасность относится к обязательным дисциплинам вариативной части профессионального цикла. Для изучения названного курса необходимо твердое знание студентами курса физики средней школы, дисциплин Информационные системы и технологии, Операционные системы и сети, Вычислительные системы сети и телекоммуникации. Знания, полученные при изучении дисциплины Информационная безопасность, используются в дальнейшем при изучении дисциплин профессионального цикла, в учебно-исследовательской и научно-исследовательской работе, при выполнении выпускной квалификационной работы.

3. Требования к результатам освоения дисциплины:

Процесс изучения дисциплины направлен на формирование следующих компетенций:
а) общекультурных:
способен работать в коллективе, нести ответственность за поддержание партнерских доверительных отношений (ОК-3);
способен находить организационно-управленческие решения и готов нести за них ответственность (ОК-4);
способен понимать сущность и значение информации в развитии современного информационного общества, сознавать опасности и угрозы, возникающие в этом процессе, соблюдать основные требования информационной безопасности, в том числе защиты государственной тайны (ОК-13);
способен применять основные методы защиты производственного персонала и населения от возможных последствий аварий, катастроф, стихийных бедствий, технику безопасности на производстве (ОК-14);
б) профессиональных: способен анализировать и выбирать методы и средства обеспечения информационной безопасности (ПК-18).

В результате изучения дисциплины студент должен:

ЗНАТЬ:
основы информационной безопасности и защиты информации, принципы криптографических преобразований, типовые программно-аппаратные средства и системы защиты информации от несанкционированного доступа в компьютерную среду; знать стандарты и нормативные документы в области защиты информации от НСД;
УМЕТЬ:
реализовывать мероприятия для обеспечения на предприятии (в организации) деятельности в области защиты информации, проводить анализ степени защищенности информации и осуществлять повышение уровня защиты с учетом развития математического и программного обеспечения вычислительных систем, разрабатывать средства и системы защиты информации;
ИМЕТЬ ПРЕДСТАВЛЕНИЕ:
о типовых разработанных средствах защиты информации и возможностях их использования в реальных задачах создания и внедрения информационных систем.
4. Содержание и объём контрольных работ

Разделы контрольной работы:
Титульный лист.
Задание.
Содержание.
Основная часть.
Список использованных источников и литературы.
5. Методические указания по оформлению контрольных работ

Одним из видов учебной деятельности студентов является самостоятельная работа с литературными и прочими информационными источниками. Кроме того, студенты имеют возможность прослушать курс лекций и выполнить ряд практических работ в компьютерных классах Академии.
Одним из эффективных средств контроля знаний студентов является контрольная работа, в которой студент должен показать усвоенные им теоретические знания и определенные практические навыки. Контрольные работы рекомендуется выполнять на листах формата А4. На титульном листе следует указать:
- наименование учебной дисциплины - Информационная безопасность;
- специальность, курс и номер учебной группы;
- фамилию, имя, отчество и номер зачетной книжки автора;
- вариант задания.
В начале каждого раздела контрольной работы следует привести полную формулировку соответствующего задания. В конце работы помещают библиографический список использованных при выполнении работы литературных и прочих источников. Каждая страница работы должна иметь небольшие поля для замечаний рецензента. В конце выполненной контрольной работы ставится дата и подпись автора.
Излагать материал работы следует с исчерпывающей полнотой в соответствии с полученными вариантами заданий. При этом необходимо соблюдать требования всех действующих стандартов по оформлению текстовых документов, схем, рисунков, таблиц и библиографического списка литературных источников.
Контрольная работа предусматривает выполнение студентом трех заданий.
Первое задание требует построения системы доступа на защищенный объект.
Второе задание связано с составлением плана защиты информации на предприятии (организации).
Третье задание требует проведения анализа статьи из научного журнала по соответствующему направлению.
Учебным планом занятий предусматриваются консультации по выполнению контрольной работы с преподавателями кафедры Информационных технологий.
Завершенная и правильно оформленная работа предъявляется на рецензию с обязательной регистрацией на кафедре Информационных технологий.
Работа, выполненная неаккуратно, неправильно оформленная или выполненная не для своих вариантов заданий, к рецензии не принимается. При правильно выполненной работе на ней ставится пометка "Допущен к собеседованию", и студент допускается к собеседованию с преподавателем-рецензентом. В противном случае делается пометка "Исправить", и работа возвращается студенту для внесения в нее исправлений в разделе "Работа над ошибками", который следует разместить за последней рецензией преподавателя. Данный раздел также должен завершаться датой и подписью студента. Исправления в уже проверенном материале работы недопустимы.
Во время собеседования с рецензентом студент должен продемонстрировать полное владение материалом своей контрольной работы, дать исчерпывающие и точные ответы на все вопросы, касающиеся контрольной работы. При положительном итоге собеседования представленная работа студента принимается с оценкой "Зачтено". Зачтенная контрольная работа хранится у студента и предъявляется им непосредственно на экзамене. Без предъявления контрольной работы студент к экзамену не допускается.
Выбор номера варианта 1 заданий выполняется по первым буквам фамилии и имени студента (в их паспортной версии) из Таблицы 1.
Таблица 1 - Определение номера варианта первого индивидуального задания
Первая буква фамилии студента
Первая буква имени студента


А БВ
Г ДЕЖ

ЗИКЛ
МНОП

Р СТУ
Ф ХЦЧ

ШЩЭЮЯ

А, Б, В, Г, Д, Е, Ж, З, И,
1

2

3

4

К, Л, М, Н, О, П, Р, С, Т,
5

6

7

8

У, Ф, Х, Ц, Ч, Ш, Щ, Э, Ю, Я
9

10

11

12

Выбор варианта Задания 2 выполняется по первым буквам фамилии и имени студента (в их паспортной версии) - Таблица 2.
Таблица 2 - Определение номера варианта второго индивидуального задания
Первая буква имени студента
Первая буква фамилии студента


А БВ
Г ДЕЖ

ЗИКЛ
МНОП

Р СТУ
Ф ХЦЧ

ШЩЭЮЯ

А, Б, В, Г, Д, Е, Ж, З, И,
1

2

3

4

К, Л, М, Н, О, П, Р, С, Т,
5

6

7

8

У, Ф, Х, Ц, Ч,Ш, Щ, Э, Ю, Я
9

10

11

12


6. Указания по выполнению заданий контрольных работ
В начале каждого раздела контрольной работы следует привести полную формулировку соответствующего задания (как его общую часть, так и текст индивидуального варианта).
Рекомендуемый объем материала по каждому из заданий - не менее 5 страниц печатного текста.
Если соответствующая тема курса рассматривалась на лекциях, то использование лекционного материала обязательно.
Не допускается прямое копирование крупных текстовых блоков из используемых книг и журналов.
Высоко будет оцениваться мнение студента в части оценки эффективности (перспективности) использования описываемых аппаратных или программных средств того или иного вида (типа).
Следует обратить внимание на необходимость проявления студентами высокой степени самостоятельности и активности в поиске необходимых для контрольной работы сведений. При этом не следует ограничиваться лекционным материалом и рекомендованной литературой. В качестве дополнительных источников информации могут быть использованы периодические издания, популярные и профессиональные журналы компьютерной тематики, документация по программному обеспечению и т.д.
Приветствуется поиск необходимой информации в компьютерной сети Internet.
Выполняя задание, полезно приводить рисунки, схемы, таблицы, формулы, графики. Не допускается использование в тексте работы профессионального жаргона. Можно использовать только общепринятые аббревиатуры. Все другие аббревиатуры должны быть правильно введены автором в тексте работы.
Вся совокупность тем заданий достаточно полно раскрывает содержательную часть рабочей программы дисциплины. Следовательно, перечисленные темы окажут непосредственную помощь студенту при изучении дисциплины и при подготовке к сдаче экзамена.

7. Задание 1. Методика построения системы доступа на
объект. Указания по выполнению

1.Общее описание методики построения системы доступа на объект
Если перед Вами стоит задача установить контроль за доступом на объекте, то в качестве одного из вариантов решения этой задачи можно рекомендовать следующий путь.
Сначала необходимо взглянуть вокруг себя и проанализировать окружающую действительность с позиции перемещений лиц и грузов. Необходимо внимательно проследить весь технологический процесс работы Вашей фирмы или отдела, обращая внимание на следующие общие моменты.
Помещения. В первую очередь закрытию подлежат те помещения, в которых находятся ресурсы (информационные, материальные, людские), потеря, порча, модификация или разглашение которых может привести к полной или частичной остановке производственного цикла получения основной статьи доходов предприятия.
К закрываемым помещениям относят также те, в которых есть ценности, потеря которых болезненно отразится на основном производстве, хотя и не приведет к фатальным последствиям, а также помещения, где находится оборудование, которое трудно восполнить или имеющее высокую стоимость (что далеко не всегда совпадает). Сама фирма является ценностью, поэтому не забудьте включить в зону охраны всю ее территорию.
Группы лиц. Гораздо труднее бывает определить, какой круг лиц Вас посещает и должен посещать, в какое время им должен быть разрешен доступ и в какие помещения и, самое главное, есть ли необходимость это делать.Традиционно выделяются три главные группы лиц - это сотрудники Вашей организации, посетители и злоумышленники (вместе с первыми и вторыми).
Очень часто выделяется большее число групп лиц, например, осуществляется деление сотрудников на “командный состав” и “рядовых сотрудников”, постоянных работников и временных, а посетителей можно разделить на разовых, временных и постоянных.
Угрозы. Следующим этапом этой далеко не простой работы является анализ возможных угроз и категорирование помещений на основе этого анализа. Даже поверхностная оценка на уровне “Кому может быть интересно то, что находится в данном помещении, и насколько выражен этот интерес?” или проще “От кого защищаемся?” позволяет найти меры, которые необходимо принять для обеспечения безопасности, и оценить (в сравнении со стоимостью сберегаемых ценностей) расходы, которые позволительно понести.
Как правило, каждому помещению (приемная, вход, бухгалтерия, склад, кабинет руководителя, отдел 1, отдел 2, АСУ, производственная площадка, туалетные комнаты, …) ставятся в соответствие потенциальные угрозы (хулиганство, воровство внешнее или внутреннее, установка средств прослушивания, доступ к вычислительным средствам, доступ к документами, архивам, выведение из строя оборудования, ...).

2. Категорирование помещений
Категорирование помещений - этап объединения и выделения групп помещений, удешевления проекта. Категорирование можно проводить (минимально) по трем параметрам: по уровню закрытости помещения (уровню допуска лиц, доступ к которым разрешен), по надежности запирания и по загруженности прохода в помещение (частоты проходов людей).
Например, производственная площадка и склад, где хранится готовая продукция, в малой производственной фирме могут иметь одинаковый уровень закрытости и круг лиц, у которых есть допуск в эти помещения, однако с точки зрения физической надежности запирания и частоты посещений, скорее всего, придется установить разные категории.
Попробуйте составить таблицу с указанием наименования помещений и параметров категорирования, по таблице более просто установить общие категории для нескольких помещений, дать наименования категориям.
К установлению категории помещений следует подходить на основе значимости того, что “за дверью”, для существования Вашей организации и восполнимости возможных утрат.
Однако лучше не увлекаться при определении зон контроля и назначать минимальное число помещений, подлежащих закрытию, стремиться к минимизации не только категории по уровню защищенности, но и видов категорий как таковых. Чем меньше видов категорий, тем меньшую номенклатуру средств защиты необходимо будет применять.
Далее необходимо начертить план помещений, подлежащих защите с учетом “подступов” к Вашей фирме, лестничных клеток, проходов, коридоров и т.п.
При категорировании помещений должен учитываться фактор необходимой надежности механического запирания. Вначале очертите внешнюю границу подконтрольных помещений, т.е. установите внешнюю границу зоны контроля. На плане надпишите наименования помещений, параметры категорирования. Предусмотрите “круговую защиту” по границе зоны.
Традиционной ошибкой при организации границы является то, что администраторы безопасности забывают про малоиспользуемые проходы, двери или запирание этих путей сообщения на засов или защелку изнутри помещения считают достаточным.
Не следует забывать, что любая система контроля за людьми работает во враждебном окружении, и 95 % посягательств на функционирование системы осуществляют работники самой фирмы.

3. Оценка уровня технической укрепленности

Безусловно, нет смысла ставить замок с шестью ригелями на деревянную дверь, или железную дверь в деревянную коробку, или металлическую коробку с дверью на временную перегородку из гипсокартона.
Уровень защитных свойств системы “стена - дверной блок - средство запирания” должен быть приблизительно одинаковым.
Следующим этапом работы может быть определение зон охраны и рубежей контроля.
Рубежи контроля и зоны охраны. Зоной охраны будем считать ограниченную рубежами контроля площадь, состоящую из группы или одного помещения. Установление рубежа контроля - организация “непреодолимых” препятствий на пути следования лиц и грузов, а также определение порядка следования через эти рубежи подконтрольных субъектов. Окончательной целью данной работы является объединение помещений, имеющих близкие категории доступа, в общие зоны охраны и оптимизация количества этих зон и рубежей контроля и, как следствие, стоимости расходов на организацию и поддержание режима контроля.
Маршрутизация перемещений. При проведении работы по размещению рубежей контроля целесообразно составить еще несколько вспомогательных схем, отражающих маршруты перемещений лиц, присущих специфике работы Вашей организации - маршрутизацию проходов.
Для этого необходимо почувствовать себя человеком, принадлежащим к каждой из принятых Вами групп лиц, и проследить по плану помещений или прямо по объекту, как Вы будете проходить во время прихода на рабочие места, перемещения во время рабочего дня и ухода после работы. Необходимо определить порядок приема, сопровождения и ухода посетителей.
Составьте подробные маршруты и документы, определяющие порядок следования для всех групп лиц. Пристальному вниманию подлежит вопрос доступа на объект в вечернее и ночное время, праздничные дни, а также в случае аварийных и нештатных ситуаций. Завершением этой работы будет определение расположения рубежей разграничения доступа на путях перемещений людей, подразумевая невозможность их обхода.
Оснащение рубежей разграничения доступа. Средства и методы управления доступом в помещения весьма многообразны. Хотя в ответ на предложение о внедрении системы автоматизированного управления доступом можно услышать от пожилого “администратора безопасности” фразу: “Вертушка на входе у нас есть, а все остальное - люди”, но практика показывает малую эффективность управления доступом людьми без дополнительного технического оснащения, да и контроль за многочисленными зонами и рубежами с помощью человека сопряжен с большими финансовыми затратами.
При принятии решения о внедрении какой-либо системы управления доступом традиционно стремление одним комплексом (или моделью) оборудования решить, если не все, то большинство задач в сфере управления доступом, хотя такой подход не всегда является оправданным, поскольку совокупность выдвигаемых требований, как правило, противоречива.
К примеру, шлюзовые двери представляют наиболее надежное средство контроля прохода, однако их пропускная способность очень низка (вспомним о времени массового прихода/ухода на рабочие места), что значительно затрудняет их внедрение. Опора на здравый смысл в каждом конкретном случае приносит значительную экономию затрат.

В результате работ по организации системы доступа на объект должно появиться понимание следующих моментов:

что находится в данном конкретном помещении;
как часто посещается каждое помещение (например, раз в сутки);
какой круг лиц должен посещать помещение (по группам лиц, выделенным ранее);
в какое время, каким группам лиц доступ в данное помещение должен быть разрешен;
какими мерами достигается разграничение доступа в помещения, и каков порядок доступа сегодня, когда проводится анализ;
кем, где и каким образом осуществляется выдача, хранение и учет ключей, пропусков или других средств идентификации;
какова механическая надежность запирания существующих средств и их техническое состояние;
какова техническая укрепленность объекта (его состояние - сегодня и в перспективе);
каким образом скажется на производственном процессе применение средств контроля;
кто будет осуществлять контроль и управление доступом (кто будет ответственным администратором системы).
3. Итоги
Внедрение любой, даже суперавтоматизированной, системы управления доступом в помещения не освобождает полностью человека от участия в этом процессе. Введение контроля за доступом означает, прежде всего, создание преград на пути любого человека - не только злоумышленника, но и желающего попасть в защищаемое помещение по служебной необходимости. Чем выше надежность механического запирания преграды и сложность идентификации пользователя, тем большее время, как правило, будет занимать процесс опознавания и отпирания прохода.
Эти факторы в сочетании с психологическими особенностями человека должны учитываться при принятии решения об организации управления доступом в помещения, особенно при внедрении автоматизированных систем.

8. Содержание Задания 1

Построить модель системы доступа на различные объекты в соответствии со своим вариантом (Таблица 3):

Таблица 3 – Выбор варианта Задания 2

Ва-
риант
Задание

1
Построить модель системы доступа в помещения коммерческого банка

2
Построить модель системы доступа в помещения коммерческого офиса

3
Построить модель системы доступа в помещения элеватора

4
Построить модель системы доступа в помещения сахарного завода

5
Построить модель системы доступа в помещения хлебозавода

6
Построить модель системы доступа в помещения кондитерской фабрики

7
Построить модель системы доступа в помещения ремонтно-технического предприятия (РТП)

8
Построить модель системы доступа в помещения молочного завода

9
Построить модель системы доступа в помещения типографии

10
Построить модель системы доступа в охраняемый комплекс водоснабжения Водоканал

11
Построить модель системы доступа на электростанцию

12
Построить модель системы доступа на птицекомбинат


9. Задание 2. Составление плана защиты информации. Указания по выполнению
План защиты информации
1.Место и роль плана защиты в системе информационной безопасности
Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью. Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.
На стадии планирования, если цель системы определена, определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей, обеспечивается основа для последующих долгосрочных решений.
Планирование - это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.
Планирование - это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.
Цель планирования защиты информации - наилучшее использование всех выделенных ресурсов и предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.
Различают два вида планирования: стратегическое или перспективное и тактическое или текущее.
Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.
Тактическое планирование защиты информации заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.
С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование либо такой исход должен быть предусмотрен на стадии планирования.

2. Составление плана защиты информации

Планирование включает в себя определение, разработку или выбор:
- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
- требований к системе защиты информации;
- политики информационной безопасности;
- средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
- совокупности мероприятий защиты, проводимых в различные периоды времени;
- порядка ввода в действие средств защиты;
- ответственности персонала;
- порядка пересмотра плана и модернизации системы защиты;
- совокупности документов, регламентирующих деятельность по защите информации.
Задачи системы защиты объекта могут быть следующими:
защита конфиденциальной информации от несанкционированного ознакомления и копирования;
защита данных и программ от несанкционированной (случайной или умышленной) модификации;
снижение потерь, вызванных разрушением данных и программ, в том числе, и в результате вирусных воздействий;
предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.
Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований к защите информации:
комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;
надежность средств, входящих в систему защиты;
бесконфликтная совместная работа с используемым на объекте программным обеспечением;
простота эксплуатации и поддержка работы администратора безопасности;
возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
приемлемая стоимость.
Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.
Политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.
Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим, ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
По времени проведения мероприятия защиты можно разделить на четыре класса:
разовые;
периодически проводимые;
проводимые по необходимости;
постоянно проводимые.
Разовые мероприятия включают:
создание научно-технических и методологических основ защиты информации;
мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организации, предприятия;
мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);
мероприятия по созданию системы защиты информации;
разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых подразделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиденциальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);
определение контролируемой зоны и организация надежного пропускного режима в целях защиты информации;
определение порядка хранения, учета, выдачи и использования документов и носителей конфиденциальной и критичной информации;
определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.
К периодически проводимым мероприятиям относятся:
- распределение реквизитов разграничения доступа;
- ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных правил работы;
- проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного - обеспечение необходимых мер по совершенствованию системы защиты;
- мероприятия по пересмотру состава и построения системы защиты.
К мероприятиям по защите данных, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых перестановках, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.
Постоянно проводимые мероприятия включают:
- реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;
- мероприятия по эксплуатации системы защиты;
- контроль за действиями персонала;
- анализ состояния и проверка эффективности применяемых защитных мер.
Пересмотр “Плана защиты информации” рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:
Люди. Пересмотр “Плана защиты” может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т.д.
Техника. Пересмотр “Плана защиты” может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения. Пересмотр “Плана защиты” может быть вызван изменением территориального расположения компонентов объекта.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.

3. Основные элементы плана защиты и их содержание
Основным планирующим документом из всей совокупности является План защиты.
План защиты информации представляет собой вербально-графический документ, который должен содержать следующие сведения:
- характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты);
- цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
- перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
- политика информационной безопасности (организационные и технические мероприятия, определяющие – разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
- функциональная схема системы защиты и план размещения средств защиты информации на объекте;
- порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);
- перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно;
- ответственность персонала;
- смета затрат на внедрение системы защиты;
- порядок пересмотра плана и модернизации средств защиты.
Не менее важным является план действий персонала в критических ситуациях и перечень способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
- цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;
- перечень и классификация возможных кризисных ситуаций;
- требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);
- обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.
Еще одним важным документом является Положение о коммерческой тайне, включающее:
- перечень сведений, составляющих коммерческую тайну;
- материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень;
- номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну;
- договор-обязательство (контракт) о сохранении коммерческой тайны;
- специальные обязанности руководителей подразделений по защите коммерческой тайны;
- специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну.
Весьма важным организационным документом является Положение о защите информации, включающее:
- организационную и функциональную структуру системы защиты информации;
- обобщенную структуру законодательных и нормативных документов по безопасности информации;
- положение об отделе защиты информации;
- положение об администраторе безопасности (инструкция администратора);
- правила назначения прав доступа;
- порядок допуска посторонних лиц на объект;
- порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация;
- порядок проведения служебного расследования по факту нарушения информационной безопасности;
- требования к процессу разработки программных продуктов;
- порядок приема-сдачи программного обеспечения в эксплуатацию;
- инструкцию по обеспечению безопасности речевой информации;
- правила ведения телефонных переговоров;
- порядок проведения конфиденциальных переговоров;
- требования к оснащению выделенных помещений;
- инструкцию пользователю по соблюдению режима информационной безопасности.
Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
10. Содержание Задания 2
Выполните задания, согласно варианту

Составьте план защиты информации для малого предприятия ОАО ПО АГРОХИМ г. Ставрополя, основная деятельность которого заключается в реализации минеральных удобрений. Минеральные удобрения доставляются в АГРОХИМ по железной дороге, проходящей вблизи предприятия. Также одним из видов деятельности является обработка сельхозугодий, выращивание зерновых культур без переработки. Площади сельхозугодий принадлежат муниципальному образованию. Предприятие арендует указанные земли (порядка 600 га). Штат сотрудников данного предприятия составляет 40 человек. Служба безопасности на предприятии отсутствует.

Составьте план защиты информации для малой типографии г. Новороссийска, основная деятельность которого заключается в реализации заказов на печатную продукцию (бланки, открытки, брошюры, авторефераты и т.п.). Также предприятие выпускает городскую газету Маяк. Штат сотрудников составляет 20 человек. Служба безопасности — не предусмотрена.

Составьте план защиты информации для малого предприятия кафе Вернисаж г. Туапсе. Основными клиентами кафе являются отдыхающие на морском побережье. Штат сотрудников данного предприятия составляет 20 человек. Служба безопасности на предприятии отсутствует.

Составьте план защиты информации для малого предприятия турагентство Кругозор. Штат сотрудников данного предприятия составляет 25 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Египет, Турция, Чехия, Израиль, Греция.

Составьте план защиты информации для малого предприятия агентство по трудоустройству Престиж. Штат сотрудников данного предприятия составляет 10 человек. Служба безопасности на предприятии отсутствует. Агентство оказывает услуги по подбору кадров на предприятия по заказу руководства, консалтинговые услуги по подбору должностей на предприятиях и в организациях для обратившихся индивидуальных клиентов.

Составьте план защиты информации для малого предприятия г. Армавира, основная деятельность которого заключается в реализации минеральных удобрений. Минеральные удобрения доставляются по железной дороге, проходящей вблизи предприятия. Также одним из видов деятельности является обработка сельхозугодий, выращивание подсолнечника без переработки. Площади сельхозугодий принадлежат муниципальному образованию. Предприятие арендует указанные земли (порядка 1000 га). Штат сотрудников данного предприятия составляет 35 человек. Служба безопасности на предприятии отсутствует.

Составьте план защиты информации для малой типографии Граф Колесник г. Краснодара, основная деятельность которого заключается в реализации заказов на печатную продукцию (бланки, открытки, брошюры, авторефераты и т.п.). Штат сотрудников составляет 15 человек. Служба безопасности — не предусмотрена.

Составьте план защиты информации для малого предприятия ресторана Вишневый сад г. Туапсе. Основными клиентами кафе являются отдыхающие на морском побережье. Штат сотрудников данного предприятия составляет 10 человек. Служба безопасности на предприятии отсутствует.

Составьте план защиты информации для малого предприятия турагентство Экватор. Штат сотрудников данного предприятия составляет 20 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Тунис, Турция, Чехия, Израиль, Греция.

Составьте план защиты информации для малого предприятия турагентство Твой Тур. Штат сотрудников данного предприятия составляет 25 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Тунис, Египет, Турция, Болгария, Израиль, ОАЭ.

Составьте план защиты информации для малого предприятия агентство по трудоустройству Шанс, которое расположено в отдельном помещении (одноэтажное здание). Штат сотрудников данного предприятия составляет 16 человек. Служба безопасности на предприятии отсутствует. Агентство оказывает услуги по подбору кадров на предприятия по заказу руководства предприятий и индивидуальных заказчиков.

Составьте план защиты информации помещений элеватора. Штат сотрудников данного предприятия составляет 200 человек. Служба безопасности на предприятии насчитывает 8 сотрудников. Учесть, что элеватор — объект высокого класса пожаро-взрывоопасности, стратегический объект.
Примечание: при выполнении Заданий 2, 3 требуется изобразить принципиальную схему (чертеж) зданий и помещений рассматриваемого предприятия (организации) в любом графическом редакторе, например, рис. 1.


Рисунок 1 – Примерная схема расположения основных
объектов РТП

11. Задание 3. Анализ статьи из тематического журнала. Указания по выполнению

Провести анализ статьи по примерной схеме:
- Название статьи;
- Авторы;
- Ключевые слова;
- Основная идея исследований, изложенных в статье;
- Полученные результаты и их прикладное значение;
- Ваше отношение к проблеме, изложенной в статье.

12. Содержание Задания 3
Проведите анализ статей, согласно варианту задания. Варианты выбираются по схеме: первая статья – по номеру студента в журнале успеваемости, вторая статья – номер студента в журнале успеваемости плюс 12.

Таблица 4 - Выбор темы к Заданию 3

Вариант
Задание


Журнал Информационная безопасность регионов № 2/2013, с.10-14


Журнал Информационная безопасность регионов № 2/2013, с.14-17


Журнал Информационная безопасность регионов № 2/2013, с.17-23


Журнал Информационная безопасность регионов № 2/2013, с.67-71


Журнал Информационная безопасность регионов № 2/2013, с.81-87


Журнал Информационная безопасность регионов № 2/2013, с.95-100


Журнал Информационная безопасность регионов № 2/2013, с.105-109


Журнал Информационная безопасность регионов № 2/2013, с.120-126


Журнал Информационная безопасность регионов № 2/2013, с.133-136


Журнал Информационная безопасность регионов № 2/2013, с.136-141


Журнал Информационная безопасность регионов № 1/2013, с.13-21


Журнал Информационная безопасность регионов № 1/2013, с.46-51


Журнал Информационная безопасность регионов № 1/2014, с.5-9


Журнал Информационная безопасность регионов № 1/2014, с.21-26


Журнал Информационная безопасность регионов № 1/2014, с.27-31


Журнал Информационная безопасность регионов № 1/2014, с.32-38


Журнал Информационная безопасность регионов № 1/2014, с.38-47


Журнал Информационная безопасность регионов № 1/2014, с.48-51


Журнал Информационная безопасность регионов № 1/2014, с.52-57


Журнал Информационная безопасность регионов № 1/2014, с.67-69


Журнал Информационная безопасность регионов № 1/2014, с.95-98


Журнал Информационная безопасность регионов № 2/2014, с.5-12


Журнал Информационная безопасность регионов № 2/2014, с.31-35


Журнал Информационная безопасность регионов № 2/2014, с.36-40


Журнал Информационная безопасность регионов № 2/2014, с.41-47


Журнал Информационная безопасность регионов № 2/2014, с.50-54


Журнал Информационная безопасность регионов № 2/2014, с.65-71


Журнал Информационная безопасность регионов № 2/2014, с.75-79


Журнал Информационная безопасность регионов № 2/2014, с.80-84


Журнал Информационная безопасность регионов № 2/2014, с.103-109


Журнал Информационная безопасность регионов № 2/2014, с.110-113


Журнал Информационная безопасность № 1/2013, статья на выбор студента


Журнал Информационная безопасность № 2/2013, статья на выбор студента


Журнал Информационная безопасность № 3/2013, статья на выбор студента


Журнал Информационная безопасность № 4/2013, статья на выбор студента


Журнал Информационная безопасность № 5/2013, статья на выбор студента


Журнал Информационная безопасность № 6/2013, статья на выбор студента


Журнал Информационная безопасность № 1/2014, статья на выбор студента


Журнал Информационная безопасность № 2/2014, статья на выбор студента


Журнал Информационная безопасность № 3/2014, статья на выбор студента


13. Список тем рефератов, выступлений с иллюстрированными докладами, презентаций

Национальная безопасность РФ
Политические и правовые аспекты мировой информационной безопасности
Составляющие национальной безопасности Российской Федерации
Национальная безопасность России и пути ее укрепления
Понятие, сущность и правовые основы военной безопасности государства
Концепция национальной безопасности РФ
Современная концепция национальной безопасности РФ
Административно-правовое регулирование деятельности органов внутренних дел по обеспечению национальной безопасности в Российской Федерации
Конституционно-правовые основы национальной безопасности России
Способы повышения уровня антитеррористической безопасности населения РФ
Современная государственная политика в области национальной безопасности: оценка эффективности
Способы повышения уровня антитеррористической безопасности населения РФ
Экстремизм как угроза национальной безопасности Российской Федерации
Обеспечение национальной безопасности – как конституционная обязанность государства.
Основные задачи ФСБ России
Основные угрозы безопасности Российской Федерации на государственной границе
Иммиграция как угроза национальной безопасности
Полномочия Президента РФ в области обеспечения национальной безопасности
Органы внешней разведки Российской Федерации
Государственная измена. Понятие преступления и признаки состава
Административно-правовой механизм противодействия коррупции и обеспечения собственной безопасности органов внутренних дел Российской Федерации
Обеспечение охраны общественного порядка и общественной безопасности в особых условиях
Военная доктрина РФ
Преступления против основ конституционного строя и безопасности государства
Преступления в сфере мировой безопасности и информационной свободы
Уголовная ответственность за террористическую деятельности
Терроризм как серьезная угроза национальной безопасности России
Обеспечение международной безопасности
Обеспечение национальных интересов РФ

Экономическая безопасность РФ

Экономическая безопасность как основа обеспечения национальной безопасности РФ
Экономическая безопасность государства в переходный период
Безопасность реального сектора экономики в системе национальной экономической безопасности
Проблемы экономической безопасности России
Национальная безопасность и ее роль в стабилизации экономики
Проблемы обеспечения экономической безопасности на региональном уровне
Общие понятия и составные части экономической безопасности
Анализ макроэкономических показателей экономической безопасности Российской Федерации
Экономическая безопасность
Экономическая безопасность личности в системе национальной экономической безопасности: критерии, показатели и пороговые значения
Экономическая безопасность как основа национальной безопасности
Сущность и виды экономической безопасности
Внутренние и внешние угрозы экономической безопасности
Меры и механизмы обеспечения экономической безопасности
Государственные органы управления экономической безопасности
Основные контуры и методология обеспечения экономической безопасности реального сектора экономики
Продовольственная безопасность
Энергетическая безопасность
Сырьевая безопасность
Финансовая безопасность
Экономические основы экологической безопасности
Транспортный фактор экономической безопасности
Региональная экономическая безопасность
Внешнеэкономическая сфера и экономическая безопасность страны
Экономическая безопасность и глобализация
Экономическая безопасность фирм и корпораций
Оценка внутренних и внешних угроз корпорации
Криминализация экономики и экономическая безопасность
14. Перечень командных практических работ
Кроме перечисленных заданий и тем для реферирования и последующего обсуждения на интерактивных занятиях, студентам требуется подготовить информацию для выполнения командных практических работ.
Академическая группа студентов делится на четыре подгруппы. Каждая подгруппа выполняет одно практическое задание на занятии.

Практическое занятие 1.

Перечислить не относящие к одному классу аппаратные средства защиты информации (рекомендация — воспользоваться действующими прайс-листами соответствующих фирм). Заполнить таблицу 5.

Таблица 5 – Описание АСЗИ


Название аппаратного средства ЗИ (АСЗИ)
Физический принцип функционирования
Краткое описание
Назначение
Основные технические параметры (не менее 5)
Условия эксплуатации
Стоимость
Класс, к которому относится данное АСЗИ

1 ...









10










Практическое занятие 2.
Перечислить не относящие к одному классу программные средства защиты информации. Заполнить таблицу 6.

Таблица 6 - Описание ПСЗИ


Название программного средства защиты информации (ПСЗИ)
Краткое описание
Назначение
Области применения
Стоимость
Версии, дистрибутивы

1...







10







Практическое занятие 3.

Интегрированные системы безопасности (ИСБ): классификация; описание технических характеристик (одна ИСБ — по выбору); алгоритм функционирования; аппаратная база; особенности программного управления; функциональные и сервисные возможности; степень сложности монтажа; затраты на приобретение и установку).


Практическое занятие 4.

Описать процесс оборудования системами видеонаблюдения помещения детского сада (одноэтажное здание, количество детей — 120 человек, штат сотрудников — 20 человек). Требуется изобразить принципиальную схему размещения помещений, обосновать выбор видеооборудования (фирма-производитель, технические характеристики, стоимость оборудования и установки), отметить расположение видеооборудования на схеме.

























15. Литература


а) основная литература

Гроувер Д. Защита программного обеспечения.-М.:Мир,2010. – 317 с.
Основы управления информационной безопасностью: учеб. пособие.- М.:Горячая линия-Телеком, 2012.-244 с.
Управление рисками информационной безопасности: учеб. пособие.- М.: Горячая линия-Телеком, 2012.-130 с.
Чернуха, Ю.В. Методы и средства защиты компьютерной информации. Ч.2. Основы криптографической защиты компьютерной информации: учеб. пособие/ИМСИТ. -Краснодар: Изд-во ИМСИТ, 2012.- 88 с.
Чернуха, Ю.В. Методы и средства защиты компьютерной информации. В 2-х ч. Ч.1 Основы защиты компьютерной информации: учеб. Пособие / ИМСИТ.-Краснодар: Изд-во ИМСИТ,2012.-61 с.
Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: учеб. пособие для вузов. М.: Форум,2010. - 592 с.

б) дополнительная литература

Галатенко В. Информационная безопасность - обзор основных положений. (Часть 1 и 2)./ Jet Info: Информационный бюллетень.-2008.-№1.-23 с.
Галатенко В. Информационная безопасность - обзор основных положений // Открытые системы.-2009.- №3.-С.42-45.
Защита информации в персональных ЭВМ/Спесивцев А.В., Вегнер В.А., Кружяков А.Ю., Серегин В.В., Сидоров В.А.-М.:Радио и связь, ВЕСТА,2008.-191 с.
Курбаков К.И. Безопасность систем и информационное обеспечение// Стратегия экономической безопасности и инновационной политики (страна, регион, фирма) / Под ред. Олейникова Е.А..-М.: Изд-во Рос.экон. акад.,2008.-С.37-44.
Основы информационной безопасности / В.А. Галатенко. Под редакцией академика РАН В.Б. Бетелина / М.: ИНТУИТ.РУ Интернет-университет Информационных технологий, 2009. – 312с.












HYPER13PAGE HYPER15


4










X