Наименование раздела дисциплины | Всего часов | Аудиторные занятия по формам обучения | в том числе | Самостоятельная работа по формам обучения | ||||||||||||||||
лекции | практические занятия | лабораторные работы | семинары | |||||||||||||||||
очная | очно-заоч-ная | заоч-ная | очная | очно-заоч-ная | заоч-ная | очная | очно-заоч-ная | заоч-ная | очная | очно-заоч-ная | заоч-ная | очная | очно-заоч-ная | заоч-ная | очная | очно-заоч-ная | заоч-ная | |||
Экзамен | 7с. | |||||||||||||||||||
Зачет | 6с. | |||||||||||||||||||
| ||||||||||||||||||||
4. Содержание разделов и тем дисциплины
РАЗДЕЛ 1. ОРГАНИЗАЦИОННЫЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Тема 1.1. Основные направления, принципы и условия организационной защиты информации
Задачи, силы и средства организационной защиты информации. Роль руководства предприятия в решении задач по защите информации. Основные направления деятельности руководителя предприятия в области защиты информации. Цель принимаемых руководством предприятия и должностными лицами организационных мер. Определение организационной защиты информации. Основные принципы и условия организационной защиты информации.
Цель создания системы защиты информации на предприятии. Определение системы защиты информации на предприятии. Основные подходы, используемые для решения организационных задач по созданию и обеспечению функционирования системы защиты информации. Требования, выдвигаемые к организации системы защиты информации с позиции системного подхода.
Тема 1.2. Отнесение сведений к различным видам конфиденциальной информации
Отнесения информации к категории конфиденциальной. Основополагающие подходы и принципы нормативного регулирования проблем «открытости» и «закрытости» информации. Понятие документированной информации. Основные принципы правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации в Российской Федерации. Категории доступа к информации. Общедоступная информация, ограничение доступа к информации.
Отнесение сведений к коммерческой тайне. Отнесение информации к коммерческой тайне. Права обладателя коммерческой тайны. Сведения, включаемые в «Перечень информации (сведений), составляющей коммерческую тайну».
Степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей. Понятие грифа секретности. Реквизиты.
Основные принципы отнесения сведений к государственной тайне и их засекречивания. Нормативные документы, на основании которых осуществляется отнесение сведений к государственной тайне. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию.
Основания и порядок рассекречивания сведений и их носителей. Понятие рассекречивания сведений, составляющих государственную тайну. Основания для рассекречивания сведений, составляющих государственную тайну. Сроки рассекречивания носителей сведений, составляющих государственную тайну. Порядок засекречивания и рассекречивания сведений, документов и продукции.
Тема 1.3. Организация допуска и доступа персонала к конфиденциальной информации
Допуск и доступ к конфиденциальной информации и документам. Разрешительная система доступа персонала к конфиденциальной информации. Основная цель разрешительной системы доступа персонала к коммерческой тайне. Основополагающий принцип нормативно-правового регулирования процесса ознакомления конкретного работника предприятия со сведениями, составляющими коммерческую тайну. Условия правомерного доступа персонала к коммерческой информации.
Допуск граждан к государственной тайне. Ограничение гражданина в праве на выезд за границу. Понятие номенклатуры должностей. Понятие допуска к государственной тайне, формы допуска. Проверочные мероприятия, проводимые уполномоченными органами при оформлении допуска к государственной тайне. Причины, по которым может быть прекращен допуск гражданина к государственной тайне.
Тема 1.4. Методы работы с персоналом предприятия, допущенным к конфиденциальной информации
Направления и методы работы с персоналом, обладающим конфиденциальной информацией. Основные угрозы информационной безопасности, связанные с персоналом предприятия.
Этапы и основные направления работы с сотрудниками предприятия, допущенными к конфиденциальной информации. Подбор кандидатов, основные требования к кандидатам. Основные методы проверки и оценки соответствия кандидатов предъявляемым требованиям. Должности, связанные с конфиденциальной информацией.
Повышение осведомленности персонала. Перечень задач обучения персонала предприятия. Формы обучения. Метод инструктажей. Метод индивидуальной и воспитательной работы. Проверки уровня знаний. Метод контроля. Основные формы контроля качества работы персонала предприятия, повышения профессионализма сотрудников в области защиты конфиденциальной информации.
Тема 1.5. Организация внутриобъектового и пропускного режимов на предприятии
Понятия внутриобъектового и пропускного режимов. Цели организации внутриобъектового и пропускного режимов на предприятии. Основные направления работы по организации внутриобъектового режима на предприятии. Основные подходы к организации внутриобъектового режима, используемые руководством предприятия. Основные принципы формирования системы внутриобъектового режима. Меры, которые предусматривает внутриобъектовый режим.
Роль и обязанности руководства предприятия при организации внутриобъектового режима. Основные структурные подразделения предприятия, участвующие в организации внутриобъектового режима. Основные задачи, выполняемые режимно-секретным подразделением. Задачи службы безопасности предприятия в области организации внутриобъектового режима.
Цели и задачи пропускного режима. Основные принципы организации пропускного режима на предприятии. Цель создания и основные элементы системы организации пропускного режима. Основные задачи бюро пропусков. Задачи контрольно-пропускных пунктов. Виды пропусков, используемых при организации пропускного режима.
Тема 1.6. Организация охраны предприятия
Организация охраны предприятия. Главные цели охраны предприятия. Основные объекты охраны. Основные задачи охраны. Понятие системы охраны предприятия. Технические средства охраны. Основные обязанности и права сотрудников подразделений охраны. Основные причины нарушения порядка охраны объектов.
Тема 1.7. Организация защиты информации при проведении совещаний
Планирование мероприятий по защите информации при подготовке к проведению совещания. Основные разделы плана мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций. Подготовка и проведение совещаний и заседаний по конфиденциальным вопросам.
Организация допуска участников совещания к обсуждаемым вопросам. Подготовка места проведения совещания. Порядок проведения совещания и использования его материалов.
Тема 1.8. Организация защиты информации при осуществлении рекламной и публикаторской деятельности
Основные виды рекламной деятельности, которые может осуществлять предприятие. Виды издательской деятельности, в которых могут принимать участие сотрудники предприятия. Защита информации при осуществлении публикаторской деятельности.
Организация подготовки материалов к открытому опубликованию. Нормативные документы, которыми должны руководствоваться сотрудники предприятия, принимающие участие в подготовке материалов к открытому опубликованию. Мероприятия, направленные на исключение открытого опубликования информации с ограниченным доступом. Ответственность за подготовку материалов к открытому опубликованию и соблюдение при этом требований по защите информации. Права и обязанности членов экспертной комиссии.
Тема 1.9. Организация аналитической работы в области защиты информации на предприятии
Основное назначение аналитической работы. Основные направления аналитической работы на предприятии и функции аналитического подразделения. Организация аналитической работы по предупреждению утечки конфиденциальной информации.
Формы ведения аналитической работы. Наиболее типичные задачи аналитического исследования. Понятия объекта и предмета исследования. Основные этапы и мероприятия аналитической работы.
РаЗДЕЛ 2. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Тема 2.1. Корпоративные политики информационной безопасности
Основы корпоративного управления информационной безопасностью. Риск-ориентированный подход. Понятие корпоративной политики безопасности. Основные требования и подходы к разработке политики безопасности. Многоуровневый подход.
Управления информационной безопасностью на основе соответствий требованиям (сompliance management). Анализ упущений (gap-анализ). Модель непрерывного совершенствования (замкнутый цикл менеджмента PDCA).
Тема 2.2. Стандарты информационной безопасности
Организация деятельности по обеспечению информационной безопасности компании и общая структура стандартов информационной безопасности. Оценочные стандарты информационной безопасности («Оранжевая книга», ITSEC, ISO 15408 «Общие критерии»)
«Лучшие практики» информационной безопасности (стандарты BSI, BS 7799 / ISO 17799). Особенности применения стандартов ISO.
Стандарты менеджмента информационной безопасности (ISO 13335, ISO 27001). Структура и состав серии международных стандартов 2700х. Российские гармонизированные стандарты.
Другие стандарты управления информационной безопасности и управления информационными технологиями (ISO 2000x, NIST, Cobit, ITIL).
Эволюция моделей информационной безопасности.
Тема 2.3. Процессный подход к обеспечению информационной безопасности
Суть процессного подхода к организации деятельности предприятия. Сквозные процессы и горизонтальный менеджмент. Классификация и атрибуты бизнес-процессов. Процессы управления и обеспечения информационной безопасности. Сервис-ориентированный подход к информационной инфраструктуре предприятия.
Тема 2.4. Системы менеджмента информационной безопасности
Основные преимущества внедрения системы менеджмента информационной безопасности. Этапы построения системы менеджмента информационной безопасности на основе ISO 27001. Документы системы менеджмента информационной безопасности.
Обязанности и ответственность руководства предприятия. Концепция Security Governance. Организационная структура системы менеджмента информационной безопасности.
Система частных менеджментов. Управление рисками информационной безопасности на основе ISO 27005. Инвентаризация и классификация информационных активов предприятия. Методики оценки рисков.
Модели управления COSO, Cobit и ITIL.
Тема 2.5. Методы оценки информационной безопасности
Анализ эффективности системы информационной безопасности. Способы измерения и оценки информационной безопасности. Метрики информационной безопасности (ISO 27004, NIST 800-55).
Оценка информационной безопасности на основе моделей зрелости процессов (ISO 21827, ISO 15504, Cobit, стандарт ЦБ РФ СТО ИББС).
Аудит информационной безопасности: виды аудита, принципы и процедура проведения.
Тема 2.6. Обеспечение непрерывности бизнеса
Организационные стандарты непрерывности бизнеса и готовности информационных и телекоммуникационных технологий для обеспечения непрерывности бизнеса: BS 25999, BS 25777/ISO 27031. Стандарты российской банковской системы.
Тема 2.7. Управление инцидентами информационной безопасности
Операционная деятельность по управлению инцидентами информационной безопасности. Этапы расследования инцидентов информационной безопасности.
5. Перечень тем практических занятий
Таблица 2
Тема дисциплины | Содержание практического занятия |
Тема 1.2. Отнесение сведений к различным видам конфиденциальной информации | Практическое занятие № 1. Закрепление права предприятия на защиту информации в нормативных документах |
Тема 1.3. Организация допуска и доступа персонала к конфиденциальной информации | Практическое занятие № 2. Лицензирование деятельности и сертификация средств в области защиты конфиденциальной информации |
Тема 1.4. Основы работы с персоналом предприятия | Практическое занятие № 3. Обеспечение защиты информации при работе с кадрами |
Продолжение табл. 2
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
