Виды контроля деятельности студентов, применяемые на аудиторных занятиях, их оценка в рейтинговых баллах

3. Содержание дисциплины по темам

1. Введение. Понятие информационной и компьютерной безопасности.

Определение информации. Понятие компьютерной и информационной безопасности, угрозы, уязвимости, эксплойта. Классификация угроз. Принципы обеспечения компьютерной безопасности в автоматизированных системах.

2. Угрозы безопасности информации.

Угрозы конфиденциальности, целостности, доступности автоматизированных систем. Понятие политики безопасности. Дискреционная политика безопасности. Мандатная политика безопасности. Мандатная политика целостности.

3. Нормативный подход к обеспечению информационной безопасности.

Роль стандартов в обеспечении компьютерной безопасности. Основные положения Руководящих документов ФСТЭК в области защиты информации. Основные положения критериев TCSEC (“Оранжевая книга”). Фундаментальные требования компьютерной безопасности. Требования классов защиты. Стандарт ГОСТ Р ИСО/МЭК 15408. Сертификация средств защиты.

4. Практический (экспериментальный) подход к обеспечению информационной безопасности.

Определение и классификация несанкционированного доступа (НСД). Определение и классификация нарушителя. Классы защищенности автоматизированных систем от НСД к информации.

5. Введение в теоретический подход к обеспечению информационной безопасности.

Основные понятия защиты информации (субъекты, объекты, доступ, граф доступов, информационные потоки). Постановка задачи построения защищенной автоматизированной системы (АС). Ценность информации.

6. Математические основы моделей безопасности.

Автомат. Граф. Решётка. Алгоритмически разрешимые и алгоритмически неразрешимые проблемы. Проблема адекватности реализации модели безопасности в реальной компьютерной системе.

7. Модели компьютерных систем с дискреционным управлением. Модель матрицы доступов Харрисона-Руззо-Ульмана (HRU).

Модель системы безопасности HRU. Основные положения модели. Теорема об алгоритмической неразрешимости задачи проверки безопасности произвольной системы HRU.

8. Модели компьютерных систем с дискреционным управлением. Модель типизированной матрицы доступов (ТМД).

Модель типизированной матрицы доступов. Основные положения модели. Теорема о существовании алгоритма проверки безопасности ациклических систем монотонных ТМД.

9. Модели компьютерных систем с дискреционным управлением. Модель распространения прав доступа Take-Grant.

Модель распространения прав доступа Take-Grant. Теоремы о передаче прав в графе доступов, состоящем из субъектов, и произвольном графе доступов. Расширенная модель Take-Grant и ее применение для анализа информационных потоков в АС.

10. Модели компьютерных систем с мандатным управлением. Модель Белла-ЛаПадулы.

Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Базовая теорема безопасности (BST). Политика low-watermark в модели Белла-ЛаПадулы.

11. Модели компьютерных систем с мандатным управлением. Модель Биба. Модель систем военных сообщений.

Применение модели Биба для реализации мандатной политики целостности. Применение модели систем военных сообщений для систем приема, передачи и обработки почтовых сообщений, реализующих мандатную политику безопасности.

12. Контроль целостности. Модель Кларка-Вилсона.

Шесть теоретических принципов политики контроля целостности. Соответствие правил модели Кларка-Вилсона принципам политики целостности.

13. Модели компьютерных систем с ролевым управлением. Базовая модель ролевого управления доступом. Модель администрирования ролевого управления доступом.

Понятие ролевого управления доступом. Базовая модель ролевого управления доступом. Понятие администрирования ролевого управления доступом. Администрирование иерархии ролей.

14. Модели компьютерных систем с ролевым управлением. Модель мандатного ролевого управления доступом.

Понятие мандатного ролевого управления доступом. Требования либерального мандатного управления доступом.

15. Модели безопасности информационных потоков.

Автоматная модель безопасности информационных потоков. Вероятностная модель безопасности информационных потоков. Информационное невлияние. Информационное невлияние с учетом фактора времени.

16. Модели изолированной программной среды. Субъектно-ориентированная модель изолированной программной среды.

Монитор безопасности объектов. Монитор безопасности субъектов. Теоремы о достаточных условиях гарантированного выполнения политики безопасности в компьютерных системах. Базовая теорема изолированной программной среды.

17. Анализ информационных рисков.

Понятие информационного риска. Анализ рисков. Оценка рисков. Управление рисками. Этапы процесса управления рисками и оценки рисков. Качественные методы оценки рисков.

18. Криптографические средства защиты.

Средства обеспечения конфиденциальности и целостности. Система криптографической защиты информации. Шифрование. Хэширование. Цифровые подписи. Управление ключами. Сертификаты открытых ключей.

4. Темы практических и семинарских занятий

1. Разработка политики безопасности информационной системы. Структура политики безопасности. Основные угрозы информационной безопасности. Стандарт ISO 17799. Разработка политики безопасности с помощью системы КОНДОР.

2. Математические основы моделей безопасности. Автоматы. Графы. Решётки.

3. Дискреционная политика безопасности. Реализация дискреционной политики безопасности.

4. Модели компьютерных систем с дискреционным управлением. Команды системы HRU. Построение графа создания системы МТМД. Команды МТМД. Команды КФМТМД. Передача прав в модели Take-Grant.

5. Мандатная политика безопасности. Реализация мандатной политики безопасности.

6. Модели компьютерных систем с мандатным управлением. Анализ системы Белла-ЛаПадулы. Предотвращение запрещённых информационных потоков по памяти и по времени.

7. Модели компьютерных систем с ролевым управлением. Реализация системы с ролевым управлением. Иерархия ролей.

8. Модели безопасности информационных потоков. Требования информационного невлияния. Описание компьютерной системы с использованием требований информационного невлияния автоматной модели БИП.

9. Анализ информационных рисков. Анализ и управление рисками информационной системы с помощью комплексной системы ГРИФ.

5. Задания для самостоятельной работы

1. Изучение истории формирования теоретических основ компьютерной безопасности.

2. Анализ политик информационной безопасности существующих компаний.

3. Изучение моделей защиты информации в современных операционных системах.

4. Знакомство с базовым опросным листом для определения степени критичности систем по методу CRAMM.

5. Знакомство с опросным листом для оценки угроз по методу CRAMM.

6. Знакомство с опросным листом для оценки уязвимостей по методу CRAMM.

7. Парольные системы. Построение парольных систем.

8. Домены. Основы построения защищённых доменов.

9. Защищённое ядро. Основные положения.

6. Темы заданий к контрольной работе

1. Построение модели угроз информационной безопасности.

2. Дискреционный доступ.

3. Мандатный доступ.

4. Ролевой доступ.

5. Автоматная и вероятностная модели информационных потоков.

6. Анализ рисков информационной безопасности.

7. Требования к экзамену

Экзамен выставляется по результатам работы студента в течение семестра, включая посещение лекций и семинаров, выполнение контрольных и практических работ, заданий для самостоятельной работы. Минимальная сумма баллов, необходимая для получения оценки «удовлетворительно» – 65 баллов; минимальная сумма баллов, необходимая для получения оценки «хорошо» – 75 баллов; минимальная сумма баллов, необходимая для получения оценки «отлично» – 85 баллов.

8. Вопросы к экзамену

1. Понятие информационной и компьютерной безопасности.

2. Классификация угроз.

3. Политика безопасности.

4. Роль стандартов в обеспечении компьютерной безопасности.

5. Положения Руководящих документов ФСТЭК в области защиты информации.

6. Основные положения критериев TCSEC (“Оранжевая книга”).

7. Практический (экспериментальный) подход к обеспечению информационной безопасности.

8. Основные понятия защиты информации (субъекты, объекты, доступ, граф доступов, информационные потоки).

9. Математические основы моделей безопасности.

10. Модель системы безопасности HRU. Основные положения модели.

11. Теорема об алгоритмической неразрешимости проблемы безопасности в произвольной системе HRU.

12. Модель типизированной матрицы доступов. Основные положения модели.

13. Теорема о существовании алгоритма проверки безопасности ациклических систем монотонных ТМД.

14. Модель распространения прав доступа Take-Grant. Теоремы о передаче прав в графе доступов, состоящем из субъектов, и произвольном графе доступов.

15. Расширенная модель Take-Grant и ее применение для анализа информационных потоков в АС.

16. Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели.

17. Базовая теорема безопасности (BST). Политика low-watermark в модели Белла-ЛаПадулы.

18. Применения модели Биба для реализации мандатной политики целостности.

19. Применение модели систем военных сообщений для систем приема, передачи и обработки почтовых сообщений, реализующих мандатную политику безопасности.

20. Шесть теоретических принципов политики контроля целостности. Соответствие правил модели Кларка-Вилсона принципам политики целостности.

21. Понятие ролевого управления доступом. Базовая модель ролевого управления доступом.

22. Понятие администрирования ролевого управления доступом. Администрирование иерархии ролей.

23. Понятие мандатного ролевого управления доступом. Требования либерального мандатного управления доступом.

24. Автоматная модель безопасности информационных потоков.

25. Вероятностная модель безопасности информационных потоков.

26. Информационное невлияние. Информационное невлияние с учетом фактора времени.

27. Монитор безопасности объектов. Монитор безопасности субъектов.

28. Теоремы о достаточных условиях гарантированного выполнения политики безопасности в компьютерных системах.

29. Базовая теорема изолированной программной среды.

30. Понятие информационного риска. Анализ рисков. Оценка рисков. Управление рисками.

31. Этапы процесса управления рисками и оценки рисков.

32. Качественные методы оценки рисков.

9. Литература

Основная литература:

1. Правовое обеспечение информационной безопасности: учеб. Пособие / ред. . - 2-е изд., испр. и доп.. – М.: Академия, 20с.

2. Проблемы обработки и защиты информации/ ред. ; рец. . - Омск: Полиграфический центр КАН

Кн. 1: Модели политик безопасности компьютерных системс.

3. Родичев, Ю. А. Информационная безопасность: нормативно-правовые аспекты : учеб. пособие/ Ю. Родичев. – СПб.: Питер, 20[1] с.

4. Стохастические методы и средства защиты информации в компьютерных системах и сетях / [и др.]; ред. . – М.: КУДИЦ-Пресс, 20с.

5. Щеглов, А. Ю. Защита компьютерной информации от несанкционированного доступа/ ; ред. . – М.: Наука и техника, 20с.

Дополнительная литература:

6. Вяткин, А. И. Операционные системы, среды и оболочки: учеб. пособие/ ; Тюм. гос. ун-т. - Тюмень: Изд-во ТюмГУ, 20с.; 20 см. - Библиогр.: 271 с.

7. Казарин, О. В. Методология защиты программного обеспечения/ ; Моск. гос. ун-т им. . - Москва: МЦНМО, 20с.: ил.; 21 см. - (Научные проблемы безопасности и противодействия терроризму). - Библиогр.: с. 440-460. - Предм. указ.: 461-464 с.

8. Ниссенбаум, О. В. Криптографические протоколы: лабораторный практикум: учебно-методическое пособие для студентов специальностей "Компьютерная безопасность" и "Информационная безопасность автоматизированных систем"/ , ; Тюм. гос. ун-т. - Тюмень: Изд-во ТюмГУ, 2012. – 40 с.

9. Олифер, В. Г. Компьютерные сети: принципы, технологии, протоколы : учеб. пособие для студентов вузов, обуч. по напр. "Информатика и вычислительная техника", по спец. "Вычислительные машины, комплексы, системы и сети"/ , . - 4-е изд.. - Санкт-Петербург: Питер, 20с.: ил.; 24 см. - (Стандарт третьего поколения). - Библиогр. : с. 917. - Алф. указ. : 918-943 с.

Источники Интернет:

10. ФСТЭК России [электр. ресурс] http://*****/normativnye-i-metodicheskie-

10. Технические средства и программное обеспечение

Лекции читаются в аудитории, оборудованной видеопроектором. В качестве наглядного материала используются презентации MS PowerPoint. Практические и семинарские занятия проводятся в компьютерных классах. Используется среда программирования Borland Delphi 7, комплексная система анализа и управления рисками информационной системы компании – ГРИФ (демо-версия), система разработки и управления политикой безопасности информационной системы компании на основе стандарта ISO 17799 – КОНДОР (демо-версия).

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3