Программа курса
© «ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
40 ч.
Занятие 1 (4 уч.час. – лекция) Основные понятия и законодательная база ИБ
Понятие информационной безопасности.
Важность проблемы.
Критерии административной и технической защиты информации, не содержащей сведений, содержащих государственную тайну.
Основные составляющие – конфиденциальность, целостность, доступность.
Законодательная и нормативно-методическая база информационной безопасности. Стандарты и спецификации в области информационной безопасности (ФЗ № 87, ФСТЭК № 31, ISO 17799).
Занятие 2 (4 уч.час. – лекция) Аудит информационной безопасности
Статистика нарушений ИБ, наиболее характерные случаи.
Утечки конфиденциальных данных организации, вызванные неправомерными действиями сотрудников (инсайдеров), совершенными целенаправленно, а также вследствие проявленной халатности или невнимательности (обзор возможных сценариев).
Наиболее распространенные угрозы и уязвимые места защиты, которые эти угрозы обычно эксплуатируют.
Занятие 3 (4 уч.час. – лекция)Техническая защита информации.
Современные технические методы и средства защиты информации.
Классификация технических каналов утечки.
Оценка защищенности информации от утечки.
Наиболее экономичные средства обеспечения безопасности.
Занятие 4 (4 уч.час. – лекция) Организация защиты конфиденциальной информации – административнй уровень
Административный уровень информационной безопасности.
Политика безопасности и программа безопасности - соответствующие документы.
Увязывание мер безопасности с этапами жизненного цикла информационных систем.
Управление рисками.
Методика сопоставления возможных потерь от нарушений ИБ со стоимостью защитных средств.
Занятие 5 (4 уч.час. – лекция) Организация защиты конфиденциальной информации –процедурный уровень
Процедурный уровень информационной безопасности Основные классы мер процедурного уровня.
Принципы, позволяющие обеспечить надежную защиту.
Основные программно-технические меры (DLP-системы , VPN-средства). Сервис безопасности.
Архитектурная безопасность, классификация сервисов.
Занятие 6 (4 уч.час. – лекция)Комплексные системы защиты конфиденциальной информации
Идентификация и аутентификация, управление доступом. Протоколирование и аудит, шифрование, криптографические методы защиты. Их место в общей архитектуре безопасности, контроль целостности.
Порядок лицензирования в области защиты информации.
Занятие 7 (4 уч.час. – лекция) Криптографическая защита информации
Методы и способы криптографической защиты информации.
Инфраструктура открытых ключей (ИОК/PKI).
Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Порядок обращения с СКЗИ и криптоключами к ним.
Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним.
Занятие 8 (4 уч.час. – лекция)Назначение, состав и порядок использования сертифицированных шифровальных (криптографических) средств
Назначение, состав и порядок использования шифровальных средств: аппаратные ключи в качестве ключевых носителей, системы управления жизненным циклом аппаратных ключей; СКЗИ, реализующие базовый функционал по криптозащите информации ограниченного доступа; СКЗИ, используемые для обеспечения безопасности передачи по каналам связи информации ограниченного доступа; программно-аппаратные средства автоматизации деятельности Удостоверяющих центров; СКЗИ, используемые для обеспечения защиты от несанкционированного доступа (НСД) к информации ограниченного доступа
Занятие 9 Сервисы безопасности от внешних и внутренних угроз
Сервисы безопасности: Экранирование, анализ защищенности от внешних угроз.
Корпоративная защита от внутренних угроз.
Сборка, установка, тестирование и обслуживание специализированных программно-аппаратных комплексов по перехвату и анализу трафика данных, циркулирующего в организации (DLP-систем).
Занятие 10 (4 уч.час. – лекция) Отказоустойчивость и восстанавливаемость средств ИБезопасности
Обеспечение высокой доступности: обеспечение отказоустойчивости (нейтрализация отказов, живучесть) и обеспечение безопасного и быстрого восстановления после отказов (обслуживаемость).
Сервисы безопасности: Туннелирование (VPN-каналы) и управление распределенной сети. Комплексные системы защиты информации в организации