Київський славістичний університет

ДЕПАРТАМЕНТ РЕГІОНАЛЬНИХ ПІДРОЗДІЛІВ

та перспективного розвитку

КАФЕДРА ІНФОРМАТИКИ І УПРАВЛЯЮЧИХ СИСТЕМ

Захист інформації та програмних продуктів

НАВЧАЛЬНА ПРОГРАМА

СПЕЦІАЛЬНІСТЬ: менеджмент організацій

СПЕЦІАЛІЗАЦІЯ: інформаційні  системи в менеджменті

Київ – 2009

Навчальна програма курсу «Захист інформації та програмних продуктів» складена на основі освітньо-професійної програми «Захист інформації та програмних продуктів» для підготовки бакалаврів з напряму 0502 -  “Менеджмент”,  розробленої Науково-методичною комісією з напряму 0502 “Менеджмент” Міністерства освіти і науки України та Київським національним економічним університетом / Колектив авторів  під загальним керівництвом А. Ф. Павленка.-К.: КНЕУ, 2002.

Навчальна програма курсу «Захист інформації та програмних продуктів» розроблена для студентів спеціальності менеджмент організацій.

Укладачі: В.М. Антоненко,  доцент кафедри ІУС МІЕМ КСУ, О.Є. Коваленко,  доцент кафедри ІУС МІЕМ   КСУ.

Рецензенти: Доцент  кафедри ІУС МІЕМ   КСУ, канд. фіз.–мат. наук, Ю. В. Рогушина.

Перезатверджено  на засіданні кафедри Інформатики і управляючих систем.

28 серпня 2009 року, протокол № 1. 

ЗМІСТ

ПОЯСНЮВАЛЬНА   ЗАПИСКА

МЕТА І ЗАВДАННЯ КУРСУ, ЙОГО МІСЦЕ В НАВЧАЛЬНОМУ ПЛАНІ

ЗМІСТ  ПРОГРАМИ

Розділ 1. Вступ

ТЕМА 1.1. Історія проблеми захисту інформації, предмет захисту інформації

ТЕМА 1.2. Нормативно-правові акти  регулювання обігу та захисту інформації зарубіжних країн

ТЕМА 1.3. Законодавчі акти України та державне регулювання в Україні діяльності у галузі захисту інформації

Розділ 2. Загальні положення

ТЕМА 2.1. Класифікація загроз інформації та інформаційним системам

ТЕМА 2.2. Типові загрози інформації та інформаційним системам

ТЕМА 2.3. Системний підхід до задач інформаційної безпеки

ТЕМА 2.4. Принципи захисту інформації

ТЕМА 2.5. Заходи і засоби забезпечення інформаційної безпеки

Розділ 3. Захист інформації в комп’ютерних системах і мережах

ТЕМА 3.1. Адміністративно-організаційні методи захисту інформації

ТЕМА 3.2. Нормативно-правові методи захисту інформації

ТЕМА 3.3. Фізичні заходи і засоби захисту інформації

ТЕМА 3.4. Програмно-технічні засоби захисту інформації

ТЕМА 3.5. Особливості організації захисту інформації на автономній робочій станції

ТЕМА 3.6. Міжмережні засоби захисту інформаційних систем

Розділ 4. Захист інформації в комп’ютерних системах і мережах

ТЕМА 4.1. Ефективність систем інформаційної безпеки

ТЕМА 4.2. Стадії організації системи інформаційної безпеки

ТЕМА 4.3. Функціональна безпека інформаційних систем

ТЕМА 4.4. Управління інформаційною безпекою

ТЕМА 4.5. Етапи побудови системи інформаційної безпеки

ТЕМА 4.6. Аудит і сертифікація інформаційної безпеки

ІНФОРМАЦІЙНІ РЕСУРСИ ІНТЕРНЕТ

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

ПОЯСНЮВАЛЬНА   ЗАПИСКА

Розвиток економічних  інформаційних систем  є одним із головних елементів управління економікою країни. Інформаційні системи і комп’ютерні технології використовуються в усіх сферах людської діяльності. Їх застосування відіграє дуже важливу роль у розвитку та підприємництва України.

Дисципліна «Захист інформації та програмних продуктів» призначена для оволодіння майбутніми спеціалістами і бакалаврами економічного напрямку фундаментальними основами і практичним засновуванням знань із захисту інформації і програмних продуктів в підприємницькій діяльності, пов’язаній з фаховою діяльністю.           

У результаті вивчення дисципліни студент повинен одержати знання з теорії і практики захисту сучасних комп’ютерних технологій обробки  інформації, які зорієнтовані на розподільну обробку даних на основі автоматизованих робочих місць, експертних і навчальних систем, локальних і глобальних комп‘ютерних мереж і впровадження інформаційних систем нового покоління – систем підтримки прийняття рішень.

Програма курсу «Захист інформації та програмних продуктів» охоплює достатній обсяг матеріалу, який дозволяє підготувати бакалаврів належного рівня. Вона  складена згідно з вимогами  “Положення про програму дисципліни” і є нормативним документом, який визначає мету і завдання курсу, місце курсу серед дисциплін професійної підготовки.

МЕТА І ЗАВДАННЯ КУРСУ, ЙОГО МІСЦЕ В НАВЧАЛЬНОМУ ПЛАНІ

1.1. Мета курсу «Захист інформації та програмних продуктів» - вивчення основних питань сучасної теорії та практики захисту інформації: основні поняття захисту, методи і засоби захисту, основи проектування систем захисту, основи нормативно-правових знань з захисту інформації.

1.2. Завдання курсу. «Захист інформації та програмних продуктів» є отримання студентами знань основних понять захисту інформації, методів та засобів захисту інформації, основ проектування та побудови систем захисту інформації, основних правових проблем захисту інформації, вміння працювати з літературою з питань захисту інформації

1.3. Предмет навчальної дисципліни

• погрози інформаційним системам;

• засоби захисту інформаційних систем;

• організація системи захисту;

• аудит системи захисту.

1.4. Місце курсу. Курс «Захист інформації та програмних продуктів» є курсом, який пов’язаний зі змістом спеціальних базових дисциплін підготовки бакалаврів з економіки і є логічним продовженням курсу “Інформатика та КТ”. Дисципліна вимагає лише знань з загальних курсів математики і також знань з методів проектування та розробки інформаційних систем.

Вивчення дисципліни передбачає лекційні, практичні і лабораторні заняття в спеціалізованих лабораторіях персональних комп‘ютерів, які повинні бути з‘єднані у локальну комп‘ютерну мережу. Значна частина матеріалу дисципліни студентами вивчається самостійно.

ЗМІСТ ПРОГРАМИ

Розділ 1. Вступ

ТЕМА 1.1. Історія проблеми захисту інформації, предмет захисту інформації

1. Інформація, її властивості та форми.

2. Історія розвитку проблеми захисту інформації.

3. Предмет захисту інформації.

4. Поняття інформаційної безпеки.

5. Цілі захисту інформації.

6. Фактори, які обумовлюють необхідність захисту інформації.

ТЕМА 1.2. Нормативно-правові акти  регулювання обігу та захисту інформації зарубіжних країн        

1.  Загальні поняття.

2.  Принципи побудови стандартів із захисту інформації.

3. Розгляд історичного розвитку нормативно-технічних документів різних країн: “Оранжева книга“ Міністерства оборони США, “Європейські критерії”, Канадські документи, Російські документи, “Об’єднані критерії”.

4.  Стан нормативного-правового захисту інформації за кордоном

ТЕМА 1.3. Законодавчі акти України та державне регулювання в Україні діяльності у галузі захисту інформації

1. Огляд законодавчих актів України, що регулюють відносини у галузі захисту інформації.

2.  Власність на інформацію.

3.  Ліцензування діяльності у галузі захисту інформації.

Розділ 2. Загальні положення

ТЕМА 2.1. Класифікація загроз інформації та інформаційним системам

1. Класифікаційні ознаки та класифікації загроз.

2. Основні види загроз.

3. Методи і моделі оцінки уразливості інформації.

4. Конкретні типи уразливостей.

5. Емпіричний підхід до оцінки загроз.

6. Теоретичний підхід до оцінки загроз.

ТЕМА 2.2. Типові загрози інформації та інформаційним системам

1. Види загроз і їхня системна класифікація.

2. Загрози безпеці інформації в автоматизованих інформаційних системах.

3. Основні джерела небезпеки для розподілених інформаційних систем.

4. Класифікація шкідливих впливів, дій, вторгнень.

ТЕМА 2.3. Системний підхід до задач інформаційної безпеки

1. Системна класифікація моделей захисту.

2. Компоненти науково-методологічної основи теорії захисту інформації.

3. Узагальнена модель захисту інформації.

4. Безпека компонентів ІС (погляд зсередини).

5. Захист ІС від шкідливих впливів (погляд іззовні).

6. Забезпечення політики безпеки в автоматизованих інформаційних системах.

7. Методи і засоби захисту процесів, процедур і програм обробки інформації в корпоративній ІС.

8. Модель нейтралізації загроз у виді системи з повним перекриттям.

9. Моделі систем розмежування доступу до ресурсів ІС.

10. Теоретико-емпіричний підхід до оцінки уразливості.

11. Модель процесу порушення фізичної цілісності.

12. Теоретико-емпірична модель несанкціонованого одержання інформації.

ТЕМА 2.4. Принципи захисту інформації

1. Принцип розумної достатності

2. Суть принципу достатнього захисту.

3. Постановка задачі обґрунтування вимог до захисту інформації.

4. Умова формулювання вимоги до захисту інформації.

5. Характеристика основних класів по вимогах до захисту інформації в ІС.

6. Типові схеми захисту.

7. Методи оцінки параметрів інформації, що захищається.

8. Показники, які необхідні для оцінки інформації.

9. Методика визначення необхідного рівня захисту інформації з урахуванням показників обох видів.   

ТЕМА 2.5. Заходи і засоби забезпечення інформаційної безпеки

1. Загальна класифікація заходів і засобів захисту інформації (ЗЗІ).

2. Способи впливу на дестабілізуючі фактори.

3. Загальносистемна класифікація ЗЗІ.

4. Системна класифікація технічних засобів захисту, характеристика програмних ЗЗІ.

5. Функціональна й організаційна побудова ЗЗІ.

6. Структурна побудова ЗЗІ.

Розділ 3. Захист інформації в комп’ютерних системах і мережах

ТЕМА 3.1. Адміністративно-організаційні методи захисту інформації

ТЕМА 3.2. Нормативно-правові методи захисту інформації

ТЕМА 3.3. Фізичні заходи і засоби захисту інформації

ТЕМА 3.4. Програмно-технічні засоби захисту інформації

ТЕМА 3.5. Особливості організації захисту інформації на автономній робочій станції

ТЕМА 3.6. Міжмережні засоби захисту інформаційних систем

Розділ 4. Захист інформації в комп’ютерних системах і мережах

ТЕМА 4.1. Ефективність систем інформаційної безпеки

1. Показники ІБ.

2. Критерії ефективності систем інформаційної безпеки.

3. Економічна доцільність систем ІБ.

4. Визначення і мета введення поняття „множина функцій захисту інформації”.

5. Визначення і мета введення поняття „множина спеціальних задач захисту інформації”.

6. Зміст вимоги повноти множини функцій і репрезентативності множини задач захисту інформації.

7. Суть методики формування повної множини функцій захисту.

8. Класи захисту інформації.

ТЕМА 4.2. Стадії організації системи інформаційної безпеки

ТЕМА 4.3. Функціональна безпека інформаційних систем 

ТЕМА 4.4. Управління інформаційною безпекою

1. Політика ІБ.

2. Інфраструктура ІБ.

3. Об’єкти управління ІБ.

4. Інвентаризація ресурсів ІС.

5. Класифікація ресурсів ІС.

6. Робочі процедури і відповідальність.

7. Системне планування.

8. Захист від зловмисного програмного забезпечення (вірусів, троянських коней).

9. Управління внутрішніми ресурсами.

10. Управління мережами.

11. Безпека носіїв даних.

12. Передача інформації і програмного забезпечення.

13. Бізнес вимоги для контролю доступу.

14. Управління доступом користувача.

15. Відповідальність користувачів.

16. Контроль і управління віддаленого (мережного) доступу.

17. Контроль доступу в операційну систему.

18. Контроль і управління доступом до додатків.

19. Моніторинг доступу і використання систем.

20. Мобільні користувачі.

ТЕМА 4.5. Етапи побудови системи інформаційної безпеки

1. Формулювання вимог.
2. Визначення цілей.
3. Визначення ресурсів.
4. Реалізація системи інформаційної безпеки.
5. Оцінювання ефективності.
6. Вимоги до безпеки систем.
7. Безпека в прикладних системах.
8. Захист файлів прикладних систем.
9. Безпека в середовищі розробки і робочому середовищі.
10. Питання планування безперебійної роботи організації.
11. Виконання вимог законодавства.
12. Перевірка безпеки інформаційних систем.

ТЕМА 4.6. Аудит  і сертифікація інформаційної безпеки

1. Поняття аудиту безпеки і цілі його проведення.
2. Етапність робіт по проведенню аудиту безпеки інформаційних систем.
3. Ініціація процедури аудиту.
4. Збір інформації аудиту.
5. Аналіз даних аудиту.
6. Використання методів аналізу ризиків.
7. Оцінка відповідності вимогам стандарту.
8. Вироблення рекомендацій.
9. Підготовка звітних документів.
10. Структура звіту за наслідками аудиту безпеки ІС і аналізу ризиків.
11. Методика аналізу захищеності.
12. Початкові дані по обстежуваній ІС.
13. Методи тестування системи захисту.
14. Приклад політики безпеки.

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

1. ISO 15408-1-3: 1999. (ГОСТ Р-2002). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель. Ч. 2. Защита функциональных требований. Ч. 3. Защита требований к качеству.

2. ISO 17799: 2002. Управление информационной безопасностью. Практические правила.

3. ISO 13335-1-5: 1996-1998. ИТ. ТО. Руководство по управлению безопасностью. Ч. 1. Концепция и модели обеспечения безопасности информационных технологий. Ч. 2. Планирование и управление безопасностью информационных технологий. Ч. 3. Техника управления безопасностью ИТ. Ч. 4. Селекция (выбор) средств обеспечения безопасности. Ч. 5. Безопасность внешних связей.

4. Закон України про інформацію, від 02.10.92.

5. Закон України про науково-технічну інформацію, від 25.06.93.

6. Закон України про захист інформації в автоматизованих системах, від 05.07.94.

7. Закон України про державну таємницю, від 21.01.94.

8. Закон України про Національну програму інформатизації, від 04.02.98.

9. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. – НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998.

10. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. – НД ТЗІ 1.1-002-98, ДСТСЗІ СБ України, Київ, 1998.

11. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу. – НД ТЗІ 2.2-001-98, ДСТСЗІ СБ України, Київ, 1998.

12. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. – НД ТЗІ 2.2.-002 – 98, ДСТСЗІ СБ України, Київ, 1998.

13. Положення про порядок здійснення криптографічного захисту інформації в Україні від 22 травня 1998 року № 505/98.

14. Концепція (основи державної політики) національної безпеки України від 21 грудня 2000 року № 2171-ІІІ.

15. Концепція технічного захисту інформації в Україні від 8 жовтня 1997 року № 1126.

16. Положення про технічний захист інформації в Україні від 27 вересня 1999 року № 1229/99.

17. Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави від 27 листопада 1998 року № 1893.

18. Аббасов Ю. Internet 2000. – СПб.: BHV-Санкт-Петербург, 1999. – 440с.

19. Анин Б.Ю. Защита информации в компьютерной системе. – СПб.: БХВ –  Санкт-Петербург, 2000. – 384с.

20. Антоненко В.М., Рогушина Ю.В. Сучасні інформаційні системи і технології. Навчальний посібник. – К.: КСУ МГІ, 2005. – 131 с.

21. Антонюк А.О. Основи захисту інформації в автоматизованих системах. Навч. посібн. - К.: Видавн. дім “КМ Академія”, 2003. – 244 с.

22. Баричев С., Криптография без секретов. – М.: 1998.

23. Борланд Р. Эффективная работа с Word 97. – СПб.: Питер, 1998. – 960с.

24. Вертузаев М.С.,Юрченко О.М. Захист інформації в комп’ютерних системах від несанкціонованого доступу: Навч. посібник /За редаг. С.Г. Лаптева.-К.:Вид-во Європ. Університету, 2001.- 321 с.

25. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоатомиздат, 1994, в 2-х томах.

26. Герасименко В. А. Основы защиты информации: Учебник для вузов / Б. А. Герасименко, А. А. Малюк. — М.: Изд-во ООО «Ин-комбук», 1997. – 537 с.

27. Додж М., Кината К., Стинсон К. Эффективная работа с Excel 97. –CПб.: Питер, 1998. – 1072с.

28. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему – СПб: Мир и семья –95 ,1997. – 312с.

29. Кокорева О.И. Реестр Windows XP – СПб: BHV-Петербург, 2002. – 560с.

30. Медведовский И. Д. Атака на "Internet" / И. Д, Медведовский, П. В. Семьянов Д.Г. Леонов. – 2-е изд. перераб. и доп. – М.: ДМК, 1999. – 336с.

31. Мельников В.В. Защита информации в компьютерных системах. – М.: «Финансы и статистика», 1997.

32. Романец Ю.В., Тимофеев П. А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. – М.: Радио и связь, 1999. – 328с.

33. Росоловський В.М., Анкудович Г.Г., Катерноза К.О., Шевченко М.Ю. Основи інформаційної безпеки автоматизованої інформаційної системи державної податкової служби України: Навчальний посібник/За заг. ред. М.Я. Азарова. – Ірпінь: Академія ДПС України, 2003. – 466 с.

34. Петров А.А. Компьютерная безопасность. Криптографиче­ские методы защиты. – М.: ДМК, 2000. – 448 с.

35. Праффенбергер Б. Эффективная работа с Microsoft Internet Explorer 5.5. – СПб.: Питер, 1998. – 416с.

36. Программно-аппаратные средства обеспечения информаци­онной безопасности. Защита программ и данных: Учеб. пособие для вузов / П.Ю. Белкин, О. О.Михальский, А. С. Першаков. – М.: Радио и связь, 1999. – 168 с.

37. Столлингс В. Криптография и защита сетей: теория и практика. – М.: Вильямс. – 2001.

38. Чижухин Г.Н. Основы защиты информации в вычислительных системах и сетях ЭВМ: Учеб. Пособие. – Пенза: Изд-во Пенз. гос. ун-та, 2001. – 164 с.; 19 ил., 5 табл., библиогр. 8 назв.

39. Эдвардс М.Д. Безопасность  в Интернете на основе Windows NT – М.:Издательский отдел “Русская Редакция”  ТОО “Chennel Trading Ltd ” – 1999. – 656 с.

40. Э. Ратбон. Windows XP для «чайников». – М.: Вильямс, 2002. – 304 с.

41. Microsoft Windows XP: Home Edition и Professional /Под ред. А.Н.Чекмарева. – СПб: BHV-Петербург, 2002. – 624 с.

42. Антонюк А.А., Волощук А.Г., Суслов В.Ю., Ткач А.В. Что такое Оранжевая книга? (Из истории компьютерной безопасности) // Безопасность информации, № 2, 1996.

43. «Безопасность информации». Научно-технический журнал, Киев.

    Галатенко В.А. Информационная безопасность: практический подход. - М.: Наука, 1998. – 301 с.

44. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: Изд. «ДиаСофт», 1999. – 480 с.

45. «Конфидент. Защита информации». Информационно-методический журнал, СПб.

46. Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. Учебное пособие. Изд. 2-е, испр. и доп. М.: 1995. – 84 с.

47. Рублинецкий В.И. Введение в компьютерную криптологию. – Харьков: «ОКО», 1997.

48. Стенг Д., Мун С. Секреты безопасности сетей. – Киев, Диалектика, 1995.

49. Ярочкин В.И. Безопасность информационных систем. – М.: 1996. – 320с.
    

З повагою ІЦ "KURSOVIKS"!