Київський славістичний університет

ДЕПАРТАМЕНТ РЕГІОНАЛЬНИХ ПІДРОЗДІЛІВ

та перспективного розвитку

КАФЕДРА ІНФОРМАТИКИ І УПРАВЛЯЮЧИХ СИСТЕМ

Захист інформації та програмних продуктів

НАВЧАЛЬНО – МЕТОДИЧНИЙ КОМПЛЕКС

Спеціальність - “ Менеджмент організацій ”

Спеціалізація -  “Інформаційні системи в менеджменті ”

Київ – 2009

Навчально-методичний комплекс “Захист інформації та програмних продуктів” (для студентів спеціальності „Менеджмент організацій” спеціалізації „Інформаційні системи в менеджменті”) / Укладачі: В.М. Антоненко, доцент кафедри ІУС МІЕМ КСУ, О.Є. Коваленко, доцент кафедри ІУС МІЕМ КСУ.

Перезатверджено на засіданні кафедри

Інформаційних технологій

28 серпня 2009 року, протокол № 1

ЗМІСТ

ПОЯСНЮВАЛЬНА ЗАПИСКА

МЕТА І ЗАВДАННЯ КУРСУ

НАВЧАЛЬНО - ТЕМАТИЧНИЙ ПЛАН

Зміст програми

Розділ 1. Вступ

Тема 1.1. Історія проблеми захисту інформації, предмет захисту інформації

Тема 1.2. Нормативно-правові акти  регулювання обігу та захисту інформації зарубіжних країн

Тема 1.3. Законодавчі акти України та державне регулювання в Україні діяльності у галузі захисту інформації

Розділ 2. Загальні положення

Тема 2.1. Класифікація загроз інформації та інформаційним системам

Тема 2.2. Типові загрози інформації та інформаційним системам

Тема 2.3. Системний підхід до задач інформаційної безпеки. Два погляди (іззовні та зсередини) на інформаційну безпеку

Тема 2.4. Принципи захисту інформації. Принцип розумної достатності

Тема 2.5. Заходи і засоби забезпечення інформаційної безпеки

Розділ 3. Захист інформації в комп’ютерних системах і мережах

Тема 3.1. Адміністративно-організаційні методи захисту інформації

Тема 3.2. Нормативно-правові методи захисту інформації

Тема 3.3. Фізичні заходи і засоби захисту інформації

Тема 3.4. Програмно-технічні засоби захисту інформації

Тема 3.5. Особливості організації захисту інформації на автономній робочій станції

Тема 3.6. Міжмережні засоби захисту інформаційних систем

Розділ 4. Організація захисту інформаційних систем

Тема 4.1. Ефективність систем інформаційної безпеки

Тема 4.2. Стадії організації системи інформаційної безпеки

Тема 4.3. Функціональна безпека інформаційних систем

Тема 4.4. Управління інформаційною безпекою

Тема 4.5. Етапи побудови системи інформаційної безпеки

Тема 4.6. Аудит  і сертифікація інформаційної безпеки

РЕКОМЕНДАЦІЇ СТУДЕНТАМ ЩОДО САМОСТІЙНОЇ РОБОТИ

ФОРМИ ТА ЗАСОБИ ПОТОЧНОГО ТА ПІДСУМКОВОГО КОНТРОЛЮ ЗНАНЬ СТУДЕНТІВ

ОРІЄНТОВНІ ТЕМИ РЕФЕРАТІВ

КОНТРОЛЬНІ ПИТАННЯ З КУРСУ

Питання до рубіжного та підсумкового контролю

Терміни і визначення

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

ПОЯСНЮВАЛЬНА ЗАПИСКА

Інтерес до проблем захисту інформації останнім часом значно виріс. Це пов'язано з розширенням використання мереж, а, отже, і можливостей несанкціонованого доступу до інформації. У США випущений державний стандарт з цифрової криптографії (Data Encryption Standard, DES), в усьому  світі розробляються математичні методи, що дозволяють кодувати повідомлення в умовах експлуатації у відкритих мережах.

Актуальність проблеми захисту інформації пов'язана з ростом можливостей обчислювальної техніки. Розвиток засобів, методів і форм автоматизації процесів обробки інформації і масове застосування персональних комп'ютерів роблять інформацію значно вразливішою. Основними чинниками, що сприяють підвищенню її вразливості, є такі:

• збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп'ютерів і інших засобів автоматизації;

• зосередження в єдиних базах даних інформації різноманітного призначення і різноманітної належності;

• розширення кола користувачів, що мають безпосередній  доступ до ресурсів обчислювальної системи і масивів даних, що знаходяться у ній;

• ускладнення режимів роботи технічних засобів обчислювальних систем: широке впровадження мультипрограмного режиму, а також режиму поділу часу;

• автоматизація міжмашинного обміну інформацією, у тому числі на великих відстанях.

В умовах широкого застосування обчислювальної техніки і засобів обміну інформацією зростають можливості несанкціонованого використання або модифікації інформації. Це може призвести  до величезної шкоди, у зв'язку з чим, захисту інформації від несанкціонованого доступу приділяється усе більше уваги.

Особливо вразливі незахищені системи зв'язку, у тому числі обчислювальні мережі. Інформація, що циркулює у ній, може бути незаконно змінена, викрадена або знищена.

Розкриття комп'ютерних злочинів істотно ускладнюється їх специфічністю і тим, що цим питанням займаються, як правило, люди з незаплямованою репутацією, а також вони добре володіють тонкощами інформаційних технологій.

Для протидії комп'ютерним злочинам або хоча б для зменшення шкоди від них, необхідно грамотно обирати заходи та засоби забезпечення захисту інформації від навмисної руйнації, крадіжки, псування і несанкціонованого доступу. Необхідне знання основних законодавчих положень у цій області: організаційних, економічних та інших заходів по забезпеченню безпеки інформації.

Знання та навички щодо тематики даного навчального курсу дозволять більш чітко усвідомити знання тематики інших навчальних дисциплін, що вивчаються у вищому навчальному закладі.

Слід також зазначити, що проблематика програми належить до таких соціальних відносин, які бурхливо розвиваються як в інженерно-технічному, так і в організаційно-правовому аспектах.

Враховуючи, що курс програми має відкритий зміст, у ньому забороняється використовувати інформацію закритого (таємного) змісту (відповідно до Закону України «Про державну таємницю»).

У зв'язку з тим, що в Україні проблематика навчального курсу ще не знайшла достатнього висвітлення у науково-практичній літературі державною мовою, у списках літератури подаються переважно російськомовні джерела.

 МЕТА І ЗАВДАННЯ КУРСУ ЙОГО МІСЦЕ В НАВЧАЛЬНОМУ ПЛАНІ

Дисципліна “ Захист інформації та програмних продуктів” призначена для підготовки спеціалістів, що навчаються за спеціальністю - “ Менеджмент організацій ” спеціалізації -  “Інформаційні і управляючі системи в менеджменті ”.

Мета і завдання дисципліни. У результаті вивчення дисципліни студенти повинні ознайомитись з основними питаннями сучасної теорії та практики захисту інформації: основні поняття захисту, методи і засоби захисту, основи проектування систем захисту, основи нормативно-правових знань з захисту інформації.

1.1. Завдання вивчення дисципліни. Полягають у набутті студентами знань основних понять захисту інформації, методів та засобів захисту інформації, основ проектування та побудови систем захисту інформації, основних правових проблем захисту інформації, вміння працювати з літературою з питань захисту інформації.

1.2. В результаті вивчення дисципліни студент повинен

Знати основні поняття захисту, методи і засоби захисту, основи проектування систем захисту, основи нормативно-правових знань з захисту інформації.

Вміти використовуватиметоди і засоби захисту, основи нормативно-правових знань з захисту інформації.

1.3. Предмет навчальної дисципліни. Ефективного функціонування існуючої в Україні галузі оподаткування, можна досягти за умови її глибокої модернізації, одним із найважливіших складників якої є захист інформації. Бурхливий розвиток інформаційних технологій в останні десятиріччя вимагає відповідного розвитку загальноосвітньої інформаційної культури, зокрема, створення цілої системи навчання у навчальних установах всіх рівнів. Захист інформації завжди був необхідним атрибутом інформаційних технологій, що означає, що її необхідно також вивчати – сучасний фахівец повинен бути знайомий з основами захисту інформації. Як відомо, зараз в більшості країн світу в вищих навчальних установах введено підготовку зі спецільності із захисту інформації. Зараз відомі великі досягнення з теорії та практики захисту інформації, розроблено фундаментальні курси з криптології, теоретичних основ захисту інформації, числені практичні курси. Початковим загальним курсом для сучасних фахівців має бути курс “Основи захисту інформації в податковій службі”.

1.4. Місце курсу. Курс “ Захист інформації та програмних продуктів” є логічним продовженням курсу “Інформатика та КТ”. Дисципліна вимагає лише знань з загальних курсів математики і також знань з методів проектування та розробки інформаційних систем.

НАВЧАЛЬНО - ТЕМАТИЧНИЙ ПЛАН

Зміст програми

Вивчення тематики програми базується на певному рівні знань студентів з такої  навчальної дисципліни, як “Інформатика і КТ”, „Основи програмування”. Зазначена навчальна дисципліна є достатньою теоретичною базою щодо вивчення тематики даного курсу.

Розділ 1. Вступ

Тема 1.1. Історія проблеми захисту інформації, предмет захисту інформації

Інформація, її властивості та форми. Історія розвитку проблеми захисту інформації. Предмет захисту інформації. Поняття інформаційної безпеки. Цілі захисту інформації. Фактори, які обумовлюють необхідність захисту інформації.

Самостійна робота

Вивченя історії захисту інформації за матеріалами лекцій та літературою.

Література 20, 23, 24, 29, 30, 35.

Тема 1.2. Нормативно-правові акти  регулювання обігу та захисту інформації зарубіжних країн

Загальні поняття. Принципи побудови стандартів із захисту інформації. Розгляд історичного розвитку нормативно-технічних документів різних країн: “Оранжева книга“ Міністерства оборони США, “Європейські критерії”, Канадські документи, Російські документи, “Об’єднані критерії”.

Самостійна робота

Вивченя стану нормативного-правового захисту інформації за кордоном за матеріалами лекцій та літературою.

Література 1-3, 20, 26, 28, 30.

Тема 1.3. Законодавчі акти України та державне регулювання в Україні діяльності у галузі захисту інформації

Огляд законодавчих актів України, що регулюють відносини у галузі захисту інформації. Власність на інформацію. Ліцензування діяльності у галузі захисту інформації.

Самостійна робота

Вивченя законодавчої основи захисту інформації за матеріалами лекцій та літературою. Ознайомлення з основними ресурсами Internet по нормативно-правовому забезпеченню захисту інформації.

Література 4-17, 20, 26, 28.

Розділ 2. Загальні положення

Тема 2.1.Класифікація загроз інформації та інформаційним системам

Класифікаційні ознаки та класифікації загроз. Основні види загроз. Методи і моделі оцінки уразливості інформації. Конкретні типи уразливостей. Емпіричний підхід до оцінки загроз. Теоретичний підхід до оцінки загроз.

Самостійна робота

Засвоєння класифікації загроз інформації за матеріалами лекцій та літературою.

Література 1-3, 20, 26, 28, 30.

Тема 2.2. Типові загрози інформації та інформаційним системам

Види загроз і їхня системна класифікація. Загрози безпеці інформації в автоматизованих інформаційних системах. Основні джерела небезпеки для розподілених інформаційних систем. Класифікація шкідливих впливів, дій, вторгнень.

Самостійна робота

Вивчення типових загроз інформації за матеріалами лекцій та літературою.

Література 1, 3, 4, 21, 22, 25.

Тема 2.3. Системний підхід до задач інформаційної безпеки. Два погляди (іззовні та зсередини) на інформаційну безпеку

Системна класифікація моделей захисту. Компоненти науково-методологічної основи теорії захисту інформації. Узагальнена модель захисту інформації. Безпека компонентів ІС (погляд зсередини). Захист ІС від шкідливих впливів (погляд іззовні). Забезпечення політики безпеки в автоматизованих інформаційних системах. Методи і засоби захисту процесів, процедур і програм обробки інформації в корпоративній ІС. Модель нейтралізації загроз у виді системи з повним перекриттям. Моделі систем розмежування доступу до ресурсів ІС. Теоретико-емпіричний підхід до оцінки уразливості. Модель процесу порушення фізичної цілісності. Теоретико-емпірична модель несанкціонованого одержання інформації.

Самостійна робота

Засвоєня основ системного підходу до захисту інформації на основі матеріалу лекцій та літератури.

Література 1, 3, 4, 6.

Тема 2.4. Принципи захисту інформації. Принцип розумної достатності

Суть принципу достатнього захисту. Постановка задачі обґрунтування вимог до захисту інформації. Умова формулювання вимоги до захисту інформації. Характеристика основних класів по вимогах до захисту інформації в ІС. Типові схеми захисту. Методи оцінки параметрів інформації, що захищається. Показники, які необхідні для оцінки інформації. Методика визначення необхідного рівня захисту інформації з урахуванням показників обох видів.

Самостійна робота

Засвоєння принципів захисту інформації за матеріалами лекцій та літературою.

Література 4, 21.

Тема 2.5. Заходи і засоби забезпечення інформаційної безпеки

Загальна класифікація заходів і засобів захисту інформації (ЗЗІ). Способи впливу на дестабілізуючі фактори. Загальносистемна класифікація ЗЗІ. Системна класифікація технічних засобів захисту, характеристика програмних ЗЗІ. Функціональна й організаційна побудова ЗЗІ. Структурна побудова ЗЗІ.

Самостійна робота

Вивчення основних заходів і засобів захисту інформації за матеріалами лекцій та літературою.

Література 1, 3, 4, 6.

Розділ 3. Захист інформації в комп’ютерних системах і мережах

Тема 3.1. Адміністративно-організаційні методи захисту інформації

Адміністративне керування доступом до інформації в ІС. Поняття політики безпеки інформації. Політика безпеки в системах. Створення списку повноважень та списку доступу. Особливості захисту інформації в локальних обчислювальних мережах, в базах даних, при передачі інформації по каналах зв’язку. Структура та обов’язки служби безпеки. Технічне забезпечення служби безпеки.

Самостійна робота

Класифікація комп’ютерних систем за ступенем захисту. Організаційний та технічний захист інформації. Основи режимної роботи. Особливості захисту інформації шляхом адміністрування в ОС MS WINDOWS NT/2000/XP.

Література 1, 2, 4, 21, 22.

Тема 3.2. Нормативно-правові методи захисту інформації

Необхідність правового регулювання у сфері інформаційної безпеки. Організація підтримки захисту інформації на законодавчому та виконавчому  рівні. Здійснення діяльності у сфері захисту інформації.  

Самостійна робота

Вивчення законодачого забезпечення захисту інформації в Україні за матеріалами лекцій та зовнішніми джерелами.

Література 1, 4, 6, 21.

Тема 3.3. Фізичні заходи і засоби захисту інформації

Класифікація засобів фізичного обмеження доступу до інформаційних систем. Системи спостереження та контролю приміщень. Механічні пристрої обмеження доступу до ІС. Електромеханічні пристрої обмеження доступу. Електро-механічні пристрої обмеження доступу. Електронні пристрої обмеження доступу. Біометричні пристрої обмеження доступу.

Самостійна робота

Вивчення систем фізичного обмеження доступу до ІС за лекціями та літературою.

Література 1, 3, 4, 21.

Тема 3.4. Програмно-технічні засоби захисту інформації

Засоби контролю доступу до ресурсів ІС. Засоби виявлення несанкціонованих вторгнень в ІС. Засоби усунення наслідків несанкціонованих вторгнень. Системи парольного доступу до ІС. Організація парольного доступу. Рівні паролів. Недоліки та переваги парольного захисту.

Огляд антивірусних програм. Класифікація антивірусних програм. Корпоративні антивірусні пакети. Правила, що запобігають появі і поширенню комп’ютерних вірусів. Дії при зараженні комп’ютерним вірусом. Захист інформації шляхом резервного копіювання.

Криптографічні методи і засоби захисту. Визначення і принципи побудови криптографічних СЗІ. Визначення основних понять криптології. Класифікація атак на криптоалгоритми. Визначення поняття гамми шифру. Способи генерації непередбачених двійкових послідовностей. Сучасні симетричні й асиметричні криптосистеми. Асиметричні криптосистеми. Приклад узагальненої схеми Диффі-Хеллмана. Криптографічні протоколи. Алгоритм криптопротоколу для розподілу секретних сеансових ключів. Суть специфічних криптопротоколів. Приклади протоколів з частковим поділом секрету.

Електронний цифровий підпис. Протокол SKIP управління криптоключами. Комп'ютерна стеганографія.

Захист програмного забезпечення. Підходи до аналізу програмних реалізацій. Характеристика статичного методу. Динамічний метод аналізу програм. Етапи динамічного аналізу програм. Захист програм від вивчення. Захист від програмних впливів, що руйнують. Класи "шкідливих програм". Класифікація програмних закладок. Методи впровадження програмних закладок.

Лабораторна робота № 1

Тема: Інвентаризація ресурсів ІС під управлінням ОС MS Windows NT/2000/XP. Адміністрування ресурсами в  ОС MS Windows NT/2000/XP.

Мета: Набути вмінь і навичок роботи у адмініструванні ОС MS Windows NT/2000/XP, організації політики повноважень, управляння рівнями доступу та налагодження профілі користувачів.

Лабораторна робота № 2

Тема: Симетричні криптографічні системи. Шифри перестановок, підстановок, гамування.

Мета: Набути вмінь і навичок практичної роботи з найпростішими симетричними криптосистемами.

Лабораторна робота № 3

Тема: Антивірусні програми.

Мета: Набути вмінь і навичок практичної роботи з антивірусними програмами різних виробників. Здійснити порівняльний аналіз антивірусних програм.

Самостійна робота

1. Ідентифікація та автентифікація користувачів.

2. Встановлення паролів на операційну систему WINDOWS.

3. Встановлення паролів на Базову Систему Введення/Виведення (BIOS):

а) встановлення парольного захисту на завантаження операційної системи (тип захисту SYSTEM);

б) встановлення парольного захисту на доступ до BIOS і на змінах його настройок (тип захисту SETUP).

1. Встановлення паролів на документи текстового редактора WORD.

2. Встановлення паролів на документи табличного процесора EXCEL.

3. Зняття паролів.

4. Система криптографічного захисту RSA.

5. Існуючі антивірусні програми, їх порівняльний аналіз.

Література 1, 2, 4, 21-26.

Тема 3.5. Особливості організації захисту інформації на автономній робочій станції

Поняття доступу. Ідентифікація та автентифікація. Система парольного захисту, як основний захисний рубіж проти атак на комп’ютери. Основні загрози парольної системи. Недоліки та переваги парольного захисту.

Лабораторна робота № 4

Тема: Загальні поняття про парольні системи. Основні загрози парольної системи.

Мета: Набути вмінь і навичок роботи з парольними системами.

Самостійна робота

Ідентифікація та автентифікація користувачів з використанням систем парольного доступу.

Література 4, 21-26.

Тема 3.6. Міжмережні засоби захисту інформаційних систем

Засоби захисту інформації в мережі Internet. Застосування ідеології відкритого ключа для захисту інформації в Internet. Безпека комерційних операцій в Internet. Міжмережеві екрани. Різновиди комп'ютерних мережних технологій. Принципи розумної достатності інформаційної безпеки мережі Internet. Особливості побудови захищеної ОС у порівнянні з традиційними ОС мереж. Особливості функціонування міжмережевих екранів. Політики мережевої безпеки підприємства. Суть політики доступу до мережевих сервісів, її основні принципи. Політика реалізації МЕ, принципи заснування правил доступу до внутрішніх ресурсів. Функціональні вимоги до компонентів МЕ. Фільтруючий маршрутизатор. Приклад фільтрації по портах TCP і UDP трафіка SMTP і трафіка TELNET. Шлюз мережного рівня. Пакетна фільтрація в третій схемі МЭ на основі екранованого шлюзу. Програмні методи захисту. Можливі способи реалізації SKIP-захисту трафіка IP-пакетів. Мережні антивіруси. Мережні шифратори (VPN). Системи виявлення атак (IDS). Системи аналізу захищеності (Security Scanners). Системи аналізу змісту трафіку. Обманні системи (Decoy Systems). Системи контролю цілісності.

Лабораторна робота № 5

Тема: Налагодження безпечних параметрів доступу до Internet засобами MS Internet Explorer. Захист від атак через повідомлення електронної пошти.

Мета: Навчитись налагоджувати параметри безпечного доступу до сервісів мережі Inernet. Засвоїти принципи безпечного використання електронної пошти.  

Лабораторна робота № 6

Тема: Налагодження міжмережного екрану (МЕ) доступу до Internet у MS Windows NT/2000/XP.

Мета: Набути вмінь і навичок налагодження МЕ для роботи в Internet.

Самостійна робота

Підготовка до виконання практичного завдання. Оформлення протоколу виконання завдання.

Література 4, 21-26.

Розділ 4. Організація захисту інформаційних систем

Тема 4.1. Ефективність систем інформаційної безпеки

Показники ІБ. Критерії ефективності систем інформаційної безпеки. Економічна доцільність систем ІБ. Визначення і мета введення поняття „множина функцій захисту інформації”. Визначення і мета введення поняття „множина спеціальних задач захисту інформації”. Зміст вимоги повноти множини функцій і репрезентативності множини задач захисту інформації. Суть методики формування повної множини функцій захисту. Класи захисту інформації.

Самостійна робота

Вивчення методів оцінювання ефективності систем інформаційної безпеки за матеріалами лекцій і літературою.

Література 1, 2, 4, 21, 22.

Тема 4.2. Стадії організації системи інформаційної безпеки

Вибір засобів захисту в ІС. Запобігання порушенням. Виявлення порушень ІБ. Усунення наслідків порушень ІБ.

Ключові засоби контролю. Групи вимог до системи безпеки. Оцінка ризиків порушення безппеки. Умови ефективної реалізації системи інформаційної безпеки. Зміст документу про політику інформаційної безпеки.

Розподіл обов’язків для забезпечення інформаційної безпеки. Відслідковування основних погроз. Аналіз і спостереження за інцидентами в системі безпеки. Координація дій по захисту інформації. Ідентифікація ризиків, пов’язаних з підключенням стронніх організацій. Умови безпеки у контрактах із сторонніми організаціями. Класифікація ресурсів і контроль за дотриманням для відповідних ресурсів належного рівня конфіденційності. Безпека персоналу і користувачів. Реагування на події, які несуть потенційну загрозу безпеці інформації. Створення захищених зон. Захист обладнання.

Лабораторна робота № 7

Тема: Принципи організації ІБ за стандартом ISO17799.

Мета: Навчитись здійснювати аналіз ризиків ІБ, формулювати групи вимог до ІБ та визначати основні засоби реалізації заходів ІБ.

Лабораторна робота № 8

Тема: Розробка політики інформаційної безпеки.

Мета: Навчитись розробляти документи про політику інформаційної безпеки в організації.

Лабораторна робота № 9

Тема: Організація дій по реалізації ІБ за стандартом ISO17799.

Мета: Навчитись організовувати заходи ІБ з використанням комплексних засобів контролю і захисту ІС.

Самостійна робота

Підготовка до виконання практичних завдань. Оформлення протоколів виконання завдань.

Література 1, 2, 4, 21, 22.

Тема 4.3. Функціональна безпека інформаційних систем

Рівні функціональної безпеки. Сервіси безпеки. Загальні функціональні вимоги безпеки за стандартом ISO15408. Класи безпеки. Вимоги довіри безпеці. Рівні вимог до сервісів безпеки за стандартом ISO15408. Загальні припущення безпеки. Загальні погрози безпеці. Загальні елементи політики безпеки. Загальні цілі безпеки для об’єкту оцінки. Загальні цілі безпеки для середовища.

Профілі захисту для управління доступом. Профілі захисту для міжмережних екранів. Профілі захисту для систем активного аудиту. Використання анонімізаторів. Профілі захисту для випуску та управління сертифікатами.

Специфічні вимоги до безпеки операційних систем (ОС). Специфічні вимоги до безпеки систем управління баз даних (СУБД). Специфічні вимоги до безпеки віртуальних приватних мереж (VPN). Специфічні вимоги до безпеки віртуальних локальних мереж (VLAN). Специфічні вимоги до організації безпеки смарт-карток.

Лабораторна робота № 10

Тема: Загальні вимоги до сервісів безпеки за стандартом ISO15408.

Мета: Навчитись визначати рівні вимог до сервісів безпеки на основі припущень безпеки та оцінки погроз безпеці ІС.

Лабораторна робота № 11

Тема: Специфічні вимоги до сервісів безпеки, комбінацій та аплікацій сервісів безпеки за стандартом ISO15408.

Мета: Навчитись визначати профілі захисту ІС на основі специфічних вимог до сервісів безпеки, комбінацій та аплікацій сервісів безпеки.

Лабораторна робота № 12

Тема: Оцінка безпеки за стандартом ISO15408.

Мета: Навчитись застосовувати загальну схему оцінки безпеки ІС за функціональними вимогами та вимогами гарантованості.

Самостійна робота

Підготовка до виконання практичних завдань. Оформлення протоколів виконання завдань.

Література 1, 2, 4, 21, 22.

Тема 4.4. Управління інформаційною безпекою

Політика ІБ. Інфраструктура ІБ. Об’єкти управління ІБ. Інвентаризація ресурсів ІС. Класифікація ресурсів ІС. Робочі процедури і відповідальність. Системне планування. Захист від зловмисного програмного забезпечення (вірусів, троянських коней). Управління внутрішніми ресурсами. Управління мережами. Безпека носіїв даних. Передача інформації і програмного забезпечення. Бізнес вимоги для контролю доступу. Управління доступом користувача. Відповідальність користувачів. Контроль і управління віддаленого (мережного) доступу. Контроль доступу в операційну систему. Контроль і управління доступом до додатків. Моніторинг доступу і використання систем. Мобільні користувачі.

Лабораторна робота № 13

Тема: Адміністрування комп’ютерних систем і мереж за стандартом ISO 17799.

Мета: Навчитись планувати і здійснювати адміністративне управління системою ІБ на різних етапах взаємодії з ІС.

Лабораторна робота № 14

Тема: Управління доступом до комп’ютерних систем і мереж за стандартом ISO 17799.

Мета: Навчитись здійснювати управління доступом до ІС на різних рівнях на основі прийнятої політики ІБ.

Самостійна робота

Підготовка до виконання практичних завдань. Оформлення протоколів виконання завдань.

Література 1, 2, 4, 21, 22.

Тема 4.5. Етапи побудови системи інформаційної безпеки

Формулювання вимог. Визначення цілей. Визначення ресурсів. Реалізація. Оцінювання ефективності. Вимоги до безпеки систем. Безпека в прикладних системах. Захист файлів прикладних систем. Безпека в середовищі розробки і робочому середовищі. Питання планування безперебійної роботи організації. Виконання вимог законодавства. Перевірка безпеки інформаційних систем.

Лабораторна робота № 15

Тема: Вбудовування засобів безпеки та організація забезпечення безперебійної роботи за стандартом ISO 17799.

Мета:  Навчитись визначати і здійснювати поетапний план заходів по організації системи ІБ.

Самостійна робота

Підготовка до виконання практичного завдання. Оформлення протоколу виконання завдання.

Література 1, 2, 4, 21, 22.

Тема 4.6. Аудит  і сертифікація інформаційної безпеки

Поняття аудиту безпеки і цілі його проведення. Етапність робіт по проведенню аудиту безпеки інформаційних систем. Ініціація процедури аудиту. Збір інформації аудиту. Аналіз даних аудиту. Використання методів аналізу ризиків. Оцінка відповідності вимогам стандарту. Вироблення рекомендацій. Підготовка звітних документів. Структура звіту за наслідками аудиту безпеки ІС і аналізу ризиків. Методика аналізу захищеності. Початкові дані по обстежуваній ІС. Методи тестування системи захисту. Приклад політики безпеки.

Лабораторна робота № 16

Тема: Проведення аудиту безпеки інформаційної системи.

Мета: Навчитись аналізувати стан інформаційної безпеки ІС, формулювати рекомендації по забезпеченню інформаційної безпеки та складати аудиторський звіт за визначеною структурою.

Лабораторна робота № 17

Тема: Політика аудиту в MS Windows XP.

Мета: Навчитись налагоджувати аудит папок і файлів в MS Windows XP.

Самостійна робота

Підготовка до практичних занять.

Література 1-3, 27, 37, 38.

РЕКОМЕНДАЦІЇ СТУДЕНТАМ ЩОДО САМОСТІЙНОЇ РОБОТИ

Самостійна робота студентів складається з роботи з літературою (доповнення конспектів лекцій, написання рефератів) і на ПК.

Кожен студент повинен виконати індивідуальне завдання, погоджене з викладачем. Теми для самостійної роботи студентів (у тому числі індивідуальних завдань) та їх обсяг визначаються викладачем та робочою програмою.

Особлива увага під час самостійної роботи повинна приділятись набуттю навичок практичної роботи з різноманітним програмним забезпеченням, яке призначено для збереження інформації від несанкціонованого доступу.

ФОРМИ ТА ЗАСОБИ ПОТОЧНОГО ТА ПІДСУМКОВОГО КОНТРОЛЮ ЗНАНЬ СТУДЕНТІВ

Об‘єктивність оцінки знань студентів залежить від форм та засобів поточного й підсумкового контролю.

Форми проведення поточного контролю, їх періоди визначаються робочим планом викладача. Поточний контроль проводиться у вигляді заліків з практичних, лабораторних і самостійних робіт.

Форми підсумкового семестрового контролю визначаються навчальним планом спеціальності. Для даної спеціальності встановлено комплексна контрольна робота та заліки після завершенню вивчення дисципліни.

Критерії оцінки знань

Критерії оцінки успішності повинні відповідати навчальній програмі й найбільш важливим вимогам до знань студентів:

1. Знання фактів, явищ. Правильне, науково достовірне їх пояснення.

2. Оволодіння науковими термінами, поняттями, законами, методами, правилами; вміння користуватися ними при пояснені нових фактів, розв‘язуванні різних питань і виконанні практичних завдань.

3. Максимальна ясність, точність думки, вміння відстоювати свої погляди, захищати їх.

4. Знання повинні мати практичну значимість: застосування їх безпосередньо на комп‘ютері.

Усні відповіді повинні бути повними, логічними, доведеними. Письмові відповіді, у тому числі звіти з практичних і лабораторних, індивідуальних самостійних робіт, повинні бути виконані з точним дотриманням методичних вказівок, інструкцій, акуратно оформлені.

При перевірці відповідей викладач має оцінювати рівень знань по кожному питанню.

ОРІЄНТОВНІ ТЕМИ РЕФЕРАТІВ

1. Концептуальні основи забезпечення інформаційної безпеки України.

2. Антивірусна програма Dr Weber. Встановлення програми, призначення головних пунктів меню, технологія використання. Поновлення баз даних.

3. Антивірусна програма AntiViral Toolkit Pro (AVP). Встановлення програми, призначення головних пунктів меню, технологія використання. Поновлення баз даних.

4. Антивірусна програма Norton AntiVirus 2001. Встановлення програми, призначення головних пунктів меню, технологія використання. Поновлення баз даних.

5. Захист інформації від несанкціонованого доступу. Загальний огляд.

6. Захист інформації в мережі Internet.

7. Захист інформації від несанкціонованого копіювання.

8. Комп’ютерні віруси і боротьба з ними.

9. Програми-реаніматори. Загальний огляд.

10. Програма архіватор Winrar. Технологія використання.

11. Програма архіватор Winzip. Технологія використання.

12. Сучасні програми архіватори. Порівняльний аналіз.

13. Комп’ютерні віруси, їх характеристика та захист від них.

14. Комп’ютерні віруси. Сучасні антивірусні програми. Порівняльна характеристика.

15. Особливості використання антивірусних програм в корпоративних мережах та в мережі Internet.

16. Комп’ютерна злочинність, її класифікація.

17. Комп’ютерні злочинці.

18. Методи захисту інформації на магнітних носіях.

19. Сучасні методи захисту інформації в ПК.

20. Призначення, створення та технологія використання електронного підпису.

21. Відновлення знищених файлів в ОС MS-DOS,Windows.

22. Технічні засоби захисту у комп’ютерних системах.

23. Програмні засоби захисту інформації у комп’ютерних системах.

24. Нові інформаційні технології та комп’ютерна злочинність.

25. Способи здійснення комп’ютерних злочинів.

26. Профілактика та застереження комп’ютерних злочинів.

27. Промислово-економічний шпіонаж та комп’ютерна злочинність.

28. Правові, психологічні та техніко-кримінальні аспекти комп’ютерної злочинності.

29. Правові засоби боротьби з комп’ютерною злочинністю.

30. Основні принципи побудови захисту інформації в інформаційних системах.

31. Організаційні і режимні засоби захисту інформації в комп’ютерних системах.

32. Захист інформації в ПК шляхом використання паролів.

33. Криптографічні методи захисту інформації.

34. Система криптографічного захисту RSA.

35. Шифрування файлів та їх розшифрування в електронній пошті за допомогою програми Outloоk Express в Internet Explorer.

36. Принцип достатнього захисту.

37. Захист інформації шляхом адміністрування.

38. Створення локальних профілів користувачів в ОС WINDOWS 98 та WINDOWS NT/XP.

39. Захист інформації в корпоративних мережах.

40. Технологія використання редактора системних правил POLEDIT.

41. Особливості захисту інформації при використанні мережі Internet.

42. Захист мовної інформації.

КОНТРОЛЬНІ ПИТАННЯ З КУРСУ

1. Інформація, її властивості та форми.

2. Історія розвитку проблеми захисту інформації.

3. Визначення предмету захист інформації.

4. Загрози комп’ютерній інформації: перехоплення, несанкціонований доступ, маніпулювання, крадіжка, комп’ютерний саботаж.

5. Класифікація наслідків несанкціонованого доступу.

6. Види заходів по забезпеченню безпеки інформації у податковїй службі України.

7. Розгляд історичного розвитку нормативно-технічних документів різних країн: “Оранжева книга“ Міністерства оборони США; “Канадські критерії”; “Європейські критерії”; “Об’єднаний критерій”.

8. Огляд законодавчих актів України, що регулюють відносини у питаннях захисту інформації.

9. Використання правової інформаційної системи “Ліга” для пошуку необхідних законодавчих актів з проблем захисту інформації.

10. Система парольного захисту, як основний захисний рубіж проти атак на комп’ютери.

11. Недоліки парольного захисту ОС WINDOWS 98?

12. Як зробить парольний захист ОС WINDOWS 98 більш надійним?

13. Технологія встановлення паролів в ОС WINDOWS 98 і ОС WINDOWS NT.

14. Парольні руйнівники. Використання сканерів.

15. Встановлення паролів на операційну систему WINDOWS 98.

16. Встановлення паролів на Базову Систему Введення/Виведення (BIOS): А) встановлення парольного захисту на завантаження операційної системи (тип захисту SYSTEM); Б) встановлення парольного захисту на доступ у BIOS і для зміни його настройок (тип захисту SETUP).

17. Захист документів редактора WORD за допомогою настройок програми.

18. Захист документів табличного процесора EXCEL за допомогою настройок програми.

19. Історія створення і розвитку комп’ютерних вірусів.

20. Класифікація вірусних програм.

21. Хто створює комп’ютерні віруси?

22. Схема дії вірусних програм.

23. Засоби боротьби з комп’ютерними вірусами.

24. Методи захисту від вірусу.

25. Правила, що запобігають появі і поширенню комп’ютерних вірусів.

26. Дії при зараженні комп’ютерним вірусом.

27. Використання антивірусних програм, що працюють в операційній системі Windows: Doctor Weber, Antiviral Toolkit Pro (AVP), Norton Antivirus 2001: А.Встановлення програм. Б.Призначення головних пунктів меню. С.Технологія використання. Д. Поновлення баз даних.

28. Необхідність резервного копіювання даних і програм.

29. Застосування програм архіваторів для стиснення даних та створення резервних копій.

30. Розміщення резервних копій на зовнішніх носіях або у WEB-папках на віддалених серверах.

31. Існуючі програми-архіватори, їх порівняльний аналіз.

32. Створення ZIP-архіву на жорсткому диску.

33. Створення exe – архіву за допомогою ZIP-програм.

34. Створення розподіленого ZIP-архіву.

35. Вибирання файлів із ZIP-архіву.

36. Перегляд файлів у формати ZIP.

37. Захист ZIP-архіву.

38. Технологія використання архіватора WINRAR.

39. Принцип достатнього захисту. Ненадійність захисту за допомогою ключів.

40. Суть принципу достатнього захисту.

41. Основи роботи з локальною комп’ютерною мережею.

42. Використання периферійних пристроїв  загального користування.

43. Класифікація комп’ютерних систем за ступенем захисту.

44. Визначення політики безпеки.

45. Права та обов’язки системного адміністратора.

46. Розв’язання практичних задач, пов’язаних з порушенням прийнятої політики безпеки.

47.  Шифрування даних. Симетричні і несиметричні системи шифрування. Відкритий и закритий ключі.

48. Шифрування файлів та їх розшифрування в електронній пошті за допомогою програми Outlook Express в Internet Explorer.

49. Створення локальних профілів для декількох користувачів одного ПК ( ОС Windows 98).

50. Створення локального профілю для кожного користувача, який працює в мережі (ОС Windows NT).

51. Загальні поняття про редактор системних правил POLEDIT.

52. Призначення електронного підпису.

53. Принцип створення електронного підпису та технологія його використання.

54. Електронний підпис. Призначення відкритого і закритого ключів.

55. Необхідність використання комп’ютерних мереж.

56. Поняття міжмережного екрану і схема його розміщення.

57. Компоненти міжмережних екранів.

58. Автентифікація користувачів.

59. Вибір розумного рівня безпеки при роботі з мережею Internet.

60. Можливості відновлення знищених файлів при використанні операційної системи MS DOS.

61. Використання атрибутів файлу для захисту інформації.

62. Використання спеціалізованих програмних продуктів для захисту окремих дисків та каталогів.

Системи і об’єкти захисту інформації.

1. Функції системи захисту інформації.

2. Об’єкти захисту інформації в інформаційних системах.

3. Суб’єкти атак на інформаційні системи.

Уразливості інформаційних систем і програмного забезпечення.

1. Уразливість інформаційної системи.

2. „Дірки” в операційних системах.

3. Недостатня ідентифікація.

4. Недостатня аутентифікація.

5. Активні дані.

6. Нерозвинений моніторинг.

7. Недостатній контроль безпеки.

Класифікація інформаційних погроз.

1. Погроза інформаційній системі.

2. Ненавмисні погрози.

3. Навмисні погрози.

4. Атака на інформаційну систему.

5. Погроза розкриття (конфіденційності програм і даних).

6. Погроза цілісності даних і програм.

7. Погроза доступності (відмови в обслуговуванні).

8. Погроза відмови від виконання транзакцій.

9. За характером впливу: пасивні і активні.

10. За метою впливу: порушення конфіденційності інформації або ресурсів системи; порушення цілісності інформації; порушення працездатності (доступності).

11.  За умовою початку здійснення впливу: атака за запитом від об'єкта, що атакується; атака по настанню очікуваної події на об'єкті, що атакується; безумовна атака.

12. За наявністю зворотного зв’язку з об’єктом, що атакується: із зворотним зв'язком; без зворотного зв'язку.

13. За розташуванням об’єкта атаки: внутришньосегментне; міжсегментне.

14. За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив: фізичний; канальний; мережний; транспортний; сесійний; представницький; прикладний.

15. За принципом впливу: з використанням доступу до системи; з використаням прихованих каналів.

16. За способом впливу на об’єкт: безпосередній вплив на об’єкт; вплив на систему дозволів (в т. ч. захоплення).

17. За режимом впливу: в інтерактивному режимі; в пакетному режимі.

18. За станом об’єкту атаки: під час збереження об’єкту на носіях; під час передачі об’єкту каналами зв’язку; під час обробки об’єкту.

19. Несанкціонований доступ.

20. Погрози легального доступу.

21. Попереднє зондування.

22. „Підозріла” мережна активність.

23. Шкідливі програми.

24. Віруси.

25. „Бактерії”.

26. „Черви”.

27. „Троянські” програми.

28. „Жадібні” програми.

29. Перехоплювачі паролів.

30. Логічні бомби.

31. „Лазівки”.

32. „Маскарад”.

33. „Збирання сміття”.

34. Зламування системи.

35. Люки (програмні закладки).

Методи і засоби захисту інформаційних систем і програмного забезпечення.

Класифікація і загальна характеристика  методів і засобів забезпечення інформаційної безпеки.

108. Організаційні методи забезпечення інформаційної безпеки (ІБ).

109. Програмно-технічні методи забезпечення інформаційної безпеки (ІБ).

110. Нормативно-правові методи забезпечення інформаційної безпеки (ІБ).

111. Фізичні методи забезпечення інформаційної безпеки (ІБ).

Методи і засоби захисту інформаційних систем і програмного забезпечення.

112. Моделі захищеності інформаційних систем (ІС).

113. Ідентифікація та аутентифікація об’єктів і суб’єктів інформаційної системи.

114. Парольний доступ до інформаційних систем.

115. Криптографічний захист інформації.

116. Шифрування даних. Симетричні та несиметричні системи шифрування. Відкритий та  закритий ключі.

117. Технологія використання криптографічних таблиць Вежинера.

118. Динамічний метод аналізу програм. Етапи динамічного аналізу програм.

119. Захист програм від вивчення.

120. Класи способів захисту від налагодження і дизассемблирования. Спосіб динамічного перетворення програми під час її виконання.

121. Захист від програмних впливів, що руйнують.

122. Класифікація програмних закладок.

123. Методи впровадження програмних закладок.

124. Основні поняття ММС.

125. Призначення ММС.

126. Параметри ММС.

127. Використання оснастки „Групова політика”.

128. Компоненти оснастки „Групова політика”.

129. Використання оснастки „Аналіз та налагодження безпеки”.

130. Аналіз безпеки.

131. Налагодження безпеки системи на основі MS Windows XP.

132. Параметри безпеки MS Windows XP.

133. Засоби управління налагодженням безпеки.

134. Шаблони безпеки.

135. Готові шаблони безпеки.

136. Аналіз безпеки системи на базі MS Windows XP.

137. Журнали подій MS Windows XP.

138. Налагодження параметрів подій, що заносяться в журнал.

139. Включення журналу безпеки.

140. Налагодження аудита файлів і папок.

141. Вибір файлів і папок для аудита.

142. Припинення роботи комп’ютера при переповненні журналу безпеки.

143. Додавання елементу на нову консоль ММС.

144. Виявлення атак на ІС.

145. Усунення наслідків атак на ІС.

Особливості погроз і захисту розподілених інформаційних систем.

146. Віддалені атаки на інформаційні системи та їх підвиди.

147. Об’єкти віддалених атак у розподілених інформаційних системах (ІС).

148. Типові віддалені атаки на ІС.

149. Аналіз мережного трафіку.

150. Підміна довіреного об’єкта чи суб’єкта розподіленої ІС.

151. Вбудовування в розподілену ІС хибного об'єкта шляхом нав'язування хибного маршруту.

152. Вбудовування в розподілену ІС хибного об'єкта шляхом використання недоліків алгоритмів віддаленого пошуку.

153. Використання хибного об'єкта для організації віддаленої атаки на  розподілену ІС.

154. Відмова в обслуговуванні.

155. Мережні „черви”.

156. Основні недоліки захисту розподілених ІС.

157. Програмно-апаратні засоби захисту від віддалених атак у Интернеті.

158. Апаратні шифратори мережного трафіку.

159. Методика Firewall, реалізована на базі програмно-апаратних засобів.

160. Захищені мережні криптопротоколы.

161. Програмно-апаратні аналізатори мережного трафіка.

162. Захищені мережні ОС.

Стадії захисту та рівні інформаційної безпеки.

163. Захист на стадії проектування інформаційної системи.

164. Захист на стадії впровадження інформаційної системи.

165. Захист на стадії експлуатації інформаційної системи.

166. Захист на стадії виводу з експлуатації інформаційної системи.

167. I рівень моделі об’єктів інформаційної безпеки.

168. II рівень моделі об’єктів інформаційної безпеки.

169. III рівень моделі об’єктів інформаційної безпеки.

170. IV рівень моделі об’єктів інформаційної безпеки.

171. V рівень моделі об’єктів інформаційної безпеки.

172. VI рівень моделі об’єктів інформаційної безпеки.

173. VII рівень моделі об’єктів інформаційної безпеки.

174. I рівень моделі ISO/OSI.

175. II рівень моделі ISO/OSI.

176. III рівень моделі ISO/OSI.

177. IV рівень моделі ISO/OSI.

178. V рівень моделі ISO/OSI.

179. VI рівень моделі ISO/OSI.

180. VII рівень моделі ISO/OSI.

Етапи створення системи інформаційної безпеки.

181. Аудит безпеки інформаційної системи (ІС): обстеження, аналіз ризиків та планування невідкладних заходів.

182. Проектування інформаційної системи: об’єктний, прикладний та змішаний підходи.

183. Стратегії захисту ІС: ресурсний і сервісний підхід.

184. Впровадження і атестування системи захисту ІС.

185. Технічна підтримка і супроводження захищеної ІС.

Стандартизація і сертифікація у сфері захисту програмних засобів та інформаційних систем.

 Критерії та показники інформаційної безпеки.

186. Кількісні показники оцінки рівня інформаційної безпеки.

187. Імовірність події.

188. Імовірність досягненя результату не нижче визначеного рівня.

189. Середній квадрат відхилення результату від заданного рівня.

190. Математичне очікуваня результату.

191. Дисперсія результату.

192. Середній ризик.

193. Класифікаційний підхід до оцінки ефективності інформаційної безпеки.

194. Критерії ефективності інформаційної безпеки.

195.  Прийнятний та найкращий результат.

196. Найбільша імовірність та допустима гарантія результата.

197. Найкращий та допустимий середній результат.

198. Економічне обгрунтування системи захисту інформації.

Нормативно-правове забезпечення інформаційної безпеки.

199. Міжнародні організації, які займаються питаннями інформаційної безпеки.

200. Державні установи, які регулюють діяльність у галузі інформаційної безпеки.

201. Закони та інші нормативні документи України у галузі безпеки інформації.

202. Нормативне регулювання у галузі інформаційної в країнах СНД.

Система стандартів в галузі інформаційної безпеки.

203. Міжнародні стандарти і рекомендації у галузі інформаційної безпеки.

204. Національні стандарти у галузі інформаційної безпеки.

205. Стандарти у галузі інформаційної безпеки країн СНД.

Узагальнені критерії інформаційної безпеки (за стандартом ISO 15408).

206. Цільова орієнтація стандарту ISO15408.

207. Структура стандарту ISO15408.

208. Можливості і обмеження застосування стандарту ISO15408.

209. Концепція стандарту ISO15408.

210. Схема оцінки безпеки за стандартом ISO15408.

211. Класи функціональних вимог до сервісів безпеки за стандартом ISO15408.

212. Рівні вимог до сервісів безпеки за стандартом ISO15408.

213. Загальні припущення безпеки.

214. Загальні погрози безпеці.

215. Загальні елементи політики безпеки.

216. Загальні цілі безпеки для об’єкту оцінки.

217. Загальні цілі безпеки для середовища.

218. Загальні функціональні вимоги безпеки за стандартом ISO15408. Класи безпеки.

219. Загальні вимоги довіри безпеці.

220. Профілі захисту для управління доступом.

221. Профілі захисту для міжмережних екранів.

222. Профілі захисту для систем активного аудиту.

223. Використання анонімізаторів.

224. Профілі захисту для випуску та управління сертифікатами.

225. Специфічні вимоги до безпеки операційних систем (ОС).

226. Специфічні вимоги до безпеки систем управління баз даних (СУБД).

227. Специфічні вимоги до безпеки віртуальних приватних мереж (VPN).

228. Специфічні вимоги до безпеки віртуальних локальних мереж (VLAN).

229. Специфічні вимоги до організації безпеки смарт-карток.

Організаційне управління інформаційною безпекою (за стандартом ISO 17799).

230. Направленість стандарту ISO 17799.

231. Суть інформаційної безпеки.

232. Структура стандарту ISO 17799.

233. Область використання стандарту ISO 17799.

234. Ключові засоби контролю.

235. Групи вимог до системи безпеки.

236. Оцінка ризиків порушення безпеки.

237. Умови ефективної реалізації системи інформаційної безпеки.

238. Зміст документу про політику інформаційної безпеки.

239. Інфраструктура інформаційної безпеки за стандартом ISO 17799.

240. Безпека доступу сторонніх організацій за стандартом ISO 17799.

241. Інвентаризація ресурсів та грифи секретності.

242. Безпека персоналу і навчання користувачів.

243. Реагування на небезпечні події.

244. Фізичний захист периметрів.

245. Фізичний захист обладнання.

246. Операційні процедури та обов’язки.

247. Планування систем та їх приймання.

248. Захист від шкідливого програмного забезпечення.

249. Обслуговування систем.

250. Мережне адміністрування.

251. Оперування з носіями інформації та їх захист.

252. Обмін даними і програмами.

253. Виробничі вимоги до управління доступом до систем.

254. Управління доступом користувачів.

255. Обов’язки користувачів.

256. Управління доступом до мережі.

257. Управління доступом до комп’ютерів.

258. Управління доступом до додатків.

259. Спостереження за доступом до систем та їх використанням.

260. Вимоги до безпеки систем.

261. Безпека в прикладних системах.

262. Захист файлів прикладних систем.

263. Безпека в середовищі розробки і робочому середовищі.

264. Питання планування безперебійної роботи організації.

265. Виконання вимог законодавства.

266. Перевірка безпеки інформаційних систем.

267. Аудит систем.

Аудит і сертифікація систем інформаційної безпеки.

268. Мета проведення аудиту ІС.

269. Етапи аудиту ІС.

270. Підходи до аналізу даних аудиту безпеки ІС.

271. Розділи звіту про аудит ІС.

272. Типова методика аналізу захищеності ІС.

273. Вхідні дані для проведення аудиту ІС.

274. Методи тестування ІС.

Питання до рубіжного та підсумкового контролю

1. Інформація, її властивості та форми.

2. Історія розвитку проблеми захисту інформації.

3. Визначення предмету захист інформації.

4. Загрози комп’ютерній інформації: перехоплення , несанкціонований доступ, маніпулювання, крадіжка, комп’ютерний саботаж.

5. Класифікація наслідків несанкціонованого доступу.

6. Види заходів по забезпеченню безпеки інформації у податковїй службі України.

7. Розгляд історичного розвитку нормативно-технічних документів різних країн: “Оранжева книга “ Міністерства оборони США, “Канадські критерії”, “Європейські критерії”, “Об’єднаний критерій”.

8. Огляд законодавчих актів України, що регулюють відносини у питаннях захисту інформації.

9. Використання правової інформаційної системи “Ліга” для пошуку необхідних законодавчих актів з проблем захисту інформації.

10. Система парольного захисту, як основний захисний рубіж проти атак на комп’ютери.

11. Недоліки парольного захисту ОС WINDOWS 98?

12. Технологія встановлення паролів в ОС WINDOWS 98 і ОС WINDOWS NT.

13. Встановлення паролів на Базову Систему Введення/Виведення (BIOS): А) встановлення парольного захисту на завантаження операційної системи (тип захисту SYSTEM); Б) встановлення парольного захисту на доступ у BIOS і для зміни його настройок (тип захисту SETUP).

14. Захист документів редактора WORD за допомогою настройок програми.

15. Захист документів табличного процесора EXCEL за допомогою настройок програми.

16. Історія створення і розвитку комп’ютерних вірусів.

17. Класифікація вірусних програм.

18. Хто створює комп’ютерні віруси?

19. Схема дії вірусних програм.

20. Засоби боротьби з комп’ютерними вірусами.

21. Методи захисту від вірусу.

22. Правила, що запобігають появі і поширенню комп’ютерних вірусів.

23. Дії при зараженні комп’ютерним вірусом.

24. Використання антивірусних програм, що працюють в операційній  системі Windows: Doctor Weber, Antiviral Toolkit Pro (AVP), Norton Antivirus 2001: А.Встановлення програм. Б.Призначення головних пунктів меню. С.Технологія використання. Д. Поновлення баз даних.

25. Необхідність резервного копіювання даних і програм.

26. Застосування програм архіваторів для стиснення даних та створення резервних копій.

27. Розміщення резервних копій на зовнішніх носіях або у WEB-папках на віддалених серверах.

28. Існуючі програми-архіватори, їх порівняльний аналіз.

29. Створення ZIP-архіву на жорсткому диску.

30. Створення .exe – архіву за допомогою ZIP-програм.

31. Створення розподіленого ZIP-архіву.

32. Вибирання файлів із ZIP-архіву.

33. Перегляд файлів у формати .ZIP.

34. Захист ZIP-архіву.

35. Технологія використання архіватора WINRAR.

36. Принцип достатнього захисту. Ненадійність захисту за допомогою ключів.

37. Суть принципу достатнього захисту.

38. Основи роботи з локальною комп’ютерною мережею.

39. Визначення політики безпеки.

40. Права та обов’язки системного адміністратора.

41. Розв’язання практичних задач, пов’язаних з порушенням прийнятої політики безпеки.

42. Інформація, її властивості та форми.

43. Історія розвитку проблеми захисту інформації.

44. Визначення предмету захист інформації.

45. Загрози комп’ютерній інформації: перехоплення , несанкціонований доступ, маніпулювання, крадіжка, комп’ютерний саботаж.

46. Класифікація наслідків несанкціонованого доступу.

47. Види заходів по забезпеченню безпеки інформації.

48. Розгляд історичного розвитку нормативно-технічних документів різних країн: “Оранжева книга“ Міністерства оборони США, “Канадські критерії”, “Європейські критерії”, “Об’єднаний критерій”.

49. Огляд законодавчих актів України, що регулюють відносини у питаннях захисту інформації.

50. Використання правової інформаційної системи “Ліга” для пошуку необхідних законодавчих актів з проблем захисту інформації.

51. Система парольного захисту, як основний захисний рубіж проти атак на комп’ютери.

52. Недоліки парольного захисту ОС WINDOWS 98?

53. Як зробить парольний захист ОС WINDOWS 98 більш надійним?

54. Технологія встановлення паролів в ОС WINDOWS 98 і ОС WINDOWS NT.

55. Парольні руйнівники. Використання сканерів.

56. Встановлення паролів на операційну систему WINDOWS 98.

57. Встановлення паролів на Базову Систему Введення/Виведення (BIOS): А) встановлення парольного захисту на завантаження операційної системи (тип захисту SYSTEM); Б) встановлення парольного захисту на доступ у BIOS і для зміни його настройок (тип захисту SETUP).

58. Захист документів редактора WORD за допомогою настройок програми.

59. Захист документів табличного процесора EXCEL за допомогою настройок програми.

60. Історія створення і розвитку комп’ютерних вірусів.

61. Класифікація вірусних програм.

62. Хто створює комп’ютерні віруси?

63. Схема дії вірусних програм.

64. Засоби боротьби з комп’ютерними вірусами.

65. Методи захисту від вірусу.

66. Правила, що запобігають появі і поширенню комп’ютерних вірусів.

67. Дії при зараженні комп’ютерним вірусом.

68. Використання антивірусних програм, що працюють в операційній  системі Windows: Doctor Weber, Antiviral Toolkit Pro (AVP), Norton Antivirus 2001: А.Встановлення програм. Б.Призначення головних пунктів меню. С.Технологія використання. Д. Поновлення баз даних.

69. Необхідність резервного копіювання даних і програм.

70. Застосування програм архіваторів для стиснення даних та створення резервних копій.

71. Розміщення резервних копій на зовнішніх носіях або у WEB-папках на віддалених серверах.

72. Існуючі програми-архіватори, їх порівняльний аналіз.

73. Створення ZIP-архіву на жорсткому диску.

74. Створення .exe – архіву за допомогою ZIP-програм.

75. Створення розподіленого ZIP-архіву.

76. Вибирання файлів із ZIP-архіву.

77. Перегляд файлів у формати .ZIP.

78. Захист ZIP-архіву.

79. Технологія використання архіватора WINRAR.

80. Принцип достатнього захисту. Ненадійність захисту за допомогою ключів.

81. Суть принципу достатнього захисту.

82. Основи роботи з локальною комп’ютерною мережею.

83. Використання периферійних пристроїв загального користування.

84. Класифікація комп’ютерних систем за ступенем захисту.

85. Визначення політики безпеки.

86. Права та обов’язки системного адміністратора.

87. Розв’язання практичних задач, пов’язаних з порушенням прийнятої політики безпеки.

88. Шифрування даних. Симетричні і несиметричні системи шифрування. Відкритий и закритий ключі.

89. Шифрування файлів та їх розшифрування в електронній пошті за допомогою програми Outlook Express в Internet Explorer.

90. Створення локальних профілів для декількох користувачів одного ПК (ОС Windows 98).

91. Створення локального профілю для кожного користувача, який працює в мережі (ОС Windows NT/XP).

92. Загальні поняття про редактор системних правил POLEDIT.

93. Призначення електронного підпису.

94. Принцип створення електронного підпису та технологія його використання.

95. Електронний підпис. Призначення відкритого і закритого ключів.

96. Необхідність використання комп’ютерних мереж.

97. Поняття міжмережного екрану і схема його розміщення.

98. Компоненти міжмережних екранів.

99. Автентифікація користувачів.

100. Вибір розумного рівня безпеки при подорожуванні по мережі Internet.

101. Можливості відновлення знищених файлів при використанні операційної системи MS DOS.

102. Використання атрибутів файлу для захисту інформації.

103. Використання спеціалізованих програмних продуктів для захисту окремих дисків та каталогів.

Питання для підсумкового контролю

Терміни і визначення

Основні поняття

Обчислювальна система; ОС (computer system) – сукупність програмних-апаратних засобів, призначених для обробки інформації.

Інформаційна (автоматизована) система – організаційно-технічна система, яка реалізує технологію обробки інформації за допомогою засобів обчислювальної техніки (електронно-обчислювальних машин, у тому числі персональних, електронно-обчислювальних систем, комп’ютерних мереж) та програмного забезпечення.

Автоматизована система; АС (automated system) – організаційно-технічна система, що реалізує інформаційну технологію і об’єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється.

Комп’ютерна система; КС (computer system, target of evaluation) –сукупність програмно-апаратних засобів, яка подана для оцінки.

Політика безпеки інформації (information security policy) – сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.

Загроза (threat) – будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.

Безпека інформації (information security) – стан інформації, в якому забезпечується збереження визначених політикою безпеки властивостей інформації.

Захист інформації в АС (information protection, information security, computer system security) – діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.

Комплексна система захисту інформації (КСЗІ) – складова частина інформаційної та телекомунікаційної системи (ІТС), що являє собою сукупність організаційних, технічних, криптографічних та інших систем, спрямованих на забезпечення захисту інформації.

Комплекс засобів захисту; КЗЗ (trusted computing base; TCB) – сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.

Захищена  комп’ютерна система; захищена КС (trusted computer system, trusted computer product) – комп’ютерна система, яка здатна забезпечувати захист оброблюваної інформації від певних загроз.

Користувач (user) – фізична особа, яка може взаємодіяти з КС через наданий їй інтерфейс.

Потік інформації (information flow) – передавання інформації від одного до іншого об’єкта КС.

Доступ до інформації (access to information) – вид взаємодії двох об’єктів КС, внаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи.

Правила розмежування доступу; ПРД (access mediation rules) – частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів.

Санкціонований доступ до інформації (authorized access to information) – доступ до інформації, що не порушує ПРД.

Несанкціонований доступ до інформації; НСД до інформації (unauthorized access to information) – доступ до інформації, здійснюваний з порушенням ПРД.

Захист від несанкціонованого доступу; захист від НСД (protection from unauthorized access) – запобігання або істотне утруднення несанкціонованого доступу до інформації.

Керування доступом (access control) – сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням ПРД.

Розмежування доступу (access mediation) – сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі ПРД можливості надання доступу.

Авторизація (authorization) – надання повноважень; встановлення відповідності між повідомленням (пасивним об’єктом) і його джерелом (створившим його користувачем або процесом).

Адміністратор (administrator, administrative user) – користувач, роль якого включає функції керування КС і/або КЗЗ.

Адміністратор безпеки (security administrator) – адміністратор, відповідальний за дотримання політики безпеки.

Порушник (user violator) – користувач, який здійснює несанкціонований доступ до інформації.

Властивості інформації і загрози

Ознайомлення (disclosure) – одержання користувачем або процесом інформації, що міститься в об’єкті.

Модифікація (modification) – зміна користувачем або процесом інформації, що міститься в об’єкті.

Критична інформація (sensitive information) – інформація, що вимагає захисту; будь-яка інформація, втрата або неправильне використання якої (модифікація, ознайомлення) може нанести шкоду власникові інформації або АС, або будь-якій іншій фізичній (юридичній) особі чи групі осіб.

Конфіденційність інформації (information confidentiality) – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.

Цілісність інформації (information integrity) – властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і/або процесом.

Цілісність системи (system integrity) – властивість системи, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

Доступність (availability) – властивість ресурсу системи (КС, послуги, об’єкта КС, інформації), яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і в той час, коли він йому необхідний.

Спостереженість (accountability) – властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.

Атака (attack) – спроба реалізації загрози.

Проникнення (penetration) – успішне подолання механізмів захисту системи.

Вразливість системи (system vulnerability) – нездатність системи протистояти реалізації певної загрози або сукупності загроз.

Компрометація (compromise) – порушення політики безпеки; несанкціоноване ознайомлення.

Втрата інформації (information leakage) – неконтрольоване розповсюдження інформації, що веде до її несанкціонованого одержання.

Прихований канал (covert channel) – спосіб одержання інформації за рахунок використання шляхів передачі інформації, існуючих у КС, але не керованих КЗЗ, або спостереження за існуючими потоками інформації.

Прихований канал з пам’яттю (storage covert channel) – прихований канал, що реалізується шляхом прямого або непрямого запису інформації в певну область пам’яті одним процесом і прямим чи непрямим читанням даної області пам’яті іншим процесом.

Відмова (fault, failure) – втрата здатності КС або її компонента виконувати певну функцію.

Відмова в обслуговуванні (denial of service) – будь-яка дія або послідовність дій, що призводять будь-яку частину (компонент) системи до виходу із ладу; нездатність системи виконувати свої функції (надавати декларовані послуги) внаслідок виходу із ладу якого-небудь компонента або інших причин.

Невизнання участі (repudiation) – відмова одного з об’єктів КС від факту участі в події, що трапилась.

Відмова від авторства (repudiation of origin) – заперечення причетності до утворення або передачі якого-небудь документа чи повідомлення.

Відмова від одержання (repudiation of receipt) – заперечення причетності до одержання якого-небудь документа або повідомлення.

Комп’ютерний вірус (computer virus) – програма, що володіє здатністю до самовідтворення і, як правило, здатна здійснювати дії, які можуть порушити функціонування КС і/або зумовити порушення політики безпеки.

Програмна закладка (program bug) – потайно впроваджена програма або недокументовані властивості програмного забезпечення, використання яких може призвести до обходу КЗЗ і/або порушення політики безпеки.

Люк (trap door) – залишені розробником недокументовані функції, використання яких дозволяє обминути механізми захисту.

Троянський кінь (Trojan horse) – програма, яка, будучи авторизованим процесом, окрім виконання документованих функцій, здатна здійснювати приховані дії від особи авторизованого користувача в інтересах розробника цієї програми.

Створення і експлуатація захищених систем

Модель загроз (model of threats) – абстрактний формалізований або неформалізований опис методів і засобів здійснення загроз.

Модель порушника (user violator model) – абстрактний формалізований або неформалізований опис порушника.

Ризик (risk) – функція ймовірності реалізації певної загрози, виду і величини завданих збитків.

Аналіз ризику (risk analysis) – процес визначення загроз безпеці інформації та їх характеристик, слабких сторін КСЗІ (відомих і припустимих), оцінки потенційних збитків від реалізації загроз та ступеню їх прийнятності для експлуатації АС.

Керування ризиком (risk management) – сукупність заходів, що проводяться протягом всього життєвого циклу АС щодо оцінки ризику, вибору, реалізації і впровадження заходів забезпечення безпеки, спрямована на досягнення прийнятного рівня залишкового ризику.

Заходи забезпечення безпеки (safeguards) – послуги, функції, механізми, правила і процедури, призначені для забезпечення захисту інформації.

Послуга безпеки (security service) – сукупність функцій, що забезпечують захист від певної загрози або від множини загроз.

Механізми захисту (security mechanism) – конкретні процедури і алгоритми, що використовуються для реалізації певних функцій і послуг безпеки.

Засоби захисту (protection facility) – програмні, програмно-апаратні та апаратні засоби, що реалізують механізми захисту.

Політика безпеки послуги (service security policy) – правила, згідно з якими функціонують механізми, що реалізують послугу.

Рівень послуги (level of service) – міра ефективності і/або стійкості механізмів, що реалізують послугу, відносно до введеної для даної послуги шкали оцінки.

Гарантії (assurance) – сукупність вимог (шкала оцінки) для визначення міри упевненості, що КС коректно реалізує політику безпеки.

Рівень гарантій (assurance level) – міра впевненості у тому, що КС коректно реалізує політику безпеки.

Модель політики безпеки (security policy model) – абстрактний формалізований або неформалізований опис політики безпеки інформації.

Домен комп’ютерної системи; домен КС (domain) – ізольована логічна область КС, що характеризується унікальним контекстом, усередині якої об’єкти володіють певними властивостями, повноваженнями і зберігають певні відносини між собою.

Тестування на проникання (penetration testing) – випробування, метою яких є здійснення спроби обминути або відключити механізми захисту.

Оцінка уразливості (vulnerability assessment) – дослідження об’єкта оцінки з метою визначення можливості реалізації загроз.

Оцінка безпеки інформації (information security evaluation) – процес, метою якого є визначення відповідності стану безпеки інформації в КС встановленим вимогам.

Критерії оцінки захищеності; критерії (security evaluation criteria) – сукупність вимог (шкала оцінки), що використовується для оцінки ефективності функціональних послуг безпеки і коректності їх реалізації.

Принципи, послуги і механізми забезпечення безпеки

Довірче керування доступом (discretionary access control) – принцип керування доступом, який полягає в тому, що звичайним користувачам дозволено керувати (довіряють керування) потоками інформації між іншими користувачами і об’єктами свого домена (наприклад, на підставі права володіння об’єктами) без втручання адміністратора.

Адміністративне керування доступом (mandatory access control) – принцип керування доступом, який полягає в тому, що керувати потоками інформації між користувачами і об’єктами дозволено тільки спеціально авторизованим користувачам, а звичайні користувачі не мають можливості створити потоки інформації, які могли б призвести до порушення встановлених ПРД.

Ідентифікація (identification) – процедура присвоєння ідентифікатора об’єкту КС або встановлення відповідності між об’єктом і його ідентифікатором; впізнання.

Автентифікація (authentication) – процедура перевірки відповідності пред’явленого ідентифікатора об’єкта КС на предмет належності його цьому об’єкту; встановлення або підтвердження автентичності.

Пароль (password) – секретна інформація автентифікації, що являє собою послідовність символів, яку користувач повинен ввести через обладнання вводу інформації, перш ніж йому буде надано доступ до КС або до інформації.

Персональний ідентифікаційний номер; ПІН (personal identification number, PIN) – вид паролю, що звичайно складається тільки із цифр, і який, як правило, має бути пред’явлений нарівні з носимим ідентифікатором.

Довірча конфіденційність (discretionary confidentiality) – послуга, що забезпечує конфіденційність інформації відповідно до принципів довірчого керування доступом.

Адміністративна конфіденційність (mandatory confidentiality) – послуга, що забезпечує конфіденційність інформації відповідно до принципів адміністративного керування доступом.

Довірча цілісність (discretionary integrity) – послуга, що забезпечує цілісність інформації відповідно до принципів довірчого керування доступом.

Адміністративна цілісність (mandatory integrity) – послуга, що забезпечує цілісність інформації відповідно до принципів адміністративного керування доступом.

Аналіз прихованих каналів (covert channels analyse) – послуга, яка забезпечує гарантію того, що приховані канали в КС відсутні, знаходяться під наглядом або, принаймні, відомі.

Ініціалізація (initialization) – встановлення системи або об’єкта у відомий чи визначений стан.

Диспетчер доступу (reference monitor) – реалізація концепції абстрактного автомата, яка забезпечує дотримання ПРД і характеризується такими трьома особливостями: забезпечує безперервний і повний контроль за доступом, захищений від модифікації і має невеликі розміри.

Криптографічне перетворення – перетворення даних, яке полягає в їх шифруванні, вироблення імітовставки або цифрового підпису.

Зашифрування даних (data encryption) – процес перетворення відкритого тексту в шифртекст.

Розшифрування даних (data decryption) – процес перетворення шифртексту у відкритий текст.

Ключ (key) – конкретний стан деяких параметрів алгоритму криптографічного перетворення, що забезпечує вибір одного перетворення із сукупності можливих для даного алгоритму.

Цифровий підпис (digital signature) – дані, одержані в результаті криптографічного перетворення блоку даних і/або його параметрів (хеш-функції, довжини, дати утворення, ідентифікатора відправника і т. ін.), що дозволяють приймальнику даних впевнитись в цілісності блоку і справжності джерела даних і забезпечити захист від підробки і підлогу.

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

Основна

1. ISO 15408-1-3: 1999. (ГОСТ Р-2002). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель. Ч. 2. Защита функциональных требований. Ч. 3. Защита требований к качеству.

2. ISO 17799: 2002. Управление информационной безопасностью. Практические правила.

3. ISO 13335-1-5: 1996-1998. ИТ. ТО. Руководство по управлению безопасностью. Ч. 1. Концепция и модели обеспечения безопасности информационных технологий. Ч. 2. Планирование и управление безопасностью информационных технологий. Ч. 3. Техника управления безопасностью ИТ. Ч. 4. Селекция (выбор) средств обеспечения безопасности. Ч. 5. Безопасность внешних связей.

4. Закон України про інформацію, від 02.10.92.

5. Закон України про науково-технічну інформацію, від 25.06.93.

6. Закон України про захист інформації в автоматизованих системах, від 05.07.94.

7. Закон України про державну таємницю, від 21.01.94.

8. Закон України про Національну програму інформатизації, від 04.02.98.

9. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. – НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998.

10. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. – НД ТЗІ 1.1-002-98, ДСТСЗІ СБ України, Київ, 1998.

11. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу. – НД ТЗІ 2.2-001-98, ДСТСЗІ СБ України, Київ, 1998.

12. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. – НД ТЗІ 2.2.-002 – 98, ДСТСЗІ СБ України, Київ, 1998.

13. Положення про порядок здійснення криптографічного захисту інформації в Україні від 22 травня 1998 року № 505/98.

14. Концепція (основи державної політики) національної безпеки України від 21 грудня 2000 року № 2171-ІІІ.

15. Концепція технічного захисту інформації в Україні від 8 жовтня 1997 року № 1126.

16. Положення про технічний захист інформації в Україні від 27 вересня 1999 року № 1229/99.

17. Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави від 27 листопада 1998 року № 1893.

18. Аббасов Ю. Internet 2000. – СПб.: BHV-Санкт-Петербург, 1999. – 440с.

19. Анин Б.Ю. Защита информации в компьютерной системе. – СПб.: БХВ –  Санкт-Петербург, 2000. – 384с.

20. Антоненко В.М., Рогушина Ю.В. Сучасні інформаційні системи і технології. Навчальний посібник. – К.: КСУ МГІ, 2005. – 131 с.

21. Антонюк А.О. Основи захисту інформації в автоматизованих системах. Навч. посібн. - К.: Видавн. дім “КМ Академія”, 2003. – 244 с.

22. Баричев С., Криптография без секретов. – М.: 1998.

23. Борланд Р. Эффективная работа с Word 97. – СПб.: Питер, 1998. – 960с.

24. Вертузаев М.С.,Юрченко О.М. Захист інформації в комп’ютерних системах від несанкціонованого доступу: Навч. посібник /За редаг. С.Г. Лаптева.-К.:Вид-во Європ. Університету, 2001.- 321 с.

25. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоатомиздат, 1994, в 2-х томах.

26. Герасименко В. А. Основы защиты информации: Учебник для вузов / Б. А. Герасименко, А. А. Малюк. — М.: Изд-во ООО «Ин-комбук», 1997. – 537 с.

27. Додж М., Кината К., Стинсон К. Эффективная работа с Excel 97. –CПб.: Питер, 1998. – 1072с.

28. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему – СПб: Мир и семья –95 ,1997. – 312с.

29. Кокорева О.И. Реестр Windows XP – СПб: BHV-Петербург, 2002. – 560с.

30. Медведовский И. Д. Атака на "Internet" / И. Д, Медведовский, П. В. Семьянов Д.Г. Леонов. – 2-е изд. перераб. и доп. – М.: ДМК, 1999. – 336с.

31. Мельников В.В. Защита информации в компьютерных системах. – М.: «Финансы и статистика», 1997.

32. Романец Ю.В., Тимофеев П. А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. – М.: Радио и связь, 1999. – 328с.

33. Росоловський В.М., Анкудович Г.Г., Катерноза К.О., Шевченко М.Ю. Основи інформаційної безпеки автоматизованої інформаційної системи державної податкової служби України: Навчальний посібник/За заг. ред. М.Я. Азарова. – Ірпінь: Академія ДПС України, 2003. – 466 с.

34. Петров А.А. Компьютерная безопасность. Криптографиче­ские методы защиты. – М.: ДМК, 2000. – 448 с.

35. Праффенбергер Б. Эффективная работа с Microsoft Internet Explorer 5.5. – СПб.: Питер, 1998. – 416с.

36. Программно-аппаратные средства обеспечения информаци­онной безопасности. Защита программ и данных: Учеб. пособие для вузов / П.Ю. Белкин, О. О.Михальский, А. С. Першаков. – М.: Радио и связь, 1999. – 168 с.

37. Столлингс В. Криптография и защита сетей: теория и практика. – М.: Вильямс. – 2001.

38. Чижухин Г.Н. Основы защиты информации в вычислительных системах и сетях ЭВМ: Учеб. Пособие. – Пенза: Изд-во Пенз. гос. ун-та, 2001. – 164 с.; 19 ил., 5 табл., библиогр. 8 назв.

39. Эдвардс М.Д. Безопасность  в Интернете на основе Windows NT – М.:Издательский отдел “Русская Редакция”  ТОО “Chennel Trading Ltd ” – 1999. – 656 с.

40. Э. Ратбон. Windows XP для «чайников». – М.: Вильямс, 2002. – 304 с.

41. Microsoft Windows XP: Home Edition и Professional /Под ред. А.Н.Чекмарева. – СПб: BHV-Петербург, 2002. – 624 с.

Додаткова

1. Антонюк А.А., Волощук А.Г., Суслов В.Ю., Ткач А.В. Что такое Оранжевая книга? (Из истории компьютерной безопасности) // Безопасность информации, № 2, 1996.

2. «Безопасность информации». Научно-технический журнал, Киев.

3. Галатенко В.А. Информационная безопасность: практический подход. - М.: Наука, 1998. – 301 с.

4. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: Изд. «ДиаСофт», 1999. – 480 с.

5. «Конфидент. Защита информации». Информационно-методический журнал, СПб.

6. Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. Учебное пособие. Изд. 2-е, испр. и доп. М.: 1995. – 84 с.

7. Рублинецкий В.И. Введение в компьютерную криптологию. – Харьков: «ОКО», 1997.

8. Стенг Д., Мун С. Секреты безопасности сетей. – Киев, Диалектика, 1995.

9. Ярочкин В.И. Безопасность информационных систем. – М.: 1996. – 320с.

З повагою ІЦ "KURSOVIKS"!