Программа государственного квалификационного экзамена для специальности 090103 – «Организация и технология защиты информации»

О.Б. Макаревич, А.К. Шилов
Россия, г. Таганрог, ЮФУ

Подготовка и проведение государственного экзамена

Цель настоящей программы – помочь студентам подготовиться к государственному экзамену, который является одним из двух видов итоговых аттестационных испытаний выпускников высших учебных заведений. Второй вид испытаний – защита выпускной квалификационной работы.
Программа государственного квалификационного экзамена включает в себя:

  • рекомендации по подготовке и проведению государственного экзамена;
  • описание требований к профессиональной подготовленности выпускников специальности 090103;
  • описание следующих трех тематических разделов программы

организационно-правовая защита информации,
инженерно-техническая защита,
защита информационных технологий;

  • – вопросы, представленные руководителями курсов для включения в экзаменационные билеты госэкзамена.

Три тематических раздела программы, включают 15 дисциплин федерального компонента. Предлагаемая структура программы позволяет осуществить комплексный контроль знаний студентов по основным направлениям защиты информации, предусмотренным стандартом данной специальности. Разделы программы включают дисциплины федерального компонента, читаемые со второго по девятый семестр преподавателями кафедры БИТ. Руководители курсов принимали непосредственное участие в формировании перечня вопросов и информационных источников к ним. Они несут ответственность за подготовленность студентов к экзамену. В течение месяца перед проведением госэкзамена по включенным в программу дисциплинам проводятся консультации и, если необходимо читаются дополнительные лекции. Руководители курсов, штатные преподаватели кафедры БИТ, входят в состав государственной аттестационной комиссии и принимают непосредственное участие в оценке знаний студентов на государственном экзамене.

Всего представлено к включению в билеты по 1-6 вопросов от каждой из 15 дисциплин. Количество вопросов от каждой дисциплины пропорционально количеству часов, отведенных в стандарте на изучение каждой дисциплины. Таким образом, всего 62 вопроса. В билеты государственного квалификационного экзамена включаются 2 вопроса, которые равномерно случайным образом выбираются из всех 5 разделов программы. Количество билетов – 31. В билет включаются вопросы из разных разделов, а следовательно и из разных дисциплин. В билетах нет повторяющихся вопросов. Количество представленных на экзамен экзаменационных билетов превышает экзаменуемых в учебной группе не менее, чем на 10-15%. Ознакомление обучаемых с содержанием экзаменационных билетов запрещается. Обучаемые обязаны готовиться к экзаменам, руководствуясь данной программой.

На проведение итогового экзамена выделяется время из расчета не менее пяти дней для подготовки и сдачи. Расписание государственных экзаменов утверждается деканом факультета и доводится до сведения студентов не позднее, чем за месяц до начала государственной итоговой аттестации.

Ответы обучаемых на все поставленные вопросы заслушиваются членами экзаменационной комиссии и выставляется сводная оценка. Оценка знаний обучаемого на экзамене выводится по частным оценкам ответов на вопросы билета. В случае равного количества голосов мнение председателя является решающим.

Знания обучаемых на экзамене, определяются оценками «отлично», «хорошо», «удовлетворительно», «неудовлетворительно». Оценки за экзамен объявляются в день сдачи экзамена после их утверждения председателем ГАК.

Требования к профессиональной подговленности выпускников

Программа и порядок проведения государственного квалификационного экзамена разработана в соответствии с требованиями:

  • государственного образовательного стандарта высшего образования по специальности 075300 – «Организация и технология защиты информации» (Организация и технология защиты информации. Специальность 075300: Государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального компонента, циклы естественно-научных, общепрофессиональных дисциплин и дисциплин специализаций/Отв. ред. В.В.Минаев. – М.: РГГУ, 2001. – 358 с.);
  • положения об итоговой аттестации выпускников ВУЗов (Положение об итоговой государственной аттестации выпускников высших учебных заведений Российской федерации. Утверждена приказом Минобразования России №1155 от 25.03.2003.).

Государственный экзамен по специальности имеет целью определение степени соответствия уровня подготовленности выпускников требованиям образовательного стандарта. При этом проверяются как теоретические знания, так и практические навыки выпускника в соответствии со специальностью. В частности, проверяются следующие требования к профессиональной подготовленности выпускника как специалиста по защите информации.

Знание и умение использовать:

  • методы обработки экспериментальных данных;
  • основные положения теории информации;
  • структуру систем управленческой и научно-технической документации;
  • принципы построения информационных систем с применением современных технических средств хранения, обработки, поиска и передачи информации;
  • структуру, правовые основы и содержание деятельности предприятий различных форм собственности;
  • законы и принципы теории организации;
  • инфраструктуру и формы организации менеджмента, природу и состав его функций;
  • логические основы и модели системного анализа, методы сетевого планирования и управления;
  • закономерности, мотивации и способы регулирования поведения человека в социальной группе;
  • методы, приемы и инструментарий социальной психологии при прогнозировании поведения человека в различных ситуациях;
  • структуру и содержание составных частей, формирующих систему управления персоналом;
  • особенности защиты информации на предприятиях различного профиля и различных форм собственности;
  • принципы защиты интеллектуальной собственности;

владеть:

  • методами количественного анализа процессов обработки, поиска и передачи информации;
  • методами моделирования с учетом их иерархической структуры и оценки пределов применимости полученных результатов;
  • методами обработки и анализа экспериментальных данных;
  • методикой отнесения информации к государственной и другим видам тайны и ее засекречивания;
  • методикой выявления и анализа потенциально существующих угроз безопасности информации, составляющей государственную и другие виды тайны;
  • методами анализа и оценки риска, методами определения размеров возможного ущерба вследствие разглашения сведений, составляющих государственную и другие виды тайны;
  • методами организации и моделирования комплексной системы защиты информации, составляющей государственную и другие виды тайны;
  • методами управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;
  • методами организации и управления службами защиты информации.

Ниже приводится содержание дисциплин, включенных в 3 тематических раздела программы государственного экзамена. Все дисциплины представляют федеральный компонент, поэтому их содержание определено требованиями ГОС по специальности 075300. Также указываются отведенное в стандарте количеств часов на изучение дисциплины, семестры, в которых эти дисциплины читаются и количество вопросов, выносимых на экзамен.

Тематические разделы программы государственного экзамена
(2370 часов, 62 вопроса, 31 билет)

Раздел 1. Организационно-правовая защита информации (1000 часов, 26 вопросов)

1.1. Введение в специальность (50 часов, 2 семестр, 1 вопрос)
Сущность специальности 075300 – “Организация и технология защиты информации”, характеристика ее составляющих; взаимосвязь специальности с другими специальностями в области информационной безопасности; место специальности в области науки и техники; объекты и виды профессиональной деятельности выпускника по специальности; требования Государственного образовательного стандарта к уровню подготовки специалиста; содержание образовательной программы, сущность и краткая характеристика дисциплин, входящих в образовательную программу, их взаимосвязь и место в подготовке специалистов; особенности организации образовательного процесса по дисциплинам специальности.

1.2. История и современная система защиты информации в России (150 часов, 5 семестр, 4 вопроса)
Предпосылки формирования системы защиты информации в России (вторая половина XVI-XVII вв.); организация защиты информации в Российской Империи в XVIII в.; совершенствование организации защиты информации в первой половине XIX в.; формирование системы защиты информации во второй половине XIX в.; особенности системы защиты информации в начале XX в. (1900-1908 г.г.); организация защиты информации в период промышленного подъема (1900-1913 г.г.); организация защиты информации в период Первой мировой войны; достоинства и недостатки системы защиты информации в Российской империи; основные особенности организации защиты информации в советский период; организация защиты военной тайны в годы гражданской войны; становление системы защиты государственных секретов а период НЭПа; развитие системы защиты государственных секретов в 30-е г.г.; укрепление системы защиты государственных секретов накануне и в период Великой Отечественной войны; совершенствование системы защиты государственных секретов во второй половине 40-х – первой половине 50-х г.г.; организация защиты государственных секретов во второй половине 50-х–60-х г.г.; обеспечение защиты информации в 70-х–80-х г.г.; основные особенности организации защиты информации на современном этапе; современная нормативная база по защите информации; состав защищаемой информации; полномочия органов власти, специальных федеральных органов и предприятий в области защиты информации; современное состояние системы защиты информации и перспективы ее совершенствования.

1.3. Системы защиты информации в ведущих зарубежных странах (120 часов, 5 семестр, 3 вопроса)
Становление и развитие систем защиты информации в ведущих зарубежных странах; современные системы защиты информации в США, Германии, Великобритании, Франции, Японии; международное сотрудничество в области защиты информации.

1.4. Организационная защита информации (240 часов, 8 семестр, 6 вопросов)
Принципы, силы, средства и условия организационной защиты информации; порядок засекречивания и рассекречивания сведений, документов и продукции; допуск и доступ к конфиденциальной информации и документам; организация внутриобъектового и пропускного режимов на предприятиях; организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам; организация охраны предприятий; защита информации при публикаторской и рекламной деятельности; организация аналитической работы по предупреждению утечки конфиденциальной информации; направления и методы работы с персоналом, обладающим конфиденциальной информацией.

1.5. Организация и управление службой защиты информации на предприятии (100 часов, 9 семестр, 3 вопроса)
Место и роль службы защиты информации в системе защиты информации; задачи и функции службы; структура и штаты службы; организационные основы и принципы деятельности службы; подбор, расстановка и обучение сотрудников службы; организация труда сотрудников службы; принципы, методы и технология управления службой.

1.6. Правовая защита информации (220 часов, 6,7 семестры, 6 вопросов)
Назначение и структура правового обеспечения защиты информации; методы правовой защиты информации; правовые основы защиты государственной, коммерческой, служебной, профессиональной и личной тайны, персональных данных; правовая основа допуска и доступа персонала к защищаемым сведениям; система правовой ответственности за утечку информации и утрату носителей информации; правовые основы деятельности подразделений защиты информации; роль права в регулировании комплекса отношений в сфере защиты информации; отрасли права, обеспечивающие законность в области защиты информации; основные законодательные акты, правовые нормы и положения; назначение и задачи подзаконных правовых актов, регулирующих процессы защиты информации в отраслях, на предприятиях различных форм собственности; закрепление права предприятия на защиту информации в нормативных документах; правовое регулирование взаимоотношений администрации и персонала в области защиты информации; виды и условия применения правовых норм уголовной, гражданско-правовой, административной и дисциплинарной ответственности за разглашение защищаемой информации и невыполнение правил ее защиты; правовые проблемы. связанные с защитой прав обладателей собственности на информацию и распоряжением информацией; понятие интеллектуальной собственности, ее виды и основные объекты образования; интеллектуальный продукт как объект интеллектуальной собственности и предмет защиты; содержание гражданско-правовых норм в области защиты интеллектуальной собственности; авторское право; патентное право; товарный знак; договорное право, авторские и лицензионные договоры.

1.7. Экономика защиты информации (120 часов, 9 семестр, 3 вопроса)
Экономические проблемы информационных ресурсов; экономическая безопасность; информация как важнейший ресурс экономики; информация как товар, цена информации; основные подходы к определению затрат на защиту информации; система ресурсообеспечения защиты информации и эффективность ее использования; управление ресурсами в процессе защиты информации; виды ущерба, наносимые информации; степень наносимого ущерба информации; методы и способы страхования информации; формирование бюджета службы защиты информации; оценка эффективности защиты и страхования информации.

Раздел 2. Инженерно-техническая защита (840 часов, 22 вопроса)

2.1. Инженерно-техническая защита информации (220 часов, 5 семестр, 6 вопросов)
Виды информации, защищаемой техническими средствами; демаскирующие признаки объектов защиты; источники и носители информации, защищаемой техническими средствами; принципы записи и съема информации с носителей; виды угроз безопасности информации, защищаемой техническими средствами; принципы добывания и обработки информации техническими средствами; классификация и структура технических каналов утечки информации; основные способы и принципы работы средств наблюдения объектов, подслушивания и перехвата сигналов; системный подход к инженерно-технической защите информации; основные этапы проектирования системы защиты информации техническими средствами; принципы моделирования объектов защиты и технических каналов утечки информации; способы оценки угроз безопасности информации и расходов на техническую защиту; способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата; организационные и технические меры инженерно-технической защиты информации в государственных и коммерческих структурах; контроль эффективности защиты информации. Роль и место технических средств в организации режима охраны, современная концепция защиты объектов; основные составляющие систем ТСО: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, питания и тревожно-вызывной сигнализации; практическая реализация систем ТСО: охрана режимных помещений, проект охраны объектов.

2.2. Средства и системы технического обеспечения обработки, хранения и передачи информации (200 часов, 8 семестр, 5 вопросов)
Основные типы электронных средств генерации и преобразования сигналов. Преобразователи спектра сигналов. Акусто-электрические и электроакустические конверторы энергии сигналов. Элементы оптоэлектроники и инфракрасной техники. Методы и средства записи, хранения и воспроизведения информации на магнитных носителях. Голографические носители и их перспективы. Электромагнитные системы передачи и приема информации, их классификация. Излучение и прием радиоволн, основные виды антенно-фидерных устройств, радиопередатчиков и радиоприемников. Системы передачи и приема видеоинформации, звуковой (речевой) и цифровой информации. Организация связи с помощью ЭВМ, телекоммуникационные сети. Способы и средства специальных видов связи (радиорелейные линии, спутниковая связь, лазерные каналы и др.) Методы и средства измерения сигналов в электрических цепях. Основы измерений информативных характеристик электромагнитных полей.

2.3. Защита и обработка конфиденциальных документов (200 часов, 9 семестр, 5 вопросов)
Структура защищаемых документопотоков, состав технологических этапов и операций, подготовка и издание конфиденциальных документов; учет конфиденциальных документов; порядок рассмотрения и исполнения конфиденциальных документов; размножение конфиденциальных документов; контроль исполнения конфиденциальных документов; составление и оформление номенклатуры дел; формирование и хранение дел, содержащих конфиденциальные документы; уничтожение конфиденциальных документов; проверка наличия конфиденциальных документов; порядок комплектования ведомственного архива конфиденциальной документации и классификация хранилищ документов; учет деловых (управленческих) и научно-технических документов в архиве; обеспечение сохранности конфиденциальных документов; научно-справочный аппарат к архивам конфиденциальных документов; порядок использования конфиденциальных архивных документов; оборудование архивохранилищ; организационные и методические проблемы автоматизации делопроизводственных операций по документам; машиноориентация содержания и форм конфиденциальных документов; принцип включения различных типов автоматизированных систем в традиционный документооборот; безбумажный документооборот; локальная и комплексная автоматизация процессов обработки конфиденциальных документов в документной службе; домашинная и послемашинная технология выполнения операций по блокам: блока подготовки и издания документов, справочно-информационного блока, блока оперативного хранения и использования документов; состав конфиденциальных документов вычислительного центра, их обработка и хранение.

2.4. Комплексные системы защиты информации на предприятии (220 часов, 9 семестр, 6 вопросов)
Сущность и задачи комплексной системы защиты информации (КСЗИ); принципы организации и этапы разработки КСЗИ; факторы, влияющие на организацию КСЗИ; определение и нормативное закрепление состава защищаемой информации; определение объектов защиты; анализ и оценка угроз безопасности информации: выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию; определение потенциальных каналов и методов несанкционированного доступа к информации; определение возможностей несанкционированного доступа к защищаемой информации; определение компонентов КСЗИ; определение условий функционирования КСЗИ; разработка модели КСЗИ; технологическое и организационное построение КСЗИ; кадровое обеспечение функционирования КСЗИ; материально-техническое и нормативно-методическое обеспечение функционирования КСЗИ; назначение, структура и содержание управления КСЗИ; принципы и методы планирования функционирования КСЗИ; сущность и содержание контроля функционирования КСЗИ; управление КСЗИ в условиях чрезвычайных ситуаций; состав методов и моделей оценки эффективности КСЗИ.

Раздел 3. Защита информационных технологий (530 часов, 14 вопросов)

3.1. Теория информационной безопасности и методология защиты информации (200 часов, 3 семестр, 5 вопросов)
Сущность и понятие информационной безопасности, характеристика ее составляющих; значение информационной безопасности для субъектов информационных отношений; место информационной безопасности в системе национальной безопасности; современная концепция информационной безопасности; понятие и сущность защиты информации, ее место в системе информационной безопасности; цели и концептуальные основы защиты информации; критерии, условия и принципы отнесения информации к защищаемой; носители защищаемой информации; классификация конфиденциальной информации по видам тайны и степеням конфиденциальности; понятие и структура угроз защищаемой информации; источники, виды и методы дестабилизирующего воздействия на защищаемую информацию; причины, обстоятельства и условия, вызывающие дестабилизирующее воздействие на защищаемую информацию; виды уязвимости информации и формы ее проявления; каналы и методы несанкционированного доступа к конфиденциальной информации; направления, виды и особенности деятельности спецслужб по несанкционированному доступу к конфиденциальной информации; методологические подходы к защите информации и принципы ее организации; объекты защиты; виды защиты; классификация методов и средств защиты информации; кадровое и ресурсное обеспечение защиты информации; системы защиты информации.

3.2. Защита информационных процессов в компьютерных системах (90 часов, 6 семестр, 2 вопроса)
Основные угрозы информации в компьютерных системах; параллельный анализ целей и возможностей злоумышленника в компьютерной сети и в ситуации при наличии изолированного компьютера; специфика возникновения угроз в открытых сетях; особенности защиты информации на узлах компьютерной сети; системные вопросы защиты программ и данных; основные категории требований к программной и программно-аппаратной реализации средств защиты информации; требования к защите автоматизированных систем от НСД.

3.3. Криптографическая защита информации (120 часов, 5 семестр, 3 вопроса)
История криптографии; классические шифры, шифры гаммирования и колонной замены; простейшие шифры и их свойства; композиции шифров; системы шифрования с открытыми ключами; криптографическая стойкость шифров; модели шифров; основные требования к шифрам; вопросы практической стойкости; имитостойкость и помехоустойчивость шифров; принципы построения криптографических алгоритмов; различие между программными и аппаратными реализациями; криптографические параметры узлов и блоков шифраторов; синтез шифров; методы получения случайных и псевдослучайных последовательностей; программные реализации шифров; особенности использования вычислительной техники в криптографии вопросы организации сетей засекреченной связи; ключевые системы; криптографические хеш-функции; электронная цифровая подпись; криптографические протоколы.

3.4. Программно-аппаратная защита информации (120 часов, 8 семестр, 4 вопроса)
Предмет и задачи программно-аппаратной защиты информации; идентификация субъекта, понятие протокола идентификации, идентифицирующая информация; основные подходы к защите данных от НСД; шифрование, контроль доступа и разграничение доступа, иерархический доступ к файлу, защита сетевого файлового ресурса, фиксация доступа к файлам; доступ к данным со стороны процесса; способы фиксации факта доступа; надежность систем ограничения доступа; защита файлов от изменения; электронная цифровая подпись (ЭЦП); программно-аппаратные средства шифрования; построение аппаратных компонент криптозащиты данных; защита алгоритма шифрования; принцип чувствительной области и принцип главного ключа, необходимые и достаточные функции аппаратного средства криптозащиты; методы и средства ограничения доступа к компонентам ЭВМ; защиты программ от несанкционированного копирования; пароли и ключи, организация хранения ключей; защита программ от излучения; защита от отладки, защита от дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий (РПВ); компьютерные вирусы как особый класс РПВ; необходимые и достаточные условия недопущения разрушающего воздействия; понятие изолированной программной среды.

Вопросы, представленные руководителями курсов к госэкзамену

Раздел 1. Организационно-правовая защита информации

1.1. Введение в специальность
1. Квалификационная характеристика специалиста по защите информации специальности 090103. Объекты и виды профессиональной деятельности, состав решаемых задач. Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать.

1.2. История и современная система защиты информации в России
2. Возникновение необходимости защиты информации в Российском государстве на рубеже XVIII-XIX веков.
3. Использование опыта защиты информации в Российской империи при организации защиты информации в Советской России и СССР.
4. Деятельность государственных и ведомственных органов защиты информации в годы Великой Отечественной войны (1941 – 1945 годы).
5. Современная государственная политика в области защиты информации.

1.3. Системы защиты информации в ведущих зарубежных странах
6. Возникновение и организация защиты информации на Древнем Востоке и средневековой Европе.
7. Опыт создания первых европейских государственных служб защиты информации в Европе XVIII-XIX вв.
8. Особенности формирования современных систем защиты информации в ведущих зарубежных странах в XX веке.

1.4. Организационная защита информации
9. Виды тайн. Источники угроз. Способы воздействия угроз.
10. Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
11. Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
12. Разработка политики безопасности. Основные положения информационной безопасности. Область применения. Цели и задачи обеспечения информационной безопасности. Распределение ролей и ответственности. Общие обязанности.
13. Уровни политики безопасности: верхний, средний и нижний.
14. Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.

1.5. Организация и управление службой защиты информации на предприятии
15. Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
16. Анализ современного состояния проблемы безопасности. Принципы создания и работы системы зашиты. Качественные характеристики зашиты. Организационные принципы. Принципы реализации системы зашиты. Практические рекомендации.
17. Структура Службы безопасности.

1.6. Правовая защита информации
18. Формирование информационных ресурсов и их классификация.
19. Правовые основы защиты государственной, коммерческой и профессиональной тайны.
20. Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
21. Правовые формы защиты интеллектуальной собственности.
22. Система правовой ответственности за разглашение, утечку информации.
23. Правовая защита от компьютерных преступлений.

1.7. Экономика защиты информации
24. Информация как товар, цена информации; основные подходы к определению затрат на защиту информации.
25. Интеллектуальная собственность фирмы и ее стоимостная оценка.
26. Обеспечение экономической безопасности предприятия в рыночных условиях. Виды ущерба, наносимые информации.

Раздел 2. Инженерно-техническая защита

2.1. Инженерно-техническая защита информации
27. Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
28. Классификация радиотехнических систем. Задачи, решаемые системами наблюдения объектов для извлечения информации об их характеристиках. Сравнительная характеристика технических средств, работающих в различных диапазонах длин волн.
29. Типовая структура комплекса технических средств охраны объектов. Демаскирующие признаки злоумышленника и пожара. Назначение, принцип работы и основные характеристики оптико-электронных и радиоволновых извещателей.
30. Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
31. Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
32. Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).

2.2. Средства и системы технического обеспечения обработки, хранения и передачи информации
33. Сигналы и основные виды их электронного преобразования (типы сигналов, сложение и разложение сигналов, усиление, дискриминация, фильтрация, модуляция, демодуляция, выпрямление, аналого-цифровые и цифро-аналоговые преобразования сигналов).
34. Принципы построения усилителей (усилители и их основные виды и характеристики, искажение сигналов, шумы, побочная генерация).
35. Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
36. Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью ЭВМ).
37. Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные АТС, радиотелефоны, сотовая связь).

2.3. Защита и обработка конфиденциальных документов
38. Классификации информации и документов. Свойства различных видов документов.
39. Понятия, определения и особенности конфиденциального документооборота.
40. Принципы обработки конфиденциальных документов.
41. Назначение, состав, этапы организации бумажного защищенного делопроизводства.
42. Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.

2.4. Комплексные системы защиты информации на предприятии
43. Состав комплексной системы защиты (КСЗИ) объекта информатизации (ОИ). Этапы создания. Организационно-нормативная документация. Аттестационные испытания ОИ: АС различного уровня и назначения; системы связи, отображения и размножения с помещениями.
44. Разработка проекта комплексной системы защиты объекта информатизации (ОИ). согласно ГОСТ Р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
45. Специальные требования и рекомендации (СТР-К) по защите информации обрабатываемой в СВТ, в АРМ на базе автономных ПЭВМ, в ЛВС, при межсетевом взаимодействии на предприятии, при работе с СУБД и при выходе в сети общего назначения.
46. Процесс квалификационного анализа ИТ-продуктов с использованием профилей защиты и заданий по безопасности. ГОСТ Р 15408:2002 – структура и области применения. последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности и краткая спецификация объекта оценки.
47. Парадигма функциональных требований. Представление функциональных требований: классы, семейства (ранжирование, управление, аудит), компоненты (подчиненность по иерархии, зависимости – прямые, косвенные, выбираемые, операции – итерация, назначение, выбор, уточнение), элементы. Примеры функциональных классов.
48. Парадигма доверия: значимость и причины возникновения уязвимостей, роль оценки. Представление требований доверия: структура класса, семейства, компонента, элемента. Примеры классов доверия. Парадигма поддержки доверия. Оценочные уровни доверия (ОУД1-ОУД7). Их примерное соответствие требованиям по классам безопасности Оранжевой книги, Европейских критериев и РД ГТК РФ.

Раздел 3. Защита информационных технологий

3.1. Теория информационной безопасности и методология защиты информации
49. Надежность информации. Цели защиты информации (ЗИ). Характер сохраняемой тайны. Виды защищаемой информации. Причины, виды и каналы утечки информации (ГОСТ Р 50922-96). Факторы, воздействующие на информацию (ГОСТ Р 51275-99). Концепция защиты от НСД к информации. Модель нарушителя: уровни возможностей. Уровни рассмотрения вопросов информационной безопасности (ИБ): АС и СВТ. Состав типовой комплексной системы защиты информации на предприятии: СКУД, ОТ, ОПС, ПЭШ, КС. Уровни секретности и конфиденциальности. Политика безопасности предприятия.
50. Подходы и принципы обеспечения информационной безопасности.
51. Дискреционное управление доступом. Дискреционная политика безопасности. Матрица доступа. Основные свойства. Достоинства и недостатки. Области применения. Мандатное управление доступом. Мандатная политика безопасности. Метки безопасности. Основные свойства. Достоинства и недостатки в сравнении с дискреционной моделью. Области применения.
52. Международные стандарты информационной безопасности (TCSEC, ITSEC, FCITS, CTCPEC и ISO 15408). Задачи и основные понятия.
53. Руководящие документы ГТК РФ. Классификация и показатели защищенности: АС, СВТ, АВС, МЭ, ПО, СЗЗ. Примерное соответствие с требованиями международных стандартов.

3.2. Защита информационных процессов в компьютерных системах
54. Сервисы безопасности: идентификация и аутентификация, разграничение доступа, протоколирование и аудит, экранирование, туннелирование, шифрование, контроль целостности, контроль защищенности, обнаружение отказов и оперативное восстановление, управление.
55. Технологии защиты информации в компьютерных системах, основанные на использовании аппарата искусственных нейронных сетей: биометрические системы контроля доступа на основе клавиатурного и рукописного почерка.

3.3. Криптографическая защита информации
56. Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
57. Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
58. Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.

3.4. Программно-аппаратная защита информации
59. Программно-аппаратные средства реализации криптографических функций: шифрования; контроля целостности с использованием электронной цифровой подписи и схемы выработки имитовставки. Защита программ с помощью электронных ключей и смарт-карт.
60. Системы управления ключами: генерация, хранение и распределение ключей. Рассылка симметричных ключей центром распределения ключей, с помощью электронного цифрового конверта, по схеме Диффи-Хеллмана. Сертификаты открытых ключей и схема их рассылки.
61. Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
62. Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.

Источник

Введите e-mail адрес для получения уведомлений о публикации новых постов:

Delivered by FeedBurner

Поделиться в соц. сетях

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *