Тематический план
-
-
- Основные положения ПП 1119 (определения, категории ПД, типы угроз, критерии для определения уровня защищенности, требования для обеспечения уровней защищенности).
- Основные положения приказа ФСТЭК 21 (общие положения, состав мер по обеспечению безопасности ПД, этапы выбора мер)
- ФЗ 152 «О персональных данных». Основные понятия из ФЗ, принципы и условия обработки ПД, согласие субъекта на обработку, специальные категории ПД.
- ФЗ 152 «О персональных данных». Трансграничная передача ПД, права субъектов и обязанности операторов, меры по обеспечению безопасности ПД при обработке.
- СТР-К. Общие положения
- СТР-К. Организация работ по защите информации
- СТР-К. Основные особенности, связанные с защитой информации при использовании СУБД.
- СТР-К. Подключение к сети абонентского пункта (АП) на предприятии осуществляется только по решению руководителя подразделения и на основе специального обоснования. Напишите основные причины подключения, которые могут входить в состав данного обоснования.
- ISO-17799. Классификация и управление активами. Классификация информации.
- ISO-17799. Меры безопасности при проведении аудита.
- ISO-27001. Внутренние аудиты СМЗИ. Анализ СМЗИ со стороны руководства. Улучшение СМЗИ.
- ISO-27001. Примеры типовых целей и средств управления СМЗИ.
- ISO-27001. Создание и менеджмент системы менеджмента защиты информации.
- ISO-27001. Требования к документации. Ответственность руководства.
- ГОСТ Р ИСО/МЭК 15408-2-2008. Парадигма функциональных требований. Структура объекта оценки (ОО). Взаимосвязи между элементами ОО.
- ГОСТ Р ИСО/МЭК 15408-2-2008. Сущности и субъекты в ОО. Данные и особенности их хранения в ОО
- Краткая справка о ИСО/МЭК 15408
- Контекст безопасности ИСО/МЭК 15408
- Подход ИСО/МЭК 15408
Критерии оценки:
· оценка «отлично» (10 баллов) выставляется студенту, если содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко, лаконично, и присутствующие на докладе имеют возможность воспроизвести основные идеи документа без дополнительной подготовки;
· оценка «хорошо» (7 баллов) выставляется студенту, если содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко и лаконично;
· оценка «удовлетворительно» (4 балла) выставляется студенту, если содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко;
· оценка «неудовлетворительно» (0 баллов) в противном случае.
-
Раздел 1. Основные понятия компьютерной безопасности и базовые модели разграничения доступа (6 баллов)
1. Политики и модели безопасности.
2. Базовые определения дискреционной политики
3. Матрица доступа. Модель Харрисона-Руззо-Ульмана. Модель Take-Grant.
4. Базовые определения и принципы мандатного разграничения доступа. Классическая модель Белла-ЛаПадулы.
5. Основные определения ТОКБ
6. Виды угроз безопасности АС
7. Классификация угроз и моделей безопасности.
8. Стандарты и законодательные акты.
Раздел 2. Дополнительные модели разграничения доступа и модели обеспечения целостности (6 баллов)
9. Базовые определения дискреционной политики
10. Матрица доступа. Модель Харрисона-Руззо-Ульмана. Модель Take-Grant.
11. Базовые определения и принципы мандатного разграничения доступа. Классическая модель Белла-ЛаПадулы.
12. Модели Кларка-Вильсона и Биба.
13. Объединение моделей безопасности. Модель Липнера.
14. Транзакционные механизмы обеспечения целостности баз данных
15. Аудит информационной безопаснотсти
16. Центры компьютерной безопасности
17. Основные принципы обеспечения ИБ
18. Утечка информации
19. Защита машинных носителей
20. Парольные системы защиты
21. Формирование политики безопасности
Раздел 3. Реализации моделей компьютерной безопасности в ОС, анализ уязвимостей и обнаружения атак (6 баллов)
1. Защищенная ОС основные задачи администратора по поддержке средств защиты. Стандарты защищенности ОС..
2. Типовая архитектура подсистем защиты ОС. Модели компьютерной безопасности в ОС (на примере ОС семейств Unix и Windows)
3. Анализ уязвимостей.
4. Обзор атак и вторжений.
5. Злонамеренное ПО. Закладки
6. Межсетевые экраны
7. Спецификация моделей разграничения доступа
2. Критерии оценки
Студент случайно выбирает 2 вопроса по теме, в рамках которой проводится устный контрольный опрос. Правильный ответ оценивается в 2 балла. Правильный ответ на дополнительный вопрос по теме выбранных вопросов оценивается в один балл.
-
1. Основные определения ТОКБ
2. Виды угроз безопасности АС
3. Классификация угроз по различным признакам
4. Информационные системы
5. Аудит информационной безопаснотсти
6. Центры компьютерной безопасности
7. Основные принципы обеспечения ИБ
8. Утечка информации
9. Защита машинных носителей
10. Парольные системы защиты
11. Формирование политики безопасности
12. Злонамеренное ПО. Закладки
13. Межсетевые экраны
14. Спецификация моделей разграничения доступа
Пример экзаменационного задания
Экзамен проводится письменно в течение 90 минут. В билете содержится 2 вопроса – теоретический и практический, предполагающих развернутые устные ответы, например:
1. Формирование политики безопасности
2. СТР-К. Общие положения
Критерии оценки:
- оценка «отлично» (до 40 баллов) выставляется студенту, если ответ на теоретический вопрос представлен студентом корректно, и содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко, лаконично, и присутствующие на докладе имеют возможность воспроизвести основные идеи документа без дополнительной подготовки;
- оценка «хорошо» (до 25 баллов) выставляется студенту, если содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко и лаконично;
- оценка «удовлетворительно» (до 10 баллов) выставляется студенту, если содержание закона, постановления правительства, приказа или стандарта освещено достаточно глубоко;
- оценка «неудовлетворительно» в противном случае.