Безопасность информационных технологий

Программа курса
"Безопасность информационных технологий"
(код курса БТ01)

Слушатели

Программа учебного курса утверждена Гостехкомиссией России в качестве программы курсов повышения квалификации и профессиональной переподготовки специалистов подразделений технической защиты информации и ориентирована на:

руководителей подразделений технической защиты информации (ТЗИ), непосредственно отвечающих за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в автоматизированных системах (АС);

аналитиков по вопросам компьютерной безопасности, отвечающих за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;

администраторов средств защиты, контроля и управления, отвечающих за сопровождение и администрирование средств защиты информации и средств анализа защищенности подсистем АС.

Содержание курса

В рамках курса рассматриваются теоретические и правовые основы защиты информации и обеспечения безопасности информационных систем, современные технологии и средства защиты информации. Обсуждаются принципы построения комплексных систем защиты и основные направления деятельности служб технической защиты информации (подразделений обеспечения информационной безопасности - ОИБ) в действующих и проектируемых автоматизированных системах.

Особое внимание уделяется технологии ОИБ, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование АС. Подробно рассматриваются вопросы разработки нормативно-методических и организационно-распорядительных документов, необходимых для реализации рассмотренной технологии. Из материала разделов, посвященных техническим средствам защиты, слушатели получают представление о возможностях и порядке применения конкретных сертифицированных Гостехкомиссией России систем разграничения доступа и средств обеспечения безопасности в IP-сетях (в Internet).

Необходимая базовая подготовка

Для лучшего усвоения материала курса слушателям желательно иметь представление о современных информационных технологиях и автоматизированных системах, о правовых, организационных и технических аспектах проблемы обеспечения информационной безопасности.

Приобретаемые знания и навыки

В процессе изучения курса слушатели приобретают знания и практические навыки по:

основам обеспечения безопасности информационных технологий, современным концепциям построения и эффективного применения комплексных систем защиты информации в АС;

современным методам и средствам технической защиты информации, подходам к выбору необходимых программно-аппаратных средств защиты информации в АС и сетях;

планированию защиты, рациональному распределению функций по ТЗИ между подразделениями и сотрудниками предприятия, по организации их взаимодействия на различных этапах жизненного цикла подсистем АС;

основам проведения информационных обследований и анализа подсистем АС как объектов защиты;

разработке организационно-распорядительных документов по вопросам защиты информации;

порядку применения средств защиты информации от несанкционированного доступа (СЗИ НСД) семейства “Secret Net” в АС;

проблемам информационной безопасности в сетях Internet/Intranet, уязвимостям сетевых протоколов и служб, атакам в IP-сетях;

средствам анализа защищенности, средствам обнаружения атак и межсетевым экранам для обнаружения и устранения уязвимостей в информационных системах и обеспечения безопасности в IP-сетях.

основам поиска и использования оперативной информации о новых уязвимостях в системном и прикладном программном обеспечении, о средствах защиты и другой актуальной информации по ОИБ.

Дополнительная информация

Каждый слушатель получает комплект методических материалов и CD ROM, содержащий пакет типовых организационно-распорядительных и нормативно-методических документов (на основе которого ведется обучение), справочную информацию, а также демонстрационные версии основных рассматриваемых в курсе средств защиты.

По завершению обучения слушателям предоставляется возможность в течение месяца получать консультации специалистов учебного центра в рамках пройденного курса.

Программа учебного курса

Раздел 1. Основы безопасности информационных технологий

Основные понятия информационной безопасности. Информация и информационные технологии (ИТ). Актуальность проблемы обеспечения безопасности ИТ. Субъекты информационных отношений, их интересы и безопасность. Конфиденциальность, целостность, доступность. Пути нанесения ущерба. Цели и объекты защиты. Основные термины и определения.

Правовые основы обеспечения информационной безопасности. Законодательство в области защиты информации. Основные законы РФ и другие нормативно-правовые документы, регламентирующие деятельность организаций в области защиты информации в РФ. Защита информации ограниченного доступа. Сертификация и лицензирование. Требования к организации защиты информации, обязанности и права субъектов. Руководящие документы Гостехкомиссии России.

Государственная система защиты информации. Функции, состав, перспективы развития защиты информации. Основные положения государственных документов, определяющих требования к порядку и организации защиты информации от ее утечки по техническим каналам. Структура государственной системы защиты информации. Закон РФ “О государственной тайне” и другие организационно-распорядительные документы, указы и распоряжения Президента РФ, определяющие цели, задачи, структуру и перспективы развития государственной системы защиты информации (ГСЗИ). Концептуальный подход к структуре и построению государственной системы защиты информации на современном этапе.

Система нормативно-методических документов Гостехкомиссии России по защите информации. Вопросы контроля и надзора за обеспечением защиты информации (документы Гостехкомиссии России, Уголовный кодекс и др.). Международный обмен информацией, аналитический обзор. Характеристика и рекомендации по использованию специалистами в своей повседневной деятельности системы документов, регламентирующих деятельность ГСЗИ и обеспечивающих выполнение работ в области защиты информации.

Угрозы информационной безопасности АС. Автоматизированные системы и уязвимость их компонентов. Классификация угроз безопасности АС. Анализ рисков. Модели нарушителей. Определение требований к уровню обеспечения информационной безопасности.

Меры, методы и средства обеспечения информационной безопасности: законодательные, организационные, технологические, технические. Основные принципы построения систем защиты информации (законность, системность, комплексность, разумная достаточность и т.д.).

Основные защитные механизмы, используемые в СЗИ: идентификация и аутентификация, разграничение доступа, регистрация (аудит), контроль целостности, криптографическое преобразование данных, защита периметра сетей (фильтрация пакетов, трансляция адресов, контроль вложений, противодействие атакам), обнаружение атак, сканирование уязвимостей.

Технология обеспечения информационной безопасности. Структурные подразделения, должностные лица и сотрудники организации, их функции и взаимодействие по вопросам обеспечения информационной безопасности на различных этапах жизненного цикла подсистем АС. Организационная структура системы обеспечения информационной безопасности.

Жизненный цикл комплексной системы обеспечения информационной безопасности: проектирование, внедрение, эксплуатация, анализ эффективности и развитие. Основные задачи служб безопасности (структурная реорганизация; совершенствование системы нормативно-методических и организационно-распорядительных документов; инвентаризация и категорирование защищаемых ресурсов; выбор, внедрение и эксплуатация технических средств защиты и контроля защищенности).

Организация работ по обеспечению информационной безопасности. Организационные мероприятия по созданию и обеспечению нормального функционирования комплексной системы защиты. Разовые мероприятия. Периодически проводимые мероприятия. Мероприятия, проводимые при необходимости. Постоянно проводимые мероприятия. Ответственные и участники (исполнители) работ. Привлечение специализированных организаций.

Совершенствование организационно-штатной структуры. Совершенствование структуры и перераспределение обязанностей по ТЗИ. Создание и развитие подразделения защиты информации, его структура, функции, статус и полномочия. Ответственные в подразделениях за ТЗИ (администраторы информационной безопасности). Обязанности и ответственность руководителей и конечных пользователей АС.

Проблемы внедрения технологии управления информационной безопасностью. Недостаточная поддержка руководством, непонимание и противодействие со стороны персонала, нехватка подготовленных кадров, проблемы организации контроля и управления. Пропаганда чужого опыта. Демонстрация уязвимостей и атак. Информирование по имевшим место инцидентам. Обучение персонала основам ОИБ.

Концепция информационной безопасности предприятия. Нормативно-методические и организационно-распорядительные документы по вопросам обеспечения информационной безопасности. Политика информационной безопасности предприятия. Учет требований законодательства и собственника информации и средств ее обработки. Планы защиты подсистем АС. Общая характеристика подсистем АС, как объектов защиты. Определение значимых угроз. Разработка модели вероятных нарушителей. Анализ рисков.

Положения о структурных подразделениях. Положение о подразделении ОИБ. Функциональные обязанности сотрудников, технологические инструкции. Особые обязанности должностных лиц (сотрудников) по ОИБ. Памятка пользователю АС. Обязанности обслуживающего персонала, администраторов безопасности и ответственных за ОИБ в подразделениях (на технологических участках). Ответственность персонала за нарушения. Соглашение-обязательство сотрудника о соблюдении требований обеспечения безопасности информации.

Критерии оценки защищенности систем. Российские, зарубежные и международные критерии (РД Гостехкомиссии России, “радужная серия” и др.). Положение о категорировании защищаемых ресурсов и Перечень сведений (ресурсов АС), подлежащих защите. Методика проведения обследования подсистемы АС и категорирования информации и составления Перечня сведений, подлежащих защите. Формуляры автоматизированных рабочих мест (АРМ) и серверов. Формуляры задач. Определение требований к уровню обеспечения информационной безопасности.

Документы, регламентирующие порядок изменения полномочий пользователей АС. Администраторы сети, серверов, баз данных, приложений, специализированных дополнительных СЗИ. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС. Инструкция по организации парольной защиты в АС.

Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС. Фонд алгоритмов и программ - ФАП (архив эталонных дистрибутивов). Порядок приема, хранения и выдачи дистрибутивных носителей и документации ФАП исполнителям. Формуляры задач (программных средств). Их назначение и методики составления. Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач. Технорабочий проект на разработку задач (комплексов задач).

Документы, регламентирующие порядок применения средств криптозащиты информации (СКЗИ). Лицензирование и сертификация СКЗИ. Положение о Центре управления ключевыми системами. Порядок работы с ключевыми дискетами в АС.

Документы, регламентирующие порядок взаимодействия со сторонними организациями. Вопросы обмена данными между организациями. Защита интересов организации. Пример - договор “Клиент-Банк”. Вопросы законности применения средств криптографической защиты информации.

Планы обеспечения непрерывной работы и восстановления подсистем АС. Порядок резервирования и резервного копирования ресурсов АС. Инструкция по организации антивирусной защиты в АС. Инструкция по ОИБ при работе с Internet (варианты решений).

Раздел 2. Средства защиты информации от НСД

Аппаратно-программные средства защиты семейства Secret Net. Назначение, версии продуктов семейства. Краткая история развития. Технология и интегрированные средства для перспективных решений. Задачи, решаемые СЗИ Secret Net. Основные возможности и защитные механизмы Secret Net. Сертификаты соответствия. Комплектность поставки, документация. Ценовая политика. Система технической поддержки применения.

Рекомендации по выбору средств защиты от НСД. Обзор рынка СЗИ НСД. Требования РД Гостехкомиссии РФ к СЗИ НСД. Сравнение Secret Net с аналогичными продуктами других производителей.

Аппаратные средства Secret Net. Назначение (функции, задачи). Принципы работы и варианты применения. Secret Net Card. Secret Net ROM. Secret Net TM Card. COM-считыватели TM и Smart Card. Smarty. Электронный Замок “Соболь”. SmartLogon. FingerPrint. Сравнение с аналогичными продуктами других производителей.

Версии продуктов семейства Secret Net. Secret Net для MS DOS/Windows 3.11 и Windows 95/98. Сетевая версия Secret Net для MS DOS/Windows 3.11 и Windows 95/98 в сетях Novell NetWare. Secret Net Remote Tools. Secret Net для Windows NT. Интегрированные решения перспективных разработок. Основные нерешенные проблемы, идеи, принципы и подходы к их разрешению. Перспективы развития СЗИ НСД для корпоративных сетей.

Порядок применения систем разграничения доступа Secret Net. Уязвимость и защита информации на рабочих станциях, работающих под управлением DOS, Windows95/98. Автономные версии Secret Net для MS DOS/Windows 3.11 и Windows 95/98. Novell NetWare. Модель защиты, механизмы защиты, особенности обеспечения защиты информации в среде NW (каталоги, файлы, NDS). Сетевая версия Secret Net для MS DOS и Windows 95/98 в сетях Novell NetWare. Дополнительные сетевые защитные возможности. Средства удаленного администрирования Secret Net Remote Tools. Назначение, возможности, особенности реализации. Модель защиты, механизмы защиты, интерфейсы взаимодействия Windows NT. Защита информации на рабочей станции и в сети. Secret Net для Windows NT. Дополнительные защитные механизмы и возможности.

Приобретение первичных навыков по установке, настройке, администрированию, снятию и временному отключению Secret Net. Автономная версия Secret Net для MS DOS/Windows 3.11. Автономная версия Secret Net для Windows 95/98. Сетевая версия СЗИ Secret Net для сетей Novell NetWare. СЗИ Secret Net NT. Инсталляция, настройка, установка аппаратных средств, администрирование, временное отключение, снятие.

Раздел 3. Обеспечение информационной безопасности в IP-сетях

Проблемы обеспечения безопасности в IP-сетях (в том числе в Internet). Угрозы, уязвимости и атаки. Средства обнаружения уязвимостей узлов IP-сетей и атак на узлы, протоколы и сетевые службы. Получение оперативной информации о новых уязвимостях и атаках. Способы устранения уязвимостей и противодействия вторжениям нарушителей.

Продукты компании Internet Security Systems (ISS): Internet Scanner, System Scanner, Database Scanner, Real Secure. Назначение и возможности. Принципы работы. Место и роль в общем комплексе средств обеспечения безопасности. Планирование применения, лицензионная политика компании ISS. Сравнение возможностей с межсетевыми экранами.

Назначение и виды межсетевых экранов. Основные возможности МСЭ. Варианты размещения МСЭ. Достоинства и недостатки МСЭ как средства защиты. Общие рекомендации по применению. Краткий обзор имеющихся МСЭ различных производителей.

Основные защитные механизмы межсетевых экранов: фильтрация пакетов, трансляция сетевых адресов, промежуточная аутентификация, script rejection, проверка почты, виртуальные частные сети, противодействия атакам, нацеленным на нарушение работоспособности сетевых служб, дополнительные функции. Демилитаризованная зона. Политика безопасности при доступе в сети общего назначения.

Итоговое занятие (зачет).