Информационаая безопасность в АСЗИ. ИБ создания АСЗИ. 1 введение в дисциплину
Скачать 30.29 Kb.
|
1 ВВЕДЕНИЕ В ДИСЦИПЛИНУ 1.1 Цель и задачи изучения, место дисциплины в структуре основной профессиональной образовательной программы подготовки специалиста по защите информации Целью изучения дисциплины является освоение обучающимися методов, средств и мер по обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении и средств её обеспечения. Задачи изучения дисциплины являются: 1) развитие у обучающихся системного мышления и формирование более глубокого понимания свойств среды создания (развития) автоматизированных систем в защищенном исполнении и самого процесса создания (развития) автоматизированных систем в защищенном исполнении; 2) получения обучающимися знаний, методов, средств и участников обеспечения информационной безопасности компонентов автоматизированных систем в защищенном исполнении при её создании (развитии); 3) приобретение обучающимися практических навыков решения задач обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении. 1.2 Планируемые результаты обучения по дисциплине В результате изучения дисциплины у обучающихся должны быть сформированы следующие компетенции: общекультурные: 1) способность использовать основы правовых знаний в различных сферах деятельности (ОК-4); 2) способность к коммуникации в устной и письменной формах на русском и иностранных языках для размещения задач межличностного и межкультурного взаимодействия, в том числе в сфере профессиональной деятельности (ОК-7); общепрофессиональные: 1) способность понимать значение информации в развитии современного общества, применять достижения современных информационных технологий для поиска информации в компьютерных системах (ОПК-4); 2) способность применять нормативные правовые акты в профессиональной деятельности (ОПК-6); профессиональные: 1) способность осуществлять поиск, изучение, обобщение и систематизацию научно-технической информации, нормативных и методических материалов в сфере профессиональной деятельности, в том числе на иностранном языке (ПК-1); 2) способность разрабатывать модели угроз и модели нарушителя информационной безопасности автоматизированных систем (ПК-4); 3) способность разрабатывать и анализировать проектные решения по обеспечению безопасности автоматизированных систем (ПК-8); 4) способность применять знания в области электроники и схемотехники, технологий, методов и языков программирования, технологий связи и передачи данных при разработке программно-аппаратных компонентов защищенных автоматизированных систем в сфере профессиональной деятельности (ПК-10); 5) способность участвовать в проведении экспериментально-испытательных работ при аттестации автоматизированных систем с учетом нормативных документов по защите информации (ПК-16); 6) способность организовать разработку, внедрение, эксплуатацию и сопровождение автоматизированной системы с учетом требований информационной безопасности (ПК-20); 7) способность разрабатывать проекты документов, регламентирующих работу по обеспечению информационной безопасности автоматизированных систем (ПК-21); 8) способность формировать комплекс мер (правила, процедуры, методы) для защиты информации ограниченного доступа (ПК-23); 9) способность обеспечить эффективное применение информационно-технологических ресурсов автоматизированной системы с учетом требований информационной безопасности (ПК-24); профессионально-специализированные: 1) способность принимать участие в моделировании, разработке, реализации и управлении процессами создания и эксплуатации автоматизированных систем в защищенном исполнении на всех стадиях и этапах их жизненного цикла (ПСК-9.1); 2) способность рационально выбрать методы и средства для реализации процессов создания и эксплуатации автоматизированных систем (ПСК-9.2); 3) способность применять нормативные правовые акты, руководящие и методические документы, регламентирующие процессы создания и эксплуатации автоматизированных систем в защищенном исполнении на различных стадиях их жизненного цикла (ПСК-9.4); 4) способность проводить анализ достаточности мер по обеспечению информационной безопасности процессов создания и эксплуатации автоматизированных систем в защищенном исполнении (ПСК-9.5). Результатом сформированности у обучающихся перечисленных компетенций является наличие у них: а) знаний: 1) объектов обеспечения информационной безопасности автоматизированных систем в защищенном исполнении; 2) угроз информационной безопасности автоматизированных систем в защищенном исполнении; 3) объектов обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении; 4) угрозы информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении; 5) меры, средства и участников обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении; 6) особенности обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении, обрабатывающих государственную тайну; б) умений: 1) определять объекты обеспечения информационной безопасности автоматизированных систем в защищенном исполнении и формировать для них перечни и модели актуальных угроз информационной безопасности; 2) определять объекты обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении и формировать для них перечни и модели актуальных угроз информационной безопасности; 3) определять объекты обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении и оценивать их достаточность. в) навыков: 1) работы по формированию требования по обеспечения информационной безопасности объектов обеспечения информационной безопасности адекватных актуальным угрозам их информационной безопасности; 2) работы по формированию требований по обеспечения информационной безопасности объектов обеспечения информационной безопасности адекватных актуальным угрозам их информационной безопасности и оценивать их полноту и непротиворечивость; 3) формирования оптимального набора мер и средств обеспечения информационной безопасности создания (развития) объектов обеспечения информационной безопасности адекватных требованиям по обеспечению информационной безопасности; 4) навыками поиска и работы с документами в области обеспечения информационной безопасности создания (развития) автоматизированных систем в защищенном исполнении. 1.3 Виды и объемы учебной работы, содержание дисциплины Общая трудоемкость (объем) дисциплины составляет 4 зачетных единиц, что соответствует 144-м академическим часам. Изучение дисциплины предусматривает 32 академических часа лекционных занятий и 16 академических часов практических занятий. Виды промежуточной аттестации по итогам изучения – зачет с оценкой. Дисциплина включаете в себя: 1 Введение в дисциплину. 2 Информационная безопасность деятельности. 3 Угрозы и объекты обеспечения информационной безопасности создания автоматизированных систем в защищенном исполнении. 3.1 Угрозы информационной безопасности создания автоматизированных систем в защищенном исполнении. 3.2 Объекты обеспечения информационной безопасности создания автоматизированных систем в защищенном исполнении. 4 Меры и участники работ по обеспечению информационной безопасности создания автоматизированных систем в защищенном исполнении. 4.1 Меры обеспечения информационной безопасности создания автоматизированных систем в защищенном исполнении. 4.2 Участники работ по обеспечению информационной безопасности создания автоматизированных систем в защищенном исполнении. 5 Особенности обеспечения информационной безопасности создания автоматизированных систем в защищенном исполнении, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. 1.4 Перечень основных объектов и процессов, изучаемых в дисциплинеОсновными объектами, изучаемыми в дисциплине, являются: автоматизированные системы в защищенном исполнении; объекты информатизации, включающие в себя автоматизированные системы в защищенном исполнении; информационная безопасность деятельности; угрозы информационной безопасности деятельности по созданию (развитию) автоматизированных систем в защищенном исполнении; методы и средства обеспечения информационной безопасности создания и развития автоматизированных систем в защищенном исполнении. Основными процессами, изучаемыми в дисциплине, является создание и развитие автоматизированных систем в защищенном исполнении: Обеспечение информационной безопасности создания и развития автоматизированных систем в защищенном исполнении. 1.5 Основные объекты, изучаемые в дисциплине, их определения и взаимосвязьОдним из основных объектов изучения в дисциплине является автоматизированная система в защищенном исполнении. Основу автоматизированной системы в защищенном исполнении составляет объект называемый «автоматизированная система». Автоматизированную систему можно определить в соответствии со статьей 1.1 ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» как систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций. На основании этого определения и положений ГОСТ Р 51583-2014 «Национальный стандарт Российской Федерации. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» можно сформировать следующее определение понятия «автоматизированная система в защищенном исполнении»: автоматизированная система в защищенном исполнении – это автоматизированная система, реализующая в соответствии с действующими нормативными правовыми актами требования о защите обрабатываемой в ней информации. ГОСТ Р 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» в статье 3.1 устанавливает следующее определение: «объект информатизации: совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены или помещений и объектов, предназначенных для ведения конфиденциальных переговоров». На основании этого определения следует сформулировать более общее определение понятия «объект информатизации». Это необходимо потому, что кроме помещений и объектов, предназначенных для ведения конфиденциальных переговоров, то есть переговоров, в процессе ведения которых обсуждается конфиденциальная информация, необходимы помещения и объекты, предназначенные для ведения секретных переговоров, то есть переговоров в процессе ведения которых обсуждается информация, содержащая сведения составляющие государственную тайну различной степени секретности. Так как и конфиденциальная информация, и информация, составляющая государственную тайну, относятся по законодательству Российской Федерации к информации ограниченного доступа, то такое более общее определение можно сформулировать следующим образом: объект информатизации (ОИ) – это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, помещений и объектов, предназначенных для ведения переговоров, в процессе которых обсуждается информация ограниченного доступа. На основании этого определения и определения понятия «автоматизированная система в защищенном исполнении» можно сформулировать следующее определение: объект информатизации, включающий в себя автоматизированную систему в защищенном исполнении (ОИ, включающий в себя АСЗИ) – это совокупность информационных ресурсов АСЗИ, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эта автоматизированная система установлена. Определение понятия «информационная безопасность деятельности» можно сформулировать следующим образом: информационная безопасность деятельности (ИБ деятельности) – это состояние защищенности всех составляющих деятельности от внутренних и внешних угроз информационной безопасности деятельности, способных оказывать вредоносные воздействия на составляющие деятельности. На основании определений понятия «угроза информационной безопасности Российской Федерации», установленного в Доктрине информационной безопасности Российской Федерации, утвержденной указом президента Российской Федерации от 05.12.2016 №646 и понятия «угроза информационной безопасности организации», установленного в ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» сформулируем следующее определение: угроза информационной безопасности деятельности – это совокупность условий и факторов, создающих реальную и потенциальную опасность оказания вредоносного воздействия (вредоносных воздействий) на одну или несколько составляющих деятельности, в результате которого (которых) может наноситься ущерб обладателю (обладателям) деятельности и (или) окружающей среде. Понятие «обладатель деятельности» определим, взяв за основу определение понятия «обладатель информации», установленное в статье 2 Федерального Закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»: обладатель деятельности – это лицо или группа лиц, самостоятельно организовавших осуществление деятельности и (или) имеющих законное право управлять деятельностью, использовать и распределять результаты деятельности, распределять (выделять) ресурсы, необходимые деятельности. Нанесение ущерба обладателю деятельности может осуществляться как непосредственно вредоносным воздействием на него, так и опосредованно через другие составляющие деятельности, на которые вредоносное воздействие оказывается. Угрозы ИБ деятельности следует разделять на внутренние угрозы ИБ деятельности и внешние угрозы ИБ деятельности. Внутренние угрозы информационной безопасности деятельности – это угрозы информационной безопасности деятельности, обусловленные факторами, порождаемыми составляющими деятельности и (или) компонентами среды реализации этой деятельности. Под средой реализации деятельности будем понимать юридическое лицо или индивидуального предпринимателя и используемые ими здания, помещения, объекты, средства обеспечения деятельности, а также другие используемые ими в процессе деятельности объекты и процессы. К средствам обеспечения деятельности относится система отопления, видеонаблюдения, электроснабжения, заземления и тому подобные объекты. Внешние угрозы информационной безопасности деятельности – это угрозы информационной безопасности деятельности, обусловленные факторами, порождаемыми внешней средой по отношению к составляющим деятельности и компонентам среды реализации деятельности. На основании определения понятия «информационная безопасность деятельности» и определений, установленных в ГОСТ 34.003 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» сформулируем следующие определения: информационная безопасность проектирования автоматизированной системы в защищенном исполнении – это состояние защищенности всех составляющих совокупности работ (деятельности) осуществляемых, начиная от стадии «Формирование требований к системе» до стадии «Ввод в действие»; информационная безопасность создания автоматизированной системы в защищенном исполнении – это состояние защищенности всех составляющих совокупности работ (деятельности) осуществляемых, начиная от стадии «Формирование требований к системе» до стадии «Сопровождение системы»; информационная безопасность развития автоматизированной системы в защищенном исполнении – это состояние защищенности всех составляющих совокупности работ (деятельности), осуществляемых целенаправленно на улучшение характеристик и (или) расширение функций АСЗИ. На основании части 2.3.1 ГОСТ Р 50922 «Защита информации. Основные термины и определения», в части 3.6.5 ГОСТ Р 53114 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», а также раздела 1 Доктрины информационной безопасности Российской Федерации можно сформулировать следующее определение понятия «метод обеспечения информационной безопасности деятельности»: метод обеспечения информационной безопасности деятельности – взаимосвязанная совокупность определенных принципов и правил применения правовых, организационных мер и средств обеспечения информационной безопасности. На основании части 2.7.2 статьи 2.7 ГОСТ Р 50922 «Защита информации. Основные термины и определения», части 3.6.5 ГОСТ Р 53114 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», а также пункта е) раздела 1 Доктрины информационной безопасности Российской Федерации можно сформулировать следующие определения: средство обеспечения информационной безопасности деятельности – это правовое, организационное, техническое, программное, программно-техническое средство, вещество, материал и иное оборудование, предназначенное или используемое для обеспечения информационной безопасности деятельности. На основании определений понятий «метод обеспечения информационной безопасности деятельности» и «средство обеспечения информационной безопасности деятельности» можно сформулировать определения всех остальных основных объектов изучаемых в дисциплине, а именно «метод обеспечения информационной безопасности проектирования АСЗИ», «метод обеспечения информационной безопасности создания АСЗИ», «метод обеспечения информационной безопасности развития АСЗИ», «средства обеспечения информационной безопасности проектирования АСЗИ», «средства обеспечения информационной безопасности создания АСЗИ», «средства обеспечения информационной безопасности развития АСЗИ» следующим образом: метод обеспечения информационной безопасности проектирования АСЗИ – это взаимоувязанная совокупность определенных принципов и правил применения правовых, организационных мер и средств обеспечения информационной безопасности, используемых для обеспечения информационной безопасности проектирования АСЗИ; метод обеспечения информационной безопасности создания АСЗИ – это взаимоувязанная совокупность определенных принципов и правил применения правовых, организационных мер и средств обеспечения информационной безопасности, используемых для обеспечения информационной безопасности создания АСЗИ; метод обеспечения информационной безопасности развития АСЗИ – это взаимоувязанная совокупность определенных принципов и правил применения правовых, организационных мер и средств обеспечения информационной безопасности, используемых для обеспечения информационной безопасности развития АСЗИ; средство обеспечения информационной безопасности проектирования АСЗИ – это правовое, организационное, техническое, программное, программно-техническое, физическое средство, вещество, материал и иное оборудование, предназначенное или используемое для обеспечения информационной безопасности проектирования АСЗИ; средство обеспечения информационной безопасности создания АСЗИ – это правовое, организационное, техническое, программное, программно-техническое, физическое средство, вещество, материал и иное оборудование, предназначенное или используемое для обеспечения информационной безопасности создания АСЗИ; средство обеспечения информационной безопасности развития АСЗИ – это правовое, организационное, техническое, программное, программно-техническое, физическое средство, вещество, материал и иное оборудование, предназначенное или используемое для обеспечения информационной безопасности развития АСЗИ. 1.6 Основные процессы, изучаемые в дисциплине, их определения и взаимосвязьНа основании определений, установленных в статье 4 ГОСТ 34.003, сформулируем определения следующих основных процессов, изучаемых в дисциплине: проектирование АСЗИ – это совокупность работ, осуществляемых начиная от стадии «Формирование требований к системе» до стадии «Ввод в действие»; создание АСЗИ – это совокупность работ, осуществляемых начиная от стадии «Формирование требований к системе» до стадии «Сопровождение системы»; развитие АСЗИ – это совокупность работ по улучшению характеристик и (или) расширению функций АСЗИ, осуществляется в целях продления времени эксплуатации этой автоматизированной системы. В целях обеспечения наглядности и обеспечения планирования работ по созданию АСЗИ ее создание обычно разделяется на части, называемые стадиями и этапами создания этой АСЗИ. Определения понятий «стадия создания АСЗИ» и «этап создания АСЗИ» можно сформулировать на базе определений понятий, которые установлены в статье 4 ГОСТ 34.003 следующим образом: стадия создания АСЗИ – это часть создания АСЗИ, установленная нормативными документами и заканчивающаяся выпуском документации на эту систему, содержащей описание полной, в рамках заданных требований, модели АСЗИ на заданном для данной стадии уровне, или изготовлением несерийных компонентов АСЗИ, или приемкой АСЗИ в промышленную (постоянную) эксплуатацию; этап создания АСЗИ – это часть стадии создания АСЗИ, выделенная по соображениям единства характера работ и (или) завершающего результата или специализации исполнителей. Стадии и этапы, выполняемые организациями-участниками работ по созданию АСЗИ, устанавливаются в контракте (договоре) и техническом задании на создание этой автоматизированной системы в зависимости от ее специфики и условий создания. Стадии и этапы создания АСЗИ устанавливаются по ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания». Стадии и этапы создания АСЗИ, относящихся к государственным информационным системам, устанавливаются в соответствии с постановлением правительства Российской Федерации от 06.07.2015 №676. На основании определения понятия «информационная безопасность деятельности» и определений понятий «проектирование АСЗИ», «создание АСЗИ», «развитие АСЗИ» можно сформулировать определения следующих основных процессов, изучаемых в дисциплине: обеспечение информационной безопасности проектирования АСЗИ – это обеспечение состояния защищенности всех составляющих совокупности работ, осуществляемых начиная от стадии «Формирование требований к системе» до стадии «Ввод в действие» от внутренних и внешних угроз информационной безопасности, способных оказывать вредоносное воздействие на одну или более составляющих этой совокупности работ; обеспечение информационной безопасности создания АСЗИ – это обеспечение состояния защищенности всех составляющих совокупности работ, осуществляемых начиная от стадии «Формирование требований к системе» до стадии «Сопровождение системы» от внутренних и внешних угроз информационной безопасности, способных оказывать вредоносное воздействие на одну или более составляющих этой совокупности работ; обеспечение информационной безопасности развития АСЗИ – это обеспечение состояния защищенности всех составляющих развития АСЗИ от внутренних и внешних угроз информационной безопасности, способных оказывать вредоносные воздействия на одну или более составляющих развития этой системы. 2 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДЕЯТЕЛЬНОСТИ2.1 Деятельность, ее составляющие и их взаимосвязь |