Главная / Учебные программы / Программы повышения квалификации / Администратор безопасности информации в автоматизированных системах

Администратор безопасности информации в автоматизированных системах

УЧЕБНАЯ ПРОГРАММА

ПОВЫШЕНИЯ КВАЛИФИКАЦИИ СПЕЦИАЛИСТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

по курсу

 

«Администратор безопасности информации

 в автоматизированных системах»

 

В программе отражены требования нормативных правовых актов и методических документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и учтено содержание работ по технической защите информации (ТЗИ), проводимых управлениями ФСТЭК России по федеральным округам.

Цель обучения по программе: освоение актуальных изменений в вопросах профессиональной деятельности специалистов по защите информации, обновление их теоретических знаний и развитие практических умений и навыков по администрированию безопасности информации в автоматизированных системах (АС) в связи с повышением требований к уровню квалификации и необходимостью освоения новых способов решения профессиональных задач при проведении работ по защите информации (ЗИ), хранимой и обрабатываемой в АС, а также передаваемой по телекоммуникационным каналам связи.

Поставленная цель достигается решением следующих задач:

- изучением правовых и организационных основ обеспечения защиты информации в автоматизированных системах;

- изучением методов и процедур выявления угроз безопасности информации в автоматизированных системах и оценка степени их опасности;

- практической отработкой способов и порядка проведения работ по обеспечению защиты информации, хранимой и обрабатываемой в автоматизированных системах, а также передаваемой по телекоммуникационным каналам связи.

Категория слушателей: специалисты органов государственной власти, местного самоуправления и организаций, осуществляющие разработку и эксплуатацию автоматизированных систем различного уровня и назначения, специалисты по вычислительной технике, имеющие знания и практический опыт администрирования вычислительных сетей, руководители и специалисты служб информационной безопасности органов власти и организаций.

Срок обучения: 108 часов аудиторных учебных занятий.

Режим занятий: 54 часа – общей учебной нагрузки в неделю, из них 36 часов аудиторной учебной работы, 18 часов самостоятельной работы, в том числе под руководством преподавателя.

Форма обучения: очная (с отрывом от работы).

В результате изучения курса слушатели должны:

быть ознакомлены:

- с концептуальными основами защиты информации в Российской Федерации;

- с организацией лицензирования деятельности в области технической защиты информации;

- с документами национальной системы стандартизации, действующими в области защиты информации;

- со способами и средствами реализации угроз безопасности информации в АС и телекоммуникационных сетях и их источниками;

- с используемыми и перспективными способами и средствами ЗИ в АС;

- с функциональными возможностями различных средств технической защиты информации в АС;

знать:

- основные виды угроз безопасности информации, каналы утечки информации;

- физическую природу и причины возникновения технических каналов утечки информации при её обработке в АС;

- содержание основных нормативных правовых актов РФ по вопросам технической защиты информации;

- основные положения по категорированию объектов информатизации и обоснованию требований по защите информации в АС;

- методы и процедуры выявления угроз безопасности информации в АС, а также содержание и порядок организации работ по их выявлению;

- порядок организации ЗИ в АС;

- порядок организации контроля и оценки степени безопасности информации при её обработке в АС;

- методы и средства технической защиты информации в АС;

уметь:

- организовывать работы по выявлению угроз безопасности информации в АС;

- проводить анализ возможностей потенциальных нарушителей по добыванию информации ограниченного доступа, обрабатываемой в АС;

- планировать и разрабатывать мероприятия по защите информации, обрабатываемой в АС, и оценивать их достаточность;

- разрабатывать организационно-распорядительные документы по ЗИ в органах власти и организациях, а также по обеспечению безопасности информации в АС;

- осуществлять комплексный контроль выполнения принимаемых мер по технической защите информации, обрабатываемой в АС;

- осуществлять установку и настройку средств защиты информации от несанкционированного доступа (НСД) к информации, обрабатываемой в АС;

- осуществлять подготовку объектов информатизации к аттестации по требованиям безопасности информации;

иметь навыки:

- выявления угроз безопасности информации и применения современных средств защиты информации в АС;

- применения организационных мер и средств защиты информации при её обработке в АС;

- реализации разрешительной системы доступа пользователей к ресурсам АС.

ПЕРЕЧЕНЬ ТЕМ

 

№ п/п

Наименование разделов и тем

1

Раздел 1. Организационно-правовые основы технической защиты информации

1.1

Тема № 1. Законодательная и нормативная база правового регулирования вопросов защиты информации

1.2

Тема № 2. Системы лицензирования и сертификации в области защиты информации

1.3

Тема № 3. Руководящие документы ФСТЭК России по защите информации

1.4

Тема № 4. Инвентаризация и категорирование информационных ресурсов организации

2

Раздел 2. Методы и средства защиты информации. Администрирование средств защиты информации в автоматизированных системах

2.1

Тема № 5. Источники и способы реализации угроз безопасности информации АС. Модель нарушителя

2.2

Тема № 6. Методы и средства защиты информации в АС. Администрирование средств защиты информации в АС

2.3

Тема № 7. Методы и средства защиты информации в АС при вхождении во внешние информационные системы. Администрирование межсетевых экранов

2.4

Тема № 8. Практическая реализация методов и средств защиты информации в АС

3

Раздел 3. Разработка организационно-распорядительных документов по защите информации в автоматизированных системах

3.1

Тема № 9. Перечень, содержание и порядок разработки основных организационно-распорядительных документов по защите информации в АС

3.2

Тема № 10. Подготовка к аттестации и аттестация объектов информатизации по требованиям безопасности информации

 

РЕФЕРАТИВНОЕ ОПИСАНИЕ ТЕМ

Тема № 1. Законодательная и нормативная база правового регулирования вопросов защиты информации.

Основные понятия и определения в области ЗИ. Доктрина информационной безопасности Российской Федерации. Концептуальные вопросы ЗИ. Нормативные правовые акты, регулирующие вопросы ЗИ. Федеральные законы (Законы Российской Федерации), указы Президента РФ, постановления Правительства РФ в области ЗИ.

Тема № 2. Системы лицензирования и сертификации в области защиты информации.

Лицензирование деятельности в области технической защиты информации. Сертификация средств защиты информации. Порядок продления сертификатов соответствия.

Тема № 3. Руководящие документы ФСТЭК России по защите информации.

Структура и направления деятельности системы ЗИ в субъектах РФ. Органы по ЗИ в РФ, их задачи и полномочия. Задачи, решаемые ФСТЭК России. Нормативные правовые акты и методические документы ФСТЭК России, регламентирующие деятельность в области ЗИ. Система документов по ЗИ.

Тема № 4. Инвентаризация и категорирование информационных ресурсов организации.

Методические рекомендации по разработке перечня сведений, подлежащих защите, классификации и категорированию объектов защиты.

Тема № 5. Источники и способы реализации угроз безопасности информации. Модель нарушителя.

Понятия «угрозы безопасности информации», «источника угроз», целостности, конфиденциальности и доступности информации. Классификационная схема угроз безопасности информации. Общая характеристика угроз утечки информации по техническим каналам, несанкционированного доступа и специальных воздействий на информацию. Характеристика основных угроз НСД и способов их реализации. Характеристика основных классов атак, реализуемых в сетях общего пользования, функционирующих с использованием стека протоколов ТСР/IP. Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. Методы оценки опасности угроз. Понятие модели нарушителя безопасности информации и методика ее построения.

Тема № 6. Методы и средства защиты информации в автоматизированных системах.

Администрирование средств защиты информации в АС. Понятие программно-математического воздействия и вредоносной программы. Классификация вредоносных программ, основных деструктивных функций вредоносных программ и способов их реализации. Основные методы и средства защиты информации. Основные функции средств защиты информации от НСД. Методы и средства выявления угроз НСД к информации и специальных воздействий на нее. Обзор и краткая характеристика современных средств защиты информации от НСД, представленных на российском рынке. Особенности установки и настройки средств защиты информации, а также их использование для решения различных задач защиты информационных ресурсов АС. Защита информации в АС на базе автономных ПЭВМ.

Тема № 7. Методы и средства защиты информации в автоматизированных системах при вхождении во внешние информационные системы.

Администрирование межсетевых экранов. Характеристика угроз утечки информации по техническим каналам. Методы и средства защиты от утечки информации по техническим каналам. Особенности программно-математического воздействия в сетях общего пользования. Обзор и краткая характеристика современных межсетевых экранов, представленных на российском рынке. Особенности установки и настройки межсетевых экранов, а также их использование для решения различных задач защиты сетевых ресурсов АС. Защита информации в ЛВС. Защита информации при межсетевом взаимодействии. Порядок обеспечения защиты информации при взаимосвязи с информационными сетями общего пользования. Защита информации при работе с СУБД.

Тема № 8. Практическая реализация методов и средств защиты информации в АС.

Порядок разработки системы разграничения доступа в АС. Идентификация субъекта доступа, понятие протокола идентификации, идентифицирующая информация. Защита сетевых файловых ресурсов. Способы фиксации доступа к информационным ресурсам. Аудит системы обеспечения безопасности информации, порядок действий персонала при выявлении нарушений.

 

Тема № 9. Перечень, содержание и порядок разработки основных организационно-распорядительных документов по защите информации.

Порядок организации ЗИ на действующих объектах. Нормативно-методическое обеспечение ЗИ на объектах информатизации. Система требований по ЗИ на объектах информатизации. Порядок разработки и согласования руководств и инструкций по ЗИ. Оценка достаточности и обоснованности мероприятий по ЗИ. Контроль состояния системы ЗИ на объектах.

Тема №10. Подготовка объектов информатизации к аттестации по требованиям безопасности информации.

Содержание и порядок проведения аттестации АС по требованиям безопасности информации от НСД. Структура, содержание и порядок подготовки документов при аттестации АС по требованиям безопасности информации от НСД.