+7 (812) 703-02-02 info@hse.spbstu.ru Max Rutube
О переподготовке
Программы
Поступающим
Документы
Расписание
Личный кабинет

SEC-DOC. Нормативная база обеспечения информационной безопасности

Длительность дисциплины: 20 ак.ч.

Аннотация

В связи с непрерывным ростом объема обрабатываемой информации возрастает актуальность применения средств и способов её защиты.  Дисциплина "SEC-DOC. Нормативная база обеспечения информационной безопасности" направлена на получение обучающимися сведений об основных видах тайн, защиту которых обучающиеся осуществляют в процессе повседневной производственно-технической деятельности, а также о действующих руководящих и нормативно-методических документах по информационной безопасности, порядку их применения и актуализации.

Дисциплина имеет практическую реализацию в дисциплинах "SEC-WIN. Безопасность инфраструктуры средствами Windows Server" и  "SEC-LINUX. Обеспечение безопасности ОС Linux" в части рассматриваемых в этих дисциплинах реализаций мер и средств защиты общесистемного, прикладного и специального программного обеспечения.

Содержание дисциплины

Модуль 1. Национальные руководящие документы по защите информации

  • Национальные руководящие документы по защите информации (приказы, методические документы, модели, инструкции, письма, разъяснения и пр.)
  • Национальные стандарты по ИБ (34.xyz, 15408.х, 270xy, 50xyz)

Модуль 2. Основные понятия информационной безопасности.

  • Основные понятия.
  • Общая схема процесса обеспечения ИБ
  • Уязвимости, угрозы, атаки
  • Классификация уязвимостей
  • Классификация угроз
  • Модель действий злоумышленника

Модуль 3. Модель угроз и модель злоумышленника.

  • Построение модели угроз для объекта информатизации
  • Построение модели злоумышленника для объекта информатизации

Модуль 4. Средства и способы защиты информации

  • Сертификация средств защиты на соответствие требованиям ИБ (федеральные органы исполнительной власти, сертифицирующие СрЗИ на соответствие требованиям, порядок сертификации СрЗИ, перечни сертифицированных СрЗИ, соответствие СрЗИ для их использования для защиты соответствующих АС (У)/ИС ПДн )
  • Способы защиты ресурсов сетей связи (способы защиты телекоммуникационного оборудования, способы защиты средств вычислительной техники, способы защиты линейно-технических устройств)

Модуль 5. Методики оценки защищенности объекта информатизации.

  • Методика ФСТЭК
  • Методика NIST
  • Методика COBIT

Модуль 6. Международные руководящие документы по защите информации

  • Международные руководящие документы и практики по защите информации (Directive 95/46/EC, Directive 2002/58/EC , Regulation (EU) 910/2014, Directive (EU) 2016/680, GDPR, Guidelines 3/2019 и др.)
  • Международные стандарты по ИБ (ISO/IEK 15944, ISO/IEK 29xyz, ISO/TS 17975, BS 10012, NIST SP 800-53 и др.)

Модуль 7. Базы дефектов и уязвимостей программного обеспечения

  • CWE (Common Weakness Enumeration) – общий перечень дефектов (недостатков) безопасности (cwe.mitre.org).
  • CVE (Common Vulnerabilities and Exposures) – перечень уязвимостей, обнаруженных в программном обеспечении (cve.mitre.org).
  • Другие базы данных уязвимостей ресурсов сетей связи (bdu.fstec.ru, vulncat.fortify.com, capec.mitre.org, OWASP Top 10)
  • Рейтингование и оценки критичности уязвимостей