Введение в Internet и Intranet. Способы нападения на сети и защита от межсетевого доступа. Особенности для различных уровней модели ISO/OSI.
Технологии межсетевых экранов. Функции МЭ. Формирование политики межсетевого взаимодействия. Основные схемы подключения МЭ. Персональные и распределенные сетевые экраны. Проблемы безопасности МЭ. Критерии оценки межсетевых экранов.
Построение защищенных виртуальных сетей VPN. Варианты построения. Средства обеспечения безопасности VPN.
Защита на канальном и сеансовом уровнях. Протоколы PPTP, L2TP, SSL/TLS, SOCKS.
Защита на сетевом уровне. Протокол IPSEC. Основные схемы применения, преимущества средств безопасности IPSEC.
Безопасность удаленного доступа к локальной сети. Централизованный контроль. Управление доступом по схеме однократного входа с авторизацией.
Технологии обнаружения атак. Классификация систем обнаружения атак IDS. Компоненты и архитектура IDS. Методы реагирования.
Угрозы и уязвимости беспроводных сетей.
17. Организационно-правовое обеспечение защиты информации Сущность и роль организационно-правовых аспектов информационной безопасности. Человек как главное звено в системе защиты информации и как злоумышленник. Нормативная правовая база информационной безопасности. Закон РК “Об информации, информационных технологиях и о защите информации”.
Виды и категории информации ограниченного доступа: государственная и другие виды тайн. Закон РК “О государственной тайне”. Государственная система лицензирования и сертификации деятельности в области защиты информации. Указ Президента РК “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации”. Закон РК “Об электронной цифровой подписи”. Уголовно- правовое регулирование защиты информации.
Стандарты информационной безопасности
Исторический очерк развития зарубежных стандартов информационной безопасности. Критерии безопасности компьтерных систем Министерства обороны США – «Оранжевая книга». Европейские критерии безопасности информационных технологий. Федеральные критерии безопасности. Канадские критерии безопасности компьютерных систем. ГОСТ Р ИСО/МЭК 15408-2002, как аутентичный вариант общих критериев безопасности ИТ.Функциональные требования безопасности. Требования доверия к безопасности. Стандарты ISO/IEC 17799: 2002 (BS 7799:2000). ISO/IEC 27001. Германский стандарт BSI. Стандарты SysTrust, SCORE, GIAC.
Стандарты для беспроводных сетей. Отечественные стандарты информационной безопасности. Стандарты обеспечение информационной безопасности организаций банковской системы голсударства.
Стандарты информационной безопасности в Интернете.
Сертификация и аттестация в области информационной безопасности
Назначение и общая характеристика. Добровольная сертификация. Обязательное подтверждение соответствия. Декларирование соответствия. Обязательная сертификация. Проведение сертификационных испытаний: принципы проведения испытаний, документы сертификационных испытаний. Сертификация продукции, ввозимой из-за границы РК. Сертификация на региональном и международном уровнях: страны СНГ, Евросоюз, ….
Нормативно-правовые акты и другие документы РК в области информационной безопасности
Почти все документы доступны в электронном виде, например, по адресам:
www.kremlin.ru, www.duma.gov.ru, www.cryptopro.ru, www.infotex.ru
Вопросами информационной безопасности в Государственной думе занимаются 3 комитета: Комитет по безопасности, Комитет по информационной политике. Комитет по энергетике, транспорту и связи.
