Б1.В.ОД.10 Безопасность функционирования информационных систем
Направление подготовки
Программная инженерия
Профиль подготовки
Корпоративные информационные системы
Квалификация (степень) выпускника
Бакалавр
Форма обучения
Очная
Москва 2017
- Цели освоения дисциплины
Дисциплина «Безопасность функционирования информационных систем» имеет своей целью способствовать формированию у обучающихся профессиональных компетенций ПК–4 ПК – 5, ПК –12 и общекультурные компетенции ОК-7,ОПК-1,ОПК-2 в соответствии с требованиями ФГОС ВО по направлению подготовки бакалавров 09.03.04 «Программная инженерия»с учетом специфики профиля подготовки – «Корпоративные информационные системы».
Место дисциплины в структуре основной профессиональной образовательной программы (ОПОП) бакалавриата
Дисциплина «Безопасность функционирования информационных систем» является обязательной дисциплиной базовой части блока Б1.В.ОД«Дисциплины» учебного плана направления подготовки бакалавров 09.03.04 Программная инженерияс учетом специфики профиля подготовки – «Корпоративные информационные системы».
Для освоения дисциплины «обучающиеся должны обладать знаниями, умениями и навыками, полученными в результате формирования и развития компетенций в следующих дисциплинах и практиках:
ПК-4 владением концепциями и атрибутами качества программного обеспечения (надежности, безопасности, удобства использования), в том числе роли людей, процессов, методов, инструментов и технологий обеспечения качества
Разработка клиент-серверных приложений
Анализ сложности алгоритмов
Основы управления ИТ-проектами
Безопасность функционирования информационных систем
Разработка программного обеспечения для корпоративных информационных систем
Оценка качества информационных систем
Сертификация информационных систем
Информационная безопасность и защита информации
Математические основы защиты информации
Системы электронного документооборота
Мультиагентные информационные системы
Практика по получению профессиональных умений и опыта профессиональной деятельности
ПК– 5 владением стандартами и моделями жизненного цикла
Информационные системы и технологии
Разработка программных приложений
Проектирование информационных систем
Основы управления ИТ-проектами
Безопасность функционирования информационных систем
Качество, стандартизация и сертификация информационных систем
Программная инженерия для корпоративных информационных систем
Корпоративные информационные системы
Интерфейсы информационных систем
Открытые информационные системы
Методы функциональной стандартизации
Основы сопровождения информационных систем
ПК-17 (способностью использовать технологии разработки объектов профессиональной деятельности в областях: машиностроение, приборостроение, техника, образование, медицина, административное управление, юриспруденция, бизнес, предпринимательство, коммерция, менеджмент, банковские системы, безопасность информационных систем, управление технологическими процессами, механика, техническая физика, энергетика, ядерная энергетика, силовая электроника, металлургия, строительство, транспорт, железнодорожный транспорт, связь, телекоммуникации, управление инфокоммуникациями, почтовая связь, химическая промышленность, сельское хозяйство, текстильная и легкая промышленность, пищевая промышленность, медицинские и биотехнологии, горное дело, обеспечение безопасности подземных предприятий и производств, геология, нефтегазовая отрасль, геодезия и картография, геоинформационные системы, лесной комплекс, химико-лесной комплекс, экология, сфера сервиса, системы массовой информации, дизайн, медиаиндустрия, а также предприятия различного профиля и все виды деятельности в условиях экономики информационного общества):
– процедурное программирование (1 семестр);
– объектно-ориентированное программирование (3 семестр);
– технологии программирования (1 семестр);
– проектирования информационных систем (1 семестр);
– управление данными (1 семестр);
– автоматизация проектирования информационных систем (4 семестр);
– интеллектуальные системы и технологии (6 семестр);
– технологии визуализации информации (5 и 6 семестры);
– информационные сети (5 семестр);
– безопасность функционирования информационных систем (7 семестр);
– программная инженерия для корпоративных информационных систем (8 семестр);
– проектирование корпоративных информационных систем (1 и 2 семестры);
– информационная безопасность и защита информации (6 семестр);
– менеджмент информационных систем (7 семестр);
– аппаратное обеспечение персональных ЭВМ (7 семестр);
– производственная практика (6 и 7 семестры);
– преддипломная практика (8 семестр);
– государственная итоговая аттестация (8 семестр);
ПК-22 (способностью проводить сбор, анализ научно-технической информации, отечественного и зарубежного опытапо тематике исследования):
– иностранный язык (1-4 семестры);
– информационные технологии (2 семестр);
– управление данными (2 и 3 семестры);
– технологии визуализации информации (5 и 6 семестры);
– информационные сети (5 семестр);
– безопасность функционирования информационных систем (7 семестр);
– мировые информационные ресурсы (7 семестр);
– информационная безопасность и защита информации (6 семестр);
– корпоративные информационные системы (5 семестр);
– открытые информационные системы (7 семестр);
– информационно-поисковые системы (7 семестр);
– аппаратное обеспечение персональных ЭВМ (7семестр);
– учебная практика (2 семестр);
– производственная практика (6 и 7 семестры);
– преддипломная практика (8 семестр);
– государственная итоговая аттестация (8 семестр);
ПК–26 ( способность оформлять полученные рабочие результаты в виде презентаций, научно-технических отчетов, статей и докладов на научно-технических конференциях):
– управление данными (1 семестр);
– технологии визуализации информации (5 и 6 семестры);
– открытые информационные системы (7 семестр);
– менеджмент информационных систем (8 семестр);
– системы электронного документооборота (7 семестр);
– государственная итоговая аттестация (8 семестр);
Элементы данного курса используются при выполнении всех видов практик, при подготовке выпускной квалификационной работы бакалавра и изучении дисциплин "Системы корпоративного управления", "Менеджмент информационных систем", и "Программная инженерия для корпоративных информационных систем", «Основы сопровождения информационных систем».
Планируемые результаты обучения по дисциплине, соотнесенные с планируемыми результатами освоения программы бакалавриата
(компетенции выпускников)
| Формируемые компетенции (код и название компетенции,уровень освоения – при наличиив карте компетенции) | Планируемые результаты обучения по дисциплине (модулю), характеризующие этапы формирования компетенций |
| ПК-4 (способностью проводить выбор исходных данных для проектирования информационных систем, с учетом требования безопасности работы и функционирования) | Знать –основные стандарты построения и взаимодействия открытых ИС; – подходы к интеграции сетей в открытые ИС; – принципы работы сетевых протоколов и технологий передачи данных в открытых ИС; – основы организации и функционирования открытых ИС, их стандарты, протоколы и предоставляемые сервисы; – основные методы и средства реализации удаленных сетевых атак на открытые ИС; – политики безопасности и меры защиты в открытых ИС; – комплексный подход к построению эшелонированной защиты для открытых ИС. |
| Уметь анализировать текущее состояние ИБ на предприятии с целью разработки требований к защищенным ИС; определять и устранять основные угрозы ИБ для открытых ИС; строить модели угроз и нарушителя ИБ для открытых ИС; выявлять и устранять уязвимости в основных компонентах, открытых ИС; обнаруживать, прерывать и предотвращать удаленные сетевые атаки по их характерным признакам; проектировать защищенные открытые ИС; применять стандартные решения для защиты информации в открытых ИС; используя современные методы и средства, разрабатывать политику ИБ для открытых ИС; реализовывать системы защиты информации в открытых ИС в соответствии со стандартами по оценке защищенных систем; применять комплексный подход к обеспечению ИС для ИС; осуществлять управление и администрирование защищенных ИС. | |
| Владеть анализом функциональных и нефункциональных требований к ИС, подготовкой частей коммерческого предложения заказчику об объеме и сроках выполнения работ по созданию (модификации) и вводу в эксплуатацию ИС. | |
| ПК-17 (способностью использовать технологии разработки объектов профессиональной деятельности в областях: безопасность информационных систем, сфера сервиса, системы массовой информации, дизайн, медиаиндустрия, а также предприятия различного профиля и все виды деятельности в условиях экономики информационного общества) | Знать основы управления изменениями, основы системного администрирования |
| Уметь работать с записями по качеству (в том числе с корректирующими действиями, предупреждающими действиями, запросами на исправление несоответствий), устанавливать права доступа к файлам и папкам | |
| Владеть проверкой фактического внесения изменений в ИС, определением и назначением необходимого уровня прав доступа к репозиторию данных о выполнении работ по созданию (модификации) и сопровождению ИС. | |
| ПК-22 (способностью проводить сбор, анализ научно-технической информации, отечественного и зарубежного опытапо тематике исследования безопасности функционирования информационных систем) | Знать предметную область автоматизации, юридические основы взаимоотношений между контрагентами |
| Уметь анализировать входную информацию | |
| Владеть подготовкой технической информации для договоров на выполняемые работы | |
| ПК-26 ( способность оформлять полученные рабочие результаты в виде презентаций, научно-технических отчетов, статей и докладов на научно-технических конференциях) | Знать инструменты и методы коммуникаций, каналы коммуникаций, модели коммуникаций, технологии межличностной и групповой коммуникации в деловом взаимодействии, основы конфликтологии, основы управления качеством, инструменты и методы согласования документации, основы менеджмента, в том числе менеджмента качества |
| Уметь планировать работы, проводить переговоры, разрабатывать регламентные документы | |
| Владетьинструментами и методами согласования документации, менеджментом качества |
4. Содержание дисциплины
Общая трудоемкость дисциплины составляет 5 зачетных единицы (125,05ак.ч.).
4.1. Распределение объема дисциплины (модуля) по разделам (темам), семестрам, видам учебной работы и формам контроля, соотнесенным с балльно-рейтинговой системой
| № раздела (темы) | Семестр | Неделя семестра | Объем (в ак. час.) | Формы текущего контроля успеваемости Формы промежуточной аттестации | Макс. | ||||||
| Всего | Контактная работа | СР | Контроль | ||||||||
| Всего | ЛК | ЛБ | ПР | ||||||||
| 1 | 7 | 1–2 | 26 | 12 | 4 | 4 | 4 | 10 | 4 | Устный опрос | 7,5 |
| 2 | 7 | 3–4 | 26 | 12 | 4 | 4 | 4 | 10 | 4 | Устный опрос | 7,5 |
| 3 | 7 | 5–6 | 34 | 20 | 8 | 8 | 4 | 10 | 4 | Устный опрос | 7,5 |
| 4 | 7 | 7–8 | 30 | 16 | 4 | 4 | 8 | 10 | 4 | Устный опрос | 7,5 |
| 5 | 7 | 9–10 | 28 | 12 | 4 | 4 | 4 | 10 | 4 | Устный опрос | 7,5 |
| 6 | 7 | 11–12 | 42 | 24 | 8 | 8 | 8 | 10 | 8 | Устный опрос | 7,5 |
| 7 | 7 | 13–14 | 38 | 20 | 8 | 4 | 8 | 10 | 8 | Устный опрос | 7,5 |
| 8 | 7 | 15–16 | 34 | 16 | 4 | 8 | 4 | 10 | 8 | Устный опрос | 7,5 |
| По материалам 7 семестра | 224 | 108 | 36 | 36 | 36 | 80 | 36 | По материалам 7 семестра | 60 | ||
| Всего: | 125 | 108 | 36 | 36 | 36 | 80 | 36 | Экзамен | 40 | ||
4.2. Наименование и содержание разделов дисциплины
| № раздела | Наименование раздела | Содержание раздела |
| 1 | Безопасность функционирования информационных систем (ИС). Основные понятия. Терминология. | Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний. Классификация систем ИТ. Основные понятия и определения. Проблемы обеспечения совместимости в гетерогенной среде. Основные положения концепции открытых систем. Среда открытых систем. Роль стандартов в технологии открытых систем. Организационная структура системы стандартизации ИТ. Системообразующие стандарты ISO/IEC. Формы логической организации стандартов. Соответствие безопасности информационной системы целевому назначению функциональности. Основные функциональные критерии различных информационных систем. Выделение функциональных критериев для заданной информационной системы. |
| 2 | Терминология, основные положения и стандарты теории надежности; факторы, влияющие на характеристики надежности компонентов информационных систем; законы распределения случайных величин, используемых в теории надежности; способы моделирования случайных величин; направления развития и математический аппарат теории надежности; классификацию методов расчета надежности систем; виды испытаний систем на надежность; особенности расчета надежности программного обеспечения (ПО) АС и способы анализа и обеспечения качества и надежности программных средств (ПС) АС; алгоритмы методов расчета надежности систем; современные методы повышения надежности АС | |
| 3 | Концепция, модельное представление и совместимость открытых ИС | Классификация моделей. Модель ISO OSI. Профили на базе модели ISO OSI. Спецификация POSIX и её развитие. Модель OSE/RM. Тестирование соответствия профилям. Эволюция моделей открытых систем. Модели распределённых вычислений. Модель TOGAF – современная концепция описания компьютерных систем: метод синтеза архитектуры системы, нормативная техническая модель, описание сложной системы специалистами различных предметных областей, информационная база стандартов. Переносимость и способность к взаимодействию. Базовая модель ИС, её основные элементы. Эволюция понятия платформы. Функциональные блоки платформы и способы их взаимодействия: интерфейсы и протоколы. Переносимость прикладных программ, данных и пользователей. Способы реализации переносимости. Расширение базовой модели ИС для взаимодействующих систем. Взаимодействующие системы и распределённая вычислительная система. Образ единой системы в распределённой вычислительной среде. Способы реализации способности к взаимодействию. Стек протоколов. Коммуникационный интерфейс. |
| 4 | Системный подход к описанию функциональности на базе модельного представления ИС | Интероперабельность. Стандартизация сервисов. Классификация сервисов платформы приложений. Внутренние сервисы платформы. Сервисы данных. Сервисы человеко-машинного взаимодействия. Сетевые сервисы. Межкатегориальные сервисы. Основные классы прикладных программ. |
| 5 | Методологические основы распределённой обработки и хранения данных и коммуникационная инфраструктура открытых ИС | Уровни распределения обработки данных в архитектуре ИС. Модели организации распределённых вычислений: клиент-серверная, хостовая, «ведущий-ведомый», иерархическая, одноранговая, объектная. Модель RM-ODP. Сильная и слабая связность процессоров: многопроцессорные ВК, кластеры, сетевые вычисления, концепция GRID. Задачи распределения обработки: диспетчеризация, синхронизация, маршрутизация, балансировка, управление ресурсами, обработка ошибок. Проводные, оптические, радиоканалы. Эффективное кодирование, помехоустойчивость, управление линией передачи данных, управление каналами, задержки в сетях передачи данных, множественный доступ к несущей, маршрутизация, управление потоками. Примеры архитектур транспортного уровня: локальные сети, FDDI, SLIP, ISDN, SONET/SDH, X.25, ATM, FrameRelay. |
| 6 | Критерии безопасности функционирования информационных систем. | Понятие функционального критерия качества функционирования информационных систем. Критерии (сложность, корректность, трудоемкость) на этапах проектирования информационных систем. Безопасность функционирования этапа эксплуатации информационных систем (критерии: сложность, надежность, эффективность). Критерии этапа сопровождения информационных систем (модифицируемость, мобильность, трудоемкость). |
| 7 | Интранет, как открытая система, ее уязвимости и информационные ресурсы как объекты атак | Понятие сети Интранет как примера открытой системы и задачи ее защиты. Структура Интранет. Эталонная модель Интранет. Экстранет. Порталы: виды порталов, схема, компоненты, базовые сервисы. Корпоративные порталы. Уязвимость архитектуры клиент-сервер: конфигурация системы, уязвимость операционных систем, уязвимость серверов (уязвимость систем управления базами данных, уязвимость систем электронного документооборота), уязвимость рабочих станций, уязвимость каналов связи (перехват паролей, перехват незащищенного трафика, недостатки протоколов, уязвимости каналообразующего оборудования). Слабости системных утилит, команд и сетевых сервисов на примере стека протоколов tcp/ip (Telnet, FTP, NFS, DNS, NIS, WorldWideWeb, команды удаленного выполнения, Sendmail и электронная почта, другие утилиты). Средства замены уязвимых сервисов TCP/IP. Слабости современных технологий программирования (Java, ActiveX, …) и ошибки в программном обеспечении. Сетевые вирусы. Виды угроз ресурсам интранета и Интернета. Уровни информационной инфраструктуры. |
| 8 | Безопасность функционирования сетей хранения данных | Архитектура распределённого хранения данных. Сети хранения данных (SAN – StorageAreaNetworks). Средства сетевого хранения. Виртуализация хранения. Файловые системы SAN.Концепция глобальной коммуникационной инфраструктуры. |
| 9 | Возможные методики аудита безопасности корпоративных и распределенных ИС | Новое поколение стандартов безопасности Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799-2:2000, Стандарт COBIT 3rd Edition, Стандарт ISO/IEC 15408 |
4.3. Лабораторные работы (ЛБ)
Лабораторная работа 1. Знакомство с организацией и работой открытых сетей (на примере Интернета), их протоколами и сервисами.
Лабораторная работа 2. Изучение уязвимостей некоторых сервисов и протоколов. Поиск информации по уязвимостям в Интернете. Способы повышения безопасности функционирования.
Лабораторная работа 3. Организация безопасности функционирования корпоративной информационной системы при использовании защищенных версий операционной системы Windows.
Лабораторная работа 4. Организация безопасности функционирования корпоративной информационной системы при использовании защищенных версий операционной системыОС Linux.
Лабораторная работа 5. Основные сетевые утилиты ОС Linux, используемые для сбора информации об атакуемой системе. Программа для сканирования и исследования сетевой безопасности nmap.
Лабораторная работа 6. Изучение безопасности функционирования и настройки межсетевых экранов на примере netfiler/iptables.
Лабораторная работа 7. Изучение безопасности функционирования корпоративной информационной системы при работе шифрующей файловой системы и протокола удалённого управления.
Лабораторная работы 8. Оценка безопасности функционирования и оценка влияния на корпоративную информационную системуDLP-системы.
4.4. Практические занятия (ПР)
| № п/п | № раздела дисциплины | Тематика практических занятий | Трудоемкость (в часах) |
| 1 | 1 | Общая постановка задачи оценки безопасности функционирования Задачи организации безопасности функционирования информационной системы. Сравнение различных абстрактных моделей безопасности функционирования для одной КИС. Повтор навыков оценки ИС по эталонной модели OSI. | 4 |
| 2 | 2 | Дефектологические свойства информационных систем. Изучение различных дефектов информационных систем. Рассмотрение свойств дефектогенности, дефектабельности и дефектоскопичности информационных систем в зависимости от свойств системы. | 4 |
| 3 | 3 | Стандарты управления информационных систем. Ознакомление с общими положениями нормативных документов. Ознакомление с процедурами стандартизации и сертификации информационной системы. | 4 |
| 4 | 4,5 | Метрики информационных систем. Исследование различных информационных систем, определение их функциональных критериев. Отличия функциональных критериев для различных систем одного класса.Понятия монитора безопасности субъектов и изолированной программной среды информационной системы. | 8 |
| 5 | 5 | Критерии web-порталов, сайтов, ПО и сетевого программного обеспечения.Характеристики безопасного функционирования информационных систем, понятия субъект и объект в ИС. | 4 |
| 6 | 6 | Критерии безопасности функционирования информационных систем. Исследование различных информационных систем, выявление их критериев качества. Методы обеспечения безопасного функционирования информационных систем.Угрозы безопасности функционирования информационных систем. | 8 |
| 7 | 7 | Слабости системных утилит, команд и сетевых сервисов на примере стека протоколов tcp/ip (Telnet, FTP, NFS, DNS, NIS, WorldWideWeb, команды удаленного выполнения, Sendmail и электронная почта, другие утилиты). Классификация отказов информационной системы.Угрозы анализа сетевого трафика и подмены объекта или субъекта информационных систем.Политики безопасности информационных систем. | 8 |
| 8 | 8,9 | Сетихраненияданных (SAN – Storage Area Networks). Средства сетевого хранения. Виртуализация хранения. Файловые системы SAN. Концепция глобальной коммуникационной инфраструктуры. Системы обнаружения атак на информационную систему и контент-анализа.Контроль конфиденциальности объектов функционирующих информационных систем.Контроль целостности объектов функционирующих информационных систем. | 4 |
| Всего в 7 семестре: | 36 | ||
| Всего: | 36 | ||
- Учебно-методическое обеспечение для самостоятельной работы обучающихся по дисциплине
Виды самостоятельной работы обучающегося, порядок и сроки ее выполнения:
– выполнение курсового проекта;
– подготовка к лекциям, лабораторным работам и практическим занятиям с использованием конспекта лекций, материалов практических занятий и приведенных ниже (п.7) источников (в течение 7-госеместра в соответствии с расписанием занятий);
Перечень вопросов для проведения текущего контроля и промежуточной аттестации – в соответствии с тематикой разделов дисциплины.
- Фонд оценочных средств для проведения текущего контроля успеваемости и промежуточной аттестации обучающихся по дисциплине
6.2. Критерии и шкалы оценивания результатов обучения по дисциплине, характеризующих этапы формирования компетенций.
В отдельном файле
