Мы много говорим о том, что одним из важных элементов информационной безопасности является осведомленность сотрудников... К сожалению сегодня, в России понятие об информационной безопасности довольно часто пребывает в двух состояниях:
1. Информационная безопасность? Зачем? У меня нет секретов!
2. Информационная безопасность? У меня все сделано, я установил антивирус и firewall… Список можно продолжить.
name='more'>
У нас есть несколько не плохих и хороших курсов по информационной безопасности для специалистов в этой области… И нет нормального понимания, что должен знать IT специалист не планирующий заниматься защитой информации.
У меня есть возможность восполнить этот пробел. В этом году я читаю курс «Методы и средства защиты компьютерной информации» в Новосибирском Государственном Университете, Факультет Информационных Технологий. В прошлом году я познакомился со студентами, которые слушают этот курс – будущие разработчики программного обеспечения, СУБД, ОС, специального программного обеспечения для научных исследований, может быть системные администраторы и т.п. Спектр чрезвычайно широк. Многие уже работают в исследовательских институтах и software компаниях.
Решил Учебный План в этом году не менять, а пересмотреть наполнение.
Далее по тексту – жирным выделено, места, которые я менять в этом году не планирую, т.к. взяты из Учебного Плана. Раздел может включать несколько 1,5 часовых лекций. Всего лекций планируется 15.
Введение. Основные понятия и определения, концептуальные основы информационной безопасности и защиты информации.
Понятия информационной безопасности. «Святая троица безопасности» - целостность, доступность, конфиденциальность. Ее развитие в ГОСТ 13335 – аутентичность, неотказуемость, подотчетность. Взаимосвязь с аппаратным, программным и коммуникационным обеспечением систем. Физическая защита, защита персонала, организационное обеспечение. Понятие Угрозы, Атаки, Риска. Модели.
Современные проблемы информационной безопасности: виртуализация, облака, APT. Проблема размывания границ. Роль персонала в защите информации.
Понятие безопасного программирования. Здесь получится фактически обзор книги от Microsoft “Writing Security Code”, скорее даже только части I contemporary secirity и части II Security Code Technics.
N.B.: Хочется в этом разделе объять необъятное и дать общее понимание проблематики с уклоном на программистов, т.к. с их продуктами нам работать потом. ;)
Раздел 1. Правовые и организационные аспекты безопасности информационных технологий.
Правовые основы ЗИ в РФ. Защита персональных данных в Европе и России. Конституция, Доктрина, Закон о информатизации, О Гостайне, Защита программ и ЭВМ, Авторское право, ЭП, Лицензирование. Сертифицированные средства. Руководящие Документы. Понятие о СТО БР. PSI DSS(?) (очень кратко)
Политика Безопасности. Управление рисками.
N.B. IMHO:На этом разделе не вижу причин останавливаться подробно, т.к. для большинства РД и прочее в дальнейшем пригодится на уровне понятий.
Раздел 2. Математические основы безопасности информационных технологий.
Основы криптографии, Шенон, симметричная, асимметричная криптография, понятие о PKI. VipNet, КриптоПро. RSA, DES. Еще раз о кратко PSI DSS. Что-то еще? Стеганография.
Математические модели. HRU, take-grant, БЛМ, RBAC, Модель Биба, Кларка-Вильсона. Что еще?
Раздел 3. Программно-аппаратные средства защиты информации в компьютерных системах и сетях.
Характеристика основных задач: авторизация, управление трафиком и защита периметра, защита канала, виртуализация, защита в облаках, защита мобильных пользователей.
Структуры и схемы построения систем защиты информации в зависимости от целей. Рассмотрение case`ов.
Просьба к коллегам - покритиковать и присоветовать в пределах означенных тем что добавить.
Заранее спасибо.
Если кто готов поделиться case`ами - буду благодарен и авторы будут указаны. ;)
Очевидно курс будет выложен в ppt в неограниченный доступ.
UPD: Слушатели курса - студенты будущие ITшники, не будущиеспециалисты в ЗИ.
1. Информационная безопасность? Зачем? У меня нет секретов!
2. Информационная безопасность? У меня все сделано, я установил антивирус и firewall… Список можно продолжить.
name='more'>
У нас есть несколько не плохих и хороших курсов по информационной безопасности для специалистов в этой области… И нет нормального понимания, что должен знать IT специалист не планирующий заниматься защитой информации.
У меня есть возможность восполнить этот пробел. В этом году я читаю курс «Методы и средства защиты компьютерной информации» в Новосибирском Государственном Университете, Факультет Информационных Технологий. В прошлом году я познакомился со студентами, которые слушают этот курс – будущие разработчики программного обеспечения, СУБД, ОС, специального программного обеспечения для научных исследований, может быть системные администраторы и т.п. Спектр чрезвычайно широк. Многие уже работают в исследовательских институтах и software компаниях.
Решил Учебный План в этом году не менять, а пересмотреть наполнение.
Далее по тексту – жирным выделено, места, которые я менять в этом году не планирую, т.к. взяты из Учебного Плана. Раздел может включать несколько 1,5 часовых лекций. Всего лекций планируется 15.
Введение. Основные понятия и определения, концептуальные основы информационной безопасности и защиты информации.
Понятия информационной безопасности. «Святая троица безопасности» - целостность, доступность, конфиденциальность. Ее развитие в ГОСТ 13335 – аутентичность, неотказуемость, подотчетность. Взаимосвязь с аппаратным, программным и коммуникационным обеспечением систем. Физическая защита, защита персонала, организационное обеспечение. Понятие Угрозы, Атаки, Риска. Модели.
Современные проблемы информационной безопасности: виртуализация, облака, APT. Проблема размывания границ. Роль персонала в защите информации.
Понятие безопасного программирования. Здесь получится фактически обзор книги от Microsoft “Writing Security Code”, скорее даже только части I contemporary secirity и части II Security Code Technics.
N.B.: Хочется в этом разделе объять необъятное и дать общее понимание проблематики с уклоном на программистов, т.к. с их продуктами нам работать потом. ;)
Раздел 1. Правовые и организационные аспекты безопасности информационных технологий.
Правовые основы ЗИ в РФ. Защита персональных данных в Европе и России. Конституция, Доктрина, Закон о информатизации, О Гостайне, Защита программ и ЭВМ, Авторское право, ЭП, Лицензирование. Сертифицированные средства. Руководящие Документы. Понятие о СТО БР. PSI DSS(?) (очень кратко)
Политика Безопасности. Управление рисками.
N.B. IMHO:На этом разделе не вижу причин останавливаться подробно, т.к. для большинства РД и прочее в дальнейшем пригодится на уровне понятий.
Раздел 2. Математические основы безопасности информационных технологий.
Основы криптографии, Шенон, симметричная, асимметричная криптография, понятие о PKI. VipNet, КриптоПро. RSA, DES. Еще раз о кратко PSI DSS. Что-то еще? Стеганография.
Математические модели. HRU, take-grant, БЛМ, RBAC, Модель Биба, Кларка-Вильсона. Что еще?
Раздел 3. Программно-аппаратные средства защиты информации в компьютерных системах и сетях.
Характеристика основных задач: авторизация, управление трафиком и защита периметра, защита канала, виртуализация, защита в облаках, защита мобильных пользователей.
Структуры и схемы построения систем защиты информации в зависимости от целей. Рассмотрение case`ов.
Просьба к коллегам - покритиковать и присоветовать в пределах означенных тем что добавить.
Заранее спасибо.
Если кто готов поделиться case`ами - буду благодарен и авторы будут указаны. ;)
Очевидно курс будет выложен в ppt в неограниченный доступ.
UPD: Слушатели курса - студенты будущие ITшники, не будущиеспециалисты в ЗИ.
