ОПД.Ф.06 Организационно

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Нижегородский государственный университет им. Н.И. Лобачевского»
Радиофизический факультет
Центр «Безопасность информационных систем и средств коммуникаций»
УТВЕРЖДАЮ
Декан радиофизического факультета
____________________Якимов А.В.
«27» июня 2012 г.
Учебная программа
Дисциплины ОПД.Ф.06 «Организационно-правовое обеспечение
информационной безопасности»
по специальности 090106 «Информационная безопасность телекоммуникационных систем»
Нижний Новгород
2012 г.
1. Область применения
Данная дисциплина относится к общепрофессиональным
компонента, преподается в 9 семестре.
дисциплинам
федерального
2. Цели и задачи дисциплины
Учебная дисциплина «Организационно-правовое обеспечение информационной безопасности»
является важной составляющей общей профессиональной подготовки специалистов в области
информационной безопасности. Она призвана обеспечить освоение слушателями практических
навыков работы с нормативно-правовой базой деятельности в области обеспечения
безопасности информации.
3. Требования к уровню освоения содержания дисциплины
В результате изучения дисциплины студенты должны
иметь представление:
 о способах анализа и оценке угроз информационной безопасности;
 об организации деятельности службы безопасности объекта по основным направлениям
работ по защите информации;
 о системе защиты государственной тайны;
 о лицензировании и сертификации в области защиты информации
знать:
 основы организационного и правового обеспечения информационной безопасности,
основные нормативные правовые акты в области обеспечения информационной безопасности и
нормативные методические документы ФСБ России и ФСТЭК России в области защиты
информации;
 правовые основы организации защиты государственной тайны и конфиденциальной
информации, задачи органов защиты государственной тайны и служб защиты информации на
предприятиях;
 организацию работы, нормативные правовые акты и стандарты по лицензированию
деятельности в области обеспечения защиты государственной тайны, технической защиты
информации, по аттестации объектов информатизации и сертификации средств защиты
информации;
уметь:
 применять нормативные правовые акты и нормативные методические документы в области
обеспечения информационной безопасности;
 разрабатывать проекты нормативных и организационно-распорядительных документов,
регламентирующих работу по защите информации;
владеть:
 навыками работы с нормативными правовыми актами;
 методами организации и управления деятельностью служб защиты информации на
предприятии;
 методами формирования требований по защите информации.
4. Объем дисциплины и виды учебной работы
Виды учебной работы
Общая трудоемкость дисциплины
Аудиторные занятия
Лекции
Практические занятия (ПЗ)
Семинары (С)
Лабораторные работы (ЛР)
Другие виды аудиторных занятий
Самостоятельная работа
Курсовой проект (работа)
Расчетно-графическая работа
Всего часов
100
51
51
–
–
–
–
49
–
–
Семестры
9
51
51
–
–
–
–
49
–
–
2
Реферат
Домашняя работа
Вид итогового контроля
–
–
зачет
–
–
зачет
5. Содержание дисциплины
5.1. Разделы дисциплины и виды занятий
№
п/п
1.
2.
Раздел дисциплины
Правовое обеспечение информационной
безопасности
Организационное обеспечение информационной
безопасности
Лекции
ПЗ (или С)
ЛР
26
–
–
25
–
–
5.2. Содержание разделов дисциплины
Раздел 1. Правовое обеспечение информационной безопасности
1.1. Законодательство Российской Федерации в области информационной безопасности
Основы законодательства Российской федерации в области информационной безопасности.
Понятие и виды защищаемой информации. Основы международного законодательства в
области защиты информации.
1.2. Правовой режим защиты государственной тайны
Понятие государственной тайны. Государственная тайна как особый вид защищаемой
информации. Система защиты государственной тайны. Система нормативных правовых актов,
регламентирующих обеспечение сохранности сведений, составляющих государственную тайну
в Российской Федерации.
1.3. Лицензирование в области защиты информации
Понятие лицензирования. Нормативные правовые акты Российской Федерации,
регламентирующие порядок лицензирования в области защиты информации. Лицензируемые
виды деятельности в области защиты информации.
1.4. Сертификация в области защиты информации
Понятие сертификации. Нормативные правовые акты Российской Федерации и национальные
стандарты, регламентирующие порядок проведения сертификации средств защиты информации
и использования технических средств защиты информации.
1.5. Защита интеллектуальной собственности
Понятие интеллектуальной собственности. Нормативные правовые акты Российской
Федерации, определяющие требования к защите авторских и смежных прав.
Раздел 2. Организационное обеспечение информационной безопасности
2.1. Понятие организационной защиты информации
Сущность организационных методов защиты информации.
2.2. Анализ и оценка угроз информационной безопасности объекта
Понятие угрозы безопасности информации. Методы и способы анализа угроз безопасности
информации. Порядок проведения оценки опасности угрозы.
2.3. Оценка ущерба
Понятие ущерба. Методы и способы оценки ущерба.
2.4. Служба безопасности объекта
Место службы безопасности объекта в общей структуре системы защиты государственной
тайны и государственной системы защиты информации. Задачи, решаемые службой
безопасности объекта. Структура и состав службы безопасности объекта. Роль и место
подразделения (штатного специалиста) по технической защите информации, решаемые задачи,
права и обязанности.
2.5. Средства и методы физической защиты объекта
Объекты обеспечения физической безопасности: сооружения, предметы, люди. Организация
охраны, пропускного и внутриобъектового режима.
2.6. Организация и обеспечение режима секретности
3
Допуск должностных лиц к государственной тайне и к информации ограниченного доступа, не
отнесенной к государственной тайне. Требования к помещениям и хранилищам, в которых
ведутся закрытые работы. Организация защиты информации при приеме посетителей,
командированных лиц и иностранных представителей. Защита информации в экстремальных
ситуациях.
6. Лабораторный практикум
Лабораторный практикум не предусмотрен.
7. Учебно-методическое обеспечение дисциплины
7.1. Рекомендуемая литература
а) основная литература:
1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации».
2. Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности».
3. Закон Российской Федерации от 21.07.1993 № 5485-I «О государственной тайне».
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов
деятельности».
6. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
7. Доктрина информационной безопасности Российской Федерации (утв. Президентом
Российской Федерации 09.09.2000 № Пр-1895)
8. Ярочкин В.И. Информационная безопасность : учеб. для вузов / В.И. Ярочкин. - 4-е изд. М. Академ. проект, 2006. - 543 с.
9. Основы организационного обеспечения информационной безопасности объектов
информатизации : учеб. пособие / С.Н. Сёмкин, Э.В. Беляков, С.В. Гребнев, В.И. Козачок. М. Гелиос АРВ, 2005. - 186 с.
10. Правовое обеспечение информационной безопасности: Учебное пособие, 2-е издание. / Под
ред. С.Я.Казанцева. М. Издательский центр «Академия», 2007. – 240 с.
1.
2.
3.
4.
5.
6.
7.
8.
9.
б) дополнительная литература:
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня
сведений конфиденциального характера»
Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению
информационной
безопасности
Российской
Федерации
при
использовании
информационно-телекоммуникационных
сетей
международного
информационного
обмена».
Указ Президента Российской Федерации от 12 мая 2009 г. № 537 «О Стратегии
национальной безопасности Российской Федерации до 2020 года».
Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 «Об утверждении
перечня сведений, отнесенных к государственной тайне».
Распоряжение Президента Российской Федерации от 16 апреля 2005 года № 151-рп
«О перечне должностных лиц органов государственной власти и организаций, наделяемых
полномочиями по отнесению сведений к государственной тайне».
Постановление Правительства Российской Федерации от 17.11.2007
№ 781 «Об
утверждении положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об
утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных», и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами».
Постановление Правительства Российской Федерации от 18.09.2012 № 940 «Об
4
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
утверждении Правил согласования проектов решений ассоциаций, союзов и иных
объединений операторов об определении дополнительных угроз безопасности
персональных данных, актуальных при обработке персональных данных в
информационных системах персональных данных, эксплуатируемых при осуществлении
определенных видов деятельности членами таких ассоциаций, союзов и иных объединений
операторов, с Федеральной службой безопасности Российской Федерации и Федеральной
службой по техническому и экспортному контролю».
Постановление Правительства Российской Федерации от 24.11.2009 № 953
«Об обеспечении доступа к информации о деятельности Правительства Российской
федерации и федеральных органов исполнительной власти».
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608
«О сертификации средств защиты информации».
Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333
«О лицензировании деятельности предприятий, учреждений и организаций по проведению
работ, связанных с использованием сведений, составляющих государственную тайну,
созданием средств защиты информации, а также с осуществлением мероприятий и (или)
оказанием услуг по защите государственной тайны».
Постановление Правительства Российской Федерации от 21 ноября 2011 г. № 957
«Об организации лицензирования отдельных видов деятельности».
Постановление Правительства Российской Федерации от 3 февраля 2012 г. № 79
«О лицензировании деятельности по технической защите конфиденциальной информации».
Постановление Правительства Российской Федерации от 3 марта 2012 г. № 171
«О лицензировании деятельности по разработке и производству средств защиты
конфиденциальной информации».
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении
требований о защите информации, содержащейся в информационных системах общего
пользования».
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20
«Об утверждении Порядка проведения классификации информационных систем
персональных данных».
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и
способах защиты информации в информационных системах персональных данных».
«Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных» утверждена заместителем
директора ФСТЭК России 14 февраля 2008 г.
«Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных» утверждена заместителем директора
ФСТЭК России 15 февраля 2008 г.
Приказ ФСТЭК России от 12.07.2012 № 83 «Об утверждении Административного
регламента Федеральной службы по техническому и экспортному контролю по
предоставлению государственной услуги по лицензированию деятельности по технической
защите конфиденциальной информации».
Приказ ФСТЭК России от 12.07.2012 № 84 «Об утверждении Административного
регламента Федеральной службы по техническому и экспортному контролю по
предоставлению государственной услуги по лицензированию деятельности по разработке и
производству средств защиты конфиденциальной информации».
Приказ ФСТЭК России от 20.07.2012 № 89 «Об утверждении Административного
регламента Федеральной службы по техническому и экспортному контролю по
исполнению государственной функции по контролю за соблюдением лицензионных
требований при осуществлении деятельности по технической защите конфиденциальной
информации»
Приказ ФСТЭК России от 20.07.2012 № 90 «Об утверждении Административного
регламента Федеральной службы по техническому и экспортному контролю по
исполнению государственной функции по контролю за соблюдением лицензионных
требований при осуществлении деятельности по разработке и производству средств защиты
конфиденциальной информации».
5
25. «Типовое положение о подразделении по защите информации от иностранных технических
разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах
государственной власти субъектов Российской Федерации», одобрено решением
Гостехкомиссии России от 14.03.1995 № 32.
26. «Типовое положение о подразделении по защите информации от иностранных технических
разведок и от ее утечки по техническим каналам в организациях», одобрено решением
Гостехкомиссии России от 14.03.1995 № 32.
27. Приказ Минздравсоцразвития России от 22.04.2009 № 205 «Об утверждении Единого
квалификационного справочника должностей руководителей, специалистов и служащих,
раздел «Квалификационные характеристики должностей руководителей и специалистов по
обеспечению безопасности информации в ключевых системах информационной
инфраструктуры, противодействию техническим разведкам и технической защите
информации».
28. ГОСТ Р 50922-2006 «Национальный стандарт российской федерации. Защита информации.
Основные термины и определения».
8. Вопросы для контроля
1. Свойства обеспечения безопасности информации Их характеристика.
2. Виды информации, подлежащие защите в соответствии с законодательством Российской
Федерации.
3. Понятие
государственной
тайны.
Система
нормативных
правовых
актов,
регламентирующих обеспечение сохранности сведений, составляющих государственную тайну
в Российской Федерации.
4. Элементы система защиты государственной тайны.
5. Нормативные правовые акты Российской Федерации, регламентирующие порядок
лицензирования в области защиты информации. Лицензируемые виды деятельности в области
защиты информации.
6. Порядок получения лицензии ФСТЭК России на деятельность по технической защите
конфиденциальной информации. Существующие лицензионные требования.
7. Порядок получения лицензии ФСТЭК России на деятельность по разработке и
производству средств защиты конфиденциальной информации. Существующие лицензионные
требования.
8. Сертификация. Нормативные правовые акты Российской Федерации и национальные
стандарты, регламентирующие порядок проведения сертификации средств защиты информации
и использования технических средств защиты информации
9. Интеллектуальной собственности. Нормативные правовые акты Российской Федерации,
определяющие требования к защите авторских и смежных прав.
10. Определение понятия «угроза безопасности информации». Способы реализации угроз
безопасности информации.. Определение понятий «контролируемая зона», «ОТСС», «ВТСС»,
«зона 2 (R2)», «зона 1 (r1, r1’)», «контролируемая зона (КЗ)».
11. Методы и способы анализа угроз безопасности информации. Соотношения «зоны 2 (R2)» и
«зоны 1 (r1, r1’)» по отношению к размеру «контролируемой зона (КЗ)». при решении задач
технической защиты информации.
12. Порядок проведения оценки опасности угрозы.
13. Понятие ущерба. Методы и способы оценки ущерба.
14. Структура системы защиты государственной тайны и государственной системы защиты
информации. Место службы безопасности объекта
15. Задачи, решаемые службой безопасности объекта. Структура и состав службы безопасности
объекта.
16. Роль и место подразделения (штатного специалиста) по технической защите информации,
решаемые задачи, права и обязанности.
17. Объекты обеспечения физической безопасности: сооружения, предметы, люди.
Организация охраны, пропускного и внутриобъектового режима.
18. Допуск должностных лиц к государственной тайне и к информации ограниченного доступа,
не отнесенной к государственной тайне.
19. Требования к помещениям и хранилищам, в которых ведутся закрытые работы.
6
20. Организация защиты информации при приеме посетителей, командированных лиц и
иностранных представителей.
21. Защита информации в экстремальных ситуациях.
9. Критерии оценок
Зачтено
Не зачтено
Знание основных положений и умение пользоваться методами,
изложенными в рамках курса
В противном случае
10. Примерная тематика курсовых работ и критерии их оценки
Курсовые работы не предусмотрены.
7
Программа составлена в соответствии с Государственным образовательным стандартом по
специальности 090106 «Информационная безопасность телекоммуникационных систем».
Автор программы _____________ Борисенок В.А.
Программа рассмотрена на заседании Центра БИСК 12 апреля 2012 г. протокол № 8–2011/2012
Руководитель ЦеБИСК ________________ Ротков Л.Ю.
Программа одобрена методической комиссией факультета 17 мая 2012 г.
протокол № 02/12
Председатель методической комиссии_________________ Миловский Н.Д.
8