| Закреплена за кафедрой | Кафедра информационной безопасности |
|---|---|
| Направление подготовки | 10.03.01. Информационная безопасность |
| Профиль | Безопасность автоматизированных систем (в сфере профессиональной деятельности) |
| Форма обучения | Очная |
| Общая трудоемкость | 3 ЗЕТ |
| Учебный план | 10_03_01_Информационная безопасность_БАС-2021 |
|
|
||||||||||||||||
Распределение часов по семестрам
| Курс (семестр) | 4 (8) | Итого | ||
|---|---|---|---|---|
| Недель | 7 | |||
| Вид занятий | УП | РПД | УП | РПД |
| Лекции | 18 | 18 | 18 | 18 |
| Практические | 24 | 24 | 24 | 24 |
| Сам. работа | 21 | 21 | 21 | 21 |
| Консультации | 18 | 18 | 18 | 18 |
| Часы на контроль | 27 | 27 | 27 | 27 |
| Итого | 108 | 108 | 108 | 108 |
Визирование РПД для исполнения в очередном учебном году
Рабочая программа пересмотрена, обсуждена и одобрена для
исполнения в 2023-2024 учебном году на заседании
кафедры
Кафедра информационной безопасности
Протокол от 28.06.2022 г. № 12-2021/22
Заведующий кафедрой д.ф.-м.н., профессор Поляков В.В.
| 1.1. | приобретение необходимого объема знаний и практических навыков по управлению информационной безопасностью, оценки рисков информационных ресурсов организации и аудита информационной безопасности, организации работы и разграничения полномочий персонала, ответственного за информационную безопасность; – формирование представления о содержании процессов управления информационной безопасностью организации как результата внедрения системного подхода к решению задач обеспечения информационной безопасности |
|---|
| Цикл (раздел) ООП: Б1.О.05 |
| ОПК-10 | Способен в качестве технического специалиста принимать участие в формировании политики информационной безопасности, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их реализации на объекте защиты; |
| ОПК-10.1 | Знает принципы организации информационной безопасности автоматизированных систем в соответствии с требованиями по защите информации. |
| ОПК-10.2 | Умеет организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности на защищаемом объекте. |
| ОПК-10.3 | Владеет навыками формирования и реализации политики информационной безопасности на защищаемом объекте. |
| ОПК-4.1 | Способен проводить организационные мероприятия по обеспечению безопасности информации в автоматизированных системах; |
| ОПК-4.1.1 | Знает задачи программно-технического обеспечения информационной безопасности в организации и политику безопасности в операционных системах. |
| ОПК-4.1.2 | Умеет выявлять угрозы информационной безопасности, обосновывать организационно-технические мероприятия по защите информации в ИС. |
| ОПК-4.1.3 | Умеет пользоваться основными методами и способами информационной безопасности, ориентироваться в видах вредоносных программ и способах борьбы с ними. |
| ОПК-4.1.4 | Умеет настраивать политику безопасности современных операционных систем, решать задачи распределения ресурсов и прав доступа. |
| ОПК-4.1.5 | Владеет навыками разработки и применения системы безопасности, прикладными и инструментальными средствами создания систем информационной безопасности. |
| В результате освоения дисциплины обучающийся должен | |
| 3.1. | Знать: |
|---|---|
| 3.1.1. | структуру системы управления информационной безопасность; приемы управлению информационной безопасностью методы управления комплексной системой защиты информации, применяемые к конкретной структуре угроз |
| 3.2. | Уметь: |
| 3.2.1. | выделять процессы управления информационной безопасностью защищаемых объектов, разрабатывать предложения по совершенствованию системы управления информационной безопасностью; выявлять угрозы информационной безопасности для конкретных объектов с учетом применяемых методов организации и управления службами защиты информации; обосновывать структуру системы управления информационной безопасностью в зависимости от характера угроз на объекте. |
| 3.3. | Иметь навыки и (или) опыт деятельности (владеть): |
| 3.3.1. | правилами, процедурами, практические приемы и пр. для управления информационной безопасности системой проектирования системы управления информационной безопасностью с учетом особенностей объектов защиты методами и средствами минимизации угроз за счет совершенствования процессов управления |
| Код занятия | Наименование разделов и тем | Вид занятия | Семестр | Часов | Компетенции | Литература |
|---|---|---|---|---|---|---|
| Раздел 1. Введение | ||||||
| 1.1. | Цели и задачи курса. Рекомендуемая литература. Основные понятия и определения. Содержание и задачи процесса управления информационной безопасностью автоматизированных систем и организации в целом | Практические | 8 | 4 | Л2.2, Л1.1, Л2.3, Л1.2 | |
| 1.2. | Задачи процесса управления информационной безопасностью автоматизированных систем и организации в целом | Практические | 8 | 4 | Л2.2, Л1.2, Л2.1 | |
| Раздел 2. Система управления информационной безопасностью | ||||||
| 2.1. | Системный подход к управлению информационной безопасностью. Стандартизация в сфере управления информационной безопасностью. | Лекции | 8 | 6 | Л1.1, Л2.3, Л1.2 | |
| 2.2. | Стандартизация в сфере управления информационной безопасностью. | Практические | 8 | 2 | Л1.2 | |
| 2.3. | Системный подход к управлению информационной безопасностью. Стандартизация в сфере управления информационной безопасностью. | Сам. работа | 8 | 4 | Л2.2, Л2.3, Л1.2 | |
| 2.4. | Системный подход к управлению информационной безопасностью. Стандартизация в сфере управления информационной безопасностью. | Консультации | 8 | 4 | ||
| Раздел 3. Аудит информационной безопасности | ||||||
| 3.1. | Назначение, цели и виды аудита ИБ. Требования к аудитору ИБ, особенности взаимодействия в процессе аудита. Оценка работы аудитора. Стандартизация в сфере аудита информационной безопасности. Содержание и организация процесса аудита информационной безопасности. Оценка рисков информационной безопасности. Отчетные документы по результатам аудита. Выполнение рекомендаций по итогам проведения аудита информационной безопасности. | Лекции | 8 | 6 | Л1.1, Л1.2 | |
| 3.2. | Аудит информационной безопасности | Практические | 8 | 2 | Л1.2 | |
| 3.3. | Оценка рисков информационгой безопасности | Практические | 8 | 2 | Л2.2, Л1.2 | |
| 3.4. | Назначение, цели и виды аудита ИБ. Требования к аудитору ИБ, особенности взаимодействия в процессе аудита. Оценка работы аудитора. Стандартизация в сфере аудита информационной безопасности. Содержание и организация процесса аудита информационной безопасности. Оценка рисков информационной безопасности. Отчетные документы по результатам аудита. Выполнение рекомендаций по итогам проведения аудита информационной безопасности. | Сам. работа | 8 | 4 | Л2.2, Л1.2 | |
| Раздел 4. Средства поддержки процессов управления информационной безопасностью | ||||||
| 4.1. | Программные средства автоматизации процедур управленияинформационной безопасности и анализа политики информационной безопасности. Программные средства поддержки процессов управления информационной безопасности | Лекции | 8 | 6 | Л1.2 | |
| 4.2. | Средства управления информационнйо безопасностью | Практические | 8 | 4 | Л1.2 | |
| 4.3. | Средства поддержки процессов управления информационной безопасностью | Практические | 8 | 6 | Л1.1 | |
| 4.4. | Программные средства автоматизации процедур информационной безопасности и анализа политики информационной безопасности. Программные средства поддержки процессов управления информационной безопасности | Сам. работа | 8 | 13 | Л2.2, Л1.1, Л1.2 | |
| 4.5. | Программные средства автоматизации процедур информационной безопасности и анализа политики информационной безопасности. Программные средства поддержки процессов управления информационной безопасности | Консультации | 8 | 14 | ||
| 5.1. Контрольные вопросы и задания для проведения текущего контроля и промежуточной аттестации по итогам освоения дисциплины |
| Оценочные материалы для текущего контроля по разделам и темам дисциплины в полном объеме размещены в онлайн-курсе на образовательном портале «Цифровой университет АлтГУ» – http://portal.edu.asu.ru/course/view.php?id=2514 ОЦЕНКА СФОРМИРОВАННОСТИ КОМПЕТЕНЦИИ: ОПК-10: Способен в качестве технического специалиста принимать участие в формировании политики информационной безопасности, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их реализации на объекте защиты; ОЦЕНКА СФОРМИРОВАННОСТИ КОМПЕТЕНЦИИ: ОПК-10: Способен в качестве технического специалиста принимать участие в формировании политики информационной безопасности, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их реализации на объекте защиты; Индикаторы достижения Знает структуру системы управления информационной безопасность; приемы управлению информационной безопасностью методы управления комплексной системой защиты информации, применяемые к конкретной структуре угроз Умеет выделять процессы управления информационной безопасностью защищаемых объектов, разрабатывать предложения по совершенствованию системы управления информационной безопасностью; выявлять угрозы информационной безопасности для конкретных объектов с учетом применяемых методов организации и управления службами защиты информации; обосновывать структуру системы управления информационной безопасностью в зависимости от характера угроз на объекте. Владеет правилами, процедурами, практические приемы и пр. для управления информационной безопасности системой проектирования системы управления информационной безопасностью с учетом особенностей объектов защиты методами и средствами минимизации угроз за счет совершенствования процессов управления Вопрос 1 Субъект управления — это а) Понятие в теории управления, субъект (лицо, группа людей или организация), принимающий решения и управляющий объектами, процессами или отношениями путём воздействия на управляемую систему для достижения поставленных целей; б) термин кибернетики и теории автоматического управления, обозначающий устройство или динамический процесс, управление поведением которого является целью создания системы автоматического управления; в) Наука, изучающая структуру, общие свойства и методы передачи информации, в том числе связанной с применением ЭВМ. Г) Состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере. Ответ а Вопрос 2 Объект управления – это а) Понятие в теории управления, субъект (лицо, группа людей или организация), принимающий решения и управляющий объектами, процессами или отношениями путём воздействия на управляемую систему для достижения поставленных целей; б) Обобщающий термин кибернетики и теории автоматического управления, обозначающий устройство или динамический процесс, управление поведением которого является целью создания системы автоматического управления; в) Наука, изучающая структуру, общие свойства и методы передачи информации, в том числе связанной с применением ЭВМ; г) Состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере. Ответ б Вопрос 3 Наиболее подвержены воздействия примемам социально инженерии при решении задач управления информационной безопасностью? а) Пользователи (Сотрудники); б) Хакеры; в) Атакующие; г) Инсайдеры. Ответ а Вопрос 4 Что такое политика безопасности? а) Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности; б) Наука, изучающая структуру, общие свойства и методы передачи информации, в том числе связанной с применением ЭВМ; в) Совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации; г) Документы по обработке инцидентов безопасности. Ответ с Вопрос 5 Управление информационной безопасностью – это а) Циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; б) Тот, кто в силу своего служебного или семейного положения имеет доступ к конфиденциальной информации о делах компании; в) Наука, изучающая структуру, общие свойства и методы передачи информации, в том числе связанной с применением ЭВМ; г) Наиболее общая модель защиты автоматизированных систем, базирующаяся на том, что система безопасности должна иметь по крайней мере одно средство. Ответ а Вопрос 6 Событие информационной безопасности — это a) Единичное событие или ряд нежелательных и непредвиденных событий информационной безопасности, из-за которых велика вероятность компрометации информации и угрозы информационной безопасности.; b) Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков; c) Идентифицированный случай состояния системы или сети, указывающий на возможное нарушение политики информационной безопасности или отказ средств защиты, либо ранее неизвестная ситуация, которая может быть существенной для безопасности; d) Метод, основанный на суждениях и интуиции. Ответ а Вопрос 7 Найдите ошибку Процесс управления инцидентами ИБ включает себя: a) Чтобы убедиться, что проводится справедливая оценка; b) Получение дополнительной информации, связанной с выявленным инцидентом; c) Анализ ситуации, локализация инцидента и оперативное применение контрмер; d) Нет правильного ответа. Ответ с В опрос 8 Инцидентом информационной безопасности называют a) Нежелательное событие ИБ (или совокупность событий), которое может скомпрометировать бизнес- процессы компании или непосредственно угрожает ее информационной безопасности; b) Обобщающий термин кибернетики и теории автоматического управления, обозначающий устройство или динамический процесс, управление поведением которого является целью создания системы автоматического управления; c) Наука, изучающая структуру, общие свойства и методы передачи информации, в том числе связанной с применением ЭВМ; d) Состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере. Ответ а Вопрос 9 Кто не участвует в процессе реагирования на инцидент? a) Юристы; b) Технические эксперты ИТ-системы; c) Внешние консультанты по информационной безопасности; d) Простые рабочие. Ответ д Вопрос 10 Что в первую очередь необходимо предпринять при обнаружении инцидента А) Действия, останавливающие или замедляющие развитие событий Б) Расследование инцидента В) Восстановление затронутых ресурсов Г) Сообщение об инциденте по соответствующим каналам Ответ а Вопрос 11 Управление риском – это: а) отказ от рискованного проекта; б) комплекс мер, направленных на снижение вероятности реализации риска; в) комплекс мероприятий, направленных на подготовку к реализации риска. Ответ б Вопрос 12 Является ли мониторинг событий безопасности контрольной процедурой аудита? а) да б) нет Ответ а Вопрос 13 Справедливо ли утверждение политики информационной безопасности организации должен пройти через отдел кадров и юридический отдел а) да б) нет Ответ а Вопрос 14 Справедливо ли утверждение агрессивное потребление ресурсов является угрозой а) да б) нет Ответ а Вопрос 15 Справедливо ли утверждение – управление информационной безопасностью построено на процессном подходе а) да б) нет Ответ а ОПК-4.1: Способен проводить организационные мероприятия по обеспечению безопасности информации в автоматизированных системах; Индикаторы достижения компетенции: Знает основы теории управления организациями, включая вопросы управления информационной безопасностью объектов. Умеет использовать технологии разработки и принятия управленческих решен. Владеет основами анализа деятельности организации, навыками использовании организационных мер по защите информации. ПРИМЕРЫ ЗАДАНИЙ ДЛЯ ПРОВЕДЕНИЯ ТЕКУЩЕГО КОНТРОЛЯ Вопрос 1. Делегирование – это: а). обязанность обеспечить позитивное решение поставленных задач б) Направление усилий подчиненных на выполнение задания. в) Передача заданий и полномочий лицу, что берет на себя ответственность за их выполнение. Ответ в. Вопрос 2 К конкретным функциям управления не относится: а) организация; б) планирование; в) контроль; г) управление материально-техническим обеспечением;+ Ответ г. Вопрос 3 Парадокс Кондорсэ гласит а) большинство не может прийти к нужному результату, порядок голосования играет большую роль б) большинство управляет исходом решения в) меньшинство управляет исходом решения Ответ а. Вопрос 4 Формализованное описание того желаемого состояния, достижение которого отождествляется в сознании ЛПР с решением проблемы или задачи, - это: а) цель б) все варианты верны в) модель; г) все варианты не верны. Ответ: а. Вопрос 5 Эффективность УР - это: а) степень соответствия результатов, полученных от реализации УР, поставленным целям; б) степень удовлетворенности персонала от разработки и реализации УР; в) все варианты не верны. Г) Все варианты верны Ответ: а. Вопрос 6 Побуждение человека к деятельности, придают этой деятельности направленность, ориентированную на достижение определённых целей это: а) Мотивация б) Влияние в) Потребность Ответ а Вопрос 7 Адаптация имеющихся примеров эффективного функционирования компании с целью улучшения собственной работы: а) Бенчмаркинг б) Анализ слабых мест в) Опросный лист Ответ в. Вопрос 8 Принцип соучастия в управленческой деятельности заключается в: а) Открытости для информации, инноваций б) Нацеленности на максимальное вовлечение всех заинтересованных субъектов в) Нет правильного ответа Ответ б Вопрос 9 ЛПР может быть: а) Индивидуальным б) Групповым в) Индивидуальным и групповым Ответ в. Вопрос 10 Метод стратегического планирования, заключающийся в выявлении факторов внутренней и внешней среды организации и разделении их на четыре категории: сильные стороны, слабые стороны, возможности и угрозы -это: а) Бенчмаркинг б) SWOT-анализ в) Метод опросных листов г) Нет правильного ответа Ответ б Вопрос 11 Какая классификация управленческих решений по степени надежности предвидения: a)-в условиях определенности ЭТО -в условиях риска -в условиях неопределенности; б)-программируемые -не программируемые; в) -экономические -технические -организационные и д.р.; Ответ а. Вопрос 12 Третий этап процесса выработки и принятия управленческого решения: a) реализация решения б) анализ внешней среды в) формирование/разработка альтернатив; ЭТО Ответ в. Вопрос 13 Встреча с подчинёнными или группой подчинённых для обмена мнениями по заранее оговорённой теме, актуальной для компании: а) Деловая игра. б) Деловая беседа. в) Деловое слово. Ответ:b) Вопрос 14 Совокупность органов, служб или подразделений, основной задачей которых является осуществление управленческих процессов это? а) Аппарат управления б) деятельность в) Управленческая ответственность Ответ: а Вопрос 15 15 Совокупность элементов или отношений, закономерно связанных друг с другом в единое целое? а) Способности б) Система в) Функциональный подход Ответ: б КРИТЕРИИ ОЦЕНИВАНИЯ: Каждое задание оценивается 1 баллом. Оценивание выполненных заданий в целом: - «зачтено» – верно выполнено более 50% заданий; «не зачтено» – верно выполнено 50% и менее 50% заданий; - «отлично» – верно выполнено 85-100% заданий; «хорошо» – верно выполнено 70-84% заданий; «удовлетворительно» – верно выполнено 51-69% заданий; «неудовлетворительно» – верно выполнено 50% или менее 50% заданий. |
| 5.2. Темы письменных работ для проведения текущего контроля (эссе, рефераты, курсовые работы и др.) |
| Перечень примерных тем рефератов: 1. Матричный подход к анализу рисков информационной безопасности. Описание примеры оценки 2. Примеры уязвимостей в информационной системе. Зависимость системы управления информационной безопасностью от характера уязвимости. Примеры 3. Коммерческая организация: политики и процедуры обмена информацией Соглашения по обмену информацией. 4. Коммерческая организация: мониторинг использования средств обработки информации. 5. Коммерческая организация: изоляция систем, обрабатывающих важную информацию. 6. Управление доступом к приложениям. Примеры реализации 7. Защита информации в коммерческой организации: управление доступом к мобильным устройствам. Примеры реализации. 8. Управление конфигурациями для поддержки бизнес-процессов: выбор средств управления конфигурациями. Примеры 9. Технические средства управления информационной безопасностью. Примеры. 10. Способы оценки деятельности по управлению информационной безопасностью. Примеры. 11. Организация резервирования информации. Примеры 12. Способы управления непрерывностью бизнеса (в части защиты информации). Примеры 13. Использование нейронных сетей для обнаружения аномальной активности в компьютерной сети 14. Использование метода скользящих окон и взвешенных сумм для формирования профиля , соответствующего нормальной работе компьютерной сети. Роль профилей в управлении информационной безопасностью. 15. Управление приложениями. Особенности. Примеры. 16. Управление резервным копированием и хранение данных. Особенности. Примеры. КРИТЕРИИ ОЦЕНИВАНИЯ: - «Отлично» (зачтено) - Реферат (+презентация) выполнены самостоятельно, Проблема раскрыта глубоко и всесторонне, материал изложен логично. В работе используются материалы исследования по заданной теме. Широко представлен список использованных источников по теме работы. Представленный доклад полностью отражают суть работы. Студент полно, правильно и грамотно ответил на поставленные в ходе дискуссии вопросы с приведением примеров и/или пояснений. - «Хорошо» (зачтено) - Содержание в целом соответствует заявленной теме. Работа актуальна, выполнена самостоятельно. Представлены показатели, характеризующие проблемную ситуацию. Составлен список использованных источников по теме работы. Представленный доклад раскрывает суть работы без необходимой детализации составляющих его задач. Студент правильно и грамотно ответил на большинство поставленных в ходе дискуссии вопросов. - «Удовлетворительно» (зачтено) - Содержание и оформление соответствует установленным требованиям. Имеет место определенное несоответствие представленного содержания работы заявленной теме работы. Нарушена логика изложения материала, задачи раскрыты не полностью. В работе не полностью использованы необходимые для раскрытия темы научная литература. Представленный доклад слабо раскрывает суть работы и составляющих его задач. Студент правильно ответил на некоторое количество поставленных в ходе дискуссии вопросов. Использование в ответах на вопросы дискуссии дополнительных примеров и/или пояснений вызывает затруднение или отсутствует. В докладе и ответах на вопросы исследуемая проблема в основном раскрыта. - «Неудовлетворительно» (незачтено) -Содержания работы не соответствует его теме. При выполнении проекта допущены существенные ошибки. Не показаны умения анализировать получаемые результаты и самостоятельно делать логически правильные выводы. Допущено большое количество разных ошибок. Представленный доклад не позволяет понять суть работы и составляющих его задач. Студент не способен правильно ответить на большую часть поставленных в ходе дискуссии вопросов. Использование в ответах на вопросы дискуссии дополнительных примеров и/или пояснений отсутствует полностью. |
| 5.3. Фонд оценочных средств для проведения промежуточной аттестации |
| ОПК-10: Способен в качестве технического специалиста принимать участие в формировании политики информационной безопасности, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их реализации на объекте защиты; Индикаторы достижения ОЦЕНКА СФОРМИРОВАННОСТИ КОМПЕТЕНЦИИ: ОПК-10: Способен в качестве технического специалиста принимать участие в формировании политики информационной безопасности, организовывать и поддерживать выполнение комплекса мер по обеспечению информационной безопасности, управлять процессом их реализации на объекте защиты; Индикаторы достижения Знает структуру системы управления информационной безопасность; приемы управлению информационной безопасностью методы управления комплексной системой защиты информации, применяемые к конкретной структуре угроз Умеет выделять процессы управления информационной безопасностью защищаемых объектов, разрабатывать предложения по совершенствованию системы управления информационной безопасностью; выявлять угрозы информационной безопасности для конкретных объектов с учетом применяемых методов организации и управления службами защиты информации; обосновывать структуру системы управления информационной безопасностью в зависимости от характера угроз на объекте. Владеет правилами, процедурами, практические приемы и пр. для управления информационной безопасности системой проектирования системы управления информационной безопасностью с учетом особенностей объектов защиты методами и средствами минимизации угроз за счет совершенствования процессов управления Промежуточная аттестация заключается в проведении в конце семестра ‘Экзамена по всему изученному курсу. Эезамен проводится в устной форме по билетам. В билет входит 2 вопроса: как правило, 1 вопрос теоретического характера и 1 вопрос практико-ориентированного характера. ПРИМЕРНЫЕ ВОПРОСЫ ТЕОРЕТИЧЕСКОГО ХАРАКТЕРА: 1. Что такое политика информационной безопасности 2 Основные типы политики безопасности 3 Какие элементы включает в себя политика безопасности? 4. Сколько уровней защиты имеет политика безопасности? 5. Для чего нужна политика безопасности? 6. Что содержит политика безопасности предприятия? 7. Что такое управление информационной безопасностью применительно к коммерческой организации? 8. Что такое система управления информационной безопасностью применительно к коммерческой организации? 9. Что такое функциональный подход к управлению информационной безопасностью в организации? 10. Что такое процессный подход к управлению информационной безопасностью в организации 11. Можно ли полагать, что процессный подход рассматривает управление как контроль над процессами. 12. Для чего используется процессный подход? 13. Что лежит в основе процессного управления? 14. Что относится к процессному подходу? 15. В чем состоит преимущество процессного подхода? 16. В чем разница функционального и процессного подхода? 17. Зачем следует описывать процессы? 18. Что представляет собой вход в процесс? 19. Что является входами и выходами процессов для реализации системы управления информационной безопасностью? 20 Зачем процессы разбивают на подпроцессы? ПРИМЕРНЫЕ ВОПРОСЫ ПРАКТИКО-ОРИЕНТИРОВАННОГО ХАРАКТЕРА: 1. Что значить реализовать процесс управления информационной безопасностью в коммерческой организации? 2. Какие исходные условия нужны для решения задач управления информационной безопасностью в коммерческой организации? 3. Какие ресурсы нужны для решения задач управления информационной безопасностью в коммерческой организации? 4. Зачем для коммерческой организации необходимо понимание политики информационной безопасности? 5. Как реализовать стратегический уровень политики безопасности в организации? 6. Как реализовать тактический уровень политики безопасности в организации? 7. Как реализовать оперативный уровень политики безопасности в организации? 8. Как в политике информационной безопасности учитываются бизнес-процессы организации? 9. Предложите мероприятия для реализации системы действий по управлению информационной безопасностью в рамках этапа Планирование цикла Шугарда – Деминга. 10. Предложите мероприятия для реализации системы действий по управлению информационной безопасностью в рамках этапа Действие цикла Шугарда – Деминга. 11. Предложите мероприятия для реализации системы действий по управлению информационной безопасностью в рамках этапа Проверка цикла Шугарда – Деминга. 12. Предложите мероприятия для реализации системы действий по управлению информационной безопасностью в рамках этапа Совершенствование цикла Шугарда – Деминга. 13. Зачем для коммерческой организации необходимо выполнять мониторинг работы компонентов информационной системы? 14. Укажите составляющие системы обеспечения информационной безопасности, которыми необходимо управлять. 15. Какие информационные ресурсы необходимы для обеспечения непрерывности бизнеса и восстановления бизнеса? 16. Что должны содержать в себе планы обеспечения непрерывности бизнеса (в части защиты информации)? 17. Зачем нужно применять метрики при решении задач управления информационной безопасностью в организации? 18. Какие предвестники инцидентов можно наблюдать в информационной системе, при наличии которых нужно переходить к практическим действия по управлению информационной безопасностью? 19. Какой лучше выбрать подход для оценки информационных рисков в коммерческой организации – количественный или качественный? 20. Укажите источники информации для составления политики информационной безопасности КРИТЕРИИ ОЦЕНИВАНИЯ «Отлично» : студентом дан полный, в логической последовательности развернутый ответ на поставленные вопросы, где он продемонстрировал знания предмета в полном объеме учебной программы, достаточно глубоко осмысливает дисциплину, самостоятельно, и исчерпывающе отвечает на дополнительные вопросы, приводит собственные примеры по проблематике поставленного вопроса, решил предложенные практические задания без ошибок. «Хорошо» : студентом дан развернутый ответ на поставленный вопрос, где студент демонстрирует знания, приобретенные на лекционных и семинарских занятиях, а также полученные посредством изучения обязательных учебных материалов по курсу, дает аргументированные ответы, приводит примеры, в ответе присутствует свободное владение монологической речью, логичность и последовательность ответа. Однако допускаются неточности в ответе. Решил предложенные практические задания с небольшими неточностями. «Удовлетворительно» : студентом дан ответ, свидетельствующий в основном о знании процессов изучаемой дисциплины, отличающийся недостаточной глубиной и полнотой раскрытия темы, знанием основных вопросов теории, слабо сформированными навыками анализа явлений, процессов, недостаточным умением давать аргументированные ответы и приводить примеры, недостаточно свободным владением монологической речью, логичностью и последовательностью ответа. Допускается несколько ошибок в содержании ответа и решении практических заданий. «Неудовлетворительно» (не зачтено): студентом дан ответ, который содержит ряд серьезных неточностей, обнаруживающий незнание процессов изучаемой предметной области, отличающийся неглубоким раскрытием темы, незнанием основных вопросов теории, неумением давать аргументированные ответы. Выводы поверхностны. Решение практических заданий не выполнено. Студент не способен ответить на вопросы даже при дополнительных наводящих вопросах преподавателя. ОПК-4.1: Способен проводить организационные мероприятия по обеспечению безопасности информации в автоматизированных системах; Индикаторы достижения компетенции: Знает основы теории управления организациями, включая вопросы управления информационной безопасностью объектов. Умеет использовать технологии разработки и принятия управленческих решен. Владеет основами анализа деятельности организации, навыками использовании организационных мер по защите информации. ПРИМЕРНЫЕ ВОПРОСЫ ТЕОРЕТИЧЕСКОГО ХАРАКТЕРА: 1. Какие факторы определяют выбор управленческой модели: 2. Что является предметом и продуктом труда в управлении 3. Укажите основное управленческое действие для руководителя. 4. Перечислите основные функции процесса управления. 5. Что такое организационная структура? 6. Что такое коммуникативный процесс?. 7. Назовите этапы коммуникативного процесса: 8. Что относится к задачам контроля оценка состояния и значимости полученных результатов 9. Что такое координация в управленческой деятельности? 10. Основные требования к целям организации 11. Как осуществляется текущий контроль в организации? 12. Что такое субъекты управления? 13. Что является целью любой структуры управления? 14. Что такое организационные структуры управления? 15. Что такое делегирование? 16. Что такое стиль руководства 17. Чем отличается аналитический инструмент для принятия решений «Дерево событий» от «Дерева решений» 18. На чем основан эвристический метод принятия решений? 19. Как классифицируются управленческие решения по степени надежности предвидения: 20. Как называется метод стратегического планирования, заключающийся в выявлении факторов внутренней и внешней среды организации и разделении их на четыре категории: сильные стороны, слабые стороны, возможности и угрозы 21 Что такое Парадокс Кондорсэ? Если большинство не может прийти к нужному результату, порядок голосования играет большую роль ПРИМЕРНЫЕ ВОПРОСЫ ПРАКТИКО-ОРИЕНТИРОВАННОГО ХАРАКТЕРА: 1. Вы руководитель фирмы Вам необходимо организовать процесс формирования «Перечня сведений конфиденциального характера». Опишите процесс организации. 2. Вы руководитель фирмы Вам необходимо организовать конфиденциальное делопроизводство. Опишите процесс организации. 3. Вы руководитель фирмы Вам необходимо организовать процесс осуществления защитных в отношении документопотоков. Опишите процесс организации. 4. Вы руководитель фирмы и Вам необходимо организовать технологическую систему обработки конфиденциальных документов. Опишите процесс организации. 5. Вам мер нужно сформировать имидж организации. Какие приемы. Как руководитель, примените 6. Укажите ВИДЫ возможных конфликтов в коммерческой организации 7. Приведите примеры разрешения конфликтов 8. Разработайте рекомендации по минимизации конфликтов в коммерческой организации 9. Как Вы будете подбирать специалиста по защите информации Директор принял на работу специалиста, который должен работать в подчинении у начальника отдела. Прием на работу не был с ним согласован. Вскоре выяснилась неспособность принятого работника выполнять свои обязанности. Действия начальника отдела. 10. Поступил заказ на установку видеонаблюдения в организации. Сотрудники отдела. Работают. Один сотрудник часто в течение рабочего дня уходит из комнаты, в которой работают сотрудники. Начальник отдела видит его в «курилке», в коридоре и т.п. Действия начальника отдела. 11. Директор принял на работу специалиста, который должен работать в подчинении у начальника отдела. Прием на работу не был с ним согласован. Принятый работник не выполняет свои обязанности. Действия начальника отдела. 12. Как Вы будете выявлять человеческие качества специалиста по защите информации 13. Как Вы будете выявлять профессиональные качества специалиста по защите информации 14. Как реализуется контроль в организации7 15. Укажите основное управленческое действие для руководителя 16. Как можно проверить профессиональные умения при приеме на работу? 17. Какие подходы к разработке альтернатив при принятии управленческого решения Вы знаете? 18. На основании каких исходных данных Вы, как руководитель организации, сформулируете подход к принятию управленческого решения? 19. Как обеспечить сплоченность коллектива при выполнении проекта? 20. Вам как руководителю нужно выявить лидера в коллективе. Ваши действия КРИТЕРИИ ОЦЕНИВАНИЯ: «Отлично» : студентом дан полный, в логической последовательности развернутый ответ на поставленные вопросы, где он продемонстрировал знания предмета в полном объеме учебной программы, достаточно глубоко осмысливает дисциплину, самостоятельно, и исчерпывающе отвечает на дополнительные вопросы, приводит собственные примеры по проблематике поставленного вопроса, решил предложенные практические задания без ошибок. «Хорошо» : студентом дан развернутый ответ на поставленный вопрос, где студент демонстрирует знания, приобретенные на лекционных и семинарских занятиях, а также полученные посредством изучения обязательных учебных материалов по курсу, дает аргументированные ответы, приводит примеры, в ответе присутствует свободное владение монологической речью, логичность и последовательность ответа. Однако допускаются неточности в ответе. Решил предложенные практические задания с небольшими неточностями. «Удовлетворительно» : студентом дан ответ, свидетельствующий в основном о знании процессов изучаемой дисциплины, отличающийся недостаточной глубиной и полнотой раскрытия темы, знанием основных вопросов теории, слабо сформированными навыками анализа явлений, процессов, недостаточным умением давать аргументированные ответы и приводить примеры, недостаточно свободным владением монологической речью, логичностью и последовательностью ответа. Допускается несколько ошибок в содержании ответа и решении практических заданий. «Неудовлетворительно» (не зачтено): студентом дан ответ, который содержит ряд серьезных неточностей, обнаруживающий незнание процессов изучаемой предметной области, отличающийся неглубоким раскрытием темы, незнанием основных вопросов теории, неумением давать аргументированные ответы. Выводы поверхностны. Решение практических заданий не выполнено. Студент не способен ответить на вопросы даже при дополнительных наводящих вопросах преподавателя. |
| 6.1. Рекомендуемая литература | ||||
| 6.1.1. Основная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л1.1 | Бирюков А.А. | Информационная безопасность: защита и нападение: | ДМК Пресс, 2017 \\ ЭБС Лань | e.lanbook.com |
| Л1.2 | Аверченков, В.И. | Аудит информационной безопасности : учебное пособие для вузов | Москва : Флинта, , 2016//ЭБС университетская библиотека online | biblioclub.ru |
| 6.1.2. Дополнительная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л2.1 | Минакова Н.Н. | Основы управления информационной безопасностью: | , | portal.edu.asu.ru |
| Л2.2 | Саак А.Э., Пахомов Е.В., Тюшняков В.Н. | Информационные технологии управления: учебник | СПб.: Питер, 2012 | |
| Л2.3 | Казарин О. В. | Программно-аппаратные средства защиты информации. Защита программного обеспечения : учебник и практикум для вузов: | Издательство Юрайт, 2018//ЭБС Университетская библиотека Online | biblio-online.ru |
| 6.2. Перечень ресурсов информационно-телекоммуникационной сети "Интернет" | ||||
| Название | Эл. адрес | |||
| Э1 | Курс на Moodle "Основы управления информационной безопасностью» | portal.edu.asu.ru | ||
| Э2 | Образовательный сайт | www.intuit.ru/ | ||
| Э3 | Библиотека учебной и методической литературы | www.window.edu.ru/ | ||
| 6.3. Перечень программного обеспечения | ||||
| Microsoft Office Microsoft Windows 7-Zip AcrobatReader Microsoft Office 2010 (Office 2010 Professional, № 4065231 от 08.12.2010), (бессрочно); Microsoft Windows 7 (Windows 7 Professional, № 61834699 от 22.04.2013), (бессрочно); Chrome (http://www.chromium.org/chromium-os/licenses), (бессрочно); 7-Zip (http://www.7-zip.org/license.txt), (бессрочно); AcrobatReader (http://wwwimages.adobe.com/content/dam/Adobe/en/legal/servicetou/Acrobat_com_Additional_TOU-en_US-20140618_1200.pdf), (бессрочно); ASTRA LINUX SPECIAL EDITION (https://astralinux.ru/products/astra-linux-special-edition/), (бессрочно); LibreOffice (https://ru.libreoffice.org/), (бессрочно); Веб-браузер Chromium (https://www.chromium.org/Home/), (бессрочно); Антивирус Касперский (https://www.kaspersky.ru/), (до 23 июня 2024); Архиватор Ark (https://apps.kde.org/ark/), (бессрочно); Okular (https://okular.kde.org/ru/download/), (бессрочно); Редактор изображений Gimp (https://www.gimp.org/), (бессрочно) | ||||
| 6.4. Перечень информационных справочных систем | ||||
| Профессиональные базы данных: 1. Электронная база данных «Scopus» (http://www.scopus.com); 2. Электронная библиотечная система Алтайского государственного университета (http://elibrary.asu.ru/); 3. Научная электронная библиотека elibrary (http://elibrary.ru) | ||||
| Аудитория | Назначение | Оборудование |
|---|---|---|
| 408К | лаборатория программно-аппаратных средств обеспечения информационной безопасности; лаборатория криптографических методов защиты информации - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации | Учебная мебель на 15 посадочных мест; рабочее место преподавателя; компью-теры: модель Компьютер Парус 945 MSI PDualCore E2140/512Mb+1024/HDD80Gb/DVD-ROM/LCD17" LG/KM - 11 единиц; мо-ниторы: марка Samsung - 3 единицы; системный блок CTR Office Celeron 2533 MHz - 3 шт.; Аппаратные средства аутентификации пользователя: элек-тронные ключи Guardant Code (4 шт.); электронный ключ Guardant Time (1 шт.); электронные ключи Guardant Stealth (3 шт.); электронные ключи Alad-din eToken PRO (10 шт.). Программно-аппаратные комплексы защиты инфор-мации: Программно-аппаратный ком-плекс «Соболь» Версия 3.0 RU.403008570.501410.001; Программно-аппаратный комплекс «Соболь» Версия 2.1 УВАЛ 00030-58-01; система защиты информации «Secret Net 2000» версии 4.0 (автономный вариант). Комплекс проекционного оборудования для препо-давателя - проектор мультимедийный "Optoma W402", проектор мультимедиа "BenQ MP626 DLP". |
| 001вК | склад экспериментальной мастерской - помещение для хранения и профилактического обслуживания учебного оборудования | Акустический прибор 01021; виброизмеритель 00032; вольтметр Q1202 Э-500; вольтметр универсальный В7-34А; камера ВФУ -1; компьютер Турбо 86М; масспектрометр МРС -1; осциллограф ЕО -213- 2 ед.; осциллограф С1-91; осциллограф С7-19; программатор С-815; самописец 02060 – 2 ед.; стабилизатор 3218; терц-октавный фильтр 01023; шкаф вытяжной; шумомер 00026; анализатор АС-817; блок 23 Г-51; блок питания "Статрон" – 2 ед.; блок питания Ф 5075; вакуумный агрегат; весы; вольтметр VM -70; вольтметр В7-15; вольтметр В7-16; вольтметр ВУ-15; генератор Г-5-6А; генератор Г4-76А; генератор Г4-79; генератор Г5-48; датчик колебаний КВ -11/01; датчик колебаний КР -45/01; делитель Ф5093; измеритель ИМП -2; измеритель параметров Л2-12; интерферометр ИТ 51-30; источник "Агат" – 3 ед.; источник питания; источник питания 3222; источник питания ЭСВ -4; лабораторная установка для настройки газовых лазеров; лазер ЛГИ -21; М-кальк-р МК-44; М-калькул-р "Электроника"; магазин сопротивления Р4075; магазин сопротивления Р4077; микроскоп МБС -9; модулятор МДЕ; монохроматор СДМС -97; мост переменного тока Р5066; набор цветных стекол; насос вакумный; насос вакуумный ВН-01; осциллограф С1-31; осциллограф С1-67; осциллограф С1-70; осциллограф С1-81; осциллоскоп ЕО -174В – 2 ед.; пентакта L-100; пирометр "Промень"; пистонфон 05001; преобразователь В9-1; прибор УЗДН -2Т; скамья оптическая СО 1м; спектограф ДФС -452; спектограф ИСП -51; стабилизатор 1202; стабилизатор 3217 – 4 ед.; стабилизатор 3218; стабилизатор 3222 – 3 ед.; станок токарный ТВ-4; усилитель мощности ЛВ -103 – 4 ед.; усилитель У5-9; центрифуга ВЛ-15; частотомер Ч3-54А; шкаф металлический; эл.двигатель; электродинамический калибратор 11032 |
| 419К | лаборатория информационных технологий - компьютерный класс - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации; | Учебная мебель на 17 посадочных мест; рабочее место преподавателя; доска маркерная - 1 шт.; компьютеры: NAIO Corp Z520, НЭТА - 4 in - 13 ед. |
| 413К | учебный кабинет управления информационной безопасностью - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации | Учебная мебель на 6 посадочных мест; рабочее место преподавателя; доска меловая 1 шт.; компьютеры: марка Ramec - 2 единицы; компьютер Celeron 1700/ Ram 256 MbD/LCD - панель BenQ 17" - 1 ед.; компьютер CTR Office Celeron 2533 MHz/18,5" LCD Acer X 193HQGB - 1 ед. |
| Учебная аудитория | для проведения занятий лекционного типа, занятий семинарского типа (лабораторных и(или) практических), групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации, курсового проектирования (выполнения курсовых работ), проведения практик | Стандартное оборудование (учебная мебель для обучающихся, рабочее место преподавателя, доска, мультимедийное оборудование стационарное или переносное) |
| Помещение для самостоятельной работы | помещение для самостоятельной работы обучающихся | Компьютеры, ноутбуки с подключением к информационно-телекоммуникационной сети «Интернет», доступом в электронную информационно-образовательную среду АлтГУ |
| Рекомендации по подготовке к лекционным занятиям (теоретический курс): Перед очередной лекцией необходимо бегло ознакомиться с содержанием очередной лекции по основным источникам литературы в соответствии с рабочей программой дисциплины. Часть лекционного материала представлена в виде презентаций, ссылок на Интернет-источники. Материалы распределены по разделам курса. Рекомендации по подготовке к практическим работам: - необходимо проработать теоретический материал, соответствующий теме работы. - в начале занятий задать преподавателю вопросы по материалу, вызвавшему затруднения в его понимании и освоении. - при ответе на вопросы, поставленные для самостоятельной проработки, необходимо его увязывать их с вопросами защиты информации в коммерческой организации. Рекомендации по подготовке к самостоятельной работе: - выполнять в установленные сроки все плановые задания, выдаваемые преподавателем, выяснять на консультациях неясные вопросы. = прорабатывать соответствующие теоретические и практические разделы курса, все неясные моменты фиксировать и выносить на плановую консультацию. |