среда, 24 августа 2011 г.

Образование в области информационной безопасности.

Мы много говорим о том, что одним из важных элементов информационной безопасности является осведомленность сотрудников... К сожалению сегодня, в России понятие об информационной безопасности довольно часто пребывает в двух состояниях:
1. Информационная безопасность? Зачем? У меня нет секретов!
2. Информационная безопасность? У меня все сделано, я установил антивирус и firewall… Список можно продолжить.



У нас есть несколько не плохих и хороших курсов по информационной безопасности для специалистов в этой области… И нет нормального понимания, что должен знать IT специалист не планирующий заниматься защитой информации.

У меня есть возможность восполнить этот пробел. В этом году я читаю курс «Методы и средства защиты компьютерной информации» в Новосибирском Государственном Университете, Факультет Информационных Технологий. В прошлом году я познакомился со студентами, которые слушают этот курс – будущие разработчики программного обеспечения, СУБД, ОС, специального программного обеспечения для научных исследований, может быть системные администраторы и т.п.  Спектр чрезвычайно широк. Многие уже работают в исследовательских институтах и software компаниях.

Решил Учебный План в этом году не менять, а пересмотреть наполнение.
Далее по тексту – жирным выделено, места, которые я менять в этом году не планирую, т.к. взяты из Учебного Плана. Раздел может включать несколько 1,5 часовых лекций. Всего лекций планируется 15.

Введение. Основные понятия и определения, концептуальные основы информационной безопасности и защиты информации.
Понятия информационной безопасности. «Святая троица безопасности» - целостность, доступность, конфиденциальность. Ее развитие в ГОСТ 13335 – аутентичность, неотказуемость, подотчетность. Взаимосвязь с аппаратным, программным и коммуникационным обеспечением систем. Физическая защита, защита персонала, организационное обеспечение. Понятие Угрозы, Атаки, Риска. Модели.
Современные проблемы информационной безопасности: виртуализация, облака, APT. Проблема размывания границ. Роль персонала в защите информации.
Понятие безопасного программирования. Здесь получится фактически обзор книги от Microsoft “Writing Security Code”, скорее даже только части I contemporary secirity и части II Security Code Technics.
N.B.: Хочется в этом разделе объять необъятное и дать общее понимание проблематики с уклоном на программистов, т.к. с их продуктами нам работать потом. ;)

Раздел 1. Правовые и организационные аспекты безопасности информационных технологий.
Правовые основы ЗИ в РФ. Защита персональных данных в Европе и России. Конституция, Доктрина, Закон о информатизации, О Гостайне, Защита программ и ЭВМ, Авторское право, ЭП, Лицензирование. Сертифицированные средства. Руководящие Документы. Понятие о СТО БР. PSI DSS(?) (очень кратко)
Политика Безопасности. Управление рисками.
N.B. IMHO:На этом разделе не вижу причин останавливаться подробно, т.к. для большинства РД и прочее в дальнейшем пригодится на уровне понятий.

Раздел 2. Математические основы безопасности информационных технологий.
Основы криптографии, Шенон, симметричная, асимметричная криптография, понятие о PKI. VipNet, КриптоПро. RSA, DES. Еще раз о кратко PSI DSS. Что-то еще? Стеганография.
Математические модели. HRU, take-grant, БЛМ, RBAC, Модель Биба, Кларка-Вильсона. Что еще?

Раздел 3. Программно-аппаратные средства защиты информации в компьютерных системах и сетях.
Характеристика основных задач: авторизация, управление трафиком и защита периметра, защита канала, виртуализация, защита в облаках, защита мобильных пользователей.
Структуры и схемы построения систем защиты информации в зависимости от целей. Рассмотрение case`ов.

Просьба к коллегам - покритиковать и присоветовать в пределах означенных тем что добавить.
Заранее спасибо.
Если кто готов поделиться case`ами - буду благодарен и авторы будут указаны. ;)
Очевидно курс будет выложен в ppt в неограниченный доступ.

UPD: Слушатели курса - студенты будущие ITшники, не будущие специалисты в ЗИ.

9 комментариев:

  1. >IMHO:На этом разделе не вижу причин останавливаться подробно, т.к. для большинства РД и прочее в дальнейшем пригодится на уровне понятий

    А зря... ;-)

    Человеческий фактор/инсайдейрские риски/регламентация деятельности ИБ и действий юзверей/информационные противодействия (войны)/лоялизация и мотивация персонала/обеспечение доверенности инсайдеров (секретоносителей)/режим тайны (в том числе коммерческой и профессиональной)/обоснования деятельности СИБ перед руководством/риск-менеджмент в ИБ

    ОтветитьУдалить
  2. Проблема в том что 15 лекций очень мало. Соответственно чем-то приходится жертвовать.
    Законодательная часть будет может быть необходима через лет через 10 (с учетом времени необходимого на завершение обучения). Тут скорее надо давать принципы. А это тема другого курса. ;)
    Подумаю куда включить человеческий фактор и инсайд.
    Риск менеджемент хочу затронуть при обсуждении рисков. ;)

    Обоснование деятельности СИБ перед руководством - тема для будущих специалистов. Я учу будущих программистов. НЕ сотрудников СИБ. Им-то зачем обосновывать деятельность СИБ?

    ОтветитьУдалить
  3. >Я учу будущих программистов. НЕ сотрудников СИБ

    Тогда авторские права на программы для ЭВМ и базы данных. А также служебное произведение, программы для ЭВМ и БД сделанные по заказу.

    Программеры это должны четко знать ;-)

    ОтветитьУдалить
  4. >Авторское право в Разделе 1

    Я про акцент на смежных с авторскими правами ;-)

    А то вечно приходится ломать логику программерам, когда начинаешь им объяснять про исключительные права... О том, что нельзя с собой упереть исходный код... О том, что если программа или база защищаются в режиме КТ, то код/базу они опубликовать не могут... И т.д. и т.п.

    ОтветитьУдалить
  5. По кейсам надо бы примеры взаимодействия вендоров (например Opera+AVG) и технологическое партнерство (многоядерные антивири) дабы студенты понимали что не всегда нужно изобретать велосипеды

    ОтветитьУдалить
  6. имеет смысл еще рассказать про:
    1. Стандарты по управлению ИТ (ITIL, ISO 27001), и чуть коснуться ISO 27001 и Cobit
    2. Рассказать про защиту ПДн (152-ФЗ и пр.)
    3. Рассказать про курсы повышения квалификации и международные сертификации по ИТ/ИБ.
    4. Рассказать про международные организации по ИТ/ИБ (ISACA, CERT, NIST, BSI)
    5. Краткий обзор по компаниям и средствам защиты (и России и в мире)
    6. Можно еще чуть косниться управления проектами (PMBOK, Agile). Это пригодится...

    ОтветитьУдалить
  7. Если слушатели - будущие разработчики ПО, то думаю стоит уделить внимание основным положениям РД ФСТЭК, раз ПО сертифицируется по ним. Сейчас сертификация ПО стала довольно модным явлением :)

    ОтветитьУдалить
  8. На что обратил бы внимание студентов:
    1. Соответствие функционала средства и требований по ЗИ нормативных документов. К сожалению возможны ситуации, когда интересные (и полезные) средства не воспринимаются заказчиком, т.к. их функционал никак не соотнесен с тем, что требуется (или часть функционала отсутствует). Актуально в свете последних поправок в 152-ФЗ (см. статья 19 пункт 2 дефис 8 - "а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных").
    2. Особенности разработки ПО, связанные со спецификой ЗИ, в первую очередь связанные с использование криптографии (особенно зарубежной).
    3. Разработка с учетом возможной сертификации. Здесь и проектирование и оформление кода и разработка документации. Необходимость контроля версий кода и параметров компиляции - как с точки зрения контроля вносимых изменений (выявить кто внес закладку в код), так и для фиксации сборки передаваемой на испытания.

    ОтветитьУдалить