Московский Институт Электронной Техники Московский государственный институт электронной техники (технический университет) , Москва, г. Зеленоград, проезд 4806, д.5
доктор технических наук, профессор Хорев Анатолий Анатольевич МАГИСТЕРСКАЯ ПРОГРАММА по направлению подготовки «Информационная безопасность» по профилю «Безопасность автоматизированных систем» по программе подготовки «Аудит информационной безопасности автоматизированных систем»
Образовательная программа разработана в связи с большой востребованностью специалистов в области аудита информационной безопасности автоматизированных систем и отсутствием их подготовки в вузах России. Разработанная образовательная программа является первой в России программой подготовки магистров по направлению Информационная безопасность. Программа согласована с ФСТЭК России и УМО в области информационной безопасности. Актуальность и новизна образовательной программы подготовки магистра «Аудит информационной безопасности автоматизированных систем»
По состоянию на 8 февраля 2011 г. зарегистрировано оператора персональных данных и 47 операторов федеральных государственных информационных систем. В настоящее время Федеральной службой по техническому и экспортному контролю (ФСТЭК России) выдано более 1250 лицензий на деятельность по технической защите конфиденциальной информации, в том числе аттестации объектов информатизации по требованиям безопасности информации, и аккредитовано более 30 аттестационных центров, осуществляющих деятельность по проведению специальных экспертиз организаций.
Заинтересованность в подготовке магистров по данной программе подготовки и потребность в выпускниках выразили: Федеральная служба по техническому и экспортному контролю; Министерство внутренних дел РФ; Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Цель (миссия) образовательной программы Формирование у выпускника профессиональных знаний, навыков и умений (компетенций), которые ему необходимы при решении задач, соответствующих квалификационной характеристике выпускника, указанной в п. 5.2 ФГОС ВПО по направлению подготовки «Информационная безопасность» и магистерской программе подготовки «Аудит информационной безопасности автоматизированных систем»
Повсеместное использование АС для обработки информации, применение новых информационных технологий значительно расширяет возможности деятельности организации, но и одновременно с этим создает новые операционные риски, что приводит к повышению актуальности проблем, связанных защитой информации. Для того, чтобы гарантировать эффективную защиту информации компаниям необходимо иметь объективную оценку текущего уровня информационной безопасности АС. Именно для этих целей и применяется аудит информационной безопасности АС.
Основными целями проведения аудита безопасности информационной ИАС являются: анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении защищаемых ресурсов ИАС; оценка текущего уровня защищенности ИАС; оценка соответствия ИАС существующим стандартам в области информационной безопасности и защиты информации; выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения безопасности ИАС.
В число дополнительных задач аудита могут также входить: разработка документов политики безопасности организации (концепции обеспечения безопасности информации, регламенты обеспечения безопасности информации, инструкции и другие организационно- распорядительные документы по вопросам обеспечения безопасности информации); участие в обучении пользователей и обслуживающего персонала ИАС вопросам обеспечения информационной безопасности; участие в разборе инцидентов, связанных с нарушением информационной безопасности и другие.
По мнению работодателей, профессиональные компетенции, содержащиеся в ФГОС ВПО не в полной мере отражают тот уровень знаний и умений, которыми должен обладать специалист в области аудита информационной безопасности автоматизированных систем. Поэтому вузом ведены новые профильные компетенции, дополняющие профессиональные компетенции ПК-1, ПК-3, ПК-5, ПК-7, ПК-9, ПК-13, ПК-15 Разработанные компетенции более конкретны и отражают требования к уровню подготовки специалиста в области аудита информационной безопасности автоматизированных систем, они более понятны работодателям.
способен проводить экспертный анализ уровня защищенности автоматизированных систем обработки информации ограниченного доступа (АС) от угроз безопасности информации (ИБ) и оценку соответствия АС международным и отечественным стандартам и нормативно- методическим документам ФСБ России и ФСТЭК России в области информационной безопасности и защиты информации (ПКДВ-1); способен разрабатывать модели угроз ИБ, проводить анализ рисков угроз ИБ, разрабатывать документы политики ИБ (ПКДВ-2); способен разрабатывать программы и методики аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации, проводить аттестационные испытания с использованием технических и программных средств, оформлять заключения по результатам аттестационных испытаний (ПКДВ-3). Профильные компетенции, введенные вузом (ПКДВ)
Сформированность компетенции ПКДВ -1 у магистра предполагает наличие: -знаний систем и средств обработки информации ограниченного доступа, технических каналов утечки информации, способов и средств несанкционированного доступа к информации, способов и средств защиты информации от утечки по техническим каналам, способов и средств защиты информации от несанкционированного доступа, организации защиты информации на объектах информатизации, нормативных правовых актов, организационно-распорядительных и нормативно-методических документов по информационной безопасности и защите информации; -умений провести оценку угроз безопасности информации, оценку рисков информационной безопасности, оценку уровня защищенности АС от угроз БИ; - владения навыками проведения экспертного анализа уровня защищенности АС от угроз ИБ и экспертной оценки соответствия АС международным и отечественным стандартам и нормативно- методическим документам ФСБ России и ФСТЭК России в области информационной безопасности и защиты информации.
Планируемые уровни сформированности компетенции ПКДВ-1 Базовый уровень: знает нормативные правовые акты, организационно-распорядительные и нормативно-методические документы по информационной безопасности и защите информации, методы и средства обеспечения информационной безопасности, критерии оценки информационной безопасности, методику проведения экспертного аудита информационной безопасности автоматизированных систем; может под руководством руководителя аудиторской проверки провести экспертный анализ уровня защищенности АС от угроз ИБ и экспертной оценки соответствия АС международным и отечественным стандартам и нормативно-методическим документам ФСБ России и ФСТЭК России в области информационной безопасности и защиты информации. Повышенный уровень: имеет практический опыт самостоятельного проведения экспертного аудита информационной безопасности автоматизированных систем, разработки аудиторского отчета.
Сформированность компетенции ПКДВ -2 у магистра предполагает наличие: - знаний систем и средств обработки информации ограниченного доступа, технических каналов утечки информации, способов и средств несанкционированного доступа к информации, способов и средств защиты информации от утечки по техническим каналам, способов и средств защиты информации от несанкционированного доступа, организации защиты информации на объектах информатизации, нормативных правовых актов, организационно-распорядительных и нормативно- методических документов по информационной безопасности и защите информации; - умений провести оценку угроз информационной безопасности, разработать модели угроз ИБ, провести анализ рисков угроз ИБ, разработать документы политики ИБ (концепцию обеспечения безопасности информации, регламенты обеспечения безопасности информации, инструкции и другие организационно-распорядительные документы по вопросам обеспечения безопасности информации); - владения навыками разработки модели угроз ИБ, анализ рисков угроз ИБ, разработки документов политики ИБ.
Планируемые уровни сформированности компетенции ПКДВ-2 у студентов-выпускников вуза Базовый уровень: знает нормативные правовые акты, организационно- распорядительные и нормативно-методические документы по информационной безопасности и защите информации, методы и средства обеспечения информационной безопасности, критерии оценки информационной безопасности, методы оценки угроз информационной безопасности, методы оценки рисков, требования по разработке организационно-распорядительных документов по обеспечению информационной безопасности и защите информации; может под руководством руководителя службы безопасности организации разработать модель угроз ИБ, провести анализ рисков угроз ИБ, разработать документы политики ИБ. Повышенный уровень: имеет практический опыт самостоятельной разработки модели угроз ИБ, проведения анализ рисков угроз ИБ, разработки документы политики ИБ.
Сформированность компетенции ПКДВ - 3 у магистра предполагает наличие: - знаний систем и средств обработки информации ограниченного доступа, технических каналов утечки информации, способов и средств несанкционированного доступа к информации, способов и средств защиты информации от утечки по техническим каналам и несанкционированного доступа, методов и средств контроля эффективности защиты информации от утечки по техническим каналам и защиты от несанкционированного доступа к информации, организации защиты информации на объектах информатизации, организации аттестации объектов информатизации по требованиям безопасности информации; - умений по организации аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации, проводить аттестационные испытания с использованием технических и программных средств, оформлению заключений по результатам аттестационных испытаний; - владения навыками проведения аттестационных испытаний и оценки защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации с использованием технических и программных средств.
Планируемые уровни сформированности компетенции ПКДВ-3 у студентов-выпускников вуза Базовый уровень: знает организацию, методы, средства и методики проведения аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации; может под руководством руководителя аттестационной комиссии разрабатывать программы и методики аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации, проводить аттестационные испытания с использованием технических и программных средств, оформлять заключения по результатам аттестационных испытаний. Повышенный уровень: имеет практический опыт самостоятельной разработки программ и методик аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации, проведения аттестационных испытаний с использованием технических и программных средств, оформления заключений по результатам аттестационных испытаний.
ПКДВ - 1 владение навыками проведения экспертного анализа уровня защищенности АС от угроз ИБ и экспертной оценки соответствия АС международным и отечественным стандартам и нормативно- методическим документам ФСБ России и ФСТЭК России в области информационной безопасности и защиты информации. Характеристика профильных компетенции ПКДВ - 2 ПКДВ - 1 владение навыками разработки модели угроз ИБ, анализ рисков угроз ИБ, разработки документов политики ИБ. владение навыками проведения аттестационных испытаний и оценки защищенности информации от утечки по техническим каналам и несанкционированног о доступа к информации с использованием технических и программных средств.
Взаимосвязь блоков дисциплин при формировании компетенции ПКДВ-1 1 этап (1 и 2 семестры) 1 этап (1 и 2 семестры) Блок дисциплин модуля 2 Блок дисциплин модуля 2 Блок дисциплин модуля1 Блок дисциплин модуля1 2 этап (2 семестр) 2 этап (2 семестр) Блок дисциплин модуля 3 Блок дисциплин модуля 3 3 этап (2 и 3 семестры) 3 этап (2 и 3 семестры) Производственная и научно-исследовательская практика Производственная и научно-исследовательская практика 4 этап (4 семестр) 4 этап (4 семестр) Деловая игра Выпускная квалификационная работа Выпускная квалификационная работа
Взаимосвязь блоков дисциплин при формировании компетенции ПКДВ-2 1 этап (1 и 2 семестры) 1 этап (1 и 2 семестры) Блок дисциплин модуля 2 Блок дисциплин модуля 2 Блок дисциплин модуля1 Блок дисциплин модуля1 2 этап (2 семестр) 2 этап (2 семестр) Блок дисциплин модуля 3 Блок дисциплин модуля 3 3 этап (2 и 3 семестры) 3 этап (2 и 3 семестры) Производственная и научно-исследовательская практика Производственная и научно-исследовательская практика 4 этап (4 семестр) 4 этап (4 семестр) Деловая игра Выпускная квалификационная работа Выпускная квалификационная работа
Взаимосвязь блоков дисциплин при формировании компетенции ПКДВ-3 1 этап (1 и 2 семестры) 1 этап (1 и 2 семестры) Блок дисциплин модуля 2 Блок дисциплин модуля 2 Блок дисциплин модуля1 Блок дисциплин модуля1 3 этап (3 и 4 семестры) 3 этап (3 и 4 семестры) Производственная и научно-исследовательская практика Производственная и научно-исследовательская практика 4 этап (4 семестр) 4 этап (4 семестр) Деловая игра Выпускная квалификационная работа Выпускная квалификационная работа 1 этап (2 и 3 семестры) 1 этап (2 и 3 семестры) Блок дисциплин модуля 3 Блок дисциплин модуля 3 Блок дисциплин модуля 4 Блок дисциплин модуля 4
1-й семестр «Теоретические основы компьютерной безопасности» «Технологии обеспечения информационной безопасности объектов» «Методы и средства обеспечения информационной безопасности в информационных системах персональных данных» «Методы и средства защиты информации в системах электронного документооборота» Отдельные разделы дисциплины «Защищенные информационные системы» 2-й семестр «Управление информационной безопасностью» Отдельные разделы дисциплины «Организационно-правовые механизмы обеспечения информационной безопасности» Перечень дисциплин модуля 1 «Защита информации от несанкционированного доступа»
1-й семестр «Теоретические основы защиты информации от утечки по техническим каналам» Отдельные разделы дисциплины «Защищенные информационные системы» 2-й семестр Отдельные разделы дисциплины «Организационно-правовые механизмы обеспечения информационной безопасности» Перечень дисциплин модуля 2 « Защита информации от утечки по техническим каналам»
2-й семестр «Правовые основы аудита информационной безопасности автоматизированных систем и аттестации объектов информатизации» «Организация аудита информационной безопасности автоматизированных систем и аттестации объектов информатизации» «Организационно-правовые механизмы обеспечения информационной безопасности» Перечень дисциплин модуля 3 «Основы аудита информационной безопасности автоматизированных систем и аттестации объектов информатизации»
3-й семестр «Методы и средства контроля эффективности защиты информации от несанкционированного доступа» «Методы и средства контроля эффективности защиты информации от утечки по техническим каналам» Перечень дисциплин модуля 4 «Аттестация объектов информатизации»
Структура образовательной программы магистратуры п/п Наименование циклов, модулей, дисциплин, практик, НИР Общая трудоемкость Распределение по семестрам, виды и формы промежуточной аттестации В зач. ед.В часах1234 Виды уч. работы Формы промеж.ат. М.1Общенаучный цикл24864 Базовая часть8288 М1.1Специальные главы математики3108хЛ,ЛЗЗ М1.2Специальные главы физики272хЛ,ЛЗЗ М1.3Экономика и управление3108хЛ,ПЗЗ Вариативная часть16576 М1.4Иностранный язык4144ххПЗЗ М1.5Педагогика высшей школы272хЛ,ПЗЗ М1.6Теоретические основы управления4144хЛ,ЛЗЗ Дисциплины по выбору студента (2 из 4) 6216 М1.7.1Современная философия и методология науки 3108хЛ, ПЗЗ М1.7.2Риторика3108хЛ, ПЗЗ М1.8.1Теория игр и исследование операций3108хЛ, ПЗЗ М1.8.2Математическое моделирование технических объектов и систем управления 3108хЛ, ПЗЗ
Структура образовательной программы магистратуры п/п Наименование циклов, модулей, дисциплин, практик, НИР Общая трудоемкость Распределение по семестрам, виды и формы промежуточной аттестации В зач. ед. В часах 1234 Виды уч. работы Формы пром. ат. М.2Профессиональный цикл Базовая часть1396 М2.1 Защищенные информационные системы 4144хЛ,ПЗДЗ,Э М2.2 Технологии обеспечения информационной безопасности объектов 4144хЛ,ЛЗЭ М2.3 Управление информационной безопасностью 3108хЛ,ЛЗЭ Вариативная часть25900 М2.4 Организация аудита информационной безопасности автоматизированных систем 4144хЛ,ПЗЭ М2.5 Методы и средства контроля эффективности защиты информации от утечки по техническим каналам 4144хЛ,ПЗДЗ,Э М2.6 Методы и средства контроля эффективности защиты информации от несанкционированного доступа 3108хЛ,ЛЗДЗ,Э М2.7Деловая игра3108хЛЗ,ПЗДЗ
Структура образовательной программы магистратуры п/п Наименование циклов, модулей, дисциплин, практик, НИР Общая трудоемкость Распределение по семестрам, виды и формы промежуточной аттестации В зач. ед. В часах 1234 Виды уч. работы Формы пром. ат. Дисциплины по выбору студента (3 из 6) М2.8.1 Методы и средства обеспечения информационной безопасности в информационных системах персональных данных 4144хЛ,ЛЗДЗ М2.8.2 Методы и средства защиты информации в системах электронного документооборота 4144хЛ,ЛЗДЗ М2.9.1 Теоретические основы защиты информации от утечки по техническим каналам 4144хЛ,ЛЗЗ М2.9.2 Теоретические основы компьютерной безопасности 4144хЛ,ЛЗЗ М Правовые основы аудита информационной безопасности автоматизированных систем 3108хЛ,ПЗЗ М2.10.2Организационно-правовые механизмы обеспечения информационной безопасности 3108хЛ,ПЗЗ
Структура образовательной программы магистратуры п/п Наименование циклов, модулей, дисциплин, практик, НИР Общая трудоемкость Распределение по семестрам, виды и формы промежуточной аттестации В зач. ед. В часах 1234 Виды уч. работы Формы пром.ат. М.3 Практика и научно- исследовательская работа хххДЗ М.4 Итоговая государственная аттестация 12432хВКР Общая трудоемкость основной образовательной программы
Структура учебного плана магистратуры 4Практика и научно-исследовательская работа Деловая игра Итоговая аттестация 3Практика и научно-исследовательская работа Методы и средства контроля эффективно сти ЗИ от НСД Методы и средства контроля эффективности ЗИ от УИТК Мат. моделир. техн. объектов и СУ Экономика и управление Теория игр и исследовани е операций 2Практика и научно-исследовательская работа Управление информа- ционной безопас- ностью Ин.яз Педагогика высшей школы Организация аудита информацион- ной безопасности автоматизиро- ванных систем Правовые основы аудита ИБ АС Организа- ционно- правовые механизмы обеспечения ИБ 1 Специаль- ные главы математики Специа льные главы физики Защищенные информацион- ные системы Технологии обеспечения информацион- ной безопасности объектов Методы и средства обеспечения ИБ в ИС персональных данных Ин.яз Теоретические основы защиты информации от утечки по техническим каналам Теоретические основы управления Современ- ная философия и методология науки Методы и средства ЗИ в системах электронного документооборота Теоретические основы компьютерной безопасности Риторика
Спасибо за внимание