| Закреплена за кафедрой | Кафедра экономики и прикладной информатики (Бийск) |
|---|---|
| Направление подготовки | 09.03.03. Прикладная информатика |
| Профиль | ERP-системы и прикладное программирование |
| Форма обучения | Заочная |
| Общая трудоемкость | 4 ЗЕТ |
| Учебный план | ФлБийск_z09_03_03_Прикладная информатика_ERP-2024 |
|
|
||||||||||||||
Распределение часов по курсам
| Курс | 5 | Итого | ||
|---|---|---|---|---|
| Вид занятий | УП | РПД | УП | РПД |
| Лекции | 6 | 6 | 6 | 6 |
| Лабораторные | 12 | 12 | 12 | 12 |
| Сам. работа | 117 | 117 | 117 | 117 |
| Часы на контроль | 9 | 9 | 9 | 9 |
| Итого | 144 | 144 | 144 | 144 |
| 1.1. | Ознакомить студентов с законадательными, административными, организационными, программно-техническими мерами информационной безопасности, с действующими стандартами в этой области. Задачи дисциплины состоят в том, что в результате ее изучения студенты должны : – иметь представление об использовании основных положений теории информационной безопасности в различных областях ИС и иметь представление о направлении развития и перспективах защиты информации; – знать правовые основы защиты компьютерной информации, организационные, технические программные методы защиты информации в ИС, стандарты, модели и методы шифрования, методы идентификации пользователей, методы защиты программ от вирусов; – уметь применять методы защиты компьютерной информации при проектировании ИС в различных предметных областях. |
|---|
| Цикл (раздел) ООП: Б1.О.05 |
| ОПК-3 | Способен решать стандартные задачи профессиональной деятельности на основе информационной и библиографической культуры с применением информационно-коммуникационных технологий и с учетом основных требований информационной безопасности; |
| В результате освоения дисциплины обучающийся должен | |
| 3.1. | Знать: |
|---|---|
| 3.1.1. | о законодательном, административном, организационном, программно-техническом уровнях информационной безопасности; основные законы и нормативные документы в сфере информационной безопасности, меры административного и организационного уровня информационной безопасности; сервисы информационной безопасности программно-технического уровня. |
| 3.2. | Уметь: |
| 3.2.1. | правильно выбирать меры законодательного, административного, организационного и программнотехническом уровня для обеспечения информационной безопасности; применять законы и нормативные документы, меры административного и организационного уровня информационной безопасности для организации комплексной системы защиты информации; использовать сервисы информационной безопасности программно-технического уровня для проектирования, разработки и эксплуатации информационных систем. |
| 3.3. | Иметь навыки и (или) опыт деятельности (владеть): |
| 3.3.1. | навыками поиска необходимой информации в законах и нормативных документах для реализации мер информационной безопасности. методиками разработки документации административного и организационного уровня информационной безопасности для организации комплексной системы защиты информации; навыками внедрения и эксплуатации сервисов информационной безопасности программно-технического уровня. |
| Код занятия | Наименование разделов и тем | Вид занятия | Курс | Часов | Компетенции | Литература |
|---|---|---|---|---|---|---|
| Раздел 1. Введение в информационную безопасность | ||||||
| 1.1. | Понятие информационной безопасности. Основные составляющие информационной безопасности. Место информационной безопасности. Основные угрозы информационной безопасности. Вредоносное программное обеспечение. Способы защиты от вредоносных программ. Административный уровень информационной безопасности. Комплексная система защиты информации. Политика безопасности. Программа безопасности. Законодательный уровень информационной безопасности. Российское законодательство в области ИБ. | Лекции | 5 | 3 | ОПК-3 | Л2.1, Л1.1 |
| 1.2. | Чтение лекции и учебной литературы. Современное состояние информационной безопасности в мире, в России.(по материалам экспертов из открытых источников) | Сам. работа | 5 | 12 | ОПК-3 | Л2.1, Л1.1 |
| 1.3. | Создание безопасной экспериментальной среды | Лабораторные | 5 | 4 | ОПК-3 | Л2.1, Л1.1 |
| 1.4. | Доработка лабораторнй работы | Сам. работа | 5 | 13 | ОПК-3 | Л2.1, Л1.1 |
| 1.5. | Первые шаги к безопасной ОС | Лабораторные | 5 | 4 | ОПК-3 | Л2.1, Л1.1 |
| 1.6. | Доработка лабораторнй работы | Сам. работа | 5 | 14 | ОПК-3 | Л2.1, Л1.1 |
| Раздел 2. Программно-технический уровень информационной безопасности | ||||||
| 2.1. | Управление доступом. Идентификация и аутентификация. Авторизация. Протоколирование и аудит. Шифрование. Обеспечение конфиденциальности. Контроль целостности. | Лекции | 5 | 3 | ОПК-3 | Л2.1, Л1.1 |
| 2.2. | Чтение лекции и учебной литературы. | Сам. работа | 5 | 8 | ОПК-3 | Л2.1, Л1.1 |
| 2.3. | Тестирование веб-сайтов | Сам. работа | 5 | 7 | ОПК-3 | Л2.1, Л1.1 |
| 2.4. | Доработка лабораторнй работы | Сам. работа | 5 | 10 | ОПК-3 | Л2.1, Л1.1 |
| 2.5. | Чтение лекции и учебной литературы. | Сам. работа | 5 | 5 | ОПК-3 | Л2.1, Л1.1 |
| 2.6. | Укрепление безопасности с помощью шифрования | Лабораторные | 5 | 4 | ОПК-3 | Л2.1, Л1.1 |
| 2.7. | Доработка лабораторнй работы | Сам. работа | 5 | 12 | ОПК-3 | Л2.1, Л1.1 |
| Раздел 3. Законодательный и административный уровни информационной безопасности | ||||||
| 3.1. | Административный уровень информационной безопасности. Комплексная система защиты информации. Политика безопасности. Программа безопасности. | Сам. работа | 5 | 12 | ОПК-3 | Л2.1, Л1.1 |
| 3.2. | Законодательный уровень информационной безопасности. Зарубежное законодательство в области ИБ. Российское законодательство в области ИБ. | Сам. работа | 5 | 12 | ОПК-3 | Л2.1, Л1.1 |
| 3.3. | Закон «Об информации, информатизации и защите информации». Закон «О лицензировании отдельных видов деятельности». Закон «Об участии в международном информационном обмене». Закон «Об электронной цифровой подписи». Нормативные документы. Виды информации ограниченного доступа. | Сам. работа | 5 | 12 | ОПК-3 | Л2.1, Л1.1 |
| 5.1. Контрольные вопросы и задания для проведения текущего контроля и промежуточной аттестации по итогам освоения дисциплины |
| Задания для оценки сформированности компетенций: ОПК-3 Способен решать стандартные задачи профессиональной деятельности на основе информационной и библиографической культуры с применением информационно-коммуникационных технологий и с учетом основных требований информационной без-опасности; Код и наименование индикатора достижения профессиональной компетенции ОПК-3.1.Знает принципы, методы и средства решения стандартных задач профессиональной деятельности на основе информационной и библиографической культуры с применением информационно-коммуникационных технологий и с учетом основных требований информационной безопасности. ОПК-3.2.Умеет применять различные методы и средства решения стандартных задач профессиональной деятельности на основе информационной и библиографической культуры с применением информационно- коммуникационных технологий и с учетом основных требований информационной безопасности. ОПК-3.3.Владеет навыками подготовки обзоров, аннотаций, составления рефератов, научных докладов, публикаций, и библиографии по научно-исследовательской работе с учетом требований информационной безопасности. 1. Содержание вопроса: Какое действие НЕ относится к основным принципам модели CIA (Confidentiality, Integrity, Availability)? Выберите один правильный ответ и обоснуйте свой выбор а) конфиденциальность данных; б) целостность данных; в) доступность данных; г) шифрование данных. Правильный ответ: г Обоснование: модель CIA включает три принципа информационной безопасности: конфиденциальность (защита данных от несанкционированного доступа), целостность (обеспечение достоверности и точности данных) и доступность (гарантированное предоставление данных пользователям в нужный момент) Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 2. Содержание вопроса: Чем отличается аутентификация от авторизации? Выберите один правильный ответ и обоснуйте свой выбор а) аутентификация подтверждает личность пользователя, авторизация определяет права доступа; б) авторизация подтверждает личность пользователя, аутентификация определяет права доступа; в) оба термина означают одно и то же; г) аутентификация обеспечивает доступ к данным, авторизация контролирует использование данных. Правильный ответ: а Обоснование: аутентификация — это процесс идентификации личности пользователя (подтверждение, что человек действительно тот, кем представляется). Авторизация — это определение полномочий и прав доступа пользователя к ресурсам после успешной аутентификации Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 3. Содержание вопроса: Какой тип атаки заключается в подделывании IP-адреса отправителя пакетов для сокрытия своей настоящей идентичности? Выберите один правильный ответ и обоснуйте свой выбор а) атака типа Man-in-the-Middle; б) атака DoS/DDoS; в) атака методом спуфинга (spoofing); г) атака XSS (Cross-Site Scripting). Правильный ответ: в Обоснование: Спуфинг — это атака, при которой злоумышленник маскирует настоящий IP-адрес своего компьютера поддельным адресом, чтобы скрыть свою истинную личность и источник атакующих пакетов. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 4. Содержание вопроса: Что из перечисленного не является примером средства антивирус-ной защиты? Выберите один правильный ответ и обоснуйте свой выбор а) антивирусное программное обеспечение; б) система межсетевого экрана (firewall); в) веб-фильтрация; г) криптографическая защита данных. Правильный ответ: г Обоснование: криптография служит для шифрования данных и не предназначена специально для борьбы с вирусами и вредоносным ПО. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 5. Содержание вопроса: Укажите правильное утверждение относительно угрозы DDoS (Distributed Denial of Service): Выберите один правильный ответ и обоснуйте свой выбор а) DDoS - attacks направлены на изменение содержимого веб-сайта; б) эти атаки нацелены на нарушение доступности ресурса путём перегрузки сети или сер-вера огромным количеством запросов; в) такие атаки предназначены для кражи личных данных пользователей; г) они создают ложные аккаунты для дальнейших мошеннических операций. Правильный ответ: б Обоснование: распределённая атака отказа в обслуживании направлена на подавление работоспособности сервиса или сети путём отправки огромного количества запросов одно-временно с множества источников Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 6. Содержание вопроса: Какие существуют два вида криптографии? Правильный ответ: симметричная криптография, ассиметричная криптография. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 7. Содержание вопроса: Определите понятие «Фишинг» Правильный ответ: рассылка электронных писем якобы от доверенных организаций с просьбой ввести личные данные. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 8. Содержание вопроса: Определите понятие «Сбор открытой информации о жертве для последующего убеждения или введения в заблуждение» Правильный ответ: преследование 9. Содержание вопроса: Определите понятие «кража идентификационных данных» Правильный ответ: получение персональных данных жертвы путём притворства Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 10. Содержание вопроса: Определите понятие «претекстинг» Правильный ответ: создание искусственной ситуации для вытягивания нужной информации Критерии оценивания: Тест состоит из вопросов закрытого типа с выбором одного ответа/ выбором нескольких ответов, вопросов открытого типа. В вопросах с выбором одного ответа / нескольких ответов, студент либо выбирает правильный ответ и получает 1 балл, либо выбирает не правильный ответ и получает 0 баллов. Оценка «отлично» (85-100 баллов) - Ставится студенту, если он выполняет работу полностью, в логических рассуждениях и обосновании решения нет пробелов и ошибок, четко излагает свои мысли на поставленные вопросы, умеет тесно связывать теорию с практикой, правильно обосновывает принятое решение, в котором нет правовых ошибок (возможна одна неточность, описка, не являющаяся следствием незнания или непонимания учебного материала). Оценка «хорошо» (70-84 баллов) - Ставится студенту, если он выполняет работу полностью, правильно применяет теоретические положения при решении практических вопросов и задач, владеет необходимыми навыками и приемами их выполнения, однако, была допущена одна ошибка или два-три недочета в решении задачи (если эти виды работы не являлись специальным объектом проверки). Оценка «удовлетворительно» (50-69 баллов) - Ставится студенту, если он имеет знания только основного материала, но не усваивает его деталей, допускает неточности, недостаточно правильные формулировки, нарушения логической последовательности в изложении материала, испытывает затруднения при выполнении практических работ, однако, были допущены несколько ошибок (более двух-трех). Оценка «неудовлетворительно» (0-49 баллов) - Ставится студенту, который не выполняет самостоятельную работу (как в полном объеме, так и частично), допускает большое количество ошибок при решении задач и в ответе на поставленные вопросы. |
| 5.2. Темы письменных работ для проведения текущего контроля (эссе, рефераты, курсовые работы и др.) |
| Не предусмотрены |
| 5.3. Фонд оценочных средств для проведения промежуточной аттестации |
| Задания для оценки сформированности компетенций: ОПК-3 Способен решать стандартные задачи профессиональной деятельности на основе информационной и библиографической культуры с применением информационно-коммуникационных технологий и с учетом основных требований информационной без-опасности; Код и наименование индикатора достижения профессиональной компетенции ОПК-3.1.Знает принципы, методы и средства решения стандартных задач профессиональной деятельности на основе информационной и библиографической культуры с применением информационно-коммуникационных технологий и с учетом основных требований информационной безопасности. ОПК-3.2.Умеет применять различные методы и средства решения стандартных задач профессиональной деятельности на основе информационной и библиографической культуры с применением информационно- коммуникационных технологий и с учетом основных требований информационной безопасности. ОПК-3.3.Владеет навыками подготовки обзоров, аннотаций, составления рефератов, научных докладов, публикаций, и библиографии по научно-исследовательской работе с учетом требований информационной безопасности. 1. Содержание вопроса: Какое действие НЕ относится к основным принципам модели CIA (Confidentiality, Integrity, Availability)? Выберите один правильный ответ и обоснуйте свой выбор а) конфиденциальность данных; б) целостность данных; в) доступность данных; г) шифрование данных. Правильный ответ: г Обоснование: модель CIA включает три принципа информационной безопасности: конфиденциальность (защита данных от несанкционированного доступа), целостность (обеспечение достоверности и точности данных) и доступность (гарантированное предоставление данных пользователям в нужный момент) Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 2. Содержание вопроса: Чем отличается аутентификация от авторизации? Выберите один правильный ответ и обоснуйте свой выбор а) аутентификация подтверждает личность пользователя, авторизация определяет права доступа; б) авторизация подтверждает личность пользователя, аутентификация определяет права доступа; в) оба термина означают одно и то же; г) аутентификация обеспечивает доступ к данным, авторизация контролирует использование данных. Правильный ответ: а Обоснование: аутентификация — это процесс идентификации личности пользователя (подтверждение, что человек действительно тот, кем представляется). Авторизация — это определение полномочий и прав доступа пользователя к ресурсам после успешной аутентификации Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 3. Содержание вопроса: Какой тип атаки заключается в подделывании IP-адреса отправителя пакетов для сокрытия своей настоящей идентичности? Выберите один правильный ответ и обоснуйте свой выбор а) атака типа Man-in-the-Middle; б) атака DoS/DDoS; в) атака методом спуфинга (spoofing); г) атака XSS (Cross-Site Scripting). Правильный ответ: в Обоснование: Спуфинг — это атака, при которой злоумышленник маскирует настоящий IP-адрес своего компьютера поддельным адресом, чтобы скрыть свою истинную личность и источник атакующих пакетов. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 4. Содержание вопроса: Что из перечисленного не является примером средства антивирус-ной защиты? Выберите один правильный ответ и обоснуйте свой выбор а) антивирусное программное обеспечение; б) система межсетевого экрана (firewall); в) веб-фильтрация; г) криптографическая защита данных. Правильный ответ: г Обоснование: криптография служит для шифрования данных и не предназначена специально для борьбы с вирусами и вредоносным ПО. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 5. Содержание вопроса: Укажите правильное утверждение относительно угрозы DDoS (Distributed Denial of Service): Выберите один правильный ответ и обоснуйте свой выбор а) DDoS - attacks направлены на изменение содержимого веб-сайта; б) эти атаки нацелены на нарушение доступности ресурса путём перегрузки сети или сер-вера огромным количеством запросов; в) такие атаки предназначены для кражи личных данных пользователей; г) они создают ложные аккаунты для дальнейших мошеннических операций. Правильный ответ: б Обоснование: распределённая атака отказа в обслуживании направлена на подавление работоспособности сервиса или сети путём отправки огромного количества запросов одно-временно с множества источников Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 6. Содержание вопроса: Какие существуют два вида криптографии? Правильный ответ: симметричная криптография, ассиметричная криптография. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 7. Содержание вопроса: Определите понятие «Фишинг» Правильный ответ: рассылка электронных писем якобы от доверенных организаций с просьбой ввести личные данные. Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 8. Содержание вопроса: Определите понятие «Сбор открытой информации о жертве для последующего убеждения или введения в заблуждение» Правильный ответ: преследование 9. Содержание вопроса: Определите понятие «кража идентификационных данных» Правильный ответ: получение персональных данных жертвы путём притворства Ответ студента может быть написан в собственной трактовке, эквивалентной по смыслу приведенному правильному ответу 10. Содержание вопроса: Определите понятие «претекстинг» Правильный ответ: создание искусственной ситуации для вытягивания нужной информации Критерии оценивания: Тест состоит из вопросов закрытого типа с выбором одного ответа/ выбором нескольких ответов, вопросов открытого типа. В вопросах с выбором одного ответа / нескольких ответов, студент либо выбирает правильный ответ и получает 1 балл, либо выбирает не правильный ответ и получает 0 баллов. Оценка «отлично» (85-100 баллов) - Ставится студенту, если он выполняет работу полностью, в логических рассуждениях и обосновании решения нет пробелов и ошибок, четко излагает свои мысли на поставленные вопросы, умеет тесно связывать теорию с практикой, правильно обосновывает принятое решение, в котором нет правовых ошибок (возможна одна неточность, описка, не являющаяся следствием незнания или непонимания учебного материала). Оценка «хорошо» (70-84 баллов) - Ставится студенту, если он выполняет работу полностью, правильно применяет теоретические положения при решении практических вопросов и задач, владеет необходимыми навыками и приемами их выполнения, однако, была допущена одна ошибка или два-три недочета в решении задачи (если эти виды работы не являлись специальным объектом проверки). Оценка «удовлетворительно» (50-69 баллов) - Ставится студенту, если он имеет знания только основного материала, но не усваивает его деталей, допускает неточности, недостаточно правильные формулировки, нарушения логической последовательности в изложении материала, испытывает затруднения при выполнении практических работ, однако, были допущены несколько ошибок (более двух-трех). Оценка «неудовлетворительно» (0-49 баллов) - Ставится студенту, который не выполняет самостоятельную работу (как в полном объеме, так и частично), допускает большое количество ошибок при решении задач и в ответе на поставленные вопросы. |
| 6.1. Рекомендуемая литература | ||||
| 6.1.1. Основная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л1.1 | Чернова, Е.В. | Информационная безопасность человека: учебное пособие для вузов | Юрайт, 2021 | urait.ru |
| 6.1.2. Дополнительная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л2.1 | Ищейнов В.Я. | Информационная безопасность и защита информации: теория и практика: учебное пособие | Москва ; Берлин : Директ-Медиа, 2020 | biblioclub.ru |
| 6.2. Перечень ресурсов информационно-телекоммуникационной сети "Интернет" | ||||
| Название | Эл. адрес | |||
| Э1 | Безопасность информационных систем | www.intuit.ru | ||
| Э2 | SecurityLab.ru | www.securitylab.ru | ||
| Э3 | ЦИБ - Центр информационной безопасности | www.secret-net.ru | ||
| Э4 | АРСИБ | aciso.ru | ||
| Э5 | Оператор персональных данных — Онлайн-сервис подготовки документов Safe-doc | safe-doc.com | ||
| Э6 | Курс в Moodle "Информационная безопасность" | portal.edu.asu.ru | ||
| 6.3. Перечень программного обеспечения | ||||
| Oracle VirtualBox; GNU/Linux (любой, общего назначения, с поддержкой репозитория); Kali Linux; стандартный набор утилит Linux; lsof; tcpdump; nmap; zenmap; NmapSI4; hydra; Sparta; IBM Security AppScan Standart; Apache; MariaDB; phpMyAdmin; iptables; Shorewall; md5sum; sha1sum; shasum; GnuPG; Libre Office. Microsoft Windows 7-Zip AcrobatReader | ||||
| 6.4. Перечень информационных справочных систем | ||||
| Гарант, Консультант+. | ||||
| Аудитория | Назначение | Оборудование |
|---|---|---|
| № 204 (филиал в г. Бийске) | лаборатория информационно-коммуникационных систем – учебная аудитория для проведения занятий всех видов (дисциплинарной, междисциплинарной и модульной подготовки), групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации/ | Учебная мебель; рабочее место преподавателя; компьютеры; доска меловая; кафедра; стенд/ |
| На лекциях преподаватель знакомит слушателей с основными понятиями и положениями по текущей теме. На лекциях слушатель получает только основной объём информации по теме. Только посещение лекций является недостаточным для подготовки к лабораторным занятиям и экзамену. Требуется также самостоятельная работа по изучению основной и дополнительной литературы и закрепление полученных на лабораторных занятиях навыков. Практические задания по темам выполняются на лабораторных занятиях в компьютерном классе. Если лабораторные занятия пропущены (по уважительной или неуважительной причине), то соответствующие задания необходимо выполнить самостоятельно и представить результаты преподавателю на очередном занятии, консультации или через образовательный портал. Самостоятельная работа студентов – способ активного, целенаправленного приобретения студентом новых для него знаний, умений и навыков без непосредственного участия в этом процессе преподавателя. Качество получаемых студентом знаний напрямую зависит от качества и количества необходимого доступного материала, а также от желания (мотивации) студента их получить. При обучении осуществляется целенаправленный процесс взаимодействия студента и преподавателя для формирования знаний, умений и навыков. Все необходимые методические материалы размещены на образовательном портале АлтГУ https://portal.edu.asu.ru/course/view.php?id=2488 |