Юридический адрес: , Москва, Зеленоград, проезд 4806, дом 5. Телефон: (499) Е-mail: Кафедра «Информационная безопасность» Московский Институт Электронной Техники Национальный исследовательский университет «МИЭТ» Кафедра «Информационная безопасность»
«Разработка методик использования инновационных технологий обучения, активных и интерактивных форм проведения занятий» Междисциплинарная деловая игра – как метод формирования профессиональных компетенций по направлению магисторской подготовки «Информационная безопасность» и программе подготовки «Аудит информационной безопасности автоматизированных систем» Зав. кафедрой ИБ, д.т.н., профессор Хорев А.А. Национальный исследовательский университет «МИЭТ» Отчет научно-исследовательской работе
Деловая игра является завершающей дисциплиной профессионального цикла дисциплин магистерской подготовки по направлению подготовки «Информационная безопасность» и программе под- отовки «Аудит информационной безопасности автоматизированных систем». Дисциплина входит в вариативную часть цикла дис- циплин (код М.2.6) основной общеобразовательной программы и читается на 6 курсе в 12-м семестре. Национальный исследовательский университет «МИЭТ» Роль и место деловой игры в ООП
формирование профессиональных компетенций по направлению магисторской подготовки «Информационная безопасность» и программе подготовки «Аудит информационной безопасности автоматизированных систем»; оценка уровня сформированности профессиональных компетенций. Национальный исследовательский университет «МИЭТ» Цели деловой игры:
способен проводить экспериментальные исследования защищенности объектов с применением современных математических методов, технических и программных средств обработки результатов эксперимента (ПК – 9); способен организовать работу коллектива исполнителей, принимать управленческие решения в условиях спектра мнений, определять порядок выполнения работ (ПК – 13); Национальный исследовательский университет «МИЭТ» Формируемые компетенции ( результат учебной деятельности ):
Национальный исследовательский университет «МИЭТ» Формируемые компетенции ( результат учебной деятельности) : способен проводить экспертный анализ уровня защищенности автоматизированных систем обработки информации ограниченного доступа (АС) от угроз безопасности информации (ИБ) и оценку соответствия АС международным и отечественным стандартам и нормативно- методическим документам ФСБ России и ФСТЭК России в области информационной безопасности и защиты информации (ПКДВ -1); способен разрабатывать модели угроз ИБ, проводить анализ рисков угроз ИБ, разрабатывать документы политики ИБ (ПКДВ -2); способен разрабатывать программы и методики аттестационных испытаний по оценке защищенности информации от утечки по техническим каналам и несанкционированного доступа к информации, проводить аттестационные испытания с использованием технических и программных средств, оформлять заключения по результатам аттестационных испытаний (ПКДВ -3).
Знать: порядок организации работы коллектива исполнителей по подготовке объекта информатизации к аттестации по требованиям безопасности информации; порядок взаимодействия сотрудников объекта информатизации, подлежащего аттестации и членов экспертной группы в процессе проведения аттестации; порядок взаимодействия сотрудников объекта информатизации, получивших аттестат соответствия и представителей контролирующих (проверяющих) органов во время проведения всех видов проверок; порядок подготовки и проведения экспертного аудита информационной безопасности автоматизированной информационной системы на соответствие требованиям национальных стандартов. Национальный исследовательский университет «МИЭТ» В результате подготовки и проведения деловой игры студент должен:
Уметь: организовать работу коллектива по подготовке объекта информатизации к аттестации по требованиям безопасности информации и аудиту информационной безопасности на соответствие национальных стандартов; проводить аттестацию объектов информатизации по требованиям безопасности информации; оформлять заключения по результатам аттестационных испытаний; проводить экспертный аудит информационной безопасности автоматизированной информационной системы; оформлять необходимые документы по результатам аудита информационной безопасности. Национальный исследовательский университет «МИЭТ» В результате подготовки и проведения деловой игры студент должен:
Владеть навыками: работы с нормативно-методической документацией и руководящими документами ФСТЭК России по вопросам аттестации объектов информатизации; работы с основными национальными стандартами в области информационной безопасности; применения контрольно-измерительных и программно- аппаратных средств, необходимых для проведения аттестации объекта информатизации по требованиям безопасности информации и программных средств для проведения комплексного аудита информационной безопасности на соответствие требований нормативно-методических документов ФСТЭК России. Национальный исследовательский университет «МИЭТ» В результате подготовки и проведения деловой игры студент должен:
1. Целевая установка. 2. Игровая модель. 3. Участники игры. 4. Ролевые функции. 5. График проведения игры. 6. Правила игры. 7. Система оценивания. Национальный исследовательский университет «МИЭТ» Структура замысла деловой игры:
Игровая модель – комбинированная, сочетающая следующие виды: Ролевая игра – каждый участник имеет пределенное задание и определенную роль, которую он должен исполнить в соответствии с заданием; Групповые дискуссии – связаны с отработкой проведения совещаний или приобретением навыков групповой работы. Имитационные – имеют цель создать у участников представление, как следовало бы действовать в определенных условиях. Национальный исследовательский университет «МИЭТ» Игровая модель (методология проведения)
Модуль 1. Экспертный аудит автоматизированной информационной системы обработки конфиденциальной информации на соответствие требованиям нормативных документов ФСТЭК России (36 учебных часов, из них аудиторных - 16). Модуль 2. Аттестация объекта информатизации по требованиям безопасности информации. (36 учебных часов, из них аудиторных - 16). Национальный исследовательский университет «МИЭТ» Содержание деловой игры
Экспертный аудит автоматизированной информационной системы обработки конфиденциальной информации на соответствие требованиям нормативных документов ФСТЭК России. Национальный исследовательский университет «МИЭТ» Содержание деловой игры. Модуль 1.
Группа 1 - сотрудники организации «ООО «Интелектуальные системы» - заказчика аудита информационной безопасности АИС (Заказчик): - начальник отдела защиты информации 1; - специалист по защите информации – ; - инженер по защите информации – Группа 2 - сотрудники консалтинговой компания «Аудит-СП», привлекаемой для проведения аудита информационной безопасности АИС (Исполнитель): - начальник отдела аудита информационной безопасности 1; -специалист по защите информации (аудитор) Руководителями компаний Заказчика и Исполнителя выступает преподаватель. При меньшем количестве студентов в группе, ряд должностных обязанностей могут быть совмещены. Национальный исследовательский университет «МИЭТ» Участники игры:
Руководителем игры является преподаватель кафедры ИБ. Руководитель: определяет цели игры, назначает студентов на должности по представлению руководителей групп, определяет длительность подготовительного процесса и сроки, место и длительность процесса проведения деловой игры, контролирует работу групп, консультирует участников игры, заслушивает выступающих, обеспечивает четкое выполнение правил игры, анализирует и обсуждает с участниками результаты игры. Руководитель также оценивает деятельность каждой группы и каждого отдельного участника игры. Национальный исследовательский университет «МИЭТ» Ролевые функции. Руководитель игры
1. Начальник отдела защиты информации – общая организация работы группы, распределение обязанностей, разработка ТЗ на проведение аудита АИС, контроль качества отработки практических задач, подведение итогов работы группы на каждом этапе. 2. Специалист по защите информации (1 человек) - отвечает за организационно- правовую защиту информации в организации. 3. Специалист по защите информации (1 - 2 человека) – выполняет работы по разработке документов политики безопасности. 4. Специалист по защите информации (1 человек) – выполняет функции администратора АС. 5. Специалист по защите информации (1 человек) – выполняет функции администратора по безопасности АС. 6. Специалист по защите информации (1 человек) – отвечает за антивирусную защиту АС. 7. Специалист по защите информации (1 человек) - выполняет работы по физической защите объектов в организации. При меньшем количестве студентов в группе, ряд должностных обязанностей могут быть совмещены. Национальный исследовательский университет «МИЭТ» Ролевые функции. Группа Заказчика
1. Начальник отдела аудита информационной безопасности – общая организация работы группы, распределение обязанностей, разработка программы и методики аудита ИАС, контроль качества отработки практических задач, подведение итогов работы группы на каждом этапе. 2. Специалист по защите информации (1 человек) – отвечает за организационно-правовую сторону аудита, проводит опрос сотрудников проверяемой организации и их обработку. 3. Специалист по защите информации (1 - 2 человека) - выполняет проверку организационно-распорядительных документов по информационной безопасности в организации. 4. Специалист по защите информации (1 человека) – проводит оценку угроз информационной безопасности АС. 5. Специалист по защите информации (1 человек) – проводит контроль защищенности АС от несанкционированного доступа. При меньшем количестве студентов в группе, ряд должностных обязанностей могут быть совмещены. Национальный исследовательский университет «МИЭТ» Ролевые функции. Группа Исполнителя
1.Время проведения игры – 4 недели. 2.Количество учебных часов – 36 ч. 3.Количество аудиторных занятий (ПЗ) – 16 ч. (4 занятия по 4 часа) 4.Самостоятельные занятия – 20 ч. Национальный исследовательский университет «МИЭТ» График проведения игры
Руководители групп несут полную ответственность за организацию работы своей группы. На этапе подготовки и выполнения работ по подготовке и проведению аудита АИС не допускается обмен информацией по результатам проведенных работ в подгруппе между Исполнителем и Заказчиком до проведения практических аудиторных занятий в виде совместных совещаний. Все отчетные документы подписываются руководителем группы и утверждаются руководителем компании – т.е. одним из руководителем занятия. Национальный исследовательский университет «МИЭТ» Правила игры
ПЗ 1 Организация работ по подготовке к проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. ПЗ 2 Анализ результатов самообследования АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Национальный исследовательский университет «МИЭТ» Темы практических занятий
ПЗ 3 Организация работ по проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Сопровождение аудита АИС. ПЗ 4 Подготовка аудиторского заключения по результатам аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России. Национальный исследовательский университет «МИЭТ» Темы практических занятий
По каждой теме игра состоит из двух этапов. Первый этап – подготовительный. Он проводится в часы самоподготовки. В рамках этого этапа происходит доведение целей и задач игры, замысла игры, распределение студентов по группам и должностям, назначение руководителя групп на каждом этапе игры, постановка задач на каждый этап, а также практическое выполнение поставленных задач. Второй этап игры – игровой. Он проводится в часы аудиторных занятий. Аудиторные занятия проводятся в виде совместных заседаний групп, на которых проводится заслушивание докладов должностных лиц по выполненным работам и их обсуждение. Национальный исследовательский университет «МИЭТ» Порядок подготовки и проведения практических занятий
Национальный исследовательский университет «МИЭТ» Алгоритм проведения деловой игры Учебная неделя 1234 Модуль дисциплиныМодуль 1 Тема 1. Организация работ по подготовке к проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Х Подготовительный этап - проводится в часы самостоятельной работыСР (5 ч) Игровой этап (точка интерактивного взаимодействия студентов и преподавателя) - проводится в часы аудиторных занятий в виде совместных заседаний групп. ПЗ 1 (4 ч) Тема 2. Самообследования АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Х Подготовительный этап - проводится в часы самостоятельной работыСР (5 ч) Игровой этап (точка интерактивного взаимодействия студентов и преподавателя) - проводится в часы аудиторных занятий в виде совместных заседаний групп ПЗ 2 (4 ч) Тема 3. Организация работ по проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Сопровождение аудита АИС. Х Подготовительный этап - проводится в часы самостоятельной работыСР (5 ч) Игровой этап (точка интерактивного взаимодействия студентов и преподавателя) - проводится в часы аудиторных занятий в виде совместных заседаний групп ПЗ 3 (4 ч) Тема 4. Аудиторское заключение по результатам аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России. Х Подготовительный этап - проводится в часы самостоятельной работыСР (5 ч) Игровой этап (точка интерактивного взаимодействия студентов и преподавателя) - проводится в часы аудиторных занятий в виде совместных заседаний групп ПЗ 4 (4 ч)
Вопросы, отрабатываемые в ходе самостоятельных занятий, при подгототовке к ПЗ 1: Группа Заказчика. Назначение руководителя отдела. Распределение студентов по должностям. Изучение должностных обязанностей. Постановка задач на подготовку АИС к проведению аудита ИБ. Изучение организационно-распорядительных и эксплутационных документов на АИС. Группа Исполнителя. Распределение студентов по должностям. Изучение должностных обязанностей должностей. Изучение правовых и нормативно-методических документов по проведению аудита АИС. Вопросы, отрабатываемые на ПЗ 1: Совещание на тему «Подготовка к проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России». На совещениии начальник отдела доводит обстановку и ставит задачи каждому должностному лицу на подготовку к проведению аудита АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России». Обсуждение и дискуссия по данной теме. Национальный исследовательский университет «МИЭТ» Алгоритм проведения деловой игры
Вопросы, отрабатываемые в ходе самостоятельных занятий, при подгототовке к ПЗ 2: Группа Заказчика. Проведение самообследования АИС на соответствие требований нормативных документов ФСТЭК и ФСБ России. Разработка ТЗ на проведение аудита АИС. Группа Исполнителя. Изучение правовых и НМД по проведению аудита АИС. Изучение ТЗ на проведение аудита АИС. Вопросы, отрабатываемые на ПЗ 2: Совещание на тему «Результаты самообследования АИС». На совещениии начальник отдела заслушивает должностных лиц по результатам самообследования АИС. Обсуждение и дискуссия по данной теме. Совещание на тему «Техническое задание на проведение аудита. Руководитель организации заслушивает начальника отдела по данному вопросу, утверждает ТЗ. ТЗ согласуется с Исполнителем и утверждается. Обсуждение и дискуссия по данной теме. Национальный исследовательский университет «МИЭТ» Алгоритм проведения деловой игры
Вопросы, отрабатываемые в ходе самостоятельных занятий, при подгототовке к ПЗ 3: Группа Заказчика. Участие в разработке программы и методики проведения аудита АИС. Сопровождение аудита АИС. Группа Исполнителя. Постановка задач на подготовку к проведению аудита АИС. Предварительное ознакомление с АИС. Разработка программы и методики аудита АИС, согласование их с Заказчиком. Проведение аудита АИС. Вопросы, отрабатываемые на ПЗ 3: Совещание на тему «Подготовка к проведению аудита АИС». На совещениии начальник отдела доводит обстановку и ставит задачи каждому должностному лицу на подготовку к проведению аудита АИС». Обсуждение и дискуссия по данной теме. Совещание на тему «Программа и методика проведение аудита АИС». Руководитель организации заслушивает начальника отдела по данному вопросу, утверждает программу и методику проведения аудита АИС. Обсуждение и дискуссия по данной теме. Национальный исследовательский университет «МИЭТ» Алгоритм проведения деловой игры
Вопросы, отрабатываемые в ходе самостоятельных занятий, при подгототовке к ПЗ 4: Группа Заказчика. Сопровождение аудита АИС. Группа Исполнителя. Проведение аудита АИС. Подготовка аудиторского заключения по результатам аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России. Вопросы, отрабатываемые на ПЗ 4: Совещание на тему «Результаты аудита АИС» На совещениии начальник отдела заслушивает результаты аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России. Обсуждение и дискуссия по данной теме. Совещание на тему «Аудиторское заключение по результатам аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России». Руководитель организации заслушивает начальника отдела по данному вопросу и утверждает аудиторское заключение по результатам аудита АИС на соответствие требованиям нормативных документов ФСТЭК и ФСБ России. Обсуждение и дискуссия по данной теме. Национальный исследовательский университет «МИЭТ» Алгоритм проведения деловой игры
Национальный исследовательский университет «МИЭТ» Основная литература для самостоятельного изучения 1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. 2.ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности. 3.ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. 4.ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. 5.ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. 6.ГОСТ Р Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. 7.Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
1.Концепция обеспечения информационной безопасности организации. 2.Перечень сведений конфиденциального характера, обрабатываемых АИС. 3.Список сотрудников, допущенных к обработке информации в АИС. 4.Данные по уровню подготовки кадров, обеспечивающих защиту информации. 5.Акт классификации АИС. 6.Модель угроз безопасности информации при ее обработке в АИС. 7.Журнал учета конфиденциальных документов. 8.Журнал учета носителей конфиденциальной информации. 9.Описание технологического процесса обработки информации в АИС. 10.Перечень защищаемых информационных ресурсов АИС. 11.Перечень объектов и субъектов доступа. 12.Описание реализованных правил разграничения доступа. 13.Матрица доступа в АИС. 14.Инструкция администратора АИС по обеспечению информационной безопасности. 15.Инструкция пользователя АИС по обеспечению информационной безопасности. 16.Инструкция по проведению антивирусного контроля в АИС. 17.План-схема контролируемой зоны объекта. 18.Акт самообследования АИС. 19.Техническое задание на проведение аудита ИАС. Национальный исследовательский университет «МИЭТ» Перечень документов, разрабатываемых Заказчиком
1. Программа и методика аудита информационной безопасности АИС. 2. Заключение аудиторской проверки информационной безопасности АИС. Национальный исследовательский университет «МИЭТ» Перечень документов, разрабатываемых Исполнителем
Первая оценка используется для определения успешности организации (группы) в целом и определяется качеством и полнотой выполненных мероприятий всеми сотрудниками организации. Предметом второй оценки выступают компетенции каждого участника игры, которые оцениваются качеством, полнотой и своевременностью отработки отчетных документов в рамках игры, а также грамотностью и обоснованностью принятых решений и убедительностью их представления и защиты на совещаниях. При выставлении оценки участникам групп учиваются оценки, выставленные руководителями групп, а также преподавателем. Национальный исследовательский университет «МИЭТ» Система оценивания студентов включает две оценки
Оценка каждого представляемого документа определяется по двум показателям: оценка качества выполнения документов ; оценка качества доклада и ответов на вопросы. Для выставления оценки «отлично» необходимо, чтобы оценка по первому показателю была «отлично», а по второму – не ниже «хорошо». Для выставления оценки «хорошо» необходимо, чтобы оценка по первому показателю была была не ниже «хорошо», а по второму – не ниже «удовлетворительно». Для выставления оценки «удовлетворительно» необходимо, чтобы оценка по двум показателям была была «удовлетворительно». При получении хотя бы по одному из показателей неудовлетворительной оценки общая оценка не может быть выше, чем «удовлетворительно». Оценка «неудовлетворительно» выставляется при оценке «неудовлетворительно» по первому показателю. Национальный исследовательский университет «МИЭТ» Критерии оценки качества разрабатываемых документов
п/п Наименование критерия Оценка «отлично»«хорошо»«удовлетворит.»«неудовл.» 1.Содержание документа Содержание документа полностью соответствует требования НМД Содержание документа в основном соответствует требова- ния НМД, но имеются отдельные несущест- венные замечания Содержание документа в основном соответствует требования НМД, но имеются отдельные существенные замечания Содержание документа не соотвествует соответствует требования НМД 2.Соответствие пояснительной записки, чертежей, рисунков и схем требованиям ГОСТ и ЕСКД Полностью соответствует В основном соответствует Частично соответствует Не соответствует 3.Грамотность изложения и качество оформления работы Оформлен аккуратно, имеются несущественные стилистические ошибки Оформлен в основном аккуратно, имеются несущественные стилистические и грамматические ошибки Оформлен небрежно, имеются стилистические и грамматические ошибки Оформлен небрежно, большое количество стилистических и грамматичес- ких ошибкок Национальный исследовательский университет «МИЭТ» Оценка качества разработываемого документа
п/п Наименование критерия Оценка «отлично»«хорошо»«удовлетворит.»«неудовл.» 1.Качество докладаИзложение доклада свободное и четкое. Изложение доклада в основном свободное и четкое, но частое обращение к тексту. Докладчик привязан к тексту. Качества доклада низкое. Докладчик привязан к тесту, часто сбивается. 2.Качество иллюстрацион- ного материала (слайдов) Полностью отражает содержание доклада и соответствует требованиям ГОСТ и ЕСКД В основном отражает содержание доклада и в основном соответствует требованиям ГОСТ и ЕСКД Частично отражает содержание доклада и частично соответствует требованиям ГОСТ и ЕСКД Не отражает содержание доклада и не соответствует требованиям ГОСТ и ЕСКД 3.Ответы на вопросы Ответы правильные, уверенные и полные Ответы в основном уверенные, пра- вильные и полные, однако, допущены незначительные погрешности, исправленные после дополнитель-ных вопросов Ответы в основном неуверенные, отдельные положения неправильные, однако, путем наводящих вопросов, в основном, дости- гается необходимая полнота ответов Ответы сумбур- ные, неправиль- ные, содержат принципиальные ошибки или студент не дает ответов на большенство вопросов. Национальный исследовательский университет «МИЭТ» Оценка качества доклада