книги / Управление информационной безопасностью
..pdfМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования «Пермский национальный исследовательский политехнический университет»
И.В. Капгер, А.С. Шабуров
УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Утверждено Редакционно-издательским советом университета
в качестве учебного пособия
Издательство Пермского национального исследовательского
политехнического университета
2023
1
УДК 004.056.5(075.8) К20
Рецензенты:
д-р техн. наук, профессор А.А. Южаков (Пермский национальный исследовательский политехнический университет); Государственный советник Российской Федерации I класса, заместитель генерального директора по режиму и безопасности Е.И. Саранин
(ЗАО «ИВС-СЕТИ»)
Капгер, И.В.
К20 Управление информационной безопасностью: учеб. пособие / И.В. Капгер, А.С. Шабуров. – Пермь: Изд-во Перм. нац. исслед. политехн. ун-та, 2023. – 91 с.
ISBN 978-5-398-02866-9
Изложены основные теоретические сведения по дисциплине «Управление информационной безопасностью». Приведены вопросы дляконтролязнанийпотематическимразделамдисциплины.
Предназначено для студентов, обучающихся по направлениям 10.03.01 «Информационная безопасность», 10.04.01 «Информационная безопасность» и специальности 10.05.03 «Информационная безопасность автоматизированных систем».
УДК 004.056.5(075.8)
ISBN 978-5-398-02866-9 |
♥ПНИПУ, 2023 |
2
|
ОГЛАВЛЕНИЕ |
|
Список принятых сокращений.......................................................... |
4 |
|
Введение.............................................................................................. |
5 |
|
1. |
Сущность и функции управления |
|
|
информационной безопасностью ................................................. |
7 |
2. |
Стандартизация в области управления |
|
|
информационной безопасностью ............................................... |
13 |
3. |
Разработка политики информационной |
|
|
безопасности................................................................................. |
28 |
4. |
Система управления информационной |
|
|
безопасностью.............................................................................. |
34 |
5. |
Управление рисками информационной безопасности.............. |
44 |
|
5.1. Общая характеристика управления рисками ИБ................ |
44 |
|
5.2. Оценка рисков ИБ.................................................................. |
48 |
|
5.3. Обработка рисков информационной безопасности............ |
51 |
|
5.4. Обеспечение деятельности по управлению |
|
|
рисками информационной безопасности............................. |
53 |
6. |
Управлениеинцидентами информационнойбезопасности......... |
57 |
7. |
Проверка организации деятельности |
|
|
по управлению информационной безопасностью..................... |
68 |
|
7.1. Мониторинг состояния защищенности информации......... |
68 |
|
7.2. Самооценка организации управления ИБ ........................... |
70 |
|
7.3. Анализ функционирования СУИБ....................................... |
71 |
8. |
Основы аудита информационной безопасности........................ |
74 |
9. |
Организация и проведение аудита |
|
|
информационной безопасности.................................................. |
82 |
Заключение........................................................................................ |
88 |
|
Список рекомендуемой литературы............................................... |
90 |
|
|
|
3 |
СПИСОК ПРИНЯТЫХ СОКРАЩЕНИЙ
ЗИ – защита информации ИБ – информационная безопасность
ИС – информационная система ИТ – информационные технологии
НСД – несанкционированный доступ ОИБ – обеспечение информационной безопасности ПО – программное обеспечение
СТО БР ИББС – стандарт отраслевой Банка России. Информационная безопасность банковской системы
СЗИ – система защиты информации СУИБ– системауправления информационнойбезопасностью ТЗ – техническое задание
УИБ – управление информационной безопасностью
4
ВВЕДЕНИЕ
Подготовка специалистов по защите информации к деятельности по управлению информационной безопасностью является одной из актуальных задач обучения. Современный специалист должен быть готов к самостоятельному решению сложных и комплексных проблем, связанных с разработкой, внедрением и поддержанием в работоспособном состоянии систем управления информационной безопасностью наразличных объектахинформатизации.
Целью изучения дисциплины «Управление информационной безопасностью» является развитие у студентов профессионально значимых компетенций, необходимых для организации различных процессов управления в области обеспечения информационной безопасности.
Учебное пособие готовит будущих специалистов к самостоятельному решению задач, связанных с созданием, внедрением и поддержанием в эксплуатации системы управления информационной безопасностью.
В результате изучения дисциплины обучаемый должен:
знать:
−цели и задачиуправленияинформационнойбезопасностью;
−стандарты систем и процессов управления информационной безопасностью;
−порядок и принципы формирования политики информационной безопасности;
−основные методы управления информационной безопасностью;
−порядок оценки рисков нарушения информационной безопасности;
−методы обработки рисков информационной безопасности;
−методику управления инцидентами в сфере информационной безопасности;
−сущность аудита информационной безопасности;
5
−порядок организации проверки и оценки деятельности по управлению информационной безопасностью;
−порядок организации и проведения аудита информационной безопасности;
уметь:
−разрабатывать частные политики информационной безопасности;
−оценивать информационные риски;
−разрабатывать предложения по совершенствованию системы управления информационной безопасностью;
−организовывать аудит информационной безопасности на основе действующих международных и отечественных стандартов по защите информации;
владеть:
−методами управления информационной безопасностью;
−методами оценки информационных рисков.
В предлагаемом учебном пособии в краткой форме излагаются основные теоретические сведения о направлениях деятельности по управлению информационной безопасностью, связанных с разработкой политик информационной безопасности, внедрением системы управления информационной безопасностью, организацией управления рисками, инцидентами информационной безопасности, а также с аудиторской деятельностью в области управления информационной безопасностью.
Учебное пособие разработано для обучающихся по направлению «Информационная безопасность», специальности «Информационная безопасность автоматизированных систем», может быть использовано для теоретической подготовки к групповым занятиям студентов, а также для реализации программ дополнительного профессионального образования.
6
1. СУЩНОСТЬ И ФУНКЦИИ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Традиционно под информационной безопасностью понима-
ется состояние защищенности инфраструктуры, информационных активов, бизнес-процессов от внутренних и внешних угроз. При этом достижение данного состояния требует целенаправленных управляющих воздействий по эффективному применению методов и средств защиты информации.
Управление – совокупность процессов, обеспечивающих поддержание заданного состояния системы и перевод ее в новое, более выгодное состояние путем разработки и реализации целенаправленных воздействий.
Управление предполагает целенаправленное воздействие на систему защиты информации с учетом всего комплекса системных свойств.
Система (от греч. sýstēma – «целое, составленное из частей») – множество взаимосвязанных и взаимодействующих элементов, обладающих свойствами:
−целостности;
−синергичности;
−иерархичности.
Процесс воздействия на систему защиты информации должен основываться на системном подходе, предполагающем исследование объекта как системы с разных сторон, комплексно, в совокупности отношений и связей между его элементами.
Основная задача применения системного подхода заключается в разработке методов исследования и конструирования сложных систем разнообразных типов и классов на основе изучения объективных закономерностей их развития и процессов, протекающих в них.
Процесс (от лат. processus – «продвижение») – совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы и требующая для этого опреде-
7
ленных ресурсов и управляющих воздействий. Назначение процесса – создание основных продуктов деятельности организации; результат – основной продукт и/или полуфабрикат для его изготовления для промежуточных процессов.
Процессы можно разделить на два вида:
−основные (обеспечивают результат деятельности);
−вспомогательные (обеспечивают функционирование основных процессов).
Обеспечение ИБ является одним из вспомогательных процессов, оказывающих значительное влияние на все другие, в том числе и основные, бизнес-процессы.
Под бизнес-процессом понимается множество упорядоченных во времени, логически связанных, объединенных общим замыслом видов деятельности, направленных на достижение общей конечной цели в рамках единой политики, направленной на выполнение функции системы и получение прибыли [1].
Процессный подход предполагает рассмотрение в едином замысле реализующихся на предприятии (в организации) бизнеспроцессов и, особенно, взаимодействия таких процессов.
Выработка управляющих воздействий включает в себя:
−сбор информации;
−передачу и обработку необходимой информации;
−принятие решений, включающее определение управляющих воздействий.
Управляющее воздействие – воздействие субъекта управления (СУ) на объект управления (ОУ), направленное на достижение цели управления, результат управляющего воздействия – управленческое решение (рис. 1).
К основным функциям управления относятся:
1.Планирование, предполагающее выбор целей и сроков их достижения.
2.Распределение выполнения задач плана между отдельными подразделениями или работниками и определение порядка взаимодействия между ними.
8
3.Руководство – организация управляющих воздействий для достижения поставленных целей.
4.Контроль – проверка соответствия планов реально достигнутым результатам.
Рис. 1. Структура процесса управления
Подобные функции должны реализовываться циклично с учетомпереходана более совершенныйуровеньразвития системы.
Цикл Деминга – Шухарта (PDCA) – процесс принятия ре-
шений, который используется в управлении качеством (рис. 2).
Рис. 2. Цикл Деминга – Шухарта (PDCA)
9
Интерпретация цикла PDCA для процесса управления информационной безопасностью предполагает, что на каждом этапе процесса реализуются необходимые функции для обеспечения информационной безопасности.
Рис. 3. Модель управления информационной безопасностью (Деминга – Шухарта)
Реализация модели управления информационной безопасностью предполагает разработку и внедрение необходимой для этой цели системы управления.
Система управления – систематизированный набор средств сбора сведений о подконтрольном объекте и средств воздействия на его поведение, необходимых длядостижения определенныхцелей.
Реализация системы управления ИБ предполагает соблюдение основных принципов управления:
–единства политики и экономики;
–научности;
–системности и комплексности;
–пропорциональности в управлении;
–обратной связи;
–эффективности;
10