- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
6.4. Обслуживание систем
Цель. Обеспечить целостность и доступность информационных сервисов.
Часть 1. Поддерживать целостность и доступность сервисов позволяет выполнение некоторых служебных процедур. Должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования.
Часть 2. Аудиторам необходимо убедиться, что процедуры резервного копирования соответствуют требованиям организации, операторы ведут протоколы всех производимых операций, неисправности регистрируются и принимаются меры по их устранению.
6.5. Сетевое администрирование
Цель. Обеспечить защиту информации в сетях.
Часть 1. Управление безопасностью сетей, отдельные сегменты которых находятся за пределами организации, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут понадобиться специальные меры.
Часть 2. Аудиторы должны проверить защитные меры, применяемые в организации.
6.6. Защита носителей информации
Цель. Предотвратить повреждение информационных ресурсов и перебои в работе организации.
Часть 1. Необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определить процедуры для защиты носителей информации (магнитных лент, дисков, кассет), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа.
Часть 2. Аудиторы должны проверить установленные процедуры контроля, режим хранения носителей информации.
6.7. Обмен данными и программным обеспечением
Цель. Предотвратить потери, модификацию и несанкционированное использование данных.
Часть 1. Обмены данными и программами между организациями необходимо осуществлять на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты.
Часть 2. Аудиторам надлежит проверить существующие меры защиты электронного обмена данными и меры ИБ внутреннего электронного документооборота.
Раздел 7. Управление доступом
7.1. Управление доступом к служебной информации
Цель. Обеспечить контроль доступа к информации.
Часть 1. В организации должны быть установлены правила распространения информации и разграничения доступа. Доступ к сервисам и данным в системе необходимо контролировать в соответствии с требованиями организации.
Часть 2. Аудиторам следует проверить соответствие установленных правил доступа к информации существующей производственной необходимости.
7.2 Управление доступом пользователей
Цель. Предотвратить несанкционированный доступ к информационной системе.
Часть 1. Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры. Эти процедуры должны включать все стадии жизненного цикла управления доступом пользователей - от начальной регистрации до удаления учетных записей пользователей, для которых доступ закрывается. Особое внимание следует уделить процессу предоставления прав суперпользователя, позволяющих обойти средства системного контроля.
Часть 2. Аудиторы должны проверить формальные процедуры регистрации и соответствие фактического положения вещей установленным процедурам. Необходимо проконтролировать предоставление особых привилегий.