- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
8.1. Требования к иб систем
Цель. Обеспечить встраивание средств защиты в информационные системы.
Часть 1. Требования к безопасности должны быть сформулированы и согласованы до разработки информационных систем. Средства защиты оказываются более дешевыми и эффективными, если их встроить на стадиях задания требований и проектирования. Все требования к безопасности, включая необходимость перехода на аварийный режим для продолжения обработки информации, следует определить на стадии формирования требований к проекту, обосновать, согласовать и документировать в рамках общего плана работ по созданию информационной системы.
Часть 2. Аудиторы должны убедиться, что на стадии проектирования был проведен анализ вопросов безопасности.
8.2. Средства обеспечения иб в прикладных системах
Цель. Предотвратить потерю, модификацию и несанкционированное использование данных в прикладных системах. При проектировании прикладных систем необходимо встроить в них надлежащие средства управления безопасностью, в том числе средства протоколирования и аудита.
Часть 1. Проектирование и эксплуатация систем должны соответствовать стандартам базового уровня защищенности.
Системы, которые поддерживают исключительно уязвимые, ценные или критически важные информационные ресурсы организации или оказывают на них влияние, могут потребовать принятия дополнительных мер противодействия. Такие меры следует определить исходя из рекомендаций специалиста по безопасности с учетом идентифицированных угроз и возможных последствий их реализации.
Часть 2. Аудиторам надлежит убедиться, что обеспечивается базовый уровень защищенности при вводе данных, информация большой степени секретности шифруется, используются механизмы проверки подлинности сообщений.
8.3. Защита файлов
Цель. Обеспечить информационную безопасность при разработке и поддержке информационных систем.
Часть 1. Доступ к системным файлам необходимо контролировать. Поддержание целостности прикладных систем должно быть обязанностью пользователя или группы разработки, которой принадлежит данная прикладная система или программное обеспечение.
Часть 2. Аудиторам следует выяснить, как устанавливаются и тестируются новые версии, регистрируются изменения, хранятся рабочие версии ПО.
8.4. Безопасность в среде разработки и эксплуатационной среде
Цель. Обеспечить информационную безопасность прикладного ПО и данных.
Часть 1. Среду разработки и эксплуатационную среду необходимо жестко контролировать. Администраторы, отвечающие за прикладные системы, должны анализировать изменения, которые предлагаются для внесения в системы, чтобы убедиться, что они не нарушат безопасность среды разработки или эксплуатационной среды.
Часть 2. Аудиторам надо проверить наличие процедур контроля на всех этапах жизненного цикла.
Раздел 9. Планирование бесперебойной работы организации
9.1. Вопросы планирования бесперебойной работы организации
Цель. Составить планы предотвращения перебоев в работе организации.
Часть 1. Для защиты критически важных производственных процессов от последствий крупных аварий и катастроф требуются планы обеспечения бесперебойной работы организации. Должен существовать процесс разработки и реализации планов быстрого восстановления критически важных производственных процессов и сервисов. В процесс планирования бесперебойной работы необходимо включать меры по идентификации и уменьшению рисков, ликвидации последствий реализации угроз и быстрому восстановлению основных производственных процессов и сервисов.
Часть 2. Аудиторам следует проверить общие принципы имеющихся планов обеспечения бесперебойной работы организации и практику их реализации.
Раздел 10. Проверка системы на соответствие требованиям ИБ