- •Лекция 1. Определение информационной безопасности
- •Угрозы безопасности компьютерных систем
- •Три подхода к информационной безопасности
- •Контрольные вопросы
- •Лекция 2. Нормативный подход. Классические стандарты информационной безопасности
- •Роль стандартов информационной безопасности
- •Контрольные вопросы
- •Лекция 3. Единые критерии безопасности информационных технологий (гост р исо 15408)
- •Контрольные вопросы
- •Лекция 4. Теоретический подход. Модель харрисона-руззо-ульмана
- •Контрольные вопросы
- •Лекция 5. Модель распространения прав доступа take-grant
- •Контрольные вопросы
- •Лекция 6. Модели компьютерных систем с мандатным управлением доступом. Модель Белла-ЛаПадулы
- •Контрольные вопросы
- •Лекция 7. Модель систем военных сообщений
- •Контрольные вопросы
- •Лекция 8. Модели безопасности информационных потоков
- •Контрольные вопросы
- •Лекция 9. Модели компьютерных систем с ролевым управлением доступом. Базовая модель ролевого управления доступом
- •Контрольные вопросы
- •Лекция 10. Модель администрирования ролевого управления доступом. Модель мандатного ролевого управления доступом
- •Контрольные вопросы
- •Лекция 11. Субъектно-ориентированная модель изолированной программной среды
- •Контрольные вопросы
- •Лекция 12. Обеспечение целостности. Криптографические основы защиты информации
- •Понятие шифрования
- •Симметричное шифрование
- •Асимметричное шифрование
- •Хеширование
- •Электронная цифровая подпись
- •Сертификаты
- •Контрольные вопросы
- •Лекция 13. Определение безопасности информационных систем. Экспериментальный подход
- •Контрольные вопросы
- •Лекция 14. Оценка рисков Понятие оценки рисков
- •Определение уязвимостей
- •Определение рисков
- •Качественные методы оценки рисков
- •Количественные методы оценки рисков
- •Методы с использованием деревьев
- •Меры безопасности
- •Принятие риска
- •Методики оценки рисков
- •Контрольные вопросы
- •Лекция 15. Верификация защиты
- •Контрольные вопросы
- •Лекция 16. Представление политик безопасности
- •Контрольные вопросы
- •Лекция 17. Управление информационной безопасностью Понятие управления безопасностью
- •Iso/iec 27001 "Системы менеджмента защиты информации. Требования"
- •Iso/iec 13335-1 "Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"
- •Iso/iec 13335-3 "Методы менеджмента безопасности информационных технологий"
- •Iso 27002 "Практические правила управления информационной безопасностью"
- •Iso 18044 "Менеджмент инцидентов информационной безопасности"
- •Разработка суиб и требования к суиб
- •Контрольные вопросы
- •Учебно-методическое обеспечение дисциплины
Меры безопасности
Для успешного снижения уровня риска необходимы корректные, обоснованные и рациональные меры безопасности. Существующие и планируемые меры безопасности должны приниматься в расчет наряду со структурой системы обеспечения безопасности и ограничениями временного, финансового и прочего характера.
Показательные характеристики рисков, определенные на предыдущих этапах, должны служить основой для определения мер безопасности, направленных на защиту системы.
Полученные данные о степенях риска и уязвимостях системы указывают возможные направления защиты системы от нежелательного воздействия.
Меры безопасности могут быть применены к:
-
окружающей среде,
-
персоналу,
-
руководству,
-
аппаратному/программному обеспечению,
-
линиям связи.
Принципиальные меры по снижению риска:
-
избежать риска,
-
передать риск (страхование),
-
уменьшить степень угрозы,
-
минимизировать уязвимости,
-
снизить возможные последствия,
-
вовремя обнаружить и отразить нежелательные воздействия.
Структура информационной безопасности системы описывает, каким образом требования безопасности должны быть удовлетворены для информационной системы на уровне ее архитектуры. Данный этап особенно важен в случае разработки новой системы, или внесения значительных изменений в существующую.
Основная трудность в выборе мер безопасности достичь компромисса между интенсивностью мер безопасности, их гибкостью, ценой и трудностью внедрения. Задача данного этапа состоит в исследовании всевозможных ограничений, возникающих в зависимости от ситуации, таких как:
-
временные
-
финансовые
-
технические
-
социологические
-
природные
-
законодательные
Принятие риска
На практике невозможно создать абсолютно защищенную систему, в силу чего после применения мер безопасности и оценки снижения рисков сохранятся т.н. остаточные риски. Данные риски подразделяются на приемлемые и неприемлемые для организации. Данное подразделение устанавливается на основе рассмотрения влияния исследуемых рисков на функционирование организации. Неприемлемые риски не могу быть приняты без дальнейшего рассмотрения, которое либо установит дополнительные меры безопасности, либо переведет риски в категорию приемлемых по иным соображениям (малая вероятность, нерентабельность предотвращения, и т.д.).
Методики оценки рисков
Задача методики оценки рисков предоставить детальные инструкции для практического применения существующих стандартов в области информационной безопасности. Методика оценки рисков ставит задачу обозначить алгоритм проведения необходимых процедур, классификацию и способы представления различных типов исходных данных, промежуточных и итоговых результатов, и определить метод вычисления необходимых параметров.
На сегодняшний день разработаны методики оценки рисков информационной безопасности, как правило, снабженные программными комплексами для проведения необходимых вычислений. Основная тенденция развития подобных систем – стремление к обеспечению максимальной гибкости при минимизации временных и финансовых затрат на проведение анализа рисков.