- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Стандарты, которые помогут на этапе анализа
NIST SP 800-61, Руководство по обработке инцидентов компьютерной безопасности
NIST SP 800-37, Руководство по сертификации и аккредитации безопасности Федеральных информационных систем
NIST SP 800-53, Рекомендованные средства управления безопасностью для Федеральных информационных систем (фактически, это другой стандарт СМИБ, содержащий удобную таблицу, показывающую связь описанных в нем средств управления с аналогичными средствами управления, описанными в других стандартах, таких как ISO 27002:2005)
NIST SP 800-26, Инструкция по проведению аудита безопасности Федеральных информационных систем Правительственным подразделением аудита
Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
ISO/IEC 27001:2005, Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования
ISO/IEC 27002:2005, Информационные технологии – Методы защиты – Свод правил по менеджменту информационной безопасности
NIST SP 800-37, Руководство по сертификации и аккредитации безопасности Федеральных информационных систем
ISO 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента (схема оценки уполномоченными лицами, основанная на общепринятом международном стандарте).
Лабораторный практикум лабораторная работа № 1
Название работы
Организация консалтинговой компании
Цель
Познакомиться на практике с организационной структурой компании по проведению аудиту информационной безопасности предприятия.
Программно-аппаратные средства
Компьютерная лаборатория, стандартные средства Microsoft Office.
Понятийный аппарат
Консалтинг — деятельность по консультированию производителей, продавцов, покупателей по широкому кругу вопросов в сфере технологической, технической, экспертной деятельности. Цель консалтинга — помочь менеджменту в достижении заявленных целей[16]. Консалтинговые компании специализируются по отдельным направлениям деятельности (например, финансовом, организационном, стратегическом)
Основная задача консалтинга заключается в анализе, обосновании перспектив развития и использования научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента. Иными словами, консалтинг - это любая помощь, оказываемая внешними консультантами, в решении той или иной проблемы.
Информационная безопасность (ИБ) некоторой ИС – это уровень ее защищенности от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также от попыток хищения, изменения или разрушения их компонентов.
Система защиты информации (СЗИ) – это система, обеспечивающая информационную безопасность некоторой ИС.
Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности некоторой информационной системы, в соответствии с определенными критериями и показателями безопасности.
Конфиденциальность (Confidentiality of Information) – это свойство информации быть известной только допущенным пользователям ИС.
Целостность (Integrity of Information) – это свойство информации быть неизменной в семантическом отношении.
Доступность (Availability of Information) – это свойство информации быть свободной на доступ в определенный момент времени.
Доступ к информации (Access to Information) – возможность ознакомления с информацией, ее обработка. Например, чтение, копирование, модификация или уничтожение информации.
Целостность, конфиденциальность и доступность ресурсов ИС вполне возможно измерять, например, на качественных шкалах, привлекая экспертов.