- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Контрольные вопросы
На какой уровень защищенности ориентировано ПО реализующее методики анализа рисков?
Какие программные средства применяются для проверки уровня безопасности и аудита ИБ? Кратко охарактеризуйте их.
Охарактеризуйте программу IT Advisor for Risk Management. Какую методику оценки рисков она использует? Опишите эту методику.
По каким шкалам происходит оценивание рисков в программе IT Advisor for Risk Management? Качественным или количественным?
Каковы достоинства и недостатки программы IT Advisor for Risk Management?
Охарактеризуйте программное средство оценки рисков COBRA. В соответствии с какими стандартами она работает?
На оценивание какого уровня ИБ рассчитана программа COBRA?
Охарактеризуйте программный комплекс RiskWatch. В соответствии с какими стандартами он работает?
По каким шкалам происходит оценивание рисков в программном комплексе RiskWatch? Качественным или количественным? Каковы возможности программы?
Охарактеризуйте первую фазу работы RiskWatch.
Охарактеризуйте вторую фазу работы RiskWatch.
Охарактеризуйте третью фазу работы RiskWatch.
Охарактеризуйте четвертую фазу работы RiskWatch.
Как рассчитать показатель математического ожидания потерь за год?
Какие дополнительные показатели оценки рисков введены институтом NIST?
Как оценивается в RiskWatch эффективность управления рисками? Как оценивается количественно эффект от внедрения СЗИ?
Опишите достоинства и недостатки RiskWatch.
Задание на лабораторную работу № 4
Название работы
Инструментальные средства анализа и управления рисками. Часть 1.
Задание (не забудьте оформить отчет)
Изучить основной теоретический материал лабораторной работы.
Внести структурную схему и описание вашей ИС в отчет (Структура и описание ИС из лаб. работы №1)
Составить и внести в отчет:
Перечни типов угроз ИБ и вероятности их возникновения, на качественной шкале «высокая», «средняя», «низкая», а также укажите точную, числовую вероятность. Угрозы разбейте по категориям нарушения конфиденциальности, целостности и доступности.
Информационные ресурсы и их ценность, выраженную на количественной шкале (в деньгах) и качественной (по шкале «высокая», «средняя», «низкая»).
Оценить риски по методике предложенной Microsoft с использованием «матрицы рисков». Внесите составленные матрицы рисков для каждого элемента ИС и общую матрицу рисков для ИС в отчет.
Предложить контрмеры и обосновать эффективность их применения с использованием матрицы рисков.
Установить программу COBRA (каталог \DATA\SOFT\COBRA\), воспользовавшись ключом для demo-версии.
Запустить и ознакомиться с интерфейсом программы COBRA. При запуске выбрать модуль «Risk Consultant», затем «High Level Risk Assessment».
Создать вопросник. Для этого выберете пункт главного меню «Manual Questionnaire Build», после чего нажмите кнопку Create.
Укажите любое название вопросника. Рекомендуется в этой программе названия писать по-английски, либо транслитом.
Добавьте в вопросник блоки вопросов связанные с конфиденциальностью, целостностью или доступности, затем кнопку Exit и снова Exit.
Выберете пункт главного меню «Risk Surveyor», затем нажмите кнопку Create и выберете в появившемся окне название вашего вопросника.
Укажите идентификатор и краткое описание проводимого обзора рисков, а также подробное описание целей проводимого аудита.
Попытайтесь ответить на вопросы каждого модуля, применительно к элементам вашей ИС. Укажите имя эксперта, проводящего аудит, и дайте название проводимому обзору. Закройте все открытые окна.
После того как вы ответите на все три группы вопросов, закройте все открытые окна и создайте отчет проведенного аудита. Для этого выберете пункт меню «Report Generator» и отметьте пункты аудита, которые должны войти в отчет, шкалы – в процентах, отметках (числовой) или уровнях.
Изучите и внесите, вместе с вашими пояснениями, сгенерированный отчет по оценке доступности, конфиденциальности и целостности в отчет по лабораторной работе.
Внесите в отчет, вместе с вашими пояснениями, предложенные контрмеры по каждой из категории риска: доступности, конфиденциальности, целостности.
Внести ответы на контрольные вопросы в отчет.