- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Отчет по лабораторной работе № 4
Название работы
Инструментальные средства анализа и управления рисками.
Цель
Познакомиться на практике с программными средствами, реализующими методы базового варианта анализа рисков.
Выполнил
Студент гр. № ______
ФИО ________________________________________________________
Отчет
Структура и описание ИС.( (Структура и описание ИС из лаб. работы №1)
Перечень типов угроз нарушающих доступность элементов ИС и их вероятности:
Перечень типов угроз нарушающих конфиденциальность элементов ИС и их вероятности:
Перечень типов угроз нарушающих целостность элементов ИС и их вероятности:
Перечень ИР и элементов ИС и их стоимость на количественной шкале (в деньгах) и качественной (по шкале «высокая», «средняя», «низкая»):
Оценка рисков с использованием методики от Microsoft:
Обоснование эффективности введенных контрмер:
Отчет о проведенном аудите ИС в программе COBRA:
Предложенные контрмеры для категории риска «доступность»:
Предложенные контрмеры для категории риска «конфиденциальность»:
Предложенные контрмеры для категории риска «целостность»:
Ответы на контрольные вопросы.
Лабораторная работа № 5
Название работы
Разработка рекомендаций по информационной безопасности
Цель
Разработать рекомендации по аудиту информационной безопасности предприятия.
Программно-аппаратные средства
Компьютерная лаборатория, стандартные средства Microsoft Office.
Общие сведения
На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.
По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.
Отчет по лабораторной работе № 5
Название работы
Разработка рекомендаций по информационной безопасности
Цель
Разработать рекомендации по аудиту информационной безопасности предприятия.
Выполнил
Студент гр. № ______
ФИО ________________________________________________________
Отчет
Исходные данные о заказчике. (Из лаб. работы №1)
Составить аудиторский отчёт:
Оценка текущего уровня защищенности информационной системы:
Описание и оценка текущего уровня защищенности информационной системы;
Анализ конфигурации конфигурационной информации, найденные уязвимости;
Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
Рекомендации по технической составляющей ИБ:
по изменению конфигурации существующих сетевых устройств и серверов;
по изменению конфигурации существующих средств защиты;
по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
по использованию дополнительных средств защиты;
Рекомендации по организационной составляющей ИБ:
по разработке политики информационной безопасности;
по организации службы ИБ;
по разработке организационно-распорядительных и нормативно-технических документов;
по пересмотру ролевых функций персонала и зон ответственности;
по разработке программы осведомленности сотрудников в части информационной безопасности;
Комплексный аудит по поддержке и повышению квалификации персонала