- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Отчет по самостоятельной работе
Цель
Познакомиться с методикой оценки затрат на ЗИ с использованием весовых коэффициентов
.
Выполнил
Студент гр. № ______
ФИО ________________________________________________________
Вариант № _________
Отчет
Постановка задачи и входные данные вашего варианта.
Таблицы с результатами расчетов.
Анализ результатов решения.
Ваши выводы по текущему состоянию ИБ в организации.
Ваши рекомендации по улучшению состояния ИБ в организации.
Варианты организаций
1. Компания имеет 5 представительств, все пять в разных странах (.ua, .ru и тд). Имеет 5 представительств в каждом от 50-100 чел. Головная компания 1000 чел в России. Отдел продаж в региональное представительство, административный отдел и отдел обработки данных. Направление деятельности компании - транснациональные грузовые перевозки.
2. Компания имеет одно представительство в России, которое является компанией, купленной годом ранее, занимающееся разработкой ПО. Головная компания до 500 чел. Представительство - до 300 чел. (Разные бренды). 2 домена – 2 бренда
3. Компания имеет головной офис со штатом 300 чел. Занимается продажей сотовых телефонов. По всей России 2000-3000 представительств – магазинах, есть упр. менеджер (локальный отд. продаж) и тарифный отдел и отд. логистики.
4. Компания – 100 чел. Сфера деятельности аутсорсинг, услуги администрирования различных систем на базе Microsoft. Клиенты в большинстве стран мира. Компания обеспечивает полную поддержку инфраструктуры клиента.
5. Компания состоит из 3-х филиалов на территории РФ. ЦО в Липецке. Численность ЦО 100 чел., в филиалах 20 чел. Занимается производством и разработкой средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.
6. Компания - холдинг с центральным офисом в г. Липецке. Занимается созданием и разработкой интернет сайтов и в неё входит ещё 4 компании, находящиеся в 4 странах мира. В каждой компании до 50 человек.
Заключение
Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.
В данном пособии, проанализированы мнения многих авторов, позволяющие сделать вывод, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности. Рассмотренные в данном пособии проблемы и методы разрешения их, позволяют сформулировать следующие этапы по созданию системы защиты информации:
- анализ состава и содержания конфиденциальной информации, циркулирующей на конкретном объекте защиты;
- анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;
- оценка уязвимости информации, доступности ее для средств злоумышленника;
- исследование действующей системы защиты информации на предприятии;
- оценка затрат на разработку новой (или совершенствование действующей) системы;
- организация мер защиты информации;
- закрепление персональной ответственности за защиту информации;
- реализация новой технологии защиты информации;
- создание обстановки сознательного отношения к защите информации;
- контроль результатов разработки и прием в эксплуатацию новой системы защиты.
В пособии было выявлено, что независимо от того, насколько хорошо разработаны технические и организационные меры безопасности, они в конце концов основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Т.е., если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.
В пособии было установлено, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее действие на эффективность защиты от несанкционированного доступа.
При рассмотрении в этом пособии многих источников, можно сделать вывод, что надежная защита информации может быть обеспечена только при применении комплексных мер защиты. В целом организационные и технические меры защиты информации должны составлять единый комплекс. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.