- •Лекция 1. Определение информационной безопасности
- •Угрозы безопасности компьютерных систем
- •Три подхода к информационной безопасности
- •Контрольные вопросы
- •Лекция 2. Нормативный подход. Классические стандарты информационной безопасности
- •Роль стандартов информационной безопасности
- •Контрольные вопросы
- •Лекция 3. Единые критерии безопасности информационных технологий (гост р исо 15408)
- •Контрольные вопросы
- •Лекция 4. Теоретический подход. Модель харрисона-руззо-ульмана
- •Контрольные вопросы
- •Лекция 5. Модель распространения прав доступа take-grant
- •Контрольные вопросы
- •Лекция 6. Модели компьютерных систем с мандатным управлением доступом. Модель Белла-ЛаПадулы
- •Контрольные вопросы
- •Лекция 7. Модель систем военных сообщений
- •Контрольные вопросы
- •Лекция 8. Модели безопасности информационных потоков
- •Контрольные вопросы
- •Лекция 9. Модели компьютерных систем с ролевым управлением доступом. Базовая модель ролевого управления доступом
- •Контрольные вопросы
- •Лекция 10. Модель администрирования ролевого управления доступом. Модель мандатного ролевого управления доступом
- •Контрольные вопросы
- •Лекция 11. Субъектно-ориентированная модель изолированной программной среды
- •Контрольные вопросы
- •Лекция 12. Обеспечение целостности. Криптографические основы защиты информации
- •Понятие шифрования
- •Симметричное шифрование
- •Асимметричное шифрование
- •Хеширование
- •Электронная цифровая подпись
- •Сертификаты
- •Контрольные вопросы
- •Лекция 13. Определение безопасности информационных систем. Экспериментальный подход
- •Контрольные вопросы
- •Лекция 14. Оценка рисков Понятие оценки рисков
- •Определение уязвимостей
- •Определение рисков
- •Качественные методы оценки рисков
- •Количественные методы оценки рисков
- •Методы с использованием деревьев
- •Меры безопасности
- •Принятие риска
- •Методики оценки рисков
- •Контрольные вопросы
- •Лекция 15. Верификация защиты
- •Контрольные вопросы
- •Лекция 16. Представление политик безопасности
- •Контрольные вопросы
- •Лекция 17. Управление информационной безопасностью Понятие управления безопасностью
- •Iso/iec 27001 "Системы менеджмента защиты информации. Требования"
- •Iso/iec 13335-1 "Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"
- •Iso/iec 13335-3 "Методы менеджмента безопасности информационных технологий"
- •Iso 27002 "Практические правила управления информационной безопасностью"
- •Iso 18044 "Менеджмент инцидентов информационной безопасности"
- •Разработка суиб и требования к суиб
- •Контрольные вопросы
- •Учебно-методическое обеспечение дисциплины
Контрольные вопросы
-
Какие типы политик безопасности существуют?
-
Приведите пример применения аналитических методов для описания системы.
-
Каким образом проводится анализ системы при использовании объектных методов?
-
Какая иерархия правил существует в языке Ponder?
-
В чем заключаются преимущества логических методов моделирования?
Лекция 17. Управление информационной безопасностью Понятие управления безопасностью
Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.
При построении системы защиты компании должны учитывать специфику бизнеса, а не ориентироваться на достижение всех свойств информационных ресурсов. Например, для банковского сектора ключевой задачей в области информационной безопасности станет обеспечение целостности финансовой информации; для операторов связи доступности информационных ресурсов, начиная с адекватной пропускной способности каналов и заканчивая доступностью коммерческих сервисов; для государственных компаний, в свою очередь, важна конфиденциальность информации. Конечно, это не значит, что банки не заинтересованы в доступности информации или в госсекторе нет необходимости иметь целостные данные, отнюдь. Просто начинать внедрение системы безопасности надо с критически важных ее аспектов, и тогда, при правильном подходе к построению архитектуры, в конечном счете можно действительно получить надежную систему управления информационной безопасностью (СУИБ).
Для грамотного построения СУИБ уже сформированы готовые и отработанные стандарты. На сегодняшний день существует две большие группы международных стандартов для систем управления информационной безопасностью: ISO/IEC 27000 и ISO/IEC 13335.
Семейство 27000 включает в себя международные стандарты, определяющие требования к системам менеджмента защиты информации, управление рисками, метрики и измерения, а также руководство по внедрению.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.
ISO27000 |
Определения и основные принципы. Планируется унификация со стандартами COBIT и ITIL. Проект стандарта находится в разработке. |
ISO27001 |
ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы менеджмента защиты информации. Требования (BS 7799-2:2005). Выпущен в июле 2005 г. |
ISO27002 |
ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005). |
ISO27003 |
Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
ISO27004 |
Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
ISO27005 |
Управление рисками информационной безопасности (на основе BS 7799-3:2006). Выпуск запланирован на 2007 г. |
ISO27006 |
ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью |
ISO27007 |
Руководство для аудитора СУИБ (в разработке). |
ISO27011 |
Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке). |
ISO 13335 Международные стандарты безопасности информационных технологий. Эта серия включает в себя следующие 4 стандарта:
|
Так же неотъемлемой частью СУИБ является управление инцидентами ИБ. Этому вопросу посвящен нормативный документ ISO/IEC TR 18044:2004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности". Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.