Национальный цифровой ресурс Руконт - межотраслевая электронная библиотека (ЭБС) на базе технологии Контекстум (всего произведений: 543603)
Консорциум Контекстум Информационная технология сбора цифрового контента
Уважаемые СТУДЕНТЫ и СОТРУДНИКИ ВУЗов, использующие нашу ЭБС. Рекомендуем использовать новую версию сайта.

Управление информационными рисками. Экономически оправданная безопасность (400,00 руб.)

0   0
Первый авторПетренко С. А.
АвторыСимонов С. В.
ИздательствоМ.: ДМК Пресс
Страниц386
ID703241
АннотацияВ книге подробно рассмотрены возможные постановки задач анализа информационных рисков и управления ими при организации режима информационной безопасности в отечественных компаниях. Рассмотрена международная концепция обеспечения информационной безопасности, а также различные подходы и рекомендации по решению задач анализа рисков и управления ими. Дан обзор основных стандартов в области защиты информации и управления рисками: ISO 17799, ISO 15408, BSI, NIST, MITRE. В настоящем издании обсуждаются инструментальные средства для анализа рисков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по использованию указанных средств на практике для анализа рисков информационных систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторжений с задачей управления рисками. Предложены технологии оценки эффективности обеспечения информационной безопасности в отечественных компаниях.
Кому рекомендованоКнига будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), менеджерам высшего эшелона компаний, занимающимся оценкой информационных рисков компании и их управлением, а также студентам и аспирантам соответствующих технических специальностей.
ISBN978-5-93700-058-3
УДК004.056.5
ББК32.973.202
Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность [Электронный ресурс] / С.В. Симонов, С.А. Петренко .— 2-е изд. (эл.) .— М. : ДМК Пресс, 2018 .— 386 с. : ил. — (Информационные технологии для инженеров) .— Деривативное эл. изд. на основе печ. изд. (М.: ДМК Пресс, 2004); Электрон. текстовые дан. (1 файл pdf : 386 с.); Систем. требования: Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10" .— ISBN 978-5-93700-058-3 .— Режим доступа: https://rucont.ru/efd/703241

Предпросмотр (выдержки из произведения)

Управление_информационными_рисками._Экономически_оправданная_безопасность.pdf
УДК 004.056.5 ББК 32.973.202 П30 П30 Петренко, Сергей Анатольевич. Управление информационными рисками. Экономически оправданная безопасность [Электронный ресурс] / С. А. Петренко, С. В. Симонов. — 2-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 396 с.). — М. : ДМК Пресс, 2018. — (Информационные технологии для инженеров). — Систем. требования: Adobe Reader XI либо Adobe Digital Editions 4.5 ; экран 10". ISBN 978-5-93700-058-3 В книге подробно рассмотрены возможные постановки задач анализа информа ционных рисков и управления ими при организации режима информационной бе зопасности в отечественных компаниях. Рассмотрена международная концепция обеспечения информационной безопасности, а также различные подходы и реко мендации по решению задач анализа рисков и управления ими. Дан обзор основ ных стандартов в области защиты информации и управления рисками: ISO 17799, ISO 15408, BSI, NIST, MITRE. В настоящем издании обсуждаются инструментальные средства для анализа рис ков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по использованию указанных средств на практике для анализа рисков информационных систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторже ний с задачей управления рисками. Предложены технологии оценки эффективнос ти обеспечения информационной безопасности в отечественных компаниях. Книга будет полезна руководителям служб автоматизации (CIO) и служб ин формационной безопасности (CISO), внутренним и внешним аудиторам (CISA), менеджерам высшего эшелона компаний, занимающимся оценкой информацион ных рисков компании и их управлением, а также студентам и аспирантам соответ ствующих технических специальностей. УДК 004.056.5 ББК 32.973.202 Деривативное электронное издание на основе печатного издания: Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. — М. : ДМК Пресс, 2004. — 384 с. — ISBN 5-94074-246-7. срВ соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими убытков или выплаты компенсации.едствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения ISBN 978-5-93700-058-3 © ДМК Пресс, 2004
Стр.3
СОДЕРЖАНИЕ Предисловие...........................................................................................................................10 Глава 1 Анализ рисков в области защиты информации ............................................15 1.1. Информационная безопасность бизнеса .......................................................15 1.2. Развитие службы информационной безопасности .....................................19 1.3. Международная практика защиты информации ..........................................22 1.3.1. Модель Symantec LifeCycle Security...............................................................27 1.4. Постановка задачи анализа рисков ..................................................................30 1.4.1. Модель Gartner Group.....................................................................................30 1.4.2. Модель Carnegie Mellon University.................................................................30 1.4.3. Различные взгляды на защиту информации.................................................36 1.5. Национальные особенности защиты информации .....................................38 1.5.1. Особенности отечественных нормативных документов..........................38 1.5.2. Учет остаточных рисков....................................................................................40 Глава 2 Управление рисками и международные стандарты ...................................43 2.1. Международный стандарт ISO 17799 ..............................................................44 2.1.1. Обзор стандарта BS 7799...............................................................................44 2.1.2. Развитие стандарта ISO 17799......................................................................54 2.2. Германский стандарт BSI ........................................................................................57 2.2.1. Сравнение стандартов ISO 17799 и BSI......................................................60 2.3. Стандарт США NIST 80030 .................................................................................60 2.3.1. Алгоритм описания информационной системы..........................................62 2.3.2. Идентификация угроз и уязвимостей.............................................................63 2.3.3. Организация защиты информации...............................................................65 2.4. Ведомственные и корпоративные стандарты управления ИБ.................68 2.4.1. XBSSспецификации сервисов безопасности X/Open..............................68 2.4.2. Стандарт NASA «Безопасность информационных технологий»............73 2.4.3. Концепция управления рисками MITRE.........................................................73
Стр.4
4 Управление информационными рисками Глава 3 Технологии анализа рисков.........................................................................................75 3.1. Вопросы анализа рисков и управления ими ...................................................75 3.1.1. Идентификация рисков.....................................................................................75 3.1.2. Оценивание рисков...........................................................................................76 3.1.3. Измерение рисков.............................................................................................78 3.1.4. Выбор допустимого уровня риска..................................................................87 3.1.5. Выбор контрмер и оценка их эффективности.............................................88 3.2. Разработка корпоративной методики анализа рисков ............................91 3.2.1. Постановка задачи............................................................................................91 3.2.2. Методы оценивания информационных рисков...........................................93 3.2.3. Табличные методы оценки рисков..................................................................94 3.2.4. Методика анализа рисков Microsoft.............................................................98 Глава 4 Инструментальные средства анализа рисков ............................................ 101 4.1. Инструментарий базового уровня .................................................................. 101 4.1.1. Справочные и методические материалы..................................................102 4.1.2. COBRA...............................................................................................................103 4.1.3. RA Software Tool..............................................................................................104 4.2. Средства полного анализа рисков ................................................................. 105 4.2.1. Метод CRAMM.................................................................................................105 4.2.2. Пример использования метода CRAMM...................................................108 4.2.3. Средства компании MethodWare...............................................................117 4.2.4. Экспертная система «АванГард»................................................................120 4.2.5. RiskWatch...........................................................................................................129 Глава 5 Аудит безопасности и анализ рисков ............................................................... 135 5.1. Актуальность аудита безопасности ................................................................ 135 5.2. Основные понятия и определения ................................................................... 138 5.3. Аудит безопасности в соответствии с BS 7799, часть 2 .......................... 141 5.3.1. Сертификация и аудит: организационные аспекты................................141 5.3.2. Методика проведения аудита......................................................................142 5.3.3. Варианты аудита безопасности..................................................................143 5.3.4. Организация проведения аудита................................................................146 5.4. Аудит информационной системы: рекомендации COBIT 3rd Edition ..................................................................... 147 5.4.1. Этапы проведения аудита.............................................................................151 5.4.2. Пример аудита системы расчета зарплаты............................................. 155
Стр.5
Содержание Глава 6 Анализ защищенности информационной системы ................................. 161 6.1. Исходные данные .................................................................................................... 162 6.1.1. Анализ конфигурации средств защиты внешнего периметра ЛВС.............................................................................163 6.1.2. Методы тестирования системы защиты.....................................................164 6.2. Средства анализа защищенности ................................................................... 164 6.2.1. Спецификации Security Benchmarks............................................................166 6.2.2. Спецификация Windows 2000 Security Benchmark.................................167 6.3. Возможности сетевых сканеров ........................................................................ 169 6.3.1. Сканер Symantec NetRecon..........................................................................171 6.3.2. Сканер NESSUS...............................................................................................174 6.4. Средства контроля защищенности системного уровня ......................... 177 6.4.1. Система Symantec Enterprise Security Manager.......................................178 6.5. Перспективы развития ........................................................................................... 187 Глава 7 Обнаружение атак и управление рисками................................................... 189 7.1. Сетевые атаки ........................................................................................................... 190 7.2. Обнаружение атак как метод управления рисками ................................ 192 7.2.1. Оценка серьезности сетевой атаки...........................................................193 7.3. Ограничения межсетевых экранов .................................................................. 194 7.4. Анализ подозрительного трафика ................................................................... 195 7.4.1. Сигнатуры как основной механизм выявления атак...............................195 7.4.2. Анализ сетевого трафика и анализ контента..........................................196 7.4.3. Пример анализа подозрительного трафика............................................197 7.5. IDS как средство управления рисками ........................................................... 202 7.5.1. Типовая архитектура системы выявления атак........................................202 7.5.2.Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак.....................................................203 7.5.3. Форматы обмена данными...........................................................................204 7.5.4. CVE– тезаурус уязвимостей........................................................................204 7.5.5. CIDF.................................................................................................................... 205 7.5.6. Рабочая группа IDWG................................................................................... 206 7.6. Возможности коммерческих IDS ....................................................................... 208 7.6.1. Средства защиты информации компании Symantec..............................208 7.6.2. Symantec Intruder Alert...................................................................................208 7.6.3. Пример использования Symantec IDS........................................................214 7.7. Тенденции развития ................................................................................................ 216 5
Стр.6
6 Управление информационными рисками Приложение 1 Исследование состояния информационной безопасности в мире..................................................................................................... 217 Введение .............................................................................................................................. 217 Нарушения системы ИБ................................................................................................. 219 Вовлечение высшего руководства ............................................................................ 221 Степень вовлечения высшего руководства.......................................................... 222 Формальные критерии оценки функционирования системы ИБ ................. 224 Изменение эффективности работы системы ИБ.................................................225 Контроль и регистрация инцидентов в области ИБ ........................................... 226 Меры воздействия на нарушителей ИБ................................................................227 Программа внедрения ИБ ........................................................................................... 228 Численность персонала службы ИБ...................................................................... 228 Квалификация персонала службы ИБ................................................................... 229 Независимость службы информационной безопасности от ИТ..................... 230 Политика в области ИБ ................................................................................................. 230 Области, охваченные политикой ИБ.....................................................................233 Управление ИБ.................................................................................................................. 234 Делегирование функций ИБ внешним организациям ....................................... 234 Тестируют ли компании надежность системы ИБ?............................................. 236 Управление персоналом .............................................................................................. 237 Осведомленность в вопросах безопасности за пределами организации ..................................................................................... 238 Кампании по повышению осведомленности в вопросах ИБ........................... 239 Защита технологической инфраструктуры и обеспечение непрерывности ведения бизнеса ............................................... 239 Внедрение инфраструктуры открытых ключей (PKI)........................................... 239 Беспроводные сети.................................................................................................... 240 Защита портативных устройств.............................................................................. 241 Идентификация пользователей .............................................................................. 242 Удаленный доступ к корпоративным системам................................................... 242 Парольная защита..................................................................................................... 243 Система обнаружения вторжений (IDS)................................................................ 244 Отчетность о нарушениях........................................................................................ 245
Стр.7
Содержание Приложение 2 Международное исследование по вопросам информационной безопасности ........................................... 247 Цифры и факты .................................................................................................................. 247 Путеводитель по исследованию ................................................................................ 247 Резюме исследования .................................................................................................... 248 Насколько вы уверены в своем предприятии......................................................249 Управление безопасностью........................................................................................ 250 Результаты исследования.........................................................................................250 Что это может означать для вашего предприятия..............................................251 Что может предпринять руководство....................................................................252 Что можно сделать.....................................................................................................253 Как используется система информационной безопасности......................... 254 Результаты исследования.........................................................................................255 К каким последствиям для вашей компании это может привести...................256 Что можно сделать.....................................................................................................258 Доступность информационных технологий........................................................... 259 Выводы..........................................................................................................................259 Что это может означать для вашей компании.....................................................260 Что вы можете сделать..............................................................................................260 Что в будущем ................................................................................................................... 262 Выводы..........................................................................................................................262 Что это может означать для вашей компании.....................................................262 Что вы можете сделать..............................................................................................263 Что делать дальше ........................................................................................................... 264 Методология проведения исследования ................................................................ 265 «Эрнст энд Янг»– решение реальных проблем..................................................265 Приложение 3 Основные понятия и определения управления рисками ..................... 267 Терминология и определения в публикациях на русском языке ................... 267 Терминология и определения на английском языке (определения взяты из глоссария [334] и даются в переводе) ...................... 268 7
Стр.8
8 Управление информационными рисками Приложение 4 Каталоги угроз и контрмер IT Baseline ............................................................. 273 Каталоги угроз и контрмер, используемые в Германском стандарте IT Baseline Protection Manual ................................... 273 Каталог угроз..............................................................................................................273 Каталог контрмер......................................................................................................281 Приложение 5 Классификация ресурсов, угроз и контрмер CRAMM........................... 299 Классификация ресурсов, угроз и контрмер в методе CRAMM для профиля Commercial. Классификация физических ресурсов ..................................................................... 299 Классы угроз ...................................................................................................................... 302 Классы контрмер .............................................................................................................. 303 Приложение 6 Оценка рисков экспертными методами ........................................................... 305 Оценка субъективной вероятности .......................................................................... 305 Классификация методов получения субъективной вероятности.....................306 Методы получения субъективной вероятности...................................................307 Методы оценок непрерывных распределений .................................................... 308 Метод изменяющегося интервала.........................................................................308 Метод фиксированного интервала.......................................................................309 Графический метод....................................................................................................310 Некоторые рекомендации....................................................................................... 310 Агрегирование субъективных вероятностей ........................................................ 311 Методы теории полезности..................................................................................... 312 Необходимые сведения из теории полезности...................................................313 Применение методов теории полезности............................................................313 Классификация функций полезности по склонности к риску...........................314 Многомерные функции полезности ......................................................................... 314 Методы построения многомерных функций полезности..................................315 Метод анализа иерархий........................................................................................322 Приложение 7 Оценка затрат (TCO) на информационную безопасность ............... 323 История вопроса ............................................................................................................. 323 Западный опыт – на вооружение .............................................................................. 325 Оценка текущего уровня ТСО................................................................................ 327 Аудит ИБ компании....................................................................................................327
Стр.9
Содержание 9 Формирование целевой модели ТСО..................................................................328 Пример оценки затрат на ИБ.................................................................................328 Специфика расчета ТСО в российских условиях ............................................... 334 Примерный перечень затрат на безопасность..................................................336 Затраты на ИБ и уровень достигаемой защищенности...................................340 Доля затрат на ИБ в обороте компании..............................................................342 Определение объема затрат..................................................................................344 База измерений..........................................................................................................348 Анализ затрат на ИБ ...................................................................................................... 351 Отчет по затратам на безопасность....................................................................351 Анализ затрат.............................................................................................................353 Принятие решений.....................................................................................................355 Внедрение системы учета затрат на ИБ...............................................................356 Резюме.................................................................................................................................. 356 Заключение .......................................................................................................................... 357 Литература........................................................................................................................... 360 Предметный указатель ................................................................................................. 382
Стр.10

Облако ключевых слов *


* - вычисляется автоматически