Основы управления рисками

Лекции

Раздел 1. Стандартизация в области управления рисками ИБ. 1-2 недели (2 часа)

Тема 1. Введение
Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний.
Тема 2. Нормативная база управления рисками ИБ
Существующие стандарты и методологии по управлению рисками ИБ: их отличия, сильные и слабые стороны. История развития. ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005-2010 – управление рисками ИБ. BS 7799-3:2006 – руководство по управлению рисками ИБ.

Раздел 2. Базовые вопросы управления рисками ИБ. 3-5 недели (3 часа)

Тема 3. Основные определения
Риск ИБ.
Сущность и функции управления. Наука управления. Принципы, подходы и виды управления. Цели и задачи управления ИБ. Управление рисками ИБ.
Системный подход к управлению рисками ИБ.
Понятие системы управления. Система управления рисками ИБ (СУРИБ).
Тема 4. Процесс управления инцидентами ИБ
Понятие процесса. Методы формализации процессов. Цели и задачи формализации процессов. Основные процессы. Понятие процессного подхода.
Цели и задачи процесса управления рисками ИБ. Важность процесса управления рисками ИБ с точки зрения управления ИБ. Участники процесса. Связи с другими процессами СУИБ.
Входные/выходные данные процесса.
Процессный подход к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию систем управления (на примере СУИИБ). Обязательные этапы процесса. Планирование и подготовка процесса. Внедрение процесса. Использование СУРИБ. Анализ процесса. Улучшение процесса.
Составляющие процесса управления рисками ИБ.
Установление контекста управления рисками ИБ. Базовые критерии принятия решений по управлению рисками ИБ. Область действия и границы управления рисками ИБ. Учет требований по ОИБ при управлении рисками ИБ.

Раздел 3. Оценка рисков ИБ. 6-10 недели (5 часов)

Тема 5. Этап 1 – анализ рисков ИБ
Подэтап 1 — идентификация рисков ИБ. Шаг 1 – идентификация активов. Шаг 2– идентификация угроз ИБ. Шаг 3 – идентификация существующих средств управления рисками ИБ. Шаг 4 – идентификация уязвимостей. Шаг 5 – идентификация последствий.
Подэтап 2 — количественная оценка рисков ИБ. Шаг 1 – оценка последствий. Шаг 2 – оценка вероятностей. Шаг 3 – определение величины уровня рисков ИБ.
Тема 6. Этап 2 – оценивание рисков ИБ
Мероприятия этапа.
Тема 7. Подходы к оценке рисков ИБ
Базовый анализ рисков ИБ. Неформальный анализ рисков ИБ. Детальный анализ рисков ИБ. Комбинированный анализ рисков ИБ. Высокоуровневая оценка рисков ИБ. Детальная оценка рисков ИБ.
Общий подход к оценке рисков ИБ РС БР ИББС-2.2-2009
Тема 8. Результаты анализа рисков ИБ
Утверждение результатов анализа рисков ИБ у высшего руководства.
Использование результатов анализа рисков ИБ.

Раздел 4. Обработка, принятие, коммуникация, мониторинг и пересмотр рисков ИБ. 11-12 недели (2 часа)

Тема 9. Виды обработки рисков ИБ
Снижение риска ИБ. Сохранение риска ИБ. Избежание риска ИБ. Передача риска ИБ.
Тема 10. Другие мероприятия
Принятие рисков ИБ. Коммуникация рисков ИБ. Мониторинг и пересмотр рисков ИБ: мониторинг и пересмотр показателей риска ИБ; мониторинг, пересмотр и усовершенствование процесса управления рисками ИБ.

Раздел 5. Обеспечение управления рисками ИБ. 13-14 недели (2 часа)

Тема 11. Документальное обеспечение управления рисками ИБ
Перечень документов. Основные цели. Структура. Содержание.
Тема 12. Инструментальные средства управления рисками ИБ

Литература

  1. Серия «Вопросы управление информационной безопасностью». Часть 1: Основы управления информационной безопасностью Учебное пособие. для вузов / А.П. Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  2. Серия «Вопросы управления информационной безопасностью». Часть 2: Управление рисками информационной безопасности: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  3. Серия «Вопросы управления информационной безопасностью». Часть 4: Технические, организационные и кадровые аспекты управления информационной безопасностью: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  4. Информационная безопасность открытых систем: Учеб. для вузов / С.В.Запечников, Н.Г.Милославская, А.И.Толстой, Д.В.Ушаков В 2 томах. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая линия–Телеком, 2006. 536 с.
  5. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».
  6. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  7. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
  8. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».
  9. ISO/IEC 27005:2011 «Information technology. Security techniques. Information security risk management».
  10. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». – М.: Стандартинформ, 2011. – 51 с.
  11. BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management».
  12. Петренко С.А. Анализ рисков в области защиты информации. Информационно-методическое пособие по курсу повышения квалификации «Управление информационными рисками» С.-Пб.: ООО «Издательский дом «Афина», 2009. – 153 с.
  13. ГОСТ Р ИСО/МЭК 51897-2002 «Менеджмент риска. Термины и определения».
  14. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
  15. ISO/IEC Guide 73:2009 «Risk management. Vocabulary. Guidelines for use in standards».
  16. ISO 31000:2009 «Risk management. Principles and guidelines».
  17. ISO/IEC 31010:2009 «Risk management. Risk assessment techniques».
  18. «Risk Management Guide for Information Technology Systems» (NIST Special Publication 800-30). U.S. Government Printing Office. Washington, 2002.
  19. AS/NZS 4360:2004 «Risk management». Standards Australia International Ltd, GPO Box 5420, Sydney, NSW 2001 and Standards New Zealand, Private Bag 2439, Wellington 6020, 2004.
  20. Стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
  21. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
  22. Петренко С. Методика построения корпоративной системы защиты информации . – URL: http://www.citforum.ru/security/articles/metodika_zashity/ (дата обращения: 30 марта 2011).
  23. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. 2-е изд., испр. – М.: ИНФРА-М, 1999. – 479 с.
  24. Балдин К.В., Воробьев С.Н. Управление рисками. – М.: Юнити-Дана, 2005. – 512 с.
  25. Костогрызов А.И., Степанов П.В. Инновационное управление качеством и рисками в жизненном цикле систем. – М.: Изд-во ВПК, 2008. 404 с.
  26. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. — М: Радио Софт, 2010. — 232 с.
  27. Емельянов А.А. Имитационное моделирование в управлении рисками / Монография. – Санкт-Петербург: Инжэкон, 2000. – 376 с.
  28. Закис А. Как внедрить управление рисками // “Intelligent Enterprise”. №13-14. 2003.
  29. Астахов А. Искусство управления информационными рисками. М.: ДМК Пресс, 2010. – 312 с.

Дополнительная литература

  1. ISO/IEC 13335-3:1998 «Information technology. Guidelines for the management of IT Security. Part 3: Techniques for the management of IT Security».
  2. ISO/IEC 13335-4:2000 «Information technology. Guidelines for the management of IT Security. Part 4: Selection of safeguards».
  3. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий». – М.: Стандартинформ, 2007. – 49 с.
  4. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер».
  5. ISO/IEC 15408-1:2009 «The Common Criteria for Information Technology Security Evaluation. 1: Introduction and general model».
  6. ISO/IEC 15408-2:2008 «The Common Criteria for Information Technology Security Evaluation. Security functional components».
  7. ISO/IEC 15408-3:2008 «The Common Criteria for Information Technology Security Evaluation. Security assurance components».