Оценка защищённости информационных технологий

Лекции

Раздел 1. Стандартизация в области оценки защищенности ИТ и деятельности по управлению ИБ. 1-2 недели (2 часа)

Тема 1. Введение
Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний.
Тема 2. Нормативная база оценки защищенности ИТ
Существующие стандарты и методологии проверки и оценки защищенности ИТ и СУИБ: их отличия, сильные и слабые стороны. История развития. ISO/IEC 27004:2009 и ГОСТ Р ИСО/МЭК 27004-2011 – оценка функционирования СУИБ. ISO/IEC 27006:2011 и ГОСТ Р ИСО/МЭК 27006-2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ . ISO/IEC 27007:2011 и ISO/IEC 27008:2011 – руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ. ISO 19011:2002 и ГОСТ Р ИСО 19011-2003 – рекомендации по аудиту систем менеджмента качества и/или окружающей среды.

Раздел 2. Процессы проверки защищенности ИТ и деятельности по управлению ИБ. 3-8 недели (6 часов)

Тема 3. Базовые вопросы проверки защищенности ИТ
Понятие процесса. Методы формализации процессов. Цели и задачи формализации процессов. Основные процессы. Понятие процессного подхода.
Цели и задачи процессов оценки защищенности ИТ и СУИБ. Важность процесса с точки зрения управления ИБ. Участники процесса. Связи с другими процессами СУИБ.
Входные/выходные данные процесса.
Процессный подход к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию процессов проверки защищенности ИТ и СУИБ.
Тема 4. Виды проверок
Мониторинг ИБ. Самооценка ИБ. Внутренний и внешний аудиты ИБ. Анализ СУИБ со стороны высшего руководства организации.
Тема 5. Внутренний аудит ИБ
Цели и задачи, организационные принципы, принципы обеспечения эффективности. Подразделение внутреннего аудита, контролирующее вопросы ОИБ в организации.
Тема 6. Внешний аудит ИБ
Цели и задачи, принципы проведения, управление программой, этапы проведения. Компетентность аудиторов. Взаимоотношения представителей аудиторской группы и проверяемых организаций.

Раздел 3. Оценка защищенности ИТ и деятельности по управлению ИБ. 9-14 недели (6 часов)

Тема 7. Оценка эффективности и результативности деятельности по управлению ИБ
Измерение, мера измерения, показатель и метрика. Метрики безопасности. Измерения, связанные с ИБ.
Тема 8. Зрелость процессов СУИБ
Capability Maturity Model. Модель компании Gartner Group. Information Security Management Maturity Model.

Раздел 4. Инструментальные средства проверки защищенности ИТ. 15-16 недели (2 часа)

Тема 9. Системы анализа защищенности
Виды систем, решаемые задачи, использование в целях оценки защищенности ИТ.
Тема 10. Системы обнаружения и предотвращения вторжений
Виды систем, решаемые задачи, использование в целях оценки защищенности ИТ.

Лабораторные работы

  1. сетевые и узловые системы анализа защищенности;
  2. сетевые и узловые системы обнаружения и предотвращений вторжений.

Литература

  1. Серия «Вопросы управление информационной безопасностью». Часть 1: Основы управления информационной безопасностью Учебное пособие. для вузов / А.П. Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  2. Серия «Вопросы управления информационной безопасностью». Часть 2: Управление рисками информационной безопасности: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  3. Серия «Вопросы управления информационной безопасностью». Часть 3: Управление инцидентами информационной безопасности и непрерывность бизнеса: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  4. Серия «Вопросы управления информационной безопасностью». Часть 4: Технические, организационные и кадровые аспекты управления информационной безопасностью: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  5. Серия «Вопросы управления информационной безопасностью». Часть 5: Проверка и оценка деятельности по управлению информационной безопасностью: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012.
  6. Информационная безопасность открытых систем: Учеб. для вузов / С.В.Запечников, Н.Г.Милославская, А.И.Толстой, Д.В.Ушаков В 2 томах. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая линия–Телеком, 2006. 536 с.
  7. Информационная безопасность открытых систем: Учеб. для вузов / С.В.Запечников, Н.Г.Милославская, А.И.Толстой, Д.В.Ушаков В 2 томах. Том 2 – Средства защиты в сетях. М.: Горячая линия–Телеком, 2008. 558 с.
  8. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
  9. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». – М.: Стандартинформ, 2008. – 31 с.
  10. ISO/IEC 27004:2009 «Information technology. Security techniques. Information security management. Measurement».
  11. ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения»
  12. ISO/IEC 27006:2011 «Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems».
  13. ГОСТ Р ИСО/МЭК 27006:2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента ИБ».
  14. ISO/IEC 27007:2011 «Information technology. Security techniques. Guidelines for Information Security Management Systems auditing».
  15. ISO/IEC 27008:2011 «Information technology. Security techniques. Guidance for auditors on ISMS controls».
  16. ISO/IEC 19011:2002 «Guidelines for quality and/or environmental management systems auditing».
  17. ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
  18. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».
  19. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».
  20. ISO/IEC 15408-2:2008 «The Common Criteria for Information Technology Security Evaluation. Security functional components».
  21. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности».
  22. BS ISO/IEC 10181-7:1996 «Information technology. Open systems interconnection. Security frameworks for open systems. Security audit and alarms framework».
  23. ISO/IEC 17021:2011 «Conformity assessment. Requirements for bodies providing audit and certification of management systems».
  24. ГОСТ Р ИСО/МЭК 17021-2008 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента».
  25. «Guide for the Security Certification and Accreditation of Federal Information Systems». NIST SP 800-37, 2004.
  26. ISO/IEC 15504-7:2008 «Information technology. Process assessment. Part 7: Assessment of organizational maturity».
  27. ISO/IEC 21827:2002 «Information technology. Systems Security Engineering. Capability Maturity Model (SSE-CMM)».
  28. ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса».
  29. ISO/IEC 15939:2007 «Systems and software engineering. Measurement process».
  30. Концепция аудита информационной безопасности систем информационных технологий и организаций. Государственная техническая комиссия при Президенте Российской Федерации, Воронеж, 2004.
  31. NIST Special Publication 800-55-rev1 «Performance Measurement Guide for Information Security». U.S. Government Printing Office. Washington, July 2008.
  32. Стандарт Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций БС РФ требованиям СТО БР ИББС-1.0».
  33. Стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
  34. Стандарт Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
  35. Рекомендации в области стандартизации Банка России РС БР ИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций БС РФ требованиям СТО БР ИББС-1.0».
  36. Обеспечение информационной безопасности бизнеса / Под ред. А.П. Курило. М.: Альпина Паблишерз, 2011. 392 с.
  37. Аудит информационной безопасности. Под ред. А.П.Курило. – М: БДЦ-Пресс, 2006.- 304 с.
  38. Hayden L. IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data. McGraw-Hill, 2010. 396 p.
  39. Herrmann D.S. Complete Guide to Security and Privacy Metrics: Measuring Regulatory Compliance, Operational Resilience, and ROI. Auerbach Publications, 2007. 824 p.
  40. Jansen W. Directions in Security Metrics Research. NISTIR 7564. April 2009.
  41. «O-ISM3: Information Security Management Maturity Model. Security Metrics». – URL: http://ism3.wordpress.com/2009/07/18/security-metrics/.
  42. «A Guide to Security Metrics». – URL: http://www.sans.org/reading_room/whitepapers/auditing/guide-security-metrics_55.
  43. Jaquith A. Security Metrics: Replacing Fear, Uncertainty and Doubt. Upper Saddle River, NJ: Pearson Education, 2007.
  44. Brotby W. Krag. Information Management Security Metrics: A Definitive Guide to Effective Security Monitoring and Measurement. Boca Raton: Auerbach Publication, 2009.
  45. Berinato, Scott. “A Few Good Metrics,” CSO Magazine, 1 July 2005. . – URL: http://www.csoonline.com/read/070105/metrics.html.
  46. «CIS Consensus Information Security Metrics». v1.1.0. – URL: http://benchmarks.cisecurity.org/en-us/?route=downloads.metrics.

Дополнительная литература

  1. ISO/IEC 9001:2008 «Quality management systems. Requirements».
  2. ГОСТ Р ИСО/МЭК 9001-2001 «Системы менеджмента качества. Требования».
  3. ГОСТ Р ИСО 9000-2001 «Системы менеджмента качества. Основные положения и словарь».
  4. МС ИСО 9004:2000 «Системы менеджмента качества. Руководство по улучшению деятельности.»
  5. CobIT 4.1. IT Governance Institute. 2007.
  6. Бурцев В.В. Внутренний аудит компании: вопросы организации и управления// Финансовый менеджмент. 2003. №4. С. 20–24.
  7. Ефимов В.В., Туманова А.Н. Внутренний аудит качества и самооценка организации: учебное пособие. Ульяновск: УлГТУ, 2007. 123 с.
  8. Савчук В.П. Оценка эффективности инвестиционных проектов / Учебник. Днепропетровск, ГметАУ, 1998.
  9. Некоторые основные показатели расчета финансовой и инвестиционной привлекательности и проектов (для начинающих). – URL: http://www.mgtu-sistema.ru/ppt/invest.pdf (дата обращения: 15 марта 2012).
  10. Пономарев, С. В., Мищенко С. В., Белобрагин В. Я. и др. «Управление качеством продукции». Инструменты и методы менеджмента качества: Учебное пособие. М.: РИА Стандарты и качество, 2005. 238с.
  11. Петренко С.А. Анализ рисков в области защиты информации. Информационно-методическое пособие по курсу повышения квалификации «Управление информационными рисками». С.-Пб.: ООО «Издательский дом «Афина», 2009. – 153 с.
  12. Арзуманов С.В. Оценка эффективности инвестиций в информационную безопасность // «Защита информации. Инсайд». М., 2005. № 1.