Управление информационной безопасностью

Лекции

Раздел 1. Основы управления ИБ. 1-2 недели (4 часа)

Тема 1. Введение
Важность и актуальность дисциплины. Ее взаимосвязь с другими дисциплинами специальности. Содержание дисциплины. Виды контроля знаний.
Тема 2. Базовые вопросы управления ИБ
Сущность и функции управления. Наука управления. Принципы, подходы и виды управления. Цели и задачи управления ИБ. Понятие системы управления.
Тема 3. Стандартизация в области управления ИБ
Стандартизация в области построения систем управления. История развития. Существующие стандарты и методологии по управлению ИБ: их отличия, сильные и слабые стороны (на примере семейства стандартов ISO/IEC 2700x, СТО БР ИББС-1.0, ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 27001, ISO/IEC 18044, BS 25999 и др.).

Раздел 2. Системы управления ИБ. 3-6 недели (8 часов)

Тема 4. Процессный подход
Понятие процесса. Методы формализации процессов. Цели и задачи формализации процессов. Понятие процессного подхода. Процессный подход к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию систем управления (на примере СУИБ). Понятие СУИБ. Место СУИБ в рамках общей системы управления предприятием. Основные процессы СУИБ и требования, предъявляемые к ним каждым из стандартов.
Тема 5. Область деятельности СУИБ
Понятие области деятельности СУИБ. Механизм выбора области деятельности. Состав области деятельности (процессы, структурные подразделения организации, кадры). Описание области деятельности (структура и содержание документа).
Тема 6. Ролевая структура СУИБ
Понятие роли. Использование ролевого принципа в рамках СУИБ. Преимущества использования ролевого принципа. Ролевая структура СУИБ (основные и дополнительные роли).
Роль высшего руководства организации в СУИБ. Этапы разработки и функционирования СУИБ, на которых важно участие руководства организации. Суть участия руководства организации на этих этапах (утверждение документов, результатов анализа рисков и т.д.).
Тема 7. Политика СУИБ
Понятие Политики СУИБ. Цели Политики СУИБ. Структура и содержание Политики СУИБ. Источники информации для разработки Политики СУИБ.

Раздел 3. Основы управления рисками ИБ. 7-8 недели (4 часа)

Тема 8. Рискология ИБ
Основные определения и положения рискологии. Цель процесса анализа рисков ИБ. Этапы и участники процесса анализа рисков ИБ.
Тема 9. Анализ рисков ИБ
Методики анализа рисков ИБ. Инвентаризация активов. Понятие актива. Типы активов. Источники информации об активах организации.
Определение угроз ИБ и уязвимостей для выделенных на этапе инвентаризации активов. Оценка рисков ИБ. Планирование мер по обработке выявленных рисков ИБ. Утверждение результатов анализа рисков ИБ у высшего руководства. Использование результатов анализа рисков ИБ.

Раздел 4. Процессы управления ИБ. 9-15 недели (16 часов)

Тема 10. Основные процессы СУИБ. Обязательная документация СУИБ
Процессы «Управление документами» и «Управление записями» (цели и задачи процессов, входные/выходные данные, роли участников, обязательные этапы процессов, связи с другими процессами СУИБ).
Процессы улучшения СУИБ («Внутренний аудит», «Корректирующие действия», «Предупреждающие действия»).
Процесс «Мониторинг эффективности» (включая разработку метрик эффективности). Понятие «Зрелость процесса».
«Анализ со стороны высшего руководства».
Процесс «Обучение и обеспечение осведомленности».
Тема 11. Внедрение разработанных процессов. Документ «Положение о применимости»
Этапы внедрения процессов и их последовательность. Обучение сотрудников, как один из этапов внедрения. Сложности, возникающие при внедрении процессов управления ИБ, и способы их решения. Контроль над внедрением процессов.
Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». Цель документа. Структура и содержание документа. Процесс разработки документа, решение спорных ситуаций при разработке документа.
Тема 12. Внедрение мер (контрольных процедур) по обеспечению ИБ
Категории контрольных процедур. Перечень контрольных процедур по обеспечению ИБ в соответствии с лучшими международными практиками. Содержание контрольных процедур по обеспечению ИБ в интерпретации лучших практик.
Тема 13. Процесс «Управление инцидентами ИБ»
Цели и задачи процесса «Управления инцидентами ИБ, важность процесса с точки зрения управления ИБ Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.
Тема 14. Процесс «Обеспечение непрерывности ведения бизнеса»
Цели и задачи процесса «Обеспечение непрерывности ведения бизнеса». Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.
Тема 15. Эксплуатация и независимый аудит СУИБ
Ввод системы в эксплуатацию. Возможные проблемы и способы их решения.
Внешние аудиты ИБ на соответствие требованиям нормативных документов. Этапы проведения аудита ИБ. Результаты аудита ИБ и их интерпретация. Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001.
Законодательство, затрагивающее аспекты и механизмы обеспечения безопасности в рамках СУИБ (авторское право, защита персональных данных и т.д.). Разработка процессов или дополнение существующих процессов управления ИБ с целью удовлетворения этим требованиям (необходимые документы, процессы, в которых данные требования могут быть выполнены).

Семинарские занятия

  1. Выбор области действия СУИБ.
  2. Разработка Политики ИБ.
  3. Разработка методики оценки рисков ИБ.
  4. Проведение внутреннего аудита ИБ.

Литература

  1. Серия «Вопросы управление информационной безопасностью». Часть 1: Основы управления информационной безопасностью Учебное пособие. для вузов / А.П. Курило, Н. Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012. – 206 с.
  2. Серия «Вопросы управления информационной безопасностью». Часть 2: Управление рисками информационной безопасности: Учебное пособие для вузов / Н. Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012. – 113 с.
  3. Серия «Вопросы управления информационной безопасностью». Часть 3: Управление инцидентами информационной безопасности и непрерывность бизнеса: Учебное пособие для вузов / Н. Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012. – 139 с.
  4. Серия «Вопросы управления информационной безопасностью». Часть 4: Технические, организационные и кадровые аспекты управления информационной безопасностью: Учебное пособие для вузов / Н. Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012. – 186 с.
  5. Серия «Вопросы управления информационной безопасностью». Часть 5: Проверка и оценка деятельности по управлению информационной безопасностью: Учебное пособие для вузов / Н. Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.: Горячая линия–Телеком, 2012. – 145 с.
  6. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью».
  7. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  8. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».
  9. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».

Дополнительная литература

  1. Леонов Г.А. Теория управления. – Санкт-Петербург, 2006. – 234 с.
  2. Репин В., Елиферов В. Процессный подход к управлению. Моделирование бизнес-процессов. М.: Стандарты и качество, 2004. – 408 с.
  3. Петренко С., Симонов С. Управление информационными рисками. Экономически оправданная безопасность. — М.: АйТи-Пресс, 2004. — 392 с.
  4. Тихонов В., Райх В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. – М.: Гелиос АРВ, 2006 г. – 528 с.
  5. Минаев В.А., Фисун А.П. Правовое обеспечение информационной безопасности, Москва, 2008 г. – 368 с.
  6. Романов О.А., Бабин С.А., Жданов С.Г. Организационное обеспечение информационной безопасности. – М.: Академия, 2008 г. – 192 стр.
  7. Аудит информационной безопасности. Под ред. А.П.Курило. – М: БДЦ-Пресс, 2006 г – 304 с.
  8. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006 г. – 264 с.
  9. Петренко С.А., Курбатов В.А. Политики информационной безопасности. – М.: ДМК пресс, 2006 г. – 400 с.
  10. ISO/IEC 27035:2011 «Information technology. Security techniques. Information security incident management».
  11. BS 25999 – 1. Business continuity management. Code of practice
  12. СТО БР ИББС-1.0-2006. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»
  13. Антология. Проблемы управления информационной безопасностью. – Едиториал УРСС, 2002 г.– 224 с.
  14. Фисун А.П., Касилов А.Н., Глоба Ю.А. Право и информационная безопасность. — М., 2005.— 272 c.
  15. Нив Г. Пространство доктора Деминга. — М.: Альпина Бизнес Букс, 2007. — 370 с.
  16. Казанцев С. Правовое обеспечение информационной безопасности. – М.: Академия, 2007 г. – 240 с.
  17. СТО БР ИББС-1.1-2007. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
  18. ГОСТ Р ИСО/МЭК 9001: 2001. Системы менеджмента качества. Требования
  19. Geоrgia Killcrece. State of Practice of Computer Security Incident Response Teams, 2003. Carnegie Mellon Software Engineering Institute.
  20. NIST SP 800-61 “Computer security incident handling guide”.
  21. ISO/IEC Guide 73:2002 Risk management— Vocabulary— Guidelines for use in standards.