Категории:
Digital Security Руководство по управлению информационными рисками корпоративных информационных систем Internet / IntraNet Серия: Digital Security В библиотеку профессионала инфо 11842y.

Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet разработано экспертами по информационной безопасности компании "Digital Security" на основе мнобчтьыголетнего положительного опыта осущестления практических работ в данной области Материалы "Руководства…" будут полезны: 1 Менеджерам высшего звена управления компанией (ТОР-management) , которые хотят получить ответы на следующие вопросы: Что такое анализвжжфш и управление информационными рисками? Кто и каким образом его осуществляет? Как анализ и управление информационных рисков влияют на бизнес, деятельность компании? Каковы положительнве последствия прохождения его для компании? Какова стоимость решения этого вопроса и возможные последующие затраты? Какие отечественные и/или западные методики и технологии анализа рисков следует использовать? 2 Руководителей служб автоматизации (CIO) и служб информационной безопасности (CSO) , которые жвпцяяелают получить объективную и независимую оценку текущего состояния информационной безопасности компании Оценить потенциальный экономический ущерб от возможных посягательств разного рода злоумышленников и выработать требования к корпоративной системе защиты информации, проверить адекватность и эффективность Политики безопасности компании "Руководство" поможет вам рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации и предпринять необходимые меры организационного, управленческого и технического характера для повышения (или адекватного обеспечения) уровня информационной безопасности компании 3 Ведущих специалистов в области безопасности компьютерных систем и IT-менеджеров, которые желают получить детальное представление об анализе и управлении информационными рисками компании, чтобы самостоятельно разбираться в этих вопросах и руководить работами по управлению рисками Руководство может быть использовано в качестве практическвтчйбого руководства по управлению информационными рисками корпоративных информационных систем Intranet/Internet или как учебное пособие Авторы курса, эксперты компании Digital Security: Кандидат технических наук ИД Медведовский, исполнительный директор компании Digital Security, автор серии книг "Атака на Internet", эксперт по информационной безопасности; Кандидат технических наук СА Петренко - опытный специалист-практик в области защиты информации Автор и соавтор 8 книг и более 100 статей (Системы безопасности, Защита информации Конфидент, Экспресс Электроника, CHIP-Россия, Мир Интернет, ReadMe, Data Communications Сетевой журнал,Мир Связи Connect), посвященных информационно-компьютерной безопасности Из них - практические руководства и книги "Аудит безопасности Intranet", "Технологии защиты информации", "Информационная безопасность предприятия"; Нестеров Сергей Александрович, кандидат технических наук, преподаватель кафедры Сисвууэртемного анализа и управления Санкт-Петербургского государственного политехнического университета Автор более 15 научных статей и публикаций Содержание диска: Тема I Основные цели и задачи аудита безопасности и анализа рисков компании: - Актуальность аудита безопасности и анализа рисков компании - Как оценить уровень безопасности КИС? - Возможные виды аудита безопасности КИС В этом разделе: Рассматриваются основные понятия, связанные с анализом рисков и аудитом информационной безопасности Анализируются те проблемы, которые компании могут решить, проводя аудит безопасности своих информационных систем Описываются новые возможности, которые предоставляет аудит безопасности руководителям, ИТ-специалистам и рядовым сотрудникам предприятий Кратко описываются существующие виды и направления аудита безопасности Тема 2 Возможные методики аудита безопасности КИС: - Новое поколение стандартов информационной безопасности - Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) и BS вуыдв7799-2:2000 - Стандарт COBIT 3rd Edition - Стандарт ISO/IEC 15408 В данном разделе курса рассматриваются наиболее современные стандарты в области информационной безопасности и их влияние на методику проведения аудита безопасности В соответствие с рассмотренными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее Во-первых, определение целей обеспечения информационной безопасности компьютерных систем Во-вторых, создание эффективной системы управления информационной безопасностью В третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям В четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния В пятых, использование методик проведения аудита информационной безопасности (с обоснованной системой метрик и мер), позволяющих объективно оценить текущее состояние дел Твуявйема 3 Возможные алгоритмы аудита безопасности КИС: - Анализ информационных рисков компании - Методы оценивания информационных рисков компании - Табличные методы оценки рисков - Пример методики анализа рисков на качественном уровне (матрица рисков) - Роль анализа рисков в процессе создания корпоративной системы информационной безопасности (на примере модели LifeCycle Security) - Возможная методика реорганизации корпоративной системы безопасности - Проектирование системы обеспечения безопасности объекта Раздел начинается описанием особенностей проведения аудита безопасности в российских условиях Далее подробно рассматриваются основные подходы к проведению аудита безопасности, описываются конкретные методики оценки информационных рисков В частности, приводится описание метода табличной оценки рисков, описывается подход к проведению оценки рисков на качественном уровне с помощью матрицы рисков На примере разработанной компанией Axent модели LifeCycle Security показыввфбгсается то место, которое занимает этап анализа рисков в процессе построения комплексной системы информационной безопасности Приводится возможная методика реорганизации корпоративной системы безопасности и описывается каркас методики проведения аудита безопасности корпоративной информационной системы Тема 4 Аналитический обзор инструментальных средств для анализа рисков и защищенности корпоративных систем Intranet/Internet: Инструментальные проверки уровня безопасности компании: - Internet Scanner и System Security Scanner - Сканер уязвимости Symantec NetRecon - Система централизованного управления безопасностью Enterprise Security Manager - Сканер уязвимости системы безопасности Cisco Secure Scanner (NetSonar) - Сканер Retina - Сканер Xspider - Пример использования средств активного аудита Инструментальные средства анализа рисков: - Использование "матрицы рисков" (MS IT Advisor for Risk Management) - CRAMM - Количественный подход к анализу рисков на привфвсемере RiskWatch Выбор оптимальной стратегии защиты компании: В первой части раздела приводится описание ряда популярных средств инструментальной проверки уровня защищенности информационной системы Указываются особенности каждого из программных продуктов, называются их сильные и слабые стороны Для иллюстрации возможностей, которые предоставляет названный инструментарий, приводится упрощенный пример анализа безопасности сети небольшого предприятия Вторая часть раздела посвящена программным средствам анализа рисков и методикам, которые они реализуют На примере таких пакетов, как MS IT Advisor for Risk Management, CRAMM, RiskWatch показываются возможные подходы к оценке рисков - качественный, смешанный и количественный Заканчивается раздел описанием одного из возможных подходов к решению задачи выбора оптимального проекта Представленный подход базируется на математических методах теории принятия решений Тема 5 Требования и содержание отчетных документов для анализа рисвфглыков компании: - Разработка концепции, эскизного проекта, руководящих и специальных нормативных документов - Структура концепции информационной безопасности - Предложения по структуре эскизного проекта - Требования по составу информации, предоставляемой предприятием для проведения аналитических работ - Формы для самостоятельного определения уровней рисков, соответствующих показателям ценности ресурсов, угроз и уязвимостей Заключительный раздел курса посвящен вопросам, связанным с "документальным сопровождением" процесса аудита информационной безопасности Описываются и те данные, которые предприятие должно подготовить для проведения аудита, и те документы, которые разрабатываются по результатам проведенной проверки: - Рекомендуемый список литературы по теме - Некоторые ресурсы Интернет - Индекс избранных документов RFC Языки интерфейса: русский Веб-сайт издателя: wwwdsecru Системные требования: Intel Pentium или AMD, VIA или Transmeta 300 МГц ; 128вфгэу Мб оперативной памяти; 1 Гб свободного места на жестком диске; CD-ROM; клавиатура; мышь.