Область деятельности суиб. Ролевая структура суиб. Политика суиб

Понятие области деятельности СУИБ. Механизм выбора области деятельности. Состав области деятельности (процессы, структурные подразделения организации, кадры). Описание области деятельности (структура и содержание документа).

Понятие роли. Использование ролевого принципа в рамках СУИБ. Преимущества использования ролевого принципа. Ролевая структура СУИБ (основные и дополнительные роли).

Роль высшего руководства организации в СУИБ. Этапы разработки и функционирования СУИБ, на которых важно участие руководства организации. Суть участия руководства организации на этих этапах (утверждение документов, результатов анализа рисков и т.д.).

 

Понятие Политики СУИБ. Цели Политики СУИБ. Структура и содержание Политики СУИБ. Источники информации для разработки Политики СУИБ.

 

Рискология ИБ

Цель процесса анализа рисков ИБ. Этапы и участники процесса анализа рисков ИБ. Разработка Методики анализа рисков ИБ.

Инвентаризация активов. Понятие актива. Типы активов. Источники информации об активах организации.

Выбор угроз ИБ и уязвимостей для выделенных на этапе инвентаризации активов. Оценка рисков ИБ. Планирование мер по обработке выявленных рисков ИБ. Утверждение результатов анализа рисков ИБ у высшего руководства. Использование результатов анализа рисков ИБ.

Основные процессы СУИБ. Обязательная документация СУИБ

Процессы «Управление документами» и «Управление записями» (цели и задачи процессов, входные/выходные данные, роли участников, обязательные этапы процессов, связи с другими процессами СУИБ).

Процессы улучшения СУИБ («Внутренний аудит», «Корректирующие действия», «Предупреждающие действия»).

Процесс «Мониторинг эффективности» (включая разработку метрик эффективности). Понятие «Зрелость процесса».

Процесс «Анализ со стороны высшего руководства».

Процесс «Обучение и обеспечение осведомленности».

Эксплуатация и независимый аудит СУИБ

Ввод системы в эксплуатацию. Возможные проблемы и способы их решения.

Внешние аудиты ИБ на соответствие требованиям нормативных документов. Этапы проведения аудита ИБ. Результаты аудита ИБ и их интерпретация.

Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001. Период эксплуатации СУИБ перед сертификацией. Органы по сертификации, работающие в РФ (их различия и требования). Этапы сертификационного аудита. Решение о сертификации.

 

Внедрение разработанных процессов. Документ «Положение о применимости»

Этапы внедрения процессов и их последовательность. Обучение сотрудников, как один из этапов внедрения. Сложности, возникающие при внедрении процессов управления ИБ, и способы их решения. Контроль над внедрением процессов.

Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». Цель документа. Структура и содержание документа. Процесс разработки документа, решение спорных ситуаций при разработке документа.

 

Процесс «Управление инцидентами ИБ». Процесс «Обеспечение непрерывности ведения бизнеса»

Цели и задачи процесса «Управления инцидентами ИБ, важность процесса с точки зрения управления ИБ Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

Цели и задачи процесса «Обеспечение непрерывности ведения бизнеса». Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

 

8. Обеспечение соответствия требованиям законодательства РФ

Российское законодательство, затрагивающее аспекты и механизмы обеспечения безопасности в рамках СУИБ (авторское право, защита персональных данных и т.д.).

Разработка процессов или дополнение существующих процессов управления ИБ с целью удовлетворения этим требованиям (необходимые документы, процессы, в которых данные требования могут быть выполнены).

 

 

6. Практические занятия.

Тема 1. Введение. Базовые вопросы управления ИБ. Процессный подход

Существующие стандарты и методологии по управлению ИБ: их отличия, сильные и слабые стороны (на примере семейства стандартов ISO/IEC 2700x, СТО БР ИББС-1.0, ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 27001, ISO/IEC 18044, ISO/IEC 25999 и др.).

Тема 2. Область деятельности СУИБ. Ролевая структура СУИБ. Политика СУИБ

- Разработка и управление политикой ИБ информационной системы

Тема 3.Рискология ИБ

- Анализ модели угроз ИБ и уязвимостей

- Анализ модели информационных потоков

Тема 4.Основные процессы СУИБ. Обязательная документация СУИБ

-Процессы улучшения СУИБ («Внутренний аудит», «Корректирующие действия», «Предупреждающие действия»).

- Процесс «Мониторинг эффективности» (включая разработку метрик эффективности). Понятие «Зрелость процесса».

-Процесс «Анализ со стороны высшего руководства».

-Процесс «Обучение и обеспечение осведомленности».

Тема 5.Эксплуатация и независимый аудит СУИБ

Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001. Период эксплуатации СУИБ перед сертификацией. Органы по сертификации, работающие в РФ (их различия и требования). Этапы сертификационного аудита. Решение о сертификации

Тема 6.Внедрение разработанных процессов. Документ «Положение о

Применимости»

Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». Цель документа. Структура и содержание документа. Процесс разработки документа, решение спорных ситуаций при разработке документа.

Тема 7. Процесс «Управление инцидентами ИБ». Процесс «Обеспечение непрерывности ведения бизнеса»

Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

 

Тема 8.Обеспечение соответствия требованиям законодательства РФ

Разработка процессов или дополнение существующих процессов управления ИБ с целью удовлетворения этим требованиям (необходимые документы, процессы, в которых данные требования могут быть выполнены).

 

7. Учебно - методическое обеспечение самостоятельной работы студен-тов. Оценочные средства для текущего контроля успеваемости, про-межуточной аттестации по итогам освоения дисциплины (модуля).

Проверка качества подготовки в течение семестра предполагает следующие виды промежуточного контроля:

а) проведение устных теоретических опросов (коллоквиумов) по одному в каждом учебном модуле;

б) выполнение расчетной работы на компьютере по индивидуальным вариантам (одна работа);

в) подготовка студентом доклада.

Текущий и промежуточный контроль освоения и усвоения материала дисциплины осуществляется в рамках рейтинговой (100-бальной) системы оценок.

Примерные темы докладов:

1. Управление непрерывностью деятельности: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

2. Внутренние и внешние аудиты ИБ: цели и задачи процессов, сходства и различия.

3. Российское законодательство, затрагивающее аспекты и механизмы обеспечения безопасности в рамках СУИБ, обеспечение соответствия требованиям законодательства.

4. Документационное обеспечение СУИБ: понятия документа и записи, иерархия документов системы управления ИБ.

5. Мониторинг эффективности мер по обеспечению ИБ и процессов управления ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

6. Процессы улучшения системы управления ИБ: основные процессы, из взаимосвязь и роль в рамках СУИБ.

7. Корректирующие/предупреждающие действия: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

Вопросы к зачету

 

1. Процессный подход к построению СУИБ и циклическая модель PDCA.

2. Цели и задачи, решаемые СУИБ.

3. Стандартизация в области построения СУИБ: сходства и различия стандартов.

4. Стратегии выбора области деятельности СУИБ.

5. Стратегии построения СУИБ (построение системы в целом, построение отдельных процессов управления ИБ с последующим объединением в систему).

6. Основные этапы разработки СУИБ и роль руководства организации на каждом из этапов.

7. Политика ИБ и политика СУИБ: сходства и различия.

8. Распределение ролей и ответственности в рамках СУИБ: базовая ролевая структура, дополнительные роли в рамках процессов управления ИБ.

9. Анализ рисков ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

10. Анализ рисков ИБ: основные подходы, основные этапы процесса.

11. Управление инцидентами ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

12. Расследование инцидентов ИБ: виды расследования инцидентов, критерии выбора необходимого вида расследования, основные этапы расследования (для различных видов расследования).

13. Внутренние аудиты ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

14. Анализ со стороны руководства: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

15. Обучение и обеспечение осведомленности пользователей: цели и задачи процесса, роль процесса в рамках СУИБ.

16. Внедрение процессов управления ИБ: этапы и последовательность.

Ввод СУИБ в эксплуатацию: возможные проблемы и способы их решения

 

Образовательные технологии

Предусмотрено сочетание традиционных видов учебной активности, таких как конспектирование лекций и контроль усвоения теоретического материала в виде коллоквиумов, решения задач на практических занятиях самостоятельно и в группах, выполнение домашних контрольных работ по индивидуальным вариантам, проведение аудиторных контрольных работ, так и интерактивных технологий, таких как собеседования, выполнение и обсуждение докладов и расчетных работ.

Подготовка и защита студентами докладов по темам, не входящим в план лекций, позволяет расширить научный кругозор студентов, повысить навык работы с учебной и научной отечественной и зарубежной литературой, развить языковые навыки, повысить математическую подготовку, укрепить междисциплинарные связи, повысить навык программирования, развить навык систематизировать и свободно излагать перед аудиторией материал по заданной теме

Литература

9.1.Основная литература

 

	Леонов Г.А. Теория управления. – Санкт-Петербург, 2006. – 234 с.
	Репин В., Елиферов В. Процессный подход к управлению. Моделирование бизнес-процессов. М.: Стандарты и качество, 2004. – 408 с.
	Петренко С., Симонов С. Управление информационными рисками. Экономически оправданная безопасность. — М.: АйТи-Пресс, 2004. — 392 с.
	Тихонов В., Райх В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. – М.: Гелиос АРВ, 2006 г. – 528 с.
	Минаев В.А., Фисун А.П. Правовое обеспечение информационной безопасности, Москва, 2008 г. – 368 с.
	Романов О.А., Бабин С.А., Жданов С.Г. Организационное обеспечение информационной безопасности. – М.: Академия, 2008 г. – 192 стр.
	Аудит информационной безопасности. Под ред. А.П.Курило. – М: БДЦ-Пресс, 2006 г – 304 с.
	Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006 г. – 264 с.
	Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: ДМК пресс, 2006 г. – 400 с.
	ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.
	ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
	ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью
	BS ISO/IEC 27002:2005 RU Информационные технологии - Методы обеспечения безопасности.
	ISO/IEC TR 18044:2004 Information technology – Security Techniques – Information security incident management
	BS 25999 – 1. Business continuity management. Code of practice
	СТО БР ИББС-1.0-2006. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»

9.2 Дополнительная литература

	Фисун А.П., Касилов А.Н., Глоба Ю.А. Право и информационная безопасность. — М., 2005.— 272 c.
	Нив Г. Пространство доктора Деминга. — М.: Альпина Бизнес Букс, 2007. — 370 с.
	Казанцев С. Правовое обеспечение информационной безопасности. – М.: Академия, 2007 г. – 240 с.
	СТО БР ИББС-1.1-2007. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
	ГОСТ Р ИСО/МЭК 9001: 2001. Системы менеджмента качества. Требования
	Geоrgia Killcrece. State of Practice of Computer Security Incident Response Teams, 2003. Carnegie Mellon Software Engineering Institute.
	NIST SP 800-61 “Computer security incident handling guide”.