Навчально-матеріальне забезпечення

Л13

Заняття проведені	ЗАТВЕРДЖУЮ Завідувач кафедри д.т.н., с.н.с.   _____________________ В.С. Наконечний   "___" _____________20__ року
№ навч. групи	Дата	Час

 

ПЛАН

ПРОВЕДЕННЯ ЗАНЯТТЯ

З навчальної дисципліни

Теорія ризиків

 

Вид заняття: Лекція

Модуль 2. Прикладні технології управління ризиками.

Змістовий модуль 7. Аналіз ризиків

Тема 13. Аналіз ризиків інформаційної безпеки.

 

Метод проведення заняття усне викладення.

 

 

Навчальна та виховна мета:

1. Засвоїти сучасні підходи щодо аналізу ризиків інформаційної безпеки.

Навчально-матеріальне забезпечення

1. Комплект слайдів до лекції.

2. Навчальний сайт.

 

Навчальна література

1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.: ил. - (Информационные технологии для инженеров).

2. Шапкин А.С., Шапкин В.А. Теория риска и моделирование рисковых ситуаций. М: «Дашков и Ко», 2005 — 879 с.

3. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска. М.: Издательский дом ГУ ВШЭ, 2005. — 399 с.

4. Руководство к своду знаний по управлению проектами. Керівництво PMBOK. 2004. Project Management Institute. Four campus boulevard. Newtown square. PA 19073-3299. USA. 405 pp.

 

 

 

Л13

План проведення заняття

№ зп	Навчальні питання, та короткий їх зміст	Час хв	Дії викладача та тих, що навчаються
І   ІІ   ІІІ	Вступ 1. Прийом навчальної групи.   2. Зв'язок з матеріалами заняття, що вивчалось раніше.     3. Тема, мета і організація заняття.     Основна частина   1 Інформаційна безпека бізнесу 2 Розвиток служби інформаційної безпеки 3 Міжнародна практика захисту інформації 4 Постановка задачі аналізу ризиків     Заключна частина Підведення підсумків Відповіді на запитання Завдання на самостійну підготовку Виконати самостійне завдання. 1. Підготувати термінологічний словник за темою лекції   Тема і місце наступного заняття		Перевірка наявності студентів та готовність їх до заняття. Нагадую тему попереднього заняття та пов’язую його з сьогоднішнім заняттям. Актуальність заняття.   Оголошую тему, мету заняття та навчальні питання. Оголошую порядок проведення заняття.   Матеріал викладати у темпі, що дозволяє вести записи, основні положення, визначення. Даю під запис за необхідністю визначений матеріал. Пояснюю слайди, що демонструються. За необхідності наводжу приклади з практики. Короткий висновок першого питання.   Нагадую тему заняття її зміст (навчальні питання). Визначаю ступінь досягнення мети заняття. (Визначаю позитивні сторони заняття та загальні недоліки) Відповідаю на запитання студентів Видаю завдання на самостійну підготовку Оголошую тему, час і місце проведення заняття

 

Завідувач кафедри управління інформаційною безпекою

______________________________________________________ д.т.н., с.н.с. В.Л.Шевченко

Л13

Міністерство освіти і науки України

Державний університет телекомунікацій

Навчально-науковий інститут захисту інформації

КАФЕДРА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

 

ЗАТВЕРДЖУЮ

Завідувач кафедри

д.т.н., с.н.с.

 

_______________________ В.С. Наконечний

 

"___" _____________20__ року

 

 

Методична розробка

Для проведення лекції з навчальної дисципліни

“ Теорія ризиків ”

 

Модуль 2. Прикладні технології управління ризиками.

Змістовий модуль 7. Аналіз ризиків

Тема 13. Аналіз ризиків інформаційної безпеки.

Обговорене на засіданні кафедри

Протокол № 1

«__» серпня 20__р.

 

КИЇВ – 20__

 

Анализ рисков в области защиты информации

Модель Gartner Group

Gartner Group выделяет четыре уровня зрелости компании - начиная с нулевого и заканчивая третьим (см. табл. 1.1).

Согласно данным Gartner Group, на начало 2002 года компании распределились по уровням зрелости следующим образом: 30% компаний - 0-го уровня, 55% - 1-го уровня, 10% - 2-го уровня и 5% - 3-го уровня. В 2005 году, по мнению Gartner Group, процентное соотношение между компаниями разного уровня изменится так: 20% - компаний 0-го уровня, 35% - 1-го уровня, 30% - 2-го уровня и 15% - 3-го уровня зрелости.

Таблица 1.1. Уровни зрелости компании с точки зрения ИБ

Уровень зрелости	Характеристика организации режима информационной безопасности компании
	Необходимость обеспечения ИБ компании в должной мере не осознана и формально такая задача не ставится. Выделенной службы информационной безопасности нет. Служба автоматизации использует традиционные механизмы и средства защиты информации стека протоколов TCP/IP и сервисов Intranet, а также операционной среды и приложений (ОС, СУБД, СППР, ERP, ERP II, CRM)
	Проблема обеспечения ИБ рассматривается управлением компании как исключительно техническая. Выделенной службы защиты информации нет. Организационные меры поддержания ИБ не принимаются. Финансирование осуществляется в рамках единого бюджета на IT-технологии. Служба автоматизации дополнительно к средствам защиты информации уровня 0 может привлекать средства отказоустойчивости, резервного копирования информации, источники бесперебойного питания, а также межсетевые экраны, виртуальные частные сети (VPN), антивирусные средства, средства прозрачного шифрования и e-Token
	Проблема обеспечения ИБ компании осознана и рассматривается как взаимно увязанный комплекс организационных и технических мер. Внедрены методики анализа информационных рисков, отвечающие минимальному, базовому, уровню защищенности КИС. В компании определены состав и структура штатной службы ИБ. Принята корпоративная политика информационной безопасности. Финансирование ведется в рамках отдельного бюджета на создание и поддержку корпоративной системы защиты информации. Служба ИБ дополнительно к средствам защиты информации уровней 0 и 1 привлекает средства защиты от НСД, системы обнаружения вторжений (IDS), инфраструктуру открытых ключей (PKI), а также соответствующие политике безопасности компании организационные меры (внешний и внутренний аудит, разработка планов защиты и непрерывного ведения бизнеса, действия во внештатных ситуациях и пр.)
	Проблема обеспечения ИБ компании осознана в полной мере. Наряду с бизнес-культурой существует понятие культуры информационной безопасности компании. Активно применяются методики полного количественного анализа информационных рисков, а также соответствующие инструментальные средства. Введена штатная должность — директор службы информационной безопасности (CISO). Определены состав и структура группы внутреннего аудита безопасности КИС (CISA), группы предупреждения и расследования компьютерных преступлений, группы экономической безопасности. Руководством компании утверждены концепция и политика безопасности, план защиты и другие нормативно-методические материалы и должностные инструкции. Финансирование выделяется исключительно в рамках отдельного бюджета. Служба ИБ дополнительно к средствам защиты информации уровней 0-2 обращается к средствам централизованного управления ИБ компании и средствам интеграции с платформами управления сетевыми ресурсами

 

Учет остаточных рисков

Второй национальной особенностью организации режима информационной безопасности в отечественных компаниях является специфическое отношение к остаточным информационным рискам. При построении корпоративной системы защиты информации необходимо помнить, что абсолютной 100-процентной защиты не существует, остаточные риски присутствуют при любом варианте создания или реорганизации корпоративной системы защиты информации. Понятно, что чем больше защищена КИС, тем меньше такие риски.

Настоящий собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. К сожалению, это делается крайне редко. Автоматизированным системам отечественных предприятий, в зависимости от своего класса, надлежит иметь подсистемы безопасности с определенными формальными свойствами. При этом зачастую существует мнение, что сама постановка задачи об остаточных информационных рисках в области информационной безопасности, неизбежно присутствующих в любой АС (и об ответственности за их уровень), некорректна, особенно в случае обработки сведений, составляющих государственную тайну.

В плане подхода к обеспечению ИБ в АС можно выделить четыре группы отечественных заказчиков работ в области защиты информации:

· государственные структуры;

· коммерческие структуры с формальными собственниками информационных ресурсов компании;

· коммерческие структуры с настоящими собственниками информационных ресурсов компании;

· структуры, для которых обязательно соответствие зарубежным стандартам в области информационной безопасности.

Как правило, в государственных структурах ответственные лица и руководители, занимающиеся организацией режима информационной безопасности на предприятии, пока не заинтересованы в том, чтобы нести бремя ответственности за выбор остаточных информационных рисков. Поэтому решения относительно построения корпоративной системы защиты информации отвечают в обязательном порядке только принятым и утвержденным российским стандартам и РД. Как следствие, исполнители работ в области защиты информации, например системные интеграторы, вынуждены предлагать решения, удовлетворяющие лишь формальным требованиям существующих нормативов и РД. При этом предлагаемые и внедряемые решения не соответствуют в целом даже начальному базовому уровню обеспечения информационной безопасности, который определяется согласно современным международным стандартам в области информационной безопасности. К сожалению, в настоящее время государственные структуры уделяют мало внимания новым идеям и направлениям развития в области защиты информации. По мнению аналитиков, ситуация начнет изменяться в течение ближайших двух-пяти лет - после принятия новых российских стандартов и РД, адекватных целям и задачам развития национальной системы информационной безопасности.

Вторая группа - коммерческие структуры с формальными собственниками информационных ресурсов (сюда же относятся структуры, для которых информационные ресурсы не являются особенно ценными, что характерно для 80% случаев) -склонна заказывать проектирование подсистемы безопасности в соответствии с передовыми зарубежными стандартами базового уровня.

Третья группа - коммерческие структуры с настоящими собственниками информационных ресурсов в случае, если информационные ресурсы представляют для них существенную ценность (как правило, финансовые структуры). В этой ситуации руководство осознанно выбирает остаточные риски, производит анализ по критерию «стоимость-эффективность» различных вариантов защиты. Как следствие, затраты на выбор подсистем безопасности являются обоснованными с точки зрения заказчика. Такие заказчики предлагают проектировщикам выполнить полный цикл работ, начиная с анализа рисков и кончая системой поддержания режима информационной безопасности на всех стадиях жизненного цикла.

Этот класс заказчиков отличается недоверием к любым посторонним подрядчикам, поэтому проблемы безопасности они стараются решать сами. Зачастую заказываются методики внутреннего аудита или анализа рисков для данной системы с апробацией на отдельном некритичном фрагменте системы и обучением местных специалистов.

Четвертую группу составляют организации, по разным причинам заинтересованные в получении формальных документов о том, что отдельные аспекты их деятельности отвечают зарубежным стандартам, в частности стандартам в области информационной безопасности. Такого рода документы обычно выдают крупные зарубежные аудиторские фирмы. При этом подготовку к сертификации проводят, как правило, отечественные организации, имеющие в этой области соответствующий опыт.

В заключение отметим, что вместе с развитием теории и практики защиты информации среди отечественных руководителей различных коммерческих структур и организаций растет понимание важности и необходимости соответствия автоматизированных систем предприятия некоторому базовому уровню безопасности (согласно зарубежным стандартам). Число «настоящих собственников», осознанно выбирающих уровень остаточных рисков, также увеличивается. Все это вместе внушает определенный оптимизм относительно становления и развития отечественной практики защиты информации и, в частности, решения задач анализа информационных рисков и управления ими, что необходимо для определения перспектив развития и управления развитием отечественных предприятий и организаций.

 

Л13

Заняття проведені	ЗАТВЕРДЖУЮ Завідувач кафедри д.т.н., с.н.с.   _____________________ В.С. Наконечний   "___" _____________20__ року
№ навч. групи	Дата	Час

 

ПЛАН

ПРОВЕДЕННЯ ЗАНЯТТЯ

З навчальної дисципліни

Теорія ризиків

 

Вид заняття: Лекція

Модуль 2. Прикладні технології управління ризиками.

Змістовий модуль 7. Аналіз ризиків

Тема 13. Аналіз ризиків інформаційної безпеки.

 

Метод проведення заняття усне викладення.

 

 

Навчальна та виховна мета:

1. Засвоїти сучасні підходи щодо аналізу ризиків інформаційної безпеки.

Навчально-матеріальне забезпечення

1. Комплект слайдів до лекції.

2. Навчальний сайт.

 

Навчальна література

1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.: ил. - (Информационные технологии для инженеров).

2. Шапкин А.С., Шапкин В.А. Теория риска и моделирование рисковых ситуаций. М: «Дашков и Ко», 2005 — 879 с.

3. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска. М.: Издательский дом ГУ ВШЭ, 2005. — 399 с.

4. Руководство к своду знаний по управлению проектами. Керівництво PMBOK. 2004. Project Management Institute. Four campus boulevard. Newtown square. PA 19073-3299. USA. 405 pp.

 

 

 

Л13

План проведення заняття

№ зп	Навчальні питання, та короткий їх зміст	Час хв	Дії викладача та тих, що навчаються
І   ІІ   ІІІ	Вступ 1. Прийом навчальної групи.   2. Зв'язок з матеріалами заняття, що вивчалось раніше.     3. Тема, мета і організація заняття.     Основна частина   1 Інформаційна безпека бізнесу 2 Розвиток служби інформаційної безпеки 3 Міжнародна практика захисту інформації 4 Постановка задачі аналізу ризиків     Заключна частина Підведення підсумків Відповіді на запитання Завдання на самостійну підготовку Виконати самостійне завдання. 1. Підготувати термінологічний словник за темою лекції   Тема і місце наступного заняття		Перевірка наявності студентів та готовність їх до заняття. Нагадую тему попереднього заняття та пов’язую його з сьогоднішнім заняттям. Актуальність заняття.   Оголошую тему, мету заняття та навчальні питання. Оголошую порядок проведення заняття.   Матеріал викладати у темпі, що дозволяє вести записи, основні положення, визначення. Даю під запис за необхідністю визначений матеріал. Пояснюю слайди, що демонструються. За необхідності наводжу приклади з практики. Короткий висновок першого питання.   Нагадую тему заняття її зміст (навчальні питання). Визначаю ступінь досягнення мети заняття. (Визначаю позитивні сторони заняття та загальні недоліки) Відповідаю на запитання студентів Видаю завдання на самостійну підготовку Оголошую тему, час і місце проведення заняття

 

Завідувач кафедри управління інформаційною безпекою

______________________________________________________ д.т.н., с.н.с. В.Л.Шевченко

Л13