Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Область деятельности суиб. Ролевая структура суиб. Политика суиб

Поиск

Понятие области деятельности СУИБ. Механизм выбора области деятельности. Состав области деятельности (процессы, структурные подразделения организации, кадры). Описание области деятельности (структура и содержание документа).

Понятие роли. Использование ролевого принципа в рамках СУИБ. Преимущества использования ролевого принципа. Ролевая структура СУИБ (основные и дополнительные роли).

Роль высшего руководства организации в СУИБ. Этапы разработки и функционирования СУИБ, на которых важно участие руководства организации. Суть участия руководства организации на этих этапах (утверждение документов, результатов анализа рисков и т.д.).

 

Понятие Политики СУИБ. Цели Политики СУИБ. Структура и содержание Политики СУИБ. Источники информации для разработки Политики СУИБ.

 

Рискология ИБ

Цель процесса анализа рисков ИБ. Этапы и участники процесса анализа рисков ИБ. Разработка Методики анализа рисков ИБ.

Инвентаризация активов. Понятие актива. Типы активов. Источники информации об активах организации.

Выбор угроз ИБ и уязвимостей для выделенных на этапе инвентаризации активов. Оценка рисков ИБ. Планирование мер по обработке выявленных рисков ИБ. Утверждение результатов анализа рисков ИБ у высшего руководства. Использование результатов анализа рисков ИБ.

Основные процессы СУИБ. Обязательная документация СУИБ

Процессы «Управление документами» и «Управление записями» (цели и задачи процессов, входные/выходные данные, роли участников, обязательные этапы процессов, связи с другими процессами СУИБ).

Процессы улучшения СУИБ («Внутренний аудит», «Корректирующие действия», «Предупреждающие действия»).

Процесс «Мониторинг эффективности» (включая разработку метрик эффективности). Понятие «Зрелость процесса».

Процесс «Анализ со стороны высшего руководства».

Процесс «Обучение и обеспечение осведомленности».

Эксплуатация и независимый аудит СУИБ

Ввод системы в эксплуатацию. Возможные проблемы и способы их решения.

Внешние аудиты ИБ на соответствие требованиям нормативных документов. Этапы проведения аудита ИБ. Результаты аудита ИБ и их интерпретация.

Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001. Период эксплуатации СУИБ перед сертификацией. Органы по сертификации, работающие в РФ (их различия и требования). Этапы сертификационного аудита. Решение о сертификации.

 

Внедрение разработанных процессов. Документ «Положение о применимости»

Этапы внедрения процессов и их последовательность. Обучение сотрудников, как один из этапов внедрения. Сложности, возникающие при внедрении процессов управления ИБ, и способы их решения. Контроль над внедрением процессов.

Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». Цель документа. Структура и содержание документа. Процесс разработки документа, решение спорных ситуаций при разработке документа.

 

Процесс «Управление инцидентами ИБ». Процесс «Обеспечение непрерывности ведения бизнеса»

Цели и задачи процесса «Управления инцидентами ИБ, важность процесса с точки зрения управления ИБ Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

Цели и задачи процесса «Обеспечение непрерывности ведения бизнеса». Входные/выходные данные процесса. Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

 

8. Обеспечение соответствия требованиям законодательства РФ

Российское законодательство, затрагивающее аспекты и механизмы обеспечения безопасности в рамках СУИБ (авторское право, защита персональных данных и т.д.).

Разработка процессов или дополнение существующих процессов управления ИБ с целью удовлетворения этим требованиям (необходимые документы, процессы, в которых данные требования могут быть выполнены).

 

 

6. Практические занятия.

Тема 1. Введение. Базовые вопросы управления ИБ. Процессный подход

Существующие стандарты и методологии по управлению ИБ: их отличия, сильные и слабые стороны (на примере семейства стандартов ISO/IEC 2700x, СТО БР ИББС-1.0, ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 27001, ISO/IEC 18044, ISO/IEC 25999 и др.).

Тема 2. Область деятельности СУИБ. Ролевая структура СУИБ. Политика СУИБ

- Разработка и управление политикой ИБ информационной системы

Тема 3.Рискология ИБ

- Анализ модели угроз ИБ и уязвимостей

- Анализ модели информационных потоков

Тема 4.Основные процессы СУИБ. Обязательная документация СУИБ

-Процессы улучшения СУИБ («Внутренний аудит», «Корректирующие действия», «Предупреждающие действия»).

- Процесс «Мониторинг эффективности» (включая разработку метрик эффективности). Понятие «Зрелость процесса».

-Процесс «Анализ со стороны высшего руководства».

-Процесс «Обучение и обеспечение осведомленности».

Тема 5.Эксплуатация и независимый аудит СУИБ

Сертификация по ISO/IEC 27001 или ГОСТ Р ИСО/МЭК 27001. Период эксплуатации СУИБ перед сертификацией. Органы по сертификации, работающие в РФ (их различия и требования). Этапы сертификационного аудита. Решение о сертификации

Тема 6.Внедрение разработанных процессов. Документ «Положение о

Применимости»

Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». Цель документа. Структура и содержание документа. Процесс разработки документа, решение спорных ситуаций при разработке документа.

Тема 7. Процесс «Управление инцидентами ИБ». Процесс «Обеспечение непрерывности ведения бизнеса»

Участники процесса. Обязательные этапы процесса. Связи с другими процессами СУИБ.

 

Тема 8.Обеспечение соответствия требованиям законодательства РФ

Разработка процессов или дополнение существующих процессов управления ИБ с целью удовлетворения этим требованиям (необходимые документы, процессы, в которых данные требования могут быть выполнены).

 

7. Учебно - методическое обеспечение самостоятельной работы студен-тов. Оценочные средства для текущего контроля успеваемости, про-межуточной аттестации по итогам освоения дисциплины (модуля).

Проверка качества подготовки в течение семестра предполагает следующие виды промежуточного контроля:

а) проведение устных теоретических опросов (коллоквиумов) по одному в каждом учебном модуле;

б) выполнение расчетной работы на компьютере по индивидуальным вариантам (одна работа);

в) подготовка студентом доклада.

Текущий и промежуточный контроль освоения и усвоения материала дисциплины осуществляется в рамках рейтинговой (100-бальной) системы оценок.

Примерные темы докладов:

1. Управление непрерывностью деятельности: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

2. Внутренние и внешние аудиты ИБ: цели и задачи процессов, сходства и различия.

3. Российское законодательство, затрагивающее аспекты и механизмы обеспечения безопасности в рамках СУИБ, обеспечение соответствия требованиям законодательства.

4. Документационное обеспечение СУИБ: понятия документа и записи, иерархия документов системы управления ИБ.

5. Мониторинг эффективности мер по обеспечению ИБ и процессов управления ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

6. Процессы улучшения системы управления ИБ: основные процессы, из взаимосвязь и роль в рамках СУИБ.

7. Корректирующие/предупреждающие действия: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

Вопросы к зачету

 

1. Процессный подход к построению СУИБ и циклическая модель PDCA.

2. Цели и задачи, решаемые СУИБ.

3. Стандартизация в области построения СУИБ: сходства и различия стандартов.

4. Стратегии выбора области деятельности СУИБ.

5. Стратегии построения СУИБ (построение системы в целом, построение отдельных процессов управления ИБ с последующим объединением в систему).

6. Основные этапы разработки СУИБ и роль руководства организации на каждом из этапов.

7. Политика ИБ и политика СУИБ: сходства и различия.

8. Распределение ролей и ответственности в рамках СУИБ: базовая ролевая структура, дополнительные роли в рамках процессов управления ИБ.

9. Анализ рисков ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

10. Анализ рисков ИБ: основные подходы, основные этапы процесса.

11. Управление инцидентами ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

12. Расследование инцидентов ИБ: виды расследования инцидентов, критерии выбора необходимого вида расследования, основные этапы расследования (для различных видов расследования).

13. Внутренние аудиты ИБ: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

14. Анализ со стороны руководства: основные понятия, цели и задачи процесса, роль процесса в рамках СУИБ.

15. Обучение и обеспечение осведомленности пользователей: цели и задачи процесса, роль процесса в рамках СУИБ.

16. Внедрение процессов управления ИБ: этапы и последовательность.

Ввод СУИБ в эксплуатацию: возможные проблемы и способы их решения

 

Образовательные технологии

Предусмотрено сочетание традиционных видов учебной активности, таких как конспектирование лекций и контроль усвоения теоретического материала в виде коллоквиумов, решения задач на практических занятиях самостоятельно и в группах, выполнение домашних контрольных работ по индивидуальным вариантам, проведение аудиторных контрольных работ, так и интерактивных технологий, таких как собеседования, выполнение и обсуждение докладов и расчетных работ.

Подготовка и защита студентами докладов по темам, не входящим в план лекций, позволяет расширить научный кругозор студентов, повысить навык работы с учебной и научной отечественной и зарубежной литературой, развить языковые навыки, повысить математическую подготовку, укрепить междисциплинарные связи, повысить навык программирования, развить навык систематизировать и свободно излагать перед аудиторией материал по заданной теме

Литература

9.1.Основная литература

 

  Леонов Г.А. Теория управления. – Санкт-Петербург, 2006. – 234 с.
  Репин В., Елиферов В. Процессный подход к управлению. Моделирование бизнес-процессов. М.: Стандарты и качество, 2004. – 408 с.
  Петренко С., Симонов С. Управление информационными рисками. Экономически оправданная безопасность. — М.: АйТи-Пресс, 2004. — 392 с.
  Тихонов В., Райх В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. – М.: Гелиос АРВ, 2006 г. – 528 с.
  Минаев В.А., Фисун А.П. Правовое обеспечение информационной безопасности, Москва, 2008 г. – 368 с.
  Романов О.А., Бабин С.А., Жданов С.Г. Организационное обеспечение информационной безопасности. – М.: Академия, 2008 г. – 192 стр.
  Аудит информационной безопасности. Под ред. А.П.Курило. – М: БДЦ-Пресс, 2006 г – 304 с.
  Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006 г. – 264 с.
  Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: ДМК пресс, 2006 г. – 400 с.
  ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.
  ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
  ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью
  BS ISO/IEC 27002:2005 RU Информационные технологии - Методы обеспечения безопасности.
  ISO/IEC TR 18044:2004 Information technology – Security Techniques – Information security incident management
  BS 25999 – 1. Business continuity management. Code of practice
  СТО БР ИББС-1.0-2006. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»

9.2 Дополнительная литература

  Фисун А.П., Касилов А.Н., Глоба Ю.А. Право и информационная безопасность. — М., 2005.— 272 c.
  Нив Г. Пространство доктора Деминга. — М.: Альпина Бизнес Букс, 2007. — 370 с.
  Казанцев С. Правовое обеспечение информационной безопасности. – М.: Академия, 2007 г. – 240 с.
  СТО БР ИББС-1.1-2007. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
  ГОСТ Р ИСО/МЭК 9001: 2001. Системы менеджмента качества. Требования
  Geоrgia Killcrece. State of Practice of Computer Security Incident Response Teams, 2003. Carnegie Mellon Software Engineering Institute.
  NIST SP 800-61 “Computer security incident handling guide”.

 

 



Поделиться:


Последнее изменение этой страницы: 2016-08-12; просмотров: 1346; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.223.213.76 (0.01 с.)