Вопросы управления информационной безопасностью
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Авторы:
Курило Андрей Петрович, Милославская Наталья Георгиевна, Сенаторов Михаил Юрьевич, Толстой Александр Иванович
Год издания: 2013
Кол-во страниц: 244
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Профессиональное образование
ISBN: 978-5-9912-0271-8
Артикул: 428289.05.99
Изложены основы управления информационной безопасностью (ИБ).
Вводятся основные определения и понятия: ИБ, политика ИБ, управле-
ние ИБ и другие. Описываются процесс управления ИБ и его состав-
ляющие. Определяются система управления (СУИБ) организации, ее об-
ласть действия и документальное обеспечение, включая политику СУИБ.
Подробно рассматриваются этапы планирования, реализации, проверки
и совершенствования СУИБ. Анализируется текущая ситуация в области
стандартизации управления ИБ, в частности международные и россий-
ские стандарты, устанавливающие требования к СУИБ и отдельным про-
цессам управления ИБ.
Для студентов высших учебных заведений, обучающихся по про-
граммам бакалавриата, магистратуры и специалитета укрупненного
направления 090000 - «Информационная безопасность», будет полезно
слушателям курсов переподготовки и повышения квалификации и спе-
циалистам.
Тематика:
ББК:
УДК:
ОКСО:
- 10.00.00: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Магистратура
- 10.04.01: Информационная безопасность
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Москва Горячая линия - Телеком 2013
УДК 004.732.056(075.8) ББК 32.973.2-018.2я73 О-75 Р е ц е н з е н т ы : кафедра защиты информации НИЯУ МИФИ (зав. кафедрой кандидат техн. наук, профессор А. А. Малюк); академик РАН И. А. Соколов; доктор техн. наук, профессор П. Д. Зегжда; доктор техн. наук, профессор А. Г. Остапенко А в т о р ы : А. П. Курило, Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой О-75 Основы управления информационной безопасностью. Учебное пособие для вузов. – М.: Горячая линия–Телеком, 2013. – 244 с.: ил. – Серия «Вопросы управления информационной безопасностью. Выпуск 1» ISBN 978-5-9912-0271-8. Изложены основы управления информационной безопасностью (ИБ). Вводятся основные определения и понятия: ИБ, политика ИБ, управление ИБ и другие. Описываются процесс управления ИБ и его составляющие. Определяются система управления (СУИБ) организации, ее область действия и документальное обеспечение, включая политику СУИБ. Подробно рассматриваются этапы планирования, реализации, проверки и совершенствования СУИБ. Анализируется текущая ситуация в области стандартизации управления ИБ, в частности международные и российские стандарты, устанавливающие требования к СУИБ и отдельным процессам управления ИБ. Для студентов высших учебных заведений, обучающихся по программам бакалавриата, магистратуры и специалитета укрупненного направления 090000 – «Информационная безопасность», будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам. ББК 32.973.2-018.2я73 Учебное издание Курило Андрей Петрович, Милославская Наталья Георгиевна, Сенаторов Михаил Юрьевич, Толстой Александр Иванович Основы управления информационной безопасностью Учебное пособие для вузов Обложка художника О. Г. Карповой Компьютерная верстка Н. В. Дмитриевой Подписано в печать 30.06.2012. Формат 60×90/16. Усл. печ. л. 15,25. Тираж 500 экз. Изд. № 12271 ISBN 978-5-9912-0271-8 © А. П. Курило, Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой, 2012 © Издательство «Горячая линия–Телеком», 2012
ПРЕДИСЛОВИЕ к серии учебных пособий «Вопросы управления информационной безопасностью» В настоящее время подготовку профессионалов по различным аспектам обеспечения информационной безопасности (ИБ) осуществляют различные образовательные учреждения (высшие образовательные учреждения, учебные центры дополнительного образования). При этом они испытывают острую нехватку узкопрофильной учебно-методической литературы, что в первую очередь сказывается на качестве обучения. Учитывая современные подходы к обеспечению ИБ (ОИБ) объектов и систем, связанные с повышение роли процессов управления, авторы предлагаемой работы поставили задачу создания серии учебных пособий, отражающих решения базовых проблем управления ИБ, являющихся универсальными по отношению к различным объектам и системам. Основой для написания серии учебных пособий послужили опыт преподавания на факультете «Кибернетика и информационная безопасность» Национального исследовательского ядерного университета «МИФИ» учебной дисциплины «Управление информационной безопасностью», в рамках реализации учебного плана специализации «Информационная безопасность открытых систем» специальности 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем» (Государственный образовательный стандарт второго поколения), а также ранее изданные учебные пособия лично авторов и их коллег, международные и национальные стандарты, российские и зарубежные публикации по рассматриваемой тематике. Необходимо отметить, что повышение роли процессов управления при ОИБ систем и объектов было учтено при разработке соответствующих Федеральных государственных образовательных стандартов (ФГОС) третьего поколения, относящихся к направлениям и специальностям подготовки кадров с высшим образованием. Анализ ФГОС укрупненного направления подготовки 090000 «Информационная безопасность» позволил выделить области профессиональной деятельности и рекомендуемые учебные дисциплины, относящиеся к управлению ИБ (табл. ПР-1). При подготовке бакалавров и магистров направления 090900 «Информационная безопасность», а также специалистов по специальностям 090301, 090302, 090303 и 090915 среди объектов профессиональной деятельности указаны или процессы, или системы управления ИБ (СУИБ). Формирование при этом необходимых профессиональ
Основы управления ИБ ных компетенций ФГОС рекомендуют в рамках соответствующих учебных дисциплин, относящихся к базовой части (бакалавры, магистры, специальностей 090303 и 090915), или к частям, относящимся к определенным специализациям специальностей 090301, 090302 и 090303. Учитывая эти особенности, авторы включили в серию «Вопросы управления ИБ» учебные пособия, которые могут быть полезны при разработке и реализации указанных в табл. ПР-1 учебных дисциплин, относящихся к различным направлениям и специальностям подготовки, и направленные на изучение основных положений, связанных с управлением ИБ, и подходов к разработке, реализации, эксплуатации, анализу, сопровождению и совершенствованию СУИБ определенного объекта. Таблица ПР-1. Направления подготовки, объекты профессиональной деятельностии учебные дисциплины, относящиеся к управлению ИБ Направление/ специальность Объект профессиональной деятельности Дисциплина Направление 090900 «Информационная безопасность» (подготовка бакалавров) Процессы управления ИБ защищаемых объектов Управление ИБ Направление 090900 «Информационная безопасность» (подготовка магистров) Процессы управления ИБ защищаемых объектов, методы и средства оптимизации процессов управления Управление ИБ Специальность 090301 «Компьютерная безопасность» Системы управления ИБ компьютерных систем Теория управления ИБ распределенных компьютерных систем; Методы анализа рисков (специализация «Безопасность распределенных компьютерных систем») Специальность 090302 «Информационная безопасность телекоммуникационных систем» Управление ИБ информационно-телекоммуникационных сетей и систем Планирование и управление ИБ (специализация «Защита информации в системах связи и управления»); Управление ИБ телекоммуникационных систем (специализация «Разработка защищенных телекоммуникационных систем»)
Предисловие к серии учебных пособий 5 Направление/ специальность Объект профессиональной деятельности Дисциплина Специальность 090303 «Информационная безопасность автоматизированных систем» Системы управления ИБ автоматизированных систем (АС) Управление ИБ (специальность); Аудит информационных технологий и систем ОИБ (специализация «Безопасность открытых информационных систем»); Менеджмент инцидентов ИБ защищенных АС управления (специализация «Защищенные АС управления»); Мониторинг безопасности ИС, Анализ рисков ИБ (специализация «Анализ безопасности информационных систем»); Угрозы ИБ АС, Оценка ИБ АС в защищенном исполнении (специализация «Создание АС в защищенном исполнении») Специальность 090915 «Безопасность информационных технологий в правоохранительной области» Процесс управления системами, обеспечивающими ИБ на защищаемых объектах, методы и средства оптимизации процессов управления Управление ИБ (специальность) В настоящее время в серию «Вопросы управления информационной безопасностью» включены следующие учебные пособия: Часть 1. Основы управления информационной безопасностью (книга 1). Часть 2. Управление рисками информационной безопасности (книга 2). Часть 3. Управление инцидентами информационной безопасности и непрерывностью бизнеса (книга 3). Часть 4. Технические, организационные и кадровые аспекты управления информационной безопасностью (книга 4). Часть 5. Проверка и оценка деятельности по управлению информационной безопасностью (книга 5). Основная задача, которую призвана решить данная серия учебных пособий, – это представить обучающимся систематизированный подход к проблеме управления ИБ, ознакомить их с возможными вариантами решений, показать главные составляющие процесса управления ИБ, изложить основные концептуальные подходы к правильной организации управления ИБ на основе создания СУИБ с учетом выявленных рисков ИБ, а также научить квалифицированно разрабатывать документальное обеспечение для СУИБ, оценивать ее деятельность, выбирать, приме
Основы управления ИБ нять и самостоятельно разрабатывать защитные меры и средства защиты информации (СЗИ) для обеспечения требуемого уровня ИБ. Освоение материалов серии учебных пособий будет способствовать эффективному формированию у обучающихся следующих профессиональных компетенций: способность участвовать в управлении ИБ объекта; способность участвовать в проектировании и разработке системы управления ИБ объекта; способность участвовать в проведении контрольных мероприятий по определению эффективности и результативности СУИБ объекта. Эти профессиональные компетенции необходимы для решения задач, относящихся к таким видам профессиональной деятельности в сфере управления ИБ, как организационно-управленческая, проектно-конструкторская или контрольно-аналитическая. После изучения учебных дисциплин, изложенных в пособиях данной серии, обучающиеся будут Знать: принципы построения СУИБ объекта; современные подходы к управлению ИБ объекта и направления их развития; особенности отдельных процессов управления ИБ в рамках СУИБ; основные международные и российские стандарты, регламентирующие управление ИБ; принципы разработки процессов управления ИБ; принципы создания основных документов, регламентирующих вопросы управления ИБ; подходы к интеграции СУИБ в общую систему управления организации. Уметь: анализировать текущее состояние ИБ на предприятии с целью подготовки требований к разрабатываемым процессам управления ИБ; определять цели и задачи, решаемые разрабатываемыми процессами управления ИБ; применять процессный подход к управлению ИБ в различных сферах деятельности; используя современные методы и средства, разрабатывать процессы управления ИБ, учитывающие особенности функционирования предприятия и решаемых им задач, и оценивать их эффективность; практически решать задачи формализации разрабатываемых процессов управления ИБ; разрабатывать документальное обеспечение для процессов управления ИБ, включая различные политики ИБ (ПолИБ) и применять его на практике.
Предисловие к серии учебных пособий 7 Владеть: терминологией и процессным подходом построения СУИБ; навыками анализа бизнес-активов организации, угроз ИБ и уязвимостей в рамках области действия СУИБ; навыками построения как отдельных процессов управления ИБ, так и системы процессов в целом. Сравнительный анализ приведенных выше квалификационных характеристик и требований к результатам освоения основных образовательных программ подготовки выпускников образовательных учреждений высшего профессионального образования, приведенных в ФГОС третьего поколения, позволяет предположить, что предлагаемая серия учебных пособий может рассматриваться в качестве учебно-методической базы обучающихся по программам бакалавриата, магистратуры и специалитета укрупненного направления 090000 – «Информационная безопасность». Необходимо отметить, что разные учебные пособия серии будут обеспечивать разную полноту информационного обеспечения учебных дисциплин, относящихся к различным направлениям и специальностям. Поэтому серия «Основы управления информационной безопасностью» может быть дополнена частями, более полно раскрывающими содержание определенных учебных дисциплин и отражающими особенности отдельных основных образовательных программ. Кроме этого учебные пособия серии «Вопросы управления информационной безопасностью» могут быть полезны при реализации программ дополнительного образования (курсы повышения квалификации или переподготовки кадров). Важно подчеркнуть, что для приступающих к ознакомлению с серией учебных пособий есть определенные требования по предварительной подготовке. Например, следует знать основы теории ИБ и комплексный подход к ОИБ; информационные системы, сети и сервисы; уязвимости, угрозы ИБ и атаки в информационной среде; виды современных систем и средств защиты информации. Авторы признательны коллегам по факультету «Кибернетика и информационная безопасность» НИЯУ МИФИ, а также всем рецензентам. Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы управления ИБ организации, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебными пособиями.
ПРЕДИСЛОВИЕ Учебное пособие «Основы управления информационной безопасностью» является первой частью серии учебных пособий «Вопросы управления информационной безопасностью». При подготовке данного учебного пособия были поставлены следующие задачи: 1) определить основные понятия, относящиеся к управлению информационной безопасностью (ИБ); 2) описать процесс управления ИБ и его составляющие; 3) определить особенности системы управления ИБ (СУИБ) организации, ее область действия и документальное обеспечение, включая политику СУИБ; 4) подробно рассмотреть этапы планирования, реализации, проверки и совершенствования СУИБ; 5) дать подробный анализ текущей ситуации в области стандартизации управления ИБ. Исходя из поставленных задач, была определена структура учебного пособия «Основы управления информационной безопасностью», которое состоит из введения, четырех глав, приложения и списка литературы из 98 наименований. Во введении обоснована актуальность темы учебного пособия. Глава 1 посвящена определению круга понятий, которые будут использоваться в последующих разделах и на всех этапах, относящихся к разработке, эксплуатации и контролю эффективности. В частности, напоминаются основные определения из теории систем («система», «системный подход», «системный подход к управлению организацией») и теории управления («процесс», «процессный подход», «процессный подход к управлению организацией», «циклическая модель улучшения процессов» – цикл PDCA, «управление»), которые будут использоваться во всех последующих главах учебного пособия, и термин «информационная безопасность». В главе 2 проанализирована текущая ситуация в области стандартизации управления ИБ. Рассматриваются международные и российские стандарты, выдвигающие требования как к СУИБ, так и к отдельным процессам управления ИБ (серия стандартов ИСО/МЭК 27000, немецкие стандарты BSI, стандарты Банка России в области обеспечения ИБ (ОИБ) для организаций банковской системы Российской Федерации и т. д.). В главе 3 вводятся понятия политик ОИБ вообще и ПолИБ организации. Излагаются причины выработки политик для организации, основные требования к ней и принципы ее разработки и внедрения. Подробно рассматриваются содержания корпоративной и частных ПолИБ. Описываются основные шаги, необходимые для выполнения на различных стадиях жизненного цикла политики.
Предисловие 9 Глава 4 рассматривает вопросы, связанные с управлением ИБ и построением СУИБ. Обосновывается необходимость управления деятельностью по ОИБ, которая описывается как процесс. Вводится понятие «управление ИБ организации». Рассматривается процесс управления ИБ информационно-телекоммуникационными технологиями (ИТТ), который интегрируется в общий процесс управления ИТТ организации. Определяется СУИБ организации, ее область действия и документальное обеспечение, включая политику СУИБ. В рамках управления ИБ описывается применение процессного подхода с этапами «планирование – реализация – проверка – совершенствование» ко всем процессам СУИБ. Анализируется работа с процессами СУИБ, включающая задание процесса, его идентификацию, документирование и описание, мониторинг и измерение. Рассматриваются две стратегии построения и внедрения СУИБ – в целом и по отдельным процессам управления ИБ. В заключении кратко выделяется взаимосвязь изученных понятий, относящихся к управлению ИБ, а также устанавливается связь между материалом учебного пособия и составляющими профессиональных компетенций. В приложении приводится информация справочного характера в виде примеров частных ПолИБ. Освоение материалов данного учебного пособия формирует у обучающихся обозначенные выше профессиональные компетенции: способность участвовать в управлении ИБ объекта; способность участвовать в проектировании и разработке системы управления ИБ объекта; способность участвовать в проведении контрольных мероприятий по определению эффективности и результативности СУИБ объекта. После изучения учебного пособия «Основы управления информационной безопасностью» обучающиеся будут Знать принципы построения СУИБ объекта; современные подходы к управлению ИБ объекта и направления их развития; особенности отдельных процессов управления ИБ в рамках СУИБ; основные международные и российские стандарты, регламентирующие управление ИБ; принципы разработки процессов управления ИБ. Уметь анализировать текущее состояние ИБ на предприятии с целью разработки требований к разрабатываемым процессам управления ИБ; определять цели и задачи, решаемые разрабатываемыми процессами управления ИБ; применять процессный подход к управлению ИБ в различных сферах деятельности.
Основы управления ИБ Владеть терминологией и процессным подходом построения СУИБ. Материалы, вошедшие в учебное пособие «Основы управления информационной безопасностью», обеспечивают учебно-методической базой любую учебную дисциплину, относящуюся к управлению ИБ. Поэтому данное учебное пособие может быть рекомендовано студентам высших учебных заведений, обучающимся по программам бакалавриата, магистратуры и специалитета укрупненного направления 090000 – «Информационная безопасность». Учебное пособие может быть также полезно слушателям курсов повышения квалификации. Кроме этого, представляемое учебное пособие «Основы управления информационной безопасностью» из серии «Вопросы управления информационной безопасностью» может быть полезным при реализации программ дополнительного образования (курсы повышения квалификации или переподготовки кадров).