Менеджмент риска информационной безопасности
Покупка
Основная коллекция
Издательство:
Южный федеральный университет
Год издания: 2016
Кол-во страниц: 107
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Магистратура
ISBN: 978-5-9275-2327-5
Артикул: 699260.01.99
Цель учебного пособия - рассмотреть стандартные процедуры ме-неджмента рисков информационной безопасности на предприятии. Да-ется представление о методологии и нормативном обеспечении проце-дур управления риском. Рассмотрены инструментальные средства, применяемые на практике при оценке безопасности предприятия. Учебное пособие предназначено для использования при подготовке специалистов по защите информации специальностей 10.05.02, 10.05.03, 10.05.04. Также пособие может быть полезно при подготовке по направлению «Информационная безопасность» бакалавров (10.03.01), магистров (10.04.01) и аспирантов (10.06.01).
Тематика:
ББК:
УДК:
ОКСО:
- 10.00.00: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Магистратура
- 10.04.01: Информационная безопасность
- ВО - Специалитет
- 10.05.02: Информационная безопасность телекоммуникационных систем
- 10.05.03: Информационная безопасность автоматизированных систем
- 10.05.04: Информационно-аналитические системы безопасности
- Аспирантура
- 10.06.01: Информационная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «ЮЖНЫЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ» ИНЖЕНЕРНО-ТЕХНОЛОГИЧЕСКАЯ АКАДЕМИЯ Г.Е. Веселов, Е.С. Абрамов, А.К. Шилов МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебное пособие Таганрог Издательство Южного федерального университета 2016
УДК 004.056.5 (075.8) ББК 32.973Я73 В161 Печатается по решению редакционно-издательского совета Южного федерального университета Рецензенты: заведующий кафедрой информатики Таганрогского института имени А.П.Чехова (филиал) «Ростовского государственного экономического университета (РИНХ)», доктор технических наук, профессор Ромм Я.Е.; доцент кафедры информационной безопасности телекоммуникацион ных систем, кандидат технических наук Балабаев С.Л. Веселов, Г.Е. В161 Менеджмент риска информационной безопасности: учебное пособие / Веселов Г.Е., Абрамов Е.С., Шилов А.К. ; Южный федеральный университет. – Таганрог : Издательство Южного федерального университета, 2016. – 107 с. ISBN 978-5-9275-2327-5 Цель учебного пособия – рассмотреть стандартные процедуры ме неджмента рисков информационной безопасности на предприятии. Дается представление о методологии и нормативном обеспечении процедур управления риском. Рассмотрены инструментальные средства, применяемые на практике при оценке безопасности предприятия. Учебное пособие предназначено для использования при подготовке специалистов по защите информации специальностей 10.05.02, 10.05.03, 10.05.04. Также пособие может быть полезно при подготовке по направлению «Информационная безопасность» бакалавров (10.03.01), магистров (10.04.01) и аспирантов (10.06.01). ISBN 978-5-9275-2327-5 УДК 004.056.5 (075.8) ББК 32.973Я73 © Южный федеральный университет, 2016 © Веселов Г.Е., Абрамов Е.С., Шилов А.К., 2016
Содержание Предисловие……………………………………………..………………..4 Введение…………………………………………………………………..7 1. Методология менеджмента риска …………........................................9 1.1. Основные понятия управления риском на предприятии……........9 1.2. Принципы управления риском на предприятии………….............16 1.3. Концепция проведения менеджмента риска на предприятии…...19 1.4. Процесс риск-менеджмента на предприятии …………………....25 Контрольные вопросы ……………..…………………………………..32 2. Методология менеджмента риска безопасности корпорации Майкрософт …………………….………………………………………33 2.1. Подход корпорации Майкрософт к управлению безопасностью…………………………………………………………..33 2.2. Определение уровня зрелости системы менеджмента риска предприятия …………………………………………………………….41 2.3. Методология MSAT для оценки защищенности корпоративной сети предприятия......................................................................................46 2.4. Применение программного средства MSAT для оценки безопасности предприятия……………………………………..……………….52 2.5. Анализ полного отчета MSAT по оценке безопасности предприятия …………………………………………………...………..63 Контрольные вопросы ……………..…………………………………...82 Заключение……………………………………………………………...83 Библиографический список……………………………….……………85 Приложения……………………………………………………………..87 Приложение 1. Сайты по теме пособия……………………...………..87 Приложение 2. Глоссарий стандартных терминов по менеджменту рисков информационной безопасности…………….............................90
Предисловие Пособие «Менеджмент риска информационной безопасности» стоит в ряду учебных пособий, посвященных вопросам управления информационной безопасностью предприятия [1–8]. Материал пособия учитывает требования к формированию профессиональных компетенций специалистов в области защиты информации [9–11]. Процесс управления информационной безопасностью строится на основе международных и отечественных стандартов, поэтому в пособии были использованы нормативные документы [12–20]. В практической части пособия использованы методология оценки безопасности предприятия корпорации Майкрософт и поддерживающая ее программа [12–20]. При подготовке данного учебного пособия ставились следующие задачи: – дать представление о методологии менеджмента рисков, связан ных с защитой информации; – рассмотреть нормативную базу оценки рисков информационной безопасности; – дать пример использования программных средств, применяемых на практике для оценки информационной безопасности предприятия. Во введении обоснована актуальность темы учебного пособия, дан обзор информационных источников. В разд. 1 дается методология менеджмента риска на предприятии в соответствии с современными нормативными требованиями. Показаны основные понятия и обсуждаются принципы управления риском на предприятии. Приводится концепция организации процесса менеджмента риска на предприятии. В разд. 2 приводится методология корпорации Майкрософт для ме неджмента риска безопасности предприятия. Рассматривается подход Майкрософт для определения уровня зрелости системы информационной безопасностью предприятия. Показывается применение программного средства Microsoft Security Assessment Tool (MSAT) для оценки безопасности предприятия. В прил. 1 приведены рекомендованные сайты по теме пособия. Ос новные стандартные термины по аудиту и менеджменту рисков, принятые в области менеджмента риска информационной безопасности, представлены в прил. 2. В заключении кратко выделяется взаимосвязь изученных понятий,
относящихся к менеджменту рисков информационной безопасности, а также устанавливается связь между материалом учебного пособия и составляющими профессиональных компетенций. Освоение материала данного учебно-методического пособия лежит в основе формирования у обучающихся следующих профессиональных компетенций [9–11]: – способность создавать и исследовать модели автоматизированных систем, модели угроз и модели нарушителя с целью анализа уязвимостей и разработки эффективных решений по обеспечению информационной безопасности автоматизированных систем (ПК-1); – способность проводить анализ защищенности и анализ рисков ин формационной безопасности автоматизированных систем (ПК-2); – способность участвовать в формировании политики информаци онной безопасности организации и контролировать эффективность ее реализации (ПК-17). Эти профессиональные компетенции необходимы для решения за дач, относящихся к таким видам профессиональной деятельности в сфере информационной безопасности, как научно-исследовательская, проектно-конструкторская, контрольно-аналитическая, организационно-управленческая и эксплуатационная. Изучение данного учебного пособия совместно с другими рекомен дованными информационными источниками обеспечивает обучающиеся возможностью приобрести следующие элементы компетенций. Знания: – принципов функционирования автоматизированных систем, ос новных понятий и принципов анализа и оценки рисков; – принципов построения современных систем обеспечения инфор мационной безопасности; – угроз и атак, характерных для автоматизированных систем. Умения: – анализировать структурные и функциональные схемы технологи ческих процессов обработки информации в автоматизированных системах; – разрабатывать модели угроз и модели нарушителя безопасности автоматизированных систем; – выделять подсистемы и модули, содержащие критическую ин формацию. Навыки: – выявления угроз безопасности автоматизированным системам;
– применения методов и средств анализа и оценки рисков; – работы со средствами поиска уязвимостей, фиксации параметров безопасности и анализа безопасности автоматизированных систем. Материалы, вошедшие в данное пособие, обеспечивают учебно методической базой следующие дисциплины: «Анализ рисков информационной безопасности», «Аудит информационных технологий и систем обеспечения информационной безопасности», «Основы информационной безопасности», «Управление информационной безопасностью» и «Комплексные системы защиты информации на предприятии». В полной мере данное учебно-методическое пособие может быть востребовано при подготовке специалистов по защите информации специальностей: 10.05.02 «Информационная безопасность телекоммуникационных систем», 10.05.03 «Информационная безопасность автоматизированных систем», 10.05.04 «Информационно-аналитические системы безопасности», 10.05.05 «Безопасность информационных технологий в правоохранительной сфере». Пособие может быть полезно при подготовке бакалавров по направлению 10.03.01 «Информационная безопасность», магистров по направлению 10.04.01 «Информационная безопасность» и аспирантов по направлению 10.06.01 «Информационная безопасность».
Введение Учебно-методическое пособие ориентировано для использования при изучении дисциплины «Анализ рисков информационной безопасности» и «Аудит информационных технологий и систем обеспечения информационной безопасности», которая могут быть включены в профессиональный цикл большинства специальностей направления «Информационная безопасность». Эти две дисциплины непосредственно готовят обучающихся к защите бизнес-активов предприятия, через их идентификацию и менеджмент связанных с ними рисков. Вовремя не устраненные уязвимости в обеспечении информацион ной безопасности (ИБ) активов могут привести к финансовым потерям и разрушению бизнес-процессов. Поэтому разработка эффективной системы управления информационной безопасностью (СУИБ) сегодня актуальна, как никогда прежде. Бизнес-операции в информационной среде с применением современных информационно телекоммуникационных технологий (ИТТ) выполняются через серверы, рабочие станции, ноутбуки, персональные компьютеры, сотовые телефоны и прочие устройства. С таких устройств сотрудники предприятия, подрядчики, поставщики и бизнес-партнеры могут осуществлять их в любой момент времени. Практически прямой доступ к ресурсам корпоративной сети получает большое число пользователей различных категорий и с различными правами доступа. По этой и другим причинам деятельности предприятия сопутствует риск, который может стать угрозой выполнения заявленных целей. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или даже инцидентов. Менеджмент риска, рассматриваемый в разд. 1, является важнейшей составляющей СУИБ, и включает применение логических и системных методов для обеспечения [14]: – обмена информацией и консультаций в области риска; – установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции; – мониторинга и анализа риска; – регистрации полученных результатов и составления отчетности. Данная техническая область развивается очень динамично, поэтому при написании данного учебно-методического пособия отобраны актуальные нормативные источники, которые помещены в библиографиче
ский список [12–20]. Целью разд. 2 является познакомить обучающихся с методологией по информационной безопасности корпорации Microsoft. В [21] приводится Руководство по управлению рисками безопасности, которое включает рекомендации по оценке рисков, поддержке принятия решений и реализации контроля и оценки эффективности программы управления информационной безопасностью. В [22] описана программа и методика ее применения в качестве ин струмента оценки информационной безопасности предприятия – Microsoft Security Assessment Tool (MSAT). Это программное средство разработано, чтобы помочь службе безопасности предприятия оценить уязвимости в используемых информационных технологиях. Методика включает список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз. Результаты прогона программы представляют собой снимок текущего состояния безопасности. Полученные результаты позволяют обоснованно выполнить мероприятия по усилению безопасности вычислительной среды предприятия. Применение программы после внедрения контрмер обепечивает возможность дальнейшего мониторинга безопасности. В частности, способности ИТ-инфраструктуры предприятия отвечать на возможные угрозы. Технические данные программы следующие: – версия: 4.0.2.35, дата публикации: 01.03.2009; – File Size: 4.2 MB, File Name: MSAT Russian.zip, – сайт, где разрешено бесплатное скачивание программы – https://technet.microsoft.com/ru-ru/security/cc185712.aspx. В прил. 1 приведен глоссарий стандартных терминов, связанных с менеджментом риска и оценкой безопасности предприятий, по методике MSAT. Предполагается, что при использовании данного пособия обучаю щиеся получат теоретическую и практическую подготовку к деятельности, связанной с количественным риск-анализом процессов обработки, поиска и передачи информации в автоматизированных системах (АС). В пособии использованы рекомендации современных нормативных документов по менеджменту информационной безопасности. Показана актуальность менеджмента риска для безопасности предприятий, а описанные методологии и инструментальные средства автоматизации применимы для предприятий всех видов и любой величины.
1. МЕТОДОЛОГИЯ МЕНЕДЖМЕНТА РИСКА 1.1. Основные понятия управления риском на предприятии Предприятия (организации, учреждения, заведения) всех типов и размеров в своей деятельности сталкиваются с внутренними и внешними факторами, влияние которых может поставить под сомнение достижение целей предприятия. В нормативных документах по менеджменту риска [12–14] неопределенность, возникающая от воздействия этих факторов, связывается с понятием «риск». Риск – сочетание вероятности события и его последствий; следствие влияния неопределенности на достижение поставленных целей. Работа любого предприятия связана с риском. Поэтому предприятия стремятся управлять риском посредством его идентификации, анализа и последующего решения, следует ли его подвергнуть обработке с целью удовлетворения выбранных критериев риска. При этом предприятия осуществляют коммуникации и консалтинг с заинтересованными сторонами, управляют и анализируют риск, а также модифицируют риск с целью обеспечения того, чтобы последующая обработка риска не потребовалась. Стандарт ГОСТ 31000 [13] описывает этот процесс в деталях, требуя его систематичности и логичности, что делает управление рисками более эффективным. Термины «управление» и «менеджмент» риска близкие, но имеется следующее различие. Менеджмент риска относится к архитектуре (принципам, инфра структуре и процессу) эффективного управления рисками. Управление риском относится к применению этой архитектуры к конкретным рискам. Стандарты требуют от предприятия развивать, внедрять и постоян но улучшать систему, целью которой является интеграция процесса по управлению рисками с руководством собственно бизнес-процессами, которые включают управление стратегией и планированием, процессами отчетности, ценностями и культурой. В начале общего процесса управления рисками должен быть «уста новлен контекст». При этом фиксируются цели предприятия, условия, при которых предприятие пытается достичь своих целей, заинтересованные стороны и разнообразие критериев риска, отражающих природу и сложность риска предприятия. Отношение между принципами, системой, в которой они реализуются, и процессом управления рисками показано на рис.1.
Рис.1. Принципы, концепция и процессы управления рисками, представленные в разделах ГОСТ 31000 [13]