Петренко С. А., Симонов С. В




НазваниеПетренко С. А., Симонов С. В
страница1/61
Дата публикации15.06.2013
Размер4.68 Mb.
ТипКнига
www.lit-yaz.ru > Информатика > Книга
  1   2   3   4   5   6   7   8   9   ...   61


Петренко С. А.

Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.: ил. - (Информационные технологии для инженеров).

ISBN 5-98453-001-5 (АйТи) - ISBN 5-94074-246-7 (ДМК Пресс)

В книге подробно рассмотрены возможные постановки задач анализа информационных рисков и управления ими при организации режима информационной безопасности в отечественных компаниях. Рассмотрена международная концепция обеспечения информационной безопасности, а также различные подходы и рекомендации по решению задач анализа рисков и управления ими. Дан обзор основных стандартов в области защиты информации и управления рисками: ISO 17799, ISO 15408, BSI, NIST, MITRE.

В настоящем издании обсуждаются инструментальные средства для анализа рисков (COBRA CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по использованию указанных средств на практике для анализа рисков информационных систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторжений с задачей управления рисками. Предложены технологии оценки эффективности обеспечения информационной безопасности в отечественных компаниях.

Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), менеджерам высшего эшелона компаний, занимающимся оценкой информационных рисков компании и их управлением, а также студентам и аспирантам соответствующих технических специальностей.

Содержание

Предисловие 8

^ Глава 1 
Анализ рисков в области защиты информации 12


2 Информационная безопасность бизнеса 12

3 Развитие службы информационной безопасности 14

4 Международная практика защиты информации 18

5 Модель Symantec LifeCycle Security 22

6 Постановка задачи анализа рисков 24

7 Модель Gartner Group 24

8 Модель Carnegie Mellon University 24

9 Различные взгляды на защиту информации 28

10 Национальные особенности защиты информации 29

11 Особенности отечественных нормативных документов 30

12 Учет остаточных рисков 31

^ Глава 13 
Управление рисками и международные стандарты 33


14 Международный стандарт ISO 17799 33

15 Обзор стандарта BS 7799 34

16 Развитие стандарта BS 7799 (ISO 17799) 41

17 Германский стандарт BSI 43

18 Сравнение стандартов ISO 17799 и BSI 45

19 Стандарт США NIST 800-30 46

20 Алгоритм описания информационной системы 48

21 Идентификация угроз и уязвимостей 49

22 Организация защиты информации 50

23 Ведомственные и корпоративные стандарты управления ИБ 52

24 XBSS-спецификации сервисов безопасности Х/Ореп 52

25 Стандарт NASA «Безопасность информационных технологий» 56

26 Концепция управления рисками MITRE 56

^ Глава 27 
Технологии анализа рисков 58


28 Вопросы анализа рисков и управления ими 58

29 Идентификация рисков 58

30 Оценивание рисков 58

31 Измерение рисков 60

32 Выбор допустимого уровня риска 67

33 Выбор контрмер и оценка их эффективности 67

34 Разработка корпоративной методики анализа рисков 70

35 Постановка задачи 70

36 Методы оценивания информационных рисков 72

37 Табличные методы оценки рисков 73

38 Методика анализа рисков Microsoft 76

^ Глава 39 
Инструментальные средства анализа рисков 78


40 Инструментарий базового уровня 78

41 Справочные и методические материалы 78

42 COBRA 79

43 RA Software Tool 80

44 Средства полного анализа рисков 81

45 Метод CRAMM 82

46 Пример использования метода CRAMM 84

47 Средства компании MethodWare 91

48 Экспертная система «АванГард» 94

49 RiskWatch 102

^ Глава 50 
Аудит безопасности и анализ рисков 107


51 Актуальность аудита безопасности 107

52 Основные понятия и определения 110

53 Аудит безопасности в соответствии с BS 7799, часть 2 111

54 Сертификация и аудит: организационные аспекты 111

55 Методика проведения аудита 112

56 Варианты аудита безопасности 113

57 Организация проведения аудита 115

58 Аудит информационной системы: рекомендации COBIT 3rd Edition 116

59 Этапы проведения аудита 120

60 Пример аудита системы расчета зарплаты 123

^ Глава 61 
Анализ защищенности информационной системы 128


62 Исходные данные 128

63 Анализ конфигурации средств защиты внешнего периметра ЛВС 130

64 Методы тестирования системы защиты 130

65 Средства анализа защищенности 131

66 Спецификации Security Benchmarks 132

67 Спецификация Windows 2000 Security Benchmark 133

68 Возможности сетевых сканеров 135

69 Сканер Symantec NetRecon 136

70 Сканер NESSUS 138

71 Средства контроля защищенности системного уровня 141

72 Система Symantec Enterprise Security Manager 142

73 Перспективы развития 149

^ Глава 74 
Обнаружение атак и управление рисками 151


75 Сетевые атаки 151

76 Обнаружение атак как метод управления рисками 153

77 Оценка серьезности сетевой атаки 154

78 Ограничения межсетевых экранов 155

79 Анализ подозрительного трафика 156

80 Сигнатуры как основной механизм выявления атак 156

81 Анализ сетевого трафика и анализ контента 157

82 Пример анализа подозрительного трафика 157

83 IDS как средство управления рисками 161

84 Типовая архитектура системы выявления атак 161

85 Стандарты, определяющие правила взаимодействия между компонентами системы выявления атак 162

86 Форматы обмена данными 163

87 CVE - тезаурус уязвимостей 163

88 CIDF 164

89 Рабочая группа IDWG 164

90 Возможности коммерческих IDS 166

91 Средства защиты информации компании Symantec 166

92 Symantec Intruder Alert 166

93 Пример использования Symantec IDS 171

94 Тенденции развития 173

^ Приложение 000
Исследование состояния информационной безопасности в мире 174


Введение 174

Нарушения системы ИБ 175

Вовлечение высшего руководства 177

Степень вовлечения высшего руководства 178

Формальные критерии оценки функционирования системы ИБ 179

Изменение эффективности работы системы ИБ 180

Контроль и регистрация инцидентов в области ИБ 180

Меры воздействия на нарушителей ИБ 181

Программа внедрения ИБ 182

Численность персонала службы ИБ 182

Квалификация персонала службы ИБ 182

Независимость службы информационной безопасности от ИТ 183

Политика в области ИБ 184

Области, охваченные политикой ИБ 185

Управление ИБ 187

Делегирование функций ИБ внешним организациям 187

Тестируют ли компании надежность системы ИБ? 188

Управление персоналом 189

Осведомленность в вопросах безопасности за пределами организации 189

Кампании по повышению осведомленности в вопросах ИБ 190

Защита технологической инфраструктуры и обеспечение непрерывности ведения бизнеса 191

Внедрение инфраструктуры открытых ключей (PKI) 191

Беспроводные сети 191

Защита портативных устройств 192

Идентификация пользователей 192

Удаленный доступ к корпоративным системам 193

Парольная защита 194

Система обнаружения вторжений (IDS) 194

Отчетность о нарушениях 195

^ Приложение 000
Международное исследование по вопросам информационной безопасности 196


Цифры и факты 196

Путеводитель по исследованию 196

Резюме исследования 197

Насколько вы уверены в своем предприятии 198

Управление безопасностью 198

Результаты исследования 198

Что это может означать для вашего предприятия 199

Что может предпринять руководство 200

Что можно сделать 201

Как используется система информационной безопасности 202

Результаты исследования 202

Какие последствия могут ожидать вашу компанию 203

Что вы можете сделать 204

Доступность информационных технологий 205

Выводы 206

Что это может означать для вашей компании 206

Что вы можете сделать 207

Что в будущем 208

Выводы 208

Что это может означать для вашей компании 208

Что вы можете сделать 209

Что делать дальше 209

Методология проведения исследования 210

«Эрнст энд Янг» - решение реальных проблем 211

^ Приложение 000
Основные понятия и определения управления рисками 212


Терминология и определения в публикациях на русском языке 212

Терминология и определения на английском языке (определения взяты из глоссария [334] и даются в переводе) 213

^ Приложение 000
Каталоги угроз и контрмер IT Baseline 217


Каталоги угроз и контрмер, используемые в Германском стандарте IT Baseline Protection Manual 217

Каталог угроз 217

Каталог контрмер 223

^ Приложение 000
Классификация ресурсов, угроз и контрмер CRAMM 239


Классификация ресурсов, угроз и контрмер в методе CRAMM для профиля Commercial. Классификация физических ресурсов 239

Классы угроз 241

Классы контрмер 242

^ Приложение 000
Оценка рисков экспертными методами 245


Оценка субъективной вероятности 245

Классификация методов получения субъективной вероятности 246

Методы получения субъективной вероятности 246

Методы оценок непрерывных распределений 247

Метод изменяющегося интервала 247

Метод фиксированного интервала 248

Графический метод 248

Некоторые рекомендации 249

Агрегирование субъективных вероятностей 249

Методы теории полезности 250

Необходимые сведения из теории полезности 251

Применение методов теории полезности 251

Классификация функций полезности по склонности к риску 251

Многомерные функции полезности 252

Методы построения многомерных функций полезности 253

Метод анализа иерархий 258

^ Приложение 000
Оценка затрат (ТСО) на информационную безопасность 259


История вопроса 259

Западный опыт - на вооружение 260

Оценка текущего уровня ТСО 262

Аудит ИБ компании 262

Формирование целевой модели ТСО 263

Пример оценки затрат на ИБ 263

Специфика расчета ТСО в российских условиях 267

Примерный перечень затрат на безопасность 268

Затраты на ИБ и уровень достигаемой защищенности 272

Определение объема затрат 275

База измерений 278

Анализ затрат на ИБ 280

Отчет по затратам на безопасность 280

Анализ затрат 282

Принятие решений 283

Внедрение системы учета затрат на ИБ 284

Резюме 284

Заключение 285

Литература 287

135. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. - М.: Издательство СИП РИА, 2001. 293


  1   2   3   4   5   6   7   8   9   ...   61

Добавить документ в свой блог или на сайт

Похожие:

Петренко С. А., Симонов С. В iconОдин из наиболее ярких поэтов этой поры Константин Симонов. Симонов...
Закончив его, Симонов поступил учиться в аспирантуру, а в 1939 году уехал военным корреспондентом в Монголию, на Халкин-Гол, уехал,...

Петренко С. А., Симонов С. В iconОформление П. Петрова Ялом И. Вглядываясь в солнце. Жизнь без страха...
Вглядываясь в солнце. Жизнь без страха смер­ти / Ирвин Ялом; [пер с англ. А. Петренко]. — М.: Эксмо, 2009. 352 с

Петренко С. А., Симонов С. В iconВеликой Отечественной войны — вообще центральная в творчестве К....
Родине. Особенно ярко этот пафос нашей литературы проявлялся в горькую годину военных испытаний нашего Отечества. Книги военного...

Петренко С. А., Симонов С. В iconОглавление
Начальник отдела управления имуществом и корпоративных процедур ООО «лукойл-ттк» Петренко Инна Вячеславовна. (8442) 25-27-58 e-mail:...

Петренко С. А., Симонов С. В iconЧто читать летом (5 класс)
Стихотворения, посвященные Великой Отечественной войне. А. Твардовский. К. Симонов, Д. Самойлов

Петренко С. А., Симонов С. В iconЧто читать летом (5 класс)
Стихотворения, посвященные Великой Отечественной войне. А. Твардовский. К. Симонов, Д. Самойлов

Петренко С. А., Симонов С. В iconО проведении уроков, посвящённых 68-годовщине Победы в Великой Отечественной войне
К. М. Симонов «Майор привёз мальчишку на лафете…», А. Т. Твардовский «Рассказ танкиста»

Петренко С. А., Симонов С. В iconПеревод п. А. Петренко
Это издание имеет специальное примеч.:«В литературно-стилистической работе над текстом настоящего издания принял участие и строфы...

Петренко С. А., Симонов С. В iconЕ. Р. Петренко Согласованно: председатель
Программа предназначена для всестороннего развития детей в возрасте от 3 до 7 лет с учётом их возрастных и индивидуальных особенностей,...

Петренко С. А., Симонов С. В iconТема: «Это нужно не мертвым, это нужно живым» (К. Симонов) Ход мероприятия
Две пары выходят на середину кабинета и танцуют под песню «Школьный вальс» (звук тихий)



Образовательный материал



При копировании материала укажите ссылку © 2013
контакты
www.lit-yaz.ru
главная страница