Рекомендуем

Модели безопасности компьютерных систем. Управление доступом 
и информационными потокамиДевянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками
Основы управления информационной безопасностьюКурило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Основы управления информационной безопасностью
Управление рисками информационной безопасностиМилославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности

Книга

Управление рисками информационной безопасности

Учебное пособие для вузов
3-е издание, переработанное и дополненное

Серия «Вопросы управления информационной безопасностью. Выпуск 2»
2022 г.
224 стр.
Тираж 500 экз.
Формат 60х90/16 (145x215 мм)
Исполнение: в мягкой обложке
ISBN 978-5-9912-0962-5
ББК 32.973.2-018.2я73
УДК 004.732.056(075.8)
Гриф
Рекомендовано Федеральным учебно-методическим объединением в системе высшего образования по укрупненной группе специальностей и направлений подготовки 10.00.00 - «Информационная безопасность» в качестве учебного пособия для студентов образовательных организаций высшего образования, обучающихся по направлению подготовки 10.04.01 - «Информационная безопасность»
Аннотация

В учебном пособии вводится понятие риска информационной безопасности (ИБ) и определяются процесс и система управления рисками ИБ. Детально рассматриваются составляющие процесса управления рисками ИБ, а именно: установление контекста управления рисками ИБ с определением базовых критериев принятия решений и определением области действия и границ управления рисками ИБ; оценка рисков ИБ, состоящая из двух этапов – анализа (с идентификацией активов, угроз ИБ, существующих элементов управления, уязвимостей и последствий) и оценивания (с определением последствий, вероятностей и количественной оценки рисков) рисков ИБ; обработка рисков ИБ, включающая снижение, сохранение, предотвращение и перенос; принятие риска ИБ; коммуникация рисков ИБ; мониторинг и переоценка рисков ИБ. Также анализируются различные подходы к оценке рисков ИБ (высокоуровневая, детальная, комбинированная и базовая оценка рисков ИБ, подход Банка России). В заключении кратко описываются кадровое и документальное обеспечение и инструментальные средства управления рисками ИБ.

Для студентов вузов, обучающихся по программам магистратуры направления 10.04.01 – «Информационная безопасность», будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам.

Оглавление

Предисловие

Введение

1. Нормативное обеспечение управления рисками информационной безопасности
1.1. Стандарты, посвященные рискам без указания конкретной предметной области
1.1.1. ГОСТ Р 51897–2011/Руководство ИСО 73:2009 — термины и определения в области рисков
1.1.2. ГОСТ Р 51901.23–2012 — реестр рисков
1.1.3. NIST SP 800-30 — руководство по проведению оценок рисков
1.1.4. ГОСТ Р ИСО 31000–2019 — принципы и руководство по управлению рисками
1.1.5. ГОСТ Р 58771–2019 — технологии оценки рисков
1.2. Документы, посвященные рискам информационной безопасности
1.2.1. РС БР ИББС-2.2–2009 — управление рисками нарушения ИБ для организации банковской системы
1.2.2. NIST SP 800-39 — управление рисками ИБ с точки зрения организации миссии и информационных систем
1.2.3. ISO/IEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001–2006 — риск-ориентированный подход к управлению ИБ
1.2.4. BS 7799–3:2017 — руководство по управлению рисками ИБ
1.2.5. NIST SP 800-37 — инфраструктура управления рисками для информационных систем и организаций для обеспечения безопасности
1.2.6. ISO/IEC 27005:2018 и ГОСТ Р ИСО/МЭК 27005–2010 — управление рисками
Вопросы для самоконтроля

2. Основные определения
2.1. Риск нарушения ИБ, или риск ИБ
2.2. Управление рисками ИБ
2.3. Составляющие процесса управления рисками ИБ
2.4. Системный подход к управлению рисками ИБ
2.5. Установление контекста управления рисками ИБ
2.5.1. Базовые критерии принятия решений по управлению рисками ИБ
2.5.2. Область действия и границы управления рисками ИБ
Вопросы для самоконтроля

3. Оценка рисков информационной безопасности
3.1. Подходы к оценке рисков ИБ
3.1.1. Комбинированная, высокоуровневая и детальная оценка рисков ИБ
3.1.2. Базовая оценка рисков ИБ
3.1.3. Подход к оценке рисков ИБ РС БР ИББС-2.2–2009
3.2. Этапы оценки рисков ИБ
3.3. Этап 1 — анализ рисков ИБ
3.3.1. Подэтап 1 анализа рисков ИБ — идентификация рисков ИБ9
3.3.2. Шаг 1 подэтапа 1 — идентификация активов
3.3.3. Шаг 2 подэтапа 1 — идентификация угроз ИБ
3.3.4. Шаг 3 подэтапа 1 — идентификация мер ОИБ
3.3.5. Шаг 4 подэтапа 1 — идентификация уязвимостей
3.3.6. Шаг 5 подэтапа 1 — идентификация последствий
3.3.7. Подэтап 2 анализа рисков ИБ — количественная оценка рисков ИБ
3.3.8. Шаг 1 подэтапа 2 — оценка последствий
3.3.9. Шаг 2 подэтапа 2 — оценка вероятностей
3.3.10. Шаг 3 подэтапа 2 — определение уровня (величины) рисков ИБ
3.4. Этап 2 — оценивание рисков ИБ
Вопросы для самоконтроля

4. Обработка рисков ИБ
4.1. Снижение риска ИБ
4.2. Сохранение риска ИБ
4.3. Предотвращение риска ИБ
4.4. Перенос риска ИБ
Вопросы для самоконтроля

5. Принятие, коммуникация, мониторинг и переоценка рисков ИБ
5.1. Принятие рисков ИБ
5.2. Коммуникация и консультирование в области рисков ИБ
5.3. Мониторинг и переоценка рисков ИБ
5.3.1. Мониторинг и переоценка факторов риска ИБ
5.3.2. Мониторинг, анализ и улучшение процесса управления рисками ИБ
Вопросы для самоконтроля

6. Обеспечение управления рисками ИБ
6.1. Кадровое обеспечение управления рисками ИБ
6.2. Документальное обеспечение управления рисками ИБ
6.3. Инструментальные средства управления рисками ИБ
Вопросы для самоконтроля

Заключение

Глоссарий

Приложение. Инструментальные средства управления рисками ИБ

Принятые сокращения

Литература