Концептуальные подходы к управлению рисками информационной безопасности презентация

«Кибернетика и информационная безопасность»,
кафедра

Москва, 2016

Учебная дисциплина
«Управление информационной безопасностью»
Тема 2
Концептуальные подходы к управлению ИБ

обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:

УИБ Тема 1

обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:
Главный «флаг»: Управление информационной безопасности
Составляющие «флага»:
1.Управление рисками ИБ.
2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
4.Взаимодействие с управлением непрерывностью бизнеса

УИБ Тема 1

и определения
Управление ИБ организации
Управление ИБ технологии (ИТТ)
Система управления ИБ
Политики ИБ

УИБ Тема 2

Современный подход: управленчески-ориентированный

Информационная безопасность - состояние защищённости информации, которое достигается обеспечением совокупности для нее свойств доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости и достоверности.

Обеспечение ИБ – это системный процесс, а не состояние.

Процессом надо управлять!

Эффективность обеспечения ИБ определяется эффективностью управления

УИБ Тема 2

соответствие с этими стандартами обеспечение ИБ (ОИБ) в любой организации заключается в выполнении следующих действий:
определение целей ОИБ;
создание и эксплуатация эффективной СУИБ;
расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;
применение инструментария ОИБ и оценки ее текущего состояния

УИБ Тема 2

Тема 2

2.Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ISO/IEC 27000:

Тема 2

2.Концептуальные подходы к управлению ИБ

Нормативная база управления ИБ: Стандарты серии ГОСТ Р ИСО/МЭК 27000:

ГОСТ Р ИСО/МЭК 27000-2012 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Общий обзор и терминология».
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Требования.
ГОСТ Р ИСО/МЭК 27002-2012 ИТ. Методы и средства обеспечения безопасности. Практические правила менеджмента ИБ.
ГОСТ Р ИСО/МЭК 27003-2012 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Руководство по реализации системы менеджмента ИБ»
ГОСТ Р ИСО/МЭК 27011-2012 ИТ. Методы и средства обеспечения безопасности. Руководства по менеджменту ИБ для телекоммуникационных организаций на основе ИСО/МЭК 27002»

Тема 2

2.Концептуальные подходы к управлению ИБ

Нормативная база управления ИБ: Стандарты «управление ИБ ИТТ»:
ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИТ. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 13335-4-2006 ИТ. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер.
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 ИТ. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

процесс, а не состояние.
Процессом надо управлять!
«управление» - осуществление совокупности непрерывных взаимосвязанных воздействий на объект (управляемую систему), выбранных из множества возможных воздействий на основании информации о поведении объекта и состоянии внешней среды для достижения заданной цели;
Пояснения
Control – исторически первый из применяемых в информационных технологиях (ИТ) терминов, отражающий самые простейшие операции в области управления, в большей степени с точки зрения технического аспекта деятельности.
Management – термин, который первоначально употреблялся в отношении управления человеческими ресурсами; в настоящее время встречается в сочетании с множеством понятий из области ИТ и имеет смысл организации и регулирования какой-либо деятельности, т. е. ее администрирования.
Governance – термин, который стал активно использоваться применительно к ИТ только в последнем десятилетии; под ним обычно понимается руководство по организации и контролю за какой-либо деятельностью. Это слово переводится на русский как «власть, руководство, управление».

УИБ Тема 2

осуществляемой деятельности, направленной на достижение определенных целей путем рационального использования материальных и трудовых ресурсов с применением определенных научных подходов, принципов, функций и методов;
объединение управленческой деятельности с кадровой политикой;
состояние всей управленческой инфраструктуры в различных масштабах;
процесс оптимизации человеческих, материальных и финансовых ресурсов для достижения организационных целей;
теория и практика научного и хозяйственного управления организацией в условиях рынка;
система научных знаний, составляющих теоретическую базу практического опыта в области управления и имеющих междисциплинарный характер;
совокупность лиц, идентифицируемых с менеджерами, а также с органами или аппаратом управления и т. п.

УИБ Тема 2

людьми, власть и искусство управления, особого рода административные навыки, орган управления;
совокупность принципов, форм, методов, приемов и средств управления производством и производственным персоналом с использованием достижений науки управления ;
искусство управления интеллектуальными, финансовыми, материальными ресурсами ;
эффективное и результативное достижение целей организации посредством планирования, организации, лидерства (руководства) и контроля над организационными ресурсами ;
скоординированная деятельность по руководству и управлению организацией [ГОСТ Р ИСО 9000-2001].

Выводы:
1.Иногда делают вывод, что понятие менеджмента шире, чем просто управление.
2.Для ИБ более подходит термин «менеджмент ИБ»

УИБ Тема 2

процесс, а не состояние.
Процессом надо управлять!
Определения:
«процесс» – это совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы и требующая для этого определенных ресурсов и управляющих воздействий (управления);

УИБ Тема 2

«бизнес-процесс» - множество из одной или нескольких упорядоченных во времени, логически связанных и завершенных видов деятельности, в совокупности поддерживающих деятельность организации и реализующих ее политику, направленную на достижение поставленных целей;

подход: циклическая модель (для структурирования всех процессов управления и для обеспечения учета всех значимых элементов процессного подхода) PDCA (от англ. Plan-Do-Check-Act – планируй – выполняй – проверяй – действуй»)
Циклическая модель:
Предложена и развита двумя американскими учеными и специалистами в теории управления качеством. Шухарт (Walter A. Shewhart) (1939 г. «Статистические методы с точки зрения управления качеством»)
Пропагандировалась: Деминг (William Edwards Deming) в качестве основного способа достижения непрерывного улучшения процессов (цикл PDSA).

УИБ Тема 2

Тема 2

Тема 2

цикл – совершенствование «Спецификации»
Последующие циклы – совершенствование «Продукции»

Управление КБ: процессный подход

Тема 2

«планируй – сделай – проверь – действуй»
PDSA – «планируй – сделай – изучи – действуй»

УИБ Тема 2

– проверь – действуй»

ISO/TC 176/SC 2/N 544R2, ISO 9000
Introduction and Support Package: Guidance on Concept and Use of the Process Approach for management systems, 13 may 2004»

УИБ Тема 2

необходимых для выработки результатов в соответствии с требованиями клиентов и политики организации;
«ВЫПОЛНЕНИЕ» («реализация»): реализация запланированных процессов и решений;

«ПРОВЕРКА»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;
«ДЕЙСТВИЕ» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.

УИБ Тема 2

ГОСТ Р ИСО/МЭК 27001-2012;
ГОСТ Р ИСО 90000 (качество);
ГОСТ Р ИСО 14000 (экология).
Отраслевые стандарты: СБР ИББС-1.0-2010 (Банк России);
автомобилестроение;
поставка и безопасность продуктов питания
Направления деятельности: безопасность (экономическая,
физическая, информационная и пр.)

В основе практики реализации модели Деминга лежит
процессный подход

УИБ Тема 2

ИБ

Управление ИБ:
совокупность целенаправленных действий, осуществляемых для обеспечения нормального функционирования основных процессов и, в конечном счете, достижения бизнес целей организации посредством обеспечения защищенности ее информационной сферы.

Определение:
«информационная сфера» - представляет собой совокупность информации, информационной инфраструктуры (состоит из баз данных и знаний, систем связи и т. п.), субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

УИБ Тема 2

ИБ

Различают:
Управление ИБ организации
Управление ИБ технологии (ИТТ)

Определение:
«Управление ИБ организации» - управление ИБ организации как циклический процесс, состоящий из совокупности целенаправленных действий, осуществляемых для достижения заявленных бизнес целей организации посредством обеспечения защищенности ее информационной сферы, и включающий :
осознание необходимости ОИБ,
постановку задачи по ОИБ,
оценку текущей ситуации и состояния объекта управления,
планирование мер по обработке рисков ИБ,
реализацию, внедрение и оценку эффективности соответствующих защитных мероприятий и средств управления,
распределение ролей и ответственности в области ОИБ,
обучение и мотивацию сотрудников, выбор управляющих и корректирующих воздействий и их реализацию.

УИБ Тема 2

не разовое мероприятие. Его следует рассматривать как непрерывную деятельность по постоянному поддержанию требуемого организацией уровня ИБ, так как правильно управляемая ИБ – инструмент успешного ведения бизнеса.
Основным предметом управления ИБ в организации являются следующие области деятельности:
планирование работ по ОИБ, включая разработку и продвижение соответствующей документации;
поддержка и участие в эксплуатации защитных мер;
осуществление контроля за ОИБ и уровнем ИБ;
совершенствование работ по ОИБ на основе собственного опыта и лучших практик.

УИБ Тема 2

организации, носящий циклический характер, заключается в следующем:
описание объектов управления и защищаемых активов организации и сбор данных об их состоянии;
выявление и формализация возможных угроз ИБ и анализ рисков ИБ;
оценка защищенности объектов управления (с выявлением уязвимостей) и ее сравнение с требованиями по ОИБ организации, сформулированными в Политике ИБ организации (ПолИБ);
формирование управляющих воздействий;
оценка результирующей деятельности по управлению ИБ.
Определение:
«Политика ИБ организации» - документация, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры, практические приемы и руководящие принципы обеспечения ИБ активов организации, которыми она руководствуется в своей деятельности.

УИБ Тема 2

заключается в гарантировании того, что соответствующие мероприятия по обеспечению ИБ осуществляются таким образом, что в текущий момент надлежащим образом:
1) снижены риски ИБ;
2) осуществляются инвестиции в обеспечение ИБ;
3) руководство ознакомлено со всеми осуществляемыми мероприятиями;
4) верно сформулированы критерии оценки эффективности обеспечения ИБ.

УИБ Тема 2

Тема 2

организации

Процесс управления ИБ ИТТ :
интегрируется в общий процесс управления ИТТ;
основывается на определенных принципах (например, изложенных в ГОСТ Р ИСО/МЭК 13335–1);
имеет определенные этапы, например (ГОСТ Р ИСО/МЭК ТО 13335-3):
анализ требований по ОИБ ИТТ;
разработка плана выполнения этих требований;
реализация положений выработанного плана;
управление и административный контроль над процессом управления ИБ ИТТ.

УИБ Тема 2

обеспечением ИБ ИТТ

УИБ Тема 2

в себя две важнейшие составляющие:
собственно сам процесс управления ИБ;
систему управления ИБ (СУИБ) организации.

Определение:
«Система управления ИБ организации» -
часть общей системы управления организации, основанная на подходе оценки и анализа бизнес-рисков,
предназначена (назначение СУИБ) для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ

УИБ Тема 2

систематический и комплексный подход к управлению ИБ защищаемых активов, что приводит к повышению текущего уровня их защищенности;
объединяет все применяемые в организации защитные и организационные меры в единый, адекватный реальным угрозам ИБ и управляемый комплекс, позволяющий достигать цели обеспечения ИБ на уровне всей организации;
позволяет четко установить, как взаимосвязаны процессы и подсистемы обеспечения ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и т. д.;
осуществляет процесс выполнения ПолИБ и позволяет находить и устранять слабые места в обеспечении ИБ;
охватывает людей, процессы и ИТ-структуру организации.

УИБ Тема 2

(начало):

обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса;
доказательство стремления высшего руководства к ОИБ в необходимом объеме для всей организации в соответствии с установленными требованиями;
повышение доверия партнеров, клиентов, заказчиков за счет демонстрации высокого уровня ОИБ всем заинтересованным сторонам;
управляемое ОИБ и контролируемое управление ИБ (особенно в критичных ситуациях);

УИБ Тема 2

(продолжение):

систематизация процессов ОИБ;
расстановка приоритетов в области ИБ;
достижение «прозрачности» в ОИБ;
обеспечение понятности защищаемых активов для руководства;
выявление угроз ИБ для бизнес-процессов;
достижение адекватности ОИБ существующим рискам;
предупреждение возникновения инцидентов ИБ и снижение ущерба в случае их возникновения;
повышение культуры ИБ в организации;

УИБ Тема 2

(окончание):

интеграция защитных мер в бизнес-процессы;
оптимизация (за счет формализации всех процессов ОИБ) и обоснование расходов на ИБ;
снижение финансовых рисков и рисков прямых потерь;
снижение рисков для инвесторов за счет повышения прозрачности процессов внутри организации;
экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых аудитов ИБ;
создание информации, порождаемой в процессе использования СУИБ, для всех заинтересованных сторон
и т. д.

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

1.Область действия СУИБ
Это область и границы применения СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий (ГОСТ Р ИСО/МЭК 27001)
Область действия СУИБ организации включает:
бизнес-процессы;
технологии;
активы (кадры, финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства, различные виды информации, процессы, продукты и услуги, предоставляемые всем заинтересованным сторонам – клиентам, партнерам и т. д.);
расположение (ограниченная и определяемая независимо часть организации, то есть перечисление конкретных офисов, входящих в область действия, или вся организация в целом);
обоснование выбора данной области действия.

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

2.Документальное обеспечение СУИБ
Любые процессы управления базируются на поддерживающем их документальном обеспечении.
Неправильно организованный процесс разработки документации, относящейся к СУИБ, может привести к серьезному перерасходу ресурсов и, более того, может снизить эффект от внедрения СУИБ.
В документацию СУИБ обычно включаются следующее документы:
политика СУИБ; руководства по процессам управления ИБ;
документированные процедуры; рабочие инструкции; формы и шаблоны; планы работ; спецификации;
внешние документы (стандарты);
отчетные документы и т. п.

УИБ Тема 2

правил по ИБ для объекта ИБ, выработанных в соответствии с требованиями руководящих и нормативных документов в целях противодействия заданному множеству угроз ИБ, с учетом ценности защищаемой информационной сферы;
совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности;
документация, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры, практические приемы и руководящие принципы обеспечения ИБ активов организации, которыми она руководствуется в своей деятельности.
одно или несколько правил, процедур, практических приемов в области безопасности, которыми руководствуется организация в своей деятельности;
документированные решения в области обеспечения ИБ;

ПолИБ =
Что защищать (активы) + Отчего защищать (угрозы-уязвимости) + как защищать (стратегия защиты)

УИБ Тема 2

Тема 4.1

2.Концептуальные подходы к управлению ИБ
Политика ИБ: Разработка и реализация политики ИБ

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

3.Поддержка СУИБ со стороны руководства организации
Руководство должно продемонстрировать свою поддержку (приверженность, заинтересованность) разработки, внедрения, обеспечения функционирования, мониторинга, анализа и улучшения СУИБ посредством (ИСО/МЭК 27001):
разработки и утверждения Политики СУИБ;
обеспечения разработки целей и планов СУИБ;
определения функций и ответственности в области ИБ;
информирования сотрудников организации о важности достижения целей ОИБ и соответствия ее требованиям политики организации, об их ответственности перед законом и необходимости непрерывного совершенствования в реализации защитных мер;

УИБ Тема 2

3.Поддержка СУИБ со стороны руководства организации
Руководство должно продемонстрировать свою поддержку (приверженность, заинтересованность) разработки, внедрения, обеспечения функционирования, мониторинга, анализа и улучшения СУИБ посредством (ИСО/МЭК 27001):
предоставления необходимых и достаточных ресурсов для внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СУИБ;
установления критериев принятия рисков ИБ и уровней их приемлемости;
обеспечения проведения внутренних аудитов СУИБ;
проведения анализа СУИБ со стороны руководства.

УИБ Тема 2

3.Поддержка СУИБ со стороны руководства организации
Руководство организации должно обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СУИБ за счет реализации следующих мер:
определения требуемого уровня знаний и навыков для персонала, выполняющего работу, влияющую на СУИБ;
организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;
оценки результативность предпринятых действий;
ведения записей об образовании, навыках, опыте и квалификации сотрудников.

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ: !!!!!!!!!!!!!!!!!!!!!!!!!
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

подход в рамках управления ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ; 4.Совершенствование СУИБ

УИБ Тема 2

подход в рамках управления ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ; 4.Совершенствование СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ !!!!!!!!!!!!!!!!!!!

Стратегия построения и внедрения СУИБ

УИБ Тема 2

Основные процессы СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ

УИБ Тема 2

СУИБ
Поддержка СУИБ со стороны руководства организации

Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
Планирование СУИБ
Реализация СУИБ
Проверка СУИБ
Совершенствование СУИБ

Работа с процессами СУИБ

Стратегия построения и внедрения СУИБ !!!!!!!!!!!!!!

УИБ Тема 2

подхода:
построение и внедрение СУИБ в целом;
Достоинство: уже через небольшое время возможно обеспечить логическую связь между процессами управления ИБ и создать условия для работы СУИБ на всех этапах цикла PDCA.
2) построение и внедрение процессов управления ИБ по отдельности с последующим объединением их в единую СУИБ.
Достоинство: процессы будут внедряться постепенно, тщательнее будут отлаживаться и корректироваться в соответствии с потребностями организации

УИБ Тема 2

обеспечения ИБ*
2. Концептуальные подходы к управлению ИБ*
2.1. Документы ИБ. 2.2. Политики ИБ. 2.3.Угрозы ИБ**
3. Концептуальные подходы к управлению рисками*
4. Концептуальные подходы к управлению инцидентами*
5. Концептуальные подходы к контролю обеспечения ИБ*
Заочное обучение**:
7. Основы управления ИБ: освоение электронного образовательного курса (ЭОК), содержащего лекционный материал:
Домашнее задание 1: Разработка ПолИБ (все группы)
Домашнее задание 2: Разработка Моделей угроз ИБ и нарушителя ИБ (только Б02-44М)

УИБ Тема 2

Учебная дисциплина «Управление информационной безопасностью»

ИБ.
Тема 3. Процессный подход в рамках управления ИБ.
Тема 4. Документы в области ИБ.
Тема 5. Политики ИБ.
Электронный образовательный курс «Управление ИБ»
1. БАЗОВАЯ ТЕРМИНОЛОГИЯ
1.1. Понятие «информационная безопасность»
1.2. Понятие «система»
1.3. Понятие «управление»
1.4. Понятие «процесс»
2. СТАНДАРТИЗАЦИЯ СИСТЕМ И ПРОЦЕССОВ УПРАВЛЕНИЯ ИБ
2.1. Серия стандартов 27000 «Информационная технология. Методы обеспечения безопасности»
2.2. Характеристики стандартов, относящихся к управлению ИБ
2.3. Стандарты на отдельные процессы управления ИБ и оценку безопасности ИТ
2.4. Отраслевые стандарты в области управления ИБ – стандарты Банка России
3. ПОЛИТИКА ИБ
3.1. Понятия ПолИБ
3.2. Виды ПолИБ
3.3. Основные требования и принципы, учитываемые при разработке и внедрении ПолИБ
3.4. Содержание политики ИБ
3.5. Жизненный цикл политики ИБ
3.6. Ответственность за исполнение ПолИБ
4. УПРАВЛЕНИЕ И СИСТЕМА УПРАВЛЕНИЯ ИБ
4.1. Необходимость управления ОИБ организации
4.2. Деятельность по ОИБ организации как процесс
4.3. Определение управления ИБ организации
4.4. Цель и задачи управления ИБ организации
4.5. Уровни и функциональная структура управления ИБ организации
4.6. Управление ИБ информационно-телекоммуникационных технологий организации
4.7. Система управления ИБ организации
4.8. Процессный подход в рамках управления ИБ
4.9. Работа с процессами СУИБ организации
4.10. Стратегии построения и внедрения СУИБ

УИБ Тема 2