Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet разработано экспертами по информационной безопасности компании "Digital Security" на основе многолетнего положительного опыта осущестления практических работ в данной области.

Материалы "Руководства…" будут полезны:
1. Менеджерам высшего звена управления компанией (ТОР-management) , которые хотят получить ответы на следующие вопросы: Что такое анализ и управление информационными рисками? Кто и каким образом его осуществляет? Как анализ и управление информационных рисков влияют на бизнес, деятельность компании? Каковы положительнве последствия прохождения его для компании? Какова стоимость решения этого вопроса ивозможные последующие затраты? Какие отечественные и/или западные методики и технологии анализа рисков следует использовать?
2. Руководителей служб автоматизации (CIO) и служб информационной безопасности (CSO) , которые желают получить объективную и независимую оценку текущего состояния информационной безопасности компании. Оценить потенциальный экономический ущерб от возможных посягательств разного рода злоумышленников и выработать требования к корпоративной системе защиты информации, проверить адекватность и эффективность Политики безопасности компании. "Руководство" поможет вам рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации и предпринять необходимые меры организационного, управленческого итехнического характера для повышения (или адекватного обеспечения) уровня информационной безопасности компании.
3. Ведущих специалистов в области безопасности компьютерных систем и IT-менеджеров, которые желают получить детальное представление об анализе и управлении информационными рисками компании, чтобы самостоятельно разбираться в этих вопросах и руководить работами по управлению рисками. Руководство может быть использовано в качестве практического руководства по управлению информационными рисками корпоративных информационных систем Intranet/Internet или как учебное пособие.

Авторы курса, эксперты компании Digital Security:
Кандидат технических наук И.Д. Медведовский, исполнительный директор компанииDigital Security, автор серии книг "Атака на Internet", эксперт по информационной безопасности;
Кандидат технических наук С.А. Петренко - опытный специалист-практик в области защиты информации. Автор и соавтор 8 книг и более 100 статей (Системы безопасности, Защита информации. Конфидент, Экспресс Электроника, CHIP-Россия, Мир Интернет, ReadMe, Data Communications. Сетевой журнал,Мир Связи. Connect), посвященных информационно-компьютерной безопасности. Из них - практические руководства и книги "Аудит безопасности Intranet", "Технологии защиты информации", "Информационная безопасность предприятия";
Нестеров Сергей Александрович, кандидат технических наук, преподаватель кафедры Системного анализа и управления Санкт-Петербургского государственного политехнического университета. Автор более 15 научных статей и публикаций.

Содержание диска:

Тема I. Основные цели и задачи аудита безопасности и анализа рисков компании:
- Актуальность аудита безопасности и анализа рисков компании.
- Как оценить уровень безопасности КИС?
- Возможные виды аудита безопасности КИС.
В этом разделе:
Рассматриваются основные понятия, связанные с анализом рисков и аудитом информационной безопасности.
Анализируются те проблемы, которые компании могут решить, проводя аудит безопасности своих информационных систем.
Описываются новые возможности, которые предоставляет аудит безопасности руководителям, ИТ-специалистам и рядовым сотрудникам предприятий.
Кратко описываются существующие виды и направления аудита безопасности.

Тема 2. Возможные методики аудита безопасности КИС:
- Новое поколение стандартов информационной безопасности.
- Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799-2:2000.
- Стандарт COBIT 3rd Edition.
- Стандарт ISO/IEC 15408.
В данном разделе курса рассматриваются наиболее современные стандарты в области информационной безопасности и их влияние на методику проведения аудита безопасности. В соответствие с рассмотренными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее. Во-первых, определение целей обеспечения информационной безопасности компьютерных систем. Во-вторых, создание эффективной системы управления информационной безопасностью. В третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям. В четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния. В пятых, использование методик проведения аудита информационной безопасности (с обоснованной системой метрик и мер), позволяющих объективно оценить текущее состояние дел.

Тема 3. Возможные алгоритмы аудита безопасности КИС:
- Анализ информационных рисков компании.
- Методы оценивания информационных рисков компании.
- Табличные методы оценки рисков.
- Пример методики анализа рисков на качественном уровне (матрица рисков).
- Роль анализа рисков в процессе создания корпоративной системы информационной безопасности (на примере модели LifeCycle Security).
- Возможная методика реорганизации корпоративной системыбезопасности.
- Проектирование системы обеспечения безопасности объекта.

Раздел начинается описанием особенностей проведения аудита безопасности в российских условиях. Далее подробно рассматриваются основные подходы к проведению аудита безопасности, описываются конкретные методики оценки информационных рисков. В частности, приводится описание метода табличной оценки рисков, описывается подход к проведению оценки рисков на качественном уровне с помощью матрицы рисков. На примере разработанной компанией Axent модели LifeCycle Security показывается то место, которое занимает этап анализа рисков в процессе построения комплексной системы информационной безопасности. Приводится возможная методика реорганизации корпоративной системы безопасности и описывается каркас методики проведения аудита безопасности корпоративной информационной системы.

Тема 4. Аналитический обзор инструментальных средств для анализа рисков и защищенности корпоративных систем Intranet/Internet:
Инструментальные проверки уровня безопасности компании:
- Internet Scanner и System Security Scanner.
- Сканер уязвимости Symantec NetRecon.
- Система централизованного управления безопасностью Enterprise Security Manager.
- Сканеруязвимости системы безопасности Cisco Secure Scanner (NetSonar).
- Сканер Retina.
- Сканер Xspider.
- Пример использования средств активного аудита.
Инструментальные средства анализа рисков:
- Использование "матрицы рисков" (MS IT Advisor for Risk Management).
- CRAMM.
- Количественный подход к анализу рисков на примере RiskWatch.

Выбор оптимальной стратегии защиты компании:
В первой части раздела приводится описание ряда популярных средств инструментальной проверки уровня защищенности информационной системы. Указываются особенности каждого из программных продуктов, называются их сильные и слабые стороны. Для иллюстрации возможностей, которые предоставляет названный инструментарий, приводится упрощенный пример анализа безопасности сети небольшого предприятия.
Вторая часть раздела посвящена программным средствам анализа рисков и методикам, которые они реализуют. На примере таких пакетов, как MS IT Advisor for Risk Management, CRAMM,RiskWatch показываются возможные подходы к оценке рисков - качественный, смешанный и количественный.
Заканчивается раздел описанием одного из возможных подходов к решению задачи выбора оптимального проекта. Представленный подход базируется на математических методах теории принятия решений.

Тема 5. Требования и содержание отчетных документов для анализа рисков компании:
- Разработка концепции, эскизного проекта, руководящих и специальных нормативных документов.
- Структура концепции информационной безопасности.
- Предложения по структуре эскизного проекта.
- Требования по составу информации, предоставляемой предприятием для проведения аналитических работ.
- Формы для самостоятельного определения уровней рисков, соответствующих показателям ценности ресурсов, угроз и уязвимостей.

Заключительный раздел курса посвящен вопросам, связанным с "документальным сопровождением" процесса аудита информационной безопасности. Описываются и те данные, которые предприятие должно подготовить для проведения аудита, и те документы, которые разрабатываются по результатам проведенной проверки:
- Рекомендуемый список литературы по теме.
- Некоторые ресурсы Интернет.
- Индекс избранных документов RFC.

Языки интерфейса: русский.


Веб-сайт издателя: http://www.dsec.ru/


Системные требования:
Intel Pentium или AMD, VIA или Transmeta 300 МГц ;
128 Мб оперативной памяти;
1 Гб свободного места на жестком диске;
CD-ROM;
клавиатура;
мышь.