Рекомендуем

Разделы:
» Защита информации. Технические средства защиты информации. Криптография
Ключевые слова:
Защита информацииИнформационная безопасностьКибербезопасностьУправление рисками
Безопасность сетевых приложенийШелухин О.И., Осин А.В. Безопасность сетевых приложений
Математические методы обнаружения и предотвращения компьютерных атак на крупномасштабные системыЛаврова Д.С. Математические методы обнаружения и предотвращения компьютерных атак на крупномасштабные системы
Сетео-информационная эпидемиологияОстапенко А.Г., Белов Е.Б., Калашников А.О., Лось В.П., Остапенко А.А. Сетео-информационная эпидемиология

Книга

Новинка

Управление рисками информационной безопасности

Учебное пособие для вузов
Милославская Н.Г., Толстой А.И.
4-е изд., перераб. и доп.
Тиражирование книги начато в 2025 г.
292 стр.
Учебное издание
Формат 60х90/16 (145x215 мм)
Исполнение: в мягкой обложке
ISBN 978-5-9912-1037-9
ББК 004.732.056(075.8)
УДК 32.973.2-018.2я73
Гриф
Рекомендовано Федеральным учебно-методическим объединением в системе высшего образования по укрупненной группе специальностей и направлений подготовки 10.00.00 «Информационная безопасность» в качестве учебного пособия для студентов образовательных организаций высшего образования, обучающихся по направлению подготовки 10.04.01 - «Информационная безопасность»
Аннотация

В учебном пособии вводится понятие риска информационной безопасности (ИБ) и определяются процесс и система управления рисками ИБ. Детально рассматриваются составляющие процесса управления рисками ИБ, а именно: установление контекста управления рисками ИБ с определением базовых критериев принятия решений и определением области действия и границ управления рисками ИБ; оценка рисков ИБ, состоящая из двух этапов – анализа (с идентификацией активов, угроз ИБ, существующих элементов управления, уязвимостей и последствий) и оценивания (с определением последствий, вероятностей и количественной оценки рисков) рисков ИБ; обработка рисков ИБ, включающая снижение, сохранение, предотвращение и перенос; принятие риска ИБ; коммуникация рисков ИБ; мониторинг и переоценка рисков ИБ. Также анализируются различные подходы к оценке рисков ИБ (высокоуровневая, детальная, комбинированная и базовая оценка рисков ИБ, подход Банка России). В заключении кратко описываются кадровое и документальное обеспечение и инструментальные средства управления рисками ИБ.

Для студентов вузов, обучающихся по программам магистратуры направления 10.04.01 – «Информационная безопасность», будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам.

Оглавление

Предисловие

Введение

1. Нормативное обеспечение управления рисками информационной безопасности
1.1. Стандарты, посвященные рискам без указания конкретной предметной области
1.1.1. ГОСТ Р 51897-2021/Руководство ИСО 73:2009 — термины и определения в области рисков
1.1.2. ГОСТ Р 51901.23-02012 — реестр рисков
1.1.3. NIST SP 800-30 — руководство по проведению оценок рисков
1.1.4. ГОСТ Р ИСО 31000–2019 — принципы и руководство по управлению рисками
1.1.5. ГОСТ Р 58771-2019 — технологии оценки рисков
1.2. Документы, посвященные рискам информационной безопасности
1.2.1. РС БР ИББС-2.2-2009 — управление рисками нарушения ИБ для организаций банковской системы
1.2.2. NIST SP 800-39 — управление рисками ИБ с точки зрения организации, миссии и информационных систем
1.2.3. ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 — рискориентированный подход к управлению ИБ
1.2.4. BS 7799-3:2017 — руководство по управлению рисками ИБ
1.2.5. NIST SP 800-37 — инфраструктура управления рисками для информационных систем и организаций для обеспечения безопасности
1.2.6. ГОСТ Р 57580.3-2022 — управление рисками реализации информационных угроз
1.2.7. ISO/IEC 27005:2022 и ГОСТ Р ИСО/МЭК 27005-2010 – управление рисками ИБ
Вопросы для самоконтроля

2. Основные определения
2.1. Риск нарушения ИБ, или риск ИБ
2.2. Управление рисками ИБ
2.3. Составляющие процесса управления рисками ИБ
2.4. Системный подход к управлению рисками ИБ
2.5. Установление контекста управления рисками ИБ
2.5.1. Базовые критерии принятия решений по управлению рисками ИБ
2.5.2. Область действия и границы управления рисками ИБ
Вопросы для самоконтроля

3. Оценка рисков ИБ
3.1. Подходы к оценке рисков ИБ
3.1.1. Комбинированная, высокоуровневая и детальная оценка рисков ИБ
3.1.2. Базовая оценка рисков ИБ
3.1.3. Подход к оценке рисков ИБ РС БР ИББС-2.2-2009
3.2. Этапы оценки рисков ИБ
3.3. Этап 1 — анализ рисков ИБ
3.3.1. Подэтап 1 анализа рисков ИБ — идентификация рисков ИБ
3.3.2. Шаг 1 подэтапа 1 — идентификация активов
3.3.3. Шаг 2 подэтапа 1 — идентификация угроз ИБ
3.3.4. Шаг 3 подэтапа 1 — идентификация мер ОИБ
3.3.5. Шаг 4 подэтапа 1 — идентификация уязвимостей
3.3.6. Шаг 5 подэтапа 1 — идентификация последствий
3.3.7. Подэтап 2 анализа рисков ИБ — количественная оценка рисков ИБ
3.3.8. Шаг 1 подэтапа 2 — оценка последствий
3.3.9. Шаг 2 подэтапа 2 — оценка вероятностей/правдоподобности
3.3.10. Шаг 3 подэтапа 2 — определение уровня (величины) рисков ИБ
3.4. Этап 2 — оценивание рисков ИБ
Вопросы для самоконтроля

4. Обработка рисков ИБ
4.1. Снижение риска ИБ
4.2. Сохранение риска ИБ
4.3. Предотвращение риска ИБ
4.4. Перенос риска ИБ
Вопросы для самоконтроля

5. Принятие, коммуникация, мониторинг и переоценка рисков ИБ
5.1. Принятие рисков ИБ
5.2. Информирование (коммуникация) и консультирование в области рисков ИБ
5.3. Мониторинг и переоценка рисков ИБ
5.3.1. Мониторинг и переоценка факторов риска ИБ
5.3.2. Пересмотр, коррекция и постоянное улучшение процесса управления рисками ИБ
Вопросы для самоконтроля

6. Обеспечение управления рисками ИБ
6.1. Кадровое обеспечение управления рисками ИБ
6.2. Документальное обеспечение управления рисками ИБ
6.3. Инструментальные средства управления рисками ИБ
Вопросы для самоконтроля

Принятые сокращения

Глоссарий

Литература