Рекомендуем

Разделы:
» Защита информации. Технические средства защиты информации. Криптография
Ключевые слова:
Защита информацииИнформационная безопасностьУправление информационной безопасностью
Технические, организационные и кадровые аспекты управления информационной безопасностьюМилославская Н.Г., Сенаторов М.Ю., Толстой А.И. Технические, организационные и кадровые аспекты управления информационной безопасностью
Основы управления информационной безопасностьюКурило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Основы управления информационной безопасностью
Безопасность компьютерных сетейОлифер В.Г., Олифер Н.А. Безопасность компьютерных сетей

Книга

Оценка деятельности по управлению информационной безопасностью
Бумажное издание
Купить в РоссииКупить в OZON
Новинка

Оценка деятельности по управлению информационной безопасностью

Учебное пособие для вузов
Милославская Н.Г., Толстой А.И.
240 стр.
Учебное издание
Формат 60х90/16 (145x215 мм)
Исполнение: в мягкой обложке
ISBN 978-5-9912-1140-6
ББК 16.84
УДК 004.732.056(075.8)
Гриф
Рекомендовано Федеральным учебно-методическим объединением в системе высшего образования по укрупненной группе специальностей и направления подготовки 10.04.01 – «Информационная безопасность» и по специальности 10.05.03 – «Информационная безопасность автоматизированных систем»
Аннотация

Рассмотрены основные вопросы оценки деятельности по управлению информационной безопасностью (ИБ) и функционированию системы управления ИБ (СУИБ) организации, включая оценку текущего состояния защищенности организации. Описаны подходы к оценке эффективности и результативности управления ИБ в целом, а также к оценке зрелости отдельных процессов СУИБ. На основе международных и российских документов анализируются процессы оценки соответствия обеспечения ИБ в организации определенным требованиям, а также процессы выработки метрик безопасности и показателей функционирования СУИБ.

Для студентов вузов, обучающихся по программам магистратуры направления 10.04.01 – «Информационная безопасность» и по специальности 10.05.03 – «Информационная безопасность автоматизированных систем», будет полезно слушателям курсов переподготовки и повышения квалификации, аспирантам и специалистам в области ИБ.

Оглавление

Предисловие

Введение

1. Нормативное обеспечение оценки деятельности по управлению информационной безопасностью и текущего состояния защищенности организации
1.1. ISO/IEC 27004:2016 и ГОСТ Р ИСО/МЭК 27004-2021 — мониторинг, оценка защищённости, анализ и оценивание управления ИБ
1.2. ГОСТ Р 57580.2-2018 — методика оценки соответствия защиты информации в финансовых организациях
1.3. СТО БР ИББС-1.2-2014 — методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014
1.4. NIST SP 800-55 — руководство по измерению результативности обеспечения ИБ
1.5. МетодикаФСТЭК России по оценке показателя состояния технической защиты информации организации
Выводы по разделу 1
Вопросы для самоконтроля по разделу 1

2. Оценка деятельности по управлению ИБ и текущего состояния защищенности организации
2.1. Оценка эффективности и результативности деятельности по управлению ИБ
2.2. Понятия измерения, меры измерения, показателя и метрики
2.3. Метрики безопасности
2.4. Измерение деятельности по УИБ согласно ISO/IEC 27004 и ГОСТ Р ИСО/МЭК 27004
2.5. Оценка текущего состояния защищенности организации согласно Методике ФСТЭК России
Выводы по разделу 2
Вопросы для самоконтроля по разделу 2

3. Подходы к оценке соответствия обеспечения ИБ определенным требованиям
3.1. Оценка соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0-2014
3.2. Оценка соответствия защиты информации финансовых организаций требованиям ГОСТ Р 57580.1-2017
Выводы по разделу 3
Вопросы для самоконтроля по разделу 3

4. Зрелость процессов управления ИБ
4.1. Модели оценки уровня зрелости организации, ее систем, подсистем и процессов
4.1.1. Модели зрелости организации CMM и системы управления ею
4.1.2. Модель зрелости управления бизнес-процессами BPM MM компании Gartner Group
4.1.3. Модель зрелости процессов и организации PEMM
4.1.4. Подход к управлению ИТ COBIT и его модификации
4.2. Подходы к оценке уровня зрелости УИБ
4.2.1. Модель зрелости процессов УИБ Банка России
4.2.2. Модель зрелости СУИБ ISMS (IM) Maturity Capability Model
4.2.3. Модель зрелости ИБ SMM организации NIST
4.2.4. Модель зрелости УИБ ISM3 компании Open Group
4.2.5. Подход Gartner к оценке уровня зрелости управления безопасностью и рисками ITScore
4.2.6. Модель зрелости процесса управления рисками ИБ MMGRseg
4.2.7. Модель зрелости управления рисками кибербезопасности NIST Cybersecurity Framework 2.0
Выводы по разделу 4
Вопросы для самоконтроля по разделу 4

Заключение

Приложения
П1. Примеры описания конструктивных элементов измерений, связанных с УИБ
П1.1. Оценка обучения персонала по вопросам СУИБ
П1.2. Оценка обучения по вопросам ИБ
П1.3. Качество паролей, генерируемых вручную
П1.4. Качество паролей, генерируемых автоматизированным образом
П1.5. Проверка СУИБ
П1.6. Эффективность управления инцидентами ИБ
П1.7. Реализация корректирующих действий
П1.8. Защита от вредоносных программ
П1.9. Анализ журналов регистрации событий
П2. Примеры модифицированного описания конструктивных элементов измерений в ISO/IEC 27004:2016
B.2. Выделение ресурсов
B.3. Обзор политики
B.5. Программа аудита
B.8. Стоимость инцидента безопасности
B.9. Извлечение уроков из инцидентов ИБ
B.18. Обзор прав доступа пользователей
B.23. Защита от вредоносного кода
B.25. Общая доступность
B.26. Правила межсетевого экрана
B.27. Просмотр лог-файлов
B.29. Тесты на проникновение и оценка уязвимостей
П3. Пример описания модели зрелости для подпроцесса минимизации рисков ИБ в рамках процесса управления рисками ИБ
Принятые сокращения

Глоссарий

Литература