Рекомендуем

Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защитеЗапечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защите
ViPNet Administrator: практикумЧефранова А.О., Алабина Ю.Ф., Грициенко Н.В., Захаренко Е.Ю. ViPNet Administrator: практикум
Управление инцидентами информационной безопасности и непрерывностью бизнесаМилославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление инцидентами информационной безопасности и непрерывностью бизнеса

Книга

Основы управления информационной безопасностью

Учебное пособие для вузов
2-е изд., испр.

Серия «Вопросы управления информационной безопасностью. Выпуск 1»

Тиражирование издания начато в 2014 г.
244 стр.
Формат 60х90/16 (145x215 мм)
Исполнение: в мягкой обложке
ISBN 978-5-9912-0361-2
ББК 32.973.2-018.2я73
УДК 004.732.056(075.8)
Гриф
Допущено УМО по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлениям подготовки (специальностям) укрупненной группы специальностей "Информационная безопасность"
Аннотация
Изложены основы управления информационной безопасностью (ИБ). Вводятся основные определения и понятия: ИБ, политика ИБ, управление ИБ и другие. Описываются процесс управления ИБ и его составляющие. Определяются система управления (СУИБ) организации, ее область действия и документальное обеспечение, включая политику СУИБ. Подробно рассматриваются этапы планирования, реализации, проверки и совершенствования СУИБ. Анализируется текущая ситуация в области стандартизации управления ИБ, в частности международные и российские стандарты, устанавливающие требования к СУИБ и отдельным процессам управления ИБ. Для студентов высших учебных заведений, обучающихся по программам бакалавриата, магистратуры и специалитета укрупненного направления "Информационная безопасность", будет полезно слушателям курсов переподготовки и повышения квалификации и специалистам.

Оглавление

Предисловие к серии учебных пособий «Вопросы управления информационной безопасностью»

Предисловие

Введение
1. Базовая терминология
1.1. Система
1.2. Системный подход
1.3. Процесс
1.4. Процессный подход
1.5. Управление
1.6. Циклическая модель улучшения процессов
1.7. Системный подход к управлению организацией
1.8. Процессный подход к управлению организацией
1.9. Информационная безопасность
Выводы
Вопросы для самоконтроля

2. Стандартизация систем и процессов управления информационной безопасностью
2.1. Серия стандартов ISO/IEC 27000 «Информационные технологии. Методы обеспечения безопасности»
2.1.1. ISO/IEC 27000:2009 – СУИБ: определения и основные принципы
2.1.2. ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001–2006 – требования к СУИБ
2.1.3. ISO/IEC 27002:2005 и ГОСТ Р ИСО/МЭК 17799–2005 – практические правила управления ИБ
2.1.4. ISO/IEC 27003:2010 – руководство по внедрению СУИБ
2.1.5. ISO/IEC 27004:2009 и ГОСТ Р ИСО/МЭК 27004–2011 – оценка функционирования СУИБ
2.1.6. ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ
2.1.7. ISO/IEC 27006:2011 и ГОСТ Р ИСО/МЭК 27006–2008 – требования к органам, осуществляющим аудит и сертификацию СУИБ
2.1.8. ISO/IEC 27007:2011 и ISO/IEC 27008:2011 – руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ
2.1.9. ISO/IEC 27011:2008 – руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002
2.1.10. ISO/IEC 27013 – руководство по интегрированному внедрению стандартов ISO/IEC 20000 и 27001
2.1.11. ISO/IEC 27014 – инфраструктура руководства ИБ
2.1.12. ISO/IEC 27015 – руководство по управлению ИБ для финансовых сервисов
2.1.13. ISO/IEC 27031:2011 – руководство по готовности информационных и телекоммуникационных технологий для обеспечения непрерывности бизнеса
2.1.14. ISO/IEC 27033 – управление безопасностью сетей
2.1.15. ISO/IEC 27035:2011 – управление инцидентами ИБ
2.1.16. ISO/IEC 27037 – руководство по идентификации, сбору и/или получению и обеспечению сохранности свидетельств, представленных в электронной форме
2.2. Стандарты на отдельные процессы управления ИБ и оценку безопасности ИТ
2.2.1. ISO/IEC 13335 – методы и средства обеспечения безопасности информационных технологий
2.2.2. ISO/IEC 15408 и ISO/IEC 18045:2008 – общие критерии и методология оценки безопасности информационных технологий
2.2.3. ISO 19011:2011 и ГОСТ Р ИСО 19011–2003 – рекомендации по аудиту систем менеджмента
2.2.4. BS 25999 и ГОСТ Р 53647 – управление непрерывностью бизнеса 73
2.3. Отраслевые стандарты в области управления ИБ – стандарты банковской системы Российской Федерации
2.3.1. СТО БР ИББС-1.0 – общие положения в области обеспечения ИБ организаций банковской системы Российской Федерации
2.3.2. СТО БР ИББС-1.1 – аудит ИБ 78
2.3.3. СТО БР ИББС-1.2 – методика оценки соответствия ИБ организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0
Выводы
Вопросы для самоконтроля

3. Политика информационной безопасности
3.1. Понятия политики обеспечения ИБ и политики ИБ организации
3.2. Причины выработки политики ИБ
3.3. Основные требования и принципы, учитываемые при разработке и внедрении политики ИБ
3.4. Содержание политики ИБ
3.4.1. Содержание корпоративной политики ИБ
3.4.2. Содержание частных политик ИБ
3.5. Жизненный цикл политики ИБ
3.5.1. Разработка политики ИБ
3.5.2. Внедрение политики ИБ
3.5.3. Применение политики ИБ
3.5.4. Аннулирование политики ИБ
3.6. Ответственность за исполнение политики ИБ
Выводы
Вопросы для самоконтроля

4. Управление и система управления информационной безопасностью
4.1. Необходимость управления обеспечением ИБ организации
4.2. Деятельность по обеспечению ИБ организации как процесс
4.3. Определение управления ИБ организации
4.4. Управление ИБ информационно-телекоммуникационных технологий организации
4.5. Система управления ИБ организации
4.5.1. Область действия СУИБ
4.5.2. Документальное обеспечение СУИБ
4.5.3. Политика СУИБ 156
4.5.4. Поддержка СУИБ со стороны руководства организации
4.6. Процессный подход в рамках управления ИБ
4.6.1. Планирование СУИБ
4.6.2. Реализация СУИБ
4.6.3. Проверка СУИБ
4.6.4. Совершенствование СУИБ
4.7. Работа с процессами СУИБ организации
4.7.1. Задание процесса СУИБ
4.7.2. Идентификация процессов СУИБ организации
4.7.3. Документирование и описание процесса СУИБ
4.7.4. Мониторинг и измерение параметров процесса СУИБ
4.8. Стратегии построения и внедрения СУИБ
4.8.1. Построение и внедрение СУИБ в целом
4.8.2. Построение и внедрение процессов СУИБ по отдельности
Выводы
Вопросы для самоконтроля

Заключение

Приложения
Примеры частных политик информационной безопасности
П1. Политика использования компьютеров интранета
П2. Политика использования паролей
П3. Политика использования алгоритмов шифрования
П4. Политика антивирусной защиты
П5. Политика оценки рисков ИБ
П6. Политика аудита ИБ
П7. Политика для пограничных маршрутизаторов интранета
П8. Политика удаленного доступа к интранету
П9. Политика построения виртуальных частных сетей
П10. Политика для экстранета 216
П11. Политика для оборудования пограничной демилитаризованной зоны
П12. Политика подключения подразделений к интранету
П13. Политика подключения к интранету с применением модема
П14. Политика работы с конфиденциальной информацией
П15. Политика для веб-сервера
П16. Политика отправки электронной почты за пределы интранета
П17. Политика хранения сообщений электронной почты
П18. Политика для межсетевых экранов
П19. Политика подключения новых устройств к интранету

Принятые сокращения

Список литературы