Анализ рисков информационной безопасности в ООО “Рога и

Федеральное агентство по рыболовству
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Астраханский государственный технический университет»
Разработка и предоставление образовательных услуг в области среднего профессионального, высшего, дополнительного, дополнительного
профессионального образования, международного бизнес-образования; воспитательная работа, научно-исследовательская и инновационная
деятельность сертифицированы DQS и ГОСТ Р по ISO 9001:2008
Институт информационных технологий и коммуникация
Кафедра «Информационная безопасность»
УТВЕРЖДАЮ:
Директор Института информационных
технологий и коммуникация, д.т.н., проф.
_________________ И.Ю. Квятковская
«___» ____________20__г.
Протокол № ___ от «___» _________20__г.
Рабочая программа
АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Специальность:
090303.65 «Информационная безопасность автоматизированных систем»
Специализация:
«Анализ безопасности информационных систем»
Квалификация (степень) выпускника
Специалист
Форма обучения
Очная
Составил:
к.т.н., доц. каф. ИБ
__________________ И.М. Ажмухамедов
«_____» _____________20__г.
Программа рекомендована кафедрой
«Информационная безопасность»
протокол № ____ от «___» _______20__г.
Зав. каф. ИБ, д.т.н., профессор
___________________ Г.А. Попов
Астрахань 2015
1
Цель дисциплины
Целью дисциплины «Анализ рисков информационной безопасности» является
получение слушателями знаний о принципах построения систем информационной
безопасности, методиках оценки рисков информационной безопасности, а также
практических навыков применения средств анализа безопасности информационных
систем.
2
1
2
3
4
Место дисциплины в структуре ООП
Цикл (раздел) ООП, к которому
относится данная дисциплина
(модуль).
Логическая и содержательнометодическая взаимосвязь с
другими частями ООП
(дисциплинами, модулями,
практиками).
Требования к «входным» знаниям,
умениями и готовностям
обучающегося, необходимым при
освоении данной дисциплины и
приобретенным в результате
освоения предшествующих
дисциплин (модулей).
Теоретические дисциплины и
практики, для которых освоение
данной дисциплины (модуля)
необходимо как предшествующее
Профессиональный цикл, базовая часть
Математическая логика и теория алгоритмов, Алгебра и
геометрия, Математический анализ, Дискретная
математика, Теория вероятностей и математическая
статистика, Математический аппарат и средства анализа
программного обеспечения, Организация ЭВМ и
вычислительных систем, Обеспечение безопасности
компьютерных систем, Параллельная обработка данных,
Мониторинг безопасности информационных систем,
Правоведение, Законодательство об обеспечении
безопасности государства, Психология преступлений в
сфере информационной безопасности, Управление
информационной безопасностью, Безопасность
жизнедеятельности, Иностранный язык (технический
перевод), Математическое моделирование в
информационных системах, Защита информации в
процессе документооборота организации, Анализ
безопасности протоколов, Защита информации в
предпринимательской деятельности, Техническая защита
информации, Принятие решений и оценка риска,
Обеспечение безопасности в финансовой и банковской
деятельности, Разработка и эксплуатация защищенных
автоматизированных систем, Верификация безопасности
операционных систем, Электроника и схемотехника,
Программно-аппаратные средства обеспечения
информационной безопасности, Учебная практика,
Производственная практика, Государственная итоговая
аттестация
-
Верификация безопасности операционных систем,
Защита информации в предпринимательской
деятельности, Обеспечение безопасности компьютерных
систем, Обеспечение безопасности финансовой и
банковской деятельности, Мониторинг безопасности
информационных систем, Разработка и эксплуатация
защищенных автоматизированных систем,
Производственная практика, Государственная итоговая
аттестация
2
3
Компетенции обучающегося, формируемые в результате освоения
дисциплины (модуля) «Анализ рисков информационной безопасности»
ПК-1 – способность выявлять естественнонаучную сущность проблем,
возникающих в ходе профессиональной деятельности, и применять соответствующий
физико-математический аппарат для их формализации, анализа и выработки решения.
ПК-6 – способность использовать нормативные правовые акты в своей
профессиональной деятельности.
ПК-7 – способность использовать основные методы защиты производственного
персонала и населения от возможных последствий аварий, катастроф, стихийных
бедствий.
ПК-13 – способность разрабатывать модели угроз и модели нарушителя
информационной безопасности автоматизированной системы.
ПК-14 – способность проводить анализ рисков информационной безопасности
автоматизированной системы.
ПК-15 – способность проводить анализ, предлагать и обосновывать выбор решений
по обеспечению требуемого уровня эффективности применения автоматизированных
систем.
ПК-25 – способность участвовать в проведении экспериментальноисследовательских работ при аттестации автоматизированных систем с учетом
нормативных требований по защите информации.
ПСК-8.2 – способность разрабатывать методики и тесты для анализа степени
защищенности информационной системы, соответствия нормативным требованиям по
защите информации.
ПСК-8.3 – способность применять инструментарий анализа безопасности
программного обеспечения.
ПСК-8.5 – способность принимать участие в проведении исследований и
испытаний защищенных информационных систем
ПСК-8.6 – способность участвовать в сертификационных испытаниях по
существующим требованиям.
В результате освоения дисциплины обучающийся должен:
Знать:
 основные понятия и определения, касающиеся риск-менеджмента;
 место анализа рисков в общей системе обеспечения ИБ
 способы описания поведения систем;
 угрозы и атаки, характерные для распределенных информационных систем
 типовые архитектуры и принципы построения современных защищенных
информационных систем;
 основные положения отечественных и зарубежных стандартов по рискменеджменту и оценке рисков ИБ;
 принципы статистического анализа.
Уметь:
 формализовать задачу контроля параметров безопасности информационными
системами;
 использовать нормативные правовые акты по анализу рисков в своей
профессиональной деятельности;
 разрабатывать методы и средства для проверки выполнения требований
информационной безопасности и поиска уязвимостей.
Владеть:
 Методиками оценки рисков информационной безопасности;
 Средствами фиксации параметров безопасности информационных систем;
3


Методиками реализации и верификации моделей контроля и управления
доступом;
Навыками применения средств анализа безопасности информационных
систем.
4
Структура и содержание дисциплины
Общая трудоемкость дисциплины составляет 4 зачетных единицы, 144 часа.
ТрудоемЛек- Лаб.
кость
Семестр
ций, занят,
зач.ед
час
час
(час)
7
4 (144)
36
18
4 (144)
36
18
Итого
Практик,
час
СРС,
час
Контроль,
час
18
18
36
36
36
36
Форма
промежуточного
(итогового) контроля
(экз./зачет)
экзамен
Содержание (VII семестр)
1
2
3
4
5
Наименование раздела
дисциплины, содержание
раздела
Понятие риска в различных
сферах жизни общества.
Взаимосвязь основных понятий
в области оценки рисков.
Место анализа рисков в общей
схеме управления ИБ. Подходы
к оценке рисков ИБ:
качественный, количественный.
Экономическая модель оценки
рисков. Вероятностная модель
оценки рисков
Нормативно-правовые основы
оценки рисков. ГОСТ Р ИСО
31000-2010. Менеджмент риска.
Принципы и руководство.
ГОСТ Р ИСО 31010. Методы
оценки риска
Нормативно-правовые основы
оценки рисков. ГОСТ Р ИСО
27005. Менеджмент рисков ИБ.
Стандарт банка России по
обеспечению ИБ организаций
банковской системы РФ
Методики и ПО для оценки
рисков ИБ. Метод анализа и
управления рисками CRAMM.
Средство оценки рисков
Microsoft Security Assessment
Неделя семестра
№
Виды учебной работы,
включая самостоятельную
работу студентов и
трудоемкость (в часах)
всего
Лек.
лаб.
раб.
Прак.
СРС
1
2
2-4
6
4
4
8
5-6
4
2
2
8
7-8
4
2
2
8
9-10
4
2
2
8
Формы
текущего и
итогового
контроля
успеваемости,
формы занятий
как
составляющие
образовательной
технологии
8
4
6
7
8
9
Tools
Методики и ПО для оценки
рисков ИБ. Оценка критичных
угроз, активов и уязвимостей
OCTAVE. Средство
качественной оценки vsRisk
Методики и ПО для оценки
рисков ИБ. Средство
количественной оценки рисков
Practical Threat Analysis.
Методика Risk Watch
Методики и ПО для оценки
рисков ИБ. Методика
управления рисками Microsoft
The Security Risk Management
Guide. Средство оценки рисков
R-Vision Risk Manager
Принятие решений по
результатам оценки рисков.
Политика обработки рисков.
Подведение итогов
Итого
11-12
4
2
2
8
13-14
4
2
2
8
15-16
4
2
2
8
17-18
4
2
2
8
144
36
18
18
72
Диф. зачет
50% занятий
интерактивной
формы
Лабораторные занятия
№
п/п
1
2
3
4
5
6
Тематика лабораторных занятий
Экономическая модель оценки рисков
Вероятностная модель оценки рисков
Средство оценки рисков «Microsoft Security Assessment Tool» (MSAT)
Средство качественной оценки рисков vsRisk
Средство количественной оценки рисков Practical Threat Analysis
Методика управления рисками Microsoft
Трудоемкость
(час.)
2
2
2
4
4
4
Практические занятия
№
Тематика практических занятий
Трудоемкость
п/п
(час.)
1 Экономическая и вероятностная модели оценки рисков
4
2 Сбор информации о предприятии (вид деятельности, форма организации,
2
структура ИС, наличие СЗИ)
3 Описание угроз и уязвимостей предприятия
2
4 Оценка рисков в организации с применением существующих методик и
6
программных средств
5 Сравнение результатов оценки рисков
2
6 Составление плана действий по повышению уровня ИБ
2
5
Образовательные технологии
Лекции, лабораторные работы, практические занятия.
5
6
Оценочные средства для текущего контроля успеваемости, промежуточной
аттестации по итогам освоения дисциплины и учебно-методическое обеспечение
самостоятельной работы студентов
Учебным планом на изучение дисциплины отводится один семестр. В конце
семестра в качестве контроля предусмотрены курсовая работа и экзамен. Целесообразно
осуществлять проведение экзамена в форме устного опроса по билетам. В билет
целесообразно включать не менее двух теоретических вопросов и одного практического
задания.
Промежуточный контроль
Текущий контроль усвоения знаний осуществляется путем проверки выполнения
студентами лабораторных работ, опрос на практических занятиях по пройденному на
лекциях материалу.
В соответствии с Положением о рейтинговой системе оценки знаний студентов
АГТУ (Пр. № 190 от 23.06.2006 г.) в течение семестра осуществляется рейтинговая оценка
знаний студентов. Рейтинговый контроль проводится на 8 и 13 неделях в соответствии с
графиком учебного процесса. К означенным контрольным точкам студенты должны
отчитать проделанные к этому времени лабораторные работы и практические задания.
Курсовая работа
Курсовая работа представляет собой обобщение выполненных лабораторных работ
и практических заданий и заключается в следующем: студент выбирает организацию
(существующую или вымышленную) и производит анализ рисков информационной
безопасности для данного предприятия с использованием нескольких изученных методик,
проводит сравнительный анализ результатов по рассмотренным методикам и делает
вывод о том, какая методика наиболее приемлема для выбранной организации.
Пример формулировки темы курсовой работы: «Анализ рисков информационной
безопасности в ООО “Рога и копыта”».
По согласованию с преподавателем студент может выполнять курсовую работу по
теме, отличающейся от предложенной преподавателем (возможно по теме будущего
диплома). Однако содержание курсовой работы должно соответствовать изучаемой
дисциплине.
Вопросы к экзамену
1. Основные понятия в области риск-менеджмента: угроза, уязвимость, атака, риск,
оценка риска. Их взаимосвязь.
2. Место анализа рисков в общей схеме управления ИБ
3. Количественный подход к оценке рисков. Достоинства, недостатки подхода.
4. Качественный подход к оценке рисков. Достоинства, недостатки подхода.
5. Экономическая модель оценки рисков.
6. Вероятностная модель оценки рисков.
7. ГОСТ Р ИСО 31000-2010: принципы и схема процесса риск менеджмента.
8. Управление рисками и жизненный цикл информационной системы.
9. ГОСТ Р ИСО/МЭК 15408-1-2012 «Общие критерии оценки безопасности
информационных технологий. Введение и общая модель». Основные понятия и их
взаимосвязь.
10. ГОСТ Р ИСО/МЭК 15408-1-2012 «Общие критерии оценки безопасности
информационных технологий. Введение и общая модель». Профиль защиты
6
11. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Схема
процесса менеджмента рисков. Модель PDCA.
12. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап
«Установление контекста менеджмента риска».
13. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап
«Идентификация риска»
14. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап
«Оценка риска»
15. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности».
Обработка риска. Мониторинг и пересмотр, передача и принятие риска.
16. Стандарт Банка России по обеспечению ИБ организаций банковской системы РФ.
17. Метод CRAMM: цель разработки, концептуальная схема, достоинства, недостатки.
18. Метод CRAMM. Этапы оценки.
19. Метод OCTAVE: основные сведения, этапы оценки рисков.
20. Метод OCTAVE: профиль угроз.
21. Средство оценки рисков Microsoft Security Assessment Tools.
22. Средство качественной оценки vsRisk.
23. Средство количественной оценки PTA
24. Методика RiskWatch. Критерии управления рисками и их вычисление.
25. Методика RiskWatch. Этапы методики.
26. Методика управления рисками Microsoft (The Security Risk Management Guide):
общее описание этапов управления рисками.
27. Методика управления рисками Microsoft (The Security Risk Management Guide):
уровни зрелости организации.
28. Методика управления рисками Microsoft (The Security Risk Management Guide):
этап качественной оценки рисков.
29. Методика управления рисками Microsoft (The Security Risk Management Guide):
этап количественной оценки рисков
30. Средство оценки рисков R-Vision Risk Manager.
7
Учебно-методическое и информационное обеспечение дисциплины «Анализ
рисков информационной безопасности»
а) основная литература:
1. Ажмухамедов И.М., Выборнова О.Н., Князева О.М. Анализ рисков информационной
безопасности: учебное пособие. – Астрахань: Изд-во АГТУ, 2015. – 104 с.
б) дополнительная литература:
2. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства
обеспечения безопасности. Менеджмент риска информационной безопасности». –
Москва: Стандартинформ, 2011. – 51с.
3. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. – Москва:
Стандартинформ, 2012. – 24с.
4. ГОСТ Р ИСО 31010-2011. Менеджмент риска. Методы оценки риска. – Москва:
Стандартинформ, 2012. – 74с.
в) ресурсы информационно-телекоммуникационной сети «Интернет»
5. Астахов А.М. Искусство управления информационными рисками. – М., 2011.
[Электронный ресурс]. – URL: http://анализ-риска.рф/
7
6. Нестеров С.А. Анализ и управление рисками в сфере информационной
безопасности. – Санкт-Петербург, 2007. [Электронный ресурс]. – URL: http://www.krdumvd.ru/_files/kafedra_ib/52.pdf
7. ISO27000.ru Искусство управления информационной безопасностью. [Электронный
ресурс]. – URL: http://www.iso27000.ru/
8. ЭБС АГТУ. [Электронный ресурс]. – URL: http://library.astu.org
г) методические указания для обучающихся по освоению дисциплины (модуля)
9. Ажмухамедов И.М., Выборнова О.Н., Князева О.М. Анализ рисков информационной
безопасности: методическое пособие по проведению лабораторных работ для студентов
специальности 10.05.03 «Информационная безопасность автоматизированных систем» и
направления 10.03.01 «Информационная безопасность». – Астрахань: Изд-во АГТУ,
2015. – 52 с.
10. Белов С.В., Космачева И.М., Давидюк Н.В. Руководство по подготовке,
оформлению и защите курсовых и дипломных работ для студентов специальности
090105.65
«Комплексное
обеспечение
информационной
безопасности
автоматизированных систем», «Информационная безопасность автоматизированных
систем» 090303.65 и «Информационная безопасность» 090900.62. – Астрахань: Изд-во
АГТУ, 2013. – 58 с.
д) перечень информационных технологий, используемых при осуществлении
образовательного процесса по дисциплине (модулю), включая перечень
лицензионного программного обеспечения и информационных справочных систем
11. Microsoft Security Assessment Tool. – [бесплатное ПО] – URL:
http://www.microsoft.com/ru-ru/download/details.aspx?id=12273
12. Windows Security Risk Management Guide Tools and Templates. – [бесплатное ПО] –
URL: http://www.microsoft.com/en-us/download/details.aspx?id=6232
13. vsRisk – [демо-версия 15 дней] – URL: http://www.vigilantsoftware.co.uk/t-trial.aspx
14.
Practical
Threat
Analysis
–
[демо-версия
30
дней]
–
URL:
http://www.ptatechnologies.com/default.htm
8
Материально-техническое обеспечение дисциплины (модуля)
Лекционные аудитории, оборудованные презентационной техникой (проектор, экран,
компьютер); компьютерные классы.
Программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций
и ПрООП ВПО по специальности 090303 «Информационная безопасность автоматизированных
систем» и специализации «Анализ безопасности информационных систем».
8