Федеральное агентство по рыболовству Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Астраханский государственный технический университет» Разработка и предоставление образовательных услуг в области среднего профессионального, высшего, дополнительного, дополнительного профессионального образования, международного бизнес-образования; воспитательная работа, научно-исследовательская и инновационная деятельность сертифицированы DQS и ГОСТ Р по ISO 9001:2008 Институт информационных технологий и коммуникация Кафедра «Информационная безопасность» УТВЕРЖДАЮ: Директор Института информационных технологий и коммуникация, д.т.н., проф. _________________ И.Ю. Квятковская Протокол № ___ от «___» _________20__г. Рабочая программа АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Направление подготовки 090900.62 (10.03.01) «Информационная безопасность» Профиль подготовки Безопасность компьютерных систем Квалификация (степень) выпускника Бакалавр Форма обучения Очная Авторы: д.т.н., проф. каф. ИБ __________________ И.М. Ажмухамедов асс. каф. ИБ __________________ О.Н. Выборнова Программа рекомендована кафедрой «Информационная безопасность» протокол № ____ от «___» _______20__г. Зав. каф. ИБ, д.т.н., профессор ___________________ Г.А. Попов Астрахань 2015 1 Цель дисциплины Целью дисциплины «Анализ рисков информационной безопасности» является получение слушателями знаний о принципах построения систем информационной безопасности, методиках оценки рисков информационной безопасности, а также практических навыков применения средств анализа безопасности информационных систем. 2 1 2 3 4 Место дисциплины в структуре ООП Цикл (раздел) ООП, к которому относится данная дисциплина (модуль). Логическая и содержательнометодическая взаимосвязь с другими частями ООП (дисциплинами, модулями, практиками). Требования к «входным» знаниям, умениями и готовностям обучающегося, необходимым при освоении данной дисциплины и приобретенным в результате освоения предшествующих дисциплин (модулей). Теоретические дисциплины и практики, для которых освоение данной дисциплины (модуля) необходимо как предшествующее Профессиональный цикл, вариативная часть, обязательные дисциплины Философия, Русский язык и культура речи, Информатика, Принятие решений и оценка риска, Основы информационной безопасности, Основы управленческой деятельности, Теория информации, История становления систем информационной безопасности, Современные цифровые технологии сетей передачи данных, Математическая логика и теория алгоритмов, Информационные технологии, Экономика, Основы предпринимательской деятельности, Математический аппарат и средства анализа безопасности программного обеспечения, Математическое моделирование в информационных системах, Дискретная математика, Теория вероятностей и математическая статистика, Алгоритмы направленного перебора, Криптографические протоколы, Аппаратные средства вычислительной техники, Техническая защита информации, Технические средства охраны, Организационное и правовое обеспечение информационной безопасности, Защита информации в предпринимательской деятельности, Верификация безопасности информационных систем, Учебная практика, Производственная практика, Государственная итоговая аттестация - Защита информации в предпринимательской деятельности, Верификация безопасности информационных систем, Производственная практика, Государственная итоговая аттестация 2 3 Компетенции обучающегося, формируемые в результате освоения дисциплины (модуля) «Анализ рисков информационной безопасности» ОК-8 – Способность к обобщению, анализу, восприятию информации, постановке цели и выбору путей ее достижения, владеть культурой мышления. ПК-8 – Способность определять виды и формы информации, подверженной угрозам, виды и возможные методы и пути реализации угроз на основе анализа структуры и содержания информационных процессов предприятия, целей и задач деятельности предприятия. ПК-13 – Способность к проведению предварительного технико-экономического анализа и обоснования проектных решений по обеспечению информационной безопасности. ПК-21 – Способность проводить анализ информационной безопасности объектов и систем с использованием отечественных и зарубежных стандартов. ПК-22 – Способность проводить эксперименты по заданной методике, обработку результатов, оценку погрешности и достоверности их результатов. ПК-28 – Способность изучать и обобщать опыт работы других учреждений, организаций и предприятий в области повышения эффективности защиты информации. В результате освоения дисциплины обучающийся должен: Знать: основные понятия и определения, касающиеся риск-менеджмента; место анализа рисков в общей системе обеспечения ИБ способы описания поведения систем; угрозы и атаки, характерные для распределенных информационных систем типовые архитектуры и принципы построения современных защищенных информационных систем; основные положения отечественных и зарубежных стандартов по рискменеджменту и оценке рисков ИБ; принципы статистического анализа. Уметь: формализовать задачу контроля параметров безопасности информационными системами; использовать нормативные правовые акты по анализу рисков в своей профессиональной деятельности; разрабатывать методы и средства для проверки выполнения требований информационной безопасности и поиска уязвимостей. Владеть: Методиками оценки рисков информационной безопасности; Средствами фиксации параметров безопасности информационных систем; Методиками реализации и верификации моделей контроля и управления доступом; Навыками применения средств анализа безопасности информационных систем. 4 Структура и содержание дисциплины Общая трудоемкость дисциплины составляет 4 зачетных единицы, 144 часа. 3 Семестр 6 Итого Трудоемкость зач.ед (час) 4 (144) 4 (144) Лекций, час 36 36 Лаб. занят, час 18 18 Практик, час СРС, час 18 18 72 72 Форма промежуточного (итогового) контроля (экз./зачет) Диф. зачет Содержание (VI семестр) 1 2 3 4 5 6 7 Наименование раздела дисциплины, содержание раздела Понятие риска в различных сферах жизни общества. Взаимосвязь основных понятий в области оценки рисков. Место анализа рисков в общей схеме управления ИБ. Подходы к оценке рисков ИБ: качественный, количественный. Экономическая модель оценки рисков. Вероятностная модель оценки рисков Нормативно-правовые основы оценки рисков. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. ГОСТ Р ИСО 31010. Методы оценки риска Нормативно-правовые основы оценки рисков. ГОСТ Р ИСО 27005. Менеджмент рисков ИБ. Стандарт банка России по обеспечению ИБ организаций банковской системы РФ Методики и ПО для оценки рисков ИБ. Метод анализа и управления рисками CRAMM. Средство оценки рисков Microsoft Security Assessment Tools Методики и ПО для оценки рисков ИБ. Оценка критичных угроз, активов и уязвимостей OCTAVE. Средство качественной оценки vsRisk Методики и ПО для оценки рисков ИБ. Средство количественной оценки рисков Practical Threat Analysis. Методика Risk Watch Неделя семестра № Виды учебной работы, включая самостоятельную работу студентов и трудоемкость (в часах) всего Лек. лаб. раб. Прак. СРС 1 2 2-4 6 4 4 8 5-6 4 2 2 8 7-8 4 2 2 8 9-10 4 2 2 8 11-12 4 2 2 8 13-14 4 2 2 8 Формы текущего и итогового контроля успеваемости, формы занятий как составляющие образовательной технологии 8 4 Методики и ПО для оценки рисков ИБ. Методика управления рисками Microsoft The Security Risk Management Guide. Средство оценки рисков R-Vision Risk Manager Принятие решений по результатам оценки рисков. Политика обработки рисков. Подведение итогов Итого 8 9 15-16 4 2 2 8 17-18 4 2 2 8 144 36 18 18 72 Диф. зачет 50% занятий интерактивной формы Лабораторные занятия № п/п 1 2 3 4 5 6 Тематика лабораторных занятий Экономическая модель оценки рисков Вероятностная модель оценки рисков Средство оценки рисков «Microsoft Security Assessment Tool» (MSAT) Средство качественной оценки рисков vsRisk Средство количественной оценки рисков Practical Threat Analysis Методика управления рисками Microsoft Трудоемкость (час.) 2 2 2 4 4 4 Практические занятия № Тематика практических занятий Трудоемкость п/п (час.) 1 Экономическая и вероятностная модели оценки рисков 4 2 Сбор информации о предприятии (вид деятельности, форма организации, 2 структура ИС, наличие СЗИ) 3 Описание угроз и уязвимостей предприятия 2 4 Оценка рисков в организации с применением существующих методик и 6 программных средств 5 Сравнение результатов оценки рисков 2 6 Составление плана действий по повышению уровня ИБ 2 5 Образовательные технологии Лекции, лабораторные работы, практические занятия. 6 Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины и учебно-методическое обеспечение самостоятельной работы студентов Учебным планом на изучение дисциплины отводится один семестр. В конце семестра в качестве контроля предусмотрены курсовая работа и дифференцированный зачет. Целесообразно осуществлять проведение диф. зачета в форме устного опроса по билетам. В билет целесообразно включать не менее двух теоретических вопросов и одного практического задания. 5 Промежуточный контроль Текущий контроль усвоения знаний осуществляется путем проверки выполнения студентами лабораторных работ, опрос на практических занятиях по пройденному на лекциях материалу. В соответствии с Положением о рейтинговой системе оценки знаний студентов АГТУ (Пр. № 190 от 23.06.2006 г.) в течение семестра осуществляется рейтинговая оценка знаний студентов. Рейтинговый контроль проводится на 8 и 13 неделях в соответствии с графиком учебного процесса. К означенным контрольным точкам студенты должны отчитать проделанные к этому времени лабораторные работы и практические задания. Курсовая работа Курсовая работа представляет собой обобщение выполненных лабораторных работ и практических заданий и заключается в следующем: студент выбирает организацию (существующую или вымышленную) и производит анализ рисков информационной безопасности для данного предприятия с использованием нескольких (не менее 3) изученных методик, проводит сравнительный анализ результатов по рассмотренным методикам и делает вывод о том, какая методика наиболее приемлема для выбранной организации. В качестве объекта исследования может выступать организация, для которой в дальнейшем будет выполняться дипломный проект. Пример формулировки темы курсовой работы: «Анализ рисков информационной безопасности в ООО “Рога и копыта”». По согласованию с преподавателем студент может выполнять курсовую работу по теме, отличающейся от предложенной преподавателем (возможно по теме будущего диплома). Однако содержание курсовой работы должно соответствовать изучаемой дисциплине. Вопросы к экзамену 1. Основные понятия в области риск-менеджмента: угроза, уязвимость, атака, риск, оценка риска. Их взаимосвязь. 2. Место анализа рисков в общей схеме управления ИБ 3. Количественный подход к оценке рисков. Достоинства, недостатки подхода. 4. Качественный подход к оценке рисков. Достоинства, недостатки подхода. 5. Экономическая модель оценки рисков. 6. Вероятностная модель оценки рисков. 7. ГОСТ Р ИСО 31000-2010: принципы и схема процесса риск менеджмента. 8. Управление рисками и жизненный цикл информационной системы. 9. ГОСТ Р ИСО/МЭК 15408-1-2012 «Общие критерии оценки безопасности информационных технологий. Введение и общая модель». Основные понятия и их взаимосвязь. 10. ГОСТ Р ИСО/МЭК 15408-1-2012 «Общие критерии оценки безопасности информационных технологий. Введение и общая модель». Профиль защиты 11. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Схема процесса менеджмента рисков. Модель PDCA. 12. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап «Установление контекста менеджмента риска». 13. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап «Идентификация риска» 14. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Этап «Оценка риска» 6 15. ISO/IEC 27005:2011 «Менеджмент рисков информационной безопасности». Обработка риска. Мониторинг и пересмотр, передача и принятие риска. 16. Стандарт Банка России по обеспечению ИБ организаций банковской системы РФ. 17. Метод CRAMM: цель разработки, концептуальная схема, достоинства, недостатки. 18. Метод CRAMM. Этапы оценки. 19. Метод OCTAVE: основные сведения, этапы оценки рисков. 20. Метод OCTAVE: профиль угроз. 21. Средство оценки рисков Microsoft Security Assessment Tools. 22. Средство качественной оценки vsRisk. 23. Средство количественной оценки PTA 24. Методика RiskWatch. Критерии управления рисками и их вычисление. 25. Методика RiskWatch. Этапы методики. 26. Методика управления рисками Microsoft (The Security Risk Management Guide): общее описание этапов управления рисками. 27. Методика управления рисками Microsoft (The Security Risk Management Guide): уровни зрелости организации. 28. Методика управления рисками Microsoft (The Security Risk Management Guide): этап качественной оценки рисков. 29. Методика управления рисками Microsoft (The Security Risk Management Guide): этап количественной оценки рисков 30. Средство оценки рисков R-Vision Risk Manager. 7 Учебно-методическое и информационное обеспечение дисциплины «Анализ рисков информационной безопасности» а) основная литература: 1. Ажмухамедов И.М., Выборнова О.Н., Князева О.М. Анализ рисков информационной безопасности: учебное пособие. – Астрахань: Изд-во АГТУ, 2015. – 104 с. б) дополнительная литература: 2. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». – Москва: Стандартинформ, 2011. – 51с. 3. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. – Москва: Стандартинформ, 2012. – 24с. 4. ГОСТ Р ИСО 31010-2011. Менеджмент риска. Методы оценки риска. – Москва: Стандартинформ, 2012. – 74с. в) ресурсы информационно-телекоммуникационной сети «Интернет» 5. Астахов А.М. Искусство управления информационными рисками. – М., 2011. [Электронный ресурс]. – URL: http://анализ-риска.рф/ 6. Нестеров С.А. Анализ и управление рисками в сфере информационной безопасности. – Санкт-Петербург, 2007. [Электронный ресурс]. – URL: http://www.krdumvd.ru/_files/kafedra_ib/52.pdf 7. ISO27000.ru Искусство управления информационной безопасностью. [Электронный ресурс]. – URL: http://www.iso27000.ru/ 8. ЭБС АГТУ. [Электронный ресурс]. – URL: http://library.astu.org г) методические указания для обучающихся по освоению дисциплины (модуля) 9. Ажмухамедов И.М., Выборнова О.Н., Князева О.М. Анализ рисков информационной безопасности: методическое пособие по проведению лабораторных работ для студентов 7 специальности 10.05.03 «Информационная безопасность автоматизированных систем» и направления 10.03.01 «Информационная безопасность». – Астрахань: Изд-во АГТУ, 2015. – 52 с. 10. Белов С.В., Космачева И.М., Давидюк Н.В. Руководство по подготовке, оформлению и защите курсовых и дипломных работ для студентов специальности 090105.65 «Комплексное обеспечение информационной безопасности автоматизированных систем», «Информационная безопасность автоматизированных систем» 090303.65 и «Информационная безопасность» 090900.62. – Астрахань: Изд-во АГТУ, 2013. – 58 с. д) перечень информационных технологий, используемых при осуществлении образовательного процесса по дисциплине (модулю), включая перечень лицензионного программного обеспечения и информационных справочных систем 11. Microsoft Security Assessment Tool. – [бесплатное ПО] – URL: http://www.microsoft.com/ru-ru/download/details.aspx?id=12273 12. Windows Security Risk Management Guide Tools and Templates. – [бесплатное ПО] – URL: http://www.microsoft.com/en-us/download/details.aspx?id=6232 13. vsRisk – [демо-версия 15 дней] – URL: http://www.vigilantsoftware.co.uk/t-trial.aspx 14. Practical Threat Analysis – [демо-версия 30 дней] – URL: http://www.ptatechnologies.com/default.htm 8 Материально-техническое обеспечение дисциплины (модуля) Лекционные аудитории, оборудованные презентационной техникой (проектор, экран, компьютер); компьютерные классы. Программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и ПрООП ВПО по направлению 090900.62 «Информационная безопасность» и профилю подготовки «Безопасность компьютерных систем». 8