- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Информационные системы персональных данных как объект обеспечения инфорационной безопасности
- •1.1 Специфика обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.1 Состояние обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.2 Цель и основные задачи обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.3 Основные особенности информационных систем персональных данных как объектов обеспечения безопасности
- •1.1.4 Основные принципы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.2 Характеристика основных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.3 Общая характеристика уязвимостей информационных систем персональных данных
- •1.3.1 Общая характеристика уязвимостей системного программного обеспечения
- •1.3.2 Общая характеристика уязвимостей прикладного программного обеспечения
- •1.4 Выводы по главе и постановка задачи оценки рисков в информационных системах персональных данных
- •2 Анализ рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных на основе алгоритма нечеткого вывода
- •2.1 Общий порядок анализа информационных рисков
- •2.1.1 Характерные особенности анализа рисков в информационных системах персональных данных
- •2.1.2 Оценка вероятностей реализации угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.1.3 Особенности расчета ущерба при нарушении безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2 Оценка рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2.1 Общая методика проведения оценки на основе механизма нечеткого вывода
- •2.2.2 Формирование функций принадлежности
- •2.2.3 Пример оценки
- •2.3 Выводы по главе
- •3.1 Общая характеристика процесса управления рисками
- •3.2 Качественные методики управления рисками
- •3.2.1 Методика cobra
- •3.2.2 Методика ra Software Tool
- •3.3 Количественные методики управления рисками
- •3.3.1 Метод cramm
- •3.3.2 Метод RiskWatch
- •3.3.3 Метод гриф
- •3.3.4 Метод octave
- •3.3.5 Метод mitre
- •3.4 Применение основных методов управления рисками на примере конкретной испДн
- •3.5 Выбор мер и средств защиты информации
- •3.5.1 Общие вопросы выбора мер и средств при проектировании систем защиты информации
- •3.5.2 Выбор мер и средств защиты информации при проектировании подсистемы контроля физического доступа к элементам испДн
- •3.5.3 Выбор мер и средств защиты информации от сетевых атак
- •3.5.4 Выбор мер и средств защиты информации от программно-математических воздействий
- •3.6 Выводы по главе
- •Заключение
- •Список использованных информационных источников
- •Приложение а (справочное) Описание аппарата теории нечетких множеств
- •Приложение б (обязательное) Результаты оценки риска для наиболее актуальных угроз безопасности пДн, обрабатываемых в испДн
- •394026 Воронеж, Московский просп., 14
Ю.К. Язов
АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ НАРУШЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Учебное пособие
Воронеж 2008
ГОУВПО «Воронежский государственный технический университет»
Ю.К. Язов
АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ
НАРУШЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2008
УДК 621. 05
Язов Ю.К. Анализ и управление рисками нарушения безопасности персональных данных при обработке в информационных системах персональных данных: учеб. пособие/ Ю.К. Язов. Воронеж: ГОУВПО «Воронежский государственный технический университет», 2008.-183 с.
В учебном пособии приведена классификация основных угроз персональным данным, отличающаяся от существующих тем, что в ней угрозы классифицированы по видам неправомерных действий, осуществляемых с ПДн, отличающаяся тем, что в ней введена процедура нечеткого вывода, а также методика формирования функций принадлежности в виде гауссовских кривых.
Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 "Информационная безопасность", специальности 090105 "Комплексное обеспечение информационной безопасности автоматизированных систем", дисциплине "Организационно-правовое обеспечение ИБ", очной формы обучения.
Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD и содержится в файле АУРН.doc
Табл. 35. Ил.18. Библиогр.: 114 назв.
Научный редактор д-р техн. наук, проф. А.Г. Остапенко
Рецензенты: Межрегиональный центр «Инфозащита»(ген. директор С.В. Кудрявцев);
канд. техн. наук, доц. Е.И. Воробьева
© Язов Ю.К., 2008
©
Содержание
1 ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК ОБЪЕКТ ОБЕСПЕЧЕНИЯ ИНФОРАЦИОННОЙ БЕЗОПАСНОСТИ 9
1.1 Специфика обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных 9
1.1.1 Состояние обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных 9
1.1.2 Цель и основные задачи обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных 11
1.1.3 Основные особенности информационных систем персональных данных как объектов обеспечения безопасности 13
1.1.4 Основные принципы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных 16
1.2 Характеристика основных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 18
1.3 Общая характеристика уязвимостей информационных систем персональных данных 22
2 АНАЛИЗ РИСКОВ НАРУШЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВЕ АЛГОРИТМА НЕЧЕТКОГО ВЫВОДА 27
2.1.2 Оценка вероятностей реализации угроз безопасности персональных данных при их обработке в информационных системах персональных данных 29
2.1.3 Особенности расчета ущерба при нарушении безопасности персональных данных при их обработке в информационных системах персональных данных 33
3.1 Общая характеристика процесса управления рисками 67
3.2 Качественные методики управления рисками 70
3.2.1 Методика COBRA 72
3.2.2 Методика RA Software Tool 73
3.3 Количественные методики управления рисками 73
3.3.1 Метод CRAMM 74
3.3.2 Метод RiskWatch 78
3.3.3 Метод ГРИФ 81
3.3.4 Метод OCTAVE 85
3.3.5 Метод MITRE 86
3.4 Применение основных методов управления рисками на примере конкретной ИСПДн 87
3.5 Выбор мер и средств защиты информации 112
3.5.1 Общие вопросы выбора мер и средств при проектировании систем защиты информации 112
3.5.2 Выбор мер и средств защиты информации при проектировании подсистемы контроля физического доступа к элементам ИСПДн 120
3.5.3 Выбор мер и средств защиты информации от сетевых атак 122
3.5.4 Выбор мер и средств защиты информации от программно-математических воздействий 132
3.6 Выводы по главе 136
СПИСОК ИСПОЛЬЗОВАННЫХ ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ 139