- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
ФГБОУ ВО «Воронежский государственный
технический университет»
О.Н. Чопоров Ю.Н. Гузев
СТАНДАРТИЗАЦИЯ И МЕТОДОЛОГИЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2015
УДК 004.056
Чопоров О.Н. Стандартизация и методология управления информационными рисками: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (7,78 Мб) / О. Н. Чопоров, Ю.Н. Гузев. – Воронеж: ФГБОУ ВО «Воронежский государственный технический университет», 2015. – 1 электрон. опт. диск (CDROM). – Систем. требования: ПК 500 и выше; 256 Мб ОЗУ; Windows XP; MS Word 2007 или более поздняя версия; 1024x768; CD-ROM; мышь. – Загл. с экрана.
Рассмотрены общие вопросы, относящиеся к менеджменту риска информационной безопасности. Приведена методика управления рисками, основанная на стандарте ГОСТ Р ИСО/МЭК 27005–2010, с примерами шкал и реестров для оценки активов, угроз, уязвимостей и рисков.
Приведены математические основы принятия решений при управлении рисками нарушения информационной безопасности. Детально рассмотрены методы экспертных оценок, детерминированные модели и методы принятия решений, а также статистические модели и методы принятия решений в условиях неопределенности, обусловленной как случайными воздействиями внешней среды, так и действиями злоумышленника. Рассмотрены методы оптимизации.
Издание соответствует требованиям Федерального госу-дарственного образовательного стандарта высшего образования для аспирантов направления подготовки 10.06.01 «Информационная безопасность», дисциплине «Стандартизация и методология управления информационными рисками».
Табл. 39. Ил. 20. Библиогр.: 77 назв.
Рецензенты: ОАО Концерн «Созвездие»
(д-р техн. наук, проф. Н. Н. Толстых);
д-р техн. наук, проф. Г. А. Остапенко
© Чопоров О. Н., Гузев Ю.Н., 2015
© Оформление. ФГБОУ ВО «Воронежский государственный
технический университет», 2015
Условные сокращения
ALE (Annual Loss Expectancy) – ожидаемый среднегодовой ущерб
LAFE (Local Annual Frequency Estimate) – локальная оценочная частота угрозы
NIST (National Institute of Standards and Technology) – Национальный институт Стандартов и технологий (США)
ROI (Return On Investment) – показатель возврата инвестиций
SAFE (Standard Annual Frequency Estimate) – стандартная оценочная частота угрозы
АС – автоматизированная система
ИБ – информационная безопасность
МРИБ – менеджмент риска ИБ
СМИБ – система менеджмента информационной безопасности
ИС – информационная система
ИСО (ISO) – Международная организация по стандартизации
ИТ – информационные технологии
КЭС – комплексная экспертная система
ЛВС – локальная вычислительная сеть
МЭК (IEC) - Международная электротехническая комиссия (International Electrotechnical Commission)
НСД – несанкционированный доступ
ОС – операционная система
ПК – персональный компьютер
ПО – программное обеспечение
ФЗ – федеральный закон
ФСБ – Федеральная служба безопасности России
ФСТЭК – Федеральная служба по техническому и экспортному контролю России
ЦОД – центр обработки данных
Введение
Требования по управлению рисками нарушения информационной безопасности содержатся во многих международных и отечественных регламентирующих документах и обоснованы существующей практикой развития информационных технологий. Поэтому изучение проблем управления рисками и методов их решения является актуальным и востребованным в современном информационном обществе [6].
Настоящее пособие состоит из двух частей (глав).
В первой главе рассматриваются основные понятия и методы управления рисками нарушения информационной безопасности. При этом основу составляют положения современных стандартов семейства ГОСТ Р ИСО/МЭК 27000 – 27033 «Информационная технология. Методы и средства обеспечения безопасности. …». Рассматривается система менеджмента информационной безопасности и как основная ее составляющая – менеджмент риска информационной безопасности, включая основные этапы: установление контекста, оценку, обработку, принятие и коммуникацию риска, а также мониторинг и переоценку риска нарушения информационной безопасности. По ходу рассмотрения методики управления рисками даются подробные комментарии, приводятся варианты шкал для оценки активов, угроз, уязвимостей и рисков, а также варианты отчетных документов, включая реестр активов, реестр рисков, план обработки рисков. Рассматриваются современные стандарты в области управления информационными рисками. Анализируются существующие инструментальные средства для управления рисками, как зарубежные, так и отечественные.
Во второй главе рассматриваются математические основы принятия решений при управлении рисками нарушения информационной безопасности. Представлены основные понятия и обобщенная классификация задач принятия решений. Детально рассмотрены вопросы, связанные с экспертными оценками, включая этапы работ по организации экспертизы, методы опроса экспертов, методы и алгоритмы обработки экспертной информации, оценку компетентности экспертов, оценку согласованности мнений экспертов. Рассмотрены методы многокритериального принятия решений при определенности; описаны принципы оптимальности, аксиоматические методы многокритериальной оценки альтернатив, метод аналитической иерархии, метод порогов несравнимости. Описаны статистические модели и методы принятия решений при неопределенности, обусловленной как случайными воздействиями внешней среды, так и действиями злоумышленника. Приведены критерии выбора решений Байеса-Лапласа, Гермейера, Бернулли-Лапласа, максиминный (Вальда), минимаксного риска Севиджа, Гурвица, Ходжеса-Лемана и другие.
Рассмотрены задачи и методы многокритериальной оптимизации.
Данное учебное пособие предназначено для аспирантов направления подготовки 10.06.01 «Информационная безопасность», но может быть также полезно и различным специалистам, занимающимся проблемами информационной безопасности.