- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.6. Контрольные вопросы
1. Дайте определение менеджмента информационной безопасности. Что он в себя включает?
2. Что представляет собой система менеджмента информационной безопасности (СМИБ)?
3. В чем заключается процессный подход в СМИБ (модель PDCA)? Опишите связи между процессами модели PDCA.
4. Что представляет собой менеджмент риска информационной безопасности? Перечислите задачи менеджмента риска информационной безопасности.
5. Перечислите основные этапы менеджмента риска информационной безопасности и их взаимосвязи.
6. Что включает в себя этап установление контента? Перечислите основные критерии, необходимые для менеджмента риска ИБ.
7. В чем заключается и какие этапы включает в себя оценка риска ИБ?
8. В чем заключается и какие этапы включает в себя анализ риска ИБ?
9. В чем заключается идентификация риска ИБ? Перечислите этапы идентификации риска ИБ.
10. Что включает в себя идентификация активов? Перечислите основные виды активов.
11. Что представляют собой требования безопасности для активов?
12. Что включает в себя реестр информационных активов?
13. Каким образом может быть определена ценность активов? Приведите пример критериев и соответствующих шкал для оценки возможного ущерба.
14. Что такое профиль и жизненный цикл угрозы?
15. Опишите профиль и жизненный цикл для одной из следующих угроз: 1) заражение компьютерным вирусом; 2) атака на отказ в обслуживании; 3) несанкционированный доступ к системе и хищение конфиденциальной информации; 4) выход из строя файлового сервера; 5) пожар в офисе.
16. По каким признакам классифицируются угрозы информационной безопасности?
17. Перечислите угрозы, реализуемые при помощи программных средств.
18. Перечислите угрозы утечки информации по техническим каналам.
19. Перечислите угрозы в отношении программных средств и технических средств.
20. Какими способами может быть выполнена оценка вероятности угроз информационной безопасности?
21. Какими способами может быть выполнена оценка уязвимостей?
22. Каким образом может быть получена количественная оценка риска информационной безопасности?
23. Что включает в себя реестр рисков информационной безопасности?
24. В чем заключается оценивание рисков информационной безопасности?
25. Какие существуют варианты обработки риской информационной безопасности?
26. В чем заключается снижение риска информационной безопасности? Перечислите способы снижения рисков. Какие типичные ограничения должны быть учтены?
27. В чем заключается сохранение риска информационной безопасности? Перечислите факторы, влияющие не решение о принятии рисков.
28. В чем заключается предотвращение риска информационной безопасности? Перечислите основные способы предотвращения риска.
29. Что такое перенос риска информационной безопасности?
30. Какие задачи решаются в процессе коммуникации риска информационной безопасности?
31. Какие факторы подлежат мониторингу в процессе переоценки риска информационной безопасности?
32. Перечислите стандарты в области управления рисками информационной безопасности.
33. Перечислите составные части британского стандарта BS 7799 и соответствующие им международные стандарты серии ISO.
34. Опишите международный стандарт ISO/IEC 27002 (ГОСТ Р ИСО/МЭК 27002-2012).
35. Дайте характеристику международного стандарта ISO/IEC 27001:2005 (ГОСТ Р ИСО/МЭК 27001-2006).
36. Что включает в себя международный стандарт ISO/IEC 27005:2008 (ГОСТ Р ИСО/МЭК 27005-2010)?
37. Опишите методологию управления рисками, представленную в стандарте NIST 800-30:2002.
38. Какие требования предъявляются к инструментальным средствам управления рисками?
39. В чем заключается методика OCTAVE? Перечислите этапы оценки и обработки рисков, используемые в методике OCTAVE.
40. Что представляет собой метод CRАММ? Охарактеризуйте возможности программного инструментария CRAMM.
41. Дайте описание метода RiskWatch.
42. Дайте описание инструментальных средств для управления рисками: COBRA, RA2 the art of risk, vsRisk, Callio Secura 17799, Proteus Enterprise, ГРИФ 2006, АванГард.