На семинарских занятиях запланированы выступления с докладами, дискуссии. А также изучение и работа с программными средствами, предназначенными для
|
№ темы |
Название и содержание темы |
Трудоемкость |
|
1 |
Работа с терминами в области управления ИБ. Схемы управления информационной безопасностью. Подходы к проектированию СУИБ - Основные понятия в сфере ИБ - Терминология управления защитой информации. Схемы, связи - Примеры, демонстрирующие различные ситуации в управлении информационной безопасностью организаций, их разбор - Схемы управления ИБ в соответствии со стандартами - Изучение примеров мировых практик - Сравнительный анализ |
2 ч. |
|
2 |
Стандарты в области управления информационной безопасностью, управления рисками ИБ - Стандарты в области управления ИБ (международные, СТ РК, ГОСТ) - Стандарты в области управления рисками ИБ - Сравнительный анализ |
2 ч. |
|
3 |
Угрозы информационной безопасности в информационных системах. Моделирование угроз ИБ и проектирование СУИБ - Основные определения и критерии классификации угроз - Основные угрозы доступности - Основные угрозы целостности - Основные угрозы конфиденциальности - Вредоносное ПО - Моделирование угроз. Использование при проектировании СУИБ |
2 ч. |
|
4 |
Мировые практики организации управления информационной безопасностью. Средства проектирования систем. Применение при создании СУИБ - Управление информационной безопасностью на уровне крупных поставщиков информационных систем. Методология. Примеры - Управление информационной безопасностью на государственном уровне. Важность. Общие принципы - Общая методология и структура организационного обеспечения информационной безопасности на уровне государств - Организация обеспечения информационной безопасности на государственном уровне в РК. Общая политика, методология, органы государственной власти, нормативно-правовая основа - Примеры мировых практик обеспечения информационной безопасности на государственном уровне (практика России и США) - Средства проектирования систем. Применение при создании СУИБ |
2 ч. |
|
5 |
. Основные процессы управления ИБ и требования к ним, предъявляемые каждым из стандартов. Вопросы проектирования - Основные процессы управления ИБ - Требования к процессам управления ИБ в соответствии со стандартами, регулирующими деятельность в сфере управления ИБ - Политики, стандарты и процедуры безопасности: описание, состав и различия |
2 ч. |
|
6 |
Исследование политик информационной безопасности современных компаний. Средства разработки политик ИБ и политик управления ЗИ - Изучение примеров политик ИБ - Исследование на эффективность, непротиворечивость и др. критерии - Сравнительный анализ исследованных политик - Практические вопросы разработки политик безопасности (специфика предприятия, подбор состава группы разработчиков, основные требования к политике безопасности и др.) - Лучшая практика (best practices) политик информационной безопасности (практика разработки политик, процедур, стандартов и руководств безопасности IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и пр.). - Библиотека политик ISPME. - Изучение политик ИБ, подготовленных Институтом SANS (www.sans.org) - Изучение общих рекомендаций по созданию политик безопасности. - Изучение систем управления политиками безопасности и др. программного обеспечения для составления политики ИБ (инструмент Cisco Security Policy Builder) |
2 ч. |
|
7 |
Руководство и IT-отдел. Выбор области действия СУИБ - Ознакомление с пакетом документов CobiT (состав, назначение). - Изучение примеров - Бизнес-процессы - Подразделения - Активы (информационные ресурсы; средства хранения и обработки информации; программное обеспечение; пользователи ИС; вспомогательные сервисы и системы жизнеобеспечения) - Выбор области действия СУИБ |
2 ч. |
|
8 |
CASE-средства - Изучение примеров - правила и программа проведения внутреннего аудита ИБ - процедура проведения внутреннего аудита ИБ |
2 ч. |
|
9 |
Анализ методик оценки рисков ИБ современных компаний I - Метод оценки рисков на основе модели угроз и уязвимостей (компании «Digital Security») - Расчет рисков по угрозе информационной безопасности (компании «Digital Security») - Метод оценки рисков на основе модели информационных потоков (расчет рисков по угрозе «конфиденциальность» и по угрозе «целостность») (компании «Digital Security») - Метод CRAMM |
2 ч. |
|
10 |
Анализ методик оценки рисков ИБ современных компаний I I - Другие методы оценки рисков ИБ (CobIT, NIST, IRAM, OCTAVE, FAIR) - Изучение примеров - Расчеты для предприятий (конкретных или моделей) - Выводы об эффективности методик, предлагаемых компаниями |
2 ч. |
|
11 |
Программное обеспечение для управления ИБ предприятия - Документооборот по всем этапам управления ИБ - управление рисками - количественные оценки рисков - формирование документов, отчетов и др. (Инструмент Cisco Security Policy Builder, помогающий в составлении политики ИБ, Методика FRAP, Методика OCTAVE, Методика Risk Watch, COBRA, RA2 the art of risk, vsRisk, Callio Secura 17799, Proteus Enterprise, Пакет RPScan Security Monitoring Suite) |
2 ч. |
|
12 |
Документация для осуществления управления ИБ в соответствии с предложенным стандартом - Основополагающие документы, регулирующие управление ИБ и управление рисками ИБ - Документы верхнего уровня (Например, (по стандарту СТ РК ИСО/МЭК 17799) «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса»). - Документы среднего уровня - Документы нижнего уровня |
2 ч. |
|
13-14 |
Изучение практических решений современных компаний, предоставляющих услуги в сфере ИБ - Продукты и решения современных компаний, предоставляющих услуги в сфере ИБ (Рассмотреть в качестве примера услуги компаний ARinteg – оhttp://www.arinteg.ru/services/, Digital Security –https://dsec.ru/, Leta – http://www.leta.ru/, Айти – http://www.it.ru/services/detail.php?ID=383 , Пацифика – http://pacifica.kz/company/pacifica/ , КазТелКом – http://www.kaztelcom.kz/solution/information-security/total и другие) - Анализ на возможность самостоятельной реализации аналогичных решений - Исследование на предмет улучшения рассмотренных решений |
4 ч. |
|
15 |
Работа с процессами СУИБ. Оценка экономической эффективности - Обязательная документация СУИБ - Внедрение разработанных процессов. Последовательность. Особенности. Контроль над внедрением процессов. - Документирование процесса внедрения разработанных процессов. Типовой документ «Положение о применимости». - Контрольные процедуры по обеспечению ИБ. Содержание. - Оценка экономической эффективности затрат на защиту информации |
2 ч. |
| _______________________________________________________ | _______________________________________________________ | _______________________________________________________ | _______________________________________________________ | |
| L. N. GUMILYOV EURASIAN NATIONAL UNIVERSITY | ISMS | INFORMATION AND INFORMATION SECURITY DEPARTMENT | ||
| Л. Н. ГУМИЛЕВ АТЫНДАҒЫ ЕУРАЗИЯ ҰЛТТЫҚ УНИВЕРСИТЕТІ | АҚБЖ | ИНФОРМАТИКА ЖӘНЕ АҚПАРАТТЫҚ ҚАУІПСІЗДІК» КАФЕДРАСЫ | ||
| ЕВРАЗИЙСКИЙ НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ ИМ. Л. Н. ГУМИЛЕВА | СУИБ | КАФЕДРА ИНФОРМАТИКИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |