Методы оценки защищённости систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005
- Автор:
Лившиц, Илья Иосифович
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2012
- Место защиты:
Санкт-Петербург
- Количество страниц:
187 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
Содержание
Наименование раздела
Введение
Глава 1. Существующие методы анализа защищённости ИБ
1.1 Цели современной организации в области ИБ
1.2 Менеджмент на основе рисков
1.3 Обзор национальных нормативных актов в области ИБ
1.3.1 Обзор российских государственных стандартов (ГОСТ / ГОСТ Р)
1.3.2 Обзор СТО БР ИББС
1.3.3 Обзор СТО НАПФ
1.3.4 Обзор проекта «Тритон»
1.3.5 Анализ НПА документов оценки ИБ
1.4 Обзор международных стандартов
1.4.1 Цикл PDCA
1.4.2 Обзор стандартов ИСО/МЭК
1.4.2.1 Обзор стандартов ИСО/МЭК серии 27000
1.4.2.2 Обзор стандартов ИСО/МЭК серии 20000
1.4.2.3 Обзор стандартов BS серии 25999
1.4.2.4 Обзор стандартов PCI DSS
1.4.2.5 Международные рекомендации ITU-T Recommendation X
1.4.2.6 Statement on Auditing Standards 70 (SAS 70)
1.4.2.7 Закон Сэрбэйнс-Оксли (Sarbanes-Oxley Act, SOX)
1.4.2.8 Закон «Kontrolle- und Transparenz Gesetz» (KonTraG)
1.4.2.9 Европейская директива 95/46/ЕС
1.4.2.10 «Базель III»
1.5 Проведение аудитов ИБ
1.5.1 Задачи аудитов ИБ
1.5.2 Требования к проведению аудитов ИБ
1.5.1.2 Требования стандарта ИСО/МЭК 19011
1.5.1.2 Требования стандарта ИСО/МЭК 27006
1.5.2 Сравнение сильных и слабых сторон аудитов ИБ
1.6. Анализ противоречий различных применяемых методик оценки
1.6.1 Противоречия оценок регуляторов РФ
1.6.2 Противоречия терминологии
1.6.3. Диспропорции в соотношение стандартов ГОСТ и ИСО/МЭК
1.6.4 Требования по хранению журналов (лог-файлов)
1.6.5 Проблемы практической реализации требований ФЗ
1.6.6 Несоответствие сертификата и ожидаемого уровня защищённости
1.7. Оценка соответствия
1.8 Противоречия, порождающие задачи диссертационного исследования
1.9 Задачи диссертационного исследования
Глава 2. Формирование моделей для оценки защищённости СМИБ
2.1. Формирование управленческого решения
2.1.1. Наилучшее управленческое решение
2.1.2. Подходы к формированию моделей
2.1.3. Пути решения многокритериальных задач
2.1.4. Построение иерархии
2.1.5. Измерения и суждения
2.2. Анализ задач и методов принятия решений
2.2.1. Процесс принятия решений
2.2.2. Метод формирования моделей для принятия решения
2.2.3. Метод формирования шкал
2.2.4. Требования к применению шкал
2.2.5. Ограничения применения шкалы Саати
2.3. Метод анализа иерархий
2.3.1. Предложение метода анализа иерархий для решения задач
2.3.2. Постановка решения задачи в МАИ
2.3.3. Последовательность формирования решения задачи в МАИ
2.3.4. Иерархический синтез в МАИ
2.3.5. Преимущества иерархии при решении управленческих задач
2.3.6. Предпочтения выбора МАИ (сравнение с методом Дельфи)
2.3.7. Недостатки МАИ
2.4. Формирование экспертных оценок
2.4.1. Учет мнений нескольких экспертов
2.4.2. Работа экспертов в МАИ
2.4.3. Требования к компетенции экспертов
2.4.4. Риски экспертных оценок
2.5. Методология формирования модели СМИБ
2.5.1. Общий подход к формированию модели
2.5.2. Методы вычисления вектора приоритетов
2.5.3. Оценка однородности суждений
2.5.4. Процедура определения приоритетов
2.5.5. Процедура определение альтернатив
2.5.6. Процедура формирования критериев
2.5.7. Оценка важности критериев
2.5.8. Оценка результативности матриц парных сравнений
2.5.9. Оценка требований по согласованности
2.6. Метод сравнения альтернатив относительно стандартов
2.6.1. Обоснование применения
2.6.2. Алгоритм построения иерархии относительно стандартов
2.6.3. Динамические предпочтения и приоритеты
2.7. Выводы к 2-й главе
Глава 3. Оценка защищённости СМИБ
3.1. Формирование модели оценки защищённости СМИБ
3.1.1 Оценка НПА для выбора альтернатив модели в МАИ
3.1.2 Оценка точности экспериментальных данных модели в МАИ
3.1.3 Оценка рисков по модели в МАИ
3.1.4 Формирование системы критериев для синтеза модели в МАИ
3.1.5 Алгоритм синтеза модели оценки защищённости СМИБ
3.1.6 Синтез модели оценки защищённости СМИБ
3.1.7 Описание концептуальной модели оценки защищённости СМИБ
3.2. Формирование методики оценки защищённости СМИБ
3.2.1 Требования к формированию методики оценки защищённости
3.2.2 Методика оценки защищённости модели СМИБ
3.2.3 Описание методики оценки защищённости модели СМИБ
3.3. Выводы к Главе
Глава 4. Пример расчёта оценки защищённости СМИБ
4.1. Формирование модели оценки защищённости СМИБ
4.1.1. Постановка «глобальной цели»
4.1.2. Формирование альтернатив
4.1.3. Формирование критериев нижнего уровня иерархии
4.1.4. Формирование иерархической модели
4.1.5. Формирование группы экспертов
4.1.6. Оценка рисков по модели СМИБ
4.2. Расчёт оценки защищённости ПДн по статической модели СМИБ
4.2.1. Формирование матриц парных сравнения (Альтернативы)
4.2.2. Матрица предпочтения стандартов
4.2.3. Матрица предпочтения критериев относительно «стандартов»
4.2.4. Матрицы парных сравнений критериев
4.2.5. Иерархический синтез для статической модели СМИБ
4.3. Расчёт оценки защищённости ПДн по динамической модели СМИБ
4.3.1. Формирование матриц парных сравнения (Альтернативы)
4.3.2. Матрица предпочтения стандартов
4.3.3. Матрица предпочтения критериев относительно «стандартов»
4.3.4. Матрицы парных сравнений критериев
4.3.5. Иерархический синтез для динамической модели СМИБ
4.3.6. Иерархический синтез для динамической модели СМИБ (прогноз)
4.3.7. Сравнение статической и динамической моделей СМИБ
4.4. Выводы к Главе
Заключение
Выводы
Перспективы использования и развития работы
Список литературы
Приложение 1. Термины и определения
Приложение 2. Акты о внедрении результатов диссертации
описание характера и объема тестирования. В итоговом отчете SAS 70 Туре II аудитор выносит заключение о том, являются ли тестируемые процедуры эффективными и соответствуют ли они мировым стандартам и практикам.
Вместе с тем, на практике результаты аудита SAS 70 очень часто используются поставщиками услуг неправомерно при оценке безопасности удаленных приложений, SaaS или облачных вычислений. В ряде случаев (как отмечается в ежегодном исследовании Gartner, проводимом среди ИТ-директоров и касающемся инвестиций в технологии 2010 г.) провайдеры традиционных ИТ-сервисов и/или облачных решений представляют SAS 70 в качестве сертификата ИБ, хотя он им не является. Подобная ситуация связана, очевидно, с тем, что эволюция ИТ (например, SaaS) опережает деятельность по модификации отраслевых стандартов, многие из которых не обновлялись уже много лет. И таким образом, SAS 70, который не является специализированным для облачных вычислений (и даже не является стандартом ИБ), стал основным в отсутствие иных применимых отраслевых НПА в области оценки ИБ.
I.4.2.7 Закон Сэрбэйнс-Оксли (Sarbanes-Oxley Act, SOX)
Закон Sarbanes-Oxley, принятый в 2002 г., является фактически реакцией на ряд корпоративных скандалов (крупнейшие - компании Enron и World-Com). Закон был разработан Полом Сарбейнсом (Paul Sarbanes) и Майклом Оксли (Michael G. Oxley), в связи с чем и получил название SOX.
Закон SOX содержит 11 разделов и устанавливает новые стандарты для советов директоров, менеджмента, и бухгалтерских компаний. В целом закон SOX охватывает вопросы аудиторской независимости, корпоративного управления, оценки внутреннего контроля и финансовой отчетности. С точки зрения влияния на внутренний аудит наиболее значимые - §§ 302 и 404:
§302 формирует требование к руководителям не только выполнять
ежеквартальную проверку финансовой отчетности, но и подробно документировать данные проверки и процедуры.
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Методы прогнозирования распространения и защиты от информационных угроз в социальных сетях на основе случайных ветвящихся процессов | Фальконе, Ярослав Игоревич | 2018 |
| Функции с вариационно-координатной полиномиальностью над примарным кольцом вычетов и их приложения в задачах защиты информации | Заец, Мирослав Владимирович | 2015 |
| Программная система и способ выявления угроз информационной безопасности в компьютерных сетях | Селин, Роман Николаевич | 2011 |