Методические и программные средства анализа информационных рисков в деятельности органов государственного управления
- Автор:
Лысов, Александр Сергеевич
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2008
- Место защиты:
Тюмень
- Количество страниц:
163 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
ОГЛАВЛЕНИЕ
Введение
Глава 1. Исследование деятельности по защите информации в органах государственного управления
1.1 Содержание деятельности по защите информации
1.2 Особенности деятельности по защите информации органов государственного управления
1.3 Методы описания деятельности по защите информации
1.4 Модель «как есть» для деятельности по защите информации органов государственного управления
1.5 Модель оценки ущерба от реализации угроз безопасности информации
1.6 Аудит информационной безопасности как способ оценки эффективности деятельности по защите информации
1.6.1 Аудит безопасности в соответствии с BS 7799, часть
1.6.2 Стандарт CobiT
1.7 Рекомендации по оценке эффективности деятельности по защите информации
Выводы
Глава 2. Анализ информационных рисков в органах государственного управления
2.1 Задача анализа информационных рисков в органах государственного управления
2.2 Поиск решения задачи анализа информационных рисков в органах государственного управления
2.2.1 RA2 art of risk
2.2.2 Risk Advisor
2.2.3 RiskWatch
2.2.4 CRAMM
2.2.5 Система «АванГард»
2.2.6 Digital Security Office
2.3 Ключевые особенности разрабатываемой методики анализа информационных рисков для органов государственного управления
2.4 Алгоритм методики анализа информационных рисков
2.5 Экспериментальная проверка эффективности разработанной методики анализа информационных рисков
Выводы
Глава 3. Программный комплекс автоматизации деятельности по защите информации органов государственного управления
3.1 Описание методики автоматизации деятельности по защите информации
3.1.1 Алгоритм методики автоматизации
3.2 Описание архитектуры программного комплекса автоматизации
3.2.1 Схемы таблиц, используемых в системе «SPM»
3.3 Критерии выбора средств создания программного комплекса
3.4 Центральный модуль программного комплекса автоматизации
3.5 Региональный модуль программного комплекса автоматизации
Выводы
Глава 4. Анализ эффективности деятельности по защите информации в органах государственного управления
4.1 Группы метрик для оценки эффективности защиты информации
4.1.1 Метрики в соответствии с Government Information Security Reform Act
4.1.2 Метрики Internet Security Alliance
4.1.3 Метрики в соответствии с NIST
4.2 Показатели для оценки эффективности деятельности подразделений по защите
информации органов государственного управления
4.3 Описание эксперимента по проверке эффективности программного комплекса
автоматизации деятельности по защите информации
4.4 Анализ результатов внедрения программного комплекса автоматизации деятельности по защите информации
Выводы
Заключение
Список литературы
Перечень приложений к диссертационной работе
Приложение 1 (перечень использованных сокращении)
Приложение 2 (акты внедрения результатов диссертационной работы)
Приложение 3 (шкалы компонентов значений «веса» экспертов для органов государственного управления Тюменской области)
Приложение 4 (экспериментальные значения параметров оценки эффективности деятельности по защите информации в органах государственного управления)
ВВЕДЕНИЕ
Реализация прогрессивного потенциала информатизации в политической, экономической и социальной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является возникновение угроз информационной безопасности. Для решения задач защиты информации создана нормативно-правовая база (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера), регулирующая процессы обеспечения информационной безопасности.
Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России [8], [17-19], [21]. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации [22], процедуры сертификации средств защиты [15-16] и др. Нормативные правовые документы регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на проведении отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации, например, в органах государственного управления. Как отмечено в литературных источниках [65], [71], в отечественных нормативно-правовых актах уделено мало внимания вопросам обеспечения целостности и доступности информации, аудита информационной безопасности, механизмам оценки эффективности защиты информации в организации в целом, классификации активов организации по критериям стоимости, выбору наиболее целесообразной
Ответственный за выдачу разрешения (Designated Approving Authority) -лицо, уполномоченное принять решение о допустимости определенного уровня рисков для рассматриваемой информационной системы или технологии обработки информации.
Сравнение приведенных определений показывает, что:
• термин сертификация понимается одинаково;
• приблизительным аналогом российского термина «аттестация объектов информатизации» является термин «аккредитация» с одним существенным отличием: в американском варианте явно указано, что аккредитация производится специалистами, уполномоченными принимать решение о допустимости определенного уровня рисков для рассматриваемой информационной системы или технологии.
При этом в российской нормативно-методической базе аспект рисков, допустимый уровень остаточных рисков, ответственность за принятие определенного уровня рисков не рассматриваются. После аккредитации информационной системы возможно проведение независимой экспертизы существующего режима ИБ и аудита ИБ в информационной системе. Этот термин также встречается в англоязычной литературе и трактуется следующим образом. Аудит ИБ в информационной системе — процесс сбора сведений, позволяющих установить, поддерживается ли безопасность ресурсов организации (включая данные); обеспечиваются ли необходимые параметры целостности и доступности данных; достигаются ли цели организации в части эффективности информационных технологий.
Важно также, что аудиторы ИБ и лица, проводящие аккредитацию информационной системы, должны представлять разные организации.
В российских РД не предусматривается возможность проведения аудита ИБ, вместо этого допускается повторная аттестация (возможно, другим органом по аттестации).
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Контроль сетевой политики безопасности и разграничение потоков данных в компьютерных сетях научных организаций | Козачок, Андрей Васильевич | 2010 |
| Высокопараллельная система выявления сетевых уязвимостей на основе генетических алгоритмов | Печенкин, Александр Игоревич | 2013 |
| Методы и алгоритмы выявления встроенных сообщений в пространственной области неподвижных изображений при малой полезной нагрузке | Башмаков, Даниил Андреевич | 2018 |