Перейти к содержимому

InfoSecRisk.ru

Информационная безопасность как мастерство управления рисками

  • Об этой книге
    • Аннотация
    • Об авторе
    • Предисловие к первому изданию
    • Предисловие автора к первому изданию
    • Предисловие автора ко второму изданию
    • Отзывы
  • Введение
    • Новые правила игры в новом информационном веке
    • О чем эта книга?
    • Существуют ли альтернативы управлению рисками?
    • Почему управление рисками является самым важным вопросом информационной безопасности?
    • Преимущества риск-ориентированного подхода к управлению информационной безопасностью
    • Для кого написана эта книга?
    • Общая структура изложения материала
  • Глава 1. Предпосылки для управления информационными рисками
    • Риски, породившие мировой финансовый кризис
    • Информационные риски киберпространства
      • Кибертерроризм
      • Риски промышленных систем
      • Риски утечки информации
      • Точка зрения правоохранительных органов на киберугрозы
      • Риски электронных расчетов
    • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
    • Государственное регулирование только создает дополнительные риски
    • Оценка рисков как основа корпоративного управления
    • Как оценивают риски наши соотечественники?
    • Вопросы к размышлению
  • Глава 2. Основные элементы управления информационными рисками
    • Стандарты в области управления информационными рисками
    • Понятие риска
    • Оценка риска
      • Количественное определение величины риска
      • Качественное определение величины риска
    • Информационная составляющая бизнес-рисков
    • Активы организации как ключевые факторы риска
    • Подходы к управлению рисками
      • Уровни зрелости бизнеса в отношении рисков
      • Анализ факторов риска
      • Методика оценки рисков приватности, включая персональные данные
      • Обзор методов оценки риска
    • Вопросы к размышлению
  • Глава 3. Cистема управления информационными рисками
    • О преимуществах системного подхода к управлению рисками
    • Структура документации по управлению рисками
    • Политика и контекст управления рисками
    • Структура системы управления рисками
      • Процессная модель управления рисками
    • Непрерывная деятельность по управлению рисками
      • Сопровождение и мониторинг механизмов безопасности
      • Анализ со стороны руководства
      • Пересмотр и переоценка риска
      • Взаимосвязь процессов аудита и управления рисками
      • Управление документами и записями
      • Корректирующие и превентивные меры
      • Коммуникация рисков
    • Аутсорсинг процессов управления рисками
    • Распределение ответственности за управление рисками
      • Требования к риск-менеджеру
      • Требования к эксперту по оценке рисков
    • Вопросы к размышлению
  • Глава 4. Оценка рисков информационной безопасности
    • Идентификация активов
      • Описание бизнес-процессов
    • Идентификация требований безопасности
      • Реестр требований безопасности
      • Требования законодательства и нормативной базы
      • Контрактные обязательства
      • Требования бизнеса
    • Определение ценности активов
      • Критерии оценки ущерба
      • Таблица ценности активов
      • Особенности интервьюирования бизнес-пользователей
    • Определение приоритетов аварийного восстановления
    • Анализ угроз и уязвимостей
      • Профиль и жизненный цикл угрозы
      • Задание № 1. Описание угроз безопасности
      • Способы классификации угроз
      • Уязвимости информационной безопасности
      • Идентификация организационных уязвимостей
      • Идентификация технических уязвимостей
      • Оценка угроз и уязвимостей
    • Определение величины риска
      • Калибровка шкалы оценки риска
      • Пример оценки риска
      • Отчет об оценке рисков
      • Задание № 2. Калибровка шкалы оценки риска
    • Обзор методов оценки риска
  • Глава 5. Обработка рисков информационной безопасности
    • Процесс обработки рисков
    • Способы обработки риска
      • Принятие риска
      • Уменьшение риска
      • Передача риска
      • Избежание риска
    • Страхование рисков информационной безопасности
    • Оценка возврата инвестиций в информационную безопасность
    • Пример расчёта окупаемости инвестиций для DLP-системы
    • Принятие решения по обработке риска
    • План обработки рисков
    • Декларация о применимости механизмов контроля
    • Профили рисков информационной безопасности
  • Глава 6. Инструментальные средства для управления рисками
    • Нужен ли для управления рисками специальный программный инструментарий?
    • Выбор инструментария для оценки рисков
    • Общие недостатки и ограничения коммерческих программных продуктов
    • Обзор методов и инструментальных средств управления рисками
      • OCTAVE
      • CRAMM
      • RiskWatch
      • CORBA
      • RA2 the art of risk
      • vsRisk
      • Callio Secura 17799
      • Proteus Enterprise
  • Глава 7. Практические рекомендации по внедрению системы управления рисками
    • Документация системы управления информационными рисками
    • Начальные условия для внедрения системы управления информационными рисками
    • Организационная структура управления информационными рисками
    • Обучение членов экспертной группы
    • Реализация пилотного проекта по оценке рисков
    • Проведение полной оценки рисков по всем активам
    • Жизненный цикл управления рисками
    • Типичные ошибки при управлении рисками
  • Библиография
  • Полезные ссылки
  • Приложения
    • Приложение 0. Термины и определения в области управления информационными рисками
    • Приложение 1. Взаимосвязь между стандартами ISO/IEC 27001:2005, BS 7799-3:2006 и ISO/IEC 27005:2008
    • Приложение 2. Антология кибератак
    • Приложение 3. Наихудшие сценарии кибератак
    • Приложение 4. Базовый опросник для определения степени критичности систем по методу CRAMM
    • Приложение 5. Перечень типовых угроз информационной безопасности
    • Приложение 6. Перечень типовых уязвимостей информационной безопасности
    • Приложение 7. Опросный лист для оценки угроз по методу CRAMM
    • Приложение 8. Опросный лист для оценки уязвимостей по методу CRAMM
    • Приложение 9. Законодательные и нормативные акты РФ в области защиты информации
      • Федеральные Законы РФ
      • Указы Президента РФ
      • Постановления Правительства РФ
      • Нормативные документы ФСТЭК России
      • Нормативные документы ФСБ России
    • Приложение 10. Программные продукты для управления рисками информационной безопасности

Свежие комментарии

  1. admin к Обзор методов оценки риска14 июня, 2023

    Добавлен новый раздел с обзором методов оценки риска в соответствии с международным стандартом ISO/IEC 31010.

  2. admin к Пример расчёта окупаемости инвестиций для DLP-системы14 июня, 2023

    Добавлен новый раздел с подробным примером расчета окупаемости инвестиций в DLP-систему

  3. admin к Страхование рисков информационной безопасности14 июня, 2023

    Добавлен новый раздел о страховании рисков

2023 © Астахов А.М. | Информационная безопасность как мастерство управления рисками | Онлайн книга-блог

При поддержке GlobalTrust | Связаться с автором

Сайт работает на WordPress