Перейти к содержимому

InfoSecRisk.ru

Информационная безопасность как мастерство управления рисками

  • Об этой книге
    • Аннотация
    • Об авторе
    • Предисловие к первому изданию
    • Предисловие автора к первому изданию
    • Предисловие автора ко второму изданию
    • Отзывы
  • Введение
    • Новые правила игры в новом информационном веке
    • О чем эта книга?
    • Существуют ли альтернативы управлению рисками?
    • Почему управление рисками является самым важным вопросом информационной безопасности?
    • Преимущества риск-ориентированного подхода к управлению информационной безопасностью
    • Для кого написана эта книга?
    • Общая структура изложения материала
  • Глава 1. Предпосылки для управления информационными рисками
    • Риски, породившие мировой финансовый кризис
    • Информационные риски киберпространства
      • Кибертерроризм
      • Риски промышленных систем
      • Риски утечки информации
      • Точка зрения правоохранительных органов на киберугрозы
      • Риски электронных расчетов
    • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
    • Государственное регулирование только создает дополнительные риски
    • Оценка рисков как основа корпоративного управления
    • Как оценивают риски наши соотечественники?
    • Вопросы к размышлению
  • Глава 2. Основные элементы управления информационными рисками
    • Стандарты в области управления информационными рисками
    • Понятие риска
    • Оценка риска
      • Количественное определение величины риска
      • Качественное определение величины риска
    • Информационная составляющая бизнес-рисков
    • Активы организации как ключевые факторы риска
    • Подходы к управлению рисками
      • Уровни зрелости бизнеса в отношении рисков
      • Анализ факторов риска
      • Методика оценки рисков приватности, включая персональные данные
      • Обзор методов оценки риска
    • Вопросы к размышлению
  • Глава 3. Cистема управления информационными рисками
    • О преимуществах системного подхода к управлению рисками
    • Структура документации по управлению рисками
    • Политика и контекст управления рисками
    • Структура системы управления рисками
      • Процессная модель управления рисками
    • Непрерывная деятельность по управлению рисками
      • Сопровождение и мониторинг механизмов безопасности
      • Анализ со стороны руководства
      • Пересмотр и переоценка риска
      • Взаимосвязь процессов аудита и управления рисками
      • Управление документами и записями
      • Корректирующие и превентивные меры
      • Коммуникация рисков
    • Аутсорсинг процессов управления рисками
    • Распределение ответственности за управление рисками
      • Требования к риск-менеджеру
      • Требования к эксперту по оценке рисков
    • Вопросы к размышлению
  • Глава 4. Оценка рисков информационной безопасности
    • Идентификация активов
      • Описание бизнес-процессов
    • Идентификация требований безопасности
      • Реестр требований безопасности
      • Требования законодательства и нормативной базы
      • Контрактные обязательства
      • Требования бизнеса
    • Определение ценности активов
      • Критерии оценки ущерба
      • Таблица ценности активов
      • Особенности интервьюирования бизнес-пользователей
    • Определение приоритетов аварийного восстановления
    • Анализ угроз и уязвимостей
      • Профиль и жизненный цикл угрозы
      • Задание № 1. Описание угроз безопасности
      • Способы классификации угроз
      • Уязвимости информационной безопасности
      • Идентификация организационных уязвимостей
      • Идентификация технических уязвимостей
      • Оценка угроз и уязвимостей
    • Определение величины риска
      • Калибровка шкалы оценки риска
      • Пример оценки риска
      • Отчет об оценке рисков
      • Задание № 2. Калибровка шкалы оценки риска
    • Обзор методов оценки риска
  • Глава 5. Обработка рисков информационной безопасности
    • Процесс обработки рисков
    • Способы обработки риска
      • Принятие риска
      • Уменьшение риска
      • Передача риска
      • Избежание риска
    • Страхование рисков информационной безопасности
    • Оценка возврата инвестиций в информационную безопасность
    • Пример расчёта окупаемости инвестиций для DLP-системы
    • Принятие решения по обработке риска
    • План обработки рисков
    • Декларация о применимости механизмов контроля
    • Профили рисков информационной безопасности
  • Глава 6. Инструментальные средства для управления рисками
    • Нужен ли для управления рисками специальный программный инструментарий?
    • Выбор инструментария для оценки рисков
    • Общие недостатки и ограничения коммерческих программных продуктов
    • Обзор методов и инструментальных средств управления рисками
      • OCTAVE
      • CRAMM
      • RiskWatch
      • CORBA
      • RA2 the art of risk
      • vsRisk
      • Callio Secura 17799
      • Proteus Enterprise
  • Глава 7. Практические рекомендации по внедрению системы управления рисками
    • Документация системы управления информационными рисками
    • Начальные условия для внедрения системы управления информационными рисками
    • Организационная структура управления информационными рисками
    • Обучение членов экспертной группы
    • Реализация пилотного проекта по оценке рисков
    • Проведение полной оценки рисков по всем активам
    • Жизненный цикл управления рисками
    • Типичные ошибки при управлении рисками
  • Библиография
  • Полезные ссылки
  • Приложения
    • Приложение 0. Термины и определения в области управления информационными рисками
    • Приложение 1. Взаимосвязь между стандартами ISO/IEC 27001:2005, BS 7799-3:2006 и ISO/IEC 27005:2008
    • Приложение 2. Антология кибератак
    • Приложение 3. Наихудшие сценарии кибератак
    • Приложение 4. Базовый опросник для определения степени критичности систем по методу CRAMM
    • Приложение 5. Перечень типовых угроз информационной безопасности
    • Приложение 6. Перечень типовых уязвимостей информационной безопасности
    • Приложение 7. Опросный лист для оценки угроз по методу CRAMM
    • Приложение 8. Опросный лист для оценки уязвимостей по методу CRAMM
    • Приложение 9. Законодательные и нормативные акты РФ в области защиты информации
      • Федеральные Законы РФ
      • Указы Президента РФ
      • Постановления Правительства РФ
      • Нормативные документы ФСТЭК России
      • Нормативные документы ФСБ России
    • Приложение 10. Программные продукты для управления рисками информационной безопасности

Свежие комментарии

  1. admin к Обзор методов оценки риска14 июня, 2023

    Добавлен новый раздел с обзором методов оценки риска в соответствии с международным стандартом ISO/IEC 31010.

  2. admin к Пример расчёта окупаемости инвестиций для DLP-системы14 июня, 2023

    Добавлен новый раздел с подробным примером расчета окупаемости инвестиций в DLP-систему

  3. admin к Страхование рисков информационной безопасности14 июня, 2023

    Добавлен новый раздел о страховании рисков

2025 © Астахов А.М. | Информационная безопасность как мастерство управления рисками | Онлайн книга-блог

При поддержке GlobalTrust | Связаться с автором

Политика куки

Политика конфиденциальности Сайт работает на WordPress
Управление согласием

Для улучшение пользовательского опыта мы используем файлы cookie (куки). Ваше согласие на использование куки позволит нам обрабатывать такие данные, как поведение при просмотре веб-страниц или уникальные идентификаторы на этом сайте. Отзыв согласия может отрицательно сказаться на определенных функциях.

Функциональные Always active
Техническое хранилище или доступ к нему строго необходимы для законной цели обеспечения возможности использования конкретной услуги, явно запрошенной абонентом или пользователем, или с единственной целью осуществления передачи сообщения по сети электронных коммуникаций.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Статистические
Техническое хранилище или доступ к нему, которые используются исключительно в статистических целях. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Маркетинговые
Техническое хранилище или доступ к нему необходимы для создания профилей пользователей для отправки рекламы или для отслеживания пользователя на веб-сайте или на нескольких веб-сайтах в аналогичных маркетинговых целях.
Manage options Manage services Manage {vendor_count} vendors Read more about these purposes
Смотреть предпочтения
{title} {title} {title}