В книге подробно рассмотрены возможные постановки задач анализа информационных рисков и управления ими при организации режима информационной безопасности в отечественных компаниях. Рассмотрена международная концепция обеспечения информационной безопасности, а также различные подходы и рекомендации по решению задач анализа рисков и управления ими. Дан обзор основных стандартов в области защиты информации и управления рисками: ISO 17799, ISO 15408, BSI, NIST, MITRE.В настоящем издании обсуждаются инструментальные средства для анализа рисков (COBRA, CRAMM, MethodWare, RiskWatch, Авангард). Даны рекомендации по использованию указанных средств на практике для анализа рисков информационных систем. Показана взаимосвязь задач анализа защищенности и обнаружения вторжений с задачей управления рисками. Предложены технологии оценки эффективности обеспечения информационной безопасности в отечественных компаниях.Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), менеджерам высшего эшелона компаний, занимающимся оценкой информационных рисков компании и их управлением, а также студентам и аспирантам соответствующих технических специальностей.

Предисловие......10Глава 1. Анализ рисков в области защиты информации......151.1. Информационная безопасность бизнеса......151.2. Развитие службы информационной безопасности......191.3. Международная практика защиты информации......221.4. Постановка задачи анализа рисков......301.5. Национальные особенности защиты информации......38Глава 2. Управление рисками и международные стандарты......432.1. Международный стандарт ISO 17799......442.2. Германский стандарт BSI......572.3. Стандарт США NIST 80030......602.4. Ведомственные и корпоративные стандарты управления ИБ......68Глава 3. Технологии анализа рисков......753.1. Вопросы анализа рисков и управления ими......753.2. Разработка корпоративной методики анализа рисков......91Глава 4. Инструментальные средства анализа рисков......1014.1. Инструментарий базового уровня......1014.2. Средства полного анализа рисков......105Глава 5. Аудит безопасности и анализ рисков......1355.1. Актуальность аудита безопасности......1355.2. Основные понятия и определения......1385.3. Аудит безопасности в соответствии с BS 7799
часть 2......1415.4. Аудит информационной системы: рекомендации COBIT 3rd Edition......147Глава 6. Анализ защищенности информационной системы......1616.1. Исходные данные......1626.2. Средства анализа защищенности......1646.3. Возможности сетевых сканеров......1696.4. Средства контроля защищенности системного уровня......1776.5. Перспективы развития......187Глава 7. Обнаружение атак и управление рисками......1897.1. Сетевые атаки......1907.2. Обнаружение атак как метод управления рисками......1927.3. Ограничения межсетевых экранов......1947.4. Анализ подозрительного трафика......1957.5. IDS как средство управления рисками......2027.6. Возможности коммерческих IDS......2087.7. Тенденции развития......216Приложение 1. Исследование состояния информационной безопасности в мире......217Приложение 2. Международное исследование по вопросам информационной безопасности......247Приложение 3. Основные понятия и определения управления рисками......267Приложение 4. Каталоги угроз и контрмер IT Baseline......273Приложение 5. Классификация ресурсов
угроз и контрмер CRAMM......299Приложение 6. Оценка рисков экспертными методами......305Приложение 7. Оценка затрат (TCO) на информационную безопасность......323Заключение......357Литература......360Предметный указатель......382