3. Методики кількісної оцінки ризику інформаційної безпеки компанії.

Аудит інформаційної безпеки. Метод аналізу потоку інформації. Метод аналізу загроз та вразливостей. Розрахунок ризиків по загрозах конфіденційності, цілісності та доступності.

Запитання для самоперевірки

1. У чому полягають основні недоліки системи законодавства України в галузі захисту інформації?

2. Які міжнародні стандарти інформаційної безпеки вам відомі?

3. Визначте мету стандарту ISO/IEC 27001:2005.

4. Наведіть визначення поняття системи менеджменту інформаційної безпеки.

5. З яких основних розділів складається стандарт ISO/IEC 27002:2005?

6. Охарактеризуйте принцип якісної оцінки ризику.

7. Які основні етапи процесу управління ризиками безпеки вам відомі?

8. Які основні цілі аудиту інформаційної безпеки?

9. Опишіть систему методів управління безперервністю бізнесу.

10. Наведіть приклади розрахунку системи ризиків компаній.

Список рекомендованої літератури

1. Information Security Management — Specification With Guidance for Use : ISO/IEC 27001:2005. — Режим доступу:

http://www.standards.-org/standards/listing/iso_27001.

2. Information technology — Security techniques — Code of practice for information security management : ISO/IEC 27002: 2005. — Режим доступу:

http://www.iso.org/iso/catalogue_detail?csnumber=39612.

3. Information technology — Security techniques — Information security risk Magement : ISO/IEC 27005: 2008. — Режим доступу:

http://www.iso.org/iso/catalogue_detail?csnumber=42107.

4. Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems: ISO/IEC 27006: 2007. — Режим доступу:

http://www.iso.org/iso/catalogue_detail?csnumber=42505.

5. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи: ГОСТ Р 34.10-2001. — [Введ. 2002.07.01]. — М. : Госстандарт России, 2001. — № 380-ст. — 12 с.

6. Організація проектування і проектної документації для будів-ництва : ДБН А.2.2-2-96. — [Чинний від 1996.09.02]. — К. : Держком-містобудування України, 1996. — № 156. — 17 с.

7. Захист інформації. Технічний захист інформації. Основні положення: ДСТУ 3396.0-96. — [Чинний від 1996.10.10]. — К. : Держстандарт України, 1996. — 20 с.

8. Захист інформації. Технічний захист інформації. Порядок проведення робіт: ДСТУ 3396.1-96. — [Чинний від 1997.07.01]. — К. : Держстандарт України, 1997. — 32 с.

9. Захист інформації. Технічний захист інформації. Терміни і виз-начення: ДСТУ 3396.2-97. — [Чинний від 1998.01.01]. — К. : Держ-стандарт України, 1998. — 20 с.

10. Про наукову і науково-технічну експертизу: Закон України від 10.02.1995 № 52/95-ВР//ВВР. — 1995. — № 9. — С. 56.

11. Про науково-технічну інформацію: Закон України від 25.06.1993 № 3323-ХІІ-ВР//ВВР. — 1993. — № 33. — C. 346.

12. Про радіочастотний ресурс України: Закон України від 07.12.2000 № 2120-ІІІ-ВР//ВВР. — 2000. — № 36. — C. 298.

13. Про авторське право та суміжні права: Закон України від 23.12.1993 № 3793-II-ВР//ВВР. — 1993. — № 13. — C. 64.

14. Про власність: Закон України від 26.03.1991 № 885-XII-ВР//ВВР. —1991. — № 20. — C. 250.

15. Про Державну службу спеціального зв’язку та захисту інфор-мації України: Закон України від 23.02.2006 № 3475-IV-ВР//ВВР. — 2006. — № 30. — C. 258.

16. Про державну таємницю: Закон України від 21.01.1994 № 3855-12-ВР // ВВР. —1994. — № 24. — C. 296.

17. Про електронний цифровий підпис: Закон України від 22.05.2003 № 852-IV-ВР//ВВР. — 2003. — № 36. — C. 276.

18. Про електронні документи та електронний документообіг: Закон України від 22.05.2003 № 851-IV-ВР//ВВР. — 2003. — № 26. — C. 349.

19. Про захист інформації в автоматизованих системах: Закон України від 05.07.1994 № 81/94-ВР//ВВР. — 1994. — № 31. — C. 287.

20. Про захист інформації в інформаційно-телекомунікаційних сис-темах: Закон України від 05.07.1994 № 81/94-ВР//ВВР. — 1994. — № 31. — C. 287.

21. Про зв’язок: Закон України від 16.05.1995 № 161/95-ВР//ВВР. — 1995. — № 20. — C. 144.

22. Про інформацію: Закон України від 02.10.1995 № 2658-ХІІ-ВР//ВВР. —1992. — № 48. — C. 651.

23. Про Концепцію Національної програми інформатизації: Закон України від 04.02.1998 №75/98-ВР//ВВР. — 1998. — № 27-28. — C. 182.

24. Про ліцензування певних видів господарської діяльності: Закон України від 01.06.2000 № 1775-ІІІ-ВР//ВВР. — 2000. — № 36. — C. 299.

25. Про наукову і науково-технічну діяльність: Закон України від 13.12.1991 № 1978-XII-ВР//ВВР. — 1992. — № 12. — C. 165.

26. Про Національну програму інформатизації: Закон України від 04.02.1998 № 74/98-ВР//ВВР. — 1998. — № 27-28. — C. 181.

27. Про Національну систему конфіденційного зв’язку: Закон України від 10.01.2002 № 2919-ІІІ-ВР//ВВР. — 2002. — № 15. — C. 103.

28. Про захист персональних даних: Закон України від 01.06.2010 №2297-VI-ВР // ВВР. — 2010. — № 34. — C. 481.

29. Про підприємництво: Закон України від 26.02.1991 № 785-XII-ВР // ВВР. — 1991. — № 14. — C. 169.

30. Про телекомунікації: Закон України: від 18.11.2003 № 1280-ІV-ВР//ВВР. — 2003. — № 12. — C. 155.

31. Інструкція про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту конфіденційної інформації, що є власністю держави. — [Чинний від 2004.12.24]. — К. : ДСТСЗІ СБУ, 2004. — № 111. — (Наказ ДСТСЗІ Служби безпеки України).

32. Інструкція про порядок постачання і використання ключів до засобів криптографічного захисту інформації. — [Чинний від 2007.06.12]. — К. : ДСТСЗІ СБУ, 2007. — № 114. — (Наказ Адмі-ністрації Державної служби спеціального зв’язку та захисту інформації України).

33. Конституція України: Закон України вiд 28.06.1996 № 254к/96-ВР// ВВР. — 1996. — № 30. — С. 141.

34. Концепція інформаційної безпеки (проект). — Режим доступу:

http://w1.c1.rada.gov.ua/pls/zweb_n/webproc4_2?pf3516=7251&skl=7.

35. Концепція національної безпеки України: Постанова Вер-ховної Ради України від 16 січня 1997 № 3/97-ВР// ВВР. — 1997. — № 10. — С.85.

36. Концепція розвитку зв’язку України до 2010 року: Постанова Кабінету Міністрів України від 09.12.1999 № 2238. — Режим доступу:

http://zakon3.rada.gov.ua/laws/show/2238-99-%D0%BF.

37. Концепція розвитку телекомунікацій в Україні: Розпорядження Кабінету Міністрів України від 07.06.2006 № 316-р. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/316-2006-%D1%80.

38. Концепція технічного захисту інформації в Україні: Розпорядження Кабінету Міністрів України від 08.10.1997 № 1126. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/1126-97-%D0%BF.

39. Концепція формування системи національних електронних інформаційних ресурсів: Розпорядження Кабінету Міністрів України від 31.12.2003 № 828-р. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/828-2003-%D1%80.

40. Ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації: Наказ державного комітету України з питань регуляторної політики та підприємництва та Адміністрації державної служби спеціального зв’язку та захисту інформації України від 26.01.2008 № 8/216. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0113-08.

41. Ліцензійні умови провадження господарської діяльності, пов’язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації: Наказ Державного комітету України з питань регуляторної політики та підприємництва та Адміністрації Державної служби спеці-ального зв’язку та захисту інформації України від 20.01.2009 № 5/9. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0130-09.

42. Технічний захист інформації на програмно-керованих АТС за-гального користування: НД ТЗІ 1.1-001-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

43. Загальні положення з захисту інформації в комп’ютерних системах від НСД: НД ТЗІ 1.1-002-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).

44. Термінологія в галузі захисту інформації в комп’ютерних сис-темах від несанкціонованого доступу: НД ТЗІ 1.1-003-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).

45. Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації: НД ТЗІ 1.1-005-07. — [Чинний від 2007.12.12]. — К. : ДСТСЗІ СБУ, 2007. — № 232. — (Нормативний документ системи технічного захисту інформації).

46. Типове положення про службу захисту інформації в автоматизованій системі: 1.4-001-2000. — [Чинний від 2000.12.04]. — К. : ДСТСЗІ СБУ, 2000. — № 53.— (Нормативний документ системи технічного захисту інформації).

47. Захист інформації на об’єктах інформаційної діяльності. Випробування комплексу технічного захисту інформації. Основні положення: НД ТЗІ 2.1-002-07. — [Чинний від 2007.12.12]. — К. : ДСТСЗІ СБУ, 2007. — № 232. — (Нормативний документ системи технічного захисту інформації).

48. Технічний захист інформації на програмно-керованих АТС за-гального користування. Специфікації функціональних послуг захисту: НД ТЗІ 2.5-001-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

49. Технічний захист інформації на програмно-керованих АТС за-гального користування. Специфікації гарантій захисту: НД ТЗІ 2.5-002-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

50. Технічний захист інформації на програмно-керованих АТС за-гального користування. Специфікації довірчих оцінок коректності реалізації захисту: НД ТЗІ 2.5-003-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

51. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу: НД ТЗІ 2.5-004-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).

52. Класифікація автоматизованих систем і стандартні функціо-нальні профілі захищеності оброблюваної інформації від несанкціонованого доступу: НД ТЗІ 2.5-005-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).

53. Класифікатор засобів копіювально-розмножувальної техніки: НД ТЗІ 2.5-006-99. — [Чинний від 1999.07.28]. — К. : ДСТСЗІ СБУ, 1999. — № 34. — (Нормативний документ системи технічного захисту інформації). — № 84. — (Нормативний документ системи технічного захисту інформації).

54. Технічний захист інформації на програмно-керованих АТС загального користування: НД ТЗІ 2.7-001-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

55. Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Передпроектні роботи: НД ТЗІ 3.1-001-07. — [Чинний від 2007.12.12]. — К. : ДСТСЗІ СБУ, 2007. — № 232. — (Нормативний документ системи технічного захисту інформації).

56. Захист інформації на об’єктах інформаційної діяльності. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації : НД ТЗІ 3.3-001-07. — [Чинний від 2007.12.12]. — К. : ДСТСЗІ СБУ, 2007. — № 232. — (Нормативний документ системи технічного захисту інформації).

57. Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу: НД ТЗІ 3.6-001-2000. — [Чинний від 2000.12.30]. — К. : ДСТСЗІ СБУ, 2000. — № 60. — (Нормативний документ системи технічного захисту інформації).

58. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі: НД ТЗІ 3.7-001-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).

59. Технічний захист інформації на програмно-керованих АТС за-гального користування. Методика оцінювання захищеності інформації (базова): НД ТЗІ 3.7-002-99. — [Чинний від 1999.05.28]. — К. : ДСТСЗІ СБУ, 1999. — № 26. — (Нормативний документ системи технічного захисту інформації).

60. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі: НД ТЗІ 3.7-003-05. — [Чинний від 2005.11.08]. — К. : ДСТСЗІ СБУ, 2005. — № 125. — (Нормативний документ системи технічного захисту інформації).

61. Про Державний комітет України по стандартизації, метрології та сертифікації: Положення від 24.05.1996 № 375/96. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/375/96.

62. Про Державний комітет України по стандартизації, метрології та сертифікації: Положення від 25.07.2000 № 926/2000. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/375/96.

63. Положення про державний контроль за станом технічного захисту інформації: Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації від 16.05.2007 № 87. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/z0785-07.

64. Положення про державну експертизу у сфері технічного захисту інформації: Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0820-07.

65. Положення про державну експертизу у сфері криптографічного захисту інформації: Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 23.07.2008 № 100. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0820-07.

66. Положення про контроль за функціонуванням системи технічного захисту інформації: Указ Президента України від 27.09.1999 № 1229/99. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0010-00.

67. Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису: Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24.07.2007 № 143. — Режим доступу:

http://zakon3.rada.gov.ua/laws/show/z0914-07.

68. Положення про порядок здійснення криптографічного захисту інформації в Україні: Указ Президента України від 22.05.1998 № 505/98. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/505/98.

69. Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації: Наказ Адміністрації Держспецзв’язку України від 20.07.2007 № 141. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0862-07.

70. Положення про технічний захист інформації в Україні: Указ Президента України від 27.09.1999 № 1229/99. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/1229/99.

71. Порядок надання послуг конфіденційного зв’язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям: Постанова Кабінету Міністрів України від 11.10.2002 № 1519. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/1519-2002-%D0%BF.

72. Про Концепцію побудови національної статистики України та Державну програму переходу України на міжнародну систему обліку і статистики: Постанова Кабінету Міністрів України від 04.05.1993 № 326. — Режим доступу:

http://zakon.nau.ua/doc/?code=326-93-%EF.

73. Про затвердження переліку криптосистем і засобів криптографічного захисту інформації, господарська діяльність щодо яких підлягає ліцензуванню: Постанова Кабінету Міністрів України від 25.05.2011 № 543. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/543-2011-%D0%BF.

74. Про затвердження критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності у галузях криптогра-фічного та технічного захисту інформації і визначається періодичність проведення планових заходів, пов’язаних з державним наглядом (контролем): Постанова Кабінету Міністрів України від 06.08.2008 № 698. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/698-2008-%D0%BF.

75. Про затвердження Порядку акредитації центру сертифікації ключів: Постанова Кабінету Міністрів України від 13.07.2004 № 903. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/903-2004-%D0%BF.

76. Про затвердження Положення про Центральний засвідчувальний орган: Постанова Кабінету Міністрів України від 28.10.2004 № 1451. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/1451-2004-%D0%BF.

77. Про затвердження Порядку застосування електронного циф-рового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності: Постанова Кабінету Міністрів України від 28.10.2004 № 1452. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/1452-2004-%D0%BF.

78. Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах: Постанова Кабінету Міністрів України від 29.04.2006 № 373. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/373-2006-%D0%BF.

79. Правила проведення робіт із сертифікації засобів захисту ін-формації: Наказ Адміністрації Держспецзв’язку та Державного комітету України з питань технічного регулювання та споживчої політики від 09.07.2001 № 329/32. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0640-01.

80. Правила посиленої сертифікації : Наказ Департаменту спеціаль-них телекомунікаційних систем та захисту інформації Служби безпеки України від 13.01.2005 № 3. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0568-06.

81. Правила проведення робіт із сертифікації засобів захисту ін-формації: Спільний наказ Адміністрації Держспецзв’язку та Держспоживстандарту України від 25.04.2007 №75/91. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/z0498-07.

82. Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок: ТР ЕОТ-95. — [Чинний від 1995.06.09]. — К. : ДСТСЗІ СБУ, 1995. — № 25.

83. Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань та наводок: ТР ТЗІ-ПЕМВН-95. — [Чинний від 1995.06.09]. — К. : ДСТСЗІ СБУ, 1995. — № 25.

84. Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні: Указ Президента України від 31.06.2000 № 928 (928/2000). — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/928/2000.

85. Питання Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України: Указ Президента України від 06.10.2000 № 928 (1120/2000). — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/1120/2000.

86. Про доктрину інформаційної безпеки України: Указ Прези-дента України від 08.07.2009 № 514/2009. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/514/2009.

87. Про центральні органи виконавчої влади: Закон України від 17.03.2011 №38. — Режим доступу:

http://zakon2.rada.gov.ua/laws/show/3166-17.

88. Про заходи щодо забезпечення інформаційної безпеки держави: Указ Президента України від 18.09.2002 № 836/2002. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/836/2002.

89. Про заходи щодо захисту інформаційних ресурсів держави: Указ Президента України від 10.04.2000 № 582/2002. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/891/2001.

90. Про рішення Ради національної безпеки і оборони України: Указ Президента України від 06.12.2001 № 1193/2001. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/1648/2005.

91. Про систему центральних органів виконавчої влади: Указ Президента України від 15.12.1999 № 1572/99. — Режим доступу:

http://zakon1.rada.gov.ua/laws/show/1572/99.

Навчальне видання