Учебное пособие 80022
.pdfФГБОУ ВПО «Воронежский государственный технический университет»
Кафедра систем информационной безопасности
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к самостоятельным работам по дисциплине «Методы анализа рисков»
для студентов специальности 090301 «Компьютерная безопасность»
очной формы обучения
Воронеж 2015
Составители: аспирант Е. С. Соколова, канд. мед. наук О. А. Остапенко
УДК 004.056.5
Методические указания к самостоятельным работам по дисциплине «Методы анализа рисков» для студентов специальности 090301 «Компьютерная безопасность» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. Е. С. Соколова, О. А. Остапенко. Воронеж, 2015. 21 с.
Методические указания к самостоятельным работам содержат указания и рекомендации, направленные на развитие навыков аналитического мышления, расчетов рисков информационных систем и объектов информатизации на всех этапах их существования.
Методические указания подготовлены в электронном виде в текстовом редакторе MW-2013 и содержатся в файле Соколова_СР_Методы анализа рисков.pdf.
Табл. 1. Библиогр.: 69 назв.
Рецензент д-р техн. наук, проф. А. Г. Остапенко
Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А. Г. Остапенко
Издается по решению редакционно-издательского совета Воронежского государственного технического университета
© ФГБОУ ВПО «Воронежский государственный технический университет», 2015
ВВЕДЕНИЕ
Риск-анализ является неотъемлемой составляющей процесса управления рисками систем, в том числе и информационными. Это объясняется тем, что анализ риска позволяет более эффективно управлять безопасностью, а также своевременно определять, что именно подлежит защите в системе, воздействию каких угроз она подвержена, и выработать рекомендации по практике защиты. В процессе качественного анализа может быть выведена обширная группа, или несколько групп рисков, при этом вероятность каждого типа риска различна, также, как и объёмы ущербов, которые они могут вызвать. Качественная оценка вероятности наступления отдельных рисков и ущербов позволяет выделить наиболее вероятные по возникновению и весомые по величине потерь риски, которые будут являться объектами дальнейшего анализа для принятия мер по их пресечению
Риск-анализ – процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск – это вероятность возникновения ущерба определенной величины, т.е. вероятный ущерб, который зависит от защищенности системы.
Анализ рисков предоставляет необходимую информацию системе управления рисками, в которой определяются контрмеры в зависимости от существующих угроз. Целью анализа является оценка величин отдельных рисков, определение наиболее значимых из них, и формулировка приоритетов в реализации системы защиты.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба [26].
При анализе рисков в отношении системы зачастую оперируют также следующими понятиями:
–угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
–уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.
–цена потери – это качественная или количественная оценка степени серьезности происшествия.
В общем случае процесс оценки риска информационной системы включает в себя [45]:
–определение уязвимостей системы;
–определение списка угроз, актуальных для исследуемой информационной системы;
–оценку вероятности угроз;
–оценку вероятного ущерба в результате осуществления заданных угроз.
2
1. ЦЕЛИ И ЗАДАЧИ САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Целью самостоятельной работы студентов (СРС) является овладение фундаментальными знаниями, профессиональными умениями и навыками деятельности по профилю, опытом творческой, исследовательской деятельности. Самостоятельная работа студентов способствует развитию самостоятельности, ответственности и организованности, творческого подхода к решению проблем учебного и профессионального уровня.
Задачами СРС являются:
–систематизация и закрепление полученных теоретических знаний и практических умений студентов;
–углубление и расширение теоретических знаний;
–формирование умений использовать нормативную, правовую, справочную документацию и специальную литературу;
–развитие познавательных способностей и активности студентов: творческой инициативы, самостоятельности, ответственности и организованности;
–формирование самостоятельности мышления, способностей к саморазвитию, самосовершенствованию и самореализации;
–развитие исследовательских умений;
–использование материала, собранного и полученного в ходе самостоятельных занятий на семинарах, на практических занятиях, для эффективной подготовки к итоговому зачету.
3
2. ВИДЫ САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Выделяется два вида самостоятельной работы – аудиторная, под руководством преподавателя, и внеаудиторная. Тесная взаимосвязь этих видов работ предусматривает дифференциацию и эффективность результатов ее выполнения и зависит от организации, содержания, логики учебного процесса (межпредметных связей, перспективных знаний и др.):
–аудиторная самостоятельная работа по дисциплине выполняется на учебных занятиях под непосредственным руководством преподавателя и по его заданию.
–внеаудиторная самостоятельная работа выполняется студентом по заданию преподавателя, но без его непосредственного участия.
Основными видами самостоятельной работы студентов без участия преподавателей являются:
формирование и усвоение содержания конспекта лекций на базе рекомендованной учебной литературы, включая информационные образовательные ресурсы (электронные учебники, электронные библиотеки и др.);
подготовка к семинарам и практическим работам, их оформление; работа с учебно-методической литературой;
оформление конспектов лекций; подготовка к курсовому проектированию; подготовка к зачету.
4
3. ТЕМАТИКА САМОСТОЯТЕЛЬНОЙ РАБОТЫ
Распределение видов самостоятельной работы и формы отчетности
Наименование |
|
Содержание |
Вид контроля и |
||
разделов и тем |
|
самостоятельной |
|
отчетность по |
|
|
|
работы |
|
результатам |
|
|
|
|
самостоятельной |
||
|
|
|
|
работы |
|
Раздел 1. |
Теоретический |
|
|
|
|
Оценка риска |
материал: |
|
|
|
|
информационно |
1. |
Общее описание |
Подготовка |
|
|
й безопасности |
оценки риска |
конспекта лекций |
|||
|
информационной |
|
|
|
|
|
безопасности. Анализ |
|
|
|
|
|
риска. Оценивание |
|
|
|
|
|
рисков |
|
|
|
|
|
2. |
Измерение рисков |
Подготовка |
|
|
|
|
|
конспекта лекций |
||
|
3. |
Оценка последствий |
Подготовка |
|
|
|
|
|
конспекта лекций |
||
|
|
|
|
|
|
|
4. |
Установление |
Подготовка |
|
|
|
значений уровня рисков |
конспекта |
лекций, |
||
|
|
|
подготовка |
к |
|
|
|
|
письменной |
|
|
|
|
|
проверочной работе |
||
|
|
|
по |
пройденному |
|
|
|
|
материалу |
|
|
|
|
|
|
|
|
5
Наименование |
Содержание |
Вид контроля и |
разделов и тем |
самостоятельной |
отчетность по |
|
работы |
результатам |
|
|
самостоятельной |
|
|
работы |
Раздел 2. |
Теоретический |
|
Риски |
материал: |
|
информационн |
1. Анализ современных |
Подготовка |
ых систем: |
стандартов в области |
конспекта лекций |
обзор |
управления рисками |
|
современных |
информационных систем. |
|
стандартов |
Анализ международного |
|
и методов |
стандарта ISO IEC 17799 |
|
оценки и |
(ГОСТ Р ИСО/МЭК |
|
управления |
17799-2005) в области |
|
|
управления рисками |
|
|
информационной |
|
|
безопасности |
|
|
2. Анализ |
Подготовка |
|
международного |
конспекта лекций |
|
стандарта ISO IEC 27001 |
|
|
(ГОСТ Р ИСО/МЭК |
|
|
27001-2005) в области |
|
|
мониторинга и |
|
|
управления рисками |
|
|
информационной |
|
|
безопасности |
|
|
3. Анализ британского |
Подготовка |
|
стандарта BS 7799-3 |
конспекта лекций |
|
«Руководство по |
|
|
управлению |
|
|
информационными |
|
|
рисками» |
|
|
4. Анализ стандарта |
Подготовка |
|
США NIST 800-30 |
конспекта лекций |
|
«Руководство по |
|
|
управлению |
|
|
информационными |
|
|
рисками IT-систем» |
|
6
Наименование |
Содержание |
Вид контроля и |
разделов и тем |
самостоятельной |
отчетность по |
|
работы |
результатам |
|
|
самостоятельной |
|
|
работы |
|
5. Анализ существующих |
Подготовка |
|
экспертных методов |
конспекта лекций, |
|
оценки рисков |
подготовка к |
|
информационных систем |
письменной |
|
|
проверочной работе |
|
|
по пройденному |
|
|
материалу |
Раздел 3. |
Теоретический |
|
Аналитический |
материал: |
|
подход в |
1. Понятие риска сис- |
Подготовка |
методологии |
темы. Концепции оценки |
конспекта лекций |
оценки и |
рисков. Обобщенная |
|
управления |
модель оценки риска |
|
рисками: |
2. Вероятностная |
Подготовка |
обобщение и |
природа риска. Методы |
конспекта лекций |
пути развития |
оценки риска. Формаль- |
|
|
ное определение меры |
|
|
риска. Основные меры |
|
|
риска, используемые в |
|
|
анализе информационных |
|
|
систем |
|
|
3. Методы оптимизации |
Подготовка |
|
вычислений при расчете |
конспекта лекций |
|
риска систем. Объектив- |
|
|
ные и субъективные |
|
|
составляющие риска |
|
|
систем. Аналитические |
|
|
методы управления |
|
|
рисками. Понятие и |
|
|
обобщенная схема |
|
|
управления рисками |
|
|
4. Принципы принятия |
Подготовка |
|
решений по управлению |
конспекта лекций |
|
рисками |
|
7
Наименование |
Содержание |
Вид контроля и |
|
разделов и тем |
самостоятельной |
отчетность по |
|
|
работы |
результатам |
|
|
|
самостоятельной |
|
|
|
работы |
|
|
5. Применение методов |
Подготовка |
|
|
теории чувствительности |
конспекта лекций |
|
|
в управлении рисками |
|
|
|
информационных систем |
|
|
|
6. Динамические |
Подготовка |
|
|
характеристики риска |
конспекта |
лекций. |
|
систем. Наиболее |
Подготовка к зачету |
|
|
распространенные на |
|
|
|
практике виды рисков |
|
|
|
информационных систем |
|
|
|
и их анализ |
|
|
Раздел 4. |
Теоретический |
|
|
Развитие |
материал: |
|
|
методического |
1. Постановка задачи |
Подготовка |
|
обеспечения |
оценки риска |
конспекта лекций |
|
оценки риска |
информационной |
|
|
информационн |
системы. Общий вид |
|
|
ых систем |
модели оценки риска |
|
|
|
информационных систем |
|
|
|
2. Применение |
Подготовка |
|
|
кластерного анализа при |
конспекта лекций |
|
|
оценке рисков |
|
|
|
информационной |
|
|
|
системы |
|
|
|
3. Формализация оценки |
Подготовка |
|
|
риска информационной |
конспекта лекций |
|
|
системы. Критерий |
|
|
|
принятия решений по |
|
|
|
управлению рисками на |
|
|
|
основе функции |
|
|
|
полезности |
|
|
8