Управление рисками и международные стандарты
Л15
| Заняття проведені | ЗАТВЕРДЖУЮ Завідувач кафедри д.т.н., с.н.с. _____________________ В.С. Наконечний "___" _____________20__ року | |
| № навч. групи | Дата | Час |
ПЛАН
ПРОВЕДЕННЯ ЗАНЯТТЯ
з навчальної дисципліни
Теорія ризиків
Вид заняття: Лекція
Модуль2. Прикладні технології управління ризиками.
Змістовий модуль 8. Стандарти управління ризиками
Тема 15. Міжнародні стандарти.
Метод проведення заняття усне викладення.
Навчальна та виховна мета:
1. Засвоїти основні положення міжнародних стандартів щодо управління ризиками.
Навчально-матеріальне забезпечення
1. Комплект слайдів до лекції.
2. Навчальний сайт.
Навчальна література
1. Петренко С. А.Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.: ил. - (Информационные технологии для инженеров).
2. Шапкин А.С., Шапкин В.А. Теория риска и моделирование рисковых ситуаций. М: «Дашков и Ко», 2005 — 879 с.
3. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска. М.: Издательский дом ГУ ВШЭ, 2005. — 399 с.
4. Руководство к своду знаний по управлению проектами. Керівництво PMBOK. 2004. Project Management Institute. Four campus boulevard. Newtown square. PA 19073-3299. USA. 405 pp.
Л15
План проведення заняття
| № зп | Навчальні питання, та короткий їх зміст | Час хв | Дії викладача та тих, що навчаються |
| І ІІ ІІІ | Вступ 1. Прийом навчальної групи. 2. Зв'язок з матеріалами заняття, що вивчалось раніше. 3. Тема, мета і організація заняття. Основна частина 1 ISO 17799. BS 7799 (Британія). 2 Німецький стандарт BSI 3 Стандарт США NIST 800-30 4 Відомчі та корпоративні стандарти управління Заключна частина Підведення підсумків Відповіді на запитання Завдання на самостійну підготовку Виконати самостійне завдання . 1. Підготувати термінологічний словник за темою лекції Тема і місце наступного заняття | Перевірка наявності студентів та готовність їх до заняття. Нагадую тему попереднього заняття та пов’язую його з сьогоднішнім заняттям. Актуальність заняття. Оголошую тему, мету заняття та навчальні питання. Оголошую порядок проведення заняття. Матеріал викладати у темпі, що дозволяє вести записи, основні положення, визначення. Даю під запис за необхідністю визначений матеріал. Пояснюю слайди, що демонструються. За необхідності наводжу приклади з практики. Короткий висновок першого питання. Нагадую тему заняття її зміст (навчальні питання). Визначаю ступінь досягнення мети заняття. (Визначаю позитивні сторони заняття та загальні недоліки) Відповідаю на запитання студентів Видаю завдання на самостійну підготовку Оголошую тему, час і місце проведення заняття |
Завідувач кафедри управління інформаційною безпекою
______________________________________________________ д.т.н., с.н.с. В.Л.Шевченко
Л15
Міністерство освіти і науки України
Державний університет телекомунікацій
Навчально-науковий інститут захисту інформації
КАФЕДРА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
ЗАТВЕРДЖУЮ
Завідувач кафедри
д.т.н., с.н.с.
_______________________ В.С. Наконечний
"___" _____________20__ року
Методична розробка
Для проведення лекції з навчальної дисципліни
“ Теорія ризиків ”
Модуль2. Прикладні технології управління ризиками.
Змістовий модуль 8. Стандарти управління ризиками
Тема 15. Міжнародні стандарти.
Обговорене на засіданні кафедри
Протокол № 1
« __ » серпня 20__р.
КИЇВ – 20__
Управление рисками и международные стандарты
В последнее время в разных технологически развитых странах появилось новое поколение стандартов информационной безопасности, посвященных практическим вопросам организации режима ИБ на предприятии. Это прежде всего международные и национальные стандарты оценки информационной безопасности и управления ею - ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита, отражающие вопросы информационной безопасности, - COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствии с этими стандартами организация режима ИБ в любой компании предполагает следующее.
Во-первых, определение целей обеспечения информационной безопасности компании.
Во-вторых, создание эффективной системы управления информационной безопасностью.
В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.
В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.
В-пятых, использование методик (с понятной системой критериев и мер обеспечения информационной безопасности) в процессе анализа рисков и управления ими, позволяющих объективно оценить текущее состояние дел.
Новое поколение стандартов отличается большей формализацией технологии организации режима ИБ и детальным комплексным учетом измеримых показателей информационной безопасности компании. Комплексный учет показателей предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая информационной безопасности КИС, но и организационно-административные меры по ее обеспечению.
Наличие системы управления информационной безопасностью (Information Security Management), и в частности анализа информационных рисков и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии. Предприятия, начиная с рассмотренного в первой главе третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов и организации, специализирующиеся в решении комплексных проблем информационной безопасности, предложили похожие концепции управления информационными рисками. Рассмотрим концепции Британского стандарта BS 7799 (ISO 17799), Германского стандарта BSI, стандарта США NIST, а также ряда других аналогичных стандартов различных ведомств и организаций.