Введение
Глава 1. Исследование деятельности по защите информации в органах государственного управления 13
1.1 Содержание деятельности по защите информации 13
1.2 Особенности деятельности по защите информации органов государственного управления 19
1.3 Методы описания деятельности по защите информации 20
1.4 Модель «как есть» для деятельности по защите информации органов государственного управления 23
1.5 Модель оценки ущерба от реализации угроз безопасности информации 26
1.6 Аудит информационной безопасности как способ оценки эффективности деятельности по защите информации 33
1.6.1 Аудит безопасности в соответствии с BS 7799, часть 2 37
1.6.2 Стандарт CobiT 42
1.7 Рекомендации по оценке эффективности деятельности по защите информации 50
Выводы 56
Глава 2. Анализ информационных рисков в органах государственного управления 57
2.1 Задача анализа информационных рисков в органах государственного управления 57
2.2 Поиск решения задачи анализа информационных рисков в органах государственного управления 60
2.2.1 RA2 art of risk 61
2.2.2 Risk Advisor 62
2.2.3 RiskWatch 64
2.2.4 CRAMM 65
2.2.5 Система «АванГард» 68
2.2.6 Digital Security Office 74
2.3 Ключевые особенности разрабатываемой методики анализа информационных рисков для органов государственного управления 78
2.4 Алгоритм методики анализа информационных рисков 86
2.5 Экспериментальная проверка эффективности разработанной методики анализа информационных рисков 94
Выводы 101
Глава 3. Программный комплекс автоматизации деятельности по защите информации органов государственного управления 102
3.1 Описание методики автоматизации деятельности по защите информации 102
3.1.1 Алгоритм методики автоматизации 104
3.2 Описание архитектуры программного комплекса автоматизации 106
3.2.1 Схемы таблиц, используемых в системе «SPM» 108
3.3 Критерии выбора средств создания программного комплекса 114
3.4 Центральный модуль программного комплекса автоматизации 115
3.5 Региональный модуль программного комплекса автоматизации 118
Выводы 121
Глава 4. Анализ эффективности деятельности по защите информации в органах государственного управления 122
4.1 Группы метрик для оценки эффективности защиты информации 122
4.1.1 Метрики в соответствии с Government Information Security Reform Act 122
4.1.2 Метрики Internet Security Alliance 124
4.1.3 Метрики в соответствии с NIST 800-55 126
4.2 Показатели для оценки эффективности деятельности подразделений по защите информации органов государственного управления 128
4.3 Описание эксперимента по проверке эффективности программного комплекса автоматизации деятельности по защите информации 131
4.4 Анализ результатов внедрения программного комплекса автоматизации деятельности по
защите информации 132
Выводы 136
Заключение 137
Список литературы
