Введение
1 Обоснование и развитие теоретических и методологических аспектов выполнения аудита информационной безопасности 31
1.1 Постановка научно-технической проблемы для сложных объектов 31
1.2 Аспекты проведения аудита для оценки влияния человека 35
1.3 Фундаментальные правовые основы обеспечения безопасности сложных объектов 35
1.4 Разработка общей модели объекта 41
1.5 Примеры воздействия на объекты критичной инфраструктуры 49
1.6 Структура и информационные процессы объекта управления 52
1.7 Оценивание уровня обеспечения ИБ в ИСМ 70
1.8 Методологические основы аудита ИБ для сложных объектов 75
1.9 Разработка обобщенной базовой модели аудита ИБ 77
1.10 Метод определения численных показателей (метрик) ИБ 82
1.11 Выводы к Главе 1 89
2 Методы и модели проведения аудита ИСМ для СлПО 90
2.1 Проблемы определения сущностей модели 90
2.2 Проблемы при оценке уязвимостей при моделировании СлПО 100
2.3 Проблемы при формировании моделей аудита ИСМ 124
2.4 Модели критериев оценки уровня ИБ на объектах ТЭК 141
2.5 Парадокс ИБ для СлПО 156
2.6 Выводы к Главе 2 163
3 Метод «мгновенных аудитов» ИБ 164
3.1 Текущая ситуация с методами обнаружения несоответствий ИБ 164
3.2 Разработка методов и формирование метрик выполнения аудита ИБ 166
3.3 Реализация годовой программы аудита 177
3.4 Методы оценки степени соответствия ИБ 182
3.5 Анализ существующих методов к оценке бюджета ИБ 191
3.6 Методы оценки уровня обеспечения ИБ СлПО на примере ТЭК 198
3.7 Методы учета социальных факторов при выполнении аудита 206
3.8 Разработка метода «мгновенных аудитов» ИБ 215
3.9 Выводы к Главе 3 230
4 Метод исследования динамики сертификации 231
4.1 Общие положения 231
4.2 Разработка метода исследования динамики сертификации 231
4.3 Практические подходы к выбору стандартов для управления ИБ 251
4.4 Пример реализации проекта управления ИБ 265
4.5 Выводы к Главе 4 277
5 Метод многошаговой оптимизации аудита ИСМ для СлПО 278
5.1 Общие положения 278
5.2 Модели СТО БР 278
5.3 Модели СТО Газпром СОИБ 282
5.4 Разработка метода многошаговой оптимизации аудита ИСМ 285
5.5 Пример кейсов для расчета по модели аудита ИСМ 305
5.6 Выводы к Главе 5 321
6 Имитационное моделирование ИСМ СлПО на примере АК 322
6.1 Общие положения 322
6.2 Известные подходы к оперативной оценке уровня ИБ 323
6.3 Системы класса GRC 325
6.4 Объективные проблемы и риски применения систем GRC 332
6.5 Методы имитационного моделирования ИСМ 333
6.6 Разработка метода моделирования ИСМ для СлПО в АК 334
6.7 Пример расчета модели ИСМ для оценки уровня обеспечения безопасности АК 342
6.8 Метод измерения производительности системы моделирования 350
6.9 Реализация полученных научных результатов на практике 356
6.10 Выводы к Главе 6 358
Заключение 359
Перечень сокращений 363
Перечень терминов и определений 366
Список литературы 369
Приложение А Акты, подтверждающие реализацию результатов работы 399
Приложение А.1 Акт о внедрении АО «Международный Аэропорт Алматы» 399
Приложение А.2 Акт о внедрении АО «Международный Аэропорт Астаны» 400
Приложение А.3 Акт о внедрении ООО «ИТСК» 401
Приложение А.4 Акт о внедрении «AQS Group of Companies» 402
Приложение А.5 Акт о внедрении АО «Рускобанк» 403
Приложение А.6 Акт о внедрении ООО «Газинформсервис» 405
Приложение А.7 Акт о внедрении ГУП «Водоканал Санкт-Петербурга» 407
