ISM4 КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Управление рисками ИБ ISM4 ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ 2 Цели презентации o o ISM4 o Знакомство с предметной областью управления рисками ИБ Представление предлагаемого подхода Обзор используемого продукта Управление рисками ИБ 09.05.2016 Термины и определения в области ИБ 3 o Деятельность (бизнес-процесс) (BS 25999) Процесс или набор процессов, которые производят или поддерживают один или несколько продуктов и услуг o Актив (ISO 13335) Что угодно, имеющее значение для организации o Угроза (ISO 13335) Потенциальная причина возникновения инцидента, который может принести вред o Уязвимость (ISO 13335) Недостаток в активе или группе активов, который может способствовать реализации угрозы o Событие ИБ (ISO 18044) ISM4 Идентифицированное нахождение системы, сервиса или сети в состоянии, свидетельствующей о возможных нарушениях требований ИБ или в неизвестном состоянии, которое может быть важным с точки зрения ИБ Управление рисками ИБ 09.05.2016 Термины и определения в области ИБ 4 o Инцидент (ISO 18044) Одно или несколько неожидаемых событий ИБ, которые со значительной вероятностью угрожают бизнес-процессам o Ущерб (ISO 25999) Негативные последствия инцидента, которые влияют на достижение целей организации o Риск (ISO 73) Комбинация вероятности события (инцидента) ИБ и его последствий (ущерба) o Защитная мера (ISO 17799) Средство управления риском o Непрерывность бизнеса (ISO 25999) ISM4 Стратегическая и тактическая способность организации планировать и осуществлять реагирование на инциденты в целях обеспечения предоставления сервисов на заранее определенном уровне Управление рисками ИБ 09.05.2016 Методологические основы СУ(Р)ИБ 5 o ISO/IEC 27001:2005 + 27002 + 27005 o NIST SP 800-53 o BS 25999 часть 1:2006 и часть 2:2007 o ISO/IEC TR 18044:2004 o ISO/IEC Guide 73:2002 o PAS 77:2006 ISM4 o … и другие Управление рисками ИБ 09.05.2016 6 Суть ИБ Целостность Актив Конфиденциальность Уязвимость Доступность Контрмера КМУ ISM4 Угроза Управление рисками ИБ 09.05.2016 Почему ИБ нельзя сделать раз и навсегда ? Управление рисками ИБ ? + ISM4 + ? 7 09.05.2016 8 Управление рисками ИБ $$$ Величина ущерба Стоимость $$$ MAX Ущерб Эффективность защитных мер Управление рисками ИБ 100% 09.05.2016 ISM4 Защитные меры 9 Роль СУРИБ в организации o o o o o o min → Риск = F(Вероятность, Ущерб) min → Затраты на обеспечение ИБ Эффективное управление соответствием требованиям законодательства и бизнес-требованиям в области ИБ; Предупреждение возникновения инцидентов ИБ и снижения ущерба в случае их возникновения; Повышение культуры ИБ в организации; Повышение зрелости в области управления обеспечением ИБ; Оптимизация расходования средств на обеспечение ИБ. Управление рисками ИБ 09.05.2016 ISM4 { o Структура документации по управлению рисками Политика управления рисками Процедура Управления рисками Процедура Внутреннего аудита Инструкция пользователя Acuity Stream Реестры рисков Отчеты об аудите ISM4 Роли и обязанности 10 Управление рисками ИБ 09.05.2016 11 Традиционная оценка рисков Перечень активов Оценка ущербов для активов Отчет об оценке и обработке рисков Идентифицированные риски Перечень угроз и уязвимостей ISM4 Справочник контрмер o Угроза o Актив o Возможные виды воздействия o Уровень ущерба o Оценка риска o Стратегия обработки риска o Применимые защитные меры o Требования к защитным мерам Управление рисками ИБ 09.05.2016 12 План экспертной сессии 1. 2. 3. 4. 5. 6. 7. 8. ISM4 9. Вводная часть Представление команды Вводная лекция (ИБ) Сase: Недоступность Перерыв Case: Утечка Перерыв Case: Модификация Резюме Управление рисками ИБ 09.05.2016 13 Кейс Введение в кейс o o o Представление типового случая Обсуждение в малых группах Представление результатов и голосование Общее голосование по списку систем ИТ- (бизнес-) система Конкуренты Налоговая ПравоохраВнутренние нительные сотрудники органы СМИ Выбор группы АБС 5 5 5 4 3 5 Банк-клинт 3 4 3 3 2 3 SWIFT 4 5 3 2 3 4 Электронная почта 3 5 5 2 3 4 Управление рисками ИБ 09.05.2016 ISM4 "Получатели" утечки 14 ISM4 Специализированное ПО – Acuity Stream Управление рисками ИБ 09.05.2016 15 ISM4 Представление рисков Управление рисками ИБ 09.05.2016 16 ISM4 Оценка и обработка рисков Управление рисками ИБ 09.05.2016 17 Профиль оценки рисков Угроза Применимая угроза Класс актива Наихудший случай по КМУ, % Настройки Вероятность реализации по КМУ, год. % Параметры КМУ Снижение потенциала по КМУ, % Применимая контрмера ISM4 Контрмера Управление рисками ИБ 09.05.2016 Оценка рисков 18 Риски Актив Оценка ущерба по КМУ, руб. Высокоуровневые активы Высокоуровневы й актив Риск начальный, руб. Риск по КМУ, руб. Оценка ущерба по КМУ, руб. Снижение ущерба по КМУ, % Риск остаточный, руб Риск остаточный по КМУ, руб. ISM4 Примененная контрмера Управление рисками ИБ 09.05.2016 Оперативное предоставление информации Филиал А Филиал Б ISM4 ЦО 19 Управление рисками ИБ 09.05.2016 20 ISM4 Отчеты Управление рисками ИБ 09.05.2016 21 Оценка зрелости контрмер o o o o ISM4 o на основе лучших мировых практик в области управления обеспечением ИБ ведется параллельно с оценкой рисков позволяет начать работы по повышению уровня ИБ по всей структуре, не дожидаясь оценки рисков статус оперативно контролируется с использованием Stream показывает соответствие организации мировому уровню Управление рисками ИБ 09.05.2016 22 Реализация проекта (1/2) o o o ISM4 o формирование рабочей группы проекта со стороны Организаии и ОТ; проведение вводного курса по управлению рисками ИБ с использованием Acuity Stream и назначение ролей в рабочей группе; сбор исходных данных для проведения оценки рисков, в том числе с проведением собеседований с представителями ИТ- и бизнес-подразделений в пилотной зоне: каталогизация ИТ-ориентированных активов Управление рисками ИБ 09.05.2016 23 Реализация проекта (2/2) o o o o ISM4 o развертывание тестового экземпляра специализированного ПО, и обучение специалистов Организации работе с ним; проведение оценки и обработки рисков; определение уровня зрелости контрмер; выстраивание процессов принятия решений в области обеспечения ИБ совместно представителями бизнес- и ИТподразделений; доработка и адаптация комплекта документации; Управление рисками ИБ 09.05.2016 24 Вопросы и обсуждение: ISM4 ISM4 КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Управление рисками ИБ 09.05.2016