Aquity STREAM
advertisement
ISM4
КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Управление рисками ИБ
ISM4
ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ
2
Цели презентации
o
o
ISM4
o
Знакомство с предметной областью
управления рисками ИБ
Представление предлагаемого подхода
Обзор используемого продукта
Управление рисками ИБ
09.05.2016
Термины и определения в
области ИБ
3
o Деятельность (бизнес-процесс) (BS 25999)
Процесс или набор процессов, которые производят или поддерживают один или
несколько продуктов и услуг
o Актив (ISO 13335)
Что угодно, имеющее значение для организации
o Угроза (ISO 13335)
Потенциальная причина возникновения инцидента, который может принести вред
o Уязвимость (ISO 13335)
Недостаток в активе или группе активов, который может способствовать реализации
угрозы
o Событие ИБ (ISO 18044)
ISM4
Идентифицированное нахождение системы, сервиса или сети в состоянии,
свидетельствующей о возможных нарушениях требований ИБ или в неизвестном
состоянии, которое может быть важным с точки зрения ИБ
Управление рисками ИБ
09.05.2016
Термины и определения в
области ИБ
4
o Инцидент (ISO 18044)
Одно или несколько неожидаемых событий ИБ, которые со значительной вероятностью
угрожают бизнес-процессам
o Ущерб (ISO 25999)
Негативные последствия инцидента, которые влияют на достижение целей организации
o Риск (ISO 73)
Комбинация вероятности события (инцидента) ИБ и его последствий (ущерба)
o Защитная мера (ISO 17799)
Средство управления риском
o Непрерывность бизнеса (ISO 25999)
ISM4
Стратегическая и тактическая способность организации планировать и осуществлять
реагирование на инциденты в целях обеспечения предоставления сервисов на заранее
определенном уровне
Управление рисками ИБ
09.05.2016
Методологические основы
СУ(Р)ИБ
5
o ISO/IEC 27001:2005 + 27002 + 27005
o NIST SP 800-53
o BS 25999 часть 1:2006 и часть 2:2007
o ISO/IEC TR 18044:2004
o ISO/IEC Guide 73:2002
o PAS 77:2006
ISM4
o … и другие
Управление рисками ИБ
09.05.2016
6
Суть ИБ
Целостность
Актив
Конфиденциальность
Уязвимость
Доступность
Контрмера
КМУ
ISM4
Угроза
Управление рисками ИБ
09.05.2016
Почему ИБ нельзя сделать
раз и навсегда ?
Управление рисками ИБ
?
+
ISM4
+
?
7
09.05.2016
8
Управление рисками ИБ
$$$
Величина ущерба
Стоимость
$$$
MAX
Ущерб
Эффективность защитных мер
Управление рисками ИБ
100%
09.05.2016
ISM4
Защитные меры
9
Роль СУРИБ в организации
o
o
o
o
o
o
min → Риск = F(Вероятность, Ущерб)
min → Затраты на обеспечение ИБ
Эффективное управление соответствием
требованиям законодательства и бизнес-требованиям
в области ИБ;
Предупреждение возникновения инцидентов ИБ и
снижения ущерба в случае их возникновения;
Повышение культуры ИБ в организации;
Повышение зрелости в области управления
обеспечением ИБ;
Оптимизация расходования средств на обеспечение
ИБ.
Управление рисками ИБ
09.05.2016
ISM4
{
o
Структура документации по
управлению рисками
Политика управления
рисками
Процедура Управления
рисками
Процедура Внутреннего
аудита
Инструкция
пользователя
Acuity Stream
Реестры рисков
Отчеты об аудите
ISM4
Роли и обязанности
10
Управление рисками ИБ
09.05.2016
11
Традиционная оценка рисков
Перечень
активов
Оценка ущербов
для активов
Отчет об
оценке и
обработке
рисков
Идентифицированные
риски
Перечень угроз и
уязвимостей
ISM4
Справочник
контрмер
o Угроза
o Актив
o Возможные виды
воздействия
o Уровень ущерба
o Оценка риска
o Стратегия обработки
риска
o Применимые защитные
меры
o Требования к
защитным мерам
Управление рисками ИБ
09.05.2016
12
План экспертной сессии
1.
2.
3.
4.
5.
6.
7.
8.
ISM4
9.
Вводная часть
Представление команды
Вводная лекция (ИБ)
Сase: Недоступность
Перерыв
Case: Утечка
Перерыв
Case: Модификация
Резюме
Управление рисками ИБ
09.05.2016
13
Кейс
Введение в кейс
o
o
o
Представление типового случая
Обсуждение в малых группах
Представление результатов и голосование
Общее голосование по списку систем
ИТ- (бизнес-) система Конкуренты
Налоговая
ПравоохраВнутренние
нительные
сотрудники
органы
СМИ
Выбор
группы
АБС
5
5
5
4
3
5
Банк-клинт
3
4
3
3
2
3
SWIFT
4
5
3
2
3
4
Электронная почта
3
5
5
2
3
4
Управление рисками ИБ
09.05.2016
ISM4
"Получатели" утечки
14
ISM4
Специализированное ПО – Acuity
Stream
Управление рисками ИБ
09.05.2016
15
ISM4
Представление рисков
Управление рисками ИБ
09.05.2016
16
ISM4
Оценка и обработка рисков
Управление рисками ИБ
09.05.2016
17
Профиль оценки рисков
Угроза
Применимая
угроза
Класс актива
Наихудший
случай по КМУ,
%
Настройки
Вероятность
реализации по
КМУ, год. %
Параметры
КМУ
Снижение
потенциала по
КМУ, %
Применимая
контрмера
ISM4
Контрмера
Управление рисками ИБ
09.05.2016
Оценка рисков
18
Риски
Актив
Оценка ущерба
по КМУ, руб.
Высокоуровневые
активы
Высокоуровневы
й актив
Риск начальный,
руб.
Риск по КМУ,
руб.
Оценка ущерба
по КМУ, руб.
Снижение
ущерба по КМУ,
%
Риск
остаточный, руб
Риск остаточный
по КМУ, руб.
ISM4
Примененная
контрмера
Управление рисками ИБ
09.05.2016
Оперативное предоставление
информации
Филиал А
Филиал Б
ISM4
ЦО
19
Управление рисками ИБ
09.05.2016
20
ISM4
Отчеты
Управление рисками ИБ
09.05.2016
21
Оценка зрелости контрмер
o
o
o
o
ISM4
o
на основе лучших мировых практик в области управления
обеспечением ИБ
ведется параллельно с оценкой рисков
позволяет начать работы по повышению уровня ИБ по всей
структуре, не дожидаясь оценки рисков
статус оперативно контролируется с использованием
Stream
показывает соответствие организации мировому уровню
Управление рисками ИБ
09.05.2016
22
Реализация проекта (1/2)
o
o
o
ISM4
o
формирование рабочей группы проекта со стороны
Организаии и ОТ;
проведение вводного курса по управлению рисками ИБ с
использованием Acuity Stream и назначение ролей в рабочей
группе;
сбор исходных данных для проведения оценки рисков, в том
числе с проведением собеседований с представителями ИТ- и
бизнес-подразделений в пилотной зоне:
каталогизация ИТ-ориентированных активов
Управление рисками ИБ
09.05.2016
23
Реализация проекта (2/2)
o
o
o
o
ISM4
o
развертывание тестового экземпляра специализированного
ПО, и обучение специалистов Организации работе с ним;
проведение оценки и обработки рисков;
определение уровня зрелости контрмер;
выстраивание процессов принятия решений в области
обеспечения ИБ совместно представителями бизнес- и ИТподразделений;
доработка и адаптация комплекта документации;
Управление рисками ИБ
09.05.2016
24
Вопросы и обсуждение:
ISM4
ISM4
КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Управление рисками ИБ
09.05.2016
