ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4

Управление рисками ИБ 2 Цели презентации o Знакомство с предметной областью управления рисками ИБ o Представление предлагаемого подхода o Обзор используемого продукта

ISM Управление рисками ИБ 3 Термины и определения в области ИБ o Деятельность (бизнес-процесс) (BS 25999) Процесс или набор процессов, которые производят или поддерживают один или несколько продуктов и услуг o Актив (ISO 13335) Что угодно, имеющее значение для организации o Угроза (ISO 13335) Потенциальная причина возникновения инцидента, который может принести вред o Уязвимость (ISO 13335) Недостаток в активе или группе активов, который может способствовать реализации угрозы o Событие ИБ (ISO 18044) Идентифицированное нахождение системы, сервиса или сети в состоянии, свидетельствующей о возможных нарушениях требований ИБ или в неизвестном состоянии, которое может быть важным с точки зрения ИБ

ISM Управление рисками ИБ 4 Термины и определения в области ИБ o Инцидент (ISO 18044) Одно или несколько неожидаемых событий ИБ, которые со значительной вероятностью угрожают бизнес-процессам o Ущерб (ISO 25999) Негативные последствия инцидента, которые влияют на достижение целей организации o Риск (ISO 73) Комбинация вероятности события (инцидента) ИБ и его последствий (ущерба) o Защитная мера (ISO 17799) Средство управления риском o Непрерывность бизнеса (ISO 25999) Стратегическая и тактическая способность организации планировать и осуществлять реагирование на инциденты в целях обеспечения предоставления сервисов на заранее определенном уровне

ISM Управление рисками ИБ 5 Методологические основы СУ(Р)ИБ o ISO/IEC 27001: o NIST SP o BS часть 1:2006 и часть 2:2007 o ISO/IEC TR 18044:2004 o ISO/IEC Guide 73:2002 o PAS 77:2006 o … и другие

ISM Управление рисками ИБ 6 Суть ИБ Угроза Уязвимость Контрмера КМУ

ISM Управление рисками ИБ 7 Почему ИБ нельзя сделать раз и навсегда ? + ? + ?

ISM Управление рисками ИБ 8

ISM Управление рисками ИБ 9 Роль СУРИБ в организации o min Риск = F(Вероятность, Ущерб) o min Затраты на обеспечение ИБ { o Эффективное управление соответствием требованиям законодательства и бизнес-требованиям в области ИБ; o Предупреждение возникновения инцидентов ИБ и снижения ущерба в случае их возникновения; o Повышение культуры ИБ в организации; o Повышение зрелости в области управления обеспечением ИБ; o Оптимизация расходования средств на обеспечение ИБ.

ISM Управление рисками ИБ 10 Структура документации по управлению рисками Политика управления рисками Процедура Управления рисками Инструкция пользователя Acuity Stream Процедура Внутреннего аудита Роли и обязанности Реестры рисков Отчеты об аудите

ISM Управление рисками ИБ 11 Традиционная оценка рисков Перечень угроз и уязвимостей Перечень активов Оценка ущербов для активов Идентифи- цированные риски Справочник контрмер Отчет об оценке и обработке рисков o Угроза o Актив o Возможные виды воздействия o Уровень ущерба o Оценка риска o Стратегия обработки риска o Применимые защитные меры o Требования к защитным мерам

ISM Управление рисками ИБ 12 План экспертной сессии 1. Вводная часть 2. Представление команды 3. Вводная лекция (ИБ) 4. Сase: Недоступность 5. Перерыв 6. Case: Утечка 7. Перерыв 8. Case: Модификация 9. Резюме

ISM Управление рисками ИБ 13 Кейс Введение в кейс o Представление типового случая o Обсуждение в малых группах o Представление результатов и голосование Общее голосование по списку систем

ISM Управление рисками ИБ 14 Специализированное ПО – Acuity Stream

ISM Управление рисками ИБ 15 Представление рисков

ISM Управление рисками ИБ 16 Оценка и обработка рисков

ISM Управление рисками ИБ 17 Профиль оценки рисков

ISM Управление рисками ИБ 18 Оценка рисков

ISM Управление рисками ИБ 19 Оперативное предоставление информации ЦОФилиал АФилиал Б

ISM Управление рисками ИБ 20 Отчеты

ISM Управление рисками ИБ 21 Оценка зрелости контрмер o на основе лучших мировых практик в области управления обеспечением ИБ o ведется параллельно с оценкой рисков o позволяет начать работы по повышению уровня ИБ по всей структуре, не дожидаясь оценки рисков o статус оперативно контролируется с использованием Stream o показывает соответствие организации мировому уровню

ISM Управление рисками ИБ 22 Реализация проекта (1/2) o формирование рабочей группы проекта со стороны Организаии и ОТ; o проведение вводного курса по управлению рисками ИБ с использованием Acuity Stream и назначение ролей в рабочей группе; o сбор исходных данных для проведения оценки рисков, в том числе с проведением собеседований с представителями ИТ- и бизнес-подразделений в пилотной зоне: o каталогизация ИТ-ориентированных активов

ISM Управление рисками ИБ 23 Реализация проекта (2/2) o развертывание тестового экземпляра специализированного ПО, и обучение специалистов Организации работе с ним; o проведение оценки и обработки рисков; o определение уровня зрелости контрмер; o выстраивание процессов принятия решений в области обеспечения ИБ совместно представителями бизнес- и ИТ- подразделений; o доработка и адаптация комплекта документации;

ISM Управление рисками ИБ 24 Вопросы и обсуждение: КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4