Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ. - презентация

1 Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ

2 Терминология Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности. Риск = F (источник угрозы, уязвимость, угроза, последствия) Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.

3 Связь рисков и бизнес стратегии Компании Угроза Вероятность Ущерб РискиПолитика Средства контроля Тесты Бизнес стратегия ИТ стратегия Текущая архитектура Модернизированная архитектура Архитектура ИБ ИТ ресурсы информирует Информирует о рисках Выдвигает требования к архитектуре требует Базируется на ИТ ресурсах информирует Определяет конфигурацию ИТ ресурсов Определяет эффективность информируют Удовлетворение политике

4 Связь системы управления ИТ и рисков ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков. Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость. Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости. ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг. Риск – недостижение цели ИТ деятельности в ее параметрах

5 На следующих этапах управления рисками: 1. Определение областей рисков. Проблема инвентаризации ресурсов и оценка их стоимости Решение – программное обеспечение Altiris, Microsoft и т.п. + Взаимодействие с бизнес подразделениями, владельцами ресурсов 2. Определение существующих угроз и уязвимостей ИТ систем Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов. Риск Ценность ресурса УязвимостьУгроза = ХХ Проблемы проведения анализа рисков

6 Управление цепочкой технологических рисков Рабочее место Серверная ферма, хранилища данных Внутренняя сеть, LAN Глобальные сети, WAN Мобильные пользователи Бизнес процессы ИТ процессы ИТ услуги Управление инфраструктурными рисками и рисками ИБ Управление рисками качества ИТ услуг / системы управления Управление проектным и рисками ИТ услуг Управление стратегически ми рисками

7 Инструменты управления рисками Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня

8 КОНТАКТЫ: , Москва, Россия, Павловская ул. д. 7 Тел: + 7 (495) Факс: + 7 (495) КОНТАКТЫ Центральный офис , Москва, ул. Павловская, 7 Телефон: +7 (495) Факс: +7 (495) Филиал в Санкт-Петербурге , Санкт-Петербург, Васильевский остров, Большой проспект, д. 80 Телефон: +7 (812) Телефон/факс: +7 (812) Офис в Казани , Казань, ул. Достоевского, д. 18/75 Телефон/факс: +7 (843)