Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития. - презентация

1 Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития экономики"

2 IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

3 А зачем оно надо ? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO

4 Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных рисков компании в соответствии с нормативно - правовой базой в области защиты информации и собственной корпоративной политикой безопасности.

5 Тематические понятия Угроза Уязвимость ИС Риск

6 Для проектирования системы IT- безопасности в первую очередь необходимо : Обобщенно описать процессы деятельности Выделить риски Определить порог риска

7 Цель : Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

8

9 Качественные методики - методики, разработанные на основе ISO ( международный стандарт в области ИБ, с 1993 г ) Представители : COBRA by Systems Security Ltd RA Software Tool. By RA Software

10 COBRA by Systems Security Ltd требования стандарта ISO в виде тематических вопросников (check lists), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес ­ транзакций компании.

11

12 RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799

13

14 Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Представители : CRAMM by CCTA ГРИФ by Digital Security Office

15 CRAMM ((CCTA Risk Analysis and Management Method) Формализация и автоматизация процедур анализа и управления рисками ; Оптимизация расходов на средства контроля и защиты ; Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем ; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации ; Обоснование эффективности предлагаемых мер защиты и средств контроля ; Управление изменениями и инцидентами ; Поддержка непрерывности бизнеса ; Оперативное принятие решений по вопросам управления безопасностью

16 Этапы управления рисками по CRAMM «Initiation» определяются границы исследуемой информационной системы компании «Identification and Valuation of Assets» четко идентифицируются активы и определяется их стоимость. «Threat and Vulnerability Assessment» идентифицируются и оцениваются угрозы и уязвимости «Risk Analysis» позволяет получить качественные и количественные оценки рисков. «Risk management» предлагаются меры и средства уменьшения или уклонения от риска.

17 Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора ; аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора ; программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике ; CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся ; возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации ; ПО CRAMM не локализовано, существует только на английском языке ; высокая стоимость лицензии - от 2000 до 5000 долл.

18 ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную модель защиты корпоративной информации. Модель информационных потоков Модель угроз и уязвимостей

19 Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы : отделы и ресурсы. 2. Пользователь проставляет связи. 3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе. 4. Пользователь доволен.

20 Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС. 2. Пользователь вносит угрозы и уязвимости, относящиеся к его ИС. 3. Пользователь проставляет связи. 4. Пользователь счастлив.

21 В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании

22 Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.

23 Спасибо за внимание.