ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4. - презентация

1 ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4

2 Управление рисками ИБ 2 Цели презентации o Знакомство с предметной областью управления рисками ИБ o Представление предлагаемого подхода o Обзор используемого продукта

3 ISM Управление рисками ИБ 3 Термины и определения в области ИБ o Деятельность (бизнес-процесс) (BS 25999) Процесс или набор процессов, которые производят или поддерживают один или несколько продуктов и услуг o Актив (ISO 13335) Что угодно, имеющее значение для организации o Угроза (ISO 13335) Потенциальная причина возникновения инцидента, который может принести вред o Уязвимость (ISO 13335) Недостаток в активе или группе активов, который может способствовать реализации угрозы o Событие ИБ (ISO 18044) Идентифицированное нахождение системы, сервиса или сети в состоянии, свидетельствующей о возможных нарушениях требований ИБ или в неизвестном состоянии, которое может быть важным с точки зрения ИБ

4 ISM Управление рисками ИБ 4 Термины и определения в области ИБ o Инцидент (ISO 18044) Одно или несколько неожидаемых событий ИБ, которые со значительной вероятностью угрожают бизнес-процессам o Ущерб (ISO 25999) Негативные последствия инцидента, которые влияют на достижение целей организации o Риск (ISO 73) Комбинация вероятности события (инцидента) ИБ и его последствий (ущерба) o Защитная мера (ISO 17799) Средство управления риском o Непрерывность бизнеса (ISO 25999) Стратегическая и тактическая способность организации планировать и осуществлять реагирование на инциденты в целях обеспечения предоставления сервисов на заранее определенном уровне

5 ISM Управление рисками ИБ 5 Методологические основы СУ(Р)ИБ o ISO/IEC 27001: o NIST SP o BS часть 1:2006 и часть 2:2007 o ISO/IEC TR 18044:2004 o ISO/IEC Guide 73:2002 o PAS 77:2006 o … и другие

6 ISM Управление рисками ИБ 6 Суть ИБ Угроза Уязвимость Контрмера КМУ

7 ISM Управление рисками ИБ 7 Почему ИБ нельзя сделать раз и навсегда ? + ? + ?

8 ISM Управление рисками ИБ 8

9 ISM Управление рисками ИБ 9 Роль СУРИБ в организации o min Риск = F(Вероятность, Ущерб) o min Затраты на обеспечение ИБ { o Эффективное управление соответствием требованиям законодательства и бизнес-требованиям в области ИБ; o Предупреждение возникновения инцидентов ИБ и снижения ущерба в случае их возникновения; o Повышение культуры ИБ в организации; o Повышение зрелости в области управления обеспечением ИБ; o Оптимизация расходования средств на обеспечение ИБ.

10 ISM Управление рисками ИБ 10 Структура документации по управлению рисками Политика управления рисками Процедура Управления рисками Инструкция пользователя Acuity Stream Процедура Внутреннего аудита Роли и обязанности Реестры рисков Отчеты об аудите

11 ISM Управление рисками ИБ 11 Традиционная оценка рисков Перечень угроз и уязвимостей Перечень активов Оценка ущербов для активов Идентифи- цированные риски Справочник контрмер Отчет об оценке и обработке рисков o Угроза o Актив o Возможные виды воздействия o Уровень ущерба o Оценка риска o Стратегия обработки риска o Применимые защитные меры o Требования к защитным мерам

12 ISM Управление рисками ИБ 12 План экспертной сессии 1. Вводная часть 2. Представление команды 3. Вводная лекция (ИБ) 4. Сase: Недоступность 5. Перерыв 6. Case: Утечка 7. Перерыв 8. Case: Модификация 9. Резюме

13 ISM Управление рисками ИБ 13 Кейс Введение в кейс o Представление типового случая o Обсуждение в малых группах o Представление результатов и голосование Общее голосование по списку систем

14 ISM Управление рисками ИБ 14 Специализированное ПО – Acuity Stream

15 ISM Управление рисками ИБ 15 Представление рисков

16 ISM Управление рисками ИБ 16 Оценка и обработка рисков

17 ISM Управление рисками ИБ 17 Профиль оценки рисков

18 ISM Управление рисками ИБ 18 Оценка рисков

19 ISM Управление рисками ИБ 19 Оперативное предоставление информации ЦОФилиал АФилиал Б

20 ISM Управление рисками ИБ 20 Отчеты

21 ISM Управление рисками ИБ 21 Оценка зрелости контрмер o на основе лучших мировых практик в области управления обеспечением ИБ o ведется параллельно с оценкой рисков o позволяет начать работы по повышению уровня ИБ по всей структуре, не дожидаясь оценки рисков o статус оперативно контролируется с использованием Stream o показывает соответствие организации мировому уровню

22 ISM Управление рисками ИБ 22 Реализация проекта (1/2) o формирование рабочей группы проекта со стороны Организаии и ОТ; o проведение вводного курса по управлению рисками ИБ с использованием Acuity Stream и назначение ролей в рабочей группе; o сбор исходных данных для проведения оценки рисков, в том числе с проведением собеседований с представителями ИТ- и бизнес-подразделений в пилотной зоне: o каталогизация ИТ-ориентированных активов

23 ISM Управление рисками ИБ 23 Реализация проекта (2/2) o развертывание тестового экземпляра специализированного ПО, и обучение специалистов Организации работе с ним; o проведение оценки и обработки рисков; o определение уровня зрелости контрмер; o выстраивание процессов принятия решений в области обеспечения ИБ совместно представителями бизнес- и ИТ- подразделений; o доработка и адаптация комплекта документации;

24 ISM Управление рисками ИБ 24 Вопросы и обсуждение: КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4