Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ

Терминология Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности. Риск = F (источник угрозы, уязвимость, угроза, последствия) Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.

Связь рисков и бизнес стратегии Компании Угроза Вероятность Ущерб РискиПолитика Средства контроля Тесты Бизнес стратегия ИТ стратегия Текущая архитектура Модернизированная архитектура Архитектура ИБ ИТ ресурсы информирует Информирует о рисках Выдвигает требования к архитектуре требует Базируется на ИТ ресурсах информирует Определяет конфигурацию ИТ ресурсов Определяет эффективность информируют Удовлетворение политике

Связь системы управления ИТ и рисков ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков. Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость. Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости. ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг. Риск – недостижение цели ИТ деятельности в ее параметрах

На следующих этапах управления рисками: 1. Определение областей рисков. Проблема инвентаризации ресурсов и оценка их стоимости Решение – программное обеспечение Altiris, Microsoft и т.п. + Взаимодействие с бизнес подразделениями, владельцами ресурсов 2. Определение существующих угроз и уязвимостей ИТ систем Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов. Риск Ценность ресурса УязвимостьУгроза = ХХ Проблемы проведения анализа рисков

Управление цепочкой технологических рисков Рабочее место Серверная ферма, хранилища данных Внутренняя сеть, LAN Глобальные сети, WAN Мобильные пользователи Бизнес процессы ИТ процессы ИТ услуги Управление инфраструктурными рисками и рисками ИБ Управление рисками качества ИТ услуг / системы управления Управление проектным и рисками ИТ услуг Управление стратегически ми рисками

Инструменты управления рисками Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня

КОНТАКТЫ: , Москва, Россия, Павловская ул. д. 7 Тел: + 7 (495) Факс: + 7 (495) КОНТАКТЫ Центральный офис , Москва, ул. Павловская, 7 Телефон: +7 (495) Факс: +7 (495) Филиал в Санкт-Петербурге , Санкт-Петербург, Васильевский остров, Большой проспект, д. 80 Телефон: +7 (812) Телефон/факс: +7 (812) Офис в Казани , Казань, ул. Достоевского, д. 18/75 Телефон/факс: +7 (843)