Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.

Презентация:

Advertisements

Похожие презентации

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

Advertisements

Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.

Предмет и задачи информационного менеджмента Тема 2.

Эффективный инструмент для анализа и управления рисками и политикой безопасности компании.

Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.

Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»

«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и.

Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.

Екатеринбург, 2012 «Совершенствование профессионального мастерства специалистов в области металлургии и металлообработки»

Положение об отделе В.Андреев, Д.Сатин. Штат отдела начальник отдела; бизнес-аналитик; проектировщик пользовательских интерфейсов; специалист по анализу.

Организация деятельности менеджеров проектов средствами информационных технологий.

«1С:Документооборот 8». Зачем автоматизировать документооборот? Единая информационная база документов Возможность параллельного выполнения операций Непрерывность.

Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,

Учебный курс Разработка ИТ-стратегии Лекция 2 доктор технических наук, профессор Васильев Роман Борисович.

Информационная безопасность Лекция 3 Административный уровень.

Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.

Москва 2006 Роль консультационных услуг в процессе оптимизации работы с документами в организации Антошечкина Елена начальник отдела анализа и методологии.

TopS Business Integrator Департамент Системной Интеграции Направление ИТ-Безопасности.

«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)

Сертификат соответствия ISO в области проектирования, разработки, производства, сопровождения и сервисного обслуживания автоматизированных информационных.

Транксрипт:

Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития экономики"

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

А зачем оно надо ? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO

Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных рисков компании в соответствии с нормативно - правовой базой в области защиты информации и собственной корпоративной политикой безопасности.

Тематические понятия Угроза Уязвимость ИС Риск

Для проектирования системы IT- безопасности в первую очередь необходимо : Обобщенно описать процессы деятельности Выделить риски Определить порог риска

Цель : Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Качественные методики - методики, разработанные на основе ISO ( международный стандарт в области ИБ, с 1993 г ) Представители : COBRA by Systems Security Ltd RA Software Tool. By RA Software

COBRA by Systems Security Ltd требования стандарта ISO в виде тематических вопросников (check lists), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес транзакций компании.

RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799

Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Представители : CRAMM by CCTA ГРИФ by Digital Security Office

CRAMM ((CCTA Risk Analysis and Management Method) Формализация и автоматизация процедур анализа и управления рисками ; Оптимизация расходов на средства контроля и защиты ; Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем ; Сокращение времени на разработку и сопровождение корпоративной системы защиты информации ; Обоснование эффективности предлагаемых мер защиты и средств контроля ; Управление изменениями и инцидентами ; Поддержка непрерывности бизнеса ; Оперативное принятие решений по вопросам управления безопасностью

Этапы управления рисками по CRAMM «Initiation» определяются границы исследуемой информационной системы компании «Identification and Valuation of Assets» четко идентифицируются активы и определяется их стоимость. «Threat and Vulnerability Assessment» идентифицируются и оцениваются угрозы и уязвимости «Risk Analysis» позволяет получить качественные и количественные оценки рисков. «Risk management» предлагаются меры и средства уменьшения или уклонения от риска.

Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора ; аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора ; программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике ; CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся ; возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации ; ПО CRAMM не локализовано, существует только на английском языке ; высокая стоимость лицензии - от 2000 до 5000 долл.

ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную модель защиты корпоративной информации. Модель информационных потоков Модель угроз и уязвимостей

Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы : отделы и ресурсы. 2. Пользователь проставляет связи. 3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе. 4. Пользователь доволен.

Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС. 2. Пользователь вносит угрозы и уязвимости, относящиеся к его ИС. 3. Пользователь проставляет связи. 4. Пользователь счастлив.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании

Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.

Спасибо за внимание.