'

Управление рисками в IT безопасности

Понравилась презентация – покажи это...





Слайд 0

Подготовил: Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития экономики"


Слайд 1

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.


Слайд 2

А зачем оно надо? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO


Слайд 3

Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных рисков компании в соответствии с нормативно-правовой базой в области защиты информации и собственной корпоративной политикой безопасности.


Слайд 4

Тематические понятия Угроза Уязвимость ИС Риск


Слайд 5

Для проектирования системы IT-безопасности в первую очередь необходимо: Обобщенно описать процессы деятельности Выделить риски Определить порог риска


Слайд 6

Цель: Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время


Слайд 7


Слайд 8

Качественные методики - методики, разработанные на основе ISO 17799 (международный стандарт в области ИБ, с 1993г) Представители: COBRA by Systems Security Ltd RA Software Tool. By RA Software


Слайд 9

COBRA by Systems Security Ltd требования стандарта ISO 17799 в виде тематических вопросников (check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании.


Слайд 10


Слайд 11

RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799


Слайд 12


Слайд 13

Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих задач сводится к поиску единственного оптимального решения, из множества существующих. Представители: CRAMM by CCTA ГРИФ by Digital Security Office


Слайд 14

CRAMM ((CCTA Risk Analysis and Management Method) • Формализация и автоматизация процедур анализа и управления рисками; • Оптимизация расходов на средства контроля и защиты; • Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем; • Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; • Обоснование эффективности предлагаемых мер защиты и средств контроля; • Управление изменениями и инцидентами; • Поддержка непрерывности бизнеса; • Оперативное принятие решений по вопросам управления безопасностью


Слайд 15

Этапы управления рисками по CRAMM «Initiation» — определяются границы исследуемой информационной системы компании «Identification and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость. «Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости «Risk Analysis» — позволяет получить качественные и количественные оценки рисков. «Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.


Слайд 16

Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора; аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора; программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся; возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации; ПО CRAMM не локализовано, существует только на английском языке; высокая стоимость лицензии - от 2000 до 5000 долл.


Слайд 17

ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную модель защиты корпоративной информации. Модель информационных потоков Модель угроз и уязвимостей


Слайд 18

Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы: отделы и ресурсы. 2. Пользователь проставляет связи. 3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе. 4. Пользователь доволен.


Слайд 19

Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС. 2. Пользователь вносит угрозы и уязвимости, относящиеся к его ИС. 3. Пользователь проставляет связи. 4. Пользователь счастлив.


Слайд 20

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании


Слайд 21

Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.


Слайд 22

Спасибо за внимание.


×

HTML:





Ссылка: