SlideShare une entreprise Scribd logo

Методы автоматизации управления рисками

Télécharger en tant que PPTX, PDF
LETA IT-company
LETA IT-company

Презентация Алексей Бугров, заместитель генерального директора компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»

1  sur  40
МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ Алексей Бугров – заместитель генерального директора ЗАО «Лета» Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета» +7 (495) 921 1410 / www.leta.ru
СОДЕРЖАНИЕ • Общая информация • Методы автоматизация процесса управления рисками ИБ • Метод автоматизация оценки рисков ИБ – разработка ЗАО «Лета» • Услуга по управлению рисками ИБ • Выводы УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 2
ЗАДАЧИ ИБ • Защитить информацию, которая критична для бизнеса и может быть использована в конкурентной борьбе; • Достичь соответствия обязательным требованиям в части ИБ • Управлять рисками, которые существенны для компании • Управлять инцидентами ИБ • Оценить эффективность работы средств и процессов ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 3
ОБЯЗАННОСТИ, ВОЗЛАГАЕМЫЕ НА ПОДРАЗДЕЛЕНИЕ ИБ Руководители ИБ уже не Менеджеры информационных просто специалисты рисков техническим решениям ИБ возлагается роль УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 4
ЧТО МЫ ЗНАЕМ О РИСКЕ? Требования  Инвентаризация активов  ISO 27001  Определение ценности  SOX активов  Basel II  Идентификация угроз и уязвимостей  Письмо ЦБ РФ N 76-Т  Определение вероятностей  СТО БР ИББС-1.0-2006  Оценка ущерба  PCI DSS и т.д.  Оценка риска Анализ рисков Стандарты и методики  ISO 27003  CRAMM Принятие решений Мониторинг  OCTAVE рисков по обработке рисков  NIST 800-30  Microsoft. The Security Risk Management Guide Обработка рисков УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 5
ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ АНАЛИЗЕ РИСКОВ • Неправильно выбрана область, глубина и момент времени для оценки! • Оцениваются риски для информации, а не риски для бизнеса! • Мы говорим с руководством на непонятном языке! УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 6
ОСНОВНЫЕ БЛОКИ АНАЛИЗА РИСКОВ ИБ Анализ рисков Управление Оценка риска риском ИБ ИБ (процедура) (методика) УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 7
МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКОМ ИБ Altiris CMDB инвентаризация активов Altiris SMP портальное решение Symantec Workflow организация взаимодействия УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 8
ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 9
ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ Неактуал Problem_creator ьна Вторичные Редактирован П ктивы из системы ие проблемы CMDB Отклонена П На Неактуал Регистрация ен А повторное проблемы П согласован Р ие Risk_creator Неактуал Problem_creator М ьна Редактирован ие риска Согласование НЕТ М Внедрена П проблемы Зарегистриров Приводит к На М Внедряется ана Problem_reviewer П новому повторное риску? Р согласован Подтверждена ДА ие М К внедрению Регистрация Отклонен Р М Предложена риска А Risk_creator Risk_creator Первичные К обработке Регистрация и активы из редактирован Р системы ие мер CMDB Согласование контроля Р A Активы риска Control_creator Зарегистрирован Принятие Risk_reviewer решения по П Проблемы (уязвимости) обработке риска Р Риски Risk_approver Р М Меры обработки рисков Конец жизненного цикла объекта Принят УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 10
ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Формализуют порядок выявления, поступления на обработку и согласование риска • Позволяют интегрировать процесс управления риском в каждодневную деятельность Организации • Четко распределить ответственность при согласовании и принятии решений по обработке риска УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 11
ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Позволяют держать на контроле исполнение сроков и качества по обработке риска – контроль эффективности • Позволяют предоставлять понятную руководству отчетность по управлению риском • Однако не предусматривают методику по оценке риска … УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 12
ОСНОВНЫЕ МОМЕНТЫ АНАЛИЗА РИСКОВ Анализ рисков Управление Оценка риска риском ИБ ИБ (процедура) (методика) УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 13
ОЦЕНКА РИСКОВ ИБ Аsset Inventory Module Risk Assessment Module Reports УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 14
МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ • Соответствует требованиям ISO 27001 • При разработке решения были использованы лучшие мировые практики в области анализа рисков ИБ ISO 27002, ISO 27005, COBIT, NIST и т.д. • Решение было одобрено международным органом по сертификации BSI, успешно опробовано и применено в СУИБ ЗАО «Лета» http://www.leta.ru/press-center/news/2011/06/16/id_635.html УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 15
МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ Аsset Inventory Risk Assessment Module Module Reports УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 16
УПРАВЛЕНИЕ АКТИВАМИ - АSSET INVENTORY MODULE УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 17
УПРАВЛЕНИЕ РИСКАМИ - RISK ASSESSMENT MODULE УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 18
ОСОБЕННОСТИ РЕШЕНИЯ • Проведение оценки ущерба по различным критериям • Присвоение информации категории на основании полученных оценок УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 19
ОСОБЕННОСТИ РЕШЕНИЯ • Глубоко проработанная модель нарушителя ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 20
ОСОБЕННОСТИ РЕШЕНИЯ • Гибкая система справочников угроз и уязвимостей УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 21
ОСОБЕННОСТИ РЕШЕНИЯ • Определение первичного актива (информации) с привязкой к конкретным ресурсам Компании УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 22
ОСОБЕННОСТИ РЕШЕНИЯ • Описание бизнес-процессов Компании УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 23
ОСОБЕННОСТИ РЕШЕНИЯ • Оценка рисков в случае нарушения трех свойств информации УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 24
ОСОБЕННОСТИ РЕШЕНИЯ • Ведение базы контрмер с оценкой степени внедрения контрмер и степени влияния на риск ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 25
ОСОБЕННОСТИ РЕШЕНИЯ • Проработанный набор угроз и уязвимостей на базе каталогов угроз и уязвимостей BSI с привязкой к классу контрмер УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 26
ОСОБЕННОСТИ РЕШЕНИЯ • Возможность оценивать риски для группы активов УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 27
ОСОБЕННОСТИ РЕШЕНИЯ • Формирование подробного описания профиля риска УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 28
ОСОБЕННОСТИ РЕШЕНИЯ • На основе полученной информации возможность стоить до 15 различных отчетов в зависимости от нужд Заказчика УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 29
ОСОБЕННОСТИ РЕШЕНИЯ • Возможность демонстрации руководству стоимостную оценку риска, контрмеры и остаточного риска ИБ – обоснование бюджетирования в области ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 30
ОСОБЕННОСТИ РЕШЕНИЯ • Возможность следить за состоянием риска ИБ во времени и строить аналитику для руководства УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 31
ОСОБЕННОСТИ РЕШЕНИЯ • Сильный математический аппарат методики заложен в систему, расчет проводится автоматически УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 32
СОСТАВ УСЛУГИ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 33
ГИБКАЯ СХЕМА КОММУНИКАЦИИ. ВОЗМОЖНОСТИ ПО АУТСОРСИНГУ Заказчик Исполнитель УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 34
ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ Очень трудоемкие этапы УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 35
ДОКУМЕНТИРОВАННЫЕ РЕЗУЛЬТАТЫ • Процедура управления рисками • Методики оценки ценности активов и оцени рисков ИБ • Отчет по инвентаризации активов с оценкой их ценности и определения категории конфиденциальности для информации • Отчет по результатам оценки рисков ИБ • План обработки рисков ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 36
ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ • Выбор области проведения работ • Обследование • Согласование методики оценки рисков, шкал • Инвентаризация и категорирование активов • Проведение анализа мер по ИБ Заказчика • Проведение анализа рисков ИБ • Проведение оценки рисков ИБ • Подготовка отчетной документации • Презентация по результатам работ • Определение порядка взаимодействия в случае переоценки рисков по изменениям в инфраструктуре УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 37
ВЫВОДЫ • Формирование бюджета в области ИБ должно проводится на базе оценки рисков ИБ для бизнеса! • Управление рисками – это процесс + методика оценки рисков ИБ. Автоматизировать можно обе части !! • При выборе способа по управлению рисками ИБ нужно: • оценить масштаб и структуру Организации • оценить насколько возможно и удобно использовать его в каждодневной работе • оценить трудоемкость процесса на небольшой области внедрения перед тем, как масштабировать на всю Организацию УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 38
ВЫВОДЫ • Методика оценки рисков должна быть основана на стандартах и международных практиках, чтобы быть принятой руководством Организации! • При проведении анализа рисков следует рассмотреть, какие его части возможно передать на аутсорсинг для снятия с подразделения ИБ дополнительной нагрузки! УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 39
КОНТАКТНАЯ ИНФОРМАЦИЯ СПАСИБО ЗА ВНИМАНИЕ! LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 40

Recommandé

суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
IT in business
IT in businessIT in business
IT in businessSSA KPI
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Managerismsys
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Введение во Внутренний Контроль
Введение во Внутренний КонтрольВведение во Внутренний Контроль
Введение во Внутренний КонтрольMGrow
 
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...Positive Hack Days
 

Recommandé

суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
IT in business
IT in businessIT in business
IT in businessSSA KPI
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Managerismsys
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Введение во Внутренний Контроль
Введение во Внутренний КонтрольВведение во Внутренний Контроль
Введение во Внутренний КонтрольMGrow
 
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...
Техническая реализация интеграции систем класса IT-GRC и систем контроля защи...Positive Hack Days
 
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureLETA IT-company
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыLETA IT-company
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыLETA IT-company
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)LETA IT-company
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftLETA IT-company
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеLETA IT-company
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений LETA IT-company
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыLETA IT-company
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?LETA IT-company
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыLETA IT-company
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 

Contenu connexe

Plus de LETA IT-company

Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пLETA IT-company
 
Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыLETA IT-company
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureLETA IT-company
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыLETA IT-company
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыLETA IT-company
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленностиLETA IT-company
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПLETA IT-company
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)LETA IT-company
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системеLETA IT-company
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftLETA IT-company
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работаетLETA IT-company
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеLETA IT-company
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений LETA IT-company
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыLETA IT-company
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?LETA IT-company
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыLETA IT-company
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаLETA IT-company
 

Plus de LETA IT-company (20)

Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-пВебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
Вебинар. Обеспечение безопасности в соответствии с требованиям 161 фз и 382-п
 
Вебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктурыВебинар. Построение защиты виртуальной инфраструктуры
Вебинар. Построение защиты виртуальной инфраструктуры
 
SafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual InfrastructureSafeNet ProtectV Data Protection for Virtual Infrastructure
SafeNet ProtectV Data Protection for Virtual Infrastructure
 
Построение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктурыПостроение системы защиты виртуальной инфраструктуры
Построение системы защиты виртуальной инфраструктуры
 
построение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктурыпостроение системы защиты виртуальной инфраструктуры
построение системы защиты виртуальной инфраструктуры
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
 
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-ПОбеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
Обеспечение безопасности в соответствии с требованиям 161-ФЗ и 382-П
 
Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)Практика применения систем предотвращения утечки информации (DLP)
Практика применения систем предотвращения утечки информации (DLP)
 
Защита информации в национальной платежной системе
Защита информации в национальной платежной системеЗащита информации в национальной платежной системе
Защита информации в национальной платежной системе
 
Защита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации StonesoftЗащита сетей на основе продукции корпорации Stonesoft
Защита сетей на основе продукции корпорации Stonesoft
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Когда DLP действительно работает
Когда DLP действительно работаетКогда DLP действительно работает
Когда DLP действительно работает
 
AvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решениеAvanPost – комплексное инфраструктурное решение
AvanPost – комплексное инфраструктурное решение
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений Проблемы законодательства при расследовании компьютерных преступлений
Проблемы законодательства при расследовании компьютерных преступлений
 
Компьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базыКомпьютерная криминалистика. Обеспечение доказательной базы
Компьютерная криминалистика. Обеспечение доказательной базы
 
Реальная защищенность или сертификат?
Реальная защищенность или сертификат?Реальная защищенность или сертификат?
Реальная защищенность или сертификат?
 
Борьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходыБорьба с мошенничеством в ИТ сфере. Новые подходы
Борьба с мошенничеством в ИТ сфере. Новые подходы
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 

Методы автоматизации управления рисками

  • 1. МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ Алексей Бугров – заместитель генерального директора ЗАО «Лета» Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета» +7 (495) 921 1410 / www.leta.ru
  • 2. СОДЕРЖАНИЕ • Общая информация • Методы автоматизация процесса управления рисками ИБ • Метод автоматизация оценки рисков ИБ – разработка ЗАО «Лета» • Услуга по управлению рисками ИБ • Выводы УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 2
  • 3. ЗАДАЧИ ИБ • Защитить информацию, которая критична для бизнеса и может быть использована в конкурентной борьбе; • Достичь соответствия обязательным требованиям в части ИБ • Управлять рисками, которые существенны для компании • Управлять инцидентами ИБ • Оценить эффективность работы средств и процессов ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 3
  • 4. ОБЯЗАННОСТИ, ВОЗЛАГАЕМЫЕ НА ПОДРАЗДЕЛЕНИЕ ИБ Руководители ИБ уже не Менеджеры информационных просто специалисты рисков техническим решениям ИБ возлагается роль УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 4
  • 5. ЧТО МЫ ЗНАЕМ О РИСКЕ? Требования  Инвентаризация активов  ISO 27001  Определение ценности  SOX активов  Basel II  Идентификация угроз и уязвимостей  Письмо ЦБ РФ N 76-Т  Определение вероятностей  СТО БР ИББС-1.0-2006  Оценка ущерба  PCI DSS и т.д.  Оценка риска Анализ рисков Стандарты и методики  ISO 27003  CRAMM Принятие решений Мониторинг  OCTAVE рисков по обработке рисков  NIST 800-30  Microsoft. The Security Risk Management Guide Обработка рисков УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 5
  • 6. ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ АНАЛИЗЕ РИСКОВ • Неправильно выбрана область, глубина и момент времени для оценки! • Оцениваются риски для информации, а не риски для бизнеса! • Мы говорим с руководством на непонятном языке! УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 6
  • 7. ОСНОВНЫЕ БЛОКИ АНАЛИЗА РИСКОВ ИБ Анализ рисков Управление Оценка риска риском ИБ ИБ (процедура) (методика) УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 7
  • 8. МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКОМ ИБ Altiris CMDB инвентаризация активов Altiris SMP портальное решение Symantec Workflow организация взаимодействия УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 8
  • 9. ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 9
  • 10. ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ Неактуал Problem_creator ьна Вторичные Редактирован П ктивы из системы ие проблемы CMDB Отклонена П На Неактуал Регистрация ен А повторное проблемы П согласован Р ие Risk_creator Неактуал Problem_creator М ьна Редактирован ие риска Согласование НЕТ М Внедрена П проблемы Зарегистриров Приводит к На М Внедряется ана Problem_reviewer П новому повторное риску? Р согласован Подтверждена ДА ие М К внедрению Регистрация Отклонен Р М Предложена риска А Risk_creator Risk_creator Первичные К обработке Регистрация и активы из редактирован Р системы ие мер CMDB Согласование контроля Р A Активы риска Control_creator Зарегистрирован Принятие Risk_reviewer решения по П Проблемы (уязвимости) обработке риска Р Риски Risk_approver Р М Меры обработки рисков Конец жизненного цикла объекта Принят УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 10
  • 11. ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Формализуют порядок выявления, поступления на обработку и согласование риска • Позволяют интегрировать процесс управления риском в каждодневную деятельность Организации • Четко распределить ответственность при согласовании и принятии решений по обработке риска УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 11
  • 12. ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Позволяют держать на контроле исполнение сроков и качества по обработке риска – контроль эффективности • Позволяют предоставлять понятную руководству отчетность по управлению риском • Однако не предусматривают методику по оценке риска … УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 12
  • 13. ОСНОВНЫЕ МОМЕНТЫ АНАЛИЗА РИСКОВ Анализ рисков Управление Оценка риска риском ИБ ИБ (процедура) (методика) УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 13
  • 14. ОЦЕНКА РИСКОВ ИБ Аsset Inventory Module Risk Assessment Module Reports УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 14
  • 15. МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ • Соответствует требованиям ISO 27001 • При разработке решения были использованы лучшие мировые практики в области анализа рисков ИБ ISO 27002, ISO 27005, COBIT, NIST и т.д. • Решение было одобрено международным органом по сертификации BSI, успешно опробовано и применено в СУИБ ЗАО «Лета» http://www.leta.ru/press-center/news/2011/06/16/id_635.html УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 15
  • 16. МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ Аsset Inventory Risk Assessment Module Module Reports УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 16
  • 17. УПРАВЛЕНИЕ АКТИВАМИ - АSSET INVENTORY MODULE УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 17
  • 18. УПРАВЛЕНИЕ РИСКАМИ - RISK ASSESSMENT MODULE УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 18
  • 19. ОСОБЕННОСТИ РЕШЕНИЯ • Проведение оценки ущерба по различным критериям • Присвоение информации категории на основании полученных оценок УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 19
  • 20. ОСОБЕННОСТИ РЕШЕНИЯ • Глубоко проработанная модель нарушителя ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 20
  • 21. ОСОБЕННОСТИ РЕШЕНИЯ • Гибкая система справочников угроз и уязвимостей УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 21
  • 22. ОСОБЕННОСТИ РЕШЕНИЯ • Определение первичного актива (информации) с привязкой к конкретным ресурсам Компании УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 22
  • 23. ОСОБЕННОСТИ РЕШЕНИЯ • Описание бизнес-процессов Компании УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 23
  • 24. ОСОБЕННОСТИ РЕШЕНИЯ • Оценка рисков в случае нарушения трех свойств информации УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 24
  • 25. ОСОБЕННОСТИ РЕШЕНИЯ • Ведение базы контрмер с оценкой степени внедрения контрмер и степени влияния на риск ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 25
  • 26. ОСОБЕННОСТИ РЕШЕНИЯ • Проработанный набор угроз и уязвимостей на базе каталогов угроз и уязвимостей BSI с привязкой к классу контрмер УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 26
  • 27. ОСОБЕННОСТИ РЕШЕНИЯ • Возможность оценивать риски для группы активов УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 27
  • 28. ОСОБЕННОСТИ РЕШЕНИЯ • Формирование подробного описания профиля риска УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 28
  • 29. ОСОБЕННОСТИ РЕШЕНИЯ • На основе полученной информации возможность стоить до 15 различных отчетов в зависимости от нужд Заказчика УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 29
  • 30. ОСОБЕННОСТИ РЕШЕНИЯ • Возможность демонстрации руководству стоимостную оценку риска, контрмеры и остаточного риска ИБ – обоснование бюджетирования в области ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 30
  • 31. ОСОБЕННОСТИ РЕШЕНИЯ • Возможность следить за состоянием риска ИБ во времени и строить аналитику для руководства УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 31
  • 32. ОСОБЕННОСТИ РЕШЕНИЯ • Сильный математический аппарат методики заложен в систему, расчет проводится автоматически УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 32
  • 33. СОСТАВ УСЛУГИ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 33
  • 34. ГИБКАЯ СХЕМА КОММУНИКАЦИИ. ВОЗМОЖНОСТИ ПО АУТСОРСИНГУ Заказчик Исполнитель УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 34
  • 35. ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ Очень трудоемкие этапы УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 35
  • 36. ДОКУМЕНТИРОВАННЫЕ РЕЗУЛЬТАТЫ • Процедура управления рисками • Методики оценки ценности активов и оцени рисков ИБ • Отчет по инвентаризации активов с оценкой их ценности и определения категории конфиденциальности для информации • Отчет по результатам оценки рисков ИБ • План обработки рисков ИБ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 36
  • 37. ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ • Выбор области проведения работ • Обследование • Согласование методики оценки рисков, шкал • Инвентаризация и категорирование активов • Проведение анализа мер по ИБ Заказчика • Проведение анализа рисков ИБ • Проведение оценки рисков ИБ • Подготовка отчетной документации • Презентация по результатам работ • Определение порядка взаимодействия в случае переоценки рисков по изменениям в инфраструктуре УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 37
  • 38. ВЫВОДЫ • Формирование бюджета в области ИБ должно проводится на базе оценки рисков ИБ для бизнеса! • Управление рисками – это процесс + методика оценки рисков ИБ. Автоматизировать можно обе части !! • При выборе способа по управлению рисками ИБ нужно: • оценить масштаб и структуру Организации • оценить насколько возможно и удобно использовать его в каждодневной работе • оценить трудоемкость процесса на небольшой области внедрения перед тем, как масштабировать на всю Организацию УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 38
  • 39. ВЫВОДЫ • Методика оценки рисков должна быть основана на стандартах и международных практиках, чтобы быть принятой руководством Организации! • При проведении анализа рисков следует рассмотреть, какие его части возможно передать на аутсорсинг для снятия с подразделения ИБ дополнительной нагрузки! УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 39
  • 40. КОНТАКТНАЯ ИНФОРМАЦИЯ СПАСИБО ЗА ВНИМАНИЕ! LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 40