Презентация Алексей Бугров, заместитель генерального директора компании LETA,
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
1. МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ
Алексей Бугров – заместитель генерального директора ЗАО
«Лета»
Мария Акатьева – директор департамента продуктов и услуг /
руководитель направления
систем менеджмента ИБ и НБ ЗАО «Лета»
+7 (495) 921 1410 / www.leta.ru
2. СОДЕРЖАНИЕ
• Общая информация
• Методы автоматизация процесса
управления рисками ИБ
• Метод автоматизация оценки рисков ИБ –
разработка ЗАО «Лета»
• Услуга по управлению рисками ИБ
• Выводы
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 2
3. ЗАДАЧИ ИБ
• Защитить информацию, которая критична
для бизнеса и может быть использована в
конкурентной борьбе;
• Достичь соответствия обязательным
требованиям в части ИБ
• Управлять рисками, которые существенны
для компании
• Управлять инцидентами ИБ
• Оценить эффективность работы средств и
процессов ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 3
4. ОБЯЗАННОСТИ, ВОЗЛАГАЕМЫЕ НА
ПОДРАЗДЕЛЕНИЕ ИБ
Руководители ИБ уже не Менеджеры информационных
просто специалисты рисков
техническим решениям ИБ
возлагается роль
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 4
5. ЧТО МЫ ЗНАЕМ О РИСКЕ?
Требования Инвентаризация активов
ISO 27001 Определение ценности
SOX активов
Basel II Идентификация угроз и
уязвимостей
Письмо ЦБ РФ N 76-Т
Определение вероятностей
СТО БР ИББС-1.0-2006
Оценка ущерба
PCI DSS и т.д.
Оценка риска
Анализ рисков
Стандарты и методики
ISO 27003
CRAMM Принятие решений
Мониторинг
OCTAVE рисков
по обработке
рисков
NIST 800-30
Microsoft. The Security Risk
Management Guide Обработка рисков
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 5
6. ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ АНАЛИЗЕ
РИСКОВ
• Неправильно выбрана область, глубина
и момент времени для оценки!
• Оцениваются риски для информации, а
не риски для бизнеса!
• Мы говорим с руководством на
непонятном языке!
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 6
7. ОСНОВНЫЕ БЛОКИ АНАЛИЗА РИСКОВ ИБ
Анализ рисков
Управление Оценка риска
риском ИБ ИБ
(процедура) (методика)
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 7
8. МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ
РИСКОМ ИБ
Altiris CMDB
инвентаризация активов
Altiris SMP
портальное решение
Symantec Workflow
организация
взаимодействия
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 8
10. ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ
РИСКАМИ
Неактуал Problem_creator
ьна
Вторичные Редактирован
П
ктивы из системы ие проблемы
CMDB
Отклонена П
На Неактуал
Регистрация ен
А повторное
проблемы П
согласован Р
ие Risk_creator
Неактуал
Problem_creator М
ьна
Редактирован
ие риска
Согласование НЕТ М Внедрена
П
проблемы
Зарегистриров Приводит к
На М Внедряется
ана Problem_reviewer П новому
повторное
риску? Р
согласован
Подтверждена ДА ие М К внедрению
Регистрация Отклонен Р
М Предложена
риска А
Risk_creator
Risk_creator Первичные К обработке Регистрация и
активы из редактирован
Р
системы ие мер
CMDB Согласование контроля
Р
A Активы риска Control_creator
Зарегистрирован
Принятие
Risk_reviewer решения по
П Проблемы (уязвимости) обработке
риска
Р Риски Risk_approver
Р
М Меры обработки рисков Конец жизненного цикла объекта
Принят
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 10
11. ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ
РИСКАМИ ИБ
• Формализуют порядок выявления,
поступления на обработку и согласование
риска
• Позволяют интегрировать процесс
управления риском в каждодневную
деятельность Организации
• Четко распределить ответственность при
согласовании и принятии решений по
обработке риска
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 11
12. ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ
РИСКАМИ ИБ
• Позволяют держать на контроле исполнение
сроков и качества по обработке риска –
контроль эффективности
• Позволяют предоставлять понятную
руководству отчетность по управлению
риском
• Однако не предусматривают методику по
оценке риска …
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 12
13. ОСНОВНЫЕ МОМЕНТЫ АНАЛИЗА РИСКОВ
Анализ рисков
Управление Оценка риска
риском ИБ ИБ
(процедура) (методика)
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 13
15. МЕТОДИКА АНАЛИЗА РИСКОВ.
ИНСТРУМЕНТАРИЙ
• Соответствует требованиям ISO 27001
• При разработке решения были использованы лучшие
мировые практики в области анализа рисков ИБ ISO
27002, ISO 27005, COBIT, NIST и т.д.
• Решение было одобрено международным органом по
сертификации BSI, успешно опробовано и применено
в СУИБ ЗАО «Лета»
http://www.leta.ru/press-center/news/2011/06/16/id_635.html
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 15
16. МЕТОДИКА АНАЛИЗА РИСКОВ.
ИНСТРУМЕНТАРИЙ
Аsset Inventory Risk Assessment
Module Module
Reports
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 16
17. УПРАВЛЕНИЕ АКТИВАМИ - АSSET INVENTORY
MODULE
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 17
18. УПРАВЛЕНИЕ РИСКАМИ - RISK ASSESSMENT
MODULE
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 18
19. ОСОБЕННОСТИ РЕШЕНИЯ
• Проведение оценки ущерба по различным
критериям
• Присвоение информации категории на основании
полученных оценок
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 19
20. ОСОБЕННОСТИ РЕШЕНИЯ
• Глубоко проработанная модель нарушителя ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 20
21. ОСОБЕННОСТИ РЕШЕНИЯ
• Гибкая система справочников угроз и уязвимостей
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 21
22. ОСОБЕННОСТИ РЕШЕНИЯ
• Определение первичного актива (информации) с
привязкой к конкретным ресурсам Компании
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 22
23. ОСОБЕННОСТИ РЕШЕНИЯ
• Описание бизнес-процессов Компании
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 23
24. ОСОБЕННОСТИ РЕШЕНИЯ
• Оценка рисков в случае нарушения трех свойств
информации
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 24
25. ОСОБЕННОСТИ РЕШЕНИЯ
• Ведение базы контрмер с оценкой степени внедрения
контрмер и степени влияния на риск ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 25
26. ОСОБЕННОСТИ РЕШЕНИЯ
• Проработанный набор угроз и уязвимостей на базе
каталогов угроз и уязвимостей BSI с привязкой к классу
контрмер
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 26
27. ОСОБЕННОСТИ РЕШЕНИЯ
• Возможность оценивать риски для группы
активов
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 27
28. ОСОБЕННОСТИ РЕШЕНИЯ
• Формирование подробного описания профиля
риска
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 28
29. ОСОБЕННОСТИ РЕШЕНИЯ
• На основе полученной информации возможность
стоить до 15 различных отчетов в зависимости от
нужд Заказчика
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 29
30. ОСОБЕННОСТИ РЕШЕНИЯ
• Возможность демонстрации руководству стоимостную
оценку риска, контрмеры и остаточного риска ИБ –
обоснование бюджетирования в области ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 30
31. ОСОБЕННОСТИ РЕШЕНИЯ
• Возможность следить за состоянием риска ИБ во
времени и строить аналитику для руководства
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 31
32. ОСОБЕННОСТИ РЕШЕНИЯ
• Сильный математический аппарат методики заложен
в систему, расчет проводится автоматически
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 32
33. СОСТАВ УСЛУГИ ПО УПРАВЛЕНИЮ
РИСКАМИ ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 33
34. ГИБКАЯ СХЕМА КОММУНИКАЦИИ.
ВОЗМОЖНОСТИ ПО АУТСОРСИНГУ
Заказчик Исполнитель
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 34
35. ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ
Очень трудоемкие этапы
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 35
36. ДОКУМЕНТИРОВАННЫЕ РЕЗУЛЬТАТЫ
• Процедура управления рисками
• Методики оценки ценности
активов и оцени рисков ИБ
• Отчет по инвентаризации
активов с оценкой их ценности
и определения категории
конфиденциальности для
информации
• Отчет по результатам оценки
рисков ИБ
• План обработки рисков ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 36
37. ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ
• Выбор области проведения работ
• Обследование
• Согласование методики оценки рисков, шкал
• Инвентаризация и категорирование активов
• Проведение анализа мер по ИБ Заказчика
• Проведение анализа рисков ИБ
• Проведение оценки рисков ИБ
• Подготовка отчетной документации
• Презентация по результатам работ
• Определение порядка взаимодействия в случае переоценки
рисков по изменениям в инфраструктуре
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 37
38. ВЫВОДЫ
• Формирование бюджета в области ИБ должно
проводится на базе оценки рисков ИБ для
бизнеса!
• Управление рисками – это процесс + методика
оценки рисков ИБ. Автоматизировать можно
обе части !!
• При выборе способа по управлению рисками ИБ
нужно:
• оценить масштаб и структуру Организации
• оценить насколько возможно и удобно использовать его в
каждодневной работе
• оценить трудоемкость процесса на небольшой области
внедрения перед тем, как масштабировать на всю Организацию
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 38
39. ВЫВОДЫ
• Методика оценки рисков должна быть основана
на стандартах и международных практиках,
чтобы быть принятой руководством
Организации!
• При проведении анализа рисков следует
рассмотреть, какие его части возможно
передать на аутсорсинг для снятия с
подразделения ИБ дополнительной нагрузки!
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 39
40. КОНТАКТНАЯ ИНФОРМАЦИЯ
СПАСИБО ЗА ВНИМАНИЕ!
LETA IT-company
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
Единая служба сервисной поддержки: + 7 (495) 921-1410
www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ +7 (495) 921 1410 / www.leta.ru 40