Презентация вебинара ism revision:risk manager

ISM REVISIONновый подход к управлению ИБ

О КОМПАНИИ

Компания ISM SYSTEMS была основана в 2011 г. с целью создания программных решений, позволяющих обеспечить качественно иной уровень управления информационной безопасностью

Наша миссия: Мы создаем инновационные решения, позволяющие нашим клиентам эффективно решать вопросы управления информационной безопасностью

ISO 27001

PCI DSSСТО БР ИББС

152-ФЗ

Закон об НПС

Управление инцидентами ИБ

Обеспечение непрерывности бизнеса

Проведение аудитов ИБ

Организация СОИБ (менеджмент ИБ)

Управление информационными

активами и рисками ИБ

Обеспечению ИБ при управлении персоналом

СМИБ

ЦЕЛЬ ISM REVISION –

АВТОМАТИЗАЦИЯ ПРОЦЕССОВ МЕНЕДЖМЕНТА ИБ

КОМПОНЕНТЫ ISM REVISION

Audit Manager

Risk Manager

Task Managerв разработке

PS Auditorв разработке

УПРАВЛЕНИЕ РИСКАМИ ИБ

с помощьюISM REVISION: RISK MANAGER

CounterMeasures

AS NZS 4360 - 2004 COBRA

NIST SP800-30 vsRisk

CRAMMFAIR

EBIOS

BSI-Standard 100-3: Risk Analysis based on IT-Grundschutz

Modulo

OCTAVE

PTA

SOMAPOSSTMM

ISO 27005

ГРИФ

RM Studio

Harmonized TRA Methodology

ISF IRAM

РС БР ИББС-2.2

ISO 27005


Процедура 1. Определение области оценки рисков и перечня типов информационных активов

Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов

Процедура 3. Определение источников угроз для каждого из типов объектов среды

Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды

Процедура 5. Определение СТП нарушения ИБ для типов информационных активов

Процедура 6. Оценка рисков нарушения ИБ

Шаг 1. Определение основных параметров проведения оценки рисков

ISO 27005



4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки.

4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов.

5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:— степень влияния на непрерывность деятельности организации БС РФ;— степень влияния на деловую репутацию ….

5.6.1 Основными факторами для оценки СВР угроз ИБ являются:…— предположения о квалификации и (или) ресурсах источника угрозы;— статистические данные о частоте реализации угрозы ее источником в прошлом…


Шаг 2. Определение и оценка информационных активов

ISO 27005



5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:

— перечень типов информационных активов организации БС РФ в целом;— перечень типов информационных активов подразделения организации БС РФ;— перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.

5.3.1. Для каждого из типов информационных активов определяется перечень свойствИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.

5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и их свойства ИБ документально фиксируются


Шаг 3. Определение состава объектов среды / информационных систем

Шаг 3. Определение объектов среды / информационных систем

ISO 27005

5.4. Процедура 2. Для каждого из выделенных в рамках выполнения процедуры 1 типовинформационных активов составляется перечень типов объектов среды.

При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации БС РФ.

Перечень типов объектов среды документально фиксируется, для чего рекомендуетсяиспользовать примерную форму, приведенную в приложении 3.



3.8. Объект среды информационного актива: материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

ИНФОРМАЦИЯ





Группа объектов среды


ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ

Облегчает проведение оценки рисков для комплексных систем

Позволяет проводить оценку рисков любого уровня детализации

Позволяет проводить оценку ИТ-рисков для прикладных систем

ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ

Примеры групп:

• Группа ноутбуков топ-менеджеров

• Сервера, рабочие станции и локальные сети удаленного филиала

• Автоматизированная банковская система (группа серверов, каналов связи, рабочих мест, носителей информации)

Шаг 4. Определение угроз информационной безопасности

ИСТОЧНИКИСТОЧНИК


УГРОЗА

СПОСОБ РЕАЛИЗАЦИИ



ИСТОЧНИК

ИСТОЧНИКИСТОЧНИКПРЕДПОСЫЛКИ*

ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫ

* уязвимости в терминологии ISO 27005

ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет

ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств


УГРОЗА: Хищение информации внешним нарушителем за счет внедрения вредоносного программного обеспечения

СПОСОБ РЕАЛИЗАЦИИ: Распространение вредоносного кода через средства электронной почты

ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств

ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и не известных) или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет


ISO 27005



5.5. Процедура 3. Для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды составляется перечень источников угроз, воздействие которых может привести к потере свойств ИБ соответствующих типов информационных активов.

Перечень источников угроз формируется на основе модели угроз организации БС РФ.

При этом возможно расширение первоначального перечня источников угроз, зафиксированных в модели угроз организации БС РФ (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или от дельных объектов среды).

При формировании перечня источников угроз рекомендуется рассматривать возможныеспособы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов информационных активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией БС РФ.

Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ


ISO 27005



5.6. Процедура 4. Для выполнения оценки СВР угроз ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.

5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результатывыполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.


ОЦЕНКА УЩЕРБА


К

Ц

Д

Ценность

Ценность

ЦенностьИНФОРМАЦИЯ


Группа объектов среды

К

Ц

Д

Ценность

Ценность

Ценность

Определяет ущерб от реализации угроз

ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫЗАЩИТНЫЕ МЕРЫ


ОЦЕНКА ВЕРОЯТНОСТИ

ИСТОЧНИК ЗАЩИТНЫЕ МЕРЫ

ВЕРОЯТНОСТЬ = ВОЗМОЖНОСТИ ИСТОЧНИКА * (1 - ЭФФЕКТИВНОСТЬ ЗАЩ.МЕР)

Шаг 6. Определение уровней рисков информационной безопасности


ISO 27005



5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.

Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.

Шаг 7. Составление плана обработки рисков


ISO 27005


СТО БР ИББС-1.0

8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки: — перенос риска на сторонние организации (например, путем страхования указанного риска);— уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);— осознанное принятие риска;— формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирования планов по их реализации.

8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.

ОСНОВНЫЕ ПРЕИМУЩЕСТВА

ISM REVISION: RISK MANAGER

Готовая база необходимой аналитики

Более 80 предпосылок

Более 70 возможных угроз ИБ

Более 100 защитных мер

Готовые перечни информационные активов, типов объектов среды

База может быть расширена пользователем

Простота работы и автоматизация оценки

Автоматический расчет показателей рисков

Два режима работы (мастер и экспертный)

Импорт/экспорт результатов

Копирование оценок

Возможность создания необходимой отчетности

Перечень информационных активов

Перечень объектов среды

Протокол утверждения критериев оценивания рисков

Сводный реестр рисков

Детализированный реестр рисков ИБ

План обработки рисков ИБ

Возможность создания необходимой отчетности

ЗАПРОС ДЕМО-ВЕРСИИ:

[email protected]

Презентация вебинара ism revision:risk manager

Technology

ism systems

risk analysis

backdoor backdoor

tra methodology

cobranist sp800

pci dss