Презентация вебинара ism revision:risk manager
TRANSCRIPT
ISM REVISIONновый подход к управлению ИБ
О КОМПАНИИ
Компания ISM SYSTEMS была основана в 2011 г. с целью создания программных решений, позволяющих обеспечить качественно иной уровень управления информационной безопасностью
Наша миссия: Мы создаем инновационные решения, позволяющие нашим клиентам эффективно решать вопросы управления информационной безопасностью
ISO 27001
PCI DSSСТО БР ИББС
152-ФЗ
Закон об НПС
Управление инцидентами ИБ
Обеспечение непрерывности бизнеса
Проведение аудитов ИБ
Организация СОИБ (менеджмент ИБ)
Управление информационными
активами и рисками ИБ
Обеспечению ИБ при управлении персоналом
СМИБ
ЦЕЛЬ ISM REVISION –
АВТОМАТИЗАЦИЯ ПРОЦЕССОВ МЕНЕДЖМЕНТА ИБ
КОМПОНЕНТЫ ISM REVISION
Audit Manager
Risk Manager
Task Managerв разработке
PS Auditorв разработке
УПРАВЛЕНИЕ РИСКАМИ ИБ
с помощьюISM REVISION: RISK MANAGER
CounterMeasures
AS NZS 4360 - 2004 COBRA
NIST SP800-30 vsRisk
CRAMMFAIR
EBIOS
BSI-Standard 100-3: Risk Analysis based on IT-Grundschutz
Modulo
OCTAVE
PTA
SOMAPOSSTMM
ISO 27005
ГРИФ
RM Studio
Harmonized TRA Methodology
ISF IRAM
РС БР ИББС-2.2
ISO 27005
РС БР ИББС-2.2
Процедура 1. Определение области оценки рисков и перечня типов информационных активов
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов
Процедура 3. Определение источников угроз для каждого из типов объектов среды
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов
Процедура 6. Оценка рисков нарушения ИБ
Шаг 1. Определение основных параметров проведения оценки рисков
ISO 27005
Шаг 1. Определение основных параметров проведения оценки рисков
РС БР ИББС-2.2
4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки.
4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов.
5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:— степень влияния на непрерывность деятельности организации БС РФ;— степень влияния на деловую репутацию ….
5.6.1 Основными факторами для оценки СВР угроз ИБ являются:…— предположения о квалификации и (или) ресурсах источника угрозы;— статистические данные о частоте реализации угрозы ее источником в прошлом…
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 1. Определение основных параметров проведения оценки рисков
Шаг 2. Определение и оценка информационных активов
ISO 27005
Шаг 2. Определение и оценка информационных активов
РС БР ИББС-2.2
5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:
— перечень типов информационных активов организации БС РФ в целом;— перечень типов информационных активов подразделения организации БС РФ;— перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойствИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.
5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и их свойства ИБ документально фиксируются
Шаг 2. Определение и оценка информационных активов
Шаг 2. Определение и оценка информационных активов
Шаг 2. Определение и оценка информационных активов
Шаг 2. Определение и оценка информационных активов
Шаг 2. Определение и оценка информационных активов
Шаг 3. Определение состава объектов среды / информационных систем
Шаг 3. Определение объектов среды / информационных систем
ISO 27005
5.4. Процедура 2. Для каждого из выделенных в рамках выполнения процедуры 1 типовинформационных активов составляется перечень типов объектов среды.
При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации БС РФ.
Перечень типов объектов среды документально фиксируется, для чего рекомендуетсяиспользовать примерную форму, приведенную в приложении 3.
РС БР ИББС-2.2
Шаг 3. Определение объектов среды / информационных систем
3.8. Объект среды информационного актива: материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
ИНФОРМАЦИЯ
Шаг 3. Определение объектов среды / информационных систем
ИНФОРМАЦИЯ
ИНФОРМАЦИЯ
ИНФОРМАЦИЯ
Группа объектов среды
Шаг 3. Определение объектов среды / информационных систем
ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ
Облегчает проведение оценки рисков для комплексных систем
Позволяет проводить оценку рисков любого уровня детализации
Позволяет проводить оценку ИТ-рисков для прикладных систем
ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ
Примеры групп:
• Группа ноутбуков топ-менеджеров
• Сервера, рабочие станции и локальные сети удаленного филиала
• Автоматизированная банковская система (группа серверов, каналов связи, рабочих мест, носителей информации)
Шаг 3. Определение объектов среды / информационных систем
Шаг 3. Определение объектов среды / информационных систем
Шаг 3. Определение объектов среды / информационных систем
Шаг 4. Определение угроз информационной безопасности
ИСТОЧНИКИСТОЧНИК
Шаг 4. Определение угроз информационной безопасности
УГРОЗА
СПОСОБ РЕАЛИЗАЦИИ
СПОСОБ РЕАЛИЗАЦИИ
СПОСОБ РЕАЛИЗАЦИИ
ИСТОЧНИК
ИСТОЧНИКИСТОЧНИКПРЕДПОСЫЛКИ*
ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫ
* уязвимости в терминологии ISO 27005
ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет
ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств
Шаг 4. Определение угроз информационной безопасности
УГРОЗА: Хищение информации внешним нарушителем за счет внедрения вредоносного программного обеспечения
СПОСОБ РЕАЛИЗАЦИИ: Распространение вредоносного кода через средства электронной почты
ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств
ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и не известных) или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет
Шаг 4. Определение угроз информационной безопасности
ISO 27005
Шаг 4. Определение угроз информационной безопасности
ISO 27005
РС БР ИББС-2.2
Шаг 4. Определение угроз информационной безопасности
5.5. Процедура 3. Для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды составляется перечень источников угроз, воздействие которых может привести к потере свойств ИБ соответствующих типов информационных активов.
Перечень источников угроз формируется на основе модели угроз организации БС РФ.
При этом возможно расширение первоначального перечня источников угроз, зафиксированных в модели угроз организации БС РФ (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или от дельных объектов среды).
При формировании перечня источников угроз рекомендуется рассматривать возможныеспособы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов информационных активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией БС РФ.
Шаг 4. Определение угроз информационной безопасности
Шаг 4. Определение угроз информационной безопасности
Шаг 4. Определение угроз информационной безопасности
Шаг 4. Определение угроз информационной безопасности
Шаг 4. Определение угроз информационной безопасности
Шаг 4. Определение угроз информационной безопасности
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ISO 27005
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
РС БР ИББС-2.2
5.6. Процедура 4. Для выполнения оценки СВР угроз ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результатывыполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ОЦЕНКА УЩЕРБА
ИНФОРМАЦИЯ
К
Ц
Д
Ценность
Ценность
ЦенностьИНФОРМАЦИЯ
ИНФОРМАЦИЯ
Группа объектов среды
К
Ц
Д
Ценность
Ценность
Ценность
Определяет ущерб от реализации угроз
ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫЗАЩИТНЫЕ МЕРЫ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ОЦЕНКА ВЕРОЯТНОСТИ
ИСТОЧНИК ЗАЩИТНЫЕ МЕРЫ
ВЕРОЯТНОСТЬ = ВОЗМОЖНОСТИ ИСТОЧНИКА * (1 - ЭФФЕКТИВНОСТЬ ЗАЩ.МЕР)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
Шаг 6. Определение уровней рисков информационной безопасности
Шаг 6. Определение уровней рисков информационной безопасности
ISO 27005
Шаг 6. Определение уровней рисков информационной безопасности
РС БР ИББС-2.2
5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.
Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.
Шаг 6. Определение уровней рисков информационной безопасности
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
ISO 27005
Шаг 7. Составление плана обработки рисков
СТО БР ИББС-1.0
8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки: — перенос риска на сторонние организации (например, путем страхования указанного риска);— уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);— осознанное принятие риска;— формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирования планов по их реализации.
8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
Шаг 7. Составление плана обработки рисков
ОСНОВНЫЕ ПРЕИМУЩЕСТВА
ISM REVISION: RISK MANAGER
Готовая база необходимой аналитики
Более 80 предпосылок
Более 70 возможных угроз ИБ
Более 100 защитных мер
Готовые перечни информационные активов, типов объектов среды
База может быть расширена пользователем
Простота работы и автоматизация оценки
Автоматический расчет показателей рисков
Два режима работы (мастер и экспертный)
Импорт/экспорт результатов
Копирование оценок
Возможность создания необходимой отчетности
Перечень информационных активов
Перечень объектов среды
Протокол утверждения критериев оценивания рисков
Сводный реестр рисков
Детализированный реестр рисков ИБ
План обработки рисков ИБ
Возможность создания необходимой отчетности
Возможность создания необходимой отчетности
ЗАПРОС ДЕМО-ВЕРСИИ: