Методы автоматизации управления рисками
Post on 27-May-2015
1.296 Views
Preview:
DESCRIPTION
TRANSCRIPT
МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ
Алексей Бугров – заместитель генерального директора ЗАО «Лета»
Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета»
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2
СОДЕРЖАНИЕ
• Общая информация
• Методы автоматизация процесса управления рисками ИБ
• Метод автоматизация оценки рисков ИБ – разработка ЗАО «Лета»
• Услуга по управлению рисками ИБ
• Выводы
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3
ЗАДАЧИ ИБ
• Защитить информацию, которая критична для бизнеса и может быть использована в конкурентной борьбе;
• Достичь соответствия обязательным требованиям в части ИБ
• Управлять рисками, которые существенны для компании
• Управлять инцидентами ИБ
• Оценить эффективность работы средств и процессов ИБ
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4
ОБЯЗАННОСТИ, ВОЗЛАГАЕМЫЕ НА ПОДРАЗДЕЛЕНИЕ ИБ
+7 (495) 921 1410 / www.leta.ru
Руководители ИБ уже не просто специалисты техническим решениям ИБ
Менеджеры информационных рисков
возлагается роль
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5
ЧТО МЫ ЗНАЕМ О РИСКЕ?
+7 (495) 921 1410 / www.leta.ru
Требования ISO 27001
SOX
Basel II
Письмо ЦБ РФ N 76-Т
СТО БР ИББС-1.0-2006
PCI DSS и т.д.
Стандарты и методики ISO 27003
CRAMM
OCTAVE
NIST 800-30
Microsoft. The Security Risk Management Guide
Инвентаризация активов
Определение ценности активов
Идентификация угроз и уязвимостей
Определение вероятностей
Оценка ущерба
Оценка риска
Анализ рисков
Принятие решений по обработке
рисков
Обработка рисков
Мониторинг рисков
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6
ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ АНАЛИЗЕ РИСКОВ
+7 (495) 921 1410 / www.leta.ru
• Неправильно выбрана область, глубина и момент времени для оценки!
• Оцениваются риски для информации, а не риски для бизнеса!
• Мы говорим с руководством на непонятном языке!
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
7
ОСНОВНЫЕ БЛОКИ АНАЛИЗА РИСКОВ ИБ
+7 (495) 921 1410 / www.leta.ru
Анализ рисков
Управление риском ИБ
(процедура)
Оценка риска ИБ
(методика)
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
8
МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКОМ ИБ
+7 (495) 921 1410 / www.leta.ru
Altiris CMDB инвентаризация активов
Altiris SMP портальное решение
Symantec Workflow организация взаимодействия
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
9
ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
10+7 (495) 921 1410 / www.leta.ru
ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ
Регистрация риска
Согласование риска
Редактирование риска
Принятие решения по обработке
риска
Р
Р
Р
Регистрация проблемы
Согласование проблемы
Редактирование проблемы
П
П
П
Р
Регистрация и редактирован
ие мер контроля
М
Зарегистрирована
Подтверждена
Отклонена
Зарегистрирован
Отклонен
Р
На повторное согласован
ие
Принят
К обработке
М
М
М
П
На повторное согласован
ие
Problem_creator
Problem_reviewer
Risk_reviewer
Risk_creator
Risk_creator
Risk_approver
Control_creator
Problem_creator
П
Р
М
Проблемы (уязвимости)
Риски
Меры обработки рисков
А
А
Вторичныеактивы из системы
CMDB
Первичныеактивы из системы CMDB
A Активы
Р
П
М
Неактуальна
Неактуален
Конец жизненного цикла объекта
Внедрена
Внедряется
К внедрению
Предложена
Неактуальна
Risk_creator
НЕТ
Приводит к новому риску?
ДА
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
11
ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Формализуют порядок выявления,
поступления на обработку и согласование риска
• Позволяют интегрировать процесс управления риском в каждодневную деятельность Организации
• Четко распределить ответственность при согласовании и принятии решений по обработке риска
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
12
ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Позволяют держать на контроле исполнение
сроков и качества по обработке риска – контроль эффективности
• Позволяют предоставлять понятную руководству отчетность по управлению риском
• Однако не предусматривают методику по оценке риска …
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
13
ОСНОВНЫЕ МОМЕНТЫ АНАЛИЗА РИСКОВ
+7 (495) 921 1410 / www.leta.ru
Анализ рисков
Управление риском ИБ
(процедура)
Оценка риска ИБ
(методика)
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
14
ОЦЕНКА РИСКОВ ИБ
+7 (495) 921 1410 / www.leta.ru
Аsset InventoryModule
Risk Assessment Module
Reports
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
15
• Соответствует требованиям ISO 27001
• При разработке решения были использованы лучшие мировые практики в области анализа рисков ИБ ISO 27002, ISO 27005, COBIT, NIST и т.д.
• Решение было одобрено международным органом по сертификации BSI, успешно опробовано и применено в СУИБ ЗАО «Лета»
http://www.leta.ru/press-center/news/2011/06/16/id_635.html
+7 (495) 921 1410 / www.leta.ru
МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
16
МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ
+7 (495) 921 1410 / www.leta.ru
Аsset InventoryModule
Risk Assessment Module
Reports
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
17+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ АКТИВАМИ - АSSET INVENTORYMODULE
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
18+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ - RISK ASSESSMENT MODULE
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
19
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Проведение оценки ущерба по различным критериям
• Присвоение информации категории на основании полученных оценок
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
20
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Глубоко проработанная модель нарушителя ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
21
ОСОБЕННОСТИ РЕШЕНИЯ
• Гибкая система справочников угроз и уязвимостей
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
22
ОСОБЕННОСТИ РЕШЕНИЯ
• Определение первичного актива (информации) с привязкой к конкретным ресурсам Компании
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
23
ОСОБЕННОСТИ РЕШЕНИЯ
• Описание бизнес-процессов Компании
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
24
ОСОБЕННОСТИ РЕШЕНИЯ
• Оценка рисков в случае нарушения трех свойств информации
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
25
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Ведение базы контрмер с оценкой степени внедрения контрмер и степени влияния на риск ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
26
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Проработанный набор угроз и уязвимостей на базе каталогов угроз и уязвимостей BSI с привязкой к классу контрмер
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
27
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Возможность оценивать риски для группы активов
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
28
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Формирование подробного описания профиля риска
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
29
ОСОБЕННОСТИ РЕШЕНИЯ
• На основе полученной информации возможность стоить до 15 различных отчетов в зависимости от нужд Заказчика
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
30
ОСОБЕННОСТИ РЕШЕНИЯ
+7 (495) 921 1410 / www.leta.ru
• Возможность демонстрации руководству стоимостную оценку риска, контрмеры и остаточного риска ИБ – обоснование бюджетирования в области ИБ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
31
ОСОБЕННОСТИ РЕШЕНИЯ
• Возможность следить за состоянием риска ИБ во времени и строить аналитику для руководства
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
32
ОСОБЕННОСТИ РЕШЕНИЯ
• Сильный математический аппарат методики заложен в систему, расчет проводится автоматически
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
33
СОСТАВ УСЛУГИ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ
+7 (495) 921 1410 / www.leta.ru
1. Процессы управления ИБ (набор документов и средств автоматизации)
3. Гибкая схема взаимодействия по оценке рисков ИБ (схема поддержания процесса). Возможности по аутсорсингу процесса
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
34
ГИБКАЯ СХЕМА КОММУНИКАЦИИ. ВОЗМОЖНОСТИ ПО АУТСОРСИНГУ
+7 (495) 921 1410 / www.leta.ru
Заказчик Исполнитель
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
35
ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ
+7 (495) 921 1410 / www.leta.ru
Очень трудоемкие этапы
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
36
ДОКУМЕНТИРОВАННЫЕ РЕЗУЛЬТАТЫ
• Процедура управления рисками • Методики оценки ценности
активов и оцени рисков ИБ • Отчет по инвентаризации
активов с оценкой их ценности и определения категории конфиденциальности для информации
• Отчет по результатам оценки рисков ИБ
• План обработки рисков ИБ
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
37
ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ
• Выбор области проведения работ
• Обследование
• Согласование методики оценки рисков, шкал
• Инвентаризация и категорирование активов
• Проведение анализа мер по ИБ Заказчика
• Проведение анализа рисков ИБ
• Проведение оценки рисков ИБ
• Подготовка отчетной документации
• Презентация по результатам работ
• Определение порядка взаимодействия в случае переоценки рисков
по изменениям в инфраструктуре
+7 (495) 921 1410 / www.leta.ru
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
38
ВЫВОДЫ
+7 (495) 921 1410 / www.leta.ru
• Формирование бюджета в области ИБ должно проводится на базе оценки рисков ИБ для бизнеса!
• Управление рисками – это процесс + методика оценки рисков ИБ. Автоматизировать можно обе части !!
• При выборе способа по управлению рисками ИБ нужно:• оценить масштаб и структуру Организации• оценить насколько возможно и удобно использовать его в
каждодневной работе • оценить трудоемкость процесса на небольшой области
внедрения перед тем, как масштабировать на всю Организацию
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
39
• Методика оценки рисков должна быть основана на стандартах и международных практиках, чтобы быть принятой руководством Организации!
• При проведении анализа рисков следует рассмотреть, какие его части возможно передать на аутсорсинг для снятия с подразделения ИБ дополнительной нагрузки!
+7 (495) 921 1410 / www.leta.ru
ВЫВОДЫ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
40
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru
+7 (495) 921 1410 / www.leta.ru
СПАСИБО ЗА ВНИМАНИЕ!
top related