Содержание
- 2. П Р О Б Л Е М А Извечный вопрос: сколько тратить на безопасность? Теория ИБ
- 3. НОРМАТИВНАЯ БАЗА УПРАВЛЕНИЯ РИСКАМИ I. Потребность в национальном стандарте II. Содержание британского стандарта Оценка риска Обработка
- 4. I. ПОТРЕБНОСТЬ В СТАНДАРТЕ 1. Апробация организационных стандартов по ИБ (ГОСТ 17799, ГОСТ 27001, СТО БР
- 5. Организационные стандарты по ИБ в РФ
- 6. Три источника, три составных части: историческая справка BS 7799-1: 2005. Information security management. Code of practice
- 7. Взаимосвязь организационных стандартов
- 8. Потребность в национальном стандарте Требования ГОСТ 27001 к СУИБ Требования к документации при аудите и сертификации
- 9. СУИБ - часть общей системы управления, основанной на оценке бизнес рисков, которая предназначена для создания, внедрения,
- 10. Нормативные требования к СУИБ в соответствии с ГОСТ 27001 (продолжение)
- 11. Гармонизация российских стандартов Требования ГОСТ 27001:2005 к СУИБ в части управления рисками BS 7799-3:2006: принципы и
- 12. Международные стандарты 27000-серии
- 13. Международные стандарты 27000-серии
- 14. II. СОДЕРЖАНИЕ BS 7799-3 0-4. Вводная часть 5. Оценка рисков 6. Обработка риска и принятие решения
- 15. Термины и определения Риск - комбинация вероятности события и его последствий Управление риском (Risk Management) -
- 16. Процессный подход (ISO 27001) Процессная 4-х фазная модель менеджмента систем (Plan-Do-Check-Act) применительно к СУИБ
- 17. Фазы управления рисками 1) Оценка рисков, включающая анализ и оценивание рисков 2) Обработка риска – выбор
- 18. Процессный подход (BS 7799-3) Процессная модель применительно к управлению рисками
- 19. Методики оценки и анализа рисков Не содержит требований к использованию конкретных методик! Общие требования к методике:
- 20. 2.1. ОЦЕНКА РИСКА • Инвентаризация и категорирование ресурсов • Идентификация требований (нормативных, договорных, технических) к ресурсам
- 21. Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по
- 22. Пример метода оценки рисков (приложение С.5). Шкала оценивания Шкала оценивания уровня стоимости ресурсов: { «незначительный», «низкий»,
- 23. Примеры методов оценки рисков (приложение С.5). Таблица расчета уровня риска Таблица, использующая стоимость ресурсов и величины
- 24. Примеры методов оценки рисков (приложение С.5). Ранжирование инцидентов по величине риска Таблица категорирования инцидентов по величине
- 25. План управления рисками 1. Ограничения и зависимости между механизмами контроля 2. Приоритеты 3. Сроки и ключевые
- 26. 2.2. ОБРАБОТКА РИСКА 1. Уменьшение риска 2. Осознанное и обоснованное принятие риска 3. Передача риска 4.
- 27. 2.3. НЕПРЕРЫВНЫЕ ДЕЙСТВИЯ ПО УПРАВЛЕНИЮ РИСКАМИ Сопровождение и мониторинг Анализ со стороны руководства Пересмотр и переоценка
- 28. Сопровождение и мониторинг: примеры Анализ файлов системных журналов Модификация параметров, связанных с произошедшими в системе изменениями
- 29. Пересмотр и переоценка риска Результаты первоначальной оценки рисков должны регулярно пересматриваться Результаты повторного анализа рисков, проводимого
- 30. Факторы возникновения изменений Изменения в бизнес-модели организации Появление новых данных относительно корректности и эффективности используемых сервисов
- 31. 2.4. ПРИНЦИП ОСВЕДОМЛЕННОСТИ Информирование на каждом этапе Документирование событий Обязанности персонала
- 32. Требования к документам план обеспечения непрерывности бизнеса описание методологии оценки рисков отчет об оценке рисков план
- 33. Требования и обязанности персонала эксперты по оценке рисков менеджеры безопасности менеджеры рисков безопасности владельцы ресурсов руководство
- 34. III. СООТНОШЕНИЕ С МЕЖДУНАРОДНЫМИ СТАНДАРТАМИ 1. Гармонизация BS 7799-3 с ISO 27001:2005 (ГОСТ 27001) и ISO
- 35. Гармонизация российских стандартов Требования ГОСТ 27001:2005 к СУИБ в части управления рисками BS 7799-3:2006: принципы и
- 36. Рекомендации NIST SP 800-30:2002
- 37. Подход к анализу рисков ISO 13335-3
- 38. Проект ISO 27005 Сходство с BS 7799-3 Процессная 4-фазная модель риск-менеджмента Доминирует логико-вероятностный подход к анализу
- 39. Порядок управления рисками по ISO 27005
- 40. ВЫВОДЫ (1) BS 7799-3 и ISO 27005 отражают один и тот же сложившийся в международной практике
- 41. ВЫВОДЫ (2) II. Стандарты носят откровенно концептуальный характер, что позволяет экспертам по ИБ реализовать любые средства
- 42. ВЫВОДЫ (3) III. Потребность в национальном стандарте по управлению рисками определяется не только популяризацией экономически оправданных
- 43. ВЫВОДЫ (4,5) IV. Можно предположить, развитие нормативной базы в стране пойдет по пути принятия ГОСТ, аутентичного
- 44. ВЫВОДЫ (6) Реальные стимулы в развитии данного нормативного направления, как и всех организационных стандартов ИБ: -
- 46. Скачать презентацию