Риски информационной безопасности при передаче систем на аутсорсинг

Содержание

Слайд 2

Передача организацией на основании договора определенных бизнес-процессов или производных функций на обслуживание

Передача организацией на основании договора определенных бизнес-процессов или производных функций на обслуживание
другой компании, специализирующейся в соответствующей области.

Аутсорсинг –

ИТ аутсорсинг (ITO) –

Передача части (всех) функций по поддержке и обслуживанию собственных информационных систем сторонней компании, специализирующейся в этой сфере.

Слайд 3

Модели аутсорсинга

Выбранная модель и состав передаваемых функций определяют возникающие риски информационно безопасности

Модели аутсорсинга Выбранная модель и состав передаваемых функций определяют возникающие риски информационно безопасности

Слайд 4

Какие системы передать на аутсорсинг?
Какая информация содержится в системе и какова

Какие системы передать на аутсорсинг? Какая информация содержится в системе и какова
её ценность?
Какие требования по безопасности предъявляются?
Какие ИТ функции передать, а какие оставить?
Кому? На каких условиях?
Какие риски принять, а какие обработать?

Определение контекста

Слайд 5

Новые условия окружения

Резко сужается круг доверенных лиц
Более активное использование внешних каналов связи
Неизвестная

Новые условия окружения Резко сужается круг доверенных лиц Более активное использование внешних
исходная защищенность инфраструктуры провайдера
Неизвестный круг третьих лиц, получающих доступ к инфраструктуре и системе, включая физический уровень
Отсутствие контроля над регламентами и их исполнением на стороне провайдера
Отсутствие оперативной обратной связи и информирования по инцидентам ИБ на стороне провайдера

Слайд 6

Источники (факторы) риска

Готов ли менеджмент Компании-Заказчика к обработке рисков взаимодействия?

Готова ли

Источники (факторы) риска Готов ли менеджмент Компании-Заказчика к обработке рисков взаимодействия? Готова
Компания-Аутсорсер обеспечить обработку взятых на себя рисков? Имеет ли она необходимые меры контроля, снижающие риски до приемлемого уровня?

1

2

Слайд 7

Новые риски

От выбранной модели и полноты передаваемых функций зависит итоговый перечень актуальных

Новые риски От выбранной модели и полноты передаваемых функций зависит итоговый перечень
угроз и рисков ИБ, которые следует проанализировать!

Слайд 8

Общий подход к менеджменту рисков

* Качественный, количественный или комбинированный подход

*

Общий подход к менеджменту рисков * Качественный, количественный или комбинированный подход *

Слайд 9

Применение менеджмента рисков к передаче систем на аутсорс

Выделить области изменений в системе

Применение менеджмента рисков к передаче систем на аутсорс Выделить области изменений в
в связи с передачей на аутсорс
Оценить в выделенных областях текущие риски в с учетом существующих контролей
Оценить в выделенных областях будущие риски с учетом известных контролей аутсорсера
Принять решение об управлении рисками
Оценить стоимость контракта с учетом требований к аутсорсеру по реализации контролей
Принять решение о передаче на аутсорс
Принять решение о модификации аутсорсингового контракта

Слайд 10

Основные этапы управления рисками

Идентификация активов
Оценка активов
Идентификация угроз и уязвимостей
Идентификация имеющихся контролей
Оценка рисков

Основные этапы управления рисками Идентификация активов Оценка активов Идентификация угроз и уязвимостей

Слайд 11


Факторы влияющие на уровень риска

эффективность мер контроля

Потенциал нарушителя

Степень воздействия

Ценность активов

Вероятность

Последствия

УРОВЕНЬ РИСКА

Мотивация

Возможности

Факторы влияющие на уровень риска эффективность мер контроля Потенциал нарушителя Степень воздействия

Слайд 12

Результаты работ
Перечень новых рисков, возникающих в связи с передаче систем на аутсорсинг
Для

Результаты работ Перечень новых рисков, возникающих в связи с передаче систем на
рисков выше приемлемого уровня – рекомендуемые контроли по снижению рисков
Рекомендации по составу требований к аутсорсеру по реализации контролей

Слайд 13

Ключевые моменты работ

Согласование шкал и критериев оценки активов и последствий
Увязка с существующими

Ключевые моменты работ Согласование шкал и критериев оценки активов и последствий Увязка
в организациями подходами к оценке и управлению рисками
Определение уровня приемлемого риска
Получение объективной информации о наличии контролей у аутсорсера

Слайд 14

Пример оценки

Пример оценки

Слайд 15

Пример контролей по снижению риска

Пример контролей по снижению риска

Слайд 16

Пример шкалы оценки активов по свойству конфиденциальности

Пример шкалы оценки активов по свойству конфиденциальности

Слайд 17

Возможные трудности

Нечеткая классификация информации на стороне клиента
Плохо формализованные требования на стороне клиента
Невозможность

Возможные трудности Нечеткая классификация информации на стороне клиента Плохо формализованные требования на
сформулировать стоимость информации на стороне клиента
Отсутствие сведений о контролях на стороне аутсорсера

Слайд 18

«Хороший» провайдер

Готов фиксировать в договорных обязательствах свою ответственность за нарушение режима КТ

«Хороший» провайдер Готов фиксировать в договорных обязательствах свою ответственность за нарушение режима
и инциденты ИБ
Готов идти на регулярный внешний аудит ИБ по требованиям Заказчика
Имеет сертифицированную систему управления ИБ с «правильной» областью деятельности
Готов предоставлять журналы регистраций событий ИБ по первому требованию
Готов строить интегрированную систему управления инцидентами ИБ и мониторинга состояния защищенности информации Заказчика
Имя файла: Риски-информационной-безопасности-при-передаче-систем-на-аутсорсинг.pptx
Количество просмотров: 172
Количество скачиваний: 1
- Предыдущая
Управление водными ресурсами во Франции Принцип и задачи
Следующая -
Лабораторные информационные системы как инструмент управления деятельностью клинико-диагностических лабораторий

Похожие презентации

Авто - путешественники
Рентгеновская кристаллография белков
Сөз таптары
МОНИТОРИНГ ВОСПИТАТЕЛЬНОЙ ДЕЯТЕЛЬНОСТИ
Ответственность физических и юридических лиц в международном праве
Развивающая эстетика – новый предмет в школьном образовании
Жизнь и творчество Л.Н. Толстого ( 1828-1910)
Презентация на тему Рождество Пресвятой Богородицы
Урок здоровья
Презентация _Межличностные отношения_ с заданиями практикума, обществознание, 6 класс (2)
Курсовая работа Сказкотерапия как одно из средств формирования межличностных отношений в детском коллективе
Разделительные знаки Ъ и Ь
Презентация на тему Особенности средневековой моды
Рынок труда в фармацевтике. Реалии посткризисного периода
СА-ФИ-ДАНСЕ
Технология разработки профессиональных стандартов
Моя семья. Фотоальбом
Кишечная непроходимость
Дистанционная торговля
Этиловый спирт и его влияние на здоровье человека
Готовимся к экзаменам. Выявление способностей
Правила поведения для детей
Рекламные возможности сети «ВИКТОРИЯ» г. Москва На I-II кварталы 2011
Покорители Вершин
Дождь
Позициониране на Схемата за екомаркировка в държавната политика за устойчив туризъм ДЪРЖАВНА АГЕНЦИЯ ПО ТУРИЗЪМ  Десислава Михалкова – Станимирова Гл. експерт в дирекция “Туристическа политика”  20 октомври, 2008 г, гр. София
Specialaus apgyvendinimo paslaugos
Группа истерических психопатов
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть