Управление рисками в IT безопасности

Содержание

Слайд 2

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
и развитие.

Слайд 3

А зачем оно надо?

Кража интеллектуальной собственности
Информационные атаки
Месть сотрудников
Соответствие
стандартам ISO

А зачем оно надо? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO

Слайд 4

Управление информационными рисками - это

системный процесс идентификации, контроля и уменьшения информационных

Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных
рисков компании в соответствии с нормативно-правовой базой в области защиты информации и собственной корпоративной политикой безопасности.

Слайд 5

Тематические понятия

Угроза
Уязвимость ИС
Риск

Тематические понятия Угроза Уязвимость ИС Риск

Слайд 6

Для проектирования системы IT-безопасности в первую очередь необходимо:

Обобщенно описать процессы деятельности
Выделить риски
Определить

Для проектирования системы IT-безопасности в первую очередь необходимо: Обобщенно описать процессы деятельности
порог риска

Слайд 7

Цель:

Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Цель: Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Слайд 9

Качественные методики

- методики, разработанные на основе ISO 17799 (международный стандарт в области

Качественные методики - методики, разработанные на основе ISO 17799 (международный стандарт в
ИБ, с 1993г)
Представители:
COBRA by Systems Security Ltd
RA Software Tool. By RA Software

Слайд 10

COBRA by Systems Security Ltd

требования стандарта ISO 17799 в виде тематических вопросников

COBRA by Systems Security Ltd требования стандарта ISO 17799 в виде тематических
(check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании.

Слайд 12

RA Software Tool

Эта методика позволяет выполнять оценку информационных рисков в соответствии с

RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799
требованиями ISO 17799

Слайд 14

Количественные методики

Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих

Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть
задач сводится к поиску единственного оптимального решения, из множества существующих.
Представители:
CRAMM by CCTA
ГРИФ by Digital Security Office

Слайд 15

CRAMM ((CCTA Risk Analysis and Management Method)

• Формализация и автоматизация процедур анализа

CRAMM ((CCTA Risk Analysis and Management Method) • Формализация и автоматизация процедур
и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инцидентами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью

Слайд 16

Этапы управления рисками по CRAMM

«Initiation» — определяются границы исследуемой информационной системы компании

«Identification

Этапы управления рисками по CRAMM «Initiation» — определяются границы исследуемой информационной системы
and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость.

«Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости

«Risk Analysis» — позволяет получить качественные и количественные оценки рисков.

«Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.

Слайд 17

Недостатки CRAMM

метод требует специальной подготовки и высокой квалификации аудитора;
аудит по методу

Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора; аудит по
CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
ПО CRAMM не локализовано, существует только на английском языке;
высокая стоимость лицензии - от 2000 до 5000 долл.

Слайд 18

ГРИФ 2005

Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную

ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать
модель защиты корпоративной информации.

Модель информационных
потоков

Модель угроз и уязвимостей

Слайд 19

Модель информационных потоков

1. Пользователь вносит все объекты своей информационной системы: отделы и

Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы: отделы
ресурсы.
2. Пользователь проставляет связи.
3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе.
4. Пользователь доволен.

Слайд 20

Модель угроз и уязвимостей

1. Пользователь вносит в систему объекты своей ИС.
2. Пользователь

Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС.
вносит угрозы и уязвимости, относящиеся к его ИС.
3. Пользователь проставляет связи.
4. Пользователь счастлив.

Слайд 21

В результате работы с системой ГРИФ строится подробный отчет об уровне риска

В результате работы с системой ГРИФ строится подробный отчет об уровне риска
каждого ценного ресурса информационной системы компании

Слайд 22

Анализ и управление информационными рисками - ключевой фактор для построения эффективной

Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.
защиты информационной системы.
Имя файла: Управление-рисками-в-IT-безопасности.pptx
Количество просмотров: 463
Количество скачиваний: 7
- Предыдущая
Правление Ивана Грозного
Следующая -
Что такое проект

Похожие презентации

Библиографические основы научных исследований
Человек и общество
Разработка и моделирование неложных систем автоматизации с учетом специфики
История чисел
Travelling
Презентация на тему Керамика Древней Греции
Feodosia Art Gallery named after I.K. Aivazovsky
Муниципальное образовательное учреждение Спасская средняя общеобразовательная школа
Древнеримский костюм, прическа и украшения
Реабилитация пациентов при политравмах
Lifestyle of students in St. Petersburg
a2629265eef1407f804cf805397bae04
СТАНЦИЯ
Инстоляция Умиротворение
Конфликты и пути их решения
Торак йорт интерьеры
Богатырь
ГБОУ СОШ №456 Санкт-Петербурга Учитель Швиммер Г.Е.
Инновационные технологии таможенного контроля товаров растительного происхождения
ИЗДАТЕЛЬСКО-КОНСАЛТИНГОВАЯ КОМПАНИЯ «БАЛАНС-КЛУБ»
Продвижение и расширение практики инклюзивного образования (Часть 3 )
Компетентностный подход в учебно – воспитательном процессе – основа качества современного образования
Методы дизайн-проектирования. Бионический
Радио Принцип работы На передающей стороне
Аутсорсинг службы производственного контроля. Эффективный инструмент управления для бизнеса
Lekts (1)
Висит за окошком Кулёк ледяной, Он полон капели И пахнет весной
Бог. День 1. Для детей. Возраст 1,5-5 лет
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть